ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD

Transkript

1 ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD 10031/03/SE WP 85 Yttrande 1/2004 om den skyddsnivå som garanteras i Australien för överföring av passageraruppgifter (Passenger Name Record, PNR) från flygbolagen Antogs den 16 januari 2004 Denna arbetsgrupp är inrättad enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ för uppgiftsskydd och integritetsskydd. Arbetsuppgifterna finns beskrivna i artikel 30 i direktiv 95/46/EG och i artikel 14 i direktiv 97/66/EG. Sekretariatet tillhandahålls av direktorat E (Tjänster, Upphovsrätt, Industriellt Äganderätt och uppgiftsskydd) inom Europeiska kommissionens generaldirektorat för inre marknaden, B-1049 Bryssel Belgien Kontor: C100-6/136. Webbadress:

2 YTTRANDE 1/2004 AV ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER enligt Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om den skyddsnivå som garanteras i Australien för överföring av passageraruppgifter (Passenger Name Record, PNR) från flygbolagen ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER HAR ANTAGIT DETTA YTTRANDE med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter 1, särskilt artikel 29 och 30.1 b i detta, med beaktande av arbetsgruppens arbetsordning 2, särskilt punkterna 12 och 14 i denna, och av följande skäl: Australiens regering uppmanade 3 kommissionen att fastställa att Australien garanterar en tillfredsställande skyddsnivå för överföring av information ur databasen PNR ( Passenger Name Record, i fortsättningen kallad PNR ) från flygbolagen, enligt artikel 25 i direktivet. Europeiska kommissionen uppmanade arbetsgruppen att yttra sig i detta avseende. 1. INLEDNING Enligt Australiens gränsskyddslagstiftning får den australiska tullen göra riskbedömningar av PNR-uppgifter (Passenger Name Record) från internationella flygbolag innan passagerarna anländer i Australien. Syftet med lagstiftningen är att öka säkerheten vid Australiens gränser och framför allt att genomföra regeringens valprogram från 2001 om att öka den nationella säkerheten. Tullmyndighetens tillgång till, användning och yppande av PNR-uppgifter till tredje part regleras i australisk lag genom tullagen 1901 (Customs Act), tullförvaltningslagen 1985 (Customs Administration Act), lagen om integritetsskydd 1988 (Privacy Act) och tullmyndighetens åtagande gentemot parlamentet om att inte lagra PNR-uppgifter EGT L 281, , s. 31. tillgänglig på: Antogs av arbetsgruppen vid dess tredje sammanträde, Möte mellan Australiens utrikesminister Alexander Downer och EU-kommissionär Chris Patten den 26 januari Begäran upprepades vid mötet mellan Australiens justitiekansler Jodie Williams och EU-kommissionären Frits Bolkestein den 1 oktober 2003 och vid mötet med ministertrojkan i Rom den 2 oktober

3 Flygbolagen är skyldiga att ge tullmyndigheten tillgång till vissa PNR-uppgifter. Om flygbolagen följer de australiska kraven kan detta skapa problem i förhållande till direktiv 95/46/EG om skydd av personuppgifter. Kommissionen har därför inlett förhandlingar med Australien för att fastställa villkor som skulle kunna göra det möjligt för kommissionen att anta ett beslut som erkänner ett tillräckligt skydd i enlighet med artikel 25.6 i direktiv 95/46/EG. Kommissionen har hållit arbetsgruppen informerad om dessa förhandlingar. Kommissionen har bland annat gett arbetsgruppen ett dokument med den australiska tullmyndighetens åtagande gentemot Australiens (federala) parlament, samt senatens slutsatser i detta ärende. 4 Arbetsgruppen noterar att flygbolagens överföring av PNR-uppgifter till myndigheter utanför EU väcker oro hos allmänheten och får stora och vanskliga återverkningar i internationella, politiska och rättsliga avseenden. För att kunna svara på dessa farhågor bör en fullständig genomgång av det relevanta australiska rättsliga ramverket bifogas som en bilaga till ett eventuellt beslut från kommissionen. Arbetsgruppen rekommenderar också att det i kommissionens beslut bör finnas en bestämmelse som ser till att alla eventuella ändringar i den relevanta lagstiftningen meddelas kommissionen. 2. AUSTRALISK LAGSTIFTNING OM PNR-UPPGIFTER Arbetsgruppen noterar de förklaringar som Australiens regering har gett i denna fråga. Enligt dessa förklaringar omfattar Australiens lag om PNR-uppgifter följande situationer: Tullagen 1901 (ändrad) Tullagen 1901 (Customs Act, i fortsättningen kallad tullagen ), ändras genom tillägg (schedule) 7 i lagen om ändring av lagen om gränsskydd (terrorism) 2002 (Border Security Legislation Amendment (Terrorism) Act). Tillägget trädde i kraft den 2 augusti 2002 och ger tullmyndigheten tillstånd att hämta in uppgifter om flygpassagerare på begäran av generaldirektören för tullmyndigheten (i fortsättningen kallad generaldirektören ). Enligt artikel 64 AF i tullagen är den som bedriver en internationell passagerarflygverksamhet skyldig att ge tullmyndigheten tillgång till PNR-uppgifter om generaldirektören kräver detta. Enligt artikel 64 AF.1a skall generaldirektörens begäran om passageraruppgifter från ett flygbolag ske på ett visst sätt och under vissa former. När generaldirektören har utfärdat sin begäran blir den ett formellt rättsligt instrument som blir ett bindande krav på tillhandahållande av passageraruppgifter när flygbolagsoperatören tar emot begäran. Arbetsgruppen noterar att skyldigheten att ge tillgång till uppgifter gäller även när den berörda informationen utgörs av personuppgifter enligt definitionen i Australiens lag om integritetsskydd 1988 (Privacy Act). Enligt artikel 273 GAB i tullagen får passageraruppgifter lämnas ut till tullmyndigheten även om informationen består av personuppgifter enligt lagen om integritetsskydd och ett sådant yppande i andra fall skulle regleras av lagen om integritetsskydd. Arbetsgruppen noterar att genom att införa sanktioner om bestämmelsen inte efterföljs, har Australiens regering fastslagit sin avsikt att generaldirektören skall vara skyldig att utöva den befogenhet som fastställs i artikel 64 AF. Generaldirektören får inte själv besluta om att undanta något flygbolag från tillämpningen av artikel 64 AF. Enligt den 4 Svar från Australien i november 2003 på en fråga som togs upp under en videokonferens den 27 oktober 2003 mellan företrädare för kommissionen och Australiens regering. -3-

4 artikeln har emellertid generaldirektören rätt att själv bestämma när begäran skall göras och på vilket sätt och under vilka former som flygbolagsoperatören skall ge tillgång till passageraruppgifterna. Enligt de australiska myndigheterna blir det sätt och de former som föreskrivs i begäran ett rättsligt bindande dokument som ger närmare föreskrifter om tillgång till systemet och uppgifter. Lagen om tullförvaltning (1985) I artikel 16 i lagen om tullförvaltning 1985 (Customs Administrations Act, i fortsättningen kallad tullförvaltningslagen ) regleras hur skyddade uppgifter skall registreras och lämnas ut. Alla PNR-uppgifter som tullmyndigheten får tillgång till är skyddade uppgifter enligt definitionen i den artikeln och insamling och utlämnande av den informationen skall ske i enlighet med denna artikel. Med skyddade uppgifter avses uppgifter som direkt eller indirekt kommer till en persons kännedom eller ägo när han eller hon utför sina arbetsuppgifter (oavsett om dessa uppgifter har att göra med dessa arbetsuppgifter eller inte). I tullförvaltningslagen förbjuds insamling och utlämnande utan tillstånd av vissa uppgifter som tullmyndigheten innehar, införs bestämmelser för undantag från förbudet 5 och särskilda bestämmelser för utlämnande med tillstånd av personuppgifter. Tullförvaltningslagens utgångspunkt är förbudet mot att samla in eller lämna ut skyddade uppgifter om det inte är tillåtet enligt artikel 16, krävs eller godkänns enligt någon annan lag eller för att personen skall kunna utföra sina arbetsuppgifter. 6 Tullförvaltningslagen är tillämplig på generaldirektören samt en begränsad grupp tjänstemän som definieras i stycke 1 AA. Lagen om integritetsskydd 1988 Australiska statsförbundets regering stiftade lagen om integritetsskydd 1988 (Commonwealth Privacy Act, i fortsättningen kallad lagen om integritetsskydd ). Lagen omfattar framför allt den verksamhet som bedrivs av federala regeringen och dess myndigheter och föreskriver en rad principer om integritetsskydd på grundval av OECD:s riktlinjer från 1980 om integritetsskydd och gränsöverskridande flöden av personuppgifter, under överinseende av en integritetsombudsman. 7 Eftersom tullmyndigheten lyder under statsförbundet omfattas den av bestämmelserna om den offentliga sektorn i lagen om integritetsskydd (se sammanfattningen av denna lag i bilaga A). Merparten av principerna om integritetsskydd gäller register som innehåller personuppgifter, men de gäller inte uppgifterna i sig. Arbetsgruppen förstår att definitionen av register bekräftar att till exempel databaser omfattas av lagen om integritetsskydd. Arbetsgruppen noterar att alla PNR-uppgifter som tullmyndigheten får tillgång till även är personuppgifter enligt lagen om integritetsskydd Tullmyndigheten är därför skyldig att hantera uppgifterna i enlighet med denna lag, även när det gäller insamling, Personuppgifter så som uttrycket definieras i lagen om integritetsskydd 1988, till vilken det hänvisas i tullförvaltningslagen stycke 1A. Artikel 16.2 Fastställs i artikel 14 i lagen. Se även -4-

5 användning, lagring och spridning av sådana uppgifter. Principerna om integritetsskydd innebär att myndigheter som lyder under statsförbundets regering måste hantera personuppgifter korrekt inom följande områden: insamling och begäran om personuppgifter (principerna 1-3), lagring och säkerhet (princip 4), identifiering av personuppgifter man förfogar över (princip 5), en persons tillgång till sina personuppgifter (princip 6), rätt till rättelse (princip 7), krav på att personuppgifter skall vara korrekta, aktuella och fullständiga (princip 8), krav på att personuppgifter endast skall användas för relevanta ändamål (princip 9), begränsningar i användningen av personuppgifter (princip 10), begränsningar i utlämnande av personuppgifter (princip 11). Enligt Australiens regering granskar integritetsombudsmannen statsförbundets myndigheter för att se till att de följer principerna om integritetsskydd. Enligt samma regering har tullmyndigheten infört formella förfaranden för att såväl integritetsombudsmannen som den interna revisionen skall kunna granska tillgången till passageraruppgifter. Justitiekanslern kommer att få se över ett förslag om ändring av lagen om integritetsskydd för att göra det möjligt för integritetsombudsmannen att granska tullmyndigheten för att se till att identifierbara PNR-uppgifter inte lagras. 3. FUNKTION OCH EGENSKAPER HOS TULLMYNDIGHETENS BESTÄMMELSER OM TILLGÅNG TILL PNR Arbetsuppgifterna noterar de förklaringar som Australiens regering har gett i denna fråga. Enligt dessa består tullmyndighetens bestämmelser om tillgång till PNR av följande delar och fungerar så som beskrivs i det följande. Behandling och lagring av PNR-uppgifter Tillgång till PNR-uppgifter via Sita-nätverket beskrivs i en bilaga till detta yttrande, som utgör en del av detta yttrande. De PNR-uppgifter som tullmyndigheten får tillgång till omfattar inte historiska uppgifter utan enbart PNR-uppgifter för aktuella flygresor. Tullmyndighetens första steg i behandlingen av PNR-uppgifter är en automatiserad riskbedömning med ett frågeprogram. Det betyder att vissa uppgifter i flygbolagets PNRuppgifter (bokningar och incheckningsuppgifter) behandlas av ett automatiserat profilanalysprogram. Det här programmet sållar bort i genomsnitt procent av passagerarna på en viss flygning, vars PNR-uppgifter inte bedöms stämma in på någon riskprofil. Tullmyndigheten tittar inte på eller sparar dessa passagerares PNR-uppgifter och det vidtas inga ytterligare åtgärder för att få tillgång till eller bedöma deras PNRuppgifter. Första gången PNR-uppgifterna hanteras av en människa är när tulltjänstemän går igenom de återstående 3-5 procent passagerare (i genomsnitt på en viss flygresa) som valts ut av det automatiska profilanalysprogrammet. Dessa passagerares PNR-uppgifter granskas visuellt av en tulltjänsteman på enheten för passageraranalys (Passenger Analysis Unit, PAU) i Canberra, som gör en hotanalys. Om det efter ytterligare analys finns tillräckliga skäl för att betrakta passageraren som en risk kan det fattas beslut om att -5-

6 hon eller han skall hejdas vid ankomsten till Australiens gräns. I genomsnitt fattas ett sådant beslut för 0,05-0,1 procent av passagerarna på en viss flygresa. Tullmyndigheten vid gränsen (flygplatsen) gör en ytterligare och slutlig bedömning av om passageraren skall hejdas. När det gäller lagring av PNR-uppgifter finns det ingen rättslig skyldighet för tullmyndigheten att göra det. Inte heller finns det något rättsligt förbud för tullmyndigheten att lagra dessa uppgifter. PNR-uppgifterna för de passagerarna som bedöms av det automatiska profilanalysprogrammet och bedöms som lågriskpassagerare (95-97 procent av passagerarna) lagras inte och det förs inga register över deras PNRuppgifter. Så tullmyndighetens övergripande regel är att inte lagra dessa uppgifter. När det gäller de 0,05-0,1 procent av passagerarna som hänvisas till tullmyndigheten för närmare bedömning, sparas flygbolagets PNR-uppgifter tillfälligt, i väntan på resultatet av bedömningen vid gränsen, men de lagras inte. När bedömningen är klar, raderas PNRuppgifterna från den berörde PAU-tjänstemannens dator och läggs inte in i någon australisk databas. Tullmyndigheten lagrar endast personuppgifter som hämtas från PNR om passageraren har brutit mot någon gränsskydsföreskrift som förvaltas av tullmyndigheten. När det finns misstanke om en sådan överträdelse sparas uppgifterna tillfälligt under utredningen av den misstänkta överträdelsen. Om utredningen inte leder till åtal, eller om ingen överträdelse kan bevisas, förstörs PNR-uppgifterna. Den princip om att inte lagra PNR-uppgifter som beskrivs ovan ingår i ett åtagande som tullmyndigheten har gjort gentemot Australiens (federala) parlament då senatens utskott för rättsliga och konstitutionella frågor (Senate Legal and Constitutional Legislation Committee) undersökte lagen om ändring av säkerhetslagstiftningen (terrorism) 2002 (Security legislation Amendment (Terrorism) Bill No 2) och därmed sammanhängande lagar. 8 För att Australiens parlament skulle gå med på att genom lagstiftning tvinga flygbolag att lämna ut PNR-uppgifter och som ett erkännande av den federala integritetsombudsmannens farhågor om lagring av personuppgifter, gjorde tullmyndigheten följande åtagande gentemot parlamentet, där de försäkrade att de inte skulle lagra PNR-uppgifter: "Tullmyndigheten sparar eller lagrar inga passageraruppgifter såvida det inte har konstaterats att passageraren bedriver olaglig verksamhet eller informationen är nödvändig för genomförandet av en utredning av ett misstänkt brott." 9 Senatsutskottets slutsatser och parlamentets förväntningar på tullmyndigheten i fråga om tillgång till PNR-uppgifter framgår av punkterna i utskottets betänkande från maj Enligt de australiska myndigheternas förklaringar är detta åtagande bindande. Oavsett om generaldirektören för tullmyndigheten eller ministern byts ut skulle det vara ett brott mot åtagandet om villkoren ändrades. Generaldirektören är därför förpliktad att följa detta åtagande, eftersom han eller hon annars skulle visa ringaktning för parlamentet genom att bryta mot intentionerna i artikel 64 AF. På grundval av detta åtagande har tullmyndigheten utvecklat stränga operativa förfaranden som styr hur PNR-uppgifter används och som särskilt förhindrar att uppgifter lagras. Även det datasystem som används för PNR-analys har byggts upp så att det inte skall kunna lagra uppgifterna. 8 9 Svar från Australien i november 2003, sida 2. Svar från Australien i juni 2003, sid Svar från Australien i november 2003, sid

7 Arbetsgruppen förstår att det australiska systemet förhindrar en allmän och långvarig lagring och påföljande behandling av PNR-uppgifter och noterar de förklaringar och försäkringar som Australiens regering givit. Som nämnts tidigare, sparas PNR-uppgifter om en passagerare endast då det kunnat konstateras att denna har begått en överträdelse mot en gränsskyddsförordning som förvaltas av tullmyndigheten. När det finns misstanke om en sådan överträdelse sparas uppgifterna tillfälligt under utredningen av den misstänkta överträdelsen. Om utredningen inte leder till åtal, eller om ingen överträdelse kan bevisas, förstörs PNR-uppgifterna. I alla andra fall registreras PNR-uppgifterna inte alls. Dessutom har tullmyndigheten inte längre tillgång till några uppgifter alls om en viss flygresa efter det att de har raderats från flygbolagets system timmar efter det att flygplanet har landat. Vad gäller skydd av uppgifter noterar därför arbetsgruppen att det här systemet har stora och grundläggande skillnader i förhållande till USA:s metod, där PNR-uppgifter laddas ned från flygbolagens databaser och lagras i en separat databas för efterföljande behandling. Arbetsgruppen noterar också att Australiens system bygger på att flygbolagen systematiskt överför PNR-uppgifter till de australiska myndigheterna. Samtidigt gäller varje överföring från ett flygbolag bara en viss flygresa och varje PNR som skapas för en sådan flygresa är specifik för just den resan. Det betyder att de aktuella PNR-uppgifterna inte innehåller några historiska uppgifter. Arbetsgruppen bygger därför sin ståndpunkt på samverkan mellan systematisk överföring av PNR-uppgifter, det faktum att dessa uppgifter är unika för varje flygresa, samt de australiska myndigheternas princip om att inte lagra PNR-uppgifter. Tullmyndighetens syfte med att få tillgång till PNR-uppgifter Arbetsgruppen noterar att enligt de australiska myndigheterna är tullmyndighetens syfte med att få tillgång till passagerarnas PNR-uppgifter "att genomföra Australiens regerings beslut att alla PNR-uppgifter om passagerare på flygresor till eller från Australien skall bedömas för att förbättra gränsskyddet genom att identifiera de passagerare som kan utgöra ett hot om terrorism eller kriminell verksamhet som har terroristanknytning." 10 Tillgången begränsas till de flygresor som definieras som australiska internationella flygresor i artikel 64 AF.6 i tullagen, dvs. flygresor som omfattar resor till, genom eller från Australien. 11 De delar av PNR-uppgifterna som tullmyndigheten får tillgång till De PNR-uppgifter som samlas in för behandling av tullmyndigheten består av uppgifter ur flygbolagets databas med passageraruppgifter (Passenger Name Record, PNR), som finns i olika delar i boknings- och incheckningskomponenterna i flygbolagets datoriserade bokningssystem (i fortsättningen kallat bokningssystem ), om en enskild person på en flygresa till eller från Australien. 12 Enligt de australiska myndigheterna koncentreras den första datorbaserade bedömningen av passageraruppgifter på en begränsad grupp av PNR-deluppgifter, dvs. 18 PNRdeluppgifter. Av dessa deluppgifter koncentreras inga på känsliga uppgifter, som tullmyndigheten gått med på att filtrera bort, eller uppgifter som t.ex. frequent flyer - information Svar från Australien i november 2003, sid. 1. Svar från Australien i maj 2003, fråga 3, sid Bilaga D till Australiens svar i november

8 Arbetsgruppen jämförde de 18 PNR-deluppgifter som tullmyndighetens automatiska profilanalysprogram granskar med de PNR-deluppgifter som anges i arbetsgruppens yttrande 4/2003 av den 13 juni Arbetsgruppen noterar att av de 18 PNRdeluppgifterna ingår 7 PNR-deluppgifter 14 inte i de PNR-deluppgifter som arbetsgruppen inte ansåg var onödiga i sitt yttrande 4/2003. Dessutom har 4 PNR-deluppgifter 15 inte tidigare blivit bedömda av arbetsgruppen. Om en passagerare bedöms som en potentiell risk till följd av den automatiska profilanalysen, kan en godkänd tulltjänsteman granska ytterligare PNR-deluppgifter. Av dessa deluppgifter anses 5 16 inte vara onödiga i det tidigare nämnda yttrandet, 2 deluppgifter 17 bedömdes inte av arbetsgruppen i dess yttrande 4/2003. Arbetsgruppen noterar att tullmyndigheten får bedöma samtliga PNR-uppgifter inklusive känsliga uppgifter då det föreligger misstanke om hög risk. Det kan inträffa för 0,05-0,1 procent av passagerarna (i genomsnitt på en viss flygresa), som bedömts utgöra en möjlig risk av det automatiska profilanalysprogrammet. Sätt och former för tillgång till PNR-uppgifter Tullmyndighetens automatiska riskbedömningsprogram får tillgång till de PNRdeluppgifter som anges ovan endast i den mån som det sker på ett visst sätt och under vissa former i enlighet med artikel 64 AF.1a i tullagen och som beskrivs i ett särskilt dokument. Enligt de australiska myndigheterna är all annan tillgång till uppgifterna olaglig enligt australisk lag. Utöver dokumentet där sättet och formerna för tillgången till uppgifterna fastställs, finns det ett avtal för tillgång till systemet, där förfarandet fastställs för tullmyndighetens tillgång till flygbolagens passageraruppgifter enligt tullagen, tullförvaltningslagen och lagen om integritetsskydd. Sättet som tillgång ges på beskrivs som en kontinuerlig, uppkopplad elektronisk tillgång i realtid till flygbolagets datoriserade bokningssystem eller andra system som används för att lagra passageraruppgifter. Uppgifterna är kopierings- och ändringsskyddade (anges även i artikel 2.3 c i avtalet om tullmyndighetens tillgång till flygbolagens passageraruppgifter) och finns bara tillgängliga för ett begränsat antal tulltjänstemän som bemyndigats av generaldirektören. Tillgångsrättigheterna tillhandahålls av flygbolaget. Med formerna för tillgång menas tullmyndighetens särskilt utvecklade datorprogram. Detta program finns på tullmyndighetens datorsystem som kopplas till flygbolagets Sid. 8 i detta yttrande. Alla slags betalningsuppgifter (utan detaljerade uppgifter), resebyrå, resebyråtjänsteman, information om gemensam linjebeteckning (code share), delad PNR-information, OSI-information och SSRinformation. De PNR-uppgifter som inte anses vara onödiga är bokningsdag, resdagar, alla tidtabeller för en viss PNR, passagerare som rapporteras inte dyka upp, antal bagage, bagagemärkningsnummer och sistaminutenpassagerare utan bokning. Stad som biljetten utfärdats i, nationalitet, födelseår och datum för biljettköp. Antal resenärer i PNR, platsuppgifter, telefonnummer, resestatus, allmänna anmärkningar och insamlade apis/api-uppgifter. Födelsedatum och den resandes fullständiga namn. -8-

9 system via ett nätverk som kallas Sita. Det tekniska förfarandet för att få tillgång till PNR-uppgifter via Sita beskrivs i en teknisk bilaga till det här yttrandet. Första mottagare av PNR-uppgifter Arbetsgruppen noterar att tullmyndigheten är den enda myndigheten som har tillgång till de PNR-uppgifter som flygbolagen överför. Inom tullmyndigheten begränsas tillgången till en liten grupp tjänstemän vid PAU-enheten vid tullmyndighetens huvudkontor i Canberra. Varje tjänsteman måste godkännas av tullmyndighetens generaldirektör enligt artikel 64 AF.1 i tullagen innan han eller hon får tillgång till passageraruppgifterna. Enligt artikel 64 AF.1 skall den som bedriver ett internationellt passagerarflygbolag få en begäran från generaldirektören om att bemyndigade tjänstemän skall få kontinuerlig tillgång till flygbolagets passageraruppgifter. Enligt dokumentet om på vilket sätt och under vilka former tillgång skall ges till passageraruppgifter skall tullmyndighetens generaldirektör bemyndiga ett antal tjänstemän som innehar vissa befattningar att få tillgång till ert system. Ni kommer att få uppgifter om tjänstemännen på dessa befattningar genom den registrerings/ansökningsblankett för användarnamn och lösenord som ni har tillhandahållit. Även i avtalet om tillgång till systemet, där formerna för tillgång till systemet definieras närmare av tullmyndigheten och flygbolagen, hänvisas det till bemyndigade tjänstemän. Där anges att endast bemyndigade tjänstemän från tullmyndigheten skall få tillgång till flygbolagets system (artikel 2.2), medan det också nämns att tullmyndigheten skall meddela det berörda flygbolaget vilka de bemyndigade tjänstemännen är och att tillgång till flygbolagets datorsystem skall begränsas till dessa bemyndigade tjänstemän (eller angivna datoradresser som används för automatiserad tillgång och analys av PNRuppgifter) (artikel 2.3). Vidarebefordran av uppgifter PNR-uppgifter som tullmyndigheten har fått tillgång till får endast vidarebefordras till vissa tredje parter under följande omständigheter: a) När tullmyndigheten är skyldig att göra detta enligt domstolsorder om att lämna ut uppgifter till domstolen. b) Till Australiens federala polis (i fortsättningen kallad den federala polisen ) för vidare utredning och åtal av ett brott mot australiska lagstiftning, i det fall tullmyndigheten misstänker att en person som har anlänt till Australiens gräns har begått brott. Tullmyndigheten vidarebefordrar inte samtliga PNR-uppgifter till den federala polisen men får i vissa fall lämna ut specifika uppgifter som leder passagerarens gripande. Tillgång till uppgifter om kreditkort och telefonnummer får endast ges på grundval av en husrannsakningsorder. Enligt överenskommelser på ministernivå mellan tullmyndigheten och den federala polisen skall alla grövre brott (t.ex. terrorism och narkotikainförsel som tullmyndigheten stöter på vid gränsen) överlämnas från tullmyndigheten till den federala polisen för utredning och åtal. Eftersom den federala polisen är en myndighet som är underställd statsförbundets regering omfattas den av lagen om integritetsskydd. Enligt princip 11 om -9-

10 integritetsskydd i denna lag skall en myndighet som tar emot uppgifter från tullmyndigheten inte använda eller lämna ut dessa uppgifter för något annat syfte än för vilket uppgifterna lämnades till myndigheten. Dessutom åläggs alla anställda inom den federala polisen tystnadsplikt enligt artikel 60 A i Australiens lag om den federala polisen 1979 (Australian Federal Police Act). Enligt denna artikel får nuvarande och före detta anställda hos den federala polisen varken direkt eller indirekt lämna ut uppgifter som de har fått under sin yrkesutövning, utom i sådana fall detta är tillåtet enligt samma artikel, när det krävs av någon annan lag, eller under fullföljandet av sina arbetsuppgifter som anställda hos den federala polisen. Brott mot artikel 60 bestraffas med upp till två års fängelse. När det gäller vidarebefordran av PNR-uppgifter omfattas tullmyndigheten av princip 11 om integritetsskydd i enlighet med artikel 14 i lagen om integritetsskydd. Principen innebär specifika begränsningar för utlämnandet av personuppgifter. Den som för register (motsvarande en registeransvarig i direktivet) skall inte lämna ut personuppgifter för något sekundärt syfte, utom i vissa angivna undantagsfall. Undantagsfallen omfattar: medgivande av den berörda personen, utlämnandet krävs eller är tillåtet enligt lag och sker för ett syfte som är tillräckligt nödvändigt för att kunna göra gällande straffrätten, en lag som utdömer bötesstraff eller skydd av de offentliga inkomsterna. Dessutom omfattas tulltjänstemän som är bemyndigade att ha tillgång till passageraruppgifter av kraven i artikel 16 i tullförvaltningslagen 1985, som innehåller regler för registrering och utlämnande av skyddade uppgifter, som t.ex. PNR-uppgifter. Enligt de australiska myndigheterna finns det inga andra bestämmelser om att lämna ut personuppgifter till tredje part. 18 Säkerhet Enligt de australiska myndigheterna finns det flera säkerhetsnivåer när det gäller tillgång till PNR-uppgifter. Säkerhetsåtgärderna omfattar bl.a. en begränsning av tillgången till endast en liten grupp bemyndigade tulltjänstemän. Dessutom har omfattande fysiska och elektroniska säkerhetsåtgärder vidtagits för att isolera passageraruppgifterna från tullmyndighetens allmänna miljö. I detta avseende är följande åtgärder de viktigaste: Uppgifter från flygbolagen visas på ett eget datanät som är fysiskt och elektroniskt avskilt från alla andra system som tullmyndigheten har. Arbetsstationerna i tullmyndighetens enhet för passageraranalys finns i ett säkert datarum med begränsat tillträde. Det krävs tre nivåer av användarnamn och lösenord för att få tillgång till uppgifterna från flygbolagen, dvs. tillträde till datanätverket, till programmet för PNR-analys och till flygbolagets system (t.ex. röstidentifiering/lösenord för flygbolaget). Enligt företrädarna för nätverket Sita, är det australiska systemet inte kopplat till uppgiftsflödet för visumkontroll av tulltjänstemän utanför PAU och de två uppgiftsflödena är isolerade från varandra. De australiska myndigheterna har bekräftat att APIS-uppgifterna för visumkontroll hålls helt och hållet åtskilda från flödet av PNR-uppgifter. Känsliga uppgifter 18 Svar från Australien i maj 2003, fråga 1, sid

11 Enligt Australiens regering har alla personuppgifter samma skyddsnivå hos tullmyndigheten som inte särskiljer känsliga uppgifter (t.ex. ras eller etniskt ursprung, politiska åsikter, religiösa eller filosofiska åsikter eller hälsouppgifter) 19. Information För att passagerna skall få tillräcklig information betonar arbetsgruppen att de bör informeras tydligt och noggrant om sina rättigheter, framför all vad gäller rätten till tillgång, rättelse och möjligheterna till gottgörelse. Det bästa vore om den informationen fanns tillgänglig vid biljettköpet. Rätt till tillgång och rättelse Eftersom tullmyndigheten omfattas av lagen om integritetsskydd skall den behandla PNR-uppgifter i enlighet med principerna 6 och 7 om integritetsskydd som uttryckligen fastställer rättigheterna till tillgång, rättelse och invändningar. Enligt princip 6 om integritetsskydd har en enskild person rätt att få tillgång till sina egna personuppgifter, utom i den mån registerföraren har tillstånd eller är skyldig att vägra tillgång enligt lag som själv innehåller bestämmelser om tillgång till handlingar. Dessa lagar är lagen om fri information 1982 (Freedom of Information Act) och arkivlagen 1983 (Archives Act). Enligt lagen om fri information är en myndighet skyldig att lämna ut begärda handlingar (oavsett om de innehåller personuppgifter eller ej) till en privatperson som begär dem, om inte dessa handlingar faller under vissa undantagskategorier. Enligt arkivlagen skall register som bevaras av Australiens nationalarkiv och som är mer än 30 år gamla vara öppna för allmänheten. Enligt princip 7 om integritetsskydd får en enskild person i det fall en registerförare inte är villig att korrigera en uppgift begära att registerföraren vidtar rimliga åtgärder för att bifoga en anmärkning om detta. Arbetsgruppen noterar att PNR-uppgifter endast lagras i de fall där överträdelse har skett av lagen om gränsskydd, som förvaltas av tullmyndigheten, eller under utredningar av misstänkta brott mot dessa lagar. Utöver de lagstadgade rättigheter som anges ovan har en person som anklagas för ett brott möjlighet att begära tillgång till sina uppgifter under hela domstolsprocessen till stöd för sitt försvar. Kontrollmekanismer Genom lagen om integritetsskydd inrättas en oberoende integritetsombudsman. Integritetsombudsmannen 20, som utses som en allmännyttig tjänsteman 21, har en lagstadgad skyldighet att undersöka klagomål från privatpersoner om kränkning av integriteten enligt lagen om integritetsskydd och besläktade lagar. Integritetsombudsmannen utses för en fastställd period. För att garantera ombudsmannens oberoende kan denna endast skiljas från sitt ämbete på mycket allvarliga grunder, som olämpligt uppträdande eller oförmåga att fullfölja sitt uppdrag Svar från Australien i maj 2003, fråga 10, sid. 7. Del V. Del IV, avdelning

12 Arbetsgruppen noterar att enligt artikel 52 i lagen om integritetsskydd kan ombudsmannen fälla avgöranden där han förklarar att vissa förfaranden kränker integriteten och att de bör upphöra, att den svarande bör gottgöra eventuella förluster eller skador som den klagande lidit och att den senare har rätt till ett angivet pengabelopp som kompensation. Enligt artiklarna i lagen om integritetsskydd är myndigheterna skyldiga att följa villkoren i avgörandena enligt artikel 52. Om en myndighet inte följer ett sådant avgörande får antingen den klagande eller integritetsombudsmannen inleda en rättsprocess i en federal domstol för att genomdriva avgörandet. För närvarande begränsar artikel 41.4 i lagen om integritetsskydd integritetsombudsmannens rätt att undersöka klagomål från personer som inte är medborgare eller bosatta i Australien med avseende på princip 7 om integritetsskydd (rättelse). Den artikeln ses för närvarande över i syfte att ta bort denna begränsning. Arbetsgruppen noterar att det inte finns några begränsningar i integritetsombudsmannens möjligheter att undersöka klagomål från personer som inte är medborgare eller bosatta i Australien med avseende på några av de andra principerna om integritetsskydd. Dessutom noterar arbetsgruppen att alla passagerare har rätt att klaga hos statsförbundets ombudsman (Commonwealth Ombudsman) i fråga om deras behandling av tullmyndigheten vid gränsen på grundval av ombudsmannalagen 1976 (Ombudsman Act). 4. DETTA YTTRANDES OMFATTNING Detta yttrande omfattar skydd av grundläggande rättigheter och friheter när det gäller behandling av personuppgifter inom ramen för de PNR-uppgifter som flygbolag överför till de australiska myndigheterna för de flygresor som definieras som australiska internationella flygresor i artikel 64 AF.6 i tullagen, dvs. flygresor som omfattar resor till, genom eller från Australien. Arbetsgruppen avger detta yttrande efter att ha bedömt huruvida den skyddsnivå som Australien garanterar för PNR-uppgifter från flygbolag är tillfredsställande. Detta skydd ges av Australiens tullag 1901 (Customs Act), tullförvaltningslagen 1985 (Customs Administration Act), lagen om integritetsskydd 1988 (Privacy Act) och tullmyndighetens åtagande gentemot parlamentet, som beskrivs ovan. Detta yttrande avges alltså med hänvisning till den skyddsnivå som Australien garanterar efter det att flygbolagen överfört de begärda personuppgifterna om deras passagerare och besättningsmedlemmar på grundval av ovan angivna lagar och tullmyndighetens åtagande gentemot parlamentet. Arbetsgruppen har framför allt tagit hänsyn till de förklaringar och försäkringar som de australiska myndigheterna lämnat om hur bestämmelserna i dessa lagar och i tullmyndighetens åtagande gentemot parlamentet skall tolkas och vilka situationer som omfattas av dessa lagar och detta åtagande. Arbetsgruppen noterar också att den australiska ordningen för systemtillgång genom Sita-nätverket bäst kan beskrivas som att den bygger på pull-teknik. Detta yttrande avges därför på grundval av dagens kunskap, som beskrivs i bilagan till detta yttrande, om hur ordningen för tillgång till systemet via Sita fungerar. Detta yttrande avges också på villkor att den begränsning som fastställs i artikel 41.4 i lagen om integritetsskydd när det gäller integritetsombudsmannens möjlighet att undersöka klagomål från personer som inte är medborgare eller bosatta i Australien vad avser princip 7 om integritetsskydd (rättelse) tas bort. -12-

13 Arbetsgruppen förbehåller sig även rätten att komplettera detta yttrande med ett nytt yttrande om det här yttrandet inte beaktas i tillfredsställande grad eller om det sker omfattande förändringar i lagstiftningen under kommande förhandlingars gång. Dessutom kommer det att bli nödvändigt att göra en ny bedömning av situationen om den australiska regeringens garantier inte uppfylls på ett korrekt sätt. Därför är det mycket viktigt att kommissionen regelbundet rapporterar om hur uppgifter används och skyddet faktiskt genomförs i Australien. Detta bör göra det möjligt att kontrollera villkoren för behandling i Australien, för att se till att de antaganden som låg till grund för kommissionens beslut fortfarande är giltiga. 5. SLUTSATSEN OM TILLRÄCKLIGT SKYDD ÄR TIDSBEGRÄNSAD Omfattningen av uppgiftsflödena beror på de senaste allvarliga händelserna på internationell nivå. Arbetsgruppen rekommenderar att situationen skall bedömas med jämna mellanrum för att avgöra om behovet av sådana flöden kvarstår. Om de internationella omständigheterna skulle förändras, skulle det bli nödvändigt att se över situationen. Arbetsgruppen rekommenderar kommissionen att införa bestämmelser om ett slutdatum i sitt beslut och att i varje fall se över situationen efter tre år. 6. RESULTATEN AV BEDÖMNINGEN Arbetsgruppen betonar att för att kunna göra denna bedömning av Australiens lagstiftning om PNR-uppgifter, har den fått information från Australiens regering om hur de relevanta bestämmelserna i tullagen 1901 (Customs Act), tullförvaltningslagen 1985 (Customs Administration Act), lagen om integritetsskydd 1988 (Privacy Act) och tullmyndighetens åtagande gentemot parlamentet skall tolkas och att Australiens regering har försäkrat att de australiska bestämmelserna om PNR-uppgifter tillämpas i enlighet med den tolkningen. Arbetsgruppen bygger därför sin analys på information och försäkringar från Australiens regering, och detta yttrande är alltså beroende av att det som Australiens regering sagt också bekräftas i den faktiska tillämpningen av bestämmelserna om PNR-uppgifter i Australien. Framför allt när det gäller omfattningen av Australiens lagstiftning om PNR-uppgifter, har arbetsgruppen tagit hänsyn till Australiens regerings förklaringar och försäkringar vad gäller hur de relevanta bestämmelserna i tullagen 1901 (Customs Act), tullförvaltningslagen 1985 (Customs Administration Act) och tullmyndighetens åtagande gentemot parlamentet skall tolkas, samt vilka situationer som omfattas av lagen om integritetsskydd 1988 (Privacy Act). Dessutom bygger arbetsgruppen sin ståndpunkt på hur de PNR-deluppgifter som Australiens tullmyndighet får tillgång till och den övergripande principen om att dessa uppgifter inte skall lagras samverkar med varandra. Enligt arbetsgruppen har detta lett till en på det hela taget balanserad arbetsmetod hos de australiska myndigheterna. Detta yttrande avges också på villkor att de australiska myndigheterna inleder en översyn av artikel 41.4 i lagen om integritetsskydd som begränsar integritetsombudsmannens möjlighet att undersöka klagomål från personer som inte är medborgare eller bosatta i Australien vad avser rättelse och att denna översyn leder till att denna begränsning tas bort. Detta yttrande har upprättats på grundval av dessa antaganden, förklaringar och villkor. Slutsats: På grundval av de slutsatser som anges ovan och med förbehåll för de frågor som anges i punkt 3, 4 och 5, finner arbetsgruppen att Australien garanterar en -13-

14 tillfredsställande skyddsnivå i enlighet med artikel 25.6 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om den skyddsnivå som garanteras i Australien för överföring av passageraruppgifter (Passenger Name Record, PNR) från flygbolagen om sådana flygresor som definieras som australiska internationella flygresor i artikel 64 AF.6 i tullagen, dvs. flygresor som omfattar resor till, genom eller från Australien. Utfärdat i Bryssel den 16 januari 2004 På arbetsgruppens vägnar Ordförande Stefano RODOTA -14-