ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD

Transkript

1 ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD 11733/04/SV WP 97 Yttrande 8/2004 om uppgifter för passagerare avseende överföring av PNRuppgifter på flygningar mellan Europeiska unionen och Förenta staterna Antaget den 30 september 2004 Arbetsgruppen har inrättats genom artikel 29 i direktiv 95/46/EG. Den är EU:s oberoende rådgivande organ när det gäller uppgiftsskydd och skydd av privatlivet. Dess uppgifter fastställs i artikel 30 i direktiv 95/46/EG och i artikel 14 i direktiv 97/66/EG. Sekretariat tillhandahålls av: Europeiska kommissionen, Generaldirektoratet för inre marknaden, Direktorat A (Inre marknadens funktion och genomslag. Samordning. Uppgiftsskydd), B-1049 Bryssel, Belgien, Kontor: C100-6/136 Webbplats:

2 ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER inrättad genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober , med beaktande av artiklarna 29, 30.1 a och 30.3 i det direktivet, med beaktande av dess arbetsordning, särskilt artiklarna 12 och 14 i denna, har antagit följande yttrande: Kommissionen fastställer i sitt beslut av den 14 maj att Förenta staternas tull- och gränsskyddsmyndighet (Bureau of Customs and Border Protection, CBP) skall anses säkerställa en adekvat skyddsnivå för PNR-uppgifter avseende flyg till och från Förenta staterna. Beslutet avser den skyddsnivå som CBP erbjuder i syfte att uppfylla kraven i artikel 25.1 i direktiv 95/46/EG. Beslutet påverkar inte andra villkor eller begränsningar som införts i enlighet med andra bestämmelser i direktivet med avseende på behandlingen av personuppgifter i medlemsstaterna. Ett av dessa villkor är de registeransvarigas skyldighet att informera de registrerade om de huvudsakliga beståndsdelarna i behandlingen av uppgifter. Registeransvariga som behandlar PNR-uppgifter som omfattas av nationell lagstiftning enligt direktiv 95/46/EG är således skyldiga att ge passagerarna fullständig och korrekt information om överföringen av PNR-uppgifterna till CBP, i överensstämmelse med de nationella regler som antagits i enlighet med artiklarna 10 och 11 i det direktivet. Arbetsgruppen har antagit de informationsmeddelanden som bifogas i bilaga 1 och 2 till detta yttrande. De bör utgöra vägledning för vilken information som skall ges till passagerare på transatlantiska flygningar och bör användas i så stor utsträckning som möjligt av de flygbolag och resebyråer och i de datoriserade bokningssystem som deltar i bokningsprocessen. Antaget i Bryssel den 30 september 2004 På arbetsgruppens vägnar Peter Schaar Ordförande 1 2 Europeiska gemenskapernas officiella tidning L 281, , s. 31. Se följande webbadress: Kommissionens beslut av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet (K(2004) 1914, EUT L 235, s

3 BILAGA 1 Kortfattad information för resor mellan EU och USA Enligt amerikansk lagstiftning skall USA:s myndighet för tull och gränsskydd (U.S. Bureau of Customs and Border Protection, U.S. CBP) erhålla viss flyg- och bokningsinformation, kallad passageraruppgifter eller PNR-uppgifter (Passenger Name Record data, PNR data), om flygpassagerare som reser mellan EU och USA. CBP har förbundit sig att använda dessa uppgifter i syfte att förhindra och bekämpa terrorism och andra transnationella allvarliga brott. PNR-registret får innehålla uppgifter som erhålls under bokningsprocessen eller innehas av flygbolag eller resebyråer. Information kommer att lagras i minst tre år och sex månader och får delas med andra myndigheter. Ytterligare information om dessa arrangemang, bland annat om åtgärder för att skydda dina personuppgifter, tillhandahålls av flygbolagen eller resebyråerna. [Flygbolaget eller resebyrån tillhandahåller i så fall den information som finns i den långa versionen eller länkar direkt till CBP:s webbplats.] -3-

4 BILAGA 2 Vanliga frågor Passageraruppgifter som tas emot av Customs and Border Protection rörande flygningar mellan EU och USA Enligt amerikansk lagstiftning skall flygbolag som flyger till och från USA tillhandahålla vissa passageraruppgifter, så kallade PNR-uppgifter (Passenger Name Record data, PNR data), till USA:s myndighet för tull och gränsskydd (U.S. Bureau of Customs and Border Protection, U.S. CBP), som utgör en del av ministeriet för inrikes säkerhet (Department of Homeland Security), för att underlätta säker transport och garantera USA:s säkerhet. Flygbolaget XXX skall uppfylla dessa krav. Europeiska kommissionen har fastställt att CBP håller en adekvat skyddsnivå och tillåter överföring av PNR-data till USA. Ytterligare information finns på webbadressen En utförlig förklaring av hur CBP hanterar PNR-uppgifter som samlats in från flygningar mellan EU och USA ges i dokumentet om PNR-åtaganden Undertakings of the Department of Homeland Security, Customs and Border Protection ( PNR Undertakings ) på webbadressen 1. Varför överförs mina PNR-uppgifter till U.S. Customs and Border Protection innan jag reser till, från eller genom USA? Huvudsyftet med insamlandet av PNR-uppgifter före flygningar är att underlätta säker transport mellan EU och USA och att garantera USA:s säkerhet. CBP använder PNRuppgifter (Passenger Name Record data, PNR data) från flygningar mellan EU och USA för att förhindra och bekämpa a. terrorism och terrorrelaterad kriminalitet, b. andra allvarliga brott, inklusive organiserad brottslighet, av gränsöverskridande beskaffenhet och c. flykt från ett anhållnings- eller häktningsbeslut för ett av ovanstående brott. De flesta PNR-uppgifterna kan inhämtas på inresestället av CBP genom undersökning av resenärens flygbiljett och andra resehandlingar inom ramen för CBP:s normala gränskontrollverksamhet. Möjligheten att erhålla dessa uppgifter elektroniskt före passagerarnas ankomst till eller avresa från inreseställen i USA kommer i hög grad att förbättra CBP:s möjligheter att på förhand genomföra en effektiv riskbedömning av passagerarna. 2. Vilken rättslig grund finns för överföringen av PNR-uppgifter? Alla flygbolag som bedriver passagerartrafik till och från USA skall enligt gällande lag (title 49, United States Code, section 44909(c)(3)) och tillämpningsföreskrifterna (interimsbestämmelser) (title 19, Code of Federal Regulations, section b), ge CBP elektronisk tillgång till de PNR-uppgifter som finns i flygbolagens automatiska boknings- och avgångskontrollsystem. -4-

5 Europeiska kommissionen har fastställt att CBP skall anses säkerställa en adekvat skyddsnivå för de PNR-uppgifter som överförs. Dessa överföringar omfattas av ett internationellt avtal mellan EU och USA. Kommissionens beslut grundades på CBP:s åtagandeförklaring och CBP:s åtagande att efterleva dessa. Bristande efterlevnad skulle kunna påtalas, och om bristerna kvarstod skulle beslutet upphävas. De behöriga myndigheterna i EU:s medlemsstater får utöva sina befintliga befogenheter att tills vidare avbryta uppgiftsöverföringar till CBP för att skydda enskilda med avseende på behandlingen av deras personuppgifter om CBP bryter mot de tillämpliga skyddsreglerna i kommissionens beslut. 3. Vilken typ av information om mig kommer CBP att få via PNR? CBP kommer att få PNR-uppgifter om personer som reser till, från eller genom USA. Flygbolagen skapar PNR-uppgifter i bokningssystemen för varje resväg som bokas av en resenär. Sådana PNR-uppgifter kan även lagras i flygbolagens avgångskontrollsystem. PNR-uppgifterna rymmer en stor mängd information som inhämtats under bokningen eller som innehas av flygbolagen eller resebyråerna, till exempel passagerarens namn och adress, uppgifter om resvägen (till exempel resdatum, ursprung och destination, stolnummer och antal resväskor) och uppgifter om reservationen (till exempel resebyrå och betalningsinformation) eller annan information (till exempel medlemskap i bonusprogram). 4. Ingår känsliga uppgifter i de PNR-uppgifter som överförs? Vissa PNR-uppgifter som har fastställts som känsliga får ingå i PNR när uppgifterna överförs till CBP från bokningssystem och avgångskontrollsystem i EU. Sådana känsliga uppgifter kan innehålla viss information om passagerarens ras eller etniska tillhörighet, politiska eller religiösa övertygelse, hälsa eller sexuella läggning. CBP har förbundit sig att inte använda känsliga PNR-uppgifter som inkommer från bokningseller avgångskontrollsystem i EU. CBP kommer att installera ett automatiskt filtreringsprogram, så att känsliga PNR-uppgifter raderas. 5. Kommer mina PNR-uppgifter att delas med andra myndigheter? PNR-uppgifter som tas emot i samband med flygningar mellan EU och USA får lämnas ut av andra inhemska och utländska terroristbekämpande eller rättsvårdande offentliga myndigheter efter en bedömning av varje enskilt fall och om en särskild garanti lämnas om uppgiftsskydd, i syfte att förhindra och bekämpa terrorism och andra allvarliga brott, annan grov brottslighet, inklusive organiserad brottslighet, av gränsöverskridande beskaffenhet och flykt från anhållnings- eller häktningsbeslut för ovanstående brott. PNR-uppgifterna får dessutom lämnas ut till andra berörda statliga myndigheter, när detta är nödvändigt för att skydda intressen som är av avgörande betydelse för passageraren eller andra personer, särskilt när det gäller väsentliga hälsorisker eller på grund av andra hänsyn till lagen. 6. Hur länge kommer CBP att lagra mina PNR-uppgifter? PNR-uppgifter från flygningar mellan EU och USA lagras av CBP under en period av tre år och sex månader, om inte CBP manuellt konsulterar dessa PNR-uppgifter. Om så sker, -5-

6 kommer PNR-uppgifterna att lagras av CBP ytterligare åtta år. Dessutom kommer uppgifter som är kopplade till ett särskilt register som används för polisiära ändamål att lagras tills det registret arkiveras. 7. Hur kommer mina PNR-uppgifter att skyddas? CBP kommer att lagra PNR-uppgifterna från flygningar mellan EU och USA säkert och konfidentiellt. Via noggranna skyddsåtgärder, bland annat passande uppgiftsskydd och behörighetskontroll, garanteras att ingen olämplig användning av eller åtkomst till PNRuppgifterna förekommer. -6-

7 8. Vem övervakar att PNR-åtagandena iakttas? Den dataskyddsansvariga inom Department of Homeland Security är enligt lag skyldig att garantera att alla avdelningar inom myndigheten hanterar personuppgifter på ett sätt som överensstämmer med lagstiftningen. Den dataskyddsansvariga är oberoende av alla andra direktorat inom DHS, och hennes slutsatser är bindande för ministeriet. Den dataskyddsansvariga övervakar programmet för att se till att det iakttas strikt av CBP och för att kontrollera att lämpliga skyddsåtgärder vidtas. 9. Får jag begära en kopia av de PNR-uppgifter om mig som CBP har samlat in? Alla passagerare får begära ytterligare information om de olika typer av PNR-uppgifter som lämnas till CBP och begära en kopia av de PNR-uppgifter om dem som finns i CBPdatabaserna. Såsom medges i lagen om informationsfrihet (Freedom of Information Act) och övriga amerikanska lagar, förordningar och program, kommer CBP att behandla varje begäran om dokument från en passagerare oavsett dennas nationalitet eller bosättningsland, även PNR-handlingar som innehas av CBP. CBP får neka till eller senarelägga utlämnandet av samtliga eller delar av ett PNR-register under vissa omständigheter (t.ex. om det rimligtvis kan antas hindra pågående polisutredning eller skulle avslöja metoder och förfaranden som används vid polisundersökningar). I de fall då CBP nekar tillgång till PNR-uppgifter genom en undantagsbestämmelse i Freedom of Information Act kan detta beslut överklagas förvaltningsrättsligt till den dataskyddsansvariga inom DHS, som är ansvarig för DHS:s politik både i fråga om skydd av privatlivet och i fråga om utlämnande av uppgifter. Ett slutligt beslut av en myndighet får överklagas rättsligt enligt USA:s lagstiftning. 10. Kan jag begära att mina PNR-uppgifter rättas? Ja. Du kan begära att PNR-uppgifter om dig i CBP-databaserna rättas genom att kontakta de myndigheter som anges i fråga 12 nedan. CBP kommer att beakta de rättelser som bedöms befogade och vederbörligen styrkta. 11. Vem ska jag kontakta i USA rörande detta program? Allmänna frågor om PNR-uppgifter eller frågor om mina PNR-uppgifter Passagerare som önskar göra en förfrågan om PNR-uppgifter om honom eller henne som delas med CBP eller begära tillgång till PNR-uppgifter om honom eller henne som innehas av CBP ombeds att skicka en förfrågan via brev till följande adress: Freedom of Information Act (FOIA) Request, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C USA Mer information om förfarandet i samband med en sådan förfrågan finns i avsnitt 9 i Code of Federal Regulations och artikel ( Frågor, klagomål och begäran om rättelse Om du vill ställa en fråga, framföra ett klagomål eller göra en begäran om rättelse rörande PNR-uppgifter kan du sända ett brev till följande adress: Assistant Commissioner, CBP Office of Field Operations, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C USA -7-

8 CBP:s beslut får omprövas av den dataskyddsansvariga (Chief Privacy Officer) inom Department of Homeland Security, Washington, DC Frågor, klagomål eller begäran om rättelse av PNR-uppgifter från passagerare kan även sändas till dataskyddsmyndigheten i ditt hemland (i Sverige datainspektionen, i Finland dataombudsmannen) för vidare behandling enligt vad som bedöms vara lämpligt. -8-

9 12. Vem ska jag vända mig till om mitt klagomål inte avgörs? Om CBP inte kan avgöra ett klagomål kan detta sändas skriftligen till den dataskyddsansvariga på följande adress: Chief Privacy Officer, Department of Homeland Security, Washington, DC USA. Denne kommer att undersöka situationen och försöka finna en lösning. Den dataskyddsansvariga har förbundit sig att skyndsamt handlägga klagomål som översänds från medlemsstaternas dataskyddsmyndigheter på begäran av en person bosatt i EU, i den mån han eller hon har gett dataskyddsmyndigheten tillåtelse att agera på hans eller hennes vägnar. 13. Var kan jag få mer information? Mer information om överföring av PNR-uppgifter till USA kan fås från dataskyddsmyndighet i passagerarens medlemsstat. I [namn på EU-medlemsstaten] är adressen följande: [Adress till dataskyddsmyndigheten i varje EU-medlemsstat] -9-