Overheid.nl| Zoekpagina

De wegwijzer naar informatie en diensten van alle overheden

Naar zoeken

Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de [...] van de Verenigde Staten van Amerika (PNR-Overeenkomst 2007), Washington, 26-07-2007[Regeling treedt in werking op nader te bepalen tijdstip.]

Geldend van 26-07-2007 t/m heden

Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PNR-Overeenkomst 2007)

Authentiek : EN

Agreement between the European Union and the United States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security (DHS) (2007 PNR Agreement) [Treedt in werking op een nader te bepalen tijdstip]

The European Union and the United States of America:

Desiring to prevent and combat terrorism and transnational crime effectively as a means of protecting their respective democratic societies and common values;

Recognising that information sharing is an essential component in the fight against terrorism and transnational crime and that in this context the use of PNR data is an important tool,

Recognising that, in order to safeguard public security and for law enforcement purposes, rules should be laid down on the transfer of PNR data by air carriers to DHS;

Recognising the importance of preventing and combating terrorism and related crimes, and other serious crimes that are transnational in nature, including organised crime, while respecting fundamental rights and freedoms, notably privacy;

Recognising that U.S. and European privacy law and policy share a common basis and that any differences in the implementation of these principles should not present an obstacle to cooperation between the U.S. and the European Union (EU);

Having regard to international conventions, U.S. statutes, and regulations requiring each air carrier operating passenger flights in foreign air transportation to or from the United States to make PNR data available to DHS to the extent they are collected and contained in the air carrier’s automated reservation/departure control systems (hereinafter “reservation systems”), and comparable requirements implemented in the EU;

Having regard to Article 6 paragraph 2 of the Treaty on European Union on respect for fundamental rights, and in particular to the related right to the protection of personal data;

Noting the former agreements regarding PNR between the European Community and the United States of America of 28 May 2004 and between the European Union and the United States of America of 19 October 2006;

Having regard to relevant provisions of the Aviation Transportation Security Act of 2001, the Homeland Security Act of 2002, the Intelligence Reform and Terrorism Prevention Act of 2004 and Executive Order 13388 regarding cooperation between agencies of the United States government in combating terrorism, as well as the Privacy Act of 1974, Freedom of Information Act and the E-Government Act of 2002;

Noting that the European Union should ensure that air carriers with reservation systems located within the European Union make available PNR data to DHS and comply with the technical requirements for such transfers as detailed by DHS;

Affirming that this Agreement does not constitute a precedent for any future discussions or negotiations between the United States and the European Union, or between either of the Parties and any State regarding the processing and transfer of PNR or any other form of data;

Seeking to enhance and encourage cooperation between the parties in the spirit of transatlantic partnership;

Have agreed as follows:

  • 1. On the basis of the assurances in DHS’s letter explaining its safeguarding of PNR (the DHS letter), the European Union will ensure that air carriers operating passenger flights in foreign air transportation to or from, the United States of America will make available PNR data contained in their reservation systems as required by DHS.

  • 2. DHS will immediately transition to a push system for the transmission of data by such air carriers no later than January 1, 2008 for all such air carriers that have implemented such a system that complies with DHS’s technical requirements. For those air carriers that do not implement such a system, the current systems shall remain in effect until the carriers have implemented a system that complies with DHS’s technical requirements. Accordingly, DHS will electronically access the PNR from air carriers’ reservation systems located within the territory of the Member States of the European Union until there is a satisfactory system in place allowing for the transmission of such data by the air carriers.

  • 3. DHS shall process PNR data received and treat data subjects concerned by such processing in accordance with applicable U.S. laws, constitutional requirements, and without unlawful discrimination, in particular on the basis of nationality and country of residence. DHS’s letter sets forth these and other safeguards.

  • 4. DHS and the EU, will periodically review the implementation of this Agreement, the DHS letter, and U.S. and EU PNR policies and practices with a view to mutually assuring the effective operation and privacy protection of their systems.

  • 5. By this Agreement, DHS expects that it is not being asked to undertake data protection measures in its PNR system that are more stringent than those applied by European authorities for their domestic PNR systems. DHS does not ask European authorities to adopt data protection measures in their PNR systems that are more stringent than those applied by the U.S. for its PNR system. If its expectation is not met, DHS reserves the right to suspend relevant provisions of the DHS letter while conducting consultations with the EU with a view to reaching a prompt and satisfactory resolution. In the event that a PNR system is implemented in the European Union or in one or more of its Member States that requires air carriers to make available to authorities PNR data for persons whose travel itinerary includes a flight to or from the European Union, DHS shall, strictly on the basis of reciprocity, actively promote the cooperation of the airlines within its jurisdiction.

  • 6. For the application of this Agreement, DHS is deemed to ensure an adequate level of protection for PNR data transferred from the European Union. Concomitantly, the EU will not interfere with relationships between the United States and third countries for the exchange of passenger information on data protection grounds.

  • 7. The U.S. and the EU will work with interested parties in the aviation industry to promote greater visibility for notices describing PNR systems (including redress and collection practices) to the travelling public and will encourage airlines to reference and incorporate these notices in the official contract of carriage.

  • 8. The exclusive remedy if the EU determines that the U.S. has breached this Agreement is the termination of this Agreement and the revocation of the adequacy determination referenced in paragraph 6. The exclusive remedy if the U.S. determines that the EU has breached this agreement is the termination of this Agreement and the revocation of the DHS letter.

  • 9. This Agreement will enter into force on the first day of the month after the date on which the Parties have exchanged notifications indicating that they have completed their internal procedures for this purpose. This Agreement will apply provisionally as of the date of signature. Either Party may terminate or suspend this Agreement at any time by notification through diplomatic channels. Termination will take effect thirty (30) days from the date of notification thereof to the other Party unless either Party deems a shorter notice period essential for its national security or homeland security interests. This Agreement and any obligations there under will expire and cease to have effect seven years after the date of signature unless the parties mutually agree to replace it.

This Agreement is not intended to derogate from or amend the laws of the United States of America or the European Union or its Member States. This Agreement does not create or confer any right or benefit on any other person or entity, private or public.

This Agreement shall be drawn up in duplicate in the English Language. It shall also be drawn up in the Bulgarian, Czech, Danish, Dutch, Estonian, Finnish, French, German, Greek, Hungarian, Italian, Latvian, Lithuanian, Maltese, Polish, Portuguese, Romanian, Slovak, Slovenian, Spanish and Swedish languages, and the Parties shall approve these language versions. Once approved, the versions in these languages shall be equally authentic.

DONE at Brussels on 23 July 2007 and at Washington on 26 July 2007.

For the European Union

L. AMADO

For the United States of America

M. CHERTOFF

Nr. I [Treedt in werking op een nader te bepalen tijdstip]

U.S. DEPARTMENT OF HOMELAND SECURITY

Washington D.C., July 26, 2007

Dear President of the Council of the European Union,

In response to the inquiry of the European Union and to reiterate the importance that the United States government places on the protection of individual privacy, this letter is intended to explain how the United States Department of Homeland Security (DHS) handles the collection, use and storage of Passenger Name Records (PNR). None of the policies articulated herein create or confer any right or benefit on any person or party, private or public, nor any remedy other than that specified in the Agreement between the EU and the U.S. on the processing and transfer of PNR by air carriers to DHS signed in July 2007 (the “Agreement”). Instead, this letter provides the assurances and reflects the policies which DHS applies to PNR data derived from flights between the U.S. and European Union (EU PNR) under U.S. law.

  • I.  Purpose for which PNR is used: DHS uses EU PNR strictly for the purpose of preventing and combating: (1) terrorism and related crimes; (2) other serious crimes, including organized crime, that are transnational in nature; and (3) flight from warrants or custody for crimes described above. PNR may be used where necessary for the protection of the vital interests of the data subject or other persons, or in any criminal judicial proceedings, or as otherwise required by law. DHS will advise the EU regarding the passage of any U.S. legislation which materially affects the statements made in this letter.

  • II. Sharing of PNR:

    DHS shares EU PNR data only for the purposes named in article I.

    DHS treats EU PNR data as sensitive and confidential in accordance with U.S. laws and, at its discretion, provides PNR data only to other domestic government authorities with law enforcement, public security, or counterterrorism functions, in support of counterterrorism, transnational crime and public security related cases (including threats, flights, individuals and routes of concern) they are examining or investigating,according to law, and pursuant to written understandings and U.S. law on the exchange of information between U.S. government authorities. Access shall be strictly and carefully limited to the cases described above in proportion to the nature of the case.

    EU PNR data is only exchanged with other government authorities in third countries after consideration of the recipient’s intended use(s) and ability to protect the information. Apart from emergency circumstances, any such exchange of data occurs pursuant to express understandings between the parties that incorporate data privacy protections comparable to those applied to EU PNR by DHS, as described in the second paragraph of this article.

  • III. Types of Information Collected:

    Most data elements contained in PNR data can be obtained by DHS upon examining an individual’s airline ticket and other travel documents pursuant to its normal border control authority, but the ability to receive this data electronically significantly enhances DHS’s ability to focus its resources on high risk concerns, thereby facilitating and safeguarding bona fide travel.

    Types of EU PNR Collected:

    • 1. PNR record locator code,

    • 2. Date of reservation/ issue of ticket

    • 3. Date(s) of intended travel

    • 4. Name(s)

    • 5. Available frequent flier and benefit information (i.e., free tickets, upgrades, etc)

    • 6. Other names on PNR, including number of travelers on PNR

    • 7. All available contact information (including originator information)

    • 8. All available payment/billing information (not including other transaction details linked to a credit card or account and not connected to the travel transaction)

    • 9. Travel itinerary for specific PNR

    • 10. Travel agency/travel agent

    • 11. Code share information

    • 12. Split/divided information

    • 13. Travel status of passenger (including confirmations and check-in status)

    • 14. Ticketing information, including ticket number, one way tickets and Automated Ticket Fare Quote

    • 15. All Baggage information

    • 16. Seat information, including seat number

    • 17. General remarks including OSI, SSI and SSR information

    • 18. Any collected APIS information

    • 19. All historical changes to the PNR listed in numbers 1 to 18

    To the extent that sensitive EU PNR data (i.e. personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, and data concerning the health or sex life of the individual), as specified by the PNR codes and terms which DHS has identified in consultation with the European Commission, are included in the above types of EU PNR data, DHS employs an automated system which filters those sensitive PNR codes and terms and does not use this information. Unless the data is accessed for an exceptional case, as described in the next paragraph, DHS promptly deletes the sensitive EU PNR data.

    If necessary in an exceptional case where the life of a data subject or of others could be imperilled or seriously impaired. DHS officials may require and use information in EU PNR other than those listed above, including sensitive data. In that event, DHS will maintain a log of access to any sensitive data in EU PNR and will delete the data within 30 days once the purpose for which it has been accessed is accomplished and its retention is not required by law. DHS will provide notice normally within 48 hours to the European Commission (DG JLS) that such data, including sensitive data, has been accessed.

  • IV. Access and Redress: DHS has made a policy decision to extend administrative Privacy Act protections to PNR data stored in the ATS regardless of the nationality or country of residence of the data subject, including data that relates to European citizens. Consistent with U.S. law, DHS also maintains a system accessible by individuals, regardless of their nationality or country of residence, for providing redress to persons seeking information about or correction of PNR. These policies are accessible on the DHS website, www.dhs.gov.

    Furthermore, PNR furnished by or on behalf of an individual shall be disclosed to the individual in accordance with the U. S. Privacy Act and the U. S. Freedom of Information Act (FOIA). FOIA permits any person (regardless of nationality or country of residence) access to a U.S. federal agency’s records, except to the extent such records (or a portion thereof) are protected from disclosure by an applicable exemption under the FOIA. DHS does not disclose PNR data to the public, except to the data subjects or their agents in accordance with U.S. law. Requests for access to personally identifiable information contained in PNR that was provided by the requestor may be submitted to the FOIA/PA Unit, Office of Field Operations, U.S. Customs and Border Protection, Room 5.5-C, 1300 Pennsylvania Avenue, NW, Washington, DC 20229 (phone: (202) 344-1850 and fax: (202) 344-2791).

    In certain exceptional circumstances, DHS may exercise its authority under FOIA to deny or postpone disclosure of all or part of the PNR record to a first part requester, pursuant to Title 5, United States Code, Section 552(b). Under FOIA any requester has the authority to administratively and judicially challenge DHS’s decision to withhold information.

  • V.  Enforcement: Administrative, civil, and criminal enforcement measures are available under U.S. law for violations of U.S. privacy rules and unauthorized disclosure of U.S. records. Relevant provisions include but are not limited to Title 18, United States Code, Sections 641 and 1030 and Title 19, Code of Federal Regulations, Section 103.34.

  • VI.  Notice: DHS has provided information to the travelling public about its processing of PNR data through publications in the Federal Register and on its website. DHS further will provide to airlines a form of notice concerning PNR collection and redress practices to be available for public display. DHS and the EU will work with interested parties in the aviation industry to promote greater visibility of this notice.

  • VII. Data retention: DHS retains EU PNR data in an active analytical database for seven years, after which time the data will be moved to dormant, non-operational status. Data in dormant status will be retained for eight years and may be accessed only with approval of a senior DHS official designated by the Secretary of Homeland Security and only in response to an identifiable case, threat, or risk. We expect that EU PNR data shall be deleted at the end of this period; questions of whether and when to destroy PNR data collected in accordance with this letter will be addressed by DHS and the EU as part of future discussions. Data that is related to a specific case or investigation may be retained in an active database until the case or investigation is archived. It is DHS’ intention to review the effect of these retention rules on operations and investigations based on its experience over the next seven years. DHS will discuss the results of this review with the EU.

    The above mentioned retention periods also apply to EU PNR data collected on the basis of the Agreements between the EU and the US, of May 28, 2004 and October 19, 2006.

  • VIII. Transmission: Given our recent negotiations, you understand that DHS is prepared to move as expeditiously as possible to a ‘‘push’’ system of transmitting PNR from airlines operating flights between the EU and the U.S. to DHS. Thirteen airlines have already adopted this approach. The responsibility for initiating a transition to ‘‘push’’ rests with the carriers, who must make resources available to migrate their systems and work with DHS to comply with DHS’s technical requirements. DHS will immediately transition to such a system for the transmission of data by such air carriers no later than January 1, 2008 for all such air carriers that have implemented a system that complies with all DHS technical requirements. For those air carriers that do not implement such a system the current system shall remain in effect until the air carriers have implemented a system that is compatible with DHS technical requirements for the transmission of PNR data. The transition to a ‘‘push’’ system, however, does not confer on airlines any discretion to decide when, how or what data to push. That decision is conferred on DHS by U.S. law.

    Under normal circumstances DHS will receive an initial transmission of PNR data 72 hours before a scheduled departure and afterwards will receive updates as necessary to ensure data accuracy. Ensuring that decisions are made based on timely and complete data is among the most essential safeguards for personal data protection and DHS works with individual carriers to build this concept into their push systems. DHS may require PNR prior to 72 hours before the scheduled departure of the flight, when there is an indication that early access is necessary to assist in responding to a specific threat to a flight, set of flights, route, or other circumstances associated with the purposes defined in article I. In exercising this discretion, DHS will act judiciously and with proportionality.

  • IX.  Reciprocity: During our recent negotiations we agreed that DHS expects that it is not being asked to undertake data protection measures in its PNR system that are more stringent than those applied by European authorities for their domestic PNR systems. DHS does not ask European authorities to adopt data protection measures in their PNR systems that are more stringent than those applied by the U.S. for its PNR system. If its expectation is not met, DHS reserves the right to suspend relevant provisions of the DHS letter while conducting consultations with the EU with a view to reaching a prompt and satisfactory resolution. In the event that an airline passenger information system is implemented in the European Union or in one or more of its Member States that requires air carriers to make available to authorities PNR data for persons whose travel itinerary includes a flight between the U.S. and the European Union, DHS intends, strictly on the basis of reciprocity, to actively promote the cooperation of the airlines within its jurisdiction.

    In order to foster police and judicial cooperation, DHS will encourage the transfer of analytical information flowing from PNR data by competent US authorities to police and judicial authorities of the Member States concerned and, where appropriate, to Europol and Eurojust. DHS expects that the EU and its Member States will likewise encourage their competent authorities to provide analytical information flowing from PNR data to DHS and other US authorities concerned.

  • X.  Review: DHS and the EU will periodically review the implementation of the agreement, this letter, U.S. and EU PNR policies and practices and any instances in which sensitive data was accessed, for the purpose of contributing to the effective operation and privacy protection of our practices for processing PNR. In the review, the EU will be represented by the Commissioner for Justice, Freedom and Security, and DHS will be represented by the Secretary of Homeland Security, or by such mutually acceptable official as each may agree to designate. The EU and DHS will mutually determine the detailed modalities of the reviews.

    The U.S. will reciprocally seek information about Member State PNR systems as part of this periodic review, and representatives of Member States maintaining PNR systems will be invited to participate in the discussions.

We trust that this explanation has been helpful to you in understanding how we handle EU PNR data.

Sincerely,

MICHAEL CHERTOFF

Secretary of Homeland Security

Mr . Luis Amado President of the Council of the European Union 175 Rue de la Loi 1048 Brussels Belgium

Nr. II [Treedt in werking op een nader te bepalen tijdstip]

COUNCIL OF THE EUROPEAN UNION

The Presidency

Brussels, 23 July 2007

Dear Secretary,

Thank you very much for your letter to the Council Presidency and the Commission explaining how DHS handles PNR data.

The assurances explained in your letter provided to the European Union allow the European Union to deem, for the purposes of the international agreement signed between the United States and European Union on the processing and transfer PNR in July 2007 that DHS ensures an adequate level of data protection.

Based on this finding, the EU will take all necessary steps to discourage international organizations or third countries from interfering with any transfers of EU PNR to the United States. The EU and its Member States will also encourage their competent authorities to provide analytical information flowing from PNR data to DHS and other US authorities concerned.

We look forward to working with you and the aviation industry to ensure that passengers are informed about how governments may use their information

Yours sincerely,

LUIS AMADO

President of the Council

Secretary Michael Chertoff U.S. Department for Homeland Security Washington DC 20528

Verklaring [Treedt in werking op een nader te bepalen tijdstip]

This Agreement, while not derogating from or amending legislation of the EU or its Member States, will, pending its entry into force, be implemented provisionally by Member States in good faith, in the framework of their existing national laws.

Vertaling : NL

Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PNR-overeenkomst 2007) [Treedt in werking op een nader te bepalen tijdstip]

De Europese Unie

en

de Verenigde Staten van Amerika,

Verlangende om terrorisme en grensoverschrijdende criminaliteit doeltreffend te voorkomen en te bestrijden om hun respectieve democratische samenlevingen en gemeenschappelijke waarden te beschermen,

Erkennende dat de uitwisseling van informatie een essentieel onderdeel vormt van de bestrijding van terrorisme en grensoverschrijdende criminaliteit en dat het gebruik van PNR-gegevens in dit verband een belangrijk instrument is,

Erkennende dat er met het oog op het waarborgen van de openbare veiligheid en de rechtshandhaving regels moeten worden vastgesteld met betrekking tot de overdracht door luchtvaartmaatschappijen van PNR-gegevens aan het ministerie van binnenlandse veiligheid van de Verenigde Staten van Amerika (Department of Homeland Security, hierna het „DHS” genoemd),

Erkennende het belang van het voorkomen en bestrijden van terrorisme en daarmee samenhangende misdrijven en andere ernstige misdrijven van grensoverschrijdende aard, waaronder begrepen de georganiseerde criminaliteit, met dien verstande dat de fundamentele rechten en vrijheden, met name het recht op privacy, moeten worden geëerbiedigd,

Erkennende dat de Amerikaanse en de Europese privacywetgeving een gemeenschappelijke basis hebben en dat eventuele verschillen bij de toepassing van deze beginselen geen belemmering voor de samenwerking tussen de VS en de Europese Unie (EU) mogen vormen,

Gelet op de internationale verdragen, de wet- en regelgeving van de Verenigde Staten die bepaalt dat elke luchtvaartmaatschappij die internationale passagiersvluchten van of naar de Verenigde Staten uitvoert, de PNR-gegevens beschikbaar dient te stellen aan het DHS, voor zover deze zijn verzameld en opgeslagen in de geautomatiseerde boekings- en vertrekcontrolesystemen van de luchtvaartmaatschappij (hierna de „boekingssystemen” genoemd), en vergelijkbare vereisten die in de EU gelden,

Gelet op artikel 6, lid 2, van het Verdrag betreffende de Europese Unie inzake de eerbiediging van de grondrechten, en met name op het daarmee samenhangende recht inzake de bescherming van persoonsgegevens,

Nota nemend van de eerdere overeenkomsten inzake PNR-gegevens tussen de Europese Gemeenschap en de Verenigde Staten van Amerika van 28 mei 2004 en tussen de Europese Unie en de Verenigde Staten van Amerika van 19 oktober 2006,

Gelet op de toepasselijke bepalingen van de Aviation Transportation Security Act van 2001, de Homeland Security Act van 2002, de Intelligence Reform and Terrorism Prevention Act van 2004 en Executive Order 13388 betreffende de samenwerking tussen agentschappen van de regering van de Verenigde Staten bij de bestrijding van terrorisme, en de Privacy Act van 1974, de Freedom of Information Act en de E-Government Act van 2002,

Er nota van nemend dat de Europese Unie ervoor moet zorgen dat luchtvaartmaatschappijen met boekingssystemen die zich op het grondgebied van de EU bevinden PNR-gegevens aan het DHS ter beschikking stellen en voldoen aan de technische vereisten voor dergelijke overdrachten zoals bepaald door het DHS,

Bevestigend dat deze overeenkomst geen precedent schept voor eventuele toekomstige besprekingen of onderhandelingen tussen de Verenigde Staten en de Europese Unie of tussen een van beide partijen en een andere staat betreffende de verwerking en overdracht van PNR of enige andere vorm van gegevens,

In een streven naar versterking en aanmoediging van de samenwerking tussen de partijen in de geest van het trans-Atlantisch partnerschap,

Besluiten:

  • 1. Op basis van de verzekeringen in de brief van het DHS waarin het zijn bescherming van PNR-gegevens toelicht (de DHS-brief), zal de Europese Unie ervoor zorgen dat luchtvaartmaatschappijen die internationale passagiersvluchten van of naar de Verenigde Staten uitvoeren de PNR-gegevens uit hun boekingssystemen beschikbaar stellen zoals gevraagd door het DHS.

  • 2. Het DHS zal onverwijld, en uiterlijk op 1 januari 2008, overstappen op een toeleveringssysteem voor de overdracht van gegevens door dergelijke luchtvaartmaatschappijen voor alle luchtvaartmaatschappijen die een dergelijk systeem hebben ingevoerd dat aan de technische vereisten van het DHS voldoet. Voor de luchtvaartmaatschappijen die niet een dergelijk systeem toepassen, blijven de huidige systemen van kracht totdat deze vervoerders een systeem hebbeningevoerd dat aan de technische eisen van het DHS voldoet. Dienovereenkomstig zal het DHS elektronisch toegang krijgen tot de PNR-gegevens in de boekingssystemen van de luchtvaartmaatschappijen die zich op het grondgebied van de lidstaten van de Europese Unie bevinden, totdat er een afdoende systeem tot stand is gebracht dat de doorgifte van dergelijke gegevens door de luchtvaartmaatschappijen mogelijk maakt.

  • 3. Het DHS verwerkt de ontvangen PNR-gegevens en behandelt de personen wier gegevens worden verwerkt overeenkomstig de toepasselijke wetgeving en de grondwettelijke vereisten van de Verenigde Staten, zonder onwettige discriminatie, en met name zonder aanzien van nationaliteit of land van verblijf. In de DHS-brief worden deze en andere waarborgen genoemd.

  • 4. Het DHS en de EU zullen de uitvoering van deze overeenkomst, de DHS-brief, en het beleid en de praktijken van de VS en de EU op PNR-gebied op gezette tijden evalueren teneinde over en weer de doeltreffende werking en de bescherming van de privacy in hun systemen te verzekeren.

  • 5. Op grond van deze overeenkomst verwacht het DHS dat het niet wordt verzocht gegevensbeschermingsmaatregelen in zijn PNR-systeem in te voeren die strikter zijn dan die welke door Europese autoriteiten voor hun nationale PNR-systemen worden toegepast. Het DHS vraagt de Europese autoriteiten niet om in hun PNR-systemen gegevensbeschermingsmaatregelen te nemen die strikter zijn dan die welke door de VS voor zijn PNR-systeem worden toegepast. Het DHS behoudt zich het recht voor om, indien niet aan zijn verwachtingen wordt voldaan, de desbetreffende bepalingen van de DHS-brief op te schorten terwijl het met de EU overleg pleegt met het oog op een snelle en bevredigende oplossing. Indien de EuropeseUnie of een of meer van haar lidstaten een systeem voor de identificatie van luchtreizigers invoert dat luchtvaartmaatschappijen ertoe verplicht aan de autoriteiten de PNR-gegevens beschikbaar te stellen inzake personen van wie de reisroute een vlucht van of naar de Europese Unie inhoudt, zal het DHS, op basis van strikte wederkerigheid, de medewerking van de onder zijn bevoegdheid vallende luchtvaartmaatschappijen actiefbevorderen.

  • 6. Voor de toepassing van deze overeenkomst wordt het DHS geacht een passend beschermingsniveau te bieden voor vanuit de Europese Unie overgedragen PNRgegevens. Daarmee samenhangend zal de EU zich niet in de betrekkingen tussen de Verenigde Staten en derde landen betreffende de uitwisseling van passagiersgegevens mengen om redenen van gegevensbescherming.

  • 7. De VS en de EU zullen met de belanghebbende partijen in de luchtvaartsector samenwerken ter bevordering van een grotere zichtbaarheid van de informatie over PNRsystemen (met inbegrip van verhaal- en verzamelingspraktijken) aan de reizigers en zullen luchtvaartmaatschappijen aanmoedigen deze informatie in de officiële vervoersovereenkomst te vermelden en op te nemen.

  • 8. Indien de EU vaststelt dat de VS inbreuk op deze overeenkomst heeft gemaakt, is het enige rechtsmiddel de beëindiging van deze overeenkomst en de herroeping van de in punt 6 genoemde vaststelling dat het beschermingsniveau passend wordt geacht. Indien de VS vaststelt dat de EU inbreuk op deze overeenkomst heeft gemaakt, is het enige rechtsmiddel de beëindiging van deze overeenkomst en de herroeping van de DHS-brief.

  • 9. Deze overeenkomst treedt in werking op de eerste dag van de maand volgende op die waarin de partijen de kennisgevingen hebben uitgewisseld waaruit blijkt dat zij hun interne procedures daartoe hebben voltooid. Deze overeenkomst wordt vanaf de datum van ondertekening voorlopig toegepast. Elke partij kan deze overeenkomst te allen tijde door middel van diplomatieke kennisgeving aan de andere partij opzeggen of opschorten. De opzegging gaat in dertig (30) dagen na de datum van kennisgeving daarvan aan de andere partij, tenzij een van de beide partijen een kortere kennisgevingsperiode essentieel acht voor haar nationale veiligheid of binnenlandse veiligheidsbelangen. Deze overeenkomsten eventuele daaruit voortvloeiende verplichtingen verstrijken en zijn niet langer van kracht zeven jaar na de datum van ondertekening ervan, tenzij de partijen deze met wederzijdse instemming vervangen.

Deze overeenkomst heeft niet ten doel van de wetgeving van de Verenigde Staten of de Europese Unie of haar lidstaten af te wijken of deze wetgeving te wijzigen. Deze overeenkomst schept of verleent geen rechten of voordelen voor enige andere particuliere of openbare persoon of entiteit.

Deze overeenkomst wordt in tweevoud opgesteld in de Engelse taal. Zij wordt tevens opgesteld in de Bulgaarse, de Deense, de Duitse, de Estse, de Finse, de Franse, de Griekse, de Hongaarse, de Italiaanse, de Letse, de Litouwse, de Maltese, de Nederlandse, de Poolse, de Portugese, de Roemeense, de Sloveense, de Slowaakse, de Spaanse, de Tsjechische en de Zweedse taal; de partijen keuren deze talenversies goed. Na goedkeuring zijn de versies in deze talen gelijkelijk authentiek.

GEDAAN te Brussel op 23 juli 2007 en te Washington op 26 juli 2007.

Voor de Europese Unie

L. AMADO

Voor de Verenigde Staten van Amerika

M. CHERTOFF

Nr. I. Ministerie van Binnenlandse Veiligheid van de Verenigde State van Amerika [Treedt in werking op een nader te bepalen tijdstip]

Washington D.C.,

26 juli 2007

Geachte Voorzitter van de Raad van de Europese Unie,

In antwoord op het verzoek van de Europese Unie en om het belang te benadrukken dat de regering van de Verenigde Staten hecht aan de bescherming van de persoonlijke levenssfeer, willen wij met deze brief toelichten op welke wijze het ministerie van Binnenlandse veiligheid van de Verenigde Staten (Department of Homeland Security (DHS)) de verzameling, het gebruik en de opslag van persoonsgegevens van passagiers (PNR-gegevens) regelt. Geen van de hierin genoemde beleidslijnen schept of verleent rechten of voordelen voor enige andere particuliere of openbare persoon of entiteit, of enig ander rechtsmiddel dan die welke worden genoemd in de overeenkomst tussen de EU en de VS inzake de verwerking en overdracht van PNR-gegevens door luchtvaartmaatschappijen aan het DHS, die is ondertekend in juli 2007 (hierna de „overeenkomst” genoemd). Deze brief biedt daarentegen de verzekeringen en weerspiegelt het beleid die de DHS uit hoofde van de wetgeving van de VS toepast op de PNR-gegevens die afkomstig zijn van vluchten tussen de VS en de Europese Unie (EU-PNR).

  • I. Doel waarvoor de PNR-gegevens worden gebruikt: Het DHS gebruikt de EU-PNR uitsluitend ter voorkoming en bestrijding van:

    • 1. terrorisme en daarmee samenhangende strafbare feiten;

    • 2. andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, en

    • 3. het zich onttrekken aan aanhoudingsbevelen of arrestatie voor de bovengenoemde strafbare feiten.

    PNR-gegevens kunnen waar nodig worden gebruikt voor de bescherming van de vitale belangen van de betrokkene of anderen, of bij strafrechtelijke procedures of in andere wettelijk voorgeschreven gevallen. Het DHS zal de Europese Commissie informeren over de goedkeuring van VS-wetgeving waardoor de verklaringen in deze brief substantieel worden beïnvloed.

  • II. Uitwisseling van PNR:

    Het DHS wisselt de EU-PNR-gegevens uitsluitend uit voor de in punt I genoemde doeleinden.

    Het DHS behandelt de EU-PNR-gegevens als gevoelig en vertrouwelijk overeenkomstig de VS-wetgeving en verstrekt de PNR-gegevens, naar goeddunken, uitsluitend aan andere nationale overheden met taken op het gebied van wetshandhaving, openbare veiligheid of terrorismebestrijding, ter ondersteuning van met terrorismebestrijding, grensoverschrijdende misdaad en openbare veiligheid verband houdende gevallen (waaronder zorgwekkende bedreigingen, vluchten, personen en routes) die zij bestuderen of onderzoeken, overeenkomstig de wet, en ingevolge schriftelijke afspraken en VS-wetgeving over de uitwisseling van informatie tussen overheidsinstanties van de VS. De toegang zal strikt en zorgvuldig zijn beperkt tot de hierboven omschreven gevallen, in verhouding tot de aard van de zaak.

    De EU-PNR-gegevens worden uitsluitend met andere overheidsinstanties in derde landen uitgewisseld na beoordeling van het voorgenomen gebruik ervan en de mogelijkheid van bescherming van de gegevens door de ontvanger. Afgezien van noodsituaties vindt een dergelijke uitwisseling van gegevens plaats op grond van uitdrukkelijke afspraken tussen de partijen, die gegevensbeschermingsbepalingen bevatten die vergelijkbaar zijn met die welke het DHS op de EU-PNR toepast, zoals beschreven in de tweede alinea van dit punt.

  • III. Soorten verzamelde informatie:

    De meeste gegevenselementen in de PNR-gegevens kunnen door het DHS worden verkregen door onderzoek van het vliegtuigticket en andere reisdocumenten van een persoon op grond van zijn normale bevoegdheid inzake grenscontrole, maar door de mogelijkheid om deze gegevens elektronisch te ontvangen kan het DHS zijn middelen versterkt richten op gevallen met een hoog risico, en aldus het bonafide reizen vergemakkelijken en beschermen.

    Soorten verzamelde EU-PNR-gegevens:

    • 1. PNR-bestandslocatiecode

    • 2. Datum van boeking/afgifte van het biljet

    • 3. Geplande reisdatum of reisdata

    • 4. Naam/namen

    • 5. Beschikbare informatie betreffende frequent reizen en voordelen (d.w.z. gratis biljetten, upgrades, enz.)

    • 6. Andere namen in het PNR, waaronder het aantal reizigers in het PNR

    • 7. Alle beschikbare contactgegevens (met inbegrip van informatie betreffende de verstrekker)

    • 8. Alle beschikbare betalings-/factureringsinformatie (zonder andere transactiegegevens die gekoppeld zijn aan een creditcard of -rekening en niet samenhangen met de reistransactie)

    • 9. Reisroute voor dit specifieke PNR

    • 10. Reisbureau/-agent

    • 11. Informatie over gedeelde vluchtcodes

    • 12. Opgesplitste/opgedeelde informatie

    • 13. Reisstatus van de passagier (met inbegrip van bevestigingen en check-in-status)

    • 14. Informatie over biljetuitgifte, waaronder het biljetnummer, biljetten voor enkele reizen en geautomatiseerde prijsnotering van reisbiljetten

    • 15. Alle bagage-informatie

    • 16. Zitplaatsinformatie, waaronder het zitplaatsnummer

    • 17. Algemene opmerkingen, waaronder OSI-, SSI- en SSR-informatie

    • 18. Eventuele APIS-informatie

    • 19. Alle vroegere wijzigingen in de onder de punten 1 tot en met 18 genoemde PNR.

    Voor zover de bovengenoemde soorten gegevens gevoelige EU-PNR-gegevens bevatten (d.w.z. persoonlijke gegevens met betrekking tot ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, vakbondslidmaatschap, en gegevens betreffende de gezondheid of het seksuele leven van de betrokkene), zoals gespecificeerd in de PNR-codes en -termen die het DHS in overleg met de Europese Commissie heeft vastgesteld, past het DHS een geautomatiseerd systeem toe dat die gevoelige PNR-codes en -termen filtert en gebruikt het deze informatie niet. Tenzij de gegevens in een uitzonderlijk geval worden gebruikt, wist het DHS de gevoelige EU-PNR-gegevens onmiddellijk.

    In een uitzonderlijk geval waarin het leven van een datasubject of van derden in gevaar zou kunnen zijn of ernstig zou worden beperkt, kunnen DHS-functionarissen zo nodig andere dan de hierboven genoemde EU-PNR-informatie, met inbegrip van gevoelige informatie, verlangen en gebruiken. In dat geval zal het DHS een register inzake de toegang tot eventuele gevoelige EU-PNR-gegevens bijhouden, en de gegevens binnen 30 dagen wissen, zodra het doel waarvoor zij toegankelijk zijn gemaakt is bereikt en de bewaring ervan niet door de wet wordt verlangd. Het DHS zal de Europese Commissie (DG JLS) normaliter binnen 48 uur in kennis stellen van het feit dat tot dergelijke gegevens, met inbegrip van gevoelige gegevens, toegang is verleend.

  • IV. Toegang en verhaal: Het DHS heeft besloten om de administratieve bescherming op grond van de Privacy Act uit te breiden tot in het „automated targeting system” (ATS) opgeslagen PNR-gegevens, ongeacht de nationaliteit of het land van vestiging van het datasubject, met inbegrip van gegevens die betrekking hebben op Europese burgers. Overeenkomstig de VS-wetgeving beschikt het DHS ook over een systeem datpersonen, ongeacht hun nationaliteit of land van vestiging, een verhaalsmogelijkheid biedt voor het zoeken van informatie over of de rectificatie van PNR-gegevens. Informatie over dit beleid is beschikbaar op de website van het DHS (www.dhs.gov.)

    Voorts worden de door of namens een persoon verstrekte PNR-gegevens aan de betrokkene meegedeeld overeenkomstig de Privacy Act en de Freedom of Information Act (FOIA) van de VS. De FOIA staat eenieder (ongeacht nationaliteit of land van vestiging) toegang tot de registers van een federale instantie van de VS toe, tenzij dergelijke registers (of een deel daarvan) tegen openbaarmaking beschermd zijn door een toepasselijke vrijstelling uit hoofde van de FOIA. Het DHS verstrekt geen PNR-gegevens aan het publiek, behalve aan de datasubjecten of hun vertegenwoordigers overeenkomstig de VS-wetgeving. Verzoeken om toegang tot persoonlijk identificeerbare informatie in de PNR-gegevens die is verstrekt door de verzoeker kunnen worden ingediend bij de FOIA/PA Unit, U.S. Customs and Border Protection, Room 5.5-C, 1300 Pennsylvania Avenue, NW, Washington, DC 20229 (Tel.: (202) 344-1850 en fax (202) 344-2791).

    In bepaalde uitzonderlijke omstandigheden kan het DHS zich op de hem bij de FOIA verleende bevoegdheid beroepen om de openbaarmaking van alle of een deel van de PNR-gegevens aan een verzoeker van de eerste partij krachtens titel 5, United States Code, sectie 552 (b), te weigeren of uit te stellen. Volgens de FOIA heeft elke verzoeker het recht om het besluit van de DHS tot het achterhouden van informatie administratief en gerechtelijk aan te vechten.

  • V. Naleving: Krachtens de VS-wetgeving gelden er administratieve, civiel- en strafrechtelijke sancties voor schendingen van de privacyvoorschriften van de VS en de ongeoorloofde openbaarmaking van documenten van de VS. Tot de betreffende bepalingen behoren onder meer titel 18, United States Code, secties 641 en 1030, en titel 19, Code of Federal Regulations, sectie 103.34.

  • VI. Informatie: Het DHS heeft via publicaties in het Federal Register en op zijn website aan de reizigers informatie over zijn verwerking van PNR-gegevens verstrekt. Het DHS zal aan de luchtvaartmaatschappijen een informatief formulier betreffende de verzameling van PNR-gegevens en de verhaalprocedures verstrekken met het oog op beschikbaarstelling aan het publiek. Het DHS en de EU zullen met de belanghebbende partijen in de luchtvaartsector samenwerken om de zichtbaarheid van deze informatie te bevorderen.

  • VII. Gegevensbewaring: Het DHS bewaart de EU-PNR-gegevens gedurende zeven jaar in een actieve analytische gegevensbank, waarna de gegevens een slapende, niet-operationele status krijgen. De gegevens die zich in deze slapende status bevinden worden gedurende acht jaar bewaard en zijn uitsluitend toegankelijk met toestemming van een door de minister van Binnenlandse veiligheid aangewezen hoge ambtenaar van het DHS, en dit alleen naar aanleiding van een concrete zaak, dreiging of risico. Wij verwachten dat de EU-PNR-gegevens aan het eind van deze periode worden gewist. Met de vraag of en wanneer de overeenkomstig deze brief verzamelde PNR-gegevens moeten worden vernietigd zullen het DHS en de EU zich in het kader van toekomstige besprekingen bezig houden. De gegevens die verband houden met een specifieke zaak of onderzoek kunnen in een actieve gegevensbank worden bewaard totdat de zaak of het onderzoek wordt gearchiveerd. Het DHS is voornemens het effect van deze bewaringsregels op de operaties en onderzoeken op basis van zijn ervaringen gedurende de komende zeven jaar te evalueren. Het DHS zal de resultaten van deze evaluatie met de EU bespreken.

    De bovengenoemde bewaringsperioden gelden ook voor EU-PNR-gegevens die zijn verzameld op basis van de overeenkomsten tussen de EU en de VS van 28 mei 2004 en 19 oktober 2006.

  • VIII. Overdracht: In het licht van onze recente onderhandelingen is het duidelijk dat het DHS zo spoedig mogelijk wenst over te stappen op een toeleveringssysteem voor de overdracht aan het DHS van PNR-gegevens van luchtvaartmaatschappijen die vluchten tussen de EU en de VS uitvoeren. Dertien luchtvaartmaatschappijen zijn al op deze aanpak overgestapt. De verantwoordelijkheid voor de overstap naar hettoeleveringssysteem berust bij de luchtvaartmaatschappijen, die middelen beschikbaar moeten stellen om hun systemen om te schakelen en met het DHS moeten samenwerken om aan de technische vereisten van het DHS te voldoen. Het DHS zal onverwijld en uiterlijk op 1 januari 2008 overstappen op een dergelijk systeem voor de overdracht van gegevens door deze luchtvaartmaatschappijen, en wel voor alle luchtvaartmaatschappijen die een systeem hebben ingevoerd dat aan alle technische vereisten van het DHS voldoet. Voor de luchtvaartmaatschappijen die niet een dergelijk systeem invoeren, blijft het huidige systeem van kracht totdat deze maatschappijen een systeem hebben ingevoerd dat aan de technische vereisten van het DHS voor de overdracht van PNR-gegevens voldoet. De overstap op een toeleveringssysteem verleent luchtvaartmaatschappijen evenwel geen discretionaire bevoegdheid inzake het tijdstip en de wijze van toelevering en de aard van de toe te leveren gegevens. Die bevoegdheid komt op grond van het VS-recht toe aan het DHS.

    In normale omstandigheden zal het DHS 72 uur vóór een geplande vlucht een eerste overdracht van PNR-gegevens ontvangen en zal het nadien geactualiseerde informatie ontvangen om de correctheid van de gegevens te verzekeren. Ervoor zorgen dat besluiten worden genomen op basis van tijdige en volledige gegevens behoort tot de meest essentiële garanties voor de bescherming van persoonsgegevens, en het DHS werkt met de afzonderlijke luchtvaartmaatschappijen samen om dit concept in hun toeleveringssystemen in te bouwen. Het DHS kan minder dan 72 uur vóór het geplande vertrek van de vlucht om toegang tot PNR-gegevens verzoeken indien er aanwijzingen zijn dat toegang in een vroeg stadium nodig is om te helpen het hoofd te bieden aan een specifieke dreiging voor één vlucht, voor meerdere vluchten of voor een route, dan wel aan andere omstandigheden die verband houden met de in punt I omschreven doeleinden. Bij de uitoefening van deze discretionaire bevoegdheid zal het DHS oordeelkundig en evenredig te werk gaan.

  • IX. Wederkerigheid: In de loop van onze recente onderhandelingen zijn wij overeengekomen dat het DHS verwacht geen gegevensbeschermingsmaatregelen in zijn PNR-systeem in te moeten voeren die strikter zijn dan die welke door Europese autoriteiten voor hun nationale PNR-systemen worden toegepast. Het DHS vraagt de Europese autoriteiten niet om in hun PNRsystemen gegevensbeschermingsmaatregelen te nemen die strikter zijn dan die welke door de VS voor zijn PNR-systeem worden toegepast. Het DHS behoudt zich het recht voor om, indien niet aan zijn verwachtingen wordt voldaan, de desbetreffende bepalingen van de DHS-brief op te schorten en met de EU overleg te plegen met het oog op een snelle en bevredigende oplossing. Indien de Europese Unie of een of meer van haar lidstaten een systeem voor de identificatie van luchtreizigers invoert dat luchtvaartmaatschappijen ertoe verplicht aan de autoriteiten de PNR-gegevens beschikbaar te stellen inzake personen van wie de reisroute een vlucht tussen de VS en de Europese Unie inhoudt, zal het DHS, op basis van strikte wederkerigheid, de medewerking van de onder zijn bevoegdheid vallende luchtvaartmaatschappijen actief bevorderen.

    Om de politiële en justitiële samenwerking te bevorderen, zal het DHS de overdracht van uit PNR-gegevens voortvloeiende analytische informatie door de bevoegde VS-autoriteiten aan de politiële en justitiële autoriteiten van de betrokken lidstaten en, in voorkomend geval, aan Europol en Eurojust aanmoedigen. Het DHS verwacht dat de EU en haar lidstaten eveneens hun bevoegde autoriteiten zullen aanmoedigen om uit de PNR-gegevens voortvloeiende analytische informatie aan het DHS en andere betrokken VS-autoriteiten te verstrekken.

  • X. Evaluatie: Het DHS en de EU zullen de uitvoering van de overeenkomst, deze brief, het beleid en de praktijken van de VS en de EU op PNR-gebied en gevallen waarin toegang is verkregen tot gevoelige gegevens op gezette tijden evalueren, teneinde bij te dragen aan de doeltreffende werking van en de bescherming van de privacy in onze procedures voor de verwerking van PNR-gegevens. Bij deze evaluatie zal de EU worden vertegenwoordigd door het Commissielid voor Justitie, Vrijheid en Veiligheid en het DHS door de minister van Binnenlandse veiligheid, of door een wederzijds aanvaardbare functionaris die elke partij kan besluiten aan te wijzen. De EU en het DHS zullen in onderling overleg bepalen hoe de evaluaties precies moeten worden gerealiseerd.

    De VS zal als onderdeel van deze periodieke evaluatie op basis van wederkerigheid informatie over de PNR-systemen van de lidstaten vragen, en vertegenwoordigers van de lidstaten die PNR-systemen hanteren, zal worden verzocht aan de besprekingen deel te nemen.

Wij vertrouwen erop dat deze toelichting ertoe heeft bijgedragen u inzicht te verschaffen in de wijze waarop wij EU-PNR-gegevens behandelen.

Hoogachtend,

MICHAEL CHERTOFF

Minister van Binnenlandse Veiligheid

Dhr. Luis Amado

Voorzitter van de Raad van de Europese Unie

175, Rue de la Loi

1048 Brussel

België

Nr. II. Raad van de Europese Unie [Treedt in werking op een nader te bepalen tijdstip]

Het Voorzitterschap

Brussel,

23 juli 2007

Geachte Minister,

Wij danken u voor uw brief aan het voorzitterschap van de Raad en de Commissie waarin wordt uiteengezet op welke wijze het DHS de PNR-gegevens behandelt.

Op grond van de in uw brief uiteengezette verzekeringen aan de Europese Unie acht de Europese Unie het door het DHS geboden niveau van gegevensbescherming adequaat voor de internationale overeenkomst tussen de Verenigde Staten en de Europese Unie inzake de verwerking en overdracht van PNR-gegevens, ondertekend in juli 2007.

In het licht van het bovenstaande zal de EU alle nodige maatregelen nemen om internationale organisaties of derde landen te ontmoedigen zich in eventuele overdrachten van EU-PNR-gegevens aan de Verenigde Staten te mengen. De EU en haar lidstaten zullen tevens hun bevoegde autoriteiten aanmoedigen om uit de PNR-gegevens voortvloeiende analytische informatie aan het DHS en andere betrokken VS-autoriteiten te verstrekken.

Wij zien ernaar uit met u en de luchtvaartsector samen te werken om ervoor te zorgen dat de passagiers worden voorgelicht over de wijze waarop regeringen de op hen betrekking hebbende informatie kunnen gebruiken.

Hoogachtend,

LUIS AMADO

Voorzitter van de Raad

Minister Michael Chertoff

Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika

Washington DC 20528