In certain exceptional circumstances, DHS may exercise its authority under FOIA to deny or postpone disclosure of all or part of the PNR record to a first part requester, pursuant to Title 5, United States Code, Section 552(b). Under FOIA any requester has the authority to administratively and judicially challenge DHS’s decision to withhold information.

V. Enforcement

Administrative, civil, and criminal enforcement measures are available under U.S. law for violations of U.S. privacy rules and unauthorized disclosure of U.S. records. Relevant provisions include but are not limited to Title 18, United States Code, Sections 641 and 1030 and Title 19, Code of Federal Regulations, Section 103.34.

VI. Notice

DHS has provided information to the travelling public about its processing of PNR data through publications in the Federal Register and on its website. DHS further will provide to airlines a form of notice concerning PNR collection and redress practices to be available for public display. DHS and the EU will work with interested parties in the aviation industry to promote greater visibility of this notice.

VII. Data retention

DHS retains EU PNR data in an active analytical database for seven years, after which time the data will be moved to dormant, non-operational status. Data in dormant status will be retained for eight years and may be accessed only with approval of a senior DHS official designated by the Secretary of Homeland Security and only in response to an identifiable case, threat, or risk. We expect that EU PNR data shall be deleted at the end of this period; questions of whether and when to destroy PNR data collected in accordance with this letter will be addressed by DHS and the EU as part of future discussions. Data that is related to a specific case or investigation may be retained in an active database until the case or investigation is archived. It is DHS’ intention to review the effect of these retention rules on operations and investigations based on its experience over the next seven years. DHS will discuss the results of this review with the EU.

The above mentioned retention periods also apply to EU PNR data collected on the basis of the Agreements between the U.S. and the EU, of May 28, 2004 and October 19, 2006.

VIII. Transmission

Given our recent negotiations, you understand that DHS is prepared to move as expeditiously as possible to a “push” system of transmitting PNR from airlines operating flights between the EU and the U.S. to DHS. Thirteen airlines have already adopted this approach. The responsibility for initiating a transition to “push” rests with the carriers, who must make resources available to migrate their systems and work with DHS to comply with DHS’s technical requirements. DHS will immediately transition to such a system for the transmission of data by such air carriers no later than January 1, 2008 for all such air carriers that have implemented a system that complies with all DHS technical requirements. For those air carriers that do not implement such a system the current system shall remain in effect until the air carriers have implemented a system that is compatible with DHS technical requirements for the transmission of PNR data. The transition to a “push” system, however, does not confer on airlines any discretion to decide when, how or what data to push. That decision is conferred on DHS by U.S. law.

Under normal circumstances DHS will receive an initial transmission of PNR data 72 hours before a scheduled departure and afterwards will receive updates as necessary to ensure data accuracy. Ensuring that decisions are made based on timely and complete data is among the most essential safeguards for personal data protection and DHS works with individual carriers to build this concept into their push systems. DHS may require PNR prior to 72 hours before the scheduled departure of the flight, when there is an indication that early access is necessary to assist in responding to a specific threat to a flight, set of flights, route, or other circumstances associated with the purposes defined in article I. In exercising this discretion, DHS will act judiciously and with proportionality.

IX. Reciprocity

During our recent negotiations we agreed that DHS expects that it is not being asked to undertake data protection measures in its PNR system that are more stringent than those applied by European authorities for their domestic PNR systems. DHS does not ask European authorities to adopt data protection measures in their PNR systems that are more stringent than those applied by the U.S. for its PNR system. If its expectation is not met, DHS reserves the right to suspend relevant provisions of the DHS letter while conducting consultations with the EU with a view to reaching a prompt and satisfactory resolution. In the event that an airline passenger information system is implemented in the European Union or in one or more of its Member States that requires air carriers to make available to authorities PNR data for persons whose travel itinerary includes a flight between the U.S. and the European Union, DHS intends, strictly on the basis of reciprocity, to actively promote the cooperation of the airlines within its jurisdiction.

In order to foster police and judicial cooperation, DHS will encourage the transfer of analytical information flowing from PNR data by competent US authorities to police and judicial authorities of the Member States concerned and, where appropriate, to Europol and Eurojust. DHS expects that the EU and its Member States will likewise encourage their competent authorities to provide analytical information flowing from PNR data to DHS and other US authorities concerned.

X. Review

DHS and the EU will periodically review the implementation of the agreement, this letter, U.S. and EU PNR policies and practices and any instances in which sensitive data was accessed, for the purpose of contributing to the effective operation and privacy protection of our practices for processing PNR. In the review, the EU will be represented by the Commissioner for Justice, Freedom and Security, and DHS will be represented by the Secretary of Homeland Security, or by such mutually acceptable official as each may agree to designate. The EU and DHS will mutually determine the detailed modalities of the reviews.

The U.S. will reciprocally seek information about Member State PNR systems as part of this periodic review, and representatives of Member States maintaining PNR systems will be invited to participate in the discussions.

We trust that this explanation has been helpful to you in understanding how we handle EU PNR data.

EU letter to U.S.

Thank you very much for your letter to the Council Presidency and the Commission explaining how DHS handles PNR data.

The assurances explained in your letter provided to the European Union allow the European Union to deem, for the purposes of the international agreement done between the European Union and United States on the processing and transfer PNR in July 26 2007 that DHS ensures an adequate level of data protection.

Based on this finding, the EU will take all necessary steps to discourage international organizations or third countries from interfering with any transfers of EU PNR to the United States. The EU and its Member States will also encourage their competent authorities to provide analytical information flowing from PNR data to DHS and other US authorities concerned.

We look forward to working with you and the aviation industry to ensure that passengers are informed about how governments may use their information.

Megállapodás
az Európai Unió és az Amerikai Egyesült Államok között az utas-nyilvántartási adatállomány (PNR) adatainak a légi fuvarozók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma részére történő továbbításáról (2007. évi PNR-megállapodás)

AZ EURÓPAI UNIÓ

ÉS AZ

AMERIKAI EGYESÜLT ÁLLAMOK,

AZZAL AZ ÓHAJJAL, hogy saját demokratikus társadalmuk és közös értékeik védelmének eszközeként hatékonyan lépjenek fel a terrorizmus és a transznacionális bűnözés megelőzése és az ellenük folytatott küzdelem területén,

FELISMERVE, hogy az információcsere a terrorizmus és a transznacionális bűnözés elleni küzdelem kulcsfontosságú eleme, továbbá hogy e tekintetben a PNR-adatok használata fontos eszköz,

FELISMERVE, hogy a közbiztonság védelme és a bűnüldözés érdekében a PNR-adatoknak a légi fuvarozók által a Belbiztonsági Minisztérium (DHS) részére történő továbbítását szabályozni kell,

FELISMERVE a terrorizmus és az ehhez kapcsolódó bűncselekmények, valamint más súlyos, transznacionális jellegű bűncselekmények - beleértve a szervezett bűnözést is - megelőzésének és az ellenük folytatott küzdelemnek a fontosságát az alapvető jogok és szabadságok, különösen a magánélethez fűződő jog tiszteletben tartása mellett,

FELISMERVE, hogy a magánélet tiszteletben tartására vonatkozó egyesült államokbeli és európai jogszabályok és politikák közös alapon nyugszanak, valamint hogy az ezen elvek végrehajtása terén tapasztalható eltéréseknek nem szabad akadályozniuk az Európai Unió (EU) és az Egyesült Államok közötti együttműködést,

TEKINTETTEL azon nemzetközi egyezményekre, továbbá az Egyesült Államok azon törvényeire és rendeleteire, amelyek előírják, hogy minden, az Egyesült Államokba érkező vagy onnan induló nemzetközi utasszállító járatokat működtető légi fuvarozó köteles a DHS rendelkezésére bocsátani a légi fuvarozók automatikus helyfoglalási/indulás-ellenőrző rendszerében (a továbbiakban: helyfoglalási rendszer) gyűjtött, illetve tárolt PNR-adatokat, valamint az EU-ban alkalmazott hasonló követelményekre,

TEKINTETTEL az Európai Unióról szóló Szerződés 6. cikkének az alapvető jogok tiszteletben tartásáról szóló (2) bekezdésére, valamint különösen az ezzel összefüggő, a személyes adatok védelméhez való jogra,

TUDOMÁSUL VÉVE a PNR-adatokról az Európai Közösség és az Amerikai Egyesült Államok között létrejött 2004. május 28-i, valamint az Európai Unió és az Amerikai Egyesült Államok között létrejött 2006. október 19-i megállapodást,

TEKINTETTEL a légi szállítás biztonságáról szóló 2001. évi törvény, a 2002. évi belbiztonsági törvény, a hírszerzés reformjáról és a terrorizmus megelőzéséről szóló 2004. évi törvény, az Egyesült Államok kormányügynökségeinek a terrorizmus elleni küzdelem területén folyó együttműködéséről szóló 13388. sz. elnöki rendelet, valamint az 1974. évi adatvédelmi törvény, továbbá az információs szabadságról szóló és az e-kormányzatról szóló 2002. évi törvény vonatkozó rendelkezéseire,

TUDOMÁSUL VÉVE, hogy az Európai Uniónak biztosítania kell, hogy az Európai Unió területén található helyfoglalási rendszerrel rendelkező légi fuvarozók a DHS rendelkezésére bocsássák a PNR-adatokat, és megfeleljenek a DHS által az adattovábbításra vonatkozóan meghatározott műszaki követelményeknek,

MEGERŐSÍTVE, hogy e megállapodás nem teremt jogalapot az Európai Unió és az Egyesült Államok, illetve valamely fél és bármely más állam között a PNR-adatok vagy bármely más adatforma feldolgozásáról és továbbításáról a jövőben folytatandó megbeszélések vagy tárgyalások tekintetében,

TÖREKEDVE a felek között a transzatlanti partnerség szellemében folytatott együttműködés erősítésére és ösztönzésére,

A KÖVETKEZŐKBEN ÁLLAPODTAK MEG:

(1) A DHS-nek a PNR-adatok védelméről szóló levelében (a DHS levele) foglalt garanciák alapján az Európai Unió biztosítja, hogy az Amerikai Egyesült Államokba érkező vagy onnan induló nemzetközi utasszállító járatokat működtető légi fuvarozók a helyfoglalási rendszerükben tárolt PNR-adatokat a DHS által előírt módon rendelkezésre bocsássák.

(2) A DHS haladéktalanul, de legkésőbb 2008. január 1-jéig átáll egy, a légi fuvarozók általi adattovábbításra alkalmas átadási rendszerre azon légi fuvarozók vonatkozásában, amelyek bevezették a DHS műszaki követelményeinek megfelelő rendszert. Azon légi fuvarozók vonatkozásában, amelyek nem vezetnek be ilyen rendszert, továbbra is a jelenlegi rendszer marad érvényben mindaddig, amíg be nem vezetnek egy, a DHS műszaki követelményeinek megfelelő rendszert. Ennek megfelelően a DHS addig, amíg az érintett adatok légi fuvarozók általi továbbítására alkalmas, megfelelő rendszer nem kerül felállításra, elektronikus úton hozzáférhet a légi fuvarozóknak az Európai Unió tagállamai területén található helyfoglalási rendszereiben tárolt PNR-adatokhoz.

(3) A DHS az Egyesült Államok vonatkozó jogszabályaival és alkotmányos előírásaival összhangban, jogellenes - különösen állampolgárságon vagy lakóhely szerinti országon alapuló - megkülönböztetés nélkül dolgozza fel a továbbított PNR-adatokat és kezeli az adatfeldolgozás által érintett adatalanyokat. A DHS levele tartalmazza ezeket és más garanciákat is.

(4) A DHS és az EU rendszeres időközönként felülvizsgálja a megállapodás végrehajtását, a DHS levelét, valamint az EU-nak és az Egyesült Államoknak a PNR-adatokra vonatkozó politikáit és gyakorlatait annak céljából, hogy kölcsönösen biztosítsák a rendszereik hatékony működését és az azokban tárolt adatok védelmét.

(5) A DHS reményét fejezi ki, hogy e megállapodás keretében nem kap felkérést arra, hogy PNR-rendszerében az európai hatóságok által a saját PNR-rendszereikben alkalmazott adatvédelmi intézkedéseknél szigorúbb intézkedéseket foganatosítson. A DHS nem kéri fel az európai hatóságokat arra, hogy PNR-rendszereikben az Egyesült Államok által a saját PNR-rendszerében alkalmazott adatvédelmi intézkedéseknél szigorúbb intézkedéseket fogadjanak el. A DHS fenntartja magának a jogot arra, hogy amennyiben e várakozása nem teljesül, felfüggessze a DHS-levél vonatkozó rendelkezéseinek alkalmazását arra az időre, amíg az EU-val konzultációt folytat a probléma gyors és kielégítő megoldásáról. Abban az esetben, ha az Európai Unióban, illetve egy vagy több tagállamában olyan PNR-rendszer bevezetésére kerül sor, amely alapján a légi fuvarozók kötelesek a hatóságok rendelkezésére bocsátani azon személyek PNR-adatait, akik utazásuk során az Európai Unióba vagy onnan repülnek, a DHS - szigorúan viszonossági alapon - tevékenyen elősegíti a joghatóságán belül működő légitársaságok együttműködését.