Prawo do prywatności a dyrektywa PNR

Dzisiejsza debata Parlamentu Europejskiego skłoniła mnie do wpisu odnośnie reformy ochrony danych osobowych w kontekście dyrektywy w sprawie danych dotyczących przelotów pasażera. Pierwsza część wpisu dotyczy niedoskonałości jakie zauważam na tle ww. regulacji, druga zaś dotyczy ingerencji służb specjalnych i organów ścigania w dane osobowe pasażerów (PNR).

Dyrektywa w sprawie danych dotyczących pasażerów

Jak czytamy w komunikacie[1], w kontekście ochrony danych osobowych, Parlament Europejski dąży do tego, by dyrektywa była zgodna z zasadą proporcjonalności i zapewniała w maksymalny sposób zabezpieczenie danych osobowych poprzez zawężenie wykazu poważnych przestępstw uzasadniających wykorzystywanie danych PNR przez służby specjalne i organy ścigania w celach komercyjnych.

Kolejne wątpliwości dotyczą kwestii powołania urzędników ds. ochrony danych w każdej jednostce ds. informacji o pasażerach. Jakie warunki powinien spełnić kandydat na takie stanowisko i jakie będzie posiadał kompetencje powinny zostać szczegółowo określone. W mojej ocenie należy także wzmocnić uprawnienia organów ochrony danych w zakresie monitorowania wykorzystywanych danych PNR, a także rygorystyczne warunki dostępu do zanonimizowanych danych PNR po upływie sześciu miesięcy. Kto będzie mógł mieć do nich dostęp, w jakich sytuacjach i na jakiej podstawie prawnej.

Intuicyjnie potrafimy wskazać przypadki ingerencji uprawnionych służb i organów ścigania w przyznane nam konstytucyjne wolności i prawa. Nie sposób opisać ich wszystkich stąd druga część wpisu dotyczyć będzie analizy projektu dyrektywy w sprawie danych dotyczących przelotów pasażera (PNR) w kontekście szeroko rozumianego prawa do prywatności.

Wiele organizacji pozarządowych zgłasza uwagi co do projektu dyrektywy. Organizacje stawiają pytanie co stało się z koniecznością zapewnienia równowagi pomiędzy wymogami związanymi z zapewnieniem bezpieczeństwa, a gwarancjami w zakresie praw podstawowych. Przed szereg wysuwają się zastrzeżenia co do pozyskiwania danych o pasażerach przez służby. Organy państwa uzyskają nieograniczony dostęp do szczegółowych danych pasażera. Dane te można podzielić na trzy grupy. Po pierwsze są to dane osobowe pasażera w zakresie imienia, nazwiska, wieku itd. Druga grupa dotyczy natomiast danych o locie. Warto wspomnieć, iż pasażer zobowiązany jest do podania szczegółowych informacji po zamknięciu bramek (dane kontaktowe osoby dokonującej rezerwacji, adnotacje o niestawieniu się na lot czy kontakt do agencji turystycznej lub biura linii lotniczych, w których dokonano rezerwacji). Co prawda celem dyrektywy jest zapobieganie i zwalczanie przestępstw terrorystycznych oraz innych poważnych przestępstw, ale cel ten zmierza w mojej ocenie ku profilowaniu i ograniczaniu prywatności. Profilowanie sprowadza się do sklasyfikowania podróżnego pod kątem takich kryteriów, jak pochodzenie etniczne, miejsce do którego leci czy informacje o powrocie.

W komunikacie wydanym przez Parlament Europejski czytamy, iż dane PNR obejmują informacje o pasażerach korzystających z transportu lotniczego znajdującego się w posiadaniu linii lotniczych i wykorzystywane są do celów operacyjnych. Z danych o pasażerach korzystają między innymi uprawnione polskie służby, służby innych państw, a także jednostka ds. informacji. Przy czym jednostka ds. informacji odpowiedzialna jest za wymianę informacji o pasażerach pomiędzy państwami członkowskimi. Organy te następnie są odbiorcami danych PNR. Dane przechowywane są przez okres 5 lat: wszystkie dane identyfikacyjne są w pełni dostępne przez sześć miesięcy, a następnie przechowuje się je w formie zanonimizowanej (Komisja wstępnie proponowała okres 30 dni, zaś Rada dwóch lat). Okres ten powinien być wystarczający do prowadzenie analiz i wykorzystywania ich w dochodzeniach.

Z projektu dyrektywy czytamy, iż za prawidłową wymianę informacji za pomocą bezpiecznego unijnego systemu wymiany danych PNR między państwami członkowskimi powinien odpowiadać EUROPOL. Będzie on odpowiedzialny za opracowanie i zarządzanie systemu. W projekcie jest także wzmianka o tym, że Europejski Inspektor Ochrony Danych powinien odpowiadać za monitorowanie przetwarzania danych osobowych z użyciem unijnego systemu wymiany danych PNR z Europolem.

Kończąc należy zauważyć, że przyjęcie dyrektywy PNR pozwoli na zwalczanie najpoważniejszych zagrożeń dla bezpieczeństwa obywateli z odpowiednim wyprzedzeniem. Aktywność służb będzie bazowała przede wszystkim na informacjach przekazanych przez jednostki ds. informacji na dwa sposoby. Pierwszą z nich jest metoda „pobierania” polegająca na tym, że właściwe organy państw członkowskich potrzebujące danych mogą sięgnąć (skorzystać z dostępu) do systemu rezerwacji przewoźnika lotniczego i uzyskać kopię potrzebnych danych. Druga zaś to metoda „dostarczania”, polegająca na tym, że przewoźnicy lotniczy i podmioty gospodarcze niebędące przewoźnikami przekazują potrzebne dane PNR na wniosek danego organu, co pozwala przewoźnikom lotniczym zachować kontrolę nad tym, jakie dane są przekazywane. Tym samym druga z metod zapewnia wyższy stopień ochrony danych osobowych.

To tylko niektóre z wątpliwości jakie zauważam na tle omawianych regulacji. Trudno jest mi powiedzieć jak będzie wyglądać przyszłość ochrony danych osobowych pasażerów. Pozostaje nam tylko czekać na oficjalne komunikaty z dzisiejszego posiedzenia i zastanawiać się co przyniesie jutro…

[1] Komunikat z posiedzenia plenarnego Parlamentu Europejskiego 07/04/2016