Prawo do prywatności a dyrektywa PNR

Dzisiejsza debata Parlamentu Europejskiego skłoniła mnie do wpisu odnośnie reformy ochrony danych osobowych w kontekście dyrektywy w sprawie danych dotyczących przelotów pasażera. Pierwsza część wpisu dotyczy niedoskonałości jakie zauważam na tle ww. regulacji, druga zaś dotyczy ingerencji służb specjalnych i organów ścigania w dane osobowe pasażerów (PNR).

Dyrektywa w sprawie danych dotyczących pasażerów

Jak czytamy w komunikacie[1], w kontekście ochrony danych osobowych, Parlament Europejski dąży do tego, by dyrektywa była zgodna z zasadą proporcjonalności i zapewniała w maksymalny sposób zabezpieczenie danych osobowych poprzez zawężenie wykazu poważnych przestępstw uzasadniających wykorzystywanie danych PNR przez służby specjalne i organy ścigania w celach komercyjnych.

Kolejne wątpliwości dotyczą kwestii powołania urzędników ds. ochrony danych w każdej jednostce ds. informacji o pasażerach. Jakie warunki powinien spełnić kandydat na takie stanowisko i jakie będzie posiadał kompetencje powinny zostać szczegółowo określone. W mojej ocenie należy także wzmocnić uprawnienia organów ochrony danych w zakresie monitorowania wykorzystywanych danych PNR, a także rygorystyczne warunki dostępu do zanonimizowanych danych PNR po upływie sześciu miesięcy. Kto będzie mógł mieć do nich dostęp, w jakich sytuacjach i na jakiej podstawie prawnej.

Intuicyjnie potrafimy wskazać przypadki ingerencji uprawnionych służb i organów ścigania w przyznane nam konstytucyjne wolności i prawa. Nie sposób opisać ich wszystkich stąd druga część wpisu dotyczyć będzie analizy projektu dyrektywy w sprawie danych dotyczących przelotów pasażera (PNR) w kontekście szeroko rozumianego prawa do prywatności.

Wiele organizacji pozarządowych zgłasza uwagi co do projektu dyrektywy. Organizacje stawiają pytanie co stało się z koniecznością zapewnienia równowagi pomiędzy wymogami związanymi z zapewnieniem bezpieczeństwa, a gwarancjami w zakresie praw podstawowych. Przed szereg wysuwają się zastrzeżenia co do pozyskiwania danych o pasażerach przez służby. Organy państwa uzyskają nieograniczony dostęp do szczegółowych danych pasażera. Dane te można podzielić na trzy grupy. Po pierwsze są to dane osobowe pasażera w zakresie imienia, nazwiska, wieku itd. Druga grupa dotyczy natomiast danych o locie. Warto wspomnieć, iż pasażer zobowiązany jest do podania szczegółowych informacji po zamknięciu bramek (dane kontaktowe osoby dokonującej rezerwacji, adnotacje o niestawieniu się na lot czy kontakt do agencji turystycznej lub biura linii lotniczych, w których dokonano rezerwacji). Co prawda celem dyrektywy jest zapobieganie i zwalczanie przestępstw terrorystycznych oraz innych poważnych przestępstw, ale cel ten zmierza w mojej ocenie ku profilowaniu i ograniczaniu prywatności. Profilowanie sprowadza się do sklasyfikowania podróżnego pod kątem takich kryteriów, jak pochodzenie etniczne, miejsce do którego leci czy informacje o powrocie.

W komunikacie wydanym przez Parlament Europejski czytamy, iż dane PNR obejmują informacje o pasażerach korzystających z transportu lotniczego znajdującego się w posiadaniu linii lotniczych i wykorzystywane są do celów operacyjnych. Z danych o pasażerach korzystają między innymi uprawnione polskie służby, służby innych państw, a także jednostka ds. informacji. Przy czym jednostka ds. informacji odpowiedzialna jest za wymianę informacji o pasażerach pomiędzy państwami członkowskimi. Organy te następnie są odbiorcami danych PNR. Dane przechowywane są przez okres 5 lat: wszystkie dane identyfikacyjne są w pełni dostępne przez sześć miesięcy, a następnie przechowuje się je w formie zanonimizowanej (Komisja wstępnie proponowała okres 30 dni, zaś Rada dwóch lat). Okres ten powinien być wystarczający do prowadzenie analiz i wykorzystywania ich w dochodzeniach.

Z projektu dyrektywy czytamy, iż za prawidłową wymianę informacji za pomocą bezpiecznego unijnego systemu wymiany danych PNR między państwami członkowskimi powinien odpowiadać EUROPOL. Będzie on odpowiedzialny za opracowanie i zarządzanie systemu. W projekcie jest także wzmianka o tym, że Europejski Inspektor Ochrony Danych powinien odpowiadać za monitorowanie przetwarzania danych osobowych z użyciem unijnego systemu wymiany danych PNR z Europolem.

Kończąc należy zauważyć, że przyjęcie dyrektywy PNR pozwoli na zwalczanie najpoważniejszych zagrożeń dla bezpieczeństwa obywateli z odpowiednim wyprzedzeniem. Aktywność służb będzie bazowała przede wszystkim na informacjach przekazanych przez jednostki ds. informacji na dwa sposoby. Pierwszą z nich jest metoda „pobierania” polegająca na tym, że właściwe organy państw członkowskich potrzebujące danych mogą sięgnąć (skorzystać z dostępu) do systemu rezerwacji przewoźnika lotniczego i uzyskać kopię potrzebnych danych. Druga zaś to metoda „dostarczania”, polegająca na tym, że przewoźnicy lotniczy i podmioty gospodarcze niebędące przewoźnikami przekazują potrzebne dane PNR na wniosek danego organu, co pozwala przewoźnikom lotniczym zachować kontrolę nad tym, jakie dane są przekazywane. Tym samym druga z metod zapewnia wyższy stopień ochrony danych osobowych.

To tylko niektóre z wątpliwości jakie zauważam na tle omawianych regulacji. Trudno jest mi powiedzieć jak będzie wyglądać przyszłość ochrony danych osobowych pasażerów. Pozostaje nam tylko czekać na oficjalne komunikaty z dzisiejszego posiedzenia i zastanawiać się co przyniesie jutro…

[1] Komunikat z posiedzenia plenarnego Parlamentu Europejskiego 07/04/2016

Zaniechanie obowiązku usunięcia danych z BIK

Nowoczesne, systematycznie powiększane i udoskonalane przez podmioty publiczne i prywatne techniki gromadzenia, utrwalania i wykorzystywania informacji o osobach sprawiają, że niepomiernie wzrasta ryzyko naruszania interesów jednostki poprzez szerokie wkraczanie w sferę prywatności.

Sąd NajwyższyOchrona prywatności, która związana jest ściśle z ochroną danych osobowych, w istocie stanowi wyraz poszanowania autonomii informacyjnej jednostki. Punktem wyjścia wszelkich rozważań jest stwierdzenie, iż prawo do prywatności jest pojęciem nieostrym. Obejmuje ono w szerokim rozumieniu prawo do ochrony czci czy dobrego imienia. W konsekwencji zapewnia ono zabezpieczenie przed oszczerstwem, nieprawdziwymi informacjami czy wybiórczo podawanymi faktami. Konstytucyjny standard ochrony został sformułowany w art. 47 i 51 Konstytucji[1]. Art. 51 Konstytucji, musi być odczytywany łącznie z art. 47 gwarantującym prawo do prywatności, które w literaturze definiowane jest jako pewna sfera intymności jednostki. Prawa te podniesione zostały w Unii Europejskiej do rangi praw zaliczanych do praw podstawowych i umieszczone w Karcie Praw Podstawowych Unii Europejskiej[2], co wynika z uznania, że owe prawa mają szczególnych charakter i zasługują na szeroki standard ochrony. Na poziomie międzynarodowym wzorzec ten został uregulowany miedzy innymi w art. 17 Międzynarodowego Paktu Praw Obywatelskich i Politycznych[3].

Warto zauważyć iż zasady i tryb gromadzenia informacji musi szczegółowo określać ustawa. Pomocą wobec podmiotów gospodarczych jest uregulowanie w Konstytucji, które pozwala chronić człowieka jako konsumenta.

W dniu 11 lutego 2015 r. Sąd Najwyższy wydał wyrok o sygn. akt I CSK 868/14 [4], który z punktu widzenia obrotu gospodarczego i ochrony konsumenta okazał się niezwykle istotny. Okazało się, że z uwagi na zaniechanie obowiązku usunięcia danych może dojść do naruszenia prawa do prywatności. Banki będą musiały dokładać szczególnej staranności, aby wykreślać dane nieaktualne. Klienci uzyskali zaś podstawę dochodzenia roszczeń odszkodowawczych w przypadku nieaktualizowania danych w Biurze Informacji Kredytowej. Sąd Najwyższy w sentencji omawianego orzeczenia uznał iż, brak terminowego wykreślenia klienta z rejestru dokumentującego zadłużenia z tytułu udzielonego instrumentu finansowego może stanowić istotne naruszenie ochrony danych osobistych.

Wyrok zapadł na tle następującego stanu faktycznego. Powód w dniu 6 czerwca 2008 r. zawarł z pozwanym umowę kredytu konsumpcyjnego odnawialnego z kartą płatniczą. Jedna z klauzul zawartej umowy stanowiła, że bank uprawniony został do przekazywania informacji o wysokości zadłużenia klienta do Biura Informacji Kredytowej. W dniu 28 grudnia 2009 r. powód wypowiedział przedmiotową umowę i zobowiązał się do spłaty zadłużenia w wysokości nieprzekraczającej 300 zł. W niedługim odstępie czasu powód uregulował dług. Zaniechanie obowiązku aktualizacji danych po stronie pozwanego spowodowało, że klient nie mógł uzyskać kredytu na zakup sprzętu komputerowego. O zaistniałej sytuacji dowiedział się dopiero w czasie ubieganie się o kredyt w innej instytucji finansowej. Po pewnym czasie powód wystąpił z pismem, w którym wskazywał na liczne zaniedbania po strony banku. Domagał się on tym samym ochrony dóbr osobistych poprzez umieszczenie stosownych przeprosin na jednej ze stron internetowych, zadośćuczynienia w kwocie 5 850 zł i odszkodowania w wysokości 4 200 zł wraz z odsetkami ustawowymi. Tym samym sprawa trafiła na wokandę.

Sąd Okręgowy wyrokiem z 2013 r. uznał bezsprzecznie winę powoda i zobowiązał go do wypłaty stosownego odszkodowania tytułem nieterminowego usunięcia danych pozwanego z Biura Informacji Kredytowej S.A. w wysokości 100 zł wraz z ustawowymi odsetkami począwszy od dnia 22 grudnia 2011 r. Sąd oddalił natomiast powództwo o ochronę dóbr osobistych argumentując to brakiem spełnienia kumulatywnie przesłanek określonych w art. 24 Kodeksu Cywilnego.

Powód wniósł odwołanie do sądu apelacyjnego, który utrzymał w mocy decyzję sądu I instancji. W uzasadnieniu wskazał, że przedłużone pozostawanie w bazie danych nieaktualnych informacji o znikomym zadłużeniu powoda nie uchybiło jego czci ani godności.

Skargę kasacyjną od przedmiotowego wyroku wniósł Rzecznik Praw Obywatelskich. Zwrócił on szczególną uwagę na to, że dane dotyczące zawartej umowy kredytowej objęte są tajemnicą bankową uregulowaną w Prawie Bankowym[5] i stanowią jednocześnie dane osobowe w rozumieniu art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[6]. Rzecznik wielokrotnie podkreślał, że artykuł 26 ust. 1 nakazuje administratorowi danych, którym w tym wypadku był bank, przetwarzanie danych zgodnie z prawem, z zachowaniem ich merytorycznej poprawności i adekwatnie do celów, w jakich są przetwarzane, a art. 32 ust. 1 pkt 6 tej ustawy zobowiązuje go do zachowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Rzecznik wskazał, że obowiązkiem nadrzędnym administratora jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

Rzecznik oparł skargę kasacyjną na błędnej wykładni przepisów art. 23 i 24 Kodeksu Cywilnego i nieuwzględnieniu konstytucyjnego prawa człowieka i obywatela do ochrony danych osobowych przewidzianego w art. 51 Konstytucji. Wskazał on również na  naruszenie prawa do ochrony godności i dobrego imienia ujętego w art. 47 Konstytucji. Zdaniem Rzecznika zaniechanie uaktualnienia doprowadziło do utrwalenia na dłuższy czas obrazu powoda jako niewypłacalnego, a co więcej niewiarygodnego w przeprowadzanych transakcjach. Konkludując, obok naruszenia ochrony danych osobowych pojawia się problem kształtowania negatywnego wizerunku.

Sąd Najwyższy wskazał, że prawo do ochrony danych osobowych jest wywodzone w piśmiennictwie z takich dóbr osobistych, jak godność człowieka oraz prawo do prywatności. Rzecznik Praw Obywatelskich stanowczo stoi na stanowisku, że zbudowanie negatywnego wizerunku jako osoby niewiarygodnej naruszyło jego godność i naraziło tym samym na szereg przykrości i rozczarowań.

Mając na uwadze powyższe zastrzeżenia sprawa została przekazana do ponownego rozpatrzenia.

[1] Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., Dz.U. 1997 nr 78 poz. 483

[2] Karta Praw Podstawowych Unii Europejskiej, Dz.U.UE.C.2007.303.1

[3] Międzynarodowy Pakt Praw Obywatelskich i Politycznych otwarty do podpisu w Nowym Jorku dnia 19 grudnia 1966 r., Dz.U.1977.38.167

[4] Wyrok Sądu Najwyższego z dnia 11 lutego 2015 r., o sygn. akt I CSK 868/14

[5] Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe, Dz.U.2015.128 j.t.

[6] Ustawa  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U.2014.1182 j.t.