wing-221526_1920

Przekazywanie i przetwarzanie danych dotyczących przelotu pasażera (PNR). TSUE blokuje umowę UE z Kanadą. Część 1

Dodano: Sierpień 29, 2017 Kategoria: Wszystkie wpisy Autor: dr Katarzyna Pfeifer – Chomiczewska

„Dążąc do zapobiegania terroryzmowi i przestępstwom powiązanym z terroryzmem, jak również innym poważnym przestępstwom międzynarodowym, a także do ich zwalczania, tłumienia oraz eliminowania, w celu ochrony swoich społeczeństw demokratycznych oraz wspólnych wartości i propagowania bezpieczeństwa i praworządności”, Unia Europejska i Kanada podpisały w 2014 roku umowę o przekazywaniu i przetwarzaniu danych dotyczących przelotu pasażera (tzw. dane PNR – Passenger Name Record). Na mocy tej umowy, przewoźnicy lotniczy mieliby przekazywać dane PNR w celu realizacji wyżej wskazanych celów.

Rada UE zwróciła się o zatwierdzenie powyższej umowy przez Parlament Europejski, który z kolei zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej (dalej: „TSUE”) z pytaniem, czy umowa ta jest zgodna z prawem unijnym, a zwłaszcza z Kartą Praw Podstawowych Unii Europejskiej (dalej: „KPP”) i przepisami dotyczącymi ochrony danych osobowych. W długo oczekiwanej opinii 1/15 z dnia 26 lipca 2017 r. TSUE stwierdził, że umowa przewidziana między UE a Kanadą (dalej: „Umowa PNR”) w zaproponowanym kształcie nie może zostać zawarta. TSUE zablokował wejście w życie Umowy PNR ze względu na jej sprzeczność z postanowieniami KPP dotyczącymi prawa do prywatności i ochrony danych osobowych.

I. Dane PNR

Artykuł 2 Umowy PNR definiuje dane PNR jako „rekordy stworzone przez przewoźnika lotniczego dla każdej podróży zarezerwowanej przez pasażera lub w jego imieniu, niezbędne do przetwarzania i kontrolowania rezerwacji”. Zgodnie z załącznikiem do Umowy PNR, dane PNR składają się w szczególności z następujących elementów:

1) Kod lokalizacji danych PNR;

2) Data rezerwacji/wystawienia biletu;

3) Data(-y) planowanej podróży;

4) Imię (imiona) i nazwisko(-a);

5) Dostępne informacje dotyczące programów dla stałych klientów (frequent flier) i dotyczące korzyści (darmowe bilety, zamiana klasy biletu na wyższą itd.);

6) Inne nazwiska podane w danych PNR, w tym liczba podróżnych wynikająca z danych PNR;

7) Wszelkie dostępne informacje kontaktowe (w tym informacje na temat jednostki, która utworzyła dane);

8) Wszystkie dostępne informacje o płatnościach/fakturowaniu (nie obejmuje to innych szczegółów transakcji dotyczących karty kredytowej lub konta i niepowiązanych z transakcją dotyczącą podróży);

9) Wszystkie trasy podróży dla konkretnego rekordu PNR;

10) Biuro podróży/agent biura podróży;

11) Informacje o systemie code share;

12) Informacje podzielone/rozdzielone;

13) Status podróżny (travel status) pasażera (w tym potwierdzenia i zgłoszenie do odprawy);

14) Informacje o biletach, w tym numer biletu, bilety w jedną stronę i automatycznie skalkulowana taryfa;

15) Wszelkie informacje o bagażu;

16) Informacje o miejscu, w tym numer miejsca w samolocie;

17) Uwagi ogólne, w tym:
– inne informacje dodatkowe (OSI) – do tych informacji możemy zaliczyć np. dane kontaktowe dodatkowych osób, powiązanie z osobą obsługującą pasażera, język używany, informacje o niepełnosprawności lub chorobach;
– informacje o usługach specjalnych (SSI – Special Service Information) i o prośbach o usługi specjalne (SSR – Special Service Requests ) – chodzi tutaj np. o prośby o specjalny posiłek dla pasażera czy wózek inwalidzki;

18) Wszelkie zaawansowane informacje o pasażerach (Advance Passenger Information (API)) zgromadzone do celów rezerwacji – zwykle informacje te obejmują: zwrot grzecznościowy/płeć, pełne nazwisko (zgodnie z dokumentem podróży), data urodzenia, dane paszportu, zasadnicze miejsce zamieszkania, czy narodowość podróżującego ;

19) Wszelkie dotychczasowe zmiany danych PNR wymienionych w pkt 1–18.

RODO czyli rozporządzenie ogólne o ochronie danych osobowych – dowiedz się więcej! 

II. Cel Umowy PNR

Cele Umowy PNR zostały określone w jej art. 1.

Pierwszym celem Umowy PNR jest określenie warunków przekazywania i wykorzystywania danych PNR do zapewnienia ochrony i bezpieczeństwa publicznego. Czytając łącznie art. 1 Umowy PNR z jej preambułą, wnioskujemy, że pierwszym podstawowym celem omawianej umowy jest zapewnienie bezpieczeństwa publicznego poprzez przekazywanie danych PNR do Kanady i wykorzystywanie ich w ramach zwalczania przestępstw terrorystycznych i innych poważnych przestępstw międzynarodowych, w tym poprzez wymianę tych danych z właściwymi organami państw członkowskich Unii, jak również z Europolem i Eurojustem.

Drugim celem Umowy PNR jest określenie środków ochrony tych danych. W preambule Umowy PNR podkreślono konieczność poszanowania praw podstawowych, w szczególności prawa do prywatności oraz prawa do ochrony danych osobowych gwarantowanych odpowiednio w art. 7 i 8 KPP. Ponadto, z art. 5 Umowy PNR wynika, że kanadyjski właściwy organ zapewnia odpowiedni poziom ochrony, w rozumieniu właściwych przepisów Unii Europejskiej dotyczących ochrony danych, do przetwarzania i wykorzystywania danych PNR.

RODO czyli rozporządzenie ogólne o ochronie danych osobowych – dowiedz się więcej! 

III. Ochrona danych PNR

Zgodnie z art. 5 Umowy PNR, pod warunkiem zgodności z Umową PNR uznaje się, że kanadyjski właściwy organ zapewnia odpowiedni poziom ochrony, w rozumieniu właściwych przepisów UE dotyczących ochrony danych, do przetwarzania i wykorzystywania danych PNR. Przewoźnika lotniczego przekazującego dane PNR Kanadzie na mocy Umowy PNR uznaje się za spełniającego wymogi prawne UE dotyczące przekazywania danych PNR z UE do Kanady.

W art. 7 Umowy PRN, Kanada zobowiązała się do niedyskryminacji pasażerów, tzn. że zabezpieczenia dotyczące przetwarzania danych PNR będą stosowane do wszystkich pasażerów linii lotniczych na takich samych zasadach, bez niezgodnej z prawem dyskryminacji.

Ponadto, Kanada miałaby:
1) wdrożyć środki regulacyjne, proceduralne i techniczne w celu ochrony danych PNR przez przypadkowym, niezgodnym z prawem lub nieuprawnionym dostępem, przetwarzaniem lub utratą (art. 9 ust. 1 Umowy PNR);

2) zapewnić weryfikację zgodności oraz ochronę, bezpieczeństwo, poufność i integralność danych. Kanada zobowiązała się m.in. do (art. 9 ust. 2 Umowy PNR):
a) stosowania do danych PNR procedury szyfrowania, autoryzacji i dokumentacji;
b) ograniczenia dostępu do danych PNR do upoważnionych urzędników;
c) przechowywania danych PNR w bezpiecznych środowisku fizycznym, chronionym kontrolą dostępu.

Przestrzeganie zabezpieczeń ochrony danych PNR podczas ich przetwarzania byłoby nadzorowane przez niezależny kanadyjski niezależny organ publiczny (art. 10 Umowy PNR).

Jednocześnie, Kanada zobowiązała się do zapewnienia każdej osobie fizycznej dostępu do jej danych PNR (art. 12 Umowy PNR), jak również do nieujawniona danych PNR innym organom rządowym w Kanadzie, ani organom rządowym w państwach innych niż państwa członkowskie UE, chyba że spełnione są ściśle określone warunki (art. 18 ust. 1 i 2 oraz art. 19 Umowy PNR).

Wyjątkowe środki zabezpieczające przewidziane zostały dla tzw. „danych szczególnie chronionych”, które oznaczają wszelkie informacje ujawniające pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne i filozoficzne, przynależność do związków zawodowych i dane dotyczące zdrowia lub życia seksualnego danej osoby (art. 2 pkt e) Umowy PNR). Zgodnie z art. 8 ust. 1 Umowy PNR, Kanada zobowiązała się do maskowania danych szczególnie chronionych przy wykorzystaniu zautomatyzowanych systemów, jeśli wchodzą one w skład danych PNR, jak również, co do zasady, do zaniechania dalszego ich przetwarzania przez kanadyjski właściwy organ. Kanada miałaby przekazać UE wykaz kodów i pojęć identyfikujących dane szczególnie chronione, które podlegają maskowaniu, w terminie 90 dni od wejścia w życie Umowy PNR (art. 8 ust. 2 Umowy PNR).

Przetwarzanie danych szczególnie chronionych dopuszczalne jest tylko w wyjątkowych okolicznościach, jeśli ich przetwarzanie jest niezbędne, ponieważ życie osoby fizycznej jest w niebezpieczeństwie lub istnieje zagrożenie pewnych obrażeń (art. 8 ust. 3 Umowy PNR).

Strony Umowy PNR ustaliły również, że przetwarzanie danych szczególnie chronionych wymaga wcielania w życie restrykcyjnych procedur, obejmujących następujące środki:
a) przetwarzanie danych szczególnie chronionych jest zatwierdzane przez naczelnika kanadyjskiego właściwego organu;
b) dane szczególnie chronione są przetwarzane wyłącznie przez specjalnie i indywidulanie upoważnionego urzędnika i
c) po usunięciu maskowania dane szczególnie chronione nie są przeprowadzane przy użyciu systemów zautomatyzowanych (art. 8 ust. 4 Umowy PNR).

W przypadku danych szczególnie chronionych, Kanada zobowiązała się także do usunięcia danych szczególnie chronionych, co do zasady, nie później niż 15 dni do dnia, w którym je otrzymała (art. 8 ust. 5 Umowy PNR), chyba że zatrzymuje je na zgodnie z art. 16 ust. 5 Umowy PNR.

Zatrzymywanie danych PNR przez Kanadę zostało ograniczone do 5 lat od dnia ich otrzymania (art. 16 ust. 1 Umowy PNR). Wyjątki od tej zasady zostały przewidziane w art. 16 ust. 5 Umowy PNR:
a) Kanada może zatrzymywać dane PNR wymagane do szczególnych działań, przeglądu, dochodzenia, działań mających na celu egzekwowanie prawa, postępowań sądowych, sciągania lub egzekwowania kar, aż do ich zakończenia;
b) Kanada może przechowywać dane PNR, o których mowa w pkt. a) powyżej, przez dodatkowy okres 2 lat, wyłącznie aby zapewnić odpowiedzialność administracji publicznej lub nadzór nad administracji publiczną, tak aby mogły one być ujawnione pasażerowi, jeżeli pasażer tego zażąda.

Po upływie okresu zatrzymania danych PNR, Kanada niszczy dane PNR (art. 16 ust. 6 Umowy PNR).

Zapraszam do Części 2, w której przedstawione zostały opinia i zalecenia Trybunału Sprawiedliwości UE dotyczące umowy między UE a Kanadą.

RODO czyli rozporządzenie ogólne o ochronie danych osobowych – dowiedz się więcej! 

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

2DM_3671b

dr Katarzyna Pfeifer – Chomiczewska
Prawnik
katarzyna.chomiczewska@lubasziwspolnicy.pl

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej