Artykuł 10.08.2017 9 min. czytania Tekst Image Trybunał Sprawiedliwości zablokował kontrowersyjną umowę w sprawie przekazywania danych o pasażerach linii lotniczych między Unią Europejską a Kanadą. To jednak tylko połowiczne zwycięstwo prawa do prywatności. Trybunał Sprawiedliwości UE w opinii z 26 lipca uznał umowę między Unią Europejską a Kanadą o przekazywaniu i przetwarzaniu danych dotyczących przelotu pasażera (tzw. umowa PNR – z ang. Passenger Name Record) za niezgodną z zawartymi w Karcie praw podstawowych Unii Europejskiej postanowieniami dotyczącymi prawa do prywatności i ochrony danych osobowych. Tym samym Trybunał zablokował możliwość wejścia w życie umowy w tym kształcie. Z wnioskiem do Trybunału o wydanie opinii w tej sprawie zwrócił się Parlament Europejski w 2014 r. (Panoptykon apelował wówczas o to do polskich europosłów). Głównym celem umowy miało być zapobieganie terroryzmowi i innym poważnym przestępstwom międzynarodowym. Umowa przewidywała, że dane wszystkich pasażerów wybierających się z Unii Europejskiej do Kanady, udostępniane przez nich liniom lotniczym podczas rezerwacji lotu i w trakcie odprawy, będą przekazywane rządowi kanadyjskiemu w celu identyfikacji potencjalnych terrorystów i innych sprawców poważnych przestępstw międzynarodowych. Przekazane dane pasażerów miałyby być analizowane w zautomatyzowany sposób i porównywane z bazami danych rządu kanadyjskiego. Czym są dane PNR, które miały podlegać przekazywaniu? Są to dane o pasażerach zbierane przez linie lotnicze na potrzeby rezerwacji i odbycia lotu, które obejmują m.in. imię, nazwisko, obywatelstwo, adres e-mail i inne informacje kontaktowe, szczegóły dotyczące przelotu (data, godzina, numer lotu, trasa i status podróży), formę płatności za bilet, numer karty kredytowej, rodzaj i numer dokumentu użytego przy odprawie, wszelkie informacje o bagażu. Przekazywane miały być również uwagi ogólne zbierane przez linie na temat pasażerów, dotyczące np. rodzaju posiłku spożywanego na pokładzie czy próśb o usługi specjalne, takie jak skorzystanie z wózka inwalidzkiego. Co powiedział Trybunał? Trybunał potwierdził, że prawo do prywatności chronione unijną Kartą praw podstawowych można ograniczyć, jeśli jest to konieczne dla ogólnego interesu uznawanego przez Unię – takim interesem może być zapobieganie terroryzmowi. Ograniczenia, żeby były ważne, muszą podlegać jasnym i precyzyjnym regułom, a także muszą istnieć gwarancje rzeczywistej ochrony danych przed ryzykiem nadużyć. Ograniczenia, żeby były ważne, muszą podlegać jasnym i precyzyjnym regułom, a także muszą istnieć gwarancje rzeczywistej ochrony danych przed ryzykiem nadużyć. Niestety, Trybunał nie zakwestionował samej istoty umowy, czyli dopuszczalności masowego przekazywania i przetwarzania danych osobowych milionów osób, pomimo bardzo wątpliwej skuteczności takiej metody w walce z terroryzmem. Problematyczne kategorie danych Zdaniem Trybunału niektóre postanowienia dotyczące rodzaju przekazywanych danych PNR nie spełniają warunku precyzyjności (np. „uwagi ogólne dotyczące pasażerów”). Trybunał słusznie zauważył, że takie informacje mogą zawierać dane wrażliwe. Przykładowo: prośba o pomoc przy wchodzeniu na pokład samolotu może wskazywać na stan zdrowia pasażera, a wybrane posiłki (np. koszerne) – na jego wyznanie. Takie informacje, według Trybunału, nie są konieczne do zapobiegania terroryzmowi, a ich przekazywanie jest naruszeniem prawa do prywatności. Los danych po odbyciu podróży Trybunał zwrócił również uwagę na wyjątkowo długi okres przechowywania danych pasażerów – pięć lat po odbyciu lotu. Jedną z podstawowych zasad ochrony danych osobowych jest przechowywanie danych wyłącznie przez okres, jaki jest konieczny do zrealizowania danego celu. Zachowywanie na przestrzeni pięciu lat danych pasażerów, którzy zostali wpuszczeni na teren Kanady, a więc nie budzili podejrzeń w momencie przeprowadzania kontroli granicznej, zdaniem Trybunału narusza prawa podstawowe. Zachowywanie na przestrzeni pięciu lat danych pasażerów, którzy zostali wpuszczeni na teren Kanady, a więc nie budzili podejrzeń w momencie przeprowadzania kontroli granicznej, zdaniem Trybunału narusza prawa podstawowe. Rząd Kanady powinien móc przetwarzać dane tylko wtedy, gdyby podczas pobytu danej osoby w Kanadzie pojawiły się nowe okoliczności uzasadniające podejrzenie, że osoba ta może stanowić zagrożenie terrorystyczne. W przypadku pasażerów, którzy opuścili już teren Kanady, rząd kanadyjski mógłby zachować dane ich dotyczące tylko w razie istnienia obiektywnych przesłanek, że pasażerowie ci mogliby stanowić zagrożenie dla bezpieczeństwa. W obu sytuacjach przetwarzanie danych powinno następować pod kontrolą sądu albo innego niezależnego organu, a pasażerowie powinni być o tym poinformowani, o ile nie zagrażałoby to prowadzonemu dochodzeniu. Zakwestionowana umowa przewidywała też możliwość przekazywania przez rząd Kanady zebranych danych do państw trzecich. Trybunał uzależnił tę możliwość od zagwarantowania przez te państwa odpowiedniego poziomu ochrony danych osobowych potwierdzonego umową z Unią albo decyzją Komisji Europejskiej. Automatyczne przetwarzanie danych Duże wątpliwości budziło też przetwarzanie danych pasażerów za pomocą automatycznych systemów. Umowa przewidywała jedynie, że jakiekolwiek decyzje wobec pasażerów, które mogłyby przynieść negatywne dla nich skutki, nie mogłyby być podejmowane wyłącznie na podstawie automatycznej weryfikacji. Trybunał dodatkowo podkreślił, że umowa powinna przewidywać, że wszelkie stosowane technologie i kryteria automatycznego przetwarzania, jak i bazy danych, z którymi porównywane miałyby być zebrane informacje, będą niedyskryminujące, wiarygodne i pozwalające uzyskać wyniki ukierunkowane na osoby mogące stanowić potencjalne zagrożenie. Pozostaje pytanie, czy ten wymóg jest rzeczywiście możliwy do zrealizowania przy automatycznym przetwarzaniu danych wszystkich pasażerów. Łyżka dziegciu w beczce miodu Choć opinia Trybunału to ważna wiadomość dla nas wszystkich, całość nie wygląda kolorowo. Mimo wielu ważnych uwag, które sformułował Trybunał i które z całą pewnością przyczynią się do stworzenia umowy mniej ingerującej w prywatność pasażerów, martwi nas, że Trybunał zaaprobował przekonanie Komisji Europejskiej, że masowe zbieranie danych wszystkich podróżujących do Kanady jest odpowiednią reakcją na zagrożenia związane z terroryzmem. Nie ma dowodów na to, że przekazywanie danych pasażerów pozwala zmniejszyć zagrożenie atakami terrorystycznymi, zwiększa ono natomiast ryzyko nadużyć. W naszych uwagach do umowy podkreślaliśmy m.in., że nie ma dowodów na to, że przekazywanie danych pasażerów pozwala zmniejszyć zagrożenie atakami terrorystycznymi, zwiększa ono natomiast ryzyko nadużyć. Przekazywanie danych wszystkich pasażerów powoduje, że każdy i każda z nas automatycznie staje się osobą podejrzaną, a nasze dane będą mogły być wykorzystywane bez kontroli sądu. Co dalej? Opinia Trybunału zaważy nie tylko na losie umowy między Unią a Kanadą oraz wcześniej zawartych umów z innymi państwami trzecimi (rewizji poddane powinny zostać podobne umowy z USA i Australią), ale także wpłynie na sposób implementacji przez państwa członkowskie przyjętej w kwietniu ubiegłego roku dyrektywy o europejskim systemie PNR, która w imię walki z terroryzmem ma umożliwić tworzenie przez państwa członkowskie ogromnych baz danych osób podróżujących samolotem do i z, a także wewnątrz Unii Europejskiej. Kontrowersyjna dyrektywa, której procedowanie zawieszone zostało po jej odrzuceniu w 2013 r. przez Komisję Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych Parlamentu Europejskiego (LIBE), wróciła jak bumerang jako reakcja na przeprowadzony w styczniu 2015 r. zamach terrorystyczny na redakcję satyrycznego francuskiego tygodnika „Charlie Hebdo” i uchwalona została w ekspresowym tempie. Dyrektywa PNR przewiduje stworzenie kolejnego systemu masowego przechowywania przez organy rządowe danych osobowych milionów osób w imię zwalczania terroryzmu. Dyrektywa PNR jest daleko idącą ingerencją w prywatność pasażerów linii lotniczych. Przewiduje stworzenie kolejnego systemu masowego przechowywania przez organy rządowe danych osobowych milionów osób w imię zwalczania terroryzmu. Co ciekawe, dyrektywa procedowana była w cieniu wielkiej reformy ochrony danych osobowych w postaci uchwalonego tego samego dnia ogólnego rozporządzenia w sprawie ochrony danych osobowych (RODO). O ile RODO wzmacnia prawa jednostek do ochrony danych ich dotyczących, o tyle dyrektywa PNR sankcjonuje zbieranie ogromnej ilości danych, powodując, że państwo i jego służby będą o nas wiedziały jeszcze więcej. Co zmieni opinia Trybunału? Opinia Trybunału w sprawie umowy nie powoduje automatycznej nieważności dyrektywy PNR w zakresie, w którym postanowienia obu dokumentów są ze sobą zbieżne. Ponieważ dyrektywa jest aktem, który wymaga wdrożenia do krajowych porządków prawnych, państwa członkowskie powinny przyjąć takie rozwiązania, które uwzględnią zarzuty Trybunału wobec umowy z Kanadą i będą zgodne z unijną Kartą praw podstawowych. Takie zadanie stoi również przed polskim ustawodawcą. Najistotniejszą kwestią wydaje się uregulowanie okresu zachowywania danych pasażerów po odbyciu przez nich podróży. Trybunał stanowczo stwierdził, że okres pięciu lat jest zbyt długi (a taki również przewiduje dyrektywa), a ponadto uzależnił możliwość wykorzystywania danych osób, które odbyły już lot, od uprzedniej kontroli sądu. Aktualne pozostają też uwagi dotyczące automatycznego przetwarzania danych – ustawodawca oraz organy rządowe wykonujące przyszłą ustawę będą musiały zapewnić wiarygodność stosowanych technologii i baz danych oraz ich ukierunkowanie wyłącznie na osoby stanowiące potencjalne zagrożenie. Wreszcie – ustawodawca musi zagwarantować, że gromadzone dane nie będą obejmować danych wrażliwych. Termin implementacji dyrektywy PNR, która umożliwi masowe przekazywanie i przechowywanie danych osobowych pasażerów linii lotniczych, upływa 25 maja 2018 r. Jak na ironię, tego samego dnia wchodzi w życie wielka reforma ochrony danych osobowych, która zwiększa nasze prawa, zwłaszcza wobec wielkich firm internetowych. W tym kontekście tym istotniejsze jest rozsądne wdrożenie dyrektywy uwzględniające uwagi Trybunału. Będziemy się temu uważnie przyglądać. Karolina Iwańska Fundacja Panoptykon Autor Temat antyterroryzm dane osobowe imigranci i granice służby Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Podcast Koniec „Tarczy prywatności”. I co dalej? Rozmowa z Marcinem Marutą 16 lipca Trybunał Sprawiedliwości Unii Europejskiej w głośnej sprawie Schrems II stwierdził, że Stany Zjednoczone nie gwarantują ochrony danych osobowych na takim poziomie, jakiego wymaga UE. A konkretnie nie gwarantuje jej „Tarcza prywatności” – umowa między Unią a Stanami, która od 2016 r.… 08.10.2020 Dźwięk Artykuł Jak działa bankowe prawo do wyjaśnienia? Ocena zdolności kredytowej to kluczowy punkt w procesie pozyskiwania kredytu. Dlatego kilka miesięcy temu cieszyliśmy się z sukcesu, tj. przyznania klientom banków prawa do żądania wyjaśnienia, co wpłynęło na ich punktację. Jak wypadają pierwsze doświadczenia ze stosowaniem nowych przepisów? 04.08.2019 Tekst Artykuł Pozywamy Pocztę Polską za nielegalne przetwarzanie danych osobowych W maju Poczta Polska pozyskała dane milionów obywateli i obywatelek z rejestru PESEL i przetwarzała je w celu organizacji wyborów, które miały się odbyć 10 maja. 06.07.2020 Tekst