Bezpieczni w przestworzach?

Artykuł

04.12.2017

8 min. czytania

Tekst

Od maja przyszłego roku wszystkie dane, którymi dzielimy się z liniami lotniczymi przed podróżą, będą trafiały do specjalnej jednostki w Straży Granicznej. Będzie je ona mogła przekazać polskim i zagranicznym służbom. MSWiA przedstawiło właśnie projekt ustawy o przekazywaniu danych pasażerów linii lotniczych.

Dane PNR (z ang. passenger name record) to wszystkie informacje, które przekazujemy liniom lotniczym na potrzeby rezerwacji lotu, czyli m.in. imię i nazwisko, dane kontaktowe, w tym adres, numer karty kredytowej, zamówione przed odlotem usługi dodatkowe (wypożyczenie wózka inwalidzkiego, specjalny posiłek), miejsce na pokładzie, biuro podróży, informacje o bagażu.

Do tej pory dane te trafiały wyłącznie do linii lotniczych, które potrzebowały ich do obsługi naszej rezerwacji. Od wejścia w życie ustawy linie lotnicze będą musiały bez pytania nas o zgodę przekazywać te dane polskim władzom. Gromadzenie tych informacji przez JIP (jednostkę Straży Granicznej ds. informacji o pasażerach), ich ciągła analiza i możliwość przekazania odpowiednim – polskim i zagranicznym – służbom mają zapobiec terroryzmowi i innym poważnym przestępstwom. Nie potrafimy sobie wyobrazić, jak dokładnie informacje o wszystkich pasażerach polskich lotnisk pomogą polskim służbom w zwalczaniu przestępczości. Terroryści i sprawcy innych poważnych przestępstw korzystają z wyrafinowanych sposobów, aby ukryć się przed czujnym okiem Wielkiego Brata (choćby podróżując pod zmienionym nazwiskiem), a służby mają już do swojej dyspozycji instrumenty prawne, które pozwalają im uzyskać dostęp do baz danych, także tych prowadzonych przez prywatne firmy. Czy naprawdę trzeba więc gromadzić, prześwietlać i przechowywać przez 5 lat dane milionów pasażerów, którzy jadą na wycieczkę do Grecji albo w celach biznesowych do Londynu?

Prawo oparte na dowodach emocjach

Gromadzenie przez organy państwa danych milionów pasażerów polskich lotnisk to jednak nie pomysł ministra Błaszczaka. Polska ustawa implementuje unijną dyrektywę PNR, która – po wielu zawirowaniach – została uchwalona w kwietniu 2016 r. i musi zostać wdrożona do polskiego prawa do 25 maja 2018 r.

O szkodliwości gromadzenia danych PNR informujemy od samego początku, czyli od… 2011 r. To wtedy dyrektywa po raz pierwszy znalazła się w unijnej agendzie. Dwa lata później pomysłowi Komisji Europejskiej przeciwstawił się parlament, który uznał (słusznie!), że przekazywanie przez linie lotnicze organom państwa danych wielu milionów pasażerów to nieuzasadniona ingerencja w prawo do prywatności. Nie ma żadnych dowodów na to, że gromadzenie przez służby informacji o trasach podróży milionów pasażerów realnie przyczyni się do zapewnienia nam bezpieczeństwa.

Dyrektywa wróciła jednak pod koniec 2014 r., a po zamachu na siedzibę redakcji Charlie Hebdo ze stycznia 2015 r. prace nad nią nabrały ekspresowego tempa. Stanowczo sprzeciwialiśmy się wtedy podejmowaniu szkodliwych dla praw człowieka decyzji pod wpływem emocji. Zamach na Charlie Hebdo nie miał nic wspólnego z samolotami – zamachowcy nie tylko ich nie porwali, ale nawet nie przylecieli samolotem. To dobitnie pokazuje, dlaczego politycy postanowili powrócić do tematu dyrektywy – ich celem było pokazanie opinii publicznej, że podejmują jakieś działania, nawet jeśli są one zupełnie chybione. Reakcję unijnego legislatora porównaliśmy wtedy do leczenia migreny za pomocą pastylek na gardło. Niestety, przestrogi nasze oraz innych organizacji i instytucji (takich jak Europejski Inspektor Ochrony Danych) były jak groch rzucany o ścianę – dyrektywa została uchwalona w kwietniu 2016 r. Jak na ironię: tego samego dnia co ogólne rozporządzenie o ochronie danych, które wzmacnia nasze prawa.

Jest jeszcze jeden ważny punkt na naszej osi czasu – w lipcu 2017 r. Trybunał Sprawiedliwości UE wypowiedział się w sprawie skierowanej do niego w 2014 r. umowy o przekazywaniu danych PNR z Unii do Kanady. W swojej opinii Trybunał uznał niektóre zapisy umowy za niezgodne z Kartą praw podstawowych Unii Europekskiej (polecamy naszą analizę). Sęk w tym, że niektóre postanowienia umowy, które zakwestionował Trybunał, są zbieżne z postanowieniami dyrektywy. I tak niezgodne z zapisanym w Karcie praw podstawowych prawem do prywatności i ochrony danych osobowych jest np. przechowywanie aż przez 5 lat danych osób, które odbyły już podróż i w momencie weryfikacji ich danych nie budziły podejrzeń. W związku z opinią Trybunału już teraz wiadomo, że niektóre przepisy dyrektywy – a tym samym polskiej ustawy – są niezgodne z Kartą praw podstawowych. Z niecierpliwością oczekujemy zmian w dyrektywie, a tymczasem w stanowisku przesłanym do MSWiA zachęcamy polski rząd do wprowadzenia zapisów, które w jak najpełniejszy sposób uwzględnią postulaty TSUE.

Poprawka polskiego rządu – 6 razy więcej danych

Choć większość postanowień dyrektywy PNR wymaga bezpośredniego przepisania do polskiej ustawy, to unijny ustawodawca zostawił państwom członkowskim pole manewru, jeśli chodzi o zakres lotów, które objęte zostaną przepisami. Dyrektywa wymaga przekazywania danych wyłącznie pasażerów podróżujących do państw trzecich i z nich powracających. Niestety, autorzy polskiej ustawy poszli o krok dalej, wybierając opcję, która dużo poważniej ingeruje w prawa podstawowe – MSWiA zdecydowało się rozciągnąć obowiązywanie przepisów także na pasażerów podróżujących pomiędzy państwami członkowskimi. Co to oznacza? Bazy JIP zasili nieporównywalnie większa liczba danych – polskie lotniska w ubiegłym roku obsłużyły ponad 30 mln pasażerów, z czego przytłaczająca większość (ok. 20–25 mln) to osoby podróżujące wewnątrz Unii Europejskiej.

Fikcyjna kontrola i ciąg dalszy polityki strachu

Przepisy dyrektywy i polskiej ustawy powodują, że wszyscy będziemy traktowani jak potencjalni terroryści – nasze dane będą gromadzone i porównywane z bazami, którymi dysponują organy państwa, pod kątem nieznanych jeszcze kryteriów (będą one wypracowywane przez służby). Dane te, po spełnieniu kilku warunków (np. niezbędności do zapobiegnięcia przestępstwu lub wykrycia jego sprawcy), JIP będzie musiała przekazywać polskim służbom i organom innych państw. Patrząc na fikcyjność dotychczasowej kontroli nad zakładaniem przez służby podsłuchów czy pobierania billingów i informacji o lokalizacji telefonów komórkowych, obawiamy się, że kontrola JIP nad wnioskami służb będzie tylko ładnym zapisem w ustawie.

Po 6 miesiącach dane PNR będą depersonalizowane, czyli ukryte zostaną wszystkie informacje, które umożliwiają identyfikację konkretnej osoby. To jednak proces odwracalny – w obecnym brzmieniu projektu w przypadku prowadzenia czynności operacyjno-rozpoznawczych wystarczy do tego zgoda… samego organu prowadzącego te czynności. Oznacza to brak jakiejkolwiek kontroli nad pozyskiwaniem naszych danych przez organy państwa. Brzmi znajomo? Od dawna walczymy o sądową i społeczną kontrolę nad działaniami służb.

A może uczciwy człowiek nie ma nic do ukrycia i w sytuacji „niewypowiedzianej, ale rzeczywistej wojny terroryzmu z całym światem demokratycznym” powinniśmy zrozumieć ograniczanie naszych praw? Skoro tak, to idźmy za ciosem – pozdejmujmy od razu firanki z okien i podzielmy się ze wszystkimi zawartością naszych maili i wiadomości na Facebooku.

Niestety, rządzący kierują się logiką, którą można w kilku słowach streścić tak: „zbierajmy w imię poprawy bezpieczeństwa jak najwięcej danych o obywatelach, żeby pokazać im, że nie siedzimy z założonymi rękami, i utwierdzać ich w mylnym przekonaniu, że realnie pomoże to zwalczyć terroryzm”. Ciekawe, jakie kolejne dane zostaną uznane za „absolutnie konieczne” do tego celu? W przypadku dyrektywy PNR pozostaje nam czekać na – w naszym poczuciu nieuchronny – wyrok Trybunału Sprawiedliwości unieważniający ją ze względu na naruszenie Karty praw podstawowych. Zanim to jednak nastąpi, piłka jest po stronie polskiego rządu – liczymy, że wykaże się on przezornością i porzuci propozycję rozszerzenia przepisów na loty wewnątrzunijne oraz wprowadzi gwarancje realnej kontroli nad udostępnianiem danych służbom.

Karolina Iwańska