Czy Twoje dane też polecą na wakacje?

Artykuł

Sezon urlopowy właśnie trwa, a wraz z nim intensywne poszukiwanie, planowanie i rezerwowanie lotów do upragnionych miejsc wypoczynku. Niezależnie od naszego celu – urlopowego, służbowego czy osobistego – podczas rezerwacji lotów linie lotnicze zbierają o nas sporo danych (tzw. passenger name record czyli PNR). To konieczne, by zarządzić naszą podróżą w gęstej sieci lotnisk i linii lotniczych i nie zgubić nas ani naszego bagażu. To, jak wiele danych jest przy tej okazji zbieranych oraz jak są wykorzystywane i przekazywane innym krajom, budzi jednak poważne kontrowersje.

Polskę (jak i całą Unię Europejską) obowiązują obecnie umowy z trzema krajami – USA, Kanadą i Australią – w sprawie przekazywania danych PNR. Warunki porozumienia ze Stanami Zjednoczonymi budzą najwięcej zastrzeżeń, ponieważ dane PNR są przekazywane i przechowywane przez amerykańskie służby bezpieczeństwa. W tym kontekście ciekawe wydają się wyniki osobistego śledztwa, jakie podjął w USA Cyrus Farivar. Dziennikarz portalu ArsTechnica postanowił sprawdzić na własnej skórze, jakie dokładnie informacje na jego temat są zbierane przez serwisy rezerwacji lotów i linie lotnicze oraz jak te dane te są wykorzystywane przez utworzony po zamachach 11 września Departament Bezpieczeństwa Krajowego Stanów Zjednoczonych.

Informacje, które otrzymał, zawierały oczywiście standardowe dane osobowe pasażera, dane agencji rezerwującej bilet i szczegóły biletu. Obok nich – na 76 stronach (!) – Farivar znalazł jeszcze całe mnóstwo informacji zebranych przez pośredników rezerwujących loty, które zostały przekazane liniom lotniczym, a na koniec służbom USA. Do bazy danych PNR trafiają takie informacje, jak:

  • adres IP, z którego dokonujemy rezerwacji biletu,
  • pełne dane karty kredytowe,
  • ustawienia języka, z których korzystamy podczas kupna biletu,
  • informacje o ewentualnych zmianach i życzeniach specjalnych np. dotyczące diety, specjalnych potrzeb podczas lotu czy nawet uwagi pracowników biura podróży z rozmów telefonicznych z pasażerem.

Nie tylko zakres zbieranych danych okazał się szerszy od przewidywanego. Choć odpowiedzialna za przechowywanie i analizę tych danych agencja CBP (Customs and Border Protection) twierdzi, że dane PNR są przechowywane nie dłużej niż 5 lat, najstarsze dane, jakie otrzymał dziennikarz, pochodziły z 2005 roku. Na podstawie tych danych CBP decyduje, którzy pasażerowie zostaną poddani dodatkowej kontroli na lotniskach. W praktyce może oznaczać to dyskryminację (np. w oparciu o narodowość czy kolor skóry) i bardzo dotkliwe konsekwencje – od utraty połączenia po wielogodzinne przesłuchania na lotniskach.

Niepokój dziennikarza wzbudziło również przechowywanie danych karty kredytowej (numeru, daty wygaśnięcia) jako czystego tekstu oraz to, że prawdopodobne pracownicy zagranicznych serwisów rezerwacji lotów i ich klienci nie mają świadomości, że zebrane przez nich dodatkowe informacje mogą posłużyć profilowaniu przez amerykańskie służby. Jednak właśnie do tego celu są wykorzystywane dane PNR, których zakres amerykanie próbują od kilku lat poszerzać. Unia Europejska również planuje wprowadzenie systemu gromadzenia i przekazywania danych pasażerów linii lotniczych dla celów bezpieczeństwa, ale przy okazji próbuje przynajmniej ustandaryzować zasady ich ochrony. Niestety, jak dotąd Stany Zjednoczone ani nie uwzględniły rekomendacji organizacji broniących praw człowieka co do profilowania pasażerów linii lotniczych, ani nie poradziły sobie z zabezpieczeniem ich prywatnych danych. Ciekawe, ile nieautoryzowanych transakcji finansowych ma swoje źródło właśnie w nieszczelnym systemie PNR…

Kamil Śliwowski

Więcej na ten temat:

Fundacja Panoptykon: Dziurawy parasol ochrony danych

Fundacja Panoptykon: PRISM, SWIFT, PNR, Safe Harbour, czyli jak Amerykanie próbują zrozumieć świat [PDF]

Ars Technica: Ars editor learns feds have his old IP addresses, full credit card numbers

Komentarze

Dodaj komentarz