RODO a linie lotnicze

Nowe przepisy dotyczące podróży lotniczych ingerują w prawo do prywatności i mogą być powodem do nieuzasadnionego wykorzystania danych osobowych przez państwo – ostrzegają eksperci. Dodatkowo powstała kolejna instytucja zbierająca dane dla służb specjalnych.

Wyobraźmy sobie sytuację, w której pasażer kupujący bilet w dwie strony wylatuje z kraju z bagażem podręcznym, lecz wraca z dodatkową walizką ważącą 20 kilogramów. Podstawy do uznania, że zamierza on popełnić przestępstwo zagrożone karą przynajmniej trzech lat pozbawienia wolności wydają się – na pierwszy rzut oka – wątpliwe. Jednak suma takich informacji, jak: numer rejsu, wygląd pasażera (na podstawie danych paszportowych) i opis bagażu, które trafią do JIP (Jednostka do spraw Informacji o Pasażerach) jeszcze przed startem powrotnego rejsu, zdecydowanie zwiększą jego „szanse" na „losowe wytypowanie" do kontroli celno-skarbowej po przylocie. Obawy o proporcjonalność środków do celów, które Polska zamierza osiągnąć, wydają się zatem uzasadnione.

Nie ma w Polsce osoby, która w czasie ostatnich kilku tygodni nie otrzymałaby e-maila dotyczącego „nowej polityki prywatności". Jest to pokłosie RODO, czyli unijnego rozporządzenia dotyczącego ochrony danych osobowych, które weszło w życie 25 maja 2018 r.

Tymczasem bez podobnego echa, trzy dni później, w życie weszła ustawa z 9 maja 2018 r. o przetwarzaniu danych osobowych dotyczących przelotu pasażera (DzU z 14 maja 2018 r., poz. 894) (dalej: Ustawa). Ustawa ta uchwalona została w wykonaniu dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/681 z 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania (DzUrz UE L 119 z 04.05.2016 str. 132) („Dyrektywa").

„Inwigilacja" milionów rocznie

Ustawa określa zasady i warunki przekazywania przez przewoźników lotniczych danych dotyczących przelotu pasażera (tzw. dane PNR) oraz przetwarzania tych danych w celu, między innymi, wykrywania i zwalczania przestępstw o charakterze terrorystycznym i poważnej przestępczości. Państwa członkowskie UE miały obowiązek ustanowienia przepisów nakładających na przewoźników lotniczych obowiązek przekazywania danych pasażerów jedynie w odniesieniu do lotów pozaunijnych. Odnośnie do lotów wewnątrzunijnych, kraje Unii miały pozostawioną dowolność, tj. mogły zadecydować, czy rozszerzyć o nie obowiązek przekazywania danych. Polski ustawodawca zdecydował się na takie właśnie „szeroko zakrojone" informowanie, tym samym nowe przepisy dotyczyć będą rocznie danych około 30 milionów pasażerów.

O jakie dane chodzi? Katalog zbieranych przez linie lotnicze informacji pozostaje ten sam – to nie tylko kod rezerwacji, numer biletu, data i trasa przelotu, imię i nazwisko, płeć, data urodzenia, obywatelstwo, adres, numer telefonu i e-mail pasażera, ale także informacje dotyczące płatności za bilet (razem z numerem karty płatniczej), informacje znajdujące się na fakturze, informacje o programach lojalnościowych linii lotniczych, informacje dotyczące liczby, rodzaju i wagi bagażu oraz imiona i nazwiska innych pasażerów wymienionych w tej samej rezerwacji.

Dane PNR gromadzone są przez przewoźników lotniczych także obecnie, a na mocy międzynarodowych przepisów (na przykład gdy chodzi o podróż do USA), niektóre z nich przekazywane są międzynarodowym służbom lub organom państw trzecich. Do tej pory nie było jednak mowy o ich dostarczaniu organom państwa w sposób systemowy, na tak masową skalę.

Kolejna służba w rękach państwa

Dane PNR przekazywane przez przewoźników specjalnie utworzonej w tym celu Jednostce do spraw Informacji o Pasażerach (JIP), zgodnie z art. 3 Ustawy mogą (sic! – dyrektywa określa jasno, że „(...) przetwarza dane wyłącznie w celu") być przetwarzane w celu zapobiegania, wykrywania i zwalczania oraz ścigania sprawców wymienionych w ustawie przestępstw, których górna granica ustawowego zagrożenia wynosi przynajmniej trzy lata pozbawienia wolności. Nawet jeśli uznać katalog przestępstw za dookreślony, to doświadczenie podpowiada, że pojęcia „zapobieganie" i „wykrywanie" mogą być interpretowane szeroko.

W Polsce funkcję JIP pełnić będzie powołana w tym celu komórka organizacyjna Straży Granicznej. Do jej zadań należy zatem gromadzenie i przechowywanie danych PNR, ale także wymiana danych z innymi państwami członkowskimi oraz przekazywanie ich do Europolu. Szczególnym obowiązkiem JIP jest konieczność przekazania danych PNR innym właściwym organom. Są nimi m.in.: Komendant Główny Policji, Prokurator Krajowy, Generalny Inspektor Informacji Finansowej, Szef Krajowej Administracji Skarbowej a także ABW, CBA i SKW.

Kto płaci?

Dyrektywa określa wprost, że żadne dane, które nie były przez przewoźników gromadzone do tej pory, nie powinny być zbierane na podstawie nowych przepisów. Jednocześnie kosztami wprowadzenia nowych regulacji obciążone mają być państwa członkowskie. Polski ustawodawca ocenił skutek finansowy wejścia w życie tych przepisów łącznie na prawie 125 milionów złotych do roku 2027, z czego ponad 30 milionów w 2018 r.

Z punktu widzenia linii lotniczych kluczowe będzie więc stworzenie odpowiednich procedur compliance (w tym w szczególności rozwiązań techniczno-informatycznych) umożliwiających zbieranie i przekazywanie danych PNR zgodnie z RODO. Dotyczy to na przykład modyfikacji systemów rezerwacyjnych w taki sposób, by niemożliwa była zmiana lub anulowanie lotu przy pomocy jednej „pary" danych (np. nazwiska i numeru rezerwacji). Takie wdrożenie związane jest rzecz jasna z kosztami, a wszelkie uchybienia – zgodnie z treścią przepisów RODO – okazać się mogą dla linii lotniczych bardzo kosztowne.