Parlament Europejski przyjął dziś dyrektywę w sprawie zarządzania danymi pasażerów linii lotniczych (tzw. dyrektywa PNR). Dziennik Internautów pisał już o tym jak ma działać europejski system PNR. Linie lotnicze mają przekazywać dane pasażerów do specjalnych jednostek, które z kolei będą udostępniały dane służbom.

Za dyrektywą głosowało 461 posłów. Przeciwko było 179, a 9 wstrzymało się od głosu.

JIP JIP! Hura!

Państwa członkowskie będą musiały ustanowić "jednostki do spraw informacji o pasażerach" (tzw. „JIP”). Informacje będą musiały być przechowywane przez okres pięciu lat, ale po sześciu miesiącach będą "anonimizowane". 

Każda JIP będzie odpowiedzialna za gromadzenie, przechowywanie i przetwarzanie danych PNR, za przekazywanie ich do właściwych organów oraz wymianę ich z jednostkami innych państw członkowskich i Europolem. Teoretycznie każde przekazanie danych ma się odbywać na podstawie oceny indywidualnego przypadku i wyłącznie w celu zapobiegania przestępstwom terrorystycznym lub poważnej przestępczości. 

Dyrektywa będzie miała zastosowanie do lotów poza Unię, jednak poszczególne państwa członkowskie będą mogły zdecydować o stosowaniu jej do lotów pomiędzy kajami UE. Państwa członkowskie mogą również zdecydować się na zbieranie i przetwarzanie danych PNR przekazywanych przez biura podróży i organizatorów wycieczek świadczący usługi takie jak rezerwacja lotów.

PNR vs ochrona danych

W celu zapewnienia ochrony danych JIP mają powoływać inspektora ochrony danych, który będzie monitorował sposób przetwarzania danych. Po wstępnym okresie przechowywania dostęp do pełnego zestawu danych PNR, które pozwalają na natychmiastową identyfikację osoby, powinien być możliwy jedynie w ściśle określonych przypadkach i po spełnieniu konkretnych warunków zdefiniowanych w dyrektywie. Wszystkie przypadki przetwarzania danych PNR powinny być zewidencjonowane i udokumentowane.

Zakazane będzie przetwarzanie danych PNR ujawniających rasę lub pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, stan zdrowia, życie seksualne lub orientację seksualną danej osoby (choć szczerze powiedziawszy niektóre z tych rzeczy można wywnioskować z innych danych, mniej lub bardziej skutecznie). 

Ustalono, że Komisja Europejska będzie musiała przeprowadzić przegląd dyrektywy dotyczącej unijnego PNR dwa lata po jej wdrożeniu do prawa krajowego. Ta rewizja ma służyć zwłaszcza sprawdzeniu zgodności przetwarzania danych z przyjętymi standardami i w odniesieniu do celów określonych w dyrektywie.

Dlaczego nie wszyscy tego chcieli?

Parlament Europejski jak zwykle jest dumny z kolejnej dyrektywy, ale nie wszyscy się cieszą. Organizacje broniące prywatności od dawna mówiły, że wprowadzenie dyrektywy PNR odbywa się bez należytej dyskusji. Tak naprawdę nie udowodniono, że przetwarzanie danych pasażerów zapobiegnie atakom terrorystycznym. Nie jest też tajemnicą, że ostatnie ataki w Brukseli i w Paryżu stworzyły odpowiedni "klimat emocjonalny" do wprowadzania takich rozwiązań. 

Organizacja European Digital Rights (EDRi) nazywała dyrektywę PNR "hańbą". Wskazywała na to, że nie powinno się tworzyć kolejnych ogromnych baz danych dotyczących niewinnych obywateli. Na ten sam problem zwracała uwagę polska Fundacja Panoptykon. 

- Europejski System PNR opiera się na założeniu, że każdy podróżny to potencjalny terrorysta lub inny groźny przestępca. W praktyce uderzy jednak przede wszystkim w osoby podróżujące z „podejrzanych” krajów. Może to prowadzić w praktyce do dyskryminacji i utrwalania krzywdzących stereotypów, mimo że same przepisy bezpośrednio dyskryminacji zakazują. Co więcej, raz zebrane dane zaczynają żyć własnym życiem – trudno dziś przewidzieć, do jakich celów decydenci polityczni czy same służby zechcą je wykorzystać w przyszłości - czytamy na stronie Fundacji. 

Projekt musi być jeszcze formalnie zatwierdzony przez Radę. Po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej, państwa członkowskie będą miały dwa lata na wdrożenie zapisów dyrektywy do prawa krajowego.

Wielka Reforma Prywatności

Tak się złożyło, że również dzisiaj Parlament Europejski przyjął nowe unijne przepisy w zakresie ochrony danych. To jest istotne uzupełnienie informacji na temat PNR. Jeśli jeszcze nie czytałeś o reformie ochrony danych w UE, koniecznie zajrzyj do tekstu pt. Unijna reforma ochrony danych - Parlament Europejski przyjął przepisy.