Zapisz się do newslettera!

Chcesz być zawsze na bieżąco z tematyką bloga? Interesuje Cię praktyczna wiedza i jej źródła? Raz w miesiącu przesyłam informację o nowych wpisach z bloga oraz o praktycznych rozwiązaniach pojawiających się problemów. Żadnych obcych reklam.

Share this:

25 czerwca 2018

Czy ruszył już polski system PNR ?

w kategorii Legislacja

Jednym z gorących tematów, dotyczących pośrednio danych osobowych, jest uchwalona 9 maja 2018 r. ustawa o przetwarzaniu danych dotyczących przelotu pasażera (ustawa o PNR, Dz.U. 2018, poz. 894). Ustawa ta zaczęła obowiązywać 29 maja 2018 r. i od tego dnia organ nadzorujący (Straż Graniczna) uzyskał wiele ciekawych uprawnień.

Zaczynając od początku warto zadać sobie pytanie skąd „pomysł” na taką ustawę ? Czy to tylko nasz wewnętrzny pomysł na kolejny państwowy rejestr zawierający ogrom naszych danych osobowych ? W tym przypadku to nie był pomysł wewnętrznego ustawodawcy. Podstawą uchwalonej ustawy o PNR był obowiązek wdrożenia dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/681 z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania
przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania (Dz. Urz. UE L 119 z 04.05.2016, str. 132).

W motywie piątym Dyrektywy 2016/681 wskazano jej cel jako „zapewnienie bezpieczeństwa ogólnego, ochrona życia i bezpieczeństwa osób oraz stworzenie ram prawnych służących ochronie danych PNR w związku z ich przetwarzaniem przez właściwe organy”. Za stworzeniem przedmiotowej Dyrektywy stał też cel „zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania istotne jest, by wszystkie państwa członkowskie ustanowiły przepisy nakładające na przewoźników lotniczych obsługujących loty pozaunijne obowiązek przekazywania zebranych danych PNR, w tym danych API. Państwa członkowskie powinny mieć również możliwość rozszerzenia tego obowiązku na przewoźników lotniczych obsługujących loty wewnątrzunijne (…) – motyw dziesiąty.”

Wiedząc już jaki cel przyświecał przygotowaniu Dyrektywy sprawdźmy jak kształtuje się na tym tle nasza krajowa ustawa o PNR. Ustawa ta wprowadza, w art. 2 ust. 1, definicję danych PNR  jako – danych dotyczących przelotu pasażera, w tym dane osobowe, które są przetwarzane w związku z prowadzeniem działalności gospodarczej przez przewoźników lotniczych w celu dokonania rezerwacji lub realizacji lotu w ramach przewozu lotniczego, podlegające przekazaniu przez przewoźnika lotniczego do JIP (Krajowa Jednostka do spraw Informacji o Pasażerach – Komendant Straży Granicznej – art. 12 ust 1 ustawy o PNR).

O czym dowie się Krajowa Jednostka do spraw Informacji o Pasażerach ?

Katalog kategorii danych PNR został opisany w art. 4 wskazanej ustawy i zawiera prawie 20 pozycji. Wśród pozycji kategorii przekazywanych przez przewoźnika znajdują się takie dane jak:

  • adres, numer telefonu i adres e-mail pasażera – art. 4 ust 1 pkt 5,
  • informacje dotyczące płatności za bilet, obejmujące numer karty płatniczej, informacje o płatności gotówką, informacje znajdujące się na fakturze albo na innym dowodzie płatności za bilet oraz informacje zawarte w poleceniu przelewu: numery rachunków bankowych nadawcy i odbiorcy, imiona i nazwiska lub nazwy nadawcy i odbiorcy, kwotę i walutę przelewu, datę i czas wykonania przelewu oraz jego tytuł – art. 4 ust 1 pkt 6,
  • informacje o programach lojalnościowych – art. 4 ust 1 pkt 8,
  • numer miejsca na pokładzie statku powietrznego i inne informacje dotyczące tego miejsca – art. 4 ust 1 pkt 14.

Co ważne, wskazano bezpośrednio w art. 4 ust. 2, że: „nie przetwarza się danych PNR ujawniających rasę, pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, stan zdrowia, życie seksualne lub orientację seksualną
danej osoby” (zbliżony zakres do danych szczególnej kategorii, o której mowa w art. 9 ust. 1 RODO).

Czy dowiem się o przetwarzaniu naszych danych PNR ?

Tak. Zgodnie z art. 9 ust. 1 ustawy o PNR to na przewoźniku lotniczym ciąży obowiązek poinformowania każdego pasażera o przetwarzaniu jego danych PNR i przekazywaniu ich do JIP (Straż Graniczna) oraz o przysługującym nam prawie do ochrony przekazanych danych.

Jak długo będą przetwarzane nasze dane PNR ?

5 lat od daty ich zgromadzenia, co wynika wprost z art. 32 ust. 1 omawianej ustawy. Po upływie wskazanego okresu dane PNR ulegają niezwłocznemu trwałemu usunięciu w sposób zautomatyzowany. Przewidziano wyjątki od tej zasady, które materializują się w sytuacji, gdy zestaw naszych danych, będzie budził wątpliwości organu przetwarzającego.

Depersonalizacja ? A cóż to takiego.

Ustawa w art. 33 ust. 1 przewiduje poddanie danych PNR depersonalizacji, a więc uczynienia niewidocznymi dla pracowników Straży Granicznej takich danych jak np. imię i nazwisko pasażerów, adresu, numeru telefonu i adresu e-mail pasażera.

Ochrona danych osobowych, a przetwarzanie danych PNR ?

Nad ochroną danych będzie czuwał Inspektor, który podlega bezpośrednio Komendantowi Głównemu Straży Granicznej i jest niezależny od Krajowej Jednostki do spraw Informacji o Pasażerach. Możemy zwrócić się do Inspektora z zapytaniem, czy przetwarza się nasze dane, a jeżeli będą to uzyskamy informację o ich przetwarzaniu. Niestety nie synchronizowano prac nad ustawą o PNR z wdrażaniem RODO, albowiem wprowadzono zapisy dotyczące ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. oraz odwołanie do Generalnego Inspektora Ochrony Danych Osobowych.

Zapewne szykuje się nowelizacja ustawy o PNR.