Rzecznik TSUE o przechowywaniu danych PNR
Data wysłania: 2022-02-01 09:43 Autor: Czytelnik IP automat
Aktualność: Zdaniem rzecznika generalnego Giovanniego Pitruzzelli zautomatyzowane, powszechne i przeprowadzane bez rozróżnienia przekazywanie i przetwarzanie danych PNR jest zgodne z prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych.
Natomiast powszechne i przeprowadzane bez rozróżnienia przechowywanie danych PNR w formie jawnej znajduje uzasadnienie wyłącznie w obliczu poważnego, rzeczywistego i aktualnego lub przewidywalnego zagrożenia bezpieczeństwa państw członkowskich oraz pod warunkiem, że okres takiego przechowywania jest ograniczony do koniecznego minimum Przekazywanie danych zawartych w przewidzianej przez dyrektywę PNR rubryce "uwagi ogólne" nie odpowiada ponadto wymogom jasności i precyzji sformułowanym w Karcie praw podstawowych UE
Wykorzystywanie danych PNS stanowi istotny element zwalczania terroryzmu i poważnej przestępczości. W tym celu dyrektywa PNR ustanawia systematyczne przetwarzanie istotnej liczby danych pasażerów lotniczych przy ich przylocie do Unii i wylocie z niej. Ponadto art. 2 tej dyrektywy przyznaje państwom członkowskim możliwość stosowania jej również do lotów wewnątrz Unii.
Ligue des droits humains (LDH), stowarzyszenie o celach niezarobkowych, wniosło w lipcu 2017 r. do Cour constitutionnelle (trybunału konstytucyjnego, Belgia) skargę o stwierdzenie nieważności ustawy z dnia 25 grudnia 2016 r. transponującej do prawa belgijskiego dyrektywy PNR i API. Zdaniem LDH ustawa ta narusza gwarantowane w porządkach prawnych belgijskim i unijnym prawa do poszanowania życia prywatnego i do ochrony danych osobowych. LDH kwestionuje, z jednej strony, bardzo szeroki zakres danych PNR, a z drugiej strony - powszechny charakter gromadzenia, przekazywania i przetwarzania tych danych. Zdaniem LDH wspomniana ustawa stoi także w sprzeczności ze swobodnym przepływem osób, ponieważ - rozszerzając reżim PNR na loty wewnątrz Unii - przywraca pośrednio kontrole na granicach.
W październiku 2019 r. Cour constitutionnelle skierował do Trybunału Sprawiedliwości dziesięć pytań prejudycjalnych dotyczących ważności i wykładni dyrektyw PNR i API oraz wykładni RODO.
W przedłożonej opinii rzecznik generalny Giovanni Pitruzzella wskazał przede wszystkim, że jeżeli środki stanowiące ingerencję w prawa podstawowe ustanowione w Karcie praw podstawowych Unii Europejskiej ("karta") mają źródło w akcie ustawodawczym Unii, do prawodawcy Unii należy ustalenie istotnych elementów definiujących zakres tych ingerencji.
Następnie rzecznik generalny przypomniał, że przepisy nakazujące lub dopuszczające przekazanie danych osobowych osób fizycznych podmiotowi trzeciemu, takiemu jak organ publiczny, należy uznać, w braku zgody tych osób fizycznych i niezależnie od późniejszego wykorzystania tych danych, za ingerencję w ich życie prywatne, a także za ingerencję w prawo podstawowe do ochrony danych osobowych. Ingerencje te można uznać za uzasadnione wyłącznie wówczas, gdy są przewidziane ustawą, pozostają w zgodzie z istotą wspomnianych praw oraz są - z poszanowaniem zasady proporcjonalności - niezbędne do osiągnięcia uznanych przez Unię celów interesu ogólnego lub potrzeby ochrony praw i wolności innych podmiotów, a także odpowiadają rzeczywiście osiągnięciu tych celów.
W odniesieniu do, w pierwszej kolejności, danych osobowych, które przewoźnicy lotniczy są zobowiązani przekazywać jednostkom do spraw informacji o pasażerach (JIP) zgodnie z dyrektywą PNR, rzecznik generalny wskazał, że skala i powaga ingerencji w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, jaką stanowi środek wprowadzający ograniczenia w wykonywaniu tych praw, zależą przede wszystkim od zakresu i charakteru danych będących przedmiotem przetwarzania. Identyfikacja tych danych stanowi więc podstawową operację, którą należy koniecznie przeprowadzić - w sposób jak najbardziej jasny i precyzyjny - dla potrzeb aktu stanowiącego podstawę prawną takiego środka. Stwierdziwszy, że odniesienie do ogólnych kategorii informacji, które nie określają w wystarczającym stopniu charakteru i zakresu podlegających przekazaniu danych nie spełnia wymaganych przez kartę przesłanek jasności i precyzji, rzecznik generalny doszedł do wniosku, że należy stwierdzić nieważność załącznika I pkt 12 tej dyrektywy z tego względu, że przepis ten zawiera, wśród kategorii podlegających przekazaniu danych, rubrykę "uwagi ogólne" przeznaczoną na wszelkie informacje zgromadzone przez przewoźników lotniczych w ramach ich działalności polegającej na świadczeniu usług i niewymienione wyraźnie w pozostałych punktach wspomnianego załącznika I.
Rzecznik generalny podkreślił ponadto, że dane, które przewoźnicy lotniczy są zobowiązani przekazać JIP zgodnie z dyrektywą PNR muszą być istotne, odpowiednie i nienadmiernie rozbudowane względem celów realizowanych przez tę dyrektywę, a ich zakres nie powinien wykraczać poza to, co jest ściśle niezbędne do realizacji tych celów. Rzecznik generalny uznał także, że taki proces przekazywania korzysta z wystarczających gwarancji, zapewniających, po pierwsze, by przekazaniu podlegały jedynie wyraźnie wymienione dane, a po drugie, bezpieczeństwo i poufność przekazywanych danych. Rzecznik generalny przypomniał poza tym, że dyrektywa PNR ustanawia ogólny zakaz przetwarzania danych szczególnie chronionych, obejmujący również ich gromadzenie, co skutkuje tym, że reżim PNR przewiduje wystarczające gwarancje pozwalające wykluczyć, na każdym etapie przetwarzania zgromadzonych danych, by przetwarzanie takie mogło - bezpośrednio lub pośrednio - uwzględnić chronione szczególne informacje.
W drugiej kolejności rzecznik generalny stwierdził, że powszechne i przeprowadzane bez rozróżnienia przekazywanie danych PNR oraz sprawdzanie pasażerów lotniczych przed podróżą za pomocą zautomatyzowanego przetwarzania tych danych jest zgodne z art. 7 i 8 karty gwarantującymi prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych. W tym względzie rzecznik generalny uznał między innymi, że orzecznictwo Trybunału w dziedzinie przechowywania danych w sektorze komunikacji elektronicznej i dostępu do takich danych nie jest przekładalne na reżim ustanowiony dyrektywą PNR. Rzecznik generalny wskazał ponadto, że przyjęcie zharmonizowanego na poziomie Unii reżimu przetwarzania danych PNR, w odniesieniu zarówno do lotów poza Unią, jak i - dla państw, które skorzystały z możliwości ustanowionej w art. 2 dyrektywy PNR - lotów wewnątrz Unii, pozwala zapewnić, by przetwarzanie takich danych odbywało się z poszanowaniem ustanowionego przez tę dyrektywę wysokiego poziomu ochrony praw podstawowych wyrażonych w art. 7 i 8 karty.
W odniesieniu do w szczególności sprawdzania danych pasażerów lotniczych przed podróżą obejmującego, po pierwsze, porównanie danych PNR z danymi zawartymi w bazach danych, które mają znaczenie dla zapobiegania przestępstwom terrorystycznym i poważnej przestępczości oraz ich wykrywania, a także dla prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania, stanowiące pierwszy aspekt tej procedury sprawdzania, rzecznik generalny wskazał, że pojęcie "baz danych, które mają znaczenie" należy interpretować zgodnie z wymogami jasności i precyzji ustanowionymi w karcie oraz z uwzględnieniem celów dyrektywy PNR. Zdaniem rzecznika generalnego pojęcie to należy interpretować w ten sposób, że obejmuje ono jedynie krajowe bazy danych zarządzane przez właściwe organy oraz unijne i międzynarodowe bazy danych bezpośrednio wykorzystywane przez te organy w ramach ich misji, o ile oczywiście pozostają one w bezpośrednim i ścisłym związku z realizowanymi przez dyrektywę PNR celami zwalczania terroryzmu i poważnej przestępczości, co oznacza, że zostały stworzone w tych celach. Jeśli chodzi, po drugie, o zautomatyzowane przetwarzanie danych PNR w świetle ustalonych z góry kryteriów, co stanowi drugi aspekt procedury sprawdzania danych pasażerów lotniczych przed podróżą, rzecznik generalny stwierdził między innymi, że takie przetwarzanie nie może być dokonywane za pomocą samouczących się systemów sztucznej inteligencji, które nie pozwalają poznać powodów, które doprowadziły algorytm do uzyskania pozytywnego wyniku.
W trzeciej kolejności, w odniesieniu do kwestii, czy prawo Unii stoi na przeszkodzie przepisom krajowym, które przewidują dla przechowywania danych PNR powszechny termin pięciu lat, bez względu na to, czy pasażerowie, których dane dotyczą, okażą się - w wyniku sprawdzania danych pasażerów lotniczych przed podróżą - potencjalnie stanowić zagrożenie dla bezpieczeństwa publicznego, rzecznik generalny zaproponował, by interpretować dyrektywę PNR zgodnie z kartą, w ten sposób, że przechowywanie przez okres pięciu lat danych PNR dostarczonych JIP przez przewoźników lotniczych jest dopuszczalne, po dokonaniu sprawdzenia tych danych przed podróżą, wyłącznie wówczas, gdy na podstawie obiektywnych kryteriów zostanie wykazany związek między tymi danymi a zwalczaniem terroryzmu lub poważnej przestępczości. Powszechne i przeprowadzane bez rozróżnienia przechowywanie danych PNR w formie jawnej może znaleźć uzasadnienie jedynie w obliczu poważnego zagrożenia dla bezpieczeństwa państw członkowskich, które okaże się rzeczywiste i aktualne lub przewidywalne, zawiązanego na przykład z działalnością terrorystyczną, oraz pod warunkiem, że okres takiego przechowywania jest ograniczony do koniecznego minimum.
|