Bezpieczeństwo Wewnętrzne
Służby z nowymi narzędziami kontroli pasażerów linii lotniczych. Dyrektywa o danych PNR wdrożona
W wielkim pośpiechu Sejm uchwalił 9 maja 2018 r. ustawę o przetwarzaniu danych dotyczących przelotu pasażera. Dzięki temu Polska jedynie nieznacznie spóźni się z obowiązkiem implementacji do 25 maja 2018 r. dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/681 o danych PNR. Nowa ustawa stała się częścią polskiego porządku prawnego 29 maja 2018 r.
Ogromne tempo prac parlamentarnych nad ustawą o PNR
Od listopada 2017 r. Ministerstwo Spraw Wewnętrznych i Administracji przygotowało trzy wersje projektu ustawy o przetwarzaniu danych dotyczących przelotu pasażera (dalej jako „ustawa o PNR”). Prace legislacyjne były prowadzone w pośpiechu z uwagi na termin implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/681 z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania. Państwa członkowskie zostały zobligowane do wdrożenia jej przepisów do krajowych porządków prawnych do 25 maja 2018 r. Kolejne wersje były wynikiem prowadzonych uzgodnień międzyresortowych.
Czytaj też: Prace nad projektem ustawy o PNR w MSWiA. Kończy się czas na implementację dyrektywy [ANALIZA]
Finalny projekt ustawy o PNR trafił do Sejmu 13 kwietnia 2018 r. jako druk nr 2461. Następnie 20 kwietnia 2018 r. trafił do I czytania do Komisji Administracji i Spraw Wewnętrznych, które odbyło się 7 maja 2018 r. Sprawozdawcą projektu został poseł Kukiz’15 Bartosz Jóźwiak. Już 8 maja odbyło się II czytanie projektu, a 9 maja Sejm głosami PiS oraz PSL-UED oraz posłów partii Wolni i Solidarni przyjął ustawę o PNR. PO, Kukiz’15 i Nowoczesna wstrzymały się od głosu. Tego samego dnia ustawa została przekazana do Senatu (druk nr 808) i skierowana do Komisji Praw Człowieka, Praworządności i Petycji, która 10 maja rozpatrzyła ustawę. Komisja wniosła o przyjęcie ustawy bez poprawek. Senat 11 maja przyjął ustawę i tego samego dnia przekazał ją do Sejmu, a ten z kolei przesłał ją prezydentowi do podpisu, który uczynił to jeszcze 11 maja. Ustawa o PNR została ogłoszona w Dzienniku Ustaw 14 maja i weszła w życie 29 maja, a więc 4 dni po terminie implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/681. Dopełnieniem prac nad ustawą jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 22 maja 2018 r. w sprawie określenia protokołów i formatów danych wykorzystywanych przez przewoźników lotniczych w celu przekazywania danych PNR do Krajowej Jednostki do spraw Informacji o Pasażerach, które weszło w życie 29 maja 2018 r.
Bardzo szybkie tempo prac spowodowało, że brak było czasu na szerszą debatę na forum parlamentu nad rozwiązaniami zawartymi w ustawie o PNR, które mają istotne znaczenie dla praw i wolności obywatelskich. Warto wskazać, że zgodnie z art. 47 Konstytucji RP każdy ma prawo do ochrony prawnej życia prywatnego. W myśl art. 51 ust. 2 Konstytucji RP władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Z kolei art. 31 ust. 3 Konstytucji RP stanowi, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw. Przytoczone przepisy ustawy zasadniczej chronią obywateli przed nadmierną ingerencją ustawodawcy w ich prawo do prywatności oraz przed nieuzasadnionym gromadzeniem danych na ich temat. Jednocześnie ustawa o PNR ma za zadanie dawać służbom państwowym narzędzia do wykrywania zagrożenia dla bezpieczeństwa i porządku publicznego oraz ochrony przed terroryzmem. Można przyjąć, że ustawa o PNR zawiera regulacje, które mieszczą się w ramach ustalonych przez Konstytucję RP.
Zmiany w stosunku do projektu ustawy o PNR z grudnia 2017 r.
Obowiązująca ustawa o PNR różni się od projektu z 12 grudnia 2017 r. kilkoma rozwiązaniami. Przede wszystkim Sejm dokonał pewnych zmian technicznych i redakcyjnych, które skutkowały zmianą numeracji artykułów i ustępów. Zakres ustawy stał się nieco szerszy i objął obok zasad i warunków przekazywania przez przewoźników lotniczych danych dotyczących przelotu pasażera oraz przetwarzania tych danych w celu wykrywania i zwalczania przestępstw o charakterze terrorystycznym i innych przestępstw także przestępstwa skarbowe określone przede wszystkim w Kodeksie karnym skarbowym, ale i ustawach szczegółowych.
Ponadto w słowniczku definicji legalnych usunięto definicję depersonalizacji, granicy państwowej (zastosowano odesłanie do innej ustawy), pasażera, przewozu lotniczego, przewoźnika lotniczego (oba pojęcia są już zdefiniowane w Prawie lotniczym) oraz wyników przetwarzania danych PNR. Ustawodawca zmodyfikował również definicję lotu PNR i definicję właściwych organów oraz dodał definicję zautomatyzowanego przetwarzanie danych PNR. W dalszej części ustawy pojawiła się też definicja tzw. danych API. Ustawa o PNR stanowi, że chodzi o informacje dotyczące przelotu pasażera, przekazane przez przewoźnika lotniczego przed podróżą, obejmujące:
- rodzaj, numer, kraj wydania i datę ważności dokumentu tożsamości,
- obywatelstwo,
- imię i nazwisko,
- płeć,
- datę urodzenia,
- nazwę linii lotniczych, numer lotu PNR oraz datę i godzinę startu i lądowania statku powietrznego,
- nazwę portu lotniczego, w którym nastąpił start oraz lądowanie.
W ustawie pojawiły się też elementy związane z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. RODO. Na mocy nowej ustawy nie przetwarza się danych PNR ujawniających rasę, pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, stan zdrowia, życie seksualne lub orientację seksualną danej osoby. Ponadto obowiązek przekazania danych PNR do Krajowej Jednostki do spraw Informacji o Pasażerach będzie miał przewoźnik lotniczy, który organizuje lot PNR, a nie jak w projekcie ustawy ten, który wykonuje taki lot.
Cześć przepisów została doprecyzowana
Co istotne, przyjęta ustawa zawiera rozwiązanie, zgodnie z którym wniosek właściwego organu, tj. np. ABW o przekazanie danych PNR w terminach innych niż standardowe w przypadku zagrożenia przestępstwem musi zawierać uzasadnienie wskazujące bezpośrednie i rzeczywiste zagrożenie przestępstwem lub przestępstwem skarbowym oraz przyczyny przekazania przez przewoźnika lotniczego danych PNR w innych terminach. Wcześniej projekt ustawy o PNR nie przewidywał konieczności sporządzenia takiego uzasadnienia. Krajowa Jednostka do spraw Informacji o Pasażerach (dalej również jako „JIP”) może też odmówić realizacji wniosku.
Ustawa o PNR zawiera też nowe przepisy, które doprecyzowują, kiedy przewoźnik ma informować pasażera o przetwarzaniu danych PNR oraz co składa się na informację dla pasażera. Przewoźnik dokonuje tego w stosunku do każdego pasażera podczas dokonywania rezerwacji lub wystawiania biletu na przewóz lotniczy w formie pisemnej, w postaci papierowej lub elektronicznej. Ma obowiązek poinformować o przetwarzaniu jego danych PNR i przekazywaniu ich do Krajowej Jednostki do spraw Informacji o Pasażerach. Ustawa o PNR rozdzieliła też obowiązki wcześniej nałożone jedynie na Komendanta Głównego Straży Granicznej pomiędzy niego a Krajowy System Informatyczny PNR (dalej również jako „KSI PNR”), będący systemem teleinformatycznym, w którym JIP przetwarza dane PNR lub wyniki ich przetwarzania.
Nowością jest także to, że Straż Graniczna będzie certyfikowała osoby, które odbyły szkolenie w zakresie bezpieczeństwa i ochrony danych przetwarzanych w KSI PNR przeprowadzone przez nią na podstawie programu szkolenia zatwierdzonego przez Komendanta Głównego Straży Granicznej. Takie szkolenie będzie kończone uzyskaniem zaświadczenia o jego ukończeniu. Nowa ustawa konkretyzuje ponadto, co musi zawierać wniosek właściwego organu o przekazanie danych PNR. Kolejna nowość dotyczy konieczności potwierdzenia przez właściwy organ na piśmie ustnego wniosku o przekazanie danych PNR w razie zagrożenia przestępstwem. W przeciwnym razie dane PNR nie zostaną przekazane wnioskującemu organowi.
Ustawa precyzyjnie określa, co ma zawierać wniosek o usunięcie kryteriów przetwarzania danych PNR. Wcześniej projekt ustawy jedynie ogólnie o tym stanowił. Ustawa o PNR wskazuje również, że JIP we współpracy z właściwymi organami, nie rzadziej niż raz w roku, będzie dokonywała okresowych przeglądów aktualności kryteriów przetwarzania danych PNR. Nowością jest to, że będzie miała obowiązek sporządzania sprawozdania z wykonanego przeglądu. Ustawodawca dokonał też nieznacznych modyfikacji przepisów o karach administracyjnych, ale nie zmienił istoty tych przepisów.
Polska nie będzie narażona na zapłatę kar
Dzięki wejściu w życie ustawy o PNR Polska jedynie nieznacznie uchybiła terminowi implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/681. To uchroni ją przed nałożeniem ewentualnych kar przez Trybunał Sprawiedliwości UE. Nowe przepisy określają zasady i warunki przekazywania przez przewoźników lotniczych Krajowej Jednostce do spraw Informacji o Pasażerach działającej w strukturach Straży Granicznej danych dotyczących przelotu pasażera oraz przetwarzania tych danych. Celem przekazywania danych jest wykrywanie i zwalczanie przestępstw o charakterze terrorystycznym i innych przestępstw lub przestępstw skarbowych oraz zapobieganie im i ściganie ich sprawców. Z uwagi na wrażliwość przekazywanych danych ingerujących m.in. w prywatność pasażerów Straż Graniczna będzie zobligowana do podjęcia szczególnych starań w celu ochrony gromadzonych danych i ich usuwania, gdy zgodnie z ustawą o PNR nie będą już potrzebne. Z perspektywy przewoźników lotniczych wejście w życie ustawy o PNR wiąże się z koniecznością poniesienia kosztów dostosowania swoich systemów informatycznych do bezpiecznego i terminowego przekazywania danych do JIP. W przeciwnym razie grożą im kary pieniężne, które będzie nakładał Komendant Główny Straży Granicznej w drodze decyzji administracyjnej. Każde naruszenie może skutkować osobną karą, a to może w sposób dotkliwy wpłynąć na działalność zwłaszcza mniejszych przewoźników lotniczych.