Rzecznik ogłosił w czwartek opinię w sprawie wniesionej do Trybunału przez belgijską Ligue des droits humains (LDH). Stowarzyszenie to skierowało do belgijskiego trybunału konstytucyjnego skargę o stwierdzenie nieważności ustawy z 25 grudnia 2016 r. transponującej do prawa belgijskiego dyrektywy PNR i API2.

Skarga na prawo naruszające prawo do prywatności

Zdaniem LDH ustawa ta narusza gwarantowane w porządkach prawnych belgijskim i unijnym prawa do poszanowania życia prywatnego i do ochrony danych osobowych. LDH kwestionuje z jednej strony, bardzo szeroki zakres danych PNR, a z drugiej strony – powszechny charakter gromadzenia, przekazywania i przetwarzania tych danych. Zdaniem LDH wspomniana ustawa stoi także w sprzeczności ze swobodnym przepływem osób, ponieważ – rozszerzając reżim PNR na loty wewnątrz Unii – przywraca pośrednio kontrole na granicach.  
W październiku 2019 r. Trybunał Konstytucyjny skierował do Trybunału Sprawiedliwości dziesięć pytań prejudycjalnych dotyczących ważności i wykładni dyrektyw PNR i API oraz wykładni RODO3.

Wytyczne 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo >

W przedłożonej opinii rzecznik generalny Giovanni Pitruzzella wskazał przede wszystkim, że jeżeli środki stanowiące ingerencję w prawa podstawowe stanowione w Karcie praw podstawowych Unii Europejskiej („karta”) mają źródło w akcie ustawodawczym Unii, do prawodawcy Unii należy ustalenie istotnych elementów definiujących zakres tych ingerencji.

Czytaj także: Senat przyjął przepisy o przetwarzaniu danych dot. przelotu pasażera z jedną poprawką >>
 

Ważne są cele regulacji

Rzecznik generalny przypomniał, że przepisy nakazujące lub dopuszczające przekazanie danych osobowych osób fizycznych podmiotowi trzeciemu, takiemu jak organ publiczny, należy uznać, w braku zgody tych osób fizycznych i niezależnie od późniejszego wykorzystania tych danych, za ingerencję w ich życie prywatne, a także za ingerencję w prawo podstawowe do ochrony danych osobowych. I wyjaśnił, że ingerencje te można uznać za uzasadnione wyłącznie wówczas, gdy są przewidziane ustawą, pozostają w zgodzie z istotą wspomnianych praw oraz są – z poszanowaniem zasady proporcjonalności – niezbędne do osiągnięcia uznanych przez Unię celów interesu ogólnego lub potrzeby ochrony praw i wolności innych podmiotów, a także odpowiadają rzeczywiście osiągnięciu tych celów.

Zidentyfikować dane dla potrzeb przepisu

W odniesieniu do danych osobowych, które przewoźnicy lotniczy są zobowiązani przekazywać jednostkom do spraw informacji o pasażerach (JIP) zgodnie z dyrektywą PNR, rzecznik generalny wskazał, że skala i powaga ingerencji w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, jaką stanowi środek wprowadzający ograniczenia w wykonywaniu tych praw, zależą przede wszystkim od zakresu i charakteru danych będących przedmiotem przetwarzania. Identyfikacja tych danych stanowi więc podstawową operację, którą należy koniecznie przeprowadzić – w sposób jak najbardziej jasny i precyzyjny – dla potrzeb aktu stanowiącego podstawę prawną takiego środka.

Ustawa z 9 maja 2018r. o przetwarzaniu danych dotyczących przelotu pasażera >

"Uwagi ogólne" nie do przyjęcia

W odniesieniu do ogólnych kategorii informacji, które nie określają w wystarczającym stopniu charakteru i zakresu podlegających przekazaniu danych nie spełnia wymaganych przez kartę przesłanek jasności i precyzji, rzecznik generalny doszedł do wniosku, że należy stwierdzić nieważność załącznika I pkt 12 tej dyrektywy z tego względu, że przepis ten zawiera, wśród kategorii podlegających przekazaniu danych, rubrykę „uwagi ogólne” przeznaczoną na wszelkie informacje zgromadzone przez przewoźników lotniczych w ramach ich działalności polegającej na świadczeniu usług i niewymienione wyraźnie w pozostałych punktach wspomnianego załącznika I.

Tylko niezbędny zakres ingerencji

Rzecznik generalny podkreślił ponadto, że dane, które przewoźnicy lotniczy są zobowiązani przekazać JIP zgodnie z dyrektywą PNR muszą być istotne, odpowiednie i nienadmiernie rozbudowane względem celów realizowanych przez tę dyrektywę, a ich zakres nie powinien wykraczać poza to, co jest ściśle niezbędne do realizacji tych celów. Rzecznik uznał także, że taki proces przekazywania korzysta z wystarczających gwarancji, zapewniających, po pierwsze, by przekazaniu podlegały jedynie wyraźnie wymienione dane, a po drugie, bezpieczeństwo i poufność przekazywanych danych. Rzecznik generalny przypomniał
poza tym, że dyrektywa PNR ustanawia ogólny zakaz przetwarzania danych szczególnie chronionych, obejmujący również ich gromadzenie, co skutkuje tym, że reżim PNR przewiduje wystarczające gwarancje pozwalające wykluczyć, na każdym etapie przetwarzania zgromadzonych danych, by przetwarzanie takie mogło – bezpośrednio lub pośrednio – uwzględnić chronione szczególne informacje.

E-usługi a RODO

Małgorzata Ciechomska

Sprawdź  

Rzecznik generalny stwierdził, że powszechne i przeprowadzane bez rozróżnienia przekazywanie danych PNR oraz sprawdzanie pasażerów lotniczych przed podróżą za pomocą zautomatyzowanego przetwarzania tych danych jest zgodne z art. 7 i 8 karty gwarantującymi prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych. I uznał między innymi, że orzecznictwo Trybunału w dziedzinie przechowywania danych w sektorze komunikacji elektronicznej i dostępu do takich danych nie jest przekładalne na reżim ustanowiony dyrektywą PNR.
Rzecznik generalny wskazał jednocześnie, że przyjęcie zharmonizowanego na poziomie Unii reżimu przetwarzania danych PNR, w odniesieniu zarówno do lotów poza Unią, jak i – dla państw, które skorzystały z możliwości ustanowionej w art. 2 dyrektywy PNR – lotów wewnątrz Unii, pozwala zapewnić, by przetwarzanie takich danych odbywało się z poszanowaniem ustanowionego przez tę dyrektywę wysokiego poziomu ochrony praw podstawowych wyrażonych w art. 7 i 8 karty.