Jeśli nie ma rzeczywistego i aktualnego zagrożenia terrorystycznego, prawo UE zabrania państwom członkowskim przekazywania i przetwarzania danych pasażerów na podstawie prawa krajowego.
Trybunał Sprawiedliwości Unii Europejskiej wypowiedział się wczoraj w sprawie tzw. dyrektywy PNR (passenger name records). W ramach walki z zagrożeniem terroryzmem dopuszcza ona, by linie lotnicze udostępniały organom państwa nie tylko imiona i nazwiska pasażerów, ale też np. ich daty urodzenia czy numery kart kredytowych użytych do zakupu biletów.
Ponadto art. 2 tej dyrektywy pozwala państwom członkowskim na stosowanie jej także do lotów wewnątrzunijnych (wyjściowo akt miał dotyczyć samolotów spoza Unii), co mogłoby w praktyce prowadzić do przywrócenia kontroli na granicach. Na skorzystanie z tej możliwości zdecydowała się w 2016 r. Belgia. Rok później belgijska Liga Praw Człowieka zaskarżyła krajowe przepisy do trybunału konstytucyjnego tego państwa, jako że naruszały one gwarancje prawa do poszanowania prywatności oraz do ochrony danych osobowych. W efekcie TK przedstawił aż 10 pytań prejudycjalnych w tej sprawie TSUE.
Luksemburski trybunał uznał, że akty prawa unijnego muszą być interpretowane w zgodzie z postanowieniami Karty praw podstawowych UE, tak by nie podważać ich ważności. Dlatego też stosowanie dyrektywy PNR należy ograniczyć do tego, co niezbędne dla osiągnięcia zamierzonego celu, a uprawnienia, które przewiduje, trzeba interpretować zawężająco – także w przypadku lotów wewnątrz UE. Oznacza to, że na podstawie jej przepisów przekazywane mogą być tylko dane z rubryk wyraźnie wskazanych w załączniku do dyrektywy. Dane te muszą też mieć związek z zapobieganiem terroryzmowi i innym poważnym przestępstwom związanym z ruchem lotniczym. Przekazywanie danych musi też podlegać kontroli sądowej.
Ponadto dane te nie mogą być przetwarzane i przekazywane wyłącznie w sposób zautomatyzowany, tzn. przez algorytmy, gdyż te mają tendencję do mylenia się. Muszą istnieć jasne zasady i kryteria kontroli przetwarzania maszynowego prowadzonej przez człowieka. W ramach tej kontroli należy zadbać o to, by przetwarzanie automatyczne nie było dyskryminacyjne oraz zweryfikować, czy osoby wskazane przez algorytm faktycznie mogą być podejrzewane o udział w grupach terrorystycznych. Co więcej, przekazanie danych po przelocie danej osoby może nastąpić tylko w przypadku ujawnienia nowych okoliczności. ©℗
orzecznictwo
Wyrok Trybunału Sprawiedliwości UE z 21 czerwca 2022 r. w sprawie C-817/19 www.serwisy.gazetaprawna.pl/orzeczenia
