Przepisy dotyczące danych osobowych pasażerów linii lotniczych zostaną dostosowane do wyroku Trybunału Sprawiedliwości Unii Europejskiej. Ministerstwo Spraw Wewnętrznych i Administracji przygotowuje w tym celu nowelizację ustawy o przetwarzaniu danych dotyczących przelotu pasażera (t.j. Dz.U. z 2022 r. poz. 1441; dalej: ustawa PNR).
Obecnie linie lotnicze muszą przekazywać do systemu informatycznego Straży Granicznej dane osobowe wszystkich pasażerów przekraczających granicę Polski. Imię i nazwisko pasażera, adres, numer telefonu, e-mail, obywatelstwo, płeć, data urodzenia i inne informacje są przechowywane przez pięć lat i udostępniane krajowym organom – policji, wywiadowi, ABW, CBA, KAS itp. – oraz innym państwom.
Regulująca te kwestie ustawa PNR stanowi implementację unijnej dyrektywy 2016/681 w sprawie wykorzystywania danych dotyczących przelotu pasażera, mającej na celu zapobieganie przestępstwom terrorystycznym oraz poważnej przestępczości i ich wykrywanie. Jednak w wyroku z 21 czerwca 2022 r. TSUE stwierdził, że przekazywane, przetwarzane i przechowywane powinny być tylko ściśle niezbędne dane PNR (sprawa C-817/19).
Za niezgodny z przepisami unijnymi trybunał uznał w szczególności ogólny pięcioletni okres przechowywania danych mający zastosowanie do wszystkich pasażerów – także tych, wobec których nie ustalono obiektywnych dowodów mogących świadczyć o istnieniu zagrożenia terrorystycznego. TSUE zakwestionował również przekazywanie i przetwarzanie danych w odniesieniu do wszystkich lotów wewnątrz UE.
Oba rozwiązania przewiduje obecnie polska ustawa. Z informacji zamieszczonych w wykazie prac legislacyjnych rządu wynika, że po nowelizacji przetwarzanie danych PNR z lotów wewnątrzunijnych będzie możliwe tylko w przypadku wprowadzenia w kraju stopnia alarmowego. Gdy nie będzie obowiązywał żaden stopień alarmowy, kategorie lotów wewnątrzunijnych objętych prawem przetwarzania będzie natomiast określał – w drodze niejawnego zarządzenia – minister właściwy ds. wewnętrznych.
MSWiA planuje utrzymanie pięcioletniej retencji danych, ale „do absolutnego minimum” chce ograniczyć możliwość ujawniania (personalizacji) tych danych po trzech latach. Szczegółów tego rozwiązania nie podano.
Nowelizacja wprowadzi też abolicję wobec przewoźników – o co od dawna zabiegały linie lotnicze. Obejmie ona naruszenia dokonane do dnia wejścia w życie nowelizacji (przy spełnieniu określonych warunków). Na darowanie kary można będzie liczyć w przypadku lotów wewnątrzunijnych albo gdy przewoźnik w ciągu trzech miesięcy od wejścia w życie projektowanej ustawy wywiązał się z obowiązku, albo gdy przestał obsługiwać loty z Polski i do Polski. Kara za nieprzekazanie danych w terminie, tj. od 48 do 24 godzin przed lotem, wynosi 20 tys. zł – osobno za start i za lądowanie.
Planowany termin przyjęcia projektu nowelizacji przez Radę Ministrów to III kw. br.©℗
Podstawa prawna
Etap legislacyjny
Projekt wpisany do wykazu prac legislacyjnych i programowych Rady Ministrów