Reklama

Polityka obronna

Prace nad projektem ustawy o PNR w MSWiA. Kończy się czas na implementację dyrektywy [ANALIZA]

  • fot. Pixabay

Rządowe Centrum Legislacji umieściło na swoich stronach kolejną wersja projektu ustawy o przetwarzaniu danych dotyczących przelotu pasażera. Nowy akt prawny ma na celu wdrożenie do polskiego porządku prawnego przepisów unijnej dyrektywy 2016/681 z 27 kwietnia 2016 r. MSWiA jako gospodarz projektu dąży do zintensyfikowania prac nad ustawą, ponieważ termin na implementację przepisów tego aktu prawnego upływa 25 maja 2018 r. 

UE podejmuje starania w celu zapobieganiu terroryzmowi

Zniszczenie wież World Trade Centre 11 września 2001 r. oraz następująca później seria zamachów terrorystycznych dokonana z wykorzystaniem samolotów pasażerskich spowodowały, że Unia Europejska postanowiła podjąć legislacyjne działania zapobiegawcze. Pierwsze unijne rozwiązania prawne umożliwiały zbieranie i wymianę pozyskanych danych osobowych pomiędzy właściwymi organami ochrony porządku publicznego poszczególnych państw członkowskich. Mimo swojej przydatności, takie regulacje były skierowane na pozyskiwanie danych osób, które były już znane takim organom.

Wzmożone zagrożenie terrorystyczne spowodowało, że wskazane organy odpowiadające za bezpieczeństwo obywateli powinny otrzymać prawne narzędzia zdobywania danych osób, które wcześniej nie figurowały w ich rejestrach i bazach danych. Potwierdziły to analizy Komisji Europejskiej, które wykazały konieczność pogłębienia współpracy pomiędzy organami ochrony porządku publicznego w obszarze gromadzenia (Passenger Name Record - PNR) podróżujących drogą powietrzną na trasach międzynarodowych pomiędzy poszczególnymi krajami członkowskimi. PNR mogłyby być wykorzystywane reaktywnie, proaktywnie i w czasie rzeczywistego zagrożenia atakiem terrorystycznym. KE zaapelowała do państw członkowskich UE o nałożenie na przewoźników lotniczych prawnych obowiązków w zakresie przekazywania PNR organom ochrony porządku publicznego.

Komisja Europejska przyjęła 6 listopada 2007 r. szeroko konsultowany ze stowarzyszeniami przewoźników lotniczych wniosek dotyczący decyzji ramowej Rady w sprawie wykorzystywania danych dotyczących przelotu pasażerów (PNR) przez organy ochrony porządku publicznego (Council Framework Decision on the use of Passenger Name Record (PNR) data for law enforcement purposes). Proces legislacyjny został jednak zahamowany przez przyjęcie w 2009 r. Traktatu o Funkcjonowaniu Unii Europejskiej, który od 1 grudnia 2009 r. przemodelował zasady działania administracji unijnej. Ustalania w zakresie PNR oraz prawny model ich wdrożenia musiały ulec modyfikacji. W związku z tym Komisja Europejska 21 września 2010 r. przedstawiła w komunikacie pt. „Globalne podejście do przekazywania danych dotyczących przelotu pasażera (PNR) państwom trzecim” kilka zasadniczych elementów projektowanej polityki unijnej.

Dyrektywa w sprawie PNR

Zwieńczeniem starań Komisji Europejskiej było przedłożenie 2 lutego 2011 r. projektu dyrektywy regulującej kwestię wykorzystywania danych dotyczących przelotu pasażera (danych PNR), który został poddany konsultacjom w ramach instytucji unijnych. Ostatecznie doszło do przyjęcia dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/681 z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania. Państwa członkowskie zostały zobligowane do wdrożenia jej przepisów do krajowych porządków prawnych do 25 maja 2018 r.

W preambule dyrektywy wskazano, że skuteczne wykorzystywanie danych PNR, m.in. poprzez porównanie danych PNR z danymi zawartymi w różnych bazach danych poszukiwanych osób i przedmiotów, jest niezbędne do zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania, a tym samym do zwiększania bezpieczeństwa wewnętrznego, do zebrania dowodów, a – w odpowiednich przypadkach – do wykrycia współsprawców przestępstw i rozpracowania siatek przestępczych (motyw 6 preambuły dyrektywy).

Ponadto preambuła dyrektywy stanowi, że sprawdzenie danych PNR umożliwia identyfikację osób, które przed dokonaniem takiego sprawdzenia nie były podejrzewane o udział w przestępstwach terrorystycznych lub w poważnej przestępczości i które powinny być poddane dalszemu sprawdzeniu przez właściwe organy ochrony porządku publicznego. Jednakże aby ograniczyć przetwarzanie danych PNR do niezbędnego minimum, ustalanie i stosowanie kryteriów dokonywania sprawdzeń należy ograniczyć do przestępstw terrorystycznych i poważnej przestępczości, w przypadku których stosowanie takich kryteriów jest właściwe. Ponadto kryteria dokonywania sprawdzeń powinny zostać określone w taki sposób, by ograniczyć do minimum liczbę osób niewinnych błędnie zidentyfikowanych przez system (motyw 7 preambuły).

Zgodnie z preambułą dyrektywy dane PNR powinny być przekazywane do jednej wyznaczonej jednostki do spraw informacji o pasażerach we właściwym państwie członkowskim, tak by zapewnić przejrzystość i ograniczyć koszty ponoszone przez przewoźników lotniczych. Państwa członkowskie powinny wymieniać między sobą informacje za pośrednictwem odpowiednich sieci wymiany informacji, aby ułatwiać dzielenie się nimi i zapewnić interoperacyjność (motyw 13 preambuły).

Ponadto w myśl preambuły dyrektywy wykaz danych PNR otrzymywany przez jednostkę do spraw informacji o pasażerach należy sporządzać w taki sposób, by czynił on zadość zarówno uzasadnionym potrzebom organów publicznych w związku z zapobieganiem przestępstwom terrorystycznym lub poważnej przestępczości, ich wykrywaniem, prowadzeniem postępowań przygotowawczych w ich sprawie i ich ściganiem, przyczyniając się tym samym do poprawy bezpieczeństwa wewnętrznego w Unii, jak również ochronie praw podstawowych. W szczególności chodzi o prawo do prywatności i ochrony danych osobowych. W tym celu państwa członkowskie powinny stosować wysokie standardy zgodnie z Kartą praw podstawowych Unii Europejskiej, Konwencją Rady Europy nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 28 stycznia 1981 r. i Konwencją o Ochronie Praw Człowieka i Podstawowych Wolności z 4 listopada 1950 r. Taki wykaz danych nie powinien opierać się na rasie ani pochodzeniu etnicznym, na religii ani przekonaniach, na poglądach politycznych ani jakichkolwiek innych poglądach, na przynależności do związków zawodowych, stanie zdrowia, życiu seksualnym ani orientacji seksualnej danej osoby. Dane PNR powinny zawierać wyłącznie informacje dotyczące rezerwacji i tras podróży pasażerów, które umożliwią właściwym organom identyfikację pasażerów lotniczych stanowiących zagrożenie dla bezpieczeństwa wewnętrznego (motyw 15 preambuły).

Cyber security bezpieczeństwo html www sieć internet
Fot. domena publiczna / pixabay.com

W myśl preambuły dyrektywy uwzględniając prawo pasażerów do uzyskania informacji o przetwarzaniu ich danych osobowych, państwa członkowskie powinny zapewnić, by pasażerowie otrzymywali w sposób łatwo dostępny i zrozumiały dokładne informacje na temat zbierania danych PNR, przekazywania ich do jednostki do spraw informacji o pasażerach oraz o prawach przysługujących im jako osobom, których dane dotyczą (motyw 29 preambuły).

MSWiA przygotowało projekt ustawy o PNR

W Polsce organem odpowiedzialnym za przygotowanie rozwiązań legislacyjnych wdrażających do krajowego porządku prawnego dyrektywę 2016/681 został Minister Spraw Wewnętrznych i Administracji Mariusz Błaszczak wspierany merytorycznie przez Dyrektora Biura Prawnego Komendy Głównej Straży Granicznej pułkownika SG Marcina Własnowolskiego. Resort spraw wewnętrznych i administracji przygotował datowany na 14 listopada 2017 r. pierwszy projekt ustawy o przetwarzaniu danych dotyczących przelotu pasażera (dalej „Projekt ustawy o PNR”).

Po przeprowadzonych konsultacjach międzyresortowych i publicznych powstała nowa wersja datowana na 12 grudnia 2017 r. Została skierowana pod obrady Komitetu do spraw Europejskich, w ramach których swoje uwagi zgłosiły Ministerstwo Infrastruktury i Budownictwa, Ministerstwo Spraw Zagranicznych, Ministerstwo Finansów, Ministerstwo Cyfryzacji oraz Rządowe Centrum Legislacji. W związku z tym MSWiA zwróciło się do resortu spraw zagranicznych odpowiedzialnego za działanie Komitetu o zdjęcie projektu z obrad w celu odniesienia się do uwag, co też MSZ uczyniło 20 grudnia 2017 r. Jednocześnie Sekretarz Komitetu do spraw Europejskich Karolina Ostrzyniewska zwróciła się 21 grudnia 2017 r. do wiceminister SWiA Renaty Szczęch z pisemną prośbą o niezwłoczne przygotowanie nowego, w pełni uzgodnionego Projektu ustawy o PNR. To powoduje, że w nadchodzących tygodniach MSWiA zaprezentuje jego trzecią wersję. Wdrożenie dyrektywy 2016/681 do krajowego porządku prawnego wymaga m.in.:

- nałożenia na przewoźników lotniczych obowiązku przekazywania gromadzonych danych PNR,

- ustanowienia Krajowej Jednostki do spraw Informacji o Pasażerach (zwanej dalej ,,JIP”) odpowiedzialnej za gromadzenie i przetwarzanie uzyskanych od przewoźników danych PNR,

- określenia zasad przetwarzania danych PNR przez JIP,

- uregulowania kwestii ochrony przetwarzanych danych osobowych,

- określenia krajowych organów właściwych do wnioskowania lub otrzymywania danych PNR,

- uregulowania zasad współpracy międzynarodowej w zakresie wymiany danych PNR,

- ustanowienia administracyjnych kar pieniężnych za niewywiązywanie się przez przewoźników lotniczych z obowiązku dotyczącego przekazywania do JIP danych PNR. 

Najważniejsze regulacje zawarte w Projekcie ustawy o PNR

Projekt ustawy o PNR definiuje dane PNR jako dane dotyczące przelotu pasażera, w tym dane osobowe, które przetwarzane są w związku z prowadzeniem działalności gospodarczej przez przewoźników lotniczych w celu rezerwacji lub realizacji lotu w ramach przewozu lotniczego podlegające przekazaniu przez przewoźnika lotniczego do JIP. Natomiast przez przetwarzanie danych PNR rozumie się operacje wykonywane na danych PNR w sposób zautomatyzowany lub niezautomatyzowany, takie jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Projekt ustawy o PNR definiuje również wyniki przetwarzania danych PNR jako informacje będące rezultatem czynności polegających na porównywaniu danych PNR z innymi danymi PNR, wynikami ich przetwarzania oraz innymi informacjami, w tym przy zastosowaniu kryteriów przetwarzania danych PNR.

Co istotne, dane PNR otrzymane od przewoźników lotniczych mogą być przetwarzane wyłącznie w celu zapobiegania, wykrywania i zwalczania oraz ścigania sprawców przestępstw o charakterze terrorystycznym oraz 26 rodzajów przestępstw lub przestępstw skarbowych wymienionych w projekcie ustawy o PNR (m.in. nielegalny obrót bronią, amunicją lub materiałami wybuchowymi, porwanie statku wodnego lub powietrznego, szpiegostwo przemysłowe). Warto wskazać, że zgodnie z Kodeksem karnym przestępstwem o charakterze terrorystycznym jest czyn zabroniony zagrożony karą pozbawienia wolności, której górna granica wynosi co najmniej 5 lat, popełniony w celu:

1) poważnego zastraszenia wielu osób,

2) zmuszenia organu władzy publicznej Rzeczypospolitej Polskiej lub innego państwa albo organu organizacji międzynarodowej do podjęcia lub zaniechania określonych czynności,

3) wywołania poważnych zakłóceń w ustroju lub gospodarce Rzeczypospolitej Polskiej, innego państwa lub organizacji międzynarodowej

- a także groźba popełnienia takiego czynu.

Projekt ustawy o PNR dokładnie wymienia, które dane PNR są przetwarzane w celu zapobiegania, wykrywania i zwalczania przestępstw o charakterze terrorystycznym i niektórych innych przestępstw oraz ścigania ich sprawców. Są to m.in. imię i nazwisko pasażera, jego adres i dane kontaktowe, numer miejsca na pokładzie czy informacje o programach lojalnościowych. W myśl projektu ustawy o PNR przewoźnicy lotniczy wykonujący loty PNR są obowiązani do nieodpłatnego przekazywania do JIP danych PNR dotyczących wszystkich pasażerów, które gromadzą w trakcie prowadzonej przez siebie działalności w celu realizacji przewozu lotniczego.

Dane PNR muszą być przekazywane przez przewoźników lotniczych do JIP drogą elektroniczną za pośrednictwem Krajowego Systemu Informatycznego PNR (dalej „KSI PNR”) w terminach:

1) od 48 do 24 godzin przed planowanym rozpoczęciem lotu PNR, oraz

2) niezwłocznie po zakończeniu odprawy biletowo-bagażowej i wejściu pasażerów na pokład statku powietrznego, kiedy pasażerowie nie mogą już wejść na pokład ani go opuścić przed jego startem.

Niemniej, w razie bezpośredniego i rzeczywistego zagrożenia przestępstwem właściwe organy mogą wystąpić do danego przewoźnika lotniczego w innym terminie, a przewoźnik lotniczy, na wniosek JIP, jest obowiązany przekazać dane PNR w terminie określonych w tym wniosku.

Co istotne, projekt ustawy o PNR nakłada na przewoźników lotniczych obowiązek informowania, w sposób łatwo dostępny i zrozumiały, każdego pasażera o przekazywaniu jego danych PNR do JIP oraz o przysługującym mu prawie do ochrony jego danych osobowych.

Krajowa Jednostka do spraw Informacji o Pasażerach oraz Krajowy System Informatyczny PNR

W perspektywie 10 lat maksymalny limit wydatków MSWiA związanych z funkcjonowaniem i obsługą JIP oraz KSI PNR, będących skutkiem finansowym wejścia w życie Projektu ustawy o PNR, wynosi 124 107 000 zł. Projekt ustawy o PNR nakłada na Komendanta Głównego Straży Granicznej obowiązek utworzenia w Straży Granicznej komórki organizacyjnej, która ma pełnić funkcję Krajowej Jednostki do spraw Informacji o Pasażerach. W praktyce te zadania będą wykonywać dwie istniejące jednostki organizacyjne Straży Granicznej: Zarząd Operacyjno-Śledczy KGSG oraz Biuro Łączności i Informatyki KGSG. W związku z tym MSWiA przewiduje, że obsada etatowa Straży Granicznej będzie musiała się docelowo zwiększyć o 57 stanowisk. Łączny koszt stworzenia nowych etatów sięgnie w skali roku niemal 3,6 mln zł.

Fot. Straż Graniczna
Fot. Komenda Główna Straży Granicznej

Z kolei w ocenie MSWiA budowa, wdrożenie, rozwój i modernizacja Krajowego Systemu Informatycznego PNR pochłonie w perspektywie 10 lat około 87,2 mln zł, z czego 26,3 mln zł zostanie uzyskane przez resort z unijnego Funduszu Bezpieczeństwa Wewnętrznego (Internal Security Fund). Fundusz to unijny instrument na rzecz wsparcia finansowego państw członkowskich UE w zakresie granic zewnętrznych i wiz ustanowiony na okres od 1 stycznia 2014 r. do 31 grudnia 2020 r. Najwięcej będzie kosztować zakup infrastruktury teleinformatycznej. W ocenie MSWiA szacowany jednorazowy koszt tego przedsięwzięcia wyniesie w 2018 r. około 19,4 mln zł. Natomiast w 2023 r. resort przewiduje wymianę sprzętu, co będzie kosztować jednorazowo około 23,1 mln zł. Projekt ustawy o PNR wskazuje, że organem odpowiedzialnym za funkcjonowanie KSI PNR będzie Komendant Główny Straży Granicznej.

Do zadań JIP będzie należeć przetwarzanie i wymiana za pośrednictwem KSI PNR danych PNR w tym:

1) gromadzenie i przechowywanie danych PNR przekazanych przez przewoźników lotniczych;

2) przekazywanie danych PNR lub wyników ich przetwarzania właściwym organom;

3) wymiana danych PNR lub wyników ich przetwarzania z innymi państwami członkowskimi;

4) przekazywanie danych PNR lub wyników ich przetwarzania do Europolu;

5) przekazywanie danych PNR lub wyników ich przetwarzania państwom trzecim;

6) dokonywanie sprawdzeń danych PNR według kryteriów przetwarzania danych PNR;

7) dokonywanie analizy danych PNR oraz wyników ich przetwarzania;

8) opracowywanie informacji statystycznych o danych PNR przekazanych do JIP.

Co istotne, JIP nie będzie uprawnione do przetwarzania danych PNR ujawniających rasę lub pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, stan zdrowia, życie seksualne lub orientacje seksualną danej osoby. W przypadku otrzymania takich danych przez JIP podlegają one niezwłocznie usunięciu. Jest to zgodne z przepisami dyrektywy 2016/681.

Do JIP będą mogły zgłaszać się z pisemnym wnioskiem organy wyszczególnione w projekcie ustawy o PNR w celu uzyskania danych PNR lub wyników ich przetwarzania. Chodzi o 11 organów:

1) Generalny Inspektor Informacji Finansowej;

2) Komendant Główny Policji;

3) Komendant Główny Straży Granicznej;

4) Komendant Główny Żandarmerii Wojskowej;

5) Prokurator Krajowy;

6) Szef Agencji Bezpieczeństwa Wewnętrznego;

7) Szef Agencji Wywiadu;

8) Szef Centralnego Biura Antykorupcyjnego;

9) Szef Krajowej Administracji Skarbowej;

10) Szef Służby Kontrwywiadu Wojskowego oraz

11) Szef Służby Wywiadu Wojskowego.

Projekt ustawy o PNR reguluje również zasady współpracy JIP z analogicznymi jednostkami z innych państw członkowskich UE oraz państwami spoza UE jak również z Europolem.

Zgodnie z Projektem ustawy o PNR w terminie do dnia 31 marca każdego roku Komendant Główny Straży Granicznej będzie zobowiązany do przedstawienia szefowi MSWiA sprawozdania z działalności JIP w poprzednim roku kalendarzowym. Sprawozdanie będzie zawierać w szczególności dane statystyczne dotyczące łącznej liczby pasażerów, których dane PNR zostały zebrane przez JIP.

Ochrona danych osobowych pasażerów

Za monitorowanie przetwarzania danych PNR przez JIP będzie odpowiadał Inspektor do spraw ochrony danych o pasażerach wyznaczany przez Komendanta Głównego Straży Granicznej. Inspektor będzie wybierany spośród osób posiadających wiedzę i doświadczenie w zakresie przepisów prawa i praktyki w dziedzinie przetwarzania danych osobowych i będzie podlegać bezpośrednio Komendantowi. Inspektor będzie dokonywał analizy stwierdzonych naruszeń w zakresie przetwarzania danych PNR. W zależności od ich wagi i charakteru będzie podejmował decyzję o ewentualnym poinformowaniu o ujawnionych uchybieniach Generalnego Inspektora Ochrony Danych Osobowych.

Co istotne, projektowane rozwiązania muszą być zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. RODO, które będzie mieć zastosowanie od 25 maja 2018 r., a więc od daty, do której ma być transponowana dyrektywa 2016/681.

gdańsk lotnisko
Fot. Wikimedia Commons/CC BY 3.0

Kary pieniężne

Zgodnie z Projektem ustawy o PNR Komendant Główny Straży Granicznej uzyska uprawnienie do nakładania na przewoźników lotniczych administracyjnych kar pieniężnych, które będą stanowić dochód budżetu państwa. Będzie mógł ich ukarać w przypadku gdy dany przewoźnik lotniczy dopuści się naruszeń w zakresie niedopełnienia obowiązku przekazywania danych PNR do JIP. Wysokość kar wynosi od 10 do 20 tys. zł za każdy lot PNR, w którym nastąpiło określone naruszenie.  W przypadku wystąpienia więcej niż jednego z naruszeń podczas jednego lotu PNR, Komendant Główny Straży Granicznej sumuje kary pieniężne z tytułu tych naruszeń. W takim wypadku suma nałożonych kar pieniężnych z tytułu jednego lotu PNR nie może przekroczyć wysokości 40 tys. zł.

Podsumowanie

Ustawa o PNR musi wejść w życie najpóźniej 25 maja 2018 r., aby Polska nie uchybiła obowiązkowi ciążącemu na niej z tytułu dyrektywy 2016/681. Czasu zostało niewiele zwłaszcza, że projekt ustawy o PNR wciąż znajduje się etapie prac przedparlamentarnych. Nowe regulacje mają przyczynić się do zwiększenia bezpieczeństwa na obszarze UE oraz do wsparcia działań Straży Granicznej oraz innych organów mających na celu zapobieganie poważnym przestępstwom, w tym zwłaszcza terrorystycznym. Szczególne istotne będzie jednak zapewnienie przez JIP ochrony gromadzonych danych PNR oraz sprawnego funkcjonowania KSI PNR. Z perspektywy przewoźników lotniczych przyszłe wejście w życie ustawy o PNR będzie się wiązało z koniecznością poniesienia kosztów dostosowania swoich systemów informatycznych do bezpiecznego i terminowego przekazywania danych do JIP. W przeciwnym razie grożą im kary pieniężne, które będzie nakładał Komendant Główny Straży Granicznej.

Wojciech Pawłuszko

Reklama

Komentarze (1)

  1. krecik_77

    Czyli niecałe 5 miesięcy na opracowanie standardów wymiany danych, zakup urządzeń, wdrożenie i szkolenia. Powodzenia.

Reklama