(Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD https://edps.europa.eu)13 grudnia 2022 r. Komisja Europejska przedstawiła dwa wnioski ustawodawcze w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą ("API"): wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą (API) w celu usprawnienia i ułatwienia kontroli na granicach zewnętrznych ("wniosek dotyczący API do celów zarządzania granicami") oraz wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania ("wniosek dotyczący API do celów ścigania przestępstw") (zwane dalej łącznie "wnioskami").
Wniosek dotyczący API do celów zarządzania granicami przedstawiono z zamiarem poprawy i ułatwienia skuteczności i efektywności kontroli na granicach zewnętrznych oraz walki z nielegalną imigracją, a także zastąpienia obowiązującej dyrektywy Rady 2004/82/WE 1 ("dyrektywa API"). Wniosek dotyczący API do celów ścigania przestępstw przedstawiono z zamiarem ustanowienia lepszych zasad gromadzenia i przekazywania danych API przez przewoźników lotniczych na potrzeby zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia dochodzeń w ich sprawie i ich ścigania, w uzupełnieniu obowiązującej dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/681 2 ("dyrektywa PNR").
Biorąc pod uwagę, że operacje przetwarzania danych, które wynikają z wniosków, odpowiadają już istniejącym operacjom przetwarzania danych przewidzianym w prawie Unii lub je uzupełniają, w opinii skoncentrowano się przede wszystkim na konieczności i proporcjonalności planowanego przetwarzania danych API pochodzących z lotów wewnątrzunijnych oraz na jego zgodności z dyrektywą PNR, według wykładni zawartej w wyroku TSUE w Sprawie C-817/19 3 .
Chociaż EIOD uważa proponowane rozwiązanie dotyczące lotów wewnątrzunijnych za zasadniczo wystarczające do zapewnienia zgodności z wyrokiem TSUE w sprawie art. 2 dyrektywy PNR, zwraca się jednak do współprawodawców o rozważenie opracowania zharmonizowanych kryteriów wyboru lotów wewnątrzunijnych, z których należy gromadzić dane API, zgodnie z warunkami określonymi przez Trybunał. Ponadto EIOD zaleca jeszcze większe wzmocnienie bezpieczeństwa przetwarzania danych API w routerze za pomocą dodatkowych zabezpieczeń, takich jak pseudonimizacja lub szyfrowanie danych API, jeżeli jest to technicznie i operacyjnie wykonalne.
Opinia zawiera również inne szczegółowe zalecenia, takie jak konieczność wyraźnego wyjaśnienia we wnioskach, że w przypadku technicznej niemożności przesyłania przez router danych API przekazywanych przez przewoźników lotniczych właściwym organom krajowym, dane te powinny być automatycznie usuwane.
1. WPROWADZENIE
1. 13 grudnia 2022 r. Komisja Europejska opublikowała dwa wnioski ustawodawcze dotyczące gromadzenia i przekazywania wstępnych informacji o pasażerach ("wnioski"):
- wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą (API) w celu usprawnienia i ułatwienia kontroli na granicach zewnętrznych, zmieniające rozporządzenie (UE) 2019/817 i rozporządzenie (UE) 2018/1726 oraz uchylające dyrektywę Rady 2004/82/WE 4 ,
- wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania oraz zmieniające rozporządzenie (UE) 2019/818 5 .
2. Wniosek dotyczący API do celów zarządzania granicami przedstawiono z zamiarem usprawnienia i ułatwienia skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych i zwalczania nielegalnej imigracji 6 , a tym samym zastąpienia obowiązującej dyrektywy 2004/82/WE.
3. Wniosek dotyczący API do celów ścigania przestępstw przedstawiono z zamiarem ustanowienia lepszych przepisów dotyczących gromadzenia i przekazywania danych API przez przewoźników lotniczych do celów zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania, 7 w uzupełnieniu obowiązującej dyrektywy (UE) 2016/681.
4. Wnioski są spójne ze strategią Schengen z czerwca 2021 r. przedstawioną w komunikacie Komisji pt. "Strategia na rzecz w pełni funkcjonującej i odpornej strefy Schengen", w którym wyraźnie podkreślono potrzebę zwiększonego wykorzystywania danych API w połączeniu z danymi PNR w celu znacznego zwiększenia bezpieczeństwa wewnętrznego, zgodnie z podstawowym prawem do ochrony danych osobowych i podstawowym prawem do swobodnego przemieszczania się 8 . Ponadto na szczeblu międzynarodowym Rada Bezpieczeństwa Organizacji Narodów Zjednoczonych i Organizacja Bezpieczeństwa i Współpracy w Europie (OBWE) również wielokrotnie wzywały do utworzenia i globalnego wdrożenia systemów API i PNR do celów egzekwowania prawa 9 .
5. Niniejszą opinię EIOD wydano w odpowiedzi na konsultacje przeprowadzone przez Komisję Europejską z 14 grudnia 2022 r. zgodnie z art. 42 ust. 1 rozporządzenia UE o ochronie danych 10 . EIOD z zadowoleniem przyjmuje odniesienie do tych konsultacji w motywie 44 wniosku dotyczącego API do celów zarządzania granicami i w motywie 29 wniosku dotyczącego API do celów ścigania przestępstw. W tym względzie EIOD z zadowoleniem zauważa również, że uprzednio przeprowadzono już z nim nieformalne konsultacje, zgodnie z motywem 60 EUDPR.
6. Biorąc pod uwagę ścisłe powiązanie wniosków 11 , w tym liczne odniesienia między nimi, wydaje się, że EIOD powinien je ocenić w jednej opinii.
9. WNIOSKI
45. W świetle powyższego EIOD zaleca współprawodawcom, co następuje:
(1) rozważyć opracowanie zharmonizowanych kryteriów i metodologii wyboru lotów wewnątrzunijnych, z których należy gromadzić dane API;
(2) przewidzieć we wniosku dotyczącym API do celów ścigania szczególne środki zapewniające bezpieczeństwo danych API przetwarzanych do celów zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia dochodzeń w ich sprawie i ich ścigania, lub ewentualnie odnieść się do odpowiednich przepisów dotyczących bezpieczeństwa we wniosku dotyczącym API do celów zarządzania granicami;
(3) doprecyzować w art. 12 wniosku dotyczącego API do celów zarządzania granicami, że w przypadku braku technicznej możliwości późniejszego przekazania danych API właściwym organom krajowym, dane te powinny zostać automatycznie usunięte;
(4) wyjaśnienie we wniosku dotyczącym API do celów zarządzania granicami podziału obowiązku przekazywania danych API w przypadkach, gdy lot jest dzielony kodem między kilku przewoźników lotniczych.
Bruksela, dnia 8 lutego 2023 r.
1 Dyrektywa Rady 2004/82/WE z dnia 29 kwietnia 2004 r. w sprawie zobowiązania przewoźników do przekazywania danych pasażerów (Dz.U. L 261 z 6.8.2004, s. 24.).
2 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/681 z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania (Dz.U. L 119 z 4.5.2016, s. 132.).
3 ECLI:EU:C:2022:491.
4 COM(2022) 729 final.
5 COM(2022) 731 final.
6 Zob. art. 1 wniosku API do celów zarządzania granicami.
7 COM(2022) 731 final, Uzasadnienie wniosku dotyczącego API do celów egzekwowania prawa, s. 3.
8 COM(2021) 277 final.
9 Rezolucje Rady Bezpieczeństwa ONZ nr 2178(2014), 2309(2016), 2396(2017), 2482(2019) oraz decyzja Rady Ministerialnej OBWE nr 6/16 z dnia 9 grudnia 2016 r. w sprawie lepszego wykorzystywania danych pasażera przekazywanych przed podróżą.
10 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39.).
11 Zob. motyw 11 wniosku dotyczącego API do celów ścigania przestępstw.
