Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Ochrona danych osobowych dotyczących przelotu pasażera (PNR) oraz o pasażerach (API)

Ochrona danych osobowych dotyczących przelotu pasażera (PNR) oraz o pasażerach (API)

27.04.2023
Autor: dr Adam Rogala - Lewicki
News

Realizując cel związany z zapewnieniem bezpieczeństwa publicznego legislator europejski dostrzegł powiązanie między terroryzmem i przestępczością transgraniczną a podróżami międzynarodowymi i w tym celu zdecydował się na wykorzystanie mechanizmu gromadzenia przez przewoźników lotniczych danych dotyczących przelotu pasażera.

Przetwarzanie takich informacji oczywiście musiało zostać obudowane modelem ochrony danych osobowych. W ten sposób powstał system PNR (Passenger Name Record), który uzupełnił już funkcjonujące narzędzia zwalczania przestępczości transgranicznej (vide system Schengen). Przewoźnicy lotniczy muszą przekazywać dane PNR dotyczące lotów przychodzących i wychodzących z UE. Ujednolicenie standardu uzyskano dyrektywą Parlamentu Europejskiego i Rady (UE) 2016/681^[i]. Potrzeba wprowadzenia uregulowań wiązała się również z zawarciem przez UE umów międzynarodowych wprowadzających obowiązek przekazywania danych PNR władzom państw trzecich^[ii] (USA^[iii], Australii^[iv], Kanady^[v] czy Japonii^[vi]). W Polsce transpozycję ww. dyrektywy przeprowadzono ustawą z dnia 9 maja 2018 roku o przetwarzaniu danych dotyczących przelotu pasażera. Ustawa nakłada obowiązek na przewoźników lotniczych przekazywania do Krajowej Jednostki ds. Informacji o Pasażerach (JIP) danych PNR[vii].

Przekazanie danych następuje na rzecz Straży Granicznej i przybiera formę aktywną oraz bierną. Ta pierwsza dotyczy każdego z planowanych lotów we wskazanych w ustawie terminach, tj. od 48 do 24 godzin przed planowanym rozpoczęciem lotu PNR, oraz niezwłocznie po zakończeniu odprawy biletowo-bagażowej i wejściu wszystkich pasażerów na pokład statku powietrznego. W przypadku drugiej formy Straż Graniczna może wystąpić o przekazanie danych PNR. Przewoźnik lotniczy powinien przekazywać dane za pomocą środków komunikacji elektronicznej, przy wykorzystaniu protokołów oraz formatów danych określonych w przepisach wykonawczych do ustawy^[viii]. Do katalogu przekazywanych danych należą m.in.:

Data dokonania rezerwacji lub wystawienia biletu.
Data przelotu.
Imię i nazwisko pasażera oraz jego dane teleadresowe.
Informacje dotyczące płatności za bilet.
Numer miejsca na pokładzie statku powietrznego.
Informacje dotyczące bagażu.
Obywatelstwo, płeć i pozostałe dane z dokumentu tożsamości.

Obok danych PNR niektórzy przewoźnicy lotniczy, w ramach gromadzenia i przetwarzania danych PNR, w związku z zwalczaniem nielegalnej imigracji i ulepszeniem kontroli granicznej, mają również obowiązek zatrzymać zebrane przez nich zaawansowane informacje o pasażerach, tj. dane API (Advance Passenger Information). Obowiązek przewoźników, wynikający z dyrektywy 2004/82/WE z dnia 29 kwietnia 2004 roku w sprawie zobowiązania przewoźników do przekazywania danych pasażerów (dyrektywa API)^[ix], ogranicza się jednak wyłącznie do lotów z/do państw trzecich, a dane udostępniane są na wniosek organów). Dane przekazywane na wniosek obejmują:

Imię lub imiona oraz nazwisko w pełnym brzmieniu.
Datę urodzenia.
Numer i rodzaj dokumentu podróży.
Nazwę przejścia granicznego, w którym nastąpi przekroczenie granicy RP.
Numer lotu.
Datę i czas startu i lądowania statku powietrznego.
Liczbę pasażerów statku powietrznego.
Lotnisko wejścia pasażera na pokład statku powietrznego w celu odbycia lotu^[x].

Dane API powinny być przekazane po zakończeniu odprawy bagażowej i nie później niż w chwili startu. Komendant SG usuwa dane po zakończeniu kontroli granicznej danego lotu, jednak nie później niż po upływie 24 godzin od chwili przekazania informacji przez przewoźnika w odpowiednim formacie technicznym^[xi].

Przewoźnicy lotniczy, obok obowiązku informacyjnego względem organów publicznych, na okoliczność gromadzenia i przetwarzania danych osobowych podróżnych, muszę zrealizować obowiązek informacyjny również względem osób, których dane dotyczą. Przepisy PNR nakładają w tym zakresie dodatkowy – obok RODO – szczegółowy zakres klauzuli informacyjnej.

Za niedopełnienie obowiązków wynikających z ustawy PNR na przewoźnika lotniczego mogą zostać nałożone administracyjne kary pieniężne w zryczałtowanej wysokości. Kara nakładana jest oddzielnie za każdy lot oraz w odniesieniu do każdego z terminów, w którym dany przewoźnik lotniczy był zobowiązany do przekazania danych PNR, co oznacza możliwość sumowania kar. Nałożenie kary następuje w formie decyzji administracyjnej Komendanta Głównego Straży Granicznej (lub komendanta oddziału Straży Granicznej[xii]), która może zostać wydana w terminie 3 lat od dnia, w którym przewoźnik lotniczy dopuścił się naruszenia. Ukarany może wystąpić z wnioskiem o ponowne rozpatrzenie sprawy albo wnieść skargę do sądu administracyjnego (w przypadku decyzji komendanta oddziału SG przysługuje wniosek o ponowne rozpatrzenie sprawy przez ten sam organ). Przewoźnik lotniczy, który: nie przekazuje danych PNR do JIP w terminie podlega administracyjnej karze pieniężnej w wysokości 20 000 zł, natomiast ten, który nie przekazuje do JIP wszystkich zgromadzonych, w celu dokonania rezerwacji lub realizacji lotu PNR, elementów kategorii danych PNR, do których przekazania był zobowiązany, podlega administracyjnej karze pieniężnej w wysokości 12 000 zł – za każdy lot PNR, w którym takie naruszenie nastąpiło. Najwyższa kara, jaka może zostać nałożona na przewoźnika lotniczego w związku z jednym lotem PNR, nie może przekroczyć 40 000 zł. Kary mogą być zmniejszone o 50%, jeśli przewoźnik lotniczy usunie skutki swojego naruszenia, czyli przekaże dane PNR w dodatkowych określonych w ustawie terminach (w zależności od rodzaju naruszenia – do 6 godzin przed startem lub do czasu lądowania)^[xiii].

Kary administracyjne za nieprzekazanie danych PNR

Nieprzekazanie danych PNR za jeden lot PNR	Zgodnie z wymogami ustawy PNR	Na wniosek Straży Granicznej
Nieprzekazanie w ogóle lub nie w terminie	20 000 zł.	10 000 zł.
Nie wszystkie posiadane kategorie danych	12 000 zł.	6 000 zł.
Nie w sposób zgodny z ustawą PNR	16 000 zł.	8 000 zł.

Źródło: ustawa z dnia 9 maja 2018 roku o przetwarzaniu danych dotyczących przelotu pasażera, Dz.U. z 2019r., poz. 1783.

Przewoźnik lotniczy nie podlega karze pieniężnej w przypadku, gdy niedopełnienie obowiązku nastąpiło w wyniku: działania siły wyższej, awarii systemu służącego SG do pozyskiwania oraz przetwarzania danych PNR, awarii powstałej po stronie przewoźnika lotniczego.

W przypadku danych API, zgodnie z dyrektywą 2004/82/WE, państwa członkowskie podejmują niezbędne środki, aby zapewnić, że sankcje na przewoźników są odstraszające, skuteczne i proporcjonalne oraz że: maksymalna wysokość takich sankcji jest nie mniejsza niż 5.000 EUR lub ekwiwalent w walucie krajowej, albo minimalna wysokość takich sankcji jest nie mniejsza niż 3.000 EUR lub niż ekwiwalent w walucie krajowej^[xiv]. Przewoźnik lotniczy, który wbrew obowiązkowi:

Nie przekazał informacji – podlega karze pieniężnej w wysokości 22 500 zł.
Przekazał informację nieprawdziwą – podlega karze w wysokości 18 000 zł.
Przekazał informację niepełną – podlega karze pieniężnej w wysokości 13 500 zł.
– za każdy lot, w którym odpowiednio nie przekazał informacji, przekazał informację nieprawdziwą lub przekazał informację niepełną. Kary pieniężne, na wniosek komendanta placówki Straży Granicznej właściwego ze względu na miejsce przekroczenia granicy przez pasażerów statku powietrznego, wymierza Prezes Urzędu Lotnictwa Cywilnego^[xv].

[i] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/681 z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania. Dz.Urz. UE L 132 z 4.5.2016, s. 119.

[ii] UE podpisała już umowy pozwalające unijnym przewoźnikom przekazywać dane pasażera do USA, Kanady i Australii. W lutym 2020 roku Rada przyjęła decyzję upoważniającą do rozpoczęcia negocjacji w sprawie podobnej umowy z Japonią. Zob. Rezolucja Parlamentu Europejskiego z dnia 5 maja 2010 r. dotycząca rozpoczęcia negocjacji w sprawie umów dotyczących rejestru nazwisk pasażerów (PNR) ze Stanami Zjednoczonymi, Australią i Kanadą, 2011/C 81 E/12 (Dz.Urz. UE C z dnia 15.3.2011 r.).

[iii] Zob. umowa między USA a UE o wykorzystywaniu danych dot. przelotu pasażera (PNR) praz przekazywania takich danych do Departamentu Bezpieczeństwa Wewnętrznego USA (Dz.Urz. UE L 215 z 11.6.2012 r.). Por. Umowa między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu przez przewoźników lotniczych danych dotyczących przelotu pasażera (PNR) do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (Dz. Urz. UE L 298 z 2006 r.), (akt uchylony).

[iv] Umowa między UE a Australią o przetwarzaniu i przekazywaniu przez przewoźników lotniczych australijskiej służbie celnej danych PNR pochodzących z UE (Dz.Urz. UE L 213 z 8.8.2008 r.).

[v] Zob. (a) umowa między Wspólnotą Europejską a Rządem Kanady o przetwarzaniu zaawansowanych informacji o pasażerach oraz zapisu danych dotyczących nazwiska pasażera (Dz. Urz. UE L 82 z 21.3.2006, s. 15),
(b) decyzja Rady z dnia 18 lipca 2005 r. w sprawie zawarcia Umowy pomiędzy Wspólnotą Europejską a Rządem Kanady o przetwarzaniu danych API/PNR (2006/230/WE), (Dz. Urz. UE L 82 z 21.3.2006, s. 14).

[vi] Decyzja Rady upoważniająca do rozpoczęcia negocjacji z Japonią w sprawie umowy między Unią Europejską a Japonią o przekazywaniu i wykorzystywaniu danych dotyczących przelotu pasażera (PNR) w celu zapobiegania terroryzmowi i poważnym przestępstwom transgranicznym oraz walki z nimi, 5378/20, Bruksela 4 lutego 2020 r.

[vii] Zgodnie z ustawowym słownikiem definicyjnym, dane PNR obejmują dane dotyczące przelotu pasażera, w tym dane osobowe, które są przetwarzane w związku z prowadzeniem działalności gospodarczej przez przewoźników lotniczych w celu dokonania rezerwacji lub realizacji lotu w ramach przewozu lotniczego, podlegające przekazaniu przez przewoźnika lotniczego do JIP.

[viii] Zob. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 maja 2018 r. w sprawie określenia protokołów i formatów danych wykorzystywanych przez przewoźników lotniczych w celu przekazywania danych PNR do Krajowej Jednostki do spraw Informacji o Pasażerach (Dz.U. z 2018 r., poz. 1012). Por. rozporządzenie Rady Ministrów z dnia 30 maja 2018 r. w sprawie przetwarzania danych dotyczących przelotu pasażera przez Krajową Jednostkę do spraw Informacji o Pasażerach (Dz.U. z 2018 r., poz. 1148).

[ix] Dz.Urz. UE L 261 z 6.8.2004 r., s. 24-27. W Polsce dyrektywa 2004/82/WE (API) została implementowana m.in. przepisami art. 202a-202d, 209u ustawy z dnia 3 lipca 2002 r. Prawo lotnicze (Dz.U. z 2002 r. Nr 130, poz. 1112 z późn. zm.).

[x] Art. 202a ust. 3 ustawy z dnia 3 lipca 2002 r. Prawo lotnicze (Dz.U. z 2002 r. Nr 130, poz. 1112 z późn. zm.).

[xi] Zob. rozporządzenie Ministra Spraw Wewnętrznych z dnia 24 października 2012 r. w sprawie wymagań technicznych i organizacyjnych dotyczących przekazywania Straży Granicznej informacji przez przewoźników lotniczych (Dz. U. z 2012 r., poz. 1249). Por. Opinia nr 9/2006 dotycząca wdrożenia dyrektywy 2004/82/WE Rady w sprawie zobowiązania przewoźników do przekazywania z wyprzedzeniem danych pasażerów, (WP 127), przyjęta 28 września 2006 r., Grupa Robocza art. 29.

[xii] Art. 1 ustawy z dnia 27 stycznia 2022 r. o zmianie ustawy o przetwarzaniu danych dotyczących przelotu pasażera (Dz. U. 2022 poz. 271).

[xiii] Art. 64-70 ustawy z dnia 9 maja 2018 r. o przetwarzaniu danych dotyczących przelotu pasażera (Dz.U. z 2019r., poz. 1783).

[xiv] Art. 4 dyrektywy 2004/82/WE z dnia 29 kwietnia 2004 r. w sprawie zobowiązania przewoźników do przekazywania danych pasażerów (dyrektywa API), (Dz.Urz. UE L 261 z 6.8.2004 r., s. 24-27).

[xv] Art. 209u ustawy z dnia 3 lipca 2002 r. Prawo lotnicze (Dz.U. z 2002 r. nr 130, poz. 1112 z późn. zm.).

Autor

dr Adam Rogala - Lewicki

Adwokat, Konsultant ds. Danych Osobowych. Prawnik z doświadczeniem w zakresie obsługi podmiotów korporacyjnych w ramach obrotu cywilnego, handlowego i gospodarczego, specjalizujący się w prawie ochrony danych osobowych, bezpieczeństwa informacji, nowych technologii oraz własności intelektualnej. Specjalista w zakresie audytowania i wdrażania systemów ochrony danych osobowych, zarządzania bezpieczeństwem informacji, compliance, corporate governance i due diligence. W obszarze danych osobowych również pełnomocnik w sporach z PUODO oraz GIODO. Studiował na Uniwersytecie Warszawskim, Uniwersytecie im. Kardynała Stefana Wyszyńskiego w Warszawie, Uniwersytecie Paris X Nanterre, w Akademii Obrony Narodowej, był stypendystą Funduszu Stypendialnego i Szkoleniowego na Uniwersytecie w Oslo i w Liechtenstein Institute oraz rządu Indii w International Management Institute w New Delhi. W pracy posługuje się również językiem angielskim i francuskim.

Z tej samej kategorii

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

Technologia rozpoznawania twarzy w obszarze ochrony porządku publicznego – wytyczne Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>