Europejski Trybunał Sprawiedliwości orzekł we wtorek, że unijna dyrektywa w sprawie danych dotyczących pasażerów podróżujących liniami lotniczymi (PNR) za daleko ingeruje w życie prywatne. Rządy krajów UE muszą ją w taki sposób interpretować i stosować, by w jak najmniejszym stopniu prowadzić nadzór nad osobami podróżującymi po Europie.
Trybunał rozstrzygał w sprawie C-817/19 | Ligue des droits humains. Uznał, że poszanowanie praw podstawowych wymaga, aby uprawnienia przewidziane w dyrektywie w sprawie danych PNR były ograniczone do tego, co jest ściśle niezbędne.
W 2016 r. przyjęto dyrektywę PNR, która – pod pretekstem zwalczania zagrożeń terrorystycznych – zobowiązywała linie lotnicze do przekazywania władzom krajowym danych wszystkich pasażerów wjeżdżających lub wyjeżdżających z Unii Europejskiej. Jednocześnie dyrektywa pozwoliła na rozszerzenie procedur na loty z innych krajów UE, pod warunkiem poinformowania Komisji Europejskiej o stosowanych praktykach. Jedynie Austria i Irlandia w ramach UE nie zamierzały rozszerzać szczególnych procedur bezpieczeństwa.
Wesprzyj nas już teraz!
W 2017 r. belgijska Ligue des droits humains wniosła skargę do Trybunału Konstytucyjnego na belgijską ustawę, rozszerzającą interpretację dyrektywy. Organizacja argumentowała, że przepisy wprowadzające powszechny nadzór naruszają prawa podstawowe do prywatności i ochrony danych. Uznała także, że dyrektywa jest sprzeczna z podstawową zasadą UE o swobodnym przepływie ludzi, a gromadzenie i przetwarzanie danych osobowych dotyczących lotów wewnątrzunijnych przywróciło de facto granice.
Belgijski Trybunał zwrócił się o interpretację dyrektywy do TSUE. Unijny Trybunał potwierdził, że dyrektywa stanowi poważną ingerencję w prawo do prywatności i ochrony danych wskutek wprowadzenia ciągłego i powszechnego systemu nadzoru.
Sędziowie wskazali, że praktyki gromadzenia, przetwarzania i przechowywania danych o osobach podróżujących po UE mają być ściśle ograniczone, by uwzględniać jedynie zwalczanie terroryzmu i poważnej przestępczości.
W przypadku braku rzeczywistego i obecnego lub przewidywalnego zagrożenia terrorystycznego państwa członkowskie nie mogą stosować powszechnej inwigilacji, gromadzić, przetwarzać i profilować obywateli.
Zdaniem Trybunału, dyrektywa PNR dotyczy „bardzo szerokiego charakteru danych” i jest rozszerzana nie tylko na obszar wewnątrzunijnych lotów, ale także do transportu innymi środkami na terenie Unii Europejskiej.
W październiku 2019 r. belgijski Trybunał Konstytucyjny skierował do Trybunału Sprawiedliwości dziesięć pytań prejudycjalnych. TSUE mimo wielu zastrzeżeń nie zdecydował się unieważnić dyrektywy PNR, ale uznał, że należy ją wąsko interpretować i – o ile to możliwe – w taki sposób, by nie naruszać praw podstawowych. Sędziowie stwierdzili, że dyrektywa PNR „pociąga za sobą niezaprzeczalnie poważną ingerencję w prawa gwarantowane w: art. 7 i 8 Karty, w zakresie, w jakim, między innymi, ma na celu wprowadzenie systemu nadzoru, który ma charakter ciągły, nieukierunkowany i systematyczny, w tym zautomatyzowanej oceny danych osobowych wszystkich osób korzystających z powietrznych usług transportowych”.
Trybunał stwierdził, że przekazywanie, przetwarzanie i przechowywanie danych PNR przewidziane w tej dyrektywie musi być ograniczone do tego, co jest ściśle niezbędne do celów zwalczania przestępstw terrorystycznych oraz poważnych przestępstw, pod warunkiem, że uprawnienia przewidziane przez dyrektywę PNR i inne związane z nią regulacje są interpretowane zawężająco w odniesieniu jedynie do osób podejrzanych. Nie wolno stosować zautomatyzowanego systemu nadzoru i profilowania pasażerów. Rozszerzenie stosowania inwigilacji koniecznie musi być zrewidowane przez sąd lub niezależny organ administracyjny, którego decyzja ma być wiążąca. Dane pasażerów mają być usuwane z systemu po sześciu miesiącach.
W przypadku braku zagrożenia terrorystycznego, stosowanie dyrektywy nie może być rozszerzone na wszystkie loty wewnątrzunijne, ale musi być ograniczone do lotów wewnątrzunijnych dotyczących m.in. określonych tras lub schematów podróży do niektórych portów lotniczych, dla których istnieją wskazania według uznania zainteresowanego państwa członkowskiego, które uzasadniałyby ten wniosek.
Zautomatyzowane systemy nadzoru nie mogą być dyskryminacyjne i można zastosować je jedynie w odniesieniu do osób podejrzanych o terroryzm i inne poważne przestępstwa.
Trybunał krytycznie wypowiedział się na temat stosowania technologii sztucznej inteligencji w systemach samouczących się („uczenie maszynowe”), z możliwością modyfikacji, bez interwencji człowieka lub przeglądu procesu oceny, a w szczególności kryteriów oceny, na których opiera się wynik zastosowania tego procesu, jak również wagi tych kryteriów.
„Biorąc pod uwagę margines błędu nieodłącznie związany z takim automatycznym przetwarzaniem danych PNR oraz dość znaczną liczbę fałszywie pozytywnych wyników uzyskanych w wyniku ich zastosowania w 2018 i 2019 roku, adekwatność systemu ustanowionego dyrektywą PNR w celu osiągnięcia zamierzonych celów zależy zasadniczo od: prawidłowego funkcjonowania weryfikacji pozytywnych wyników uzyskanych w ramach tych operacji przetwarzania, realizowanej przez JWP, jako drugi etap, w sposób niezautomatyzowany”. Państwa muszą określić klarowne i obiektywne kryteria przetwarzania danych.
Sędziowie przeciwstawili się przekazywaniu danych i łączenia ich z innymi bazami, jeśli nie ma podejrzenia o poważne przestępstwo czy stworzenie zagrożenia terrorystycznego ze strony danej osoby.
Trybunał nie zdecydował się unieważnić dyrektywy, ale naciskał, by władze krajów powstrzymały się od profilowania podróżnych – komentował Douwe Korff, emerytowany profesor prawa międzynarodowego na London Metropolitan University. Prawnik wskazał, że TSUE wypowiedział się przeciwko praktykom stosowanym przez unijne instytucje zmierzające do gromadzenia coraz większej liczby danych o obywatelach w celu profilowania, a do tego w sposób szczególny wykorzystywany jest Europol. Korff wskazał, że są to „inwazyjne środki, które należy porzucić”.
Jeśli nie ma bezpośredniego zagrożenia, władze krajowe mogą monitorować jedynie niektóre trasy, schematy podróży czy lotniska.
Sędziowie zwrócili uwagę na zautomatyzowane systemy wykorzystywane do identyfikacji podejrzanych osób. Systemy takie muszą opierać się na obiektywnych, niedyskryminujących kryteriach i nie można stosować technik uczenia maszynowego.
Unijne instytucje właśnie pracują nad nową regulacją w sprawie sztucznej inteligencji. Podjęte wcześniej działania sugerują, że eurokraci chcieliby stworzenia na terenie UE systemu kredytu społecznego opartego na zautomatyzowanej masowej inwigilacji.
TSUE orzekł, że zebrane dane pasażerów nie mogą być wykorzystywane w żadnym innym celu niż ten ustanowiony w dyrektywie. Jeśli wobec danej osoby nie ma żadnych sygnałów ostrzegawczych, jej dane należy usunąć z systemu po sześciu miesiącach.
– Wszystkie państwa UE będą teraz musiały ograniczyć wykorzystanie danych PNR ze względu na ich inwazyjność. Muszą szybko zastosować to orzeczenie i zakończyć swoje haniebne praktyki ignorowania decyzji Trybunału, szczególnie w obszarze przechowywania danych – oceniła Estelle Massé, kierownik ds. prawodawstwa europejskiego w Access Now. Obecnie władze przechowują dane z lotów pasażerskich przez 5 lat.
Źródło: euractiv.com, curia.europa.eu
AS
