Tworzenie przestrzeni wolności, bezpieczeństwa i sprawiedliwości w Unii Europejskiej stało się jej celem wraz z wejściem w życie Traktatu z Amsterdamu. W ostatnich latach dziedzina ta rozwija się bardzo szybko, częściowo w związku z licznymi wydarzeniami dotyczącymi zagrożenia przestępczością, w szczególności terroryzmem. Przyjmowane są kolejne akty prawne, coraz silniej ingerujące w systemy prawne państw członkowskich, w tym w systemy prawa karnego, ale również politykę migracyjną i in.

Pojawiają się liczne wyzwania, jak np. konieczność wyważenia, na ile względy zapewnienia bezpieczeństwa wewnętrznego UE wymagają ograniczenia praw jednostki – jej wolności. Od pewnego czasu można dostrzec w pracach UE nierównowagę w priorytetach polityki między działaniami służącymi urzeczywistnieniu wolności a działaniami podporządkowanymi gwarantowaniu bezpieczeństwa. Niektórzy autorzy dostrzegają wręcz „syndrom 11 września”, wzmocniony zamachami w Madrycie i Londynie, który wywarł głęboki wpływ na całą aktywność w obszarze wymiaru sprawiedliwości i spraw wewnętrznych, powodując zjawisko określane przez badaczy jako „przechył ku bezpieczeństwu”[I].

Wychodząc z założenia, że we współczesnym świecie utrzymuje się szereg zagrożeń dla bezpieczeństwa wewnętrznego UE, takich jak terroryzm, przestępczość zorganizowana, przemyt narkotyków, handel ludźmi czy nielegalny handel bronią – niewątpliwie potrzebna jest czytelna, przekrojowa i wielowątkowa odpowiedź, a Unia musi wzmocnić aktywność państw członkowskich oraz wyniki ich działań. Ale można jednocześnie zadać pytanie, czy w pojęciu „przestrzeń wolności, bezpieczeństwa i sprawiedliwości” nie ma sprzeczności: czy można zagwarantować bezpieczeństwo przy jednoczesnym gwarantowaniu obywatelom pełni wolności? Jeśli nie, to gdzie znajduje się granica uzasadniająca ingerencję w prawa jednostki?

W dniu 2 lutego 2011 r. Komisja przedstawiła projekt dyrektywy Parlamentu Europejskiego i Rady w sprawie wykorzystania danych pasażerów linii lotniczych w celu zapobiegania terroryzmowi i poważnej przestępczości, ich wykrywania, prowadzenia dochodzeń i ścigania[II]. Jest to projekt aktu mającego na celu utworzenie europejskiego systemu przekazywania tzw. danych PNR (ang. Passenger Name Record, system UE-PNR). Dane PNR to dane pochodzące od samych pasażerów, podawane przewoźnikom przy okazji rezerwacji biletu, jego zakupu czy odprawie pasażerskiej. Są one gromadzone przez przewoźników lotniczych i zgodnie z ich pierwotnym przeznaczeniem miały służyć zapewnieniu odpowiednich usług pokładowych przez przewoźników lub wymianie informacji między liniami. Tworzenie systemu UE-PNR, w ramach którego dane osobowe osób podróżujących na liniach międzynarodowych, w tym wszystkie informacje dotyczące formy płatności, kompletna trasa podróży, dane o statusie podróży pasażera, wszystkie informacje o bagażu i in. (określone w załączniku do dyrektywy) będą przekazywane odpowiednim służbom państw członkowskich zajmującym się zwalczaniem przestępczości, bezdyskusyjnie wkracza w prawo jednostki – prawo do prywatności.

Pozostaje odpowiedzieć na pytanie, czy ta ingerencja jest uzasadniona i czy względy, dla których tworzony miałby być system ją uzasadniają. Należy jednocześnie zaznaczyć, że w Unii Europejskiej tworzone są rozmaite systemy informatyczne, w ramach których dane są gromadzone i przetwarzane. Należy tu wymienić chociażby dane API, czyli informacje biograficzne pobierane automatycznie z paszportu, których przetwarzanie regulowane jest dyrektywą 2004/82/WE z dnia 29 sierpnia 2004 r.[III] Zgodnie z przepisami, dane API mogą być wykorzystywane w pewnych przypadkach do identyfikacji osób podejrzanych i poszukiwanych, ale zasadniczo używane są jako narzędzie zarządzania granicami. Innym systemem, służącym utrzymaniu bezpieczeństwa publicznego, jest System Informacyjny Schengen (SIS), w którym gromadzone są wpisy dotyczące m.in. osób poszukiwanych w celu zatrzymania, cudzoziemców, którym należy odmówić prawa wjazdu i in. Z kolei Wizowy System Informacyjny (VIS) ma służyć porównywaniu danych biometrycznych i służyć ma zarządzaniu granicami zewnętrznymi UE. Znajdą się w nim dane o wnioskach wizowych, odciski palców, fotografie i in. Dane PNR, które mają być przetwarzane na podstawie omawianego projektu dyrektywy, mają być gromadzone niezależnie od istnienia ww. systemów.

Prace związane z przekazywaniem danych PNR czy to w obrębie UE czy też do państw trzecich rozpoczęły się w UE jeszcze w 2003 r. Od tego czasu Komisja Europejska stoi konsekwentnie na stanowisku, że wykorzystywanie danych PNR przez organy zajmujące się walką z przestępczością jest jednym ze środków, które mają być odpowiedzią na narastające zagrożenia związane z walką z terroryzmem[IV]. Dowodem na to mają być umowy zawierane przez UE, dotyczące przekazywania danych PNR w kontekście zwalczania przestępczości transgranicznej i terroryzmu do odpowiednich organów Stanów Zjednoczonych, Kanady czy Australii. Warto dodać, że umowy te będą w tym roku – zgodnie z zapowiedzią Komisji – renegocjowane, a samo ich zawarcie wzbudziło szereg kontrowersji, zwłaszcza wśród eurodeputowanych[V].

Prace nad konkretnym projektem aktu prawnego, który dotyczyłby systemu przekazywania danych wewnątrz UE (tzw. UE-PNR) rozpoczęły się jeszcze w 2007 r., kiedy to Komisja przyjęła wniosek dotyczący decyzji ramowej Rady w tej sprawie[VI]. Wniosek dyskutowano w grupach roboczych Rady, ale ostatecznie Rada nie osiągnęła konsensusu co do treści całego aktu prawnego. Do tego projektu swoje opinie przedstawili m.in. Europejski Inspektor Ochrony Danych Osobowych[VII], Grupa Robocza Art. 29 ds. Ochrony Danych[VIII] oraz Agencja Praw Podstawowych[IX].

Główne zarzuty wszystkich tych instytucji dotyczyły przede wszystkim braku proporcjonalności projektu, tzn. „istotności” związku między zbieraniem i przetwarzaniem danych a walką z przestępczością, a także poziomu ochrony danych osobowych. Z chwilą wejścia w życie Traktatu z Lizbony (TL) wniosek Komisji utracił ważność chociażby z tego powodu, że był to projekt aktu należącego do zlikwidowanego III filara UE (po wejściu w życie TL nie przyjmuje się już decyzji ramowych). Konieczne stało się przedłożenie nowego projektu (tym razem dyrektywy). Prace nad przetwarzaniem danych PNR są również wynikiem realizacji założeń Programu sztokholmskiego, czyli wytycznych Rady Europejskiej dla PWBiS w latach 2010-2014. Przedłożony w dokumencie KOM(2011) 32 wersja ostateczna projekt dyrektywy stanowi zatem kontynuację prac nad uregulowaniem przetwarzania danych PNR w państwach członkowskich UE, aczkolwiek zawiera pewne zmiany, z których najważniejszą jest odniesienie się do przepisów decyzji ramowej 2008/977/WSiSW w zakresie proceduralnych norm ochrony danych osobowych oraz skrócenie okresu przechowywania danych z 13 (w projekcie decyzji ramowej) do 5 lat (w projekcie dyrektywy).

W istocie, projekt nie przedstawia znacząco szerszego uzasadnienia dla tworzenia systemu wymiany danych PNR. Nie przedstawiono m.in. statystyk wskazujących na poziom wykorzystania istniejących baz danych ani w samym wniosku, ani w dołączonej ocenie skutków regulacji. Komisja zauważa jedynie, że „wobec braku zharmonizowanych przepisów dotyczących gromadzenia i przetwarzania danych PNR na szczeblu UE brakuje szczegółowych statystyk w zakresie tego, w jakim stopniu takie dane mają pomóc w zapobieganiu poważnej przestępczości i terroryzmowi oraz ich wykrywaniu, prowadzeniu dochodzeń w ich sprawie i ich ściganiu”[X]. Komisja zamieszcza jedynie wybiórcze dane dotyczące wykorzystania danych w państwach, które utworzyły lub zamierzają utworzyć system PNR. Niewątpliwie podstawowy problem zasadności tworzenia kolejnego systemu wymiany danych powinien stać się przedmiotem dalszej dyskusji na forum instytucji UE w trakcie prac nad projektem.

Zakres danych, które mają być przetwarzane, wymienionych w załączniku do projektu dyrektywy nie zmienił się w porównaniu z decyzją ramową. Trzeba wyraźnie podkreślić, że przetwarzanie tego rodzaju danych osobowych wymaga oceny pod kątem potencjalnego naruszenia prawa do prywatności, o którym mowa w art. 8 Europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności z 1950 r. oraz w art. 7,8 i 52 Karty praw podstawowych[XI]. Przetwarzanie danych, takich jak dane PNR, może nastąpić zatem wyłącznie, gdy cel przetwarzania danych jest uzasadniony interesem ogólnym uznawanym przez UE lub potrzebami ochrony praw i wolności innych osób.

Chociaż zwalczanie terroryzmu oraz poważnej przestępczości mogą uzasadniać wprowadzenie ograniczeń w zakresie prawa do prywatności (mogą być uzasadnione wspomnianym wyżej celem), to jednak można mieć wątpliwości, czy wszystkie warunki przetwarzania danych zostały określone w projekcie wystarczająco precyzyjnie, czego wymagają podane wyżej akty prawa międzynarodowego. Już sama definicja „poważnej przestępczości”, odwołująca się do art. 2 ust. 2 decyzji ramowej 2002/584/WSiSW jest – wobec niedookreśloności czynów tam wymienionych – nieprecyzyjna. Postulować należy zatem inne zdefiniowanie zakresu celu, jakim jest zwalczanie „poważnej przestępczości”, w związku z którą mają być gromadzone dane. Nie w pełni precyzyjna jest również lista danych, zwłaszcza w punkcie 12 – „uwagi ogólne”, opisanym wyłącznie przykładowo. Innym przykładem problemu, który powinien zostać przedyskutowany, jest chociażby odniesienie, że celem przetwarzania danych jest identyfikacja osób, które „mogą być zamieszane” w przestępstwo.

Projekt dyrektywy może budzić również inne szczegółowe zastrzeżenia. Przykładowo, z art. 4 projektu wynika, że dane PNR mogą być przetwarzanie nie tylko w celu wyszukiwania sprawców przestępstw, lecz również w innych celach, w tym tworzenia pewnych kryteriów analiz. Komisja w uzasadnieniu mówi o „aktywnym” wykorzystaniu danych: do analizy i tworzenia kryteriów, które mogą zostać później wykorzystywane do oceny pasażerów przed przybyciem i odlotem. Możliwość takiego przetwarzania danych, prowadząca do profilowania pasażerów, była kwestionowania na gruncie projektu decyzji ramowej przez Agencję Praw Podstawowych i Parlament Europejski. W tym zakresie projekt się nie zmienia, a zatem można przypuszczać, że podobne – zasadne – zastrzeżenia zostaną podniesione i tym razem. Również Europejski Inspektor Ochrony Danych Osobowych oceniając projekt decyzji ramowej z 2007 r. stwierdzał, że „decyzje dotyczące konkretnych osób będą podejmowane na podstawie wzorców zachowań i kryteriów określonych z wykorzystaniem danych pasażerów w ogóle. W ten sposób decyzje dotyczące jednej osoby mogą zostać podjęte z wykorzystaniem (przynajmniej częściowo) jako punków odniesienia wzorców opracowywanych na podstawie danych innych osób. Decyzje będą więc podejmowane w związku z abstrakcyjnym kontekstem, co może mieć znaczące skutki dla osób, których dotyczą dane. Bronienie się przed takimi decyzjami jest szczególnie trudne”[XII].

Co prawda projekt dyrektywy wskazuje na zakaz zbierania i przetwarzania „danych wrażliwych”, ale jednocześnie przewiduje się, że dane PNR powinny dotyczyć szczegółów rezerwacji i trasy podróży, co oznacza np. konieczność przekazania informacji na temat szczególnych preferencji żywieniowych (diety), która może wiązać się z orientacją religijną czy też wymagań co do szczególnych usług, które mogą wskazywać na niepełnosprawność itp. Niewątpliwie może to w efekcie prowadzić do obejścia zakazu zbierania danych wrażliwych, zwłaszcza w kontekście możliwości powiązania zgromadzonych danych z danymi posiadanymi z innych źródeł.

Wśród elementów pozytywnych należy dostrzec, że w projekcie dyrektywy lepiej niż w projekcie decyzji ramowej uregulowano kwestie związane z proceduralnymi aspektami ochrony danych, w szczególności dzięki odwołaniu się do przepisów decyzji ramowej 2008/977/WSiSW czyli aktu regulującego ochronę danych osobowych w zakresie współpracy policyjnej i sądowej w sprawach karnych, ale także poprzez nałożenie obowiązku dokładnego informowania pasażerów czy też zapewnienia prawa do wglądu, poprawienia, usunięcia czy zablokowania danych.

Ponadto, Komisja zdecydowała się przyjąć jako obowiązkową metodę przekazywania danych tzw. metodę „push” polegającą na przekazywaniu danych przez przewoźników do baz danych organów, które o to wystąpiły, a nie umożliwienie dostępu organom do baz danych przewoźników (metoda „pull”), z których organy same mogłyby pobierać interesujące je dane. Pozytywnie należy ocenić również dodanie wymogu, by przy przekazywaniu danych do państwa trzeciego koniecznie było spełnienie warunków z ww. decyzji ramowej 2008/977/WSiSW. Ma to szczególne znaczenie ze względu na konieczność zapewnienia, by dane były przekazywane do państw, gwarantujących adekwatny do europejskiego poziom ich ochrony.

Podsumowując, działania podejmowane dla zapewnienia bezpieczeństwa obywatelom Unii Europejskiej są generalnie pożądane i zasługują na poparcie. Dopuszczalne są również – i zapewne obywatele zgodziliby się na to – takie ograniczenia, które mają swoje uzasadnienie i sens. Czy przekazywanie danych PNR ma sens? Komisja tego nie pokazuje. Jedynym państwem członkowskim, które dotychczas stworzyło system przekazywania danych PNR przez przewoźników odpowiednim służbom jest Wielka Brytania. Jak wygląda analiza danych w praktyce, pokazują przykłady przytaczane przez media[XIII]. Projekt, chociaż zmieniony, i tak zapewne spotka się z krytyką ze strony Parlamentu Europejskiego, parlamentów narodowych, instytucji zajmujących się ochroną praw człowieka, Europejskiego Inspektora Ochrony Danych Osobowych i in. Pozytywne jest to że projekt został  ograniczony do przekazywania danych w lotach międzynarodowych (chociaż np. Izba Lordów postuluje rozszerzenie go również na loty wewnątrzunijne[XIV]) –nie trzeba zatem oceniać, czy zdobycz systemu Schengen, jaką jest brak kontroli granicznych wewnątrz UE, również powinna zostać ograniczona dla uzasadnienia zbierania danych przez odpowiednie organy, których związek z zapewnieniem bezpieczeństwa jest niewiadomą. 

Wyznaczone w Programie Sztokholmskim kierunki działań w zakresie zapobiegania i zwalczania terroryzmu odzwierciedlają sytuację, cele i postulaty formułowane w ostatnich latach w reakcji na pojawiające się zagrożenia i akty terrorystyczne. Jednak projekt dotyczący UE-PNR może nie uwzględniać konieczności znalezienia nowych ram dla uwzględniania oczekiwań obywateli UE związanych z tworzeniem warunków dla korzystania z wolności w różnych wymiarach, w tym z prawa do prywatności.

* Powyższy tekst stanowi wyraz osobistych opinii i poglądów autora.

** Agnieszka Grzelak, dr nauk prawnych (UJ, 2006), adiunkt w Katedrze Prawa Europejskiego Szkoły Głównej Handlowej, autorka wielu publikacji naukowych z zakresu przestrzeni wolności, bezpieczeństwa i sprawiedliwości UE.