52007PC0654

[pic] | KOMISJA WSPÓLNOT EUROPEJSKICH |

Bruksela, dnia 6.11.2007

KOM(2007) 654 wersja ostateczna

2007/0237 (CNS)

Wniosek

DECYZJA RAMOWA RADY

w sprawie wykorzystywania danych dotyczących rezerwacji pasażera (danych PNR) w celu egzekwowania prawa

(przedstawiona przez Komisję) {SEK(2007) 1422}{SEK(2007) 1453}

UZASADNIENIE

1. Kontekst wniosku

Podstawa i cele wniosku

Terroryzm jest obecnie jednym z największych zagrożeń dla bezpieczeństwa, pokoju, stabilności, demokracji i praw podstawowych – wartości, na których opiera się Unia Europejska. Jest on również bezpośrednim zagrożeniem dla obywateli Europy. Zagrożenie terroryzmem nie ogranicza się do konkretnych stref geograficznych. Terroryści i organizacje terrorystyczne działają zarówno wewnątrz UE, jak i poza jej granicami, udowodnili również, że są w stanie przeprowadzać ataki i dokonywać aktów przemocy na każdym kontynencie i w każdym kraju. W opracowanym przez Europol „Sprawozdaniu na temat terroryzmu w UE i ogólnych tendencji w 2007 r.” stwierdzono, że prawie wszystkie akcje terrorystyczne mają charakter międzynarodowy. Wiadomo, że zwalczanie terroryzmu w wymiarze wewnętrznym i zewnętrznym jest ściśle powiązane, a jeśli środki służące takiej walce mają być skuteczne, konieczna jest ścisła współpraca i lepsza wymiana informacji między państwami członkowskimi i ich właściwymi służbami, a także Europolem i w stosownych przypadkach odpowiednimi władzami krajów trzecich.

Po wydarzeniach z 11 września organy ścigania na całym świecie zrozumiały, że gromadzenie i analizowanie tzw. danych dotyczących rezerwacji pasażera (danych PNR) może przynieść znaczne korzyści przy zwalczaniu terroryzmu i przestępczości zorganizowanej. Dane PNR są związane z podróżami, zwykle samolotem, i obejmują dane paszportowe, imię i nazwisko, adres, numery telefonów, nazwę biura podróży, numer karty kredytowej, historię zmian w planie podróży, preferowane miejsce w samolocie oraz inne informacje. Dane te w przypadku konkretnego pasażera zwykle nie obejmują wszystkich pól w rekordzie PNR, zawierają tylko dane faktycznie przekazane przez tego pasażera w momencie rezerwacji, a także informacje otrzymane przy odprawie biletowo-bagażowej i po wejściu na pokład. Należy zauważyć, że przewoźnicy lotniczy gromadzą już dane PNR pasażerów do własnych celów handlowych, natomiast inni przewoźnicy tego nie robią. Gromadzenie i analizowanie danych PNR pozwala organom ścigania na wykrywanie osób mogących stanowić zagrożenie i na podjęcie odpowiednich działań.

Dotychczas tylko niewielka liczba państw członkowskich przyjęła ustawodawstwo ustanawiające mechanizmy, które zobowiązują przewoźników lotniczych do przekazywania odpowiednich danych PNR właściwym organom, które następnie analizują te dane. Oznacza to, że nie w pełni wykorzystuje się potencjalnie korzyści, jakie mógłby przynieść unijny system przeciwdziałania terroryzmowi oraz przestępczości zorganizowanej.

Kontekst ogólny

Uzgodnienia dotyczące przekazywania danych PNR w celu zwalczania terroryzmu i przestępczości zorganizowanej zostały dotąd zawarte między UE a Stanami Zjednoczonymi i Kanadą. Ograniczają się one do transportu lotniczego. W myśl tych uzgodnień przewoźnicy lotniczy, którzy gromadzą już dane PNR pasażerów do własnych celów handlowych, są zobowiązani do przekazywania tych danych odpowiednim władzom USA i Kanady. Na podstawie wymiany informacji z tymi państwami trzecimi, Unia mogła ocenić wartość danych PNR i docenić ich potencjał do celów egzekwowania prawa. Unia może również skorzystać z doświadczeń tych państw trzecich w zakresie wykorzystywania danych PNR, jak również z doświadczeń Zjednoczonego Królestwa zdobytych podczas projektu pilotażowego. Zjednoczone Królestwo odnotowało podczas dwóch lat funkcjonowania projektu pilotażowego liczne przypadki aresztowań, wykrycia siatek handlarzy ludźmi oraz zdobycia cennych danych wywiadowczych związanych z terroryzmem.

Podczas szczytu Rady Europejskiej w dnia 25-26 marca 2004 r. wezwano Komisję do przedstawienia wniosku dotyczącego wspólnego podejścia UE do zagadnienia wykorzystywania danych pasażerów w celu egzekwowania prawa. Wezwanie to zostało powtórzone dwukrotnie: po raz pierwszy w programie haskim ogłoszonym w dniach 4–5 listopada 2004 r., a następnie na specjalnym posiedzeniu Rady w dniu 13 lipca 2005 r. Politykę europejską w tym obszarze ogłoszono już także w komunikacie Komisji zatytułowanym „Transfer danych dotyczących rezerwacji pasażera: globalne podejście UE” z dnia 16 grudnia 2003 r.

Obowiązujące przepisy w dziedzinie, której dotyczy wniosek

Obecnie na podstawie dyrektywy Rady 2004/82/WE przewoźnicy lotniczy są zobowiązani do przekazywania z wyprzedzeniem danych pasażera (tzw. danych API – Advance Passenger Information ) właściwym organom państw członkowskich. Środek ten ma pozwolić służbom granicznym na lepsze kontrolowanie granic oraz zwalczanie nielegalnej imigracji. Na podstawie tej dyrektywy państwa członkowskie są zobowiązane do podjęcia na szczeblu krajowym działań pozwalających zapewnić, że na wniosek organów odpowiedzialnych za kontrolę osób na granicach zewnętrznych przewoźnicy lotniczy przekażą tym organom informacje dotyczące pasażerów danego lotu. Informacje te obejmują wyłącznie dane API, które są zasadniczo danymi personalnymi. Na dane składają się m.in. numer i rodzaj dokumentu podroży, którym posługuje się pasażer, obywatelstwo, pełne imię i nazwisko, datę urodzenia, punkt kontroli granicznej, w którym przekroczono granicę, numer rejsu, godzinę odlotu i przylotu samolotu, całkowitą liczbę pasażerów na pokładzie oraz początkowe miejsce wejścia na pokład. Informacje zawarte w danych API mogą również pomóc w wykryciu znanych terrorystów i przestępców dzięki przeszukaniu pod kątem nazwisk pasażerów systemów ostrzegawczych, takich jak System Informacyjny Schengen.

Na potrzeby zwalczania terroryzmu i przestępczości zorganizowanej informacje zawarte w danych API wystarczałyby tylko do wykrywania znanych terrorystów i przestępców przy użyciu systemów ostrzegawczych. Dane API są danymi urzędowymi, ponieważ pochodzą z paszportów, są również wystarczająco ścisłe, aby zidentyfikować daną osobę. Z drugiej strony dane PNR zawierają więcej elementów i są dostępne szybciej niż dane API. Te składniki danych są ważnym narzędziem oceny, czy osoba może stanowić zagrożenie, oraz pozwalają uzyskać dane wywiadowcze i odnajdywać powiązania między osobami znanymi a nieznanymi.

Spójność z polityką i celami Unii w innych dziedzinach

Wniosek jest w pełni zgodny z ogólnym celem stworzenia europejskiej przestrzeni wolności, bezpieczeństwa i sprawiedliwości. Jest również zgodny z przepisami dotyczącymi praw podstawowych, w szczególności w odniesieniu do ochrony danych osobowych i ochrony prywatności.

2. Konsultacje z zainteresowanymi stronami oraz ocena skutków

Konsultacje z zainteresowanymi stronami

Metody konsultacji, główne sektory objęte konsultacjami i ogólny profil respondentów

W ramach negocjacji w sprawie przekazywania danych PNR Stanom Zjednoczonym oraz danych API i danych PNR Kanadzie odbyło się kilka spotkań i konsultacji. Oprócz spotkań zorganizowanych przez służby Komisji ze stowarzyszeniami przewoźników lotniczych i przedstawicielami komputerowych systemów rezerwacji zorganizowano również trzy spotkania poświęcone ewentualnej inicjatywie stworzenia europejskiej strategii wykorzystywania danych pasażerów, pod patronatem forum ds. zapobiegania międzynarodowej przestępczości zorganizowanej.

Na potrzeby opracowania niniejszego wniosku służby Komisji przeprowadziły dalsze konsultacje ze wszystkimi właściwymi zainteresowanym podmiotami za pomocą ankiety rozesłanej w grudniu 2006 r. Następnie Komisja zaprosiła przedstawicieli państw członkowskich na spotkanie w Brukseli w dniu 2 lutego 2007 r., na którym mieli oni okazję wymienić poglądy.

Ankieta została przesłana do:

- wszystkich państw członkowskich,

- organów ds. ochrony danych w państwach członkowskich,

- Europejskiego Inspektora Ochrony Danych,

- Stowarzyszenia Europejskich Linii Lotniczych (AEA),

- Zrzeszenia Transportu Lotniczego w Ameryce,

- Międzynarodowego Stowarzyszenia Przewoźników Lotniczych (IACA),

- Stowarzyszenia Linii Lotniczych Regionów Europy (ERA),

- Zrzeszenia Międzynarodowego Transportu Lotniczego (IATA).

Otrzymano odpowiedzi od 24 państw członkowskich oraz jedną zbiorczą odpowiedź od krajowych organów ds. ochrony danych w państwach członkowskich. Otrzymano również odpowiedzi od Europejskiego Inspektora Ochrony Danych, Zrzeszenia Transportu Lotniczego w Ameryce, Międzynarodowego Stowarzyszenia Przewoźników Lotniczych (IACA), Stowarzyszenia Europejskich Linii Lotniczych (AEA), Stowarzyszenia Linii Lotniczych Regionów Europy (ERA), Zrzeszenie Międzynarodowego Transportu Lotniczego (IATA), Polskich Linii Lotniczych LOT oraz Austrian Airlines.

Organy ds. ochrony danych w państwach członkowskich, których przedstawiciele spotykają się w ramach grupy roboczej art. 29 stanowiącej organ doradczy Komisji, wydały również kilka opinii na temat wykorzystywania danych PNR.

Streszczenie odpowiedzi oraz sposób, w jaki były one uwzględniane

Proces konsultacji miał ogromny wpływ na ostateczny kształt wniosku legislacyjnego. Konkretnie konsultacje miały wpływ na:

- Wybór wariantu: z odpowiedzi na ankietę wynikało, że większość państw członkowskich opowiada się wyraźnie za przyjęciem instrumentu prawnego, który regulowałby wspólne podejście UE w tej kwestii. Grupa robocza art. 29 nie była przekonana, czy taki wniosek jest konieczny, dlatego też sprzeciwiła się wnioskowi; równocześnie jednak stwierdziła, że jeśli pojawi się taka konieczność lub kilka państw członkowskich będzie rozważało utworzenie krajowych systemów danych PNR, lepszym rozwiązaniem byłaby harmonizacja takich działań na poziomie UE.

- Zakres wniosku, jeśli chodzi o rodzaje transportu: większość podmiotów, z którymi się konsultowano, jest zgodnych, że wniosek powinien ograniczać się do transportu lotniczego.

- Zakres geograficzny wniosku: większość podmiotów, z którymi się konsultowano, uważa, że geograficzny zakres wniosku powinien się ograniczać do lotów z krajów trzecich do UE oraz z UE do krajów trzecich.

- Wykorzystywanie i cel gromadzenia danych PNR: zgromadzone dane PNR powinny być wykorzystywane wyłącznie do celów trzeciego filaru, tj. w przeciwdziałaniu terroryzmowi, przestępstwom powiązanym i innym poważnym przestępstwom, w tym międzynarodowej przestępczości zorganizowanej oraz zwalczaniu tych zjawisk.

- Okres przechowywania danych: wspólnie zgodzono się, że aby system był skuteczny, dane muszą być przechowywane przez okres 5 lat, chyba że są wykorzystywane w śledztwie lub operacji wywiadowczej.

- Organ otrzymujący dane dotyczące rezerwacji pasażera: większość państw członkowskich popiera pomysł, aby dane te otrzymywało Biuro Danych Pasażerów, stworzone w każdym państwie członkowskim, natomiast pozostałe państwa członkowskie popierają koncepcję scentralizowanego Biura UE, które otrzymywałoby dane od przewoźników lotniczych ze wszystkich państw członkowskich.

- Sposób przekazywania danych: wszystkie konsultowane podmioty wspierają przyjęcie metody dostarczania ( push method) , zamiast metody pobierania ( pull method ). Główna różnica między tymi dwoma metodami polega na tym, że w metodzie pierwszej dane są przekazywane przez przewoźnika organom krajowym, podczas gdy w metodzie drugiej organy krajowe mają dostęp do systemu rezerwacji przewoźnika lotniczego i pobierają z niego dane.

- Dalsze przekazywanie danych PNR: większość stron, z którymi się konsultowano, opowiedziała się za przekazywaniem danych PNR właściwym organom krajowym oraz właściwym organom innych państw członkowskich. Niektóre państwa członkowskie popierają przekazywanie danych również właściwym organom krajów trzecich.

Gromadzenie i wykorzystanie wiedzy specjalistycznej

Nie zaistniała potrzeba skorzystania z pomocy ekspertów zewnętrznych.

Ocena skutków

W ocenie skutków rozważono dwa główne warianty z różnymi dalszymi opcjami – wariant pozostawienia status quo oraz wariant przedstawienia wniosku legislacyjnego. Ponadto na wstępnym etapie odrzucono wariant zacieśnienia współpracy między państwami członkowskimi w tej dziedzinie, ponieważ uznano, że ten wariant nie pozwala na osiągnięcie zamierzonych celów. Niektóre państwa członkowskie sugerowały, że należy rozszerzyć zakres wniosku, aby objął on również transport morski i kolejowy. Wariant ten również odrzucono na etapie wstępnym, po rozważeniu związanych z nim kosztów oraz braku istniejących systemów, które gromadziłyby odpowiednie dane.

W ocenie skutków stwierdzono, że preferowanym wariantem jest wniosek legislacyjny oraz zdecentralizowany system przetwarzania danych. Wariant utrzymania status quo nie przedstawia żadnych faktycznych korzyści w zakresie poprawy bezpieczeństwa w UE. Wręcz przeciwnie – biorąc pod uwagę sposób, w jak obecnie rozwija się ta dziedzina, można przewidywać, że będzie to miało negatywne skutki, ponieważ spowoduje trudności administracyjne wynikające z istnienia wielu rozbieżnych systemów.

Wariant przedstawienia wniosku legislacyjnego przynosi wyraźną korzyść – zwiększenie bezpieczeństwa na terytorium UE poprzez zredukowanie ryzyka przeprowadzenia ataku terrorystycznego oraz ryzyka poważnych przestępstw i międzynarodowych przestępstw zorganizowanych. Ponadto wariant ten zapewniłby harmonizację różnych elementów systemów wymiany danych PNR i wykorzystywania takich danych oraz harmonizację środków bezpieczeństwa zapewniających osobom ochronę ich prawa do prywatności.

Z tych dwóch wariantów, to wariant przedstawienia wniosku legislacyjnego przynosi wyraźne korzyści.

Jeśli chodzi o dwa warianty wniosku legislacyjnego, dla poprawy bezpieczeństwa w UE wariant zdecentralizowanego gromadzenia danych jest korzystniejszy niż wariant scentralizowany. Wariant scentralizowanego gromadzenia danych wiązałby się z dużym ryzykiem awarii z powodu ogromnej ilości danych, które otrzymywałoby scentralizowane biuro oraz problemów, jakie mogłyby powodować różne rodzaje ich przetwarzania. Do właściwego funkcjonowania takiego biura konieczne byłoby również zapewnienie pracownikom biura dostępu do różnych krajowych baz danych w państwach członkowskich.

Jeśli chodzi o wpływ wniosku na stosunki z krajami trzecimi, nie można wykluczyć że niektóre z nich zażądają na zasadzie wzajemności dostępu do danych PNR gromadzonych przez UE, dotyczących lotów z UE na ich terytoria, chociaż w praktyce prawdopodobieństwo takich żądań jest bardzo niewielkie. Istniejące uzgodnienia między Unią a Stanami Zjednoczonymi i Kanadą dotyczące danych PNR przewidują takie wzajemne przekazywanie danych, które może zostać wprowadzone w życie automatycznie.

Komisja przeprowadziła ocenę skutków wymienioną w programie prac[1].

3. Aspekty prawne wniosku

Krótki opis proponowanych działań

Celem wniosku jest harmonizacja w państwach członkowskich przepisów zobowiązujących przewoźników lotniczych obsługujących loty z terytorium przynajmniej jednego państwa członkowskiego lub loty na terytorium przynajmniej jednego państwa członkowskiego do przekazywania danych PNR właściwym organom w celu zapobiegania przestępstwom terrorystycznym i międzynarodowej przestępczości zorganizowanej oraz ich zwalczania. Każdy proces przetwarzania danych PNR zgodnie z niniejszym wnioskiem będzie regulowany decyzją ramową Rady (xx/xx) w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych.

Podstawa prawna

Traktat o Unii Europejskiej, w szczególności jego art. 26, art. 30 ust. 1 lit. b) i art. 34 ust. 2 lit. b).

Zasada pomocniczości

Zasada pomocniczości odnosi się do działań podejmowanych przez Unię.

Cele wniosku nie mogą zostać osiągnięte w sposób zadowalający poprzez działania państw członkowskich z następujących względów.

Głównym powodem, dla którego działania państw członkowskich nie byłyby wystarczające do realizacji założonych celów, jest to, że same państwa członkowskie nie są w stanie osiągnąć odpowiedniego stopnia harmonizacji obowiązków prawnych w tej dziedzinie nakładanych na wszystkich przewoźników lotniczych obsługujących loty z terytorium i na terytorium Unii Europejskiej.

Dzięki działaniom samych państw członkowskich nie dałoby się zapewnić realizacji tych założeń, ponieważ państwa członkowskie nie miałyby pewności, czy odpowiednie dane PNR pasażera zostaną im udostępnione przez organy innych państw członkowskich – to może zostać zagwarantowane tylko dzięki systemowi na szczeblu unijnym.

Cele przedstawione w niniejszym wniosku można zrealizować lepiej poprzez działania na szczeblu unijnym z następujących przyczyn.

Działanie Unii pozwoli lepiej osiągnąć cele wniosku, ponieważ zharmonizowane podejście umożliwia zapewnienie wymiany odpowiednich informacji w całej Unii. Możliwe staje się również zapewnienie zharmonizowanego podejścia wobec partnerów zewnętrznych.

Wskaźnikiem ilościowym pokazującym, że założone cele zostaną osiągnięte w lepszy sposób na szczeblu unijnym, jest bardziej skuteczne działanie w walce z terroryzmem i przestępczością zorganizowaną.

Wniosek jest więc zgodny z zasadą pomocniczości.

Zasada proporcjonalności

Wniosek jest zgodny z zasadą proporcjonalności z następujących względów.

Zakres wniosku jest ograniczony do elementów, które wymagają zharmonizowanego podejścia na szczeblu UE – obejmują one określenie zadań biur ds. PNR, składników danych, które należy gromadzić, celów do których można wykorzystać te informacje, warunków przekazywania danych między biurami ds. PNR pasażera w państwach członkowskich oraz wymagań technicznych dla takiej łączności.

Proponowanym działaniem jest przyjęcie decyzji ramowej, która pozostawia możliwie dużą swobodę decydentom krajowym. Wybór systemu zdecentralizowanego oznacza równocześnie, że państwa członkowskie mogą same zdecydować, jak i gdzie stworzą system danych PNR oraz samodzielnie określić jego techniczne parametry. Harmonizacji podlegają tylko te elementy, w przypadku których jest ona ściśle konieczna, takie jak techniczne parametry systemów łączności wymagane do wymiany danych z innymi państwami członkowskimi.

Ponieważ wybrano wariant systemu zdecentralizowanego, obciążenia finansowe i administracyjne Wspólnoty są ograniczone do minimum. Utworzenie scentralizowanego unijnego systemu gromadzenia danych i ich przetwarzania oraz administrowanie takim systemem wiązałoby się ze znacznymi kosztami.

Wybór instrumentów

Proponowane instrumenty: decyzja ramowa oparta na art. 34 ust. 2 lit. b) TUE.

Inne instrumenty byłyby niewłaściwe z następujących względów.

Ponieważ celem jest zbliżenie ustawodawstwa poszczególnych państw członkowskich, instrumenty inne niż decyzja ramowa nie są właściwe.

4. Wpływ na budżet

Wniosek nie ma wpływu finansowego na budżet Wspólnoty.

5. Informacje dodatkowe

Symulacja, faza pilotażowa i okres przejściowy

Okres przejściowy dla wniosku został lub zostanie przewidziany.

Klauzula przeglądu/weryfikacji/wygaśnięcia

Wniosek zawiera klauzulę przeglądu.

2007/0237 (CNS)

Wniosek

DECYZJA RAMOWA RADY

w sprawie wykorzystywania danych dotyczących rezerwacji pasażera (danych PNR) w celu egzekwowania prawa

RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o Unii Europejskiej, w szczególności jego art. 29, art. 30 ust. 1 lit. b) i art. 34 ust. 2 lit. b),

uwzględniając wniosek Komisji[2],

uwzględniając opinię Parlamentu Europejskiego[3],

a także mając na uwadze, co następuje:

(1) W dniu 25 marca 2004 r. Rada Europejska przyjęła deklarację w sprawie zwalczania terroryzmu[4], wzywając Komisję do przedstawienia m.in. wniosku dotyczącego wspólnego podejścia UE do zagadnienia wykorzystywania danych pasażerów w celu egzekwowania prawa.

(2) Komisja została ponownie wezwana do przedstawienia wniosku w sprawie wykorzystywania danych PNR w programie haskim[5] oraz na nadzwyczajnym posiedzeniu Rady w dniu 13 lipca 2005 r[6].

(3) Jednym z założeń Unii Europejskiej jest zapewnienie wysokiego poziomu bezpieczeństwa i ochrony w obrębie przestrzeni wolności, bezpieczeństwa i sprawiedliwości; w tym celu konieczne jest prowadzenie w odpowiedni sposób działań zapobiegawczych i walki z przestępstwami terrorystycznymi i przestępczością zorganizowaną. Definicje przestępstw terrorystycznych i przestępczości zorganizowanej zostały przejęte odpowiednio z art. 1–4 decyzji ramowej Rady 2002/475/WSiSW w sprawie zwalczania terroryzmu[7] oraz art. 2 decyzji ramowej Rady (xx/xx) w sprawie zwalczania przestępczości zorganizowanej[8].

(4) Rada przyjęła dyrektywę 2004/82/WE z dnia 29 kwietnia 2004 w sprawie zobowiązania przewoźników lotniczych do przekazywania danych pasażerów[9], której celem jest poprawa kontroli granicznej i zwalczania nielegalnej imigracji dzięki przesyłaniu przez przewoźników lotniczych z wyprzedzeniem danych pasażera właściwym organom krajowym.

(5) Ze względu na zawarte w nich informacje, dane PNR pozwalają na skuteczne zapobieganie przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczania, a przez to do zwiększenia bezpieczeństwa wewnętrznego; zobowiązania nałożone na przewoźników lotniczych na mocy niniejszej decyzji ramowej powinny być oddzielone od zobowiązań określonych w dyrektywie 2004/82/WE.

(6) Przewoźnicy lotniczy gromadzą już dane PNR do własnych celów handlowych, a niniejsza decyzja ramowa nie nakłada na nich żadnych obowiązków dotyczących gromadzenia jakichkolwiek dodatkowych informacji lub przechowywania tych danych.

(7) W celu zapobiegania terroryzmowi i przestępczości zorganizowanej oraz zwalczania tego rodzaju przestępstw bardzo ważne jest, aby wszystkie państwa członkowskie wprowadziły przepisy określające obowiązki przewoźników lotniczych obsługujących loty z terytorium przynajmniej jednego państwa członkowskiego lub loty do przynajmniej jednego państwa członkowskiego UE. Loty wewnątrz obszaru UE nie powinny być objęte niniejszą decyzją ramową, z wyjątkiem przelotów między dwoma lotniskami w UE, które są częścią lotu międzynarodowego.

(8) Udostępnienie danych PNR właściwym organom krajowym, zgodnie z postanowieniami niniejszej decyzji ramowej, jest konieczne do celów zapobiegania przestępstwom terrorystycznym i zorganizowanej przestępczości oraz ich zwalczania. Regulacje dotyczące udostępniania tych danych powinny być proporcjonalne do uzasadnionego celu poprawy bezpieczeństwa.

(9) Okres przechowywania danych PNR przez właściwe organy krajowe powinien być proporcjonalny do celów, w jakim zostały one zgromadzone; mianowicie na potrzeby zapobiegania przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczania. Ze względu na charakter tych danych i ich wykorzystywanie, istotne jest, aby dane te były przechowywane przez odpowiednio długi okres, pozwalający zrealizować cele obejmujące opracowanie wskaźników zagrożenia i ustalenie wzorców w zakresie tras podróży i zachowań. Aby nie dopuścić do nieproporcjonalnego wykorzystywania danych, istotne jest, aby po upływie kilku lat dane były przenoszone do archiwalnej bazy danych i udostępniane tylko po spełnieniu ściśle określonych i restrykcyjnych warunków. Równocześnie zapewni to dostępność danych, gdyby okazały się potrzebne w konkretnych wyjątkowych okolicznościach. Istotne jest również zezwolenie na przedłużenie okresu przechowywania danych, jeśli są one wykorzystywane w trwającym dochodzeniu/śledztwie lub postępowaniu sądowym w sprawie karnej.

(10) Decyzja ramowa Rady (xx/xx) w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych powinna mieć zastosowanie do wszystkich danych przetwarzanych zgodnie z niniejszą decyzją ramową. Prawa osób, których dotyczą dane, związane z takim przetwarzaniem, takie jak prawo do uzyskania informacji, prawo dostępu do danych, prawo do sprostowania, usunięcia lub zablokowania danych oraz prawo do odszkodowania i do środków ochrony sądowej powinny zostać przewidziane na podstawie niniejszej decyzji ramowej.

(11) Aby zapewnić skuteczne wypełnianie obowiązków nałożonych na przewoźników lotniczych w zakresie udostępniania danych PNR, państwa członkowskie powinny przewidzieć skuteczne, proporcjonalne i odstraszające sankcje, w tym kary finansowe, wobec przewoźników niewypełniających swoich obowiązków. Państwa członkowskie powinny podjąć wszystkie niezbędne środki, aby umożliwić przewoźnikom lotniczym wypełnienie obowiązków nałożonych na nich zgodnie z niniejszą decyzją ramową. W przypadku powtarzających się przypadków poważnych naruszeń, które mogłyby podważyć realizację podstawowych celów niniejszej decyzji ramowej, sankcje te mogą obejmować środki takie jak unieruchomienie, zajęcie i konfiskata środków transportu, lub tymczasowe zawieszenie lub odebranie koncesji. Tego rodzaju sankcje powinny być nakładane tylko w wyjątkowych przypadkach.

(12) Właściwe organy krajowe muszą otrzymywać dane PNR, które są gromadzone przez przewoźników lotniczych.

(13) W wyniku prawnych i technicznych różnic w przepisach poszczególnych państw członkowskich dotyczących informacji, w tym danych PNR, przewoźnicy lotniczy staną w obliczu różnych wymagań co do rodzaju informacji, które należy przekazać, oraz warunków, na jakich te informacje mają zostać dostarczone właściwym organom krajowym.

(14) Różnice te mogą wpływać negatywnie na skuteczną współpracę między właściwymi organami krajowymi w celu zapobiegania przestępstwom i ich zwalczania.

(15) W swoim komunikacie z dnia 16 grudnia 2003 r. pt. „Transfer danych dotyczących rezerwacji pasażera: globalne podejście UE”[10] Komisja przedstawiła główne elementy polityki unijnej w tej dziedzinie; ponadto wspierała i aktywnie współuczestniczyła w pracach prowadzonych w ramach wielostronnej inicjatywy Organizacji Międzynarodowego Lotnictwa Cywilnego, które zaowocowały opracowaniem wytycznych ICAO w sprawie danych PNR; wytyczne te powinny zostać uwzględnione. Środki nieuwzględniające koordynacji i współpracy na szczeblu międzynarodowym, przyjęte wyłącznie na poziomie krajowym lub nawet na poziomie Unii, miałyby bardzo ograniczone skutki. Wszystkie środki przyjęte przez Unię w tej dziedzinie powinny być zgodne z innymi działaniami podjętymi na poziomie międzynarodowym.

(16) Obecnie istnieją dwa sposoby przekazywania danych: metoda „pobierania” ( pull method) , polegająca na tym, że właściwe organy państwowe pragnące otrzymać dane mają „dostęp” do systemów rezerwacji przewoźników lotniczych i mogą wyszukać („pobrać”) z nich wymagane dane; oraz metoda „dostarczania” ( push method ), polegająca na tym, że przewoźnicy lotniczy przekazują („dostarczają”) wymagane dane PNR na wniosek właściwych organów. Uznaje się, że metoda „dostarczania” zapewnia wyższy stopień ochrony danych i dlatego powinna być obowiązkowa dla wszystkich przewoźników lotniczych mających siedzibę w Unii Europejskiej. Jeśli chodzi o przewoźników z krajów trzecich, należy wykorzystywać metodę aktywnego dostarczania, gdy tylko jest to możliwe dla przewoźnika z kraju trzeciego z technicznego, ekonomicznego i operacyjnego punktu widzenia.

(17) Dane PNR powinny być przekazywane do jednego biura reprezentującego państwo członkowskie, które zwróciło się o przekazanie danych.

(18) Zawartość wszelkich wykazów określających, które dane PNR są wymagane przez właściwe organy krajowe, powinna odzwierciedlać właściwą równowagę między uzasadnionymi potrzebami organów publicznych związanymi z zapobieganiem przestępstwom terrorystycznym i przestępczości zorganizowanej i ich zwalczaniem, a tym samym poprawą bezpieczeństwa wewnętrznego w UE, a ochroną podstawowych praw obywateli, w tym prawa do prywatności; wykazy takie nie powinny zawierać danych osobowych, które mogłyby ujawniać pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych ani danych dotyczących zdrowia lub życia seksualnego poszczególnych osób. Dane PNR zawierają szczegółowe informacje dotyczące rezerwacji i planu podróży danego pasażera, które umożliwiają właściwym organom wykrywanie pasażerów lotniczych mogących stanowić zagrożenie dla bezpieczeństwa wewnętrznego.

(19) W celu poprawy bezpieczeństwa wewnętrznego Unii Europejskiej jako całości, każde państwo członkowskie powinno być odpowiedzialne za ocenę potencjalnych zagrożeń związanych z przestępstwami terrorystycznymi i przestępczością zorganizowaną. Wytyczne dotyczące wspólnych ogólnych kryteriów takiej oceny zagrożenia powinny zostać określone przez komitet ustanowiony na mocy niniejszej decyzji ramowej.

(20) Ponieważ jest to podstawowa zasada ochrony danych, istotne jest zapewnienie, że żadne działania związane z egzekwowaniem prawa nie zostaną podjęte przez właściwe organy państw członkowskich wyłącznie na podstawie automatycznego przetwarzania danych PNR lub z powodu pochodzenia rasowego lub etnicznego, przekonań religijnych lub filozoficznych, poglądów politycznych ani orientacji seksualnej danej osoby.

(21) Państwa członkowskie powinny w stosownych przypadkach przekazywać otrzymane dane PNR innym państwom członkowskim. Przekazywanie danych PNR do krajów trzecich oraz kwestie odpowiedniego poziomu ochrony powinny być regulowane decyzją ramową Rady (xx/xx) w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych oraz powinny podlegać dodatkowym obostrzeniom w zakresie celu przekazywania. Jeśli Unia zawarła międzynarodowe porozumienia dotyczące takich transferów, postanowienia tych porozumień powinny być należycie uwzględnione.

(22) Państwa członkowskie powinny zadbać o to, aby przekazywanie przez przewoźników lotniczych odpowiednich danych PNR właściwym organom krajowym odbywało się przy wykorzystaniu najbardziej zaawansowanych technologii, co pozwoli zagwarantować w największym możliwym stopniu bezpieczeństwo przekazywanych danych.

(23) Ponieważ cele niniejszej decyzji ramowej nie mogą zostać w wystarczający sposób osiągnięte przez samodzielne działania państw członkowskich, a tym samym ze względu na skalę i skutki działań mogą być w lepszy sposób osiągnięte dzięki środkom na szczeblu unijnym, Rada może przyjąć środki zgodnie z zasadą pomocniczości, określoną w art. 5 Traktatu WE, o której mowa w art. 2 Traktatu UE. Zgodnie z zasadą proporcjonalności określoną w art. 5 Traktatu WE niniejsza decyzja ramowa nie wykracza poza to, co jest konieczne do osiągnięcia zamierzonych celów.

(24) Niniejsza decyzja ramowa w pełni respektuje prawa podstawowe i przestrzega zasad uznanych w szczególności w Karcie praw podstawowych Unii Europejskiej,

PRZYJMUJE NINIEJSZĄ DECYZJĘ RAMOWĄ:

ROZDZIAŁ I

PRZEPISY OGÓLNE

Artykuł 1

Cele

Niniejsza decyzja ramowa reguluje udostępnianie przez przewoźników lotniczych danych PNR pasażerów odbywających loty międzynarodowe właściwym organom państw członkowskich, do celów zapobiegania przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczania, jak również gromadzenie i przechowywanie tych danych przez wspomniane organy i wymianę tych danych między nimi.

Artykuł 2

Definicje

Na potrzeby niniejszej decyzji ramowej stosuje się następujące definicje:

a) „przewoźnik lotniczy” oznacza przedsiębiorstwo posiadające ważną koncesję na przewóz lotniczy lub inne równoważne zezwolenie;

b) „lot międzynarodowy” oznacza każdy lot zaplanowany z terytorium kraju trzeciego na terytorium przynajmniej jednego państwa członkowskiego Unii Europejskiej lub lot z terytorium przynajmniej jednego państwa członkowskiego Unii Europejskiej do docelowego miejsca w kraju trzecim;

c) „dane dotyczące rezerwacji pasażera (dane PNR)” oznaczają rekord z warunkami podróży każdej osoby, zawierający wszystkie informacje niezbędne do przetwarzania rezerwacji i jej weryfikacji przez przewoźników lotniczych zaangażowanych w rezerwację, w przypadku każdej rezerwacji podróży dokonanej przez osobę lub w jej imieniu. Na potrzeby niniejszej decyzji ramowej dane PNR oznaczają składniki danych określone w załączniku I, w zakresie, w jakim są one gromadzone przez przewoźników lotniczych;

d) „pasażer” oznacza każdą osobę, poza członkami załogi, przewożoną na pokładzie samolotu za zgodą przewoźnika;

e) „system rezerwacji” oznacza wewnętrzną bazę danych przewoźnika lotniczego, w której gromadzone są dane PNR z rezerwacji dokonywanych za pośrednictwem komputerowych systemów rezerwacji określonych w rozporządzeniu 2299/89 w sprawie kodeksu postępowania dla komputerowych systemów rezerwacji lub bezpośrednio, na przykład poprzez strony internetowe linii lotniczych, telefoniczne centra obsługi klienta lub biura sprzedaży;

f) „metoda dostarczania” ( push method) oznacza metodę polegającą na przekazywaniu przez przewoźników lotniczych wymaganych danych PNR do baz danych organów, które zwracają się o przekazanie tych danych;

g) „metoda pobierania” ( pull method ) oznacza metodę polegającą na umożliwieniu organom, zwracającym się o przekazanie danych, dostępu do systemu rezerwacji przewoźnika lotniczego i pobrania kopii wymaganych danych do swojej bazy;

h) „przestępstwa terrorystyczne” oznaczają przestępstwa w rozumieniu prawa krajowego, o których mowa w art. 1–4 decyzji ramowej Rady 2002/475/WSISW w sprawie zwalczania terroryzmu[11];

i) „przestępczość zorganizowana” oznacza przestępstwa w rozumieniu prawa krajowego, o których mowa w art. 2 ramowej decyzji Rady (xx/xx) w sprawie zwalczania przestępczości zorganizowanej[12].

ROZDZIAŁ II

OBOWIĄZKI PAŃSTW CZŁONKOWSKICH

Artykuł 3

Biuro Danych Pasażerów

1. W ciągu dwunastu miesięcy od daty wejścia w życie niniejszej decyzji ramowej, każde państwo członkowskie wyznacza właściwy organ, zwany dalej „Biurem Danych Pasażerów” oraz informuje o tym Komisję i Sekretariat Generalny Rady. Oświadczenie to może zostać w każdym momencie uaktualnione. Komisja publikuje te informacje w Dzienniku Urzędowym Wspólnot Europejskich .

2. Biuro Danych Pasażerów odpowiada za gromadzenie danych PNR uzyskiwanych od przewoźników lotniczych lub pośredników, zgodnie z art. 5 i 6, dotyczących lotów międzynarodowych, których odlot lub przylot odbywa się na terytorium państwa członkowskiego obsługiwanego przez to biuro. Jeżeli zgromadzone dane PNR pasażerów zawierają dodatkowe dane, niewymienione w załączniku I, lub szczególne kategorie danych osobowych, które ujawniałyby pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych i dane dotyczące zdrowia lub życia seksualnego danej osoby, Biuro Danych Pasażerów niezwłocznie usuwa tego rodzaju dane.

3. Biuro Danych Pasażerów odpowiada za analizowanie danych PNR i przeprowadzanie oceny, którzy pasażerowie mogą stanowić zagrożenie, w celu wykrycia osób, które należy poddać dalszym badaniom w jednym z celów wymienionych w ust. 5. Kryteria oceny zagrożenia i gwarancje w tym względzie zostają określone na mocy prawa krajowego. Żadne działania związane z egzekwowaniem prawa nie zostaną podjęte przez Biura Danych Pasażerów ani właściwe organy państw członkowskich wyłącznie na podstawie automatycznego przetwarzania danych PNR lub z powodu pochodzenia rasowego lub etnicznego, przekonań religijnych lub filozoficznych, poglądów politycznych ani orientacji seksualnej danej osoby.

4. Biuro Danych Pasażerów w państwie członkowskim przekazuje dane PNR osób indywidualnych wykrytych zgodnie z ust. 3 właściwym organom tego samego państwa członkowskiego, o których mowa w art. 4, drogą elektroniczną lub, gdy to się nie uda, przy użyciu wszelkich innych odpowiednich środków.

5. Dane PNR pasażerów mogą być przetwarzane przez Biura Danych Pasażerów oraz właściwe organy państw członkowskich, o których mowa w art. 4, wyłącznie na potrzeby zapobiegania przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczania, do następujących celów:

- do wykrywania osób, które są lub mogą być zaangażowane w przestępstwo terrorystyczne lub przestępczość zorganizowaną, jak również ich wspólników;

- do tworzenia i aktualizowania wskaźników zagrożenia do oceny takich osób;

- do dostarczania danych wywiadowczych o wzorcach w zakresie tras podróży i innych tendencjach związanych z przestępstwami terrorystycznymi i przestępczością zorganizowaną;

- do wykorzystania w dochodzeniach i śledztwach w sprawach karnych dotyczących przestępstw terrorystycznych i przestępczości zorganizowanej.

Biuro Danych Pasażerów oraz właściwe organy nie podejmują żadnych działań związanych z egzekwowaniem prawa wyłącznie na podstawie automatycznego przetwarzania danych PNR.

6. Dwa państwa członkowskie lub większa liczba państw może stworzyć lub wyznaczyć ten sam organ jako swoje Biuro Danych Pasażerów. Takie Biuro Danych Pasażerów uznaje się za krajowe Biuro Danych Pasażerów wszystkich uczestniczących państw członkowskich.

Artykuł 4

Właściwe organy

1. Każde państwo członkowskie przyjmuje wykaz właściwych organów uprawnionych do otrzymywania danych PNR od Biura Danych Pasażerów oraz do przetwarzania tych danych.

2. Właściwe organy obejmują wyłącznie organy odpowiedzialne za zapobieganie przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczanie.

3. Każde państwo członkowskie przekazuje Komisji i Sekretariatowi Generalnemu Rady wykaz „właściwych organów” w formie oświadczenia w ciągu dwunastu miesięcy od daty wejścia w życie niniejszej decyzji ramowej. Oświadczenie to może zostać w każdym momencie uaktualnione. Komisja publikuje oświadczenia w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 5

Obowiązki przewoźników lotniczych

1. Państwa członkowskie podejmują środki konieczne do zapewnienia, że przewoźnicy lotniczy udostępniają dane PNR pasażerów odbywających loty międzynarodowe krajowym Biurom Danych Pasażerów państwa członkowskiego, na terytorium którego odbywa się odlot, przylot lub międzylądowanie danego lotu międzynarodowego, zgodnie z warunkami określonymi w niniejszej decyzji ramowej.

2. Przewoźnicy lotniczy udostępniają Biurom Danych Pasażerów dane PNR określone w załączniku I, o ile są one gromadzone i przetwarzane w systemach rezerwacji przewoźników lotniczych.

3. Przewoźnicy lotniczy udostępniają takie dane drogą elektroniczną lub, gdy to się nie uda, przy użyciu wszelkich innych odpowiednich środków:

a) z wyprzedzeniem, na 24 godziny przed planowanym odlotem

oraz

b) niezwłocznie po zakończeniu odprawy.

Odpowiednie Biuro Danych Pasażerów może zażądać od przewoźnika lotniczego udostępnienia danych PNR wcześniej niż 24 godziny przed planowanym odlotem samolotu, jeśli istnieją przesłanki, że wcześniejszy dostęp jest konieczny, aby pomóc w reagowaniu na konkretne zagrożenie związane z przestępstwem terrorystycznym i przestępczością zorganizowaną. Przy wykonywaniu swoich uprawnień Biuro Danych Pasażerów będzie działało zgodnie z zasadą proporcjonalności.

4. Przewoźnicy lotniczy, którzy posiadają bazy danych w państwie członkowskim Unii Europejskiej, wprowadzają środki techniczne konieczne do zapewnienia, że dane PNR są przekazywane do Biur Danych Pasażerów lub pośredników wyznaczonych zgodnie z art. 6 przy użyciu metody dostarczania.

5. Przewoźnicy lotniczy, którzy nie posiadają baz danych pasażerów w państwie członkowskim Unii Europejskiej:

- są zobowiązani do używania metody dostarczania podczas transferu danych do Biur Danych Pasażerów lub pośredników wyznaczonych zgodnie z art. 6,

- jeżeli nie dysponują odpowiednią infrastrukturą techniczną do używania metody dostarczania, są zobowiązani zezwolić Biurom Danych Pasażerów lub pośrednikom wyznaczonym zgodnie z art. 6 na pozyskiwanie danych ze swoich baz danych przy użyciu metody pobierania.

We wszystkich przypadkach muszą oni informować Biura Danych Pasażerów oraz odpowiednich pośredników we wszystkich państwach członkowskich, czy do udostępniania danych będą korzystać z metody dostarczania czy metody pobierania.

6. Państwa członkowskie dbają o to, aby przewoźnicy lotniczy informowali pasażerów lotów międzynarodowych o przekazywaniu danych PNR Biurom Danych Pasażerów, lub w stosownych przypadkach pośrednikom; o celach, w jakich są one przetwarzane; o okresie przechowywania danych oraz możliwości ich wykorzystywania do zapobiegania przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczania, a także o możliwości wymieniania się i dzielenia się takimi danymi.

Artykuł 6

Pośrednik

1. Państwa członkowskie zapewniają przewoźnikom lotniczym obsługującym loty międzynarodowe możliwość wyznaczenia pośrednika, któremu przewoźnicy będą udostępniać dane PNR pasażerów, zamiast udostępniać te dane bezpośrednio Biurom Danych Pasażerów, z zastrzeżeniem ust. 2 do 6.

2. Przewoźnicy lotniczy zawierający umowy z takimi pośrednikami informują niezwłocznie Biura Danych Pasażerów we wszystkich państwach członkowskich o tego rodzaju uzgodnieniach. Pośrednicy działają w imieniu przewoźników lotniczych, przez których zostali wyznaczeni, i są uznawani za przedstawicieli przewoźników lotniczych na potrzeby niniejszej decyzji ramowej.

3. Pośrednicy wyznaczeni przez przewoźników lotniczych są odpowiedzialni za gromadzenie danych PNR od przewoźników lotniczych. Jeżeli zgromadzone dane PNR pasażerów zawierają dodatkowe dane, niewymienione w załączniku I, lub szczególne kategorie danych osobowych, które ujawniałyby pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych lub dane dotyczące zdrowia lub życia seksualnego danej osoby, pośrednik niezwłocznie usuwa tego rodzaju dane.

4. Pośrednicy przekazują dane PNR Biurom Danych Pasażerów w państwach członkowskich, na terytorium których następuje odlot, przylot lub międzylądowanie danego lotu międzynarodowego, droga elektroniczną lub, gdy to się nie uda, przy użyciu wszelkich innych odpowiednich środków. Przekazywanie takich danych Biurom Danych Pasażerów odbywa się za pomocą metody dostarczania.

5. Pośrednicy prowadzą swoje bazy danych oraz przetwarzają dane PNR wyłącznie na terytorium Unii Europejskiej.

6. Pośrednikom nie wolno przetwarzać danych zgromadzonych od przewoźników lotniczych i przekazanych do Biura Danych Pasażerów w żadnym innym celu, niż wymieniony w niniejszym artykule; pośrednicy usuwają dane niezwłocznie po przekazaniu ich odpowiedniemu Biuru Danych Pasażera.

Artykuł 7

Wymiana informacji

1. Państwa członkowskie zapewniają, że dane PNR osób wykrytych przez Biuro Danych Pasażerów zgodnie z art. 3 ust. 3 są przekazywane przez to biuro Biurom Danych Pasażerów w innych państwach członkowskich, wyłącznie w przypadkach i w zakresie, w jakich jest to niezbędne do zapobiegania przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczania. Biura Danych Pasażerów w państwach członkowskich otrzymujących te dane przechowują dane PNR zgodnie z art. 9 i przekazują je swoim odpowiednim właściwym organom wyznaczonym zgodnie z art. 4.

2. Biuro Danych Pasażerów lub dowolny wyznaczony właściwy organ każdego państwa członkowskiego mają prawo do wezwania Biura Danych Pasażerów w każdym innym państwie członkowskim do przekazania im konkretnych danych PNR, które są przechowywane w aktywnej bazie danych tego biura na podstawie art. 9 ust. 1. Wniosek o przekazanie takich danym może dotyczyć jednego składnika danych lub kombinacji kilku składników, w zależności od tego, co biuro składające wniosek uzna za właściwe do celów zapobiegania przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczania. Biura Danych Pasażerów odpowiadają na takie wnioski, kiedy tylko jest w stanie pozyskać te dane.

3 Jeżeli państwo członkowskie zwraca się do innego państwa członkowskiego o przekazanie konkretnych danych PNR, które są przechowywane w archiwalnej bazie danych na podstawie art. 9 ust. 2, wniosek kierowany jest do organu odpowiedzialnego w danym państwie członkowskim za bazy danych zawierające dane PNR i może być składany tylko w wyjątkowych okolicznościach jako odpowiedź na konkretne i rzeczywiste zagrożenie związane z zapobieganiem przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczaniem. Dostęp do tego rodzaju danych mają wyłącznie pracownicy właściwych organów, specjalnie uprawnieni do tego celu.

4. W wyjątkowych okolicznościach, jeśli istnieją przesłanki, że wcześniejszy dostęp jest konieczny, aby pomóc w reagowaniu na konkretne i rzeczywiste zagrożenie związane z zapobieganiem przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczaniem, Biuro Danych Pasażerów lub wyznaczone właściwe organy państwa członkowskiego mają prawo wezwać Biuro Danych Pasażerów innego państwa członkowskiego do przekazania im danych PNR dotyczących lotów, których przylot lub odlot odbywa się na ich terytorium, z wyprzedzeniem większym niż 24 godziny przed planowanym odlotem.

Artykuł 8

Transfer danych do krajów trzecich

1 Oprócz spełnienia warunków i gwarancji zwartych w decyzji ramowej Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych, dane PNR mogą być przekazywane przez państwo członkowskie organom ścigania kraju trzeciego wyłącznie jeśli państwo członkowskie ma pewność, że:

a) organy kraju trzeciego wykorzystują dane wyłącznie w celu zapobiegania przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczania,

b) kraj trzeci nie przekazuje danych innemu krajowi trzeciemu bez wyraźniej zgody państwa członkowskiego.

2. Ponadto przekazywanie tych danych może się odbywać wyłącznie zgodnie z krajowymi przepisami danego państwa członkowskiego i obowiązującymi porozumieniami międzynarodowymi.

Artykuł 9

Okres przechowywania danych

1. Państwa członkowskie zapewniają, że dane PNR dostarczone przez przewoźników lotniczych lub pośredników do Biur Danych Pasażerów są przechowywane w bazie danych w Biurze Danych Pasażerów przez okres pięciu lat po ich przekazaniu do Biura Danych Pasażerów pierwszego państwa członkowskiego, na terytorium którego następował odlot, przylot lub przelot danego lotu międzynarodowego.

2. Po upływie terminu pięciu lat od przekazania danych PNR do Biura Danych Pasażerów określonego w ust. 1, dane są przechowywane przez okres kolejnych ośmiu lat. W tym okresie dostęp do danych PNR, ich przetwarzanie lub wykorzystanie odbywa się wyłącznie za zgodą właściwego organu i wyłącznie w wyjątkowych okolicznościach, w odpowiedzi na konkretne i rzeczywiste zagrożenie związane z zapobieganiem przestępstwom terrorystycznym i przestępczości zorganizowanej oraz ich zwalczaniem. Dostęp do tego rodzaju danych mają wyłącznie pracownicy właściwych organów, specjalnie uprawnieni do tego celu.

3. Państwa członkowskie zapewniają, że dane PNR są usuwane z baz danych ich Biur Danych Pasażerów po upływie okresu ośmiu lat, określonego w ust. 2.

4. W drodze odstępstwa od ust. 1, 2 i 3 Biura Danych Pasażerów mogą przechowywać dane PNR przez dłuższy okres, w przypadku jeżeli dane te są wykorzystywane w trwającym dochodzeniu/śledztwie w sprawie karnej w związku z przestępstwem terrorystycznym lub przestępczością zorganizowaną, a postępowanie to toczy się przeciwko danej osobie lub jej dotyczy. Po zakończeniu dochodzenia dane te są usuwane ze wszystkich rekordów i plików.

Artykuł 10

Sankcje

Państwa członkowskie zapewniają, zgodnie ze swoim prawem krajowym, istnienie skutecznych, proporcjonalnych i odstraszających sankcji, w tym kar finansowych, wobec przewoźników lotniczych i pośredników, którzy danych nie przekazują lub przekazują dane niepełne lub błędne, lub w inny sposób naruszają krajowe przepisy przyjęte zgodnie z niniejszą decyzją ramową. W przypadku powtarzających się poważnych naruszeń sankcje te obejmują środki takie jak unieruchomienie, zajęcie i konfiskata środków transportu lub tymczasowe zawieszenie lub odebranie koncesji.

ROZDZIAŁ III

OCHRONA DANYCH OSOBOWYCH

Artykuł 11

Ochrona danych osobowych

1. Państwa członkowskie zapewniają, że decyzja ramowa Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (xx/xx)[13] ma zastosowanie do danych przetwarzanych zgodnie z niniejszą decyzją ramową.

2. Dane otrzymywane zgodnie z niniejszą decyzją ramową przez Biura Danych Pasażerów, pośredników i wyznaczone właściwe organy wszystkich państw członkowskich, są przetwarzane wyłącznie do celów zapobiegania przestępstwom terrorystycznym i przestępczości zorganizowanej, ich wykrywania, ścigania oraz prowadzenia dochodzeń lub śledztw ich dotyczących.

3. Biura Danych Pasażerów ani właściwe organy państw członkowskich nie podejmują żadnych działań związanych z egzekwowaniem prawa wyłącznie na podstawie automatycznego przetwarzania danych PNR lub z powodu pochodzenia rasowego lub etnicznego, przekonań religijnych lub filozoficznych, poglądów politycznych ani orientacji seksualnej danej osoby.

Artykuł 12

Bezpieczeństwo danych

Państwa członkowskie zapewniają, że Biura Danych Pasażerów, pośrednicy oraz właściwe organy w każdym państwie członkowskim przyjmują konieczne środki bezpieczeństwa w odniesieniu do danych PNR przetwarzanych zgodnie z niniejszą decyzją ramową, służące:

a) fizycznej ochronie danych;

b) uniemożliwieniu osobom nieuprawnionym dostępu do krajowych obiektów, w których państwa członkowskie przechowują dane (kontrole przy wejściu do obiektu);

c) zapobieganiu niedozwolonemu odczytywaniu, kopiowaniu, modyfikacji lub usuwaniu nośników danych (kontrola nośników danych);

d) zapobieganiu niedozwolonemu przeglądaniu przechowywanych danych osobowych, ich modyfikacji lub usuwaniu (kontrola przechowywania),

e) zapobieganiu niedozwolonemu przetwarzaniu danych (kontrola przetwarzania danych);

f) zapewnieniu, że osoby uprawnione do dostępu do danych mają dostęp tylko do danych objętych zakresem ich uprawnień do dostępu, wyłącznie za pomocą osobistych i unikalnych identyfikatorów użytkowników i poufnego trybu dostępu (kontrola dostępu do danych);

g) zapewnieniu, że wszystkie właściwe organy posiadające prawo dostępu do danych stworzą profile opisujące funkcje i obowiązki osób uprawnionych do dostępu do danych, do ich wprowadzania, aktualizowania, usuwania i przeszukiwania, oraz udostępnią te profile krajowym organom nadzorczym niezwłocznie na ich żądanie (profile pracowników);

h) zapewnieniu możliwości sprawdzenia i ustalenia, do których organów dane osobowe mogą być przekazywane z wykorzystaniem sprzętu służącego do przekazywania danych (kontrola przekazu);

i) zapobieganiu niedozwolonemu odczytywaniu i kopiowaniu danych osobowych podczas ich przesyłania, w szczególności poprzez zastosowanie odpowiednich wspólnych protokołów i standardów szyfrowania (kontrola transferu).

ROZDZIAŁ IV

KOMITOLOGIA

Artykuł 13

Wspólne protokoły i standardy szyfrowania

1. Do momentu upływu terminu, o którym mowa w ust. 6 niniejszego artykułu, wszystkie transfery danych PNR dokonywane na potrzeby niniejszej decyzji ramowej są dokonywane drogą elektroniczną lub, gdy się to nie uda, przy użyciu wszelkich innych odpowiednich środków.

2. Po upływie terminu, o którym mowa w ust. 6 niniejszego artykułu, wszystkie transfery danych PNR dokonywane na potrzeby niniejszej decyzji ramowej są dokonywane drogą elektroniczną przy użyciu bezpiecznych metod identycznych dla wszystkich transferów, w celu zapewnienia bezpieczeństwa danych podczas ich przesyłania oraz ich czytelności dla wszystkich zainteresowanych podmiotów, które to metody obejmują następujące elementy:

a) wspólne protokoły, oraz

b) wspólne standardy szyfrowania.

3. Wspólne protokoły i standardy szyfrowania są opracowywane, a w stosownym przypadku dostosowywane, zgodnie z procedurą określoną w art. 15.

4. Jeśli metody transferu danych określone w ust. 2 i 3 są niedostępne, przez cały czas niedostępności tych metod zastosowanie ma ust. 1.

5. Każde państwo członkowskie zapewnia przeprowadzanie koniecznych modyfikacji technicznych, umożliwiających zastosowanie wspólnych protokołów i standardów szyfrowania do wszystkich transferów danych PNR dokonywanych na potrzeby niniejszej decyzji ramowej. Państwa członkowskie informują Komisję o dacie, począwszy od której można dokonywać tego rodzaju transferów. Komisja niezwłocznie informuje komitet, o którym mowa w art. 14.

6. Techniczne modyfikacje, o których mowa w ust. 5, są przeprowadzane w ciągu roku od daty przyjęcia wspólnych protokołów i standardów szyfrowania.

7. Środki niezbędne do wprowadzenia w życie ust. 2 i 3 przyjmuje się zgodnie z procedurą regulacyjną określoną w art. 15.

Artykuł 14

Procedura komitetu

1. Komisję wspiera komitet (zwany dalej „komitetem”) składający się z przedstawicieli państw członkowskich, któremu przewodniczy przedstawiciel Komisji.

2. Na wniosek przewodniczącego komitet uchwala swój regulamin wewnętrzny sporządzony na podstawie wzoru regulaminu opublikowanego w Dzienniku Urzędowym Unii Europejskiej.

3. Komitet może wydawać swoim członkom odpowiednie zalecenia dotyczące przyjmowania wspólnych protokołów i standardów szyfrowania, które powinny być używane przy wszystkich transferach danych PNR na mocy niniejszej decyzji ramowej, jak również wspólnych ogólnych kryteriów, metod i przyjętych praktyk przeprowadzania oceny zagrożenia zgodnie z art. 3 ust. 3.

Artykuł 15

Procedura

1. W przypadku odesłania do niniejszego artykułu, przedstawiciel Komisji przedkłada komitetowi projekt środków, jakie należy podjąć. Komitet przedstawia swoją opinię w sprawie projektu w terminie, który może wyznaczyć przewodniczący stosownie do pilności sprawy. Opinię przyjmuje się większością głosów określoną w art. 205 ust. 2 Traktatu ustanawiającego Wspólnotę Europejską w przypadku decyzji, które Rada jest zobowiązana przyjąć na wniosek Komisji. Głosy przedstawicieli państw członkowskich w komitecie są ważone w sposób określony w wyżej wymienionym artykule. Przewodniczący nie bierze udziału w głosowaniu.

2. Komisja przyjmuje przewidywane środki, jeżeli są one zgodne z opinią komitetu.

3. Jeżeli przewidywane środki nie są zgodne z opinią komitetu lub opinia nie zostanie wydana, Komisja bezzwłocznie przedstawia Radzie wniosek w sprawie środków, które powinny zostać podjęte, oraz informuje o tym Parlament Europejski.

4. Rada może stanowić większością kwalifikowaną w sprawie wniosku, w terminie trzech miesięcy od daty jego przedstawienia Radzie.

Jeżeli w tym terminie Rada, stanowiąc większością kwalifikowaną, odrzuci wniosek, Komisja zbada go ponownie. Komisja może przedstawić Radzie zmieniony wniosek, przedstawić wniosek ponownie lub przedstawić wniosek legislacyjny na podstawie Traktatu.

Jeżeli po upływie tego terminu Rada nie przyjmie proponowanego aktu wykonawczego ani nie sprzeciwi się wnioskowi dotyczącemu środków wykonawczych, Komisja przyjmie proponowany akt wykonawczy.

ROZDZIAŁ V

PRZEPISY KOŃCOWE

Artykuł 16

Wdrożenie

1. Państwa członkowskie podejmują niezbędne środki w celu zastosowania się do postanowień niniejszej decyzji ramowej do dnia 31 grudnia 2010 r. W tym samym terminie państwa członkowskie przekazują Sekretariatowi Generalnemu Rady i Komisji tekst przepisów transponujących do prawa krajowego obowiązki nałożone na nie na mocy niniejszej decyzji ramowej oraz tabelę korelacji pomiędzy tymi przepisami a niniejszą decyzją ramową.

Przepisy przyjęte przez państwa członkowskie zawierają odniesienie do niniejszej decyzji ramowej lub odniesienie takie towarzyszy ich urzędowej publikacji. Metody dokonywania takiego odniesienia określane są przez państwa członkowskie.

2. Na podstawie sprawozdania sporządzonego przy użyciu tych informacji oraz pisemnego sprawozdania Komisji, Rada przed dniem 31 grudnia 2011 r. oceni stopień, w jakim państwa członkowskie zastosowały się do przepisów niniejszej decyzji ramowej.

Artykuł 17

Przegląd

Komisja przeprowadza przegląd funkcjonowania niniejszej decyzji ramowej na podstawie informacji przekazanych przez państwa członkowskie oraz przedkłada Radzie sprawozdanie w ciągu pięciu lat od wejścia w życie niniejszej decyzji ramowej. Przegląd taki obejmuje wszystkie elementy niniejszej decyzji ramowej, ze szczególnym naciskiem na wprowadzenie w życie metody dostarczania, stopień zgodności z odpowiednim poziomem ochrony danych, ocenę długości okresu przechowywania danych oraz jakość oceny zagrożeń.

Artykuł 18

Dane statystyczne

1. Państwa członkowskie zapewniają dostępność statystyk dotyczących danych PNR przekazanych do Biura Danych Pasażerów.

2. Statystyki takie powinny obejmować dla każdego przewoźnika lotniczego i każdego miejsca docelowego przynajmniej liczbę przekazanych składników danych, liczbę wykrytych osób mogących stanowić zagrożenie oraz liczbę następczych działań mających na celu egzekwowanie prawa, wiążących się z wykorzystaniem danych PNR.

3. Statystyki te nie powinny zawierać żadnych danych osobowych. Powinny być corocznie przekazywanie Sekretariatowi Generalnemu Rady oraz Komisji.

Artykuł 19

Stosunek do innych instrumentów prawnych

1. Państwa członkowskie mogą nadal stosować obowiązujące dwustronne lub wielostronne porozumienia lub uzgodnienia po przyjęciu niniejszej decyzji ramowej, o ile takie porozumienia lub uzgodnienia są zgodne z celami niniejszej decyzji ramowej.

2. Państwa członkowskie mogą zawierać lub wprowadzać w życie dwustronne lub wielostronne porozumienia lub uzgodnienia po wejściu w życie niniejszej decyzji ramowej, o ile takie porozumienia lub uzgodnienia są zgodne z celami niniejszej decyzji ramowej.

Artykuł 20

Wejście w życie

Niniejsza decyzja ramowa wchodzi w życie następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej .

Sporządzono w Brukseli dnia […] r.

W imieniu Rady

Przewodniczący

ZAŁĄCZNIK I

Dane PNR zgodnie z art. 2

Dane wszystkich pasażerów

1. numer rezerwacji PNR,

2. Data rezerwacji/wystawienia biletu

3. Data planowanej podróży

4. Imię (imiona) i nazwisko (nazwiska)

5. Adres i dane kontaktowe (numer telefonu, adres e-mail)

6. Wszystkie informacje dotyczące formy płatności, w tym adres na fakturze

7. Wszystkie trasy podróży dla konkretnego rekordu PNR

8. Informacje dotyczące programów lojalnościowych (frequent flyer)

9. Biuro podróży/ agencja turystyczna

10. Dane o statusie podróży pasażera, w tym potwierdzenia, stan odprawy biletowo-bagażowej, dane typu: pasażer zaakceptowany, którego nie było na liście lub pasażer, który był na liście, ale nie stawił się do odprawy

11. Dane dotyczące rezerwacji rozbitej/podzielonej

12. Uwagi ogólne (z wyłączeniem informacji poufnych)

13. Informacje podane na bilecie, w tym numer biletu, data wystawienia biletu i bilety w jedną stronę, dane z pola w rezerwacji na automatycznie skalkulowaną taryfę (Automated Ticket Fare Quote)

14. Numer miejsca w samolocie i inne informacje o miejscu

15. Informacje o umowie typu code-share

16. Wszystkie informacje o bagażu

17. Liczba i nazwiska innych podróżnych w rekordzie PNR

18. Wszystkie zebrane informacje API

19. Wszystkie dotychczasowe zmiany danych PNR wymienionych w pkt 1-18

Dodatkowe dane osób nieletnich poniżej 18 roku życia podróżujących bez opieki

20. Imię, nazwisko i płeć dziecka

21. Wiek

22. Język (-i)

23. Imię i nazwisko oraz dane kontaktowe opiekuna przy odlocie oraz stopień pokrewieństwa z dzieckiem

24. Imię i nazwisko oraz dane kontaktowe opiekuna przy przylocie oraz stopień pokrewieństwa z dzieckiem

25. Pracownik obsługi pasażerskiej towarzyszący dziecku przy odlocie i przylocie[pic][pic][pic][pic][pic][pic]

[1] SEC(2007) 1453

[2] Dz.U.

[3] Dz.U.

[4] Dz.U. Deklaracja w sprawie zwalczania terroryzmu przyjęta dnia 25 marca 2004 r.

[5] Program haski - Wzmacnianie wolności, bezpieczeństwa i sprawiedliwości w Unii Europejskiej, pkt 2.2 Terroryzm.

[6] Oświadczenie Rady w sprawie odpowiedzi UE na zamachy bombowe w Londynie – pkt 6.

[7] Dz.U. L 164 z 22.6.2002, str. 3.

[8] XXXXXXXX

[9] Dz.U. L 261 z 6.8.2004, str. 24.

[10] Patrz COM(2003) 826 wersja ostateczna z 16.12.2003 r.

[11] Dz.U. L 164 z 22.6.2002, str. 3.

[12] XXXXXXXX

[13] xxxxxxxxxx