KOMISJA EUROPEJSKA

Bruksela, dnia 24.7.2020

COM(2020) 305 final

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY

dotyczące przeglądu dyrektywy 2016/681 w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania

{SWD(2020) 128 final}

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY

dotyczące przeglądu dyrektywy 2016/681 w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania

1.Przegląd – zakres i proces

Dyrektywa 2016/681 w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania (zwana dalej „dyrektywą w sprawie danych PNR”) 1 została przyjęta przez Parlament Europejski i Radę w dniu 27 kwietnia 2016 r. W dyrektywie uregulowano procesy zbierania, przetwarzania i zatrzymywania danych PNR w Unii Europejskiej oraz ustanowiono istotne gwarancje w zakresie ochrony praw podstawowych, w szczególności prawa do prywatności i ochrony danych osobowych. Termin transpozycji dyrektywy do prawa krajowego państw członkowskich upłynął dnia 25 maja 2018 r.

Niniejsze sprawozdanie stanowi wypełnienie obowiązku ciążącego na Komisji na mocy art. 19 dyrektywy w sprawie danych PNR do przeprowadzenia do dnia 25 maja 2020 r. przeglądu wszystkich elementów dyrektywy oraz do przedłożenia sprawozdania Parlamentowi Europejskiemu i Radzie. W niniejszym sprawozdaniu określa się ogólny kontekst dyrektywy w sprawie danych PNR i przedstawia się ustalenia Komisji w ramach przeglądu jej wdrożenia po upływie dwóch lat od terminu jej transpozycji. Zgodnie z wymogami art. 19 dyrektywy przegląd obejmuje wszystkie elementy dyrektywy, ze szczególnym uwzględnieniem przestrzegania mających zastosowanie standardów ochrony danych osobowych, konieczności i proporcjonalności zbierania i przetwarzania danych PNR w odniesieniu do każdego celu określonego w dyrektywie, długości okresu zatrzymania danych, skuteczności wymiany informacji między państwami członkowskimi oraz jakości sprawdzeń, w tym w odniesieniu do informacji statystycznych gromadzonych zgodnie z art. 20. Dokonuje się w nim również wstępnej analizy konieczności, proporcjonalności i skuteczności rozszerzenia obowiązku zbierania danych PNR na loty wewnątrzunijne oraz konieczności włączenia do zakresu stosowania dyrektywy podmiotów gospodarczych niebędących przewoźnikami. Ponadto w przeglądzie opisano główne problemy i wyzwania związane z wdrażaniem dyrektywy i stosowaniem jej w praktyce.

Przygotowując przegląd, Komisja zebrała informacje zwrotne i opinie uzyskane z różnych źródeł oraz poprzez ukierunkowane działania konsultacyjne. Obejmują one wyniki oceny zgodności z dyrektywą w sprawie danych PNR dokonanej na podstawie analizy krajowych środków wykonawczych; dyskusje z organami krajowymi odpowiedzialnymi za wdrażanie dyrektywy oraz z branżą turystyczną w ramach regularnych spotkań i specjalnych warsztatów; dane statystyczne dostarczone przez państwa członkowskie zgodnie z art. 20 dyrektywy; oraz wizyty w terenie w sześciu państwach członkowskich 2 . Aby zilustrować sposób, w jaki dane PNR wykorzystuje się w praktyce do zwalczania terroryzmu i poważnej przestępczości – w sytuacjach, w których jest to możliwe – w sprawozdaniu odwołano się do rzeczywistych przykładów przedstawionych przez organy krajowe w oparciu o ich doświadczenie operacyjne.

W załączonym dokumencie roboczym służb Komisji zawarto bardziej szczegółowe informacje i kompleksową analizę wszystkich kwestii objętych niniejszym sprawozdaniem.

2.Kontekst ogólny

W ostatnich latach coraz większa liczba państw (nie tylko członkowskich) i organizacji międzynarodowych uznała wartość wykorzystywania danych PNR jako narzędzia ścigania przestępstw. Ustanowienie mechanizmu dotyczącego danych PNR i wdrożenie dyrektywy w sprawie danych PNR należy rozpatrywać w kontekście tej szerszej tendencji międzynarodowej.

Wykorzystywanie danych PNR jest od niemal dwudziestu lat ważnym elementem współpracy międzynarodowej UE w zwalczaniu terroryzmu i poważnej przestępczości. W komunikacie z 2010 r. w sprawie globalnego podejścia ustanowiono zestaw ogólnych kryteriów, które miały spełniać przyszłe umowy dwustronne w sprawie danych PNR, w tym w szczególności szereg zasad i gwarancji w zakresie ochrony danych 3 . Stanowiły one podstawę do renegocjacji umów dotyczących PNR z Australią, Kanadą i Stanami Zjednoczonymi, co doprowadziło do zawarcia nowych umów dotyczących PNR z Australią 4 i Stanami Zjednoczonymi 5 .

Na wniosek Parlamentu Europejskiego, w dniu 26 lipca 2017 r. Trybunał Sprawiedliwości UE wydał opinię, w której stwierdził, że przewidywana umowa z Kanadą nie może zostać zawarta w zamierzonej formie, ponieważ niektóre jej postanowienia nie spełniają wymogów wynikających z Karty praw podstawowych 6 . Aby rozwiać obawy Trybunału, UE i Kanada przystąpiły do renegocjacji umowy. Negocjacje te zakończyły się na poziomie technicznym w marcu 2019 r., a finalizacja umowy wymaga obecnie przeglądu prawnego i zatwierdzenia tekstu na szczeblu politycznym w Kanadzie 7 . Ponadto w dniu 18 lutego 2020 r. Rada upoważniła Komisję do rozpoczęcia negocjacji z Japonią w sprawie zawarcia umowy o przekazywaniu danych PNR 8 . Negocjacje z Meksykiem, rozpoczęte w lipcu 2015 r., są obecnie zawieszone.

Na szczeblu UE przyjęcie dyrektywy w sprawie danych PNR w kwietniu 2016 r. stanowiło ważny cel pośredni w wewnętrznej polityce dotyczącej PNR. Jak wskazano powyżej, dyrektywą ustanawia się zharmonizowane ramy dla przetwarzania danych PNR przekazywanych przez przewoźników lotniczych państwom członkowskim. Komisja wspierała państwa członkowskie we wdrażaniu dyrektywy poprzez koordynację regularnych spotkań, ułatwianie wzajemnego wsparcia i wymiany najlepszych praktyk, a także udzielanie pomocy finansowej. Władza budżetowa zwiększyła w szczególności budżet Unii na rok 2017 o 70 mln EUR w ramach Funduszu Bezpieczeństwa Wewnętrznego (ISF) – części dotyczącej współpracy policyjnej, aby wspierać działania związane z danymi PNR 9 . Komisja sfinansowała również cztery projekty związane z danymi PNR w ramach działań Unii w ramach Funduszu Bezpieczeństwa Wewnętrznego (ISF) – części dotyczącej współpracy policyjnej. Projekty te miały na celu zapewnienie, aby jednostki do spraw informacji o pasażerach w państwach członkowskich rozwinęły zdolności niezbędne do wymiany danych PNR lub do wymiany wyników przetwarzania takich danych pomiędzy sobą oraz z Europolem.

W 2016 r. UE zmodernizowała również swoje prawodawstwo dotyczące ochrony danych osobowych poprzez przyjęcie rozporządzenia (UE) 2016/679 (ogólne rozporządzenie o ochronie danych lub RODO) 10 oraz dyrektywy (UE) 2016/680 (dyrektywa w sprawie ochrony danych w sektorze ścigania przestępstw, znana również jako dyrektywa o ochronie danych w sprawach karnych) 11 . W dniu 24 czerwca 2020 r. Komisja przyjęła komunikat w sprawie dostosowania dotychczasowego dorobku w obszarze trzeciego filaru do przepisów o ochronie danych 12 i opublikowała wyniki pierwszego przeglądu i oceny RODO 13 .

W kontekście tego przeglądu należy zauważyć, że belgijski Trybunał Konstytucyjny wniósł do Trybunału Sprawiedliwości Unii Europejskiej o wydanie orzeczenia w trybie prejudycjalnym w sprawie zgodności dyrektywy z Kartą praw podstawowych i Traktatem 14 . Niedawno również Sąd Rejonowy w Kolonii złożył wniosek o wydanie orzeczenia w trybie prejudycjalnym w odniesieniu do dyrektywy w sprawie danych PNR 15 . Komisja przedstawiła swoje uwagi w pierwszym z tych postępowań i w stosownym czasie uczyni to samo w drugim z nich.

Na szczeblu globalnym w grudniu 2017 r. Organizacja Narodów Zjednoczonych przyjęła rezolucję Rady Bezpieczeństwa nr 2396, w której wymaga się od wszystkich państw ONZ rozwijania zdolności do zbierania, przetwarzania i analizowania danych PNR oraz zapewnienia, by dane PNR były wykorzystywane przez wszystkie ich właściwe organy krajowe oraz im udostępniane 16 . Aby wesprzeć państwa w rozwijaniu takich zdolności, w marcu 2019 r. Organizacja Międzynarodowego Lotnictwa Cywilnego (ICAO) rozpoczęła proces opracowywania nowych norm dotyczących danych PNR. Normy te, które będą wiążące dla wszystkich państw członkowskich ICAO, o ile nie zgłoszą one różnicy, zostały przyjęte przez Radę ICAO 23 czerwca 2020 r. Komisja aktywnie uczestniczyła w tym procesie jako obserwator z ramienia UE, aby zapewnić zgodność tych norm z wymogami prawnymi UE, tak aby mogły one przyczynić się do ułatwienia przekazywania danych PNR.

3.Główne ustalenia

Główne ustalenia dokonane w wyniku procesu przeglądu można podsumować w następujący sposób:

3.1.Ustanowienie ogólnounijnego systemu danych PNR 

Komisja z zadowoleniem przyjmuje starania podejmowane przez organy krajowe w celu wdrożenia dyrektywy w sprawie danych PNR. Na koniec okresu przeglądu 24 państwa z 26 państw członkowskich powiadomiły Komisję o dokonaniu pełnej transpozycji dyrektywy. Z dwóch pozostałych państw członkowskich Słowenia powiadomiła o częściowej transpozycji, natomiast przeciwko Hiszpanii, która nie powiadomiła o żadnych środkach transpozycji, w dniu 2 lipca 2020 r. skierowano do Trybunału Sprawiedliwości sprawę w związku z niewdrożeniem tej dyrektywy. Zdecydowana większość państw członkowskich ustanowiła w pełni operacyjne jednostki do spraw informacji o pasażerach, czyli wyznaczone jednostki odpowiedzialne za zbieranie i przetwarzanie danych PNR. Jednostki do spraw informacji o pasażerach wypracowały dobry poziom współpracy z innymi właściwymi organami krajowymi oraz jednostkami do spraw informacji o pasażerach innych państw członkowskich. Wszystkie państwa członkowskie wyznaczyły swoje właściwe organy uprawnione do występowania o dane PNR i otrzymywania ich od swojej jednostki do spraw informacji o pasażerach wyłącznie na potrzeby zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie oraz ich ścigania, takie jak policja i inne organy odpowiedzialne za zwalczanie przestępczości.

3.2.Zgodność z normami ochrony danych zawartymi w dyrektywie

Analiza krajowych środków wykonawczych wskazuje na ogólną zgodność z wymogami w zakresie ochrony danych określonymi w dyrektywie w sprawie danych PNR, mimo że niektóre państwa członkowskie nie odzwierciedliły ich wszystkich w pełni w swoich przepisach krajowych 17 . Ponadto przegląd ich stosowania potwierdza zaangażowanie organów krajowych na rzecz respektowania tych gwarancji i wdrażania ich w praktyce. Komisja będzie nadal zachęcać do rozpowszechniania najlepszych praktyk opracowanych w tym zakresie poprzez odbywanie regularnych spotkań z państwami członkowskimi oraz poprzez projekty w ramach działań Unii finansowanych z ISF-P. Jednocześnie Komisja będzie bez wahania wykorzystywać swoje kompetencje strażnika Traktatów, w razie potrzeby wszczynając postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego, w celu zagwarantowania, aby państwa członkowskie w pełni przestrzegały wymogów określonych w dyrektywie, w szczególności w zakresie ochrony danych osobowych.

Gwarancje dotyczące ochrony danych zawarte w dyrektywie, jeśli są prawidłowo wdrożone – co ma miejsce w przypadku większości państw członkowskich – zapewniają proporcjonalność przetwarzania danych PNR i mają na celu zapobieganie nadużyciom ze strony organów krajowych lub innych podmiotów. Ograniczenie celu gwarantuje, by przetwarzanie danych odbywało się wyłącznie do celów zwalczania terroryzmu i poważnej przestępczości. Zakaz zbierania i przetwarzania danych wrażliwych stanowi ważną gwarancję, która daje pewność, że dane PNR nie będą wykorzystywane w sposób dyskryminacyjny. Fakt, że państwa członkowskie prowadzą rejestry operacji przetwarzania danych, zgodnie z wymogami dyrektywy, zwiększa przejrzystość i pozwala skutecznie kontrolować legalność przetwarzania danych. Inspektorzy ochrony danych (DPO) mogą samodzielnie kontrolować legalność przetwarzania danych, w szczególności gdy nie są członkami personelu jednostki do spraw informacji o pasażerach i nie podlegają szefowi jednostki do spraw informacji o pasażerach. Ponadto ich obecność w jednostkach do spraw informacji o pasażerach zapewnia, by kwestia ochrony danych była nieodłącznym elementem codziennego funkcjonowania tych jednostek.

W praktyce interakcja pomiędzy jednostkami do spraw informacji o pasażerach a ich inspektorami ochrony danych (DPO) wydaje się dobrze funkcjonować, a rolę DPO postrzega się jako wartościową dla działalności jednostek do spraw informacji o pasażerach. DPO odgrywają szczególnie ważną rolę w monitorowaniu operacji przetwarzania danych, zatwierdzaniu i dokonywaniu przeglądów wcześniej ustalonych kryteriów oraz doradzaniu pracownikom jednostek do spraw informacji o pasażerach w sprawach dotyczących ochrony danych. W większości państw członkowskich DPO zostali wyznaczeni na mocy prawa jako punkt kontaktowy dla osób, których dane dotyczą, a kontaktowanie się z nimi jest również ułatwione w praktyce.

3.3.Inne elementy przeglądu

Konieczność i proporcjonalność zbierania i przetwarzania danych PNR

Z przeglądu wynika, że istnieje kilka elementów potwierdzających konieczność i proporcjonalność zbierania i przetwarzania danych PNR do celów określonych w dyrektywie. W ograniczonym czasie, jaki upłynął od terminu transpozycji, dane PNR okazały się skuteczne w osiąganiu swoich celów, które odpowiadają celowi leżącemu w interesie ogólnym, jakim jest ochrona bezpieczeństwa publicznego poprzez zapewnienie zapobiegania poważnej przestępczości i terroryzmowi na obszarze Unii bez granic wewnętrznych, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania.

Zdaniem państw członkowskich poszczególne dostępne im sposoby przetwarzania danych PNR (tj. w czasie rzeczywistym, reaktywne i proaktywne) przyniosły już wymierne rezultaty w zwalczaniu terroryzmu i przestępczości. Nie twierdząc, że są one wyczerpujące, państwa członkowskie dostarczyły Komisji dowody jakościowe 18 , które pokazują, w jaki sposób porównanie danych PNR z bazami danych i wcześniej ustalonymi kryteriami przyczyniło się do identyfikacji potencjalnych terrorystów lub osób zaangażowanych w inne poważne działania przestępcze, takie jak handel narkotykami, cyberprzestępczość, handel ludźmi, niegodziwe traktowanie dzieci w celach seksualnych, uprowadzenie dziecka i udział w zorganizowanych grupach przestępczych. W niektórych przypadkach wykorzystanie danych PNR doprowadziło do aresztowania osób wcześniej nieznanych służbom policji lub pozwoliło na dalsze badanie przez właściwe organy pasażerów, którzy w innym razie nie zostaliby sprawdzeni. Sprawdzanie pasażerów przed ich odlotem lub przylotem również przyczyniło się do zapobiegania popełnianiu przestępstw. Organy krajowe podkreślają, że wyników tych nie dałoby się osiągnąć bez przetwarzania danych PNR, np. poprzez korzystanie wyłącznie z innych narzędzi, takich jak dane pasażera przekazywane przed podróżą. 

Na mocy dyrektywy w sprawie danych PNR przetwarzanie danych PNR dotyczy wszystkich pasażerów pozaunijnych lotów przychodzących i wychodzących. Ocena wykazuje, że tak szeroki zakres jest absolutnie niezbędny do osiągnięcia zamierzonych celów dyrektywy. Jeśli chodzi o zbierane dane, kategorie w załączniku I stanowią odzwierciedlenie norm uzgodnionych na szczeblu międzynarodowym, w szczególności na poziomie ICAO. Organy krajowe potwierdziły, że możliwość zbierania takich kategorii danych PNR odpowiada temu, co jest ściśle niezbędne do osiągnięcia zamierzonych celów.

Jeśli chodzi o poziom ingerencji w podstawowe prawa do prywatności i ochrony danych osobowych, istotne jest uwzględnienie następujących kwestii. Co ważne, w dyrektywie w sprawie danych PNR bezwzględnie zakazano przetwarzania danych wrażliwych. Chociaż dane PNR mogą ujawniać konkretne informacje o życiu prywatnym danej osoby, informacje takie ograniczają się do konkretnego aspektu życia prywatnego, a mianowicie podróży lotniczych. Ponadto dyrektywa w sprawie danych PNR zawiera ścisłe gwarancje mające na celu dalsze ograniczenie stopnia ingerencji do absolutnego minimum i zapewnienie proporcjonalności metod przetwarzania dostępnych dla organów krajowych, w tym w odniesieniu do wykonywania automatycznego przetwarzania. W wyniku istnienia tych gwarancji jedynie dane osobowe dotyczące bardzo ograniczonej liczby pasażerów są przekazywane właściwym organom do dalszego przetwarzania. Oznacza to, że systemy PNR przynoszą ukierunkowane rezultaty, pozwalające ograniczyć stopień ingerencji w prawa do prywatności i ochrony danych osobowych. Co więcej, danych PNR nie wykorzystuje się do ustalania indywidualnego profilu każdej osoby, lecz do ustalania scenariuszy ryzyka i scenariuszy anonimowych lub tworzenia „profili abstrakcyjnych”.

Długość okresu zatrzymania danych

Zatrzymanie danych PNR wszystkich pasażerów przez okres pięciu lat jest niezbędne do osiągnięcia celów związanych z zapewnieniem bezpieczeństwa i ochrony życia i bezpieczeństwa osób poprzez zapobieganie przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywanie, prowadzenie postępowań przygotowawczych w ich sprawie i ich ściganie.

Po pierwsze, potrzeba zatrzymania danych przez okres pięciu lat wynika z charakteru PNR jako narzędzia analitycznego mającego na celu nie tylko identyfikację znanych zagrożeń, ale także ujawnianie zagrożeń nieznanych. Usługi turystyczne zapisane jako dane PNR są wykorzystywane do identyfikacji konkretnych wzorców zachowań i tworzenia powiązań między osobami znanymi i nieznanymi. Identyfikacja takich wzorców i powiązań z definicji wymaga możliwości przeprowadzenia długoterminowej analizy. W celu zaś przeprowadzenia takiej analizy jednostka do spraw informacji o pasażerach musi mieć dostęp do wystarczającej puli danych przez taki stosunkowo długi czas. Dane te mogą następnie zostać przekazane właściwym organom wyłącznie w odpowiedzi na „należycie uzasadnione” wnioski w indywidualnych przypadkach, w ramach dochodzeń karnych.

Po drugie, zatrzymanie danych PNR przez okres pięciu lat jest konieczne, aby zapewnić skuteczne prowadzenie postępowań przygotowawczych w sprawie przestępstw terrorystycznych i poważnej przestępczości i ich ściganie. Prowadzenie postępowania przygotowawczego w sprawie takich przestępstw i ich ściganie wymaga zazwyczaj miesięcy, a często lat pracy. W tym duchu państwa członkowskie potwierdziły, że pięcioletni okres zatrzymania jest niezbędny z operacyjnego punktu widzenia. Dostępność danych historycznych gwarantuje, że w przypadku gdy dana osoba jest oskarżona o popełnienie poważnego przestępstwa lub udział w działalności terrorystycznej, możliwe jest dokonanie przeglądu historii podróży i sprawdzenie, kto z tą osobą podróżował, identyfikując potencjalnych wspólników lub innych członków grupy przestępczej, jak również potencjalne ofiary.

Ponadto gwarancje przewidziane w dyrektywie w sprawie danych PNR dotyczące dostępu właściwych organów do danych przechowywanych przez jednostkę do spraw informacji o pasażerach oraz dotyczące depersonalizacji i ponownej personalizacji danych okazały się wystarczająco solidne, aby zapobiec nadużyciom.

Trybunał Sprawiedliwości przeanalizował terminy zatrzymania danych PNR w swojej opinii 1/15 w sprawie przewidywanej umowy dotyczącej PNR między UE a Kanadą. W odpowiedzi na zastrzeżenia Trybunału Komisja wynegocjowała nowy projekt umowy z Kanadą. W tym względzie należy zauważyć, że według Komisji okoliczności faktyczne i prawne dyrektywy w sprawie danych PNR różnią się od okoliczności, które Trybunał Sprawiedliwości brał pod uwagę w tej sprawie. W szczególności w dyrektywie w sprawie danych PNR wyraźnie dąży się do osiągnięcia celu, jakim jest zapewnienie bezpieczeństwa w Unii i na jej obszarze bez granic wewnętrznych, gdzie państwa członkowskie ponoszą wspólną odpowiedzialność za bezpieczeństwo publiczne. Ponadto – w przeciwieństwie do projektu umowy z Kanadą – dyrektywa nie dotyczy przekazywania danych do państwa trzeciego, ale zbierania przez państwa członkowskie danych dotyczących lotów opuszczających UE i lotów przybywających do UE. W tym zakresie charakter dyrektywy w sprawie danych PNR jako prawa wtórnego oznacza, że jej stosowanie jest kontrolowane przez sądy krajowe państw członkowskich UE, a w ostatniej instancji przez Trybunał Sprawiedliwości. Ponadto przepisy prawa krajowego wdrażające dyrektywę o ochronie danych w sprawach karnych mają również zastosowanie do przetwarzania danych przewidzianego w dyrektywie w sprawie danych PNR, w tym do wszelkiego dalszego ich przetwarzania przez właściwe organy.

Skuteczność wymiany informacji między państwami członkowskimi

Współpraca w zakresie danych PNR i ich wymiany między jednostkami do spraw informacji o pasażerach jest jednym z najważniejszych elementów dyrektywy. O ile wymiana danych między państwami członkowskimi na podstawie należycie uzasadnionych wniosków funkcjonuje skutecznie, o tyle możliwość przekazywania danych PNR z własnej inicjatywy jednostki do spraw informacji o pasażerach jest znacznie mniej powszechna. Z informacji przekazanych przez państwa członkowskie wynika, że organy ścigania są bardziej skłonne do korzystania z procedur współpracy opartych na jasnych i precyzyjnych przepisach, takich jak te dotyczące przekazywania danych w odpowiedzi na wniosek. Natomiast ogólne i stosunkowo niejasne brzmienie przepisów dyrektywy dotyczących przekazywania spontanicznego spowodowało pewną powściągliwość w ich stosowaniu.

Jakość sprawdzeń, w tym w odniesieniu do informacji statystycznych zgromadzonych na podstawie art. 20

W art. 20 dyrektywy w sprawie danych PNR wymaga się od państw członkowskich co najmniej zbierania informacji statystycznych na temat łącznej liczby pasażerów, których dane PNR zostały zebrane i wymienione, oraz liczby pasażerów wytypowanych do dalszego sprawdzenia. Z analizy tych informacji wynika, że jedynie dane dotyczące bardzo małej części pasażerów są przekazywane właściwym organom do dalszego sprawdzenia. W związku z tym dostępne dane statystyczne wskazują, że zasadniczo systemy PNR spełniają założenia dotyczące identyfikowania pasażerów stanowiących zagrożenie, a równocześnie nie naruszają przepływu osób podróżujących w dobrej wierze.

W tym kontekście należy zauważyć, że statystyki przekazywane Komisji nie są jednak w pełni znormalizowane i dlatego nie podlegają bezwzględnym analizom ilościowym. Należy również przypomnieć, że w większości postępowań przygotowawczych dane PNR stanowią między innymi narzędzie lub dowód i że często nie jest możliwe wyodrębnienie i ilościowe określenie wyników, które można konkretnie przypisać tylko wykorzystaniu danych PNR. W niniejszej analizie Komisja ograniczyła te trudności, zbierając różnego rodzaju dowody w celu stworzenia solidnej podstawy dowodowej do przeprowadzenia przeglądu. Komisja będzie nadal blisko współpracować z państwami członkowskimi w celu poprawy jakości danych statystycznych zbieranych w ramach dyrektywy.

Informacje zwrotne od państw członkowskich na temat ewentualnego rozszerzenia obowiązków i wykorzystania danych na mocy dyrektywy w sprawie danych PNR

Wszystkie państwa członkowskie z wyjątkiem jednego rozszerzyły zakres zbierania danych PNR na loty wewnątrzunijne. Organy krajowe postrzegają gromadzenie danych PNR dotyczących lotów wewnątrzunijnych (a w szczególności wewnątrz strefy Schengen) jako ważne narzędzie egzekwowania prawa umożliwiające śledzenie przemieszczania się znanych osób podejrzanych oraz identyfikację podejrzanych wzorców podróżowania nieznanych osób, które mogą być zaangażowane w działalność przestępczą/terrorystyczną, podróżujących w obrębie strefy Schengen. Ponieważ państwa członkowskie już teraz skutecznie zbierają dane PNR dotyczące lotów wewnątrzunijnych, Komisja nie uważa za konieczne wprowadzenie na tym etapie obowiązku zbierania danych PNR dotyczących lotów wewnątrzunijnych.

Przegląd wykazał, że z operacyjnego punktu widzenia państwa członkowskie uznawałyby informacje od podmiotów gospodarczych niebędących przewoźnikami za informacje o zasadniczej wartości dodanej. Biorąc pod uwagę liczbę zastrzeżeń zgłaszanych przez organizatorów turystyki i biura podróży, znaczna część danych dotyczących pasażerów nie jest obecnie zbierana i przetwarzana przez jednostki do spraw informacji o pasażerach, co stwarza istotną lukę w zakresie bezpieczeństwa. Komisja ma świadomość tego wyzwania. Jakiekolwiek ewentualne rozszerzenie obowiązku zbierania danych PNR na podmioty gospodarcze niebędące przewoźnikami będzie jednak wymagało dokładnej oceny prawnych, technicznych i finansowych skutków takiego zbierania danych, w tym kontroli praw podstawowych, w szczególności w świetle braku standaryzacji formatów danych.

Przegląd wykazał również, że niektóre państwa członkowskie zbierają dane PNR z innych rodzajów transportu, np. od przewoźników morskich, kolejowych i drogowych, na podstawie przepisów swojego prawa krajowego. Pomimo operacyjnej wartości zbierania takich danych kwestia ta rodzi istotne pytania prawne, praktyczne i operacyjne. Przed podjęciem jakichkolwiek kroków w celu rozszerzenia obowiązku gromadzenia danych PNR na mocy dyrektywy Komisja przeprowadzi szczegółową ocenę skutków zgodnie z zaleceniem zawartym w konkluzjach Rady z grudnia 2019 r. w sprawie „rozszerzenia zakresu wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu objęcia nim form transportu innych niż ruch lotniczy” 19 .

Chociaż dyrektywa w sprawie danych PNR zezwala na przetwarzanie danych PNR jedynie w celu zwalczania terroryzmu i poważnej przestępczości, kilka państw członkowskich wskazało również, że wykorzystywanie danych PNR mogłoby stanowić cenne narzędzie ochrony zdrowia publicznego i zapobiegania rozprzestrzenianiu się chorób zakaźnych, na przykład poprzez ułatwienie ustalania kontaktów zakaźnych w przypadku osób, które siedziały w pobliżu zakażonego pasażera. Kwestia ta zyskała jeszcze większe znaczenie od czasu wybuchu pandemii COVID-19 – coraz więcej państw członkowskich wskazuje, że istnieje potrzeba zezwolenia na wykorzystanie danych PNR do reagowania na takie sytuacje kryzysowe związane ze zdrowiem.

3.4.Główne wyzwania operacyjne

Komisja podsumowuje wyzwania zgłoszone przez państwa członkowskie w oparciu o ograniczone doświadczenie zdobyte w toku stosowania dyrektywy w sprawie danych PNR w ciągu dwóch pierwszych lat jej stosowania. W szczególności konieczne mogą być dodatkowe środki, takie jak obowiązkowe zbieranie przez przewoźników lotniczych danych dotyczących daty urodzenia pasażerów, w celu poprawy jakości danych, co jest istotne dla umożliwienia jeszcze bardziej ukierunkowanego i wydajnego przetwarzania danych. Usprawnienia w zakresie jakości danych, jak również staranne ponowne rozważenie celów, do których dane PNR mogą być wykorzystywane, mogą być również wymagane w celu lepszego dostosowania dyrektywy w sprawie danych PNR do innych instrumentów UE w zakresie współpracy organów ścigania. Wszelkie takie ewentualne zmiany w dyrektywie będą wymagały przeprowadzenia dokładnej oceny skutków, w szczególności wpływu na prawa podstawowe.

Aby uniknąć stawiania przewoźników lotniczych w sytuacji kolizji przepisów, która uniemożliwiałaby im przekazywanie danych PNR do państw członkowskich i pozyskiwanie od nich takich danych, należy w kontekście zewnętrznej polityki PNR Komisji nadal poszukiwać sposobów przekazywania danych PNR do państw trzecich w sposób zgodny z wymogami prawa UE. 

4.Wnioski

Ocena Komisji dotycząca pierwszych dwóch lat stosowania dyrektywy jest ogólnie pozytywna. Głównym wnioskiem z przeglądu jest stwierdzenie, że dyrektywa przyczynia się do realizacji swojego głównego celu, tj. zapewnienia ustanowienia skutecznych systemów dotyczących danych PNR w państwach członkowskich jako instrumentu zwalczania terroryzmu i poważnej przestępczości. Komisja wspierała państwa członkowskie w całym procesie wdrażania poprzez koordynację regularnych spotkań, ułatwianie współpracy między organami krajowymi i udzielanie pomocy finansowej. Jednocześnie Komisja bez wahania wszczęła postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego przeciwko państwom członkowskim, które nie dokonały transpozycji dyrektywy w terminie.

Komisja będzie nadal ściśle współpracować z państwami członkowskimi w celu zapewnienia należytego rozwiązania wszystkich problemów i zmierzenia się z wyzwaniami, o których mowa powyżej, tak aby unijny mechanizm PNR stał się jeszcze bardziej skuteczny, jednocześnie zapewniając pełne poszanowanie praw podstawowych. Po zakończeniu obecnego przeglądu Komisja będzie dalej monitorować wdrażanie dyrektywy w sprawie danych PNR. Niniejsze sprawozdanie, które nie powinno być traktowane jako ostateczna ocena zgodności krajowych środków wykonawczych, ułatwi dialog z państwami członkowskimi w odniesieniu do wszelkich odstępstw od wymogów zawartych w dyrektywie. W tym kontekście oceniona zostanie również konieczność wszczęcia postępowania w sprawie uchybienia zobowiązaniom państwa członkowskiego z powodu braku zgodności.

Komisja jest zdania, że na obecnym etapie nie należy proponować żadnych zmian w dyrektywie w sprawie danych PNR. Po pierwszym okresie, w którym priorytetem było osiągnięcie pełnej transpozycji, nadszedł obecnie czas, aby skupić się na zapewnieniu prawidłowego wdrożenia dyrektywy. Ponadto niektóre z opisanych powyżej kwestii wynikających z praktycznego stosowania dyrektywy w sprawie PNR będą wymagały dalszej oceny. Dotyczy to na przykład aspektów związanych z ewentualnym rozszerzeniem zakresu dyrektywy. Ocena taka powinna również uwzględniać dodatkowe dowody wynikające z trwającej oceny dyrektywy w sprawie danych pasażera przekazywanych przed podróżą. Decyzja o ewentualnym zaproponowaniu zmiany dyrektywy w sprawie danych PNR będzie również zależeć od treści orzeczeń w trybie prejudycjalnym, które zostaną wydane w odpowiedzi na wnioski rozpatrywane obecnie przez Trybunał Sprawiedliwości 20 .

(1)

     Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/681 z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania, Dz.U. L 119 z 4.5.2016, s. 132.

(2)

     Belgia, Bułgaria, Francja, Łotwa, Niderlandy i Niemcy.

(3)

     COM(2010) 492 final z dnia 21 września 2010 r.

(4)

     Umowa między Unią Europejską a Australią o przetwarzaniu i przekazywaniu przez przewoźników lotniczych australijskiej służbie celnej i granicznej danych dotyczących przelotu pasażera (danych PNR), Dz.U. L 186 z 14.7.2012, s. 4. Wspólny przegląd i ocena tej umowy są obecnie w toku.

(5)

     Umowa między Stanami Zjednoczonymi Ameryki a Unią Europejską o wykorzystywaniu danych dotyczących przelotu pasażera oraz przekazywaniu takich danych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Dz.U. L 215 z 11.8.2012, s. 5. Wspólny przegląd i ocena tej umowy są obecnie w toku.

(6)

     Opinia 1/15 Trybunału (wielka izba), ECLI:EU:C:2017:592.

(7)

     Wspólne oświadczenie ze szczytu UE–Kanada, który odbył się w Montrealu w dniach 17–18 lipca 2019 r.

(8)

     Decyzja Rady upoważniająca do rozpoczęcia negocjacji z Japonią w sprawie umowy między Unią Europejską a Japonią o przekazywaniu i wykorzystywaniu danych dotyczących przelotu pasażera (PNR) w celu zapobiegania terroryzmowi i poważnym przestępstwom transgranicznym oraz walki z nimi, dokument Rady 5378/20.

(9)

     Ta pomoc finansowa została rozdzielona między państwa członkowskie zgodnie ze standardowym kluczem podziału w ramach Funduszu Bezpieczeństwa Wewnętrznego (ISF) – części dotyczącej współpracy policyjnej, tj. 30 % w stosunku do liczby ludności, 10 % w stosunku do terytorium, 15 % w stosunku do liczby pasażerów drogą morską i powietrzną, 10 % w stosunku do ton ładunku (drogą powietrzną i morską), 35 % odwrotnie proporcjonalnie do produktu krajowego brutto.

(10)

     Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG), Dz.U. L 119 z 4.5.2016, s. 1.

(11)

   Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW, Dz.U. L 119 z 4.5.2016, s. 89.

(12)

     COM(2020) 262 final z 24 czerwca 2020 r.

(13)

     COM(2020) 264 final z 24 czerwca 2020 r.

(14)

   Wniosek o wydanie orzeczenia w trybie prejudycjalnym w sprawie C-817/19 Ligue des droits humains, Dz.U. C 36 z 3.2.2020, s. 16 (w toku).

(15)

   Wniosek o wydanie orzeczenia w trybie prejudycjalnym w połączonych sprawach C-148/20, C-149/20 i C-150/20 Deutsche Lufthansa, jeszcze nie opublikowany (w toku).

(16)

     Rezolucja nr 2396 (2017) przyjęta przez Radę Bezpieczeństwa na jej 8148. posiedzeniu w dniu 21 grudnia 2017 r.

(17)

     Kompleksowa ocena kompletności i zgodności krajowych środków wykonawczych oraz ich praktycznego wdrożenia została dokonana w ramach oceny zgodności, przeprowadzonej przez zewnętrznego wykonawcę, pod nadzorem Komisji. W odniesieniu do 23 państw członkowskich, które powiadomiły o dokonaniu pełnej transpozycji do dnia 10 czerwca 2019 r., ocena została zakończona. W odniesieniu do trzech państw członkowskich, które dokonały powiadomienia po tej dacie, przeprowadzono jedynie wstępną ocenę.

(18)

     Niektóre z tych przykładów można znaleźć w sekcjach 5.1 i 5.2 dokumentu roboczego służb Komisji.

(19)

     Dokument Rady 14746/19, przyjęty w dniu 2 grudnia 2019 r.

(20)

     O których mowa powyżej w przypisach 15 i 16.