Do tej pory organy nadzoru nakładały takie kary stosunkowo rzadko, ale w najbliższej przyszłości może się to zmienić.

Cele i przyczyny uchwalenia ustawy

Dane PNR to dane osobowe pasażera, podawane przez niego w celu rezerwacji lub realizacji lotu. Są one są gromadzone i przechowywane przez przewoźników lotniczych. Można wśród nich wymienić imię i nazwisko, datę i trasę podróży, numer miejsca w samolocie, informacje o bagażu pasażera, jego dane kontaktowe oraz sposób płatności.

Ustawa o przetwarzaniu danych dotyczących przelotu pasażera została uchwalona i weszła w życie w wyniku 2-letniego zobowiązania Polski do implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) o danych PNR.

Czytaj także: Kto ma prawo kontrolować pasażera i brać jego dane osobowe

Potrzeba uchwalenia dyrektywy wynikła w związku ze zniesieniem przez konwencję z Schengen kontroli na granicach wewnętrznych Unii Europejskiej, w wyniku czego powstało wiele przepisów krajowych przyznających policji bądź innym organom ścigania dostęp do danych pasażerów lotów. Wprowadzenie dyrektywy miało spowodować harmonizację przepisów państw członkowskich, zapobiegać niepewności prawa i lukom w bezpieczeństwie, a także chronić dane osobowe.

W ocenie UE zwalczanie przestępczości jest na tyle istotnym aspektem międzynarodowej współpracy, że podpisała umowy z USA i Australią umożliwiające unijnym przewoźnikom przekazywanie stosownych danych. W przyszłości takie umowy mają zostać również zawarte z Kanadą i Japonią.

Podstawową funkcją dyrektywy jest usprawnienie komunikacji w zakresie wymiany danych osobowych pasażerów lotniczych między organami ścigania państw członkowskich. Dyrektywa reguluje przekazywanie danych oraz ich przetwarzanie przez unijne organy ścigania do celów zapobiegania, zwalczania, wykrywania i ścigania międzynarodowej przestępczości poważnej, zorganizowanej i terroryzmu.

Polskie wymagania względem przewoźników lotniczych

Autopromocja
PRENUMERATA 2022

Znacznie więcej o biznesie, finansach oraz prawie

Zaprenumeruj

Zgodnie z przepisami krajowymi od 29 maja 2018 roku każdy przewoźnik lotniczy organizujący na terenie Polski podróż samolotem powinien przekazywać szczegółowy katalog danych osobowych wszystkich pasażerów. Wśród tych danych należy wymienić m.in.: imię i nazwisko, adres, numer telefonu, adres e-mail pasażera, informacje dotyczące dokumentu tożsamości (rodzaj, numer, kraj wydania, data ważności), datę dokonania rezerwacji lub wystawienia lotu i datę planowanego przelotu, informacje dotyczące płatności za bilet lotniczy (obejmujące m.in. numer karty płatniczej, dane znajdujące się na fakturze, informacje zawarte w zleceniu przelewu lub innej formie płatności), informacje o programach lojalnościowych, dane biura podróży lub agencji turystycznej, informacje dotyczące statusu pasażera w trakcie podróży – potwierdzenia etapów rezerwacji, stan odprawy, czy pasażer stawił się do odprawy osobiście) oraz dane dotyczącego bagażu pasażera. Zobowiązania te są dalej idące niż wynikające z dyrektywy o danych PNR, co w niektórych przypadkach może stanowić utrudnienie dla linii lotniczej. Spośród danych na temat pasażera podlegających obowiązkowemu przekazaniu ustawa wyłączyła m.in. rasę, pochodzenie etniczne, stan zdrowia, przynależność do związków zawodowych oraz przekonania religijne i światopoglądowe.

Dane PNR przewoźnik lotniczy jest zobowiązany przekazać w konkretnie wyznaczonych terminach, tj. od 24 do 48 godzin przed planowanym rozpoczęciem lotu oraz niezwłocznie po wystąpieniu określonych okoliczności, np. po zakończeniu odprawy biletowo-bagażowej i wejściu pasażerów na pokład.

Dane dotyczące pasażerów wszystkich lotów przylatujących i odlatujących na terenie Polski przewoźnik organizujący lot ma obowiązek przekazać do Krajowej Jednostki do spraw Informacji o Pasażerach w Komendzie Głównej Straży Granicznej.

Co do zasady, dane PNR powinny być przekazywane przez przewoźników w formie elektronicznej z wykorzystaniem protokołów i formatów danych określonych w rozporządzeniu wykonawczym do ustawy. Wskazane w rozporządzeniu wymogi techniczne związane z transmisją mają zapewnić bezpieczne i efektywne przesyłanie danych PNR.

Ustawa określa także katalog organów, które są uprawnione do wystąpienia do przewoźnika lotniczego o przekazanie stosownych danych – np. Komendanta Głównego Policji. Według zapisów ustawy dane te mają być również przekazywane w ramach międzynarodowej współpracy właściwym organom państw członkowskich oraz Europolowi na uzasadniony wniosek lub w wyniku weryfikacji pasażerów lotów, wobec których konieczne jest podjęcie działań międzynarodowych.

Co jeśli przewoźnik nie odda danych?

Ustawa przewiduje szereg kar administracyjnych za niedotrzymanie przez przewoźników lotniczych ciążących na nich obowiązków w zakresie przekazywania danych pasażerów. I tak za nieprzekazanie danych w określonym terminie grozi kara 20 000 zł, za nieprzekazanie wszystkich wymaganych danych – 12 000 zł, za przekazanie danych w innym niż w wymaganym ustawowo formacie – 16 000 zł (za każdy lot, w ramach którego doszło do niezachowania tych form).

Co istotne, zgodnie z ustawą, do kar pieniężnych, o których mowa powyżej, nie mają zastosowania ogólne przepisy dotyczące administracyjnych kar pieniężnych, dające organom administracji publicznej, w pewnych okolicznościach, prawo podjęcia decyzji o odstąpieniu od nałożenia kary i zastąpieniu jej pouczeniem lub o przyznaniu ulgi w postaci odroczenia terminu wykonania kary lub jej umorzenia w całości lub w części. Przepisy wyłączają zatem możliwość pobłażliwego podejścia organów w przypadku wystąpienia naruszenia.

Wysokość kary może zostać obniżona jedynie w sytuacji, w której przewoźnikowi uda się naprawić naruszenie na 6 godzin przed planowanym startem lub do czasu lądowania samolotu. W takim przypadku przewidziano możliwość obniżenia wysokości kary pieniężnej o połowę. Ponadto ustalono, że w zależności od rodzaju naruszeń, suma wszystkich nałożonych kar administracyjnych, dotyczących jednego lotu nie może przekroczyć kwoty 40 000 zł.

Kary te nakładane są przez Komendanta Głównego Straży Granicznej w drodze decyzji administracyjnej.

Przepisy jedno, ale praktyka pokazuje, że kary są nakładane również w przypadkach przekazywania danych niepoprawnych, na przykład przekazania danych obarczonych błędami pisarskimi. Niemniej, przewoźnikowi przysługuje prawo odwołania się od decyzji organu. Aby to zrobić, musi złożyć wniosek o ponowne rozpatrzenie sprawy (który również będzie rozpatrywany przez Komendanta Straży Granicznej) lub zaskarżyć decyzję Komendanta Głównego Straży Granicznej do Wojewódzkiego Sądu Administracyjnego. W skardze rozważać należy wszystkie dostępne argumenty, w tym sposób implementacji dyrektywy, cel regulacji, czy wreszcie zakres jej zastosowania.

Warto również pamiętać, że nie w każdej sytuacji przewoźnik może zostać ukarany. Zgodnie z ustawą może się on uchylić od odpowiedzialności za uchybienie swoim obowiązkom jedynie w czterech ściśle określonych przypadkach: 1) działania siły wyższej, 2) awarii po stronie przewoźnika, jeżeli awaria ta nie była przez niego zawiniona i poinformował o niej przed upływem terminu na przekazanie danych pasażerów 3) awarii Krajowego Systemu Informatycznego, a także 4) gdy od dnia naruszenia obowiązków przez przewoźnika upłynęły co najmniej 3 lata.

Czy przewoźnicy lotniczy powinni się obawiać kar?

Dotychczas kary za naruszenie opisanych powyżej obowiązków nie były często nakładane na przewoźników lotniczych. W najbliższej przyszłości może to jednak ulec zmianie. Jeśli zatem przewoźnicy nie zdołali przekazać stosownych danych w formacie ustalonym przez Komendanta Głównego Straży Granicznej, nie powinni spać spokojnie.

Zgodnie z ustawą kara pieniężna może zostać nałożona, jeżeli upłynęły mniej niż 3 lata od dnia w którym dane PNR powinny zostać przekazane przez przewoźnika. Oznacza to, że kary, przynajmniej teoretycznie, mogą zostać nałożone w odniesieniu do wszystkich lotów, które miały miejsce do 3 lat temu, a co do których stosowne dane nie zostały przekazane. Brak jest jednocześnie uzasadnienia nałożenia kary w odniesieniu do lotu, który miał miejsce wiele miesięcy temu. Trzeba bowiem badać, jaki jest cel regulacji, a nie dokonywać wyłącznie interpretacji literalnej przepisów. Czy tak będzie zachowywał się uprawniony organ? Praktyka pokaże.

Maciej Jóźwiak, partner kierujący praktyką rozwiązywania sporów

Łukasz Rutkowski, radca prawny, specjalista prawa ochrony danych osobowych

Paweł Adamczyk, prawnik w zespole rozwiązywania sporów