ОТНОСНО: Събиране и обработване на PNR/API данни от Британската митническа агенция във връзка с въвеждането на системата “Електронни граници” (e-borders).
Комисията за защита на личните данни (КЗЛД), в състав: Венета Шопова, Красимир Димитров и Валентин Енев, на редовно заседание, проведено на 10.03.2010 год. (Протокол № 8), разгледа писмо с рег .№ 4880/16.02.2010г. от заместник-министъра на вътрешните работи Веселин Вучков, с което се обръща към Комисията за защита на личните данни(КЗЛД) за становище относно събирането и обработването на PNR/API данни от британската митническа агенция във връзка с въвеждането на системата “Електронни граници” (e-borders).
І. Фактическа обстановка
В Комисията за защита на личните данни е получено писмо с рег. № 4880/16.02.2010г. от заместник-министъра на вътрешните работи Веселин Вучков, към което е приложен нон-пейпър от Посолството на Великобритания в Република България. Отправена е молба за становище от националния надзорен орган за защита на данните във връзка със събирането и обработването на лични данни (PNR/API данни) от британската митническа агенция във връзка с въвеждането на системата “Електронни граници” (e-borders)). Касае се за национална британска програма, по линия на която митническата агенция изисква събирането на предварителни данни за пътниците (АPI данни) от вътрешни за общността полети, в т.ч. по въздух, суша и море, с цел борба с организираната престъпност, тероризма и нарушенията на имиграционния режим. В тази връзка и предвид острите реакции на някои европейски държави е обменена кореспондения между Великобритания и Европейската комисия за изясняване на законосъобразността на изискванията на британското законодателство за събиране на данни от държавата на тръгването.
Европейската комисия е изразила становище, че програмата „Електронни граници” не е в нарушение на Директива 95/46 на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни и на Директива 2004/38/ЕО от 29 април 2004 година относно правото на граждани на Съюза и на членове на техните семейства да се движат и да пребивават свободно на територията на държавите–членки. За целта обаче, Комисията е указала необходимостта британската страна да предприеме и въведе конкретни мерки и гаранции за защита на правата на лицата, както следва:
– на пътниците, които са граждани на съюза или членовете на техните семейства, да не се отказва влизане/излизане на територията на Великобритания или да не им се налагат санкции на основание на това, че данни за тях не са били предоставени на властите, независимо от причините;
– да не се налагат санкции на превозвачите за непредоставяне на информация по причини, които не се дължат на тях;
– британските власти да инструктират съответните превозвачи, че те не следва да отказват качването на пътници, независимо от тяхната националност, които не са предоставили АPI данни, както и че предоставянето на АPI данни не е задължително, нито е условие за закупуването или продажбата на билети;
-британските власти да осигуряват на пътниците от и до Обединеното Кралство информацията, изисквана от чл.10 от директива 95/46 (информация, която физическото лице следва да получи), както и да съдействат на превозвачите да предоставят тази информация на пътниците;
– да бъде създадена една точка за контакт с цел даване на възможност на лицата да упражняват своите права;
– при трансфери на данни в трети страни да се прилагат подходящи мерки за защита в съответствие с изискванията на органа по защита на данните на Обединеното Кралство;
– срокът за задържане на данните да бъде намален от 10 години, за да не се различава съществено от сроковете, предвидени в директива 2004/82/ЕО.
В заключение, Комисията отбелязва, че правното основание за събирането на предварителни данни за пътниците трябва да се търси в законодателството на съответната държава, в която се извършва обработването на данните. Надзорният орган на държавата, в която се обработват данните, следва да изрази становище относно това дали признава наличието на обществен интерес, преследван от третото лице,което иска да му бъдат разкрити данните. Такъв обществен интерес може да бъде признат, например, на основата на сътрудничество в борбата с нелегалната имиграция или с митническите нарушения. Такава преценка не може да бъде направена от превозвачите. Това на практика означава националният орган по защитата на данните в държавата, където е седалището на превозвача, формално да одобри трансфера на данни от тази държава-членка към Великобритания.
В тази връзка британската страна е отправила молба Комисията за защита на личните данни да се произнесе, че е налице правно основание за предаването на Великобритания на предварителни данни за пътниците (API). В своя нон-пейпър Посолството на Великобритания изказва следните разбирания:
– Великобритания силно поддържа френската инициатива за бързо постигане на споразумение и приемане на европейски акт за резервационните данни на пътниците (PNR), за да се осигури ясна правна база за събирането и обработването на данни за пътниците, като споразумението да съдържа възможност за обработване на данни от вътрешните за ЕС полети;
– Британската страна вярва, че възможността да се събират и обработват PNR-данни от вътрешните полети е особено важна за подобряване на сигурността в рамките на ЕС, още повече, че вътрешните за ЕС маршрути са идентифицирани като едни от най-рисковите за нелегална имиграция, контрабанда и друга престъпна дейност.
ІІ. Правен анализ
Правното основание за искането на британската страна на данни за пътниците е закон №5 от 2008 г. и заповед на имиграционните власти и полицията относно предоставянето на информация за пътниците, екипажа и услугите, като се уточнява какви данни, свързани с пътуването, могат да бъдат изисквани от имиграционните власти или полицейските служители от корабите, въздухоплавателните средства и влаковете,които влизат или напускат Великобритания. Тези данни са разделени в две групи –задължителни данни, които трябва да бъдат събрани и предоставени при поискване и допълнителни данни, които трябва да бъдат предоставени само в обем, известен на превозвача.
Задължителните данни включват следната информация:
– за пътниците и екипажа – информация, свързана с документите за пътуването, съдържаща се в частта на документите за самоличност, която се сканира при проверка. Това е т.нар. API информация или предварителна информация за пътниците;
– информация за въздухоплавателната услуга, като номер на полет, името на превозвача, местата на излитане и кацане.
Допълнителните данни включват друга информация за пътника, каквато са PNR данните. Тези данни са имената на пътника, адрес, телефонен номер, информация за билета и маршрута на пътуването.
По отношение правната уредба на събирането на данни за пътниците на европейско равнище, то това еДиректива 2004/82/ЕО на Съвета относно задължението на превозвачите да съобщават данни на пътниците. Директивата изисква от държавите-членки да предприемат необходимото, за да задължат превозвачите (само превозвачи на пътници по въздушен път) да предават при поискване на органите, извършващи контрола на лицата по външните граници, преди края на регистрацията, данните за пътниците, които предстои да превозят към граничния пункт, през който тези лица ще влязат на териториятана дадена държава-членка. В директивата изчерпателно и лимитативно е посочен видът на сведенията, които превозвачите са длъжни да предоставят на съответните гранични власти. Тези задължения по никакъв начин не се отразяват на задълженията на превозвачите, произтичащи от чл.26 от Конвенцията за прилагане на споразумението от Шенген. Целта на предаването на тези данни за пътниците е уредено в директивата, а именно : улесняване извършването на проверките и водене на по-ефикасна борба с незаконната имиграция. Органите, извършващи проверките на лицата по външните граници, съхраняват тези данни във временен архив. Разписано е задължение за заличаване на данните в срок до 24 часа след предаването им, като е допусната възможност те да се съхраняват и за по-дълъг срок, ако това е необходимо за упражняване на правомощията на граничните контролни органи съгласно националното законодателство. Задължение за заличаване на данните на пътниците в срок от 24 часа след пристигане на транспортното средство имат и самите превозвачи. Директивата допуска използването на данните и за нуждите на органите на реда.
В България Директива на Съвета 2004/82/ЕО от 29 април 2004 относно задължението на превозвачите да предават данни за пътниците е въведена в Закона за чужденците в Република България, като тази информация се използва за нуждите на подобряването на граничния контрол и борбата с нелегалната миграция (чл. 20а от ЗЧРБ). Данните, които се събират в тази връзка са следните:
1. вид и номер на документа за пътуване на пътника;
2. имена, дата на раждане и гражданство на пътника;
3. граничен контролно-пропускателен пункт на влизане в страната;
4. код на транспорта;
5. дата и час на тръгване и пристигане на транспортното средство;
6. общ брой на превозваните пътници за конкретното пътуване;
7. начален пункт на тръгване.
Обработването на посочените категории лични данни следва да става при спазване на Закона за защита на личните данни и на международните договори, по които Република България е страна. Посоченото задължение за предоставяне на данни за пътниците превозвачите имат само в случаите на превозване по въздух на пътници до Република България. Друг нормативен акт, в който се регламентира задължението за събиране на данни, е Наредба № 38 от 31.10.2003г. за общите правила за въвеждане и използване на компютъризирани системи за резервация (КСР). Съгласно чл18, ал.2 от наредбата данните за резервационните операции включват полетните номера, кодовете на резервационните заявки, датата на пътуване, времената за заминаване и пристигане, статуса на сегментите, имената и инициалите на пътниците с техните адреси за контакт и/или телефонни номера, както и статуса на билета.
Към настоящия момент липсва унифицирана правна уредба относно съдържанието на понятията PNR и API данни. Изброяване на категориите информация, които попадат в приложното поле на тези определения, се съдържат в двустранните споразумения на ЕС с Канада, САЩ и Австралия, но липсва единен термин на европейско ниво в тази връзка. Директива 2004/82 говори за “данните за пътниците”, като изчерпателно разписва категориите данни, по отношение на които превозвачите имат задължения за предоставяне на съответните власти. В този смисъл директивата е единственият акт на ниво ЕС, който въвежда определени задължения във връзка с предоставянето на данните за пътниците.
С оглед на гореизложеното и на основание чл. 10, ал.1, т.4 от ЗЗЛД Комисията за защита на личните данни изразява следното
СТАНОВИЩЕ:
1. Комисията за защита на личните данни одобрява събирането и обработката на данни на пътниците за нуждите на подобряването на граничния контрол и борбата с нелегалната миграция. Видът на събираните данни за пътниците трябва да бъде в съответствие с категориите данни, предвидени в чл. 3, ал. 2 на Директива на Съвета 2004/82/ЕО от 29 април 2004 г. относно задължението на превозвачите да предават данни за пътниците. Няма правно основание въздушните превозвачи, регистрирани по българското законодателство, да събират и предоставят данни в обем, по-голям от предвидения в Директива на Съвета 2004/82/ЕО.
2. В българското законодателство липсва изрична правна норма, която да признаваобществения интерес при предоставянето на API данни на компетентни органи в други страни, както и липсва правна норма относно признаването като правно основание за събиране и трансфер на данни към друга страна-членка, упражняването на правомощия на орган от държава-членка.
3. По отношение на инициативата за създаване на отделен правен инструмент за резервационните данни на пътниците на ниво Европейски съюз, Комисията за защита на личните данни счита, че такъв не е необходим.На европейско ниво, информация, необходима за нуждите на правораздавателната и правоприлагащата система, както и за борбата с тежките престъпления и тероризма, може да бъде събирана от множество информационни системи като тази на Европол, Шенген, митническата, Евродак и др. Всички тези системи дават възможност в зависимост от конкретния случай да бъде събиран голям обем от лични данни, поради което не е необходимо създаване на специална информационна PNR система.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
