Με ονομαστικά αρχεία επιβατών όλες οι πτήσεις αεροπλάνων εντός ή εκτός ΕΕ (PNR)

Σε δημόσια διαβούλευση τέθηκε το σχέδιο νόμου για την ενσωμάτωση στην ελληνική νομοθεσία η Οδηγία (EE) 2016/681 σχετικά με τη χρήση των δεδομένων που περιέχονται στα ονομαστικά αρχεία επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων.

Πρόκειται για ένα σημαντικό νομοθέτημα που εντάσσεται στη συνολική αναδιάρθρωση του νομοθετικού πλαισίου για την προστασία δεδομένων στην Ευρωπαϊκή Ένωση (δείτε σχετικά το σχέδιο για το νέο νόμο για την Προστασία Δεδομένων Προσωπικού Χαρακτήρα σε εφαρμογή του GDPR).

Οι διατάξεις του νέου υπό διαβούλευση νόμου εφαρμόζονται στη διαβίβαση από τους αερομεταφορείς των δεδομένων που περιέχονται στα ονομαστικά αρχεία επιβατών (PNR) πτήσεων εντός ή εκτός της Ευρωπαϊκής Ένωσης (ΕΕ), οι οποίες προσγειώνονται σε- ή απογειώνονται από- ελληνικό έδαφος, καθώς και στην επεξεργασία, στη συλλογή, στη χρήση και διατήρηση, αλλά και στην ανταλλαγή των δεδομένων αυτών, με τα υπόλοιπα κράτη μέλη.

Διαβάστε επίσης: GDPR και Υπεύθυνοι Προστασίας Δεδομένων (DPO): Τι πρέπει να γνωρίζετε

Η επεξεργασία των δεδομένων PNR που συλλέγονται κατ’ εφαρμογή των διατάξεων του παρόντος νόμου, γίνεται μόνο για το σκοπό της πρόληψης, διερεύνησης και δίωξης τρομοκρατικών και σοβαρών εγκλημάτων, προκειμένου οι αρμόδιες αρχές επιβολής του νόμου και οι δικαστικές ή εισαγγελικές αρχές να διευκολύνονται στην αποστολή τους για την αντιμετώπιση του εγκλήματος και την απονομή δικαιοσύνης.

Ποια δεδομένα τηρούνται

Σύμφωνα με το άρθρο 5 του σχεδίου νόμου, τα ονομαστικά αρχεία επιβατών (PNR), στο μέτρο που έχουν συλλεχθεί από τους αερομεταφορείς, περιλαμβάνουν τα ακόλουθα δεδομένα:

α) κωδικό ανεύρεσης φακέλου PNR.

β) ημερομηνία κράτησης/έκδοσης εισιτηρίου.

γ) προβλεπόμενη/ες ημερομηνία/-ες ταξιδιού.

δ) όνομα/-τα.

ε) διεύθυνση και στοιχεία επικοινωνίας (αριθμός τηλεφώνου, διεύθυνση ηλεκτρονικού ταχυδρομείου).

στ) όλα τα στοιχεία πληρωμής, στα οποία περιλαμβάνεται και η διεύθυνση χρέωσης.

ζ) πλήρες δρομολόγιο για το συγκεκριμένο φάκελο PNR.

η) πληροφορίες σχετικά με το πρόγραμμα τακτικού επιβάτη.

θ) ταξιδιωτικό πρακτορείο / ταξιδιωτικός πράκτορας.

ι) ταξιδιωτικό ιστορικό του επιβάτη, συμπεριλαμβανομένων των επιβεβαιώσεων κράτησης, του ελέγχου εισιτηρίων, πληροφοριών σχετικά με τη μη εμφάνιση του επιβάτη ή με την αγορά εισιτηρίου την τελευταία στιγμή χωρίς κράτηση.

ια) διαχωρισμένες/κατανεμημένες πληροφορίες PNR.

ιβ) επιπρόσθετες πληροφορίες που μπορεί να περιλαμβάνουν: τις διαθέσιμες πληροφορίες για ασυνόδευτους ανηλίκους κάτω των 18 ετών, όπως όνομα και φύλο του ανηλίκου, ηλικία, γλώσσα ή γλώσσες που ομιλεί, ονοματεπώνυμο και στοιχεία επικοινωνίας κηδεμόνα κατά την αναχώρηση και σχέση με τον ανήλικο, ονοματεπώνυμο και στοιχεία επικοινωνίας κηδεμόνα κατά τη άφιξη και σχέση με τον ανήλικο, τις διαθέσιμες πληροφορίες για τον πράκτορα αναχώρησης και άφιξης.

ιγ) πληροφορίες σχετικά με την έκδοση των εισιτηρίων, που περιλαμβάνουν τον αριθμό εισιτηρίου, την ημερομηνία έκδοσης, τα εισιτήρια απλής μετάβασης και τα πεδία αυτόματης αναγραφής ναύλου (Automated Ticket Fare Quote).

ιδ) αριθμό θέσης και άλλες πληροφορίες για τη θέση.

ιε) πληροφορίες για τη χρήση κοινού κωδικού.

ιστ) όλες τις πληροφορίες για τις αποσκευές.

ιζ) αριθμό και άλλα ονόματα ταξιδιωτών του φακέλου PNR.

ιη) τυχόν εκ των προτέρων συλλεχθέντα δεδομένα για τους επιβάτες (δεδομένα API) μεταξύ άλλων είδος εγγράφου, αριθμός εγγράφου, χώρα έκδοσης, ημερομηνία λήξεως ισχύος του εγγράφου ταυτότητας, ιθαγένεια, επώνυμο, όνομα, φύλο, ημερομηνία γέννησης, αεροπορική εταιρεία, αριθμός πτήσης, ημερομηνία αναχώρησης, ημερομηνία άφιξης, αερολιμένας αναχώρησης,

ιθ) ιστορικό όλων των μεταβολών των δεδομένων PNR που απαριθμούνται στις περ. α΄ έως ιη΄.

Μονάδα Στοιχείων Επιβατών

Στη Διεύθυνση Διαχείρισης και Ανάλυσης Πληροφοριών της Ελληνικής Αστυνομίας συνιστάται Τμήμα, το οποίο ορίζεται ως εθνική Μονάδα Στοιχείων Επιβατών (ΜΣΕ).

Η ΜΣΕ είναι αρμόδια:

α) για τη συλλογή δεδομένων PNR από τους αερομεταφορείς, την αποθήκευση, την επεξεργασία και τη διαβίβαση αυτών ή του αποτελέσματος της επεξεργασίας τους στις αρμόδιες αρχές του άρθρου 9, καθώς και για τη διαβίβαση σε αυτές, σύμφωνα με τα οριζόμενα στην παρ.6 του άρθρου 8, των πληροφοριών που λαμβάνονται από τις αντίστοιχες ΜΣΕ των άλλων κρατών μελών.

β) για την ανταλλαγή τόσο των δεδομένων PNR όσο και του αποτελέσματος της επεξεργασίας τους με τις ΜΣΕ άλλων κρατών μελών και με την Ευρωπαϊκή Αστυνομική Υπηρεσία (Europol), σύμφωνα με τα άρθρα 11 και 12 αντίστοιχα.

Η ΜΣΕ παρέχει κάθε χρόνο στην Ευρωπαϊκή Επιτροπή στατιστικά στοιχεία για τα δεδομένα PNR, τα οποία δεν περιλαμβάνουν δεδομένα προσωπικού χαρακτήρα. Τα στατιστικά στοιχεία περιλαμβάνουν τουλάχιστον τα εξής:

α) τον συνολικό αριθμό επιβατών για τους οποίους συλλέχθηκαν και ανταλλάχθηκαν δεδομένα PNR•

β) τον αριθμό των επιβατών που ταυτοποιήθηκαν για περαιτέρω έλεγχο.

Η ΜΣΕ στελεχώνεται από αστυνομικό προσωπικό, ενώ με κοινή απόφαση του Υπουργού Εσωτερικών και του κατά περίπτωση αρμοδίου Υπουργού, μπορεί να αποσπάται στη ΜΣΕ προσωπικό των αρμοδίων Αρχών της παρ. 1 του άρθρου 9, με εξαίρεση τις δικαστικές και εισαγγελικές Αρχές.

Η ΜΣΕ ενημερώνει την Ευρωπαϊκή Επιτροπή για οποιαδήποτε τροποποίηση της λειτουργίας της.

Πώς προστατεύονται τα δεδομένα αυτά

Σύμφωνα με το άρθρο 15 του σχεδίου νόμου, o επιβάτης του οποίου τα δεδομένα PNR υπόκεινται σε επεξεργασία, σύμφωνα με τις διατάξεις του παρόντος νόμου, έχει ως υποκείμενο αυτών, κατά την ισχύουσα νομοθεσία για την προστασία των δεδομένων προστασία δεδομένων προσωπικού χαρακτήρα, τα ακόλουθα δικαιώματα:

α) πρόσβασης,

β) διόρθωσης,

γ) διαγραφής και περιορισμού, και

δ) αποζημίωσης και δικαστικής προστασίας, για κάθε παραβίαση των διατάξεων που διέπουν την προστασία των προσωπικών του δεδομένων.

Η ΜΣΕ εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα και διαδικασίες, ώστε να διασφαλίζεται ο απόρρητος χαρακτήρας της επεξεργασίας και το κατάλληλο επίπεδο ασφαλείας σε σχέση με τους κινδύνους που παρουσιάζουν η επεξεργασία και η φύση των δεδομένων .

Οι διατάξεις του παρόντος νόμου δεν θίγουν την εφαρμογή άλλων υποχρεώσεων που προβλέπονται από την ισχύουσα νομοθεσία και βαρύνουν τους αερομεταφορείς κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα και ιδίως τις υποχρεώσεις τους να λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να προστατεύονται η ασφάλεια και η εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα.

Η επεξεργασία δεδομένων PNR που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, την υγεία, τη σεξουαλική ζωή ήτο σεξουαλικό προσανατολισμό ενός ατόμου απαγορεύεται. Αν παραληφθούν από τη ΜΣΕ δεδομένα PNR που αποκαλύπτουν τέτοιους είδους πληροφορίες, αυτά διαγράφονται αμέσως.

Η ΜΣΕ διατηρεί τεκμηρίωση όλων των συστημάτων και διαδικασιών επεξεργασίας που τελούν υπό την ευθύνη της, η οποία περιλαμβάνει τουλάχιστον:

α) το όνομα και τα στοιχεία επικοινωνίας της ΜΣΕ και του προσωπικού της που έχουν επιφορτιστεί με την επεξεργασία των δεδομένων PNR και τα διαφορετικά επίπεδα άδειας πρόσβασης•

β) τα αιτήματα των αρμόδιων αρχών και των ΜΣΕ άλλων κρατών μελών•

γ) όλες τις αιτήσεις και τις διαβιβάσεις δεδομένων PNR προς τρίτη χώρα.

Η ΜΣΕ καθιστά όλη την τεκμηρίωση διαθέσιμη, κατόπιν αιτήματος, στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Η ΜΣΕ τηρεί για πέντε έτη αρχεία καταγραφής τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας: συλλογή, αναζήτηση δεδομένων PNR, άρση της ανωνυμοποίησης, κοινοποίηση και διαγραφή. Ειδικότερα τα αρχεία καταγραφής της αναζήτησης πληροφοριών και της άρσης της ανωνυμοποίησης περιλαμβάνουν: τον σκοπό, την ημερομηνία και την ώρα των εν λόγω πράξεων και, εφόσον είναι δυνατό, την ταυτότητα του προσώπου που αναζήτησε πληροφορίες ή κοινοποίησε τα δεδομένα αυτά, καθώς και την ταυτότητα των αποδεκτών των εν λόγω δεδομένων. Τα αρχεία καταγραφής χρησιμοποιούνται αποκλειστικά για σκοπούς εξακρίβωσης, αυτοελέγχου και κατοχύρωσης της ακεραιότητας και της ασφάλειας των δεδομένων, ή για σκοπούς ελέγχου. Κατόπιν αιτήματος, η ΜΣΕ παρέχει πρόσβαση στα συγκεκριμένα αρχεία στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

Όταν μια παραβίαση προσωπικών δεδομένων ενδέχεται να ενέχει σοβαρό κίνδυνο για την προστασία των δεδομένων αυτών, ή να θίξει την ιδιωτικότητα του υποκειμένου τους, η ΜΣΕ γνωστοποιεί, σύμφωνα με τις κείμενες διατάξεις, την παραβίαση στο υποκείμενο των δεδομένων και στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση.

Στη διαβούλευση, η οποία θα ολοκληρωθεί στις 9 το πρωί της 23 Μαρτίου 2018, μπορείτε να συμμετέχετε εδώ.