logo-print

Καταστάσεις ονοματών επιβατών: Πότε είναι η νόμιμη η γενικευμένη επεξεργασία δεδομένων PNR (Γεν. Εισαγγελέας ΔΕΕ)

27/01/2022

28/01/2022

Ζητήματα από την εφαρμογή του γενικού κανονισμού για την προστασία δεδομένων στη διεθνή διαιτησία

ΑΣΤΙΚΟ ΔΙΚΟΝΟΜΙΚΟ ΔΙΚΑΙΟ / ΔΙΑΙΤΗΣΙΑ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΚΟΜΝΗΝΟΣ ΚΟΜΝΙΟΣ

Δίκαιο της πληροφορικής Δ

ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΗΣ & ΠΝΕΥΜΑΤΙΚΗΣ ΙΔΙΟΚΤΗΣΙΑΣ - ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ - ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΓΓΛΕΖΑΚΗΣ ΙΩΑΝΝΗΣ

Με τις σημερινές του προτάσεις ο γενικός εισαγγελέας του Δικαστηρίου της ΕΕ, G. Pitruzzella, έκρινε ότι η διαβίβαση καθώς και η γενικευμένη και χωρίς διαφοροποιήσεις αυτοματοποιημένη επεξεργασία των δεδομένων PNR συμβιβάζονται με τα θεμελιώδη δικαιώματα σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα.

Αντιθέτως, η γενικευμένη και χωρίς διαφοροποιήσεις διατήρηση των δεδομένων PNR σε μη ανωνυμοποιημένη μορφή δικαιολογείται μόνον προς αντιμετώπιση σοβαρής, πραγματικής και παρούσας ή προβλέψιμης απειλής για την ασφάλεια των κρατών μελών, καθώς και υπό την προϋπόθεση ότι η διατήρηση αυτή δεν διαρκεί περισσότερο απ’ ό,τι είναι αυστηρώς αναγκαίο.

Επιπλέον, η διαβίβαση των δεδομένων που αναγράφονται στο πεδίο «γενικές πληροφορίες» το οποίο προβλέπεται στην οδηγία PNR δεν ανταποκρίνεται στις απαιτήσεις σαφήνειας και ακρίβειας τις οποίες επιβάλλει ο Χάρτης.

Ιστορικό της υπόθεσης

Η χρήση των δεδομένων PNR αποτελεί σημαντικό στοιχείο της καταπολέμησης της τρομοκρατίας και των σοβαρών εγκλημάτων. Προς τούτο, η οδηγία PNR1 επιβάλλει τη συστηματική επεξεργασία σημαντικού αριθμού δεδομένων που αφορούν τους επιβάτες αεροπορικών μεταφορών, κατά την είσοδό τους στην Ένωση ή κατά την έξοδό τους από αυτήν. Επιπλέον, το άρθρο 2 της οδηγίας προβλέπει ότι τα κράτη μέλη έχουν τη δυνατότητα να την εφαρμόζουν και στις πτήσεις εντός της ΕΕ.

Η Ligue des droits humains (LDH) είναι ένωση μη κερδοσκοπικού σκοπού η οποία προσέφυγε στο Cour constitutionnelle (Συνταγματικό Δικαστήριο, Βέλγιο) τον Ιούλιο του 2017, ζητώντας την ακύρωση του νόμου της 25ης Δεκεμβρίου 2016 για τη μεταφορά των οδηγιών PNR και API2 στο βελγικό δίκαιο. Κατά την LDH, ο νόμος αυτός προσβάλλει το δικαίωμα σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα, το οποίο κατοχυρώνεται στο βελγικό δίκαιο και στο δίκαιο της Ένωσης. Η ένωση αυτή παραπονείται, αφενός, για το πολύ μεγάλο εύρος των δεδομένων PNR και, αφετέρου, για τον γενικό χαρακτήρα της συλλογής, της διαβίβασης και της επεξεργασίας των δεδομένων αυτών. Κατά την εν λόγω ένωση, ο νόμος θίγει επίσης την ελεύθερη κυκλοφορία των προσώπων, καθόσον εμμέσως επαναφέρει τους ελέγχους στα σύνορα επεκτείνοντας το σύστημα PNR στις πτήσεις εντός της ΕΕ.

Τον Οκτώβριο του 2019, το Συνταγματικό Δικαστήριο υπέβαλε στο Δικαστήριο δέκα προδικαστικά ερωτήματα σχετικά με το κύρος και την ερμηνεία των οδηγιών PNR και API, καθώς και με την ερμηνεία του Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ)3.

Οι προτάσεις του Γενικού Εισαγγελέα

Με τις σημερινές προτάσεις του, ο γενικός εισαγγελέας Giovanni Pitruzzella διευκρινίζει κατ’ αρχάς ότι, όταν μέτρα τα οποία συνεπάγονται παρεμβάσεις στα θεμελιώδη δικαιώματα που κατοχυρώνονται στον Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής; Χάρτης) θεμελιώνονται σε νομοθετική πράξη της Ένωσης, εναπόκειται στον νομοθέτη της Ένωσης να προβλέψει τα ουσιώδη στοιχεία που προσδιορίζουν το εύρος των παρεμβάσεων αυτών. Στη συνέχεια, υπενθυμίζει ότι διατάξεις οι οποίες επιβάλλουν ή επιτρέπουν τη γνωστοποίηση των προσωπικών δεδομένων φυσικών προσώπων σε τρίτον, όπως σε δημόσια αρχή, πρέπει να χαρακτηρίζονται, ελλείψει συγκατάθεσης των εν λόγω φυσικών προσώπων και ανεξαρτήτως της μεταγενέστερης χρήσεως των επίμαχων δεδομένων, ως παρέμβαση στην ιδιωτική ζωή τους καθώς και ως παρέμβαση στο θεμελιώδες δικαίωμα προστασίας των δεδομένων προσωπικού χαρακτήρα4. Οι παρεμβάσεις αυτές μπορούν να δικαιολογηθούν μόνον εφόσον προβλέπονται από τον νόμο, σέβονται το βασικό περιεχόμενο των εν λόγω δικαιωμάτων και, τηρουμένης της αρχής της αναλογικότητας, είναι αναγκαίες και ανταποκρίνονται πράγματι σε σκοπούς γενικού συμφέροντος αναγνωρισμένους από την Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και των ελευθεριών των τρίτων.

Όσον αφορά, πρώτον, τα δεδομένα προσωπικού χαρακτήρα τα οποία οι αερομεταφορείς υποχρεούνται να διαβιβάζουν στις μονάδες στοιχείων επιβατών (ΜΣΕ) σύμφωνα με την οδηγία PNR, ο γενικός εισαγγελέας επισημαίνει ότι το εύρος και η σοβαρότητα της παρέμβασης στα θεμελιώδη δικαιώματα σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα την οποία συνεπάγεται ένα μέτρο που εισάγει περιορισμούς στην ελεύθερη άσκηση των δικαιωμάτων αυτώv εξαρτώνται προπάντων από την έκταση και τη φύση των δεδομένων που υποβάλλονται σε επεξεργασία. Συνεπώς, ο προσδιορισμός των δεδομένων αυτών συνιστά ουσιώδη διεργασία που πρέπει υποχρεωτικά να πραγματοποιείται, κατά τον πλέον σαφή και ακριβή τρόπο, σε κάθε νομοθέτημα που αποτελεί τη νομική βάση για τη λήψη ενός τέτοιου μέτρου. Ο γενικός εισαγγελέας, αφού επισήμανε ότι η χρήση γενικών κατηγοριών πληροφοριών οι οποίες δεν καθορίζουν επαρκώς τη φύση και την έκταση των προς διαβίβαση δεδομένων δεν ανταποκρίνεται στις απαιτήσεις σαφήνειας και ακρίβειας που θέτει ο Χάρτης, καταλήγει ότι το παράρτημα Ι, σημείο 12 της οδηγίας αυτής είναι ανίσχυρο καθόσον περιλαμβάνει, μεταξύ των κατηγοριών των προς διαβίβαση δεδομένων, το πεδίο «γενικές πληροφορίες», το οποίο αποσκοπεί να καλύπτει όλες τις πληροφορίες, πέραν των ρητώς απαριθμούμενων στα άλλα σημεία του παραρτήματος I, τις οποίες συλλέγουν οι αερομεταφορείς στο πλαίσιο της δραστηριότητάς τους παροχής υπηρεσιών.

Κατά τα λοιπά, ο γενικός εισαγγελέας υπογραμμίζει ότι τα δεδομένα τα οποία οι αερομεταφορείς υποχρεούνται να διαβιβάζουν στις ΜΣΕ σύμφωνα με την οδηγία PNR είναι χρήσιμα και κατάλληλα και δεν είναι υπερβολικά, λαμβανομένων υπόψη των σκοπών τους οποίους επιδιώκει η οδηγία, η δε έκτασή τους δεν υπερβαίνει το αυστηρώς αναγκαίο μέτρο για την υλοποίηση των σκοπών αυτών. Εξάλλου, εκτιμά ότι η διαβίβαση αυτή έχει περιβληθεί επαρκείς εγγυήσεις προκειμένου, αφενός, να διασφαλίζεται ότι διαβιβάζονται μόνον τα ρητώς προβλεπόμενα δεδομένα και, αφετέρου, να διαφυλάσσονται η ασφάλεια και η εμπιστευτικότητα των δεδομένων που διαβιβάζονται. Ο γενικός εισαγγελέας υπενθυμίζει επιπλέον ότι η οδηγία PNR θεσπίζει γενική απαγόρευση επεξεργασίας των ευαίσθητων δεδομένων, συμπεριλαμβανομένης και της συλλογής τους, και ότι, ως εκ τούτου, το σύστημα PNR προβλέπει επαρκείς εγγυήσεις ώστε να αποκλείεται, σε κάθε στάδιο της επεξεργασίας των συλλεγόμενων δεδομένων, το ενδεχόμενο η επεξεργασία αυτή να λαμβάνει έμμεσα ή άμεσα υπόψη προστατευόμενα χαρακτηριστικά.

Δεύτερον, ο γενικός εισαγγελέας φρονεί ότι το γεγονός ότι η διαβίβαση των δεδομένων PNR και η προηγούμενη αξιολόγηση των επιβατών αεροπορικών μεταφορών διενεργούνται κατά τρόπο γενικευμένο και χωρίς διαφοροποιήσεις μέσω της αυτοματοποιημένης επεξεργασίας των δεδομένων αυτών συμβιβάζεται με τα άρθρα 7 και 8 του Χάρτη, τα οποία κατοχυρώνουν τα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα. Συναφώς, ο γενικός εισαγγελέας εκτιμά ιδίως ότι η νομολογία του Δικαστηρίου που αφορά τη διατήρηση των δεδομένων στον τομέα των ηλεκτρονικών επικοινωνιών και την πρόσβαση στα δεδομένα αυτά5​ δεν μπορεί να εφαρμοστεί στο σύστημα που προβλέπει η οδηγία PNR. Επισημαίνει εξάλλου ότι η θέσπιση ενός εναρμονισμένου σε επίπεδο Ένωσης συστήματος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, τόσο ως προς τις πτήσεις εκτός της ΕΕ όσο και, για τα κράτη που έχουν κάνει χρήση του άρθρου 2 της οδηγίας PNR, ως προς τις πτήσεις εντός της ΕΕ, διασφαλίζει ότι η επεξεργασία των δεδομένων αυτών διενεργείται τηρουμένου του καθοριζόμενου με την οδηγία υψηλού επιπέδου προστασίας των θεμελιωδών δικαιωμάτων που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη.

Γενικότερα, ο γενικός εισαγγελέας υπογραμμίζει τη θεμελιώδη σπουδαιότητα την οποία έχει, στο πλαίσιο του συστήματος εγγυήσεων που καθιερώνει η οδηγία PNR, η επίβλεψη την οποία ασκεί μια ανεξάρτητη εποπτική αρχή, η οποία έχει την εξουσία να εξακριβώνει τη νομιμότητα της επεξεργασίας αυτής, να διεξάγει έρευνες, επιθεωρήσεις και ελέγχους και να χειρίζεται τις καταγγελίες που υποβάλλονται από κάθε υποκείμενο δεδομένων. Συναφώς, διευκρινίζει ότι έχει κεφαλαιώδη σημασία τα κράτη μέλη, κατά τη μεταφορά της οδηγίας στο εσωτερικό τους δίκαιο, να αναγνωρίζουν στην εθνική εποπτική αρχή τους τις εξουσίες αυτές σε όλη τους τη έκταση, παρέχοντάς της τα υλικά μέσα και τους ανθρώπινους πόρους που είναι αναγκαία για την εκπλήρωση της αποστολής της.

Όσον αφορά, μεταξύ άλλων, την προηγούμενη αξιολόγηση των επιβατών αεροπορικών μεταφορών, προκειμένου, πρώτον, περί της αντιπαραβολής των δεδομένων PNR με τις βάσεις δεδομένων που είναι σχετικές με τους σκοπούς της πρόληψης, ανίχνευσης, διερεύνησης και δίωξης των τρομοκρατικών και σοβαρών εγκλημάτων, η οποία αποτελεί την πρώτη πτυχή της αξιολόγησης αυτής, ο γενικός εισαγγελέας επισημαίνει ότι η φράση «βάσεις δεδομένων σχετικές με […]» πρέπει να ερμηνευθεί σύμφωνα με τις απαιτήσεις σαφήνειας και ακρίβειας που επιβάλλει ο Χάρτης, καθώς και υπό το πρίσμα των σκοπών της οδηγίας PNR. Κατά τον γενικό εισαγγελέα, η φράση αυτή πρέπει να ερμηνευθεί υπό την έννοια ότι αφορά μόνον τις εθνικές βάσεις δεδομένων τις οποίες διαχειρίζονται οι αρμόδιες αρχές, καθώς και τις βάσεις δεδομένων της Ένωσης και τις διεθνείς βάσεις δεδομένων τις οποίες αξιοποιούν άμεσα οι εθνικές αρχές στο πλαίσιο της αποστολής τους, και οι οποίες επιπλέον πρέπει να έχουν άμεση και στενή σχέση με τους σκοπούς της καταπολέμησης της τρομοκρατίας και της σοβαρής εγκληματικότητας τους οποίους επιδιώκει η οδηγία PNR, όπερ προϋποθέτει ότι οι βάσεις αυτές δημιουργήθηκαν για τους εν λόγω σκοπούς. Προκειμένου, δεύτερον, περί της αυτοματοποιημένης επεξεργασίας των δεδομένων PNR υπό το πρίσμα προκαθορισμένων κριτηρίων, η οποία αποτελεί τη δεύτερη πτυχή της εν λόγω προηγούμενης αξιολόγησης, ο γενικός εισαγγελέας εκτιμά, μεταξύ άλλων, ότι η επεξεργασία αυτή δεν μπορεί να διενεργείται μέσω συστημάτων τεχνητής νοημοσύνης αυτόματης εκμάθησης, που δεν αποκαλύπτουν τους λόγους για τους οποίους ο αλγόριθμος κατέληξε στην ύπαρξη αντιστοιχίας.

Τρίτον, όσον αφορά το ζήτημα αν το δίκαιο της Ένωσης αντιτίθεται σε εθνική νομοθεσία προβλέπουσα πενταετή γενική προθεσμία διατήρησης των δεδομένων PNR, χωρίς να γίνεται διάκριση αναλόγως του αν, στο πλαίσιο της προηγούμενης αξιολόγησης, προκύπτει ότι οι ενδιαφερόμενοι επιβάτες ενδέχεται να αποτελούν κίνδυνο για τη δημόσια ασφάλεια, ο γενικός εισαγγελέας προτείνει να ερμηνευθεί η οδηγία PNR κατά τρόπο σύμφωνο με τον Χάρτη, υπό την έννοια ότι η διατήρηση για διάστημα πέντε ετών των δεδομένων PNR που παρέχουν οι αερομεταφορείς στην ΜΣΕ επιτρέπεται, αφού έχει διενεργηθεί προηγούμενη αξιολόγηση, μόνο στο μέτρο που διαπιστώνεται, βάσει αντικειμενικών κριτηρίων, ότι υπάρχει σχέση μεταξύ των δεδομένων αυτών και της καταπολέμησης της τρομοκρατίας ή της σοβαρής εγκληματικότητας. Η γενικευμένη και χωρίς διαφοροποιήσεις διατήρηση των δεδομένων PNR σε μη ανωνυμοποιημένη μορφή μπορεί να δικαιολογηθεί μόνον προς αντιμετώπιση σοβαρής απειλής για την ασφάλεια των κρατών μελών, συνδεόμενης επί παραδείγματι με τρομοκρατικές δραστηριότητες, η οποία είναι πραγματική και παρούσα ή προβλέψιμη, και υπό την προϋπόθεση ότι η διάρκεια της διατήρησης των δεδομένων περιορίζεται στο αυστηρώς αναγκαίο μέτρο.

ΥΠΟΜΝΗΣΗ: Οι προτάσεις του γενικού εισαγγελέα δεν δεσμεύουν το Δικαστήριο. Έργο του γενικού εισαγγελέα είναι να προτείνει στο Δικαστήριο, με πλήρη ανεξαρτησία, νομική λύση για την υπόθεση που του έχει ανατεθεί. Η υπόθεση τελεί υπό διάσκεψη στο Δικαστήριο. Η απόφαση θα εκδοθεί αργότερα.

Ανεπίσημο έγγραφο προοριζόμενο για τα μέσα μαζικής ενημέρωσης, το οποίο δεν δεσμεύει το Δικαστήριο.

Το πλήρες κείμενο των προτάσεων δημοσιεύεται στην ιστοσελίδα CURIA​

  • 1. Οδηγία (EE) 2016/681 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, σχετικά με τη χρήση των δεδομένων που περιέχονται στις καταστάσεις ονομάτων επιβατών (PNR) για την πρόληψη, ανίχνευση, διερεύνηση και δίωξη τρομοκρατικών και σοβαρών εγκλημάτων (ΕΕ 2016, L 119, σ. 132).
  • 2. Οδηγία 2004/82/ΕΚ του Συμβουλίου, της 29ης Απριλίου 2004, σχετικά με την υποχρέωση των μεταφορέων να κοινοποιούν τα στοιχεία των επιβατών (ΕΕ 2004, L 261, σ. 24).
  • 3. Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (ΕΕ 2016, L 119, σ. 1).
  • 4. Βλ., μεταξύ άλλων, απόφαση της 18ης Ιουνίου 2020, Επιτροπή κατά Ουγγαρίας, C-78/18 (σκέψη 124 και εκεί μνημονευόμενη νομολογία) καθώς και ΑΤ αριθ. 73/20.
  • 5. Βλ., μεταξύ άλλων, αποφάσεις της 21ης Δεκεμβρίου 2016, Télé2 Sverige, C-203/15 και C-698/15 (βλ. επίσης ΑΤ αριθ. 145/16), και της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C520/18 (βλ. επίσης ΑΤ αριθ. 123/20).
send