A teraz coś z jeszcze innej beczki: ponieważ zaczęły się wakacje i ludzie zaczęli sobie fruwać tu i tam, a przecież nic tak nie podkręca klimatu jak świadomość, że ktoś tam przetwarza jakieś nasze dane, dziś czas na kilka zdań o tym, czy przewoźnik lotniczy odpowiada za ujawnienie danych o planowanym przekroczeniu przez pasażera, podczas przelotu, polskiej granicy? A może jednak przekazanie określonych danych dotyczących planowanego przelotu pasażera jest obligatoryjnie — zatem jest kara, ale za ich nieprzekazanie? (nieprawomocny wyrok WSA w Gliwicach z 7 maja 2024 r., III SA/Gl 1066/23).
Orzeczenie dotyczyło skargi na decyzję Straży Granicznej o nałożeniu na przewoźnika lotniczego administracyjnej kary pieniężnej za niedopełnienie obowiązku przekazania Krajowej Jednostce ds. Informacji o Pasażerach danych pasażera (tzw. danych PNR).
Zdaniem ukaranej spółki sankcja była o tyle bezzasadna, że w gruncie rzeczy nie jest przewoźnikiem lotniczym, ponieważ zajmuje się wyłącznie świadczeniem usług w zakresie eksploatacji statków powietrznych dla klientów. Sporny lot miał charakter czarteru na rzecz klienta, firma nie prowadziła rezerwacji i sprzedaży biletów, toteż nie może być traktowana jako organizator lotu PNR. Co więcej lot miał charakter wewnątrzunijny, na pokładzie było zaledwie 4 pasażerów, a samolot poleciał do kraju, który nie jest uznawany jako zagrożony terroryzmem, podczas gdy w wyroku TSUE C-817/19 stwierdzono, że dyrektywa 2016/681 w/s danych PNR nie może służyć zbieraniu danych „jak leci”, bez rzeczywistego i aktualnego lub przewidywanego zagrożenia terrorystycznego. (Z pozostawionych w uzasadnieniu okruszków można wywnioskować, że chodzi o Konfederację Szwajcarską; dość rzec, że zdaniem SG mimo niskiego poziomu zagrożenia zbieranie informacji o podróżach zagranicznych jest bardzo istotne ze względu na zwalczanie poważnej przestępczości i terroryzmu, już choćby ze względu na możliwość korzystania z tego kanału przez tzw. „powracających bojowników”.)
z ustawy o przetwarzaniu danych dotyczących przelotu pasażera
art. 5 ust. 1. Przewoźnik lotniczy, który organizuje lot PNR, przekazuje do JIP [Krajowej Jednostki do spraw Informacji o Pasażerach] dane PNR [dane dotyczące przelotu pasażera, w tym dane osobowe, które są przetwarzane w związku z prowadzeniem działalności gospodarczej przez przewoźników lotniczych w celu dokonania rezerwacji lub realizacji lotu w ramach przewozu lotniczego] dotyczące pasażerów tego lotu, spośród kategorii danych PNR, które gromadzi w trakcie prowadzonej przez siebie działalności w celu dokonania rezerwacji lub realizacji przewozu lotniczego.
art. 6 ust. 1. Dane PNR są przekazywane przez przewoźników lotniczych do JIP w następujących terminach:
1) od 48 do 24 godzin przed planowanym rozpoczęciem lotu PNR oraz
2) niezwłocznie po zakończeniu odprawy biletowo-bagażowej i wejściu pasażerów na pokład statku powietrznego, kiedy nie mogą już go opuścić przed jego startem, a inni pasażerowie nie mogą wejść na pokład.
art. 64 ust. 1. Przewoźnik lotniczy, który:
1) nie przekazuje danych PNR do JIP w terminie, o którym mowa w art. 6 ust. 1, podlega administracyjnej karze pieniężnej w wysokości 20 000 zł,
2) nie przekazuje do JIP wszystkich zgromadzonych, w celu dokonania rezerwacji lub realizacji lotu PNR (…) podlega administracyjnej karze pieniężnej w wysokości 12 000 zł
— za każdy lot PNR, w którym takie naruszenie nastąpiło.
Odnosząc się do tych argumentów Wojewódzki Sąd Administracyjny przypomniał, że lot statku powietrznego wykonującego przewóz lotniczy pasażerów z przekroczeniem granicy państwowej (lot PNR) powinno poprzedzać przekazanie przez przewoźnika do Krajowej Jednostki do spraw Informacji o Pasażerach (JIP) określonych danych dotyczących przelotu pasażera. Dane te obejmują m.in. dane osobowe pasażera, ale też informacji o rezerwacji i bilecie, sposobie zapłaty za przelot (w tym numeru karty płatniczej, numeru rachunku bankowego w przypadku płatności przelewem), trasie, programie lojalnościowym, o bagażu i odprawie, etc.,etc. Przekazanie danych dotyczących przelotu pasażera następuje dwukrotnie: na 24-48 godzin przed planowanym rozpoczęciem lotu oraz niezwłocznie po zakończeniu odprawy i wejściu pasażerów na pokład aeroplanu („kiedy nie mogą już go opuścić przed jego startem, a inni pasażerowie nie mogą wejść na pokład” — ten przepis chyba tłumaczy przyczynę, dla której spóźnialscy nie są wpuszczani, choćby nie wiem co). Obowiązek przekazania do JIP przez przewoźnika danych pasażera wynika wyłącznie z faktu planowanego przekroczenia granicy Polski — i nie ma znaczenia, że był to czarter, na który nie sprzedawano biletów, a na pokładzie było tylko czterech pasażerów — bo przecież za lot ktoś zapłacił, i to przelewem. Nie ma też wątpliwości, że przewoźnik dysponował danymi pasażerów (przekazał je m.in. agentowi handlingowemu).
Oddalając skargę na decyzję o nałożeniu kary WSA nie zgodził się z zarzutami odnoszącymi się do niezgodności polskiej ustawy o przetwarzaniu danych dotyczących przelotu pasażera z prawem unijnym. Sęk w tym, że dyrektywa PNR nie wyklucza stosowania przez poszczególne państwa jej postanowień do lotów wewnątrzunijnych, co więcej Straż Graniczna w prawidłowy sposób powołała się na okoliczności świadczące o istniejącym zagrożeniu terrorystycznym.