73. posiedzenie plenarne Europejskiej Rady Ochrony Danych, 13.12.2022 r.
Podczas 73. posiedzenia plenarnego, 13 grudnia 2022 roku, Europejska Rada Ochrony Danych (EROD) przyjęła oświadczenie w sprawie niedawnego wyroku Trybunału Sprawiedliwości Unii Europejskiej (TSUE) C-817/19. Sąd wypowiedział się nt. wykorzystywania danych przelotu pasażera (PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania.
21 czerwca 2022 r., na wniosek belgijskiego Trybunału Konstytucyjnego, TSUE wydał wyrok w sprawie dyrektywy (UE) 2016/681 z dnia 27 kwietnia 2016 r. Chociaż TSUE stwierdził, że ważność dyrektywy (UE) 2016/681 nie została naruszona, to orzekł on jednocześnie, że w celu zapewnienia zgodności z Kartą praw podstawowych Unii Europejskiej (Kartą) dyrektywę (UE) 2016/681 należy interpretować w ten sposób, że obejmuje ona istotne ograniczenia przetwarzania danych osobowych. Niektóre z tych ograniczeń obejmują stosowanie systemu PNR wyłącznie do przestępstw terrorystycznych i poważnej przestępczości, które mają obiektywny związek z przewozem pasażerów drogą powietrzną, oraz brak masowego stosowania ogólnego pięcioletniego okresu przechowywania danych osobowych wszystkich pasażerów.
Interpretacja proponowana przez TSUE znacznie zawęża sposoby przetwarzania danych dotyczących przelotu pasażera przez państwa członkowskie UE. EROD uważa za prawdopodobne, że obecne przetwarzanie danych PNR w wielu, jeśli nie większości państw członkowskich, nie jest całkowicie zgodne z dyrektywą (UE) 2016/681 zgodnie z wykładnią TSUE. Systemy PNR w całej UE mogą zatem na co dzień nieproporcjonalnie ingerować w prawa podstawowe osób, których dane dotyczą.
EROD wezwała państwa członkowskie UE do podjęcia wszelkich niezbędnych kroków na szczeblu ustawodawczym lub administracyjnym w celu zapewnienia zgodności ich krajowej transpozycji i wdrożenia dyrektywy (UE) 2016/681 z Kartą zgodnie z wykładnią TSUE. Zdaniem EROD organy ochrony danych są w pełni właściwe do badania zgodności z unijnymi wymogami ochrony danych na szczeblu krajowym.