Захист персональних даних пасажирів

Починаючи з березня 2003 року, США вимагають від європейських авіаліній, які виконують рейси до США, повідомлення персональних даних пасажирів. Дані надсилаються до США перед відльотом і використовуються для перевірки пасажирів і застосування оцінки ризиків. Реєстраційні дані пасажирів (PNR) складаються з різних даних про рейси відльоту та прибуття, пересадки, спеціальні послуги на борту (вибір їжі тощо) і розрахункової інформації, такої як номер кредитної картки. Авіалінії можуть не отримати дозвіл на приземлення, якщо не виконуватимуть вимог США.

Європарламент, Європейські Уповноважені із захисту даних і навіть Європейська Комісія вважають, що передача таких даних про пасажирів порушує положення законодавства ЄС із захисту приватності.

Переговори між Європейською Комісією і Департаментом внутрішньодержавної безпеки США щодо персональних даних авіапасажирів відбуваються дуже повільно. 9 жовтня 2003 року Європарламент ухвалив резолюцію щодо передачі даних про пасажирів до США. У резолюції деталізуються різні вимоги, що мають бути висунуті Європейською Комісією до США щодо захисту даних і обмеження їх збирання, а також вимагається, щоб Комісія зробила це упродовж двох місяців, або ж справу буде передано Європарламентом до Суду Справедливості. 1 грудня 2003 року комісар Фріц Болкештайн надав огляд щодо стану переговорів. Початковий 7-річний термін зберігання даних скорочено до 3,5 років. Кількість категорій даних про пасажирів скорочено з 39 до 34. Але, що більш важливо, США не бажають обмежувати використання зазначених даних тільки метою боротьби з тероризмом. Раніше США заявляли, що хочуть використовувати дані також для боротьби з "іншими серйозними злочинами". Болкештайн доповів Парламенту, що "текст запропонований США є більш конкретним, ніж раніше, але зовсім не вужчий за змістом". Лише одну "поступку" одержала Комісія – це запевнення США, що дані про пасажирів використовуватимуться тільки для боротьби зі злочинами, за які передбачається покарання у вигляді позбавлення волі на строк не менше 4 років. Це залишає можливим використання таких даних для широкого кола злочинів, що не стосуються тероризму взагалі.

Стефано Родота, голова європейських комісарів із захисту приватності, вже зазначив з цього приводу, що поступки США не відповідають європейському праву: "немає підстав стверджувати, що американська система є адекватною і прийнятною". Відповідно до статті 25 Європейської Директиви про захист приватності №95/46 персональні дані громадян ЄС можуть передаватися до третіх країн за умови, що в цій країні рівень захисту приватності даних є адекватним. Зокрема, Комісія ЄС має перевірити, чи будуть дані добросовісно, законно і безпечно оброблятися в обмежених цілях і відповідно до прав носіїв (суб'єктів) даних, чи є адекватною і не надмірною передача, а дані – достовірними, до того ж чи не перевищуватиме строк їх тримання строку, необхідного для досягнення цілей передачі.

Система CAPPS-II, що становить комп'ютерну мережу для цілей стеження, на думку чи не всіх експертів з приватності, не відповідає цим вимогам. Більше того, адміністрація США планує з'єднати CAPPS-II з навіть більш екстенсивною базою даних візитів до США, до якої матимуть прямий доступ усі спецслужби США, і де дані зберігатимуться 100 років.

У публічній заяві директор EDRi з питань ЄС Андреас Дітл проголосив: "Комісія погодилась на порушення права своїх громадян на приватність для тестування системи стеження, що за своїм призначенням суперечить принципам законодавства ЄС із захисту приватності. Заява США про використання даних для цілей тестування виглядає жартом: дані залишатимуться доступними в комп'ютерній резервній системі, де будуть доступними для урядових організацій у будь-який час".

Підтвердженням цього є те, що авіакомпанія США Nothwest Airlines на свій розсуд передала персональні дані близько 10 мільйонів пасажирів США і Європи Національному Агентству Аеронавтики і Космосу США (NASA). Northwest Airlines входить до альянсу з голландською авіакомпанією KLM, і експерти вважають, що частина даних взята зі спільної з KLM бази даних. Інформаційний центр з електронної приватності (EPIC) у Вашингтоні оприлюднив документи про передачу на підставі Акта про свободу інформації. NASA запросила у Northwest Airlines дані про пасажирів з липня по вересень 2001 для використання у розробці і тестуванні схем профілювання пасажирів. Northwest погодилась на передачу, вказавши, що передача була адекватною, однак зазначила, що її практика – не надавати персональні дані пасажирів для дослідницьких проектів, ким би вони не здійснювались. EPIC подав до суду проти Northwest Airlines з Департаментом транспорту США. KLM може обмінюватись з Northwest Airlines, якщо остання зможе довести відповідність своєї практики стандартам ЄС. Американська Спілка громадянських свобод (ACLU) звернулась до комісара ЄС Болкештайна для розслідування цього акту передачі даних громадян ЄС, а голландська правозахисна спілка Bits of Freedom – до голландського Уповноваженого із захисту даних для розслідування передачі даних, ролі в цьому KLM і примушення KLM повідомити про це громадян, яких це стосувалося.

У деяких країнах починає запроваджуватися практика використання електронних карток в громадському транспорті. Зокрема ця практика поширюється у Франції. Французька служба захисту даних (CNIL) розглядає це явище як серйозну загрозу приватному життю громадян на підставі того, що картки є одночасно ідентифікаційним та проїзним документом. На них фіксуються назви станцій посадки й висадки в метро, дати та час, а в окремих випадках – точний маршрут пасажира. У своїх рекомендаціях від 16 вересня 2003 року CNIL стверджує: "За отриманими даними можна відтворити маршрут будь-якого пасажира. Таким чином, картки не забезпечують анонімність. Це порушує фундаментальне і гарантоване Конституцією право на свободу пересування, а також право на недоторканність приватного життя".

На думку французьких захисників приватності, анонімність поїздок в громадському транспорті має бути гарантована незалежно від типу проїзного документа. Навіть якщо деякі данні про маршрут і збираються, то вони не мають бути зіставлені з конкретними особами, мають зберігатися не в центральному архіві, а тільки на самій картці, за винятком деяких випадків, коли мова йде про розслідування шахрайства. Але навіть в цих випадках термін зберігання таких даних не повинен перевищувати двох днів. Інший запропонований спосіб захисту приватності – створення електронних анкет, при заповненні яких пасажири можуть не погоджуватися на зберігання їх фотографій. Чіп-картки використовуються не тільки в столиці. У 2002 році CNIL виявила, що маршрути пасажирів зберігаються і в архівах французьких міст Ам'єн, Ліон, Марсель та у Ніцці