Brusel versus cestovky
Cestovky řeší, jak předají policii informace, které jim jiné nařízení zakazuje uchovávat.
Během druhé poloviny května začnou platit dvě nařízení o nakládání s osobními daty, která si na první pohled protiřečí. Kromě směrnice EU o zabezpečení osobních dat (tzv. GDPR), která bude platit ve všech oborech, se firmy prodávající letenky a zájezdy musí vypořádat ještě s další povinností. Nové nařízení jim ukládá povinnost posílat policii řadu osobních údajů jejich klientů.
Smysl druhého opatření je pochopitelný: shromažďování dat o cestujících tzv. PNR (Passenger Name Register) má bezpečnostním orgánům usnadnit odhalování trestné činnosti a přispět v boji proti terorismu. Zjednodušeně řečeno, nařizuje prodejcům letenek, aerolinkám a cestovním kancelářím předávat policii řadu informací o cestujících už ve chvíli, kdy si koupí letenky.
Půjde mimo jiné o jméno a příjmení, datum rezervace letu, datum zamýšlené cesty, adresu, informace o způsobech platby včetně údajů o platební kartě, informace o počtu a rozměrech zavazadel, která s sebou bude cestující mít.
Hledání rizikových osob
„Údaje budou porovnávány s databázemi hledaných osob a rovněž budou nastaveny profily, které by měly odhalit podezřelé – tzv. profil rizikové osoby. Data nám pomohou mimo jiné odhalit podezřelé osoby právě pomocí výše uvedených rizikových profilů, cestovní historie a vztahů, které nejsou ihned zřejmé,“vysvětluje smysl opatření mluvčí Národní policejní centrály proti organizovanému zločinu Jaroslav Ibehej.
Část z těchto dat dopravci předávají policii už nyní. „Jméno, číslo cestovního pasu včetně jeho platnosti, pohlaví a například datum narození posílají již dnes do 39 zemí,“uvedl ředitel letenkového portálu Letuška.cz Josef Trejbal.
Doposud tyto informace byly odesílány až v momentě odbavení na letišti a nikoliv už při nákupu letenky. Nově tak policie může pro bezpečnost klíčové informace dostat i několik měsíců před datem plánovaného odletu.
Přísnější pravidla shodná s PNR nicméně už platí v některých státech, které jsou obecně citlivější na úroveň bezpečnosti letecké dopravy. České aerolinky tuto zkušenost mají například při letech do Velké Británie. Stejné informace v předstihu vyžadují rovněž USA, Kanada nebo Austrálie.
Problém podle cestovních kanceláří spočívá v tom, že sbíraná data v rámci GDPR vyžadují souhlas klienta, u nařízení pro zvýšení bezpečnosti se shodné informace shromažďují bez jeho vědomí. To podle cestovek odporuje prvnímu nařízení.
„Nikdo nám zatím nebyl schopný říct, jak máme tyto dva předpisy sloučit dohromady. Máme předávat informace, které současně nesmíme schraňovat,“uvedl viceprezident Asociace cestovních kanceláří (ACK ČR) Jan Papež. Úřady poradit neumějí Přestože kanceláře měly na téma nových pravidel rozsáhlé školení, nikdo ze státní správy nebyl podle Papeže schopen cestovkám vysvětlit, jak mají technicky postupovat, aby oběma nařízením vyhověly. Problém je zejména při předávání údajů letecké společnosti, která kvůli PNR potřebuje prakticky všechny osobní údaje z pasu cestujícího. To ale podle GDPR nesmí cestovní kancelář bez předchozího souhlasu klienta schraňovat.
I samotné vydávání souhlasu se zpracováním bude pro cestujícího i zpracovatele údajů velice nekomfortní. Kanceláře totiž od nich budou muset vyžadovat souhlas s nakládáním s jejich údaji pro řadu úkonů. Data totiž poskytují hotelům, pojišťovnám, průvodcům, leteckým společnostem nebo zahraničním ambasádám, pokud pro ně vyřizují víza. Žádost o souhlas tak bude muset obsahovat výčet všech úkonů, pro které kanceláře data potřebují. Druhou částí problému jsou složitá pravidla pro uchovávání těchto dat, která však bude v praxi obtížné dodržovat nebo jejich dodržování vynutit u obchodních partnerů.
Naopak data spadající do PNR se budou shromažďovat v policejní databázi, ke které budou mít přístup policejní složky ze zemí Evropské unie. Země mimo EU by k těmto datům mít přístup neměly. Sběr bude probíhat automaticky, využijí se informace z rezervačních a odbavovacích systémů leteckých dopravců. Kromě obyvatel EU se budou shromažďovat údaje o osobách přilétajících do EU, nařízení se tak musí podrobit všechny letecké společnosti, které působí na území Unie.
Kvůli nařízení, které začne naráz platit po celé EU, musí v Česku dojít k novelizaci tří zákonů, o Policii ČR, o civilním letectví a také o ochraně osobních údajů.
Policisté zaměření na boj s organizovaným zločinem uvádějí, že budou schopni data začít využívat okamžitě po zavedení nových pravidel 25. května.