Kontrowersyjne porozumienie UE i USA w sprawie przekazywania danych osobowych

Unia Europejska i USA podpisały kontrowersyjne porozumienie dotyczące gromadzenia i przekazywania danych pasażerów. Przekazywane informacje są niedostatecznie zabezpieczone i mogą posłużyć do kierowanych ataków socjotechnicznych przeciw wysoko postawionym pracownikom korporacji, którzy często podróżują samolotem.

23 listopada Komisja Europejska podpisała porozumienie w sprawie przechowywania i udostępniania danych pasażerów lotniczych (PNR), którego treść stoi w sprzeczności z europejskim prawem ochrony danych osobowych. Aby porozumienie weszło w życie, musi jeszcze zostać przyjęte przez Radę UE oraz Parlament Europejski. Organizacje pozarządowe zajmujące się problematyką ochrony prywatności przygotowują list do europosłów, w którym zachęcają do głosowania przeciwko porozumieniu.

PNR (Passenger Name Records) to dane o pasażerach, zbierane zwyczajowo przez linie lotnicze w celach komercyjnych. Do takich danych zalicza się: imię, nazwisko, adres e-mail, telefon, trasę podróży, formę płatności za bilet, numer karty kredytowej, informację o bagażu itp. Niewiele osób zdaje sobie jednak sprawę, że gromadzone dane obejmują także hotelowe rezerwacje, wynajem samochodu czy zakupienie biletu kolejowego, jeśli tylko strona linii lotniczych oferuje taką możliwość. Dane PNR mogą zawierać także bardzo wrażliwie informacje, takie jak preferencje dotyczące miejsca, posiłku serwowanego na pokładzie samolotu (koszerny, wegetariański czy bez wieprzowiny) albo fakt rezerwowania pokoju z "podwójnym łóżkiem". Informacje te mogą posłużyć do kierowanych ataków socjotechnicznych przeciw wysoko postawionym pracownikom korporacji, którzy często podróżują samolotem.

Od kilku lat dane PNR wykorzystywane są przez organy ścigania, głównie amerykańskie, w celu walki z terroryzmem i przestępczością. Od 2004 roku Unia Europejska jest związana porozumieniem w sprawie przekazywania USA danych typu PNR o swoich obywatelach. Porozumienie to, na fali krytyki ze strony Parlamentu Europejskiego, zostało poddane rewizji, jako niespełniające wymogów zawartych w europejskiej dyrektywie o ochronie danych osobowych. Mimo negocjacji prowadzonych od początku 2010 roku przez Komisarz Cecilię Malmström ostateczna treść porozumienia pozostaje niezgodna z europejskim prawem, a także rezolucją Parlamentu w sprawie warunków porozumienia.
Porozumienie nie tylko sankcjonuje bardzo szeroki dostęp amerykańskich służb do informacji o Europejczykach, ale również nie zapewnia odpowiednich gwarancji bezpieczeństwa danych (udostępniane kopie danych będą niezabezpieczone; mimo usunięcia elementów identyfikacyjnych - imienia i nazwiska - wciąż wyposażone będą w tzw. lokalizator rejestru, czyli kod umożliwiający dotarcie do pełnych danych przechowywanych w systemie). Porozumienie zawiera regulacje dotyczące czasu przechowywania danych i prawa obywateli do informacji o zgromadzonych na jego temat danych, jednak w praktyce są one pozorne i nieegzekwowalne.

Fundacja Panoptykon, zajmująca się prywatnością obywateli w cyfrowym świecie, w przesłanej informacji prasowej pisze: "O fakcie podpisania porozumienia ani o jego treści, do wczoraj nie poinformowano opinii publicznej. Porozumienie w tajemniczy sposób wyciekło w miniony weekend, mimo że prace nad nim prowadzone były za zamkniętymi drzwiami, a sygnatariusze dołożyli wszelkich starań, aby utrzymać je w tajemnicy".