Do Sejmu wpłynął projekt nowelizacji ustawy o przetwarzaniu danych dotyczących przelotu pasażera (PNR – Passenger Name Record), który może istotnie zmienić sposób działania linii lotniczych oraz organizację ich działów obsługi klienta. Projekt został złożony 21 maja 2025 r. przez Prezesa Rady Ministrów (druk nr 1314), a 2 czerwca został skierowany do I czytania w Komisji Administracji i Spraw Wewnętrznych Sejmu.
Zmiany mają dostosować polskie przepisy do wytycznych Trybunału Sprawiedliwości Unii Europejskiej z 2022 roku, który ograniczył możliwość przechowywania i przetwarzania danych pasażerskich bez wyraźnego uzasadnienia.
Linie lotnicze: więcej dokumentowania, mniej czasu na reakcję
Projekt zakłada, że przewoźnicy lotniczy będą musieli w ciągu 14 dni od otrzymania wniosku od Jednostki ds. Informacji o Pasażerach (JIP) przekazać szczegółowe dane o sobie, formacie przesyłanych danych oraz kategoriach gromadzonych informacji o pasażerach. W przypadku jakiejkolwiek zmiany – zaktualizowane informacje trzeba będzie dostarczyć w ciągu 30 dni.
Nowelizacja doprecyzowuje też, że dane PNR należy przekazywać w momencie, gdy pasażerowie znajdują się już na pokładzie i nie mogą go opuścić. W praktyce oznacza to konieczność ścisłej koordynacji między działami operacyjnymi, systemami IT i personelem naziemnym – a w razie opóźnień, potencjalną interwencję działu obsługi klienta.
Pasażerowie: krótszy okres przechowywania, ale dane wciąż zbierane
Z punktu widzenia pasażera zmiana oznacza skrócenie okresu przechowywania danych PNR z lotów wewnątrzunijnych z 5 do 3 lat. To efekt wyroku TSUE, który uznał dotychczasowe przepisy za nieproporcjonalne. Dla lotów pozaunijnych 5-letni okres pozostaje bez zmian.
Dane z lotów wewnątrzunijnych będą mogły być przetwarzane tylko w razie obowiązywania w Polsce stopnia alarmowego (zgodnie z ustawą antyterrorystyczną) lub na mocy zgody sądu lub prokuratora – np. w związku z postępowaniem przygotowawczym.
Kary i ulgi dla linii. Okres przejściowy dla nowych przewoźników
Projekt przewiduje administracyjne kary pieniężne, m.in. 12 tys. zł za niewywiązanie się z obowiązku przekazania danych PNR oraz 5 tys. zł za brak aktualizacji danych kontaktowych przekazywanych do JIP. Wprowadzono jednak mechanizmy obniżające kary, np. o 50% lub 75%, jeśli przewoźnik szybko naprawi naruszenie. Przewidziano też czasową ochronę dla linii lotniczych, które dopiero rozpoczęły działalność – pod warunkiem, że wdrożą wymagania w ciągu 60 dni od pierwszego lotu.
To oznacza, że działy obsługi klienta i compliance będą musiały wdrożyć jasne procedury, a także zadbać o terminowość przekazywania informacji, by uniknąć sankcji.
Wszystkie dane, ale nie wszystkie przetwarzane
Zgodnie z projektem, przewoźnicy będą musieli przekazywać dane z wszystkich lotów wewnątrzunijnych, nawet jeśli dane te nie będą podlegać przetwarzaniu. JIP nie ujawnia, które z lotów są objęte analizą – ma to zapobiec manipulacjom i zwiększyć skuteczność działań służb.
Z punktu widzenia pasażera nie zmienia się zakres danych przekazywanych – ale ograniczeniu ulega możliwość ich wykorzystania. Nowe przepisy mają wyważyć interesy bezpieczeństwa i prawa do ochrony danych osobowych.
Podsumowanie
Projekt ustawy, który obecnie znajduje się na etapie prac sejmowych, może w istotny sposób wpłynąć na codzienne funkcjonowanie działów operacyjnych i obsługi klienta linii lotniczych. Oznacza nowe obowiązki, większą odpowiedzialność za dane pasażerskie oraz bardziej rygorystyczne zasady ich przetwarzania. Pasażerowie zyskają za to większą ochronę prywatności – przynajmniej w teorii. Wszystko zależy od tego, jak nowe przepisy zostaną wdrożone w praktyce.