Flyselskapa si registrering av passasjerar

Kvar gong du skal ut og fly registrerer fly- og reiseselskapa ei rekkje opplysningar om deg. Desse opplysingane går under namnet Passenger Name Record (PNR). Slike data har det siste tiåret blitt svært ettertrakta av nasjonale myndigheiter.

PNR-data inkluderer gjerne opplysingar som namn, adresse, telefon, e-postadresse, reiserute, namn på personar ein reiser saman med, setenummer, bestillingshistorikk,  betalingsinformasjon, bagasjeopplysingar, religiøse matvanar, passnummer, spesielle helsebehov og nasjonalitet. Fleire av PNR-opplysingane blir av europeisk lovgiving rekna som sensitive.

PNR-direktiv i EU?

Sidan terrorhendinga i New York 11. september 2000 har PNR-data blitt sett på som eit viktig verktøy i kampen mot terrorisme og alvorlig kriminalitet. Amerikanske myndigheiter har i dag eit system som forpliktar alle luftfartsselskap som flyr til USA å overføre PNR-data til amerikanske myndigheiter.  Opplysingane vert så lagra i amerikanske databasar og dernest samanlikna med informasjon i andre databasar før dei reisande kjem inn i USA.

I EU går det føre seg eit arbeid for å få på plass ei tilsvarande ordning i Europa. 2. februar 2011 la kommisjonen fram eit forslag til PNR-direktiv (COM/2011/0032). Hovudformålet er å etablere eit system som forpliktar alle luftfartsselskap som opererer internasjonale flygingar mellom EU og tredjeland å overføre PNR-data av alle passasjerar til dei aktuelle nasjonale myndigheiter.

European Data Protection Supervisor (EDPS) skreiv i si høyringsfråsegn av 25. mars 2011 (edps.europa.eu) at det ikkje er dokumentert at PNR-direktivet, slik kommisjonen har foreslått, representerer eit nødvendig inngrep i flypassasjerars privatliv. Dei etterlyser ei meir målretta tilnærming.

PNR-avtale mellom EU og USA

19. april 2012 godkjende fleirtalet i Europaparlamentet ein avtale mellom USA og EU om overføring av PNR-opplysningar om passasjerar som reiser mellom EU og USA til amerikanske myndigheiter.

Denne avtalen erstattar den førre avtalen frå 2004. 

Avtalen mellom EU og USA inneheld mellom anna følgjande punkt:

  • Amerikanske myndigheiter skal få overført PNR-opplysningane.
  • Lagringstida er satt til 15 år (dei første fem åra skal opplysningane lagrast i ein ”aktiv” database)
  • PNR-data skal brukast for å forebygge, oppdage, etterforske og straffeforfølge terrorisme og alvorlig transnasjonal kriminalitet. Det siste er definert som forbrytingar som kan straffast med 3 års fengsel eller meir under amerikansk lov. I tillegg kan PNR-data bli brukt for å "identifisere personar som vil vere gjenstand for nærare utspørjingar eller undersøkingar", heiter det.
  • Opplysningar som er sensitive (det vil seie opplysningar som avslører etnisk bakgrunn, religiøs overtyding, fysisk eller psykisk helsetilstand, seksuell legning o.l.) skal som hovudregel slettast etter 30 dagar.
  • EU-borgarar har rett til innsyn i eigne PNR-opplysningar

Både Artikkel 29-gruppa  og European Data Protection Supervisor (les fråsegn av 13. desember 2011) har vore svært negative til denne avtalen.

PNR-avtale mellom Noreg og USA?

Noreg har i dag ingen avtalar om overføring av PNR-data til tredjeland, sjølv om det for nokre år sidan vart gjort forsøk med å få på plass ein avtale med amerikanske myndigheiter.

Norske selskap som flyg mellom Noreg og USA, og som møter krav frå amerikanske myndigheiter om overføring av PNR-data, må søke Datatilsynet om konsesjon.