Domein 1 – Rechtmatigheid verzameling

De PNR-wet levert de wettelijke grondslag voor het verzamelen en opslagen van passagiersgegevens, afkomstig van luchtvaartmaatschappijen door de Pi-NL en bepaalt de voorwaarden die daarop van toepassing zijn. Dit domein omvat vijf criteria (zie tabel 18 hieronder).

Tabel 18. Overzicht van criteria en bepalingen van domein 1 - Rechtmatigheid verzamelen.

Overzicht domein 1 - Rechtmatigheid verzamelen:

Criterium Bepalingen

1. Wettelijke grondslag verstrekken door de

luchtvaartmaatschappijen aan de Pi-NL Artikel 4 lid 1, 2 en 5 PNR-wet 2. Verbod op verwerking bijzondere persoonsgegevens Artikel 19 lid 1 en 2 PNR-wet 3. Wissen andere gegevens Artikel 20 lid 1 onderdeel b PNR-wet 4. Wettelijke bewaartermijn van 5 jaar Artikel 20 lid 1 onderdeel a PNR-wet 5. Depersonaliseren na 6 maanden Artikel 20 lid 1 onderdeel d, lid 2 PNR-wet

Criterium 1 – Wettelijke grondslag verstrekken

Luchtvaartmaatschappijen verstrekken passagiersgegevens aan de Pi-NL om aan de wettelijke verplichting uit de PNR-wet te voldoen.³¹² De wettelijke verplichting is van toepassing op de passagiersgegevens van extra-EU- en intra-EU-vluchten die aankomen op of vertrekken vanaf het grondgebied van Nederland.³¹³ De PNR-wet geldt dus niet voor passagiersvluchten binnen Nederland, maar die zijn er ook niet meer.³¹⁴ Volgens de PNR-wet gelden Bonaire, Sint-Eustatius en Saba en ook Aruba, Curaçao en Sint Maarten als derde landen.³¹⁵ De passagiersgegevens worden aangeleverd door de luchtvaartmaatschappijen. De Pi-NL geen rechtstreekse toegang krijgt tot hun reserveringssysteem.³¹⁶ Aan de wettelijke voorwaarden voor het aanleveren van de passagiersgegevens aan de Pi-NL is voldaan.

Opmerkelijk is dat de Pi-NL in bepaalde gevallen reserveringsgegevens ontvangt, waarin andere vervoermodaliteiten naast de vlucht zijn opgenomen, bijvoorbeeld train- of busvervoer. Dat gebeurt als luchtvaartmaatschappijen de train- of busvervoer met een vluchtnummer of als onderdeel van de PNR-locator in het reserveringssysteem opslaan. Op grond van de PNR-wet mogen passagiersgegevens van train- of busvervoer niet worden opgeslagen. Een technische oplossing is er nog niet om dit te voorkomen. Indien andere vervoermodaliteiten dan vluchten door de Pi-NL worden opgeslagen is dit niet conform de wettelijke grondslag voor het verzamelen van passagiersgegevens op grond van de PNR-wet.

312 Artikel 6(1)(c) AVG, juncto artikel 4(1), (2) en (5) van de PNR-wet, juncto artikel 2 Aanwijzingsbesluit verstrekking passagiersgegevens aan de passagiersinformatie-eenheid.

313 Artikel 3, juncto artikel 4(1) van de PNR-wet.

314 Hoewel er nog enkele passagiersvluchten zijn die een tussenstop op een Nederlandse luchthaven maken, gaat het om een vlucht die aankomt van of vertrekt naar een buitenlandse bestemming.

315 Bonaire, Sint-Eustatius en Saba zijn Nederlandse gemeenten met een bijzondere status maar geen EU-grondgebied.

Aruba, Curaçao en Sint-Maarten maken deel uit van het Koninkrijk der Nederlanden, maar zijn geen EU-lidstaten.

316 Artikel 4(5) PNR-wet.

Criterium 2 – Verbod op verwerking bijzondere persoonsgegevens

Als de Pi-NL bijzondere persoonsgegevens ontvangt, dienen deze gegevens onmiddellijk te worden gewist.³¹⁷ De verwerking van persoonsgegevens als bedoeld in de PNR-wet mag geen betrekking hebben op bijzondere persoonsgegevens waaruit iemands godsdienst of levensovertuiging, ras of etnische afkomst, politieke gezindheid, gezondheid, seksuele leven of geaardheid, of lidmaatschap van een vakvereniging blijkt.³¹⁸ Als passagiersgegevens de TRIP-applicatie binnenkomen, worden zij op basis van de in de luchtvaartsector gebruikelijke Special Service Request (SSR) codes geautomatiseerd gefilterd.³¹⁹ Bij een controle van de SSR-codes heeft de FG Pi-NL geconstateerd dat het bijgewerkte filter functioneert.³²⁰

Toch kunnen bijzondere persoonsgegevens nog steeds in de opgeslagen passagiersgegevens terechtkomen, bijvoorbeeld als hiervoor geen SSR-code wordt gebruikt en in de vrije tekstvelden.

Het is niet bekend hoe vaak dit voorkomt. In dit geval zou de verwerkingsverantwoordelijke verkennend onderzoek kunnen doen om het resterende risico in kaart te brengen.³²¹ Op basis daarvan kunnen nadere maatregelen worden genomen ter naleving van het verbod op de verwerking van bijzondere persoonsgegevens.³²² Het is ook mogelijk dat passagiers voor hun reservering gegevens gebruiken waaruit hun godsdienst of levensovertuiging of politieke gezindheid kan blijken, bijvoorbeeld uit e-mailextensies.³²³ De jaarrapportage PNR-wet vermeldt dat de Pi-NL het probleem herkent en naar oplossingen zoekt.³²⁴ Dat betekent dat in bepaalde gevallen het mogelijk zou kunnen zijn dat bijzondere persoonsgegevens in strijd met de PNR-wet worden opgeslagen.

Criterium 3 – Wissen andere gegevens

Wanneer een luchtvaartmaatschappij andere gegevens dan passagiersgegevens aan de Pi-NL verstrekt, dienen deze gegevens onmiddellijk te worden gewist.³²⁵ Het bronbestand dat de luchtvaartmaatschappij aanlevert, wordt na zeven dagen gewist om de Pi-NL de gelegenheid te geven om eventuele controlewerkzaamheden uit te kunnen voeren.³²⁶ De TRIP single window dient ook gegevens uit te filteren die niet met datavelden uit bijlage 1 van de PNR-wet corresponderen. Uit de informatie blijkt niet hoe dit in de praktijk wordt toegepast.

Criterium 4 – Wettelijke bewaartermijn van 5 jaar

De passagiersgegevens dienen gedurende een termijn van vijf jaar na ontvangst van deze gegevens bewaard te worden en worden na deze termijn gewist.³²⁷ De wettelijke bewaartermijn is in de

TRIP-317 Artikel 19(2) PNR-wet.

318 Artikel 19(1) PNR-wet.

319 SSR-codes kunnen informatie bevatten over bijvoorbeeld de maaltijdvoorkeur, de aanwezigheid van een kinderwagen of rolstoel en vereiste bijzondere assistentie.

320 Jaarrapportage PNR-wet over 2019, p.6.

321 Middels een gegevensbeschermingseffectbeoordeling op dit risico, zie artikel 4c(1) Wpg, juncto artikel 17 PNR-wet.

322 Bijvoorbeeld door het tekstveld “algemene opmerkingen” binnen de verzamelde passagiersgegevens te maskeren. Het advies 1/15 van het HvJEU geeft ook aan dat het opslaan van het tekstveld “algemene opmerkingen” uit de PNR-record niet noodzakelijk is; HvJEU 26 juli 2017, advies 1/15, ECLI:EU:C:2017:692 (Overeenkomst PNR EU-Canada), para.160.

323 Bijvoorbeeld officiële e-mailadressen @vakbond, @politiekepartij, @geloof; zie Jaarrapportage PNR-wet over 2020, p.8.

324 Jaarrapportage PNR-wet over 2020, p.8.

325 Artikel 20(1)(b) PNR-wet.

326 PIA 2020, p.9.

327 Artikel 20 (1)(a) PNR-wet.

applicatie toegepast.³²⁸ Controle of het verwijderen van passagiersgegevens ouder dan vijf jaar functioneert, is pas mogelijk vanaf 19 juni 2024.³²⁹

Criterium 5 – Depersonaliseren na 6 maanden

De passagiersgegevens waaruit rechtstreeks de identiteit van een persoon kan worden afgeleid, dienen zes maanden na ontvangst ervan gedepersonaliseerd te worden door afscherming van die gegevens.³³⁰ Onder deze gegevens worden in ieder geval verstaan:

a. naam of namen, waaronder de namen van andere personen in de PNR-record en het aantal personen in de PNR-record;

b. adres en contactgegevens, waaronder telefoonnummer en e-mailadres;

c. alle betalingsinformatie, met inbegrip van het factuuradres, voor zover daarin informatie is opgenomen waaruit de identiteit van een persoon rechtstreeks zou kunnen worden afgeleid;

d. informatie betreffende personen die gebruikmaken van een loyaliteitsprogramma voor frequent reizen als bedoeld in bijlage 1 van de PNR-wet;

e. algemene opmerkingen als bedoeld in bijlage 1 van de PNR-wet, voor zover deze informatie bevatten waaruit rechtstreeks de identiteit kan worden afgeleid van een persoon; en

f. verzamelde API-gegevens als bedoeld in bijlage 1 van de PNR-wet.³³¹

De jaarrapportages over 2019 en 2020 vermelden dat de depersonalisering in TRIP-applicatie functioneert en dat de FG dit periodiek controleert.³³² Aan de wettelijke voorwaarden is voldaan.

Bevindingen domein 1 – Rechtmatigheid verzameling

Indien andere vervoermodaliteiten dan vluchten door de Pi-NL worden opgeslagen is dit niet conform criterium 1 (Wettelijke grondslag verstrekken). Wat het verbod op de verwerking van bijzondere persoonsgegevens (criterium 2) betreft, blijft er een risico dat bijzondere persoonsgegevens niet volledig geautomatiseerd uitgefilterd kunnen worden en dus in de TRIP-applicatie opgeslagen worden. Het is niet bekend hoe groot dit risico is en dat zou kunnen worden onderzocht. Aan de wettelijke voorwaarden van criterium 5 (Depersonaliseren na 6 maanden) is voldaan. Controle van criterium 4 (Wettelijke bewaartermijn van 5 jaar) kan eerst na afloop van vijf jaren. Over criterium 3 (Wissen andere gegevens) is niets bekend.

328 Verslag FG Pi-NL over 2019, p.8.

329 Verslag FG Pi-NL over 2019, p.8.

330 Artikel 20(1)(d) PNR-wet.

331 Artikel 20(2) PNR-wet.

332 Jaarrapportage PNR-wet over 2019, p.6; Jaarrapportage PNR-wet over 2020, p.8.