In search of a balance between the right to privacy and providing security in air travel: the legal analysis of PNR agreements

Ochrona danych osobowych jest jednym z podstawowych celów Unii Europejskiej. W tym zakresie ustanowiono kompleksowe ramy prawne, w szczególności Ogólne Rozporządzenie o Ochronie Danych (RODO), które określa podstawowe zasady przetwarzania i przekazywania danych. Te rygorystyczne zasady dopuszczają wyjątki od zasady na rzecz równie podstawowych wartości w UE, takich jak zapewnienie bezpieczeństwa. Jednym z takich wyjątków jest przekazywanie danych dotyczących przelotu pasażera (PNR) w Unii Europejskiej i poza jej granicami, co jest niezbędne do zapewnienia bezpieczeństwa podróży lotniczych. W celu określenia właściwego przetwarzania i przekazywania tych danych do państw trzecich, Unia Europejska zawiera umowy międzynarodowe. Niniejsza praca analizuje obecnie obowiązujące umowy w celu ustalenia, czy zapewniają one odpowiednią równowagę między ochroną danych osobowych a gwarancją bezpieczeństwa pasażerów. W tym celu wyjaśniono pochodzenie i znaczenie PNR przed omówieniem RODO jako kluczowego rozporządzenia o ochronie danych. Następnie przedstawiono podstawowe orzecznictwo, w tym wyroki w sprawach Schrems, Digital Rights Ireland, La Quadrature i Opinię 1/15. Wraz z RODO ustanawiają one jasne standardy ochrony i przekazywania danych PNR. W końcowej części pracy omówiono obecne obowiązujące porozumienia (wraz z projektem nowego porozumienia z Kanadą) w celu ustalenia, czy wspomniana wyżej równowaga została odpowiednio zachowana.

The protection of personal data is one of the fundamental objectives of the European Union. In this regard, a comprehensive legal framework has been established, in particular the General Data Protection Regulation (GDPR), which sets out fundamental principles for the processing and transfer of data. These strict principles allow for exceptions to the principle in favour of equally fundamental values within the EU, such as ensuring security. One such exception is the transfer of Passenger Name Record (PNR) data within the Union and across borders, which is necessary to ensure the security of air travel. In order to determine the appropriate processing and transfer of these data to third countries, the European Union enters into international agreements. This thesis analyses the agreements currently in force to determine whether they strike an appropriate balance between the protection of personal data and the guarantee of passenger security. In order to achieve this objective, the thesis explains the origins and significance of PNR before discussing the GDPR as a key data protection regulation. This is followed by a presentation of the fundamental case law, including the Schrems, Digital Rights Ireland, La Quadrature and Opinion 1/15 judgments. Together with the GDPR, these establish clear standards for the protection and transfer of PNR data. The remainder of the paper then discusses the current agreements (along with a draft new agreement with Canada), in order to determine whether the aforementioned balance has been appropriately struck.