Projekt ustawy o przetwarzaniu danych osobowych dotyczących przelotu pasażera opracowało Ministerstwo Spraw Wewnętrznych i Administracji.  Wdraża on dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/681 z 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera.
Zakresem projektowanej ustawy zostały objęte zarówno loty pozaunijne jak i wewnątrzunijne. Na Komendanta Głównego Straży Granicznej nałożony zostanie obowiązek utworzenia w Straży Granicznej komórki organizacyjnej, pełniącej funkcję Krajowej Jednostki do spraw Informacji o Pasażerach (JIP).

Ponadto warto dodać, że wewnątrz Straży Granicznej utworzony zostanie osobny organ – inspektor do spraw ochrony danych o pasażerach.

Cel: ściganie przestępców
Dyrektywa PNR nakłada na państwa członkowskie obowiązek wprowadzenia w życie do 25 maja 2018 r.  A także - przetwarzania danych przez jeden z organów państwa w celu zapobiegania i zwalczania przestępstw o charakterze terrorystycznym i poważnej przestępczości, ich wykrywania i ścigania ich sprawców.
Zdaniem Krzysztofa Szuberta, pełnomocnika rządu d.s. jednolitego rynku cyfrowego, skoro ustawa wejdzie w życie wraz z rozporządzeniem unijnym dotyczącym ochrony danych osobowych (RODO), należy dostosować siatkę pojęciową projektu do wymogów RODO ( np. należałoby  „depersonalizację” danych zastąpić "pseudonimizacją”).

Linia musi poinformować pasażera
Projekt zakłada, że linia lotnicza jest obowiązana do informowania pasażera, w sposób łatwo dostępny i zrozumiały, o przekazywaniu jego danych osobowych na potrzeby ustawy oraz o przysługującym mu prawie do ochrony danych osobowych.
Rada Legislacyjna sugeruje rozwinięcie postanowień tego przepisu. Niewystarczające wydaje się odwołanie jedynie do wymogu dostępności i zrozumiałości, gdyż regulacja ustawowa powinna gwarantować przedstawienie pasażerowi szczegółowego katalogu praw mu przysługujących oraz poinformowanie go o sposobie korzystania z nich. Powinno odbywać się to na określonym etapie zawierania umowy przewozu i musi zmierzać do tego, aby pasażer miał pełną świadomość co do ograniczenia ochrony danych dotyczących jego osoby.

RODO. Ogólne rozporządzenie o ochronie danych., Magdalena Kuba
 

Przestępstwa wymagające zebrania danych
Jak zwracają uwagę eksperci Rady Legislacyjnej, m.in. prof. dr hab. Krzysztof Wójtowicz, w załączniku do projektu ustawy przewidziano 27 przypadków przestępstw, wymagających zebrania danych. Ta liczba nie jest równoznaczna z liczbą typów przestępstw. W projektowanym wykazie jest ich znacznie więcej, bowiem pod niektórymi pozycjami kryje się więcej, niż jeden typ przestępstwa. Tak np. wskazano dwa przestępstwa: łapownictwa i przestępstwo płatnej protekcji, zaś w  kolejnym punkcie przestępstw jest znacznie więcej (bezprawne pozbawienie człowieka wolności, przestępstwo uprowadzenia dla okupu, czy wreszcie przestępstwo wzięcia lub przetrzymywania zakładnika).

Czytaj też>> RODO - w wielu branżach specjalne obowiązki

Regulacja projektu jest więc znacznie szersza, niż liczba pozycji załącznika. Wydaje się, że projektodawca, oprócz posługiwania się w wykazie tylko nazwami przestępstw, jak np. oszustwo, czy niezbyt precyzyjnym opisem zachowania sprawcy, jak np. podrabianie oraz obrót podrobionymi wyrobami, powinien posłużyć się odesłaniem do konkretnych przepisów kodeksu karnego, czy innych ustaw z zakresu tzw. pozakodeksowego prawa karnego - podkreśla Wójtowicz.

Gwarancje dla obywateli
Ważną funkcję gwarancyjną pełni art. 25 projektu, według którego dane mogące służyć do bezpośredniej identyfikacji pasażerów, po upływie sześciu miesięcy od ich zgromadzenia muszą być poddane depersonalizacji.
Zdaniem Krzysztofa Szuberta, prawa pasażerów powinny być sformułowane wyraźniej, np.: Każdemu pasażerowi przysługuje prawo do ochrony jego danych osobowych, prawo dostępu do tych danych, ich poprawiania, usunięcia i ograniczania oraz prawo do odszkodowania i o sądowych środków ochrony prawnej, na zasadach określonych w RODO.

Kary pieniężne
Projekt przewiduje kary pieniężne nakładane na przewoźnika w przypadku, gdy ten dopuści się naruszeń polegających na niedopełnieniu obowiązków.  Np. w wypadku nieprzekazania, lub przekazania danych nieprawidłowych i niekompletnych. Albo przekazania błędnych informacji o swoich danych teleadresowych, formatach i protokołach, które zamierza wykorzystać.
Zdaniem Rady Legislacyjnej w uzasadnieniu ustawy powinno się znaleźć wyjaśnienie powodu odejścia od obowiązujących ogólnych przepisów kodeksu postepowania administracyjnego normujących zasady i warunki nakładania lub wymierzania administracyjnej kary pieniężnej.

Obecne przepisy
W obowiązującym stanie prawnym, przekazywanie przez przewoźników lotniczych, na wniosek komendanta właściwej placówki Straży Granicznej, informacji dotyczącej pasażerów znajdujących się na pokładzie statku powietrznego (dane API – advanced passenger information), który ma lądować w Polsce, regulują przepisy ustawy z dnia 3 lipca 2002 r. Prawo lotnicze. Obowiązek przekazania informacji obejmuje linie lotnicze wykonujące międzynarodowe loty pasażerskie do terytorium RP z państw trzecich. 
 Projekt po konsultacjach resortowych, czeka na rozpatrzenie przez Komitet Stały RM.