4.5.2016

Uradni list Evropske unije

L 119/132

DIREKTIVA (EU) 2016/681 EVROPSKEGA PARLAMENTA IN SVETA

z dne 27. aprila 2016

o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti točke (d) člena 82(1) in točke (a) člena 87(2) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora (1),

po posvetovanju z Odborom regij,

v skladu z rednim zakonodajnim postopkom (2),

ob upoštevanju naslednjega:

(1)	Komisija je 6. novembra 2007 sprejela predlog okvirnega sklepa Sveta o uporabi evidence podatkov o potnikih (PNR) za namene kazenskega pregona. Vendar je ob začetku veljavnosti Lizbonske pogodbe 1. decembra 2009 predlog Komisije, ki ga Svet do takrat še ni sprejel, postal brezpredmeten.

(2)	„Stockholmski program – odprta in varna Evropa, ki služi državljanom in jih varuje“ (3) poziva Komisijo, naj predloži predlog za uporabo podatkov PNR za preprečevanje, odkrivanje, preiskovanje in pregon terorizma in hudih kaznivih dejanj.

(3)	Komisija je predstavila številne osrednje elemente politike Unije na tem področju v svojem sporočilu z dne 21. septembra 2010 o globalnem pristopu k prenosu podatkov PNR tretjim državam.

(4)	Direktiva Sveta 2004/82/ES (4) ureja prenos predhodnih podatkov o potnikih (API) pristojnim nacionalnim organom s strani letalskih prevoznikov za namen izboljšanja mejnih kontrol in boja proti nezakonitemu priseljevanju.

(5)	Cilji te direktive so med drugim zagotoviti varnost, zaščititi življenje in varnost oseb ter oblikovati pravni okvir za varstvo podatkov PNR pri njihovi obdelavi s strani pristojnih organov.

(6)

Učinkovita uporaba podatkov PNR, na primer s primerjanjem podatkov PNR z različnimi podatkovnimi zbirkami iskanih oseb in predmetov, je potrebna za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj ter s tem za krepitev notranje varnosti, za zbiranje dokazov ter, kadar je to potrebno, da se izsledijo osebe, ki sodelujejo s storilci kaznivih dejanj in se razkrijejo kriminalne mreže.

(7)

Ocenjevanje podatkov PNR omogoča identifikacijo oseb, ki pred takim ocenjevanjem niso bile osumljene sodelovanja pri terorističnih ali hudih kaznivih dejanjih in ki bi jih pristojni organi morali podrobneje preveriti. Z uporabo podatkov PNR je mogoče obravnavati grožnjo terorističnih in hudih kaznivih dejanj z drugega vidika kot pri obdelavi drugih vrst osebnih podatkov. Da pa bi zagotovili, da obdelava podatkov PNR ostane omejena le na to, kar je potrebno, bi morala biti oblikovanje in uporaba ocenjevalnih meril omejena na teroristična kazniva dejanja in huda kazniva dejanja, pri katerih je uporaba takšnih meril potrebna. Poleg tega bi bilo treba ocenjevalna merila opredeliti tako, da bo število nedolžnih ljudi, ki jih sistem napačno identificira, čim nižje.

(8)

Letalski prevozniki že zbirajo in obdelujejo podatke PNR svojih potnikov v lastne komercialne namene. Ta direktiva ne bi smela naložiti nobenih obveznosti letalskim prevoznikom glede zbiranja ali hrambe kakršnih koli dodatnih podatkov o potnikih, pa tudi potnikom glede zagotavljanja kakršnih koli podatkov poleg podatkov, ki jih že zagotavljajo letalskim prevoznikom.

(9)

Nekateri letalski prevozniki hranijo podatke API, ki jih zbirajo, kot del podatkov PNR, drugi pa ne. Uporaba podatkov PNR skupaj s podatki API ima dodano vrednost, saj je državam članicam v pomoč pri preverjanju identitete posameznika, s čimer se povečuje vrednost tega rezultata za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter zmanjšuje tveganje, da se preverjajo in preiskujejo nedolžni ljudje. Zato je pomembno zagotoviti, da letalski prevozniki, kadar zbirajo podatke API, te posredujejo, ne glede na to, ali podatke API hranijo z drugačnimi tehničnimi sredstvi kot ostale podatke PNR.

(10)

Za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj je bistveno, da vse države članice določijo predpise, v skladu s katerimi morajo letalski prevozniki, ki opravljajo lete zunaj EU, posredovati zbrane podatke PNR, vključno s podatki API. Države članice bi tudi morale imeti možnost, da to obveznost razširijo na letalske prevoznike, ki opravljajo lete znotraj EU. Ti predpisi ne bi smeli posegati v Direktivo 2004/82/ES.

(11)	Obdelava osebnih podatkov bi morala biti sorazmerna s posebnimi varnostnimi cilji iz te direktive.

(12)	Opredelitev terorističnih kaznivih dejanj, ki se uporablja v tej direktivi, bi morala biti enaka kot v Okvirnem sklepu Sveta 2002/475/PNZ (5). Opredelitev hudih kaznivih dejanj bi morala zajemati vrste kaznivih dejanj iz Priloge II k tej direktivi.

(13)

Podatke PNR bi bilo treba posredovati eni sami določeni enoti za informacije o potnikih v zadevni državi članici, da se zagotovi preglednost in zmanjšajo stroški letalskih prevoznikov. Enota za informacije o potnikih ima lahko v eni državi članici različne izpostave, države članice pa lahko tudi skupaj ustanovijo eno samo enoto za informacije o potnikih. Države članice bi si morale informacije izmenjevati prek ustreznih mrež za izmenjavo informacij, da bi olajšali njihovo izmenjavo in zagotovili interoperabilnost.

(14)	Stroške uporabe, hrambe in izmenjave podatkov PNR bi morale kriti države članice.

(15)

Seznam podatkov PNR, ki naj bi jih pridobila enota za informacije o potnikih, bi bilo treba oblikovati tako, da bi se upoštevale upravičene zahteve javnih organov za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih ali hudih kaznivih dejanj, s čimer bi se izboljšala notranja varnost v Uniji in zaščitile temeljne pravice, zlasti pravica do zasebnosti in varstva osebnih podatkov. V ta namen bi se morali uporabljati visoki standardi v skladu z Listino Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina), Konvencijo o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (v nadaljnjem besedilu: Konvencija št. 108) ter Evropsko konvencijo o varstvu človekovih pravic in temeljnih svoboščin (EKČP). Tak seznam ne bi smel biti oblikovan na podlagi rase ali etničnega porekla osebe, njene vere ali prepričanja, političnega ali drugega mnenja, članstva v sindikatu, zdravstvenega stanja, spolnega življenja ali spolne usmerjenosti. Podatki PNR bi morali vsebovati zgolj podrobnosti o rezervacijah in načrtih potovanja potnikov, ki pristojnim organom omogočajo identifikacijo letalskih potnikov, ki predstavljajo grožnjo notranji varnosti.

(16)

Trenutno sta na voljo dve možni metodi prenosa podatkov: metoda „pull“, v skladu s katero lahko pristojni organi države članice, ki potrebujejo podatke PNR, dostopajo do sistema rezervacij letalskega prevoznika in izvlečejo („pull“) kopijo podatkov PNR, ki jih potrebujejo, ter metoda „push“, v skladu s katero letalski prevozniki posredujejo („push“) podatke PNR, ki jih potrebujejo, organu, ki za podatke zaprosi, in lahko tako sami ohranijo nadzor nad tem, katere podatke zagotavljajo. Šteje se, da metoda „push“ zagotavlja višjo raven varstva podatkov, in bi morala biti obvezna za vse letalske prevoznike.

(17)

Komisija podpira smernice Mednarodne organizacije za civilno letalstvo (ICAO) o podatkih PNR. Te smernice bi zato morale biti podlaga za sprejetje sistemsko podprtih oblik zapisa podatkov, ki jih bodo letalski prevozniki uporabljali za prenos podatkov PNR državam članicam. Za zagotovitev enotnih pogojev izvajanja sistemsko podprtih oblik zapisa podatkov in ustreznih protokolov, ki jih bodo uporabljali letalski prevozniki za prenos podatkov, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (6).

(18)

Države članice bi morale sprejeti vse potrebne ukrepe, da letalskim prevoznikom omogočijo izpolnitev njihovih obveznosti iz te direktive. Države članice bi morale predpisati učinkovite,sorazmerne in odvračilne kazni, vključno z denarnimi, za tiste letalske prevoznike, ki ne izpolnjujejo svojih obveznosti v zvezi s prenosom podatkov PNR.

(19)	Vsaka država članica bi morala biti odgovorna za ocenjevanje morebitnih groženj v zvezi s terorističnimi in hudimi kaznivimi dejanji.

(20)

Ob doslednem spoštovanju pravice do varstva osebnih podatkov in pravice do nediskriminacije ne bi smela biti nobena odločitev, ki bi imela za osebo negativne pravne posledice ali bi nanjo znatneje vplivala, sprejeta le na podlagi avtomatizirane obdelave podatkov PNR. Poleg tega v skladu s členoma 8 in 21 Listine nobena takšna odločitev ne bi smela predstavljati diskriminacije na kakršni koli podlagi, kot je denimo spol, rasa, barva kože, etnično ali socialno poreklo, genetske značilnosti, jezik, vera ali prepričanje, politično ali drugo mnenje, pripadnost narodnostni manjšini, premoženje, rojstvo, invalidnost, starost ali spolna usmerjenost. Komisija bi morala upoštevati ta načela tudi ob izvedbi pregleda uporabe te direktive.

(21)

Države članice rezultatov obdelave podatkov PNR v nobenem primeru ne bi smele uporabiti za izogibanje svojim mednarodnim obveznostim v skladu s Konvencijo z dne 28. julija 1951 o statusu beguncev, kakor je bila spremenjena s Protokolom z dne 31. januarja 1967, niti za to, da se prosilcem za azil odreče varna in učinkovita možnost zakonitega vstopa na ozemlje Unije, da bi uveljavljali pravico do mednarodne zaščite.

(22)

Pri uporabi te direktive bi bilo treba zagotoviti popolno spoštovanje temeljnih pravic, pravice do zasebnosti in načela sorazmernosti, ob doslednem spoštovanju načel iz nedavne sodne prakse Sodišča Evropske unije s tega področja. Poleg tega bi bilo treba dejansko izpolnjevati cilje nujnosti in sorazmernosti za uresničitev splošnih interesov, ki jih priznava Unija, in potrebe po varovanju pravic in svoboščin drugih v boju proti terorističnim in hudim kaznivim dejanjem. Uporaba te direktive bi morala biti ustrezno utemeljena in vzpostavljeni bi morali biti potrebni zaščitni ukrepi, da se zagotovi zakonitost vsakršne hrambe, analize, prenosa ali uporabe podatkov PNR.

(23)

Države članice bi morale izmenjevati podatke PNR, ki jih prejmejo, med seboj in z Europolom, kadar menijo, da je to potrebno za preprečevanje, odkrivanje, preiskovanje ali pregon terorističnih ali hudih kaznivih dejanj. Enote za informacije o potnikih bi morale rezultate obdelave podatkov PNR, kadar je to ustrezno, brez odlašanja posredovati enotam za informacije o potnikih drugih držav članic v nadaljnje preiskovanje. Določbe te direktive ne bi smele posegati v druge instrumente Unije o izmenjavi informacij med policijo in pravosodnimi organi, med drugim tudi ne v Sklep Sveta 2009/371/PNZ (7) in Okvirni sklep Sveta 2006/960/PNZ (8). Takšno izmenjavo podatkov PNR med policijo in drugimi organi preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter pravosodnimi organi bi morala urejati pravila o policijskem in pravosodnem sodelovanju, obenem pa takšna izmenjava ne bi smela ogrožati visoke ravni varstva zasebnosti in osebnih podatkov, ki jo zahtevajo Listina, Konvencija št. 108 in EKČP.

(24)

Varno izmenjavo informacij v zvezi s podatki PNR med državami članicami bi bilo treba zagotoviti prek katerega koli obstoječega kanala za sodelovanje med pristojnimi organi držav članic in zlasti z Europolom preko orodja Europola za izmenjavo informacij prek varnih povezav (v nadaljnjem besedilu: orodje SIENA).

(25)

Obdobje hrambe podatkov PNR bi moralo biti tako dolgo, kot je to potrebno za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj ter sorazmerno s temi nameni. Zaradi narave zadevnih podatkov in njihove uporabe je treba podatke PNR hraniti dovolj dolgo za izvedbo analiz in uporabo v preiskavah. Da bi se izognili nesorazmerni uporabi, bi bilo treba podatke PNR po začetnem obdobju hrambe depersonalizirati z zakrivanjem podatkovnih elementov. Za zagotovitev najvišje ravni varstva podatkov bi moral biti dostop do popolnih podatkov PNR, ki omogočajo neposredno identifikacijo posameznika, na katerega se podatki nanašajo, odobren le pod zelo strogimi in omejenimi pogoji po tem začetnem obdobju.

(26)	Kadar so bili določeni podatki PNR posredovani pristojnemu organu in se uporabljajo v okviru določenih kazenskih preiskav ali pregona, bi moralo hrambo takšnih podatkov pri pristojnem organu urejati nacionalno pravo, ne glede na obdobja hrambe podatkov, določena v tej direktivi.

(27)

V vsaki državi članici bi morala za obdelavo podatkov PNR, ki jo izvajajo enote za informacije o potnikih in pristojni organi, veljati raven varstva osebnih podatkov v skladu z nacionalnim pravom, ki je skladna z Okvirnim sklepom Sveta 2008/977/PNZ (9), in posebne zahteve glede varstva podatkov iz te direktive. Sklicevanja na Okvirni sklep 2008/977/PNZ bi bilo treba razumeti kot sklicevanja na trenutno veljavno zakonodajo kot tudi na zakonodajo, ki jo bo nadomestila.

(28)

Ob upoštevanju pravice do varstva osebnih podatkov bi morale biti pravice posameznikov, na katere se podatki nanašajo, glede obdelave njihovih podatkov PNR, kot so pravice do dostopa, popravka, izbrisa in omejitve, ter pravici do nadomestila škode in sodnega varstva, skladne tako z Okvirnim sklepom 2008/977/PNZ kot z visoko ravnjo varstva, ki jo zagotavljata Listina in EKČP.

(29)

Ob upoštevanju pravice potnikov do obveščenosti o obdelavi njihovih osebnih podatkov bi morale države članice potnikom zagotoviti točne, lahko dostopne in lahko razumljive informacije o zbiranju podatkov PNR, njihovem prenosu enoti za informacije o potnikih in o pravicah, ki jih imajo kot posamezniki, na katere se podatki nanašajo.

(30)	Ta direktiva ne posega v pravo Unije in nacionalno pravo glede načela dostopa javnosti do uradnih dokumentov.

(31)

Države članice bi smele podatke PNR posredovati tretjim državam le za vsak primer posebej in ob doslednem spoštovanju predpisov, ki jih države članice določijo v skladu z Okvirnim sklepom 2008/977/PNZ. Za zagotovitev varstva osebnih podatkov bi bilo treba pri takšnih prenosih spoštovati dodatne zahteve v zvezi z namenom prenosa. Pri takšnih prenosih bi bilo treba spoštovati tudi načeli nujnosti in sorazmernosti, pa tudi visoko raven varstva, ki jo zagotavljata Listina in EKČP.

(32)	Nacionalni nadzorni organ, ki je bil ustanovljen za izvajanje Okvirnega sklepa 2008/977/PNZ, bi moral biti pristojen tudi za svetovanje glede uporabe predpisov, ki jih države članice sprejmejo v skladu s to direktivo, ter za spremljanje takšne uporabe.

(33)

Ta direktiva ne vpliva na možnost držav članic, da v nacionalnem pravu vzpostavijo sistem zbiranja in obdelave podatkov PNR, ki jih prejmejo od gospodarskih subjektov, ki niso prevozniki, kot so potovalne agencije in organizatorji potovanj, ki nudijo s potovanji povezane storitve – vključno z rezervacijami letov –, za katere zbirajo in obdelujejo podatke PNR, ali od ponudnikov prevoza, ki niso navedeni v tej direktivi, če je takšno nacionalno pravo skladno s pravom Unije.

(34)	Ta direktiva ne posega v veljavna pravila Unije o načinu izvajanja mejnih kontrol ali v pravila Unije o vstopu na ozemlje Unije in izstopu s tega ozemlja.

(35)

Zaradi pravnih in tehničnih razlik med nacionalnimi predpisi glede obdelave osebnih podatkov, vključno s podatki PNR, se letalski prevozniki srečujejo in se bodo srečevali z različnimi zahtevami glede vrste informacij, ki jih je treba posredovati, in pogojev, pod katerimi jih je treba zagotoviti pristojnim nacionalnim organom. Te razlike lahko škodijo učinkovitemu sodelovanju med pristojnimi nacionalnimi organi za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj. Zato je na ravni Unije potrebno vzpostaviti skupni pravni okvir za prenos in obdelavo podatkov PNR.

(36)

Ta direktiva spoštuje temeljne pravice in načela Listine, zlasti pravico do varstva osebnih podatkov, pravico do zasebnosti in pravico do nediskriminacije, kakor jih zagotavljajo členi 8, 7 in 21 Listine; zato bi jo bilo treba izvajati temu ustrezno. Ta direktiva je združljiva z načeli varstva podatkov, njene določbe pa so skladne z Okvirnim sklepom 2008/977/PNZ. V tej direktivi so poleg tega zaradi upoštevanja načela sorazmernosti v zvezi z nekaterimi vprašanji določena strožja pravila o varstvu podatkov kot v Okvirnem sklepu 2008/977/PNZ.

(37)

Področje uporabe te direktive je kar najbolj omejeno, saj: omogoča hrambo podatkov PNR v enotah za informacije o potnikih za obdobje največ pet let, po preteku katerega bi bilo treba podatke izbrisati; omogoča depersonalizacijo podatkov z zakrivanjem podatkovnih elementov po začetnem obdobju šestih mesecev; in prepoveduje zbiranje in uporabo občutljivih podatkov. Za zagotovitev učinkovitosti in visoke ravni varstva podatkov morajo države članice zagotoviti, da je za svetovanje glede načina obdelave podatkov PNR in za spremljanje tega načina pristojen neodvisen nacionalni nadzorni organ, zlasti pa pooblaščena oseba za varstvo podatkov. Zabeležiti ali dokumentirati bi bilo treba vsako obdelavo podatkov PNR za namene preverjanja njene zakonitosti, notranjega spremljanja in zagotavljanja celovitosti podatkov ter njihove varne obdelave. Države članice bi morale tudi zagotoviti, da so potniki jasno in natančno obveščeni o zbiranju podatkov PNR in svojih pravicah.

(38)

Ker ciljev te direktive, in sicer prenosa podatkov PNR s strani letalskih prevoznikov in njihove obdelave za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj, države članice ne morejo zadovoljivo doseči, temveč se lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(39)

V skladu s členom 3 Protokola št. 21 o stališču Združenega kraljestva in Irske glede območja svobode, varnosti in pravice, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, sta obe državi članici podali uradno obvestilo, da želita sodelovati pri sprejetju in uporabi te direktive.

(40)	V skladu s členoma 1 in 2 Protokola št. 22 o stališču Danske, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, Danska ne sodeluje pri sprejetju te direktive, ki zato zanjo ni zavezujoča in se v njej ne uporablja.

(41)	Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 28(2) Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta (10), ki je podal mnenje 25. marca 2011 –

SPREJELA NASLEDNJO DIREKTIVO:

POGLAVJE I

Splošne določbe

Člen 1

Predmet urejanja in področje uporabe

1. Ta direktiva ureja:

(a)	prenos podatkov iz evidence podatkov o potnikih (PNR) s strani letalskih prevoznikov na letih zunaj EU;

(b)	obdelavo podatkov iz točke (a), vključno z njihovim zbiranjem, uporabo in hrambo s strani držav članic ter njihovo izmenjavo med državami članicami.

2. Podatki PNR, zbrani v skladu s to direktivo, se lahko obdelujejo le za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj iz točk (a), (b) in (c) člena 6(2).

Člen 2

Uporaba te direktive za lete znotraj EU

1. Če se država članica odloči uporabljati to direktivo za lete znotraj EU, uradno pisno obvesti Komisijo. Država članica lahko tako uradno obvestilo poda ali prekliče kadar koli. Komisija objavi to uradno obvestilo in njegov morebiten preklic v Uradnem listu Evropske unije.

2. Kadar je podano uradno obvestilo iz odstavka 1, se uporabljajo vse določbe te direktive za lete znotraj EU, kot da bi bili leti zunaj EU, in za podatke PNR o letih znotraj EU, kot da bi bili podatki PNR o letih zunaj EU.

3. Država članica se lahko odloči, da bo to direktivo uporabljala le za izbrane lete znotraj EU. Država članica pri taki odločitvi izbere lete, za katere meni, da so potrebni za uresničevanje ciljev te direktive. Država članica se lahko kadar koli odloči za spremembo izbire letov znotraj EU.

Člen 3

Opredelitev pojmov

V tej direktivi se uporabljajo naslednje opredelitve pojmov:

(1)	„letalski prevoznik“ pomeni podjetje za zračni prevoz z veljavno operativno licenco ali enakovrednim dovoljenjem, ki mu omogoča opravljanje zračnega prevoza potnikov;

(2)

„let zunaj EU“ pomeni vsak redni ali posebni let letalskega prevoznika z odhodom v tretji državi in načrtovanim prihodom na ozemlju države članice ali z odhodom na ozemlju države članice in načrtovanim prihodom v tretji državi, pri čemer so v obeh primerih vključeni tudi leti z vsemi morebitnimi postanki na ozemlju držav članic ali tretjih držav;

(3)	„let znotraj EU“ pomeni vsak redni ali posebni let letalskega prevoznika z odhodom na ozemlju države članice in načrtovanim prihodom na ozemlju ene ali več držav članic, brez postankov na ozemlju tretje države;

(4)	„potnik“ pomeni vsako osebo – tudi potnike v tranzitu in potnike, ki prestopajo, vendar ne članov posadke –, ki se prevaža ali se bo prevažala na letalu s privolitvijo letalskega prevoznika, pri čemer se takšno soglasje izrazi z registracijo te osebe na seznamu potnikov;

(5)

„evidenca podatkov o potnikih“ ali „PNR“ pomeni zapis zahtevanih podatkov o potovanju vsakega potnika, ki vsebuje potrebne informacije, da lahko letalski prevozniki, ki zagotavljajo rezervacije, in udeleženi letalski prevozniki obdelujejo in nadzorujejo rezervacije za vsako potovanje, ki ga rezervira posamezna oseba ali se rezervira v njenem imenu, ne glede na to, ali je sestavni del sistema rezervacij, sistema za nadzor odhodov, ki se uporablja za prijavo potnikov na let, ali enakovrednih sistemov, ki zagotavljajo enake funkcije;

(6)	„sistem rezervacij“ pomeni notranji sistem letalskega prevoznika, v katerem se zbirajo podatki PNR za obdelavo rezervacij;

(7)	„metoda ‚push‘“ pomeni metodo, v skladu s katero letalski prevozniki posredujejo podatke PNR iz Priloge I v podatkovno zbirko organa, ki za podatke zaprosi;

(8)	„teroristično kaznivo dejanje“ pomeni kaznivo dejanje po nacionalnem pravu iz členov 1 do 4 Okvirnega sklepa 2002/475/PNZ;

(9)	„hudo kaznivo dejanje“ pomeni kazniva dejanja iz Priloge II, ki se po nacionalnem pravu države članice kaznujejo z zaporno kaznijo oziroma ukrepom odvzema prostosti z najvišjo zagroženo kaznijo najmanj treh let;

(10)	„depersonalizirati z zakrivanjem podatkovnih elementov“ pomeni, da se te podatkovne elemente, na podlagi katerih bi bilo mogoče neposredno identificirati posameznika, na katerega se podatki nanašajo, zakrije tako, da za uporabnika postanejo nevidni.

POGLAVJE II

Pristojnosti držav članic

Člen 4

Enota za informacije o potnikih

1. Vsaka država članica ustanovi ali imenuje organ, pristojen za preprečevanje, odkrivanje, preiskovanje ali pregon terorističnih in hudih kaznivih dejanj ali organizacijsko enoto takšnega organa, da deluje kot njena enota za informacije o potnikih.

2. Enota za informacije o potnikih je pristojna za:

(a)	zbiranje podatkov PNR od letalskih prevoznikov, njihovo hrambo in obdelavo in za posredovanje teh podatkov ali rezultatov njihove obdelave pristojnim organom iz člena 7;

(b)	izmenjavo tako podatkov PNR kot rezultatov njihove obdelave z enotami za informacije o potnikih drugih držav članic in Europolom v skladu s členoma 9 in 10.

3. Člani osebja enote za informacije o potnikih so lahko napoteni iz pristojnih organov. Države članice enotam za informacije o potnikih zagotovijo ustrezna sredstva za opravljanje njihovih nalog.

4. Dve državi članici ali več držav članic (v nadaljnjem besedilu: sodelujoče države članice) lahko skupaj ustanovijo ali imenujejo en sam organ, da deluje kot njihova enota za informacije o potnikih. Takšna enota za informacije o potnikih se ustanovi v eni od sodelujočih držav članic in šteje za nacionalno enoto za informacije o potnikih vseh sodelujočih držav članic. Sodelujoče države članice se skupaj sporazumejo o podrobnih pravilih za delovanje enote za informacije o potnikih in upoštevajo zahteve iz te direktive.

5. V enem mesecu od ustanovitve svoje enote za informacije o potnikih vsaka država članica o tem uradno obvesti Komisijo in lahko svoje uradno obvestilo kadar koli spremeni. Komisija objavi uradno obvestilo in njegove morebitne spremembe v Uradnem listu Evropske unije.

Člen 5

Pooblaščena oseba za varstvo podatkov pri enoti za informacije o potnikih

1. Enota za informacije o potnikih imenuje pooblaščeno osebo za varstvo podatkov, ki je pristojna za spremljanje obdelave podatkov PNR in izvajanje ustreznih zaščitnih ukrepov.

2. Države članice pooblaščeni osebi za varstvo podatkov zagotovijo sredstva za učinkovito in neodvisno opravljanje svojih dolžnosti in nalog v skladu s tem členom.

3. Države članice posamezniku, na katerega se podatki nanašajo, zagotovijo pravico, da stopi v stik s pooblaščeno osebo za varstvo podatkov kot enotno kontaktno točko glede vseh vprašanj, povezanih z obdelavo njegovih podatkov PNR.

Člen 6

Obdelava podatkov PNR

1. Podatke PNR, ki jih posredujejo letalski prevozniki, zbira enota za informacije o potnikih zadevne države članice, kot je določeno v členu 8. Kadar podatki PNR, ki jih posredujejo letalski prevozniki, vključujejo podatke, ki niso navedeni v Prilogi I, enota za informacije o potnikih takšne podatke ob prejemu izbriše takoj in trajno.

2. Enota za informacije o potnikih obdeluje podatke PNR samo za naslednje namene:

(a)

za ocenjevanje potnikov pred njihovim načrtovanim prihodom v državo članico ali odhodom iz nje, da bi identificirala osebe, ki jih morajo pristojni organi iz člena 7 in, kadar je ustrezno, Europol v skladu s členom 10 podrobneje preveriti glede na dejstvo, da bi lahko sodelovale pri terorističnem ali hudem kaznivem dejanju;

(b)

za odzivanje, za vsak primer posebej, na ustrezno obrazloženo zaprosilo, ki ga pristojni organi predložijo na zadostni podlagi za zagotavljanje in obdelavo podatkov PNR v konkretnih primerih za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih ali hudih kaznivih dejanj ter za zagotavljanje rezultatov takšne obdelave pristojnim organom ali, kadar je ustrezno, Europolu, ter

(c)	za analiziranje podatkov PNR za namene posodabljanja ali oblikovanja novih meril za izvajanje ocenjevanj iz točke (b) odstavka 3, da bi identificirali osebe, ki bi lahko sodelovale pri terorističnem ali hudem kaznivem dejanju.

3. Pri izvajanju ocenjevanja iz točke (a) odstavka 2, lahko enota za informacije o potnikih:

(a)

primerja podatke PNR s podatkovnimi zbirkami, ki so pomembne za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj, vključno s podatkovnimi zbirkami o osebah ali predmetih, ki so iskani ali so zanje razpisani ukrepi, v skladu s pravili Unije ter mednarodnimi in nacionalnimi pravili, ki veljajo za takšne podatkovne zbirke, ali

(b)	obdeluje podatke PNR glede na vnaprej določena merila.

4. Ocenjevanje potnikov pred njihovim načrtovanim prihodom v državo članico ali odhodom iz države članice v skladu s točko (b) odstavka 3 glede na vnaprej določena merila se izvaja na nediskriminatoren način. Ta vnaprej določena merila morajo biti ciljna, sorazmerna in specifična. Države članice zagotovijo, da enote za informacije o potnikih v sodelovanju s pristojnimi organi iz člena 7 določijo in redno pregleduje ta merila. Ta merila ne smejo v nobenem primeru temeljiti na podlagi rase ali etničnega porekla osebe, njenih političnih mnenj, vere ali filozofskega prepričanja, članstva v sindikatu, zdravstvenega stanja, spolnega življenja ali spolne usmerjenosti.

5. Države članice zagotovijo, da se kakršen koli zadetek, ki je rezultat avtomatizirane obdelave podatkov PNR, izvedene v skladu s točko (a) odstavka 2, posamično pregleda z neavtomatiziranimi sredstvi, da se preveri, ali mora pristojni organ iz člena 7 ukrepati v skladu z nacionalnim pravom.

6. Enota države članice za informacije o potnikih posreduje podatke PNR oseb, identificiranih v skladu s točko (a) odstavka 2, ali rezultate obdelave teh podatkov v podrobnejšo preučitev pristojnim organom iz člena 7 iste države članice. Takšen prenos se lahko izvede le za vsak primer posebej, v primeru avtomatizirane obdelave podatkov PNR pa po posamičnem pregledu z neavtomatiziranimi sredstvi.

7. Države članice zagotovijo, da ima pooblaščena oseba za varstvo podatkov dostop do vseh podatkov, ki jih obdeluje enota za informacije o potnikih. Če pooblaščena oseba za varstvo podatkov meni, da obdelava kakršnih koli podatkov ni bila zakonita, lahko zadevo predloži nacionalnemu nadzornemu organu.

8. Enota za informacije o potnikih hrani, obdeluje in analizira podatke PNR izključno na varni lokaciji ali lokacijah na ozemlju držav članic.

9. Posledice ocenjevanj potnikov iz točke (a) odstavka 2 tega člena ne ogrožajo pravice do vstopa oseb, ki uživajo pravico Unije do prostega gibanja, na ozemlje zadevne države članice, kot je določeno v Direktivi 2004/38/ES Evropskega parlamenta in Sveta (11). Poleg tega so posledice takšnih ocenjevanj, kadar so izvedena v zvezi z leti znotraj EU med državami članicami, za katere se uporablja Uredba (ES) št. 562/2006 Evropskega parlamenta in Sveta (12), skladne z navedeno uredbo.

Člen 7

Pristojni organi

1. Vsaka država članica sprejme seznam pristojnih organov, ki so za namene preprečevanja, odkrivanja, preiskovanja ter pregona terorističnih ali hudih kaznivih dejanj upravičeni, da enoto za informacije o potnikih zaprosijo za podatke PNR ali rezultate obdelave teh podatkov – ali da jih prejmejo –, da bi te informacije nadalje podrobno preučili oziroma sprejeli ustrezne ukrepe.

2. Organi iz odstavka 1 so organi, ki so pristojni za preprečevanje, odkrivanje, preiskovanje ali pregon terorističnih ali hudih kaznivih dejanj.

3. Za namene člena 9(3) vsaka država članica Komisijo uradno obvesti o seznamu svojih pristojnih organov do 25. maja 2017 in lahko to uradno obvestilo kadar koli spremeni. Komisija objavi uradno obvestilo in njegove morebitne spremembe v Uradnem listu Evropske unije.

4. Pristojni organi držav članic lahko podatke PNR in rezultate obdelave teh podatkov, ki jih prejmejo od enote za informacije o potnikih, nadalje obdelujejo samo za specifične namene preprečevanja, odkrivanja, preiskovanja ali pregona terorističnih ali hudih kaznivih dejanj.

5. Odstavek 4 ne posega v pristojnosti nacionalnih organov preprečevanja, odkrivanja in preiskovanja kaznivih dejanj oziroma pravosodnih organov, kadar se v predkazenskem ali kazenskem postopku na podlagi navedene obdelave odkrijejo druga kazniva dejanja ali indici v zvezi z njimi.

6. Pristojni organi izključno na podlagi avtomatizirane obdelave podatkov PNR ne sprejmejo nobene odločitve, ki bi imela za osebo negativne pravne posledice ali bi nanjo znatneje vplivala. Takšne odločitve se ne sprejmejo na podlagi rase ali etničnega porekla osebe, njenih političnih mnenj, vere ali filozofskega prepričanja, članstva v sindikatu, zdravstvenega stanja, spolnega življenja ali spolne usmerjenosti.

Člen 8

Obveznosti letalskih prevoznikov glede prenosa podatkov

1. Države članice sprejmejo potrebne ukrepe, da zagotovijo, da letalski prevozniki podatke PNR, navedene v Prilogi I – kolikor so jih že zbrali med običajnim poslovanjem –, z metodo „push“ posredujejo v podatkovno zbirko enote za informacije o potnikih države članice, na ozemlju katere je prihod ali odhod leta. Pri letih pod skupno oznako enega ali več letalskih prevoznikov je za prenos podatkov PNR o vseh potnikih na tem letu odgovoren letalski prevoznik, ki izvaja let. Kadar je na letu zunaj EU predviden eden ali več postankov na letališčih držav članic, letalski prevozniki posredujejo podatke PNR o vseh potnikih enotam za informacije o potnikih vseh zadevnih držav članic. To velja tudi tedaj, ko ima let znotraj EU enega ali več postankov na letališčih različnih držav članic, vendar le za tiste države članice, ki zbirajo podatke PNR o letih znotraj EU.

2. Če letalski prevozniki zberejo predhodne informacije o potnikih (API) iz točke 18 Priloge I, vendar teh informacij ne hranijo z enakimi tehničnimi sredstvi kot druge podatke PNR, države članice z ustreznimi ukrepi zagotovijo, da letalski prevozniki tudi te informacije z metodo „push“ posredujejo enoti za informacije o potnikih držav članic iz odstavka 1. V primeru takšnega prenosa se tudi za zadevne podatke API uporabljajo vse določbe te direktive.

3. Letalski prevozniki podatke PNR prenesejo z elektronskimi sredstvi z uporabo skupnih protokolov in sistemsko podprtih oblik zapisa podatkov, ki se sprejmejo v skladu s postopkom pregleda iz člena 17(2), v primeru tehnične okvare pa na kakršen koli drug ustrezen način, ki zagotavlja ustrezno raven varnosti podatkov:

(a)	24 do 48 ur pred načrtovanim časom odhoda leta in

(b)	nemudoma po zaprtju leta, to je takrat, ko so potniki že vkrcani na letalo v pripravi na odhod in se ne morejo več vkrcati ali izkrcati.

4. Države članice letalskim prevoznikom dovolijo, da prenos iz točke (b) odstavka 3 omejijo na podatke, ki so bili v primerjavi s prenosi iz točke (a) navedenega odstavka spremenjeni.

5. Kadar je dostop do podatkov PNR potreben zaradi odziva na konkretno in dejansko grožnjo v zvezi s terorističnimi ali hudimi kaznivimi dejanji, letalski prevozniki za vsak primer posebej na zaprosilo enote za informacije o potnikih, ki je predloženo v skladu z nacionalnim pravom, posredujejo podatke PNR tudi ob drugem času in ne le ob tistih iz odstavka 3.

Člen 9

Izmenjava informacij med državami članicami

1. Države članice zagotovijo, da enota za informacije o potnikih v zvezi z osebami, ki jih identificira v skladu s členom 6(2), posreduje vse ustrezne in potrebne podatke PNR ali rezultate njihove obdelave ustreznim enotam drugih držav članic. Enote za informacije o potnikih držav članic prejemnic v skladu s členom 6(6) posredujejo prejete informacije svojim pristojnim organom.

2. Enota za informacije o potnikih države članice ima pravico, da po potrebi zaprosi enoto za informacije o potnikih katere koli druge države članice, da ji posreduje podatke PNR, ki jih ima slednja v svoji podatkovni zbirki in ki še niso bili depersonalizirani z zakrivanjem podatkovnih elementov na podlagi člena 12(2), in po potrebi tudi za rezultate vsake obdelave teh podatkov, če je že bila opravljena na podlagi točke (a) člena 6(2). Tako zaprosilo se ustrezno obrazloži. Temelji lahko na katerem koli podatkovnem elementu ali kombinaciji takšnih elementov, kakor enota za informacije o potnikih, ki za podatke zaprosi, oceni, da je potrebno za konkreten primer preprečevanja, odkrivanja, preiskovanja ali pregona terorističnih ali hudih kaznivih dejanj. Enote za informacije o potnikih informacije, za katere so bile zaprošene, posredujejo takoj, ko je to izvedljivo. Če so bili zaprošeni podatki depersonalizirani z zakrivanjem podatkovnih elementov v skladu s členom 12(2), enota za informacije o potnikih posreduje popolne podatke PNR le, kadar se utemeljeno domneva, da so potrebni za namene iz točke (b) člena 6(2), in le, ko to dovoli organ iz točke (b) člena 12(3).

3. Pristojni organi države članice lahko enoto za informacije o potnikih katere koli druge države članice neposredno zaprosijo, da jim posreduje podatke PNR, ki jih hrani v svoji podatkovni zbirki le, kadar je to potrebno v nujnih primerih in pod pogoji iz odstavka 2. Zaprosila pristojnih organov se obrazložijo. Kopija zaprosila se vselej pošlje enoti za informacije o potnikih države članice, ki za podatke zaprosi. V vseh drugih primerih pristojni organi svoja zaprosila pošljejo preko enote za informacije o potnikih svoje države članice.

4. Izjemoma, kadar je dostop do podatkov PNR potreben zaradi odziva na konkretno in dejansko grožnjo v zvezi s terorističnimi ali hudimi kaznivimi dejanji, ima enota za informacije o potnikih države članice pravico, da enoto za informacije o potnikih druge države članice zaprosi, naj pridobi podatke PNR v skladu s členom 8(5) in jih zagotovi enoti za informacije o potnikih, ki za podatke zaprosi.

5. Za izmenjavo informacij v skladu s tem členom se lahko uporabi kateri koli obstoječ kanal za sodelovanje med pristojnimi organi držav članic. Jezik, v katerem se sestavi zaprosilo in se izmenjujejo informacije, je jezik, ki se uporablja za zadevni kanal. Države članice pri uradnem obveščanju v skladu s členom 4(5) Komisiji sporočijo tudi podrobnosti o kontaktnih točkah, ki jim je mogoče poslati zaprosila v nujnih primerih. Komisija te podrobnosti sporoči državam članicam.

Člen 10

Pogoji za dostop Europola do podatkov PNR

1. Europol lahko v okviru svojih pristojnosti in za izvajanje svojih nalog zaprosi enote za informacije o potnikih držav članic za podatke PNR ali rezultate obdelave teh podatkov.

2. Europol lahko za vsak primer posebej preko nacionalne enote Europola enoti za informacije o potnikih katere koli države članice predloži ustrezno obrazloženo elektronsko zaprosilo za posredovanje konkretnih podatkov PNR ali rezultatov obdelave teh podatkov. Europol lahko predloži tako zaprosilo, ko je to nujno potrebno za podporo in krepitev ukrepov držav članic pri preprečevanju, odkrivanju ali preiskovanju konkretnega terorističnega ali hudega kaznivega dejanja, kolikor je v skladu s Sklepom 2009/371/PNZ to kaznivo dejanje v pristojnosti Europola. V tem zaprosilu se opredelijo utemeljeni razlogi, na podlagi katerih Europol meni, da bi prenos podatkov PNR ali rezultatov obdelave teh podatkov občutno prispeval k preprečevanju, odkrivanju ali preiskovanju zadevnega kaznivega dejanja.

3. Europol o vsaki izmenjavi informacij na podlagi tega člena obvesti pooblaščenca za varstvo podatkov, imenovanega v skladu s členom 28 Sklepa 2009/371/PNZ.

4. Izmenjava informacij na podlagi tega člena poteka preko orodja SIENA in v skladu s Sklepom 2009/371/PNZ. Jezik, v katerem se sestavi zaprosilo in se izmenjujejo informacije, je jezik, ki se uporablja za orodje SIENA.

Člen 11

Prenos podatkov tretjim državam

1. Država članica lahko posreduje podatke PNR in rezultate obdelave takšnih podatkov, ki jih hrani enota za informacije o potnikih v skladu s členom 12, tretji državi le za vsak primer posebej in če:

(a)	so izpolnjeni pogoji iz člena 13 Okvirnega sklepa 2008/977/PNZ;

(b)	je prenos potreben za namene te direktive iz člena 1(2);

(c)	tretja država soglaša, da bo drugi tretji državi posredovala podatke le, kadar bo to nujno potrebno za namene te direktive iz člena 1(2), in le z izrecnim soglasjem navedene države članice, in

(d)	so izpolnjeni enaki pogoji kot tisti iz člena 9(2).

2. Ne glede na člen 13(2) Okvirnega sklepa 2008/977/PNZ so prenosi podatkov PNR brez predhodnega soglasja države članice, iz katere so podatki bili pridobljeni, dovoljeni v izjemnih okoliščinah in le če:

(a)	so takšni prenosi bistvenega pomena za odziv na konkretno in dejansko grožnjo, povezano s terorističnimi ali hudimi kaznivimi dejanji v državi članici ali tretji državi, in

(b)	predhodnega soglasja ni mogoče pravočasno pridobiti.

O tem se nemudoma obvesti organ, pristojen za izdajo soglasja, prenos pa se ustrezno zabeleži in se lahko naknadno preveri.

3. Države članice podatke PNR posredujejo pristojnim organom tretjih držav samo pod pogoji, skladnimi s to direktivo, in samo, ko se prepričajo, da jih prejemniki nameravajo uporabljati skladno s temi pogoji in zaščitnimi ukrepi.

4. Pooblaščena oseba za varstvo podatkov enote za informacije o potnikih države članice, ki je posredovala podatke PNR, se obvesti vsakič, ko država članica posreduje podatke PNR v skladu s tem členom.

Člen 12

Čas hrambe podatkov in depersonalizacija

1. Države članice zagotovijo, da se podatki PNR, ki jih enoti za informacije o potnikih zagotovijo letalski prevozniki, hranijo v podatkovni zbirki enote za informacije o potnikih pet let od njihovega prenosa enoti za informacije o potnikih države članice, na območju katere je prihod ali odhod leta.

2. Po izteku šestih mesecev od prenosa podatkov PNR iz odstavka 1 se vsi podatki PNR depersonalizirajo z zakrivanjem naslednjih podatkovnih elementov, na podlagi katerih bi bilo mogoče neposredno identificirati potnika, na katerega se podatki PNR nanašajo:

(a)	ime(na), vključno z imeni drugih potnikov v PNR, in število potnikov v PNR, ki potujejo skupaj;

(b)	naslov in kontaktni podatki;

(c)	vsi podatki o načinu plačila, vključno z naslovom za izstavitev računa, kolikor vsebujejo kakršne koli informacije, na podlagi katerih bi bilo mogoče neposredno identificirati potnika, na katerega se podatki PNR nanašajo, ali katero koli drugo osebo;

(d)	informacije v zvezi s programi za pogoste potnike;

(e)	splošne opombe, kolikor vsebujejo kakršne koli informacije, na podlagi katerih bi bilo mogoče neposredno identificirati potnika, na katerega se podatki PNR nanašajo, in

(f)	vse zbrane podatke API.

3. Po izteku šestih mesecev iz odstavka 2 je razkritje popolnih podatkov PNR dovoljeno le, kadar:

(a)	se utemeljeno domneva, da je to potrebno za namene iz točke (b) člena 6(2), in

(b)

ga odobri:

(i)	sodni organ ali

(ii)	drug nacionalni organ, ki je v skladu z nacionalnim pravom pristojen za preverjanje, ali so izpolnjeni pogoji za razkritje, pod pogojem, da je pooblaščena oseba za varstvo podatkov enote za informacije o potnikih o tem obveščena in da lahko opravi naknadni pregled.

4. Države članice zagotovijo, da se podatki PNR trajno izbrišejo po izteku obdobja iz odstavka 1. Ta obveznost ne posega v primere, v katerih so bili določeni podatki PNR posredovani pristojnemu organu in se uporabljajo v okviru konkretnih primerov za namene preprečevanja, odkrivanja, preiskovanja ali pregona terorističnih ali hudih kaznivih dejanj; v tem primeru hrambo takšnih podatkov s strani pristojnega organa ureja nacionalno pravo.

5. Enota za informacije o potnikih hrani rezultate obdelave iz točke (a) člena 6(2) le toliko časa, kolikor je potrebno, da o zadetku obvesti pristojne organe in v skladu s členom 9(1) obvesti enote za informacije o potnikih drugih držav članic. Kadar je po posamičnem preverjanju z neavtomatiziranimi sredstvi iz člena 6(5) rezultat avtomatizirane obdelave negativen, se kljub temu lahko shrani v izogib prihodnjim „lažnim“ zadetkom, dokler s tem povezani podatki niso izbrisani v skladu z odstavkom 4 tega člena.

Člen 13

Varstvo osebnih podatkov

1. Vsaka država članica pri vsakršni obdelavi osebnih podatkov v skladu s to direktivo zagotovi, da ima vsak potnik enako pravico do varstva svojih osebnih podatkov, pravice do dostopa, popravka, izbrisa in omejitve in pravici do odškodnine in do sodnega varstva, kot so določene v pravu Unije in nacionalnem pravu ter za izvajanje členov 17, 18, 19 in 20 Okvirnega sklepa 2008/977/PNZ. Navedeni členi se torej uporabljajo.

2. Vsaka država članica zagotovi, da se določbe v nacionalnem pravu, ki so sprejete za izvajanje členov 21 in 22 Okvirnega sklepa 2008/977/PNZ glede zaupnosti obdelave in varnosti podatkov, uporabljajo tudi za vsako obdelavo osebnih podatkov v skladu s to direktivo.

3. Ta direktiva ne posega v uporabo Direktive 95/46/ES Evropskega parlamenta in Sveta (13) za obdelavo osebnih podatkov s strani letalskih prevoznikov, zlasti v njihovo obveznost za sprejetje ustreznih tehničnih in organizacijskih ukrepov za zaščito varnosti in zaupnosti osebnih podatkov.

4. Države članice prepovejo obdelavo podatkov PNR, ki razkrivajo raso ali etnično poreklo osebe, njena politična mnenja, versko ali filozofsko prepričanje, članstvo v sindikatu, zdravstveno stanje, spolno življenje ali spolno usmerjenost. Če enota za informacije o potnikih prejme podatke PNR, ki razkrivajo takšne informacije, se takoj izbrišejo.

5. Države članice zagotovijo, da enote za informacije o potnikih hranijo dokumentacijo glede vseh sistemov in postopkov obdelave, za katere so pristojne. Ta dokumentacija vsebuje vsaj:

(a)	ime in kontaktne podatke organizacije in osebja v enoti za informacije o potnikih, ki je zadolžena za obdelavo podatkov PNR, in informacije o različnih stopnjah pooblastil za dostop;

(b)	zaprosila pristojnih organov in enot za informacije o potnikih iz drugih držav članic;

(c)	vsa zaprosila za prenose podatkov PNR tretji državi in vse takšne prenose.

Enota za informacije o potnikih na zahtevo da tako dokumentacijo na voljo nacionalnemu nadzornemu organu.

6. Države članice zagotovijo, da enota za informacije o potnikih vodi evidence vsaj o naslednjih postopkih obdelave: zbiranje, vpogled, razkritje in izbris. Iz evidenc vpogleda in razkritja so razvidni zlasti namen, datum in čas takih postopkov ter, kolikor je mogoče, identiteta osebe, ki je dobila vpogled v podatke PNR ali jih razkrila, in identiteta prejemnikov teh podatkov. Evidence se uporabljajo izključno za namene preverjanja in notranjega spremljanja, zagotavljanja celovitosti in varnosti podatkov ter za namene revizije. Enota za informacije o potnikih na zahtevo da evidence na voljo nacionalnemu nadzornemu organu.

Te evidence se hranijo pet let.

7. Države članice zagotovijo, da njihova enota za informacije o potnikih izvaja ustrezne tehnične in organizacijske ukrepe in postopke, s katerimi zagotovi visoko raven varnosti, ustrezno tveganjem, ki jih predstavljata obdelava in narava podatkov PNR.

8. Države članice zagotovijo, da enota za informacije o potnikih v primeru, da kršitev varstva osebnih podatkov utegne povzročiti veliko tveganje za varstvo osebnih podatkov ali negativno vplivati na zasebnost posameznika, na katerega se podatki nanašajo, o tej kršitvi brez nepotrebnega odlašanja obvesti posameznika, na katerega se podatki nanašajo, in nacionalni nadzorni organ.

Člen 14

Kazni

Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve nacionalnih določb, sprejetih na podlagi te direktive, in sprejmejo vse potrebne ukrepe za zagotovitev njihovega izvajanja.

Države članice zlasti določijo pravila o kaznih, vključno z denarnimi kaznimi, za letalske prevoznike, ki ne posredujejo podatkov, kot je določeno v členu 8, ali ki za to ne uporabijo predpisane oblike.

Te kazni morajo biti učinkovite, sorazmerne in odvračilne.

Člen 15

Nacionalni nadzorni organ

1. Vsaka država članica zagotovi, da je nacionalni nadzorni organ iz člena 25 Okvirnega sklepa 2008/977/PNZ na ozemlju svoje države članice pristojen za svetovanje glede uporabe predpisov, ki so jih države članice sprejele na podlagi te direktive, in za spremljanje takšne uporabe. Uporablja se člen 25 Okvirnega sklepa 2008/977/PNZ.

2. Ti nacionalni nadzorni organi opravljajo dejavnosti iz odstavka 1 tako, da se pri obdelavi osebnih podatkov zaščitijo temeljne pravice.

3. Vsak nacionalni nadzorni organ:

(a)	obravnava prijave oziroma pritožbe, ki jih vloži posameznik, na katerega se podatki nanašajo, razišče zadevo, in posameznike, na katere se podatki nanašajo, v razumnem roku obvesti o stanju zadeve in odločitvi o njihovih prijavah oziroma pritožbah;

(b)	preverja zakonitost obdelave podatkov, izvaja preiskave, preglede in revizije v skladu z nacionalnim pravom, in sicer na lastno pobudo ali na podlagi prijave oziroma pritožbe iz točke (a).

4. Vsak nacionalni nadzorni organ posamezniku, na katerega se podatki nanašajo, na zahtevo svetuje glede uveljavljanja pravic iz določb, sprejetih na podlagi te direktive.

POGLAVJE III

Izvedbeni ukrepi

Člen 16

Skupni protokoli in sistemsko podprte oblike zapisa podatkov

1. Letalski prevozniki vse prenose podatkov PNR enotam za informacije o potnikih za namene te direktive opravijo z elektronskimi sredstvi, ki zagotavljajo zadostna jamstva glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, s katerimi je urejeno izvajanje obdelave. V primeru tehnične okvare se lahko podatki PNR prenesejo na kakršen koli drug ustrezen način, pod pogojem, da sta zagotovljeni enaka raven varnosti in popolna skladnost s pravom Unije na področju varstva podatkov.

2. Po enem letu od dne, ko Komisija v skladu z odstavkom 3 prvič sprejme skupne protokole in sistemsko podprte oblike zapisa podatkov, letalski prevozniki vse prenose podatkov PNR enotam za informacije o potnikih za namene te direktive opravijo elektronsko ob uporabi varnih metod, ki ustrezajo tem skupnim protokolov. Taki protokoli so zaradi zagotovitve varnosti podatkov PNR med prenosom enaki za vse prenose. Podatki PNR se posredujejo v sistemsko podprti obliki zapisa podatkov, da se zagotovi njihova berljivost za vse sodelujoče strani. Vsi letalski prevozniki morajo izbrati skupni protokol in obliko zapisa podatkov, ki ju nameravajo uporabljati za svoje prenose, ter o tem obvestiti enoto za informacije o potnikih.

3. Komisija z izvedbenimi akti pripravi seznam skupnih protokolov in sistemsko podprtih oblik zapisa podatkov ter ga po potrebi prilagodi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 17(2).

4. Odstavek 1 se uporablja, dokler skupni protokoli in sistemsko podprte oblike zapisa podatkov iz odstavkov 2 in 3 niso na voljo.

5. V enem letu od sprejetja skupnih protokolov in sistemsko podprtih oblik zapisa podatkov iz odstavka 2 vsaka država članica zagotovi, da se sprejmejo potrebni tehnični ukrepi, ki omogočijo uporabo teh skupnih protokolov in sistemsko podprtih oblik zapisa podatkov.

Člen 17

Postopek v odboru

1. Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2. Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

Kadar odbor ne poda mnenja, Komisija osnutka izvedbenega akta ne sprejme in se uporabi tretji pododstavek člena 5(4) Uredbe (EU) št. 182/2011.

POGLAVJE IV

Končne določbe

Člen 18

Prenos

1. Države članice uveljavijo zakone in druge predpise, potrebne za uskladitev s to direktivo, najpozneje do 25. maja 2018. O tem takoj obvestijo Komisijo.

Države članice se v sprejetih predpisih sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.

2. Države članice sporočijo Komisiji besedila temeljnih določb predpisov nacionalnega prava, sprejetih na področju, ki ga ureja ta direktiva.

Člen 19

Pregled

1. Komisija na podlagi informacij, ki jih zagotovijo države članice, vključno s statističnimi informacijami iz člena 20(2), do 25. maja 2020 opravi pregled vseh elementov te direktive ter predloži in predstavi poročilo Evropskemu parlamentu in Svetu.

2. Komisija v okviru pregleda posebno pozornost nameni:

(a)	spoštovanju veljavnih standardov varstva osebnih podatkov;

(b)	nujnosti in sorazmernosti zbiranja in obdelave podatkov PNR za vsakega od namenov, določenih v tej direktivi;

(c)	trajanju obdobja hrambe podatkov;

(d)	učinkovitosti izmenjave informacij med državami članicami in

(e)	kakovosti ocenjevanj, vključno glede statističnih informacij, zbranih v skladu s členom 20.

3. Poročilo iz odstavka 1 vključuje tudi pregled nujnosti, sorazmernosti in učinkovitosti vključitve obveznega zbiranja in prenosa podatkov PNR o vseh ali določenih letih znotraj EU v področje uporabe te direktive. Komisija pri tem upošteva izkušnje, ki so jih pridobile države članice, zlasti tiste, ki uporabljajo to direktivo za lete znotraj EU v skladu s členom 2. V poročilu preuči tudi potrebo po vključitvi gospodarskih subjektov, ki niso letalski prevozniki, kot so potovalne agencije in organizatorji potovanj, ki nudijo s potovanji povezane storitve, vključno z rezervacijami letov, v področje uporabe te direktive.

4. Komisija na podlagi pregleda, izvedenega na podlagi tega člena, Evropskemu parlamentu in Svetu po potrebi predloži zakonodajni predlog za spremembo te direktive.

Člen 20

Statistični podatki

1. Države članice Komisiji letno pošiljajo sklop statističnih informacij o podatkih PNR, predloženih enotam za informacije o potnikih. Te statistične informacije ne vsebujejo nobenih osebnih podatkov.

2. Statistične informacije zajemajo vsaj:

(a)	skupno število potnikov, v zvezi s katerimi so bili zbrani in izmenjani podatki PNR;

(b)	število potnikov, identificiranih za nadaljnje preverjanje.

Člen 21

Razmerje do drugih instrumentov

1. Države članice lahko še naprej uporabljajo dvostranske ali večstranske sporazume ali dogovore o izmenjavi informacij med pristojnimi organi, ki so jih sklenile med seboj in ki so veljavne 24. maja 2016, če so taki sporazumi ali dogovori združljivi s to direktivo.

2. Ta direktiva ne posega v uporabo Direktive 95/46/ES glede obdelave osebnih podatkov s strani letalskih prevoznikov.

3. Ta direktiva ne posega v nobene obveznosti in zaveze držav članic oziroma Unije iz dvostranskih ali večstranskih sporazumov s tretjimi državami.

Člen 22

Začetek veljavnosti

Ta direktiva začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta direktiva je naslovljena na države članice v skladu s Pogodbama.

V Bruslju, 27. aprila 2016

Za Evropski parlament

Predsednik

M. SCHULZ

Za Svet

Predsednica

J.A. HENNIS-PLASSCHAERT

(1) UL C 218, 23.7.2011, str. 107.

(2) Stališče Evropskega parlamenta z dne 14. aprila 2016 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 21. aprila 2016.

(3) UL C 115, 4.5.2010, str. 1.

(4) Direktiva Sveta 2004/82/ES z dne 29. aprila 2004 o dolžnosti prevoznikov, da posredujejo podatke o potnikih (UL L 261, 6.8.2004, str. 24).

(5) Okvirni sklep Sveta 2002/475/PNZ z dne 13. junija 2002 o boju proti terorizmu (UL L 164, 22.6.2002, str. 3).

(6) Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(7) Sklep Sveta 2009/371/PNZ z dne 6. aprila 2009 o ustanovitvi Evropskega policijskega urada (Europol) (UL L 121, 15.5.2009, str. 37).

(8) Okvirni sklep Sveta 2006/960/PNZ z dne 18. decembra 2006 o poenostavitvi izmenjave informacij in obveščevalnih podatkov med organi kazenskega pregona držav članic Evropske unije (UL L 386, 29.12.2006, str. 89).

(9) Okvirni sklep Sveta 2008/977/PNZ z dne 27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah (UL L 350, 30.12.2008, str. 60).

(10) Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(11) Direktiva Evropskega parlamenta in Sveta 2004/38/ES z dne 29. aprila 2004 o pravici državljanov Unije in njihovih družinskih članov do prostega gibanja in prebivanja na ozemlju držav članic, ki spreminja Uredbo (EGS) št. 1612/68 in razveljavlja Direktive 64/221/EGS, 68/360/EGS, 72/194/EGS, 73/148/EGS, 75/34/EGS, 75/35/EGS, 90/364/EGS, 90/365/EGS in 93/96/EGS (UL L 158, 30.4.2004, str. 77).

(12) Uredba (ES) št. 562/2006 Evropskega parlamenta in Sveta z dne 15. marca 2006 o Zakoniku Skupnosti o pravilih, ki urejajo gibanje oseb prek meja (Zakonik o schengenskih mejah) (UL L 105, 13.4.2006, str. 1).

(13) Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

PRILOGA I

Podatki iz evidence podatkov o potnikih, kolikor jih zbirajo letalski prevozniki

1.	Koda lokatorja evidence PNR

2.	Datum rezervacije/izdaje vozovnice

3.	Predvideni datum(-i) potovanja

Ime(-na)

5.	Naslov in kontaktni podatki (telefonska številka, naslov elektronske pošte)

6.	Vsi podatki o načinu plačila, vključno z naslovom za izstavitev računa

7.	Popoln načrt potovanja za posamezen PNR

8.	Informacije v zvezi s programi za pogoste potnike

9.	Potovalna agencija/potovalni agent

10.	Potovalni status potnika, vključno s potrditvami, prijavo na let, informacijami o neizkoriščenih in neodpovedanih rezervacijah ter informacijami o vozovnicah brez rezervacije

11.	Razdeljene/ločene informacije PNR

12.

Splošne opombe (vključno z vsemi razpoložljivimi informacijami o mladoletnikih brez spremstva, mlajših od 18 let, kot so ime in spol, starost, znanje jezikov, ime in kontaktni podatki skrbnika pri odhodu ter sorodstveno razmerje z mladoletnikom, ime in kontaktni podatki skrbnika pri prihodu in sorodstveno razmerje z mladoletnikom, podatki o zastopniku ob odhodu in prihodu)

13.	Informacije na vozovnici, vključno s številko vozovnice, datumom izdaje vozovnice, enosmernimi vozovnicami in podatki ATFQ (automated ticket fare quote)

14.	Številka sedeža in druge informacije v zvezi s sedežem

15.	Informacije o letih pod skupno oznako

16.	Vse informacije o prtljagi

17.	Število potnikov in njihova druga imena v PNR

18.

Vse zbrane predhodne podatke o potnikih (API) (vključno z vrsto, številko, državo izdaje in datumom izteka veljavnosti osebnega dokumenta, državljanstvom, priimkom, imenom, spolom, datumom rojstva, letalskim prevoznikom, številko leta, datumom odhoda, datumom prihoda, letališčem odhoda, letališčem prihoda, časom odhoda in časom prihoda)

19.	Vse pretekle spremembe v PNR iz točk 1 do 18.

PRILOGA II

Seznam kaznivih dejanj iz točke (9) člena 3

1.	Sodelovanje v hudodelski združbi,

2.	trgovina z ljudmi,

3.	spolno izkoriščanje otrok in otroška pornografija,

4.	nedovoljena trgovina z mamili in psihotropnimi snovmi,

5.	nedovoljena trgovina z orožjem, strelivom in razstrelivi,

6.	korupcija,

7.	goljufija, vključno z goljufijo, ki škoduje finančnim interesom Unije,

8.	pranje premoženjske koristi, pridobljene s kaznivim dejanjem, in ponarejanje denarja, vključno z eurom,

9.	računalniška kriminaliteta/kibernetska kriminaliteta,

10.	kazniva dejanja zoper okolje, vključno z nedovoljeno trgovino z ogroženimi živalskimi vrstami ter ogroženimi rastlinskimi vrstami in sortami,

11.	pomoč pri nezakonitem vstopu v državo in bivanju v njej,

12.	umor, huda telesna poškodba,

13.	nedovoljena trgovina s človeškimi organi in tkivi,

14.	ugrabitev, protipraven odvzem prostosti in jemanje talcev,

15.	organiziran in oborožen rop,

16.	nedovoljena trgovina s kulturnimi dobrinami, vključno s starinami in umetniškimi deli,

17.	ponarejanje in piratstvo izdelkov,

18.	ponarejanje uradnih listin in promet z njimi,

19.	nedovoljena trgovina s hormonskimi snovmi in drugimi pospeševalci rasti,

20.	nedovoljena trgovina z jedrskimi ali radioaktivnimi snovmi,

21.	posilstvo,

22.	kazniva dejanja v pristojnosti Mednarodnega kazenskega sodišča,

23.	ugrabitev letala/plovila,

24.

sabotaža,

25.	trgovina z ukradenimi vozili,

26.	industrijsko vohunjenje.