Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 32016L0681

Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet

OJ L 119, 4.5.2016, p. 132–149 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dir/2016/681/oj

4.5.2016   

DA

Den Europæiske Unions Tidende

L 119/132


EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2016/681

af 27. april 2016

om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 82, stk. 1, litra d), og artikel 87, stk. 2, litra a),

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),

efter høring af Regionsudvalget,

efter den almindelige lovgivningsprocedure (2), og

ud fra følgende betragtninger:

(1)

Kommissionen vedtog den 6. november 2007 et forslag til Rådets rammeafgørelse om anvendelse af passagerlisteoplysninger (PNR-oplysninger) med henblik på retshåndhævelse. Ved Lissabontraktatens ikrafttræden den 1. december 2009 bortfaldt kommissionsforslaget imidlertid, da Rådet ikke havde vedtaget det inden da.

(2)

I »Stockholmprogrammet — et åbent og sikkert Europa i borgernes tjeneste og til deres beskyttelse« (3) blev Kommissionen opfordret til at fremsætte forslag om anvendelsen af PNR-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet.

(3)

Kommissionen skitserede i sin meddelelse af 21. september 2010»om den globale tilgang til overførsel af passageroplysninger (PNR) til tredjelande« en række nøgleelementer i en EU-politik på dette område.

(4)

Rådets direktiv 2004/82/EF (4) regulerer luftfartsselskabernes videregivelse af forhåndsoplysninger om passagerer (API-oplysninger) til de kompetente nationale myndigheder med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring.

(5)

Formålene med nærværende direktiv er bl.a. at garantere sikkerheden, beskytte personers liv og sikkerhed og skabe en retlig ramme for beskyttelse af PNR-oplysninger med hensyn til de kompetente myndigheders behandling heraf.

(6)

En effektiv anvendelse af PNR-oplysninger, f.eks. ved at kontrollere PNR-oplysninger i forskellige databaser over eftersøgte personer og genstande, er nødvendig for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet og derved forbedre den interne sikkerhed, at indsamle bevismateriale og, hvor det er relevant, at finde kriminelles medskyldige og optrævle kriminelle netværk.

(7)

Vurdering af PNR-oplysninger gør det muligt at identificere personer, der ikke har været mistænkt for at være involveret i terrorhandlinger eller grov kriminalitet forud for en sådan vurdering, og som de kompetente myndigheder bør undersøge nærmere. Ved at anvende PNR-oplysninger er det muligt at imødegå den trussel, som terrorhandlinger og grov kriminalitet udgør, fra et andet perspektiv end ved behandling af andre kategorier af personoplysninger. For at sikre at behandlingen af PNR-oplysninger fortsat begrænses i nødvendigt omfang, bør fastsættelsen og anvendelsen af vurderingskriterier imidlertid begrænses til terrorhandlinger og grov kriminalitet, for hvilke anvendelsen af sådanne kriterier er relevant. Endvidere bør vurderingskriterierne defineres på en måde, der minimerer antallet af uskyldige personer, som uretmæssigt identificeres af systemet.

(8)

Luftfartsselskaber indsamler og behandler allerede deres passagerers PNR-oplysninger til egen forretningsmæssig brug. Dette direktiv bør ikke pålægge luftfartsselskaberne nogen pligt til at indsamle eller opbevare yderligere oplysninger fra passagererne eller passagererne nogen pligt til at fremlægge flere oplysninger end dem, der allerede gives til luftfartsselskaberne.

(9)

Nogle luftfartsselskaber opbevarer som en del af PNR-oplysningerne de af dem indsamlede API-oplysninger, mens andre ikke gør. Anvendelsen af PNR-oplysninger sammen med API-oplysninger tilføjer en merværdi, når det drejer sig om at bistå medlemsstaterne med at kontrollere en persons identitet, og styrker derved den retshåndhævelsesmæssige værdi af dette resultat og minimerer risikoen for, at uskyldige personer kontrolleres og efterforskes. Det er derfor vigtigt at sikre, at luftfartsselskaberne ved indsamling af API-oplysninger videregiver disse, uanset om de opbevarer API-oplysningerne ved hjælp af andre tekniske midler end andre PNR-oplysninger.

(10)

For at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet er det vigtigt, at alle medlemsstaterne indfører bestemmelser, som forpligter de luftfartsselskaber, der foretager flyvninger uden for EU, til at videregive de af dem indsamlede PNR-oplysninger, herunder API-oplysninger. Medlemsstaterne bør også have mulighed for at udstrække denne forpligtelse til luftfartsselskaber, der foretager flyvninger inden for EU. Disse bestemmelser bør ikke berøre direktiv 2004/82/EF.

(11)

Behandlingen af personoplysninger bør stå i rimeligt forhold til de konkrete sikkerhedsmål, der forfølges i dette direktiv.

(12)

Terrorhandlinger bør i dette direktiv defineres på samme måde som i Rådets rammeafgørelse 2002/475/RIA (5). Definitionen af grov kriminalitet bør omfatte de kategorier af overtrædelser, der er opført på listen i bilag II til dette direktiv.

(13)

PNR-oplysninger bør af klarhedshensyn og for at mindske luftfartsselskabernes omkostninger videregives til én enkelt passageroplysningsenhed, der er udpeget til det formål, i den relevante medlemsstat. Passageroplysningsenheden kan have forskellige afdelinger i en medlemsstat, og medlemsstaterne kan også oprette en passageroplysningsenhed i fællesskab. Medlemsstaterne bør udveksle oplysningerne indbyrdes gennem relevante informationsudvekslingsnetværk for at gøre det lettere at dele oplysninger og sikre interoperabilitet.

(14)

Medlemsstaterne bør afholde omkostningerne ved anvendelse, opbevaring og udveksling af PNR-oplysninger.

(15)

En liste med de PNR-oplysninger, som en passageroplysningsenhed skal have, bør ved udformningen afspejle de offentlige myndigheders berettigede krav med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet for derved at forbedre den indre sikkerhed i Unionen og beskytte de grundlæggende rettigheder, navnlig retten til privatlivets fred og beskyttelse af personoplysninger. Med henblik herpå bør der anvendes høje standarder i overensstemmelse med Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«), konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (»konvention nr. 108«) og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (»EMRK«). En sådan liste bør ikke være baseret på en persons race eller etniske oprindelse, religion eller tro, politiske eller andre anskuelser, medlemskab af en fagforening, sundhed, seksualitet eller seksuel orientering. PNR-oplysningerne bør udelukkende indeholde nærmere oplysninger om passagerers reservationer og rejseplaner, der sætter de kompetente myndigheder i stand til at finde frem til, hvilke flypassagerer der udgør en trussel mod den indre sikkerhed.

(16)

Der findes på nuværende tidspunkt to mulige måder at videregive PNR-oplysninger på, nemlig »pull«-metoden, hvor de kompetente myndigheder i den medlemsstat, der anmoder om PNR-oplysninger, får adgang til luftfartsselskabets reservationssystem og udtrækker (»pull«) en kopi af de krævede oplysninger, og »push«-metoden, hvor luftfartsselskabet videregiver (»push«) de krævede PNR-oplysninger til den myndighed, der anmoder om dem, hvorved luftfartsselskaberne bevarer kontrollen med, hvilke oplysninger der videregives. »Push«-metoden anses for at give en højere grad af databeskyttelse og bør være obligatorisk for alle luftfartsselskaber.

(17)

Kommissionen støtter de retningslinjer for PNR-oplysninger, som Organisationen for International Civil Luftfart (ICAO) har udarbejdet. Disse retningslinjer bør derfor udgøre grundlaget for vedtagelsen af de understøttede dataformater for luftfartsselskabernes videregivelse af PNR-oplysninger til medlemsstaterne. For at sikre ensartede betingelser for gennemførelsen af understøttede dataformater og af relevante protokoller, der finder anvendelse på luftfartsselskabernes videregivelse af oplysninger, bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 (6).

(18)

Medlemsstaterne bør træffe alle nødvendige foranstaltninger for, at luftfartsselskaberne kan opfylde deres forpligtelser i medfør af dette direktiv. Medlemsstaterne bør fastsætte regler om sanktioner, herunder bødestraf, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, over for de luftfartsselskaber, der ikke opfylder deres forpligtelser vedrørende videregivelse af PNR-oplysninger.

(19)

Hver medlemsstat bør være ansvarlig for at vurdere de potentielle trusler i forbindelse med terrorhandlinger og grov kriminalitet.

(20)

Under fuld hensyntagen til retten til beskyttelse af personoplysninger og retten til ikkeforskelsbehandling bør der ikke træffes afgørelser, som har byrdefulde retsvirkninger for en person eller i væsentlig grad påvirker denne person, udelukkende som følge af en automatisk behandling af PNR-oplysninger. Desuden bør sådanne afgørelser, jf. chartrets artikel 8 og 21, ikke medføre nogen form for forskelsbehandling såsom forskelsbehandling på grund af en persons køn, race, farve, etniske eller sociale oprindelse, genetiske anlæg, sprog, religion eller tro, politiske eller andre anskuelser, tilhørsforhold til et nationalt mindretal, formueforhold, fødsel, handicap, alder eller seksuelle orientering. Når Kommissionen vurderer anvendelsen af dette direktiv, bør den også tage hensyn til disse principper.

(21)

Resultatet af behandling af PNR-oplysninger bør under ingen omstændigheder anvendes af medlemsstaterne som grundlag for at omgå deres internationale forpligtelser i medfør af konventionen af 28. juli 1951 om flygtninges retsstilling som ændret ved protokollen af 31. januar 1967, eller anvendes til at nægte asylansøgere sikre og effektive lovlige kanaler til Unionens område med henblik på at udøve deres ret til international beskyttelse.

(22)

Under fuld hensyntagen til de principper, som Den Europæiske Unions Domstol har opstillet i den seneste relevante retspraksis, bør anvendelsen af dette direktiv sikre fuld respekt for de grundlæggende rettigheder, for retten til privatlivets fred og for proportionalitetsprincippet. Det bør også reelt opfylde målene om nødvendighed og proportionalitet for at tilgodese de almene interesser, der er anerkendt af Unionen, og behovet for at beskytte andres rettigheder og friheder i forbindelse med bekæmpelse af terrorhandlinger og grov kriminalitet. Anvendelsen af dette direktiv bør være behørigt begrundet, og der bør indføres de nødvendige beskyttelsesforanstaltninger for at sikre, at enhver lagring, analyse, videregivelse eller anvendelse af PNR-oplysninger er lovlig.

(23)

Medlemsstaterne bør udveksle de PNR-oplysninger, de modtager, med hinanden og med Europol, når dette anses for nødvendigt for at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet. Passageroplysningsenheder bør, hvis det er relevant, straks videregive resultatet af behandling af PNR-oplysninger til passageroplysningsenhederne i andre medlemsstater med henblik på videre efterforskning. Bestemmelserne i dette direktiv bør ikke berøre andre EU-instrumenter vedrørende udveksling af oplysninger mellem politi og andre retshåndhævende myndigheder samt judicielle myndigheder, herunder Rådets afgørelse 2009/371/RIA (7) og Rådets rammeafgørelse 2006/960/RIA (8). Sådanne udvekslinger af PNR-oplysninger bør være omfattet af reglerne for det politimæssige og retlige samarbejde og bør ikke underminere det høje beskyttelsesniveau for privatlivets fred og personoplysninger, der kræves af chartret, konvention nr. 108 og EMRK.

(24)

En sikker informationsudveksling vedrørende PNR-oplysninger mellem medlemsstaterne bør sikres gennem de eksisterende kanaler for samarbejde mellem medlemsstaternes kompetente myndigheder og navnlig med Europol gennem Europols sikrede informationsudvekslingsnetværksprogram (SIENA).

(25)

Den periode, hvori PNR-oplysninger skal opbevares, bør være så lang som nødvendig med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet samt stå i et rimeligt forhold hertil. Som følge af oplysningernes art og deres anvendelse er det nødvendigt, at PNR-oplysningerne opbevares i tilstrækkelig lang tid til, at der kan foretages en analyse, og at de kan anvendes i forbindelse med efterforskninger. For at undgå en uforholdsmæssig anvendelse bør PNR-oplysningerne efter en indledende periode anonymiseres ved hjælp af maskering af dataelementer. For at sikre den højeste grad af databeskyttelse bør der efter den nævnte indledende periode kun på meget strenge og begrænsede vilkår gives adgang til de fuldstændige PNR-oplysninger, som muliggør direkte identifikation af den registrerede.

(26)

Når konkrete PNR-oplysninger er blevet videregivet til en kompetent myndighed og anvendes i forbindelse med en konkret strafferetlig efterforskning eller retsforfølgning, bør den kompetente myndigheds opbevaring af oplysningerne reguleres af national ret, uanset de dataopbevaringsperioder, der fastsættes i dette direktiv.

(27)

Passageroplysningsenhedernes og de kompetente myndigheders behandling af PNR-oplysninger i hver medlemsstat bør være omfattet af standardbeskyttelsen af personoplysninger i henhold til national ret i overensstemmelse med Rådets rammeafgørelse 2008/977/RIA (9) og de konkrete krav til databeskyttelse, der er fastsat i dette direktiv. Henvisninger til rammeafgørelse 2008/977/RIA bør læses som henvisninger til gældende lovgivning samt til lovgivning, som må erstatte den.

(28)

Under hensyn til retten til beskyttelse af personoplysninger bør de registreredes rettigheder vedrørende behandlingen af deres PNR-oplysninger, herunder retten til indsigt, berigtigelse, sletning og begrænsning samt retten til erstatning og klageadgang, være i overensstemmelse både med rammeafgørelse 2008/977/RIA og med det høje beskyttelsesniveau, der er fastsat i chartret og EMRK.

(29)

Under hensyn til passagerernes ret til at blive oplyst om behandlingen af deres personoplysninger bør medlemsstaterne sikre, at passagererne modtager korrekte oplysninger, der er lettilgængelige og letforståelige, om indsamlingen af PNR-oplysninger, videregivelsen heraf til passageroplysningsenheden og deres rettigheder som registrerede.

(30)

Dette direktiv berører ikke EU-retten og national ret om princippet om aktindsigt i officielle dokumenter.

(31)

Medlemsstaternes videregivelse af PNR-oplysninger til tredjelande bør kun tillades fra sag til sag og i fuld overensstemmelse med de bestemmelser, som medlemsstaterne har fastlagt i henhold til rammeafgørelse 2008/977/RIA. For at sikre beskyttelsen af personoplysninger bør sådanne videregivelser være omfattet af supplerende krav, der vedrører formålet med videregivelsen. De bør også være omfattet af principperne om nødvendighed og proportionalitet og det høje beskyttelsesniveau, der er fastsat i chartret og i EMRK.

(32)

Den nationale tilsynsmyndighed, der er oprettet som led i gennemførelsen af rammeafgørelse 2008/977/RIA, bør også være ansvarlig for at yde rådgivning og føre tilsyn med anvendelsen af de bestemmelser, som medlemsstaterne vedtager i henhold til dette direktiv.

(33)

Dette direktiv påvirker ikke medlemsstaternes mulighed for at indføre et system i national ret til indsamling og behandling af PNR-oplysninger fra erhvervsdrivende, der ikke er luftfartsselskaber, f.eks. rejsebureauer og rejsearrangører, der leverer rejserelaterede tjenester, herunder reservation af flyvninger, for hvilke de indsamler og behandler PNR-oplysninger, eller fra andre transportvirksomheder end dem, der er nævnt i dette direktiv, forudsat at sådan national ret er i overensstemmelse med EU-retten.

(34)

Dette direktiv berører ikke de gældende EU-regler for, hvordan grænsekontrollen udføres, eller EU-reglerne vedrørende indrejse på og udrejse fra Unionens område.

(35)

Som følge af de retlige og tekniske forskelle mellem nationale bestemmelser om behandling af personoplysninger, herunder PNR-oplysninger, stilles der og vil der blive stillet forskellige krav til luftfartsselskaberne, for så vidt angår de typer oplysninger, der skal videregives, og betingelserne for at videregive dem til de kompetente nationale myndigheder. Disse forskelle kan skade effektivt samarbejde mellem de kompetente nationale myndigheder med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet. Det er derfor nødvendigt på EU-plan at etablere en fælles retlig ramme for videregivelse og behandling af PNR-oplysninger.

(36)

Dette direktiv overholder de grundlæggende rettigheder og principperne i chartret, navnlig retten til beskyttelse af personoplysninger, retten til privatlivets fred og retten til ikkeforskelsbehandling, jf. chartrets artikel 8, 7 og 21; det bør derfor gennemføres i overensstemmelse hermed. Dette direktiv er foreneligt med principperne om databeskyttelse, og dets bestemmelser er i overensstemmelse med rammeafgørelse 2008/977/RIA. For at sikre at proportionalitetsprincippet overholdes, fastsætter dette direktiv desuden i forbindelse med bestemte spørgsmål strengere regler for databeskyttelse end rammeafgørelse 2008/977/RIA.

(37)

Dette direktivs anvendelsesområde er så begrænset som muligt, da: det fastsætter, at PNR-oplysninger i passageroplysningsenhederne skal opbevares i en periode på højst fem år, hvorefter oplysningerne bør slettes; det fastsætter, at oplysningerne skal anonymiseres ved hjælp af maskering af dataelementer efter en indledende periode på seks måneder; og det forbyder indsamling og anvendelse af følsomme oplysninger. For at sikre et effektivt og højt databeskyttelsesniveau skal medlemsstaterne sikre, at en uafhængig national tilsynsmyndighed og navnlig en databeskyttelsesansvarlig er ansvarlig for at rådgive om og føre tilsyn med, hvordan PNR-oplysninger behandles. Al behandling af PNR-oplysninger bør registreres eller dokumenteres med henblik på kontrol af dens lovlighed, egenkontrol og at sikre oplysningernes integritet og sikre behandling. Medlemsstaterne bør desuden sikre, at passagererne er klart og præcist oplyst om indsamlingen af PNR-oplysninger og om deres rettigheder.

(38)

Målene for dette direktiv, nemlig luftfartsselskabers videregivelse af PNR-oplysninger og behandling af disse oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går dette direktiv ikke videre, end hvad der er nødvendigt for at nå disse mål.

(39)

I medfør af artikel 3 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, har disse medlemsstater meddelt, at de ønsker at deltage i vedtagelsen og anvendelsen af dette direktiv.

(40)

I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af dette direktiv, som ikke er bindende for og ikke finder anvendelse i Danmark.

(41)

Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 28, stk. 2, i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (10) og afgav en udtalelse den 25. marts 2011 —

VEDTAGET DETTE DIREKTIV:

KAPITEL I

Generelle bestemmelser

Artikel 1

Genstand og anvendelsesområde

1.   Ved dette direktiv fastsættes bestemmelser om:

a)

luftfartsselskabers videregivelse af passagerlisteoplysninger (PNR-oplysninger) om passagerer på flyvninger uden for EU

b)

behandlingen af de i litra a) omhandlede oplysninger, herunder medlemsstaters indsamling, anvendelse og opbevaring heraf samt medlemsstaters indbyrdes udveksling heraf.

2.   PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, må kun behandles med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, jf. artikel 6, stk. 2, litra a), b) og c).

Artikel 2

Anvendelse af dette direktiv på flyvninger inden for EU

1.   Hvis en medlemsstat beslutter at anvende dette direktiv på flyvninger inden for EU, giver den Kommissionen skriftlig meddelelse herom. En medlemsstat kan når som helst give eller tilbagekalde en sådan meddelelse. Kommissionen offentliggør meddelelsen og en eventuel tilbagekaldelse af den i Den Europæiske Unions Tidende.

2.   Når en meddelelse omhandlet i stk. 1 er givet, finder alle direktivets bestemmelser anvendelse for flyvninger inden for EU, som var de flyvninger uden for EU, og for PNR-oplysninger fra flyvninger inden for EU, som var de PNR-oplysninger fra flyvninger uden for EU.

3.   En medlemsstat kan beslutte at anvende dette direktiv udelukkende på udvalgte flyvninger inden for EU. Når medlemsstaten træffer en sådan beslutning, vælger den samtidig de flyvninger, som den finder nødvendige med henblik på at nå målene i dette direktiv. Medlemsstaten kan når som helst beslutte at ændre udvælgelsen af flyvninger inden for EU.

Artikel 3

Definitioner

I dette direktiv forstås ved:

1)   »luftfartsselskab«: en lufttransportvirksomhed med en gyldig licens eller lignende, der tillader det at udføre luftbefordring af passagerer

2)   »flyvning uden for EU«: enhver ruteflyvning eller ikkeruteflyvning, der foretages af et luftfartsselskab, som flyver fra et tredjeland og med planlagt landing på en medlemsstats område, eller som flyver fra en medlemsstats område og med planlagt landing i et tredjeland, herunder i begge tilfælde flyvninger med mellemlandinger på medlemsstaters eller tredjelandes område

3)   »flyvning inden for EU«: enhver ruteflyvning eller ikkeruteflyvning, som foretages af et luftfartsselskab, som flyver fra en medlemsstats område og med planlagt landing på en eller flere andre medlemsstaters område og uden mellemlandinger på et tredjelands område

4)   »passager«: enhver person, herunder personer i transfer eller transit, undtagen besætningsmedlemmer, der med luftfartsselskabets samtykke befordres eller skal befordres i et luftfartøj, idet et sådant samtykke anskueliggøres ved, at denne person er registreret i passagerlisten

5)   »passagerliste« eller »PNR«: en liste over den enkelte passagers rejse, som omfatter alle nødvendige oplysninger til, at reservationer kan behandles og kontrolleres af de luftfartsselskaber, der foretager reservationen, og de deltagende luftfartsselskaber for hver rejse, der reserveres af eller på vegne af enhver person, uanset om listen findes i reservationssystemer, afgangskontrolsystemer (der anvendes til kontrol af passagerer ved ombordstigning på luftfartøjer) eller tilsvarende systemer, der omfatter de samme funktionaliteter

6)   »reservationssystem«: luftfartsselskabets interne system, hvori PNR-oplysninger indsamles med henblik på behandling af reservationer

7)   »»push«-metoden«: den metode, hvorved luftfartsselskaber videregiver de PNR-oplysninger, der er opført på listen i bilag I, til den anmodende myndigheds database

8)   »terrorhandlinger«: de overtrædelser i henhold til national ret, der er omhandlet i artikel 1-4 i rammeafgørelse 2002/475/RIA

9)   »grov kriminalitet«: de overtrædelser, der er opført på listen i bilag II, og som kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst tre år i henhold til en medlemsstats nationale ret

10)   »at anonymisere ved hjælp af maskering af dataelementer«: at gøre de dataelementer, der kan tjene til direkte at identificere den registrerede, utilgængelige for en bruger.

KAPITEL II

Medlemsstaternes ansvar

Artikel 4

Passageroplysningsenhed

1.   Hver medlemsstat opretter eller udpeger en myndighed med kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet eller en afdeling i en sådan myndighed, der skal fungere som »passageroplysningsenhed«.

2.   Passageroplysningsenheden er ansvarlig for:

a)

at indsamle PNR-oplysninger fra luftfartsselskaber, at lagre og behandle disse oplysninger og at videregive disse oplysninger eller resultatet af behandlingen af dem til de i artikel 7 omhandlede kompetente myndigheder

b)

at udveksle både PNR-oplysninger og resultatet af behandlingen af disse oplysninger med andre medlemsstaters passageroplysningsenheder og med Europol, jf. artikel 9 og 10.

3.   Passageroplysningsenhedens personale kan være udstationeret fra kompetente myndigheder. Medlemsstaterne tildeler passageroplysningsenhederne tilstrækkelige ressourcer til, at de kan udføre deres opgaver.

4.   To eller flere medlemsstater (de deltagende medlemsstater) kan oprette eller udpege en enkelt myndighed til at fungere som deres passageroplysningsenhed. En sådan passageroplysningsenhed oprettes i en af de deltagende medlemsstater og anses for at være den nationale passageroplysningsenhed for alle de deltagende medlemsstater. De deltagende medlemsstater vedtager i fællesskab de nærmere regler for driften af passageroplysningsenheden og overholder de krav, der er fastsat i dette direktiv.

5.   Inden for én måned fra oprettelsen af dens passageroplysningsenhed giver hver medlemsstat Kommissionen meddelelse herom og medlemsstaten kan på et hvilket som helst tidspunkt ændre sin meddelelse. Kommissionen offentliggør meddelelsen og eventuelle ændringer heraf i Den Europæiske Unions Tidende.

Artikel 5

Databeskyttelsesansvarlig i passageroplysningsenheden

1.   Passageroplysningsenheden udpeger en databeskyttelsesansvarlig, der er ansvarlig for at føre tilsyn med behandlingen af PNR-oplysninger og at gennemføre relevante beskyttelsesforanstaltninger.

2.   Medlemsstaterne tildeler databeskyttelsesansvarlige de midler, der er nødvendige for, at de på effektiv og uafhængig vis kan udføre deres hverv i overensstemmelse med denne artikel.

3.   Medlemsstaterne sikrer, at en registreret har ret til at kontakte den databeskyttelsesansvarlige som et enkelt kontaktpunkt om alle spørgsmål i tilknytning til behandlingen af denne registreredes PNR-oplysninger.

Artikel 6

Behandling af PNR-oplysninger

1.   De PNR-oplysninger, som luftfartsselskaberne videregiver, indsamles af passageroplysningsenheden i den relevante medlemsstat, jf. artikel 8. Hvis de PNR-oplysninger, som luftfartsselskaberne videregiver, indeholder andre oplysninger end dem, der er opført på listen i bilag I, skal passageroplysningsenheden straks og permanent ved modtagelsen slette sådanne oplysninger.

2.   Passageroplysningsenheden må kun behandle PNR-oplysninger med henblik på følgende:

a)

at foretage en vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten for at identificere personer, som det kræves, at de i artikel 7 omhandlede kompetente myndigheder og, hvis det er relevant, Europol i overensstemmelse med artikel 10 undersøger nærmere, idet sådanne personer kan være involveret i en terrorhandling eller grov kriminalitet.

b)

fra sag til sag at reagere på en behørigt begrundet anmodning baseret på tilstrækkelige grunde fra de kompetente myndigheder om at videregive og behandle PNR-oplysninger i konkrete sager med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet og at forelægge resultaterne af denne behandling for de kompetente myndigheder eller, hvis det er relevant, for Europol, og

c)

at analysere PNR-oplysninger med henblik på at ajourføre eller fastsætte nye kriterier, der skal anvendes i forbindelse med vurderingerne, der foretages i medfør af stk. 3, litra b), med henblik på at identificere personer, der kan være involveret i en terrorhandling eller grov kriminalitet.

3.   Når den i stk. 2, litra a), omhandlede vurdering foretages, kan passageroplysningsenheden:

a)

sammenholde PNR-oplysninger med oplysninger i databaser, der er relevante med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, herunder databaser vedrørende personer eller genstande, der eftersøges eller er indberettet, i overensstemmelse med de EU-regler og internationale eller nationale regler, som finder anvendelse på sådanne databaser, eller

b)

behandle PNR-oplysninger efter forud fastsatte kriterier.

4.   Enhver vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten, der foretages i medfør af stk. 3, litra b), efter forud fastsatte kriterier, udføres på en ikkediskriminerende måde. Disse forud fastsatte kriterier skal være målrettede, stå i rimeligt forhold til målet og være konkrete. Medlemsstaterne sikrer, at disse kriterier fastsættes og regelmæssigt evalueres af passageroplysningsenheden i samarbejde med de i artikel 7 omhandlede kompetente myndigheder. Kriterierne må under ingen omstændigheder være baseret på en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuel orientering.

5.   Medlemsstaterne sikrer, at alle hit som følge af den automatiske behandling af PNR-oplysninger, der foretages i medfør af stk. 2, litra a), gennemgås individuelt og manuelt for at kontrollere, om de i artikel 7 omhandlede kompetente myndigheder skal iværksætte tiltag i henhold til national ret.

6.   En medlemsstats passageroplysningsenhed videregiver de i overensstemmelse med stk. 2, litra a), identificerede personers PNR-oplysninger eller resultaterne af behandling af disse oplysninger til de i artikel 7 omhandlede kompetente myndigheder i den samme medlemsstat med henblik på nærmere undersøgelse. Sådanne videregivelser af oplysninger må kun ske fra sag til sag og, i tilfælde af automatisk behandling af PNR-oplysninger, efter en individuel og manuel gennemgang.

7.   Medlemsstaterne sikrer, at den databeskyttelsesansvarlige har adgang til alle de oplysninger, som passageroplysningsenheden behandler. Hvis den databeskyttelsesansvarlige finder, at behandlingen af enhver form for oplysninger ikke er sket lovligt, kan den databeskyttelsesansvarlige forelægge spørgsmålet for den nationale tilsynsmyndighed.

8.   Passageroplysningsenhedens lagring, behandling og analyse af PNR-oplysninger finder udelukkende sted på et sikkert sted eller sikre steder på medlemsstaternes område.

9.   Konsekvenserne af vurderingerne af passagerer, jf. denne artikels stk. 2, litra a), må ikke anfægte retten til indrejse på den pågældende medlemsstats område for personer, der har ret til fri bevægelighed i henhold til EU-retten, jf. Europa-Parlamentets og Rådets direktiv 2004/38/EF (11). Endvidere skal konsekvenserne af sådanne vurderinger, når vurderingerne foretages i forbindelse med flyvninger inden for EU mellem medlemsstater, som er underlagt Europa-Parlamentets og Rådets forordning (EF) nr. 562/2006 (12), være i overensstemmelse med nævnte forordning.

Artikel 7

Kompetente myndigheder

1.   Hver medlemsstat vedtager en liste over kompetente myndigheder, der er berettigede til at anmode om eller modtage PNR-oplysninger eller resultatet af behandling af disse oplysninger fra passageroplysningsenhederne for at undersøge disse oplysninger nærmere eller iværksætte passende tiltag for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet.

2.   De i stk. 1 omhandlede myndigheder skal være myndigheder, der har kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet.

3.   Med henblik på artikel 9, stk. 3, meddeler hver medlemsstat Kommissionen listen over sine kompetente myndigheder senest den 25. maj 2017 og medlemsstaten kan når som helst ændre sin meddelelse. Kommissionen offentliggør meddelelsen og eventuelle ændringer heraf i Den Europæiske Unions Tidende.

4.   Medlemsstaternes kompetente myndigheder må kun foretage yderligere behandling af PNR-oplysninger og resultatet af behandling af PNR-oplysninger, der modtages fra passageroplysningsenheden, med henblik på det specifikke formål at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet.

5.   Stk. 4 berører ikke de nationale retshåndhævende eller retlige myndigheders beføjelser, når der opdages andre overtrædelser eller tegn herpå under en retshåndhævende aktion foranlediget af en sådan databehandling.

6.   De kompetente myndigheder må ikke træffe afgørelser, som har byrdefulde retsvirkninger for en person eller i væsentlig grad påvirker en person, udelukkende som følge af automatisk behandling af PNR-oplysninger. Sådanne afgørelser må ikke træffes på grundlag af en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuel orientering.

Artikel 8

Luftfartsselskabernes forpligtelser vedrørende videregivelse af oplysninger

1.   Medlemsstaterne vedtager alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber ved hjælp af »push«-metoden videregiver de PNR-oplysninger, som er opført på listen i bilag I, i det omfang de allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter, til databasen for passageroplysningsenheden i den medlemsstat, på hvis område flyet lander, eller fra hvis område det afgår. Hvis der for en flyvning er fælles rutenummer (»code sharing«) mellem et eller flere luftfartsselskaber, er det luftfartsselskab, der står for flyvningen, forpligtet til at videregive PNR-oplysninger om alle passagerer. Hvis der under en flyvning uden for EU mellemlandes en eller flere gange i medlemsstaternes lufthavne, videregiver luftfartsselskabet PNR-oplysningerne om alle passagerer til passageroplysningsenhederne i alle de berørte medlemsstater. Dette gælder også, når der under en flyvning inden for EU mellemlandes en eller flere gange i forskellige medlemsstaters lufthavne, men kun i forbindelse med medlemsstater, som indsamler PNR-oplysninger fra flyvninger inden for EU.

2.   Hvis luftfartsselskaberne har indsamlet forhåndsoplysninger om passagererne (API-oplysninger), jf. bilag I, punkt 18, men ikke opbevarer disse oplysninger ved hjælp af de samme tekniske midler som andre PNR-oplysninger, vedtager medlemsstaterne de nødvendige foranstaltninger for at sikre, at luftfartsselskaberne ved hjælp af »push«-metoden også videregiver disse oplysninger til passageroplysningsenheden i de i stk. 1 omhandlede medlemsstater. Ved en sådan videregivelse finder alle bestemmelserne i dette direktiv anvendelse for disse API-oplysninger.

3.   Luftfartsselskaberne videregiver PNR-oplysninger elektronisk ved brug af de fælles protokoller og understøttede dataformater, der vedtages efter undersøgelsesproceduren i artikel 17, stk. 2, eller, i tilfælde af tekniske problemer, ved brug af et hvilket som helst andet hensigtsmæssigt middel, der sikrer et passende datasikkerhedsniveau:

a)

24-48 timer før den planlagte flyafgang, og

b)

straks efter, at luftfartøjets døre er blevet lukket, dvs. når passagerne er gået om bord i luftfartøjet med henblik på afrejse, og det ikke længere er muligt for passagerer at gå om bord i luftfartøjet eller forlade det.

4.   Medlemsstaterne tillader, at luftfartsselskaberne kun videregiver de i stk. 3, litra b), omhandlede oplysninger, når de i nævnte stykkes litra a) omhandlede videregivelser ajourføres.

5.   Når det er nødvendigt at få adgang til PNR-oplysninger for at reagere på en konkret og reel trussel i forbindelse med terrorhandlinger eller grov kriminalitet, videregiver luftfartsselskaberne fra sag til sag PNR-oplysninger på andre tidspunkter end de, der er nævnt i stk. 3, på anmodning af en passageroplysningsenhed i henhold til national ret.

Artikel 9

Udveksling af oplysninger mellem medlemsstaterne

1.   Hvad angår personer, der identificeres af en passageroplysningsenhed, jf. artikel 6, stk. 2, sikrer medlemsstaterne, at alle relevante og nødvendige PNR-oplysninger eller resultatet af behandling af disse oplysninger videregives af denne passageroplysningsenhed til de tilsvarende passageroplysningsenheder i de andre medlemsstater. De modtagende medlemsstaters passageroplysningsenheder videregiver i overensstemmelse med artikel 6, stk. 6, de oplysninger, de har modtaget, til deres kompetente myndigheder.

2.   En medlemsstats passageroplysningsenhed har ret til om nødvendigt at anmode en hvilken som helst anden medlemsstats passageroplysningsenhed om PNR-oplysninger, der opbevares i sidstnævntes database, og som endnu ikke er blevet anonymiseret ved hjælp af maskering af dataelementer, jf. artikel 12, stk. 2, og om nødvendigt også om resultatet af enhver behandling af disse oplysninger, hvis den allerede foreligger, jf. artikel 6, stk. 2, litra a). En sådan anmodning skal være behørigt begrundet. Den kan baseres på et dataelement eller en kombination af sådanne elementer afhængigt af, hvad den anmodende passageroplysningsenhed anser for nødvendigt med henblik på i en konkret sag at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet. Passageroplysningsenhederne fremlægger de oplysninger, der anmodes om, så hurtigt som praktisk muligt. I tilfælde af at de oplysninger, der anmodes om, er blevet anonymiseret ved hjælp af maskering af dataelementer, jf. artikel 12, stk. 2, fremlægger passageroplysningsenheden kun de fuldstændige PNR-oplysninger, hvis der er rimelig grund til at tro, at det er nødvendigt med henblik på det i artikel 6, stk. 2, litra b), omhandlede formål, og kun hvis den har fået tilladelse hertil af en i artikel 12, stk. 3, litra b), omhandlet kompetent myndighed.

3.   En medlemsstats kompetente myndigheder må kun direkte anmode en anden medlemsstats passageroplysningsenhed om PNR-oplysninger, der opbevares i sidstnævntes database, hvis det er nødvendigt i hastende tilfælde og på de betingelser, der er fastsat i stk. 2. De kompetente myndigheders anmodninger skal begrundes. En kopi af anmodningen skal altid sendes til den anmodende medlemsstats passageroplysningsenhed. I alle andre tilfælde lader de kompetente myndigheder deres anmodninger gå via deres egen medlemsstats passageroplysningsenhed.

4.   Når det er nødvendigt at få adgang til PNR-oplysninger for at reagere på en konkret og reel trussel i forbindelse med terrorhandlinger eller grov kriminalitet, har en medlemsstats passageroplysningsenhed undtagelsesvis ret til at anmode en anden medlemsstats passageroplysningsenhed om at indhente PNR-oplysninger i overensstemmelse med artikel 8, stk. 5, og fremlægge dem for den anmodende passageroplysningsenhed.

5.   Udveksling af oplysninger i medfør af denne artikel kan finde sted ved brug af alle eksisterende kanaler til brug for samarbejde mellem de kompetente myndigheder i medlemsstaterne. Det sprog, der anvendes i anmodningen eller ved udvekslingen af oplysninger, skal være det, der kræves i forbindelse med den anvendte kanal. Når medlemsstaterne giver Kommissionen meddelelse, jf. artikel 4, stk. 5, underretter de den også om de nærmere oplysninger vedrørende de kontaktpunkter, hvortil der kan sendes anmodninger i hastende tilfælde. Kommissionen underretter medlemsstaterne om sådanne nærmere oplysninger.

Artikel 10

Betingelser for Europols adgang til PNR-oplysninger

1.   Europol er inden for rammerne af sine kompetencer og med henblik på at udføre sine opgaver berettiget til at anmode om PNR-oplysninger eller resultatet af behandling af PNR-oplysninger fra medlemsstaters passageroplysningsenheder.

2.   Europol kan fra sag til sag fremsende en behørigt begrundet elektronisk anmodning til passageroplysningsenheden i enhver medlemsstat gennem den nationale Europolenhed om videregivelse af konkrete PNR-oplysninger eller resultatet af behandling af disse oplysninger. Europol kan fremsende en sådan anmodning, når det er strengt nødvendigt for at støtte og styrke medlemsstaternes tiltag med henblik på at forebygge, opdage eller efterforske en konkret terrorhandling eller grov kriminalitet, for så vidt den pågældende handling eller kriminalitet er omfattet af Europols kompetence i henhold til afgørelse 2009/371/RIA. Den nævnte anmodning skal indeholde rimelige grunde, på baggrund af hvilke Europol finder, at videregivelsen af PNR-oplysninger eller resultatet af behandling af PNR-oplysninger i væsentlig grad vil bidrage til at forebygge, opdage eller efterforske den pågældende strafbare handling.

3.   Europol underretter den databeskyttelsesansvarlige, som er udpeget i overensstemmelse med artikel 28 i afgørelse 2009/371/RIA, om alle udvekslinger af oplysninger i medfør af denne artikel.

4.   Udvekslingen af oplysninger i medfør af denne artikel finder sted ved brug af SIENA og i overensstemmelse med afgørelse 2009/371/RIA. Det sprog, der anvendes i anmodningen og ved udvekslingen af oplysninger, skal være det, der kræves i forbindelse med SIENA.

Artikel 11

Videregivelse af oplysninger til tredjelande

1.   En medlemsstat må kun videregive PNR-oplysninger og resultatet af behandling af sådanne oplysninger, der er lagret af passageroplysningsenheden i overensstemmelse med artikel 12, til et tredjeland fra sag til sag, og hvis:

a)

betingelserne i artikel 13 i rammeafgørelse 2008/977/RIA er opfyldt

b)

videregivelsen er nødvendig med henblik på de i artikel 1, stk. 2, omhandlede formål med dette direktiv

c)

tredjelandet accepterer kun at videregive oplysningerne til et andet tredjeland, hvis det er strengt nødvendigt med henblik på de i artikel 1, stk. 2, omhandlede formål med dette direktiv, og udelukkende med denne medlemsstats udtrykkelige samtykke, og

d)

de samme betingelser som dem, der er fastsat i artikel 9, stk. 2, er opfyldt.

2.   Uanset artikel 13, stk. 2, i rammeafgørelse 2008/977/RIA tillades videregivelse af PNR-oplysninger uden forudgående samtykke fra den medlemsstat, fra hvem oplysningerne blev indhentet, under ekstraordinære omstændigheder, og forudsat at:

a)

en sådan videregivelse er afgørende for at kunne reagere på en konkret og reel trussel i forbindelse med terrorhandlinger eller grov kriminalitet i en medlemsstat eller et tredjeland, og

b)

forudgående samtykke ikke kan indhentes i tide.

Den myndighed, der er ansvarlig for at give sit samtykke, underrettes hurtigst muligt, og videregivelsen registreres behørigt og underkastes eventuelt en efterfølgende kontrol.

3.   Medlemsstaterne må kun videregive PNR-oplysninger til kompetente myndigheder i tredjelande, hvis det sker på betingelser, der er forenelige med dette direktiv, og kun efter at have forvisset sig om, at modtagerne har til hensigt at anvende PNR-oplysningerne til formål, der er forenelige med disse betingelser og beskyttelsesforanstaltninger.

4.   Den databeskyttelsesansvarlige i passageroplysningsenheden i den medlemsstat, som har videregivet PNR-oplysningerne, underrettes hver gang medlemsstaten videregiver PNR-oplysninger i medfør af denne artikel.

Artikel 12

Dataopbevaringsperiode og anonymisering

1.   Medlemsstaterne sikrer, at PNR-oplysninger, som luftfartsselskaberne videregiver til passageroplysningsenheden, opbevares i en database hos passageroplysningsenheden i en periode på fem år efter videregivelsen til passageroplysningsenheden i den medlemsstat, på hvis område luftfartøjet lander eller afgår.

2.   Ved udløbet af den i stk. 1 omhandlede seksmånedersperiode fra videregivelsen af PNR-oplysningerne, anonymiseres alle PNR-oplysninger ved hjælp af maskering af følgende dataelementer, der kan tjene til direkte at identificere de passagerer, som PNR-oplysningerne vedrører:

a)

navn(e), herunder andre passagerers navne på passagerlisten og antal rejsende på passagerlisten, der rejser sammen

b)

adresse og kontaktoplysninger

c)

alle former for betalingsoplysninger, herunder faktureringsadresse, for så vidt de indeholder enhver form for oplysning, der kan tjene til direkte at identificere de passagerer, som passagerlisten vedrører, eller alle andre personer

d)

oplysninger om bonusprogrammer

e)

generelle bemærkninger, for så vidt de indeholder enhver form for oplysning, der kan tjene til direkte at identificere de passagerer, som passagerlisten vedrører, og

f)

eventuelle API-oplysninger, der er blevet indsamlet.

3.   Ved udløbet af den i stk. 2 omhandlede seksmånedersperiode må videregivelse af de fuldstændige PNR-oplysninger kun tillades, når det er:

a)

antaget med rimelig grund, at det er nødvendigt med henblik på de i artikel 6, stk. 2, litra b), omhandlede formål, og

b)

godkendt af:

i)

en judiciel myndighed, eller

ii)

en anden national myndighed, der i henhold til national ret er kompetent til at kontrollere, om betingelserne for videregivelse er opfyldt, på betingelse af at passageroplysningsenhedens databeskyttelsesansvarlige underrettes, og at denne databeskyttelsesansvarlige foretager en efterfølgende kontrol.

4.   Medlemsstaterne sikrer, at PNR-oplysningerne slettes permanent efter udløbet af den i stk. 1 omhandlede periode. Denne forpligtelse berører ikke tilfælde, hvor der er videregivet konkrete PNR-oplysninger til en kompetent myndighed, og de anvendes i forbindelse med en konkret sag med henblik på at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet, i hvilket tilfælde de kompetente myndigheders opbevaring af sådanne oplysninger reguleres af national ret.

5.   Passageroplysningsenheden opbevarer kun det i artikel 6, stk. 2, litra a), omhandlede resultat af behandlingen, så længe det er nødvendigt for at underrette de kompetente myndigheder og, jf. artikel 9, stk. 1, andre medlemsstaters passageroplysningsenheder om et hit. Hvis resultatet af automatisk behandling efter en individuel og manuel gennemgang, jf. artikel 6, stk. 5, har vist sig ikke at give noget hit, kan det dog lagres for at undgå fremtidige »falske« hit, så længe de bagvedliggende oplysninger ikke er slettet i medfør af denne artikels stk. 4.

Artikel 13

Beskyttelse af personoplysninger

1.   Hvad angår al behandling af personoplysninger i medfør af dette direktiv sørger hver medlemsstat for, at alle passagerer har den samme ret til beskyttelse af deres personoplysninger, ret til indsigt, berigtigelse, sletning og begrænsning samt ret til erstatning og klageadgang som fastsat i EU-retten og national ret samt i forbindelse med gennemførelsen af artikel 17, 18, 19 og 20 i rammeafgørelse 2008/977/RIA. De nævnte artikler finder derfor anvendelse.

2.   Hver medlemsstat sørger for, at de bestemmelser i national ret, der er vedtaget med henblik på gennemførelsen af artikel 21 og 22 i rammeafgørelse 2008/977/RIA, om fortrolighed i forbindelse med databehandling og datasikkerhed også finder anvendelse på al behandling af personoplysninger i medfør af dette direktiv.

3.   Dette direktiv berører ikke anvendelsen af Europa-Parlamentets og Rådets direktiv 95/46/EF (13) med hensyn til luftfartsselskabers behandling af personoplysninger, navnlig deres pligt til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningers sikkerhed og fortrolighed.

4.   Medlemsstaterne forbyder behandling af PNR-oplysninger, der angiver en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuelle orientering. Såfremt passageroplysningsenheden modtager PNR-oplysninger, der indeholder oplysninger herom, skal de straks slettes.

5.   Medlemsstaterne sikrer, at passageroplysningsenhederne opbevarer dokumentation vedrørende alle behandlingssystemer og -procedurer, der anvendes under deres ansvar. Denne dokumentation skal mindst omfatte:

a)

navn og kontaktoplysninger på organisationen og personalet i den passageroplysningsenhed, som behandler PNR-oplysningerne, og de forskellige niveauer af adgangstilladelse

b)

anmodningerne indgivet af kompetente myndigheder og andre medlemsstaters passageroplysningsenheder

c)

alle anmodninger om og videregivelser af PNR-oplysninger til et tredjeland.

Passageroplysningsenheden stiller efter anmodning al dokumentation til rådighed for den nationale tilsynsmyndighed.

6.   Medlemsstaterne sikrer, at passageroplysningsenheden som minimum registrerer følgende behandlingsaktiviteter: indsamling, søgning, videregivelse og sletning. Ved registrering af søgning og videregivelse skal navnlig formålet med samt datoen og tidspunktet for sådanne aktiviteter og i videst muligt omfang identiteten af den person, som har søgt eller videregivet PNR-oplysninger, samt identiteten af modtagerne af disse oplysninger, fremgå af registreringen. Registreringerne må udelukkende anvendes til kontrol og egenkontrol, til at sikre dataintegriteten og datasikkerheden samt til revision. Passageroplysningsenheden stiller efter anmodning registrene til rådighed for den nationale tilsynsmyndighed.

Disse registreringer opbevares i en periode på fem år.

7.   Medlemsstaterne sikrer, at deres passageroplysningsenhed gennemfører passende tekniske og organisatoriske foranstaltninger og procedurer for at sikre et højt sikkerhedsniveau i forhold til de risici, som behandlingen og arten af PNR-oplysningerne indebærer.

8.   Medlemsstaterne sikrer, at hvis et brud på persondatasikkerheden kan forventes at medføre en høj risiko, for så vidt angår beskyttelsen af personoplysninger, eller negativt påvirke privatlivets fred for den registrerede, underretter passageroplysningsenheden den registrerede og den nationale tilsynsmyndighed om dette brud uden unødigt ophold.

Artikel 14

Sanktioner

Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale regler, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres.

Medlemsstaterne fastsætter navnlig regler om sanktioner, herunder bødestraf, over for luftfartsselskaber, som ikke videregiver oplysninger som omhandlet i artikel 8 eller ikke gør det i det krævede format.

Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Artikel 15

National tilsynsmyndighed

1.   Hver medlemsstat sørger for, at den nationale tilsynsmyndighed, der er omhandlet i artikel 25 i rammeafgørelse 2008/977/RIA, gøres ansvarlig for at rådgive om og føre tilsyn med anvendelsen på dens område af de bestemmelser, som medlemsstaterne har vedtaget i medfør af dette direktiv. Artikel 25 i rammeafgørelse 2008/977/RIA finder anvendelse.

2.   Disse nationale tilsynsmyndigheder udfører deres aktiviteter, jf. stk. 1, med henblik på at beskytte grundlæggende rettigheder i forbindelse med behandlingen af personoplysninger.

3.   Hver national tilsynsmyndighed:

a)

behandler klager, der indgives af registrerede, undersøger sagen og underretter de registrerede om forløbet og resultatet af deres klager inden for en rimelig frist

b)

kontrollerer lovligheden af databehandlingen, gennemfører undersøgelser, inspektioner og revisioner i overensstemmelse med national ret enten af egen drift eller på grundlag af en i litra a) omhandlet klage.

4.   Hver nationale tilsynsmyndighed rådgiver efter anmodning alle registrerede om udøvelsen af de rettigheder, som fastsættes i bestemmelser, der vedtages i medfør af dette direktiv.

KAPITEL III

Gennemførelsesforanstaltninger

Artikel 16

Fælles protokoller og understøttede dataformater

1.   Luftfartsselskabernes videregivelse af PNR-oplysninger til passageroplysningsenheder med henblik på dette direktiv skal foregå ved brug af elektroniske midler, som giver tilstrækkelige garantier med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der regulerer den behandling, der skal udføres. I tilfælde af et teknisk problem kan PNR-oplysninger videregives ved brug af et hvilket som helst andet hensigtsmæssigt middel, forudsat at det samme sikkerhedsniveau opretholdes og EU-retten vedrørende databeskyttelse fuldt ud overholdes.

2.   Fra ét år efter den dato, hvor Kommissionen første gang vedtager fælles protokoller og understøttede dataformater i overensstemmelse med stk. 3, skal al videregivelse af PNR-oplysninger fra luftfartsselskaberne til passageroplysningsenhederne med henblik på dette direktiv foregå elektronisk ved brug af sikre metoder, der er i overensstemmelse med disse fælles protokoller. Sådanne protokoller skal være fælles for alle videregivelser for at sikre sikkerheden for PNR-oplysningerne under videregivelsen. PNR-oplysningerne skal videregives i et understøttet dataformat for at sikre, at alle involverede parter kan læse dem. Alle luftfartsselskaber er forpligtede til at vælge og over for passageroplysningsenheden identificere den fælles protokol og det fælles dataformat, som de har til hensigt at anvende til deres videregivelser.

3.   Der udarbejdes en liste over fælles protokoller og understøttede dataformater, som om nødvendigt tilpasses af Kommissionen ved hjælp af gennemførelsesretsakter. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 17, stk. 2.

4.   Stk. 1 anvendes, så længe de fælles protokoller og understøttede dataformater, jf. stk. 2 og 3, ikke foreligger.

5.   Inden et år efter datoen for vedtagelsen af de i stk. 2 omhandlede fælles protokoller og understøttede dataformater sikrer hver medlemsstat, at de nødvendige tekniske foranstaltninger træffes, så disse fælles protokoller og dataformater kan anvendes.

Artikel 17

Udvalgsprocedure

1.   Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2.   Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.

Afgiver udvalget ikke nogen udtalelse, vedtager Kommissionen ikke udkastet til gennemførelsesretsakt, og artikel 5, stk. 4, tredje afsnit, i forordning (EU) nr. 182/2011 finder anvendelse.

KAPITEL IV

Afsluttende bestemmelser

Artikel 18

Gennemførelse

1.   Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest den 25. maj 2018. De underretter straks Kommissionen herom.

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for henvisningen.

2.   Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 19

Revision

1.   På grundlag af de oplysninger, som medlemsstaterne fremlægger, herunder de i artikel 20, stk. 2, omhandlede statistiske oplysninger, foretager Kommissionen senest den 25. maj 2020 en revision af alle elementerne af dette direktiv og forelægger og præsenterer en rapport for Europa-Parlamentet og for Rådet.

2.   I sin revision skal Kommissionen have særlig fokus på:

a)

overholdelse af de gældende standarder for beskyttelse af personoplysninger

b)

nødvendigheden og proportionaliteten af at indsamle og behandle PNR-oplysninger for hvert af de mål, der er fastsat i dette direktiv

c)

længden af dataopbevaringsperioden

d)

effektiviteten af udveksling af oplysninger mellem medlemsstaterne, og

e)

kvaliteten af vurderingerne, herunder med hensyn til de statistiske oplysninger, der indsamles i medfør af artikel 20.

3.   Den i stk. 1 omhandlede rapport skal også indeholde en revision af nødvendigheden, proportionaliteten og effektiviteten af at inkludere den obligatoriske indsamling og videregivelse af PNR-oplysninger vedrørende alle eller udvalgte flyvninger inden for EU inden for dette direktivs anvendelsesområde. Kommissionen tager hensyn til erfaringerne i medlemsstaterne, særlig de medlemsstater, der anvender dette direktiv på flyvninger inden for EU i overensstemmelse med artikel 2. I rapporten behandles også nødvendigheden af at inkludere erhvervsdrivende, der ikke er luftfartsselskaber, f.eks. rejsebureauer og rejsearrangører, der leverer rejserelaterede tjenester, herunder reservation af flyvninger, inden for dette direktivs anvendelsesområde.

4.   I lyset af den revision, der er gennemført i medfør af denne artikel, forelægger Kommissionen, hvis det er relevant, Europa-Parlamentet og Rådet et forslag til en lovgivningsmæssig retsakt med henblik på ændring af dette direktiv.

Artikel 20

Statistiske oplysninger

1.   Medlemsstaterne forelægger årligt Kommissionen et sæt statistiske data om de PNR-oplysninger, der er sendt til passageroplysningsenhederne. Disse statistikker må ikke indeholde nogen personoplysninger.

2.   Statistikkerne skal som minimum indeholde:

a)

det samlede antal passagerer, hvis PNR-oplysninger er blevet indsamlet og udvekslet

b)

antallet af passagerer, der er udpeget til yderligere undersøgelse.

Artikel 21

Forhold til andre instrumenter

1.   Medlemsstaterne kan fortsat anvende bilaterale og multilaterale aftaler eller indbyrdes ordninger om udveksling af oplysninger mellem kompetente myndigheder, der er gældende den 24. maj 2016, for så vidt disse aftaler eller ordninger er forenelige med direktivet.

2.   Dette direktiv berører ikke anvendelsen af direktiv 95/46/EF, for så vidt angår luftfartsselskabers behandling af personoplysninger.

3.   Dette direktiv berører ikke medlemsstaternes eller Unionens forpligtelser og tilsagn i henhold til bilaterale eller multilaterale aftaler med tredjelande.

Artikel 22

Ikrafttræden

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Dette direktiv er rettet til medlemsstaterne i overensstemmelse med traktaterne.

Udfærdiget i Bruxelles, den 27. april 2016.

På Europa-Parlamentets vegne

M. SCHULZ

Formand

På Rådets vegne

J.A. HENNIS-PLASSCHAERT

Formand


(1)  EUT C 218 af 23.7.2011, s. 107.

(2)  Europa-Parlamentets holdning af 14.4.2016 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 21.4.2016.

(3)  EUT C 115 af 4.5.2010, s. 1.

(4)  Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (EUT L 261 af 6.8.2004, s. 24).

(5)  Rådets rammeafgørelse 2002/475/RIA af 13. juni 2002 om bekæmpelse af terrorisme (EFT L 164 af 22.6.2002, s. 3).

(6)  Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).

(7)  Rådets afgørelse 2009/371/RIA af 6. april 2009 om oprettelse af Den Europæiske Politienhed (Europol) (EUT L 121 af 15.5.2009, s. 37).

(8)  Rådets rammeafgørelse 2006/960/RIA af 18. december 2006 om forenkling af udvekslingen af oplysninger og efterretninger mellem medlemsstaternes retshåndhævende myndigheder (EUT L 386 af 29.12.2006, s. 89).

(9)  Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT L 350 af 30.12.2008, s. 60).

(10)  Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).

(11)  Europa-Parlamentets og Rådets direktiv 2004/38/EF af 29. april 2004 om unionsborgeres og deres familiemedlemmers ret til at færdes og opholde sig frit på medlemsstaternes område, om ændring af forordning (EØF) nr. 1612/68 og om ophævelse af direktiv 64/221/EØF, 68/360/EØF, 72/194/EØF, 73/148/EØF, 75/34/EØF, 75/35/EØF, 90/364/EØF, 90/365/EØF og 93/96/EØF (EUT L 158 af 30.4.2004, s. 77).

(12)  Europa-Parlamentets og Rådets forordning (EF) nr. 562/2006 af 15. marts 2006 om indførelse af en fællesskabskodeks for personers grænsepassage (Schengen-grænsekodeks) (EUT L 105 af 13.4.2006, s. 1).

(13)  Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).


BILAG I

Passagerlisteoplysninger indsamlet af luftfartsselskaber

1.

PNR-nummer

2.

Dato for reservation/udstedelse af billet

3.

Planlagt(e) rejsedato(er)

4.

Navn(e)

5.

Adresse og kontaktoplysninger (telefonnummer, e-mailadresse)

6.

Alle former for oplysninger om betalingsformer, herunder faktureringsadresse

7.

Fuldstændig rejseplan for en konkret passagerliste

8.

Oplysninger om bonusprogrammer

9.

Rejsebureau/rejseagent

10.

Rejsestatus for passagerer, herunder bekræftelser, indtjekningsstatus, oplysninger om »no-show« og »go-show«

11.

Opsplittede/opdelte PNR-oplysninger

12.

Generelle bemærkninger (herunder alle tilgængelige oplysninger om uledsagede mindreårige under 18 år, såsom den mindreåriges navn og køn, alder og talt(e) sprog, navnet på og kontaktoplysninger for den ansvarlige person ved afrejsen og dennes forhold til den mindreårige, navnet på og kontaktoplysninger for den ansvarlige person ved ankomsten og dennes forhold til barnet, lufthavnsmedarbejder ved afgang og ankomst)

13.

Oplysninger i billetrubrikken, herunder billetnummer, dato for udstedelse af billetten og enkeltbilletter, automatisk billetprisangivelse (»automated ticket fare quote«)

14.

Pladsnummer og andre pladsoplysninger

15.

Oplysninger om fælles rutenummer (»code sharing«)

16.

Alle bagageoplysninger

17.

Antal medrejsende og disses navne på passagerlisten

18.

Eventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger) (herunder typen, nummeret, udstedelseslandet og udløbsdatoen for ethvert identitetsdokument, nationalitet, efternavn, fornavn, køn, fødselsdato, luftfartsselskab, rutenummer, afgangsdato, ankomstdato, afgangslufthavn, ankomstlufthavn, afgangstidspunkt og ankomsttidspunkt)

19.

Alle historiske ændringer af passagerlisten vedrørende punkt 1-18.


BILAG II

Liste over overtrædelser, jf. artikel 3, nr. 9)

1.

Deltagelse i en kriminel organisation

2.

Menneskehandel

3.

Seksuel udnyttelse af børn og børnepornografi

4.

Ulovlig handel med narkotika og psykotrope stoffer

5.

Ulovlig handel med våben, ammunition og sprængstoffer

6.

Bestikkelse

7.

Svig, herunder rettet mod Unionens finansielle interesser

8.

Hvidvaskning af udbyttet fra strafbart forhold og falskmøntneri, herunder forfalskning af euroen

9.

IT-kriminalitet/cyberkriminalitet

10.

Miljøkriminalitet, herunder ulovlig handel med truede dyrearter og ulovlig handel med truede plantearter og træsorter

11.

Menneskesmugling

12.

Forsætlig manddrab, grov legemsbeskadigelse

13.

Ulovlig handel med menneskeorganer og -væv

14.

Bortførelse, frihedsberøvelse og gidseltagning

15.

Organiseret eller væbnet røveri

16.

Ulovlig handel med kulturgoder, herunder antikviteter og kunstgenstande

17.

Efterligninger og fremstilling af piratudgaver af produkter

18.

Forfalskning af officielle dokumenter og ulovlig handel med falske dokumenter

19.

Ulovlig handel med hormonpræparater og andre vækstfremmende stoffer

20.

Ulovlig handel med nukleare eller radioaktive materialer

21.

Voldtægt

22.

Strafbare handlinger omfattet af Den Internationale Straffedomstols straffemyndighed

23.

Skibs- eller flykapring

24.

Sabotage

25.

Handel med stjålne motorkøretøjer

26.

Industrispionage.


Top