52011PC0032

/* KOM/2011/0032 endelig udg.- COD 2011/0023 */ Forslag til EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV om anvendelse af passagerlisteoplysninger til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet


[pic] | EUROPA-KOMMISSIONEN |

Bruxelles, den 2.2.2011

KOM(2011) 32 endelig

2011/0023 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om anvendelse af passagerlisteoplysninger til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet

{SEK(2011) 132 endelig}{SEK(2011) 133 endelig}

BEGRUNDELSE

1. Baggrund for forslaget

- Begrundelse og formål

I de seneste ti år har EU og andre dele af verden oplevet en stigning i den grove og organiserede kriminalitet såsom menneskehandel[1] og handel med narkotika[2]. Ifølge "Sourcebook of Crime and Criminal Justice Statistics" blev der i 2007 begået ca. 14 000 straffeovertrædelser pr. 100 000 indbyggere i EU-medlemsstaterne (eksklusive Italien og Portugal, som der ikke foreligger data for), som gik fra 14 465 overtrædelser i Sverige til 958 i Cypern. I Europols trusselsvurdering af organiseret kriminalitet 2009 (OCTA 2009) påpeges det, at det meste af den organiserede kriminalitet indebærer international rejseaktivitet, typisk med henblik på at smugle personer, narkotika eller andre ulovlige varer ind i EU.

Samtidig findes der terrorister og terrororganisationer både inden for og uden for EU's grænser. Terrorangrebet i USA i 2001, det mislykkede terrorangreb i august 2006 med henblik på at sprænge en række fly på vej fra Det Forenede Kongerige til USA i luften og terrorforsøget om bord på et fly fra Amsterdam til Detroit i december 2009 viste, at terroristerne er i stand til at gå til angreb under internationale flyvninger i et hvilket som helst land. Selv om terrorismen i EU faldt i 2009, er terrortruslen ifølge Europols rapport fra 2010 om situationen og tendenserne med hensyn til terrorisme (EU Terrorism Situation and Trend Report 2010) forsat reel og alvorlig. De fleste terroraktiviteter rækker ud over landegrænserne og indebærer international rejseaktivitet[3], bl.a. til træningslejre uden for EU, hvilket kræver et øget samarbejde mellem de retshåndhævende myndigheder.

Grov kriminalitet og terrorhandlinger påfører mennesker alvorlig skade, medfører økonomiske skader i stort omfang og undergraver følelsen af sikkerhed, uden hvilken personer ikke kan udøve deres ret til frihed og deres individuelle friheder effektivt.

I en undersøgelse fra 2009[4] fra Den Internationale Arbejdsorganisation skønnedes det, at omkostningerne ved tvang i form af det løntab, ofre for menneskehandel lider som følge af underbetaling ved tvangsarbejde i 2007 beløb sig til 2 508 368 218 USD i de industrialiserede lande, mens omkostningerne på verdensplan var på 19 598 020 343 USD.

I årsrapporten fra 2010 om situationen med hensyn til narkotikaproblemet i Europa, som Det Europæiske Overvågningscenter for Narkotika og Narkotikamisbrug har udsendt, påpeges det, at narkotikaproblemet og de voksende og alvorlige skader, det medfører, er et globalt problem. Ved at underminere samfundsudviklingen og sætte gang i korruptionen og den organiserede kriminalitet udgør det en reel trussel mod Den Europæiske Union. Hvert år dør ca. 1 000 mennesker i EU som følge af kokainrelateret misbrug. Et forsigtigt skøn over antallet af opiatmisbrugere i Europa er, at det ligger på 1,35 millioner. Hvad angår de økonomiske og samfundsmæssige følger af narkotikamisbrug, rapporterede 22 EU-medlemsstater i 2008, at de samlede omkostninger i forbindelse med ulovlige narkotika beløb sig til 4,2 mia. EUR.

I en anden undersøgelse fra det britiske indenrigsministerium[5] blev omkostningerne ved kriminalpræventive tiltag såsom udgifter til forebyggende foranstaltninger, omkostningerne som følge af kriminalitet såsom de fysiske og emotionelle følger for ofrene og værdien af stjålet ejendom samt omkostninger til bekæmpelse af kriminalitet, herunder til det strafferetlige system, målt. De beløb sig i 2003 til 36 166 000 000 GBP.

Fire ud af fem europæere ønsker imidlertid, at der på EU-plan gøres en øget indsats mod organiseret kriminalitet og terrorisme[6].

Som reaktion på den trussel, som grov kriminalitet og terrorisme udgør, og afskaffelsen af kontrollen ved de indre grænser i medfør af Schengenkonventionen vedtog EU en række foranstaltninger for indsamling og udveksling af personoplysninger mellem retshåndhævende myndigheder og andre myndigheder. Selv om disse foranstaltninger har vist sig at være nyttige, er der tendens til, at de fokuserer på personer, der allerede er under mistanke, dvs. personer, som de retshåndhævende myndigheder allerede "kender". Schengeninformationssystemet (SIS)[7], anden generation af Schengeninformationssystemet (SIS II)[8], visuminformationssystemet (VIS)[9] og det forventede ind- og udrejsesystem er eksempler på sådanne foranstaltninger.

Kommissionen fremlagde i sin oversigt over informationsstyring på området frihed, sikkerhed og retfærdighed[10] en analyse af disse foranstaltninger og gjorde opmærksom på behovet for et øget samarbejde mellem de retshåndhævende myndigheder, hvad angår passagerer på internationale flyvninger til og fra medlemsstaterne, herunder en mere systematisk anvendelse af PNR-oplysninger (Passenger Name Record) vedrørende disse passagerer med henblik på retshåndhævelse. I "Stockholmprogrammet - et åbent og sikkert Europa i borgernes tjeneste og til deres beskyttelse"[11] opfordres Kommissionen desuden til at fremsætte forslag om anvendelse af PNR-oplysninger med henblik på forebyggelse, afsløring, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet.

PNR-oplysninger er uverificerede oplysninger, som passagererne fremlægger, og som indsamles via og opbevares i flyselskabernes reservations- og afgangskontrolsystemer til deres egen forretningsmæssige brug. De omfatter forskellige typer oplysninger såsom rejsedatoer, rejserute, billetoplysninger, kontaktoplysninger, det rejsebureau, hvor pladsen i flyet blev reserveret, anvendte betalingsmidler, sædenummer og bagageoplysninger.

De retshåndhævende myndigheder kan anvende PNR-oplysninger på flere måder:

Reaktivt: anvendelse i forbindelse med efterforskning, retsforfølgning og optrævling af netværker, efter at der er begået en forbrydelse. For at give de retshåndhævende myndigheder mulighed for at gå tilstrækkelig langt tilbage tidsmæssigt, er det nødvendigt, at de kan opbevare oplysningerne i et rimeligt tidsrum.

Realtid: anvendelse forud for passagerernes ankomst eller afrejse for at forhindre en forbrydelse, overvåge eller arrestere en person, inden der begås en forbrydelse, eller fordi der er begået eller er ved at blive begået en forbrydelse. I sådanne tilfælde er PNR-oplysningerne nødvendige til samkøring med forud fastsatte vurderingskriterier for at identificere tidligere "ukendte" personer under mistanke og til samkøring med data i forskellige databaser over eftersøgte personer eller genstande.

Proaktivt: anvendelse af data til analyse og udformning af vurderingskriterier, der derefter kan anvendes til at foretage en vurdering af passagerer forud for deres ankomst eller afrejse. For at kunne foretage en sådan analyse af oplysningernes relevans for forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af terrorhandlinger og grov kriminalitet, er det nødvendigt, at de retshåndhævende myndigheder kan opbevare oplysningerne i et rimeligt tidsrum.

En mere systematisk indsamling, anvendelse og opbevaring af PNR-oplysninger vedrørende internationale flyvninger, som er omfattet af strenge databeskyttelsesgarantier, vil styrke forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af terrorhandlinger og grov kriminalitet og er som forklaret nedenfor nødvendig for at imødegå disse trusler mod sikkerheden og mindske de skader, terrorhandlinger og grov kriminalitet forårsager.

Brugen af PNR-oplysninger er på nuværende tidspunkt imidlertid ikke reguleret på EU-plan. Selv om det på medlemsstatsplan kun er et begrænset antal medlemsstater, der hidtil har oprettet et PNR-system, anvender de fleste af dem PNR-oplysninger til på ikke-systematisk vis eller inden for rammerne af generelle beføjelser, de har givet til politiet eller andre myndigheder at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. I EU har Det Forenede Kongerige allerede et PNR-system, mens Frankrig, Danmark, Belgien, Sverige og Nederlandene enten har vedtaget relevant lovgivning vedrørende et sådant eller på nuværende tidspunkt er ved at teste anvendelsen af PNR-oplysninger. Flere andre medlemsstater overvejer at oprette PNR-systemer. Disse nationale foranstaltninger er i flere henseender forskellige, herunder systemets formål, det tidsrum, hvori oplysningerne opbevares, systemets struktur, det geografiske anvendelsesområde og de typer transportmidler, der er omfattet. Det er også meget sandsynligt, at der, når den komplette lovramme for anvendelsen af PNR-oplysninger i de medlemsstater er vedtaget, vil være divergerende regler for databeskyttelse og for foranstaltninger til sikring af sikkerheden i forbindelse med videregivelse af oplysninger. Som følge heraf kan der skabes op til 27 ret divergerende systemer. Det vil medføre et ujævnt beskyttelsesniveau for personoplysninger i EU, huller i sikkerheden, øgede omkostninger og manglende retssikkerhed for både luftfartsselskaber og passagerer.

Forslaget sigter derfor mod at harmonisere medlemsstaternes bestemmelser vedrørende de forpligtelser, der påhviler luftfartsselskaber, der flyver mellem et tredjeland og mindst én medlemsstat, for så vidt angår videregivelse af PNR-oplysninger til de kompetente myndigheder med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. Det bør ikke kræve, at luftfartsselskaberne skal indsamle yderligere oplysninger fra passagererne eller bevare oplysninger, eller at passagererne skal fremlægge yderligere oplysninger end dem, som luftfartsselskaberne allerede modtager.

Det er nødvendigt at pålægge luftfartsselskaber disse retlige forpligtelser af følgende årsager.

For det første sætter PNR-oplysninger de retshåndhævende myndigheder i stand til at identificere personer, der er "ukendt" fra tidligere, dvs. personer, der ikke tidligere er blevet mistænkt for at være involveret i grov kriminalitet og terrorisme, men hvor en analyse af oplysninger giver mistanke om, at de er involveret i denne type kriminalitet, hvorfor de kompetente myndigheder bør se nærmere på dem. Identificering af sådanne personer hjælper de retshåndhævende myndigheder til at forebygge og opdage grov kriminalitet, herunder terrorhandlinger. For at nå det mål er de retshåndhævende myndigheder nødt til at anvende PNR-oplysninger såvel i realtid til at samkøre dem med forud fastsatte vurderingskriterier for at finde ud af, hvilke tidligere "ukendte" personer det er nødvendigt at se nærmere på, som til proaktivt at foretage analyser og fastsætte vurderingskriterier.

En analyse af PNR-oplysninger kan f.eks. give et hint om, hvilke rejseruter der almindeligvis anvendes til menneske- eller narkotikahandel, og dette kan indgå som en del af vurderingskriterierne. Ved at samkøre PNR-oplysninger i realtid med sådanne kriterier kan kriminalitet forebygges eller opdages. Et konkret eksempel herpå er en sag i en medlemsstat, hvor en analyse af PNR-oplysninger afslørede en gruppe menneskesmuglerne, der altid rejste ad samme rute. De brugte falske dokumenter til at checke ind på et internt fly og autentiske papirer til samtidigt at checke ind på et andet fly med kurs mod et tredjeland. Når de var nået til lufthavnsloungen, gik de om bord i det fly, der fløj internt i EU. Uden PNR-oplysningerne ville det have været umuligt at optrevle dette netværk af menneskesmuglere.

En kombineret proaktiv anvendelse af PNR-oplysninger i realtid sætter således de retshåndhævende myndigheder i stand til at tackle den trussel, som grov kriminalitet og terrorisme udgør, ud fra et andet perspektiv end ved at behandle andre kategorier af personoplysninger. Som forklaret ovenfor sætter behandlingen af de personoplysninger, som de retshåndhævende myndigheder råder over takket været eksisterende eller planlagte foranstaltninger på EU-plan såsom direktivet om API-oplysninger[12], Schengeninformationssystemet (SIS) og anden generation af Schengeninformationssystemet (SIS II), ikke de retshåndhævende myndigheder i stand til at identificere mistænkte personer, man ikke kender fra tidligere, på samme måde, som en analyse af PNR-oplysninger gør.

For det andet hjælper PNR-oplysninger de retshåndhævende myndigheder med at forebygge, opdage, efterforske og retsforfølge grov kriminalitet, herunder terrorhandlinger, efter at der er begået en forbrydelse. For at nå det mål er de retshåndhævende myndigheder nødt til at anvende PNR-oplysninger i realtid til at samkøre dem med oplysninger i forskellige databaser over "allerede kendte" personer og eftersøgte genstande. De har også brug for PNR-oplysningerne til på reaktiv vis at sammenstykke bevismateriale og når det er relevant, at finde kriminelles medsammensvorne og optrævle kriminelle netværker.

Kreditkortoplysninger f.eks., som er en del af PNR-oplysningerne, kan gøre det muligt for de retshåndhævende myndigheder at indkredse og bevise, at der er en forbindelse mellem en person og en allerede kendt kriminel person eller kriminel organisation. Et af de eksempler, en af medlemsstaterne har givet, vedrører omfattende menneske- og narkotikahandel, der involverer en medlemsstat og tredjelande. Der var tale om karteller, som importerede narkotika til forskellige destinationer i Europa. De anvendte bodypackere, som selv var ofre for menneskehandel. De blev identificeret ved hjælp af PNR-oplysninger, fordi de havde købt billetten med stjålne kreditkort. Det førte til arrestationer i medlemsstaten. På grundlag heraf blev der fastsat et vurderingskriterie, som i sig selv førte til flere andre arrestationer i andre medlemsstater og tredjelande.

Endelig gør anvendelsen af PNR-oplysninger forud for en passagers ankomst det muligt for de retshåndhævende myndigheder at foretage en vurdering og en nærmere kontrol udelukkende af de personer, som det på grundlag af objektive vurderingskriterier og tidligere erfaringer er mest sandsynligt udgør en trussel mod sikkerheden. Det gør det lettere for alle andre passagerer at rejse og mindsker risikoen for, at passagerer ved indrejse i EU kontrolleres på grundlag af ulovlige kriterier såsom nationalitet eller hudfarve, som de retshåndhævende myndigheder, herunder toldmyndighederne og grænsevagter, på fejlagtig vis kan associere med sikkerhedsrisici.

De foreslåede foranstaltninger medfører, at de retshåndhævende myndigheder indsamler og behandler PNR-oplysninger, og har derfor indflydelse på retten til privatlivets fred og databeskyttelse. For yderligere at sikre, at proportionalitetsprincippet respekteres, er forslaget derfor som forklaret nedenfor omhyggeligt begrænset, hvad angår dets anvendelsesområde, og det indeholder strenge databeskyttelsesgarantier.

At det er nødvendigt at anvende PNR-oplysninger i begrænset omfang og under overholdelse af strenge databeskyttelsesgarantier understøttes af en række faktuelle forhold, således som det fremgår af den konsekvensanalyse, der ledsager dette forslag. Da der ikke findes harmoniserede bestemmelser om indsamling og behandling af PNR-oplysninger på EU-niveau, foreligger der ikke detaljerede statistiske data over, i hvilket omfang sådanne oplysninger hjælper med til at forebygge, opdage, efterforske og retsforfølge grov kriminalitet og terrorisme. Behovet for at bruge PNR-oplysninger i denne forbindelse bekræftes imidlertid af oplysninger fra tredjelande og medlemsstater, der allerede anvender PNR-oplysninger til retshåndhævelse.

Disse landes erfaringer viser, at anvendelsen af PNR-oplysninger i betydelig grad har medført, at der er gjort betydelige fremskridt i bekæmpelsen af navnlig narkotika, menneskehandel og terrorisme, og det har givet en bedre forståelse af, hvordan terrornetværker og andre kriminelle netværker er opbygget og fungerer. Hvad angår narkotika, har medlemsstaterne anført, at de fleste beslaglæggelser sker takket være anvendelsen af PNR-oplysninger i realtid og proaktivt. Belgien rapporterede, at 95 % af alle beslaglæggelser af narkotika i 2009 udelukkende eller hovedsageligt var sket takket være behandlingen af PNR-oplysninger. Sverige rapporterede, at 65-75 % af alle beslaglæggelser af narkotika i 2009 udelukkende eller hovedsageligt var sket takket være behandlingen af PNR-oplysninger. Det udgjorde 278,9 kg kokain og supplerende mængder af heroin og andre stoffer. Det Forenede Kongerige rapporterede, at der inden for 6 måneder i 2010 blev beslaglagt 212 kg kokain og 20 kg heroin udelukkende eller hovedsageligt takket være behandlingen af PNR-oplysninger.

- Generel baggrund

Kommissionen vedtog den 6. november 2007 et forslag til Rådets rammeafgørelse om anvendelse af passagerlister (PNR-oplysninger) med henblik på retshåndhævelse[13] (herefter benævnt "forslaget fra 2007"). Forslaget blev drøftet tilbundsgående i Rådets arbejdsgrupper, og de fremskridt, der blev gjort under drøftelserne, blev godkendt på Rådets (retlige og indre anliggender) møder i januar, juli og november 2008. Drøftelserne af forslaget i arbejdsgrupperne gjorde det muligt at opnå konsensus om de fleste af forslagets bestemmelser[14].

Ved ikrafttrædelsen af traktaten om Den Europæiske Unions funktionsmåde (TEUF) den 1. december 2009 blev Kommissionens forslag, som Rådet endnu ikke havde vedtaget, forældet. Det nuværende forslag erstatter forslaget fra 2007 og er baseret på bestemmelserne i TEUF. Der tages heri hensyn til Europa-Parlamentets henstillinger i dets beslutning af november 2008[15], og de seneste drøftelser i Rådets arbejdsgrupper i 2009 afspejles heri. Der tages også hensyn til udtalelserne fra Den Europæiske Tilsynsførende for Databeskyttelse[16], Artikel 29-Gruppen om Databeskyttelse[17] og agenturet for grundlæggende rettigheder[18].

- Gældende bestemmelser på området

PNR-oplysninger er forskellige fra og bør ikke sammenblandes med API-oplysninger (Advanced Passenger Information – forhåndsoplysninger om passagerer). API-oplysninger er biografiske oplysninger, der stammer fra den maskinlæsbare del af passet og indeholder personens navn, fødested og nationalitet samt passets nummer og udløbsdato. De er således anderledes og har et mere begrænset anvendelsesområde end PNR-oplysninger.

I EU reguleres anvendelsen af API-oplysninger af direktivet om API-oplysninger[19]. Direktivet indeholder bestemmelser om, at API-oplysninger på den enkelte medlemsstats anmodning skal stilles til rådighed for grænsekontrolmyndigheder i forbindelse med fly, der flyver ind på EU's område for derved at forbedre grænsekontrollen og bekæmpe ulovlig indvandring. Selv om det ifølge direktivet er tilladt at anvende oplysningerne til retshåndhævelse, er det kun muligt, hvis specifikke kriterier er opfyldt. Selv om API-oplysninger i visse tilfælde anvendes af de retshåndhævende myndigheder til at identificere mistænkte eller eftersøgte personer, anvendes de således hovedsageligt som et redskab til at kontrollere en persons identitet og til grænseforvaltning. API-oplysninger sætter ikke de retshåndhævende myndigheder i stand til at foretage en vurdering af passagerer og er derfor ikke med til at gøre det lettere at finde frem til hidtil "ukendte" kriminelle eller terrorister.

Schengeninformationssystemet (SIS) har til formål at opretholde den offentlige sikkerhed, herunder den nationale sikkerhed, i Schengenområdet. SIS er et centraliseret informationssystem, der består af en national del i hver deltagende stat og en teknisk støttefunktion i Frankrig. Medlemsstaterne kan foretage indberetninger for personer, der begæres anholdt med henblik på udlevering, udlændinge, der nægtes indrejse, savnede personer, vidner eller andre indkaldte, personer og køretøjer, der er genstand for supplerende kontrol, forsvundne eller stjålne køretøjer, dokumenter og skydevåben samt mistænkelige pengesedler.

Visuminformationssystemet (VIS) tager sigte på at takle begge problemer: det har til formål at gennemføre en fælles visumpolitik ved at lette behandlingen af visumansøgninger og kontrollen ved de ydre grænser og samtidig bidrage til at forebygge trusler mod medlemsstaternes indre sikkerhed. Det er et centraliseret informationssystem, der omfatter en national del i hver deltagende stat og en teknisk støttefunktion i Frankrig. I VIS vil der blive brugt et biometrisk matchsystem til at sikre pålidelige fingeraftrykssammenligninger, og systemet vil desuden blive anvendt til at kontrollere visumindehaveres identitet ved EU's ydre grænser. Det vil omfatte oplysninger om visumansøgninger, fotografier, fingeraftryk, relevante afgørelser fra visummyndigheder og forbindelser mellem tilknyttede ansøgninger.

Som det er tilfældet med API-oplysninger anvendes SIS og VIS derfor hovedsageligt som et redskab til identitetskontrol og grænseforvaltning og er kun nyttige, hvis den mistænkes identitet kendes. Disse instrumenter er hverken nyttige til at foretage vurderinger af personer eller til at opdage "ukendte" kriminelle eller terrorister.

Der er i forbindelse med bekæmpelse af grov international kriminalitet og terrorisme indgået aftaler mellem EU og USA, Canada og Australien om ordninger for videregivelse af PNR-oplysninger, men kun i forbindelse med lufttransport. Ifølge disse kræves det af luftfartsselskaber, som indsamler PNR-oplysninger vedrørende deres passagerer til egen forretningsmæssig brug, at oplysningerne videregives til de kompetente myndigheder i USA, Canada og Australien. De tre aftaler skal genforhandles i løbet af 2011. Andre lande, navnlig Sydkorea og Japan, har også anmodet om, at der indledes forhandlinger om sådanne aftaler. Kommissionen skitserede i sin meddelelse af 21. september 2010 om den globale tilgang til overførsel af passageroplysninger (PNR) til tredjelande[20] nøgleelementerne i en EU-politik på dette område. Det nuværende forslag er fuldt ud kohærent med den strategi, der fastsættes i meddelelsen.

- Overensstemmelse med andre EU-politikker og -mål

Schengeninformationssystemet (SIS)[21], anden generation af Schengeninformationssystemet (SIS II)[22], visuminformationssystemet (VIS)[23] og det forventede ind- og udrejsesystem og programmet vedrørende personer med status som registreret rejsende er EU-foranstaltninger, der direkte vedrører den indsats, der fysisk gøres ved grænserne.

Selv om PNR-oplysninger er passageroplysninger, der er knyttet til rejser, anvendes de hovedsageligt som et redskab til kriminalefterretning snarere end et redskab til grænsekontrol. De anvendes forud for passage af en grænse og ikke ved passage af selve grænsen. Hovedformålet med PNR-oplysninger er at bekæmpe terrorisme og grov kriminalitet snarere end at bekæmpe ulovlig indvandring og lette grænsekontrollen.

Forslaget vil hverken ændre eller påvirke de nuværende EU-regler for, hvordan grænsekontrollen sker, eller EU-reglerne vedrørende indrejse på og udrejse fra Unionens område. Forslaget kommer snarere til at sameksistere med disse regler uden at påvirke dem.

- Konsekvenser for de grundlæggende rettigheder

Forslaget er fuldt ud i overensstemmelse med det overordnede mål om at indføre et EU-område med frihed, sikkerhed og retfærdighed. På grund af de foreslåede bestemmelsers art blev dette forslag gjort til genstand for en tilbundsgående undersøgelse for at sikre, at bestemmelserne heri var forenelige med de grundlæggende rettigheder og navnlig retten til beskyttelse af personoplysninger, der er fastsat i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder, således som det afspejles i konsekvensanalysen, der ledsager dette forslag. Forslaget er også i overensstemmelse med artikel 16 i TEUF, som garanterer, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv.

Forslaget er foreneligt med principperne om databeskyttelse og i overensstemmelse med Rådets rammeafgørelse 2008/977/RIA om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager[24] ("rammeafgørelse 2008/977/RIA"). Det indebærer at give enkeltpersoner ret til indsigt, ret til berigtigelse, sletning eller blokering samt kompensationsret og ret til klageadgang. For at sikre, at proportionalitetsprincippet overholdes, er der områder, hvor forslaget vil indeholde strengere regler for databeskyttelse end reglerne i rammeafgørelse 2008/977/RIA.

Forslagets anvendelsesområde er strengt begrænset, og de retshåndhævende myndigheder må udelukkende anvende PNR-oplysninger med henblik på at bekæmpe de på en udtømmende liste udspecificerede grove forbrydelser, som desuden skal medføre en fængselsstraf på mindst tre år i en medlemsstat. For at sikre, at behandlingen af oplysninger vedrørende uskyldige personer, der ikke er under mistanke, fortsat bliver så begrænset som muligt, blev visse aspekter af forslagets anvendelsesområde vedrørende fastsættelse og anvendelse af vurderingskriterier desuden yderligere begrænset til grove forbrydelser, som også er internationale, dvs. er uløseligt forbundet med rejseaktivitet og derfor med den type oplysninger, der behandles. Forslaget tillader, at PNR-oplysninger opbevares i op til højst 5 år, hvorefter oplysningerne skal slettes. Derudover skal oplysningerne anonymiseres efter et meget kort tidsrum på 30 dage, da det efter dette tidsrum er muligt at anvende anonymiserede PNR-oplysningerne proaktivt. Indsamlingen og anvendelsen af følsomme oplysninger, der direkte eller indirekte viser en persons racemæssige eller etniske oprindelse, religiøse eller filosofiske overbevisning, politiske meninger, medlemskab af en fagforening, eller som vedrører den pågældende persons sundhed eller seksualitet, er forbudt. Forslaget indeholder desuden bestemmelse om, at hvis en medlemsstat træffer en afgørelse, som har retligt negative følger for en person eller i alvorlig grad påvirker den pågældende, bør det ikke ske udelukkende på grundlag af en automatiseret behandling af PNR-oplysninger. Desuden bør en sådan afgørelse under ingen omstændigheder være baseret på en persons racemæssige eller etniske oprindelse, religiøse eller filosofiske overbevisning, politiske meninger, medlemskab af en fagforening eller den pågældendes sundhed eller seksualitet. Endvidere skal luftfartsselskaberne udelukkende videregive PNR-oplysninger ved hjælp af den såkaldte "push"-metode, hvilket betyder, at medlemsstaterne ikke har direkte adgang til luftfartsselskabernes it-systemer. PNR-oplysninger kan kun under meget begrænsede omstændigheder og kun i konkrete sager videregives af en medlemsstat til tredjelande. For at sikre effektiviteten og et højt beskyttelsesniveau kræves det, at medlemsstaterne sikrer, at en uafhængig national tilsynsmyndighed (databeskyttelsesmyndighed) er ansvarlig for at rådgive om og overvåge, hvordan PNR-oplysninger behandles. Det kræves også af medlemsstaterne, at de opretter en særlig enhed (passageroplysningsenhed), der er ansvarlig for behandlingen og beskyttelsen af oplysninger. Al behandling af PNR-oplysninger skal registreres eller dokumenteres af PNR-kontoret med henblik på kontrol af databehandlingens lovlighed og egenkontrol, og for at sikre dataenes integritet og sikkerhed. Medlemsstaterne skal desuden sikre, at passagererne er klart og præcist informeret om indsamlingen af PNR-oplysninger og deres rettigheder.

Foruden at være i overensstemmelse med gældende databeskyttelsesregler og –principper indeholder forslaget derfor en række garantier, der sikrer fuld overholdelse af proportionalitetsprincippet og garanterer et højt beskyttelsesniveau, hvad angår de grundlæggende rettigheder.

2. Høring af interesserede parter og konsekvensanalyse

- Høring af interesserede parter

Høringsmetoder, hovedmålgrupper og deltagernes generelle profil

Ved udarbejdelsen af forslaget fra 2007 hørte Kommissionen i december 2006 alle berørte parter ved brug af et spørgeskema. Spørgeskemaet blev sendt til alle medlemsstater, medlemsstaternes databeskyttelsesmyndigheder, Den Europæiske Tilsynsførende for Databeskyttelse, Sammenslutningen af Europæiske Luftfartsselskaber (AEA), Air Transport Association of America (ATA), Den Internationale Charterflysammenslutning (IACA), Den Europæiske Organisation for Regionale Luftfartsselskaber (ERA) og Den Internationale Luftfartssammenslutning (IATA). Svarene blev opsummeret i den konsekvensanalyse, der ledsagede forslaget fra 2007. Kommissionen inviterede efterfølgende medlemsstaterne til et møde, hvorunder medlemsstaternes repræsentanter havde mulighed for at udveksle synspunkter.

Efter vedtagelsen af forslaget fra 2007, offentliggjorde alle berørte parter deres holdning til det. Europa-Parlament vedtog en beslutning om forslaget den 20. november 2008[25]. Medlemsstaterne gav udtryk for deres holdning via drøftelserne i Rådets arbejdsgrupper[26]. Den Europæiske Tilsynsførende for Databeskyttelse[27], Artikel 29-gruppen om databeskyttelse[28] og agenturet for grundlæggende rettigheder[29] afgav også udtalelse.

Sammenfatning af svarene

Hovedkritikken i Europa-Parlamentets beslutning var, at det ikke i tilstrækkelig grad var blevet demonstreret, at der var behov for de foreslåede foranstaltninger. Europa-Parlamentet stillede spørgsmålstegn ved, om forslaget opfyldte den standard, der kræves for at berettige indgriben i retten til databeskyttelse. I beslutningen udtrykte Europa-Parlamentet bekymring over, at det ikke var blevet vurderet, hvilket merværdi forslaget vil have i lyset af andre initiativer vedrørende grænsebeskyttelse. Hvad angår databeskyttelse, opfordrede Europa-Parlamentet til, at der blev foretaget en klar afgrænsning af formålet og lagt vægt på, at kun specifikke myndigheder ville få adgang til PNR-oplysninger. Endelig udtrykte Europa-Parlamentet bekymring over, at den foreslåede metode med automatisk vurdering af PNR-oplysninger ved brug af faktabaserede, forud fastsatte vurderingskriterier medførte en meget vid anvendelse af oplysningerne, og det understregede, at en sådan vurdering aldrig burde føre til udarbejdelse af profiler på grundlag af følsomme oplysninger.

Artikel 29-gruppen om databeskyttelse fandt, at forslaget ikke stod i forhold til målet, og at det kunne krænke retten til databeskyttelse. Den stillede spørgsmålstegn ved databeskyttelsesordningen, eftersom rammeafgørelse 2008/977/RIA ikke omfatter indenlandsk databehandling. Den fandt, at det ikke på ordentlig vis var demonstreret, at der var behov for forslaget, at længden af perioden for opbevaring af oplysningerne (13 år) ikke stod i forhold til målet, og at kun "push"-metoden til videregivelse af oplysninger burde anvendes.

Den Europæiske Tilsynsførende for Databeskyttelse satte spørgsmålstegn ved, om det var blevet påvist, at forslaget var nødvendigt og stod i forhold til målet, eftersom forslaget vedrører en meget bred indsamling af oplysninger om uskyldige mennesker. Han kritiserede forslaget og sagde, at det bidrog til at skabe et overvågningssamfund og stillede også spørgsmålstegn ved databeskyttelsesordningen, da indenlandsk databehandling ikke er omfattet af rammeafgørelse 2008/977/RIA. Den Europæiske Tilsynsførende foreslog specifikt at forbedre definitionen af de myndigheder, der ville få adgang til PNR-oplysninger og betingelserne for videregivelse af oplysninger til tredjelande.

Agenturet for grundlæggende rettigheder var også af den opfattelse, at det ikke var blevet demonstreret, at forslaget var nødvendigt og stod i forhold til målet, og fandt, at forslaget burde indeholde flere garantier for at undgå, at der blev udarbejdet profiler på grundlag af følsomme oplysninger.

Visse luftfartssammenslutninger, nemlig Den Internationale Luftfartssammenslutning (IATA) og Sammenslutningen af Europæiske Luftfartsselskaber (AEA), afgav også udtalelser om forslaget. De kritiserede hovedsageligt forslagets decentraliserede struktur og understregede, at en centraliseret indsamling af oplysninger ville have økonomiske fordele for luftfartsselskaberne. De kritiserede desuden valget af "push"-metoden og opfordrede til, at det blev overladt til luftfartsselskaberne at vælge, hvordan oplysningerne skulle videregives.

Høringsproceduren har haft stor indvirkning på forslaget til retsakt. Selv om flere berørte parter ikke var overbevidst om behovet for at anvende PNR-oplysninger, var de alle enige i, at det er at foretrække, at der fastsættes lovgivning på EU-niveau snarere end, at der udvikles divergerende nationale PNR-systemer. Høringerne førte også til en begrænsning af formålet med at anvende oplysningerne til bekæmpelse af terrorhandlinger og grov kriminalitet og begrænsning af forslagets anvendelsesområde til lufttrafik. Der blev valgt en stærk databeskyttelsesordning, hvor oplysningerne opbevares i et specifikt tidsrum, og det er forbudt at anvende følsomme oplysninger såsom oplysninger, der kan vise en persons racemæssige eller etniske oprindelse, religiøse eller filosofiske overbevisning, politiske meninger, medlemskab af en fagforening, eller som vedrører den pågældende persons sundhed eller seksualitet. "Push"-metoden blev foretrukket samt strenge begrænsninger for videregivelsen af oplysninger til tredjelande.

- Inddragelse og brug af eksperter

Der var ikke behov for ekspertbistand.

- Konsekvensvurdering

Kommissionen har som anført i arbejdsprogrammet udarbejdet en konsekvensanalyse[30].

Der blev i konsekvensanalysen set nærmere på fire hovedløsningsmodeller, som hver indeholder to variabler:

Løsningsmodel A: der tages ikke fat på spørgsmålet på EU-plan. Status quo opretholdes.

Løsningsmodel B: der tages fat på problemet med at fastlægge strukturen for et system for indsamling og behandling af PNR-oplysninger, med løsningsmodel B.1: Decentraliseret indsamling og behandling af oplysninger i medlemsstaterne, og løsningsmodel B.2: Centraliseret indsamling og behandling af oplysninger på EU-plan.

Løsningsmodel C: der tages fat på problemet med at afgrænse formålet med de foreslåede foranstaltninger, med løsningsmodel C.1: Adgang til oplysningerne med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og løsningsmodel C.2: Adgang til oplysningerne med henblik at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet samt andre strategiske mål.

Løsningsmodel D: der tages fat på problemet med, hvilke transportformer der skal være omfattet af de foreslåede foranstaltninger, med løsningsmodel D.1.: Udelukkende luftfartsselskaber og løsningsmodel D.2: Luftfartsselskaber, rederier og jernbanetransportvirksomheder.

De politiske valgmuligheder blev vurderet ud fra følgende kriterier: sikkerheden i EU, beskyttelse af personoplysninger, omkostningerne for offentlige myndigheder, omkostninger for transportvirksomhederne/konkurrencen på det indre marked og opfordring til at anvende en global strategi.

Det blev i konsekvensanalysen konkluderet, at et forslag til retsakt, der finder anvendelse på luftfart med decentraliseret indsamling af PNR-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og anden grov kriminalitet ville være den bedste løsningsmodel (kombination af B.1, C.1 og D.1). Det ville øge sikkerheden i EU og samtidig begrænse påvirkningen af beskyttelsen af personoplysninger til et minimum og holde omkostningerne nede på et acceptabelt niveau.

3. Forslagets JURIDISKE INDHOLD

- Resumé af forslaget

Forslaget sigter mod at harmonisere medlemsstaternes bestemmelser vedrørende de forpligtelser, der påhviler luftfartsselskaber, der flyver mellem et tredjeland og mindst én medlemsstat, for så vidt angår videregivelse af PNR-oplysninger til de kompetente myndigheder med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. Al behandling af PNR-oplysninger på grundlag af dette forslag vil være i overensstemmelse med databeskyttelsesreglerne i rammeafgørelse 2008/977/RIA.

- Retsgrundlag

TEUF, navnlig artikel 82, stk. 1, litra d), og artikel 87, stk. 2, litra a).

- Nærhedsprincippet

De retshåndhævende myndigheder skal have effektive redskaber til at bekæmpe terrorisme og grov kriminalitet med. Da de fleste grove forbrydelser og terrorhandlinger i nogen grad involverer international rejseaktivitet, er myndighederne nødt til at anvende PNR-oplysninger til at beskytte EU's interne sikkerhed. Desuden afhænger de efterforskninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, som medlemsstaternes myndigheder foretager, i høj grad af det internationale samarbejde på tværs af grænserne.

Som følge af personers frie bevægelighed i Schengenområdet er det nødvendigt, at alle medlemsstaterne indsamler, behandler og udveksler PNR-oplysninger for derved at undgå huller i sikkerheden. Ved at sikre, at der sker en kollektiv og sammenhængende indsats, vil denne foranstaltning bidrage til at øge sikkerheden i EU.

En indsats på EU-plan vil hjælpe med til at sikre harmoniseringen af bestemmelserne om at garantere databeskyttelsen i medlemsstaterne. De forskellige systemer i de medlemsstater, der allerede har oprettet lignende mekanismer, eller som vil gøre det fremover, kan have negative følger for luftfartsselskaberne, da de skal overholde potentielt divergerende nationale krav, f.eks. vedrørende de typer oplysninger, der skal videregives, og betingelserne for, hvornår disse oplysninger skal forelægges for medlemsstaterne. Disse forskelle kan også skade det effektive samarbejde mellem medlemsstaterne med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet.

Målene for dette direktiv kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan bedre nås på EU-plan; det kan derfor konkluderes, at EU er både berettiget til og bedre placeret til at handle end medlemsstaterne enkeltvis. Forslaget er således i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union.

- Proportionalitetsprincippet

Forslaget om en mere systematisk indsamling, analyse og opbevaring af PNR-oplysninger vedrørende flyvninger til EU fra tredjelande under overholdelse af strenge databeskyttelsesgarantier vil styrke forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af terrorhandlinger eller organiseret kriminalitet og være nødvendigt for at imødegå disse trusler mod sikkerheden.

Forslagets anvendelsesområde er begrænset til de elementer, der kræver en harmoniseret tilgang på EU-plan, herunder fastsættelsen af måder, hvorpå medlemsstaterne kan anvende PNR-oplysninger, de oplysningselementer, det er nødvendigt at indsamle, de formål, hvortil oplysninger må anvendes, formidling af oplysninger mellem medlemsstaternes personoplysningsenheder og de tekniske betingelser herfor.

Der foreslås regulering ved hjælp af et direktiv. Valget af et decentraliseret system betyder desuden, at medlemsstaterne selv kan vælge, hvordan de vil etablere deres PNR-system, og selv kan bestemme de tekniske aspekter heraf.

I overensstemmelse med proportionalitetsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union, går dette forslag ikke ud over, hvad der er nødvendigt og står i forhold til det tilsigtede mål.

- Valg af instrument

Foreslået reguleringsmiddel: et direktiv.

Andre reguleringsmidler er ikke hensigtsmæssige af følgende grund:

Formålet med foranstaltningen er at sikre en gensidig tilnærmelse af medlemsstaternes lovgivning, så intet andet instrument end et direktiv ville være hensigtsmæssigt.

4. VIRKNINGER FOR BUDGETTET

FORSLAGET HAR INGEN KONSEKVENSER FOR EU-BUDGETTET.

5. Supplerende oplysninger

- Simulering, pilotfase og overgangsperiode

Der vil være en overgangsperiode for forslaget i form af en toårig gennemførelsesperiode. Der vil også være en overgangsperiode, hvad angår indsamlingen af PNR-oplysninger med henblik på inden seks år fra direktivets ikrafttrædelse at nå en situation, hvor der indsamles oplysninger om alle flyvninger.

- Territorial anvendelse

Direktivet vil blive rettet til medlemsstaterne. Anvendelsen af direktivet på Det Forenede Kongerige, Irland og Danmark fastlægges i overensstemmelse med bestemmelserne i protokol nr. 21 og 22, der er knyttet som bilag til traktaten om Den Europæiske Unions funktionsmåde.

- Fornyet gennemgang/revision/udløbsklausul

Dette forslag indeholder en bestemmelse om fornyet behandling af direktivets måde at fungere på fire år efter datoen for dets gennemførelse og en særlig fornyet behandling vedrørende en potentiel udvidelse af dets anvendelsesområde, så det kommer til også at omfatte PNR-oplysninger vedrørende passagerer på interne flyvninger i EU.

2011/0023 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om anvendelse af passagerlisteoplysninger til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 82, stk. 1, litra d), og artikel 87, stk. 2, litra a),

under henvisning til forslag fra Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg[31],

under henvisning til udtalelse fra Regionsudvalget[32],

efter at have hørt Den Europæiske Tilsynsførende for Databeskyttelse,

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

(1) Kommissionen vedtog den 6. november 2007 et forslag til Rådets rammeafgørelse om anvendelse af passagerlister (PNR-oplysninger) med henblik på retshåndhævelse[33]. Ved Lissabontraktaten ikrafttrædelse den 1. december 2009 bortfaldt Kommissionens forslag, som Rådet ikke havde vedtaget inden da.

(2) I "Stockholmprogrammet - et åbent og sikkert Europa i borgernes tjeneste og til deres beskyttelse"[34] blev Kommissionen opfordret til at fremsætte forslag om anvendelsen af PNR-oplysninger med henblik på forebyggelse, afsløring, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet.

(3) Kommissionen skitserede i sin meddelelse af 21. september 2010 om den globale tilgang til overførsel af passageroplysninger (PNR) til tredjelande[35] visse nøgleelementer i en EU-politik på dette område.

(4) Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer[36] regulerer luftfartsselskabernes forudgående videregivelse af passageroplysninger til de kompetente nationale myndigheder med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring.

(5) PNR-oplysninger er nødvendige for effektivt at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet og derved forbedre den interne sikkerhed.

(6) PNR-oplysninger hjælper de retshåndhævende myndigheder med at forebygge, opdage, efterforske og retsforfølge grove forbrydelser, herunder terrorhandlinger, idet oplysningerne kan sammenholdes med oplysninger i forskellige databaser over eftersøgte personer og genstande, med henblik på at indsamle bevismateriale og, hvor det er aktuelt, finde de kriminelles medskyldige og optrævle kriminelle netværk.

(7) PNR-oplysninger sætter de retshåndhævende myndigheder i stand til at identificere personer, der hidtil har været "ukendte", dvs. personer, der ikke før har været mistænkt for at være involveret i grov kriminalitet og terrorisme, men hvor en analyse af oplysningerne giver anledning til mistanke om, at de er involveret i kriminalitet, og de kompetente myndigheder derfor bør se nærmere på dem. Ved at anvende PNR-oplysningerne kan de retshåndhævende myndigheder tackle den trussel, som grov kriminalitet og terrorisme udgør, fra et andet perspektiv, end når de behandler andre kategorier af personoplysninger. For at sikre, at behandlingen af oplysninger vedrørende uskyldige personer, der ikke er under mistanke, fortsat begrænses mest muligt, bør de aspekter af anvendelsen af PNR-oplysninger, der vedrører fastsættelse og anvendelse af vurderingskriterier, imidlertid yderligere begrænses til grove forbrydelser, som også er internationale, dvs. som nødvendigvis er forbundet med rejseaktivitet og derfor med den type oplysninger, der behandles.

(8) Behandlingen af personoplysninger skal stå i et rimeligt forhold til det specifikke sikkerhedsmæssige mål, der forfølges i dette direktiv.

(9) Brugen af PNR-oplysninger sammen med forhåndsoplysninger om passagerer (API) har i visse tilfælde en merværdi, når det drejer sig om at bistå medlemsstaterne med at kontrollere en persons identitet, og får derved øget værdi i forbindelse med retshåndhævelse.

(10) For at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet er det derfor vigtigt, at alle medlemsstaterne indfører bestemmelser om de forpligtelser, der påhviler luftfartsselskaber, der foretager internationale flyvninger til og fra EU-medlemsstaternes område.

(11) Luftfartsselskaberne indsamler og behandler allerede PNR-oplysninger fra deres passagerer til egen forretningsmæssig brug. Dette direktiv bør ikke pålægge luftfartsselskaberne en pligt til at indsamle eller opbevare yderligere oplysninger fra passagererne eller pålægge passagererne pligt til at fremlægge yderligere oplysninger end dem, de allerede giver luftfartsselskaberne.

(12) Terrorhandlinger bør defineres under hensyn til artikel 1-4 i Rådets rammeafgørelse 2002/475/RIA om bekæmpelse af terrorisme[37]. Grov kriminalitet bør defineres under hensyn til artikel 2 i Rådets rammeafgørelse 2002/584/RIA af 13. juni 2002 om den europæiske arrestordre og om procedurerne for overgivelse mellem medlemsstaterne[38]. Medlemsstaterne kan imidlertid udelukke mindre lovovertrædelser, i forbindelse med hvilke behandlingen af PNR-oplysninger under hensyntagen til deres respektive strafferetssystemer ikke ville være i overensstemmelse med proportionalitetsprincippet. Grov international kriminalitet bør defineres under hensyn til artikel 2 i Rådets rammeafgørelse 2002/584/RIA og FN's konvention om grænseoverskridende, organiseret kriminalitet.

(13) PNR-oplysninger bør af klarhedshensyn og for at mindske luftfartsselskabernes omkostninger videresendes til én enkelt enhed, der er udpeget til det formål (et "PNR-kontor"), i den relevante medlemsstat.

(14) Indholdet af alle lister med de krævede PNR-oplysninger, som PNR-kontoret skal have, bør ved udformningen afspejle de offentlige myndigheders berettigede krav med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet for derved at forbedre den indre sikkerhed i Unionen og beskytte borgernes grundlæggende rettigheder, navnlig retten til privatlivets fred og beskyttelse af personoplysninger. Sådanne lister bør ikke indeholde personoplysninger, der kan vise den pågældendes racemæssige eller etniske oprindelse, politiske meninger, religiøse eller filosofiske overbevisning eller medlemskab af en fagforening, eller som vedrører den pågældende persons sundhed eller seksualitet. PNR-oplysninger bør indeholde nærmere detaljer om passagerers reservation og rejserute, hvilket sætter de kompetente myndigheder i stand til at finde frem til, hvilke flypassagerer der udgør en trussel mod den indre sikkerhed.

(15) Der findes på nuværende tidspunkt to mulige måder at videregive oplysninger på, nemlig "pull"-metoden, hvor de kompetente myndigheder i den medlemsstat, der anmoder om oplysninger, får adgang til luftfartsselskabets reservationssystem og trækker ("pull") en kopi af de ønskede oplysninger ud, og "push"-metoden, hvor luftfartsselskabet videregiver ("push") de nødvendige PNR-oplysninger til den myndighed, der anmoder om dem. "Push"-metoden anses for at give en højere grad af databeskyttelse og bør være obligatorisk for alle luftfartsselskaber.

(16) Kommissionen støtter retningslinjerne vedrørende PNR-oplysninger fra Organisationen for International Civil Luftfart (ICAO). Disse retningslinjer bør således udgøre grundlaget for vedtagelsen af de understøttede dataformater for luftfartsselskabernes videregivelse af PNR-oplysninger til medlemsstaterne. Derfor bør sådanne understøttede dataformater samt de relevante protokoller, der finder anvendelse på luftfartsselskabernes videregivelse af oplysninger, vedtages efter rådgivningsproceduren i Europa-Parlamentets og Rådets forordning (EU) nr. [……………].

(17) Medlemsstaterne bør træffe alle de nødvendige foranstaltninger for, at luftfartsselskaber kan opfylde deres forpligtelser i medfør af dette direktiv. Medlemsstaterne bør fastsætte bestemmelser om sanktioner, herunder bødestraf, der har afskrækkende virkning, er effektive og står i et rimeligt forhold til overtrædelsernes grovhed, mod de luftfartsselskaber, der ikke opfylder deres forpligtelser til at videregive PNR-oplysninger. Hvis der sker gentagne grove overtrædelser, der kan underminere dette direktivs grundlæggende mål, bør sanktionerne i ekstraordinære tilfælde kunne omfatte foranstaltninger såsom startforbud, beslaglæggelse og konfiskation af transportmidler eller midlertidig suspendering eller inddragelse af selskabets licens.

(18) Hver medlemsstat bør være ansvarlig for at vurdere de potentielle trusler i forbindelse med terrorhandlinger og grov kriminalitet.

(19) Under fuld hensyntagen til retten til beskyttelse af personoplysninger og retten til ikke-forskelsbehandling bør der ikke træffe afgørelser, som har byrdefulde retsvirkninger for en person eller i alvorlig grad påvirker den pågældende, udelukkende som følge af en automatisk behandling af PNR-oplysninger. Desuden bør en sådan afgørelse ikke være baseret på en persons racemæssige eller etniske oprindelse, religiøse eller filosofiske overbevisning, politiske meninger, medlemskab af en fagforening eller den pågældendes sundhed eller seksualitet.

(20) Medlemsstaterne bør dele de PNR-oplysninger, de modtager, med de andre medlemsstater, når videregivelsen af oplysningerne er nødvendig for at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet. Bestemmelserne i dette direktiv bør ikke påvirke andre EU-retsakter vedrørende udveksling af oplysninger mellem politi og retsmyndigheder, herunder Rådets afgørelse 2009/371/RIA af 6. april 2009 om oprettelse af Den Europæiske Politienhed (Europol)[39] og Rådets rammeafgørelse 2006/960/RIA af 18. september 2006 om forenkling af udvekslingen af oplysninger og efterretninger mellem medlemsstaternes retshåndhævende myndigheder[40]. Sådanne udvekslinger af PNR-oplysninger mellem retshåndhævende myndigheder og retsmyndigheder bør være omfattet af reglerne for det politimæssige og retlige samarbejde.

(21) Det tidsrum, hvori PNR-oplysninger skal opbevares, bør stå i et passende forhold til formålet hermed, nemlig at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. Som følge af PNR-oplysningernes art og deres anvendelse er det nødvendigt, at de opbevares i tilstrækkelig lang tid til, at der kan foretages en analyse, og at de kan bruges i forbindelse med efterforskninger. For at undgå en uforholdsmæssig anvendelse af oplysningerne er det nødvendigt, at de anonymiseres efter en indledende periode, og at der derefter kun på meget strenge og begrænsede vilkår er adgang til dem.

(22) Når specifikke PNR-oplysninger er blevet videregivet til en kompetent myndighed og anvendes i forbindelse med en specifik strafferetlig efterforskning eller retsforfølgning, bør den kompetente myndigheds opbevaring af oplysningerne være reguleret af medlemsstatens nationale lovgivning, uanset de opbevaringsperioder der fastsættes i dette direktiv.

(23) PNR-kontorernes og de kompetente myndigheders behandling af PNR-oplysninger internt i hver medlemsstat bør være omfattet af standardbeskyttelsen af personoplysninger i henhold til national lovgivning, hvilket er i overensstemmelse med rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager[41] ("rammeafgørelse 2008/977/RIA").

(24) Under hensyn til retten til beskyttelse af personoplysninger bør de registreredes rettigheder i forbindelse med behandlingen af deres PNR-oplysninger, herunder retten til indsigt, retten til berigtigelse, sletning eller blokering samt retten til erstatning og klageadgang, være i overensstemmelse med rammeafgørelse 2008/977/RIA.

(25) Under hensyn til passagerernes ret til at blive informeret om behandlingen af deres personoplysninger bør medlemsstaterne sikre, at passagererne har korrekte oplysninger, hvad angår indsamlingen af PNR-oplysninger og videregivelsen af disse til PNR-kontoret.

(26) Medlemsstaternes videregivelse af PNR-oplysninger til tredjelande bør kun tillades i konkrete sager og i overensstemmelse med rammeafgørelse 2008/977/RIA. For at sikre beskyttelsen af personoplysninger bør der ved sådan videregivelse af oplysninger stilles supplerende krav til formålet med videregivelsen, og til, hvilke myndigheder der kan modtage dem, , og hvilke garantier der skal gælde for personoplysninger, der videregives til tredjelandet.

(27) Den nationale tilsynsmyndighed, der er oprettet som led i gennemførelsen af rammeafgørelse 2008/977/RIA, bør være ansvarlig for at yde rådgivning og påse anvendelsen og gennemførelsen af dette direktivs bestemmelser.

(28) Dette direktiv påvirker ikke medlemsstaternes mulighed for, hvad angår interne flyvninger, at indføre et system i national ret til indsamling og behandling af PNR-oplysninger til andre formål end dem, der er specificeret i dette direktiv, eller af PNR-oplysninger fra andre transportvirksomheder end dem, der er nævnt i dette direktiv, under overholdelse af de relevante databeskyttelsesbestemmelser, forudsat at national ret er i overensstemmelse med EU-retten. Spørgsmålet om indsamling af PNR-oplysninger vedrørende interne flyvninger bør på et senere tidspunkt specifikt overvejes.

(29) Som følge af de retlige og tekniske forskelle mellem de nationale bestemmelser om behandling af personoplysninger, herunder PNR-oplysninger, stilles der og vil der blive stillet forskellige krav til luftfartsselskaber for så vidt angår de typer oplysninger, der skal videregives, samt betingelserne for at videreformidle disse oplysninger til de kompetente nationale myndigheder. Disse forskelle kan skade det effektive samarbejde mellem kompetente nationale myndigheder om at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet.

(30) Målene for dette direktiv kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan bedre gennemføres på EU-plan; Unionen kan derfor træffe foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går direktivet ikke ud over, hvad der er nødvendigt for at nå dette mål.

(31) I dette direktiv overholdes de grundlæggende rettigheder og principperne i Den Europæiske Unions charter om grundlæggende rettigheder, navnlig retten til beskyttelse af personoplysninger, retten til privatlivets fred og retten til ikke-forskelsbehandling, jf. artikel 8, 7 og 21 i chartret, og direktivet skal gennemføres i overensstemmelse hermed. Direktivet er foreneligt med principperne om databeskyttelse, og bestemmelserne heri er i overensstemmelse med rammeafgørelse 2008/977/RIA. For at sikre, at proportionalitetsprincippet overholdes, vil direktivet desuden i forbindelse med visse spørgsmål indeholde strengere regler for databeskyttelse end reglerne i rammeafgørelse 2008/977/RIA.

(32) Særligt er direktivets anvendelsesområde så begrænset som muligt; det tillader opbevaring af PNR-oplysninger i op til højst 5 år, hvorefter oplysningerne skal slettes, oplysningerne skal anonymiseres efter meget kort tid, og det er forbudt at indsamle og anvende følsomme oplysninger. For at sikre, at databeskyttelsen er effektiv og har et højt niveau, kræves det, at medlemsstaterne sikrer, at en uafhængig national tilsynsmyndighed er ansvarlig for at rådgive om og overvåge, hvordan PNR-oplysninger behandles. Al behandling af PNR-oplysninger skal registreres eller dokumenteres med henblik på kontrol af databehandlingens lovlighed og egenkontrol, og for at sikre oplysningernes integritet og sikkerhed i forbindelse med databehandlingen. Medlemsstaterne skal desuden sikre, at passagererne er klart og præcist informeret om indsamlingen af PNR-oplysninger og deres rettigheder.

(33) [I medfør af artikel 3 i protokollen (nr. 21) om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, har Det Forenede Kongerige og Irland meddelt, at de ønsker at deltage i vedtagelsen og anvendelsen af dette direktiv] ELLER [Med forbehold af artikel 4 i protokollen (nr. 21) om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, deltager Det Forenede Kongerige og Irland ikke i vedtagelsen af dette direktiv, som ikke er bindende for og ikke finder anvendelse i Det Forenede Kongerige og Irland].

(34) I medfør af artikel 1 og 2 i protokollen (nr. 22) om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af dette direktiv, som ikke er bindende for og ikke finder anvendelse i Danmark —

VEDTAGET DETTE DIREKTIV:

KAPITEL I

GENERELLE BESTEMMELSER

Artikel 1

Genstand og anvendelsesområde

1. I dette direktiv fastsættes bestemmelser om luftfartsselskabers videregivelse af passagerlisteoplysninger om passagerer på internationale flyvninger til og fra medlemsstaterne og behandlingen af disse oplysninger, herunder medlemsstaternes indsamling, anvendelse og opbevaring af disse samt deres indbyrdes udvekslinger heraf.

2. Passagerlisteoplysninger, der indsamles i henhold til dette direktiv, kan kun behandles med henblik på følgende:

a) forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet, jf. artikel 4, stk. 2, litra b) og c), og

b) forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov international kriminalitet, jf. artikel 4, stk. 2, litra a) og d).

Artikel 2

Definitioner

I dette direktiv forstås ved:

a) "luftfartsselskab": en lufttransportvirksomhed med en gyldig licens eller lignende, der tillader det at udføre luftbefordring af passagerer

b) "international flyvning": enhver ruteflyvning eller ikke-ruteflyvning, som foretages af et luftfartsselskab, med afgang fra et tredjeland og planlagt landing på en EU-medlemsstats område eller med planlagt afgang fra en EU-medlemsstats område og med endeligt bestemmelsessted i et tredjeland, herunder i begge tilfælde også transfer- eller transitflyvninger

c) "passagerlisteoplysninger" (herefter "PNR-oplysninger"): oplysninger om den enkelte passagers rejse omfattende alle nødvendige oplysninger til, at reservationer kan behandles og kontrolleres af de luftfartsselskaber, der deltager og foretager reservationen, for alle rejser, der reserveres af eller på vegne af en person, uanset om oplysningerne findes i reservationssystemerne, afgangskontrolsystemerne eller tilsvarende systemer, der omfatter de samme funktionaliteter

d) "passager": enhver person, der med luftfartsselskabets samtykke befordres eller skal befordres i et fly, undtagen besætningsmedlemmerne

e) "reservationssystemer": luftfartsselskabets interne registreringssystem, hvori PNR-oplysninger indsamles med henblik på behandling af reservationer

f) "push-metoden": den metode, hvorved luftfartsselskaber videregiver de krævede PNR-oplysninger til den anmodende myndigheds database

g) "terrorhandlinger": de lovovertrædelser i henhold til national lovgivning, der er omhandlet i artikel 1-4 i Rådets rammeafgørelse 2002/475/RIA

h) "grov kriminalitet": de former for lovovertrædelser i henhold til national lovgivning, der er omhandlet i artikel 2, stk. 2, i Rådets rammeafgørelse 2002/584/RIA, hvis de kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst tre år i henhold til en medlemsstats nationale ret; medlemsstaterne kan imidlertid udelukke mindre lovovertrædelser, i forbindelse med hvilke behandlingen af PNR-oplysninger under hensyntagen til deres respektive strafferetssystemer ikke ville være i overensstemmelse med proportionalitetsprincippet

i) "grov international kriminalitet": de former for lovovertrædelser i henhold til national lovgivning, der er omhandlet i artikel 2, stk. 2, i Rådets rammeafgørelse 2002/584/RIA, hvis de kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst tre år i henhold til en medlemsstats nationale ret, og

i) de begås i mere end én stat

ii) de begås i én stat, men en væsentlig del af forberedelsen, planlægningen, styringen eller kontrollen har fundet sted i en anden stat

iii) de begås i én stat, men involverer en organiseret kriminel gruppe, som udfører kriminelle aktiviteter i mere end én stat, eller

iv) de begås i én stat, men har betydelige konsekvenser i en anden stat.

KAPITEL II

MEDLEMSSTATERNES ANSVAR

Artikel 3

PNR-kontorer

1. Hver medlemsstat opretter eller udpeger en myndighed med kompetence til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, eller en gren af en sådan myndighed, der skal fungere som "PNR-kontor" med ansvar for at indsamle PNR-oplysninger fra luftfartsselskaber, opbevare dem, analysere dem og fremsende resultatet af analysen til de kompetente myndigheder i artikel 5. Enhedens personale kan være udstationeret fra kompetente offentlige myndigheder.

2. To eller flere medlemsstater kan oprette eller udpege en enkelt myndighed til at fungere som PNR-kontor. PNR-kontoret oprettes i en af de deltagende medlemsstater og anses for at være det nationale PNR-kontor for alle de deltagende medlemsstater. De deltagende medlemsstater enes om de nærmere regler for driften af PNR-kontoret og overholder de krav, der er fastsat i dette direktiv.

3. Hver medlemsstat giver Kommissionen meddelelse herom inden én måned fra oprettelsen af PNR-kontoret og kan på et hvilket som helst tidspunkt ajourføre denne erklæring. Kommissionen offentliggør disse oplysninger samt eventuelle ajourføringer i Den Europæiske Unions Tidende .

Artikel 4

Behandling af PNR-oplysninger

1. PNR-oplysninger, som luftfartsselskaber videregiver i medfør af artikel 6 i forbindelse med internationale flyvninger med landing på eller afrejse fra medlemsstaternes område, indsamles af PNR-kontoret i den relevante medlemsstat. Hvis de PNR-oplysninger, som luftfartsselskaberne videregiver, indeholder andre oplysninger end dem, der er anført i bilaget, skal PNR-kontoret straks slette dem ved modtagelsen.

2. PNR-kontoret kan kun behandle PNR-oplysninger med henblik på følgende:

a) at foretage en vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten for at identificere personer, der kan være involveret i en terrorhandling eller grov international kriminalitet, og som det er nødvendigt, at de kompetente myndigheder i artikel 5 undersøger nærmere. Når der foretages en sådan vurdering, kan PNR-kontoret behandle PNR-oplysninger efter forud fastsatte kriterier. Medlemsstaterne sikrer, at hvert enkelt positive match som følge af denne automatiske behandling gennemgås manuelt for at kontrollere, om de kompetente myndigheder i artikel 5 skal træffe foranstaltninger

b) at foretage en vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten for at identificere personer, der kan være involveret i en terrorhandling eller grov kriminalitet, og som det kræves, at de kompetente myndigheder i artikel 5 undersøger nærmere. Når der foretages en sådan vurdering, kan PNR-kontoret samkøre PNR-oplysninger med oplysninger i relevante databaser, herunder internationale eller nationale databaser eller nationale kopier af EU-databaser, når der på grundlag af EU-retten er oprettet sådanne vedrørende personer eller genstande, der eftersøges eller er indberettet i henhold til EU-reglerne eller internationale eller nationale regler, der finder anvendelse herpå. Medlemsstaterne sikrer, at hvert enkelt positive match som følge af denne automatiske behandling gennemgås manuelt for at kontrollere, om de i artikel 5 omhandlede kompetente myndigheder skal træffe foranstaltninger

c) på ad hoc-basis at besvare behørigt begrundede anmodninger fra kompetente myndigheder om at videregive PNR-oplysninger og behandle PNR-oplysninger i konkrete sager med henblik på at forebygge, opdage, efterforske og retsforfølge en terrorhandling eller grov kriminalitet og forelægge resultaterne af denne behandling for de kompetente myndigheder

d) at analysere PNR-oplysninger med henblik på at ajourføre eller fastsætte nye kriterier for at foretage vurderinger med henblik på at identificere personer, der kan være involveret i en terrorhandling eller grov international kriminalitet i medfør af litra a).

3. Vurderingen af passagererne forud for deres planlagte ankomst til eller afrejse fra medlemsstaten, jf. stk. 2, litra a), skal udføres på en ikke-diskriminerende måde på grundlag af de vurderingskriterier, dens PNR-kontor har fastsat. Medlemsstaterne sikrer, at vurderingskriterierne fastsættes af PNR-kontoret i samarbejde med de kompetente myndigheder i artikel 5. Vurderingskriterierne må under ingen omstændigheder baseres på en persons racemæssige eller etniske oprindelse, religiøse eller filosofiske overbevisning, politiske meninger, medlemskab af en fagforening, eller den pågældendes sundhed eller seksualitet.

4. Medlemsstaternes PNR-kontorer videregiver PNR-oplysningerne eller resultaterne af behandlingen af PNR-oplysningerne om personer, der er blevet identificeret i overensstemmelse med stk. 2, litra a) og b), til den pågældende medlemsstats relevante kompetente myndigheder, som ser nærmere herpå. Sådan videregivelse af oplysninger må kun foretages i konkrete sager.

Artikel 5

Kompetente myndigheder

1. Hver medlemsstat vedtager en liste over kompetente myndigheder, der er berettigede til at anmode om eller modtage PNR-oplysninger eller resultatet af behandlingen af PNR-oplysninger i passageroplysningsenhederne for at se nærmere på disse oplysninger eller træffe passende foranstaltninger for at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet.

2. De kompetente myndigheder skal bestå af de myndigheder, der har kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet.

3. Hver medlemsstat meddeler Kommissionen listen over sine kompetente myndigheder senest tolv måneder efter dette direktivs ikrafttræden og kan på et hvilket som helst tidspunkt ajourføre sin erklæring. Kommissionen offentliggør disse oplysninger samt eventuelle ajourføringer i Den Europæiske Unions Tidende .

4. Medlemsstaternes kompetente myndigheder kan kun behandle PNR-oplysninger vedrørende passagerer og resultatet af behandlingen af de oplysninger, som PNR-kontoret modtager, yderligere med henblik på at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet.

5. Stk. 4 påvirker ikke de nationale retshåndhævende eller retlige myndigheders beføjelser, når der under en retshåndhævende aktion foranlediget af en sådan databehandling opdageses andre lovovertrædelser eller tegn herpå.

6. De kompetente myndigheder træffer ingen afgørelser, der har byrdefulde retsvirkninger for en person, eller som i betydelig grad påvirker en person, udelukkende på grundlag af automatisk behandlede PNR-oplysninger. Sådanne afgørelser træffes ikke på grundlag af en persons racemæssige eller etniske oprindelse, religiøse eller filosofiske overbevisning, politiske meninger, medlemskab af en fagforening, eller den pågældendes sundhed eller seksualitet.

Artikel 6

Luftfartsselskabernes forpligtelser

1. Medlemsstaterne vedtager alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber ved hjælp af push-metoden videregiver PNR-oplysninger som defineret i artikel 2, litra c), og specificeret i bilaget, for så vidt som de allerede har indsamlet disse oplysninger, til den nationale passageroplysningsenheds database i den medlemsstat, på eller fra hvis område den internationale flyvning har landing eller afgang. Hvis der for en flyvning er code-sharing mellem et eller flere luftfartsselskaber, er det det luftfartsselskab, der står for flyvningen, der er forpligtet til at videregive PNR-oplysninger om alle passagerer. Hvis der under flyvningen mellemlandes en eller flere gange i medlemsstaternes lufthavne, overfører luftfartsselskabet PNR-oplysninger til PNR-kontoret i alle de berørte medlemsstater.

2. Luftfartsselskaber videregiver PNR-oplysninger elektronisk ved brug af de fælles protokoller og understøttede dataformater, der vedtages efter proceduren i artikel 13 og 14, eller i tilfælde af tekniske problemer ved brug af et hvilket som helst andet hensigtsmæssigt middel, der sikrer et passende datasikkerhedsniveau:

a) 24-48 timer før den planlagte flyafgang

og

b) straks efter, at flyets døre er blevet lukket, dvs. når passagerne er gået om bord i flyet med henblik på afrejse, og det ikke længere er muligt for andre passagerer at gå om bord.

3. Medlemsstaterne kan tillade, at luftfartsselskaberne kun videregiver oplysninger i henhold til stk. 2, litra b), når den i stk. 2, litra a), omhandlede videregivelse skal ajourføres.

4. I konkrete sager videregiver luftfartsselskaberne på anmodning af et PNR-kontor i henhold til national lovgivning PNR-oplysninger, hvis det er nødvendigt at få adgang til dem på et tidligere tidspunkt end det i stk. 2, litra a), nævnte for at reagere på en specifik og reel trussel i forbindelse med terrorhandlinger eller grov kriminalitet.

Artikel 7

Udveksling af oplysninger mellem medlemsstaterne

1. Medlemsstaterne sikrer, hvad angår personer, der identificeres af en passageroplysningsenhed, jf. artikel 4, stk. 2, litra a) og b), at resultatet af behandlingen af PNR-oplysningerne videregives af dette PNR-kontor til passageroplysningsenhederne i de andre medlemsstater, hvis førstnævnte PNR-kontor anser en sådan videregivelse for nødvendig for at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet. De modtagende medlemsstaters passageroplysningsenheder fremsender disse PNR-oplysninger eller resultatet af behandlingen af PNR-oplysningerne til deres relevante kompetente myndigheder.

2. En medlemsstats PNR-kontor har ret til om nødvendigt at anmode en hvilken som helst anden medlemsstats PNR-kontor om PNR-oplysninger, der opbevares i sidstnævntes database, jf. artikel 9, stk. 1, og om nødvendigt også om resultatet af behandlingen af PNR-oplysninger. Anmodningen om sådanne oplysninger kan baseres på et dataelement eller en kombination af dataelementer afhængigt af, hvad det anmodende PNR-kontor anser for nødvendigt i den konkrete sag for at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet. Passageroplysningsenhederne fremlægger de oplysninger, der anmodes om, hurtigst muligt og fremlægger desuden resultatet af behandlingen af PNR-oplysninger, hvis det allerede foreligger, jf. artikel 4, stk. 2, litra a) og b).

3. En medlemsstats passageroplysningsenhed har ret til om nødvendigt at anmode en hvilken som helst anden medlemsstats PNR-kontor om PNR-oplysninger, der opbevares i sidstnævntes database, jf. artikel 9, stk. 2, og om nødvendigt også om resultatet af behandlingen af PNR-oplysninger. Kun under ekstraordinære omstændigheder kan PNR-kontoret anmode om at få adgang til de konkrete PNR-oplysninger i deres fulde omfang uden maskering, som en anden medlemsstats PNR-kontor opbevarer, som reaktion på en konkret trussel eller en konkret efterforskning eller retsforfølgning i forbindelse med terrorhandlinger eller grov kriminalitet.

4. Kun i de tilfælde, hvor det er nødvendigt for at forebygge en umiddelbar og alvorlig trussel mod den offentlige sikkerhed kan en medlemsstats kompetente myndigheder direkte anmode en anden medlemsstats PNR-kontor om PNR-oplysninger, der opbevares i sidstnævntes database, jf. artikel 9, stk. 1 og 2. Sådanne anmodninger skal vedrøre en konkret efterforskning eller retsforfølgning af terrorhandlinger eller grov kriminalitet og være begrundet. Passageroplysningsenhederne skal besvare sådanne anmodninger forud for andre. I alle andre tilfælde skal de kompetente myndigheder lade deres anmodninger gå via deres egen medlemsstats passageroplysningsenhed.

5. Når det er nødvendigt at få adgang til oplysninger tidligt for at reagere på en konkret og reel trussel i forbindelse med terrorhandlinger eller grov kriminalitet, har en medlemsstats PNR-kontor undtagelsesvis ret til at anmode en anden medlemsstats PNR-kontor om PNR-oplysninger vedrørende flyvninger med landing eller afgang fra sidstnævntes område på et hvilket som helst tidspunkt.

6. Udvekslingen af oplysninger inden for rammerne af denne artikel kan finde sted ved brug af alle eksisterende kanaler til brug for det internationale samarbejde om retshåndhævelse. Det sprog, der anvendes i anmodningen eller ved udvekslingen af oplysninger, skal være det, der kræves på den anvendte kanal. Når medlemsstaterne giver Kommissionen meddelelse, jf. artikel 3, stk. 3, informerer de den også nærmere om de kontaktpunkter, hvortil der kan sendes anmodninger i hastetilfælde. Kommissionen informerer medlemsstaterne om de meddelelser, den modtager.

Artikel 8

Videregivelse af oplysninger til tredjelande

En medlemsstat kan kun videregive PNR-oplysninger og resultaterne af behandlingen af PNR-oplysninger til et tredjeland, når det sker i forbindelse med en konkret sag, og

a) betingelserne i artikel 13 i Rådets rammeafgørelse 2008/977/RIA er opfyldt

b) videregivelsen er nødvendig med henblik på dette direktiv, jf. artikel 1, stk. 2, og

c) tredjelandet accepterer kun at videregive oplysningerne til et andet tredjeland, hvis det er nødvendigt med henblik på formålene med dette direktiv, jf. artikel 1, stk. 2, og udelukkende med medlemsstatens udtrykkelige samtykke hertil.

Artikel 9

Dataopbevaringsperiode

1. Medlemsstaterne sikrer, at PNR-oplysninger, som luftfartsselskaberne videregiver til en passageroplysningsenhed, opbevares i en database hos PNR-kontoret i 30 dage efter videregivelsen til den første medlemsstats passageroplysningsenhed, på hvis område den internationale flyvning har landing eller afgang.

2. Ved udløbet af de 30 dage fra videregivelsen af PNR-oplysningerne til PNR-kontoret, jf. stk. 1, gemmes oplysningerne i yderligere fem år hos PNR-kontoret. I det tidsrum maskeres alle dataelementer, der kan tjene til identifikationen af de passagerer, som PNR-oplysningerne vedrører. Disse anonymiserede PNR-oplysninger må kun være tilgængelige for et begrænset antal af PNR-kontorets medarbejdere, som har særlig tilladelse til at foretage analyser af PNR-oplysninger og fastlægge vurderingskriterier i henhold til artikel 4, stk. 2, litra d). Tilladelse til at få adgang til de fuldstændige PNR-oplysninger meddeles af PNR-kontorets leder, og tilladelsen kan kun meddeles med henblik på artikel 4, stk. 2, litra b), og hvis der er rimelig grund til at tro, at det er nødvendigt i forbindelse med en efterforskning og som reaktion på en konkret og reel trussel eller risiko eller en konkret efterforskning eller retsforfølgning.

Med henblik på dette direktiv er det følgende dataelementer, der kan tjene til at identificere de passagerer, som PNR-oplysningerne vedrører, og som bør filtreres fra og maskeres:

- navn(e), herunder andre passagerers navne i PNR-oplysningerne og antal rejsende, der rejser sammen, i PNR-oplysningerne

- adresse og kontaktoplysninger

- generelle bemærkninger, for så vidt som de indeholder oplysninger, der kan tjene til at identificere de passagerer, som PNR-oplysningerne vedrører, og

- alle indsamlede forhåndsoplysninger om passagerer (API-oplysninger).

3. Medlemsstaterne sikrer, at PNR-oplysningerne slettes efter udløbet af det i stk. 2 omhandlede tidsrum. Denne forpligtelse gælder ikke tilfælde, hvor der er videregivet konkrete PNR-oplysninger til en kompetent myndighed, og de anvendes i forbindelse med konkrete strafferetlige efterforskninger eller retsforfølgninger, idet de kompetente myndigheders opbevaring af sådanne oplysninger da reguleres i medlemsstatens nationale ret.

4. Resultatet af den samkøring, der er omhandlet i artikel 4, stk. 2, litra a) og b), må kun opbevares af PNR-kontoret i den tid, det er nødvendigt for at informere de kompetente myndigheder om, at der er et positivt match. Hvis resultatet af en automatisk samkøring efter en individuel ikke-automatisk gennemgang har vist sig ikke at give noget match, gemmes det dog for at undgå fremtidige "falske" positive matches i højst tre år, medmindre de bagvedliggende oplysninger endnu ikke er blevet slettet i overensstemmelse med stk. 3 efter udløbet af de fem år; i så fald opbevares registreringen, indtil de bagved liggende oplysninger er slettet.

Artikel 10

Sanktioner over for luftfartsselskaber

Medlemsstaterne sikrer i overensstemmelse med deres nationale lovgivning, at der fastsættes sanktioner, herunder bødestraf, der har afskrækkende virkning, er effektive og står i et rimeligt forhold til overtrædelsernes grovhed, over for luftfartsselskaber, som ikke videregiver de oplysninger, der kræves i medfør af dette direktiv, i det omfang de allerede har indsamlet dem, eller ikke gør det i det krævede format, eller som på anden måde overtræder de nationale bestemmelser, der vedtages i medfør af dette direktiv.

Artikel 11

Beskyttelse af personoplysninger

1. Hvad angår al behandling af personoplysninger i medfør af dette direktiv, sørger hver medlemsstat for, at alle passagerer har samme ret til at få indsigt i oplysningerne, ret til at berigtige, slette eller blokere dem samt ret til erstatning og klageadgang som den, der er vedtaget i national lovgivning som led i gennemførelsen af artikel 17, 18, 19 og 20 i Rådets rammeafgørelse 2008/977/RIA. Bestemmelserne i artikel 17, 18, 19 og 20 i Rådets rammeafgørelse 2008/977/RIA finder derfor anvendelse.

2. Hver medlemsstat sørger for, at bestemmelserne i national lovgivning, der er vedtaget som led i gennemførelsen af artikel 21 og 22 i Rådets rammeafgørelse 2008/977/RIA, om fortrolighed i forbindelse med databehandlingen og datasikkerheden også finder anvendelse på al behandling af personoplysninger i medfør af dette direktiv.

3. Enhver behandling af PNR-oplysninger, der viser en persons racemæssige eller etniske oprindelse, religiøse eller filosofiske overbevisning, politiske meninger, medlemskab af en fagforening, eller som vedrører den pågældende persons sundhed eller seksualitet, er forbudt. Såfremt PNR-kontoret modtager PNR-oplysninger, der indeholder informationer herom, skal de straks slettes.

4. Al behandling af PNR-oplysninger, som luftfartsselskaberne foretager, al videregivelse af PNR-oplysninger, som passageroplysningsenhederne foretager, og alle anmodninger fra de kompetente myndigheder eller passageroplysningsenheder i andre medlemsstater og tredjelande, herunder afviste anmodninger, skal registreres eller dokumenteres af PNR-kontoret og de kompetente myndigheder med henblik på navnlig databeskyttelsestilsynsmyndighedernes kontrol af databehandlingens lovlighed og egenkontrollen og for at sikre dataenes integritet og sikkerhed. Disse registre opbevares i fem år, medmindre de bagved liggende oplysninger i henhold til artikel 9, stk. 3, endnu ikke er blevet slettet ved udløbet af de fem år; i så tilfælde opbevares registrene, indtil de bagved liggende oplysninger er slettet.

5. Medlemsstaterne sikrer, at luftfartsselskaberne, deres agenter eller andre, der sælger billetter til passagertransport med fly, ved reservationen og ved købet af billetten på en klar og præcis måde informerer passagererne på internationale flyvninger om videregivelsen af PNR-oplysninger til PNR-kontoret og formålet med behandlingen af disse oplysninger, om, hvor lang tid de opbevares, og hvordan de eventuelt kan anvendes til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet, samt om muligheden for at udveksle og dele sådanne oplysninger og om retten til databeskyttelse, navnlig retten til at klage til en national tilsynsmyndighed for databeskyttelse efter eget valg. Medlemsstaterne offentliggør de samme oplysninger.

6. Det er forbudt for passageroplysningsenhederne og de kompetente myndigheder at videregive PNR-oplysninger til private parter i medlemsstaterne eller i tredjelande.

7. Uden at dette griber ind i artikel 10, vedtager medlemsstaterne passende foranstaltninger til at sikre, at dette direktivs bestemmelser gennemføres fuldt ud og fastsætter navnlig de sanktioner for overtrædelse af bestemmelserne til gennemførelse af dette direktiv, der er effektive, står i et rimeligt forhold til lovovertrædelsernes grovhed og har afskrækkende virkning.

Artikel 12

Den nationale tilsynsmyndighed

Den enkelte medlemsstat sikrer, at den nationale tilsynsmyndighed, der er oprettet som led i gennemførelsen af artikel 25 i rammeafgørelse 2008/977/RIA, også er ansvarlig for at vejlede om og føre tilsyn med anvendelsen på dens område af de bestemmelser, som medlemsstaten har vedtaget i medfør af dette direktiv. De yderligere bestemmelser i artikel 25 i rammeafgørelse 2008/977/RIA finder anvendelse.

KAPITEL IV

GENNEMFØRELSESFORANSTALTNINGER

Artikel 13

Fælles protokoller og understøttede dataformater

1. Flyselskabernes videregivelse af PNR-oplysninger til passageroplysningsenheder med henblik på dette direktiv skal i et år efter vedtagelsen af de fælles protokoller og understøttede dataformater, jf. artikel 14, ske ved brug af elektroniske midler eller i tilfælde af tekniske problemer ved brug af et hvilket som helst andet hensigtsmæssigt middel.

2. Når etårsfristen fra vedtagelsen af de fælles protokoller og de understøttede dataformater er udløbet, skal al videregivelse af PNR-oplysninger fra luftfartsselskaberne til passageroplysningsenhederne med henblik på dette direktiv ske elektronisk ved brug af sikre metoder i form af accepterede fælles protokoller, som skal være fælles for alle overførsler for at sikre datasikkerheden under videregivelsen, og i et understøttet dataformat for at sikre, at alle involverede parter kan læse dem. Alle luftfartsselskaber er forpligtede til at vælge og over for PNR-kontoret at identificere den fælles protokol og det fælles dataformat, som de har til hensigt at anvende til deres videregivelse af oplysninger.

3. Der udarbejdes en liste over accepterede fælles protokoller og understøttede dataformater, som om nødvendigt tilpasses af Kommissionen efter proceduren i artikel 14, stk. 2.

4. Så længe de accepterede fælles protokoller og understøttede dataformater, jf. stk. 2 og 3, ikke foreligger, finder stk. 1 fortsat anvendelse.

5. Hver medlemsstat sikrer, at de nødvendige tekniske foranstaltninger træffes, så de fælles protokoller og understøttede dataformater kan anvendes inden et år efter deres vedtagelse.

Artikel 14

Udvalgsprocedure

1. Kommissionen bistås af et udvalg ("udvalget"). Dette udvalg er et udvalg i betydningen i forordning (EU) nr. […/2011/EU] af 16. februar 2011.

2. Når der henvises til dette stykke, finder artikel 4 i forordning (EU) nr. […/2011/EU] af 16. februar 2011 anvendelse.

KAPITEL V

AFSLUTTENDE BESTEMMELSER

Artikel 15

Gennemførelse

1. Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest to år efter dets ikrafttræden. De tilsender straks Kommissionen disse love og bestemmelser med en sammenligningstabel, som viser sammenhængen mellem de pågældende love og bestemmelser og dette direktiv.

Lovene og bestemmelserne skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

2. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 16

Overgangsbestemmelser

På datoen i artikel 15, stk. 1, dvs. to år efter dette direktivs ikrafttræden, sikrer medlemsstaterne, at der indsamles PNR-oplysninger for mindst 30 % af alle flyvninger, jf. artikel 6, stk. 1. Indtil to år efter datoen i artikel 15 sikrer medlemsstaterne, at der indsamles PNR-oplysninger for mindst 60 % af alle flyvninger, jf. artikel 6, stk. 1. Medlemsstaterne sikrer, at der fra fire år efter datoen i artikel 15 indsamles PNR-oplysninger for alle flyvninger, jf. artikel 6, stk. 1.

Artikel 17

Fornyet vurdering

På grundlag af de oplysninger, medlemsstaterne fremlægger, foretager Kommissionen en fornyet vurdering af:

a) muligheden og behovet for at medtage interne flyvninger under dette direktivs anvendelsesområde i lyset af erfaringerne i de medlemsstater, der indsamler PNR-oplysninger om interne flyvninger. Kommissionen fremlægger en rapport for Europa-Parlamentet og Rådet inden to år efter datoen i artikel 15, stk. 1

b) hvordan dette direktiv fungerer, og fremlægger en rapport for Europa-Parlamentet og Rådet inden fire år efter datoen i artikel 15, stk. 1. Denne fornyede vurdering skal omfatte alle elementer af dette direktiv med særlig fokus på overholdelsen af standarden for beskyttelse af personoplysninger, længden af dataopbevaringsperioden og kvaliteten af vurderingerne. Den skal desuden indeholde de statistiske oplysninger, der indsamles i medfør af artikel 18.

Artikel 18

Statistiske oplysninger

1. Medlemsstaterne udarbejder et sæt statistiske data om de PNR-oplysninger, der er sendt til passageroplysningsenhederne. Statistikkerne skal som minimum indeholde antallet af identifikationer af personer, der kan være involveret i terrorhandlinger eller grov kriminalitet, jf. artikel 4, stk. 2, og antallet af retshåndhævelsesforanstaltninger, der efterfølgende er truffet på grundlag af PNR-oplysninger, pr. luftfartsselskab og destination.

2. Disse statistikker må ikke indeholde personoplysninger. De fremsendes til Kommissionen hvert år.

Artikel 19

Forhold til andre instrumenter

1. Medlemsstaterne kan fortsat anvende bilaterale og multilaterale aftaler samt indbyrdes ordninger om udveksling af oplysninger mellem kompetente myndigheder, der er gældende ved direktivets vedtagelse, for så vidt som disse aftaler og ordninger er forenelige med direktivet.

2. Dette direktiv påvirker ikke Unionens forpligtelser og tilsagn i henhold til bilaterale og/eller multilaterale aftaler med tredjelande.

Artikel 20

Ikrafttræden

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende .

Dette direktiv er rettet til medlemsstaterne i overensstemmelse med traktaterne.

Udfærdiget i Bruxelles, den

På Europa-Parlamentets vegne På Rådets vegne Formand Formand

BILAG

PNR-oplysninger indsamlet af luftfartsselskaber

1) PNR-nummer

2) Dato for reservationen/udstedelsen af billetten

3) Planlagt(e) rejsedato(er)

4) Navn(e)

5) Adresse og kontaktoplysninger (telefonnummer, e-mailadresse)

6) Alle oplysninger om betaling, herunder faktureringsadresse

7) Hele rejseruten for hvert sæt PNR-oplysninger

8) Oplysninger om faste passagerer

9) Rejsebureau/rejsekonsulent

10) Rejsestatus for passagerer, herunder bekræftelser, indcheckningsstatus, no show- og go show-oplysninger

11) Delte PNR-dataelementer

12) Generelle bemærkninger (herunder alle tilgængelige oplysninger om uledsagede mindreårige under 18 år såsom den mindreåriges navn og køn, alder og sprog, navnet på og kontaktoplysninger for den ansvarlige voksne ved afrejsen, og dennes forhold til den mindreårige, navnet på og kontaktoplysninger for den ansvarlige voksne ved ankomsten, og dennes forhold til den mindreårige, ledsagende lufthavnsmedarbejder ved afgang og ankomst).

13) Oplysninger i billetrubrikkerne, herunder billetnummer, datoen for udstedelsen af billetten, enkeltbilletter og automatisk billetprisangivelse (Automated Ticket Fare Quote)

14) Sædenummer og andre pladsoplysninger

15) Oplysninger om code-sharing

16) Fuldstændige bagageoplysninger

17) Antal medrejsende og disses navne i forbindelse med en reservation

18) Alle indsamlede forhåndsoplysninger om passagerer (API-oplysninger).

19) Oversigt over alle ændringer af PNR-oplysningerne under punkt 1-18

[1] Europols trusselsvurdering af organiseret kriminalitet 2009.

[2] Eurostat 36/2009.

[3] Europols rapport fra 2010 om situationen og tendenserne med hensyn til terrorisme (EU Terrorism Situation and Trend Report 2010).

[4] "Measuring the costs of coercion to workers in forced labour", Alexandra Vinogradova, Michaelle De Cock, Patrick Belser.

[5] De økonomiske og sociale omkostninger ved kriminalitet mod enkeltpersoner og husholdninger 2003-2004.

[6] Standard Eurobarometer 71, s. 149 i bilaget.

[7] Konvention om gennemførelse af Schengenaftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser (EFT L 239 af 22.9.2000, s. 19).

[8] Forordning (EF) nr. 1987/2006, afgørelse 2007/533/RIA, forordning (EF) nr. 1986/2006.

[9] Rådets beslutning 2004/512/EF, forordning (EF) nr. 767/2008, Rådets afgørelse 2008/633/RIA. Se også erklæringen om bekæmpelse af terrorisme, Det Europæiske Råd den 25.3.2004.

[10] KOM(2010) 385.

[11] Rådets dokument 17024/09 af 2.12.2009.

[12] Direktiv 2004/82/EF af 29. august 2004.

[13] KOM(2007) 654.

[14] Rådets dokument 5618/2/09 REV 2 af 29.6.2009.

[15] P6_TA (2008) 0561.

[16] EUT C 110 af 1.5.2008.

[17] Udtalelse nr. 145 af 5.12.2007.

[18] http://fra.europa.eu/fraWebsite/attachments/FRA_opinion_PNR_en.pdf.

[19] Direktiv 2004/82/EF af 29. august 2004.

[20] KOM(2010) 492.

[21] Konvention om gennemførelse af Schengenaftalen af 14. juni 1985 mellem regeringerne for staterne i Den Økonomiske Union Benelux, Forbundsrepublikken Tyskland og Den Franske Republik om gradvis ophævelse af kontrollen ved de fælles grænser (EFT L 239 af 22.9.2000, s. 19).

[22] Forordning (EF) nr. 1987/2006, afgørelse 2007/533/RIA, forordning (EF) nr. 1986/2006.

[23] Rådets beslutning 2004/512/EF, forordning (EF) nr. 767/2008, Rådets afgørelse 2008/633/RIA. Se også erklæringen om bekæmpelse af terrorisme, Det Europæiske Råd den 25.3.2004.

[24] EUT L 350 af 30.12.2008, s. 60.

[25] P6_TA (2008) 0561.

[26] Rådets dokument 17024/09 af 2.12.2009.

[27] EUT C 110 af 1.5.2008.

[28] Fælles udtalelse om forslag til Rådets rammeafgørelse om anvendelse af passagerlister (PNR-oplysninger) med henblik på retshåndhævelse, forelagt af Kommissionen den 6. november 2007 (WP 145 af 5.12.2007), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp145_da.pdf.

[29] http://fra.europa.eu/fraWebsite/attachments/FRA_opinion_PNR_en.pdf.

[30] SEK(2011) 132.

[31] EUT C […] af […], s. […].

[32] EUT C […] af […], s. […].

[33] KOM(2007) 654.

[34] Rådets dokument 17024/09 af 2.12.2009.

[35] KOM(2010) 492.

[36] EUT L 261 af 6.8.2004, s. 24.

[37] EFT L 164 af 22.6.2002, s. 3. Ændret ved Rådets rammeafgørelse 2008/919/RIA af 28. november 2008 (EUT L 330 af 9.12.2008, s. 21).

[38] EFT L 190 af 18.7.2002, s. 1.

[39] EUT L 121 af 15.5.2009, s. 37.

[40] EUT L 386 af 29.12.2006, s. 89.

[41] EUT L 350 af 30.12.2008, s. 60.