EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62019CC0817

G. Pitruzzella főtanácsnok indítványa, az ismertetés napja: 2022. január 27.
Ligue des droits humains ASBL kontra Conseil des ministres.
A Cour constitutionnelle (Franciaország) által benyújtott előzetes döntéshozatal iránti kérelem.
Előzetes döntéshozatal – A személyes adatok kezelése – Utas‑nyilvántartási adatállomány (PNR) – (EU) 2016/679 rendelet – A 2. cikk (2) bekezdésének d) pontja – Hatály – (EU) 2016/681 irányelv – Az Unió és harmadik országok között üzemeltetett légi járatok utasaira vonatkozó PNR‑adatok felhasználása – Az Unión belül üzemeltetett légi járatok utasaira vonatkozó adatok felvételének lehetősége – Ezen adatok automatizált kezelése – Megőrzési időszak – A terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelem – Érvényesség – Az Európai Unió Alapjogi Chartája – A 7., 8. és 21. cikk, valamint az 52. cikk (1) bekezdése – A PNR‑rendszer alkalmazását az Unión belül végzett más szállításokra kiterjesztő nemzeti szabályozás – Az Unión belüli szabad mozgás – Alapjogi Charta – 45. cikk.
C-817/19. sz. ügy.

Court Reports – General Court - 'Information on unpublished decisions' section)

ECLI identifier: ECLI:EU:C:2022:65

Ideiglenes változat

GIOVANNI PITRUZZELLA

FŐTANÁCSNOK INDÍTVÁNYA

Az ismertetés napja: 2022. január 27.(1)

C817/19. sz. ügy

Ligue des droits humains

kontra

Conseil des ministres

(a Cour constituionnelle [alkotmánybíróság, Belgium] által benyújtott előzetes döntéshozatal iránti kérelem)

„Előzetes döntéshozatal – A személyes adatok védelme – Az utas‑nyilvántartási adatállomány (PNR) kezelése – (EU) 2016/679 rendelet – Hatály – (EU) 2016/681 irányelv – Érvényesség – Az Európai Unió Alapjogi Chartája – 7. és 8. cikk, valamint az 52. cikk (1) bekezdése”






Tartalomjegyzék


I. Bevezetés

II. Jogi háttér

A. Az uniós jog

1. A Charta

2. Az általános adatvédelmi rendelet

3. A PNRirányelv

4. Az uniós jog egyéb releváns aktusai

B. A belga jog

C. Az alapügy, az előzetes döntéshozatalra előterjesztett kérdések és a Bíróság előtti eljárás

III. Elemzés

A. Az előzetes döntéshozatalra előterjesztett első kérdésről

B. Az előzetes döntéshozatalra előterjesztett második, harmadik, negyedik, hatodik és nyolcadik kérdésről

1. A Charta 7. és 8. cikkében megállapított alapvető jogokról

2. A Charta 7. és 8. cikkében megállapított alapvető jogokba való beavatkozásról

3. A PNRirányelvből eredő beavatkozás igazolásáról

a) Azon követelménynek a betartásáról, hogy a Charta szerinti alapvető jog gyakorlásának korlátozását törvényben kell előírni

b) A Charta 7. és 8. cikkében megállapított jogok lényeges tartalmának tiszteletben tartásáról

c) Azon követelmény tiszteletben tartásáról, amely szerint a beavatkozásnak közérdekű célt kell szolgálnia

d) Az arányosság elvének tiszteletben tartásáról

1) A PNRadatoknak a PNRirányelv szerinti kezeléseinek a követett célkitűzésre tekintettel fennálló alkalmasságáról

2) A beavatkozás szigorúan szükséges jellegéről

i) A PNRadatok kezelése céljainak meghatározásáról

ii) A PNRadatoknak a PNRirányelvben említett kategóriái (az előzetes döntéshozatalra előterjesztett második és harmadik kérdés)

– Az I. melléklet 12. és 18. pontjának kellően egyértelmű és pontos jellegéről (az előzetes döntéshozatalra előterjesztett harmadik kérdés)

– Az I. mellékletben felsorolt adatok köréről (az előzetes döntéshozatalra előterjesztett második kérdés)

– A különleges adatokról

iii) Az „utas” fogalmáról (az előzetes döntéshozatalra előterjesztett negyedik kérdés)

iv) Az utasok előzetes értékelésének a kellően világos és pontos, valamint a feltétlenül szükségesre korlátozott jellegéről (az előzetes döntéshozatalra előterjesztett hatodik kérdés)

– A PNRirányelv 6. cikke (3) bekezdésének a) pontja szerinti, adatbázisokkal való összevetésről

– A PNRadatoknak az előzetesen meghatározott kritériumok alapján történő kezeléséről

– A PNRadatok automatizált kezelését körülvevő garanciákról

– Az előzetes döntéshozatalra előterjesztett hatodik kérdésre vonatkozó következtetés

v) A PNRadatok megőrzéséről (az előzetes döntéshozatalra előterjesztett nyolcadik kérdésről)

4. Az előzetes döntéshozatalra előterjesztett második, harmadik, negyedik, hatodik és nyolcadik kérdésre vonatkozó következtetések

C. Az előzetes döntéshozatalra előterjesztett ötödik kérdésről

D. Az előzetes döntéshozatalra előterjesztett hetedik kérdésről

E. Az előzetes döntéshozatalra előterjesztett kilencedik kérdésről

F. Az előzetes döntéshozatalra előterjesztett tizedik kérdésről

IV. Végkövetkeztetés


I.      Bevezetés

1.        A jelen előzetes döntéshozatal iránti kérelemmel a Cour constitutionnelle (alkotmánybíróság, Belgium) tíz kérdést tesz fel a Bíróságnak a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet, GDPR)(2) értelmezésére, valamint az utas‑nyilvántartási adatállománynak (PNR) a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása érdekében történő felhasználásáról szóló, 2016. április 27‑i (EU) 2016/681 európai parlamenti és tanácsi irányelv (a továbbiakban: PNR‑irányelv)(3) és a fuvarozóknak az utasokkal kapcsolatos adatok közlésére vonatkozó kötelezettségéről szóló, 2004. április 29‑i 2004/82/EK tanácsi irányelv (a továbbiakban: API‑irányelv)(4) érvényességére és értelmezésére vonatkozóan. Ezek a kérdések a Ligue des droits humains (LDH) nonprofit egyesület által benyújtott, a PNR‑irányelvet és az API‑irányelvet a belga jogba átültető loi du 25 décembre 2016 relative au traitement des données des passagers (az utasok adatainak kezeléséről szóló, 2016. december 25‑i törvény, a továbbiakban: PNR‑törvény)(5) teljes vagy részleges megsemmisítésére irányuló beadvány keretében merültek fel.

2.        Ezek a Bíróság által a jelen ügyben eldöntendő kérdések a kortárs liberális demokratikus alkotmányosság egyik fő dilemmájának részét képezik: az adatok korában, amikor a digitális technológiák hatalmas mennyiségű személyes adat gyűjtését, tárolását, kezelését és elemzését teszik lehetővé előrejelzési célokból, miként kell meghatározni az egyensúlyt az egyén és a közösség között? A hatóságok által alkalmazott algoritmusok, big data‑elemzés vagy mesterséges intelligencia korábban elképzelhetetlen hatékonysággal segítik elő és védik a társadalom alapvető érdekeit: a közegészségügy védelmétől a környezeti fenntarthatóságig, a terrorizmus elleni küzdelemtől a bűnözés, különösen a súlyos bűncselekmények megelőzéséig. Ugyanakkor a személyes adatoknak a különbségtétel nélküli gyűjtése és a digitális technológiáknak a közhatalmi szervek általi alkalmazása digitális panoptikumot hozhat létre, vagyis egy olyan hatóságot, amely mindent lát, anélkül, hogy őt látnák. Az olyan mindentudó hatóság, amely képes arra, hogy mindenki magatartását ellenőrizze és előrelássa, valamint meghozza a szükséges intézkedéseket, arra a Steven Spielberg által a Minority Report (Kisebbségi jelentés) című filmben is elképzelt, ellentmondásos eredményre vezetne, hogy a még el nem követett bűncselekmény elkövetőjét preventív jelleggel meg lehetne fosztani a szabadságától. Mint ismeretes, egyes országokban a társadalom elsőbbséget élvez az egyénnel szemben, és a személyes adatok felhasználása jogszerűen lehetővé teszi a hatékony, tömeges megfigyelést az alapvetőnek tekintett közérdekek védelme érdekében. Ezzel szemben az európai – akár nemzeti, akár nemzetek feletti – alkotmányosság, azáltal, hogy az egyént és a szabadságjogait állítja a középpontba, jelentős akadályt gördít a tömeges megfigyelésen alapuló társadalom kialakulása elé, különösen a magánélethez és a személyes adatok védelméhez való alapvető jogok elismerését követően. Milyen mértékben lehet azonban ezt a korlátot anélkül fenntartani, hogy a társadalom bizonyos, a fentiekben példaként említettekhez hasonló alapvető érdekei, amelyek ugyanakkor alkotmányos kötődéssel bírhatnak, súlyosan sérülnének? Ez a központi kérdése az egyén és a közösség közötti kapcsolat kérdésének a digitális társadalomban. E kérdés egyrészt a közösségi érdekek és az egyéni jogok közötti kényes egyensúly kialakítását és megvalósítását igényli, mégpedig az utóbbi jogoknak az európai alkotmányos örökségben betöltött abszolút fontosságú helyéből kiindulva, másrészt pedig szükségessé teszi a visszaélések elleni biztosítékok megteremtését. Itt ismét a klasszikus alkotmányosság egyik témájának kortárs változatával állunk szemben, hiszen, ahogyan azt a Le Fédéraliste tömören megfogalmazta, az emberek nem angyalok, ezért jogi mechanizmusokra van szükség a közhatalom korlátozásához és ellenőrzéséhez.

3.        Ezek azok az általános kérdések, amelyek a jelen indítvány hátterét alkotják, és amelyek csupán az uniós jognak a Bíróság korábbi ítélkezési gyakorlatának fényében történő értelmezésére korlátozódhatnak, olyan jól bevált technikákat alkalmazva, mint például az uniós joggal összhangban való értelmezés technikája. Ezt a technikát – ahol az jogilag lehetséges – gyakran alkalmazom majd a jelen indítványban annak érdekében, hogy alkotmányossági szempontból megteremtsem a szükséges egyensúlyt az utas‑nyilvántartási adatállomány (a továbbiakban: PNR‑adatok) továbbításának, gyűjtésének és kezelésének rendszerét megalapozó közérdekű célok, valamint az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 7. és 8. cikkében foglalt jogok között.

II.    Jogi háttér

A.      Az uniós jog

1.      A Charta

4.        A Charta 7. cikke értelmében „[m]indenkinek joga van ahhoz, hogy magán‑ és családi életét, otthonát és kapcsolattartását tiszteletben tartsák”.

5.        A Charta 8. cikke szerint:

„(1)      Mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

(2)      Az ilyen adatokat csak tisztességesen és jóhiszeműen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni. Mindenkinek joga van ahhoz, hogy a róla gyűjtött adatokat megismerje, és joga van azokat kijavíttatni.

(3)      E szabályok tiszteletben tartását független hatóságnak kell ellenőriznie.”

6.        A Charta 52. cikkének (1) bekezdése szerint „[a]z e Chartában elismert jogok és szabadságok gyakorlása csak a törvény által, és e jogok lényeges tartalmának tiszteletben tartásával korlátozható. Az arányosság elvére figyelemmel, korlátozásukra csak akkor és annyiban kerülhet sor, ha és amennyiben az elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.”

2.      Az általános adatvédelmi rendelet

7.        Az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontja kizárja e rendelet hatálya alól a személyes adatok kezelését, ha azt „az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését”.

8.        Az általános adatvédelmi rendelet 23. cikke (1) bekezdésének d) pontja értelmében:

„Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12‑22. cikkben és a 34. cikkben foglalt, valamint a 12‑22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

[…]

d)      bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;”

3.      A PNRirányelv

9.        Az alábbiakban csak rövid áttekintést adok a PNR‑irányelv által létrehozott rendszer működéséről. A PNR‑irányelv azon rendelkezéseinek tartalma, amelyek az előzetes döntéshozatalra előterjesztett kérdések megválaszolása szempontjából relevánsak, a jogi elemzés során részletesebben ismertetésre fog kerülni.

10.      Az EUMSZ 82. cikk (1) bekezdésének d) pontja és az EUMSZ 87. cikk (2) bekezdésének a) pontja alapján elfogadott PNR‑irányelv az 1. cikke szerint uniós szintű rendszert hoz létre az EU‑n kívüli légi járatokról(6) származó PNR‑adatoknak a légi fuvarozók általi továbbítására, valamint az ilyen adatoknak a tagállamok illetékes hatóságai által a terrorizmus és a súlyos bűncselekmények elleni küzdelem céljából történő gyűjtésére, kezelésére és megőrzésére.

11.      Ezen irányelv 5. cikkének 3. pontja szerint „utasnyilvántartási adatállomány” vagy „PNR” az „olyan adatállomány, amely az egyes utasoknak az utazáshoz kötelezően megadandó adatait tartalmazza, és amely minden olyan információt magában foglal, amelyek ahhoz szükségesek, hogy a jegyet kiállító és a fuvarozásban részt vevő légi fuvarozók elvégezhessék és ellenőrizhessék a foglalásokat minden egyes személyesen vagy más nevére történt útvonalfoglalás esetében, függetlenül attól, hogy azokat légi járatok utasfelvételi‑helyfoglalási rendszerek, indulás‑ellenőrzési rendszerek (amelyet utasfelvételi eljárásra is használnak), vagy ugyanilyen feladatokat ellátó egyenértékű rendszerek szolgáltatják‑e”.

12.      A PNR‑irányelv I. melléklete (a továbbiakban: I. melléklet) felsorolja az utas‑nyilvántartási adatállomány adatait, amelyeket a légi fuvarozóknak gyűjteniük kell, és amelyek ezen irányelv 8. cikke értelmében és az abban meghatározott módon továbbítandók.

13.      A PNR‑irányelv II. melléklete (a továbbiakban: II. melléklet) tartalmazza az irányelv 3. cikkének (9) bekezdése értelmében vett „súlyos bűncselekménynek” minősülő bűncselekmények listáját.

14.      A PNR‑irányelv 2. cikke lehetőséget biztosít a tagállamok számára, hogy úgy döntsenek, hogy az irányelvet az „EU‑n belüli légi járatokra”(7) vagy azok egy részére is alkalmazzák, amennyiben azt az irányelv céljainak eléréséhez „szükségesnek” ítélik.

15.      A PNR‑irányelv 4. cikkének (1) bekezdése szerint „[v]alamennyi tagállam létrehoz vagy kijelöl egy olyan hatóságot, amely a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása terén illetékes, vagy egy ilyen hatóság szervezeti egységét annak érdekében, hogy utas‑adat információs egységként járjon el”. E 4. cikk (2) bekezdésének a) pontjával összhangban az utas‑adat információs egység felel a PNR‑adatoknak a légi fuvarozóktól történő gyűjtéséért, ezen adatok tárolásáért és kezeléséért, továbbá az adatoknak vagy a kezelésükből származó eredményeknek a PNR‑irányelv 7. cikkében említett illetékes hatóságok részére történő továbbításáért. E 7. cikk (2) bekezdése értelmében ezek a hatóságok „olyan hatóságok, amelyek hatáskörrel rendelkeznek a terrorista bűncselekmények és a súlyos bűncselekmények megelőzésére, felderítésére, az azokkal kapcsolatos nyomozásra vagy a vádeljárás lefolytatására”.(8)

16.      A PNR‑irányelv 6. cikke (1) bekezdésének második mondata szerint „amennyiben a légi fuvarozók által továbbított PNR‑adatok az I. mellékletben felsoroltakon túl más adatokat is tartalmaznak, akkor az utas‑adat információs egység ezeket az adatokat a beérkezést követően haladéktalanul és véglegesen töröli”. E cikk (2) bekezdésének a szövege a következő:

„(2)      Az utas‑adat információs egység a PNR‑adatokat kizárólag a következő célokból kezeli:

a)      az utasok értékelése a tagállamba történő tervezett érkezésüket vagy elutazásukat megelőzően annak érdekében, hogy beazonosítsák azokat a személyeket, akiket a 7. cikkben említett illetékes hatóságoknak és adott esetben a 10. cikk szerint az Europolnak további vizsgálat alá kell vonnia, tekintettel arra, hogy ezek a személyek érintettek lehetnek terrorista bűncselekményben vagy súlyos bűncselekményben;

b)      a 7. cikk szerinti illetékes hatóságok eseti alapon, kellően alátámasztott, megfelelő indokolással ellátott megkeresésére történő válaszadás, amely egyedi esetekben a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából a PNR‑adatok szolgáltatására és a PNR‑adatok kezelésére, és az ilyen adatkezelés eredményének az illetékes hatóságok és adott esetben az Europol részére történő szolgáltatására irányul; valamint

c)      a PNR‑adatok értékelése olyan új kritériumok megalkotása vagy frissítése céljából, amelyek a terrorista bűncselekményben vagy súlyos bűncselekményben esetlegesen érintett személyek beazonosítására irányuló, a (3) bekezdés b) pontja alapján végzett értékelések elvégzéséhez szükségesek.”

17.      A PNR‑irányelv 12. cikke tartalmazza a PNR‑adatok megőrzésére vonatkozó rendelkezéseket.

18.      A PNR‑irányelv 5. cikke előírja, hogy minden utas‑adat információs egység egy adatvédelmi tisztviselőt nevez ki, aki a PNR‑adatok kezeléséért és a vonatkozó biztosítékok végrehajtásának az ellenőrzéséért felelős. Ezenkívül az irányelv 15. cikkével összhangban minden tagállam köteles megbízni a 2008/977/IB kerethatározat(9) – amelyet felváltott a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (a továbbiakban: rendőrségi irányelv)(10) – 25. cikkében említett nemzeti felügyeleti hatóságot az ezen irányelv szerint elfogadott tagállami rendelkezéseknek a területén történő alkalmazásának ellenőrzésével. Ez a hatóság, amely a személyes adatok kezelése területén az alapvető jogok védelmére tekintettel látja el feladatait,(11) felelős többek között az érintettek által benyújtott panaszok kezeléséért, az ügy kivizsgálásáért, és azért, hogy észszerű időn belül tájékoztassa az érintettet a panaszával kapcsolatos fejleményekről és annak eredményéről, továbbá ellenőrzi az adatkezelés jogszerűségét, valamint a nemzeti joggal összhangban, saját kezdeményezésére vagy panasz nyomán vizsgálatokat, ellenőrzéseket és auditokat folytat le.(12)

4.      Az uniós jog egyéb releváns aktusai 

19.      A jelen ügy jogi keretét kiegészíti az API‑irányelv és a rendőrségi irányelv. A jelen indítvány áttekinthetősége érdekében e jogi aktusok releváns rendelkezéseinek tartalma csak annyiban kerül ismertetésre, amennyiben az szükséges azon kérdések elemzéséhez, amelyek e rendelkezésekre vonatkoznak, vagy általánosabban, a jogi elemzés céljából.

B.      A belga jog

20.      A belga alkotmány 22. cikke szerint „mindenkinek joga van magán‑ és családi életének tiszteletben tartásához, kivéve a törvényben meghatározott eseteket és feltételeket”.

21.      A 2. cikke értelmében a PNR‑törvény ülteti át az API‑irányelvet, a PNR‑irányelvet, valamint részben a 2010/65/EU irányelvet.(13)

22.      A 3. cikk (1) bekezdése szerint a PNR‑törvény „meghatározza a fuvarozókat és az utazásszervezőket terhelő, a nemzeti területre beutazó, onnan kiutazó és azon átutazó utasok adatainak továbbítására vonatkozó kötelezettségeket”. E törvény 4. cikkének 1. és 2. pontja szerint „fuvarozó” „bármely természetes vagy jogi személy, aki hivatásszerűen személyeket szállít légi, tengeri, vasúti vagy szárazföldi úton”, az „utazásszervező” pedig „bármely utazásszervező vagy ‑közvetítő a loi du 16 février 1994 régissant le contrat d’organisation de voyages et le contrat d’intermédiaire de voyages [az utazásszervezői és az utazásközvetítői szerződésről szóló, 1994. február 16‑i törvény] értelmében”.

23.      A PNR‑törvény 8. cikke a következőképpen rendelkezik:

„(1)      Az utasok adatait az alábbi célokból kezelik:

1. a […] 90. cikk (2) bekezdésének […] 7., […] 8., […] 11., […] 14., […] 17., 18., 19. pontjában és (3) bekezdésében meghatározott bűncselekmények nyomozása, az azokkal kapcsolatos büntetőeljárás lefolytatása, a büntetések és szabadságkorlátozó intézkedések végrehajtását is beleértve;

2. a Code pénal [büntető törvénykönyv] 196. cikkében a magán- és közokirat hamisítást illetően, valamint a 198., 199., 199a., 207., 213., 375. és 505. cikkében említett bűncselekményekkel kapcsolatban az említett bűncselekmények nyomozása, az azokkal kapcsolatos büntetőeljárás lefolytatása, a büntetések vagy szabadságkorlátozó intézkedések végrehajtását is beleértve;

3. az erőszakos radikalizáció keretében a közbiztonságot érintő súlyos zavarok megelőzése jelenségek és csoportok megfigyelése révén, a loi du 5 août 1992 sur la fonction de police [a rendőrségi feladatokról szóló, 1992. augusztus 5‑i törvény] 44/5. cikke (1) bekezdése 2. és 3. pontjának, valamint (2) bekezdésének megfelelően;

4. a loi du 30 novembre 1998 organique des services de renseignement et de sécurité [a hírszerzési és biztonsági szervekről szóló, 1998. november 30‑i sarkalatos törvény](14) 7. cikkének 1. pontjában és 3. pontjának 1. alpontjában, 11. cikke (1) bekezdésének 1‑3. és 5. pontjában hivatkozott tevékenységek figyelemmel kísérése;

5. a loi générale sur les douanes et accises du 18 juillet 1977 [1977. július 18‑i általános vám‑ és jövedéki törvény] 220. cikkének (2) bekezdésében és a loi du 22 décembre 2009 relative au régime général d’accise [a jövedéki adók általános rendszeréről szóló, 2009. december 22‑i törvény] 45. cikkének (3) bekezdésében említett bűncselekmények nyomozása és az azokkal kapcsolatos büntetőeljárás lefolytatása […]

(2)      A 11. fejezetben előírt feltételek tiszteletben tartásával az utasok adatait a személyek külső határokon történő ellenőrzésének javítása és az illegális bevándorlás elleni küzdelem céljára is felhasználják.”

24.      A PNR‑törvény 9. cikke tartalmazza az átadandó adatok listáját. Ezek az adatok megfelelnek az I. mellékletben felsorolt adatoknak.

25.      A PNR‑törvény 18. cikke szerint „az utasok adatait az utasadatbázisban való rögzítésüktől számítva legfeljebb öt évig őrzik meg. E határidő lejártakor azokat törlik.”

26.      E törvény 19. cikke előírja, hogy „[a]z utasadatoknak az utasadatbázisban történő rögzítésétől számított hat hónapos időszak letelte után az összes utasadatot személyazonosításra alkalmatlanná kell tenni az adatelemek elrejtésével”.

27.      A PNR‑törvény 24. cikke a következőképpen rendelkezik:

„(1)      Az utasok adatait az utasoknak az államterületre való érkezését, onnan való indulását vagy azon történő átutazását megelőző, annak meghatározására irányuló előzetes értékelés elvégzése céljából kezelik, hogy mely személyek esetében kell további vizsgálatot végezni.

(2)      A hírszerző és biztonsági szolgálatok szervezetéről szóló, 1998. november 30‑i törvény 8. cikke (1) bekezdésének 1., 4. és 5. pontjában említett célokkal összefüggésben, illetve a 8. cikk (1) bekezdésének a), b), c), d), f) és g) pontjában és 11. cikkének (2) bekezdésében említett fenyegetésekkel kapcsolatban az utasok előzetes értékelése az utasok adatainak az alábbiakkal való összevetéséből származó pozitív találaton alapul:

1.      az illetékes szolgálatok által létrehozott vagy számukra a feladataik ellátása során közvetlenül rendelkezésre álló vagy hozzáférhető adatbázisok, illetve az illetékes szolgálatok által feladataik ellátása során összeállított személylisták;

2.      az utas‑adat információs egység által a 25. cikkben előzetesen meghatározott értékelési kritériumok.

(3)      A 8. cikk (1) bekezdésének 3. pontjában említett célokkal összefüggésben az utasok előzetes értékelése az utasadatoknak a 8. cikk (2) bekezdésének 1. pontjában említett adatbázisokkal való összevetéséből származó pozitív találaton alapul. […]”

28.      A PNR‑törvény 25. cikke átveszi a PNR‑irányelv 6. cikke (4) bekezdésének tartalmát.

29.      A PNR‑törvény 11. fejezete az utasok adatainak a határellenőrzés javítása és az illegális bevándorlás elleni küzdelem érdekében való kezelését szabályozó rendelkezéseket tartalmazza. Ezek a rendelkezések képezik az API‑irányelvnek a belga jogba való átültetését.

30.      A PNR‑törvény 44. cikke előírja, hogy az utas‑adat információs egység kijelöl egy adatvédelmi tisztviselőt a szövetségi belügyi szolgálaton belül. A Commission de la protection de la vie privé (magánélet‑védelmi bizottság) felügyeli a PNR‑törvény rendelkezéseinek alkalmazását.

31.      A PNR‑törvény 51. cikke módosítja a hírszerzési és biztonsági szervekről szóló, 1998. november 30‑i sarkalatos törvényt, azt az alábbi 16/3. cikkel kiegészítve:

„(1)      A hírszerzési és biztonsági szervek a feladataik ellátása céljából megfelelő indokolás mellett úgy dönthetnek, hogy [a PNR‑]törvény 7. cikkében hivatkozott utasadatokat lekérdezik.

(2)      Az (1) bekezdésben említett határozatot a szolgálat vezetője hozza meg, és azt írásban közli a fent hivatkozott törvény 7. fejezetében említett utas‑adat információs egységgel. A határozatot annak indokolásával együtt közlik a Comité permanent R‑rel (R. állandó bizottság, Belgium).

Az R. állandó bizottság megtiltja a hírszerző és biztonsági szolgálatoknak, hogy felhasználják a jogi követelményeknek nem megfelelő feltételek mellett gyűjtött adatokat.

A határozat vonatkozhat egy konkrét hírszerzési művelet keretében gyűjtött valamennyi adatra. Ebben az esetben az utasadatok lekérdezéseinek listáját havonta egyszer közlik az R. állandó bizottsággal.”

C.      Az alapügy, az előzetes döntéshozatalra előterjesztett kérdések és a Bíróság előtti eljárás

32.      A Cour constitutionnellehez (alkotmánybíróság) 2017. július 24‑én benyújtott beadványában az LDH a PNR‑törvény teljes vagy részleges megsemmisítését kérte. Beadványának alátámasztása érdekében két jogalapra hivatkozott.

33.      Az LDH az elsődlegesen előterjesztett, és a belga alkotmánynak az általános adatvédelmi rendelet 23. cikkével, a Charta 7., 8. cikkével és 52. cikkének (1) bekezdésével, valamint az emberi jogok és alapvető szabadságok védelméről szóló, 1950. november 4‑én Rómában aláírt európai egyezmény (kihirdette: 1993. évi XXXI. tv., a továbbiakban: EJEE) 8. cikkével összefüggésben értelmezett 22. cikkének megsértésére alapított első jogalapja keretében azt az álláspontot képviseli, hogy a megtámadott törvény nem tartja tiszteletben az arányosság elvét a hatálya és a célzott adatkategóriák, az általa megállapított adatkezelés, annak céljai és az adattárolás időtartama tekintetében. Különösen azt állítja, hogy a PNR‑adatok meghatározása túl tág, és különleges adatok megismeréséhez vezethet, valamint hogy az „utas” e törvényben szereplő meghatározása lehetővé teszi valamennyi érintett utas adatainak rendszeres, nem célhoz kötött kezelését. Ezenkívül az LDH úgy véli, hogy a PNR‑törvény nem határozza meg kellően világosan az utasadatbázisok előzetes átvilágításának jellegét és módszerét, valamint a „veszélyességi mutatóként” szolgáló kritériumokat. Végül úgy véli, hogy a PNR‑törvény túllépi a szigorúan szükséges mérték korlátait, mivel a PNR‑adatok kezelésének általa követett céljai szélesebb körűek, mint a PNR‑irányelv által megengedett célok, és a PNR‑adatok megőrzésének ötéves időtartama aránytalan. A másodlagosan előterjesztett, és a belga alkotmány EUSZ 3. cikk (2) bekezdésével és a Charta 45. cikkével összefüggésben értelmezett 22. cikkének megsértésére alapított második jogalapjával az LDH a PNR‑törvénynek az API‑irányelvet átültető 11. fejezetében foglalt rendelkezéseket kifogásolja.

34.      A Conseil des ministres du Royaume de Belgique (a Belga Királyság minisztertanácsa, Belgium) a Cour constituionnelle (alkotmánybíróság) előtti beavatkozó félként ellenzi az LDH által benyújtott beadványt, vitatva az annak alátámasztására felhozott két jogalap elfogadhatóságát és megalapozottságát.

35.      A Cour constitutionnelle (alkotmánybíróság) a maga részéről a következő megfontolásokat adja elő.

36.      Az első jogalapot illetően először is azt a kérdést veti fel, hogy a PNR‑adatoknak az I. mellékletben szereplő meghatározása kellően világos és pontos‑e. Ezen adatok közül néhánynak a leírása csak példálózó és nem kimerítő jellegű. Az említett bíróság rámutat továbbá, hogy az „utas” fogalmának a PNR‑irányelv 3. cikkének (4) bekezdése szerinti meghatározása a szállított vagy szállítandó, az utaslistán szereplő valamennyi személy PNR‑adatainak gyűjtését, továbbítását, kezelését és tárolását eredményezi, függetlenül attól, hogy fennáll‑e olyan nyomós ok, amely alapján feltételezhető, hogy az érintett személy bűncselekményt követett el, vagy készül elkövetni, vagy bűncselekmény elkövetése miatt elítélték. A PNR‑adatok kezelésével kapcsolatban megjegyzi, hogy ezen utóbbiakat rendszeresen előzetes értékelésnek vetik alá, amely magában foglalja az összes utas PNR‑adatainak az előre meghatározott adatbázisokkal vagy kritériumokkal való keresztellenőrzését a találatok megállapítása céljából. Mindazonáltal a Cour constitutionnelle (alkotmánybíróság) pontosítja, hogy bár a kritériumoknak sajátosnak, megbízhatónak és hátrányos megkülönböztetéstől mentesnek kell lenniük, technikailag lehetetlennek tűnik a kockázati profilok meghatározására szolgáló, előre megállapított kritériumok további szűkítése. Ami a PNR‑adatok megőrzésének a PNR‑irányelv 12. cikkének (1) bekezdésében előírt határidejét illeti, amely szerint az ilyen adatokat öt évig lehet megőrizni, a kérdést előterjesztő bíróság úgy véli, hogy a PNR‑adatokat attól függetlenül őrzik meg, hogy az érintett utasok az előzetes értékelés keretében jelenthetnek‑e közbiztonsági kockázatot vagy sem. E körülmények között a kérdést előterjesztő bíróság felteszi a kérdést, hogy többek között a 2016. december 21‑i Tele2 Sverige és Watson és társai ítéletben(15) és a 2017. július 26‑i 1/15 .sz. (EU‑Kanada PNR‑megállapodás) véleményben(16) kialakított ítélkezési gyakorlatra tekintettel a PNR‑adatok gyűjtésének, továbbításának, kezelésének és megőrzésének a PNR‑irányelvben létrehozott rendszere tekinthető‑e úgy, hogy az nem haladja meg a szigorúan szükséges mérték korlátait. Ebben az összefüggésben e bíróság arra is keresi a választ, hogy a PNR‑irányelvvel ellentétes‑e a PNR‑törvény 8. cikke (1) bekezdésének 4. pontjából eredő szabályozáshoz hasonló nemzeti szabályozás, amely az ezen irányelvben előírt céloktól eltérő célból is feljogosít a PNR‑adatok kezelésére. Végül azt a kérdést veti fel, hogy az utas‑adat információs egység tekinthető‑e olyan „más nemzeti hatóságnak”, amely a PNR‑irányelv 12. cikke (3) bekezdése b) pontjának ii. alpontja értelmében hat hónap lejártával engedélyezheti a teljes PNR‑adatok közlését. A második jogalapot illetően a kérdést előterjesztő bíróság rámutat, hogy az a PNR‑törvénynek az utasok adatainak az illegális bevándorlás elleni küzdelem és a határellenőrzés javítása céljából történő gyűjtését és kezelését szabályozó 3. cikkének (1) bekezdése, 8. cikkének (2) bekezdése és 28‑31. cikke ellen irányul. Emlékeztetve arra, hogy e rendelkezések közül az első szerint e törvény hatálya a nemzeti területre érkező, onnan induló és azon áthaladó járatokra terjed ki, a bíróság pontosítja, hogy a nemzeti jogalkotó azért vonta e törvény hatálya alá az „Unión belüli” légi járatokat, hogy „teljesebb képet kapjon azokról az utasokról, akik potenciális veszélyt jelentenek az [Unión belüli biztonságra] és a nemzetbiztonságra”, a PNR‑irányelv (10) preambulumbekezdéssel együtt értelmezett 2. cikkében foglalt lehetőség alapján.

37.      E körülmények között a Cour constitutionnelle (alkotmánybíróság, Belgium) úgy határozott, hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      A [általános adatvédelmi rendelet] 2. cikke (2) bekezdésének d) pontjával együttesen értelmezett 23. cikkét úgy kell‑e értelmezni, hogy az alkalmazandó az olyan nemzeti jogszabályra, mint [a PNR‑irányelvet], valamint [az API‑irányelvet] és a 2010/65 irányelvet átültető [PNR‑törvény]?

2)      [Az I. melléklet] összeegyeztethető‑e [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével abban a tekintetben, hogy az ott felsorolt adatok – többek között [az I. melléklet] 18. pontjában felsorolt adatok, amelyek meghaladják [az API‑irányelv] 3. cikkének (2) bekezdésében felsorolt adatokat – igen széles körben kerültek meghatározásra, valamint abban a tekintetben, hogy összességükben különleges adatoknak minősülhetnek, ezáltal megsértve a »szigorúan szükséges« mérték korlátját?

3)      [Az I. melléklet] 12. és 18. pontja összeegyeztethető‑e [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével abban a tekintetben, hogy a »beleértve« kifejezésre figyelemmel az ott említett adatokra példálózó, nem pedig kimerítő jelleggel hivatkoznak, így a magánélet tiszteletben tartásához való jogba és a személyes adatok védelméhez való jogba történő beavatkozást tartalmazó szabályok nem felelnek meg a pontosság és az egyértelműség követelményeinek?

4)      A [PNR‑irányelv] 3. cikkének 4. pontja és [az I. melléklet] összeegyeztethető‑e [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével abban a tekintetben, hogy az utasadatok általános gyűjtésének, továbbításának és kezelésének e rendelkezések által kialakított rendszere bármely olyan személyre vonatkozik, aki az érintett közlekedési eszközt használja, anélkül hogy fennállna bármilyen objektív körülmény, amelynek alapján megállapítható lenne, hogy e személy veszélyt jelenthet a közbiztonságra?

5)      A [PNR‑irányelv] [Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével együttesen értelmezett 6. cikkét úgy kell‑e értelmezni, hogy azzal ellentétes a megtámadott törvényhez hasonló nemzeti jogszabály, amely a PNR‑adatok kezelésének céljaként elfogadja az érintett tevékenységek hírszerzési és biztonsági szervek általi figyelemmel kísérését, e célt ily módon integrálva a terrorista bűncselekmények és súlyos bűncselekmények megelőzésébe, felderítésébe, nyomozásába és üldözésébe?

6)      A [PNR‑irányelv] 6. cikke összeegyeztethető‑e [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével abban a tekintetben, hogy az általa kialakított előzetes értékelés az adatbankokkal és az előre meghatározott kritériumokkal fennálló korreláció révén szisztematikusan és általánosan alkalmazandó az utasadatokra anélkül, hogy fennállna bármilyen objektív körülmény, amelynek alapján megállapítható lenne, hogy ezen utasok veszélyt jelenthetnek a közbiztonságra?

7)      A [PNR‑irányelv] 12. cikkének (3) bekezdésében hivatkozott »hatáskörrel rendelkező más nemzeti hatóság« fogalmát lehet‑e úgy értelmezni, hogy az a [PNR‑törvény] által létrehozott utas‑adat információs egységre vonatkozik, amely így engedélyezheti egyedi ellenőrzésekkel összefüggésben a hozzáférést a PNR‑adatokhoz a hat hónapos határidő lejártát követően?

8)      A [PNR‑irányelv] irányelvnek [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével együttesen értelmezett 12. cikkét úgy kell‑e értelmezni, hogy azzal ellentétes a megtámadott törvényhez hasonló nemzeti jogszabály, amely általános ötéves adatmegőrzési időt ír elő, semmilyen különbséget nem téve attól függően, hogy az érintett utasok kapcsán az előzetes értékelés eredményeként megállapították‑e a közbiztonsági kockázat fennállását vagy nem?

9)      a)      [Az API‑irányelv] összeegyeztethető‑e az [EUSZ] 3. cikkének (2) bekezdésével, valamint [a Charta] 45. cikkével, amennyiben az általa bevezetett kötelezettségek alkalmazandók az […] Unión belüli járatokra?

b)      Az [EUSZ] 3. cikkének (2) bekezdésével, valamint [a Charta] 45. cikkével együttesen értelmezett [API‑irányelvet] úgy kell‑e értelmezni, hogy azzal ellentétes a megtámadott törvényhez hasonló nemzeti jogszabály, amely az illegális bevándorlás elleni küzdelemre és a határellenőrzések javítására irányuló cél érdekében »a nemzeti területre beutazó, onnan kiutazó és azon átutazó« utasok adatainak gyűjtésére és kezelésére irányuló rendszert ír elő, ami közvetve a belső határellenőrzések visszaállítását jelentheti?

10)      Amennyiben az előző előzetes döntéshozatalra előterjesztett kérdésekre adott válaszok alapján a Cour constitutionnelle‑nek (alkotmánybíróság, Belgium) azt kellene megállapítania, hogy a többek között [a PNR‑irányelvet] átültető megtámadott törvény egy vagy több, az e kérdésekben hivatkozott rendelkezésekből következő kötelezettséget sért, akkor e bíróság ideiglenesen fenntarthatja‑e [a PNR‑törvény] hatályát a jogbizonytalanság elkerülése céljából, illetve annak érdekében, hogy a korábban gyűjtött és megőrzött adatokat még fel lehessen használni [a] törvényben hivatkozott célokra?”

38.      Az Európai Unió Bírósága alapokmányának 23. cikke alapján az LDH, a belga, a cseh, a dán, a német, az észt, az észt, az ír, a spanyol, a francia, a ciprusi, a lett, a holland, az osztrák, a lengyel és a finn kormány, valamint az Európai Parlament, az Európai Unió Tanácsa és az Európai Bizottság nyújtott be írásbeli észrevételeket. Az Európai Unió Bírósága alapokmányának 24. cikkével összhangban a Bizottság, az európai adatvédelmi biztos (EDPS) és az Európai Unió Alapjogi Ügynöksége (FRA) felkérést kapott, hogy írásban válaszoljon a Bíróság által feltett kérdésekre. A tárgyalásra 2021. július 13‑án került sor.

III. Elemzés

A.      Az előzetes döntéshozatalra előterjesztett első kérdésről

39.      Előzetes döntéshozatalra előterjesztett első kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi a Bíróságtól, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontját úgy kell‑e értelmezni, hogy ezt a rendeletet, és különösen annak 23. cikkének (1) bekezdését, amelynek értelmében az uniós vagy a tagállami jog jogalkotási intézkedésekkel, kimerítően felsorolt okokból korlátozhatja az említett rendeletben előírt kötelezettségek és jogok hatályát, alkalmazni kell a PNR‑irányelvet, valamint az API‑irányelvet és a 2010/65 irányelvet a nemzeti jogba átültető PNR‑törvényhez hasonló nemzeti jogszabály alapján végzett adatkezelésekre.

40.      Az általános adatvédelmi rendelet 2. cikkének (2) bekezdése állapítja meg az e rendeletnek a 2. cikk (1) bekezdésében(17) rendkívül széleskörűen(18) meghatározott hatálya alóli kivételeket. A személyes adatok kezelését szabályozó rendelet alkalmazása alóli olyan kivételekként, amelyek sérthetik az alapvető szabadságokat, e kivételeket szigorúan kell értelmezni.(19)

41.      Nevezetesen az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontja tartalmaz egy kivételt, amelynek értelmében e rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt „az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését”. Ez a kivétel egy kettős, szubjektív és objektív kritériumon alapul. Így ki vannak zárva az említett rendelet alkalmazása alól egyrészt az „illetékes hatóságok” által végzett adatkezelések, másrészt pedig az említett rendelkezésben felsorolt célokból végzett adatkezelések. A PNR‑törvény hatálya alá tartozó különböző típusú adatkezeléseket következésképpen e kettős kritérium fényében kell értékelni.

42.      Először is, a (légi, vasúti, szárazföldi és tengeri) fuvarozók által az utas‑adat információs egység részére végzett adatkezelésekre vagy az utazásszervezők által szolgáltatás nyújtási vagy kereskedelmi céllal végzett adatkezelésekre, amennyiben azok az említett törvény hatálya alá tartoznak, továbbra is alkalmazni kell az általános adatvédelmi rendeletet, tekintettel arra, hogy sem a rendelet 2. cikke (2) bekezdésének d) pontjában foglalt kivétel szubjektív eleme, sem pedig annak objektív eleme nem áll fenn.

43.      Másodszor, ami a PNRadatoknak a fuvarozók vagy utazásszervezők által az utasadat információs egység részére történő továbbítását illeti, amely önmagában is az általános adatvédelmi rendelet 4. cikkének (2) pontja szerinti „adatkezelésnek” minősül,(20) ennek a rendelet hatálya alá tartozása kevésbé nyilvánvaló.

44.      Egyrészt ugyanis ezt a továbbítást nem egy, a rendőrségi irányelv 3. cikkének 7. pontja értelmében vett „illetékes hatóság” végzi, amely meghatározásra analógia útján kell utalni, mivel az általános adatvédelmi rendelet nem határozza meg ezt a fogalmat.(21) Egy olyan gazdasági szereplőt, mint a légitársaság vagy az utazási iroda, amelyet kizárólag az a jogi kötelezettség terhel, hogy személyes adatokat továbbítson, de semmilyen közhatalmi jogosítvánnyal nem rendelkezik,(22) nem lehet az említett 3. cikk 7. pontjának b) alpontja szerinti szervezetnek vagy más jogalanynak tekinteni.(23)

45.      Másrészt a PNR‑adatok közlekedési társaságok és utazásszervezők általi továbbítására a törvény által előírt kötelezettség teljesítése érdekében kerül sor, amiatt, hogy megvalósulhassanak az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában felsorolt célok.

46.      Márpedig véleményem szerint e rendelkezés megfogalmazásából egyértelműen kiderül, hogy csak azok az adatkezelések kerülnek ki az általános adatvédelmi rendelet hatálya alól, amelyek egyaránt megfelelnek az abban meghatározott kizárási kritérium szubjektív és objektív feltételének. A PNR‑adatoknak az utas‑adat információs egység részére történő továbbítása, amelyre a PNR‑törvény kötelezi a közlekedési vállalatokat és az utazásszervezőket, ennélfogva e rendelet hatálya alá tartozik.

47.      Ami a PNR‑törvénynek a PNR‑irányelvet átültető rendelkezéseit illeti, ezt a következtetést az említett irányelv 21. cikkének (2) bekezdése támasztja alá, amely előírja, hogy az irányelv „nem érinti azt, hogy a 95/46/EK irányelvet(24) alkalmazni kell a személyes adatok légi fuvarozók általi kezelésére”. Véleményem szerint el kell utasítani e rendelkezésnek többek között a francia kormány által javasolt azon olvasatát, amely szerint az annak előírására korlátozódik, hogy a fuvarozók továbbra is az általános adatvédelmi rendelet által megállapított kötelezettségek hatálya alá tartozzanak a nem a PNR‑irányelvben előírt adatkezelések tekintetében. Szövege alapján ugyanis ezen „alkalmazást előíró kikötés” tág, kizárólag az adatkezelőre utal, és nem tesz említést az adatkezelés céljáról vagy megvalósulásának körülményeiről, függetlenül attól, hogy ez az adatkezelés a légi fuvarozó kereskedelmi tevékenységének gyakorlása vagy jogi kötelezettség teljesítése során valósul meg. Megjegyzem továbbá, hogy a PNR‑irányelv 13. cikkének (3) bekezdése ugyanilyen tartalmú kikötést tartalmaz, amely kifejezetten utal a légi fuvarozókat az általános adatvédelmi rendelet alapján terhelő azon kötelezettségre, hogy „a személyes adatok biztonsága és bizalmas kezelése érdekében meghozzák a megfelelő technikai és szervezési intézkedéseket”. Márpedig ez a rendelkezés egyike a PNR‑irányelv alapján kezelt személyes adatok védelmét biztosító rendelkezéseknek, és az említett irányelv 13. cikkének (1) bekezdését követi, amely általánosságban az irányelv alkalmazásában végzett bármely adatkezelésre az abban említett 2008/977 kerethatározat rendelkezéseit alkalmazza. A francia kormány állításával ellentétben ez a normatív szabályrendszer lehetővé teszi egyrészt az említett 13. cikk (3) bekezdésének olyan kikötésként történő értelmezését, amely az általános adatvédelmi rendelet hatálya alá vonja az egyetlen olyan, a PNR‑irányelvben előírt adatkezelést, amelyet nem a rendőrségi irányelv értelmében vett „illetékes hatóságok” végeznek, másrészt pedig az említett rendelet által az adatbiztonság és az adatok bizalmasságának megőrzése tekintetében előírt kötelezettségek tiszteletben tartására való hivatkozás azon garanciákra történő emlékeztetésként való értelmezését, amelyeknek szükségszerűen érvényesülniük kell, amikor a fuvarozók PNR‑adatokat továbbítanak az utas‑adat információs egységek részére.

48.      A jelen indítvány 46. pontjában megállapított következtetést nem kérdőjelezi meg az általános adatvédelmi rendelet (19) preambulumbekezdése és a rendőrségi irányelv (11) preambulumbekezdése, amelyekre többek között a német, az ír és a francia kormány is hivatkozik a PNR‑irányelv lex specialis jellegének alátámasztása érdekében. E tekintetben kétségtelenül igaz, hogy az irányelv a személyes adatok általa szabályozott kezelésére vonatkozóan létrehoz egy, az általános adatvédelmi rendelethez képest önálló védelmi keretet ezen adatok számára. Ez a különös keret azonban csak a PNR‑adatoknak a rendőrségi irányelv 3. cikkének (7) bekezdése értelmében vett „illetékes hatóságok” – amelyek közé tartoznak többek között az utas‑adat információs egységek is – által végzett kezelésére vonatkozik, míg a PNR‑adatoknak az utas‑adat információs egységek részére történő továbbítása továbbra is az általános adatvédelmi rendelettel létrehozott általános keret hatálya alá tartozik, többek között a PNR‑irányelv 21. cikkének (2) bekezdésében előírt „alkalmazási kikötés” alapján.

49.      Azon állításuk alátámasztására, hogy az általános adatvédelmi rendelet nem vonatkozik a légi fuvarozók és utazásszervezők által a PNR‑adatoknak az utas‑adat információs egységek részére történő továbbítására, a belga, az ír, a francia és a ciprusi kormány a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítéletre(25) hivatkozik, amelynek érdemében a Bíróság kimondta, hogy a közösségi légi fuvarozók által a PNR‑adatoknak az Amerikai Egyesült Államok hatóságai részére az utóbbiak és az Európai Bizottság között kötött megállapodás keretében történő továbbítása a 95/46 irányelv 3. cikke (2) bekezdésének első franciabekezdése értelmében vett személyesadat‑kezelésnek minősül,(26) és ezért nem tartozik az irányelv hatálya alá. E következtetés levonásához a Bíróság figyelembe vette az adattovábbítás célját, valamint azt, hogy „ezen adattovábbítás háttere […] közhatalmi jellegű”, noha az adatokat magán piaci szereplők gyűjtötték és továbbították.(27)

50.      E tekintetben elegendő rámutatni, hogy a 2020. október 6‑i La Quadrature du Net és társai ítéletben(28) a Bíróság lényegében megállapította, hogy a Parlament kontra Tanács ítélet nem ültethető át az általános adatvédelmi rendelet értelmezésére.(29)

51.      Egyebekben a La Quadrature du Net ítélet 102. pontjában,(30) a Tele2 Sverige ítéletben és a 2018. október 2‑i Ministerio Fiscal ítéletben(31) követett érvelést analógia útján alkalmazva a Bíróság megállapította, hogy „noha [az általános adatvédelmi rendelet] a 2. cikke (2) bekezdésének d) pontjában pontosítja, hogy a rendelet nem alkalmazandó »az illetékes hatóságok« által többek között bűncselekmények megelőzése és felderítése – köztük a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett adatkezelésekre, ugyanezen rendelet 23. cikke (1) bekezdésének d) és h) pontjában az áll, hogy a magánszemélyek által ugyanezen célból végzett személyesadat‑kezelés e rendelet hatálya alá tartozik”.(32)

52.      A már kifejtett okok miatt meggyőződésem, hogy az a következtetés, amely szerint a közlekedési társaságok és az utazásszervezők által a PNR‑adatoknak az utas‑adat információs egység részére történő továbbítása az általános adatvédelmi rendelet hatálya alá tartozik, már magának az általános adatvédelmi rendelet 2. cikke (2) bekezdése d) pontjának szövege alapján is egyértelmű, amely csak az „illetékes hatóságok” által végzett adatkezeléseket említi, anélkül, hogy szükség lenne az említett rendelet 23. cikkének (1) bekezdésében foglalt korlátozási kikötésre hivatkozni.(33) Mindazonáltal a La Quadrature du Net ítélet 102. pontjában foglalt megállapítással a Bíróság egyértelműen e következtetés mellett foglalt állást.

53.      Mivel a PNR‑adatok közlekedési társaságok és utazásszervezők általi továbbítása az általános adatvédelmi rendelet hatálya alá tartozik, a PNR‑törvényhez hasonló nemzeti jogszabály, amely ilyen adattovábbításra kötelezi az említett társaságokat és piaci szereplőket, az általános adatvédelmi rendelet 23. cikke (1) bekezdésének d) pontja értelmében vett „jogalkotási intézkedésnek” minősül, és ezért meg kell felelnie az említett rendelkezésben meghatározott feltételeknek.(34)

54.      Harmadszor, ami a PNR‑adatoknak az utasadat információs egység és az illetékes nemzeti hatóságok általi kezelését illeti, az általános adatvédelmi rendelet alkalmazhatósága – amint az a fenti megfontolásokból látható – az ezen adatkezelések által követett céloktól függ.

55.      Így először is, a PNR‑adatoknak az utas‑adat információs egység és az illetékes nemzeti hatóságok által a PNR‑törvény 8. cikke (1) bekezdésének 1‑3. és 5. pontjában felsorolt célokból történő kezelése(35) nem tartozik az általános adatvédelmi rendelet hatálya alá, amennyiben – ahogy az a jelek szerint a jelen esetben is történt – az említett célok az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában foglalt kizárási kikötés hatálya alá tartoznak. Az ilyen adatkezelések érintettjei adatainak védelme a nemzeti jog hatálya alá tartozik, a rendőrségi irányelv,(36) valamint – annak hatályán belül – a PNR‑irányelv alkalmazása mellett.

56.      Másodszor, ugyanez vonatkozik a PNR‑adatoknak az utas‑adat információs egység, valamint a biztonsági és hírszerző szolgálatok által a PNR‑törvény 8. cikke (1) bekezdésének 4. pontjában felsorolt, a hírszerző és biztonsági szolgálatokról szóló sarkalatos törvény rendelkezéseiben foglalt tevékenységek keretében végzett kezelésére, amennyiben azok megfelelnek az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában meghatározott céloknak, aminek értékelése a kérdést előterjesztő bíróság feladata.

57.      A belga kormány azt állítja, hogy a PNR‑törvény 8. cikke (1) bekezdésének 4. pontja alapján végzett adatkezelések mindenesetre az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontjában foglalt, kivételt előíró szabály és a rendőrségi irányelv 2. cikke (3) bekezdésének a) pontjában foglalt, kivételt előíró szabály hatálya alá tartoznak, tekintettel arra, hogy a biztonsági és hírszerző szolgálatok tevékenysége nem tartozik az uniós jog hatálya alá.

58.      E tekintetben, hangsúlyozva, hogy a Bíróságtól nem kérték e rendelkezések értelmezését, rámutatok először is, hogy a Bíróság már megállapította, hogy a magán piaci szereplők számára adatkezelési kötelezettségeket előíró nemzeti szabályozás a személyes adatok védelmére vonatkozó uniós jogi rendelkezések hatálya alá tartozik, még akkor is, ha az a nemzetbiztonság védelmét célozza.(37) Ebből következik, hogy a PNR‑adatoknak a PNR‑törvény által a fuvarozók és utazásszervezők számára előírt továbbítása főszabály szerint az általános adatvédelmi rendelet hatálya alá tartozik még akkor is, ha azt e törvény 8. cikke (1) bekezdésének 4. pontjában meghatározott célokból végzik.

59.      Rámutatok továbbá, hogy bár az általános adatvédelmi rendelet (16) preambulumbekezdése szerint az általános adatvédelmi rendelet nem vonatkozik a „nemzetbiztonsággal kapcsolatos tevékenységekre”, a rendőrségi irányelv (14) preambulumbekezdése pedig pontosítja, hogy „a nemzetbiztonsággal kapcsolatos tevékenységek, a nemzetbiztonsági ügyekkel foglalkozó ügynökségek vagy egységek tevékenységei […] nem tekinthető[k] az ezen irányelv hatálya alá tartozó tevékenységnek”, azokat a kritériumokat, amelyek alapján a valamely tagállam hatósága, szolgálata vagy ügynöksége által végzett személyesadat‑kezelés az uniós jognak az érintettek védelmét az ilyen adatkezelés tekintetében biztosító egyik vagy másik aktusának a hatálya alá tartozik, vagy az ilyen hatály alól kivételt képez, olyan logika vezérli, amely mind az adott hatóság, szolgálat vagy ügynökség feladataihoz, mind az említett adatkezelés céljaihoz kapcsolódik. Ebből következik, hogy a Bíróság úgy ítélte meg, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének az e rendelet (16) preambulumbekezdésével összefüggésben értelmezett a) pontját „úgy kell tekinteni, hogy annak egyedüli célja az, hogy kizárja az említett rendelet hatálya alól a személyes adatok olyan kezelését, amelyet az állami hatóságok a nemzetbiztonság megóvására irányuló vagy ugyanezen kategóriába tartozónak tekinthető tevékenység keretében végeznek, így önmagában az, hogy egy tevékenység az állam vagy valamely közhatalmi szerv sajátos tevékenysége, nem elegendő ahhoz, hogy ezt a kivételt automatikusan alkalmazni lehessen erre a tevékenységre”.(38) A Bíróság azt is megállapította, hogy „a nemzetbiztonság védelmére irányuló tevékenységek, amelyekre az általános adatvédelmi rendelet 2. cikke (2) bekezdésének a) pontja vonatkozik, különösen azokat a tevékenységeket foglalják magukba […], amelyek célja az alapvető állami funkcióknak és a társadalom alapvető érdekeinek a védelme”.(39) Ebből következik, hogy ha a tagállam a biztonsági és hírszerző szolgálatait megbízza a rendőrségi irányelv 3. cikke (7) bekezdésének a) pontjában felsorolt feladatok ellátásával, a szolgálatok e feladatok ellátása érdekében végzett adatkezelései ezen irányelv és – adott esetben – a PNR‑irányelv hatálya alá tartoznak. Általánosabban rámutatok, hogy a Bíróság az EUSZ 4. cikk (2) bekezdésének értelmezése keretében, amelyre többek között a belga kormány is hivatkozik, következetesen úgy ítélte meg, hogy önmagában az a tény, hogy egy nemzeti intézkedést a nemzetbiztonság védelme érdekében fogadtak el, még nem eredményezi az uniós jog alkalmazhatatlanságát, és nem mentesíti a tagállamokat az uniós jog kellő tiszteletben tartása alól,(40) és vonakodott attól, hogy automatikusan és teljes egészében kizárja az uniós jog alkalmazási köréből a tagállamok nemzetbiztonság védelmével kapcsolatos tevékenységeit.

60.      Harmadszor, a francia kormány kivételével valamennyi, észrevételeket benyújtó érdekelt fél véleményével összhangban úgy kell tekinteni, hogy a PNR‑adatoknak az illetékes belga hatóságok általi, a PNR‑törvény 8. cikkének (2) bekezdésében megállapított célokból, vagyis „a személyek külső határokon történő ellenőrzésének javítása és az illegális bevándorlás elleni küzdelem” céljából(41) történő kezelésére nem vonatkozik sem az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában foglalt kivétel, sem pedig az e cikkben foglalt más kivétel, következésképpen az e rendelet hatálya alá tartozik. A francia kormány állításával ellentétben az ilyen adatkezelésekre nem vonatkozhat a PNR‑irányelv, amelynek 1. cikkének (2) bekezdése úgy rendelkezik, hogy „az ezen irányelvvel összhangban gyűjtött PNR‑adatokat kizárólag terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából lehet kezelni”, sem pedig főszabály szerint a rendőrségi irányelv, amely az 1. cikkének (1) bekezdése értelmében csak a személyes adatoknak az illetékes hatóságok által a „bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében” alkalmazandó. Amint az az előzetes döntéshozatalra utaló határozatból kiderül, a PNR‑törvény 8. cikkének (2) bekezdése és e törvény 11. fejezete, amely a PNR‑adatoknak a külső határokon történő ellenőrzés javítása és az illegális bevándorlás elleni küzdelem érdekében történő kezelését szabályozó rendelkezéseket tartalmazza, és amely e célból előírja, hogy az utas‑adat információs egység továbbítsa ezeket az adatokat többek között a határok védelmével megbízott rendvédelmi szervek számára, az API‑irányelvet és a 2010/65 irányelvet ülteti át a belga jogba. Márpedig e két irányelv az általuk előírt adatkezelések tekintetében kötelezi az illetékes hatóságokat a 95/46 irányelv tiszteletben tartására.(42) A francia kormány állításával ellentétben az ezen irányelv védelmet biztosító rendelkezéseire való hivatkozást úgy kell érteni, hogy az minden olyan személyesadat‑kezelésre vonatkozik, amelyet az API‑irányelv és a 2010/65 irányelv alapján végeznek. Az a tény, hogy az API‑irányelv a 2008/977 kerethatározat hatálybalépésénél korábbi, e tekintetben nem releváns, mivel ez a kerethatározat, ahogyan az annak helyébe lépő rendőrségi irányelv is, csak a személyes adatoknak az API‑irányelv 3. cikkének (1) bekezdésében felsorolt, az illetékes hatóságok által bűnüldözési célokból végzett kezelésére vonatkozik.(43)

61.      A fenti megfontolások összessége alapján azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett első kérdésre úgy válaszoljon, hogy az általános adatvédelmi rendeletnek az e rendelet 2. cikke (2) bekezdésének d) pontjával összefüggésben értelmezett 23. cikkét úgy kell értelmezni,

–        hogy az alkalmazandó a PNR‑irányelvet átültető nemzeti jogszabályra, amennyiben ez a jogszabály a PNR‑adatoknak a fuvarozók és más gazdasági szereplők általi kezelését – ideértve a PNR‑adatok utas‑adat információs egységek részére történő, az említett irányelv 8. cikkében előírt továbbítását – szabályozza;

–        hogy az nem alkalmazandó a PNR‑irányelvet átültető nemzeti jogszabályra, amennyiben az – az utas‑adat információs egységeket is beleértve – az illetékes nemzeti hatóságok és adott esetben az érdekelt tagállam biztonsági és hírszerző szolgálatai által az ezen irányelv 1. cikkének (2) bekezdésében előírt célokból végzett adatkezelést szabályozza;

–        hogy az alkalmazandó az API‑irányelvet és a 2010/65 irányelvet átültető, a külső határokon történő ellenőrzés javítását és az illegális bevándorlás elleni küzdelmet szolgáló nemzeti jogszabályra.

B.      Az előzetes döntéshozatalra előterjesztett második, harmadik, negyedik, hatodik és nyolcadik kérdésről

62.      Az előzetes döntéshozatalra előterjesztett második, harmadik, negyedik és hatodik kérdésével a Cour constitutionnelle (alkotmánybíróság) a PNR‑irányelvnek a Charta 7. és 8. cikkére, valamint 52. cikkének (1) bekezdésére tekintettel való érvényességéről kérdezi a Bíróságot. Az előzetes döntéshozatalra előterjesztett nyolcadik kérdés, bár értelmezési kérdésként van megfogalmazva, lényegében szintén az irányelv érvényességéről kéri a Bíróság döntését.

63.      Ezek a kérdések a PNR‑adatok kezelésének a PNR‑irányelvvel létrehozott rendszerének különböző elemeire vonatkoznak, és minden egyes elemmel kapcsolatban annak értékelését kérik, hogy azok megfelelnek‑e a Charta 7. és 8. cikkében meghatározott alapvető jogok gyakorlása korlátainak a jogszerűségét érintő feltételeknek. Így a második és a harmadik előzetes döntéshozatalra előterjesztett kérdés az I. mellékletben szereplő PNR‑adatok listájára vonatkozik, a negyedik az „utas” fogalmának a PNR‑irányelv 3. cikkének (4) bekezdésében szereplő meghatározását érinti, a hatodik a PNR‑adatoknak az említett irányelv 6. cikke szerinti előzetes értékelés céljából történő felhasználására, a nyolcadik pedig a PNR‑adatok megőrzésének az említett irányelv 12. cikkének (1) bekezdésében meghatározott határidejére vonatkozik.

1.      A Charta 7. és 8. cikkében megállapított alapvető jogokról

64.      A Charta 7. cikke mindenkinek biztosítja a jogot ahhoz, hogy a magán‑ és családi életét, otthonát és kapcsolattartását tiszteletben tartsák. Ami a Charta 8. cikkének (1) bekezdését illeti, az kifejezetten elismeri, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez. Az állandó ítélkezési gyakorlat szerint ezek a jogok, amelyek az azonosított vagy azonosítható természetes személyre vonatkozó valamennyi információra vonatkoznak, szorosan kapcsolódnak egymáshoz, mivel a természetes személy személyes adataihoz azok tárolása vagy felhasználása céljából való hozzáférés érinti az adott személy magánélethez való jogát.(44)

65.      A Charta 7. és 8. cikkében biztosított jogok ugyanakkor nem jelentenek korlátlan jogosultságokat, azokat a társadalomban betöltött szerepük alapján kell megítélni.(45) Ennélfogva a Charta 8. cikkének (2) bekezdése abban az esetben jogosít fel a személyes adatok kezelésére, ha bizonyos feltételek teljesülnek. Ez a rendelkezés előírja, hogy a személyes adatokat „csak tisztességesen és jóhiszeműen, meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból” lehet kezelni.

66.      A személyes adatok védelméhez való jog, valamint a magánélethez való jog bármely korlátozásának ezenkívül meg kell felelnie a Charta 52. cikkének (1) bekezdésében foglalt követelményeknek is. Így e korlátozást törvénynek kell előírnia, tiszteletben kell tartania e jogok lényeges tartalmát, az arányosság elvére figyelemmel elengedhetetlennek kell lennie, és az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét kell szolgálnia.

67.      Az e jogokat korlátozó intézkedés értékelése során figyelembe kell venni a Charta 3., 4., 6. és 7. cikkében biztosított jogok fontosságát, valamint a nemzetbiztonság védelme és a súlyos bűncselekmények elleni küzdelem célkitűzéseinek a mások jogainak és szabadságainak védelméhez való hozzájárulás miatt fennálló jelentőségét.(46) E tekintetben a Charta 6. cikke nemcsak a szabadsághoz, hanem a személyi biztonsághoz való jogot is rögzíti.(47)

68.      Egyebekben a Charta 52. cikke (3) bekezdésének célja a Chartában foglalt jogok, illetve az azokkal megegyező, az EJEE‑ben biztosított jogok közötti szükséges összhang biztosítása, amelyeket a védelem minimális szintjeként figyelembe kell venni.(48) A Charta 7. cikkében rögzített, a magán‑ és a családi élet tiszteletben tartásához való jog az EJEE 8. cikkében biztosított jognak felel meg, következésképpen azonos tartalmat és terjedelmet kell tulajdonítani neki.(49) Az Emberi Jogok Európai Bíróságának (a továbbiakban: EJEB) ítélkezési gyakorlatából kitűnik, hogy az e cikkben biztosított jogokba való beavatkozás az említett cikk (2) bekezdésére tekintettel csak akkor igazolható, ha azt törvény írja elő, az az e bekezdésben felsorolt egy vagy több jogszerű célra irányul, és az a demokratikus társadalomban e cél vagy célok eléréséhez szükséges.(50) Az intézkedésnek összeegyeztethetőnek kell lennie a jog elsőbbségének elvével is, amelyre az EJEE preambuluma kifejezetten utal, és amely az EJEE 8. cikkének tárgyához és céljához is kapcsolódik.(51)

69.      A Cour constitutionnelle (alkotmánybíróság) által feltett, az érvényesség értékelésével kapcsolatos kérdéseket ezen elvek fényében kell megvizsgálni.

2.      A Charta 7. és 8. cikkében megállapított alapvető jogokba való beavatkozásról

70.      A Bíróság már kimondta, hogy az egyes személyes adatok harmadik személlyel, mint például egy hatósággal való közlését előíró vagy engedélyező rendelkezéseket – az igazolásuk lehetőségét nem érintve – e természetes személyek hozzájárulásának hiányában a szóban forgó adatok későbbi felhasználásától függetlenül a magánéletükbe való beavatkozásnak, következésképpen a Charta 7. cikkében biztosított jog korlátozásának kell minősíteni.(52) Ez még akkor is így van, ha nincsenek olyan körülmények, amelyek lehetővé teszik e beavatkozás „súlyosnak” minősítését, és e tekintetben nem bír jelentőséggel, hogy az érintett, magánéletre vonatkozó információk érzékeny jellegűek‑e, vagy hogy az érintettnek esetlegesen származtak‑e kellemetlenségei az említett beavatkozásból.(53) A hatóságok ilyen adatokhoz való hozzáférése ezzel párhuzamosan a Charta 8. cikkében biztosított, a személyes adatok védelméhez való alapvető jogba történő beavatkozásnak is minősül, mivel személyes adatok kezelését valósítja meg.(54) Hasonlóképpen, önmagában a Charta 7. és 8. cikkében biztosított jogokba való beavatkozást valósít meg a valamely személy magánéletére vonatkozó adatok bizonyos időtartamig való megőrzése.(55)

71.      A Bíróság már azt is kimondta, hogy az I. mellékletben felsoroltakhoz hasonló PNR‑adatok azonosított természetes személyekre, nevezetesen az érintett légi utasokra vonatkozó információkat tartalmaznak, és ennélfogva az ezen adatokra vonatkozó különböző adatkezelések a Charta 7. cikkében biztosított, a magánélet tiszteletben tartásához való alapvető jogot érintik. Az ilyen adatkezelések szintén a Charta 8. cikkének hatálya alá tartoznak, és ezért szükségszerűen meg kell felelniük az említett cikkben megállapított adatvédelmi követelményeknek.(56)

72.      Így a PNR‑adatoknak a PNR‑irányelv által megengedett kezelése, és különösen – amennyiben ez a jelen ügy szempontjából releváns – ezen adatoknak a légi fuvarozók által az utas‑adat információs egységeknek történő továbbítása, azok ezen egységek általi felhasználása, azoknak az ezen irányelv 7. cikke szerinti, illetékes nemzeti hatóságoknak történő későbbi továbbítása, valamint azok megőrzése mind a Charta 7. és 8. cikkében biztosított alapvető jogokba való beavatkozást jelent.

73.      Ami e beavatkozások súlyosságát illeti, rá kell mutatni először arra, hogy a PNR‑irányelv előírja az ezen irányelv 3. cikkének 4. pontjában meghatározott valamennyi, az irányelv 3. cikkének 2. pontja értelmében vett „Unión kívüli légi járattal” utazó légi utas PNR‑adatainak az utas‑adat információs egységek részére való rendszeres és folyamatos továbbítását. Az ilyen továbbítás magában foglalja, hogy az utas‑adat információs egységek általánosan hozzáférnek valamennyi közölt PNR‑adathoz.(57) Ezt a megállapítást – ellentétben azzal, amit bizonyos tagállamok a jelen eljárásban állítanak – nem kérdőjelezi meg az körülmény, hogy mivel ezen adatokat automatizált módon kezelik, az utas‑adat információs egységek csak azokhoz az adatokhoz férnek hozzá ténylegesen, amelyek elemzése pozitív találatot eredményezett. Egyrészt ugyanis ez a körülmény mindeddig nem akadályozta meg a Bíróságot abban, hogy a „tömegesen” gyűjtött vagy tárolt személyes adatokat automatikusan kezelő, hasonló rendszerekkel összefüggésben megerősítse az érintett hatóságok ilyen adatokhoz való hozzáférésének általános jellegét. Másrészt a személyes adatoknak a hatóságok számára történő puszta rendelkezésre bocsátása abból a célból, hogy e hatóságok azokat kezeljék és tárolják, azzal jár, hogy a hatóságok előzetesen, általánosan és teljes mértékben hozzáférnek az ilyen adatokhoz, és ez beavatkozást jelent a magánélethez és a személyes adatok védelméhez való alapvető jogokba.

74.      Másodszor, a PNR‑irányelv 2. cikkének (1) bekezdése értelmében a tagállamok határozhatnak úgy, hogy az irányelvet a 3. cikkének 3. pontja értelmében vett „EU‑n belüli” légi járatokra is alkalmazzák. E tekintetben rámutatok egyrészt, hogy a PNR‑irányelv nem csupán lehetőséget biztosít a tagállamok számára arra vonatkozóan, hogy annak alkalmazását kiterjesszék az EU‑n belüli légi járatokra, hanem meghatározza e lehetőség gyakorlásának mind eljárási, mind anyagi feltételeit is,(58) és pontosítja, hogy ha a lehetőséggel csak bizonyos EU‑n belüli légi járatok esetében élnek, e járatokat az említett irányelv által követett célokra figyelemmel kell kiválasztani.(59) Másrészt a PNR‑irányelv e lehetőség gyakorlásának a következményeit is megállapítja a 2. cikkének (2) bekezdésében annak előírásával, hogy ha valamely tagállam úgy határoz, hogy ezt az irányelvet az EU‑n belüli légi járatokra is alkalmazni kell, annak valamennyi rendelkezését „úgy kell alkalmazni az EU‑n belüli légi járatokra, mintha EU‑n kívüli légi járatok lennének, az EU‑n belüli légi járatokra vonatkozó PNR‑adatokra pedig mintha EU‑n kívüli légi járatokra vonatkoznának”

75.      Ilyen körülmények között – néhány, a jelen eljárásban észrevételeket előterjesztő kormánynak az eljárás során tett kijelentésével ellentétben – azon a véleményen vagyok, hogy bár a PNR‑irányelvnek az EU‑n belüli légi járatokra való alkalmazása a tagállamok döntésétől függ, az ilyen járatokra vonatkozó PNR‑adatok továbbításához, kezeléséhez és megőrzéséhez kapcsolódó, a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogokba való beavatkozást – amennyiben ezt a döntést meghozták – a PNR‑irányelv hozza létre.

76.      Márpedig a Dán Királyságot kivéve, amely nem tartozik ezen irányelv hatálya alá,(60) közel az összes tagállam alkalmazza az irányelv által létrehozott rendszert az „EU‑n belüli” légi járatokra.(61) Ebből következik, hogy ez a rendszer valamennyi, az Unióba belépő és onnan távozó járatra, és majdnem az összes, Unión belül üzemeltetett járatra alkalmazandó.

77.      Harmadszor, a továbbítandó PNR‑adatokat illetően az I. melléklet 19 rovatot tartalmaz, amelyek életrajzi adatokra,(62) a légi utazás részleteire,(63) valamint a légi fuvarozási szerződés alapján megszerzett, olyan egyéb adatokra vonatkoznak, mint a telefonszám, az elektronikus levelezési cím, a fizetési módok, az utazási iroda vagy utazásközvetítő, a csomagokra vonatkozó információk, valamint az általános megjegyzések.(64) Márpedig amint azt a Bíróság az 1/15. sz. vélemény 128. pontjában a Kanada és az Európai Unió közötti, az utasnyilvántartási adatállomány adatainak továbbításáról és kezeléséről szóló megállapodás tervezetének (a továbbiakban: Kanada–EU PNR‑megállapodás tervezete) mellékletében szereplő, az I. mellékletben felsorolt rovatokkal jelentős mértékben analóg módon megfogalmazott rovatokat vizsgálva megállapította, „még ha bizonyos PNR‑adatok esetében nem is tűnik úgy, hogy azok elszigetelten vizsgálva jelentős információkat tárnának fel az érintett személyek magánéletét illetően, ez akkor sem változtat azon, hogy az említett adatok összességükben vizsgálva feltárhatnak többek között teljes utazási útvonalakat, utazási szokásokat, két vagy több személy között fennálló kapcsolatokat, valamint a légi utasok pénzügyi helyzetével kapcsolatos információkat, étkezési szokásaikat vagy egészségi állapotukat, és akár […] különleges információkkal is szolgálhatnak ezen utasokról”.

78.      Negyedszer, a PNR‑irányelv 6. cikke szerint a légi fuvarozók által továbbított adatoknak az a rendeltetése, hogy azokat az utas‑adat információs egységek automatizált eszközökkel és szisztematikus módon elemezzék, vagyis függetlenül attól, hogy utal‑e bármilyen jel arra, hogy fennáll a kockázata annak, hogy az érintett személyek terrorista bűncselekményekben vagy súlyos bűncselekményekben vehetnek részt. Konkrétabban, az utasoknak az ezen irányelv 6. cikke (2) bekezdésének a) pontjában előírt előzetes értékelésével összefüggésben és e cikk (3) bekezdésével összhangban ezek az adatok a „vonatkozó” adatbázisokkal való összevetés (a 6. cikk (3) bekezdésének a) pontja) útján ellenőrizhetők, és előre meghatározott kritériumok alapján (a 6. cikk (3) bekezdésének b) pontja) kezelhetők. Márpedig az első típusú adatkezelés további információkkal szolgálhat az érintettek magánéletéről,(65) és a keresztellenőrzéshez használt adatbázisok alapján akár lehetővé is teheti e személyek pontos profiljának elkészítését. Ilyen körülmények között a több kormány által felhozott kifogás, amely szerint a PNR‑irányelv csak a személyes adatok viszonylag korlátozott köréhez enged hozzáférést, nem tükrözi megfelelően annak a beavatkozásnak a lehetséges mértékét, amelyet ezen irányelv okozhat a Charta 7. és 8. cikke által védett alapvető jogokba azon adatok köre tekintetében, amelyek az irányelv alapján hozzáférhetővé válnak. Ami a PNR‑irányelv 6. cikke (3) bekezdésének b) pontjában előírt második típusú adatkezelést illeti, emlékeztetek arra, hogy az 1/15. sz. vélemény 169. és 172. pontjában a Bíróság hangsúlyozta, hogy az előre meghatározott kritériumokon alapuló bármilyen típusú elemzésnek velejárója, hogy lesz bizonyos hibaarány, és különösen néhány „hamis pozitív” eredmény. A Bizottság 2020‑as jelentéséhez csatolt bizottsági szolgálati munkadokumentumban (a továbbiakban: 2020‑as munkadokumentum)(66) szereplő adatok szerint a PNR‑irányelv 6. cikkének (5) bekezdésében előírt egyedi felülvizsgálatot követően tévesnek talált pozitív találatok száma igen jelentős, és 2018 és 2019 során minden hat azonosított személyből legalább ötöt tett ki.(67)

79.      Ötödször, a PNR‑irányelv 12. cikke (1) bekezdése értelmében a PNR‑adatokat az utas‑adat információs egységhez történő továbbításukat követően öt évig őrzik meg azon tagállam utas‑adat információs egységének adatbázisában, amelynek a területén a légi járat leszállt vagy felszállt. A PNR‑irányelv ennélfogva lehetővé teszi, hogy meglehetősen hosszú ideig rendelkezésre álljanak a légi utasok magánéletére vonatkozó adatok.(68) Ráadásul, mivel a PNR‑adatok továbbítása szinte minden, az Unióba tartó, onnan induló és az azon belül üzemeltetett járatot érint, és mivel a légi közlekedés meglehetősen elterjedt közlekedési eszközzé vált, a légi utasok jelentős részének személyes adatait szinte állandó jelleggel tárolhatják, egyszerűen azért, mert ötévente legalább kétszer utaznak repülővel.

80.      Végül általánosabban, a PNR‑irányelv olyan intézkedéseket ír elő, amelyek átfogóan vizsgálva arra irányulnak, hogy Uniós szinten létrehozzanak egy olyan felügyeleti rendszert, amely „nem célzott”, vagyis nem egy vagy több személyre vonatkozó gyanú alapján működik, „tömeges”, mivel jelentős számú,(69) ugyanazon személyi kategóriába tartozó egyének összességére vonatkozik,(70) és „proaktív”, mivel nem csak az ismert fenyegetések kivizsgálására, hanem a még nem ismert veszélyek felderítésére és azonosítására is irányul.(71) Ezek az intézkedések a jellegüknél fogva súlyos beavatkozást jelentenek a Charta 7. és 8. cikke által védett alapvető jogokba,(72) többek között megelőző és előrejelző céljuknál fogva, amely a népesség nagy részére vonatkozó személyes adatok értékelését teszi szükségessé azon személyek „azonosítása” céljából, akikkel szemben ezen értékelés eredménye alapján az illetékes hatóságoknak további vizsgálatot kellene lefolytatniuk.(73) Ezenfelül a bűncselekmények bizonyos súlyos formáinak megelőzése céljából „tömegesen” gyűjtött, különböző jellegű, nagy számú személyes adat kezelésének egyre általánosabb igénybevétele, valamint ezen adatok összekapcsolása és összevont kezelése olyan „együttes hatást” vált ki, amely felerősíti a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogok korlátozásának súlyosságát, és egy újabb lépés kockázatát jelenti a „megfigyelt társadalom” kialakulása felé vezető úton.(74)

81.      A fenti megfontolások összessége alapján úgy vélem, hogy a PNR‑irányelvnek a Charta 7. és 8. cikke által védett alapvető jogokba való beavatkozását legalábbis „súlyosnak” kell minősíteni.

82.      Igaz, ahogyan azt különösen a Bizottság állítja, hogy a PNR‑irányelv által– különösen a PNR‑adatok visszaélésszerű felhasználásának elkerülése érdekében – megállapított biztosítékok és garanciák valószínűleg csökkentik az ilyen beavatkozások intenzitását vagy súlyosságát. Ez azonban nem változtat azon, hogy a személyes adatokhoz való hozzáférést és a személyes adatok hatóságok általi kezelését előíró bármely rendszer az érintett alapvető jogok védelme szempontjából bizonyos szintű súlyossággal bír, amely objektív jellemzőiből adódik. Ezt a súlyossági szintet véleményem szerint meg kell határozni, mielőtt az ilyen beavatkozás arányosságának értékelésével összefüggésben az e rendszer által biztosított garanciák elégségességének és megfelelőségének értékelésére kerülne sor. Nekem úgy tűnik, hogy a Bíróság eddig így járt el.

83.      Ahhoz, hogy a Chartával összeegyeztethető legyen, a PNR‑irányelvben foglalt, a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokba való beavatkozásnak meg kell felelnie a jelen indítvány 65. és 66.  pontjában meghatározott feltételeknek, amelyek az alábbiakban, a kérdést előterjesztő bíróság által a Bíróság tudomására hozott szempontok keretei között kerülnek vizsgálatra.

3.      A PNRirányelvből eredő beavatkozás igazolásáról

84.      Míg az előzetes döntéshozatalra előterjesztett harmadik kérdés a Charta 52. cikke (1) bekezdésének első mondatában foglalt feltétel tiszteletben tartására vonatkozik, amely szerint az alapvető jogba való beavatkozásnak „törvényben előírtnak” kell lennie, az előzetes döntéshozatalra előterjesztett második, negyedik, hatodik és nyolcadik kérdéssel többek között az arányosságnak az e rendelkezés második mondatában említett elvének tiszteletben tartásáról kérdezik a Bíróságot.

a)      Azon követelménynek a betartásáról, hogy a Charta szerinti alapvető jog gyakorlásának korlátozását törvényben kell előírni 

85.      A Bíróság állandó ítélkezési gyakorlata szerint,(75) amely az EJEB ítélkezési gyakorlatán alapul,(76) az a követelmény, hogy az alapvető jog gyakorlását érintő bármely korlátozásnak „törvényben meghatározottnak” kell lennie, nem kizárólag a beavatkozás „törvényi” eredetére vonatkozik – ami jelen esetben nem kérdéses –, hanem azt is jelenti, hogy a beavatkozást lehetővé tevő jogalapnak magának a beavatkozásnak a hatályát is világosan és pontosan meg kell határoznia. A Charta 52. cikkének (1) bekezdése, a Charta 8. cikkének (2) bekezdése és az EJEE 8. cikke értelmében vett „törvény által” kifejezésnek ez a második szempontja, amely a „jogszabály minőségére” és így a szóban forgó intézkedés hozzáférhetőségére és előreláthatóságára vonatkozik,(77) nemcsak a jogszerűség elvének betartására és az önkény elleni megfelelő védelem biztosítására irányul,(78) hanem a jogbiztonság követelményének is megfelel. Ezt a követelményt a 108. egyezmény tanácsadó bizottságának(79) az utasadatok kezelésének adatvédelmi vonatkozásairól szóló, 2016. augusztus 19‑i véleménye (a továbbiakban: a 2016. augusztus 19‑i vélemény)(80) is megerősíti.

86.      A PNR‑irányelv elfogadásával az uniós jogalkotó maga korlátozta a Charta 7. és 8. cikkében biztosított jogokat. Az említett jogokba az ezen irányelv által megengedett beavatkozások ezért nem tekinthetők a tagállamok választása következményének,(81) azon mérlegelési jogkör ellenére sem, amellyel a tagállamok a nemzeti jogba való átültetéskor rendelkezhettek, hanem azok jogalapja magában a PNR‑irányelvben van. Ilyen körülmények között az uniós jogalkotó feladata volt, hogy a jelen indítvány 80. pontjában említett ítélkezési gyakorlatnak, valamint az alapvető jogok védelmére vonatkozó, különösen a Chartában és az EJEE‑ben foglalt, a PNR‑irányelv (15) preambulumbekezdésében hivatkozott „magas szintű normáknak” való megfelelés érdekében világos és pontos szabályokat állapítson meg, amelyek meghatározzák az ilyen beavatkozással járó intézkedések hatályát és alkalmazását.

87.      Bár előzetes döntéshozatalra előterjesztett harmadik kérdésével a kérdést előterjesztő bíróság kifejezetten e kötelezettségnek az I. melléklet 12. és 18. pontja tekintetében történő teljesülésével kapcsolatban vet fel kérdést, az előzetes döntéshozatalra előterjesztett második, negyedik és hatodik kérdés vizsgálata – amelyekkel ez a bíróság kétségeit fejezi ki a PNR‑irányelv Charta 7. és 8. cikkében foglalt alapvető jogokba való beavatkozásának szükségességével kapcsolatban – szintén a PNR‑irányelv szóban forgó rendelkezéseinek kellően világos és pontos jellegével kapcsolatos álláspont kialakítását teszi szükségessé.

88.      Bár ez az elemzés, amint azt a jelen indítvány 85. pontjában kifejtettem, a beavatkozásnak a Charta 52. cikke (1) bekezdésének első mondata szerinti jogszerűségére vonatkozik, azt a bekezdés második mondatában említett arányosság vizsgálatának keretében fogom elvégezni, összhangban a Bíróság és az EJEB által a személyes adatok kezelésére vonatkozó intézkedésekkel kapcsolatos ügyekben követett megközelítéssel.(82)

b)      A Charta 7. és 8. cikkében megállapított jogok lényeges tartalmának tiszteletben tartásáról

89.      A Charta 52. cikke (1) bekezdésének első mondatával összhangban az alapvető jogok gyakorlására vonatkozó korlátozásnak nemcsak kellően pontos jogalapon kell alapulnia, hanem tiszteletben kell tartania e jogok lényeges tartalmát is.

90.      Amint arra a jelen indítvány 66. pontjában utaltam, ez a követelmény, amelyet a különböző tagállamok alkotmányai is magukban foglalnak,(83) és amelyet – bár azt az EJEE kifejezetten nem ismeri el – az EJEB ítélkezési gyakorlata is megerősített,(84) a Charta 52. cikkének (1) bekezdésében is megjelenik.(85) Ezt a követelményt, amelyet a Bíróság már annak kodifikálását megelőzően is elismert,(86) az uniós bíróságok ítélkezési gyakorlata még a Lisszaboni Szerződés hatálybalépését követően is következetesen megerősíti.

91.      Különösen a 2015. október 6‑i Schrems ítéletből(87) kiderül, hogy ha valamely uniós jogi aktus nem tartja tiszteletben az alapvető jog lényeges tartalmát, az automatikusan ezen aktus semmisségéhez vagy érvénytelenségéhez vezet, anélkül, hogy szükség lenne a szóban forgó érdekek mérlegelésének elvégzésére. A Bíróság tehát elismeri, hogy minden alapjognak van egy „kemény magja”, amely mindenki számára garantálja a szabadságnak azt a szféráját, amelybe a hatóságok nem avatkozhatnak be, és amely nem korlátozható,(88) kivéve, ha az alapvető jogok védelmének alapjául szolgáló demokratikus elvek, a jogállamiság és az emberi méltóság tiszteletben tartásának elvei megkérdőjeleződnek. Ezen túlmenően mind a Charta 52. cikke (1) bekezdésének szövegéből, mind a Bíróság ítélkezési gyakorlatából, különösen pedig a „Schrems I” ítéletből világosan kitűnik, hogy annak értékelését, hogy a szóban forgó alapvető jog lényeges tartalmába való beavatkozásról van‑e szó, előzetesen és a szóban forgó intézkedés arányosságának értékelésétől függetlenül kell elvégezni. Más szóval, ez egy olyan teszt, amely saját autonómiával rendelkezik.

92.      Annak meghatározása azonban, hogy mi minősül egy gyakorlásában korlátozható alapvető jog „lényegi tartalmának” és ennélfogva érinthetetlennek, rendkívül összetett feladat. Bár ahhoz, hogy betöltse a szerepét, ezt a fogalmat abszolút módon kellene tudni meghatározni a szóban forgó alapvető jog alapvető jellemzőire, az általa védeni kívánt szubjektív és objektív érdekekre, valamint általánosabban az emberi méltóság tiszteletben tartásán alapuló demokratikus társadalomban betöltött funkciójára figyelemmel,(89) a gyakorlatban az ilyen művelet szinte lehetetlennek minősül, legalább is azoknak a kritériumoknak a figyelembe vétele nélkül, amelyeket szokásosan alkalmaznak a szóban forgó jogba való beavatkozás arányosságának vizsgálata során, mint például a beavatkozás súlyossága, mértéke vagy időbeli dimenziója, vagyis következésképpen az egyes esetek sajátosságainak figyelembevétele nélkül.

93.      Különösen ami a magánélet tiszteletben tartásához való alapvető jogot illeti, nemcsak azt kell figyelembe venni, hogy milyen jelentősége van az egyén mentális és fizikai egészségére, jólétére, autonómiájára, személyes kiteljesedésére, valamint társas kapcsolatainak kiépítésére és ápolására való képességére nézve annak, hogy olyan magánszférával rendelkezik, amelyben személyiségét kibontakoztathatja, hanem azt is, hogy e jog milyen szerepet játszik olyan egyéb jogok és szabadságok megőrzésében, mint többek között a gondolat, a lelkiismeret, a vallás, a véleménynyilvánítás és a tájékoztatás szabadsága, amelyek teljes körű élvezete feltételezi a magánszféra elismerését. Általánosabban azt a funkciót kell figyelembe venni, amelyet a magánélethez való jog tiszteletben tartása tölt be a demokratikus társadalomban.(90) Úgy tűnik, hogy a Bíróság az említett jog lényeges tartalma megsértésének fennállását a beavatkozás intenzitásának és mértékének figyelembevételével értékeli, ami arra enged következtetni, hogy az ilyen sérelem meghatározása inkább mennyiségi, mint minőségi szempontból történik. Ennélfogva egyrészt a Digital Rights ítéletben a Bíróság lényegében megállapította, hogy az adatok megőrzésének a 2006/24/EK irányelvben(91) előírt kötelezettsége nem érte el a súlyosságnak azt a szintjét, amely a magánélet tiszteletben tartásához való jog lényeges tartalmát érinti, mivel nem tette lehetővé „magának az elektronikus közlések tartalmának a megismerését”.(92) Másrészt az 1/15. sz. véleményben a Bíróság lényegében megállapította, hogy az érintett személyek magánélete egyes vonatkozásaira szorítkozó korlátozást nem lehet az ezen alapvető jog lényeges tartalmába való beavatkozásnak tekinteni.(93)

94.      Ami a személyes adatok védelméhez való alapvető jogot illeti, úgy tűnik, hogy a Bíróság úgy véli, hogy e jog lényeges tartalma sértetlen marad, ha a beavatkozást megállapító intézkedés meghatározza az adatkezelés célját, és olyan szabályokat ír elő, amelyek biztosítják az érintett adatok biztonságát, különösen a véletlenszerű vagy jogellenes megsemmisüléstől, valamint a véletlenszerű elvesztéstől vagy módosítástól.(94)

95.      A jelen ügyben, bár a kérdést előterjesztő bíróság nem hivatkozott kifejezetten a Charta 7. és 8. cikkében megállapított jogok lényeges tartalmának tiszteletben tartására vonatkozó követelményre, véleményem szerint e követelmény tiszteletben tartásának kérdése áll az előzetes döntéshozatalra előterjesztett negyedik és hatodik kérdés hátterében. Ezért javaslom, hogy a Bíróság foglalkozzon vele.

96.      E tekintetben emlékeztetek arra, hogy az 1/15. sz. vélemény 150. pontjában a Bíróság elismerve, hogy a PNR‑adatok „adott esetben nagyon pontos információkat is tárhatnak fel valamely személy magánéletét illetően”,(95) és hogy ezek az információk közvetlenül vagy közvetve felfedhetik az érintett személy különleges adatait,(96) a Kanada–EU PNR‑megállapodás tervezetével kapcsolatban mégis arra a következtetésre jutott, hogy mivel „ezen információk természete e magánéletnek csak bizonyos, különösen a Kanada és az Unió közötti légi utazásokkal kapcsolatos vonatkozásaira korlátozódik”, a magánélet tiszteletben tartásához való alapvető jog megsértése nem olyan mértékű, amely e jog lényeges tartalmát érintené.

97.      Márpedig eltekintve attól a körülménytől, hogy a Kanada–EU PNR‑megállapodás tervezetében említett PNR‑adatokat egy harmadik államnak továbbítják, és hogy azok további kezelését e harmadik állam hatóságai a harmadik állam saját területén végzik, a magánélet tiszteletben tartásához való alapvető jogba az említett megállapodás‑tervezetéből eredő beavatkozások és a PNR‑irányelvben előírt beavatkozások jellegüket tekintve nagyrészt egybeesnek. Ez a helyzet áll fenn különösen az érintett PNR‑adatok, az adattovábbítás és ‑kezelés szisztematikus és általános jellege, annak automatizált jellege, valamint az említett adatok megőrzése tekintetében. Ezzel szemben, ami megkülönbözteti a két esetet, az e beavatkozások „földrajzi terjedelme”. Amint ugyanis arra a jelen indítvány 77. pontjában utaltam, a jelen ügy tárgyát képező adatkezelési műveletek nem korlátozódnak egyetlen harmadik országgal való légi közlekedésre, mint az 1/15. sz. vélemény esetében, hanem gyakorlatilag az Unióba érkező és onnan induló, valamint az Unión belül közlekedő valamennyi járatra kiterjednek. Ebből következik, hogy a Kanada–EU PNR‑megállapodás tervezetéhez képest a PNR‑irányelv az EU‑n belül és kívül repülővel utazó légi utasok jóval nagyobb számának rendszeres kezelését írja elő. Ezenkívül, a kezelt adatok mennyiségének és gyűjtésük gyakoriságának növekedésére tekintettel, kezelésük valószínűleg pontosabb és szélesebb körű információkat nyújthat az érintettek magánéletéről (utazási szokások, személyes kapcsolatok, pénzügyi helyzet stb.).

98.      Az 1/15. sz. véleményhez hasonlóan azonban ezek az információk önmagukban véve csak a magánélet bizonyos, a légi közlekedéssel kapcsolatos vonatkozásait érintik. Márpedig figyelemmel arra, hogy az alapvető jogok „lényeges tartalmának” fogalmát megszorító módon kell meghatározni, hogy az megőrizhesse az e jogok lényege elleni támadásokkal szembeni védőbástyaként betöltött funkcióját, úgy vélem, hogy a Bíróság által az 1/15. sz. vélemény 150. pontjában levont következtetés átültethető a jelen ügyre.

99.      Az 1/15. sz. véleményében a Bíróság szintén kizárta a személyes adatok védelméhez való jog lényeges tartalmának megsértését.(97) Ez a megállapítás véleményem szerint a jelen ügy körülményei között szintén alkalmazható. A Kanada–EU PNR‑megállapodás tervezetéhez hasonlóan ugyanis a PNR‑irányelv az 1. cikkének (2) bekezdésében meghatározza a PNR‑adatok kezelésének célját. Ezen túlmenően ez az irányelv, ahogy a többi uniós jogi aktus is, amelyekre az utal, így nevezetesen az általános adatvédelmi rendelet és a rendőrségi irányelv olyan sajátos rendelkezéseket tartalmaznak, amelyek célja különösen ezen adatok biztonságának, bizalmas jellegének és integritásának a biztosítása, valamint azok védelme a jogellenes hozzáféréssel és adatkezelésekkel szemben. Bár nem tekinthető úgy, hogy a PNR‑irányelvhez hasonló szabályozás érinti a Charta 7. és 8. cikke által védett alapvető jogok lényeges tartalmát, annak arányosságát mégis részletes és szigorú ellenőrzésnek kell alávetni.

c)      Azon követelmény tiszteletben tartásáról, amely szerint a beavatkozásnak közérdekű célt kell szolgálnia

100. A PNR‑irányelv célja többek között az Unió belső biztonságának biztosítása, valamint az egyének életének és biztonságának védelme a PNR‑adatoknak a tagállamok illetékes hatóságainak a terrorizmus és a súlyos bűncselekmények elleni küzdelemben való felhasználás céljából történő továbbítása útján.(98)

101. Különösen a PNR‑irányelv 1. cikkének ezen irányelv (6) és (7) preambulumbekezdésével együtt értelmezett (2) bekezdéséből, valamint az említett irányelv elfogadásához vezető bizottsági javaslatból (a továbbiakban: PNR‑irányelvre vonatkozó javaslat)(99) következik, hogy a PNR‑adatokat a bűnüldöző hatóságok(100) e célból különböző módokon használják fel. Először is, ezeket az adatokat a már elkövetett terrorista bűncselekmények és súlyos bűncselekmények elkövetőinek vagy az azok elkövetésével gyanúsított személyeknek az azonosítására, bizonyítékok gyűjtésére, valamint adott esetben a bűnözők bűntársainak felkutatására és a bűnszövetkezetek felszámolására használják fel („reaktív” felhasználás). Másodszor, a PNR‑adatok az utasok érkezése vagy távozása előtt értékelhetők valamely bűncselekmény elkövetésének megelőzése, valamint azon személyek azonosítása érdekében, akiket korábban nem gyanúsítottak terrorista bűncselekmények vagy súlyos bűncselekmények elkövetésével, és akiket ezen értékelés eredménye alapján a bűnüldöző hatóságoknak részletes vizsgálatnak kell alávetniük („valós idejű” felhasználás). Végül a PNR‑adatokat olyan értékelési kritériumok megállapítására is használják, amelyeket a későbbiekben az utasok miatt felmerülő kockázat értékelésére lehet alkalmazni azok érkezését vagy indulását megelőzően („proaktív” felhasználás). A PNR‑adatok ilyen proaktív felhasználásának lehetővé kell tennie a bűnüldöző hatóságok számára, hogy a súlyos bűncselekmények és a terrorizmus jelentette veszély ellen másként lépjenek fel, mint amit a személyes adatok más kategóriáinak kezelése lehetővé tesz.(101)

102. A Bíróság ítélkezési gyakorlatából kiderül, hogy a közbiztonság védelmének célkitűzése, amely lefedi többek között mind a terrorista bűncselekmények, mind a súlyos bűncselekmények közé tartozó büntetőjogi jogsértések megelőzését, kivizsgálását, felderítését és üldözését, a Charta 52. cikke (1) bekezdésének értelmében az uniós jog olyan általános célkitűzésének minősül, amely igazolhatja a Charta 7. és 8. cikkében biztosított alapvető jogokba történő – akár súlyos – beavatkozást is.(102)

103. A Bíróság azt is elismerte, hogy a közbiztonság védelmének és a súlyos bűncselekmények elleni küzdelemnek a célkitűzése hozzájárul mások jogainak és szabadságainak védelméhez is.(103) Ennélfogva, ami e célkitűzések és a Charta 7. és 8. cikkében biztosított alapvető jogok kiegyensúlyozott mérlegelését illeti,(104) ahhoz figyelembe kell venni a Charta 3., 4., 6. és 7. cikkében biztosított jogokat is. E tekintetben a Bíróság ugyan a La Quadrature du Net ítéletben úgy vélte, hogy a Charta 6. cikkét „nem lehet úgy értelmezni, mint amely az arra kötelezi a hatóságokat, hogy bizonyos bűncselekmények megakadályozása érdekében egyedi intézkedéseket fogadjanak el”,(105) ezzel szemben, ami különösen a kiskorúak és más kiszolgáltatott személyek sérelmére elkövetett bűncselekmények elleni hatékony küzdelmet illeti, hangsúlyozta, hogy a magán‑ és a családi élet védelmére irányuló jogi intézkedések meghozatalát illetően a Charta 7. cikkéből, valamint az egyének testi és szellemi sérthetetlenségének védelme, továbbá a kínzás és az embertelen vagy megalázó bánásmód tilalma tekintetében annak 3. és 4. cikkéből is származhatnak a tagállamokat terhelő pozitív kötelezettségek.(106)

104. A Bíróság végül megállapította, hogy a nemzetbiztonság védelmére irányuló célkitűzés jelentősége meghaladja az – adott esetben súlyos – bűncselekmények elleni, általános küzdelem, valamint a közbiztonság védelmére irányuló cél jelentőségét, és ennélfogva igazolhatók az olyan intézkedések, amelyek súlyosabb beavatkozásokat jelentenek az alapvető jogokba, mint amelyek e más célokkal igazolhatók.(107) Mivel a terrorcselekmények veszélyt jelenthetnek a tagállamok nemzetbiztonságára, a PNR‑irányelv által létrehozott rendszer, amennyiben az eszközül szolgál az ilyen cselekmények elleni küzdelemhez, részt vesz a tagállamok nemzetbiztonságának megőrzésére irányuló célkitűzés megvalósításában.

d)      Az arányosság elvének tiszteletben tartásáról

105. A Charta 52. cikke (1) bekezdésének második mondata szerint az arányosság elvére figyelemmel, a Charta által elismert valamely alapvető jog korlátozására csak akkor és annyiban kerülhet sor, ha és amennyiben az elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.

106. E tekintetben emlékeztetni kell arra, hogy az arányosság elve – a Bíróság állandó ítélkezési gyakorlata értelmében – megköveteli, hogy az uniós intézmények aktusai alkalmasak legyenek a szóban forgó szabályozás által kitűzött jogszerű célok elérésére, és ne haladják meg az e célok eléréséhez szükséges mértéket.(108)

107. A Bíróság állandó ítélkezési gyakorlata szerint a magánélet tiszteletben tartásához való alapvető jog védelme uniós szinten megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges határokon belül maradjanak. Közérdekű célt továbbá nem lehet annak figyelembevétele nélkül megvalósítani, hogy azt össze kell egyeztetni az intézkedéssel érintett alapvető jogokkal, kiegyensúlyozottan mérlegelve az egyik oldalon a közérdekű célt, a másik oldalon pedig a szóban forgó jogokat.(109) Közelebbről, a Charta 7. és 8. cikkében biztosított jogok korlátozásának arányosságát a korlátozás által megvalósított beavatkozás súlyosságának mérlegelésével és azt igazolva kell értékelni, hogy a korlátozással követett közérdekű célkitűzés jelentősége összhangban áll‑e e súlyossággal.(110)

108. A Bíróság ítélkezési gyakorlatából következik, hogy az arányosság követelményének teljesítéséhez a Charta 7. és 8. cikkébe való, a jelen indítvány 70-83. pontjában leírt beavatkozást megvalósító jogalapként a PNR‑irányelvnek egyértelmű és pontos szabályokat kell tartalmaznia a szóban forgó intézkedés hatálya és alkalmazása vonatkozásában, és minimális követelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek az adatait továbbították, elegendő olyan biztosítékkal rendelkezzenek, amely lehetővé teszi személyes adataiknak a visszaélések veszélyeivel, valamint ezen adatok jogellenes felhasználásával szembeni hatékony védelmét.(111) Az ilyen biztosítékokkal való rendelkezés még inkább szükséges abban az esetben, ha – amint a jelen ügyben is – a személyes adatokat automatikusan kezelik, valamint ha a személyes adatok azon különleges kategóriájának védelméről van szó, mint amilyenek a különleges adatok.(112)

109. Ami a követelmények tiszteletben tartása bírósági felülvizsgálatának arányosság elvéből következő terjedelmét illeti, figyelembe véve azt a fontos szerepet, amelyet a személyes adatok védelme tölt be a magánélet tiszteletben tartásához való alapvető jog tekintetében, másrészről pedig az e jogot érintő, a PNR‑irányelv által megvalósított beavatkozást, az uniós jogalkotó mérlegelési jogköre korlátozott, és ezért azt szigorú felülvizsgálatnak kell alávetni.(113)

1)      A PNRadatoknak a PNRirányelv szerinti kezeléseinek a követett célkitűzésre tekintettel fennálló alkalmasságáról

110. Az 1/15. sz. vélemény 153. pontjában a Bíróság a Kanada–EU PNR‑megállapodás tervezetével kapcsolatban kijelentette, hogy a PNR‑adatok Kanadába történő továbbítása és azok utólagos kezelései úgy tekinthetők, mint amelyek alkalmasak a köz védelmére és biztonságára irányuló célkitűzés megvalósítására. Úgy tűnik számomra, hogy ez a mind uniós, mind világszinten régóta elismert alkalmasság(114) nem kérdőjelezhető meg az EU‑n kívüli és az EU‑n belüli járatokat érintő PNR‑adatok gyűjtését és utólagos kezelését illetően sem.(115)

111. Mindemellett a PNR‑adatok kezelésének az irányelvvel létrehozott rendszerének a hatékonyságát csak ténylegesen, alkalmazásának eredményeit mérlegelve lehet értékelni.(116) Ebből a szempontból alapvető jelentőséggel bír, hogy ez a hatékonyság a lehető legpontosabb és legmegbízhatóbb statisztikai adatok alapján folyamatos értékelésnek legyen alávetve.(117) E tekintetben a Bizottságnak rendszeresen el kellene végeznie a PNR‑irányelv 19. cikkében már előírt felülvizsgálattal analóg felülvizsgálatot.

2)      A beavatkozás szigorúan szükséges jellegéről

112. Bár a Cour constitutionnelle (alkotmánybíróság) nem fogalmazott meg kifejezett kétséget azzal kapcsolatban, hogy a PNR‑irányelv a PNR‑adatok kezelése céljainak meghatározására vonatkozóan(118) olyan szabályokat tartalmaz‑e, amelyek egyértelműek, pontosak és a szigorúan szükséges mértékre korlátozódnak, az említett irányelvben előírt rendszer arányosságának a kérdést előterjesztő bíróság által kért elemzése véleményem szerint nem kerülheti meg ezt a kérdést.(119)

i)      A PNRadatok kezelése céljainak meghatározásáról

113. Bármely adatkezelési rendszer, különösen a bűnüldözési célokat megvalósító rendszerek esetén alapvető követelmény, hogy egyértelműen meg kell határozni azokat a célokat, amelyekre tekintettel az illetékes hatóságok számára a személyes adatokhoz való hozzáférés és azok további felhasználása megengedett. E követelmény teljesítése egyébként szükséges ahhoz, hogy a Bíróság a beavatkozással követett célkitűzés fontosságához viszonyított súlyosságának mérlegelésére vonatkozó, az ítélkezési gyakorlatában kialakított teszt alkalmazásával értékelni tudja a szóban forgó intézkedések arányosságát.(120)

114. A Bíróság többek között a Digital Rights ítéletben, amelyben érvénytelenné nyilvánította a 2006/24 irányelvet, kiemelte annak fontosságát, hogy egyértelműen körül kell határolni a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogokat korlátozó intézkedések célját. Ezen ítélet 60. pontjában a Bíróság megjegyezte, hogy ez az irányelv egyáltalán nem tartalmaz „olyan objektív szempontot, amely lehetővé tenné az illetékes nemzeti hatóságok adatokhoz való hozzáférésének és az adatok olyan bűncselekményekhez kapcsolódó, megelőzési, felderítési és bűnüldözési célú, e hatóságok által történő későbbi felhasználásának körülhatárolását, amelyek a Charta 7. és 8. cikkében szereplő alapvető jogokba való beavatkozás terjedelmét és súlyosságát figyelembe véve kellően súlyosnak tekinthetők ahhoz, hogy e beavatkozást igazolják”, valamint, hogy ezzel ellenkezőleg az irányelv „1. cikkének (1) bekezdésében csupán általánosságban utal azon súlyos bűncselekményekre, amelyeket az egyes tagállamok belső jogukban meghatároznak”.

115. A PNR‑irányelv 1. cikkének (2) bekezdése a célok korlátozására vonatkozó általános kritériumot határoz meg, amely szerint „[az] ezen irányelvvel összhangban gyűjtött PNR‑adatokat kizárólag terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából lehet kezelni”. A 2006/24 irányelvvel ellentétben azonban a PNR‑irányelv nem csupán ezen előírást tartalmazza, hanem a 3. cikk 8. és 9. pontjában maga is meghatározza mind a „terrorista bűncselekmény”, mind a „súlyos bűncselekmény” fogalmát azzal, hogy az előbbit illetően a terrorizmus elleni küzdelemről szóló, 2002. június 13‑i 2002/475/IB tanácsi kerethatározat (HL 2002. L 164., 3. o.; magyar nyelvű különkiadás: 19. fejezet, 6. kötet, 18. o.) (amelynek helyébe lépett az (EU) 2017/541 irányelv)(121) 1‑4. cikkére hivatkozik, az utóbbi esetében pedig azzal, hogy egyrészt a II. mellékletben felsorolja a bűncselekmények e fogalomnak megfelelő kategóriáit, másrészt pedig meghatároz egy súlyossági küszöböt a szabadságvesztés vagy a biztosítási intézkedés azon maximális időtartamához kapcsolódóan, amellyel ezek a bűncselekmények büntethetők.

116. Bár a 2017/541 irányelv releváns rendelkezéseire való hivatkozás lehetővé teszi a PNR‑irányelv 3. cikkének 8. pontja alapján terrorista bűncselekménynek minősíthető cselekmények kellően egyértelmű és pontos meghatározását, és azok súlyosságának értékelését a közbiztonság védelmére irányuló, az irányelv által kitűzött cél fontosságának és a Charta 7. és 8. cikkében foglalt alapvető jogokba való beavatkozás súlyosságának egyensúlyba hozatala érdekében, ugyanez a következtetés nem vonható le ugyanennyire egyértelműen a II. mellékletben felsorolt valamennyi bűncselekmény tekintetében.

117. Az 1/15. sz. vélemény 177. pontjában a Bíróság úgy vélte, hogy az EU‑Kanada PNR‑megállapodás világosan és pontosan meghatározza a „súlyos nemzetközi bűncselekmény” fogalma körébe tartozó bűncselekmények súlyossági fokát, előírva, hogy azokat legalább négyévi szabadságvesztéssel vagy ennél súlyosabb büntetéssel rendeljék büntetni”, utalva „a kanadai jogban meghatározott bűncselekményekre”, és meghatározva „azokat a különböző eseteket, amelyekben valamely bűncselekmény jellegét tekintve nemzetközinek minősül”.

118. A Bíróság által e véleményben vizsgált szabályozáshoz képest a PNR‑irányelv először is nem veszi figyelembe a hatálya alá tartozó bűncselekmények meghatározásakor azok nemzetközi jellegét, másodszor, kimerítően felsorolja azokat a bűncselekményeket, amelyek jellegüknél fogva súlyos bűncselekménynek minősülnek, feltéve, hogy elérik a maximális büntetési tételnek az irányelv 3. cikkének 9. pontjában előírt minimum küszöbét, harmadszor pedig elvben csökkenti a súlyossági küszöböt azáltal, hogy a maximális büntetési tétel szintjére vonatkozó kritériumot fogad el, és ezt a küszöböt három évben határozza meg.

119. Ami először a nemzetközi jellegen alapuló korlátozásra vonatkozó kritérium hiányát illeti, kétségtelenül igaz, hogy ha a PNR‑irányelv tárgyi hatályát úgy határozták volna meg, hogy az alá egyedül a súlyos „nemzetközi” bűnözés tartozik, az lehetővé tette volna, hogy kizárólag olyan bűncselekményekre alkalmazzák, amelyek jellegüknél fogva – legalábbis eshetőlegesen – objektív kapcsolatban vannak a légi közlekedéssel, és következésképpen a PNR‑irányelv alkalmazásával gyűjtött és kezelt adatkategóriákkal.(122) Ugyanakkor elvben egyetértek a Bizottság által kifejtett azon állásponttal, amely szerint a nemzetközi megállapodás összefüggéseitől eltérően az ilyen kritérium kevésbé nyilvánvaló a bűnözés elleni küzdelemmel kapcsolatos olyan rendelkezés esetében, amelynek célja az Unió belső biztonságának védelme. Ezen túlmenően, ahogyan azt ugyancsak a Bizottság megállapítja, a határokon átnyúló elemek hiányát önmagában nem lehet a jogsértés súlyosságának kizárására utaló jelnek tekinteni.

120. Másodszor, ami az érintett bűncselekmények súlyosságára vonatkozó küszöböt meghatározó kritériumot illeti – amelyet e súlyosság előzetes értékelésének lehetővé tétele érdekében úgy kell értelmezni, hogy az a törvényben előírt szabadságvesztés büntetés vagy biztosítási intézkedés maximális időtartamára, nem pedig egy adott esetben ténylegesen kiszabható maximális időtartamra vonatkozik –, olyan kritérium, amely bár a maximális büntetési mértékre vonatkozó minimum küszöbön, nem pedig a minimális büntetési mérték minimum küszöbén alapul, önmagában nem alkalmatlan olyan megfelelő súlyossági szint azonosítására, amely alapján a PNR‑irányelvben előírt adatkezelésekkel járó, a Charta 7. és 8. cikkében foglalt alapvető jogokba való beavatkozás igazolható. Véleményem szerint ezt azonban a súlyossági szintet meghatározó „minimum” kritériumként kell értelmezni. Míg tehát az ilyen kritérium megtiltja a tagállamoknak, hogy „súlyos bűncselekménynek” minősítsenek a II. mellékletben felsorolt olyan bűncselekményeket, amelyek esetében nemzeti büntetőjoguk szerint a szabadságvesztés büntetés vagy biztosítási intézkedés maximális büntetési tétele kevesebb, mint három év, ezzel szemben nem kötelezi őket arra, hogy automatikusan elismerjék ezt a minőséget a II. mellékletbe sorolható minden olyan bűncselekmény esetében, amely a PNR‑irányelv 3. cikkének 9. pontjában meghatározott küszöbértéket elérő büntetéssel büntethető, amennyiben büntetőjogi rendszerük sajátosságaira tekintettel ez az elismerés a közös bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából a PNR‑irányelvben előírt rendszer irányelv céljaival ellentétes alkalmazását eredményezné.

121. Harmadszor, ami a II. mellékletben szereplő jegyzéket illeti, először is rá kell mutatni, hogy az a körülmény, hogy a PNR‑irányelv kimerítően felsorolja a „súlyos bűncselekmény” fogalmába tartozó bűncselekményeket, alapvető eljárási és anyagi garanciát jelent a PNR‑irányelv által létrehozott rendszer jogszerűségének és az utasok jogbiztonságának biztosítására. Meg kell ugyanakkor jegyezni, hogy ez a jegyzék tartalmaz olyan bűncselekményeket, amelyek súlyossága jellegüknél fogva kétségtelenül nagyobb – mint például az emberkereskedelem, a gyermekek szexuális kizsákmányolása és a gyermekpornográfia, a fegyverkereskedelem, a nukleáris vagy radioaktív anyagokkal való kereskedelem, a repülőgép/hajó eltérítése, a Nemzetközi Büntetőbíróság joghatósága alá tartozó súlyos bűncselekmények, a gyilkosság, a nemi erőszak, az emberrablás és a túszejtés(123) –, de olyan bűncselekményeket is, amelyek esetében ez a súlyossági szint kevésbé nyilvánvaló, mint például csalás, hamisítás és termékkalózkodás, közigazgatási dokumentumok hamisítása és hamisított áruk kereskedelme, valamint lopott járművekkel való kereskedelem.(124) Ezen túlmenően a II. mellékletben szereplő bűncselekmények némelyike jellegénél fogva nagyobb valószínűséggel nemzetközi jellegű, mint például az ember‑, kábítószer‑ vagy fegyverkereskedelem, a gyermekek szexuális kizsákmányolása, a jogellenes beutazás és tartózkodás elősegítése, a gépeltérítés, valamint a légi személyszállítással kapcsolatos bűncselekmények.

122. Ami a II. mellékletben szereplő rovatok kellően egyértelmű és pontos jellegét illeti, azok szintje eléggé változó. Ennélfogva, bár az e mellékletben szereplő listát kimerítőnek kell tekinteni, annak több rovata „nyitott” jellegű,(125) mások pedig olyan általános fogalmakra utalnak, amelyek nagyon sok, különböző súlyosságú bűncselekményt foglalhatnak magukban, jóllehet mindig a PNR‑irányelv 3. cikkének 9. pontjában meghatározott felső határon belül.(126)

123. E tekintetben rámutatok egyrészt, hogy az EUMSZ 83. cikk (1) bekezdése szerinti területeken elfogadott, a jelen indítvány 123.  lábjegyzetében hivatkozott irányelvek megállapítják azokat az elemeket, amelyek lehetővé teszik legalább bizonyos, a II. melléklet megfelelő rovatához tartozható, súlyos bűncselekmények azonosítását. Így például a 2013/40 irányelv 3‑8. cikke meghatározza azokat a különböző bűncselekményeket, amelyek a II. melléklet 9. pontja szerinti „kiberbűnözés” fogalmának hatálya alá tartoznak, minden esetben gondoskodva arról, hogy kizárja az alól azokat a cselekményeket, amelyek „kisebb súlyúak”.(127) Hasonlóképpen a 2019/713 irányelv meghatározza a csalást megvalósító bűncselekmények bizonyos típusait, a 2017/1371 irányelv pedig az „Unió pénzügyi érdekei ellen elkövetett csalás” tényállási elemeit határozza meg. Ebben az összefüggésben említést kell tenni az EK 175. cikk (1) bekezdése alapján elfogadott, a környezet büntetőjog általi védelméről szóló 2008/99/EK irányelvről(128) is, amely 3. cikkében meghatározza azokat a súlyos környezetkárosító bűncselekményeket, amelyek „a veszélyeztetett állatfajok, valamint a veszélyeztetett növényfajok és ‑fajták tiltott kereskedelmének” minősíthető cselekményeket is ideértve a II. melléklet 10. rovatának a hatálya alá is tartozhatnak, kizárva minden olyan cselekményt, amely a védett jogtárgyra elhanyagolható hatást gyakorol. Végül szeretnék emlékeztetni a jogellenes be‑ és átutazáshoz, valamint a jogellenes tartózkodáshoz történő segítségnyújtás meghatározásáról szóló 2002/90/EK irányelvre(129) és az e bűncselekmények elleni küzdelem büntetőjogi keretének megerősítéséről szóló 2002/946/IB kerethatározatra,(130) a 2003/568/IB kerethatározatra,(131) amely meghatározza a magánszektorban „aktív és passzív korrupciónak” minősülő bűncselekményeket, valamint a 2008/841/IB kerethatározatra,(132) amely a szervezett bűnözésben való részvételhez kapcsolódó bűncselekményeket határozza meg.

124. Másrészt rámutatok arra, amint azt a Bizottság helyesen megjegyezte, hogy a büntetőjog teljes harmonizációjának hiányában nem lehet felróni az uniós jogalkotónak, hogy nem pontosította tovább a II. melléklet szerinti bűncselekményeket. Ennélfogva, attól eltérően, amit a PNR‑adatoknak az I. melléklet szerinti listájával kapcsolatban a jelen indítványban később meg fogok állapítani, a II. melléklet szerinti bűncselekmények körének a belső jogba történő átültetése szükségszerűen megköveteli a tagállamoktól, hogy nemzeti büntetőjogi rendszerük sajátosságaira figyelemmel határozzák meg az esetlegesen érintett bűncselekményeket. Ezt a feladatot ugyanakkor úgy kell elvégezniük, hogy teljes mértékben tiszteletben tartják azon kritériumot, amely szerint a Charta 7. és 8. cikkében megállapított alapvető jogokba való bármely beavatkozásnak a szigorúan szükséges mértékre kell korlátozódnia. Így például véleményem szerint nem kizárt, hogy a tagállamok úgy rendelkezzenek, hogy a PNR‑adatok felhasználása bizonyos bűncselekmények esetében, mint például a II. melléklet 7., 16., 17., 18. és 25. pontjában említett bűncselekmények, olyan esetekre korlátozódjon, amikor ezek a bűncselekmények nemzetközi jellegűek, azokat bűnszervezet keretében követik el, vagy azok bizonyos súlyosbító körülményeket tartalmaznak. A Bíróság felülvizsgálata mellett a tagállamok bíróságainak feladata, hogy az említett listát a belső jogba átültető rendelkezéseket mind a PNR‑irányelvvel, mind a Chartával összhangban értelmezzék oly módon, hogy a PNR‑adatok kezelése mindegyik rovat esetében azokra a bűncselekményekre legyen korlátozva, amelyek elérik az ezen irányelv által megkövetelt magas súlyossági küszöböt, valamint amelyek esetében ez az adatkezelés releváns.(133)

125. A jelen indítvány 120. és 124. pontjában foglalt pontosításokra is figyelemmel úgy vélem, hogy a PNR‑irányelv 3. cikkének 9. pontja és a bűncselekmények II. mellékletben szereplő katalógusa megfelel az egyértelműség és a pontosság követelményeinek, és nem lépi túl a szigorúan szükséges mértéket.

126. El kell ugyanakkor ismerni, hogy a jelen indítvány 124. pontjában bemutatott megoldás nem teljesen kielégítő. Egyrészt ugyanis jelentős mérlegelési mozgásteret hagy a tagállamok számára, így a PNR‑adatok kezelésének tárgyi hatálya érzékelhetően eltérhet az egyik vagy másik tagállamban, amely így veszélyezteti az uniós jogalkotó által követett harmonizációs cél elérését.(134) Másrészt azzal jár, hogy a rendszer valamely alapvető elemének – mint például ezen adatkezelés céljai korlátozásának – az arányosságára vonatkozó vizsgálatot inkább utólagosan, az átültető nemzeti intézkedés tekintetében végzik el ahelyett, hogy arra előzetesen, magának a PNR‑irányelvnek a viszonylatában. Kívánatos lenne tehát, hogy amennyiben a Bíróság úgy dönt – amint azt javaslom –, hogy a PNR‑irányelv 3. cikkének 9. pontját és a bűncselekményeknek a II. mellékletben szereplő katalógusát úgy kell tekinteni, hogy azok összhangban állnak a Charta 7. és 8. cikkével, valamint 51. cikkének (2) bekezdésével, felhívja az uniós jogalkotó figyelmét arra, hogy ez az értékelés csak ideiglenes jellegű, és azt jelenti, hogy a jogalkotónak az e rendelkezésnek és katalógusnak a tagállamok általi átültetése fényében, valamint a PNR‑irányelv 20. cikkében említett statisztikai adatok alapján meg kell vizsgálnia, hogy szükséges‑e: i. a hatály szűkítésével tovább pontosítani a katalógusban szereplő bűncselekmények kategóriáit, ii. törölni azokat a bűncselekményeket, amelyek tekintetében a PNR‑adatok kezelése akár aránytalannak, akár nem relevánsnak vagy hatástalannak bizonyul, iii. megemelni a bűncselekmények súlyosságára vonatkozóan a PNR‑irányelv 3. cikkének 9. pontjában rögzített küszöböt.(135) E tekintetben rámutatok, hogy a bár a PNR‑irányelv 19. cikke (2) bekezdésének b) pontja kötelezi a Bizottságot a felülvizsgálatra, amelynek során különös figyelmet kell szentelnie az ezen irányelv által „meghatározott minden egyes célból történő PNR‑adatok gyűjtése és kezelése szükségességének és arányosságának”, sem a Bizottság 2020‑as jelentése, sem pedig az azt kísérő 2020‑as munkadokumentum véleményem szerint nem tartalmazza e pont kielégítő felülvizsgálatát.

ii)    A PNRadatoknak a PNRirányelvben említett kategóriái (az előzetes döntéshozatalra előterjesztett második és harmadik kérdés)

127. A PNR‑irányelv előírja a légi fuvarozók által a járatfoglalás céljából gyűjtött PNR‑adatok 19 kategóriájának az adat‑információs egységek részére történő továbbítását. Ezek az I. mellékletben felsorolt kategóriák megfelelnek a légitársaságok helyfoglalási rendszereiben szereplő kategóriáknak, valamint a Nemzetközi Polgári Repülési Szervezet (ICAO) által 2010‑ben elfogadott, az utasnyilvántartási adatállományra vonatkozó iránymutatások(136) (a továbbiakban: ICAO‑iránymutatások) I. mellékletében felsorolt kategóriáknak.

128. Az előzetes döntéshozatalra előterjesztett második kérdésével a kérdést előterjesztő bíróság arra vár választ, hogy a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésére tekintettel érvényesnek tekinthető‑e az I. melléklet, figyelembe véve egyrészt az e mellékletben felsorolt személyes adatok – és többek között az annak 18. pontjában hivatkozott API‑adatok – terjedelmét, amennyiben az meghaladja az API‑irányelv 3. cikkének (2) bekezdésében felsorolt adatok terjedelmét, másrészt pedig azt a lehetőséget, hogy ezek az adatok összességükben különleges adatoknak minősülnek, és ezáltal megsértik a „szigorúan szükséges” mérték korlátját. Előzetes döntéshozatalra előterjesztett harmadik kérdésével, amely – amint azt már volt alkalmam kiemelni – a Charta 52. cikke (1) bekezdésében felsorolt feltételek közül az első, azon feltétel tiszteletben tartására vonatkozik, amely szerint az alapvető jogba való bármely beavatkozásnak „törvény által” előírtnak kell lennie, a Cour constitutionnelle (alkotmánybíróság) ezzel szemben az I. melléklet 12. és 18. pontjának érvényességéről kérdezi a Bíróságot, különös tekintettel e pontok „nyílt” jellegére.

129. Mivel az előzetes döntéshozatalra előterjesztett második kérdés keretében elvégzendő vizsgálatnak előfeltétele annak vizsgálata, hogy az I. mellékletben említett személyes adatok kategóriái kellően világosak és pontosak‑e, először az előzetes döntéshozatalra előterjesztett harmadik kérdéssel fogok foglalkozni.

–       Az I. melléklet 12. és 18. pontjának kellően egyértelmű és pontos jellegéről (az előzetes döntéshozatalra előterjesztett harmadik kérdés)

130. Előzetesen rá kell mutatni, hogy a Charta 7. és 8. cikkében megállapított alapvető jogokba való beavatkozás mértéke és súlyossága, amelyet az e jogok gyakorlását korlátozó intézkedés tartalmaz, mindenekelőtt az adatkezelés tárgyát képező személyes adatok terjedelmétől és jellegétől függ. Az ilyen adatok azonosítása tehát olyan alapvető műveletnek minősül, amelyet az ilyen intézkedést bevezető valamennyi jogalap esetében a lehető legnagyobb egyértelműséggel és legpontossággal kell végrehajtani.

131. Ezt a követelményt a PNR‑adatok kezelése tekintetében az 1/15. sz.  vélemény ismerte el. A Kanada–EU PNR‑megállapodás tervezetének mellékletében szereplő, e megállapodás hatálya alá tartozó PNR‑adatok felsorolását tartalmazó rovatokat vizsgálva a Bíróság e véleményében többek között úgy vélte, hogy az olyan általános adatkategóriák alkalmazása, amelyek nem határozzák meg kellőképpen a továbbítandó adatok körét, valamint az adatokat példálózó jelleggel felsoroló olyan listák használata, amelyek semmilyen korlátozást nem tartalmaznak az érintett rovatban szerepeltethető adatok jellegét és terjedelmét illetően, nem felel meg az egyértelműség és a pontosság követelményének.

132. Ezen alapelvek fényében kell megvizsgálni az előzetes döntéshozatalra előterjesztett harmadik kérdést.

133. Ami az I. melléklet 12. pontját illeti, annak szövege a következő:

„Általános megjegyzések (beleértve a felügyelet nélkül utazó, 18 év alatti kiskorúakra vonatkozó minden rendelkezésre álló információt, így a kiskorú nevét és nemét, életkorát, az általa beszélt nyelvet vagy nyelveket, az indulási oldalon megjelent gondviselő nevét és elérhetőségét, valamint a kiskorúhoz fűződő kapcsolatát, az érkezési oldalon a kiskorút váró gondviselő nevét és elérhetőségét, valamint a kiskorúhoz fűződő kapcsolatát, az indulási és az érkezési oldalon megbízott személyt)”

134. Amennyiben az „általános megjegyzésekre” utal, ez a pont a Kanada–EU PNR‑megállapodás tervezete mellékletének 17. pontjához hasonlóan úgynevezett „szabad szöveges” címsor, amelynek célja, hogy az I. melléklet más pontjaiban kifejezetten felsoroltakon túlmenően a légi fuvarozók által a szolgáltatásnyújtási tevékenységük során gyűjtött valamennyi információra kiterjedjen. Meg kell azonban jegyezni, ahogyan azt a Bíróság is tette az 1/15. sz. vélemény 160. pontjában, hogy az ilyen rovat „nem nyújt semmilyen tájékoztatást a továbbítandó felvilágosítások jellegéről és terjedelméről, sőt úgy tűnik, felölelheti még az olyan információkat is, amelyek nem állnak semmilyen összefüggésben a PNR‑adatok továbbításának céljával”. Ezenkívül, mivel az 1. melléklet 12. pontjának szövegében zárójelben lévő, a kísérő nélküli kiskorúakra vonatkozó adatokkal kapcsolatos pontosítás csak példaként szolgál, amint azt a „beleértve” szó használata is bizonyítja, ez a pont nem szab korlátokat a feltüntethető információk jellegére és terjedelmére vonatkozóan.(137)

135. E feltételek mellett az I. melléklet 12. pontja nem tekinthető kellően egyértelmű módon és pontosan körülhatároltnak.

136. Bár a Bizottság és a Parlament látszólag osztja ezt a következtetést, az előzetes döntéshozatalra előterjesztett harmadik kérdéssel kapcsolatban észrevételeket benyújtó tagállamok és a Tanács nagyrészt egymást átfedő érvek alapján ellenzik azt.

137. Először is, az érvek első csoportja általánosságban kérdőjelezi meg a Bíróság 1/15. sz. véleményben levont következtetéseinek átültethetőségét a jelen ügyre.

138. E tekintetben, miután teljes mértékben tisztában vagyok a két ügy eltérő hátterével, csak annak megjegyzésére szorítkozom, hogy az a következtetés, amelyre a Bíróság az 1/15. sz. vélemény 160. pontjában jutott a Kanada–EU PNR‑megállapodás tervezete mellékletének 17. pontjával kapcsolatban, kizárólag e rovat szemantikai és szerkezeti értelmezésén alapult. Márpedig ez az értelmezés tökéletesen átültethető az I. melléklet 12. pontjára, amelynek szövege – a nem példálózó részében – megegyezik az említett rovatéval, és a szerkezete is hasonló. Egyebekben, amint azt az alábbiakban részletesen látni fogjuk, a két szóban forgó szabály ugyanabba a többoldalú, többek között azon ICAO‑iránymutatásokkal létrehozott szabályozási keretbe illeszkedik, amelyekre a Bíróság is kifejezetten utal az 1/15. sz. vélemény 156. pontjában. Ilyen feltételek mellett nemcsak hogy nincs akadálya annak, hogy az I. melléklet 12. pontja tekintetében ugyanazt az értelmezést kövessük, mint amelyet a Bíróság az 1/15. sz. vélemény 160. pontjában a Kanada–EU PNR‑megállapodás tervezete mellékletének 17. pontja tekintetében elfogadott, hanem mindenekelőtt semmi nem is igazolja, hogy ne abból induljunk ki.

139. Másodszor, a tagállamok jelentős része kiemeli, hogy a 12. pontot is ideértve az I. melléklet különböző pontjai az ICAO‑iránymutatások I. melléklete rovatainak felelnek meg, amelyeket a légi fuvarozók ismernek, és amelyek tekintetében képesek azokhoz pontos tartalmat rendelni. Ez a 12. pont különösen az említett melléklet utolsó két rovatának felel meg, amelyek elnevezése „általános megjegyzések” és „Szabad szöveg/az OSI [Other Supplementary Information], SSR [Special Service Request], SSI [Special Service Information] kódokhoz tartozó megjegyzések, Megjegyzések/előzmények”, amelyek „kiegészítő információkkal” szolgálnak, vagy „a kért szolgáltatásokra vonatkoznak”.(138)

140. E tekintetben mindenekelőtt megjegyzem, hogy egyrészről a Kanada–EU PNR‑megállapodás tervezetének I. mellékletében szereplő rovatok, másrészről pedig az ICAO‑iránymutatások I. mellékletében szereplő rovatok közötti megfelelés nem akadályozta meg a Bíróságot abban, hogy az 1/15. sz. véleményében megállapítsa, hogy az említett megállapodás tervezetének I. mellékletében szereplő egyes rovatok nem felelnek meg az egyértelműség és pontosság azon követelményeinek, amelyeknek az alapvető jogok gyakorlását korlátozó intézkedésnek meg kell felelniük. Rámutatok továbbá, hogy az, hogy az ICAO‑iránymutatásokra egyébként nem hivatkoznak kifejezetten,(139) az egyes államok érveléséből kitűnő állásponttal ellentétben nem teszi lehetővé az I. melléklet 12. pontjában hivatkozható információk jellegének és terjedelmének további pontosítását. Éppen ellenkezőleg, ezen iránymutatások szövegének olvasata megerősíti azt a következtetést, amely szerint egy „szabad szövegű” rovat, mint például az említett 12. pont, a PNR‑adatokban automatikusan szereplő információkon túlmenően meghatározatlan mennyiségű, különböző jellegű információt tartalmaz.(140)

141. Harmadszor, egyes kormányok érvelése szerint a tagállamok feladata, hogy a Charta 7. és 8. cikke, valamint 52. cikkének (1) bekezdése által megszabott korlátokon belül, nemzeti jogalkotási intézkedésekkel meghatározzák az I. melléklet 12. pontjába felvehető információkat. Egy irányelv ugyanis természetéből adódóan mérlegelési lehetőséget hagyhat a tagállamok számára az irányelvben foglalt rendelkezések végrehajtásához szükséges eszközök tekintetében.

142. E tekintetben, amint azt a jelent indítvány 86. pontjában már kifejtettem, úgy vélem, hogy amennyiben a Charta által megállapított alapvető jogokba való beavatkozással járó intézkedések az Unió valamely jogalkotási aktusából származnak, az uniós jogalkotó feladata, hogy az egyértelműség és pontosság fent említett kritériumainak és az arányosság elvének tiszteletben tartásával meghatározza az ilyen beavatkozások pontos hatályát. Ebből következik, hogy ha az e jogalkotó által választott eszköz egy irányelv, véleményem szerint nem lehet a tagállamokra bízni, hogy annak a nemzeti jogukba való átültetése során határozzák meg a beavatkozás hatályát megállapító lényeges elemeket, mint például a Charta 7. és 8. cikkében biztosított alapvető jogok korlátozása esetén az adatkezelés tárgyát képező személyes adatok jellegét és terjedelmét.

143. Negyedszer, egyes tagállamok megjegyzik, hogy az I. melléklet 12. pontját úgy kell értelmezni, hogy az csak a fuvarozási szolgáltatással kapcsolatos információkra vonatkozik. Így értelmezve ez a pont összeegyeztethető lenne a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével.

144. Engem azonban ez az érv sem győz meg. Mindenekelőtt ugyanis az „általános megjegyzések” rovatban az OSI, SSI és SSR kódok alatt feltüntethető információk nagyon heterogén jellegűek (orvosi ellátás, különleges étkezés vagy étkezési preferenciák, segítségkérés, egyedül utazó kiskorúakra vonatkozó információk, stb.),(141) és mindegyik kapcsolódik a fuvarozási szolgáltatáshoz, mivel többek között arra irányulnak, hogy a légi fuvarozó az egyes utasok igényeihez tudja igazítani e szolgáltatást. Az olyan értelmezési szempont tehát, amely az információ fuvarozási szolgáltatással kapcsolatos relevanciáján alapul, nem tenné lehetővé e 12. pont hatályának további pontosítását. Rámutatok továbbá, hogy a Bíróság az 1/15. sz. vélemény 159. pontjában ugyan hivatkozott erre a kritériumra annak érdekében, hogy az egyértelműség és a pontosság követelményeinek megfelelő módon értelmezze a Kanada–EU PNR‑megállapodás tervezete mellékletének egy másik rovatát, mindazonáltal kizárta ennek lehetőségét e melléklet 17. rovata tekintetében, amely megfelel az I. melléklet 12. pontjának.

145. Ötödször, néhány tagállam hangsúlyozta, hogy az I. melléklet 12. pontja alá tartozó információkat a légi fuvarozóknak önkéntes módon maguk az utasok adják meg, és ezen utóbbiakat megfelelően tájékoztatják az adatoknak a hatóságok részére történő későbbi továbbításáról. Úgy tűnik számomra, hogy az ilyen érvelés mögött az a gondolat húzódik meg, hogy az érintett utas valamiféle hallgatólagos hozzájárulását adja ahhoz, hogy az általa a légitársaságoknak megadott adatokat később továbbítsák a hatóságoknak.

146. E tekintetben a Bíróságnak már volt alkalma megállapítani, hogy nem lehet szó „hozzájárulásról”, ha az érintett nem kifogásolhatja szabadon személyes adatainak kezelését.(142) Márpedig az I. melléklet 12. pontjában feltüntethető adatok nagy része tekintetében az érintett utas nem rendelkezik valódi választási lehetőséggel, hanem azokat meg kell adnia ahhoz, hogy igénybe vehesse a fuvarozási szolgáltatást. Többek között ez a helyzet például a fogyatékkal élő vagy csökkent mozgásképességű személyek, az orvosi ellátásra szoruló személyek vagy a kísérő nélküli kiskorúak esetében. Emlékeztetek egyébként arra, hogy a Bíróság az 1/15. sz. vélemény 142. és 143. pontjában egyértelműen kijelentette, hogy a PNR‑adatok ilyen kezelésének célja különbözik attól a céltól, amelynek érdekében a légi fuvarozók az ilyen adatokat összegyűjtik, mivel nem állapítható meg, hogy az az utasok által a légi fuvarozók részére az adatgyűjtéshez adott bármilyen hozzájáruláson alapulna.

147. Végül a legtöbb tagállam azzal érvel, hogy a PNR‑irányelvben előírt adatkezelést számos biztosíték veszi körül, amelyek között az utas‑adat információs egységek részére történő adattovábbítással kapcsolatban szerepel az az ezen egységeket terhelő kötelezettség, hogy töröljék az I. mellékletben nem szereplő adatokat, valamint azokat az adatokat, amelyekből kiderülhet valamely személy faji vagy etnikai származása, politikai véleménye, vallása vagy világnézeti meggyőződése, szakszervezeti tagsága, egészségi állapota, szexuális élete vagy szexuális irányultsága.

148. E tekintetben elöljáróban szeretném elmondani, hogy véleményem szerint annak értékelését, hogy a hatóságoknak továbbítható adatok körét és jellegét meghatározó szabályok kellően világosak és pontosak‑e, tekintettel arra, hogy ezen értékelés annak vizsgálatára irányul, hogy a Charta 7. és 8. cikkében megállapított alapvető jogokba való beavatkozást jelentő intézkedés megfelel‑e a jogszerűség és a jogbiztonság elvének, az ilyen adatoknak az említett hatóságok általi kezelését körülvevő garanciák figyelembevétele nélkül kell elvégezni, mivel ezeket a garanciákat csak a szóban forgó intézkedés arányosságának vizsgálata során kell figyelembe venni. A Bíróság ebben a szellemben végezte el a Kanada–EU PNR‑megállapodás tervezetének rovataira vonatkozó értékelését az 1/15. sz. vélemény 155163. pontjában. Általánosabban hozzátenném, hogy különös figyelmet kellene fordítani annak szükségességére, hogy az alapvető jogokba való beavatkozással járó intézkedés vizsgálatának különböző szakaszai között világos különbséget kell tenni, mivel e különböző szakaszok összemosása véleményem szerint mindig az alapvető jogok hatékony védelmének rovására megy.

149. Mindezek után itt csak annak kijelentésére szorítkozom, hogy egyrészt az utas‑adat információs egységeknek a PNR‑irányelv 6. cikkének (1) bekezdésében előírt azon kötelezettsége, hogy az I. mellékletben felsoroltakon kívüli adatokat töröljék, csak akkor hasznos, ha az említett melléklet az átadandó adatok egyértelmű és zárt jegyzékét tartalmazza. Ugyanez vonatkozik az utas‑adat információs egységeknek a PNR‑irányelv 13. cikkének (4) bekezdése alapján fennálló, arra vonatkozó kötelezettségére, hogy az úgynevezett „különleges” adatokat töröljék.(143) A továbbítandó információk homályos, pontatlan és nyílt meghatározása növeli mind annak a valószínűségét, hogy közvetetten ilyen adatokat is továbbítsanak, mind annak kockázatát, hogy azokat nem azonosítják és törlik azonnal. Más szóval, a fent említett biztosítékok csak akkor tudják hasznosan betölteni a funkciójukat, ha a légi fuvarozók által az utas‑adat információs egységek részére továbbítandó PNR‑adatok jellegét és terjedelmét meghatározó szabályok kellően világosak és pontosak, és ha az ilyen adatok listája zárt és kimerítő jellegű.

150. A fenti megfontolások alapján, és amint azt a jelen indítvány 135. pontjában előre jeleztem, úgy vélem, hogy az I. melléklet 12. pontja, amennyiben az „általános megjegyzéseket” is azon adatok közé sorolja, amelyeket a légi fuvarozóknak a PNR‑irányelvvel összhangban továbbítaniuk kell az utas‑adat információs egységek részére, nem felel meg az egyértelműségnek és a pontosságnak a Charta 52. cikkének (1) bekezdésében előírt követelményének, ahogyan azt a Bíróság értelmezte,(144) és ezért e tekintetben azt érvénytelennek kell nyilvánítani.

151. Írásbeli észrevételeiben a Bizottság és a Parlament azt javasolta, hogy a Bíróság inkább az I. melléklet 12. pontjának „az uniós joggal összhangban való értelmezését” alkalmazza, és azt úgy értelmezze, hogy az csak a zárójelben kifejezetten említett, kiskorúakra vonatkozó információkra vonatkozik. Bevallom, némileg nehezen tudom elképzelni, hogy az ilyen olvasat tiszteletben tartja azokat a korlátokat, amelyek pusztán az uniós joggal összhangban való értelmezésből következnek. Kétségtelenül igaz, hogy egy általános értelmezési elv szerint valamely uniós jogi aktust – amennyire lehetséges – úgy kell értelmezni, hogy ne váljék kérdésessé annak érvényessége, és hogy megfeleljen az elsődleges jog egészének, többek között a Charta rendelkezéseinek.(145) Szintén igaz, hogy a PNR‑irányelvet illetően úgy tűnik, hogy ezen értelmezés előnyben részesítésének kedvez az, hogy ezen irányelv számos preambulumbekezdése az alapvető jogok, a magánélet tiszteletben tartásához való jog és az arányosság elvének teljes tiszteletben tartására helyezi a hangsúlyt.(146) Ugyanakkor szintén az állandó ítélkezési gyakorlatból következik, hogy az uniós joggal összhangban való értelmezés csak akkor megengedett, ha a másodlagos uniós jog valamely szabályának szövege többféleképpen értelmezhető, és ennélfogva azt az értelmezést kell előnyben részesíteni, amelynek alapján az adott rendelkezés összeegyeztethető az elsődleges joggal, szemben azzal, amely az azzal való összeegyeztethetetlenség megállapításához vezetne.(147)

152. Márpedig az I. melléklet 12. pontja véleményem szerint nem értelmezhető a Bizottság és a Parlament által javasolt módon, kivéve, ha „contra legem” értelmezéssel értelmezzük. Ez a pont ugyanis, amint azt fentebb kifejtettem, különböző típusú, előzetesen nem azonosítható adatok széles kategóriájára vonatkozik, amelynek a kiskorúakra vonatkozó adatok csak egy alkategóriáját alkotják. Ha ezt a pontot úgy értelmeznénk, hogy csak erre az alkategóriára vonatkozik, akkor az nemcsak a szövegezés egy részét hagyná figyelmen kívül, hanem az e pontba foglalt szöveg logikai sorrendjét is felborítaná. Az ilyen művelet, amely lényegében kiiktatja az I. melléklet 12. pontja szövegének azon részét, amely nem felel meg az egyértelműség és a pontosság követelményeinek, véleményem szerint csak a részleges megsemmisítés elrendelése útján hajtható végre.

153. Ami az I. melléklet 12. pontjának fennmaradó részét illeti, amely a kísérő nélküli kiskorúakra vonatkozó adatok sorát állapítja meg, úgy vélem, hogy az megfelel az egyértelműség és a pontosság követelményeinek, feltéve, hogy azt úgy kell értelmezni, hogy csak a kísérő nélküli kiskorúakat érintő azon információkra vonatkozik, amelyek közvetlenül kapcsolódnak a repüléshez, és amelyekre ez a pont kifejezetten hivatkozik.

154. Ami az I. melléklet 18. pontját illeti, annak szövege a következő:

„Minden összegyűjtött előzetes utasinformációs (API) adat (beleértve a személyi okmány típusát, számát, kiállító országát és lejárati idejét, az állampolgárságot, családi nevet, utónevet, nemet, születési időt, légitársaságot, járatszámot, az indulás dátumát, az érkezés dátumát, az indulási repülőteret, az érkezési repülőteret, az indulási időt és az érkezési időt).”

155. E pont szerkezete analóg az I. melléklet 12. pontjának szerkezetével. Szintén egy általános adatkategóriára, vagyis az előzetes utasinformációs (Advance Passenger InformationAPI) adatokra utal, amelyet zárójelben követ az ezen általános kategóriába tartozónak tekinthető és – amint azt a „beleértve” kifejezés alkalmazása is tanúsítja – tisztán példálózó jelleggel említett adatok felsorolása.

156. Mindazonáltal az I. melléklet 12. pontjával ellentétben e melléklet 18. pontja olyan adatkategóriára vonatkozik, amely mind jellegét, mind terjedelmét tekintve jobban azonosítható. A PNR‑irányelv (4) preambulumbekezdéséből ugyanis kitűnik, hogy az irányelv általi, ezen adatkategóriára való hivatkozások olyan információkra vonatkoznak, amelyeket az –  e preambulumbekezdésben kifejezetten hivatkozott – API‑irányelvnek megfelelően a légi fuvarozók továbbítanak az illetékes nemzeti hatóságok részére a határellenőrzés javítása és az illegális bevándorlás elleni küzdelem érdekében. Ezeket az adatokat ezen utóbbi irányelv 3. cikkének (2) bekezdése sorolja fel.

157. Ezenkívül a PNR‑irányelv (9) preambulumbekezdéséből,(148) valamint az API‑irányelv 3. cikkének (2) bekezdéséből és az I. melléklet 18. pontjában szereplő példálózó listából következik, hogy az említett pontban felsorolt API‑adatok egyrészt a légi utas személyazonosságának ellenőrzését lehetővé tevő életrajzi adatok, másrészt a lefoglalt járatra vonatkozó adatok. Ami konkrétan az első kategóriát, azaz az életrajzi adatokat illeti, az API‑irányelv 3. cikkének (2) bekezdésében és az I. melléklet 18. pontjában felsorolt információk a nyilvántartásba vételkor keletkező, az útlevél (vagy más úti okmány) géppel olvasható részéből kinyerhető adatokra vonatkoznak.(149)

158. Így az I. melléklet PNR‑irányelv (4) és (9) preambulumbekezdésének fényében értelmezett 18. pontja főszabály szerint kellően világosan és pontosan határozza meg legalább a hatálya alá tartozó adatok jellegét.

159. A hatályukat illetően meg kell jegyezni, hogy egyrészt az API‑irányelv 3. cikkének (2) bekezdése szintén „nyitott” módon van megfogalmazva, mivel az abban felsorolt adatokat a „fent említett információk az alábbiakat tartalmazzák”(150) szöveg előzi meg, másrészt pedig az API‑adatok kategóriája, ahogyan azt a témával kapcsolatos többoldalú jogharmonizációs eszközökben meghatározzák, az API‑irányelvben és az I. melléklet 18. pontjában említett adatokon kívül más adatokat is tartalmaz.(151)

160. Ilyen körülmények között, annak érdekében, hogy az I. melléklet 18. pontja megfeleljen az egyértelműségnek és a pontosságnak a Charta 7. és 8. cikkébe való beavatkozással járó jogalapokra vonatkozó követelményeinek, azt úgy kell értelmezni, hogy az csak azokra az API‑adatokra vonatkozik, amelyek kifejezetten szerepelnek az említett pontban és az API‑irányelv 3. cikkének (2) bekezdésében, és amelyeket a légi fuvarozók a rendes tevékenységük során gyűjtöttek.(152)

161. Ezen a ponton röviden át kell tekinteni az I. melléklet egyéb pontjait, amelyek megfogalmazásukat tekintve szintén „nyitott” jellegűek vagy nem eléggé pontosak, még akkor is, ha a kérdést előterjesztő bíróság nem kérdezte kifejezetten a Bíróságot ezekről.(153)

162. Mindenekelőtt, ami az I. melléklet „címet és elérhetőségre vonatkozó információkat (telefonszám, e‑mail cím)” említő 5. pontját illeti, bár azt úgy kell tekinteni, hogy az csak a zárójelben kifejezetten hivatkozott adatokra vonatkozik, ennélfogva kimerítő jellegű, a Kanada–EU PNR‑megállapodás tervezetének megfelelő rovatához hasonlóan(154) nem pontosítja ugyanakkor azt, hogy ezek az adatok csak az utasra, vagy a légi utas érdekében foglalást végző harmadik személyekre, azokra a harmadik személyekre, akik közvetítésével a légi utas csatlakozhat, vagy akár a vészhelyzet esetén értesítendő harmadik személyekre is vonatkoznak‑e.(155) Figyelembe véve, hogy az I. melléklet 5. pontjának olyan értelmezése, hogy az a harmadik személyek fent említett kategóriájára is vonatkozik, kiterjesztené a PNR‑irányelvben foglalt beavatkozást a PNR‑irányelv 3. cikkének 4. pontja értelmében vett légi utasokon kívül más személyekre is, azt javaslom, hogy olyan adatok hiányában, amelyek lehetővé tennék annak megállapítását, hogy e harmadik személyek adatainak rendszeres és általános jellegű megszerzése feltétlenül szükséges a PNR‑adatok kezelése ezen irányelvvel létrehozott rendszerének hatékony működéséhez, a Bíróság az említett pontot úgy értelmezze, hogy az csak az abban kifejezetten megemlített, olyan adatokra vonatkozik, amelyek azon légi utast érintik, akinek nevében a foglalásra sor került. Kétségtelen, hogy a PNR‑irányelv nem zárja ki, hogy a légi utasokon kívül más személyek személyes adatai is továbbíthatók az utas‑adat információs egység részére.(156) Lényeges azonban, hogy egyértelműen és kifejezetten jelezzék azokat az eseteket, amikor ez lehetséges, mint például az I. melléklet 9. pontjában említett utazásközvetítők, vagy az e melléklet 12. pontjában említett, felügyelet nélkül utazó kiskorúak gondviselője esetében. Valójában ugyanis csak e feltétel teljesülése esetén lehet úgy tekinteni, hogy a szóban forgó érdekeknek a PNR‑irányelv (15) preambulumbekezdése értelmében vett mérlegelése alapján döntöttek úgy, hogy az utas‑adat információs egység részére történő adatok közé sorolják ezeket az adatokat is, és hogy az érintett harmadik feleket megfelelően tájékoztatni lehet személyes adataik kezeléséről.

163. Ami továbbá az I. melléklet 6. pontját illeti, amely „[a] fizetésekhez kapcsolódó valamennyi információ[kra]” vonatkozik, „beleértve a számlázási címet is”, hasonlóan ahhoz, amit a Bíróság az EU‑Kanada PNR‑megállapodás tervezete mellékletének azonos rovatával kapcsolatban az 1/15. sz. vélemény 159. pontjában megállapított, az egyértelműség és pontosság követelményeinek való megfelelés érdekében ezt a pontot úgy kell értelmezni, „hogy az csak a fizetési módszerekkel és a repülőjegy számlázásával összefüggő információkra terjed ki, kizárva minden más olyan információt, amelyek a légi járattal nincsenek közvetlen összefüggésben”. Következésképpen ezek az információk nem terjedhetnek ki például a repüléshez közvetlenül nem kapcsolódó, olyan egyéb szolgáltatások fizetési feltételeire, mint az érkezéskor történő járműbérlés.(157)

164. Ami a „[t]örzsutas‑adatokat” érintő 8. pontot illeti, azokat olyan ICAO‑előírások határozzák meg, mint a számlaszámra és a törzsutas státuszára vonatkozó előírások.(158) Így értelmezve ez a pont eleget tesz az egyértelműség és pontosság követelményeinek.

165. Ami az I. melléklet „[a]z »utas utazási státusa«, ideértve a visszaigazolásokat, az utasfelvételi státust, a jegykezelésre nem jelentkezett (no show)/foglalás nélkül utazó utasokra (go show) vonatkozó adatot” megjelölésű 10. pontját és az I. melléklet „[j]egykiállítással kapcsolatos adatok, úgymint a jegy sorszáma, a jegykiállítás és az egy útra szóló jegyek dátuma, automatikus árlekérdezés” megjelölésű 13. pontját illeti, nyitott szövegük ellenére ezek a pontok csak a járattal közvetlen kapcsolatban álló, pontosan és egyértelműen azonosítható információkra vonatkoznak. Ugyanez érvényes az I. melléklet „az ülőhely számára és egyéb ülőhely‑információkra” vonatkozó 14. pontja és e melléklet „valamennyi poggyászra vonatkozó információt” érintő 16. pontja esetében.

–       Az I. mellékletben felsorolt adatok köréről (az előzetes döntéshozatalra előterjesztett második kérdés)

166. Azon tényezők között, amelyeket a Bíróság a Charta 7. és 8. cikkében biztosított jogokba való beavatkozással járó intézkedés arányosságának értékelése során figyelembe vesz, szerepel a kezelt személyes adatok megfelelő, releváns és nem túlzó jellege (az „adattakarékosság” elve).(159) Ugyanezt a tesztet írja elő az EJEB ítélkezési gyakorlata,(160) és támogatja a 108. egyezmény is.(161)

167. A PNR‑irányelv (15) preambulumbekezdéséből az következik, hogy az utas‑adat információs egységek részére továbbítandó PNR‑adatok listáját azzal a céllal állították össze, hogy az tükrözze a hatóságok jogos elvárásait a terrorizmus és a súlyos bűncselekmények elleni küzdelem terén, valamint „magas szintű normák” alkalmazásával védje a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogokat a Chartának, a 108. egyezménynek és az EJEE‑nek megfelelően. Ugyanez a preambulumbekezdés pontosítja, hogy a PNR‑adatok kizárólag az utasok foglalásaival és útvonalaival kapcsolatos információkat tartalmazhatnak, amelyek lehetővé teszik az illetékes hatóságok számára, hogy azonosítsák a belső biztonságra fenyegetést jelentő légi utasokat.

168. Ami először is az I. mellékletben szereplő PNR‑adatok megfelelő és releváns jellegét illeti, e melléklet különböző pontjai – beleértve az 5., 6., 8. és 18. pontot, ahogyan azokat értelmezni javaslom,(162) valamint a 12. pontot, az általam érvénytelennek nyilvánítani javasolt rész kivételével(163) – csak a PNR‑irányelv hatálya alá tartozó, a légi utazással közvetlenül kapcsolatban álló információkat tartalmazó adatokra vonatkoznak. Ezen túlmenően ezek az adatok objektív kapcsolatban állnak az említett irányelv által követett célokkal. Közelebbről, az API‑adatok elsősorban „reaktív módon” használhatók fel, annak érdekében, hogy azonosítsanak valamely, a bűnüldöző szervek által már ismert személyt, például azért, mert az illető gyaníthatóan részt vett terrorista bűncselekményekben vagy súlyos bűncselekményekben, vagy ilyen bűncselekmény elkövetésére készül, míg a PNR‑adatokat inkább „valós időben vagy proaktív módon” használják fel annak érdekében, hogy azonosítsák a bűnüldöző szervek által még nem ismert személyektől származó fenyegetéseket.

169. Másodszor, ami az I. mellékletben felsorolt PNR‑adatok körét illeti, ezek az adatok – e melléklet 5., 6., 8., 12. és 18. pontjában felsorolt adatokat is beleértve – a jelen indítvány 134-136. pontjában általam javasolt értelmezésükben nem tűnnek túlzottnak, figyelembe véve egyrészt a PNR‑irányelv által követett közbiztonsági cél fontosságát, másrészt pedig az irányelv által létrehozott rendszer e cél elérésére való alkamasságát.

170. Ami különösen az API‑adatokat illeti, amelyekkel kapcsolatban a kérdést előterjesztő bíróság konkrétan kérdést tesz fel, rámutatok, hogy ezek az életrajzi jellegű és a megtett útvonalra vonatkozó adatok általánosságban csak korlátozott információkat tárnak fel az érintett utasok magánéletéről. Továbbá, bár igaz, hogy az I. melléklet 18. pontja olyan információkra vonatkozik, amelyeket az API‑irányelv 3. cikkének (2) bekezdése nem említ kifejezetten, ezek a légi utas személyazonosságára (nemére), a használt úti okmányra (kiállító országra, valamennyi személyazonosságot igazoló okmány lejáratának időpontjára) vagy a megtett útra (légitársaságra, járat számára, indulási és érkezési dátumra és repülőtérre) vonatkozó információk részben átfedésben vannak az I. melléklet más pontjaiban, így például a 3., 7. és 13. pontjában szereplő PNR‑adatokkal, vagy azokból kinyerhetők. Ezen túlmenően, amennyiben az ilyen információk életrajzi adatokra vagy a használt úti okmányokra vonatkoznak, az említett információk segíthetik a bűnüldöző hatóságokat a személyazonosság ellenőrzésében, és így – amint azt a PNR‑irányelv (9) preambulumbekezdése is megállapítja – csökkenthetik annak kockázatát, hogy ártatlan személyeket indokolatlan ellenőrzéseknek és vizsgálatoknak vessenek alá. Végül hangsúlyozni kell, hogy pusztán az a tény, hogy az I. melléklet 18. pontja az API‑irányelv 3. cikkének (2) bekezdésében szereplő adatokon kívül további adatokat is tartalmaz, nem vezethet automatikusan ezen adatok túlzott jellegének megállapításához, mivel ez az irányelv és a PNR‑irányelv eltérő célokat követ.

171. Ami a kísérő nélküli kiskorúakat érintően az I. melléklet 12. pontjában felsorolt adatokat illeti, azok a személyek olyan sérülékeny csoportjára vonatkoznak, akiket a magánéletük tiszteletben tartását és személyes adataik védelmét is beleértve különleges védelemben kell részesíteni.(164) Ez azonban nem változtat azon, hogy e jogok korlátozása szükségesnek bizonyulhat többek között azért, hogy megvédjék a gyermekeket az ellenük elkövethető súlyos bűncselekményektől, mint például a szexuális kizsákmányolás vagy a gyermekrablás. Ezért nem tekinthető eleve úgy, hogy az I. melléklet 12. pontja, amennyiben a kísérő nélküli kiskorúak tekintetében több fontosabb személyes adat továbbítását írja elő, meghaladja a szigorúan szükséges mértéket.

172. Bár a légi fuvarozók által a PNR‑irányelv értelmében az utas‑adat információs egységeknek továbbítandó személyes adatok véleményem szerint összhangban vannak a megfelelőség és a relevancia követelményeivel, és terjedelmük nem haladja meg az irányelv által létrehozott rendszer működéséhez feltétlenül szükséges mértéket, tény, hogy az ilyen továbbítás minden egyes érintett utas esetében jelentős számú, különböző típusú személyes adatot, valamint abszolút értelemben rendkívül nagy számú ilyen adatot érint. Ilyen körülmények között alapvető fontosságú, hogy az ilyen adattovábbításhoz megfelelő garanciák kapcsolódjanak, amelyek célja egyrészt annak biztosítása, hogy csak a kifejezetten említett adatokat továbbítsák, másrészt pedig az átadott adatok biztonságának és bizalmas jellegének garantálása.

173. E tekintetben először is rá kell mutatni egyrészt, hogy az uniós jogalkotó egy sor olyan garanciáról rendelkezett, amelyek lehetővé teszik a bűnüldöző hatóságok által hozzáférhetővé tett PNR‑adatok kategóriáinak korlátozását, valamint annak biztosítását, hogy az ilyen hozzáférés csak azokra az adatokra korlátozódjon, amelyek kezelése a PNR‑irányelv által követett célok eléréséhez szükségesnek minősül. Ennélfogva, először is, az előzetes döntéshozatalra előterjesztett harmadik kérdésre adott válaszban kifejtett megfontolásokra is figyelemmel, ez az irányelv kimerítően és pontosan felsorolja azokat az adatokat, amelyek átadhatók az utas‑adat információs egységnek. Másodszor, a PNR‑irányelv kifejezetten előírja, hogy a PNR‑irányelv (15) preambulumbekezdésében említett különböző érdekek és követelmények mérlegelésének eredményeként csak az e listában szereplő adatok továbbíthatók az utas‑adat információs egységeknek (a PNR‑irányelv 6. cikkének (1) bekezdése). Harmadszor, ezen irányelv pontosítja, hogy amennyiben az átadott PNR‑adatok az I. mellékletben felsoroltakon kívüli adatokat tartalmaznak, azokat „a beérkezést követően haladéktalanul és véglegesen törölni” kell (a PNR‑irányelv 6. cikkének (1) bekezdése). Negyedszer, az említett irányelv előírja, hogy csak azok az I. mellékletben felsorolt PNR‑adatok továbbíthatók, amelyeket a légi fuvarozók a rendes üzleti tevékenységük keretében már begyűjtöttek (a PNR‑irányelv 8. cikkének (1) bekezdése és (8) preambulumbekezdése), ami azt is jelenti, hogy az utas‑adat információs egységek az I. mellékletben felsorolt adatok közül nem mindegyikhez, hanem csak azokhoz férnek hozzá rendszeresen, amelyek az érintett piaci szereplő foglalási rendszerében szerepelnek. Ötödször, a PNR‑irányelv 8. cikkének (1) bekezdése előírja a légi fuvarozók számára, hogy a PNR‑adatok utas‑adat információs egységeknek való továbbítására a „push” módszert alkalmazzák. Ez az ICAO‑iránymutatásokban ajánlott módszer(165) magában foglalja, hogy az említett fuvarozók maguk továbbítják a PNR‑adatokat az utas‑adat információs egységek adatbázisaiba. A „pull” módszerrel szemben, amely lehetővé teszi az illetékes hatóságok számára, hogy hozzáférjenek az üzemeltetők rendszereihez, és adatbázisaikból kivonják a kért adatok másolatát, a „push” módszer több garanciát nyújt, mivel az érintett légi fuvarozót ruházza fel a PNR‑adatok őrzőjének és kezelőjének szerepével. Végül, az ICAO‑iránymutatásokkal és az „egyablakos ügyintézés” elvével(166) összhangban a PNR‑irányelv előírja, hogy a PNR‑adatok továbbítása egyetlen szerv, az utas‑adat információs egység közreműködésével történik, amely az irányelv 5. cikkében említett adatvédelmi tisztviselő felügyelete és mindenekelőtt az említett irányelv 15. cikke szerinti nemzeti felügyeleti hatóság ellenőrzése mellett jár el.

174. Másrészt, a PNR‑irányelv számos garanciát ír elő a PNR‑adatok biztonságának megőrzése érdekében. E tekintetben hivatkozom az említett irányelv 13. cikkének (2) bekezdésére, amely a személyes adatoknak az irányelv alapján végzett valamennyi kezelésére alkalmazandóvá teszi a rendőrségi irányelv 28. és 29. cikkét, az adatkezelés bizalmas jellegére és az adatok biztonságára vonatkozóan, valamint ugyanezen cikk (3) bekezdésére, amely a PNR‑adatok légi fuvarozók általi kezelése tekintetében emlékeztet az utóbbiakat az általános adatvédelmi rendelet alapján terhelő, különösen az ezen adatok biztonságának és bizalmas jellegének védelme érdekében meghozandó megfelelő technikai és szervezési intézkedéseket érintő kötelezettségekre.(167)

175. Végül ki kell emelni, hogy a PNR‑irányelv a (29) és (37) preambulumbekezdésében elismeri az utasok ahhoz való jogát, hogy „könnyen hozzáférhető és érthető, pontos tájékoztatást” kapjanak többek között a PNR‑adatok gyűjtéséről, és felszólítja a tagállamokat, hogy biztosítsák e jog tiszteletben tartását. Bár ez az elismerés a PNR‑irányelv szövegében nem jelent kötelező erejű rendelkezést, emlékeztetek arra, hogy – amint azt az előzetes döntéshozatalra előterjesztett első kérdés vizsgálatakor jeleztem – az általános adatvédelmi rendelet rendelkezéseit a PNR‑adatok utas‑adat információs egységek részére történő továbbítására is alkalmazni kell. A légitársaságok így ezen adattovábbítással összefüggésben kötelesek megfelelni többek között az általános adatvédelmi rendelet 13. és 14. cikkének, amelyek az érintetteket a személyes adatok kezelésével összefüggésben megillető tájékoztatáshoz való jogot írják elő. Bár szükséges lenne, hogy a tagállamok a PNR‑irányelv átültetése során kifejezetten előírják a légi utasok tájékoztatáshoz való, az említett irányelv (29) és (37) preambulumbekezdésében elismert jogát, az említett rendelet 23. cikke (1) bekezdésének alkalmazásával semmiképpen nem korlátozhatják az általános adatvédelmi rendelet 13. és 14. cikkének hatályát, mivel ez ellentétes lenne az irányelv szellemével. Márpedig ahhoz, hogy ez a jog hatékony legyen, a továbbított PNR‑adatok kategóriáira is vonatkoznia kell.

176. A fenti megfontolások fényében azon a véleményen vagyok, hogy – a javasolt korlátozásokra és az előzetes döntéshozatalra előterjesztett harmadik kérdés keretében megfogalmazott pontosításokra figyelemmel – azok a PNR‑adatok, amelyek kezelését a PNR‑irányelv előírja, az irányelv által követett célokra tekintettel relevánsak, megfelelőek és nem túlzók, valamint terjedelmük nem haladja meg az e célok eléréséhez feltétlenül szükséges mértéket.

–       A különleges adatokról

177. A PNR‑irányelv általánosságban tiltja a „különleges adatok” bármilyen kezelését.(168)

178. Bár ezen irányelv nem határozza meg a „különleges adatok” fogalmát, annak 13. cikkének (4) bekezdéséből az következik, hogy ez a fogalom magábna foglalja legalább „az olyan [PNR‑adatokat], amelyek a személyek faji vagy etnikai hovatartozására, politikai véleményére, vallási vagy világnézeti meggyőződésére, szakszervezeti tagságára, egészségi állapotára, szexuális életére vagy szexuális irányultságára vonatkoznak”.(169) Az 1/15. sz. vélemény 165. pontjában a Bíróság pontosította, hogy minden olyan intézkedés, amely azon az előfeltevésen alapul, amely szerint az említett jellemzők közül egy vagy több „önmagában és az érintett utas egyedi magatartásától függetlenül releváns lehet a PNR‑adatok kezelésének céljára […] tekintettel, megsértené a Chartának a 21. cikkével együtt értelmezett 7. és 8. cikkében biztosított jogokat”. Azzal, hogy megtiltja a 13. cikkének (4) bekezdésében említett adatok bármilyen kezelését, a PNR‑irányelv megfelel azoknak a korlátozásoknak, amelyeket a Bíróság írt elő az említett adatkategóriák PNR‑adatok kezelésére vonatkozó rendszer keretében történő felhasználásával kapcsolatban, függetlenül attól, hogy az a nemzeti jog, az uniós jog vagy az Unió által kötött nemzetközi megállapodás hatálya alá tartozik.

179. A különleges adatok kezelésére vonatkozóan a PNR‑irányelvben megállapított általános tilalom kiterjed az adatok gyűjtésére is. Így, amint arra az említett irányelv (15) preambulumbekezdése kifejezetten utal, az I. mellékletben szereplő 19 rovat nem az irányelv 13. cikkének (4) bekezdésében említett PNR‑adatokon alapul.

180. Bár e rovatok közül egyik sem utal kifejezetten ilyen adatokra, az utóbbiak tartozhatnak többek között az I. melléklet 12. pontjában említett „Általános megjegyzések” címsorba, amely olyan „nyitott mezőt” képez, amely – amint azt az előzetes döntéshozatalra előterjesztett harmadik kérdés vizsgálata során már volt alkalmam megjegyezni – meghatározatlan számú, különböző típusú információra terjedhet ki. Fennáll ugyanis a konkrét veszélye annak, ahogyan azt a Bíróság az 1/15. sz. vélemény 164. pontjában megállapította, hogy az említett rovatba tartozó, például az étkezési preferenciákkal, a segítségkérésekkel, a személyek vagy egyesületek bizonyos kategóriáira vonatkozó árcsomagokkal kapcsolatos információk közvetlenül felfedhetnek a PNR‑irányelv 13. cikkének (4) bekezdése értelmében vett különleges adatokat, amelyek többek között az érintett utasok vallási meggyőződésére, egészségi állapotára, szakszervezeti vagy politikai párttagságára vonatkoznak.

181. Márpedig, mivel az ilyen adatok kezelését a PNR‑irányelv mindenképpen kizárja, azoknak a légi fuvarozók általi továbbítása nemcsak egyértelműen meghaladja a feltétlenül szükséges mértéket, hanem az hasznosnak sem tekinthető. E tekintetben fontos hangsúlyozni, hogy az a tény, hogy a PNR‑irányelv 13. cikke (4) bekezdésének második mondatával összhangban az utas‑adat információs egységek mindenképpen kötelesek azonnal törölni az e bekezdés első mondatában felsorolt valamely információt tartalmazó PNR‑adatokat, nem teszi lehetővé ezen adatok továbbításának engedélyezését, sem pedig annak igazolását,(170) mivel az említett irányelvben meghatározott, ezen adatok kezelésére vonatkozó tilalomnak a PNR‑adatok kezelésének első szakaszától kezdve érvényesülnie kell. A különleges adatok törlésére vonatkozó kötelezettség tehát csupán egy további biztosíték, amelyet az említett irányelv arra az esetre ír elő, ha kivételesen, tévedésből ilyen adatokat továbbítanának az utas‑adat információs egységeknek.

182. Rámutatok egyébként, amint azt Mengozzi főtanácsnok is megjegyezte az 1/15. sz. véleményre vonatkozó indítványának 222. pontjában,(171) hogy mivel az olyan, „szabad szövegű” rovatokhoz tartozó információkat, mint például az I. melléklet 12. pontjában említett „Általános megjegyzések” rovat, amelyek tartalmazhatnak a PNR‑irányelv 13. cikkének (4) bekezdése értelmében vett különleges adatokat, az utasok csak önkéntes alapon közlik, kevéssé valószínű, hogy a terrorista bűncselekményekben vagy súlyos bűncselekményekben érintett személyek ezeket spontán közölnék, így az ilyen adatok rendszeres továbbítása valószínűleg nagyrészt csak olyan személyeket érint, akik olyan kiegészítő szolgáltatást igényeltek, amely a valóságban nem érdekli a bűnüldöző hatóságokat.(172)

183. Az előzetes döntéshozatalra előterjesztett harmadik kérdés vizsgálata során arra a következtetésre jutottam, hogy az I. melléklet 12. pontja, amennyiben az az „Általános megjegyzések” rovatra utal, nem felel meg az egyértelműségnek és a pontosságnak a Charta 52. cikke (1) bekezdésének első mondatában előírt követelményének. Az imént kifejtett okok miatt úgy vélem, hogy e rovatnak az utas‑adat információs egységek részére rendszeresen továbbítandó adatkategóriák közé sorolása annak további pontosítása nélkül, hogy az mely információkat tartalmazhatja, szintén nem felel meg a Charta 52. cikke (1) bekezdésének második mondatában meghatározott szükségességi tesztnek, ahogyan azt a Bíróság értelmezte.(173)

184. Mindemellett a „szabad szöveges” rovatoknak az állami hatóságok részére a PNR‑adatok kezelésére vonatkozó rendszer keretében továbbítandó PNR‑adatok listájáról való törlése nem elegendő annak a kockázatnak a kiküszöbölésére, hogy mégis különleges adatokat bocsátanak e hatóságok rendelkezésére. Az ilyen adatok ugyanis nemcsak az ilyen rovatokban szereplő információkból következtethetők ki közvetlenül, hanem közvetetten a „kódolt” rovatokban foglalt információkból is megállapíthatók vagy feltételezhetők. Így például a légi utas neve utalhat az érintett utas etnikai származására vagy vallási hovatartozására, vagy legalábbis erre vonatkozó feltételezésekre adhat alapot. Ugyanez vonatkozik az állampolgárságra is. Az ilyen adatok esetében főszabály szerint nem várható el, hogy ki legyenek zárva a továbbítandó PNR‑adatok listájáról, vagy hogy az átvételükre jogosult hatóságok töröljék azokat. Következésképpen annak elkerülése érdekében, hogy a védett jellemzők alapján nagyszámú olyan személyt bélyegezzenek meg, akiket semmilyen bűncselekmény elkövetésével nem gyanúsítanak, fontos, hogy a PNR‑adatok kezelésére szolgáló rendszer az összegyűjtött adatok kezelésének minden szakaszában elegendő garanciát nyújtson annak kizárására, hogy az adatkezelés közvetlenül vagy közvetetten ilyen jellemzőket vegyen figyelembe, például az automatizált elemzés során az ilyen jellemzők alapján történő szelektálással. Erre a pontra még visszatérek az elemzésem későbbi részében.

185. A fenti megfontolások alapján – figyelemmel arra a következtetésre, amelyre a fenti 183. pontban jutottam – úgy vélem, hogy a PNR‑irányelv a PNR‑adatoknak az utas‑adat információs egységek részére történő továbbításának szakaszára elegendő garanciát biztosít a különleges adatok védelmére.

iii) Az „utas” fogalmáról (az előzetes döntéshozatalra előterjesztett negyedik kérdés)

186. Előzetes döntéshozatalra előterjesztett negyedik kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi a Bíróságtól, hogy a PNR‑irányelvvel létrehozott rendszer összeegyeztethető‑e a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével abban a tekintetben, hogy – anélkül hogy fennállna bármilyen objektív körülmény, amelynek alapján megállapítható lenne, hogy e személy veszélyt jelenthet a közbiztonságra – lehetővé teszi minden olyan személy PNR‑adatainak általános továbbítását és kezelését, aki megfelel az irányelv 3. cikkének 4. pontja szerinti „utas” fogalomnak,. Különösen arra vár választ, hogy a Bíróságnak az elektronikus hírközlési ágazatban az adatmegőrzésre és az adathozzáférésre vonatkozó ítélkezési gyakorlata átültethető‑e a személyes adatoknak a PNR‑irányelv által létrehozott kezelésének a rendszerére.

187. Ebben az ítélkezési gyakorlatban – amennyiben az a jelen eljárás szempontjából releváns –, a Bíróság megállapította, hogy az olyan szabályozás, amely a súlyos bűncselekmények elleni küzdelem érdekében az elektronikus hírközlésre vonatkozó forgalmi és helymeghatározó adatok megelőző jellegű, általános és különbségtétel nélküli megőrzését írja elő abból a célból,(174) hogy a bűnüldöző hatóságok azokhoz hozzáférhessenek, és nem alkalmaz semmilyen különbségtételt, korlátozást vagy kivételt a követett célkitűzés alapján, főszabály szerint nem tekinthető igazoltnak egy demokratikus társadalomban.(175) A Bíróság ugyanezt állapította meg azzal a nemzeti szabályozással kapcsolatban, amely a terrorizmus elleni küzdelem céljából az említett adatok összességének olyan automatizált elemzését írta elő, amely az elektronikus hírközlési szolgáltatók által, az illetékes nemzeti hatóságok kérésére és az azok által meghatározott paraméterek alapján elvégzett szűrés útján valósult meg.(176) A Bíróság szerint az ilyen intézkedések csak akkor igazolhatók, ha az érintett tagállam olyan súlyos nemzetbiztonsági fenyegetéssel néz szembe, amely valós, közvetlen és előrelátható, valamint ha az ilyen intézkedés végrehajtását elrendelő határozat akár bíróság, akár független közigazgatási szerv általi hatékony felülvizsgálat tárgyát képezi.(177) A Bíróság szerint ezenkívül az ezen intézkedések ilyen helyzetekben való alkalmazásának időben a feltétlenül szükséges mértékre kell korlátozódnia, és semmi esetre sem lehet rendszeres.(178)

188. Rámutatok egyébként, hogy bár ebben az ítélkezési gyakorlatban a Bíróság nem ment el addig, hogy kifejezetten kimondja, mint a „Schrems I” ítéletben, hogy megsértették a magánélet tiszteletben tartásához való jog lényeges tartalmát, mégis úgy ítélte meg, hogy a szóban forgó intézkedésekkel a beavatkozás olyan súlyossági szintjét érték el, hogy a tagállam nemzetbiztonságát fenyegető konkrét veszélyek korlátozott esetét kivéve, egyszerűen nem lehet úgy tekinteni, hogy ezen intézkedések a feltétlenül szükséges mértékre korlátozódnak, és ezért összhangban vannak a Chartával,(179) az érintett adatokkal való visszaélés és az azokhoz való jogellenes hozzáférés kockázataival szemben előírt esetleges biztosítékoktól függetlenül.(180)

189. Már volt alkalmam rámutatni arra, hogy a PNR‑irányelvben foglalthoz hasonló szabályozásnak számos olyan eleme van, amely a Bíróság által a jelen indítvány előző pontjaiban hivatkozott ítélkezési gyakorlatban vizsgált intézkedésekhez hasonló, amely elemek különösen beavatkozó jellegűvé teszik azt. Ennélfogva ez az irányelv általános és különbségtétel nélküli rendszert hoz létre a lakosság jelentős része személyes adatainak gyűjtésére és automatizált elemzésére, amely átfogó módon vonatkozik minden olyan személyre, aki megfelel az irányelv 3. cikkének (4) bekezdésében szereplő „utas” fogalomnak, és következésképpen azokra is, akik esetében nincs olyan jel, amely arra enged következtetni, hogy e személyek magatartása akár közvetett vagy távoli módon összefügghet a terrorizmushoz vagy súlyos bűncselekményekhez kapcsolódó tevékenységekkel. A nemzeti bíróság ilyen körülmények között kérdezi azt, hogy ez az ítélkezési gyakorlat átültethető‑e a PNR‑adatok kezelésére irányuló, olyan rendszerre, mint amilyet a PNR‑irányelv létrehozott.

190. E tekintetben rámutatok, hogy a Bíróság az 1/15. sz. véleményben, amikor annak 186‑189. pontjában a Kanada–EU PNR‑megállapodás tervezetének személyi hatályát vizsgálta, elkerülte, hogy párhuzamot vonjon egyrészt az elektronikus közlések tartalmára vonatkozó, a forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli megőrzésére és az azokhoz való ilyen hozzáférésre irányuló intézkedések, másrészt pedig a PNR‑adatok továbbítása és azoknak az említett megállapodás hatálya alá tartozó utasok előzetes értékelésével összefüggésben elvégzett automatizált kezelése között. Amikor ezt a véleményt elfogadták, már megalapozott ítélkezési gyakorlat állt rendelkezésre, amelyet néhány hónappal e vélemény elfogadását megelőzően a Tele2 Sverige ítélet – amelyre a kérdést előterjesztő bíróság utal – is megerősített, és amelyben az említett intézkedéseket néhány különös és egyértelmű helyzetet kivéve(181) a Chartával összeegyeztethetetlennek nyilvánították.(182) A Bíróság e tárgyban hozott legutóbbi ítéletei, és különösen a La Quadrature du Net ítélet, ebbe az ítélkezési gyakorlatba illeszkedik, azt pontosítva és bizonyos szempontból tovább árnyalva.

191. Az 1/15. sz. vélemény említett pontjaiban a Bíróság kifejezetten megállapította, hogy nem tűnik úgy, hogy a Kanada–EU PNR‑megállapodás túllépi a feltétlen szükségesség korlátait azzal, hogy ezen adatok előzetes értékelése céljából lehetővé teszik a Kanadába utazó valamennyi légi utas PNR‑adatainak továbbítását és automatizált kezelését, még akkor sem, ha erre a továbbításra és adatkezelésre „attól függetlenül [kerül sor], hogy fennállna bármilyen objektív körülmény, amelynek alapján megállapítható lenne, hogy a légi utasok Kanadában veszélyt jelenthetnek a közbiztonságra”.(183) E vélemény 187. pontjában a Bíróság annak kijelentéséig jutott, hogy „bizonyos személykategóriák vagy bizonyos származási övezetek kizárása megakadályozhatná a PNR‑adatok automatikus kezelése céljának, vagyis annak a megvalósítását, hogy ezen adatok ellenőrzése révén az összes légi utas közül azonosítani lehessen azokat a személyeket, akik veszélyt jelenthetnek a közbiztonságra, továbbá elősegíthetné ezen ellenőrzés megkerülését”.(184)

192. Így a Bíróság – legalábbis a PNR‑adatok általános és különbségtétek nélküli továbbítása tekintetében – eltért a metaadatok megőrzése és az azokhoz való hozzáférés területén elfogadott szigorúbb megközelítésétől.

193. Bár tagadhatatlan, hogy a Bíróság az indokolásában – amint az többek között az 1/15. sz. vélemény 152. és 188. pontjából következik – figyelembe vette egyrészt azt a megállapítást, amely szerint a PNR‑adatok automatizált kezelése megkönnyíti a biztonsági ellenőrzéseket, különösen a határokon, másrészt pedig azt a tényt, hogy a Chicagói Egyezménynek megfelelően az egyezményben részes állam területére belépni kívánó légi utasok kötelesek ellenőrzésnek alávetni magukat, és teljesíteni az adott állam által előírt be‑ és kilépési feltételeket, beleértve a PNR‑adataik ellenőrzését is, úgy vélem, hogy a megközelítés ilyen sokféleségének más okai is vannak, amelyek közé tartozik mindenekelőtt a kezelt adatok jellege.

194. A Bíróság többször hangsúlyozta, hogy nemcsak az elektronikus közlés tartalma, hanem a metaadatok is „számos magánéleti vonatkozásról tárhatnak fel akár olyan szenzitív információkat is, mint a szexuális irányultság, a politikai vélemény, a vallási, világnézeti, társadalmi vagy egyéb meggyőződés, valamint az egészségi állapot”, és hogy összességükben ezen adatok alapján „igen pontos következtetések vonhatók le azoknak a magánéletével kapcsolatban, akiknek az adatait megőrizték, így például a napi szokásokat, az állandó vagy ideiglenes tartózkodási helyeket, a napi vagy egyéb helyváltoztatásokat, a gyakorolt tevékenységeket, a társas kapcsolataikat és az általuk felkeresett társadalmi köröket illetően”, valamint hogy ezek az adatok többek között „eszközül szolgálnak az érintett személyek profiljának megalkotásához, ami a magánélet tiszteletben tartásához való jog tekintetében ugyanolyan különleges információnak minősül, mint a közléseknek maga a tartalma”.(185) Emlékeztetek továbbá arra, hogy a Bíróság által eddig vizsgált szabályozások, beleértve a 2006/24 irányelvben foglalt szabályozást is, nem tettek semmilyen kivételt, és a szociális vagy vallási szolgálatok vagy a szakmai titoktartási kötelezettség hatálya alá tartozó szakemberek felé irányuló vagy tőlük származó közlésekre is vonatkoztak. Következésképpen a Bíróság ugyan nem állapította meg a magánélet tiszteletben tartásához való alapvető jog lényeges tartalmának sérelmét, kimondta ugyanakkor, hogy „figyelembe véve […] a forgalmi és helymeghatározó adatokból származtatható információk érzékeny jellegét, ezen információk titkossága a magánélet tiszteletben tartásához való jog szempontjából alapvetőnek tekinthető”.(186)

195. Másrészt, bár igaz, amint arra a jelen indítvány 77. és 78. pontjában utaltam, hogy a Bíróság az 1/15. sz. véleményében elismerte, hogy a PNR‑adatok adott esetben nagyon pontos információkat tárhatnak fel egy személy magánéletéről,(187) a Bíróság megállapította, hogy ezen információk jellege a magánélet bizonyos vonatkozásaira korlátozódik,(188) ami miatt az ilyen adatokhoz való hozzáférés az elektronikus közlés tartalmához, valamint a forgalmi és helymeghatározó adatokhoz való hozzáféréshez képest kisebb mértékű beavatkozásnak minősül.

196. Másodszor, nemcsak a PNR‑adatok jellege különbözik a forgalmi adatok és helymeghatározó adatok jellegétől, hanem az ezekből a különböző adatkategóriákból feltárható információk száma és sokfélesége is eltérő, mivel a PNR‑adatokban szereplő információk mennyiségi és minőségi szempontból egyaránt korlátozottabbak. Ez nemcsak attól függ, hogy az elektronikus közléssel kapcsolatos adatok általános és különbségtétel nélküli kezelésére szolgáló rendszerek alkalmasak arra, hogy a vizsgált népesség szinte teljes egészét érintsék, míg a PNR‑adatokat kezelő rendszerek az egyének kisebb, bár számszerűen jelentős körére vonatkoznak, hanem az elektronikus hírközlési eszközök használatának gyakoriságától és sokféleségétől is. A PNR‑irányelv egyébként korlátozott és kimerítően meghatározott számú PNR‑adat gyűjtését és kezelését írja elő, az említett irányelv 13. cikkének (4) bekezdésében felsorolt kategóriákba tartozó adatok kizárásával, így ha nem is a mennyiséget, de legalább az érintettek magánéletére vonatkozó információk különlegességét részben előre fel lehet mérni.(189) Márpedig a forgalmi és helymeghatározó adatok tekintetében a vizsgált adatok típusainak ilyen korlátozására, amely lehetővé teszi azon adatok jelentős részének a kizárását, amelyek különleges információkat tárhatnak fel, a felhasználók és az érintett hírközlési eszközök számára figyelemmel csak részben van lehetőség.(190)

197. Harmadszor, az elektronikus hírközlési metaadatok bármilyen kezelése nem csak a lakosság szinte egészének intim életterét érintheti, hanem más olyan szabadságjogok gyakorlására is hatással van, amelyek révén az egyes személyek részt vesznek egy ország társadalmi és demokratikus életében,(191) és különösen az elektronikus hírközlési eszközök felhasználóinak véleménynyilvánítási szabadságára gyakorolhat visszatartó hatást,(192) amely szabadság „a demokratikus és pluralista társadalom egyik lényegi alapja”, és azon értékek közé tartozik, amelyen az Unió alapul.(193) Ez a szempont a személyes adatok e kategóriájára vonatkozó intézkedések velejárója, és főszabály szerint nem érinti a PNR‑adatok kezelésének rendszereit.

198. Negyedszer, elsősorban az elektronikus közlések tartalmából, valamint a forgalmi és helymeghatározó adatokból kinyerhető különleges információk száma és változatossága miatt az ilyen adatok kezelése során lényegesen nagyobb az önkényesség kockázata, mint a PNR‑adatok kezelésére szolgáló rendszerek esetében.

199. Az imént kifejtett okok miatt úgy vélem, hogy a Bíróság által az elektronikus hírközlés területén elfogadott szigorúbb megközelítés önmagában nem ültethető át a PNR‑adatok kezelésére szolgáló rendszerekre. A Bíróság az 1/15. sz. véleményben – legalább is hallgatólagosan – már ilyen álláspontot képviselt egy harmadik ország biztonságának védelmét szolgáló, ilyen rendszert létrehozó nemzetközi megállapodással összefüggésben. Véleményem szerint ugyanez az álláspont még inkább igazolható a PNR‑irányelv esetében, amelynek célja az Unió belső biztonságának védelme.

200. Ezek után meg kell állapítani, amint arra Mengozzi főtanácsnok is rámutatott az 1/15. sz. véleményre vonatkozó indítványában,(194) hogy függetlenül attól, hogy egyoldalúan kerültek elfogadásra, vagy nemzetközi megállapodás tárgyát képezik, a PNR‑adatok kezelésére szolgáló rendszerek értelme éppen azon adatok tömeges továbbításának biztosítása, amelyek lehetővé teszik az illetékes hatóságok számára, hogy automatikus adatfeldolgozó eszközök és előre megállapított forgatókönyvek, illetve értékelési szempontok alapján olyan, a bűnüldöző szervek számára ismeretlen egyéneket azonosítsanak, akik a közbiztonság szempontjából „érdekesek” vagy kockázatot jelentenek, és akik ennélfogva utóbb szorosabb egyéni ellenőrzések alá vethetők. Az „észszerű gyanú” követelménye, amelyet megerősít az EJEB-nek a büntetőeljárás keretében gyakorolt célzott lehallgatásra vonatkozó ítélkezési gyakorlata,(195) valamint a Bíróságnak a metaadatok megőrzésére vonatkozó ítélkezési gyakorlata(196), következésképpen kevésbé releváns az ilyen adattovábbításokkal és adatkezelésekkel összefüggésben.(197) Az ilyen rendszerek által követett, többek között megelőzésre irányuló célt nem lehet megvalósítani, ha azok alkalmazását az egyének egy meghatározott kategóriájára korlátozzák, amint azt a Bíróság is kijelentette az 1/15. sz. véleménynek a jelen indítvány 191. pontjában hivatkozott pontjaiban, ezért úgy tűnik, hogy a PNR‑irányelv hatálya biztosítja e cél hatékony elérését.(198)

201. Azt is hangsúlyozni kell, hogy a Bizottság több alkalommal is kiemelte a PNR‑adatok kezelésének, mint az Unió által a terrorizmusra és a bűncselekmények súlyos formáira adott közös válasz alapvető eszközének és a biztonsági unió egyik fő alkotóelemének a stratégiai jelentőségét.(199) A PNR‑adatok kezelésére szolgáló rendszereknek a terrorizmus elleni küzdelem „átfogó megközelítése” keretében betöltött szerepét az Egyesült Nemzetek Biztonsági Tanácsa is elismerte, amely a 2396 (2017) számú határozatában(200) felszólította az ENSZ tagállamait, hogy „erősítsék meg a PNR‑adatoknak az ICAO által ajánlott szabványok és gyakorlatok keretében való gyűjtésére, kezelésére és elemzésére irányuló kapacitásukat, valamint biztosítsák, hogy ezeket az adatokat valamennyi illetékes nemzeti hatósággal az emberi jogok és alapvető szabadságok teljes körű tiszteletben tartásával közöljék, és azokat e hatóságok ezeknek megfelelően használják fel a terrorista bűncselekmények és a terroristák utazásának megelőzése, felderítése és kivizsgálása céljából”.(201) Ezt a kötelezettséget a terrorizmusról és a súlyos nemzetközi bűnözésről szóló 2482/2019 határozat is megerősíti.(202)

202. Ebben az összefüggésben a PNR‑adatok kezelésére szolgáló, uniós szinten harmonizált rendszer elfogadása mind az EU‑n kívüli légi járatok, mind pedig – azon államok esetében, amelyek alkalmazták a PNR‑irányelv 2. cikkét – az EU‑n belüli légi járatok esetében garantálja, hogy az ilyen adatok kezelése a Charta 7. és 8. cikkében megállapított jogok ezen irányelvben meghatározott magas szintű védelmének tiszteletben tartásával történjen, és jogi referenciarendszert biztosít a PNR‑adatok kezeléséről és továbbításáról szóló nemzetközi megállapodások tárgyalásához.(203)

203. Egyébként igaz ugyan, hogy a PNR‑irányelv által létrehozott rendszer különbségtétel nélkül minden légi utasra vonatkozik, amint azt a Parlament írásbeli észrevételeiben helyesen kiemelte, és amint azt az ENSZ Biztonsági Tanácsa szintén hangsúlyozta a 2396. (2017) sz. határozatában, amely arra a konkrét veszélyre utal, hogy a polgári légi közlekedést mind célpontként, mind közlekedési eszközként terrorista célokra használják,(204) objektív kapcsolat áll fenn a légi közlekedés és a közbiztonságot fenyegető veszélyek között, beleértve többek között a terrorizmust és legalábbis a súlyos bűncselekmények bizonyos formáit, mint például konkrétan a kábítószer‑ vagy emberkereskedelem, amelyeknek erős határokon átnyúló összetevőik vannak.

204. Végül fontos kiemelni, amint arra a Parlament, a Tanács és több írásbeli észrevételeket előterjesztő tagállam is utalt, hogy az Unióba belépő vagy onnan távozó légi utasoknak biztonsági ellenőrzésnek kell alávetniük magukat.(205) Amint arra a Bíróság is rámutatott az 1/15. sz. véleményben, a PNR‑adatoknak az utasok érkezése előtti továbbítása és kezelése megkönnyíti és felgyorsítja a biztonsági ellenőrzéseket azzal, hogy lehetővé teszi a bűnüldöző szervek számára, hogy azokra az utasokra koncentráljanak, akik tekintetében bizonyítékkal rendelkeznek arra vonatkozóan, hogy valós veszélyt jelentenek a biztonságra.(206)

205. Végül, ami különösen a PNR‑irányelv rendszerének az EU‑n belüli légi járatokra való kiterjesztését illeti, bár nem zárható ki előzetesen az uniós polgárokat többek között a Charta 45. cikke alapján megillető szabad mozgáshoz való jogra gyakorolt valamennyi hatás, a magánéletbe való, a PNR‑irányelvben foglalt beavatkozás, jóllehet súlyos, véleményem szerint nem olyan mértékű, hogy önmagában visszatartó erejű lenne e szabadság gyakorlására nézve, mivel a PNR‑adatok kezelését a nyilvánosság akár a légi közlekedés biztonságának biztosításához szükséges intézkedésnek is tekintheti.(207) Az ilyen elrettentő hatás lehetőségét azonban folyamatosan értékelni kell, és nyomon kell azt követni.

206. Ugyanakkor a jelen indítvány 107. és 108. pontjában hivatkozott ítélkezési gyakorlatnak való megfelelés érdekében a PNR‑irányelvnek nemcsak azt kell megkövetelnie, hogy a légi utasok összességének a PNR‑adataihoz való hozzáférés és azok automatizált kezelése megfeleljen az elérni kívánt célnak, hanem világos és pontos módon az ilyen hozzáférésnek és adatkezelésnek, valamint az adatok későbbi felhasználásának anyagi jogi és eljárásjogi feltételeiről is rendelkeznie kell,(208) és megfelelő garanciákat kell biztosítania e folyamat minden egyes szakaszában. Az előzetes döntéshozatalra előterjesztett második kérdés vizsgálata során már utaltam a PNR‑adatok utas‑adat információs egység részére történő továbbítását övező garanciákra. Az előzetes döntéshozatalra előterjesztett hatodik kérdés vizsgálata során vissza fogok térni azon garanciák vizsgálatára, amelyek konkrétabban az ilyen adatok automatizált kezelésére vonatkoznak, az előzetes döntéshozatalra előterjesztett nyolcadik kérdés vizsgálata során pedig azokra, amelyek az ilyen adatok tárolására vonatkoznak.

207. E vizsgálat folytatása előtt szeretném kiemelni, hogy az irányelv által létrehozott biztosítékok rendszerében alapvető fontossággal bír a PNR‑irányelv 15. cikkében említett független hatóság által gyakorolt ellenőrzés. E cikkel összhangban az említett irányelvben előírt bármely adatkezelés független felügyeleti hatóság felügyelete alá tartozik, amely jogosult az adatkezelés jogszerűségét ellenőrizni, vizsgálatokat, ellenőrzéseket és auditokat végezni, valamint az érintettek által benyújtott panaszokat kezelni. Ez az ellenőrzés, amelyet egy külső alany gyakorol, akit a PNR‑adatok kezelésének szereplői által követett érdekekkel esetlegesen ellentétes érdekek védelmével bíztak meg, és akinek az a feladata, hogy biztosítsa az említett adatkezeléssel kapcsolatos valamennyi korlátozás és biztosíték betartását, a Charta 8. cikkének (3) bekezdésében kifejezetten említett olyan alapvető garanciát jelent, amelynek hatékonysága az érintett alapvető jogok védelme szempontjából még az egyének rendelkezésére álló jogorvoslati rendszernél is nagyobb. Ezért véleményem szerint alapvető fontosságú, hogy a Bíróság tágan értelmezze a PNR‑irányelv 15. cikkében előírt felügyeleti hatáskörök hatályát, és hogy a tagállamok ezen irányelvnek a nemzeti jogba történő átültetésekor e hatásköröket teljes terjedelmükben biztosítsák nemzeti felügyeleti hatóságuk számára oly módon, hogy a nemzeti felügyeleti hatóságuk rendelkezésére bocsátják a feladatuk ellátásához szükséges anyagi és személyi erőforrásokat.

208. A fenti megfontolások alapján úgy vélem, hogy a PNR‑irányelv nem lépi túl a feltétlenül szükséges határokat azáltal, hogy lehetővé teszi bármely olyan személy adatainak továbbítását és automatizált kezelését, aki megfelel az ezen irányelv 3. cikkének (4) bekezdése értelmében vett „utas” fogalomnak.

iv)    Az utasok előzetes értékelésének a kellően világos és pontos, valamint a feltétlenül szükségesre korlátozott jellegéről (az előzetes döntéshozatalra előterjesztett hatodik kérdés)

209. Előzetes döntéshozatalra előterjesztett hatodik kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi a Bíróságtól, hogy a PNR‑irányelv 6. cikkében említett előzetes értékelés összeegyeztethető‑e a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével. Bár a kérdés megfogalmazása valamennyi légi utas PNR‑adatai ezen előzetes értékelés keretében megvalósított automatizált kezelésének rendszeres és általános jellegére összpontosít, az előzetes döntéshozatalra utaló határozat indokolásából világosan kitűnik, hogy a Cour constitutionnelle (alkotmánybíróság) az ilyen adatkezeléssel összefüggésben a jogszerűség és az arányosság követelményeinek való megfelelés átfogóbb értékelését kéri a Bíróságtól. Ezt az értékelést az alábbiakban fogom elvégezni, miközben utalok az előzetes döntéshozatalra előterjesztett negyedik kérdés vizsgálata során végzett elemzésre az említett automatizált adatkezelés nem célzott jellege tekintetében.

210. A PNR‑irányelv 6. cikke (2) bekezdésének a) pontja előírja az utas‑adat információs egység számára, hogy előzetesen értékelje a légi utasokat a tagállamba történő tervezett érkezésüket vagy elutazásukat megelőzően. Ezen értékelés célja, hogy beazonosítsák azokat a személyeket, akiket az illetékes hatóságoknak további vizsgálat alá kell vonniuk, „tekintettel arra, hogy ezek a személyek érintettek lehetnek terrorista bűncselekményben vagy súlyos bűncselekményben”. A PNR‑irányelv 6. cikkének (6) bekezdése értelmében a tagállami utas‑adat információs egység az ezen értékelés során beazonosított személyek PNR‑adatait vagy az említett adatok kezelésének eredményét „további vizsgálat” céljából továbbítja ugyanazon tagállamnak a 7. cikkben említett illetékes hatóságai részére.

211. A PNR‑irányelv 6. cikkének (3) bekezdése értelmében az e cikk (2) bekezdésének a) pontja szerinti előzetes értékelés elvégzése során a PNR‑adatokat össze kell vetni a „releváns” adatbázisokkal (a 6. cikk (3) bekezdésének a) pontja) vagy meghatározott kritériumok alapján kell azokat kezelni (a 6. cikk (3) bekezdésének b) pontja).

212. Mielőtt rátérnék az adatkezelés e két típusának vizsgálatára, rámutatok arra, hogy a 6. cikk (3) bekezdésének fent említett szövegéből nem következik egyértelműen, hogy a tagállamok kötelesek‑e előírni, hogy az utasok előzetes értékelését rendszeresen és minden esetben automatizált elemzés alkalmazásával végezzék el, vagy pedig – amint azt a „lehet” ige és a „vagy” kötőszó használata is alátámasztani látszik –, jogukban áll úgy alakítani rendszerüket, hogy például az említett 6. cikk (3) bekezdésének b) pontjában előírt vizsgálatot különleges esetekre tartják fenn. E tekintetben pontosítom, hogy a PNR‑irányelvre vonatkozó javaslat előírta, hogy ezt a vizsgálatot kizárólag a súlyos nemzetközi bűncselekmények elleni harc keretében lehet elvégezni.(209)

213. A Bizottsághoz hasonlóan úgy vélem, hogy többek között a PNR‑irányelv rendszeréből az következik, hogy a tagállamok kötelesek az automatizált adatkezelés mindkét típusáról rendelkezni, olyan okokból, amelyek az Unió PNR‑adatok kezelésére szolgáló rendszerének lehető legegységesebb alkalmazásának biztosításához is kapcsolódnak. Ez azonban nem jelenti azt, hogy a tagállamok nem jogosultak – sőt annak biztosítása érdekében, hogy a PNR‑irányelv 6. cikke (2) bekezdésének a) pontja szerinti előzetes értékelés során megvalósított adatkezelés a feltétlenül szükséges mértékre korlátozódjon, kötelesek – a PNR‑irányelv 6. cikke (3) bekezdésének b) pontja szerinti elemzést annak az irányelvben említett egyes bűncselekményekre vonatkozó eredményei alapján a hatékonyság szempontjából korlátozni, és adott esetben csak néhány ilyen bűncselekményre fenntartani. Ezt a PNR‑irányelv (7) preambulumbekezdése is alátámasztja, amely szerint „[a]nnak biztosítása érdekében […], hogy a PNR adatok kezelése csak a legszükségesebbre korlátozódjon, az értékelési kritériumok létrehozás[át] és alkalmazás[át] olyan terrorista bűncselekmények és a súlyos bűncselekmények tényállásaira kell korlátozni, amelyek esetében releváns az említett kritériumok alkalmazása”.

–       A PNRirányelv 6. cikke (3) bekezdésének a) pontja szerinti, adatbázisokkal való összevetésről

214. Az utas‑adat információs egység által lefolytatandó, a PNR‑irányelv 6. cikke (2) bekezdésének a) pontja szerinti előzetes értékelés első része e cikk (3) bekezdésének a) pontjával összhangban a PNR‑adatok adatbázisokkal való összevetését („data matching”) foglalja magában, a lehetséges pozitív találatok („hits”) keresése érdekében. Ezeket a találatokat a PNR‑irányelv 6. cikkének (5) bekezdésével összhangban az utas‑adat információs egységeknek ellenőrizniük kell, és adott esetben „egyezéssé” alakítaniuk, mielőtt az illetékes hatóságoknak továbbítják azokat.

215. Amint azt a Bíróság az 1/15. sz. vélemény 172. pontjában elismerte, az ilyen típusú automatizált elemzésekkel járó, a Charta 7. és 8. cikkében biztosított jogokba történő beavatkozás terjedelme alapvetően olyan adatbázisoktól függ, amelyeken az ilyen típusú adatkezelés alapul. Következésképpen alapvető jelentőséggel bír, hogy az ilyen adatkezeléseket szabályozó rendelkezések kellően világosan és pontosan azonosítsák azokat az adatbázisokat, amelyekkel a kezelendő adatok keresztellenőrzése megengedett.

216. A PNR‑irányelv 6. cikke (3) bekezdésének a) pontja értelmében az utas‑adat információs egységek az ezen irányelv által követett célok szempontjából „releváns adatbázisokkal”(210) vetik össze a PNR‑adatokat. Ez a rendelkezés említést tesz az adatbázisok egy különleges kategóriájáról, nevezetesen azokról, amelyek „körözés alatt álló vagy figyelmeztető jelzés hatálya alatt álló személyekre vagy tárgyakra” vonatkoznak, amelyeket az uniós jogalkotó tehát kifejezetten „relevánsnak” kívánt minősíteni e rendelkezés értelmében.

217. E pontosításon kívül a „releváns adatbázisok” fogalmát nem magyarázzák tovább. Az sincs meghatározva többek között, hogy ahhoz, hogy „relevánsnak” lehessen tekinteni, a PNR‑adatok keresztellenőrzésére használt adatbázisokat a bűnüldöző hatóságoknak vagy általánosabban valamely hatóságnak kell kezelnie, vagy egyszerűen csak közvetlenül vagy közvetve hozzáférhetőnek kell‑e lenniük e hatóságok számára. Azoknak az adatoknak a jellege, amelyeket ezek az adatbázisok tartalmazhatnak, valamint ezen adatoknak a PNR‑irányelv által követett célokkal való kapcsolata szintén nincs meghatározva.(211) A PNR‑irányelv 6. cikke (3) bekezdése a) pontjának szövegéből egyébként kitűnik, hogy mind a nemzeti és uniós, mind a nemzetközi adatbázisok minősíthetők „releváns adatbázisoknak”, ami tovább bővíti a lehetséges adatbázisok listáját, és növeli e fogalom nyitottságát.(212)

218. Ilyen körülmények között, a jelen indítvány 151. pontjában hivatkozott általános értelmezési elv alkalmazásával a Bíróság feladata, hogy olyan értelmezést adjon a PNR‑irányelv 6. cikke (3) bekezdése a) pontjának és különösen a „releváns adatbázisok” fogalmának, amely a lehető legteljesebb mértékben megfelel a Charta által megkövetelt egyértelműség és pontosság követelményeinek. Ezenkívül, mivel e rendelkezés a Charta 7. és 8. cikkében megállapított alapvető jogokba való beavatkozást ír elő, azt megszorítóan és az ezen alapvető jogok magas szintű védelmének biztosítására vonatkozó követelmény figyelembevételével kell értelmezni, amint azt többek között a PNR‑irányelv (15) preambulumbekezdése is előírja. Ezenfelül e rendelkezést az arra vonatkozó elv fényében kell értelmezni, hogy korlátozottak azok a PNR‑irányelv 1. cikkének (2) bekezdésében meghatározott célok, amelyekre tekintettel a PNR‑adatok kezelhetők.

219. E kritériumokat figyelembe véve véleményem szerint a „releváns adatbázisok” fogalmát úgy kell értelmezni, hogy az csak azokra a nemzeti adatbázisokra vonatkozik, amelyeket a PNR‑irányelv 7. cikkének (1) bekezdése értelmében vett illetékes hatóságok vezetnek, valamint azokra az uniós és nemzetközi adatbázisokra, amelyeket e hatóságok közvetlenül működtetnek feladataik ellátása során. Az említett adatbázisoknak emellett közvetlenül és szorosan kapcsolódniuk kell a terrorizmus és a súlyos bűncselekmények elleni küzdelemnek a PNR‑irányelv által követett céljaihoz, ami magában foglalja, hogy azokat e célokra hozták létre. Így értelmezve ez a fogalom lényegében, ha nem is kizárólag, a PNR‑irányelv 6. cikke (3) bekezdésének a) pontjában kifejezetten említett, körözés alatt álló vagy figyelmeztető jelzés hatálya alatt álló személyeket vagy tárgyakat érintő adatbázisokra vonatkozik.

220. Általában ki vannak zárva a „releváns adatbázisok” fogalmából a tagállamok hírszerző szolgálatai által kezelt vagy működtetett adatbázisok, kivéve, ha szigorúan megfelelnek annak a feltételnek, hogy szorosan kapcsolódnak a PNR‑irányelv által követett célokhoz, és a szóban forgó tagállam elismeri a hírszerző szolgálatainak különleges bűnüldözési hatáskörét.(213)

221. A fent javasolt értelmezés összhangban van a Bíróság által az 1/15. sz. vélemény 172. pontjában megfogalmazott ajánlásokkal.

222. Mindazonáltal a PNR‑irányelv 6. cikke (3) bekezdésének a) pontja még így értelmezve sem teszi lehetővé azoknak az adatbázisoknak a kellően pontos azonosítását, amelyeket a tagállamok a PNR‑adatok keresztellenőrzése keretében használnak, és nem tekinthető úgy, hogy e rendelkezés megfelel a Charta 52. cikkének a Bíróság által értelmezett (1) bekezdéséből eredő követelményeknek. Ezt a rendelkezést ezért úgy kell értelmezni, hogy az arra kötelezi a tagállamokat, hogy a PNR‑irányelv nemzeti jogba történő átültetése keretében tegyék közzé az ilyen adatbázisok listáját, és azt tartsák naprakészen. Kívánatos lenne továbbá, ha a tagállamok gyakorlatának e tekintetben történő egységesítése érdekében uniós szinten is összeállítanának egy listát az Unió által a tagállamokkal közösen vezetett, a PNR‑irányelv 6. cikke (3) bekezdésének a) pontja szerinti „releváns” adatbázisokról és a nemzetközi adatbázisokról.

–       A PNRadatoknak az előzetesen meghatározott kritériumok alapján történő kezeléséről

223. A PNR‑irányelv 6. cikke (2) bekezdésének a) pontja szerinti előzetes értékelés második része az előzetesen meghatározott kritériumok alapján végzett automatizált elemzésre vonatkozik. Ezen elemzés keretében a PNR‑adatokat – főként előrejelzési céllal – olyan algoritmusok alkalmazásával kezelik, amelyek célja azon utasok „azonosítása”, akik érintettek lehetnek terrorista bűncselekményben vagy súlyos bűncselekményben. Ebben az összefüggésben az utas‑adat információs egység lényegében profilalkotási tevékenységet végez.(214) Mivel az algoritmus által azonosított egyénekre nézve jelentős következményekkel járhat,(215) az ilyen adatkezelés pontos körülhatárolást igényel mind a végrehajtás módját, mind az azt körülvevő garanciákat illetően. Amint azt a Bíróság az 1/15. sz. vélemény 172. pontjában megjegyezte ugyanis, az ilyen elemzésekkel járó, a Charta 7. és 8. cikkében biztosított jogokba történő beavatkozás terjedelme alapvetően előre meghatározott modellektől és szempontoktól függ.

224. E tekintetben először is rámutatok, hogy a PNR‑irányelv 6. cikke (4) bekezdésének második mondata azt írja elő, hogy azoknak az előre meghatározott kritériumoknak, amelyek alapján az irányelv 6. cikke (3) bekezdésének b) pontjában előírt előzetes értékelést elvégzik, „célzottnak, arányosnak és konkrétnak” kell lenniük. E követelmények közül az első az előzetes értékelésnek az e cikk (2) bekezdése a) pontjában megállapított céljához, vagyis azon személyek azonosításához kapcsolódik, akik tekintetében az illetékes hatóságoknak részletesebb vizsgálatot kell lefolytatniuk, ennélfogva megfelel annak a Bíróság által az 1/15. sz. véleményben hangsúlyozott feltételnek, hogy az alkalmazott szempontok azokat az egyéneket „érintsék”, akik vonatkozásában fennállhat a terrorista bűncselekményekben vagy súlyos nemzetközi bűncselekményekben való részvétel „észszerű gyanúja”.(216) Az ilyen „érintettség” elvont értékelési szempontok alkalmazását, vagy a profilalkotásról szóló 2021. évi ajánlásban szereplő kifejezést használva „profilok” alkalmazását jelenti,(217) amelyekkel annak érdekében „szűrik” a PNR‑adatokat, hogy kiválasszák az e szempontoknak megfelelő utasokat, akiket következésképpen további ellenőrzésnek szükséges alávetni. Ezzel szemben a PNR‑irányelv nem teszi lehetővé, hogy az összes olyan légi utasra vonatkozóan, akinek az adatait elemzik, egyéni profilalkotást végezzenek például azáltal, hogy mindegyik utashoz hozzárendelnek egy előre meghatározott skála szerinti kockázati kategóriát, mivel ellenkező esetben sérülne mind az irányelv 6. cikkének (4) bekezdése, mind a Bíróság által az 1/15. sz. véleményben a PNR‑adatok automatizált kezelésével kapcsolatban megállapított korlátozások.

225. A 6. cikk (4) bekezdésének második mondata szerint a PNR‑irányelv 6. cikke (3) bekezdésének b) pontjában említett, előzetesen meghatározott kritériumoknak ezenkívül „konkrétnak”,(218) vagyis a kitűzött cél elérésére alkalmasnak és ahhoz kapcsolódóan relevánsnak, valamint „arányosnak”(219) kell lenniük, vagyis nem terjeszkedhetnek túl e cél korlátain. Az e követelményeknek és különösen annak való megfelelés érdekében, „hogy a PNR‑adatok kezelése csak a legszükségesebbre korlátozódjon”, a PNR‑irányelv (7) preambulumbekezdése – amint azt már hangsúlyoztam – azt írja elő, hogy „az értékelési kritériumok létrehozását és alkalmazását olyan terrorista bűncselekmények és a súlyos bűncselekmények tényállásaira kell korlátozni, amelyek esetében releváns az említett kritériumok alkalmazása”.

226. Végül mind a PNR‑irányelv preambulumából és rendelkezéseiből, mind a Bíróság által az 1/15. sz. véleményben megállapított követelményekből az következik, hogy a PNR‑irányelv 6. cikke (3) bekezdésének b) pontja szerinti előzetesen meghatározott kritériumoknak „megbízhatónak” is kell lenniük,(220) ami egyrészt azt jelenti, hogy azokat úgy kell meghatározni, hogy a lehető legkisebbre csökkenjen a hibázás kockázata,(221) másrészt pedig „naprakészeknek” kell lenniük.(222) E tekintetben a PNR‑irányelv 6. cikke (4) bekezdésének harmadik mondata annak biztosítására kötelezi a tagállamokat, hogy „az utas‑adat információs egység ezeket [a] kritériumokat a 7. cikkben említett illetékes hatóságokkal együttműködve határozza meg és azokat rendszeresen felülvizsgálja”.(223) E kritériumok megbízhatóságának biztosítása és a hamis pozitív találatok lehető legkisebb mértékre korlátozása érdekében, amint azt a Bizottság egy, a Bíróság által feltett írásbeli kérdésre adott válaszában is elismerte, az is szükséges, hogy ezeket a kritériumokat oly módon kell meghatározni, amely figyelembe veszi a terhelő és a mentesítő körülményeket.

227. Másodszor, a PNR‑irányelv kifejezetten tiltja a megkülönböztető profilalkotást. Így az irányelv 6. cikke (4) bekezdésének első mondata úgy rendelkezik, hogy a (3) bekezdés b) pontjában említett, előzetesen meghatározott kritériumok alapján elvégzett előzetes értékelést „megkülönböztetéstől mentes módon kell elvégezni”. E tekintetben pontosítani kell, hogy e 6. cikk (4) bekezdésének harmadik mondata ugyan megállapítja, hogy az említett kritériumok „a személy faji vagy etnikai hovatartozásán, politikai véleményén, vallási vagy világnézeti meggyőződésén, szakszervezeti tagságán, egészségi állapotán vagy szexuális életén vagy szexuális irányultságán semmilyen körülmények között sem alapulhatnak”, a megkülönböztető profilalkotás általános tilalmát úgy kell értelmezni, hogy az kiterjed a Charta 21. cikkében említett valamennyi megkülönböztetési okra, még a kifejezetten nem említettekre is.(224)

228. Harmadszor, mind a PNR‑irányelv 6. cikke (3) bekezdése b) pontjának szövegéből, mind a PNR‑irányelvben előírt, a PNR‑adatok automatizált kezelését körülvevő biztosítékok rendszeréből következik, hogy az e rendelkezésben előírt elemzés keretében használt algoritmusok működésének átláthatónak, alkalmazásuk eredményének pedig nyomon követhetőnek kell lennie. Ez az átláthatósági követelmény természetesen nem jelenti azt, hogy a felhasznált „profilokat” nyilvánosságra kell hozni. Ezzel szemben megköveteli, hogy biztosítva legyen az algoritmus alapú döntéshozatal azonosíthatósága. Egyrészt ugyanis az a követelmény, amely szerint azoknak a kritériumoknak, amelyekre tekintettel ezt az elemzést el kell végezni, „előzetesen meghatározottnak” kell lenniük, kizárja, hogy e kritériumokat emberi beavatkozás nélkül módosítani lehessen, ennélfogva pedig ellentétes a „machine learningnek” nevezett mesterséges intelligencia alapú technológiák felhasználásával,(225) amelyeket – mivel magasabb pontossági szintet jelenthetnek – nehezebb értelmezni még az automatizált adatkezelést végző szereplők számára is.(226) Másrészt, az a PNR‑irányelv 6. cikkének (5) és (6) bekezdésében megállapított garancia, amely szerint a hatékonyság érdekében a PNR‑adatoknak a (2) bekezdés a) pontja alapján végzett automatizált kezeléséből származó bármely pozitív találatot nem automatizált eszközökkel végzett, egyedi felülvizsgálat alá kell vetni, a PNR‑irányelv 6. cikke (3) bekezdésének b) pontja szerinti elemzést illetően megköveteli, hogy meg lehessen érteni azt az indokot, amely alapján a program találatot jelzett, ami nem biztosítható többek között akkor, ha önállóan tanuló rendszereket alkalmaznak. Ugyanez vonatkozik az elemzés jogszerűségének ellenőrzésére, beleértve a kapott eredmények megkülönböztetéstől való mentességét is, amely az adatvédelmi tisztviselő, illetve a nemzeti felügyeleti hatóság feladata a PNR‑irányelv 6. cikkének (7) bekezdése, valamint ezen irányelv 15. cikke (3) bekezdésének b) pontja szerint. Az alkalmazott algoritmusok működésének átláthatósága szintén szükséges feltétele annak, hogy az érintettek gyakorolni tudják a panasztételhez való jogukat és a hatékony jogorvoslathoz való jogukat.

–       A PNRadatok automatizált kezelését körülvevő garanciákról

229. A PNR‑irányelv 6. cikke (2) bekezdésének a) pontja szerinti előzetes értékelés keretében már volt alkalmam megemlíteni néhány olyan biztosítékot, amelyek a PNR‑adatok automatizált kezelését kísérik, és amelyek megfelelnek a Bíróság 1/15. sz. véleményében meghatározott követelményeknek, nevezetesen az előzetesen meghatározott, megkülönböztető kritériumok alapján történő adatkezelés tilalmát (a PNR‑irányelv 6. cikke (4) bekezdésének első és negyedik mondata, az 1/15. sz. vélemény 172. pontja), azoknak az előzetesen meghatározott kritériumoknak rendszeres időközönként való aktualizálását, amelyekre tekintettel az ezen irányelv 6. cikke (3) bekezdésének b) pontja szerinti előzetes értékelést el kell végezni (a PNR‑irányelv 6. cikk (4) bekezdésének harmadik mondata, az 1/15. sz. vélemény 174. pontja), a PNR‑adatok automatizált kezelése alapján kapott pozitív egyezés nem automatizált eszközökkel történő felülvizsgálatát (a PNR‑irányelv 6. cikkének (5) és (6) bekezdése, az 1/15. sz. vélemény 173. pontja), valamint az adatkezelés jogszerűségének az adatvédelmi tisztviselő és a nemzeti felügyeleti hatóság általi ellenőrzését (a PNR‑irányelv 6. cikkének (7) bekezdése és 15. cikke (3) bekezdésének b) pontja). Ebben az összefüggésben alapvető fontosságú, hogy a független hatóság, mint a PNR‑irányelv 15. cikkében említett hatóság által végzett ellenőrzés egyrészt kiterjedhessen a PNR‑adatok automatizált kezelésének minden szempontjára, beleértve az ezen irányelv 6. cikke (3) bekezdésének a) pontja szerinti összevetéshez használt adatbázisok azonosítását, valamint az említett irányelv 6. cikke (3) bekezdésének b) pontja szerinti elemzéshez alkalmazott, előzetesen meghatározott kritériumok kidolgozását, másrészt pedig, hogy azt mind előzetesen, mind utólagosan el lehessen végezni.

230. Fontos hangsúlyozni, hogy a fent hivatkozott biztosítékokat a PNR‑irányelv 6. cikkének (3) bekezdésében említett mindkét elemzési típusra általánosan alkalmazandónak kell tekinteni, mégpedig a szövegükben használt kifejezések ellenére. Következésképpen, bár az ezen irányelv 6. cikke (4) bekezdésének első mondata csak az előzetesen meghatározott kritériumok alapján elvégzett előzetes értékelés tekintetében emlékeztet a hátrányos megkülönböztetés tilalma elvének való megfelelés követelményére, ez a követelmény a PNR‑adatok kezelésének minden szakaszában érvényesítendő, tehát akkor is, amikor ezeket az adatokat az irányelv 6. cikke (3) bekezdésének a) pontja szerinti előzetes értékelés keretében összevetik a releváns adatbázisokkal. Ugyanez vonatkozik arra a követelményre is, amely szerint a PNR‑irányelv 6. cikke (3) bekezdésének b) pontjában említett elemzés során használt, előzetesen meghatározott kritériumoknak megbízhatónak és naprakésznek kell lenniük, ami úgy értendő, hogy az az irányelv 6. cikke (3) bekezdésének a) pontjában előírt összevetés céljára használt adatbázisokban szereplő adatokra is vonatkozik. E tekintetben általánosabban rámutatok, hogy a személyes adatok automatizált kezelésére alkalmazandó, a rendőrségi irányelvben előírt valamennyi biztosíték a PNR‑irányelv keretében is alkalmazandó, mivel az ezen irányelv keretében végzett automatizált elemzéseket úgy kell tekinteni, hogy azok a rendőrségi irányelv hatálya alá tartoznak.

231. A fenti 229.  pontban felsorolt biztosítékokhoz hozzáadódik a PNR‑irányelv 7. cikkének (6) bekezdésében előírt biztosíték, amely kiegészíti egyrészt azt a tilalmat, hogy a döntéshozatali eljárás kizárólag a PNR‑adatok automatizált kezelésének eredményein alapuljon, másrészt pedig a PNR‑adatok kezelése és felhasználása során alkalmazott megkülönböztetés tilalmát. Ennélfogva e rendelkezés megállapítja, hogy „az illetékes hatóságok egyetlen személyre nézve sem hozhatnak hátrányos joghatással járó vagy őt súlyosan érintő döntést kizárólag a PNR‑adatok automatizált kezelésének eredményeként”, valamint hogy az ilyen döntések „nem hozhatók az adott személy faji vagy etnikai hovatartozása, politikai véleménye, vallási vagy világnézeti meggyőződése, szakszervezeti tagsága, egészségi állapota, szexuális élete vagy szexuális irányultsága alapján”. Hasonlóan ahhoz, amit a jelen indítvány 227. pontjában a PNR‑irányelv 6. cikke (4) bekezdésének negyedik mondatával kapcsolatban jeleztem, a megkülönböztetési okok e katalógusát ki kell egészíteni azokkal a kifejezetten nem említett okokkal, amelyek a Charta 21. cikkében szerepelnek.

232. Ami a PNR‑adatok biztonságát illeti, a PNR‑irányelv 6. cikkének (8) bekezdése előírja, hogy az ilyen adatok utas‑adat információs egység általi tárolására, kezelésére és értékelésére kizárólag a tagállamok területén található biztonságos helyen kerülhet sor.

–       Az előzetes döntéshozatalra előterjesztett hatodik kérdésre vonatkozó következtetés

233. A fenti megfontolások összességére figyelemmel és különösen a jelen indítvány 213., 219., 220., 222., 227., 228., 230. és 231. pontjában javasolt értelmezések mellett azon a véleményen vagyok, hogy a PNR‑adatoknak a PNR‑irányelv 6. cikke (2) bekezdésének a) pontja szerinti előzetes értékelés keretében végzett automatizált kezelése megfelel az egyértelműség és a pontosság követelményeinek, és a feltétlenül szükségesre korlátozódik.

v)      A PNRadatok megőrzéséről (az előzetes döntéshozatalra előterjesztett nyolcadik kérdésről)

234. Az előzetes döntéshozatalra előterjesztett nyolcadik kérdésével a kérdést előterjesztő bíróság arra vár választ, hogy a PNR‑irányelv 12. cikkét a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti jogszabály, amely általános, ötéves adatmegőrzési időt ír elő, semmilyen különbséget nem téve attól függően, hogy az érintett utasok tekintetében az előzetes értékelés eredményeként megállapították‑e a közbiztonsági kockázat fennállását.

235. A PNR‑irányelv 12. cikkének (1) bekezdése rögzíti, hogy a PNR‑adatokat „az utas‑adat információs egységhez történő továbbításukat követően öt évig” meg kell őrizni „azon tagállam utas‑adat információs egységének adatbázisában, amelynek a területén a légi járat leszállt vagy felszállt”. E cikk (2) bekezdése szerint a hathónapos „kezdeti adatmegőrzési időszak”(227) lejártával a PNR‑adatokat személyazonosításra alkalmatlanná kell tenni az érintett közvetlen beazonosítására alkalmas adatelemek elrejtése útján. Az említett cikk (3) bekezdése értelmében e hat hónap lejártával az elrejtett adatokat is ideértve a teljes PNR‑adatok közlése csak akkor engedélyezhető, ha „alapos okkal” feltételezhető, hogy ez a PNR‑irányelv 6. cikke (2) bekezdésének b) pontjában említett célból szükséges, és azt egy igazságügyi hatóság, vagy a nemzeti jog alapján az adatok közlésére vonatkozó feltételek teljesülésének ellenőrzésére hatáskörrel rendelkező más nemzeti hatóság jóváhagyta. Végül ugyanezen cikk (4) bekezdése előírja, hogy az (1) bekezdésben meghatározott ötéves időszak lejártával a PNR‑adatokat véglegesen törlik.

236. A fentiekből az következik, hogy maga a PNR‑irányelv határozza meg a PNR‑adatok megőrzésének rendszerét, beleértve a megőrzés időtartamát is, amelyet öt évben rögzít,(228) így a tagállamoknak elvileg semmilyen mérlegelési jogkörük nincs e tekintetben, amit egyébként a Bizottság is megerősített. Ilyen körülmények között, amint azt már volt alkalmam megjegyezni, az előzetes döntéshozatalra előterjesztett nyolcadik kérdés, jóllehet értelmezési kérdésként van megfogalmazva, valójában arra kéri a Bíróságot, hogy e szabályozásnak a Chartával való összeegyeztethetőségéről döntsön.

237. A személyes adatok védelmével összefüggő alapelv, hogy ezen adatok tárolásának olyan formában kell történnie, amely az érintettek közvetlen vagy közvetett azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.(229) Az állandó ítélkezési gyakorlat szerint egyébként a személyes adatok megőrzéséről rendelkező szabályozásnak minden esetben olyan objektív szempontoknak kell megfelelnie, amelyek a megőrzendő személyes adatokat összefüggésbe hozzák az elérni kívánt céllal.(230)

238. A Bíróság az 1/15. sz. véleményben a Kanadába való belépéskor gyűjtött adatokkal kapcsolatban úgy vélte, hogy fennáll a PNR‑adatok és a Kanada–EU PNR‑megállapodás tervezete által követett cél közötti szükséges összefüggés mindaddig, amíg a légi utasok e harmadik állam területén tartózkodnak.(231) Ezzel szemben azon légi utasokat illetően, akik elhagyták Kanadát, és akikkel összefüggésben e harmadik országba érkezésük idején és az onnan való távozásukig nem azonosítottak a terrorizmussal vagy súlyos nemzetközi bűnözéssel kapcsolatos kockázatot, a Bíróság úgy vélte, hogy úgy tűnik, nem áll fenn ez az adatok megőrzését igazoló összefüggés, amely legfeljebb csak közvetett lehet.(232) Elismerte mindazonáltal, hogy az ilyen megőrzés „[u]gyanakkor [megengedhetőnek tűnik,] amennyiben konkrét esetekben olyan objektív elemeket azonosítanak, amelyek alapján megállapítható, hogy bizonyos légi utasok még a Kanadából való távozásukat követően is veszélyt jelenthetnek a terrorizmus és a súlyos nemzetközi bűncselekmények elleni küzdelem szempontjából”.(233)

239. A Bíróság által az 1/15. sz. véleményben megállapított elveknek a PNR‑irányelvre való átültetése azzal járna, hogy az EU‑n kívüli légi járatoknak az Unióba való belépéskor gyűjtött PNR‑adatait, valamint az EU‑n belüli légi járatoknak az érintett tagállamba való belépéskor gyűjtött PNR‑adatait azoknak a PNR‑irányelv 6. cikke (2) bekezdésének a) pontja értelmében vett előzetes elemzését követően csak addig lehet megőrizni, amíg az érintett utasok az Unió, illetve e tagállam területén maradnak. Ami az EU‑n kívüli légi járatok Unióból való távozáskor gyűjtött PNR‑adatait és az EU‑n belüli légi járatok érintett tagállamból való távozáskor gyűjtött PNR‑adatait illeti, ezeket az adatokat az említett előzetes értékelést követően főszabály szerint csak azon utasok esetében lehetne megőrizni, akik tekintetében objektív elemek alapján megállapítható, hogy a terrorizmus és a súlyos bűncselekmények elleni küzdelem szempontjából kockázatot jelentenek.(234)

240. A Bírósághoz észrevételeket benyújtó kormányok és intézmények általában ellenzik az 1/15. sz. véleményben a PNR‑adatok megőrzésével kapcsolatban megállapított elveknek a jelen ügyre való átültetését. E tekintetben természetesen nem kizárt, hogy az érintett Kanada területén való tartózkodásához kapcsolódó kritériumnak a Bíróság általi alkalmazását az a körülmény befolyásolhatta, hogy a személyes adatoknak egy harmadik ország területén való megőrzésével szembesült. Ugyanígy lehetséges, hogy a PNR‑irányelvvel összefüggésben az ilyen kritérium alkalmazása a gyakorlatban a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogba potenciálisan nagyobb mértékű beavatkozást eredményezhet a személyek bizonyos kategóriái esetében, különösen azoknál, akik állandó lakóhellyel rendelkeznek az Unióban, és az Unión belül utaznak, vagy külföldi tartózkodás után visszatérnek. Végül igaz, hogy az említett kritériumot nehéz lehet a gyakorlatban végrehajtani, legalábbis az EU‑n belüli légi járatok esetében, amint azt néhány tagállam és a Tanács is kiemelte.

241. Tény, hogy még ha a Bíróság el is vetné az 1/15. sz. véleményben alkalmazott kritériumot, az összes légi utas összes PNR‑adatának a 6. cikk (2) bekezdésének a) pontjában említett előzetes értékelés eredményétől függetlenül és anélkül való megőrzése, hogy objektív és ellenőrizhető kritériumok alapján különbséget tennének a terrorizmus vagy a súlyos bűncselekmények kockázata alapján, ellentétes a Bíróságnak a jelen indítvány 237. pontjában hivatkozott azon állandó ítélkezési gyakorlatával, amelyet a Bíróság az említett véleményében érvényre kívánt juttatni. Márpedig a jelen indítvány 201-203. pontjában az előzetes döntéshozatalra előterjesztett negyedik kérdés vizsgálatával összefüggésben kifejtett megfontolások, bár véleményem szerint indokolhatják a PNR‑adatok általános és különbségtétel nélküli továbbítását, valamint automatikus kezelését a PNR‑irányelv 6. cikke (2) bekezdésének a) pontjában előírt előzetes értékelés keretében, önmagukban nem igazolhatják ezen adatok általános és különbségtétel nélküli megőrzését, még az ilyen értékelést követően sem.

242. Rámutatok továbbá arra, hogy ugyanazt az ötéves megőrzési időszakot alkalmazzák mind a terrorizmus elleni küzdelemre, mind a súlyos bűncselekmények elleni küzdelemre, és ez utóbbi céllal összefüggésben kivétel nélkül a II. mellékletben felsorolt valamennyi bűncselekményre. Márpedig amint az a jelen indítvány 121. pontjában kifejtett megfontolásokból kitűnik, ez a lista különösen terjedelmes, és különböző típusú és súlyosságú bűncselekményeket foglal magában. E tekintetben fontos rámutatni, hogy a szinte az összes, a jelen eljárás keretében észrevételeket benyújtó tagállam és intézmény által előadott, a nyomozás hosszával és összetettségével kapcsolatos indoklás kifejezetten csak a terrorista bűncselekményekre és egyes nyilvánvalóan nemzetközi jellegű bűncselekményekre, mint például az emberkereskedelemre, a kábítószer‑kereskedelemre, valamint általánosabban a szervezett bűnözés bizonyos formáira hivatkozik. Emlékeztetek továbbá arra, hogy az 1/15. sz. véleményben a Bíróság csak azon légi utasok PNR‑adatainak megőrzésével kapcsolatban fogadott el hasonló igazolást, akik a terrorizmus és a súlyos nemzetközi bűnözés elleni küzdelem szempontjából objektív kockázatot jelentenek, amely célok tekintetében az adatmegőrzés ötéves időtartamát úgy tekintette, hogy az nem lépi túl a szigorúan szükséges mértéket.(235) Ezzel szemben ez az igazolás nem elfogadható, ha „az összes légi utas PNR‑adatait […] folyamatosan tárolják az említett adatokhoz való esetleges hozzáférés érdekében, a terrorizmus és a súlyos nemzetközi bűncselekmények elleni küzdelemmel fennálló bármilyen kapcsolattól függetlenül”.(236)

243. Kétségtelenül igaz – amint azt a Tanács, a Parlament és a Bizottság, valamint az előzetes döntéshozatalra előterjesztett nyolcadik kérdéssel kapcsolatban észrevételeket benyújtó valamennyi kormány hangsúlyozta –, hogy a PNR‑irányelv különleges garanciákat biztosít mind a PNR‑adatok megőrzése tekintetében, amely adatokat a kezdeti hathónapos időszak után részben elrejtik, mind pedig a megőrzési időszak alatti felhasználás tekintetében, amelyet szigorú feltételekhez kötnek. Ugyanakkor először is rámutatok arra, hogy a Kanada–EU PNR‑megállapodás tervezete szintén rendelkezett egy, a PNR‑adatok adatelemek elrejtése útján való személyazonosításra alkalmatlanná tételére vonatkozó rendszerről,(237) másodszor pedig arra, hogy bár az ilyen személyazonosításra alkalmatlanná tétel, amint azt különösen a 108. egyezmény tanácsadó bizottsága hangsúlyozta,(238) csökkentheti a hosszabb adatmegőrzési időszakból eredő kockázatokat, például a visszaélésszerű hozzáférést, az elrejtett adatok továbbra is lehetővé teszik a személyek azonosítását, így ezen az alapon személyes adatok maradnak, amelyek megőrzését időben szintén korlátozni kell az általános, állandó megfigyelés megakadályozása érdekében. E tekintetben rámutatok arra, hogy az ötéves megőrzési időszak azt jelenti, hogy számos utas szinte állandóan nyilvántartásban maradhat, különösen az Unión belül utazók. Másodszor, ami az adatok felhasználásának korlátozását illeti, megjegyzem, hogy a személyes adatok megőrzése és az ilyen adatokhoz való hozzáférés a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokba való különböző beavatkozást jelentenek, amelyeket önállóan kell igazolni. Bár a megőrzött adatokhoz való hozzáférésre vonatkozó szigorú biztosítékok fennállása lehetővé teszi a megfigyelési intézkedés említett alapvető jogokra gyakorolt hatásának átfogó értékelését, ez nem tudja kiküszöbölni a hosszan tartó, általános megőrzésből eredő beavatkozást.

244. Ami a Bizottság azon érvelését illeti, amely szerint az összes légi utas PNR‑adatait meg kell őrizni annak érdekében, hogy az utas‑adat információs egységek el tudják látni a PNR‑irányelv 6. cikke (2) bekezdésének c) pontjában említett feladatot, az e cikk (3) bekezdésének b) pontja alapján végzett értékelésekhez használt kritériumokat naprakésszé tudják tenni, és új kritériumokat tudjanak meghatározni, rámutatok arra, hogy bár elfogadható, hogy e kritériumok pontossága részben a „rendes” magatartásokkal való összevetésen múlik, ahogyan azt a Bizottság állítja, ez nem változtat azon, hogy ezeket a kritériumokat a „bűnözői” magatartások alapján kell kidolgozni. Az ilyen érv, amelyet egyébként csak néhány tagállam hoz fel, véleményem szerint nem bírhat olyan döntő jelentőséggel, mint amit a Bizottság látszólag annak tulajdonít, és önmagában nem indokolhatja valamennyi légi utas PNR‑adatainak nem anonimizált formában történő, általános megőrzését.

245. A fenti megfontolásokra figyelemmel, annak érdekében, hogy a PNR‑irányelv 12. cikke (1) bekezdésének értelmezése összhangban álljon a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével, véleményem szerint ezt a rendelkezést úgy kell értelmezni, hogy a légi fuvarozók által az utas‑adat információs egységekkel közölt PNR‑adatok valamely adatbázisban öt éven át való megőrzése azt követően, hogy azokat a légi járat érkezési vagy indulási helyszíne szerinti tagállam utas‑adat információs egysége részére továbbították, az ezen irányelv 6. cikke (2) bekezdésének a) pontja szerinti előzetes értékelését követően csak akkor megengedett, ha objektív kritériumok alapján megállapítást nyer, hogy összefüggés áll fenn ezen adatok és a terrorizmus vagy a súlyos bűncselekmények elleni harc között. A PNR‑adatok általános és különbségtétel nélküli, nem anonimizált formában történő megőrzése – analógia útján azzal, amit a Bíróság ugyanezen ítélkezési gyakorlatában kifejtett – csak a tagállamok biztonságát fenyegető, valós, aktuális vagy előrelátható, például terrorcselekményekhez kapcsolódó súlyos fenyegetés esetén, valamint azzal a feltétellel igazolható, hogy a megőrzés időtartama a szigorúan szükséges mértékre korlátozódik.

246. A PNR‑irányelv 12. cikkének (1) bekezdésében előírt adatmegőrzési intézkedés hatályára vonatkozó korlátozás alapulhat például kockázatértékelésen vagy az illetékes nemzeti hatóságok által szerzett tapasztalatokon, amelyek vonatkozhatnak bizonyos légi összeköttetésekre, meghatározott utazási szokásokra, olyan utazási irodákra, amelyek közvetítésével végzik a foglalásokat, vagy akár személyek adott kategóriáira, illetve adott földrajzi területekre is, és amelyeket objektív és megkülönböztetéstől mentes tényezők alapján azonosítottak, hasonlóan ahhoz, amit a Bíróság az elektronikus közlések metaadatainak megőrzésére vonatkozó ítélkezési gyakorlatában is megállapított.(239) Az 1/15. sz. véleménnyel analóg módon egyébként úgy kell tekinteni, hogy a PNR‑adatok és a PNR‑irányelv által követett cél közötti szükséges kapcsolat mindaddig fennáll, ameddig a légi utasok az Unióban (vagy az érintett tagállamban) tartózkodnak, vagy onnan elutaznak. Ugyanez vonatkozik azoknak az utasoknak az adataira is, akikre igazolt pozitív találat mutat.

247. Az előzetes döntéshozatalra előterjesztett nyolcadik kérdés lezárásához szeretnék reflektálni a PNR‑adatokhoz való, a PNR‑irányelv 6. cikke (2) bekezdésének a) pontjában említett előzetes értékelés elvégzését követő, valamint a PNR‑irányelv 12. cikkének (2) bekezdésében előírt hat hónapos kezdeti megőrzési időszak lejártát követő személyazonosításra alkalmatlanná tételt megelőző hozzáférésnek, valamint ezen adatok felhasználásának a szabályaira.

248. A PNR‑irányelv 6. cikke (2) bekezdése b) pontjának és 12. cikke (3) bekezdésének együttes olvasatából az következik, hogy e kezdeti időszak alatt azokat a PNR‑adatokat, amelyeket még nem tettek személyazonosításra alkalmatlanná, vagy ezen adatok kezelésének eredményét az előbbi rendelkezéssel összhangban közölni lehet az illetékes hatóságokkal anélkül, hogy az utóbbi rendelkezés a) és b) pontjában meghatározott feltételek teljesülnének.(240) A PNR‑irányelv 6. cikke (2) bekezdésének b) pontja ugyanis csupán arról rendelkezik, hogy az illetékes hatóságok ilyen adatkezelésre és közlésre irányuló kérelmeinek „megfelelő indokolással ellátottnak” és „kellően alátámasztottnak” kell lenniük.

249. A Bíróság által az 1/15. sz. véleményben hivatkozott állandó ítélkezési gyakorlat szerint az uniós szabályozás nem szorítkozhat annak megkövetelésére, hogy a jogszerűen megőrzött személyes adatokhoz való, valamely hatóság általi hozzáférés feleljen meg e szabályozás valamelyik céljának, hanem rendelkeznie kell e felhasználás anyagi jogi és eljárásjogi feltételeiről is,(241) többek között annak érdekében, hogy az említett adatokat védjék a visszaélések kockázataival szemben.(242) Ebben a véleményben a Bíróság úgy ítélte meg, hogy a PNR‑adatoknak a légi utasok Kanadába való belépésekor elvégzett ellenőrzését követő, valamint ezen országban való tartózkodásuk során történő felhasználását olyan új körülményekre kell alapítani, amelyek indokolják e felhasználást,(243) pontosítva, hogy „amennyiben olyan objektív körülmények állnak fenn, amelyek alapján megállapítható, hogy egy vagy több légi utas PNR‑adatai ténylegesen hozzájárulhatnak a terrorista bűncselekmények és a súlyos nemzetközi bűncselekmények elleni küzdelem céljához, ezen adatok felhasználása nem tűnik úgy, hogy túllépné a szigorúan szükséges mértéket”.(244) A Bíróság analógia útján a Tele2 Sverige ítélet 120. pontjára hivatkozva megállapította, hogy annak érdekében, hogy a gyakorlatban biztosított legyen e feltételek teljes körű tiszteletben tartása, „alapvető jelentőségű, hogy a megőrzött PNR‑adatoknak a légi utasok Kanadában tartózkodása során történő felhasználása főszabály szerint – a kellően indokolt sürgős esetek kivételével – valamely bíróság vagy független közigazgatási szerv által végzett előzetes felülvizsgálat tárgyát képezze, és hogy e bíróság vagy szerv különösen megelőzési, felderítési vagy bűnüldözési eljárások keretében a hatáskörrel rendelkező hatóságok által előterjesztett indokolt kérelmet követően hozza meg határozatát”.(245) Következésképpen a Bíróság a megőrzött PNR‑adatoknak a légi utazás alkalmával végzett ellenőrzését követő felhasználását két feltételtől, egy anyagi jogi feltételtől – vagyis az ilyen felhasználást igazoló objektív indokok fennállásától – és egy eljárásjogi feltételtől – vagyis a bíróság vagy független közigazgatási hatóság által végzett ellenőrzéstől – tette függővé. A Bíróság által elfogadott értelmezés, amely távolról sem „összefüggéseken alapuló”, a különösen a Digital Rights ítéletből és a Tele2 Sverige ítéletből eredő ítélkezési gyakorlatnak a PNR‑adatokra történő alkalmazását jelenti.

250. Márpedig a PNR‑irányelv által a PNR‑adatok megőrzésének első hat hónapjára létrehozott rendszer, amely az irányelv 6. cikke (2) bekezdésének a) pontja szerinti előzetes értékelést követően engedélyezi a PNR‑adatok – esetlegesen ismételt – közlését és kezelését, megfelelő eljárási biztosítékok és ezen különböző beavatkozások tárgyát és módját meghatározó, kellően világos és pontos anyagi jogi szabályok hiányában nem felel meg a Bíróság által az 1/15. sz. véleményben megállapított követelményeknek. Úgy tűnik, hogy nem felel meg annak a követelménynek sem, hogy a PNR‑adatok felhasználása a szigorúan szükségesre korlátozódjon.

251. Következésképpen azt javaslom, hogy a Bíróság úgy értelmezze a PNR‑irányelv 6. cikke (2) bekezdésének b) pontját, hogy az e rendelkezés alapján az ezen irányelv 12. cikkének (2) bekezdésében megállapított kezdeti hathónapos időszakban végzett adatkezelés megfelel a Bíróság által az 1/15. sz. véleményben meghatározott követelményeknek.

252. Ami az első, anyagi jellegű feltételt illeti, amelyhez a Bíróság a PNR‑adatok későbbi felhasználását kötötte, úgy vélem, hogy a PNR‑irányelv 12. cikke (3) bekezdésének a) pontja szerinti „alapos ok” és a 6. cikk (2) bekezdésének b) pontja szerinti „megfelelő indokolás” fogalmát bármilyen nehézség nélkül lehet úgy értelmezni, hogy az illetékes hatóságok e rendelkezések szerinti kérelmeinek olyan objektív körülményekre kell hivatkozniuk, „amelyek alapján megállapítható, hogy egy vagy több légi utas PNR‑adatai ténylegesen hozzájárulhatnak a terrorista bűncselekmények és a súlyos […] bűncselekmények elleni küzdelem céljához”.(246)

253. Ami a második, eljárásjogi feltételt illeti, véleményem szerinti a PNR‑irányelv 6. cikke (2) bekezdésének b) pontját a 12. cikk (3) bekezdésével, valamint a Charta 7. és 8. cikkével és 52. cikke (1) bekezdésével összefüggésben úgy kell értelmezni, hogy az ezen irányelv 12. cikke (3) bekezdésének b) pontja szerinti igazságügyi hatóság vagy független közigazgatási hatóság előzetes jóváhagyására vonatkozó követelményt a PNR‑adatoknak az említett 6. cikk (2) bekezdésének b) pontja alapján végzett bármely kezelésére alkalmazni kell.

4.      Az előzetes döntéshozatalra előterjesztett második, harmadik, negyedik, hatodik és nyolcadik kérdésre vonatkozó következtetések

254. A fenti megfontolások összessége alapján azt javaslom, hogy a Bíróság érvénytelenítse az I. melléklet 12. pontját, amennyiben az „általános megjegyzéseket” is feltünteti a PNR‑adatok azon kategóriái között, amelyeket a légi fuvarozóknak a PNR‑irányelv 8. cikkével összhangban továbbítaniuk kell az utas‑adat információs egység részére, és állapítsa meg, hogy az előzetes döntéshozatalra előterjesztett második, harmadik, negyedik, hatodik és nyolcadik kérdés vizsgálata nem tárt fel olyan egyéb körülményeket, amelyek ezen irányelv érvényességét befolyásolnák, figyelemmel az irányelv rendelkezéseinek a jelen indítvány 153., 160., 161-164., 219., 228., 239. és 251. pontjában javasolt értelmezésére.

255. A PNR‑irányelv érvényességére vonatkozó előzetes döntéshozatalra előterjesztett kérdésekre adandó, általam javasolt válasz fényében minden egyéb megfontolástól eltekintve sem lehet hely adni a többek között a Tanács által előterjesztett, arra irányuló kérelemnek, hogy a Bíróság tartsa fenn a PNR‑irányelv joghatásait abban az esetben, ha a teljes PNR‑irányelvnek vagy annak egy részének az érvénytelenségét állapítja meg.

C.      Az előzetes döntéshozatalra előterjesztett ötödik kérdésről

256. Az előzetes döntéshozatalra előterjesztett ötödik kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi a Bíróságtól, hogy a PNR‑irányelv Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével együtt értelmezett 6. cikkét úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti jogszabály, amely a PNR‑adatok kezelésének céljaként elfogadja „az érintett tevékenységek hírszerzési és biztonsági szervek általi figyelemmel kísérését”. Az előzetes döntéshozatalra utaló határozatból kitűnik, hogy ezek a tevékenységek az állambiztonsági szolgálat és az általános hírszerző és biztonsági szolgálat által a nemzetbiztonság védelmével kapcsolatos feladataik keretében végzett tevékenységek.

257. Amint arra a jelen indítvány 113. és 114. pontjában már utaltam, a személyes adatok kezelése céljainak korlátozása alapvető garancia annak biztosítására, hogy a Charta 7. és 8. cikkében foglalt alapvető jogokba való beavatkozás ne lépje túl a Bíróság ítélkezési gyakorlata szerinti szigorúan szükséges mértéket. Azt is megállapítottam már, hogy az ezen alapvető jogokba való, a PNR‑irányelv által előírt beavatkozás tekintetében az uniós jogalkotó feladata, hogy a többek között a Charta 52. cikkének (1) bekezdésében foglalt törvényességi és arányossági elveknek való megfelelés érdekében világos és pontos szabályokat állapítson meg az ilyen beavatkozással járó intézkedések hatályára és alkalmazására vonatkozóan.

258. Márpedig a PNR‑irányelv 1. cikkének (2) bekezdése előírja, hogy az irányelvvel összhangban gyűjtött PNR‑adatokat „kizárólag terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából lehet kezelni a 6. cikk (2) bekezdésének a), b) és c) pontjában foglaltaknak megfelelően”. E rendelkezéssel összhangban az utas‑adat információs egységek a PNR‑adatokat kizárólag a légi utasok előzetes értékelésének elvégzése (a 6. cikk (2) bekezdésének a) pontja), az illetékes hatóságok célzott megkereséseinek megválaszolása (a 6. cikk (2) bekezdésének b) pontja) és az említett 6. cikk (3) bekezdésének b) pontja alapján végzett értékelésekhez használandó kritériumok naprakésszé tétele vagy új kritériumok meghatározása (a 6. cikk (2) bekezdésének a) pontja) céljából kezelik. Mindhárom esetben kifejezetten hivatkoznak a PNR‑irányelv 1. cikkének (2) bekezdésében meghatározott, a terrorizmus és a súlyos bűncselekmények elleni küzdelemmel kapcsolatos célkitűzésekre.

259. Ezen túlmenően az irányelv 7. cikkének (4) bekezdése pontosítja, hogy nemcsak a PNR‑adatok irányelv 6. cikke szerinti kezelése, hanem az ilyen adatoknak és ezen adatkezelés eredményeinek tagállamok illetékes hatóságai általi további kezelése is „kizárólag a terrorista bűncselekmények és súlyos bűncselekmények megelőzésének, felderítésének, nyomozásának és üldözésének konkrét céljára” korlátozódhat.

260. A PNR‑irányelv által követett célok meghatározásának kimerítő jellege világosan kitűnik 1. cikke (2) bekezdésének szövegéből is, amit a már hivatkozott 6. cikkének (2) bekezdése és 7. cikkének (4) bekezdése mellett az irányelv több olyan cikke és preambulumbekezdése is megerősít, amelyek a PNR‑adatokhoz való hozzáférés, valamint a PNR‑adatok kezelése, megőrzése és megosztása folyamatának minden egyes szakaszát következetesen kizárólag e konkrét célokhoz kötik.(247)

261. Mind a PNR‑irányelv 1. cikke (2) bekezdésének szövegéből, mind pedig annak a jogszerűség és az arányosság elvének fényében történő értelmezéséből – amely elvek megkövetelik a magánélet tiszteletben tartásához és a személyes adatok védelméhez fűződő alapvető jogokba való beavatkozással járó intézkedések céljainak kimerítő korlátozását – az következik, hogy a PNR‑adatok kezelése céljainak az e rendelkezésben kifejezetten említett biztonsági célokon túlmenő bármilyen kiterjesztése ellentétes a PNR‑irányelvvel.

262. Az irányelv által kitűzött célok kiterjesztésének ez a tilalma véleményem szerint különösen a tagállamok biztonsági és hírszerző szolgálatainak tevékenységére vonatkozik, többek között az átláthatóság működési módjukra jellemző hiánya miatt. Ezen a ponton egyetértek a Bizottság véleményével, nevezetesen azzal, hogy ezeknek a szolgálatoknak általában nem szabadna közvetlen hozzáférést biztosítani a PNR‑adatokhoz. Ebben az összefüggésben önmagában is kifogásolhatónak tartom, hogy a nemzeti utas‑adat információs egység tagjai között, amint a belga utas‑adat információs egység esetében is, lehetnek a biztonsági szolgálatoktól kirendelt tisztviselők.(248)

263. A fenti megfontolások alapján az előzetes döntéshozatalra előterjesztett ötödik kérdésre véleményem szerint azt a választ kell adni, hogy a PNR‑irányelvet és különösen 1. cikkének (2) bekezdését, valamint 6. cikkét úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti jogszabály, amely a PNR‑adatok kezelésének céljaként ismer el bizonyos, a hírszerző és biztonsági szolgálatok által végzett tevékenységeket, mivel a nemzeti utas‑adat információs egység e cél keretében az említett adatok kezelésére és/vagy ezen adatoknak vagy az adatkezelés eredményeinek az említett szolgálatok részére való továbbítására kényszerülne az ezen irányelv 1. cikke (2) bekezdésében kimerítően meghatározott céloktól eltérő célokból, aminek fennállását a nemzeti bíróságnak kell vizsgálnia.

D.      Az előzetes döntéshozatalra előterjesztett hetedik kérdésről

264. Hetedik kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi a Bíróságtól, hogy a PNR‑irányelv 12. cikke (3) bekezdésének b) pontját úgy kell‑e értelmezni, hogy az utas‑adat információs egység az e rendelkezés értelmében vett olyan „hatáskörrel rendelkező nemzeti hatóságnak” minősül, amely engedélyezheti az összes PNR‑adat közlését az ezen adatok továbbítását követő kezdeti hat hónapos határidő lejártát követően.

265. Emlékeztetek arra, hogy a PNR‑irányelv 12. cikkének (2) bekezdése előírja, hogy hat hónap lejártával az összes PNR‑adatot személyazonosításra alkalmatlanná kell tenni az azon utasok közvetlen beazonosítására alkalmas adatelemek elrejtése útján, akikre a PNR‑adatok vonatkoznak. Ezen időszakot követően az említett adatok összességének közlése csak az említett 12. cikk (3) bekezdésében megállapított feltételek mellett engedélyezett, és különösen akkor, ha azt előzetesen jóváhagyta valamely „igazságügyi hatóság” (a 12. cikk (3) bekezdés b) pontjának i. alpontja) vagy „a nemzeti jog alapján az adatok közlésére vonatkozó feltételek teljesülésének ellenőrzésére hatáskörrel rendelkező más nemzeti hatóság, ebben az esetben az utas‑adat információs egység adatvédelmi tisztviselőjét erről tájékoztatni kell, és az adatvédelmi tisztviselő utólagos ellenőrizést végez” (a 12. cikk (3) bekezdés b) pontjának ii. alpontja).

266. A jelen eljárásban írásbeli észrevételeket benyújtó kormányok többsége nem nyilatkozott az előzetes döntéshozatalra előterjesztett hetedik kérdésről. A cseh kormány a Bizottsághoz hasonlóan úgy véli, hogy a PNR‑irányelv 12. cikkének (3) bekezdése nem értelmezhető úgy, hogy az utas‑adat információs egység „illetékes nemzeti hatóságnak” minősülhet. Ezzel szemben a belga,(249) az ír, a spanyol, a francia és a ciprusi kormány nem ért egyet ezzel az értelmezéssel. Lényegében úgy vélik, hogy a PNR‑irányelv vagy az uniós jog egyik rendelkezése sem akadályozza, hogy az utas‑adat információs egységet az említett irányelv 12. cikke (2) bekezdése b) pontjának ii. alpontja szerinti illetékes nemzeti hatóságok egyikeként jelöljék ki, és az utas‑adat információs egység a jellegénél fogva kellően független hatóság ahhoz, hogy engedélyezhesse a PNR‑adatok kezelését.

267. A magam részéről először is megjegyzem, hogy a PNR‑irányelv 12. cikke (3) bekezdése b) pontjának szövegéből, és különösen az e rendelkezés i. és ii. alpontjában foglalt két esetet összekapcsoló „vagy” kötőszó használatából az következik, hogy az uniós jogalkotó szándéka az volt, hogy az ii. alpontban említett nemzeti hatóság által gyakorolt ellenőrzést és az i. alpontban említett igazságügyi hatóság által gyakorolt ellenőrzést azonos szintre helyezze. Ebből következik, hogy az említett nemzeti hatóságnak olyan szintű függetlenséggel és pártatlansággal kell rendelkeznie, hogy az általa végzett ellenőrzést az igazságügyi hatóság által végezhető ellenőrzéssel összehasonlítható alternatívának lehessen tekinteni.(250)

268. Másodszor, a PNR‑irányelv előkészítő munkálataiból kiderül, hogy az uniós jogalkotó egyrészt nem fogadta el a Bizottság azon javaslatát, amely szerint az utas‑adat információs egység vezetőjét bízzák meg azzal a feladattal, hogy engedélyezze az összes PNR‑adat közlését,(251) másrészt pedig hat hónapra hosszabbította meg az említett intézmény által javasolt 30 napos kezdeti megőrzési időszakot. Ebben az összefüggésben, amelyet az egyensúly keresése jellemez a PNR‑adatok személyazonosításra alkalmatlanná tételét megelőző megőrzési időszak hossza és az adatelemek ezen időszak végén történő elrejtésének feltételei között, hozta meg az uniós jogalkotó azon döntését, hogy a PNR‑adatokhoz való teljes körű hozzáférést a Bizottság által eredetileg meghatározottaknál szigorúbb eljárásjogi feltételekhez köti, és egy független hatóságot bíz meg azzal a feladattal, hogy igazolja a közlés feltételeinek teljesülését.

269. Harmadszor, amint azt a Bizottság helyesen megjegyezte, a PNR‑irányelv rendszeréből következik, hogy a PNR‑irányelv 12. cikkének (3) bekezdésében előírt jóváhagyási eljárás létrehozatalát az indokolja, hogy minden egyes esetben egy pártatlan harmadik félre bízzák az érintettek jogai és az irányelv által követett bűnüldözési cél közötti egyensúly biztosítását.

270. Negyedszer, a Bíróság ítélkezési gyakorlatából következik, hogy az illetékes nemzeti hatóságoknak a jogszerűen megőrzött személyes adatokhoz való hozzáférésének az engedélyezéséhez megkövetelt előzetes értékelés elvégzéséért felelős szervnek rendelkeznie kell minden hatáskörrel és minden szükséges garanciával a szóban forgó különböző érdekek és jogok összehangolásának biztosítása érdekében. A Bíróság azt is megállapította, hogy e szervnek olyan jogállással kell rendelkeznie, amely lehetővé teszi számára, hogy feladatai ellátása során objektív és pártatlan módon járjon el, és e célból minden külső befolyástól mentesnek kell lennie.(252) Az előzetes ellenőrzésért felelős hatóságnak konkrétan, a függetlenségnek a mindenekelőtt a büntetőügyek területén előírt követelményére tekintettel az adatokhoz való hozzáférést kérő félhez képest harmadik személyként kell eljárnia, így nem vehet részt a büntetőeljárás lefolytatásában, és semlegesnek kell lennie a büntetőeljárásban részt vevő felekkel szemben.(253)

271. Márpedig meg kell állapítani, hogy az utas‑adat információs egység nem rendelkezik valamennyi olyan függetlenségi és pártatlansági garanciával, amelynek a PNR‑irányelv 12. cikkének (3) bekezdése szerinti előzetes ellenőrzés lefolytatásával megbízott hatóságnak meg kell felelnie. Az utas‑adat információs egység ugyanis közvetlenül kapcsolódik a terrorista bűncselekmények és súlyos bűncselekmények megelőzésére, felderítésére, nyomozására és üldözésére hatáskörrel rendelkező hatóságokhoz. A PNR‑irányelv 4. cikkének (1) bekezdése szerint az utas‑adat információs egység maga is ilyen hatóság vagy annak része. A 4. cikk (3) bekezdése egyébként előírja, hogy az utas‑adat információs egység személyi állományának tagjai kirendelhetők illetékes hatóságoktól. Ez a helyzet áll fenn különösen a belga utas‑adat információs egység esetén, amely a PNR‑törvény 14. cikke szerint többek között a rendőrség, az állambiztonsági szolgálat, az általános hírszerző és biztonsági szolgálat, valamint a vám‑ és jövedékiadó‑hatóság által kirendelt tagokból áll.

272. Általában véve igaz, hogy az utas‑adat információs egység tagjainak minden integritási, hatásköri, átláthatósági és függetlenségi garanciával rendelkezniük kell, és a tagállamok feladata, hogy adott esetben biztosítsák, hogy az e tagok és az őket kirendelő szervek közötti kapcsolatokra tekintettel ezeket a garanciákat a gyakorlatban tiszteletben lehessen tartani, többek között annak megakadályozása érdekében, hogy azok az illetékes hatóságok, amelyek szervezeti struktúrájához ezek a tagok eredetileg tartoztak, a PNR‑adatbázisokhoz ne, hanem csak az utas‑adat információs egységek által folytatott keresések eredményeihez férhessenek hozzá. Ez nem változtat azon, hogy az utas‑adat információs egységeknek a PNR‑irányelv 7. cikkének (2) bekezdése értelmében vett hatáskörrel rendelkező hatóságoktól kirendelt tagjai a kirendelésük időtartama alatt szükségszerűen kapcsolatban maradnak a saját eredeti szervezeteikkel, és státuszukat akkor is megőrzik, ha az utas‑adat információs egységet vezető tisztviselő működési és szervezeti fennhatósága alá kerülnek.

273. Azt a következtetést, amely szerint az utas‑adat információs egység nem a PNR‑irányelv 12. cikke (3) bekezdése b) pontjának ii. alpontja értelmében vett nemzeti hatóság, egyébként az a körülmény is alátámasztja, hogy e rendelkezés szerint az érintett utas‑adat információs egység adatvédelmi tisztviselőjét „tájékoztatni” kell az adatközlés iránti kérelemről, és e tisztviselő „utólagos ellenőrzést” végez. Abban az esetben ugyanis, ha az utas‑adat információs egység „más nemzeti hatóságként” fel lenne jogosítva arra, hogy a PNR‑irányelv 12. cikkének (3) bekezdése alapján jóváhagyja az adatközlés iránti kérelmet, az adatvédelmi tisztviselőnek, aki egyebek mellett ezen irányelv 5. cikke értelmében felelős a PNR‑adatok kezelését körülvevő releváns garanciák betartásáért, a hozzáférés iránti kérelemről benyújtásának időpontjában értesülne, és így ellenőrzését szükségszerűen előzetesen végezné.(254)

274. A fenti megfontolásokra tekintettel javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett hetedik kérdésre azt a választ adja, hogy a PNR‑irányelv 12. cikke (3) bekezdésének b) pontját úgy kell értelmezni, hogy az utas‑adat információs egység nem minősül az e rendelkezés értelmében vett „hatáskörrel rendelkező más nemzeti hatóságnak”.

E.      Az előzetes döntéshozatalra előterjesztett kilencedik kérdésről

275. Előzetes döntéshozatalra előterjesztett kilencedik kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi a Bíróságtól, hogy egyrészt az API‑irányelv összeegyeztethető‑e az EUSZ 3. cikk (2) bekezdésével és a Charta 45. cikkével abban a tekintetben, hogy azt alkalmazni kell az Unión belüli légi járatokra, másrészt pedig azt, hogy ezt az irányelvet az EUSZ 3. cikk (2) bekezdésével, valamint a Charta 45. cikkével összefüggésben úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti jogszabály, amely az illegális bevándorlás elleni küzdelemre és a határellenőrzések javítására irányuló cél érdekében az utasok adatainak gyűjtésére és kezelésére irányuló rendszert ír elő, ami közvetve a belső határellenőrzések visszaállítását jelentheti.

276. Az előzetes döntéshozatalra utaló határozatból kiderül, hogy ez az előzetes döntéshozatalra előterjesztett kérdés az LDH által másodlagosan felhozott második jogalap vizsgálatának keretébe illeszkedik. A belga alkotmánynak az EUSZ 3. cikk (2) bekezdésével és a Charta 45. cikkével összefüggésben értelmezett 22. cikkének megsértésére alapított ezen jogalap a PNR‑törvény 3. cikkének (1) bekezdése, 8. cikkének (2) bekezdése és 11. fejezete, különösen 28–31. cikke ellen irányul. Bár e cikkek közül az első általánosságban állapítja meg a törvény tárgyát, pontosítva, hogy az „meghatározza a fuvarozók és utazásszervezők nemzeti területre beutazó, onnan kiutazó és az azon átutazó utasok adatainak továbbítására vonatkozó kötelezettségeit”, az említett törvény 8. cikkének (2) bekezdése előírja, hogy „[az annak 11. fejezetében] előírt feltételek tiszteletben tartásával az utasok adatait a személyek külső határokon történő ellenőrzésének javítása és az illegális bevándorlás elleni küzdelem céljára is felhasználják”. E céllal összefüggésben, a PNR‑törvény 29. cikkének (1) bekezdése értelmében csak a törvény 9. cikke (1) bekezdésének 18. pontjában említett, az utasok három kategóriájára vonatkozó „utasadatokat” (azaz a PNR‑irányelv 18. pontjában említett API‑adatokat) továbbítják a határellenőrzésért felelős rendőrségnek és az Office des étrangers‑nak (idegenrendészeti hivatal, Belgium). Azokról az utasokról van szó, „akik Belgium külső határain be kívánnak lépni az ország területére, vagy ezeken a határokon beléptek”, „akik Belgium külső határain ki kívánnak lépni az országból, vagy ezeken a határokon kiléptek”, valamint „akik Belgiumban található nemzetközi tranzit zónába terveznek belépni, ott tartózkodnak vagy onnan távoznak”.(255) A PNR‑törvény 29. cikkének (3) bekezdéséből az következik, hogy az említett adatokat „az utasadatbázisban való rögzítésüket követően haladéktalanul” továbbítják a határok ellenőrzésével megbízott rendőrség és az idegenrendészeti hivatal részére, és azokat az átadásukat követő huszonnégy óra elteltével törlik. E rendelkezés értelmében e határidő elteltével az idegenrendészeti hivatal indokolt kérelmet nyújthat be az utas‑adat információs egységhez annak érdekében, hogy hozzáférést kapjon ezen adatokhoz, amennyiben azokra a törvényes feladatainak ellátásához szüksége van. Ezért az előzetes döntéshozatalra előterjesztett kilencedik kérdés jogi kerete túlmutat a PNR‑irányelv jogi keretén, tekintettel a PNR‑törvény 28. és 29. cikkében említett adatkezelési célra, és az API‑irányelv jogi keretébe illeszkedik. Az ügynek a Bíróság Hivatalához benyújtott irataiból kiderül továbbá többek között az, hogy az LDH második jogalapja a PNR‑törvény 11. fejezete rendelkezéseinek értelmezésén alapul, amely szerint e rendelkezések Belgium belső határainak átlépése esetén is alkalmazandók.

277. Az előzetes döntéshozatalra előterjesztett kilencedik kérdés első része téves feltételezésen alapul, és véleményem szerint arra a Bíróságnak nem kell válaszolnia. Az API‑irányelv 3. cikkének a 2. cikk b) és d) pontjával összefüggésben értelmezett (1) bekezdéséből egyértelműen kitűnik, hogy ez az irányelv csak azon légi járatok tekintetében kötelezi a légi fuvarozókat az API‑adatoknak a külső határokon végzett személyellenőrzésért felelős hatóságok részére történő továbbítására, amelyek a tagállamoknak a harmadik országokkal közös külső határainak átlépésére engedélyezett határátkelőhelyre szállítanak utasokat. Hasonlóképpen, az említett irányelv 6. cikkének (1) bekezdése is csak az ilyen légi járatokra vonatkozó API‑adatok kezeléséről rendelkezik. Továbbá, bár igaz, hogy a PNR‑irányelv lehetőséget biztosít a tagállamok számára, hogy az összegyűjtött API‑adatok továbbítására vonatkozó kötelezettséget kiterjesszék az EU‑n belüli légi járatokat üzemeltető légi fuvarozókra is, ez a kiterjesztés nem sértheti az API‑irányelvet.(256) A PNR‑irányelv keretében az átadott API‑adatokat kizárólag az ezen irányelvben előírt bűnüldözési célokból kezelik. Fordítva, a PNR‑irányelv (34) preambulumbekezdése rögzíti, hogy ez az irányelv nem érinti a határellenőrzés végzésének módjára vonatkozó, hatályos uniós szabályokat, sem az Unió területére való belépésre és kilépésre vonatkozó uniós szabályozást, ezen irányelv 6. cikke (9) bekezdésének második mondata pedig úgy előírja, hogy az ilyen értékelések eredményének – amennyiben azokat az olyan tagállamok közötti EU‑n belüli légi járatok tekintetében végzik, amelyekre alkalmazandó Schengeni határ‑ellenőrzési kódex(257) – meg kell felelnie az említett rendeletnek.

278. Az előzetes döntéshozatalra előterjesztett kilencedik kérdés e részének a Bizottság által javasolt, oly módon történő átfogalmazása, hogy az ne az API‑irányelvnek, hanem a PNR‑irányelvnek és különösen 2. cikkének a Szerződés és a Charta rendelkezéseivel való összhangjára vonatkozzon, nemcsak annak a jogi aktusnak a módosítását foglalná magában, amellyel kapcsolatban a kérdést előterjesztő bíróság az érvényesség vizsgálatát kérte, hanem az előzetes döntéshozatalra előterjesztett kérdés jogi keretétől való eltérést is jelentené. Amint azt ugyanis már kifejtettem, a PNR‑törvény 11. fejezetének rendelkezései, amelyek ellen a második jogalap irányul, az API‑irányelvet, nem pedig a PNR‑irányelvet ültetik át.

279. Amennyiben a Bíróság mégis átfogalmazná a kérdést, az alábbi észrevételek megtételére szorítkozom, különösen azzal a kérdéssel kapcsolatban, hogy az előzetes értékelés, amelyet a tagállamok a PNR‑irányelv 2. cikke alapján rendelkezésükre álló lehetőségnek megfelelően az EU‑n belüli légi járatok utasainak PNR‑adatain végezhetnek, egyenértékűnek tekinthető‑e a Schengeni határ‑ellenőrzési kódex 23. cikkének a) pontja értelmében vett „határforgalom ellenőrzéssel”.(258) Először is, ha a PNR‑adatok előzetes értékelése nem a „határátkelőhelyen” vagy a „határátlépés pillanatában”, hanem azt megelőzően történik, akkor is a küszöbön álló határátlépés „alapján” kerül rá sor. Másodszor, a PNR‑irányelv 2. cikkével összhangban a tagállamok felhatalmazást kapnak arra, hogy a PNR‑adatoknak a PNR‑irányelv 6. cikke (2) bekezdésének a) pontjában előírt előzetes értékelését az összes Unión belüli légi járat utasaira kiterjesszék, függetlenül az érintett személyek magatartásától és a közbiztonságot veszélyeztető körülményektől. Ez az előzetes értékelés ráadásul rendszeres jellegű. Márpedig úgy tűnik, hogy ezen elemek közül egyik sem felel meg a Schengeni határ‑ellenőrzési kódex 23. cikke a) pontja második mondatának ii., iii. és iv. alpontjában említett feltételeknek.(259) Harmadszor, ami e cikk a) pontja második mondatának i. és iii. alpontjában szereplő feltételeket illeti, felteszem magamnak a kérdést, hogy a PNR‑irányelv 6. cikke (2) bekezdésének a) pontja alapján végzett előzetes ellenőrzés legalább részben nem esik‑e egybe a 2017/458 rendelettel módosított Schengeni határ‑ellenőrzési kódex 8. cikke (2) bekezdése b) pontjának és (3) bekezdése a) pontja vi. alpontjának, valamint g) pontja iii. alpontjának alkalmazásával végzett határellenőrzés céljával, és főként, hogy e rendszeresen végzett ellenőrzések módszereiket tekintve nem különböznek‑e egymástól egyértelműen.(260) E tekintetben rámutatok, hogy e kódex 8. cikkének (2e) bekezdésében és (3) bekezdése ia) pontjában említett ellenőrzés „előzetesen is elvégezhető az API‑irányelvvel vagy más, az uniós vagy a nemzeti joggal összhangban kapott, utasokkal kapcsolatos adatok alapján”. Mindemellett igaz, hogy a PNR‑irányelv célja nem „annak biztosítása, hogy a személyek számára engedélyezzék a tagállam területére való belépést vagy a tagállam területének elhagyását”, és nem is „annak megakadályozása, hogy a személyek megkerüljék az ilyen ellenőrzéseket” – amely célokat a Bíróság a Schengeni határ‑ellenőrzési kódex szerinti „határellenőrzés” céljainak ismer el – (261), mivel az irányelv kizárólag bűnüldözési célt szolgál. Ezenkívül az említett kódex 23. cikke a) pontjának ii. alpontja kifejezetten előírja, hogy a rendőrségi hatáskör gyakorlását nem lehet egyenértékűnek tekinteni a határforgalom‑ellenőrzésre irányuló hatáskörrel, ha az ellenőrzések célja többek között a határokon átnyúló bűnözés elleni küzdelem.(262) Végül a Bíróságnak értékelésében figyelembe kellene vennie azt a különösen a Bizottság által kiemelt tényt is, hogy a PNR‑irányelv 2. cikke csak arra jogosítja fel a tagállamokat, hogy a légi fuvarozókat a rendes tevékenységük során gyűjtött PNR‑adatok továbbítására kötelezzék, és ezért nem ír elő az API‑irányelvben a külső határok átlépésére vonatkozóan előírt kötelezettséggel analóg kötelezettséget.

280. Ami az előzetes döntéshozatalra előterjesztett kilencedik kérdés második részét illeti, a Bizottsághoz hasonlóan úgy vélem, hogy azt úgy kell értelmezni, hogy a belső határok átlépésére vonatkozik, és arra irányul, hogy a Bíróság olyan felvilágosítást adjon, amely lehetővé teszi a kérdést előterjesztő bíróság számára, hogy értékelni tudja a PNR‑törvény 11. fejezete rendelkezéseinek a schengeni térségben a tagállamok belső határain történő ellenőrzések eltörlésével való összeegyeztethetőségét.

281. E tekintetben, a Bíróság rendelkezésére álló korlátozott információkra figyelemmel csupán arra szeretnék rámutatni, hogy a PNR‑törvény 11. fejezetének rendelkezései csak akkor egyeztethetők össze az uniós joggal és különösen az EUMSZ 67. cikk (2) bekezdésével, ha úgy értelmezzük azokat, hogy csak a Belgium harmadik országokkal közös külső határait átlépő utasok API‑adatainak továbbítására és kezelésére vonatkoznak.

282. Amennyiben a Bíróság úgy döntene, hogy az előzetes döntéshozatalra előterjesztett kilencedik kérdés második részét átfogalmazza úgy, hogy az a PNR‑irányelvnek a PNR‑törvény 11. fejezetének rendelkezéseivel kapcsolatos értelmezésére vonatkozzon, csupán annak megemlítésére szorítkozom, hogy az API‑adatoknak e törvény 28. és 29. cikkében előírt kezelése a belga jogalkotó által a PNR‑irányelv átültetése érdekében létrehozott rendszerbe illeszkedik. Így először is, az adatkezelés tárgyát képező API‑adatok azok, amelyeket ezen irányelv I. mellékletének 12. pontja felsorol, és nem kizárólag azok, amelyek az API‑irányelv 3. cikkének (2) bekezdésében szerepelnek. Másodszor, a PNR‑törvény 29. cikkének (1) bekezdésével összhangban ezeket az adatokat a PNR‑irányelv által követett célok megvalósítása érdekében a PNR‑adatok gyűjtéséért és kezeléséért felelős utas‑adat információs egység továbbítja a határellenőrzésért felelős rendőrségnek és az idegenrendészeti hivatalnak, nem pedig, amint azt az API‑rányelv előírja, közvetlenül a légi fuvarozók. Ez az adattovábbítás egyébként a Belgium területéről távozni szándékozó vagy onnan távozott utasok adataira is vonatkozik, és azok címzettjei nemcsak a határellenőrzésért felelős hatóságok, hanem az idegenrendészeti hivatal is, amely a bevándorolt népesség kezeléséért és az illegális bevándorlás elleni küzdelemért felelős. Harmadszor, a PNR‑törvény 29. cikke (4) bekezdésének második albekezdése alapján úgy tűnik, hogy az idegenrendészeti hivatal jogosult az API‑adatokhoz való hozzáférés iránti kérelmet benyújtani az utas‑adat információs egységhez, még azt követően is, hogy ezeket az adatokat az érintett utasok határátlépésével kapcsolatban kezelték. Ebben az értelemben ez a hivatal de facto a PNR‑irányelv 7. cikke szerinti hatáskörrel rendelkező hatóság, noha nem ugyanolyan jellegű, mint e hatóságok, és nem is szerepel az e hatóságoknak a Belgium által a Bizottsággal közölt listáján sem. Márpedig az API‑irányelvvel és a PNR‑irányelvvel létrehozott rendszerek ilyen keveredése véleményem szerint nem fogadható el, mivel sérti a célhoz kötöttség PNR‑irányelv 1. cikkének (2) bekezdésében meghatározott elvét.(263)

283. A fent megfontolások alapján azt javaslom, hogy a Bíróság az előzetes döntéshozatalra előterjesztett kilencedik kérdésre azt a választ adja, hogy az API‑irányelv 3. cikkének ezen irányelv 2. cikkének b) és d) pontjával összefüggésben értelmezett (1) bekezdése, amely szerint a tagállamok megteszik a szükséges lépéseket ahhoz, hogy olyan kötelezettséget állapítsanak meg a fuvarozók részére, amely szerint az utóbbiaknak a külső határokon a személyek ellenőrzésének végrehajtásáért felelős hatóságok kérésére, a check‑in befejezésekor információt kell nyújtaniuk az e cikk (2) bekezdése szerinti utasokról, kizárólag a tagállamok harmadik országokkal közös külső határainak átlépésére engedélyezett határátkelőhelyre szállított utasokra vonatkozik. Az olyan nemzeti jogszabály, amely kizárólag a határellenőrzés javítása és az illegális bevándorlás elleni küzdelem érdekében kiterjeszti ezt a kötelezettséget az érintett tagállam belső határait repülővel vagy más közlekedési eszközzel átlépő személyek adataira, ellentétes az EUMSZ 67. cikk (2) bekezdésével és a Schengeni határ‑ellenőrzési kódex 22. cikkével.

F.      Az előzetes döntéshozatalra előterjesztett tizedik kérdésről

284. Az előzetes döntéshozatalra előterjesztett tizedik kérdésével a kérdést előterjesztő bíróság lényegében azt kérdezi a Bíróságtól, hogy amennyiben arra a következtetésre jutna, hogy a PNR‑törvény sérti a Charta 7. és 8. cikkét, valamint 52. cikkének (1) bekezdését, ideiglenesen fenntarthatja‑e e törvény joghatásait a jogbizonytalanság elkerülése céljából, illetve annak érdekében, hogy a korábban gyűjtött és megőrzött adatokat még fel lehessen használni a PNR‑törvényben hivatkozott célokra.

285. A Bíróság ugyanilyen jellegű kérdést válaszolt meg az elektronikus hírközlési metaadatok tárolását érintően a La Quadrature du Net ítéletben, amelyet a jelen előzetes döntéshozatal iránti kérelem benyújtását követően hoztak. Ebben az ítéletben a Bíróság először is emlékeztetett arra, hogy sértené az uniós jog elsőbbségét és egységes alkalmazását, ha a nemzeti bíróságoknak lehetőségük lenne – akár ideiglenesen – elsőbbséget biztosítani az uniós joggal ellentétes nemzeti rendelkezéseknek az uniós joggal szemben. Emlékeztetett továbbá arra, hogy a 2019. július 29‑i Inter‑Environnement Wallonie és Bond Beter Leefmilieu Vlaanderen ítéletben,(264) amelyben olyan intézkedések jogszerűségéről volt szó, amelyeket az uniós jog által előírt azon kötelezettség megsértésével fogadtak el, hogy a projektek környezetre és védett területre gyakorolt hatásait előzetes vizsgálatnak kell alávetni, a Bíróság kimondta, hogy a nemzeti bíróság, amennyiben a belső jog ezt lehetővé teszi, kivételesen fenntarthatja az ilyen intézkedések joghatásait, ha a joghatások fenntartását az érintett tagállam villamosenergia‑ellátásának a megszakadásával fenyegető, valós és súlyos veszély elhárításának szükségességéhez kapcsolódó kényszerítő megfontolások igazolják, és e fenntartás a jogellenesség megszüntetéséhez feltétlenül szükséges időtartamra terjedhet ki. Mindazonáltal megállapította, hogy ellentétben az olyan eljárási kötelezettség elmulasztásával, mint a projekteknek a környezetvédelem sajátos területére gyakorolt hatásainak előzetes vizsgálata, a Charta 7. és 8. cikkében biztosított alapvető jogok megsértése nem orvosolható a fent hivatkozott ítéletben említetthez hasonló eljárás útján.(265) Véleményem szerint ugyanezt a választ kell adni az előzetes döntéshozatalra előterjesztett tizedik kérdésre.

286. Amennyiben mind a kérdést előterjesztő bíróság, mind a belga kormány, valamint a Bizottság és a Tanács azt kérdezi, hogy az uniós joggal ellentétes‑e az uniós joggal összeegyeztethetetlen módon gyűjtött, kezelt és/vagy tárolt PNR‑adatok felhasználásával szerzett információk vagy bizonyítékok büntetőeljárás keretében történő felhasználása, emlékeztetnék arra, hogy a La Quadrature du Net ügyben hozott ítélet 222. pontjában a Bíróság kimondta, hogy az uniós jog jelenlegi állapotában főszabály szerint kizárólag a nemzeti jog határozza meg az ilyen, uniós joggal ellentétes adatmegőrzéssel szerzett információknak és bizonyítékoknak a súlyos bűncselekmények elkövetésével gyanúsított személyekkel szemben indított büntetőeljárás keretében való megengedhetőségére és értékelésére vonatkozó szabályokat, az egyenértékűség és a tényleges érvényesülés elvének tiszteletben tartása mellett. Az utóbbit illetően a Bíróság úgy ítélte meg, hogy ezen elv alapján a nemzeti büntetőbíróság köteles a bűncselekmények elkövetésével gyanúsított személyekkel szemben indított büntetőeljárásban figyelmen kívül hagyni azokat az információkat és bizonyítékokat, amelyekhez a forgalmi és helymeghatározó adatoknak az uniós joggal összeegyeztethetetlen, általános és különbségtétel nélküli megőrzésével jutottak, ha a gyanúsított személyek nem tudnak hatékony módon észrevételt tenni ezekkel az információkkal és bizonyítékokkal kapcsolatban, amelyek a bíróság tudomásán kívüli területről származnak és döntő befolyással lehetnek a tényállás megállapítására Ezek az elvek értelemszerűen átültethetők az alapeljárás körülményeire is.

IV.    Végkövetkeztetés

287. A fenti megfontolások összességére tekintettel azt javaslom, hogy a Bíróság a Cour constitutionnelle (alkotmánybíróság, Belgium) által előzetes döntéshozatalra előterjesztett kérdésekre a következő választ adja:

1)      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 23. cikkét e rendelet 2. cikke (2) bekezdésének d) pontjával összefüggésben úgy kell értelmezni, hogy

–        az alkalmazandó az utas‑nyilvántartási adatállománynak (PNR) a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása érdekében történő felhasználásáról szóló, 2016. április 27‑i (EU) 2016/681 európai parlamenti és tanácsi irányelvet átültető nemzeti jogszabályra, amennyiben ez a jogszabály a PNR‑adatok légi fuvarozók és más gazdasági szereplők általi kezelését – ideértve a PNR‑adatok ezen irányelv 4. cikke szerinti utas‑adat információs egységek részére történő, az irányelv 8. cikkében előírt továbbítását – szabályozza;

–        az nem alkalmazandó a 2016/681 irányelvet átültető nemzeti jogszabályra, amennyiben az az utas‑adat információs egységeket is beleértve az illetékes nemzeti hatóságok és adott esetben az érdekelt tagállam biztonsági és hírszerzési szolgálatai által az ezen irányelv 1. cikkének (2) bekezdésében előírt célokból végzett adatkezelését szabályozza;

–        az alkalmazandó a fuvarozóknak az utasokkal kapcsolatos adatok közlésére vonatkozó kötelezettségéről szóló, 2004. április 29‑i 2004/82/EK tanácsi irányelvet és a tagállamok kikötőibe érkező vagy onnan induló hajókra vonatkozó nyilatkozattételi követelményekről és a 2002/6/EK irányelv hatályon kívül helyezéséről szóló, 2010. október 20‑i 2010/65/EU európai parlamenti és tanácsi irányelvet átültető, a külső határokon történő ellenőrzés javítását és az illegális bevándorlás elleni küzdelmet szolgáló nemzeti jogszabályra.

2)      A 2016/681 irányelv I. mellékletének 12. pontja érvénytelen, amennyiben az „általános megjegyzéseket” azon adatkategóriák közé sorolja, amelyeket a légi fuvarozóknak az említett irányelv 8. cikke értelmében továbbítaniuk kell az utas‑adat információs egységnek.

3)      A második, harmadik, negyedik, hatodik és nyolcadik kérdés vizsgálata nem tárt fel olyan egyéb elemet, amely érinthetné a 2016/681 irányelv érvényességét.

4)      A 2016/681 irányelv I. mellékletének 12. pontját az érvénytelennek nem nyilvánított rész tekintetében úgy kell értelmezni, hogy annak hatálya csak az ott kifejezetten említett, a kiskorúakra vonatkozó, a repüléshez közvetlenül kapcsolódó információkra terjed ki.

5)      A 2016/681 irányelv I. mellékletének 18. pontját úgy kell értelmezni, hogy annak hatálya csak az e pontban és a 2004/82 irányelv 3. cikkének (2) bekezdésében kifejezetten felsorolt, a légi fuvarozók által tevékenységeik rendes végzése során gyűjtött előzetes utasadatokra terjed ki.

6)      A 2016/681 irányelv 6. cikke (3) bekezdésének a) pontjában szereplő „releváns adatbázisok” fogalmát úgy kell értelmezni, hogy az csak az ezen irányelv 7. cikkének (1) bekezdése szerinti, hatáskörrel rendelkező hatóságok által kezelt nemzeti adatbázisokra, valamint az e hatóságok által feladataik ellátása során közvetlenül működtetett uniós és nemzetközi adatbázisokra terjed ki. Az említett adatbázisoknak emellett közvetlenül és szorosan kapcsolódniuk kell a terrorizmus és a súlyos bűncselekmények elleni küzdelemnek az említett irányelv által követett céljaihoz, ami magában foglalja, hogy azokat e célokra hozták létre. A 2016/681 irányelv nemzeti jogba való átültetésének részeként a tagállamoknak közzé kell tenniük az ilyen adatbázisok jegyzékét, és azt naprakészen kell tartaniuk.

7)      A 2016/681 irányelv 6. cikke (3) bekezdésének b) pontját úgy kell értelmezni, hogy azzal ellentétes az e rendelkezésben előírt automatizált adatkezelés keretében olyan algoritmus alapú rendszerek alkalmazása, amelyek emberi beavatkozás nélkül módosíthatják azokat az előzetesen meghatározott kritériumokat, amelyek alapján ezt az adatkezelést elvégezték, és amelyek nem teszik lehetővé azon okok egyértelmű és átlátható azonosítását, amelyek az említett adatkezelés eredményeként pozitív találatot eredményeztek.

8)      A 2016/681 irányelv 12. cikkének az Európai Unió Alapjogi Chartájának 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével együttesen értelmezett (1) bekezdését úgy kell értelmezni, hogy a légi fuvarozók által az utas‑adat információs egységgel közölt PNR‑adatoknak a belépés vagy a távozás területe szerinti tagállam utas‑adat információs egysége részére történt továbbítást követő öt évig történő megőrzése valamely adatbázisban az ezen irányelv 6. cikke (2) bekezdésének a) pontja szerinti előzetes értékelés elvégzését követően csak annyiban megengedett, amennyiben objektív kritériumok alapján megállapítható az ezen adatok és a terrorizmus vagy súlyos bűncselekmények elleni küzdelem közötti kapcsolat. E PNR‑adatok általános és különbségtétel nélküli, nem anonimizált formában történő megőrzése csak a tagállamok biztonságát fenyegető, valós, aktuális vagy előrelátható, például terrorcselekményekhez kapcsolódó súlyos veszély esetén igazolható, azzal a feltétellel, hogy e megőrzés időtartama a szigorúan szükséges mértékre korlátozódik.

9)      A 2016/681 irányelv 6. cikke (2) bekezdésének b) pontját úgy kell értelmezni, hogy a PNR‑adatoknak vagy az ilyen adatok e rendelkezés alapján történő kezelése eredményének az ezen irányelv 12. cikkének (2) bekezdésében meghatározott kezdeti hat hónapos időszak alatt történő közlésének meg kell felelnie az említett irányelv 12. cikke (3) bekezdésének b) pontjában meghatározott feltételeknek.

10)      A 2016/681 irányelvet és különösen annak 1. cikkének (2) bekezdését és 6. cikkét úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti jogszabály, amely a PNR‑adatok kezelésének céljaként ismeri el a hírszerző és biztonsági szolgálatok által végzett bizonyos tevékenységeket, mivel a nemzeti utas‑adat információs egység e cél keretében az említett adatok kezelésére és/vagy az ilyen adatoknak vagy azok kezelése eredményének e szolgálatok részére történő továbbítására kényszerülne az említett irányelv 1. cikkének (2) bekezdésében kimerítően felsorolt céloktól eltérő célokból, aminek fennállását a nemzeti bíróságnak kell vizsgálnia.

11)      A 2016/681 irányelv 12. cikke (3) bekezdésének b) pontját úgy kell értelmezni, hogy az utas‑adat információs egység nem minősül az e rendelkezés értelmében vett „hatáskörrel rendelkező más nemzeti hatóságnak”.

12)      A 2004/82 irányelv 3. cikkének (1) bekezdése, amely alapján a tagállamok megteszik a szükséges lépéseket ahhoz, hogy olyan kötelezettséget állapítsanak meg a fuvarozók részére, amely szerint utóbbiaknak a külső határokon a személyek ellenőrzésének végrehajtásáért felelős hatóságok kérésére, a check‑in befejezésekor információt kell nyújtaniuk az e cikk ezen irányelv 2. cikkének b) és d) pontjával összefüggésben értelmezett (2) bekezdése szerinti utasokról, csak a tagállamok és harmadik országok közös külső határainak átlépésére engedélyezett határátkelőhelyre szállított utasokra vonatkozik. Az olyan nemzeti jogszabály, amely kizárólag a határellenőrzés javítása és az illegális bevándorlás elleni küzdelem érdekében kiterjeszti ezt a kötelezettséget azon személyek adataira, akik repülővel vagy más közlekedési eszközzel az érintett tagállam belső határait lépik át, ellentétes az EUMSZ 67. cikk (2) bekezdésével és a személyek határátlépésére irányadó szabályok uniós kódexéről (Schengeni határ‑ellenőrzési kódex) szóló, 2016. március 9‑i (EU) 2016/399 európai parlamenti és tanácsi rendelet 22. cikkével.

13)      A nemzeti bíróság a nemzeti jogának azon rendelkezését, amely feljogosítja arra, hogy a jogellenességnek az e jog alapján rá háruló megállapításához kapcsolódó időbeli joghatásokat korlátozza, nem alkalmazhatja azon nemzeti jogszabály tekintetében, amely a légi, szárazföldi, tengeri fuvarozókat, valamint az utazásszervezőket arra kötelezi, hogy a terrorizmus és a súlyos bűncselekmények elleni küzdelem érdekében PNR‑adatokat továbbítsanak, és amely ezen adatok általános és különbségtétel nélküli kezelését és megőrzését írja elő, ami összeegyeztethetetlen az Alapjogi Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével. A tényleges érvényesülés elve alapján a nemzeti büntetőbíróság köteles a terrorista vagy súlyos bűncselekmények elkövetésével gyanúsított személyekkel szemben indított büntetőeljárásban figyelmen kívül hagyni azokat az információkat és bizonyítékokat, amelyeket az ilyen, uniós joggal összeegyeztethetetlen jogszabály alkalmazásával szereztek, ha e személyek nem tudnak hatékonyan észrevételt tenni az említett, a bíróság által nem ismert területről származó, és a tényállás megállapítására esetlegesen döntő befolyást gyakorló információkkal és bizonyítékokkal kapcsolatban.


1      Eredeti nyelv: francia.


2      HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 119., 2. o.; HL 2016. L 119., 35. o.; HL 2016. L 119., 72. o.


3      HL 2016. L 119., 132. o.


4      HL 2004. L 261., 24. o.; magyar nyelvű különkiadás 19. fejezet, 7. kötet, 74. o.


5      Moniteur belge, 2017. január 25., 12905. o.


6      A PNR‑irányelv 3. cikkének 2. pontja szerint „EU‑n kívüli légi járat” „egy légi fuvarozó bármely menetrend szerinti vagy nem menetrend szerinti légi járata, amely egy harmadik országból indul és a tervek szerint egy tagállam területére érkezik, vagy egy tagállam területéről indul és a tervek szerint valamely harmadik ország területére érkezik, beleértve mindkét esetben a tagállamok vagy harmadik országok területén közbenső leszállásokat végrehajtó légi járatokat is”.


7      A PNR‑irányelv 3. cikkének 3. pontja szerint „EU‑n belüli légi járatnak”: minősül „egy légi fuvarozó bármely menetrend szerinti vagy nem menetrend szerinti légi járata, amely egy tagállam területéről indul és a tervek szerint egy vagy több más tagállam területére érkezik, anélkül hogy egy harmadik ország területén közbeeső leszállást hajtana végre”.


8      A PNR‑irányelv 7. cikkének (1) bekezdése előírja, hogy valamennyi tagállam elfogadja azon illetékes hatóságok jegyzékét, amelyek a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és az üldözése céljából jogosultak az utas‑adat információs egységtől PNR‑adatokat vagy azok kezelésének eredményeit kérni és kapni, az információk további vizsgálata vagy a megfelelő intézkedések megtétele érdekében. Ezt a listát a Bizottság 2018‑ban tette közzé (HL 2018. C 194., 1. o.; helyesbítés: HL 2020. C 366., 55. o.).


9      A büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott [helyesen: kezelt] személyes adatok védelméről szóló, 2008. november 27‑i kerethatározat (HL 2008. L 350., 60. o.).


10      HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o; HL 2021. L 74., 36. o. A 2008/977/IB kerethatározat 25. cikke helyébe a rendőrségi irányelv 41. cikke lépett.


11      Lásd a PNR‑irányelv 15. cikkének (2) bekezdését.


12      Lásd a PNR‑irányelv 15. cikke (3) bekezdésének a) és b) pontját.


13      A tagállamok kikötőibe érkező vagy onnan induló hajókra vonatkozó nyilatkozattételi követelményekről és a 2002/6/EK irányelv hatályon kívül helyezéséről szóló, 2010. október 20‑i európai parlamenti és tanácsi irányelv (HL 2010. L 283., 1. o.).


14      Moniteur belge, 1998. december 18., 40312. o.


15      C‑203/15 és C‑698/15, a továbbiakban: Tele2 Sverige ítélet, EU:C:2016:970.


16      A továbbiakban: 1/15 vélemény, EU:C:2017:592.


17      Az általános adatvédelmi rendelet 2. cikkének (1) bekezdése szerint „[e] rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni”.


18      Lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 61. pont).


19      Lásd: 2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559, 84. pont); 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 62. pont).


20      Lásd ebben az értelemben: 2020. október 6‑i Privacy International ítélet (C‑623/17, a továbbiakban: Privacy International ítélet, EU:C:2020:790, 41. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Az általános adatvédelmi rendelet 4. cikkének (2) bekezdése szerint az „adatkezelés” „a személyes adatokon vagy adatállományokon […] végzett bármely művelet […], így a […] közlés továbbítás […]”.


21      Lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 69. pont). A rendőrségi irányelv 3. cikke 7. pontjának a) és b) alpontja szerint „illetékes hatóság” „a) olyan közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését vagy üldözését, illetve büntetőjogi szankciók végrehajtását illetően eljárni jogosult beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; vagy b) bármely egyéb, olyan szerv vagy más jogalany, amely a tagállami jog alapján közfeladatokat lát el és közhatalmi jogosítványokat gyakorol” ugyanezen célokból.


22      Az előzetes döntéshozatalra utaló határozatban erre nincs utalás.


23      Az ilyen piaci szereplő nem minősülhet az általános adatvédelmi rendelet 4. cikkének 8. pontja vagy a rendőrségi irányelv 3. cikkének 9. pontja szerinti „adatfeldolgozónak”, hanem inkább az általános adatvédelmi rendelet 4. cikke 7. pontjának második mondata szerinti „adatkezelőről” van szó. Az általános adatvédelmi rendelet 4. cikkének 8. pontja és a rendőrségi irányelv 3. cikkének 9. pontja szerint, amelyek azonos módon vannak megfogalmazva, „adatfeldolgozó” „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel”. Az általános adatvédelmi rendelet 4. cikke 7. pontjának első mondata értelmében „adatkezelő” „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit […] meghatározza”, e rendelkezés második mondata pontosítja, hogy „ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.


24      A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i európai parlamenti és tanácsi irányelv (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.). Ezt az irányelvet helyezte hatályon kívül és váltotta fel az általános adatvédelmi rendelet, lásd e rendelet 94. cikkét.


25      C‑317/04 és C‑318/04, a továbbiakban: Parlament kontra Tanács ítélet, EU:C:2006:346. Az ezen ítélet alapjául szolgáló ügyekben a Parlament egyrészt az Európai Unió és az Egyesült Államok közötti, a PNR adatoknak a légi szállítók általi feldolgozásáról és az Egyesült Államok Belbiztonsági Minisztériuma Vámügyi és Határvédelmi Irodájának történő továbbításáról szóló megállapodás megkötéséről szóló, 2004. május 17‑i 2004/496/EK tanácsi határozat (HL 2004. L 183., 83. o., helyesbítés: HL 2005. L 255., 168. o.) megsemmisítését, másrészt pedig az Egyesült Államok Vámügyi és Határvédelmi Irodája rendelkezésére bocsátott, a légiutasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről szóló, 2004. május 14‑i 2004/535/EK bizottsági határozat (HL 2004. L 235., 11. o.) megsemmisítését kérte.


26      A 95/46 irányelv 3. cikke (2) bekezdésének első franciabekezdése értelmében az irányelv nem alkalmazandó azokra a személyesadat‑feldolgozásokra [helyesen: személyesadat‑kezelésekre], amelyek „a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási [helyesen: kezelési] művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási [helyesen: kezelési] műveletek” (kiemelés tőlem).


27      A Bíróság „teleologikus” és „összefüggéseken alapuló” megközelítéséről a Parlament kontra Tanács ítéletében lásd: Campos Sánchez‑Bordona főtanácsnok La Quadrature du Net és társai egyesített ügyekre vonatkozó indítványát (C‑511/18 és C‑512/18, EU:C:2020:6, 47. és 62. pont).


28      C‑511/18, C‑512/18 és C‑520/18, a továbbiakban: La Quadrature du Net ítélet, EU:C:2020:791.


29      Lásd: La Quadrature du Net ítélet, 100‑102. pont.


30      Lásd ugyanebben az értelemben: Privacy International ítélet, 47. pont.


31      C‑207/16, a továbbiakban: Ministerio Fiscal ítélet, EU:C:2018:788, 34. pont.


32      Lásd analógia útján: Tele2 Sverige ítélet, 72‑74. pont; Ministerio fiscal ítélet, 34. pont. Ezek az ítéletek az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (Elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.) 15. cikke (1) bekezdése első mondatának értelmezésére vonatkozik, amely az általános adatvédelmi rendelet 23. cikke (1) bekezdésének a)‑d) pontjában foglalt korlátozási kikötéssel analóg korlátozási kikötést tartalmaz.


33      A 2002/58 irányelv 15. cikkének (1) bekezdésére való hivatkozás ezen irányelvvel összefüggésben indokolt volt, tekintettel az annak 1. cikke (3) bekezdésében foglalt kizáró rendelkezés megfogalmazására, amely általánosságban utal „a büntetőjogi szankciók végrehajtása terén kifejtett állami tevékenységekre”.


34      Lásd analógia útján: Privacy International ítélet, 38. és 39. pont.


35      A PNR‑törvény 7‑10. és 12. fejezetében szabályozott adatkezelésekről van szó.


36      Lásd ebben az értelemben: La Quadrature du Net ítélet, 103. pont; Privacy International ítélet, 48. pont.


37      Lásd különösen a La Quadrature du Net ítéletet.


38      Lásd: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504, 66. pont).


39      Lásd: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet (C‑439/19, EU:C:2021:504).


40      Lásd: La Quadrature du Net ítélet, 99. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


41      Az ilyen adatkezelés feltételeit a PNR‑törvény 11. fejezete határozza meg.


42      Lásd az API‑irányelv (8), (9) és (12) preambulumbekezdését, valamint 6. cikkét és a 2010/65 irányelv 8. cikkének (2) bekezdését.


43      Az utasokról előzetesen gyűjtött adatoknak (a továbbiakban: API‑adatok) a bűnüldöző hatóságok általi felhasználását az API‑irányelv 6. cikke (1) bekezdésének utolsó albekezdése kifejezetten előírja.


44      Lásd ebben az értelemben többek között: 2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559, 170. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


45      Lásd különösen: 2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559, 172. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


46      Lásd ebben az értelemben: La Quadrature du Net ítélet, 122. pont.


47      Lásd: La Quadrature du Net ítélet, 123. pont.


48      Lásd: La Quadrature du Net ítélet, 124. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


49      Lásd: 2020. június 18‑i Bizottság kontra Magyarország (Az egyesületek átláthatósága) ítélet (C‑78/18, EU:C:2020:476, 122. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


50      Lásd különösen: EJEB, 2015. december 4., Roman Zakharov kontra Oroszország (CE:ECHR:2015:1204JUD004714306, 227. §); EJEB, 2010. május 18., Kennedy kontra Egyesült Királyság (CE:ECHR:2010:0518JUD002683905, 130. §); EJEB, 2021. május 25., Centrum för Rättvisa kontra Svédország (CE:ECHR:2021:0525JUD003525208, 246. §).


51      Lásd: EJEB, 2015. december 4., Roman Zakharov kontra Oroszország (CE:ECHR:2015:1204JUD004714306, 228. §); EJEB, 2000. május 4., Rotaru kontra Románia (CE:ECHR:2000:0504JUD002834195, 52. §); EJEB, 2008. december 4., S. és Marper kontra Egyesült Királyság (CE:ECHR:2008:1204JUD003056204, 95. §); EJEB, 2010. május 18., Kennedy kontra Egyesült Királyság (CE:ECHR:2010:0518JUD002683905, 151. §); EJEB, 2021. május 25., Centrum för Rättvisa kontra Svédország (CE:ECHR:2021:0525JUD003525208, 246. §).


52      Lásd többek között: 2020. június 18‑i Bizottság kontra Magyarország ítélet (C‑78/18, EU:C:2020:476, 124. és 126. pont, valamint az ott hivatkozott ítélkezési gyakorlat); lásd még: EJEB, 2000. május 4., Rotaru kontra Románia (CE:ECHR:2000:0504JUD002834195, 48. §); EJEB, 1987. március 26., Leander kontra Svédország (CE:ECHR:1987:0326JUD000924881, 46. §); EJEB, 2006. június 29., Weber és Saravia kontra Németország (CE:ECHR:2006:0629DEC005493400, 79. §).


53      Lásd többek között: Ministerio Fiscal ítélet, 51. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


54      Lásd többek között: 2020. június 18‑i Bizottság kontra Magyarország ítélet (C‑78/18, EU:C:2020:476, 126. pont); Ministerio Fiscal ítélet, 51. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


55      Lásd: 2014. április 8‑i Digital Rights Ireland és társai ítélet (C‑293/12 és C‑594/12, a továbbiakban: Digital Rights ítélet, EU:C:2014:238, 34. pont).


56      Lásd az 1/15. sz. vélemény 121‑123. pontját.


57      Lásd analógia útján: Privacy International ítélet, 79. és 80. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


58      Lásd a PNR‑irányelv 2. cikkének (1)‑(3) bekezdését.


59      Lásd a PNR‑irányelv 2. cikkének (3) bekezdését.


60      A Dánia helyzetéről szóló 22. jegyzőkönyv 1. és 2. cikke értelmében, mivel Dánia nem vett részt a PNR‑irányelv elfogadásában, az rá nézve nem kötelező és nem alkalmazandó (lásd ezen irányelv (40) preambulumbekezdését). Mindazonáltal a dán kormány által benyújtott írásbeli észrevételekből kiderül, hogy a Dán Királyság 2018‑ban törvényt fogadott el a PNR‑adatok gyűjtéséről, felhasználásáról és megőrzéséről, amelynek rendelkezései nagyrészt összhangban vannak a PNR‑irányelv rendelkezéseivel. Ami Írországot illeti, a PNR‑irányelv (39) preambulumbekezdéséből kitűnik, hogy ez a tagállam az EUSZ‑hez és az EUMSZ‑hez csatolt, az Egyesült Királyságnak és Írországnak a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség tekintetében fennálló helyzetéről szóló 21. jegyzőkönyv 3. cikkével összhangban bejelentette, hogy részt kíván venni az irányelv elfogadásában és alkalmazásában.


61      A Bizottság közzétette azon tagállamok frissített listáját, amelyek úgy döntöttek, hogy a PNR‑irányelvet alkalmazzák a [PNR] irányelv 2. cikkében említett Unión belüli légi járatokra (HL 2020. C 358., 7. o.), amelyet 2021 szeptemberében Szlovénia hozzáadásával és az Egyesült Királyságra való hivatkozás törlésével helyesbítettek (HL 2021. C 360., 8. o.). Írország és Ausztria nem szerepel ezen a listán. A Bizottságnak az Európai Parlamenthez és a Tanácshoz intézett, a [PNR‑]irányelv felülvizsgálatáról szóló, 2020. július 24‑i jelentése (COM(2020)305 final, 11. o. [a továbbiakban: a Bizottság 2020‑as jelentése]) megemlíti, hogy egy kivétellel valamennyi tagállam kiterjesztette a PNR‑adatok gyűjtését az EU‑n belüli légi járatokra.


62      Lásd különösen az I. mellékletnek az utas nevére, nemére, születési idejére, állampolgárságára és személyazonosító okmányaira vonatkozó 4. és 18. pontját.


63      Lásd különösen a PNR‑irányelv I. mellékletének többek között a járat számára, az indulási és érkezési repülőtérre, valamint az indulás és érkezés dátumára és időpontjára vonatkozó 2., 3., 7., 13. és 18. pontját.


64      Lásd az I. melléklet 5., 6., 9., 12. és 16. pontját.


65      Lásd e tekintetben az 1/15. sz.  vélemény 131. pontját.


66      SWD(2020)128 final.


67      A 2020‑as munkadokumentum (28. o. és 55. lábjegyzet) 0,59%‑os pozitív találati arányt említ a 2019‑es évre vonatkozóan, amelynek csupán 0,11%‑át továbbították az illetékes hatóságoknak. A 2018‑as évre vonatkozóan ezek az arányok 0,25% és 0,4% voltak.


68      Lásd az 1/15 .sz. vélemény 132. pontját.


69      A PNR‑irányelv által létrehozott rendszer az egészségügyi válság előtt valószínűleg évente akár egymilliárd utasra is kiterjedt, amely adatok elérhetőek a következő címen: https://ec.europa.eu/eurostat/databrowser/view/ttr00012/default/table ?lang=fr.


70      Nevezetesen minden olyan személyre, aki megfelel a PNR‑irányelv 3. cikkének 4. pontjában meghatározott „utas” fogalomnak, és aki „EU‑n kívüli légi járattal”, valamint de facto „EU‑n belüli légi járattal” utazik.


71      Az Európai Bizottság által a jogon keresztül megvalósuló demokráciáért (Velencei Bizottság) 2015‑ben elfogadott tanulmány szerint az ilyen intézkedések a „stratégiai felügyelet” fogalmába tartoznak, és a lakosság „proaktív megfigyelése” irányába mutató „általános tendenciát” követnek; lásd a Velencei Bizottság által a 102. plenáris ülésén (Velence, 2015. március 20. és 21.) elfogadott, Mise à jour du rapport de 2007 sur le contrôle démocratique des services de sécurité et rapport sur le contrôle démocratique des agences de collecte de renseignements d’origine électromagnétique (a biztonsági szolgálatok demokratikus felügyeletéről szóló 2007. évi jelentés és az elektromágneses eredetű hírszerző ügynökségek demokratikus felügyeletéről szóló jelentés naprakésszé tételéről szóló) tanulmány, https://www.venice.coe.int/webforms/documents/?pdf=CDL‑AD(2015)006‑f, 61. pontját.


72      Az EJEE 8. cikkét illetően lásd: EJEB, 2021. május 25., Big Brother Watch és társai kontra Egyesült Királyság (EC:ECHR:2021:0525JUD005817013, 325. §, a továbbiakban: Big Brother Watch ítélet) a tömeges lehallgatási intézkedésekről, amelyben az EJEB megállapítja, hogy az ilyen intézkedéseknek a magánélet tiszteletben tartásához való jog gyakorlásába való beavatkozásának intenzitása az eljárás különböző szakaszai – nevezetesen a kommunikáció és a kapcsolódó adatok lehallgatása és kezdeti megőrzése, a leválogató programok alkalmazásával történő automatizált kezelés, az adatok elemzők általi vizsgálata és későbbi megőrzése, valamint a „végtermék” felhasználása – során egyre nő.


73      Lásd ebben az értelemben a PNR‑irányelv (6) és (7) preambulumbekezdését; a magánélet és a személyes adatok védelmére irányuló cél és az arra gyakorolt hatások részletes elemzéséhez lásd: Korff, D. által Georges, M. együttműködésével készített Passenger Name Records (PNR), data mining and data protection : the need for strong safeguards című jelentés, http://www.coe.int/t/dghl/standardsetting/dataprotection/TPD_documents/TPD(2015)11_PNR%20draft%20report%20Douwe%20Korff%20&%20Marie%20Georges_15 %2006 %202015.pdf (a továbbiakban: Korff‑jelentés).


74      Amint azt a Korff‑jelentés megállapítja, „a PNR nem elszigetelt probléma, hanem egy sokkal szélesebb körű betegség új tünete”.


75      Lásd többek között: 2020. július 16‑i Facebook Ireland és Schrems ítélet (C‑311/18, EU:C:2020:559, 175. pont); 2020. szeptember 8‑i Recorded Artists Actors Performers ítélet (C‑265/19, EU:C:2020:677, 86. pont, valamint az ott hivatkozott ítélkezési gyakorlat); Privacy international ítélet, 65. pont.


76      Lásd többek között: EJEB, 2006. június 8., Lupsa kontra Románia (EC:ECHR:2006:0608JUD001033704, 32. és 33. §); EJEB, 2020. december 15., Pişkìn kontra Törökország (EC:ECHR:2020:1215JUD003339918, 206. §); lásd még: Big Brother Watch ítélet, 333. §. Az EJEE 52. cikkének (1) bekezdésében szereplő „törvény által” kifejezésnek az EJEB által adott értelmezésével azonos értelmezés elismerésének szükségességéről lásd: Wathelet főtanácsnok WebMindLicenses ügyre vonatkozó indítványa (C‑419/14, EU:C:2015:606, 134‑143. pont).


77      Lásd legutóbb: Big Brother Watch ítélet, 333. §.


78      Lásd: 2015. december 17‑i WebMindLicenses ítélet (C‑419/14, EU:C:2015:832, 81. pont); lásd még: EJEB, 2008. július 1., Liberty és társai kontra Egyesült Királyság (CE:ECHR:2008:0701JUD005824300, 69. §); Big Brother Watch ítélet, 333. §.


79      Az Európa Tanács 1981. január 28‑án Strasbourgban elfogadott és valamennyi tagállam által megerősített, a személyes adatok gépi feldolgozása során az egyének védelméről szóló egyezménye, ismertebb nevén a 108. egyezmény. Annak korszerűsítése érdekében 2018‑ban a megállapodást módosító jegyzőkönyv készült. A 2019. április 9‑i (EU) 2019/682 tanácsi határozat (HL 2019. L 115., 7. o.) felhatalmazta a tagállamokat, hogy az Unió érdekében megerősítsék az említett módosító jegyzőkönyvet, amennyiben annak rendelkezései az Unió kizárólagos hatáskörébe tartoznak. A jelen indítvány további részében – bár még nem erősítette meg minden tagállam, és még nem lépett hatályba – a korszerűsített 108. egyezmény szövegére is fogok hivatkozni, amely – ahogy a 2019/682 határozatból egyértelműen kiderül – az általános adatvédelmi rendeletben és a rendőrségi irányelvben megállapított elvekkel megegyező elveken alapuló garanciákat biztosít.


80      https://rm.coe.int/t‑pd‑2016‑18rev‑avis‑pnr‑fr/16807b6c09, 3. és 5. o. A 108. egyezményt módosító jegyzőkönyvet kísérő magyarázó jelentés (a továbbiakban: a korszerűsített 108. egyezményről szóló magyarázó jelentés) szintén hangsúlyozza azt a követelményt, hogy a magánélet tiszteletben tartásához való jogba és a személyes adatok védelméhez való jogba történő beavatkozást előíró intézkedésnek „hozzáférhetőnek”, „előreláthatónak”, „kellően részletesnek” és „egyértelműen megfogalmazottnak” kell lennie; lásd az említett magyarázó jelentés 91. pontját, https://rm.coe.int/convention‑108‑convention‑pour‑la‑protection‑des‑personnes‑a‑l‑egard‑d/16808b3726.


81      Lásd a contrario: 2019. december 3‑i Cseh Köztársaság kontra Parlament és Tanács ítélet (C‑482/17, EU:C:2019:1035, 135. pont).


82      Lásd többek között: La Quadrature du Net ítélet, 132. pont, valamint az ott hivatkozott ítélkezési gyakorlat; lásd még: EJEB, Big Brother Watch ítélet, 334. §.


83      Lásd e tekintetben: Tridimas, T., Gentile, G., „The essence of Rights : an unreliable Boundary? ”, German Law Journal, 2019, 796. o.; Lenaerts, K., „Limits on limitations: The Essence of Fundamental Rights in the EU”, German Law Journal, 2019, 20. o., 779. és azt követő pontok.


84      Az EJEB 1979. október 24‑i Winterwerp kontra Hollandia ítéletétől (CE:ECHR:1979:1024JUD000630173, 60. §) kezdve.


85      Lásd: Magyarázatok az Alapjogi Chartához (HL 2007. C 303., 17. o., különösen az 52. cikkhez fűzött magyarázatokat, 32. o., a továbbiakban: a Chartához fűzött kommentár).


86      Lásd már ebben az értelemben különösen: 1974. május 14‑i Nold kontra Bizottság ítélet (4/73, EU:C:1974:51, 14. pont); 1979. december 13‑i Hauer ítélet (44/79, EU:C:1979:290, 23. pont).


87      C‑362/14, a továbbiakban: „Schrems I” ítélet, EU:C:2015:650, 94‑98. pont.


88      Lásd: Lenaerts, K., id. mű, 781. o.; Tridimas, T., Gentile, G., id. mű, 803. o.


89      A Chartához fűzött kommentár kifejezetten elismerik, hogy „az emberi méltóság [a] Chartában megállapított jogok lényegi tartalmának része”, valamint hogy azt „[e]zért akkor is tiszteletben kell tartani, ha az adott jog maga korlátozott terjedelmű”.


90      E tekintetben a Big Brother Watch ítélet 3‑10. §‑ában, Lemmens, Vehabović és Bošniak bírák részben egybehangzó véleményében foglalt megfontolásokra utalok.


91      A nyilvánosan elérhető elektronikus hírközlési szolgáltatások nyújtása, illetve a nyilvános hírközlő hálózatok szolgáltatása keretében előállított vagy feldolgozott [helyesen: kezelt] adatok megőrzéséről és a 2002/58/EK irányelv módosításáról szóló, 2006. március 15‑i európai parlamenti és tanácsi irányelv (HL 2006. L 105., 54. o.; helyesbítés: HL 2009. L 50., 52. o.).


92      Lásd: Digital Rights ítélet, 39. pont; a 2002/58 irányelvet illetően lásd még: Tele2 Sverige ítélet, 101. pont.


93      Lásd az 1/15. sz. vélemény 150. pontját.


94      Lásd ebben az értelemben többek között: Digital Rights ítélet, 40. pont.


95      Lásd ugyanebben az értelemben az 1/15. sz. vélemény 150. pontját.


96      Lásd az 1/15. sz. vélemény 164. és 165. pontját.


97      Lásd az 1/15 vélemény 150. pontját.


98      Lásd különösen a PNR‑irányelv (5), (6), (15) és (22) preambulumbekezdését.


99      A Bizottság 2011. február 2‑i javaslata az utas nyilvántartási adatállomány (PNR) felhasználásáról a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, kivizsgálása és büntetőeljárás alá vonása érdekében (COM(2011) 32 final, 4. o.).


100      Az egyszerűség kedvéért a jelen ügyben a „bűnüldöző szervek” vagy „bűnüldöző hatóságok” kifejezést fogom használni azoknak a felderítő hatóságoknak az általános megjelölésére, amelyek a PNR‑irányelv hatálya alá tartozó terrorizmus vagy súlyos bűncselekmények felderítése, megelőzése, üldözése vagy kivizsgálása terén hatáskörrel rendelkeznek.


101      Lásd a PNR‑irányelv (7) preambulumbekezdését. Lásd még: a PNR‑irányelvre vonatkozó javaslat, 5. o.


102      Lásd ebben az értelemben: 1/15 vélemény; 2021. március 2‑i Prokuratuur (Az elektronikus hírközléssel kapcsolatos adatokhoz való hozzáférés feltételei) ítélet (C‑746/18, a továbbiakban: Prokuratuur ítélet, EU:C:2021:152, 33. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


103      Lásd ebben az értelemben: 1/15 vélemény, 149. pont, valamint az ott hivatkozott ítélkezési gyakorlat; La Quadrature du Net ítélet.


104      Lásd alább a beavatkozás arányosságának elemzését.


105      Lásd: La Quadrature du Net ítélet, 125. pont.


106      Lásd: La Quadrature du Net ítélet, 126. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


107      Lásd: La Quadrature du Net ítélet, 136. pont.


108      Lásd: Digital Rights ítélet, 46. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


109      Lásd: 1/15. sz. vélemény 140. pont; La Quadrature du Net ítélet, 130. pont, valamint az ott hivatkozott ítélkezési gyakorlat. Az a követelmény, hogy a személyes adatok kezelésének minden szakaszban tükröznie kell „az érintett köz‑ és magánérdekek, valamint a szóban forgó jogok és szabadságok közötti méltányos egyensúlyt”, megjelenik a 108. egyezmény 5. cikkében is.


110      Lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet (C‑207/16, EU:C:2018:788, 55. pont, valamint az ott hivatkozott ítélkezési gyakorlat); La Quadrature du Net ítélet,131. pont; Prokuratuur ítélet, 32. pont.


111      Lásd ebben az értelemben: Digital Rights ítélet, 54. pont; „Schrems I” ítélet, 91. pont; 1/15. sz. vélemény, 141. pont.


112      Lásd: 1/15. sz. vélemény, 141. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


113      Lásd ebben az értelemben: Digital Rights ítélet, 48. pont.


114      Lásd ebben az értelemben a jelen indítvány 201-203. pontját.


115      Ezzel kapcsolatban a 2020‑as munkadokumentumban szereplő adatokra utalok.


116      Lásd ebben az értelemben: 2016. augusztus 19‑i vélemény, 5. o.


117      A statisztikák fontosságáról a PNR‑irányelv által létrehozott rendszer hatékonyságának értékeléséhez lásd többek között: 2011. június 14‑i 1/2011. sz. vélemény a PNR‑irányelvre vonatkozó javaslatról, https://fra.europa.eu/sites/default/files/fra_uploads/1786‑FRA‑PNR‑Opinion‑2011_FR.pdf, 2.1.2.1. pont (a továbbiakban: a FRA 1/2011. sz. véleménye).


118      Ezt a kérdést ezzel szemben egyértelműen felvetette a Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) a C‑215/20. sz. folyamatban lévő ügyben.


119      A Bizottságot felkérték, hogy egy írásbeli választ igénylő kérdésben fejtse ki észrevételeit ezzel kapcsolatban. A többi érdekelt fél a tárgyaláson kapott lehetőséget észrevételeinek megtételére.


120      Lásd a jelen indítvány 107. pontjának végét.


121      A terrorizmus elleni küzdelemről, a 2002/475/IB tanácsi kerethatározat felváltásáról, valamint a 2005/671/IB tanácsi határozat módosításáról szóló, 2017. március 15‑i európai parlamenti és tanácsi irányelv (HL 2017. L 88., 6. o.; helyesbítés: HL 2018. L 91., 30. o.).


122      E tekintetben rámutatok, hogy a „nemzetközi bűncselekmény” fogalma, amint azt például a Kanada‑EU PNR‑megállapodás tervezete is meghatározza, kellően tág ahhoz, hogy olyan bűncselekményeket is magába foglaljon, amelyek elkövetésére egy országban kerül sor, és a bűncselekmény elkövetője „egy másik országban tartózkodik, vagy oda szándékozik utazni”; lásd a Kanada‑EU PNR‑megállapodás tervezete 3. cikke (3) bekezdésének e) pontját, amelynek szövegét megismétli az 1/15. sz. vélemény 30. pontja. Megjegyzem azt is, hogy az 1/2011. sz. véleményében (2.2.3.1. és 3.7. pont) a FRA azt javasolta, hogy az uniós PNR‑rendszer hatályát a súlyos nemzetközi bűncselekményekre korlátozzák. A PNR‑irányelvre vonatkozó javaslat ezzel szemben különbséget kívánt tenni a nemzetközi bűncselekményekre és az ilyen jelleggel nem rendelkező bűncselekményekre vonatkozó automatizált adatkezelés között (lásd e javaslat 4. cikke (2) bekezdésének a) pontját).


123      Rámutatok egyébként, hogy a II. mellékletben szereplő bűncselekmények egy része az EUMSZ 83. cikk (1) bekezdésének első albekezdésében „különösen súlyosnak” minősített és e bekezdés második albekezdésében felsorolt bűncselekmények közé tartozik. Többek között az emberkereskedelemről, a nők és gyermekek szexuális kizsákmányolásáról, a tiltott kábítószer‑kereskedelemről, a tiltott fegyverkereskedelemről, a pénzmosásról, a korrupcióról, a pénz és egyéb fizetőeszközök hamisításáról, a számítógépes bűnözésről és a szervezett bűnözésről van szó. Az uniós jogalkotó ezek közül több területen fogadott el az EUMSZ 83. cikk (1) bekezdése alapján „a bűncselekmények és szankciók meghatározására vonatkozó minimumszabályokat” megállapító irányelveket; lásd többek között: az emberkereskedelem megelőzéséről, az ellene folytatott küzdelemről, az áldozatok védelméről, valamint a 2002/629/IB tanácsi kerethatározat felváltásáról szóló, 2011. április 5‑i 2011/36/EU európai parlamenti és tanácsi irányelv (HL 2011. L 101., 1. o.; helyesbítés: HL 2012. L 308., 27. o.); a gyermekek szexuális bántalmazása, szexuális kizsákmányolása és a gyermekpornográfia elleni küzdelemről, valamint a 2004/68/IB tanácsi kerethatározat felváltásáról szóló, 2011. december 13‑i 2011/93/EU európai parlamenti és tanácsi irányelv (HL 2011. L 335., 1. o.; helyesbítés: HL 2012. L 18., 7. o.); az információs rendszerek elleni támadásokról és a 2005/222/IB tanácsi kerethatározat felváltásáról szóló, 2013. augusztus 12‑i 2013/40/EU európai parlamenti és tanácsi irányelv (HL 2013. L 218., 8. o.); a készpénz‑helyettesítő fizetési eszközzel elkövetett csalás és a készpénz‑helyettesítő fizetési eszközök hamisítása elleni küzdelemről, valamint a 2001/413/IB tanácsi kerethatározat felváltásáról szóló, 2019. április 17‑i (EU) 2019/713 európai parlamenti és tanácsi irányelv (HL 2019. L 123., 18. o.); az Unió pénzügyi érdekeit érintő csalás elleni büntetőjogi eszközökkel folytatott küzdelemről szóló 2017. július 5‑i (EU) 2017/1371 európai parlamenti és tanácsi irányelv (HL 2017. L 198., 29. o.); a pénzmosás ellen büntetőjogi eszközökkel folytatott küzdelemről szóló, 2018. október 23‑i (EU) 2018/1673 európai parlamenti és tanácsi irányelv (HL 2018. L 284., 22. o.; helyesbítés: HL 2019. L 180., 33. o.).


124      Megjegyzem azonban, hogy az „ipari kémkedés” kivételével az I. mellékletben felsorolt valamennyi bűncselekmény szerepel az európai elfogatóparancsról és a tagállamok közötti átadási eljárásokról szóló, 2002. június 13‑i 2002/584/IB tanácsi kerethatározat (HL 2002. L 190., 1. o.) 2. cikkének (2) bekezdésében. Bár nem minősülnek kifejezetten súlyosnak, mégis, ha elérik a PNR‑irányelv 3. cikkének 9. pontjában meghatározott szabadságvesztés‑büntetés küszöbértékét, akkor európai elfogatóparancs alapján történő átadásra adnak okot, a cselekmény kettős büntethetőségének ellenőrzése nélkül. A „szabotázs”, a „gépeltérítés” és az „ipari kémkedés” kivételével szinte valamennyi bűncselekményt felsorolja az Európai Unió Büntető Igazságügyi Együttműködési Ügynökségéről (Eurojust) és a 2002/187/IB tanácsi határozat felváltásáról és hatályon kívül helyezéséről szóló, 2018. november 14‑i (EU) 2018/1727 európai parlamenti és tanácsi rendelet (HL 2018. L 295., 138. o.) I. melléklete is, amely felsorolja az Eurojust hatáskörébe tartozó „súlyos bűncselekmények fajtáit”.


125      Különösen a 7., 8., 10. és 16. pontról van szó.


126      Ez a helyzet például a „csalás” (7. pont), a „korrupció” (6. pont), a „kiberbűnözés” (9. pont) és a „környezetkárosító bűncselekmények” (10. pont) esetében. A Verwaltungsgericht Wiesbaden (wiesbadeni közigazgatási bíróság, Németország) a C‑215/20. sz. folyamatban lévő ügyben különösen a csalással kapcsolatos bűncselekményekkel foglalkozik.


127      Ezen irányelv 9. cikke ezenfelül meghatározza az említett bűncselekmények miatt kiszabható leghosszabb szabadságvesztés legkisebb mértékét, amely küszöb csak bizonyos esetekben éri el a három évet.


128      A 2008. november 19‑i európai parlamenti és tanácsi irányelv (HL 2008. L 328., 28. o.).


129      A jogellenes be‑ és átutazáshoz, valamint a jogellenes tartózkodáshoz történő segítségnyújtás meghatározásáról szóló, 2002. november 28‑i tanácsi irányelv (HL 2002. L 328., 17. o.; magyar nyelvű különkiadás 19. fejezet, 6. kötet, 64. o.).


130      A jogellenes be‑ és átutazáshoz, valamint a jogellenes tartózkodáshoz történő segítségnyújtás elleni küzdelem büntetőjogi keretének megerősítéséről szóló 2002. november 28‑i tanácsi kerethatározat (HL 2002. L 328., 1. o.; magyar nyelvű különkiadás 19. fejezet, 6. kötet, 61. o.).


131      A magánszektorban tapasztalható korrupció elleni küzdelemről szóló, 2003. július 22‑i tanácsi kerethatározat (HL 2003. L 192., 54. o.; magyar nyelvű különkiadás 19. fejezet, 6. kötet, 182. o.).


132      A szervezett bűnözés elleni küzdelemről szóló, 2008. október 24‑i kerethatározat (HL 2008. L 300., 42. o.).


133      Lásd különösen a PNR‑irányelv (7) és (22) preambulumbekezdését.


134      Lásd a PNR‑irányelv (35) preambulumbekezdését.


135      Lásd analógia útján: 2008. december 16‑i Arcelor Atlantique és Lorraine és társai ítélet (C‑127/07, EU:C:2008:728, 61. és 62. pont); 2013. október 17‑i Schaible ítélet(C‑101/12, EU:C:2013:661, 91. és 94. pont).


136      Lásd az ICAO főtitkára által jóváhagyott és az ő felügyelete alatt közzétett 9944. számú dokumentumot. A dokumentum francia nyelvű változata elérhető a https://www.icao.int/Security/FAL/ANNEX9/Documents/9944_cons_fr.pdf honlapon. A Chicagóban, 1944. december 7‑én aláírt, a nemzetközi polgári repülésről szóló egyezmény (kihirdette: 1971. évi 25. tvr.; a továbbiakban: Chicagói Egyezmény) 9. mellékletének 9.22. pontja értelmében a PNR‑adatokat igénylő, ezen egyezményben részes szerződő államok kötelesek adatszolgáltatási követelményeiket és az ilyen adatok kezelését többek között ezen iránymutatásokkal összehangolni.


137      Ugyanebben az értelemben lásd az 1/15 vélemény 160. pontját.


138      Lásd az ICAO‑iránymutatások 2.1.2. és 2.1.5. pontját.


139      A PNR‑irányelvben az ICAO‑iránymutatásokra való egyetlen hivatkozás a (17) preambulumbekezdésben található, és csak „a légi fuvarozók által a tagállamok részére továbbítandó PNR‑adatok támogatott adatátviteli formátumára” vonatkozik.


140      Így az említett iránymutatások 2.1.5. pontja például „kiegészítő információkra” vagy „a kért szolgáltatásokkal kapcsolatos információkra” hivatkozik, amelyek vonatkozhatnak „orvosi ellátásra vagy különleges étkezésre, »egyedül utazó kiskorúakra«, segítségkérésre, stb.”. A 2.1.6. pont szerint az „»általános megjegyzések« mező” szintén tartalmazhat „bizonyos információkat, például a légitársaságok személyzete és a foglalási ügynökök közötti belső levelezést vagy kommunikációt”.


141      Lásd az ICAO‑iránymutatások 2.1.5. és 2.1.6. pontját.


142      Lásd a 2013. október 17‑i Schwarz ítéletet (C‑291/12, EU:C:2013:670, 32. pont), amely egy olyan útlevélkérő ügyében született, akit ujjlenyomatvételre köteleztek egy harmadik országba való utazást lehetővé tevő okmány megszerzése érdekében.


143      Erre az adatkategóriára később még visszatérek a jelen indítványban.


144      A FRA is ebben az értelemben foglalt állást az 1/2011 . sz. véleményében, 13. o. A PNR‑irányelvre vonatkozó javaslatról szóló, 2011. március 25‑i véleményében (https://edps.europa.eu/sites/edp/files/publication/11‑03‑25_pnr_en.pdf, 47. pont) (a továbbiakban: az európai adatvédelmi biztos 2011. március 25‑i véleménye) az európai adatvédelmi biztos azt javasolta, hogy az I. mellékletben szereplő felsorolásból vegyék ki az „Általános megjegyzések” rovatot.


145      Lásd különösen: 2009. november 19‑i Sturgeon és társai ítélet (C‑402/07 és C‑432/07, EU:C:2009:716, 47. pont, valamint az ott hivatkozott ítélkezési gyakorlat); 2013. szeptember 19‑i Bizottság kontra Strack (felülvizsgálat) ítélet (C‑579/12 RX‑II, EU:C:2013:570, 40. pont); 2019. május 14‑i M és társai (Menekültstátusz visszavonása) ítélet (C‑391/16, C‑77/17 és C‑78/17, EU:C:2019:403, 77. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


146      Lásd különösen: a PNR‑irányelv (5), (7), (11), (15), (16), (20), (22), (23), (25), (27), (28), (31), (36) és (37) preambulumbekezdése.


147      Lásd: 2007. június 26‑i Ordre des barreaux francophones et germanophone és társai ítélet (C‑305/05, EU:C:2007:383, 28. pont); 2019. május 14‑i M és társai (Menekültstátusz visszavonása) ítélet (C‑391/16, C‑77/17 és C‑78/17, EU:C:2019:403, 77. pont).


148      Ami a jelen ügyet illeti, a (9) preambulumbekezdés megállapítja, hogy „[a] PNR‑adatoknak az API‑adatokkal történő együttes használata hozzáadott értékkel bír, mivel segíti a tagállamokat a személyazonosság megállapításában, így megerősíti a kapott eredmény rendészeti és bűnüldözési értékét, valamint minimálisra csökkenti annak a kockázatát, hogy ártatlan személyek vonatkozásában sor kerüljön adatok összevetésére és nyomozati cselekményekre”.


149      Lásd még ebben az értelemben: PNR‑irányelvre vonatkozó javaslat, 7. o., 1. pont. Ugyanezeket az adatokat tartalmazza a Vámigazgatások Világszervezete (WCO), a Nemzetközi Légi Szállítási Szövetség (IATA) és az ICAO által kidolgozott előzetes utasinformációs iránymutatás, http://www.wcoomd.org/~/media/wco/public/fr/pdf/topics/facilitation/instruments‑and‑tools/tools/api‑guidelines‑and‑pnr‑doc/api‑guidelines‑_f.pdf ?db=web) ([a továbbiakban: RPCV‑iránymutatás], 8.1.5. pont a) alpontja), „a hivatalos úti okmányok géppel olvasható zónájában feltüntethető főbb adatelemekként”.


150      Az API‑irányelv 3. cikke (2) bekezdésének szövege a következő: „A fent említett információk az alábbiakat tartalmazzák: a felhasznált útiokmány száma és típusa; állampolgárság; teljes nevek; születési idő; beutazási határátkelőhely a tagállamok területére; szállítási kód; indulási és érkezési idő; a járaton szállított utasok teljes száma; az első beszállási hely”. Hangsúlyozom, hogy a Bizottság 2022‑es munkaprogramjában (COM(2021) 645 final, 9. o.) az API‑irányelv aktualizálását irányozta elő. 2020 szeptemberében közzétette az irányelv értékelését, amely a jövőbeli felülvizsgálat alapjául szolgál, SWD(2020), 174 final (a továbbiakban: az API‑irányelvre vonatkozó 2020‑as munkadokumentum). Ebben a dokumentumban a Bizottság rámutat többek között arra, hogy az API‑irányelv 3. cikkének (2) bekezdésében szereplő adatok listája nincs összhangban az API‑adatokra vonatkozó nemzetközi normákkal, különösen mivel nem tartalmazza a személyazonosító okmányok géppel olvasható részében szereplő összes adatot (lásd különösen: 48. o.).


151      Lásd az RPCV‑iránymutatás 8.1.5. pontjának b) és c) alpontját.


152      Kanada‑EU PNR‑megállapodás tervezete megfelelő rovatának analóg értelmezése olvasható az 1/15 .sz vélemény 161. pontjában.


153      Megjegyzem, hogy a Bíróság jelenleg egy sor előzetes döntéshozatalra előterjesztett kérdéssel foglalkozik, amelyek kifejezetten az I. melléklet néhány pontjának, különösen a 4., 8., 12., 18. pontoknak a kellően pontos jellegére vonatkoznak (lásd a folyamatban lévő C‑215/20. sz. ügyet).


154      Lásd az 1/15 . sz. vélemény 158. pontját.


155      Megjegyzem, hogy az utazási irodára vagy utazásközvetítőre vonatkozó információkat már tartalmazza az I. melléklet 5. pontja.


156      Lásd a PNR‑adatok meghatározását a PNR‑irányelv 3. cikkének 5. pontjában.


157      Ebben az értelemben lásd még: Mengozzi főtanácsnok 1/15 véleményre vonatkozó indítványa, ([EU–Kanada PNR‑megállapodás], EU:C:2016:656) 218. pont.


158      Lásd az ICAO‑iránymutatások I. függelékének megfelelő rovatát.


159      Lásd ebben az értelemben különösen: Digital Rights ítélet, 58. pont. Azon követelménnyel kapcsolatban, hogy a hozzáférhető adatok kategóriáit a követett cél elérése szempontjából a lehető legszükségesebb mértékre kell korlátozni, lásd legutóbb: Prokuratuur ítélet, 38. pont. Többek között az általános adatvédelmi rendelet 5. cikke (1) bekezdésének c) pontja és a rendőrségi irányelv 4. cikke (1) bekezdésének c) pontja is előírja az adattakarékosság elvét.


160      Lásd többek között: EJEB, 2013. április 18., K. kontra Franciaország (CE:ECHR:2013:0418JUD001952209, 35. §).


161      Lásd az 1981. évi 108. egyezmény magyarázó jelentését (https://rm.coe.int/16800ca471), 5. cikk, 40. pont, valamint a korszerűsített 108. egyezmény magyarázó jelentését, 5. cikk, 51. pont.


162      Lásd a jelen indítvány154-158. és 162-164. pontját.


163      Lásd a jelen indítvány 133-153. pontját.


164      A gyermek magánélethez való jogát többek között az 1989. november 20‑án elfogadott és 1990. szeptember 2‑án hatályba lépett, a gyermekek jogairól szóló New York‑i egyezmény (kihirdette: az 1991. évi LXIV. tv.) 16. cikke is rögzíti.


165      Lásd az ICAO‑iránymutatások 2.7.3. pontját.


166      Lásd az ICAO‑iránymutatások 2.7.4. pontját.


167      A PNR‑irányelv 16. cikkének (1) bekezdése az ilyen adattovábbításhoz használt elektronikus eszközökre vonatkozóan szintén emlékeztet az adattovábbítás biztonságának és megbízhatóságának biztosítására vonatkozó követelményre, és ez volt az egyik olyan kritérium, amelynek a Bizottság az említett cikk (3) bekezdésében előírt, a légi fuvarozók által az említett adattovábbítás során használandó közös protokollok és adatformátumok elfogadásakor eleget tett; lásd: a PNR‑adatok utasadat‑információs egység részére történő továbbítása során a légi fuvarozók által használandó közös protokollokról és adatformátumokról szóló, 2017. április 28‑i (EU) 2017/759 bizottsági végrehajtási határozat (HL 2017. L 113., 1. o.).


168      Lásd a PNR‑irányelv (37) preambulumbekezdését.


169      A személyes adatoknak a PNR‑irányelv 13. cikkének (4) bekezdésében felsorolt valamennyi kategóriája megjelenik az általános adatvédelmi rendelet 9. cikkének (1) bekezdésében szereplő „személyes adatok különleges kategóriái” fogalomban.


170      E tekintetben véleményem szerint irrelevánsak azok az állítások, amelyeket az előzetes döntéshozatalra előterjesztett második kérdésre vonatkozó észrevételeiben több tagállam megfogalmazott, és amelyek szerint léteznek olyan technikai eszközök, amelyekkel egyszerűen törölhetők a légi fuvarozók által továbbított különleges adatok.


171      Mengozzi főtanácsnok 1/15 véleményre vonatkozó indítványa (EU–Kanada PNR‑megállapodás), EU:C:2016:656.


172      Rámutatok, hogy az ICAO‑iránymutatások, bár nem zárják ki annak lehetőségét, hogy a „szabad szöveges” rovatokból kinyerhető különleges adatok hasznosak lehetnek az utas által jelentett kockázat értékeléséhez, azt ajánlják a szerződő államoknak, hogy csak akkor vegyék figyelembe azokat, ha konkrét jelek alapján a PNR‑rendszerük céljaira való felhasználásuk szükséges.


173      Emlékeztetek arra, hogy az európai adatvédelmi biztos 2011. március 25‑i véleményének 47. pontjában már javasolt egy ilyen kizárást.


174      Olyan adatokról van szó, amelyek alkalmasak arra, hogy információt szolgáltassanak az elektronikus hírközlő eszköz felhasználója által folytatott kommunikációról vagy az általa használt végberendezések helyéről.


175      Lásd ebben az értelemben a La Quadrature du Net ítélet 141–145. pontját, és a Tele2 Sverige ítélet 105. és 106. pontját, amelyek a 2002/58 irányelv 15. cikke (1) bekezdésének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben való értelmezésére vonatkoznak, valamint a Digital Rights ítélet 57. és 58. pontját, amelyben a Bíróság a 2006/24 irányelvet érvénytelennek nyilvánította.


176      Lásd: La Quadrature du Net ítélet, 177. pont.


177      Lásd: La Quadrature du Net ítélet, 134‑139. és 177. pont. A Bíróság szerint a tagállamokat a nemzetbiztonság területén terhelő felelősség „az állam alapvető funkcióinak és a társadalom alapvető érdekeinek a védelméhez fűződő elsődleges érdeknek felel meg, és magában foglalja az olyan tevékenységek megelőzését és elfojtását, amelyek komolyan destabilizálhatják az ország alapvető alkotmányos, politikai, gazdasági vagy társadalmi szerkezetét, és közvetlenül fenyegethetik a társadalmat, a lakosságot vagy magát az államot, mint például a terrorcselekmények”; lásd: La Quadrature du Net ítélet, 135. pont; Privacy International ítélet, 74. pont.


178      Lásd: La Quadrature du Net ítélet, 138. és 178. pont.


179      Lásd különösen: La Quadrature du Net ítélet, 141‑145. pont.


180      Lásd: La Quadrature du Net ítélet, 115. és 116. pont; lásd még: Campos Sanchéz‑Bordona főtanácsnok SpaceNet és Telekom Deutschland egyesített ügyekre vonatkozó indítványa (C‑793/19 és C‑794/19, EU:C:2021:939, 74. és 75. pont).


181      Lásd: Tele2 Sverige ítélet, 119. pont.


182      Lásd ebben az értelemben: Tele2 Sverige ítélet, 103‑107. és 119. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


183      Lásd az 1/15 . sz. vélemény 186. és 187. pontját.


184      A Digital Rights ítéletben (59. pont) és a Tele2 Sverige ítéletben (111. pont), mint ahogyan a legutóbbi ítélkezési gyakorlatban is (lásd különösen a La Quadrature du Net ügyben hozott ítélet 143‑150. pontját), éppen az teszi aránytalanná a szóban forgó szabályozást, hogy az nem az 1/15 . sz. vélemény 187. pontjában említett „objektív tényezőkön” alapult, amelyek lehetővé tették volna, hogy azon személyeket célozzák meg, akiknek adatai legalább közvetett kapcsolatot mutathatnak a súlyos bűncselekményekkel.


185      Lásd: La Quadrature du Net ítélet (117. pont, valamint az ott hivatkozott ítélkezési gyakorlat); lásd még: Prokuratuur ítélet (36. pont).


186      La Quadrature du Net ítélet ,142. pont.


187      Lásd az 1/15 vélemény 128. és 150. pontját.


188      Lásd az 1/15 vélemény 150. pontját.


189      A metaadatokkal kapcsolatos ilyen értékelés nehézségeiről lásd a Prokuratuur ítélet 40. pontját.


190      Erre tett kísérletet a német jogalkotó abban a szabályozásban, amely a C‑793/19 és C‑794/19 SpaceNet és Telekom Deutschland egyesített ügyek tárgyát képezte, amelyekben Campos Sánchez‑Bordona főtanácsnok indítványt terjesztett elő (EU:C:2021:939, 60. és 61. pont).


191      E tekintetben a jelen indítvány 93. pontjára utalok.


192      Lásd: La Quadrature du Net ítélet, 118. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


193      Lásd: Tele2 Sverige ítélet, 93. pont.


194      Mengozzi főtanácsnok 1/15. sz véleményre vonatkozó indítványa ([EU–Kanada PNR‑megállapodás], EU:C:2016:656).


195      Lásd többek között: EJEB, 2015. december 4., Roman Zakharov kontra Oroszország (CE:ECHR:2015:1204JUD004714306, 260. §).


196      Lásd: La Quadrature du Net ítélet (146‑151. pont); Tele2 Sverige ítélet (119. pont).


197      Ebben az értelemben a tömeges lehallgatási intézkedésekkel kapcsolatban lásd: Big Brother Watch ítélet, 348. §.


198      Lásd analógia útján: 2019. október 3‑i A és társai ítélet (C‑70/18, EU:C:2019:823, 61. pont).


199      Lásd legutóbb: a biztonsági unióra vonatkozó uniós stratégiáról szóló bizottsági közlemény (COM(2020) 605 final, 28. o.); a Bizottság közleménye: az EU terrorizmus elleni programja: előrejelzés, megelőzés, védelem, reagálás (COM(2020) 795 final, 15. és azt követő oldalak).


200      A 2017. december 21‑i határozat (a továbbiakban: 2396. (2017) sz. határozat), https://undocs.org/fr/S/RES/2396(2017).


201      Lásd: 2396. (2017) sz. határozat, 12. pont; ugyanezen 12. pontban az ENSZ Biztonsági Tanácsa „sürgeti az ICAO‑t, hogy a tagállamaival együttműködve dolgozzon ki szabványt a PNR‑adatok gyűjtésére, felhasználására, kezelésére és védelmére”. E felkérést követően az ICAO 2020. június 23‑án elfogadta a Chicagói Egyezmény 9. mellékletének 28. módosítását, amely, amint már említésre került, nemzetközi egyszerűsítési szabványokat állapít meg, és amely 9. fejezetének D. szakasza kifejezetten a PNR‑re vonatkozik. A Bizottság 2021. január 12‑én elfogadta az [ICAO] keretében az Európai Unió nevében e módosítással kapcsolatban képviselendő álláspontról szóló tanácsi határozatra vonatkozó javaslatot (COM(2021) 16 final).


202      2019. július 19‑i határozat, 15. pont, c) alpont, https://undocs.org/fr/S/RES/2482(2019).


203      Jelenleg két nemzetközi megállapodás létezik, amelyeket az Unió Ausztráliával (az Európai Unió és Ausztrália között [a PNR‑adatoknak] a légi fuvarozók általi feldolgozásáról és az Ausztrál Vámügyi és Határvédelmi Szolgálatnak való továbbításáról szóló megállapodás [HL 2012. L 186., 4. o.]) és az Amerikai Egyesült Államokkal (az Amerikai Egyesült Államok és az Európai Unió közötti, [a PNR‑adatok] felhasználásáról és az Egyesült Államok Belbiztonsági Minisztériumának való továbbításáról szóló megállapodás [HL 2012. L 215., 5. o.]) kötött. Folyamatban van a két megállapodás új megállapodások megkötése céljából való közös értékelése. A Tanács 2020. február 18‑án felhatalmazta a Bizottságot arra is, hogy tárgyalásokat kezdjen Japánnal.


204      Lásd: 2396. (2017) sz. határozat, 4. o.


205      Beleértve az uniós jog alapján szabad mozgáshoz való jogot élvező személyeket; lásd: az (EU) 2016/399 rendeletnek a külső határokon a releváns adatbázisok lekérdezésével végzett ellenőrzések megerősítése tekintetében történő módosításáról szóló, 2017. március 15‑i (EU) 2017/458 európai parlamenti és tanácsi rendelet (HL 2017. L 74., 7. o.).


206      Ebben az értelemben lásd még: 1/15 vélemény, 187. pont. Lásd még: a PNR‑adatok harmadik országoknak történő továbbítására vonatkozó általános megközelítésről szóló bizottsági közlemény (COM(2010) 492 final bizottsági közlemény, 6. o., 2.2. pont).


207      A Bizottság bizonyos mértékig erre utal a PNR‑irányelvre vonatkozó javaslatában, 3. o.


208      Lásd ebben az értelemben: Prokuratuur ítélet, 49. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


209      Lásd a PNR‑irányelvre vonatkozó javaslat 4. cikke (2) bekezdésének a) pontját.


210      Bár a 6. cikk (3) bekezdése a) pontjának francia nyelvi változata a „hasznos adatbázisok” kifejezést használja, a többi nyelvi változat jelentős részében inkább a „releváns adatbázisok” kifejezés szerepel: lásd különösen a spanyol („pertinentes”), a német („massgeblich”), az angol („relevant”), az olasz („pertinenti”), a holland („relevant”) és a portugál („relevantes”) nyelvi változatokat.


211      A PNR‑irányelv 6. cikke (3) bekezdése a) pontjának megfogalmazása szerint úgy tűnik, hogy e rendelkezés lehetővé teszi az adatbányászat formájában történő elemzéseket, a legkülönfélébb adatokkal történő keresztellenőrzéssel, amennyiben erre az adatbányászatra az irányelv által követett célok elérése érdekében kerül sor. A PNR‑adatokkal összefüggésben végzett „data mining” kockázatairól lásd: Korff‑jelentés, 27. o. Az európai adatvédelmi biztos 2011. március 25‑i véleményében (18. pont) határozottan hangsúlyozta, hogy nem elég pontos és kiszámítható azon adatbázisok meghatározása, amelyekkel a PNR‑adatok összevethetők.


212      A PNR‑irányelv 6. cikke (3) bekezdése a) pontjának homályos és nyitott megfogalmazása következtében a nemzeti jogba történő átültetések jelentős eltéréseket mutatnak, amely a „releváns adatbázis” fogalmának szigorú, az előírt elemzést az e rendelkezésben kifejezetten említett adatbázisokkal való összevetésre korlátozó értelmezésétől (ez a helyzet a Németországi Szövetségi Köztársaságban, amint az a kormánya által a Bíróság elé terjesztett észrevételekből is kitűnik) a tágabb értelmezéséig terjed, amely minden, az illetékes hatóságok számára feladataik ellátása keretében hozzáférhető adatbázisra kiterjed (többek között ezt az értelmezést tükrözi a PNR‑törvény 24. cikke (1) bekezdésének 1. pontja).


213      Véleményem szerint a PNR‑irányelv 6. cikke (3) bekezdésének a) pontja alapján a tagállamok semmiképpen sem tekinthetik magukat kötelesnek arra, hogy engedélyezzék az utas‑adat információs egységük számára a PNR‑adatok rendszeres összevetését a hírszerző szolgálatok által kezelt, ezen rendelkezés értelmében vett „releváns adatbázisokkal”.


214      A rendőrségi irányelv 3. cikkének 4. pontja úgy határozza meg a „profilalkotást” mint „személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz vagy érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják”. Ugyanez a meghatározás szerepel az általános adatvédelmi rendelet 4. cikkének 4. pontjában és az Európa Tanács Miniszteri Bizottságának a személyes adatok profilalkotás keretében történő automatizált kezelése tekintetében az egyének védelméről szóló, 2021. november 3‑i CM/Rec(2021)8 ajánlása (https://search.coe.int/cm/pages/result_details.aspx ?ObjectId=0900001680a46148, a továbbiakban: a profilalkotásról szóló 2021. évi ajánlás) melléklete 1. pontjának c) alpontjában.


215      A profilalkotásról szóló 2021. évi ajánlás 1. pontja j) alpontjának i. alpontja „nagy kockázatú profilalkotási adatkezelésként” határozza meg „az olyan profilalkotást, amelynek működése joghatással jár, vagy amely jelentős hatással van a profilalkotási adatkezeléssel azonosított érintettre vagy érintettek csoportjára”.


216      Lásd az 1/15 .sz. vélemény 272. pontját.


217      A profilalkotásról szóló 2021. évi ajánlás melléklete 1.1. pontjának d) alpontja szerint a „profil” kifejezés „olyan, valamely személyhez rendelhető adatok összessége, amely a személyek valamely kategóriáját jellemzi, és amelynek célja, hogy valamely személyre alkalmazzák”. Amint azt a profilalkotásról szóló ajánlás (2010)13 elfogadását követő fejleményekről szóló jelentés (https://rm.coe.int/t‑pd‑2019‑07fin‑fr‑rapport‑profilage‑2770‑2878‑8993‑1‑final‑clean‑2755/1680a0925b, 21. o.) magyarázza, a „profil” fogalma őrzi jelentését minden olyan rendszer tekintetében, amely – a PNR‑irányelvhez hasonlóan – különbséget tesz a profilalkotási műveletek (lásd különösen ezen irányelv 6. cikke (2) bekezdésének b) pontját) és azon műveletek között, amelyek biztosítják és lehetővé teszik „a profilalkotási művelet során másodszor alkalmazott szempontok átláthatóságát”.


218      Lásd a PNR‑irányelv 6. cikkének (4) bekezdését; az 1/15 vélemény 172. pontját.


219      Lásd a PNR‑irányelv 6. cikkének (4) bekezdését.


220      Lásd az 1/15 . sz. vélemény 172. pontját.


221      Lásd a PNR‑irányelv (7) preambulumbekezdését.


222      Lásd az 1/15 . sz. vélemény 174. pontját.


223      Ugyanezt a követelményt tartalmazza az 1/15. sz. vélemény 174. pontja is.


224      Rámutatok, hogy a Charta 21. cikkében szereplő valamennyi megkülönböztetési okot a PNR‑irányelv (20) preambulumbekezdése is megismétli. Az FRA az 1/2011. sz. véleményében (8. o.) javasolta a 21. cikkben szereplő tiltott megkülönböztetési okok listájával való összehangolást.


225      A profilalkotásról szóló 2021. évi ajánlás melléklete 1.1. pontjának g) alpontja szerint a „machine learning” egy „statisztikai módszereken alapuló művelet, amely a mesterséges intelligencia különböző módszereinek felhasználásával lehetővé teszi a számítógépek számára az adatokból kiindulva a »megértés« képességét, vagyis azt, hogy úgy tudják hatékonyabban megoldani a feladatokat, hogy azokra kifejezetten nem programozták be őket”.


226      Az algoritmikus rendszerek átláthatatlanságának az emberi ellenőrzés – amelynek célja a káros következmények és az e következmények által az emberi jogokra gyakorolt negatív befolyás megelőzése – lehetőségére gyakorolt hatásairól lásd az Európa Tanács Miniszteri Bizottságának CM/Rec(2020)1 ajánlását a tagállamok számára az algoritmikus rendszerek emberi jogokra gyakorolt hatásairól.


227      Ezt a meghatározást a PNR‑irányelv (25) preambulumbekezdése tartalmazza.


228      A PNR‑irányelv (37) preambulumbekezdésének azon kijelentése, amely szerint az irányelv „a PNR‑adatoknak az utas‑adat információs egységek általi megőrzését öt évet meg nem haladó időtartamra teszi lehetővé, ami után az adatokat törölni kell” (kiemelés tőlem), véleményem szerint nem teszi lehetővé az irányelv 12. cikke (1) bekezdése egyértelmű megfogalmazásának megkérdőjelezését.


229      A személyes adatoknak bűncselekmények nyomozása, megelőzése, felderítése, a vádeljárás lefolytatása érdekében való kezelésével kapcsolatban lásd a rendőrségi irányelv 4. cikkének e) pontját és (26) preambulumbekezdését. Általánosabban lásd az általános adatvédelmi rendelet 5. cikke (1) bekezdésének e) pontját és a korszerűsített 108. egyezmény 5. cikke (4) bekezdésének e) pontját.


230      Lásd: „Schrems I” ítélet (93. pont); Tele2 Sverige ítélet (110. pont); 1/15. sz. vélemény (191. pont); La Quadrature du Net ítélet (133. pont).


231      Lásd az 1/15 . sz. vélemény 197. pontját.


232      Lásd az 1/15. sz. vélemény 205. pontját.


233      Lásd az 1/15. sz. vélemény 207. pontját.


234      Ez az 1/15. sz. vélemény 187. és azt követő pontjainak analógia útján való alkalmazása lenne, mivel ez utóbbi csak a Kanadába való belépéskor gyűjtött PNR‑adatok esetére vonatkozott.


235      Lásd az 1/15. sz. vélemény 209. pontját.


236      Lásd az 1/15. sz. vélemény 205. pontját.


237      A Kanada‑EU PNR‑megállapodás tervezete előírta, hogy az összes utas nevét 30 nappal a Kanada általi kézhezvételt követően, az egyéb, külön felsorolt információkat pedig két évvel a kézhezvételt követően el kell rejteni: lásd a Bíróság által vizsgált Kanada‑EU PNR‑megállapodás tervezete 16. cikkének 3. pontját, valamint az 1/15. sz. vélemény 30. pontját.


238      Lásd: 2016. augusztus 19‑i vélemény, 9. o.


239      Lásd különösen: La Quadrature du Net ítélet, 148. és 149. pont.


240      Ugyanez vonatkozik a PNR‑irányelv 9. cikkének (2) bekezdése alapján a más tagállamok utas‑adat információs egységei által benyújtott, a PNR‑adatok közlésére irányuló kérelmekre is.


241      Lásd: 1/15. sz. vélemény, 192. pont, valamint az ott hivatkozott ítélkezési gyakorlat. Lásd legutóbb: Privacy international ítélet, 77. pont; analógia útján: Prokuratuur ítélet 49. pont, valamint az ott hivatkozott ítélkezési gyakorlat.


242      Lásd az 1/15. sz. vélemény 200. pontját.


243      Lásd az 1/15. sz. vélemény 200. pontját.


244      Lásd az 1/15. sz. vélemény 201. pontját.


245      Lásd az 1/15. sz. vélemény 202. pontját.


246      Lásd ebben az értelemben az 1/15. sz. vélemény 201. pontját.


247      Lásd többek között a PNR‑irányelv 4. cikkét, 7. cikkének (1) és (2) bekezdését, 9. cikkének (2) bekezdését, 10. cikkének (2) bekezdését és 12. cikkének (4) bekezdését; lásd többek között: ezen irányelv (6), (9), (10), (11), (15), (23), (25), (35) és (38) preambulumbekezdését. Emlékeztetek továbbá arra, hogy a PNR‑irányelvre vonatkozó javaslat (28) preambulumbekezdésében pontosította, hogy „ez az irányelv nem sérti a tagállamok azon lehetőségét, hogy nemzeti joguk alapján a jelen irányelvben említett céloktól eltérő célokra is létrehozzák a PNR‑adatok gyűjtésének és feldolgozásának rendszerét”. Ez a pontosítás azonban nem került be a PNR‑irányelv végleges szövegébe.


248      Ezt a lehetőséget ugyanakkor a PNR‑irányelv 4. cikkének (3) bekezdése elismeri, amely szerint „[a]z utas‑adat információs egység személyi állományának tagjai kirendelhetők illetékes hatóságoktól”, legalábbis amennyiben az érintett tagállam hírszerző és biztonsági szolgálatai az irányelv 7. cikkének (2) bekezdése értelmében vett „illetékes hatóságoknak” minősülhetnek.


249      Ami a belga kormány által a Bíróságnak az előzetes döntéshozatalra előterjesztett hetedik kérdés megválaszolására vonatkozó hatáskörével kapcsolatban kifejezett kétségeket illeti, meg kell jegyezni, hogy e kérdés megfogalmazása szerint a kérdést előterjesztő bíróság a PNR‑irányelv 12. cikke (3) bekezdésének értelmezését kéri a Bíróságtól, nem pedig a nemzeti jogszabály e rendelkezéssel való összeegyeztethetőségét. Mindazonáltal az állandó ítélkezési gyakorlat szerint a Bíróság útmutatást adhat a nemzeti bíróságok számára, amely lehetővé teszi számukra az ilyen összeegyeztethetőség értékelését (lásd különösen: 2016. szeptember 7‑i ANODE‑ítélet, C‑121/15, EU:C:2016:637, 54. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


250      Lásd e tekintetben: 2019. november 5‑i Bizottság kontra Lengyelország (A rendes bíróságok függetlensége) ítélet (C‑192/18, EU:C:2019:924, 108–110. pont).


251      A PNR‑irányelvre vonatkozó javaslat 9. cikke (2) bekezdésének negyedik mondata úgy rendelkezett, hogy „[a] teljes PNR‑adatokhoz való hozzáférést csak az utas‑adat információs egység vezetője engedélyezheti”.


252      Prokuratuur ítélet, 52. és 53. pont.


253      Prokuratuur ítélet, 53. és 54. pont. Ugyanebben az értelemben lásd: Big Brother Watch ítélet, 349–352. §.


254      A PNR‑irányelvre vonatkozó javaslat 9. cikke (2) bekezdésének negyedik mondata úgy rendelkezett, hogy „[a] teljes PNR‑adatokhoz való hozzáférést csak az utas‑adat információs egység vezetője engedélyezheti”.


255      A PNR‑törvény 29. cikkének (1) és (2) bekezdése.


256      Lásd a PNR‑irányelv (10) preambulumbekezdését.


257      A személyek határátlépésére irányadó szabályok uniós kódexéről (Schengeni határ‑ellenőrzési kódex) szóló, 2016. március 9‑i (EU) 2016/399 európai parlamenti és tanácsi rendelet (HL 2016. L 77., 1. o.; a továbbiakban: Schengeni határ‑ellenőrzési kódex).


258      A Schengeni határ‑ellenőrzési kódex 23. cikkének a) pontja előírja, hogy a rendőrségi hatáskör gyakorlását nem lehet a határellenőrzéssel egyenértékűnek tekinteni, ha a rendőri intézkedés „i. célja nem a határellenőrzés; ii. a közrendet érintő esetleges veszélyekkel kapcsolatos általános rendőrségi információn és tapasztalaton alapulnak, és különösen a határokon átnyúló bűnözés elleni küzdelemre irányulnak; iii. előkészítésének és végrehajtásának módja egyértelműen eltér a külső határokon történő rendszeres személyellenőrzésekétől; iv. végrehajtására szúrópróbaszerűen kerül sor”.


259      Lásd analógia útján: 2018. december 13‑i Touring Tours und Travel és Sociedad de transportes ítélet (C‑412/17 és C‑474/17, EU:C:2018:1005, 61. pont, valamint az ott hivatkozott ítélkezési gyakorlat); 2020. június 4‑i FU végzés (C‑554/19, nem tették közzé, EU:C:2020:439, 51–56. pont).


260      E tekintetben rámutatok, hogy a Bíróság az 1/15. sz. vélemény 188. pontjában kijelentette, hogy „a határellenőrzések részét képezi azon utasoknak a PNR‑adatok alapján történő azonosítása, akik veszélyt jelenthetnek a közbiztonságra”.


261      Lásd: 2018. december 13‑i Touring Tours und Travel és Sociedad de transportes ítélet (C‑412/17 és C‑474/17, EU:C:2018:1005, 51. pont, valamint az ott hivatkozott ítélkezési gyakorlat).


262      Lásd ebben az értelemben különösen: 2020. június 4‑i FU végzés (C‑554/19, nem tették közzé, EU:C:2020:439, 46. pont).


263      A Bizottság az API‑irányelvről szóló 2020. évi munkadokumentumában (20. o.) szintén kiemeli a PNR‑ és API‑adatok kezelésére vonatkozó rendszerek nemzeti szintű átfedéseinek problémás jellegét.


264      C‑411/17, EU:C:2019:622, 175., 176., 179. és 181. pont.


265      Lásd: La Quadrature du Net ítélet, 217–219. pont.

Top