I. Teisinis pagrindas

A. Sąjungos teisė

1. Direktyva 95/46/EB

2. API direktyva

3. Direktyva 2010/65

4. BDAR

5. Direktyva 2016/680

6. PNR direktyva

7. Pamatinis sprendimas 2002/475

B. Belgijos teisė

1. Konstitucija

2. 2016 m. gruodžio 25 d. įstatymas

II. Pagrindinė byla ir prejudiciniai klausimai

III. Dėl prejudicinių klausimų

A. Dėl pirmojo klausimo

B. Dėl antrojo–ketvirtojo ir šeštojo klausimų

1. Dėl iš PNR direktyvos kylančių Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymų

2. Dėl iš PNR direktyvos kylančių suvaržymų pateisinimo

a) Dėl teisėtumo principo ir nagrinėjamų pagrindinių teisių esmės paisymo

b) Dėl bendrojo intereso tikslo ir galimybės tvarkyti PNR duomenis, atsižvelgiant į šį tikslą

c) Dėl iš PNR direktyvos kylančių suvaržymų būtinumo

1) Dėl PNR direktyvoje nurodytų oro transporto keleivių duomenų

2) Dėl PNR duomenų tvarkymu siekiamų tikslų

3) Dėl PNR duomenų ir šių duomenų tvarkymo tikslų ryšio

4) Dėl oro transporto keleivių ir atitinkamų skrydžių

5) Dėl išankstinio PNR duomenų vertinimo automatizuotai tvarkant duomenis

i) Dėl PNR duomenų palyginimo su duomenimis duomenų bazėse

ii) Dėl PNR duomenų tvarkymo pagal iš anksto nustatytus kriterijus.

iii) Dėl automatizuotam PNR duomenų tvarkymui taikomų apsaugos priemonių

6) Dėl PNR duomenų atskleidimo ir vėlesnio vertinimo

C. Dėl penktojo klausimo

D. Dėl septintojo klausimo

E. Dėl aštuntojo klausimo

F. Dėl devintojo klausimo a punkto

G. Dėl devintojo klausimo b punkto

H. Dėl dešimtojo klausimo

Dėl bylinėjimosi išlaidų

–

Ligue des droits humains, atstovaujamos avocate C. Forget,

–

Belgijos vyriausybės, atstovaujamos P. Cottin, J.‑C. Halleux, C. Pochet ir M. Van Regemorter, padedamų advocaat C. Caillet, avocat E. Jacubowitz, taip pat G. Ceuppens, V. Dethy ir D. Vertongen,

–

Čekijos vyriausybės, atstovaujamos T. Machovičová, M. Smolek, O. Serdula ir J. Vláčil,

–

Danijos vyriausybės, atstovaujamos M. Jespersen, J. Nymann-Lindegren, V. Pasternak Jørgensen ir M. Søndahl Wolff,

–

Vokietijos vyriausybės, atstovaujamos J. Möller ir D. Klebs,

–

Estijos vyriausybės, atstovaujamos N. Grünberg,

–

Airijos, atstovaujamos M. Browne, A. Joyce ir J. Quaney, padedamų BL D. Fennelly,

–

Ispanijos vyriausybės, atstovaujamos L. Aguilera Ruiz,

–

Prancūzijos vyriausybės, atstovaujamos D. Dubois, E. de Moustier ir T. Stehelin,

–

Kipro vyriausybės, atstovaujamos I. Neophytou,

–

Latvijos vyriausybės, atstovaujamos E. Bārdiņš, K. Pommere ir V. Soņeca,

–

Nyderlandų vyriausybės, atstovaujamos M. K. Bulterman, A. Hanje, J. Langer ir C. S. Schillemans,

–

Austrijos vyriausybės, atstovaujamos G. Kunnert, A. Posch ir J. Schmoll,

–

Lenkijos vyriausybės, atstovaujamos B. Majczyna,

–

Slovakijos vyriausybės, atstovaujamos B. Ricziová,

–

Suomijos vyriausybės, atstovaujamos A. Laine ir H. Leppo,

–

Europos Parlamento, atstovaujamo O. Hrstková Šolcová ir P. López-Carceller,

–

Europos Sąjungos Tarybos, atstovaujamos J. Lotarski, N. Rouam, E. Sitbon ir C. Zadra,

–

Europos Komisijos, atstovaujamos D. Nardi ir M. Wasmeier,

–

Europos duomenų apsaugos priežiūros pareigūno, atstovaujamo P. Angelov, A. Buchta, F. Coudert ir C.-A. Marnier,

–

Europos Sąjungos pagrindinių teisių agentūros, atstovaujamos L. López, T. Molnar, M. Nespor ir M. O’Flaherty,

1

Prašymas priimti prejudicinį sprendimą iš esmės pateiktas dėl:

2

Šis prašymas pateiktas nagrinėjant Ligue des droits humains ir Conseil des ministres (Ministrų Taryba, Belgija) ginčą dėl 2016 m. gruodžio 25 d. Įstatymo dėl keleivių duomenų tvarkymo teisėtumo.

3

1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) nuo 2018 m. gegužės 25 d. buvo panaikinta BDAR. Šios direktyvos 3 straipsnio 2 dalyje buvo nustatyta:

„Ši direktyva netaikoma tvarkant asmens duomenis:

4

API direktyvos 1, 7, 9 ir 12 konstatuojamosiose dalyse numatyta:

<…>

<…>

<…>

5

API direktyvos 1 straipsnis „Tikslas“ suformuluotas taip:

„Šios direktyvos tikslas – sugriežtinti pasienio kontrolę ir kovoti prieš nelegalią imigraciją, kai vežėjai iš anksto perduoda keleivių duomenis kompetentingoms nacionalinėms institucijoms.“

6

Šios direktyvos 2 straipsnyje „Sąvokų apibrėžimai“ nustatyta:

„Šioje direktyvoje:

7

Minėtos direktyvos 3 straipsnio „Duomenų perdavimas“ 1 ir 2 dalyse nustatyta:

„1.   Valstybės narės imasi būtinų priemonių nustatyti įpareigojimą vežėjams atsakingų už asmenų tikrinimą ties išorinėmis sienomis institucijų prašymu, iki registracijos pabaigos, perduoti informaciją apie keleivius, kuriuos jie pristatys į paskirtą sienos kirtimo punktą, per kurį tie asmenys pateks į valstybės narės teritoriją.

2.   Pirmiau minėta informacija yra tokia:

8

API direktyvos 6 straipsnyje „Duomenų tvarkymas“ nustatyta:

„1.   3 straipsnio 1 dalyje nurodyti asmens duomenys perduodami institucijoms, atsakingoms už asmenų ties išorinėmis sienomis, per kurias keleiviai patenka į valstybės narės teritoriją, patikrinimą, kad būtų lengviau atlikti tokį patikrinimą, siekiant veiksmingiau kovoti prieš nelegalią imigraciją.

Valstybės narės užtikrina, kad tokius duomenis vežėjai surinktų ir jie būtų perduodami elektroniniu būdu arba, jei yra gedimas, bet kokiomis [kitomis priimtinomis priemonėmis] kitoms institucijoms, atsakingoms už asmenų ties išorinėmis sienomis, per kurias keleiviai patenka į valstybės narės teritoriją, patikrinimą. Už asmenų ties išorinėmis sienomis patikrinimą atsakingos institucijos išsaugo duomenis laikinoje rinkmenoje.

Keleiviams įvažiavus į šalį šios institucijos panaikina [ištrina] duomenis per 24 valandas po perdavimo, nebent duomenų reikia vėlesniems už asmenų ties išorinėmis sienomis patikrinimą atsakingų institucijų teisės aktuose nustatytoms funkcijoms atlikti pagal nacionalinius teisės aktus ir taikant [Direktyvos 95/46] duomenų apsaugos nuostatas.

Valstybės narės imasi būtinų priemonių įpareigoti vežėjus panaikinti [ištrinti] šios direktyvos tikslais jų surinktus ir perduotus pasienio institucijoms duomenis per 24 valandas po transporto priemonės atvykimo pagal 3 straipsnio 1 dalį.

Pagal savo nacionalinius teisės aktus ir [Direktyvoje 95/46 esančias] duomenų apsaugos nuostatas valstybės narės taip pat gali naudoti 3 straipsnio 1 dalyje nurodytus asmens duomenis teisės aktų vykdymo tikslais [teisėsaugos tarnybų poreikiams tenkinti].

2.   Valstybės narės imasi būtinų priemonių įpareigoti vežėjus informuoti keleivius pagal [Direktyvos 95/46] nuostatas. Tai aprėpia ir [Direktyvos 95/46] 10 straipsnio c punkte bei 11 straipsnio 1 dalies c punkte nurodytą informaciją.“

9

Remiantis 2019 m. birželio 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2019/1239, kuriuo nustatoma Europos jūrų sektoriaus vieno langelio aplinka ir panaikinama Direktyva 2010/65/ES (OL L 198, 2019, p. 64), 25 straipsniu, Direktyva 2010/65 panaikinama nuo 2025 m. rugpjūčio 15 d.

10

Šios direktyvos 2 konstatuojamojoje dalyje nustatyta:

„Siekiant sudaryti palankesnes sąlygas jūrų transportui ir sumažinti administracinę naštą laivybos įmonėms, reikia, kiek įmanoma, supaprastinti ir suderinti pranešimo formalumus, nustatytus Sąjungos ir valstybių narių teisės aktais. <…>“

11

Minėtos direktyvos 1 straipsnio „Dalykas ir taikymo sritis“ 1 ir 2 dalyse numatyta:

„1.   Šios direktyvos tikslas – supaprastinti ir suderinti administracines procedūras, taikomas jūrų transportui, nustatant, kad informacijos perdavimas elektroninėmis priemonėmis taptų standartine procedūra ir racionalizuojant pranešimo formalumus.

2.   Ši direktyva taikoma su jūrų transportu susijusiems pranešimo formalumams, kurie taikomi laivams, įplaukiantiems į valstybėse narėse esančius uostus ir iš jų išplaukiantiems.“

12

Tos pačios direktyvos 8 straipsnyje „Konfidencialumas“ nustatyta:

„1.   Valstybės narės, laikydamosi taikomų Sąjungos ar nacionalinės teisės aktų, imasi būtinų priemonių, kad užtikrintų komercinės ir kitos konfidencialios informacijos, kuria keičiamasi pagal šią direktyvą, konfidencialumą.

2.   Valstybės narės ypač stengiasi apsaugoti komercinius duomenis, surinktus vadovaujantis šia direktyva. Asmens duomenų atveju valstybės narės užtikrina, kad būtų laikomasi Direktyvos 95/46/EB. [Europos] Sąjungos institucijos ir įstaigos užtikrina, kad būtų laikomasi [2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos] reglamento (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001, p. 1; 2004 m. specialusis leidimas lietuvių k. 13 sk., 26 t., p. 102).“

13

BDAR 19 konstatuojamojoje dalyje nustatyta:

„fizinių asmenų apsauga kompetentingoms valdžios institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, ir laisvas tokių duomenų judėjimas reglamentuojami specialiu Sąjungos teisės aktu. Todėl šis reglamentas neturėtų būti taikomas duomenų tvarkymo veiklai tokiais tikslais. Tačiau kai asmens duomenys, kuriuos valdžios institucijos tvarko pagal šį reglamentą, naudojami tais tikslais, jų tvarkymas turėtų būti reglamentuojamas konkretesniu Sąjungos teisės aktu, tai yra [2016 m. balandžio 27 d.] Europos Parlamento ir Tarybos direktyva (ES) 2016/680 [dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016, p. 89)]. Valstybės narės gali kompetentingoms valdžios institucijoms, kaip apibrėžta [Direktyvoje 2016/680], pavesti užduotis, kurios nebūtinai atliekamos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, kad tais kitais tikslais atliekamas asmens duomenų tvarkymas tiek, kiek jis patenka į Sąjungos teisės taikymo sritį, patektų į šio reglamento taikymo sritį.

<…>“

14

Minėto reglamento 2 straipsnio „Materialinė taikymo sritis“ 1 ir 2 dalyse numatyta:

„1.   Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.

2.   Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:

<…>

15

Minėto reglamento 4 straipsnyje „Apibrėžtys“ numatyta:

„Šiame reglamente:

<…>“

16

BDAR 23 straipsnyje „Apribojimai“ nustatyta:

„1.   Sąjungos ar valstybės narės teis[ės], kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:

<…>

2.   Visų pirma visose 1 dalyje nurodytose teisėkūros priemonėse pateikiamos konkrečios nuostatos, susijusios tam tikrais atvejais bent su:

17

Šio reglamento 94 straipsnyje „[Direktyvos 95/46] panaikinimas“ numatyta:

„1.   Direktyva [95/46] panaikinama nuo 2018 m. gegužės 25 d.

2.   Nuorodos į panaikintą direktyvą laikomos nuorodomis į šį reglamentą. Nuorodos į Direktyvos [95/46] 29 straipsniu įsteigtą Darbo grupę asmenų apsaugai tvarkant asmens duomenis laikomos nuorodomis į šiuo reglamentu įsteigtą Europos duomenų apsaugos valdybą.“

18

Remiantis Direktyvos 2016/680 59 straipsniu, šia direktyva nuo 2018 m. gegužės 6 d. panaikintas ir pakeistas 2008 m. lapkričio 27 d. Tarybos pamatinis sprendimas 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos (OL L 350, 2008, p. 60).

19

Direktyvos 2016/680 9–11 konstatuojamosiose dalyse nustatyta:

20

Šios direktyvos 1 straipsnio „Dalykas ir tikslai“, kuris iš esmės atitinka Pamatinio sprendimo 2008/977 1 straipsnį, 1 dalyje numatyta:

„Šioje direktyvoje nustatytos taisyklės, susijusios su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais.“

21

Šios direktyvos 3 straipsnyje „Apibrėžtys“ nustatyta:

„Šioje direktyvoje:

<…>

7. kompetentinga institucija –

<…>“

22

PNR direktyvos 4–12, 15, 19, 20, 22, 25, 27, 28, 33, 36 ir 37 konstatuojamosiose dalyse nurodyta:

<…>

<…>

<…>

<…>

<…>

<…>

<…>

23

PNR direktyvos 1 straipsnyje „Dalykas ir taikymo sritis“ nustatyta:

„1.   Šia direktyva numatoma:

2.   Pagal šią direktyvą renkami PNR duomenys gali būti tvarkomi tik teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, kaip numatyta 6 straipsnio 2 dalies a, b ir c punktuose.“

24

Šios direktyvos 2 straipsnis „Šios direktyvos taikymas ES vidaus skrydžiams“ suformuluotas taip:

„1.   Jeigu valstybė narė nusprendžia taikyti šią direktyvą ES vidaus skrydžiams, ji raštu praneša Komisijai. Valstybė narė tokį pranešimą gali pateikti arba panaikinti bet kuriuo metu. Komisija tą pranešimą ir bet kurį panaikinimą paskelbia Europos Sąjungos oficialiajame leidinyje.

2.   Kai pateikiamas 1 dalyje nurodytas pranešimas, visos šios direktyvos nuostatos taikomos ES vidaus skrydžiams taip, kaip jos būtų taikomos ES išorės skrydžiams, ir ES vidaus skrydžių PNR duomenims taip, kaip jos būtų taikomos ES išorės skrydžių PNR duomenims.

3.   Valstybė narė gali nuspręsti šią direktyvą taikyti tik pasirinktiems ES vidaus skrydžiams. Priimdama tokį sprendimą valstybė narė pasirenka skrydžius, kuriuos pasirinkti, jos nuomone, yra būtina siekiant šios direktyvos tikslų. Valstybė narė gali nuspręsti bet kada pakeisti savo ES vidaus skrydžių pasirinkimą.

25

Šios direktyvos 3 straipsnyje „Terminų apibrėžtys“ numatyta:

„Šioje direktyvoje vartojamų terminų apibrėžtys:

26

PNR direktyvos 4 straipsnio „Informacijos apie keleivius skyrius“ 1–3 dalyse nustatyta:

„1.   Kiekviena valstybė narė įsteigia arba paskiria valdžios instituciją, kompetentingą vykdyti teroristinių nusikaltimų ir sunkių nusikaltimų prevenciją, nustatymą, tyrimą ar patraukimą už juos baudžiamojon atsakomybėn, arba tokios valdžios institucijos padalinį atlikti informacijos apie keleivius skyriaus funkcijas.

2.   Informacijos apie keleivius skyrius atsako už:

3.   Informacijos apie keleivius skyriaus darbuotojai gali būti deleguoti iš kompetentingų valdžios institucijų. Valstybės narės suteikia informacijos apie keleivius skyriams atitinkamų išteklių, kad jie galėtų vykdyti savo užduotis.“

27

Šios direktyvos 5 straipsnis „Duomenų apsaugos pareigūnas informacijos apie keleivius skyriuje“ suformuluotas taip:

„1.   Informacijos apie keleivius skyrius paskiria duomenų apsaugos pareigūną, atsakingą už PNR duomenų tvarkymo ir atitinkamų apsaugos priemonių įgyvendinimo stebėseną.

2.   Valstybės narės aprūpina duomenų apsaugos pareigūnus ištekliais, kad jie galėtų veiksmingai ir nepriklausomai vykdyti pagal šį straipsnį jiems numatytas pareigas ir užduotis.

3.   Valstybės narės užtikrina, kad duomenų subjektas turėtų teisę kreiptis į duomenų apsaugos pareigūną kaip į bendrą kontaktinį asmenį visais klausimais, susijusiais su to duomenų subjekto PNR duomenų tvarkymu.“

28

Minėtos direktyvos 6 straipsnyje „PNR duomenų tvarkymas“ nurodyta:

„1.   Oro vežėjų perduotus PNR duomenis renka atitinkamos valstybės narės informacijos apie keleivius skyrius, kaip numatyta 8 straipsnyje. Kai oro vežėjų perduoti PNR duomenys apima kitus duomenis, nei tie, kurie išvardyti I priede, tokius duomenis gavęs informacijos apie keleivius skyrius nedelsdamas juos ištrina visam laikui.

2.   Informacijos apie keleivius skyrius PNR duomenis tvarko tik šiais tikslais:

3.   Atlikdamas 2 dalies a punkte nurodytą įvertinimą informacijos apie keleivius skyrius gali:

4.   Bet koks keleivių vertinimas prieš jų numatytą atvykimą į valstybę narę arba išvykimą iš jos, atliekamas pagal 3 dalies b punktą pagal iš anksto nustatytus kriterijus, vykdomas nediskriminuojant. Tie iš anksto nustatyti kriterijai turi būti tiksliniai, proporcingi ir konkretūs. Valstybės narės užtikrina, kad informacijos apie keleivius skyriai tuos kriterijus nustatytų ir reguliariai peržiūrėtų bendradarbiaudami su 7 straipsnyje nurodytomis kompetentingomis valdžios institucijomis. Tie kriterijai jokiomis aplinkybėmis neturi būti nustatomi asmens rasės ar etninės kilmės, politinių pažiūrų, religijos ar filosofinių įsitikinimų, narystės profesinėse sąjungose, sveikatos, lytinio gyvenimo ar seksualinės orientacijos pagrindu.

5.   Valstybės narės užtikrina, kad bet koks pagal 2 dalies a punktą automatizuotu būdu tvarkant PNR duomenis gautas teigiamas rezultatas būtų atskirai peržiūrėtas neautomatizuotu būdu siekiant patikrinti, ar 7 straipsnyje nurodyta kompetentinga valdžios institucija turi imtis veiksmų pagal nacionalinę teisę.

6.   Valstybės narės informacijos apie keleivius skyrius pagal 2 dalies a punktą nustatytų asmenų PNR duomenis arba tų duomenų tvarkymo rezultatus perduoda tos pačios valstybės narės kompetentingoms valdžios institucijoms, nurodytoms 7 straipsnyje, toliau nagrinėti. Tokie duomenys perduodami tik atskirai įvertinus kiekvieną konkretų atvejį, o automatizuoto PNR duomenų tvarkymo atveju – atskirai juos peržiūrėjus neautomatizuotu būdu.

7.   Valstybės narės užtikrina, kad duomenų apsaugos pareigūnas turėtų prieigą prie visų informacijos apie keleivius skyriaus tvarkomų duomenų. Jeigu duomenų apsaugos pareigūnas mano, kad kurių nors duomenų tvarkymas buvo neteisėtas, duomenų apsaugos pareigūnas gali perduoti klausimą nacionalinei priežiūros institucijai.

<…>

9.   Šio straipsnio 2 dalies a punkte nurodytų keleivių vertinimų rezultatai neturi kelti pavojaus asmenų, kurie naudojasi Sąjungos laisvo judėjimo teise, teisei atvykti į atitinkamos valstybės narės teritoriją, kaip nustatyta [2004 m. balandžio 29 d.] Europos Parlamento ir Tarybos direktyvoje 2004/38/EB [dėl Sąjungos piliečių ir jų šeimos narių teisės laisvai judėti ir gyventi valstybių narių teritorijoje, iš dalies keičiančioje Reglamentą (EEB) Nr. 1612/68 ir panaikinančioje Direktyvas 64/221/EEB, 68/360/EEB, 72/194/EEB, 73/148/EEB, 75/34/EEB, 75/35/EEB, 90/364/EEB, 90/365/EEB ir 93/96/EEB (OL L 158, 2004, p. 77; 2004 m. specialusis leidimas lietuvių k. 5 sk., 5 t., p. 46]. Be to, kai vertinimai susiję su ES vidaus skrydžiais tarp valstybių narių, kuriems taikomas [2006 m. kovo 15 d.] Europos Parlamento ir Tarybos reglamentas (EB) Nr. 562/2006 [nustatantis taisyklių, reglamentuojančių asmenų judėjimą per sienas, Bendrijos kodeksą (Šengeno sienų kodeksas) (OL L 105, 2006, p. 1)], tokių vertinimų rezultatai turi atitikti tą reglamentą.“

29

PNR direktyvos 7 straipsnyje „Kompetentingos valdžios institucijos“ numatyta:

„1.   Kiekviena valstybė narė patvirtina kompetentingų valdžios institucijų, turinčių teisę prašyti informacijos apie keleivius skyrių pateikti PNR duomenis arba tų duomenų tvarkymo rezultatus arba juos gauti, kad galėtų toliau nagrinėti tą informaciją arba imtis atitinkamų veiksmų teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, sąrašą.

2.   1 dalyje nurodytos valdžios institucijos yra valdžios institucijos, kompetentingos teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn klausimais.

<…>

4.   Informacijos apie keleivius skyriaus gautus PNR duomenis ir tų duomenų tvarkymo rezultatus valstybių narių kompetentingos valdžios institucijos gali toliau tvarkyti tik konkrečiais teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn tikslais.

5.   4 dalimi nedaromas poveikis nacionaliniams teisėsaugos ar teismų įgaliojimams tais atvejais, kai po tokio duomenų tvarkymo pradėjus taikyti vykdymo užtikrinimo priemones nustatomi kiti nusikaltimai arba jų požymiai.

6.   Kompetentingos valdžios institucijos nepriima jokių tik automatizuotu PNR duomenų tvarkymu grindžiamų sprendimų, kurie turi neigiamų teisinių pasekmių asmeniui arba kurie jį labai paveikia. Tokie sprendimai neturi būti priimami asmens rasės ar etninės kilmės, politinių pažiūrų, religijos ar filosofinių įsitikinimų, narystės profesinėse sąjungose, sveikatos būklės, lytinio gyvenimo ar seksualinės orientacijos pagrindu.“

30

Šios direktyvos 8 straipsnio „Oro vežėjų pareigos duomenų perdavimo srityje“ 1–3 dalyse nustatyta:

„1.   Valstybės narės patvirtina būtinas priemones, kad užtikrintų, jog oro vežėjai eksporto metodu perduotų PNR duomenis, išvardytus I priede, į valstybės narės, į kurios teritoriją arba iš kurios teritorijos bus vykdomas skrydis, informacijos apie keleivius skyriaus duomenų bazę tiek, kiek tokius duomenis jie surinko vykdydami savo įprastą veiklą. Tais atvejais, kai vienas ar keli oro vežėjai vykdo bendrojo kodo skrydį, pareiga perduoti visų skrydžio keleivių PNR duomenis tenka skrydį vykdančiam oro vežėjui. Kai ES išorės skrydžio metu vieną ar daugiau kartų nusileidžiama valstybių narių oro uostuose, oro vežėjai perduoda visų keleivių PNR duomenis visų atitinkamų valstybių narių informacijos apie keleivius skyriams. Tai taip pat taikoma, kai ES vidaus skrydžio metu vieną ar daugiau kartų nusileidžiama skirtingų valstybių narių oro uostuose, tačiau tik ES vidaus skrydžių PNR duomenis renkančių valstybių narių atžvilgiu.

2.   Tuo atveju, kai oro vežėjai yra surinkę [API duomenų], išvardytų I priedo 18 punkte, tačiau nesaugo tų duomenų tokiomis pačiomis techninėmis priemonėmis kaip kitų PNR duomenų, valstybės narės patvirtina būtinas priemones, kad užtikrintų, jog oro vežėjai taip pat eksporto metodu perduotų tuos duomenis 1 dalyje nurodytų valstybių narių informacijos apie keleivius skyriams. Tokio perdavimo atveju tiems API duomenims taikomos visos šios direktyvos nuostatos.

3.   Oro vežėjai PNR duomenis perduoda elektroninėmis priemonėmis, naudodami bendrus protokolus ir tinkamus duomenų formatus, kurie turi būti nustatyti pagal 17 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą, arba, jei kiltų techninių kliūčių, bet kokiu kitu tinkamu būdu, užtikrindami tinkamą duomenų saugumo lygį ir laikydamiesi šių sąlygų:

31

Minėtos direktyvos 12 straipsnis „Duomenų saugojimo laikotarpis ir nuasmeninimas“ suformuluotas taip:

„1.   Valstybės narės užtikrina, kad PNR duomenys, kuriuos oro vežėjai pateikė informacijos apie keleivius skyriui, būtų saugomi informacijos apie keleivius skyriaus duomenų bazėje penkerių metų laikotarpį po jų perdavimo valstybės narės, į kurios teritoriją arba iš kurios teritorijos vykdomas skrydis, informacijos apie keleivius skyriui.

2.   Pasibaigus šešių mėnesių laikotarpiui po 1 dalyje nurodyto PNR duomenų perdavimo, visi PNR duomenys nuasmeninami užmaskuojant toliau išvardytus duomenų elementus, pagal kuriuos būtų galima tiesiogiai nustatyti keleivį, su kuriuo PNR duomenys yra susiję:

3.   Pasibaigus 2 dalyje nurodytam šešių mėnesių laikotarpiui visus PNR duomenis leidžiama atskleisti tik tais atvejais, kai:

4.   Valstybės narės užtikrina, kad PNR duomenys būtų visam laikui panaikinami [ištrinami] pasibaigus 1 dalyje nurodytam laikotarpiui. Šia pareiga nedaromas poveikis atvejams, kai konkretūs PNR duomenys yra perduoti kompetentingai valdžios institucijai ir naudojami konkrečiose bylose teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo baudžiamojon atsakomybėn tikslais, – tokiu atveju tokių duomenų saugojimas, kurį vykdo kompetentinga valdžios institucija, reglamentuojamas nacionaline teise.

5.   6 straipsnio 2 dalies a punkte nurodyto tvarkymo rezultatus informacijos apie keleivius skyrius saugo tik tiek laiko, kiek būtina, kad būtų informuotos kompetentingos valdžios institucijos ir pagal 9 straipsnio 1 dalį kitų valstybių narių informacijos apie keleivius skyriai būtų informuoti apie gautą teigiamą rezultatą. Kai automatizuoto tvarkymo rezultatai, juos atskirai peržiūrėjus neautomatizuotu būdu, kaip nurodyta 6 straipsnio 5 dalyje, pasirodo esą neigiami, jie vis tiek gali būti saugomi, kad ateityje būtų išvengta klaidingų teigiamų rezultatų, tol, kol pagrindiniai duomenys nepanaikinami [neištrinami] pagal šio straipsnio 4 dalį.“

32

PNR direktyvos 13 straipsnio „Asmens duomenų apsauga“ 1–5 dalyse nustatyta:

„1.   Kiekviena valstybė narė užtikrina, kad, kiek tai susiję su visu asmens duomenų tvarkymu pagal šią direktyvą, kiekvienas keleivis turėtų tokią pačią teisę į savo asmens duomenų apsaugą, teises su jais susipažinti, juos ištaisyti, ištrinti ir apriboti jų tvarkymą bei teisę gauti kompensaciją ir teisę į teisminį teisių gynimą, kaip nustatyta Sąjungos ir nacionalinėje teisėje, taip pat įgyvendinant [Pamatinio sprendimo 2008/977] 17, 18, 19 ir 20 straipsnius. Todėl tie straipsniai yra taikomi.

2.   Kiekviena valstybė narė užtikrina, kad pagal nacionalinę teisę įgyvendinant [Pamatinio sprendimo 2008/977] 21 ir 22 straipsnius priimtos nuostatos dėl duomenų tvarkymo konfidencialumo ir duomenų saugumo taip pat būtų taikomos visam asmens duomenų tvarkymui pagal šią direktyvą.

3.   Šia direktyva nedaromas poveikis [Direktyvos 95/46] taikymui oro vežėjams tvarkant asmens duomenis, visų pirma jų pareigoms imtis tinkamų techninių ir organizacinių priemonių asmens duomenų saugumui ir konfidencialumui apsaugoti.

4.   Valstybės narės draudžia tvarkyti PNR duomenis, kuriais atskleidžiama asmens rasė ar etninė kilmė, politinės pažiūros, religija ar filosofiniai įsitikinimai, narystė profesinėse sąjungose, sveikata, lytinis gyvenimas ar seksualinė orientacija. Jeigu informacijos apie keleivius skyrius gauna PNR duomenų, kuriais atskleidžiama tokia informacija, jie nedelsiant ištrinami.

5.   Valstybės narės užtikrina, kad informacijos apie keleivius skyrius saugotų su visomis duomenų tvarkymo sistemomis ir procedūromis, už kurias jos yra atsakingos, susijusius dokumentus. Tuose dokumentuose pateikiama bent ši informacija:

Nacionalinės priežiūros institucijos prašymu informacijos apie keleivius skyrius pateikia jai visus turimus dokumentus susipažinti.“

33

Šios direktyvos 15 straipsnyje „Nacionalinė priežiūros institucija“ nustatyta:

„1.   Kiekviena valstybė narė užtikrina, kad nacionalinė priežiūros institucija, nurodyta [Pamatinio sprendimo 2008/977] 25 straipsnyje, būtų atsakinga už konsultavimą dėl valstybių narių pagal šią direktyvą priimtų nuostatų taikymo jų teritorijoje ir šių nuostatų taikymo stebėseną. Taikomas [Pamatinio sprendimo 2008/977] 25 straipsnis.

2.   Tos nacionalinės priežiūros institucijos vykdo savo veiklą pagal 1 dalį siekdamos, kad tvarkant asmens duomenis būtų apsaugotos pagrindinės teisės.

3.   Kiekviena nacionalinė priežiūros institucija:

4.   Kiekviena nacionalinė priežiūros institucija bet kurio duomenų subjekto prašymu jį konsultuoja dėl naudojimosi teisėmis, nustatytomis pagal šią direktyvą priimtose nuostatose.“

34

Šios direktyvos 19 straipsnis „Peržiūra“ suformuluotas taip:

„1.   Remdamasi valstybių narių pateikta informacija, įskaitant 20 straipsnio 2 dalyje nurodytą statistinę informaciją, Komisija ne vėliau kaip 2020 m. gegužės 25 d. atlieka visų šios direktyvos aspektų peržiūrą bei pateikia ir pristato Europos Parlamentui ir [Europos Sąjungos] Tarybai ataskaitą.

2.   Atlikdama peržiūrą, Komisija ypač daug dėmesio skiria:

3.   1 dalyje nurodytoje ataskaitoje taip pat peržiūrima PNR duomenų, susijusių su visais arba pasirinktais ES vidaus skrydžiais, privalomo rinkimo ir perdavimo įtraukimo į šios direktyvos taikymo sritį būtinybė, proporcingumas ir veiksmingumas. Komisija atsižvelgia į valstybių narių, ypač tų valstybių narių, kurios pagal 2 straipsnį taiko šią direktyvą ES vidaus skrydžiams, įgytą patirtį. Ataskaitoje taip pat įvertinama, ar į šios direktyvos taikymo sritį reikia įtraukti ekonominės veiklos vykdytojus, kurie nėra vežėjai, kaip antai kelionių agentūras ir kelionių organizatorius, teikiančius su kelionėmis susijusias paslaugas, įskaitant skrydžių užsakymą.

4.   Prireikus, atsižvelgdama į peržiūrą, vykdytą pagal šį straipsnį, Komisija pateikia Europos Parlamentui ir Tarybai pasiūlymą dėl teisėkūros procedūra priimamo akto siekiant iš dalies pakeisti šią direktyvą.“

35

Tos pačios direktyvos 21 straipsnio „Ryšys su kitais dokumentais“ 2 dalyje nustatyta:

„Šia direktyva nedaromas poveikis [Direktyvos 95/46] taikymui oro vežėjų vykdomam asmens duomenų tvarkymui.“

36

PNR direktyvos I priede „Oro vežėjų renkami keleivio duomenų įrašo duomenys“, be kita ko, nurodyta:

37

Šios direktyvos II priedas „3 straipsnio 9 punkte nurodytų nusikaltimų sąrašas“ suformuluotas taip:

38

Pamatinio sprendimo 2002/475 1 straipsnyje teroristinio nusikaltimo sąvoka buvo apibrėžta išvardijant tam tikrus tyčinius veiksmus, nurodytus to paties straipsnio a–i punktuose, kuriais siekiama „rimtai bauginti gyventojus“ ar „neleistinai priversti vyriausybę ar tarptautinę organizaciją atlikti kokį veiksmą arba susilaikyti nuo veiksmo“ arba „rimtai destabilizuoti ar sunaikinti pagrindinius politinius, konstitucinius, ekonominius ar socialinius šalies darinius ar tarptautinę organizaciją“. Šio pamatinio sprendimo 2 ir 3 straipsniuose buvo atitinkamai apibrėžtos „su teroristine grupe susijusių nusikaltimų“ ir „su teroristine veikla susijusių nusikaltimų“ sąvokos. Minėto pamatinio sprendimo 4 straipsnyje buvo reglamentuojamas bendrininkavimo, kurstymo padaryti nusikalstamas veikas ir kėsinimosi padaryti šias nusikalstamas veikas kriminalizavimas.

39

Pamatinis sprendimas 2002/475 buvo panaikintas 2017 m. kovo 15 d. Europos Parlamento ir Tarybos direktyva (ES) 2017/541 dėl kovos su terorizmu, pakeičiančia Tarybos pamatinį sprendimą 2002/475/TVR ir iš dalies keičiančia Tarybos sprendimą 2005/671 (OL L 88, 2017, p. 6), kurios 3–14 straipsniuose pateiktos panašios apibrėžtys.

40

Konstitucijos 22 straipsnyje nurodyta:

„Kiekvienas turi teisę į tai, kad būtų gerbiamas jo privatus ir šeimos gyvenimas, išskyrus įstatyme numatytus atvejus ir sąlygas.

Įstatymas, dekretas ar 134 straipsnyje nurodyta taisyklė užtikrina šios teisės apsaugą.“

41

2016 m. gruodžio 25 d.loi relative au traitement des données des passagers (Įstatymas dėl keleivių duomenų tvarkymo, Moniteur belge, 2017 m. sausio 25 d., p. 12905; toliau – 2016 m. gruodžio 25 d. įstatymas) 2 straipsnis suformuluotas taip:

„Šiuo įstatymu ir Karaliaus dekretais, kurie bus priimti įgyvendinant šį įstatymą, į nacionalinę teisę perkeliama [API direktyva] ir [PNR direktyva]. Šiuo įstatymu ir Karaliaus dekretu dėl jūrų sektoriaus iš dalies perkeliama [Direktyva 2010/65].“

42

Įstatymo 3 straipsnyje nustatyta:

„1.   Šiuo įstatymu nustatomos vežėjų ir kelionių organizatorių pareigos dėl keleivių, keliaujančių į, iš ir per šalies teritoriją duomenų perdavimo.

2.   Ministrų Taryboje apsvarstytu dekretu Karalius nustato, kokius keleivių duomenis turi teikti atitinkamų transporto sektorių vežėjai ir kelionių organizatoriai, ir šių duomenų teikimo tvarką, kai gaunama Privataus gyvenimo apsaugos komisijos nuomonė.“

43

Šio įstatymo 4 straipsnyje numatyta:

„Šiame įstatyme ir jį įgyvendinančiuose dekretuose vartojamų terminų apibrėžtys:

<…>

<…>“

44

2016 m. gruodžio 25 d. įstatymo 8 straipsnyje nustatyta:

„1.   Keleivių duomenys tvarkomi siekiant šių tikslų:

<…>

2.   Laikantis 11 skyriuje nustatytų sąlygų keleivių duomenys taip pat tvarkomi siekiant pagerinti asmenų, kertančių išorines sienas, kontrolę ir kovoti su neteisėta imigracija.“

45

Šio įstatymo 14 straipsnio 1 dalyje nurodyta:

„Informacijos apie keleivius skyriaus sudėtis:

<…>

2° nariai, deleguoti iš šių kompetentingų tarnybų:

<…>“

46

Minėto įstatymo 24 straipsnis, esantis to paties įstatymo 10 skyriaus, susijusio su duomenų tvarkymu, 1 skirsnyje „Keleivio duomenų tvarkymas, atliekant išankstinį keleivių vertinimą“, suformuluotas taip:

„1.   Keleivių duomenys tvarkomi siekiant atlikti išankstinį keleivių vertinimą prieš numatytą jų atvykimą, išvykimą arba jų tranzitą per šalies teritoriją, kad būtų nustatyta, kuriuos asmenis reikia patikrinti nuodugniau.

2.   1998 m. lapkričio 30 d. Organinio žvalgybos ir saugumo tarnybų įstatymo 8 straipsnio 1 dalies 1, 4 ir 5 punktuose nurodytais tikslais arba dėl 8 straipsnio 1 punkto a, b, c, d, f, g papunkčiuose ir 11 straipsnio 2 dalyje nurodytų grėsmių išankstinis keleivių vertinimas grindžiamas teigiamais rezultatais, gautais palyginus keleivių duomenis su:

3.   8 straipsnio 1 dalies 3 punkte nurodytais tikslais išankstinis keleivių vertinimas grindžiamas teigiamais rezultatais, gautais palyginus keleivių duomenis su duomenimis duomenų bazėse, nurodytose 2 dalies 1 punkte.

4.   Informacijos apie keleivius skyrius patvirtina teigiamą rezultatą per dvidešimt keturias valandas nuo to momento, kai gaunamas automatinis pranešimas apie teigiamą rezultatą.

5.   Nuo šio patvirtinimo momento kompetentinga tarnyba, kuri pateikė šį teigiamą rezultatą, kuo greičiau imasi reikiamų veiksmų.“

47

2016 m. gruodžio 25 d. įstatymo 11 skyriuje „Keleivių duomenų tvarkymas, siekiant pagerinti sienų kontrolę ir kovoti su nelegalia imigracija“ yra 28–31 straipsniai.

48

Šio įstatymo 28 straipsnyje nustatyta:

„1.   Šis skyrius taikomas, kai keleivių duomenis tvarko policijos tarnybos, atsakingos už sienų kontrolę, ir Užsieniečių reikalų tarnyba, siekiant sugriežtinti asmenų, kertančių išorės sienas, kontrolę ir kovą su neteisėta imigracija.

2.   Jis taikomas nepažeidžiant policijos tarnybų, atsakingų už sienų kontrolę, ir Užsieniečių reikalų tarnybos pareigų perduoti asmens duomenis ar informaciją pagal įstatymų ar kitų teisės aktų nuostatas.“

49

Minėto įstatymo 29 straipsnyje nurodyta:

„1.   28 straipsnio 1 dalyje nurodytais tikslais ir laikantis šiame straipsnyje nustatytų ribų, keleivių duomenys perduodami policijos tarnyboms, atsakingoms už sienų kontrolę, ir Užsieniečių reikalų tarnybai, kad jie galėtų vykdyti teisines užduotis.

2.   Perduodami tik 9 straipsnio 1 dalies 18 punkte nurodyti keleivių duomenys, susiję su šiomis keleivių kategorijomis:

3.   2 dalyje nurodyti keleivių duomenys perduodami policijos tarnyboms, atsakingoms už Belgijos išorės sienų kontrolę, nedelsiant juos įrašius į keleivių duomenų bazę. Šios tarnybos tokius duomenis saugo laikinoje byloje ir juos sunaikina praėjus dvidešimt keturioms valandoms nuo jų perdavimo.

4.   Kai to reikia vykdant teisines užduotis, 2 dalyje nurodyti keleivių duomenys perduodami Užsieniečių reikalų tarnybai iš karto po to, kai jie buvo įregistruoti keleivių duomenų bazėje. Ji šiuos duomenis saugo laikinoje byloje ir juos sunaikina praėjus dvidešimt keturioms valandoms nuo jų perdavimo.

Jei pasibaigus šiam terminui prieiga prie 2 dalyje nurodytų keleivių duomenų yra būtina vykdant teisines užduotis, Užsieniečių reikalų tarnyba pateikia informacijos apie keleivius skyriui tinkamai pagrįstą prašymą.

<…>“

50

2016 m. gruodžio 25 d. įstatymas oro transporto bendrovėms, vežėjams, teikiantiems tarptautinio keleivių vežimo paslaugas (HST vežėjai), ir kelionių tarpininkams, sudariusiems sutartis su šiais vežėjais (HST bilietų platintojai), taip pat vežėjams autobusais pradėtas taikyti atitinkamai: 2017 m. liepos 18 d.arrêté royal relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les compagnies aériennes (Karaliaus dekretas dėl 2016 m. gruodžio 25 d. įstatymo vykdymo, kuriuo nustatytos oro transporto bendrovių pareigos; Moniteur belge, 2017 m. liepos 28 d., p. 75934); 2019 m. vasario 3 d.arrêté royal relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs HST et distributeurs de tickets HST (Karaliaus dekretas dėl 2016 m. gruodžio 25 d. įstatymo vykdymo, kuriuo nustatytos HST vežėjų ir HST bilietų platintojų pareigos, Moniteur belge, 2019 m. vasario 12 d., p. 13018); ir 2019 m. vasario 3 d.arrêté royal relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs par bus (Karaliaus dekretas dėl 2016 m. gruodžio 25 d. įstatymo vykdymo, kuriuo nustatytos vežėjų autobusais pareigos, Moniteur belge, 2019 m. vasario 12 d., p. 13023).

51

2017 m. liepos 24 d. skundu Ligue des droits humaines kreipėsi į Cour constitutionnelle (Konstitucinis Teismas, Belgija) dėl visiško ar dalinio 2016 m. gruodžio 25 d. įstatymo panaikinimo.

52

Prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad šiuo įstatymu į nacionalinę teisę perkeliamos PNR direktyva, API direktyva ir iš dalies Direktyva 2010/65. Iš minėto įstatymo parengiamųjų dokumentų matyti, kad juo siekiama „sukurti teisinę sistemą, pagal kurią įvairūs tarptautinio keleivinio transporto sektoriai (oro, geležinkelių, tarptautinių kelių ir jūrų transporto) ir kelionių operatoriai būtų įpareigoti perduoti savo keleivių duomenis į duomenų bazę, kurią tvarkytų [Service public fédéral intérieur (Federalinė viešoji vidaus reikalų tarnyba (Belgija)]“. Nacionalinės teisės aktų leidėjas taip pat patikslino, kad gali būti išskiriamos trys 2016 m. gruodžio 25 d. įstatymo tikslų grupės: pirma, nusikalstamų veikų prevencija, nustatymas, tyrimas ir patraukimas baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymas, antra, žvalgybos ir saugumo tarnybų uždaviniai ir, trečia, išorės sienų kontrolės gerinimas ir kova su neteisėta imigracija.

53

Grįsdama savo ieškinį Ligue des droits humains nurodo du pagrindus, grindžiamus, pirma, Konstitucijos 22 straipsnio, siejamo su BDAR 23 straipsniu, Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi ir EŽTK 8 straipsniu, pažeidimu, ir, antra, subsidiariai nurodytu šio 22 straipsnio, siejamo su ESS 3 straipsnio 2 dalimi ir Chartijos 45 straipsniu, pažeidimu.

54

Nurodydama pirmąjį pagrindą Ligue des droits humains iš esmės teigia, kad šiuo įstatymu nustatomas teisės į privataus gyvenimo gerbimą ir į asmens duomenų apsaugą suvaržymas, o tai nesuderinama su Chartijos 52 straipsnio 1 dalimi ir, be kita ko, su proporcingumo principu. Iš tiesų minėto įstatymo taikymo sritis ir renkamų duomenų, galinčių atskleisti neskelbtiną informaciją, apibrėžtis yra per plati. Be to, sąvoka „keleivis“, kaip ji suprantama pagal tą patį įstatymą, leidžia sistemingai, netikslingai bei automatizuotai tvarkyti visų keleivių duomenis. Taip pat nėra pakankamai aiškiai nustatyti „pre-screening“ metodo pobūdis ir tvarka bei duomenų bazės, su kuriose esančiais duomenimis lyginami tokie duomenys, juos perdavus. Be to, 2016 m. gruodžio 25 d. įstatymu siekiama kitų tikslų nei PNR direktyva. Galiausiai šiame įstatyme numatytas penkerių metų minėtų duomenų saugojimo laikotarpis yra neproporcingas.

55

Nurodydama antrąjį pagrindą, susijusį su 2016 m. gruodžio 25 d. įstatymo 3 straipsnio 1 dalimi, 8 straipsnio 2 dalimi ir 28–31 straipsniais, Ligue des droits humains teigia, kad, išplečiant PNR direktyvoje numatytą sistemą ES vidaus transportui, šiomis nuostatomis netiesiogiai atkuriama vidaus sienų kontrolė, prieštaraujanti asmenų judėjimo laisvei. Kai asmuo atvyksta į Belgijos teritoriją, išvyksta iš jos ar tik sustoja joje, jo duomenys automatiškai renkami.

56

Ministrų Taryba ginčija šiuos argumentus. Visų pirma ji teigia, kad pirmasis pagrindas nepriimtinas, kiek jis susijęs su BDAR, nes šis netaikytinas 2016 m. gruodžio 25 d. įstatymui. Be to, remiantis PNR direktyva, šiame įstatyme numatytas duomenų tvarkymas yra esminė priemonė, be kita ko, kovojant su terorizmu ir dideliu nusikalstamumu, o iš šio įstatymo išplaukiančios priemonės yra būtinos siekiamiems tikslams ir proporcingos.

57

Dėl pirmojo pagrindo prašymą priimti prejudicinį sprendimą pateikęs teismas visų pirma kelia klausimą dėl BDAR numatytos apsaugos taikymo duomenų tvarkymui, nustatytam 2016 m. gruodžio 25 d. įstatyme, kuriuo iš esmės siekiama įgyvendinti PNR direktyvą. Be to, tas teismas, remdamasis 2017 m. liepos 26 d. Nuomonėje 1/15(ES ir Kanados PNR susitarimas) (EU:C:2017:592) suformuota jurisprudencija, pažymi, kad PNR duomenų apibrėžtis, pateikta šios direktyvos 3 straipsnio 5 punkte ir I priede, gali būti, pirma, nepakankamai aiški ir tiksli dėl šiose nuostatose pateikto kai kurių šių duomenų aprašymo nebaigtinio pobūdžio ir, antra, gali netiesiogiai lemti neskelbtinų duomenų atskleidimą. Be to, minėtos direktyvos 3 straipsnio 4 punkte pateiktos sąvokos „keleivis“ apibrėžtis gali lemti tai, kad PNR duomenų rinkimas, perdavimas, tvarkymas ir saugojimas yra bendri ir nediferencijuoti įpareigojimai, taikomi bet kuriam asmeniui, kuris yra vežamas, turi būti vežamas ar yra įtrauktas į keleivių sąrašą, neatsižvelgiant į tai, ar yra svarbių priežasčių manyti, kad šis asmuo įvykdė ar ruošiasi įvykdyti nusikalstamas veikas ar buvo pripažintas kaltu.

58

Minėtas teismas taip pat pažymi, kad PNR duomenys, remiantis PNR direktyvos nuostatomis, yra sistemingai iš anksto vertinami, juos lyginant su duomenimis kitose duomenų bazėse ar iš anksto nustatytais kriterijais, siekiant nustatyti atitiktis. Tačiau Europos Tarybos konvencijos Nr. 108 patariamasis komitetas savo 2016 m. rugpjūčio 19 d. Nuomonėje dėl keleivių duomenų tvarkymo poveikio duomenų apsaugai (T-PD(2016)18rev) nurodė, kad asmens duomenų tvarkymas susijęs su visais keleiviais, o ne tik su tiksliai nustatytais asmenimis, įtariamais dalyvavus nusikalstamoje veikoje arba keliančiais tiesioginę grėsmę nacionaliniam saugumui ar viešajai tvarkai, ir kad PNR duomenys gali būti ne tik lyginami (anglų k. data matching) su duomenų bazėmis, bet ir apdorojami tyrinėjimo būdu (anglų k. data mining), naudojant atrankos arba prognozavimo algoritmus, siekiant nustatyti asmenis, kurie gali būti susiję su nusikalstama veikla arba dalyvauti joje, nes toks keleivių vertinimas lyginant duomenis gali kelti klausimų dėl nuspėjamumo, ypač kai jis atliekamas remiantis prognozavimo algoritmais, naudojančiais dinamiškus kriterijus, kurie gali nuolat kisti dėl jų savaiminio mokymosi galimybių. Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad, remiantis 2017 m. liepos 26 d. Nuomone 1/15(ES ir Kanados PNR susitarimas) (EU:C:2017:592), nors iš anksto nustatyti kriterijai, kuriais remiantis nustatomi rizikos profiliai, turi būti konkretūs, patikimi ir nediskriminuojantys, atrodo, techniškai neįmanoma dar labiau jų apibrėžti.

59

Dėl penkerių metų saugojimo laikotarpio ir PNR direktyvos 12 straipsnyje nustatytos prieigos prie duomenų tas teismas pažymi, kad Commission de la protection de la vie privée (Privataus gyvenimo apsaugos komisija, Belgija) 2010 m. sausio 13 d. Nuomonėje Nr. 01/2010 dėl įstatymo, kuriuo patvirtinamas ES ir Jungtinių Amerikos Valstijų PNR susitarimas, projekto nurodė, kad tais atvejais, kai saugojimo laikotarpis yra ilgas ir kai duomenys saugomi masiškai, padidėja tiek duomenų subjektų profiliavimo pavojus, tiek pavojus, kad duomenys bus naudojami kitais, nei iš pradžių numatytais, tikslais. Be to, iš 2016 m. rugpjūčio 19 d. Europos Tarybos konvencijos Nr. 108 patariamojo komiteto nuomonės matyti, kad užmaskuoti duomenys leidžia nustatyti asmenų tapatybę, todėl yra asmens duomenys, o jų saugojimas turi būti apribotas laiko atžvilgiu, kad būtų užkirstas kelias bendram ir nuolatiniam stebėjimui.

60

Šiomis aplinkybėmis, atsižvelgiant į jurisprudenciją, suformuotą 2017 m. liepos 26 d. Nuomonėje 1/15(ES ir Kanados PNR susitarimas) (EU:C:2017:592), prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar pagal PNR direktyvą nustatyta PNR duomenų rinkimo, perdavimo, tvarkymo ir saugojimo sistema gali būti laikoma neviršijančia to, kas griežtai būtina. Tas teismas teigia, kad taip pat reikia nustatyti, ar pagal šią direktyvą draudžiami nacionalinės teisės aktai, kuriais leidžiama tvarkyti PNR duomenis kitu tikslu, nei numatytieji minėtoje direktyvoje, ir ar visų šių duomenų atskleidimą po jų perdavimo pagal tos pačios direktyvos 12 straipsnį galėtų patvirtinti tokia nacionalinė institucija, kaip informacijos apie keleivius skyrius, įsteigtas 2016 m. gruodžio 25 d. įstatymu.

61

Dėl antrojo pagrindo prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad šio įstatymo 3 straipsnio 1 dalyje nustatytos vežėjų ir kelionių organizatorių pareigos, susijusios su keleivių, „keliaujančių į, iš ir per šalies teritoriją“, duomenų perdavimu. Dėl minėto įstatymo taikymo srities tas teismas priduria, kad nacionalinės teisės aktų leidėjas nusprendė „įtraukti į duomenų rinkimą ES vidaus transportą“, kad gautų „išsamesnį vaizdą apie keleivių, kurie kelia potencialią grėsmę bendrijos vidaus ir nacionaliniam saugumui, judėjimą“, o tai dėl ES vidaus skrydžių numatyta PNR direktyvos 2 straipsnyje, siejamame su jos 10 konstatuojamąja dalimi. Minėtas teismas pažymi, kad Privataus gyvenimo apsaugos komisija savo 2015 m. gruodžio 16 d. Nuomonėje Nr. 55/2015 dėl įstatymo, kurio pagrindu buvo priimtas 2016 m. gruodžio 25 d. įstatymas, projekto suabejojo dėl galimo Belgijos PNR sistemos prieštaravimo laisvo asmenų judėjimo principui tiek, kiek ši sistema apima Sąjungos vidaus transportą.

62

Tokiomis aplinkybėmis Cour constitutionnelle (Konstitucinis Teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:

63

Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 2 straipsnio 2 dalies d punktas ir 23 straipsnis turi būti aiškinami taip, kad šis reglamentas taikomas asmens duomenų tvarkymui, numatytam nacionalinės teisės aktuose, kuriais į vidaus teisę perkeliamos API direktyvos, PNR direktyvos ir Direktyvos 2010/65 nuostatos, visų pirma PNR duomenų perdavimui, saugojimui ir tvarkymui.

64

Kaip matyti iš BDAR 2 straipsnio 1 dalies, šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti jai sudaryti, tvarkymui ne automatizuotomis priemonėmis. Minėto reglamento 4 straipsnio 2 punkte sąvoka „duomenų tvarkymas“ plačiai apibrėžta kaip apimanti, be kita ko, tokių duomenų ar duomenų rinkinių rinkimą, įrašymą, saugojimą, susipažinimą su jais, naudojimą, atskleidimą persiunčiant, platinant ar kitaip sudarant galimybę jais naudotis, taip pat sugretinimą su kitais duomenimis ar ištrynimą.

65

Vis dėlto Belgijos vyriausybė tvirtina, kad tai, jog ūkio subjektų atliekamas PNR duomenų perdavimas informacijos apie keleivius skyriams, siekiant nustatyti nusikalstamas veikas ir užkirsti joms kelią, kaip numatyta PNR direktyvos 1 straipsnio 1 dalies a punkte, 1 straipsnio 2 dalyje, taip pat 8 straipsnyje, o tai yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, kaip ir išankstinis jų rinkimas, pagal minėto reglamento 1 straipsnio 2 dalį nepatenka į BDAR taikymo sritį, nes jurisprudencija dėl Direktyvos 95/46 3 straipsnio 2 dalies pirmos įtraukos, suformuota 2006 m. gegužės 30 d. Sprendime Parlamentas / Taryba ir Komisija, C‑317/04 ir C‑318/04, EU:C:2006:346, 57–59 punktai), yra taikytina BDAR 4 straipsnio 2 punktui.

66

Šiuo klausimu pažymėtina, kad, kaip jau yra konstatavęs Teisingumo Teismas, pagal Direktyvos 95/46, kuri nuo 2018 m. gegužės 25 d. buvo panaikinta ir pakeista BDAR, 3 straipsnio 2 dalies pirmą įtrauką į jos taikymo sritį apskritai nepateko „tvarkymo operacijos, susijusios su visuomenės saugumu, gynyba, valstybės saugumu“, neatsižvelgiant į tai, kas tvarko atitinkamus duomenis. Taigi privačių ūkio subjektų atliekamam duomenų tvarkymui, susijusiam su viešosios valdžios institucijų nustatytais įpareigojimais, prireikus gali būti taikoma šioje nuostatoje numatyta išimtis, atsižvelgiant į tai, kad jos formuluotė apima visas tvarkymo operacijas, nepriklausomai nuo autoriaus, kurių tikslas – visuomenės saugumas, gynyba arba valstybės saugumas (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 101 punktą).

67

Vis dėlto BDAR 2 straipsnio 2 dalies d punkte daromas toks skirtumas, nes, kaip savo išvados 41 ir 46 punktuose pažymėjo generalinis advokatas, iš šios nuostatos formuluotės aiškiai matyti, kad reikalaujama dviejų sąlygų, kad duomenų tvarkymui būtų taikoma jame numatyta išimtis. Pirmoji iš šių sąlygų susijusi su duomenų tvarkymo tikslais, t. y. nusikalstamų veikų prevencija, tyrimu, nustatymu ar patraukimu baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymu, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, o antroji sąlyga susijusi su tokį duomenų tvarkymą atliekančiu asmeniu, t. y. „kompetentinga valdžios institucija“, kaip tai suprantama pagal minėtą nuostatą.

68

Kaip konstatavo Teisingumo Teismas, iš BDAR 23 straipsnio 1 dalies d ir h punktų matyti, kad asmens duomenų tvarkymas, kurį atlieka privatūs asmenys šio reglamento 2 straipsnio 2 dalies d punkte nurodytais tikslais, patenka į šio reglamento taikymo sritį (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 102 punktą).

69

Darytina išvada, kad Belgijos vyriausybės nurodyta jurisprudencija, suformuota 2006 m. gegužės 30 d. Sprendime Parlamentas / Taryba ir Komisija (C‑317/04 ir C‑318/04, EU:C:2006:346), negali būti taikoma BDAR 2 straipsnio 2 dalies d punkte numatytai šio reglamento taikymo srities išimčiai.

70

Be to, ši išimtis, kaip ir kitos BDAR taikymo srities išimtys, numatytos šio reglamento 2 straipsnio 2 dalyje, turi būti aiškinama siaurai.

71

Kaip matyti iš minėto reglamento 19 konstatuojamosios dalies, ta išimtis grindžiama aplinkybe, kad kompetentingų valdžios institucijų atliekamą asmens duomenų tvarkymą, be kita ko, nusikalstamų veikų prevencijos, nustatymo, įskaitant apsaugą nuo grėsmės visuomenės saugumui ir tokios grėsmės prevenciją, tikslais, reglamentuoja konkretesnis Sąjungos teisės aktas, t. y. Direktyva 2016/680, kuri buvo priimta tą pačią dieną kaip BDAR (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 69 punktas).

72

Be to, kaip patikslinta Direktyvos 2016/680 9–11 konstatuojamosiose dalyse, šioje direktyvoje nustatytos konkrečios taisyklės, susijusios su fizinių asmenų apsauga tvarkant šiuos duomenis, laikantis specifinio šios veiklos, priklausančios teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sritims, pobūdžio, o BDAR apibrėžtos bendros taisyklės, susijusios su šių asmenų apsauga, kurios turi būti taikomos duomenų tvarkymui, kai netaikomas konkretesnis aktas, kaip antai Direktyva 2016/680. Konkrečiai šios direktyvos 11 konstatuojamojoje dalyje nurodyta, kad BDAR taikomas asmens duomenų tvarkymui, kurį atlieka „kompetentinga institucija“, kaip ji suprantama pagal minėtos direktyvos 3 straipsnio 7 punktą, tačiau atliekamam kitais tikslais nei joje numatytieji (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 70 punktą).

73

Dėl šio sprendimo 67 punkte nurodytos pirmosios sąlygos, o konkrečiau dėl tikslų, kurių siekiama tvarkant asmens duomenis, kaip numatyta PNR direktyvoje, reikia priminti, kad pagal šios direktyvos 1 straipsnio 2 dalį PNR duomenys gali būti tvarkomi tik teroristinių ir sunkių nusikaltimų prevencijos, atskleidimo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais. Šie tikslai atitinka BDAR 2 straipsnio 2 dalies d punkte ir Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytus tikslus, todėl tokiam tvarkymui gali būti taikoma šio reglamento 2 straipsnio 2 dalies d punkte numatyta išimtis, taigi jis gali patekti į šios direktyvos taikymo sritį.

74

Vis dėlto taip nėra API direktyvoje ir Direktyvoje 2010/65 numatyto duomenų tvarkymo, kurio tikslai skiriasi nuo numatytų BDAR 2 straipsnio 2 dalies d punkte ir Direktyvos 2016/680 1 straipsnio 1 dalyje, atveju.

75

Iš tiesų, kaip matyti iš API direktyvos 1, 7 ir 9 konstatuojamųjų dalių bei 1 straipsnio, ja siekiama pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, vežėjams iš anksto perduodant keleivių duomenis kompetentingoms nacionalinėms institucijoms. Be to, keliose šios direktyvos konstatuojamosiose dalyse ir nuostatose aiškiai nurodyta, kad duomenų tvarkymo operacijos, kurias planuojama atlikti įgyvendinant šią direktyvą, patenka į BDAR taikymo sritį. Minėtos direktyvos 12 konstatuojamojoje dalyje nurodyta, kad „[Direktyva 95/46] taikoma asmens duomenų tvarkymui, kurį atlieka valstybių narių institucijos“. Be to, API direktyvos 6 straipsnio 1 dalies penktoje pastraipoje nurodyta, kad valstybės narės taip pat gali „pagal [Direktyvos 95/46] duomenų apsaugos nuostatas“ (ši sąvoka vartojama ir minėtos nuostatos trečioje pastraipoje) naudoti API duomenis teisėsaugos tarnybų poreikiams tenkinti. Be to, API direktyvos 9 konstatuojamojoje dalyje vartojama formuluotė „nepažeidžiant [Direktyvos 95/46] nuostatų“. Galiausiai API direktyvos 6 straipsnio 2 dalyje numatyta, kad vežėjai turi informuoti keleivius „pagal [Direktyvos 95/46] nuostatas“.

76

Iš Direktyvos 2010/65 2 konstatuojamosios dalies ir 1 straipsnio 1 dalies matyti, kad ja siekiama supaprastinti ir suderinti administracines procedūras, taikomas jūrų transportui, nustatant, kad informacijos perdavimas elektroninėmis priemonėmis taptų standartine procedūra, ir racionalizuojant pranešimo formalumus, kad būtų palengvinta jūrų transporto veikla ir sumažinta laivybos bendrovėms tenkanti administracinė našta. Minėtos direktyvos 8 straipsnio 2 dalyje patvirtinama, kad duomenų tvarkymas, numatytas jai įgyvendinti, patenka į BDAR taikymo sritį, nes pagal šią nuostatą valstybės narės iš tiesų įpareigojamos užtikrinti, kad, kiek tai susiję su asmens duomenimis, būtų laikomasi Direktyvos 95/46.

77

Darytina išvada, kad duomenų tvarkymas, numatytas nacionalinės teisės aktuose, kuriais į vidaus teisę perkeliamos API direktyvos ir Direktyvos 2010/65 nuostatos, patenka į BDAR taikymo sritį. Tačiau nacionalinės teisės aktuose, kuriais į vidaus teisę perkeliama PNR direktyva, numatytam duomenų tvarkymui, remiantis BDAR 2 straipsnio 2 dalies d punkte numatyta išimtimi, gali būti netaikoma ši direktyva, jeigu laikomasi šio sprendimo 67 punkte primintos antrosios sąlygos, t. y. kad duomenų valdytojas yra kompetentinga valdžios institucija, kaip tai suprantama pagal minėtą BDAR nuostatą.

78

Dėl šios antrosios sąlygos Teisingumo Teismas nusprendė: kadangi Direktyvos 2016/680 3 straipsnio 7 dalyje apibrėžta sąvoka „kompetentinga institucija“, tokia apibrėžtis pagal analogiją turi būti taikoma BDAR 2 straipsnio 2 dalies d punktui (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 69 punktą).

79

Pagal PNR direktyvos 4 ir 7 straipsnius kiekviena valstybė narė turi, kaip savo informacijos apie keleivius skyrių, paskirti instituciją, kompetentingą teroristinių ir sunkių nusikaltimų prevencijos, atskleidimo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn srityje, ir sudaryti kompetentingų institucijų, turinčių teisę prašyti informacijos apie keleivius skyrių pateikti PNR duomenis arba tų duomenų tvarkymo rezultatus ar juos gauti, sąrašą, o tokios institucijos taip pat yra kompetentingos šioje srityje, kaip nurodyta šios direktyvos 7 straipsnio 2 dalyje.

80

Iš to matyti, kad informacijos apie keleivius skyrių ir minėtų kompetentingų institucijų atliekamas PNR duomenų tvarkymas šiais tikslais atitinka abi šio sprendimo 67 punkte nurodytas sąlygas, todėl šiam tvarkymui taikomos ne tik pačios PNR direktyvos, bet ir Direktyvos 2016/680 nuostatos, o ne BDAR, ir tai, beje, patvirtinta PNR direktyvos 27 konstatuojamojoje dalyje.

81

Vis dėlto, kadangi ūkio subjektai, kaip antai oro vežėjai, nors ir turi teisinę pareigą perduoti PNR duomenis, nėra nei atsakingi už viešosios valdžios funkcijų vykdymą, nei jiems pagal šią direktyvą yra suteiktos viešosios valdžios prerogatyvos, tokie subjektai negali būti laikomi kompetentingomis institucijomis, kaip tai suprantama pagal Direktyvos 2016/680 3 straipsnio 7 dalį ir BDAR 2 straipsnio 2 dalies d punktą, todėl oro vežėjų atliekamam tokių duomenų rinkimui ir perdavimui informacijos apie keleivius skyriams taikomas šis reglamentas. Ta pati išvada darytina esant tokiai situacijai, kaip numatyta 2016 m. gruodžio 25 d. įstatyme, kai šiuos duomenis renka ir perduoda kiti vežėjai ar kelionių organizatoriai.

82

Galiausiai prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas dėl galimo tokio nacionalinės teisės akto, koks yra 2016 m. gruodžio 25 d. įstatymas, kuriuo į nacionalinę teisę perkeliamos PNR direktyvos, API direktyvos ir Direktyvos 2010/65 nuostatos, priėmimo pasekmių. Šiuo klausimu reikia priminti, kad, kaip matyti iš šio sprendimo 72 ir 75–77 punktų, API direktyvoje ir Direktyvoje 2010/65 numatytas duomenų tvarkymas patenka į BDAR, kuriame įtvirtintos bendrosios taisyklės, susijusios su fizinių asmenų apsauga tvarkant asmens duomenis, taikymo sritį.

83

Taigi tais atvejais, kai remiantis šiais teisės aktais atliekamas duomenų tvarkymas patenka į API direktyvos ir (arba) Direktyvos 2010/65 taikymo sritį, tokiam tvarkymui taikomas BDAR. Tas pats pasakytina ir apie duomenų tvarkymą tuo pačiu pagrindu ir kuriam taikoma, atsižvelgiant į jo tikslą, ne tik PNR direktyva, bet ir API direktyva ir (arba) Direktyva 2010/65. Galiausiai, kai duomenų tvarkymui, grindžiamam tais pačiais teisės aktais, dėl jo tikslo taikoma tik PNR direktyva, BDAR taikomas, jei toks tvarkymas susijęs su oro vežėjų vykdomu PNR duomenų rinkimu ir jų perdavimu informacijos apie keleivius skyriams. Vis dėlto kai tokį tvarkymą atlieka informacijos apie keleivius skyrius arba kompetentingos institucijos, siekdamos PNR direktyvos 1 straipsnio 2 dalyje nurodytų tikslų, šiam tvarkymui taikoma ne tik nacionalinė teisė, bet ir Direktyva 2016/680.

84

Atsižvelgiant į tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti: BDAR 2 straipsnio 2 dalies d punktas ir 23 straipsnis turi būti aiškinami taip, kad šis reglamentas taikomas nacionalinės teisės aktuose, kuriais į nacionalinę teisę siekiama perkelti API direktyvos, Direktyvos 2010/65 ir PNR direktyvos nuostatas, numatytam asmens duomenų tvarkymui, kai, pirma, duomenis tvarko privatūs operatoriai, ir, antra, kai duomenis tvarko valdžios institucijos, kurioms taikoma API direktyva ir Direktyva 2010/65 arba tik viena iš jų. Vis dėlto minėtas reglamentas netaikomas tokiuose teisės aktuose numatytam duomenų tvarkymui, kuriam taikoma tik PNR direktyva, ir kai tokį tvarkymą šios direktyvos 1 straipsnio 2 dalyje nurodytais tikslais atlieka informacijos apie keleivius skyriai arba kompetentingos institucijos.

85

Antruoju–ketvirtuoju ir šeštuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės klausia Teisingumo Teismo dėl PNR direktyvos galiojimo, atsižvelgiant į Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį. Šie klausimai, be kita ko, susiję su:

86

Visų pirma reikia priminti, kad pagal bendrąjį aiškinimo principą Sąjungos teisės aktas turi būti aiškinamas kiek įmanoma taip, kad nebūtų paneigtas jo galiojimas, ir laikantis visos pirminės teisės, be kita ko, Chartijos, nuostatų. Taigi, kai teisės aktą galima aiškinti įvairiai, pirmenybę reikia teikti pirminę teisę atitinkančiam aiškinimui, o ne tokiam, dėl kurio reikėtų konstatuoti nesuderinamumą su ja (2021 m. vasario 2 d. Sprendimo Consob, C‑481/19, EU:C:2021:84, 50 punktas ir jame nurodyta jurisprudencija).

87

Be to, remiantis suformuota jurisprudencija, kai pagal direktyvos nuostatas valstybėms narėms paliekama diskrecija nustatyti perkėlimo priemones, kurios galėtų būti taikomos skirtingoms numanomoms situacijoms, valstybės narės, įgyvendindamos šias priemones, ne tik privalo savo nacionalinę teisę aiškinti taip, kad ji atitiktų konkrečią direktyvą, bet ir nesivadovauti tokiu jos aiškinimu, kuris pažeistų Sąjungos teisės sistemos saugomas pagrindines teises arba kitus bendruosius Sąjungos teisės sistemoje pripažintus principus (šiuo klausimu žr. 2016 m. vasario 15 d. Sprendimo N., C‑601/15 PPU, EU:C:2016:84, 60 punktą ir jame nurodytą jurisprudenciją; taip pat 2020 m. liepos 16 d. Sprendimo État belge (Šeimos susijungimas – Nepilnametis vaikas), C‑133/19, C‑136/19 ir C‑137/19, EU:C:2020:577, 33 punktą ir jame nurodytą jurisprudenciją).

88

Reikia pažymėti, kad, be kita ko, PNR direktyvos 15, 20, 22, 25, 36 ir 37 konstatuojamosiose dalyse akcentuojama svarba, kurią Sąjungos teisės aktų leidėjas, nurodydamas aukštą duomenų apsaugos lygį, teikia visapusiškai pagarbai pagrindinėms teisėms, įtvirtintoms Chartijos 7, 8 ir 21 straipsniuose, taip pat proporcingumo principui, todėl, kaip nurodyta šios direktyvos 36 konstatuojamojoje dalyje, šią direktyvą „reikėtų atitinkamai įgyvendinti“.

89

Konkrečiai kalbant, PNR direktyvos 22 konstatuojamojoje dalyje pabrėžiama, kad „visapusiškai atsižvelgiant į [Teisingumo Teismo] pastar[uoju] met[u] atitinkamoje teismo praktikoje suformuotus principus, taikant šią direktyvą turėtų būti užtikrinta visapusiška pagarba pagrindinėms teisėms, teisei į privatų gyvenimą ir proporcingumo principo laikymasis“ ir „taip pat turėtų būti tvirtai laikomasi būtinumo ir proporcingumo tikslų siekiant užtikrinti Sąjungos pripažintus bendrus interesus ir atsižvelgiama į būtinybę garantuoti, kad kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais būtų apsaugotos kitų asmenų teisės ir laisvės“. Šioje konstatuojamojoje dalyje priduriama, kad toks direktyvos taikymas „turėtų būti tinkamai pagrindžiamas ir turėtų būti numatytos reikiamos apsaugos priemonės, kad būtų galima užtikrinti PNR duomenų saugojimo, analizės, perdavimo arba naudojimo teisėtumą“.

90

Be to, pagal PNR direktyvos 19 straipsnio 2 dalį Komisija, atlikdama šios direktyvos peržiūrą, įpareigojama skirti ypatingą dėmesį „taikomų asmens duomenų apsaugos standartų laikymuisi“, „PNR duomenų rinkimo ir tvarkymo kiekvienu iš šioje direktyvoje nustatytų tikslų būtinybei ir proporcingumui“ ir „duomenų saugojimo trukmei“.

91

Taigi reikia patikrinti, ar PNR direktyva, kaip, be kita ko, reikalaujama jos konstatuojamosiose dalyse ir nuostatose, nurodytose šio sprendimo 88–90 punktuose, gali būti aiškinama taip, kad būtų užtikrinta visiška pagarba Chartijos 7 ir 8 straipsniuose įtvirtintoms pagrindinėms teisėms ir Chartijos 52 straipsnio 1 dalyje įtvirtintam proporcingumo principui.

92

Pagal Chartijos 7 straipsnį kiekvienam asmeniui užtikrinama teisė į tai, kad būtų gerbiamas jo privatus ir šeimos gyvenimas, būsto neliečiamybė ir komunikacijos slaptumas, o Chartijos 8 straipsnio 1 dalyje kiekvienam asmeniui aiškiai suteikiama teisė į savo asmens duomenų apsaugą.

93

Kaip matyti iš PNR direktyvos 3 straipsnio 5 punkto ir jos I priede esančio sąrašo, šioje direktyvoje nurodyti PNR duomenys, be kita ko, apima ne tik oro transporto keleivio (‑ių) vardą (‑us) ir pavardę(‑es), bet ir rezervuojant būtiną informaciją, kaip antai planuojamas kelionės datas, kelionės maršrutą, su bilietais susijusią informaciją, asmenų grupes, įregistruotas naudojantis tuo pačiu rezervavimo numeriu, keleivio (‑ių) kontaktinę informaciją, informaciją apie mokėjimo priemones arba sąskaitų išrašymą, informaciją apie bagažą ir bendras pastabas apie keleivius.

94

Kadangi PNR duomenys apima informaciją apie fizinius asmenis, kurių tapatybė nustatyta, t. y. atitinkamus oro transporto keleivius, įvairios šių duomenų tvarkymo operacijos daro poveikį Chartijos 7 straipsnyje įtvirtintai pagrindinei teisei į privataus gyvenimo gerbimą (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15(ES ir Kanados PNR susitarimas), EU:C:2017:592, 121 ir 122 punktus ir juose nurodytą jurisprudenciją).

95

Be to, tokių PNR duomenų, kokie numatyti PNR direktyvoje, tvarkymui taikomas ir Chartijos 8 straipsnis, nes tai yra asmens duomenų tvarkymas, kaip tai suprantama pagal šį straipsnį, taigi jis būtinai turi atitikti šiame straipsnyje numatytus duomenų apsaugos reikalavimus (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15(ES ir Kanados PNR susitarimas), EU:C:2017:592, 123 punktą ir jame nurodytą jurisprudenciją).

96

Pagal suformuotą jurisprudenciją asmens duomenų perdavimas trečiajam asmeniui, kaip antai valdžios institucijai, yra Chartijos 7 ir 8 straipsnyje įtvirtintų pagrindinių teisių suvaržymas, nesvarbu, kaip perduota informacija bus naudojama vėliau. Tas pats taikytina asmens duomenų saugojimui ir prieigai prie jų, kai juos siekia panaudoti valdžios institucijos. Šiuo klausimu pažymėtina, kad nelabai svarbu, ar atitinkama su privačiu gyvenimu susijusi informacija yra neskelbtina ir ar dėl šio suvaržymo suinteresuotieji asmenys galbūt patyrė nepatogumų (2017 m. liepos 26 d. Nuomonės 1/15(ES ir Kanados PNR susitarimas), EU:C:2017:592, 124 ir 126 punktai ir juose nurodyta jurisprudencija).

97

Taigi tiek oro vežėjų atliekamas PNR duomenų perdavimas atitinkamos valstybės narės informacijos apie keleivius skyriams, kaip numatyta PNR direktyvos 1 straipsnio 1 dalies a punkte, siejamame su jos 8 straipsniu, tiek šių duomenų saugojimo, jų naudojimo ir bet kokio vėlesnio perdavimo tos valstybės narės kompetentingoms institucijoms, kitų valstybių narių informacijos apie keleivius skyriams ir kompetentingoms institucijoms, Europolui arba trečiųjų šalių institucijoms (tai leidžiama, inter alia, pagal šios direktyvos 6, 7, 9 ir 10–12 straipsnius) sąlygų nustatymas yra Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymas.

98

Dėl šių suvaržymų dydžio reikia pažymėti, pirma, kad PNR direktyvos 1 straipsnio 1 dalies a punkte, siejamame su jos 8 straipsniu, numatytas sistemingas ir tęstinis kiekvieno keleivio, kuris keliauja ES išorės skrydžiu, kaip tai suprantama pagal šios direktyvos 3 straipsnio 2 punktą, vykdomu tarp trečiųjų šalių ir Sąjungos, PNR duomenų perdavimas informacijos apie keleivius skyriams. Kaip savo išvados 73 punkte pažymėjo generalinis advokatas, toks perdavimas reiškia, kad informacijos apie keleivius skyriai turi bendrą prieigą prie visų perduotų PNR duomenų, susijusių su visais oro transporto paslaugomis besinaudojančiais asmenimis, neatsižvelgiant į tai, ar šie duomenys naudojami vėliau.

99

Antra, PNR direktyvos 2 straipsnio 1 dalyje numatyta, kad valstybės narės gali nuspręsti taikyti šią direktyvą ES vidaus skrydžiams, kaip tai suprantama pagal šios direktyvos 3 straipsnio 3 punktą, o jo 2 dalyje patikslinta, kad tokiu atveju visos minėtos direktyvos nuostatos „taikomos ES vidaus skrydžiams taip, kaip jos būtų taikomos ES išorės skrydžiams, ir ES vidaus skrydžių PNR duomenims taip, kaip jos būtų taikomos ES išorės skrydžių PNR duomenims“.

100

Trečia, net jeigu kai kurie PNR duomenys, nurodyti PNR direktyvos I priede ir apibendrinti šio sprendimo 93 punkte, vertinami atskirai, neatrodo kaip galintys atskleisti konkrečią su duomenų subjektų privačiu gyvenimu susijusią informaciją, vis dėlto, vertinami kartu, jie gali atskleisti, be kita ko, visą kelionės maršrutą, kelionių įpročius, ryšius, egzistuojančius tarp dviejų ar daugiau asmenų, taip pat informaciją apie oro transporto keleivių finansinę padėtį, jų mitybos įpročius ar sveikatos būklę, net galėtų atskleisti apie šiuos keleivius neskelbtinų duomenų (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 128 punktą).

101

Ketvirta, pagal PNR direktyvos 6 straipsnio 2 dalies a ir b punktus oro vežėjų perduodamų duomenų paskirtis – atlikti ne tik išankstinį vertinimą prieš numatomą keleivių atvykimą ar išvykimą, bet ir vėlesnį vertinimą.

102

Iš PNR 6 straipsnio 2 dalies a punkto ir 3 dalies matyti, kad išankstinį vertinimą valstybių narių informacijos apie keleivius skyriai atlieka sistemingai ir automatizuotomis priemonėmis, t. y. nepertraukiamai ir neatsižvelgiant į tai, ar yra bent menkiausios informacijos apie duomenų subjektų dalyvavimo teroristinėje veikloje ar vykdant sunkius nusikaltimus pavojų. Šiuo tikslu šiose nuostatose numatyta, kad PNR duomenys gali būti lyginami su „duomenimis duomenų bazėse, atitinkančiose <…> tikslus“, ir būti tvarkomi laikantis „iš anksto nustatytų kriterijų“.

103

Šiomis aplinkybėmis reikia priminti, kad Teisingumo Teismas jau yra nusprendęs, jog Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymo, kurį lemia automatizuota PNR duomenų analizė, mastas iš esmės priklauso nuo iš anksto nustatytų modelių ir kriterijų, taip pat nuo duomenų bazių, kuriomis grindžiamas toks duomenų tvarkymas (2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 172 punktas).

104

Kaip savo išvados 78 punkte pažymėjo generalinis advokatas, PNR direktyvos 6 straipsnio 3 dalies a punkte numatytas duomenų tvarkymas, t. y. PNR duomenų palyginimas su „duomenimis, duomenų bazėse atitinkančiose <…> tikslus“, gali suteikti papildomos informacijos apie oro transporto keleivių privatų gyvenimą ir šiuo klausimu leisti padaryti labai tikslias išvadas.

105

Dėl PNR duomenų tvarkymo atsižvelgiant į „iš anksto nustatytus kriterijus“, kaip numatyta PNR direktyvos 6 straipsnio 3 dalies b punkte, tiesa, kad pagal šios direktyvos 6 straipsnio 4 dalį reikalaujama, kad keleivių vertinimas taikant šiuos kriterijus būtų atliktas nediskriminuojant ir, be kita ko, nebūtų pagrįstas visomis šios 4 dalies paskutiniame sakinyje nurodytomis savybėmis. Be to, taikomi kriterijai turi būti tiksliniai, proporcingi ir konkretūs.

106

Teisingumo Teismas jau yra nusprendęs, kad jeigu automatizuota PNR duomenų analizė atliekama remiantis nepatikrintais asmens duomenimis ir jeigu ji grindžiama iš anksto nustatytais modeliais ir kriterijais, ji neišvengiamai turi tam tikrą paklaidą (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 169 punktą). Konkrečiai kalbant, kaip savo išvados 78 punkte iš esmės pažymėjo generalinis advokatas, iš Komisijos darbo dokumento [SWD(2020)128 final], pridėto prie jos 2020 m. liepos 24 d. ataskaitos dėl PNR direktyvos peržiūros, matyti, kad atlikus šios direktyvos 6 straipsnio 3 dalies a ir b punktuose numatytas automatizuotas duomenų tvarkymo operacijas gautų teigiamų atitikčių, kurios po individualios peržiūros neautomatizuotomis priemonėmis pasirodė klaidingos, skaičius yra gana didelis – 2018 ir 2019 m. tai sudarė bent penkis iš šešių asmenų, kurių tapatybė nustatyta. Taigi toks tvarkymas lemia išsamią šių asmenų PNR duomenų analizę.

107

Kalbant apie vėlesnį PNR duomenų vertinimą, numatytą PNR direktyvos 6 straipsnio 2 dalies b punkte, iš šios nuostatos matyti, kad per šios direktyvos 12 straipsnio 2 dalyje nurodytą šešių mėnesių laikotarpį po PNR duomenų perdavimo informacijos apie keleivius skyrius, gavęs kompetentingų institucijų prašymą, privalo joms pateikti PNR duomenis ir konkrečiais atvejais juos tvarkyti kovos su teroristiniais nusikaltimais ar sunkiais nusikaltimais tikslais.

108

Be to, net jei pasibaigus šiam šešių mėnesių laikotarpiui PNR duomenys nuasmeninami užmaskuojant tam tikrus jų elementus, pagal PNR direktyvos 12 straipsnio 3 dalį informacijos apie keleivius skyrius, gavęs tokį prašymą, gali būti įpareigotas perduoti visus PNR duomenis tokia forma, kuri leistų kompetentingoms institucijoms nustatyti duomenų subjektą, jeigu yra pagrįstų priežasčių manyti, kad tai būtina šios direktyvos 6 straipsnio 2 dalies b punkte nurodytais tikslais, tačiau siekiant perduoti tokius duomenis reikalingas teisminės institucijos arba „kompetentingos nacionalinės valdžios institucijos“ leidimas.

109

Penkta, PNR direktyvos 12 straipsnio 1 dalyje numatyta (nepateikiant išsamesnės informacijos šiuo klausimu), kad PNR duomenys saugomi duomenų bazėje penkerius metus nuo jų perdavimo valstybės narės, kurios teritorijoje yra lėktuvo atvykimo ar išvykimo vieta, informacijos apie keleivius skyriui, taigi pagal šią direktyvą leidžiama turėti informaciją apie privatų oro transporto keleivių gyvenimą laikotarpiu, kurį Teisingumo Teismas savo 2017 m. liepos 26 d. Nuomonėje 1/15 (ES ir Kanados PNR susitarimas) (EU:C:2017:592, 132 punktas) kvalifikavo kaip itin ilgą, atsižvelgiant į tai, kad, nepaisant pasibaigusio pradinio šešių mėnesių laikotarpio, po kurio duomenys nuasmeninami, užmaskuojant tam tikrus jų elementus, visi PNR duomenys vis dar gali būti perduodami ankstesniame šio sprendimo punkte nurodytu atveju.

110

Atsižvelgiant į įprastą kelionių oru pobūdį, toks saugojimo laikotarpis lemia tai, kad labai didelės Sąjungos gyventojų dalies PNR duomenys gali būti pakartotinai saugomi pagal PNR direktyvoje nustatytą sistemą, todėl jie gali būti analizuojami ilgą ar net neribotą laiką informacijos apie keleivius skyriams ir kompetentingoms institucijoms atliekant išankstinius ir vėlesnius vertinimus, jeigu asmenys lėktuvu keliauja daugiau kaip kartą per penkerius metus.

111

Atsižvelgiant į visa tai, kas išdėstyta, reikia konstatuoti, kad PNR direktyva neabejotinai labai suvaržomos Chartijos 7 ir 8 straipsniuose įtvirtintos teisės, nes ja, be kita ko, siekiama nustatyti nuolatinę, netikslinę ir sistemingą stebėjimo sistemą, apimančią visų oro transporto paslaugomis besinaudojančių asmenų automatizuotą asmens duomenų vertinimą.

112

Reikia priminti, kad Chartijos 7 ir 8 straipsniuose įtvirtintos pagrindinės teisės nėra absoliučios ir turi būti vertinamos atsižvelgiant į jų visuomeninę paskirtį (2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 136 punktas ir jame nurodyta jurisprudencija; taip pat 2020 m. spalio 6 d. Sprendimo Privacy International, C‑623/17, EU:C:2020:790, 63 punktas ir jame nurodyta jurisprudencija).

113

Pagal Chartijos 52 straipsnio 1 dalies pirmą sakinį bet koks Chartijos pripažintų teisių ir laisvių įgyvendinimo apribojimas turi būti numatytas įstatymo ir nekeisti šių teisių ir laisvių esmės. Pagal Chartijos 52 straipsnio 1 dalies antrą sakinį, remiantis proporcingumo principu, tokių teisių ir laisvių apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrus interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti. Šiuo klausimu pagal Chartijos 8 straipsnio 2 dalį asmens duomenys, be kita ko, turi būti tvarkomi „tik konkretiems tikslams ir tik atitinkamam asmeniui sutikus ar kitais įstatymo nustatytais teisėtais pagrindais“.

114

Reikia pridurti, kad reikalavimas, kuriuo remiantis bet koks pagrindinių teisių įgyvendinimo apribojimas būtų numatytas įstatymo, reiškia, kad pačiame teisės akte, kuriuo leidžiamas šių teisių suvaržymas, turi būti apibrėžta atitinkamos teisės įgyvendinimo apribojimo apimtis, tačiau reikia patikslinti, pirma, kad toks reikalavimas nedraudžia, kad šis apribojimas, būtų suformuluotas pakankamai atvirai, kad jį būtų galima pritaikyti skirtingoms aplinkybėms ir kintančioms situacijoms (šiuo klausimu žr. 2022 m. balandžio 26 d. Sprendimo Lenkija / Parlamentas ir Taryba, C‑401/19, EU:C:2022:297, 64 ir 74 punktus bei juose nurodytą jurisprudenciją), ir, antra, kad prireikus Teisingumo Teismas gali aiškindamas patikslinti konkrečią apribojimo taikymo sritį, atsižvelgdamas tiek į nagrinėjamų Sąjungos teisės aktų formuluotę, tiek į jų bendrą sistemą ir jais siekiamus tikslus, aiškinamus atsižvelgiant į Chartijoje įtvirtintas pagrindines teises.

115

Dėl proporcingumo principo paisymo pažymėtina, kad pagrindinės teisės į privataus gyvenimo gerbimą apsauga Sąjungos lygiu reikalauja, remiantis suformuota Teisingumo Teismo jurisprudencija, kad nukrypimai nuo asmens duomenų apsaugos ir jos apribojimai neviršytų to, kas yra griežtai būtina. Be to, bendrojo intereso tikslo negalima siekti neatsižvelgiant į tai, kad jis turi būti derinamas su pagrindinėmis teisėmis, kurioms taikoma priemonė, nustatant pusiausvyrą tarp, viena vertus, bendrojo intereso tikslo ir, kita vertus, nagrinėjamų teisių (2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 140 punktas ir 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 52 punktas ir jame nurodyta jurisprudencija).

116

Konkrečiau kalbant, valstybėms narėms suteikta galimybė pateisinti teisių, įtvirtintų, be kita ko, Chartijos 7 ir 8 straipsniuose, apribojimą turi būti vertinama atsižvelgiant į suvaržymo, kurį lemia toks apribojimas, dydį ir tikrinant, ar šiuo apribojimu siekiamo bendrojo intereso tikslo svarba jį atitinka (šiuo klausimu žr. 2018 m. spalio 2 d. Sprendimo Ministerio Fiscal, C‑207/16, EU:C:2018:788, 55 punktą ir jame nurodytą jurisprudenciją; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 53 punktą ir jame nurodytą jurisprudenciją).

117

Tam, kad būtų tenkinamas proporcingumo reikalavimas, nagrinėjamame suvaržymą nustatančiame teisės akte turi būti numatytos aiškios ir tikslios taisyklės, kuriomis būtų reglamentuojama jame nustatytų priemonių apimtis ir taikymas ir nustatyti minimalūs reikalavimai, kad asmenims, kurių duomenys perduodami, būtų suteikta pakankamai garantijų, leidžiančių veiksmingai apsaugoti jų asmens duomenis nuo piktnaudžiavimo pavojų. Konkrečiai jame turi būti nurodyta, kokiomis aplinkybėmis ir sąlygomis gali būti imamasi tokių duomenų tvarkymą numatančios priemonės, taip užtikrinant, kad suvaržymas neviršytų to, kas griežtai būtina. Būtinybė turėti tokias garantijas yra dar svarbesnė tais atvejais, kai asmens duomenys tvarkomi automatizuotu būdu. Šie argumentai visų pirma galioja, kai PNR duomenys gali atskleisti neskelbtiną informaciją apie keleivius (2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 141 punktas; taip pat 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 132 punktas ir jame nurodyta jurisprudencija).

118

Taigi teisės aktai, kuriuose numatytas asmens duomenų saugojimas, visada turi atitikti objektyvius kriterijus, nustatančius saugotinų asmens duomenų ir siekiamo tikslo ryšį (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 191 punktą ir jame nurodytą jurisprudenciją; 2019 m. spalio 3 d. Sprendimo A ir kt., C‑70/18, EU:C:2019:823, 63 punktą; 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 133 punktą).

119

Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių įgyvendinimo apribojimas, išplaukiantis iš PNR direktyvoje nustatytos sistemos, yra numatytas Sąjungos teisėkūros procedūra priimtame akte. Dėl klausimo, ar, remiantis šio sprendimo 114 punkte priminta jurisprudencija, šioje direktyvoje, kaip Sąjungos teisės akte, kuriuo suvaržomos šios teisės, apibrėžiama šių teisių įgyvendinimo apribojimo apimtis, reikia pažymėti, kad šios direktyvos nuostatose ir jos I ir II prieduose, pirma, išvardyti PNR duomenys ir, antra, nustatyta šių duomenų tvarkymo sistema, apibrėžiant tokio tvarkymo tikslus ir tvarką. Be to, šis klausimas iš esmės susijęs su šio sprendimo 117 punkte primintu proporcingumo reikalavimo laikymosi klausimu (šiuo klausimu žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 180 punktą) ir bus nagrinėjamas šio sprendimo 125 ir paskesniuose punktuose.

120

Kiek tai susiję su Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių esmės paisymu, tiesa, kad PNR duomenys tam tikrais atvejais gali atskleisti labai tikslią informaciją apie asmens privatų gyvenimą. Vis dėlto, kadangi, pirma, šios informacijos pobūdis apima tik tam tikrus privataus gyvenimo aspektus, visų pirma susijusius su šio asmens kelionėmis lėktuvu, ir, antra, pagal PNR direktyvos 13 straipsnio 4 dalį aiškiai draudžiama tvarkyti neskelbtinus duomenis, kaip tai suprantama pagal BDAR 9 straipsnio 1 dalį, vien šioje direktyvoje nurodyti duomenys neleidžia susidaryti bendro vaizdo apie asmens privatų gyvenimą. Be to, minėtos direktyvos 1 straipsnio 2 dalyje, siejamoje su jos 3 straipsnio 8 ir 9 punktais bei II priedu, apibrėžiami šių duomenų tvarkymo tikslai. Galiausiai tos pačios direktyvos 4–15 straipsniuose įtvirtintos tokių duomenų perdavimo, tvarkymo ir saugojimo taisyklės ir taisyklės, skirtos, be kita ko, šių duomenų saugumui, konfidencialumui ir vientisumui užtikrinti, taip pat apsaugoti juos nuo neteisėtos prieigos ir tvarkymo. Šiomis aplinkybėmis reikia konstatuoti, kad PNR direktyvoje numatyti suvaržymai nepažeidžia Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių esmės.

121

Dėl klausimo, ar PNR direktyvoje nustatyta sistema siekiama bendrojo intereso tikslo, pažymėtina, jog iš jos 5, 6 ir 15 konstatuojamųjų dalių matyti, kad šia direktyva siekiama užtikrinti Sąjungos vidaus saugumą ir apsaugoti asmenų gyvybę ir saugumą, kartu sukuriant teisinį pagrindą, užtikrinantį aukštą keleivių pagrindinių teisių apsaugos lygį, visų pirma teises į privataus gyvenimo gerbimą ir asmens duomenų apsaugą, kai kompetentingos institucijos tvarko PNR duomenis.

122

Šiuo tikslu PNR direktyvos 1 straipsnio 2 dalyje nustatyta, kad pagal šią direktyvą surinkti PNR duomenys gali būti tvarkomi kaip nurodyta jos 6 straipsnio 2 dalies a–c punktuose tik teroristinių ir sunkių nusikaltimų prevencijos, atskleidimo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais. Šie tikslai neabejotinai yra Sąjungos bendrojo intereso tikslai, galintys pateisinti Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymus, net ir didelius (šiuo klausimu žr. 2014 m. balandžio 8 d. Sprendimo Digital Rights Ireland ir kt., C‑293/12 ir C‑594/12, EU:C:2014:238, 42 punktą; taip pat 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 148 ir 149 punktus).

123

Reikia konstatuoti, kad nors galimybė gauti „klaidingus neigiamus“ rezultatus ir pakankamai didelis skaičius „klaidingų teigiamų“ rezultatų, kurie, kaip pažymėta šio sprendimo 106 punkte, buvo gauti atlikus šioje direktyvoje numatytas automatizuoto duomenų tvarkymo operacijas 2018 m. ir 2019 m., žinoma, gali riboti PNR direktyvoje nustatytos sistemos tinkamumą nustatytiems tikslams pasiekti, vis dėlto šie veiksniai nėra tokie, kad ta sistema taptų netinkama prisidėti prie kovos su teroristiniais nusikaltimais ir sunkiais nusikaltimais tikslo įgyvendinimo. Iš tiesų, kaip matyti iš šio sprendimo 106 punkte nurodyto Komisijos darbinio dokumento, remiantis minėta direktyva atliekamas automatizuotas duomenų tvarkymas jau yra leidęs nustatyti pavojų keliančius oro transporto keleivius, kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais.

124

Be to, atsižvelgiant į paklaidos lygį, būdingą automatizuotam PNR duomenų tvarkymui, ir, be kita ko, į pakankamai didelį „klaidingų teigiamų“ rezultatų skaičių, PNR direktyvoje nustatytos sistemos tinkamumas iš esmės priklauso nuo to, ar vėliau tinkamai neautomatizuotomis priemonėmis patikrinami tokio duomenų tvarkymo rezultatai; pagal minėtą direktyvą tokį patikrinimą turi atlikti informacijos apie keleivius skyrius. Taigi šiuo tikslu minėtoje direktyvoje numatytos nuostatos padeda siekti tokių tikslų.

125

Remiantis šio sprendimo 115–118 punktuose priminta jurisprudencija, reikia patikrinti, ar iš PNR direktyvos kylantys suvaržymai neviršija to, kas griežtai būtina, ir, be kita ko, ar šioje direktyvoje nustatytos aiškios ir tikslios taisyklės, reglamentuojančios joje numatytų priemonių apimtį ir taikymą, ir ar šia direktyva nustatyta sistema visuomet atitinka objektyvius kriterijus, nustatančius PNR duomenų, glaudžiai susijusių su kelionės lėktuvu rezervacija ir vykdymu, ir šia direktyva siekiamų tikslų, t. y. kovos su teroristiniais ir sunkiais nusikaltimais, ryšį.

126

Reikia įvertinti, ar PNR direktyvos I priede išvardytose duomenų kategorijose aiškiai ir tiksliai apibrėžti PNR duomenys, kuriuos oro vežėjas privalo pateikti informacijos apie keleivius skyriui.

127

Pirmiausia reikia priminti, kad, kaip matyti iš PNR direktyvos 15 konstatuojamosios dalies, Sąjungos teisės aktų leidėjas siekė, kad PNR duomenų, kurie turi būti perduoti informacijos apie keleivius skyriui, sąrašas būtų nustatytas „siekiant atspindėti viešųjų valdžios institucijų teisėtus reikalavimus užkirsti kelią teroristiniams nusikaltimams ar sunkiems nusikaltimams, juos nustatyti, tirti ir patraukti už juos baudžiamojon atsakomybėn, tokiu būdu didinant vidaus saugumą Sąjungoje ir apsaugant pagrindines teises, visų pirma teisę į privatumą ir teisę į asmens duomenų apsaugą“. Konkrečiai šioje konstatuojamojoje dalyje nustatyta, kad tokie PNR duomenys „turėtų apimti tik išsamią informaciją apie keleivių rezervuotus bilietus ir kelionių maršrutus, kuria remdamosi kompetentingos valdžios institucijos gali nustatyti grėsmę vidaus saugumui keliančius oro transporto keleivius“. Be to, PNR direktyvos 13 straipsnio 4 dalies pirmame sakinyje draudžiama „tvarkyti PNR duomenis, kuriais atskleidžiama asmens rasė ar etninė kilmė, politinės pažiūros, religija ar filosofiniai įsitikinimai, narystė profesinėse sąjungose, sveikata, lytinis gyvenimas ar seksualinė orientacija“.

128

Taigi pagal PNR direktyvos I priedą surinkti ir perduoti PNR duomenys turi būti tiesiogiai susiję su vykdomu skrydžiu ir atitinkamu keleiviu ir būti apriboti taip, kad, pirma, atitiktų tik teisėtus valdžios institucijų reikalavimus, susijusius su teroristinių nusikaltimų ar sunkių nusikaltimų prevencija, nustatymu, tyrimu ir patraukimu už juos baudžiamojon atsakomybėn, ir, antra, į juos nebūtų įtraukti neskelbtini duomenys.

129

PNR direktyvos I priedo 1–4, 7, 9, 11, 15, 17 ir 19 punktuose nurodytos duomenų kategorijos atitinka šiuos reikalavimus, taip pat aiškumo ir tikslumo reikalavimus, nes jie apima aiškiai identifikuojamą ir apibrėžtą informaciją, tiesiogiai susijusią su vykdomu skrydžiu ir atitinkamu keleiviu. Kaip savo išvados 165 punkte pažymėjo generalinis advokatas, taip yra ir 10, 13, 14 ir 16 punktuose nurodytų kategorijų atveju, nepaisant jų atviros formuluotės.

130

Vis dėlto reikia pateikti paaiškinimų dėl 5, 6, 8, 12 ir 18 punktuose nurodytų duomenų kategorijų.

131

Nurodant 5 punkte esančią kategoriją, kuri apima „adresą ir kontaktinę informaciją (telefono numeris, el. pašto adresas)“, aiškiai nenustatyta, ar minėtas adresas ir kontaktinė informacija susiję tik su oro transporto keleiviais, ar ir su trečiaisiais asmenimis, kurie rezervavo skrydį oro transporto keleiviui, su trečiaisiais asmenimis, per kuriuos galima susisiekti su tokiu keleiviu, ir su trečiaisiais asmenimis, kurie turi būti informuoti skubos atveju. Vis dėlto, kaip savo išvados 162 punkte iš esmės pažymėjo generalinis advokatas, atsižvelgiant į aiškumo ir tikslumo reikalavimus, ši duomenų kategorija negali būti aiškinama kaip netiesiogiai leidžianti rinkti ir perduoti tokių trečiųjų asmenų asmens duomenis. Taigi minėtą duomenų kategoriją reikia aiškinti kaip apimančią tik oro transporto keleivio, kurio vardu buvo atlikta rezervacija, pašto adresą ir kontaktinę informaciją, t. y. telefono numerį ir el. pašto adresą.

132

Dėl 6 punkte nurodytos kategorijos, apimančios „informaciją apie visus mokėjimo būdus, įskaitant sąskaitos siuntimo adresą“, pažymėtina, jog tam, kad būtų tenkinami aiškumo ir tikslumo reikalavimai, ši kategorija turi būti aiškinama taip, kad ji susijusi tik su informacija apie mokėjimo už lėktuvo bilietą tvarką ir sąskaitos išrašymą, ir neapima jokios kitos informacijos, tiesiogiai nesusijusios su skrydžiu (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 159 punktą).

133

8 punkte pateikta duomenų kategorija, kuri apima „informacij[ą] apie dažnai lėktuvais keliaujančius keleivius“, turi būti aiškinama, kaip savo išvados 164 punkte pažymėjo generalinis advokatas, kaip apimanti tik duomenis, susijusius su atitinkamo keleivio statusu pagal konkrečios oro transporto bendrovės ar oro transporto bendrovių grupės lojalumo programą ir šio keleivio, kaip „dažnai lėktuvais keliaujančio asmens“, identifikacinį numerį. Taigi remiantis 8 punkte pateikta duomenų kategorija neleidžiama rinkti informacijos apie sandorius, kurių pagrindu buvo įgytas šis statusas.

134

12 punkte nurodyta kategorija apima „bendr[as] pastab[as] (įskaitant visą turimą su jaunesniais nei 18 metų nelydimais nepilnamečiais susijusią informaciją, būtent: nepilnamečio vardas ir pavardė, lytis, amžius, kalba (‑os), kuria (‑iomis) jis kalba, išlydinčio asmens vardas, pavardė bei kontaktiniai duomenys ir jo ryšys su nepilnamečiu, pasitinkančio asmens vardas, pavardė bei kontaktiniai duomenys ir jo ryšys su nepilnamečiu, išlydintis ir pasitinkantis oro uosto darbuotojas)“.

135

Šiuo klausimu pirmiausia reikia pažymėti, kad nors sąvoka „bendros pastabos“ neatitinka aiškumo ir tikslumo reikalavimų, nes ja neapribojamas informacijos, kuri gali būti renkama ir perduodama pagal 12 punktą, pobūdis ir apimtis (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 160 punktą), skliausteliuose pateikti pavyzdžiai atitinka tokį reikalavimą.

136

Taigi, siekiant 12 punkte nurodytą kategoriją aiškinti taip, kad pagal šio sprendimo 86 punkte primintą jurisprudenciją ji tenkintų aiškumo ir tikslumo reikalavimus, o plačiau – Chartijos 7 ir 8 straipsnius bei 52 straipsnio 1 dalį, reikia manyti, kad leidžiama rinkti ir pateikti informaciją, aiškiai nurodytą prie šios kategorijos, t. y. nepilnamečio vardą ir pavardę, lytį, amžių, kalbą (‑as), kuria (‑iomis) jis kalba, išlydinčio asmens vardą, pavardę bei kontaktinius duomenis ir jo ryšį su nepilnamečiu, pasitinkančio asmens vardą, pavardę bei kontaktinius duomenis ir jo ryšį su nepilnamečiu, išlydinčio ir pasitinkančio oro uosto darbuotojo pavardę ir kontaktinius duomenis.

137

Galiausiai 18 punkte nurodytos kategorijos apima „vis[us] surinkt[us] išankstinės informacijos apie keleivius (API) duomen[is] (įskaitant bet kurio asmens dokumento rūšį, numerį, išdavusią šalį, galiojimo pabaigos datą, pilietybę, pavardę, vardą, lytį, gimimo datą, oro transporto bendrovę, skrydžio numerį, išvykimo datą, atvykimo datą, išvykimo oro uostą, atvykimo oro uostą, išvykimo laiką ir atvykimo laiką)“.

138

Kaip savo išvados 156–160 punktuose iš esmės pažymėjo generalinis advokatas, iš 18 punkto, siejamo su PNR direktyvos 4 ir 9 konstatuojamosiomis dalimis, matyti, kad jame nurodyta informacija išsamiai atskleidžia API duomenis, išvardytus šiame punkte ir API direktyvos 3 straipsnio 2 dalyje.

139

Taigi 18 punkte nurodyta kategorija gali būti laikoma atitinkančia aiškumo ir tikslumo reikalavimus, jeigu ji aiškinama kaip apimanti tik pačiame punkte ir API direktyvos 3 straipsnio 2 dalyje aiškiai nurodytą informaciją (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 161 punktą).

140

Vadinasi, reikia konstatuoti, kad visas PNR direktyvos I priedas, aiškinamas atsižvelgiant į šio sprendimo 130–139 punktuose išdėstytus argumentus, yra pakankamai aiškus ir tikslus, taigi juo apibrėžiama Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymo apimtis.

141

Kaip matyti iš PNR direktyvos 1 straipsnio 2 dalies, pagal šią direktyvą surinktų PNR duomenų tvarkymo tikslas – kovoti su „teroristiniais nusikaltimais“ ir „sunkiais nusikaltimais“.

142

Dėl klausimo, ar šioje srityje PNR direktyvoje numatytos aiškios ir tikslios taisyklės, pagal kurias šioje direktyvoje nustatytos sistemos taikymas ribojamas tuo, kas griežtai būtina šiems tikslams pasiekti, reikia pažymėti, kad, pirma, minėtos direktyvos 3 straipsnio 8 punkte sąvoka „teroristiniai nusikaltimai“ apibrėžiama kaip „nusikaltimai pagal nacionalinę teisę, nurodyti [Pamatinio sprendimo 2002/475] 1–4 straipsniuose“.

143

Be to, kad šio pamatinio sprendimo 1–3 straipsniuose aiškiai ir tiksliai apibrėžti „teroristiniai nusikaltimai“, „su teroristine grupe susiję nusikaltimai“ ir „su teroristine veikla susiję nusikaltimai“, už kuriuos valstybės narės pagal minėtą pamatinį sprendimą turėtų bausti kaip už nusikalstamą veiką, 2017 m. kovo 15 d. Europos Parlamento ir Tarybos direktyvos (ES) 2017/541 dėl kovos su terorizmu, pakeičiančios Pamatinį sprendimą 2002/475 ir iš dalies keičiančios Tarybos sprendimą 2005/671/TVR (OL L 88, 2017, p. 6), 3–14 straipsniuose taip pat aiškiai ir tiksliai apibrėžtos tos pačios nusikalstamos veikos.

144

PNR direktyvos 3 straipsnio 9 punkte „sunkūs nusikaltimai“ apibrėžti kaip „[šios direktyvos] II priede išvardyti nusikaltimai, už kuriuos pagal valstybės narės nacionalinę teisę baudžiama laisvės atėmimo bausme arba [taikomos prevencinės priemonės], kurių ilgiausias terminas – bent treji metai“.

145

Visų pirma šiame priede išsamiai išvardytos įvairios nusikalstamų veikų, kurios gali būti laikomos „sunkiais nusikaltimais“, kaip nurodyta PNR direktyvos 3 straipsnio 9 punkte, kategorijos.

146

Antra, atsižvelgdamas į valstybių narių baudžiamųjų sistemų ypatumus šios direktyvos priėmimo metu (joje nurodytos nusikalstamos veikos nebuvo suderintos) Sąjungos teisės aktų leidėjas galėjo apsiriboti nuorodomis į nusikalstamų veikų kategorijas, neapibrėždamas šių nusikalstamų veikų sudėties, juolab kad daroma prielaida, kad ši sudėtis yra apibrėžta nacionalinėje teisėje, į kurią daroma nuoroda PNR direktyvos 3 straipsnio 9 dalyje, nes valstybės narės privalo laikytis nusikalstamų veikų ir bausmių teisėtumo principo, kuris yra ES sutarties 2 straipsnyje nurodytos bendros su Sąjunga teisinės valstybės vertybės dalis (žr. pagal analogiją 2022 m. vasario 16 d. Sprendimo Vengrija / Parlamentas ir Taryba, C‑156/21, EU:C:2022:97, 136160 ir 234 punktus); teisinės valstybės principas taip pat įtvirtintas Chartijos 49 straipsnio 1 dalyje ir valstybės narės privalo jo laikytis, įgyvendindamos tokį Sąjungos teisės aktą, kaip PNR direktyva (šiuo klausimu žr. 2011 m. lapkričio 10 d. Sprendimo QB, C‑405/10, EU:C:2011:722, 48 punktą ir jame nurodytą jurisprudenciją). Taigi, atsižvelgiant į įprastą šiame priede vartojamų sąvokų reikšmę, reikia manyti, kad jame pakankamai aiškiai ir tiksliai apibrėžtos nusikalstamos veikos, kurios gali būti laikomos sunkiais nusikaltimais.

147

Tiesa, kad II priedo 7, 8, 10 ir 16 punktai susiję su labai bendro pobūdžio nusikalstamomis veikomis (sukčiavimas, nusikalstamu būdu įgytų pajamų plovimas ir pinigų padirbinėjimas, sunkūs nusikaltimai aplinkai, prekyba kultūros vertybėmis), tačiau kartu nurodomi konkretūs nusikaltimai, priskiriami prie šių bendrųjų kategorijų. Siekiant užtikrinti pakankamą tikslumą, kurio taip pat reikalaujama pagal Chartijos 49 straipsnį, šiuos punktus reikia aiškinti taip, kad jie susiję su tomis nusikalstamomis veikomis, kurios apibrėžtos nacionalinėje ir (arba) Sąjungos teisėje šioje srityje. Taip aiškinami šie punktai gali būti laikomi atitinkančiais aiškumo ir tikslumo reikalavimus.

148

Galiausiai svarbu priminti, kad nors pagal proporcingumo principą kovos su sunkiais nusikaltimais tikslas gali pateisinti didelį PNR direktyvoje nustatytą Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymą, kitaip yra dėl kovos su nusikalstamumu apskritai tikslu – toks tikslas gali pateisinti tik nedidelius suvaržymus (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 59 punktą ir jame nurodytą jurisprudenciją). Taigi aiškios ir tikslios šios direktyvos taisyklės turi užtikrinti, kad joje nustatyta sistema būtų taikoma tik sunkiems nusikaltimams, bet neapimtų bendro pobūdžio nusikalstamų veikų.

149

Kaip savo išvados 121 punkte pažymėjo generalinis advokatas, daugelis PNR direktyvos II priede nurodytų nusikalstamų veikų – pavyzdžiui, prekyba žmonėmis, seksualinis vaikų išnaudojimas ir vaikų pornografija, prekyba ginklais, šaudmenimis ir sprogmenimis, pinigų plovimas, kibernetiniai nusikaltimai, prekyba žmogaus organais ir audiniais, prekyba narkotikais ir psichotropinėmis medžiagomis, prekyba branduolinėmis ar radioaktyviosiomis medžiagomis, orlaivių (laivų) užgrobimas, sunkūs nusikaltimai, priklausantys Tarptautinio baudžiamojo teismo jurisdikcijai, nužudymas, išžaginimas, pagrobimas ir įkaitų paėmimas – dėl savo pobūdžio neabejotinai yra sunkios.

150

Be to, nors kitas nusikalstamas veikas, taip pat nurodytas šiame II priede, a priori galima ne taip lengvai sieti su sunkiais nusikaltimais, vis dėlto iš paties PNR direktyvos 3 straipsnio 9 punkto teksto matyti, kad jos gali būti laikomos sunkiais nusikaltimais, tik jeigu už jas pagal atitinkamos valstybės narės nacionalinę teisę baudžiama laisvės atėmimo bausme arba taikomos prevencinės priemonės, kurių ilgiausias terminas yra ne trumpesnis kaip treji metai. Iš šios nuostatos kylantys reikalavimai, susiję su taikytinos bausmės pobūdžiu ir griežtumu, iš principo gali apriboti minėtoje direktyvoje nustatytos sistemos taikymą tik toms nusikalstamoms veikoms, kurios yra pakankamai sunkios ir kuriomis galima pateisinti Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymą, išplaukiantį iš toje pačioje direktyvoje nustatytos sistemos.

151

Vis dėlto, kadangi PNR direktyvos 3 straipsnio 9 punkte nurodoma ne minimali, o maksimali taikytina bausmė, neatmestina galimybė, kad PNR duomenys gali būti tvarkomi siekiant kovoti su nusikaltimais, kurie, nors atitinka šioje nuostatoje numatytą kriterijų, susijusį su sunkumo riba, atsižvelgiant į nacionalinės baudžiamosios sistemos ypatumus, priskiriami ne prie sunkių nusikaltimų, o prie įprasto nusikalstamumo.

152

Taigi valstybės narės turi užtikrinti, kad pagal PNR direktyvą nustatytos sistemos taikymas iš tikrųjų būtų apribotas kova su sunkiais nusikaltimais ir kad ši sistema nebūtų taikoma nusikaltimams, kurie priskiriami prie įprastų nusikalstamų veikų.

153

Tiesa, kad, kaip savo išvados 119 punkte iš esmės pažymėjo generalinis advokatas, PNR direktyvos 3 straipsnio 8 punkto ir 3 straipsnio 9 punkto, aiškinamų kartu su šios direktyvos II priedu, formuluotėse aiškiai nenurodytas kriterijus, kuris apribotų šios direktyvos taikymo sritį tik tomis nusikalstamomis veikomis, kurios dėl savo pobūdžio gali turėti bent netiesioginį objektyvų ryšį su kelionėmis oru, taigi, ir su pagal šią direktyvą perduodamų, tvarkomų ir saugomų duomenų kategorijomis.

154

Vis dėlto, kaip savo išvados 121 punkte pažymėjo generalinis advokatas, tam tikros PNR direktyvos II priede nurodytos nusikalstamos veikos, kaip antai prekyba žmonėmis, prekyba narkotinėmis medžiagomis ar ginklais, pagalba neteisėtai patekti į šalį ir joje apsigyventi arba orlaivio užgrobimas, dėl savo pobūdžio gali turėti tiesioginį ryšį su keleivių vežimu oru. Tas pats pasakytina apie tam tikrus teroristinius nusikaltimus, kaip antai masinį transporto sistemos ar infrastruktūros įrenginių sunaikinimą arba orlaivių užgrobimą, nurodytus Pamatinio sprendimo 2002/475 1 straipsnio 1 dalies d ir e punktuose, į kuriuos daroma nuoroda PNR direktyvos 3 straipsnio 8 punkte, arba apie keliavimą terorizmo tikslais ir tokių kelionių organizavimą ar jų palengvinimą – nusikalstamas veikas, nurodytas Direktyvos 2017/541 9 ir 10 straipsniuose.

155

Šiomis aplinkybėmis taip pat reikia priminti, kad savo 2011 m. vasario 2 d. pasiūlyme dėl keleivio duomenų įrašo duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais (COM(2011) 32 final), kurio pagrindu buvo priimta PNR direktyva, Komisija pabrėžė, kad „[t]eroristiniai išpuoliai Jungtinėse Valstijose 2001 m., sustabdytas teroristinis išpuolis 2006 m. rugpjūčio mėn., per kurį siekta susprogdinti kelis iš Jungtinės Karalystės į Jungtines Valstijas skrendančius orlaivius, ir 2009 m. gruodžio mėn. bandymas įvykdyti teroristinį išpuolį skrydžio iš Amsterdamo į Detroitą metu parodė teroristų galimybes surengti išpuolius kaip taikinį pasirenkant tarptautinius skrydžius bet kurioje šalyje“ ir kad „[d]auguma teroristinių veikų yra tarpvalstybinio pobūdžio ir yra susijusios su tarptautinėmis kelionėmis, inter alia, į mokymo stovyklas už ES ribų“. Be to, siekdama pagrįsti PNR duomenų analizės poreikį kovoti su sunkiais nusikaltimais Komisija kaip pavyzdį nurodė kontrabandininkų grupės, kuri prekybos žmonėmis tikslais pateikė suklastotus dokumentus, kad galėtų atlikti registravimosi skrydžiui formalumus, atvejį ir prekybos žmonėmis ir narkotikais tinklo, kuris, siekdamas įvežti narkotikus į įvairius Europos regionus, naudojosi prekybos žmonėmis aukomis, o jų lėktuvo bilietus pirko su vogtomis kredito kortelėmis, atvejį. Visi šie atvejai susiję su nusikalstamomis veikomis, turinčiomis tiesioginį ryšį su keleivių vežimu oro transportu, nes tai buvo nusikalstamos veikos, kurių tikslas – keleivių vežimas oro transportu, taip pat nusikalstamos veikos, atliktos oro kelionės metu ar susijusios su ja.

156

Be to, svarbu konstatuoti, kad net nusikalstamos veikos, kurios nėra tiesiogiai susijusios su keleivių vežimu oro transportu, atsižvelgiant į bylos aplinkybes, gali turėti netiesioginį ryšį su keleivių vežimu oro transportu. Taip yra, be kita ko, tuo atveju, kai oro transportu naudojamasi kaip priemone tokioms nusikalstamoms veikoms rengti arba išvengti baudžiamojo persekiojimo jas įvykdžius. Tačiau nusikalstamos veikos, kurios neturi jokio, net ir netiesioginio, objektyvaus ryšio su keleivių vežimu oro transportu, negali pateisinti PNR direktyva nustatytos sistemos taikymo.

157

Šiomis aplinkybėmis pagal PNR direktyvos 3 straipsnio 8 ir 9 punktus, siejamus su jos II priedu, ir atsižvelgiant į reikalavimus, kylančius iš Chartijos 7, 8 straipsnių ir 52 straipsnio 1 dalies, valstybės narės įpareigojamos užtikrinti, kad, be kita ko, neautomatizuotomis priemonėmis atliekant individualią peržiūrą, numatytą minėtos direktyvos 6 straipsnio 5 dalyje, joje nustatytos sistemos taikymas būtų apribotas teroristiniais nusikaltimais ir tik sunkiais nusikaltimais, kurie yra objektyviai susiję, bent netiesiogiai, su keleivių vežimu oro transportu.

158

PNR direktyvoje nustatyta sistema apima visų asmenų, kurie atitinka „keleivio“ sąvoką, kaip ji suprantama pagal šios direktyvos 3 straipsnio 4 punktą, ir kurie keliauja skrydžiais, patenkančiais į šios direktyvos taikymo sritį, PNR duomenis.

159

Pagal minėtos direktyvos 8 straipsnio 1 dalį šie duomenys perduodami valstybės narės, į kurios teritoriją arba iš kurios teritorijos bus vykdomas skrydis, informacijos apie keleivius skyriui, neatsižvelgiant į objektyvias aplinkybes, kurios leistų manyti, kad atitinkami keleiviai gali būti susiję su teroristiniais nusikaltimais arba sunkiais nusikaltimais. Vis dėlto taip perduoti duomenys, be kita ko, automatizuotai tvarkomi atliekant išankstinį vertinimą pagal PNR direktyvos 6 straipsnio 2 dalies a punktą ir 3 dalį; šiuo vertinimu, kaip matyti iš šios direktyvos 7 konstatuojamosios dalies, siekiama nustatyti asmenis, kurie iki šio vertinimo nebuvo įtariami dalyvavę teroristiniuose ar sunkiuose nusikaltimuose ir kuriuos kompetentingos institucijos turėtų išsamiau ištirti.

160

Konkrečiau kalbant, iš PNR direktyvos 1 straipsnio 1 dalies a punkto ir 2 straipsnio matyti, kad pagal šią direktyvą skiriami keleiviai, keliaujantys ES išorės skrydžiais tarp Sąjungos ir trečiųjų šalių, ir keleiviai, keliaujantys ES vidaus skrydžiais tarp skirtingų valstybių narių.

161

Kalbant apie ES išorės skrydžių keleivius, primintina, kad dėl keleivių, keliaujančių tarp Sąjungos ir Kanados, Teisingumo Teismas jau yra nusprendęs, kad automatizuotas jų PNR duomenų tvarkymas prieš jiems atvykstant į Kanadą palengvina ir paspartina saugumo kontrolę, visų pirma pasienyje. Be to, netaikant kontrolės tam tikrų kategorijų asmenims arba tam tikruose kilmės regionuose, galėtų būti kliudoma įgyvendinti automatizuotu PNR duomenų tvarkymu siekiamą tikslą – būtent tikrinant visų oro transporto keleivių duomenis nustatyti asmenis, galinčius kelti pavojų visuomenės saugumui, – ir būtų palikta tokio patikrinimo apėjimo galimybė (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas) EU:C:2017:592 187 punktą).

162

Šie argumentai mutatis mutandis gali būti taikomi keleiviams, kurie keliauja skrydžiais tarp Sąjungos ir visų trečiųjų šalių, tokiems skrydžiams valstybės narės privalo taikyti PNR direktyvos 1 straipsnio 1 dalies a punkte, siejamame su minėtos direktyvos 3 straipsnio 2 ir 4 punktais, nustatytą sistemą. Iš tiesų į Sąjungą atvykstančių ar iš jos išvykstančių oro transporto keleivių PNR duomenų perdavimas ir išankstinis vertinimas negali apsiriboti tik tam tikrais oro transporto keleiviais, atsižvelgiant į grėsmių visuomenės saugumui, kurių gali kilti dėl teroristinių nusikaltimų ir sunkių nusikaltimų, objektyviai, bent jau netiesiogiai, susijusių su keleivių vežimu oro transportu tarp Sąjungos ir trečiųjų šalių, pobūdį. Taigi reikia konstatuoti, kad egzistuoja būtinas šių duomenų ir tikslo kovoti su tokiomis nusikalstamomis veikomis ryšys, todėl PNR direktyva neviršija to, kas griežtai būtina, vien dėl to, kad pagal ją valstybės narės įpareigojamos sistemingai perduoti visų šių keleivių PNR duomenis ir juos iš anksto vertinti.

163

Kalbant apie keleivius, skrendančius iš vienos ES valstybės narės į kitą, PNR direktyvos 2 straipsnio 1 dalyje, siejamoje su jos 10 konstatuojamąja dalimi, numatyta tik galimybė valstybėms narėms išplėsti šioje direktyvoje nustatytos sistemos taikymą ES vidaus skrydžiams.

164

Taigi Sąjungos teisės aktų leidėjas neketino nustatyti valstybėms narėms pareigos išplėsti šia direktyva nustatytos sistemos taikymo ES vidaus skrydžiams, bet, kaip matyti iš šios direktyvos 19 straipsnio 3 dalies, atidėjo sprendimo dėl tokio taikymo srities išplėtimo priėmimą, manydamas, kad prieš jį priimant turi būti atliktas išsamus jo teisinių pasekmių, be kita ko, duomenų subjektų pagrindinėms teisėms, vertinimas.

165

Šiuo klausimu reikia pažymėti, kad PNR direktyvos 19 straipsnio 3 dalyje nustatant, kad jos 19 straipsnio 1 dalyje nurodytoje Komisijos peržiūros ataskaitoje „taip pat peržiūrima PNR duomenų, susijusių su visais arba pasirinktais ES vidaus skrydžiais, privalomo rinkimo ir perdavimo įtraukimo į šios direktyvos taikymo sritį būtinybė, proporcingumas ir veiksmingumas“ ir kad Komisija šiuo klausimu turi atsižvelgti į „valstybių narių, ypač tų valstybių narių, kurios pagal 2 straipsnį taiko šią direktyvą ES vidaus skrydžiams, įgytą patirtį“, aiškiai parodoma, kad, Sąjungos teisės aktų leidėjo nuomone, PNR direktyvoje nustatyta sistema nebūtinai turi būti taikoma visiems ES vidaus skrydžiams.

166

Panašiai PNR direktyvos 2 straipsnio 3 dalyje nustatyta, kad valstybės narės gali nuspręsti taikyti šią direktyvą tik tam tikriems ES vidaus skrydžiams, kai jos mano, kad tai būtina siekiant minėtos direktyvos tikslų, ir bet kuriuo metu pakeisti tokį šių skrydžių pasirinkimą.

167

Bet kuriuo atveju valstybėms narėms suteikta galimybe išplėsti PNR direktyvoje nustatytos sistemos taikymą ES vidaus skrydžiams turi būti naudojamasi, kaip matyti iš jos 22 konstatuojamosios dalies, visiškai paisant Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių. Šiuo klausimu, nors pagal minėtos direktyvos 19 konstatuojamąją dalį valstybės narės turi įvertinti teroristinių ir sunkių nusikaltimų grėsmę, vis dėlto šios teisės įgyvendinimas suponuoja, kad atlikdamos šį vertinimą valstybės narės daro išvadą, jog kyla su tokiais nusikaltimais susijusi grėsmė, galinti pateisinti minėtos direktyvos taikymą ir ES vidaus skrydžiams.

168

Tokiomis aplinkybėmis valstybė narė, pageidaujanti pasinaudoti PNR direktyvos 2 straipsnyje numatyta galimybe visiems ES vidaus skrydžiams pagal to straipsnio 2 dalį arba tik kai kuriems skrydžiams pagal to straipsnio 3 dalį, neatleidžiama nuo pareigos patikrinti, ar šios direktyvos taikymo išplėtimas visiems ar kai kuriems ES vidaus skrydžiams iš tiesų yra būtinas ir proporcingas, siekiant šios direktyvos 1 straipsnio 2 dalyje nurodyto tikslo.

169

Taigi, atsižvelgdama į PNR direktyvos 5–7, 10 ir 22 konstatuojamąsias dalis tokia valstybė narė turi patikrinti, ar šioje direktyvoje numatytas keleivių, kurie skrenda ES vidaus skrydžiais arba tik tam tikrais iš jų, PNR duomenų tvarkymas yra griežtai būtinas atsižvelgiant į Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymo dydį, siekiant užtikrinti Sąjungos vidaus saugumą arba bent jau minėtos valstybės narės vidaus saugumą ir taip apsaugoti asmenų gyvybę ir saugumą.

170

Konkrečiai kalbant apie su teroristiniais nusikaltimais susijusią grėsmę, iš Teisingumo Teismo jurisprudencijos matyti, kad teroro aktai yra vieni iš tokių veiksmų, kuriais gali būti rimtai destabilizuojamos pagrindinės valstybės konstitucinės, politinės, ekonominės ar socialinės struktūros ir kurie visų pirma kelia tiesioginį pavojų visuomenei, gyventojams ar pačiai valstybei, ir kad kiekvienos valstybės narės pagrindinis tikslas yra užkirsti kelią šiai veiklai ir ją sustabdyti, kad būtų apsaugotos esminės valstybės funkcijos ir pagrindiniai visuomenės interesai, siekiant užtikrinti nacionalinį saugumą. Taigi tokia grėsmė savo pobūdžiu, dydžiu ir ją supančių aplinkybių specifika skiriasi nuo bendros ir nuolatinės sunkių nusikaltimų rizikos (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 135 ir 136 punktus; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 61 ir 62 punktus).

171

Taigi tuo atveju, kai, remiantis valstybės narės atliktu vertinimu, nustatoma, kad yra pakankamai konkrečių aplinkybių, leidžiančių manyti, kad valstybei narei kyla tikra, esama arba numanoma terorizmo grėsme, aplinkybė, kad pagal PNR direktyvos 2 straipsnio 1 dalį ši valstybė narė numato taikyti šią direktyvą visiems ES vidaus skrydžiams iš šios valstybės narės ar į ją ribotu laikotarpiu, neviršija to, kas griežtai būtina. Iš tiesų dėl tokios grėsmės egzistavimo galima nustatyti atitinkamų duomenų perdavimo ir tvarkymo bei kovos su terorizmu ryšį (pagal analogiją žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 137 punktą).

172

Sprendimui, kuriame nustatytas toks PNR direktyvos taikymas, turi būti taikoma veiksminga teismo arba nepriklausomos administracinės institucijos, kurios sprendimas turi privalomąją galią, kontrolė, siekiant patikrinti, ar egzistuoja tokia situacija, taip pat, ar laikomasi sąlygų ir garantijų, kurios turi būti numatytos. PNR direktyvos taikymo laikotarpis negali viršyti to, kas griežtai būtina, bet jeigu grėsmė išlieka, gali būti pratęstas (pagal analogiją žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 168 punktą bei 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 58 punktą).

173

Priešingai, nesant tikros, esamos ar nuspėjamos terorizmo grėsmės, kuri kyla atitinkamai valstybei narei, aplinkybė, kad ta valstybė narė beatodairiškai taiko PNR direktyvoje nustatytą sistemą ne tik ES išorės, bet ir visiems jos vidaus skrydžiams, negali būti laikoma neviršijančia to, kas griežtai būtina.

174

Tokiu atveju pagal PNR direktyvą nustatytos sistemos taikymas tam tikriems ES vidaus skrydžiams turėtų apsiriboti tik PNR duomenų iš skrydžių, susijusių su tam tikrais oro maršrutais, kelionių schemomis ar oro uostais, dėl kurių yra tokį taikymą pateisinančių požymių, perdavimu ir tvarkymu. Esant tokiai situacijai, atitinkama valstybė narė, atsižvelgdama į vertinimo, kurį ji privalo atlikti remdamasi šio sprendimo 163–169 punktuose nurodytais reikalavimais, rezultatus, turi atrinkti ES vidaus skrydžius ir reguliariai juos peržiūrėti, atsižvelgdama į pasikeitusias jų atranką pateisinusias sąlygas, kad užtikrintų, kad šioje direktyvoje nustatytos sistemos taikymas ES vidaus skrydžiams niekada neviršytų to, kas griežtai būtina.

175

Iš to, kas išdėstyta, matyti, kad toks PNR direktyvos 2 straipsnio ir 3 straipsnio 4 punkto aiškinimas, atsižvelgiant į Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį, užtikrina, kad šios nuostatos neviršytų to, kas griežtai būtina.

176

Pagal PNR direktyvos 6 straipsnio 2 dalies a punktą jame numatytu išankstiniu vertinimu siekiama nustatyti asmenis, kuriuos turi papildomai patikrinti 7 straipsnyje nurodytos kompetentingos valdžios institucijos, nes tokie asmenys gali būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu.

177

Toks išankstinis vertinimas atliekamas dviem etapais. Visų pirma pagal PNR direktyvos 6 straipsnio 3 dalį atitinkamos valstybės narės informacijos apie keleivius skyrius automatizuotai tvarko PNR duomenis, juos lygindamas su duomenimis duomenų bazėse arba iš anksto nustatytais kriterijais. Antra, jeigu toks automatizuotas duomenų tvarkymas lemia teigiamą atitiktį („hit“), pagal šios direktyvos 6 straipsnio 5 dalį minėtas skyrius neautomatizuotomis priemonėmis atlieka individualią peržiūrą, kad patikrintų, ar minėtos direktyvos 7 straipsnyje nurodytos kompetentingos institucijos turi imtis priemonių pagal nacionalinę teisę („match“).

178

Vis dėlto, kaip priminta šio sprendimo 106 punkte, automatizuotam duomenų tvarkymui neišvengiamai būdinga gana didelė paklaida, nes toks tvarkymas atliekamas remiantis nepatikrintais asmens duomenimis ir grindžiamas iš anksto nustatytais kriterijais.

179

Šiomis aplinkybėmis ir atsižvelgiant į Chartijos preambulės ketvirtoje pastraipoje pabrėžtą būtinybę stiprinti pagrindinių teisių apsaugą, turint omenyje, be kita ko, mokslo ir technologijų laimėjimus, kaip nurodyta PNR direktyvos 20 konstatuojamojoje dalyje ir jos 7 straipsnio 6 dalyje, reikia užtikrinti, kad kompetentingos institucijos, remdamosi vien automatizuotu PNR duomenų tvarkymu, negalėtų priimti sprendimo, kuris turėtų neigiamų teisinių pasekmių asmeniui arba kuris jį labai paveiktų. Be to, pagal šios direktyvos 6 straipsnio 6 dalį pats informacijos apie keleivius skyrius gali perduoti PNR duomenis šioms institucijoms, tik atskirai juos peržiūrėjęs neautomatizuotomis priemonėmis. Galiausiai, be šių patikrinimų, kuriuos turi atlikti informacijos apie keleivius skyriai ir kompetentingos institucijos, visais atvejais automatizuoto tvarkymo teisėtumą turi galėti patikrinti duomenų apsaugos pareigūnas ir nacionalinė priežiūros institucija atitinkamai pagal minėtos direktyvos 6 straipsnio 7 dalį ir 15 straipsnio 3 dalies b punktą, taip pat nacionaliniai teismai, nagrinėdami ieškinį pagal tos pačios direktyvos 13 straipsnio 1 dalį.

180

Kaip savo išvados 207 punkte iš esmės pažymėjo generalinis advokatas, nacionalinei priežiūros institucijai, duomenų apsaugos pareigūnui ir informacijos apie keleivius skyriui turi būti suteikti būtini materialiniai ir personalo ištekliai, kad šie galėtų atlikti jiems pagal PNR direktyvą pavestą kontrolę. Be to, svarbu, kad nacionalinės teisės aktuose, kuriais ši direktyva perkeliama į vidaus teisę ir kuriais leidžiamas joje numatytas automatizuotas duomenų tvarkymas, būtų nustatytos aiškios ir tikslios duomenų bazių ir naudojamų analizės kriterijų nustatymo taisyklės, nesuteikiant galimybės išankstinio vertinimo tikslais pasinaudoti kitais šios direktyvos 6 straipsnio 2 dalyje aiškiai nenumatytais metodais.

181

Be to, iš PNR direktyvos 6 straipsnio 9 dalies matyti, kad jos 6 straipsnio 2 dalies a punkte nustatyto išankstinio vertinimo pasekmės nekelia pavojaus Direktyvoje 2004/38 numatytai asmenų, kurie naudojasi laisvo judėjimo teise atitinkamos valstybės narės teritorijoje, teisei atvykti, be to, jos turi atitikti Reglamentą Nr. 562/2006. Taigi pagal PNR direktyvoje nustatytą sistemą kompetentingos institucijos negali apriboti šios teisės daugiau, nei numatyta Direktyvoje 2004/38 ir Reglamente Nr. 562/2006.

182

Pagal PNR direktyvos 6 straipsnio 3 dalies a punktą informacijos apie keleivius skyrius, atlikdamas šios direktyvos 6 straipsnio 2 dalies a punkte nurodytą vertinimą, „gali“ teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais palyginti PNR duomenis su „duomenimis duomenų bazėse, atitinkančiose <…> tikslus“, „įskaitant asmenų ar daiktų, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, duomenų bazes, pagal tokioms duomenų bazėms taikomas Sąjungos, tarptautines ir nacionalines taisykles“.

183

Nors iš pačios PNR direktyvos 6 straipsnio 3 dalies a punkto formuluotės, visų pirma iš žodžių „įskaitant“, matyti, kad duomenų bazės, susijusios su asmenimis ar daiktais, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, yra tarp šioje nuostatoje nurodytų „duomenų bazių <…> atitinkančių tikslus“, šioje nuostatoje nepatikslinama, kokios kitos duomenų bazės taip pat gali būti laikomos „atitinkančiomis <…> tikslus“, atsižvelgiant į šia direktyva siekiamus tikslus. Iš tiesų, kaip savo išvados 217 punkte pažymėjo generalinis advokatas, minėtoje nuostatoje aiškiai nenurodytas duomenų, galinčių būti tokiose bazėse, pobūdis ir jų ryšys su šiais tikslais, taip pat nenurodyta, ar PNR duomenys turi būti lyginami tik su valdžios institucijų tvarkomomis duomenų bazėmis, ar jie taip pat gali būti susieti su privačių asmenų tvarkomomis duomenų bazėmis.

184

Šiomis aplinkybėmis iš pirmo žvilgsnio PNR direktyvos 6 straipsnio 3 dalies a punktas galėtų būti aiškinamas taip, kad PNR duomenys gali būti naudojami kaip paprasti paieškos kriterijai, atliekant analizę įvairiose duomenų bazėse, įskaitant duomenų bazes, kurias administruoja ir eksploatuoja valstybių narių saugumo ir žvalgybos agentūros, siekdamos kitų nei šioje direktyvoje nurodytų tikslų, ir kad tokia analizė gali būti viena iš duomenų gavybos („data mining“) formų. Galimybė atlikti tokias analizes ir palyginti PNR duomenis su tokiomis duomenų bazėmis gali sukelti oro transporto keleiviams įspūdį, kad jų privatus gyvenimas yra stebimas. Taigi, nors šioje nuostatoje numatytas išankstinis vertinimas atliekamas remiantis sąlygiškai ribotais duomenimis, t. y. PNR duomenimis, toks 6 straipsnio 3 dalies a punkto aiškinimas negali būti priimtinas, nes tikėtina, kad tokiu atveju būtų neproporcingai naudojamasi šiais duomenimis ir taip suteikiama galimybė nustatyti tikslų duomenų subjektų profilį vien dėl to, kad šie asmenys ketina keliauti lėktuvu.

185

Taigi, remiantis šio sprendimo 86 ir 87 punktuose priminta jurisprudencija, PNR direktyvos 6 straipsnio 3 dalies a punktą reikia aiškinti taip, kad būtų užtikrintas visiškas Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių paisymas.

186

Šiuo klausimu iš PNR direktyvos 7 ir 15 konstatuojamųjų dalių matyti, kad šios direktyvos 6 straipsnio 3 dalies a punkte numatytas automatizuotas duomenų tvarkymas turi apimti tik tai, kas yra griežtai būtina kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais, kartu užtikrinant aukštą šių pagrindinių teisių apsaugos lygį.

187

Be to, kaip Komisija iš esmės pažymėjo atsakydama į Teisingumo Teismo klausimą, šios nuostatos formuluotė, pagal kurią informacijos apie keleivius skyrius „gali“ palyginti PNR duomenis su jo duomenų bazėse esančiais duomenimis, leidžia informacijos apie keleivius skyriui pasirinkti tvarkymo būdą, kuris neviršytų to, kas griežtai būtina, atsižvelgiant į konkrečią situaciją. Atsižvelgiant į tai, kad būtina laikytis aiškumo ir tikslumo reikalavimų, būtinų Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių apsaugai užtikrinti, informacijos apie keleivius skyrius privalo PNR direktyvos 6 straipsnio 3 dalies a punkte numatytą automatizuotą duomenų tvarkymą apriboti tik duomenų bazėmis, kurias galima nustatyti pagal šią nuostatą. Nors 6 straipsnio 3 dalies a punkte esanti nuoroda į „duomenų bazes, atitinkančias <…> tikslus“ negali būti aiškinama kaip pakankamai aiškiai ir tiksliai nurodanti taip apibūdintas duomenų bazes, kitaip yra nuorodos į „asmenų ar daiktų, kurių ieškoma arba dėl kurių paskelbti perspėjimai, duomenų bazes pagal tokioms duomenų bazėms taikomas Sąjungos, tarptautines ir nacionalines taisykles“ atveju.

188

Taigi, kaip savo išvados 219 punkte iš esmės pažymėjo generalinis advokatas, PNR direktyvos 6 straipsnio 3 dalies a punktas, atsižvelgiant į šias pagrindines teises, turi būti aiškinamas taip, kad asmenų ar daiktų, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, duomenų bazės yra vienintelės duomenų bazės, kuriose esančius duomenis informacijos apie keleivius skyrius gali palyginti su PNR duomenimis.

189

Kalbant apie reikalavimus, kuriuos turi atitikti šios duomenų bazės, reikia pažymėti, kad pagal PNR direktyvos 6 straipsnio 4 dalį išankstinis vertinimas, atliekamas atsižvelgiant į iš anksto nustatytus kriterijus, pagal šios direktyvos 6 straipsnio 3 dalies b punktą turi būti atliktas nediskriminuojant, šie kriterijai turi būti tiksliniai, proporcingi ir konkretūs, o informacijos apie keleivius skyriai, bendradarbiaudami su minėtos direktyvos 7 straipsnyje nurodytomis kompetentingomis institucijomis, turi juos reguliariai nustatyti ir peržiūrėti. Nors tos pačios direktyvos 6 straipsnio 4 dalies, kurioje daroma nuoroda į 6 straipsnio 3 dalies b punktą, formuluotė susijusi tik su PNR duomenų tvarkymu atsižvelgiant į iš anksto nustatytus kriterijus, ši 6 straipsnio 4 dalis turi būti aiškinama atsižvelgiant į Chartijos 7, 8 ir 21 straipsnius taip, kad joje nustatyti reikalavimai mutatis mutandis turi būti taikomi lyginant šiuos duomenis su pirmesniame šio sprendimo punkte nurodytose duomenų bazėse esančiais duomenimis, juo labiau kad šie reikalavimai iš esmės atitinka reikalavimus, nustatytus jurisprudencijoje, suformuotoje 2017 m. liepos 26 d. Nuomonėje 1/15 (ES ir Kanados PNR susitarimas,(EU:C:2017:592, 172 punktas) dėl PNR duomenų palyginimo su duomenų bazėse esančiais duomenimis.

190

Šiuo klausimu reikia patikslinti, kad reikalavimas, susijęs su minėtų duomenų bazių nediskriminaciniu pobūdžiu, be kita ko, reiškia, kad įtraukimas į duomenų bazes, susijusias su asmenimis, kurių ieškoma arba dėl kurių paskelbti perspėjimai, turi būti pagrįstas objektyvias ir nediskriminaciniais kriterijais, apibrėžtais tokioms duomenų bazėms taikomose nacionalinėse, tarptautinėse ir Sąjungos taisyklėse (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner ofAn GardaSíochána ir kt., C‑140/20, EU:C:2022:258, 78 punktą).

191

Be to, tam, kad būtų įvykdytas iš anksto nustatytų kriterijų tikslingumo, proporcingumo ir konkretumo reikalavimas, šio sprendimo 188 punkte nurodytos duomenų bazės turi būti eksploatuojamos kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais, kurie objektyviai, bent netiesiogiai, susiję su keleivių vežimu oru.

192

Taip pat duomenų bazes, naudojamas pagal PNR direktyvos 6 straipsnio 3 dalies a punktą, atsižvelgiant į tai, kas išdėstyta šio sprendimo 183 ir 184 punktuose, turi valdyti kompetentingos institucijos, nurodytos šios direktyvos 7 straipsnyje, arba, kiek tai susiję su Sąjungos duomenų bazėmis ir tarptautinėmis duomenų bazėmis, šios institucijos turi naudotis jomis, siekdamos kovoti su teroristiniais nusikaltimais ir sunkiais nusikaltimais. Taip yra kalbant apie duomenų bazes, susijusias su asmenimis ar daiktais, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, pagal tokioms duomenų bazėms taikomas Sąjungos, tarptautines ir nacionalines taisykles.

193

PNR direktyvos 6 straipsnio 3 dalies b punkte numatyta, kad informacijos apie keleivius skyrius taip pat gali tvarkyti PNR duomenis pagal iš anksto nustatytus kriterijus. Iš šios direktyvos 6 straipsnio 2 dalies a punkto matyti, kad išankstiniu vertinimu, taigi, ir PNR duomenų tvarkymu pagal iš anksto nustatytus kriterijus, iš esmės siekiama nustatyti asmenis, kurie gali būti susiję su teroristiniu nusikaltimu arba sunkiais nusikaltimais.

194

Kalbant apie kriterijus, kuriuos informacijos apie keleivius skyrius gali naudoti šiuo tikslu, pirmiausia reikia pažymėti, kad pačioje PNR direktyvos 6 straipsnio 3 dalies b punkto formuluotėje numatyta, kad šie kriterijai turi būti „iš anksto nustatyti“. Kaip savo išvados 228 punkte pažymėjo generalinis advokatas, pagal šį reikalavimą draudžiama naudoti dirbtinio intelekto technologijas mašininio mokymosi („machine learning“) sistemos kontekste, nes tokios technologijos be žmogaus įsikišimo ir kontrolės gali pakeisti vertinimo procesą ir konkrečius vertinimo kriterijus, kuriais grindžiamas jų taikymo rezultatas ir šių kriterijų reikšmė.

195

Svarbu pridurti, kad naudojant tokias technologijas kiltų pavojus, kad individuali teigiamų atitikčių peržiūra ir teisėtumo patikra, kuri būtina pagal PNR direktyvos nuostatas, taptų neveiksminga. Iš tiesų, kaip savo išvados 228 punkte nurodė generalinis advokatas, atsižvelgiant į neskaidrias dirbtinio intelekto technologijas, gali būti neįmanoma suprasti, kodėl taikant tam tikrą programą pasiektas teigiamas rezultatas. Tokiomis aplinkybėmis naudojant tokias technologijas iš duomenų subjektų galėtų būti atimta teisė į Chartijos 47 straipsnyje įtvirtintą veiksmingą teisminę gynybą, kurios aukštą lygį siekiama užtikrinti PNR direktyva, kaip nurodyta jos 28 konstatuojamojoje dalyje, visų pirma siekiant užginčyti nediskriminacinį gautų rezultatų pobūdį.

196

Be to, kiek tai susiję su reikalavimais, kylančiais iš PNR direktyvos 6 straipsnio 4 dalies, šios nuostatos pirmame sakinyje nurodyta, kad išankstinis vertinimas pagal iš anksto nustatytus kriterijus atliekamas nediskriminuojant, o jos ketvirtame sakinyje patikslinta, kad šie kriterijai jokiu būdu nėra nustatomi asmens rasės ar etninės kilmės, politinių pažiūrų, religijos ar filosofinių įsitikinimų, narystės profesinėse sąjungose, sveikatos, lytinio gyvenimo ar seksualinės orientacijos pagrindu.

197

Taigi valstybės narės negali naudoti iš anksto nustatytų kriterijų, pagrįstų ankstesniame šio sprendimo punkte nurodytomis savybėmis, kurių naudojimas galėtų sukelti diskriminaciją. Šiuo klausimu iš PNR direktyvos 6 straipsnio 4 dalies ketvirto sakinio formuluotės, pagal kurią iš anksto nustatyti kriterijai „jokiomis aplinkybėmis“ nėra pagrįsti šiomis savybėmis, matyti, kad ši nuostata susijusi tiek su tiesiogine, tiek su netiesiogine diskriminacija. Be to, tokį aiškinimą patvirtina Chartijos 21 straipsnio 1 dalis, pagal kurią draudžiama „bet kokia“ diskriminacija dėl šių savybių ir į kurią atsižvelgiant turi būti aiškinama minėta nuostata. Tokiomis aplinkybėmis kriterijai iš anksto turi būti nustatyti taip, kad, nors ir būtų suformuluoti neutraliai, juos taikant saugomų savybių turintys asmenys neatsidurtų ypač nepalankioje padėtyje.

198

Iš PNR direktyvos 6 straipsnio 4 dalies antrame sakinyje nustatytų reikalavimų dėl tikslingo, proporcingo ir konkretaus iš anksto nustatytų kriterijų pobūdžio matyti, kad išankstiniam vertinimui naudojami kriterijai turi būti nustatyti taip, kad būtų nukreipti konkrečiai į tuos asmenis, dėl kurių gali kilti pagrįstų įtarimų, kad jie yra susiję su teroristiniais nusikaltimais ar sunkiais nusikaltimais, kaip nurodyta šioje direktyvoje. Tokį aiškinimą patvirtina pati jos 6 straipsnio 2 dalies a punkto formuluotė, kurioje pabrėžiama: „kadangi“ duomenų subjektai „gali“ būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu. Be to, minėtos direktyvos 7 konstatuojamojoje dalyje patikslinta, kad vertinimo kriterijų kūrimas ir taikymas turėtų būti apribotas, kad apimtų tik teroristinius nusikaltimus bei sunkius nusikaltimus, „kurių atžvilgiu tokių kriterijų naudojimas yra aktualus“.

199

Siekdami taip nustatyti asmenis ir atsižvelgdami į diskriminacijos riziką, kurią kelia kriterijai, pagrįsti PNR direktyvos 6 straipsnio 4 dalies ketvirtame sakinyje nurodytomis savybėmis, informacijos apie keleivius skyriai ir kompetentingos institucijos iš esmės negali remtis šiomis savybėmis. Priešingai, kaip per posėdį pažymėjo Vokietijos vyriausybė, jie gali, be kita ko, atsižvelgti į asmenų faktinio elgesio, susijusio su kelionių lėktuvu rengimu ir vykdymu, ypatumus, kurie, remiantis kompetentingų valdžios institucijų konstatuotais faktais ir patirtimi, gali rodyti, kad taip besielgiantys asmenys gali dalyvauti teroristiniuose ar sunkiuose nusikaltimuose.

200

Šiomis aplinkybėmis, kaip atsakydama į Teisingumo Teismo klausimą pažymėjo Komisija, kriterijai iš anksto turi būti nustatyti taip, kad būtų atsižvelgta tiek į „kaltinamuosius“, tiek į „išteisinamuosius“ aspektus, nes tai gali prisidėti prie šių kriterijų patikimumo ir, be kita ko, užtikrinti, kad jie būtų proporcingi, kaip to reikalaujama pagal PNR direktyvos 6 straipsnio 4 dalies antrą sakinį.

201

Galiausiai pagal šios direktyvos 6 straipsnio 4 dalies trečią sakinį iš anksto nustatyti kriterijai turi būti reguliariai peržiūrimi. Atliekant tokią peržiūrą šie kriterijai turi būti atnaujinami atsižvelgiant į sąlygų, kuriomis remiantis į juos buvo atsižvelgta atliekant išankstinį vertinimą, pokyčius, taip sudarant galimybę, be kita ko, reaguoti į kovos su šio sprendimo 157 punkte nurodytais teroristiniais nusikaltimais ir sunkiais nusikaltimais pokyčius (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 82 punktą). Konkrečiai kalbant, atliekant minėtą peržiūrą reikia atsižvelgti į patirtį, įgytą taikant iš anksto nustatytus kriterijus, kad būtų kuo labiau sumažintas „klaidingų teigiamų“ rezultatų skaičius, ir taip prisidėti prie griežtai būtino šių kriterijų taikymo.

202

Reikalavimų, kurie pagal PNR direktyvos 6 straipsnio 4 dalį taikomi automatizuotam PNR duomenų tvarkymui, laikytis būtina ne tik nustatant ir peržiūrint duomenų bazes ir šioje nuostatoje numatytus iš anksto nustatytus kriterijus, bet ir per visą šių duomenų tvarkymo procesą, kaip savo išvados 230 punkte nurodė generalinis advokatas.

203

Konkrečiai kalbant apie iš anksto nustatytus kriterijus, pirmiausia reikėtų patikslinti, kad nors, kaip nurodyta PNR direktyvos 7 konstatuojamojoje dalyje, informacijos apie keleivius skyrius turi apibrėžti vertinimo kriterijus taip, kad remiantis toje direktyvoje nustatyta sistema kuo rečiau būtų klaidingai nustatoma nekaltų asmenų tapatybė, pagal tos direktyvos 6 straipsnio 5 ir 6 dalis informacijos apie keleivius skyrius taip pat turi neautomatizuotomis priemonėmis atlikti individualią bet kokio teigiamo rezultato peržiūrą, kad, kiek įmanoma, būtų nustatyti galimi „klaidingi teigiami rezultatai“. Be to, nepaisant to, kad informacijos apie keleivius skyrius nediskriminaciniu būdu turi nustatyti vertinimo kriterijus, jis taip pat privalo atlikti tokią peržiūrą, kad būtų išvengta galimų diskriminacinio pobūdžio rezultatų. Informacijos apie keleivius skyrius turi laikytis tos pačios pareigos atlikti peržiūrą, kai PNR duomenys lyginami su duomenimis duomenų bazėse.

204

Taigi informacijos apie keleivius skyriai turi susilaikyti nuo tokio automatizuoto duomenų tvarkymo rezultatų perdavimo PNR direktyvos 7 straipsnyje nurodytoms kompetentingoms institucijoms, jei, atsižvelgiant į šio sprendimo 198 punkte išdėstytas aplinkybes, atlikus tokią peržiūrą jie neturi pakankamo pagrindo pagrįstai įtarti, kad asmenys, kurių tapatybė nustatyta atliekant tokį automatizuotą duomenų tvarkymą, yra susiję su teroristiniais nusikaltimais ar sunkiais nusikaltimais, arba jei turi įrodymų, kad toks duomenų tvarkymas lemia diskriminacinio pobūdžio rezultatus.

205

Kalbant apie patikrinimus, kuriuos šiuo tikslu turi atlikti informacijos apie keleivius skyrius, iš PNR direktyvos 6 straipsnio 5 ir 6 dalių, siejamų su jos 20 ir 22 konstatuojamosiomis dalimis, matyti, kad valstybės narės turi numatyti aiškias ir tikslias taisykles, kuriomis vadovautųsi už individualią peržiūrą atsakingi pareigūnai, atlikdami analizę, ir kurios reglamentuotų tokią analizę, siekiant užtikrinti pagarbą Chartijos 7, 8 ir 21 straipsniuose įtvirtintoms pagrindinėms teisėms, ir, be kita ko, nuoseklią informacijos apie keleivius skyrių administracinę praktiką, laikantis nediskriminavimo principo.

206

Konkrečiai kalbant, atsižvelgiant į šio sprendimo 106 punkte nurodytą pakankamai didelį „klaidingų teigiamų“ rezultatų skaičių, valstybės narės turi įsitikinti, kad informacijos apie keleivius skyriai aiškiai ir tiksliai nustato objektyvius peržiūros kriterijus, leidžiančius jų pareigūnams patikrinti, pirma, ar teigiama atitiktis („hit“) iš tikrųjų susijusi su asmeniu, kurį galima sieti su teroristiniais nusikaltimais arba sunkiais nusikaltimais, nurodytais šio sprendimo 157 punkte, todėl ją toliau turi nagrinėti PNR direktyvos 7 straipsnyje nurodytos kompetentingos institucijos, taip pat, antra, ar toje direktyvoje numatytos automatizuoto duomenų tvarkymo operacijos, ypač iš anksto nustatyti kriterijai ir naudojamos duomenų bazės, nėra diskriminacinio pobūdžio.

207

Šiomis aplinkybėmis valstybės narės turi užtikrinti, kad pagal PNR direktyvos 13 straipsnio 5 dalį, siejamą su jos 37 konstatuojamąja dalimi, informacijos apie keleivius skyrius įregistruotų bet kokią PNR duomenų tvarkymo operaciją, atliktą iš anksto vertinant duomenis, įskaitant atvejus, kai atliekama individuali peržiūra neautomatizuotomis priemonėmis, siekiant patikrinti tokios tvarkymo operacijos teisėtumą ir vykdyti kontrolę.

208

Be to, pagal PNR direktyvos 7 straipsnio 6 dalies pirmą sakinį kompetentingos valdžios institucijos negali priimti jokių tik automatizuotu PNR duomenų tvarkymu grindžiamų sprendimų, kurie turėtų neigiamų teisinių pasekmių asmeniui arba kurie jį labai paveiktų, o tai reiškia, kad atlikdamos išankstinį vertinimą jos turi atsižvelgti ir, jei reikia, teikti pirmenybę individualios peržiūros, kurią neautomatizuotomis priemonėmis atlieka informacijos apie keleivius skyriai, rezultatams, palyginti su automatizuoto tvarkymo rezultatais. Šio 7 straipsnio 6 dalies antrame sakinyje patikslinama, kad tokie sprendimai neturi būti diskriminuojantys.

209

Šiuo tikslu kompetentingos institucijos turi užtikrinti tokio automatizuoto duomenų tvarkymo (be kita ko, jo nediskriminacinį pobūdį), ir individualios peržiūros teisėtumą.

210

Konkrečiai kalbant, kompetentingos institucijos turi užtikrinti, kad suinteresuotas asmuo (administracinės procedūros metu nebūtinai suteikiant jam galimybę susipažinti su iš anksto nustatytais vertinimo kriterijais ir juos taikančiomis programomis) galėtų suprasti šių kriterijų ir programų veikimą, kad žinodamas visas faktines aplinkybes galėtų nuspręsti, ar pasinaudoti PNR direktyvos 13 straipsnio 1 dalyje įtvirtinta savo teise į teisminę gynybą ir prireikus užginčyti neteisėtą, visų pirma diskriminacinį, šių kriterijų pobūdį (pagal analogiją žr. 2020 m. lapkričio 24 d. Sprendimo Minister van Buitenlandse Zaken, C‑225/19 ir C‑226/19, EU:C:2020:951, 43 punktą ir jame nurodytą jurisprudenciją). Tas pats pasakytina apie šio sprendimo 206 punkte nurodytus peržiūros kriterijus.

211

Galiausiai nagrinėdamas skundą pagal PNR direktyvos 13 straipsnio 1 dalį teismas, atsakingas už kompetentingų institucijų priimto sprendimo teisėtumo kontrolę, ir suinteresuotasis asmuo (išskyrus atvejus, kai kyla grėsmė valstybės saugumui) turi turėti galimybę susipažinti su visais motyvais ir įrodymais, kuriais remiantis buvo priimtas sprendimas (pagal analogiją žr. 2013 m. birželio 4 d. Sprendimo ZZ, C‑300/11, EU:C:2013:363, 54–59 punktus), įskaitant iš anksto nustatytus vertinimo kriterijus ir informaciją apie šiuos kriterijus taikančių programų veikimą.

212

Be to, pagal PNR direktyvos 6 straipsnio 7 dalį duomenų apsaugos pareigūnas, o pagal 15 straipsnio 3 dalies b punktą – nacionalinė priežiūros institucija turi užtikrinti automatizuoto tvarkymo, kurį atlieka informacijos apie keleivius skyriai, iš anksto vertindami duomenis, teisėtumo kontrolę; tokia kontrolė, be kita ko, apima nediskriminacinį tokių tvarkymo operacijų pobūdį. Nors pirmoje iš šių nuostatų šiuo klausimu patikslinama, kad duomenų apsaugos pareigūnas turi prieigą prie visų informacijos apie keleivius skyriaus tvarkomų duomenų, ši prieiga būtinai turi apimti ir iš anksto nustatytus kriterijus bei duomenų bazes, kuriomis naudojasi šis skyrius, kad būtų garantuotas duomenų apsaugos veiksmingumas ir aukštas duomenų apsaugos lygis, kurį duomenų apsaugos pareigūnas turi užtikrinti pagal šios direktyvos 37 konstatuojamąją dalį. Be to, nacionalinės priežiūros institucijos pagal šios direktyvos 15 straipsnio 3 dalies b punktą atliekami tyrimai, patikrinimai ir auditas taip pat gali būti susiję su šiais iš anksto nustatytais kriterijais ir duomenų bazėmis.

213

Iš viso to, kas išdėstyta, matyti, kad PNR direktyvos nuostatas, kuriomis reglamentuojamas išankstinis PNR duomenų vertinimas pagal šios direktyvos 6 straipsnio 2 dalies a punktą, galima aiškinti taip, kad jos atitinka Chartijos 7, 8 ir 21 straipsnius, jeigu laikomasi to, kas griežtai būtina.

214

Pagal PNR direktyvos 6 straipsnio 2 dalies b punktą kompetentingų institucijų prašymu PNR duomenys taip pat gali būti atskleisti šioms institucijoms ir būti įvertinti po numatyto atvykimo į valstybę narę arba išvykimo iš jos.

215

Kalbant apie sąlygas, kurioms esant gali būti atskleidžiami ir vertinami tokie duomenys, iš šios nuostatos matyti, kad informacijos apie keleivius skyrius gali tvarkyti PNR duomenis, kad „kiekvienu konkrečiu atveju“ galėtų atsakyti į „tinkamai pagrįstą ir pakankamais pagrindais paremtą kompetentingų valdžios institucijų prašymą“ atskleisti ir tvarkyti duomenis „teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais“. Be to, kai prašymas pateikiamas praėjus daugiau kaip šešiems mėnesiams po PNR duomenų perdavimo informacijos apie keleivius skyriui (pasibaigus šiam laikotarpiui visi PNR duomenys yra nuasmeninami, užmaskuojant tam tikrus jų elementus pagal PNR direktyvos 12 straipsnio 2 dalį), tos direktyvos 12 straipsnio 3 dalyje nustatyta, kad atskleisti visus PNR duomenis, taigi, ir nenuasmenintą jų versiją, leidžiama tik tuo atveju, jei įvykdytos dvi sąlygos: pirma, yra pagrįstų priežasčių manyti, kad tai būtina tos direktyvos 6 straipsnio 2 dalies b punkte nurodytais tikslais, ir, antra, jei tokį atskleidimą patvirtina teisminė institucija arba kita pagal nacionalinę teisę kompetentinga nacionalinė institucija.

216

Šiuo klausimu visų pirma iš pačios PNR direktyvos 6 straipsnio 2 dalies b punkto formuluotės matyti, kad informacijos apie keleivius skyrius negali sistemingai atskleisti ir vėliau vertinti visų oro transporto keleivių PNR duomenų, jis gali tik „kiekvienu konkrečiu atveju“ atsakyti į prašymus dėl tokio duomenų tvarkymo „konkrečiais atvejais“. Kadangi šioje nuostatoje kalbama apie „konkrečius atvejus“, šios duomenų tvarkymo operacijos nebūtinai turi apsiriboti tik vieno oro transporto keleivio PNR duomenimis, bet, kaip Komisija pažymėjo atsakydama į Teisingumo Teismo klausimą, taip pat gali būti susijusios su keliais asmenimis, su sąlyga, kad tie asmenys turi tam tikrų bendrų požymių, leidžiančių juos kartu laikyti „konkrečiu atveju“ siekiamo duomenų atskleidimo ir įvertinimo tikslais.

217

Kalbant apie materialines sąlygas, kurios būtinos norint atskleisti ir vėliau vertinti oro transporto keleivių PNR duomenis, pažymėtina, kad nors PNR direktyvos 6 straipsnio 2 dalies b punkte ir 12 straipsnio 3 dalies a punkte atitinkamai nurodytos sąvokos „pakankami pagrindai“ ir „pagrįstai manoma“, aiškiai neatskleidžiant šių pagrindų pobūdžio, iš pirmosios nuostatos formuluotės, kurioje išvardyti šios direktyvos 1 straipsnio 2 dalyje nurodyti tikslai, matyti, kad PNR duomenų atskleidimas ir vėlesnis jų vertinimas gali būti atliekamas tik siekiant patikrinti, ar yra požymių dėl galimo duomenų subjektų dalyvavimo vykdant teroristinius ar sunkius nusikaltimus, kurie, kaip matyti iš šio sprendimo 157 punkto, yra objektyviai (bent netiesiogiai) susiję su keleivių vežimu oro transportu.

218

Vis dėlto PNR direktyvoje nustatytos sistemos kontekste PNR duomenų atskleidimas ir tvarkymas pagal šios direktyvos 6 straipsnio 2 dalies b punktą yra susiję su asmenų, kurie jau buvo iš anksto įvertinti prieš jiems atvykstant į atitinkamą valstybę narę arba prieš numatomą jų išvykimą iš jos, duomenimis. Be to, prašymas atlikti vėlesnį vertinimą gali būti susijęs, be kita ko, su asmenimis, kurių PNR duomenys nebuvo perduoti kompetentingoms institucijoms atlikus išankstinį vertinimą, jeigu nebuvo nustatyta aplinkybių, rodančių, kad šie asmenys gali būti siejami su teroristiniais nusikaltimais arba sunkiais nusikaltimais, kurie objektyviai (bent netiesiogiai) turi ryšį su keleivių vežimu oru. Šiomis aplinkybėmis tokių duomenų atskleidimas ir tvarkymas, siekiant juos įvertinti vėliau, turi būti grindžiamas naujomis tokį naudojimą pateisinančiomis aplinkybėmis (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592 200 punktą ir jame nurodytą jurisprudenciją).

219

Kalbant apie aplinkybių, galinčių pateisinti PNR duomenų atskleidimą ir tvarkymą, siekiant atlikti vėlesnį jų vertinimą, pobūdį, iš suformuotos jurisprudencijos matyti: kadangi bendra prieiga prie visų saugomų duomenų, nepaisant to, ar egzistuoja koks nors bent jau netiesioginis ryšys su siekiamu tikslu, negali būti laikoma neviršijančia to, kas griežtai būtina, atitinkami teisės aktai (Sąjungos teisės aktas ar jį į nacionalinę teisę perkeliantis nacionalinės teisės aktas) turi būti grindžiami objektyviais kriterijais, kad būtų nustatytos aplinkybės ir sąlygos, kurioms esant kompetentingoms nacionalinėms institucijoms turi būti suteikta prieiga prie nagrinėjamų duomenų. Šiuo klausimu pabrėžtina, kad, kalbant apie kovą su nusikalstamumu, iš principo prieiga gali būti suteikta tik prie asmenų, kurie įtariami planuojantys sunkų nusikaltimą, jį darantys arba padarę, arba vienaip ar kitaip dalyvavę jį darant, duomenų. Vis dėlto ypatingais atvejais, pavyzdžiui, kai terorizmo veikla kėsinamasi į gyvybinius nacionalinio saugumo, gynybos arba visuomenės saugumo interesus, prieiga ir prie kitų asmenų duomenų gali būti leidžiama, jeigu turima objektyvios informacijos, dėl kurios galima manyti, kad konkrečiu atveju šie duomenys iš tiesų prisidės kovojant su tokia veikla (2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių ryšių duomenų sąlygos), C‑746/18, EU:C:2021:152, 50 punktas ir jame nurodyta jurisprudencija; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner ofAn GardaSíochána ir kt., C‑140/20, EU:C:2022:258, 105 punktas).

220

Taigi PNR direktyvos 6 straipsnio 2 dalies b punkte ir 12 straipsnio 3 dalies a punkte vartojamos sąvokos „pakankami pagrindai“ ir „pagrįstai manoma“, atsižvelgiant į Chartijos 7 ir 8 straipsnius, turi būti aiškinamos kaip susijusios su objektyvia informacija, galinčia sukelti pagrįstą įtarimą, kad duomenų subjektas yra kaip nors siejamas su sunkiais nusikaltimais, objektyviai (bent netiesiogiai) turinčiais ryšį su keleivių vežimu oro transportu, o teroristinių nusikaltimų, tokiu ryšiu susijusių su keleivių vežimu oro transportu, atveju šis reikalavimas tenkinamas, kai yra objektyvių duomenų, leidžiančių manyti, kad konkrečiu atveju PNR duomenys galėtų veiksmingai padėti kovoti su tokiais nusikaltimais.

221

Galiausiai, kalbant apie PNR duomenų atskleidimo ir tvarkymo vėlesnio vertinimo tikslais procedūrines sąlygas, pagal PNR direktyvos 12 straipsnio 3 dalies b punktą reikalaujama, kad tais atvejais, kai prašymas pateikiamas praėjus daugiau nei šešiems mėnesiams po jų perdavimo informacijos apie keleivius skyriui, t. y. kai pagal šio straipsnio 2 dalį šie duomenys buvo nuasmeninti, užmaskuojant toje 2 dalyje nurodytus elementus, visų PNR duomenų, taigi, ir nuasmenintų duomenų, atskleidimą patvirtintų teismas arba kita pagal nacionalinę teisę kompetentinga nacionalinė institucija. Tokiomis aplinkybėmis šios institucijos turi išsamiai išnagrinėti prašymo pagrįstumą ir, be kita ko, patikrinti, ar minėtam prašymui pagrįsti pateikti įrodymai tenkina ankstesniame punkte nurodytą materialinę sąlygą, susijusią su „pagrįstų motyvų“ buvimu.

222

Tiesa, tuo atveju, kai prašymas atskleisti ir vėliau įvertinti PNR duomenis pateikiamas prieš pasibaigiant šešių mėnesių terminui po šių duomenų perdavimo, PNR direktyvos 6 straipsnio 2 dalies b punkte aiškiai nenumatyta tokios procedūrinės sąlygos. Vis dėlto aiškinant PNR direktyvos 6 straipsnio 2 dalies b punktą reikia atsižvelgti į šios direktyvos 25 konstatuojamąją dalį, iš kurios matyti, kad numatydamas minėtą procedūrinę sąlygą Sąjungos teisės aktų leidėjas siekė „užtikrinti aukščiausio lygio duomenų apsaugą“, kiek tai susiję su prieiga prie PNR duomenų tokia forma, kuri leistų tiesiogiai nustatyti duomenų subjekto tapatybę. Kiekvienas prašymas atskleisti duomenis ir atlikti vėlesnį vertinimą apima tokią prieigą prie šių duomenų, neatsižvelgiant į tai, ar šis prašymas pateiktas prieš pasibaigiant šešių mėnesių laikotarpiui po PNR duomenų perdavimo informacijos apie keleivius skyriui, ar pasibaigus šiam laikotarpiui.

223

Siekiant praktiškai užtikrinti visapusišką pagarbą pagrindinėms teisėms pagal PNR direktyvą sukurtoje sistemoje ir laikytis šio sprendimo 218 ir 219 punktuose išdėstytų sąlygų, svarbu, kad PNR duomenų atskleidimui vėlesnio jų vertinimo tikslais, išskyrus tinkamai pagrįstus skubos atvejus, būtų taikoma išankstinė teismo arba nepriklausomos administracinės institucijos kontrolė, o teismas arba tokia institucija sprendimą priimtų gavę pagrįstą kompetentingų institucijų prašymą, pateiktą, inter alia, vykstant nusikalstamų veikų prevencijos, nustatymo arba patraukimo už jas baudžiamojon atsakomybėn procesams. Tinkamai pagrįstais skubos atvejais tokią kontrolę reikia atlikti per trumpą laiką (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 202 punktą ir jame nurodytą jurisprudenciją; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner ofAn GardaSíochána ir kt., C‑140/20, EU:C:2022:258, 110 punktą).

224

Tokiomis aplinkybėmis PNR direktyvos 12 straipsnio 3 dalies b punkte numatytas išankstinės kontrolės reikalavimas prašymams atskleisti PNR duomenis, pateiktiems pasibaigus šešių mėnesių laikotarpiui po tų duomenų perdavimo informacijos apie keleivius skyriams, mutatis mutandis turėtų būti taikomas ir tuo atveju, kai prašymas atskleisti duomenis pateikiamas iki to laikotarpio pabaigos.

225

Be to, nors PNR direktyvos 12 straipsnio 3 dalies b punkte aiškiai nenurodyti reikalavimai, kuriuos turi atitikti už išankstinę kontrolę atsakinga institucija, pagal suformuotą jurisprudenciją, siekiant užtikrinti, kad Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymas, kylantis dėl prieigos prie asmens duomenų, neviršytų to, kas griežtai būtina, ši institucija turi turėti visus įgaliojimus ir teikti garantijas, būtinas įvairių nagrinėjamų interesų ir teisių suderinimui užtikrinti. Konkrečiau kalbant apie ikiteisminį tyrimą, tokiai kontrolei vykdyti reikia, kad ši institucija galėtų užtikrinti teisingą pusiausvyrą tarp interesų, susijusių su tyrimo poreikiais kovojant su nusikalstamumu, ir asmenų, prie kurių duomenų suteikiama prieiga, pagrindinių teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą (2022 m. balandžio 5 d. Sprendimo Commissioner ofAn GardaSíochána ir kt., C‑140/20, EU:C:2022:258, 107 punktas ir jame nurodyta jurisprudencija).

226

Šiuo tikslu tokiai institucijai turi būti suteiktas statusas, leidžiantis jai objektyviai ir nešališkai veikti vykdant savo funkcijas, todėl ji turi būti apsaugota nuo bet kokios išorinės įtakos. Šis nepriklausomumo reikalavimas reiškia, kad tokia institucija turi trečiojo asmens statusą prieigos prie duomenų prašančio subjekto atžvilgiu, kad ji galėtų vykdyti kontrolę be jokios išorinės įtakos. Konkrečiai baudžiamosios teisės srityje nepriklausomumo reikalavimas reiškia, kad už šią išankstinę kontrolę atsakinga institucija, pirma, nedalyvauja vykdant nagrinėjamą ikiteisminį tyrimą, antra, turi būti nešališka baudžiamojo proceso šalims (šiuo klausimu žr. 2022 m. balandžio 5 d. Sprendimo Commissioner ofAn GardaSíochána ir kt., C‑140/20, EU:C:2022:258, 108 punktą ir jame nurodytą jurisprudenciją).

227

Taigi PNR direktyvos nuostatas, kuriomis reglamentuojamas PNR duomenų atskleidimas ir vėlesnis vertinimas pagal šios direktyvos 6 straipsnio 2 dalies b punktą, galima aiškinti taip, kad jos atitinka Chartijos 7, 8 ir 21 straipsnius, jeigu laikomasi to, kas griežtai būtina.

228

Remiantis tuo, kas išdėstyta, kadangi PNR direktyvos aiškinimas, atsižvelgiant į Chartijos 7, 8, 21 straipsnius ir 52 straipsnio 1 dalį, užtikrina šios direktyvos suderinamumą su minėtais Chartijos straipsniais, išnagrinėjus antrąjį–ketvirtąjį ir šeštąjį klausimus nenustatyta nieko, kas galėtų paveikti šios direktyvos galiojimą.

229

Penktuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar PNR direktyvos 6 straipsnis, siejamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriais leidžiama tvarkyti pagal šią direktyvą surinktus PNR duomenis žvalgybos ir saugumo tarnybų atliekamo stebėjimo tikslais.

230

Iš prašymo priimti prejudicinį sprendimą matyti, kad pateikdamas šį klausimą prašymą priimti prejudicinį sprendimą pateikęs teismas konkrečiai nurodo veiklos rūšis, kurios patenka į Sûreté de l’État (Valstybės saugumo tarnyba, Belgija) ir Service général du renseignement et de la sécurité (Generalinė žvalgybos ir saugumo tarnyba, Belgija) veiklos sritį, kai jos vykdo atitinkamas savo funkcijas, susijusias su nacionalinio saugumo užtikrinimu.

231

Šiuo klausimu siekdamas laikytis, be kita ko, Chartijos 52 straipsnio 1 dalyje įtvirtintų teisėtumo ir proporcingumo principų Sąjungos teisės aktų leidėjas numatė aiškias ir tikslias taisykles, reglamentuojančias PNR direktyvoje numatytų priemonių, kuriomis suvaržomos Chartijos 7 ir 8 straipsniuose įtvirtintos pagrindinės teisės, tikslus.

232

Iš tiesų PNR direktyvos 1 straipsnio 2 dalyje aiškiai nurodyta, kad pagal šią direktyvą surinkti PNR duomenys gali būti tvarkomi „teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, kaip numatyta [šios direktyvos] 6 straipsnio 2 dalies a, b ir c punktuose“. Pastaroji nuostata patvirtina 1 straipsnio 2 dalyje įtvirtintą principą, nes joje sistemingai vartojamos sąvokos „teroristinis nusikaltimas“ ir „sunkus nusikaltimas“.

233

Taigi iš šių nuostatų formuluotės aiškiai matyti, kad joje pateiktas PNR duomenų tvarkymo pagal PNR direktyvą tikslų sąrašas yra baigtinis.

234

Tokį aiškinimą, be kita ko, patvirtina PNR direktyvos 11 konstatuojamoji dalis, pagal kurią PNR duomenų tvarkymas turi būti proporcingas „konkretiems saugumo tikslams“, kurių siekiama šia direktyva, ir jos 7 straipsnio 4 dalis, pagal kurią informacijos apie keleivius skyrių gauti PNR duomenys ir šių duomenų tvarkymo rezultatas gali būti toliau tvarkomi „konkrečiais teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn tikslais“.

235

Be to, išsamus PNR direktyvos 1 straipsnio 2 dalyje nurodytų tikslų pobūdis taip pat reiškia, kad PNR duomenys negali būti saugomi vienoje duomenų bazėje, su kuria galima susipažinti siekiant tiek šių, tiek kitų tikslų. Iš tiesų šių duomenų saugojimas tokioje duomenų bazėje keltų pavojų, kad tie duomenys bus naudojami kitais tikslais, nei nurodyti 1 straipsnio 2 dalyje.

236

Nagrinėjamu atveju, kadangi, prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, pagrindinėje byloje nagrinėjamame nacionalinės teisės akte žvalgybos ir saugumo tarnybų nurodytos veiklos vykdymas pripažįstamas PNR duomenų tvarkymo tikslu, taip šį tikslą priskiriant prie teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, atskleidimo, tyrimo ir baudžiamojo persekiojimo už juos tikslų, šiais teisės aktais gali būti pažeistas išsamus tikslų, kurių siekiama tvarkant PNR duomenis pagal PNR direktyvą, sąrašas, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

237

Taigi į penktąjį klausimą reikia atsakyti: PNR direktyvos 6 straipsnis, siejamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriais leidžiama tvarkyti pagal šią direktyvą surinktus PNR duomenis kitais tikslais nei aiškiai nurodytais minėtos direktyvos 1 straipsnio 2 dalyje.

238

Septintuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar PNR direktyvos 12 straipsnio 3 dalies b punktas turi būti aiškinamas taip, kad juo draudžiami nacionalinės teisės aktai, pagal kuriuos institucija, įsteigta kaip informacijos apie keleivius skyrius, taip pat yra kompetentinga nacionalinė institucija, įgaliota patvirtinti PNR duomenų atskleidimą, praėjus šešių mėnesių laikotarpiui po šių duomenų perdavimo informacijos apie keleivius skyriams.

239

Pirmiausia reikia pažymėti, kad Belgijos vyriausybei kyla abejonių dėl Teisingumo Teismo jurisdikcijos atsakyti į šį klausimą, kaip jį suformulavo prašymą priimti prejudicinį sprendimą pateikęs teismas, nes tik pastarasis teismas turi jurisdikciją aiškinti nacionalinės teisės nuostatas, visų pirma vertinti reikalavimus, kylančius iš 2016 m. gruodžio 25 d. įstatymo, atsižvelgiant į PNR direktyvos 12 straipsnio 3 dalies b punktą.

240

Šiuo klausimu pakanka pažymėti, kad prašymą priimti prejudicinį sprendimą pateikęs teismas prašo išaiškinti Sąjungos teisės nuostatą. Be to, pagal SESV 267 straipsnyje numatytą procedūrą nacionalines nuostatas turi aiškinti nacionaliniai teismai, o ne Teisingumo Teismas; pastarajam nepriklauso spręsti, ar vidaus teisės normos suderinamos su Sąjungos teisės nuostatomis, tačiau Teisingumo Teismas turi jurisdikciją pateikti nacionaliniam teismui visapusį Sąjungos teisės išaiškinimą, kuris šiam teismui leistų įvertinti vidaus teisės normų atitiktį Sąjungos teisės aktams (2020 m. balandžio 30 d. Sprendimo CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, 28 punktas ir jame nurodyta jurisprudencija). Darytina išvada, kad Teisingumo Teismas turi jurisdikciją atsakyti į septintąjį klausimą.

241

Dėl esmės reikia pažymėti, kad pagal PNR direktyvos 12 straipsnio 3 dalies b punktą, kurio i ir ii papunkčiuose atitinkamai minimos „teisminė institucija“ ir „kita nacionalinė valdžios institucija, pagal nacionalinę teisę kompetentinga patikrinti, ar įvykdytos atskleidimo sąlygos“, šios dvi institucijos vertinamos vienodai, kaip matyti iš jungtuko „arba“, vartojamo tarp šių i ir ii papunkčių. Taigi iš šios formuluotės matyti, kad taip nurodyta „kita“ kompetentinga nacionalinė institucija yra alternatyva teisminei institucijai, todėl jos nepriklausomumo ir nešališkumo lygis turi būti panašus į teisminės institucijos.

242

Šią analizę patvirtina PNR direktyvos 25 konstatuojamojoje dalyje nurodytas šios direktyvos tikslas užtikrinti aukščiausio lygio duomenų apsaugą, kiek tai susiję su prieiga prie visų PNR duomenų, kurie sudaro galimybę tiesiogiai nustatyti duomenų subjekto tapatybę. Be to, toje pačioje konstatuojamojoje dalyje patikslinta, kad tokia prieiga turėtų būti suteikta tik laikantis labai griežtų sąlygų praėjus šešiems mėnesiams po PNR duomenų perdavimo informacijos apie keleivius skyriui.

243

Šią analizę taip pat patvirtina PNR direktyvos genezė. Iš tiesų nors šio sprendimo 155 punkte minėtos direktyvos pasiūlyme, kuriuo remiantis buvo priimta PNR direktyva, buvo numatyta tik tai, kad „prieigą prie visų PNR duomenų gali suteikti tik informacijos apie keleivius skyriaus vadovas“, šios direktyvos 12 straipsnio 3 dalies b punkto versijoje, kurią galiausiai pasirinko Sąjungos teisės aktų leidėjas, nurodomos to paties lygmens teisminė institucija ir „kita nacionalinė valdžios institucija“, kompetentinga patikrinti, ar įvykdytos visų PNR duomenų atskleidimo sąlygos, ir patvirtinti tokį atskleidimą.

244

Be to, remiantis šios sprendimo 223, 225 ir 226 punktuose priminta suformuota jurisprudencija, būtina, kad prieš suteikiant kompetentingoms institucijoms prieigą prie saugomų duomenų teismas arba nepriklausomas administracinis subjektas atliktų išankstinę kontrolę, o teismas ar toks subjektas savo sprendimą priimtų gavę motyvuotą tų institucijų prašymą, kurį jos pateiktų, be kita ko, vykdydamos prevencijos, atskleidimo arba baudžiamojo persekiojimo procedūras. Taigi nepriklausomumo reikalavimas, kurį turi atitikti subjektas, atsakingas už išankstinės kontrolės vykdymą, reiškia, kad šis subjektas turi turėti trečiojo asmens statusą prieigos prie duomenų prašančios institucijos atžvilgiu, kad galėtų vykdyti šią kontrolę objektyviai ir nešališkai ir būtų apsaugotas nuo bet kokios išorinės įtakos. Konkrečiai kalbant, baudžiamojoje srityje nepriklausomumo reikalavimas reiškia, kad už šią išankstinę kontrolę atsakinga institucija, pirma, nedalyvauja vykdant nagrinėjamą baudžiamąjį tyrimą ir, antra, turi būti nešališka baudžiamojo proceso šalių atžvilgiu.

245

Kaip savo išvados 271 punkte pažymėjo generalinis advokatas, PNR direktyvos 4 straipsnio 1 ir 3 dalyse numatyta, kad kiekvienoje valstybėje narėje įsteigtas informacijos apie keleivius skyrius yra institucija, kompetentinga užkirsti kelią teroristiniams nusikaltimams ir sunkiems nusikaltimams, taip pat juos nustatyti, tirti ir patraukti už juos baudžiamojon atsakomybėn, o jos darbuotojai gali būti šios direktyvos 7 straipsnyje nurodytų kompetentingų institucijų deleguoti pareigūnai, taigi informacijos apie keleivius skyrius yra neišvengiamai susijęs su tokiomis institucijomis. Pagal minėtos direktyvos 6 straipsnio 2 dalies b punktą informacijos apie keleivius skyrius taip pat gali atlikti PNR duomenų tvarkymo operacijas, apie kurių rezultatus jis praneša minėtoms institucijoms. Atsižvelgiant į tai, kas išdėstyta, negalima laikyti, kad informacijos apie keleivius skyrius turi trečiojo asmens statusą šių institucijų atžvilgiu ir visas nepriklausomumo ir nešališkumo garantijas, kurių reikalaujama siekiant atlikti ankstesniame šio sprendimo punkte minėtą išankstinę kontrolę ir patikrinti, ar įvykdytos visų PNR duomenų atskleidimo sąlygos, kaip numatyta tos pačios direktyvos 12 straipsnio 3 dalies b punkte.

246

Be to, aplinkybė, kad 12 straipsnio 3 dalies b punkto ii papunktyje reikalaujama, kad tuo atveju, kai „kita kompetentinga nacionalinė institucija“ patvirtina visų šių duomenų atskleidimą, informacijos apie keleivius skyriaus duomenų apsaugos pareigūnas būtų apie tai „informuojamas ir kad tas duomenų apsaugos pareigūnas atli[ktų] ex post peržiūrą“, nors to nereikalaujama tuo atveju, kai atskleidimą patvirtina teisminė institucija, nepaneigia tokio vertinimo. Iš tiesų pagal suformuotą jurisprudenciją vėlesnė kontrolė (kaip ta, kurią atlieka duomenų apsaugos pareigūnas) neleidžia pasiekti išankstinės kontrolės tikslo užkirsti kelią tam, kad būtų suteikta prieiga prie nagrinėjamų duomenų, kuri viršytų tai, kas griežtai būtina (šiuo klausimu žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 110 punktą ir jame nurodytą jurisprudenciją).

247

Atsižvelgiant į visa tai, kas išdėstyta, į septintąjį klausimą reikia atsakyti: PNR direktyvos 12 straipsnio 3 dalies b punktas turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, pagal kuriuos institucija, įsteigta kaip informacijos apie keleivius skyrius, taip pat yra kompetentinga nacionalinė institucija, įgaliota patvirtinti PNR duomenų atskleidimą, praėjus šešių mėnesių laikotarpiui po šių duomenų perdavimo informacijos apie keleivius skyriui.

248

Aštuntuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar PNR direktyvos 12 straipsnis, siejamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriuose numatytas bendras penkerių metų PNR duomenų saugojimo laikotarpis, neatsižvelgiant į tai, ar atitinkami keleiviai kelia teroristinių arba sunkių nusikaltimų pavojų, ar ne.

249

Reikia priminti, kad pagal šios direktyvos 12 straipsnio 1 ir 4 dalis valstybės narės, kurios teritorijoje yra atitinkamo lėktuvo atvykimo arba išvykimo vieta, informacijos apie keleivius skyrius saugo oro vežėjų duomenų bazėje pateiktus PNR duomenis penkerius metus po jų perdavimo šiam skyriui ir galutinai ištrina šiuos duomenis, pasibaigus šiam penkerių metų laikotarpiui.

250

PNR direktyvos 25 konstatuojamojoje dalyje priminta, kad PNR duomenys „turėtų būti saugomi tokį laikotarpį, koks būtinas teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, ir šis laikotarpis turėtų būti šiems tikslams proporcingas“.

251

Taigi PNR duomenų saugojimas pagal PNR direktyvos 12 straipsnio 1 dalį negali būti pateisinamas, jeigu nėra objektyvaus ryšio tarp šio saugojimo ir šia direktyva siekiamų tikslų, t. y. kovos su teroristiniais nusikaltimais ir sunkiais nusikaltimais, objektyviai (bent netiesiogiai) susijusiais su keleivių vežimu oru.

252

Šiuo klausimu, kaip matyti iš PNR direktyvos 25 konstatuojamosios dalies, reikia atskirti, pirma, šios direktyvos 12 straipsnio 2 dalyje numatytą pradinį šešių mėnesių saugojimo laikotarpį ir, antra, minėtos direktyvos 12 straipsnio 3 dalyje nurodytą vėlesnį laikotarpį.

253

Aiškinant PNR direktyvos 12 straipsnio 1 dalį reikia atsižvelgti į šio straipsnio 2 ir 3 dalių nuostatas, kuriose nustatyta PNR duomenų saugojimo ir prieigos prie jų tvarka pasibaigus pradiniam šešių mėnesių saugojimo laikotarpiui. Kaip matyti iš minėtos šios direktyvos 25 konstatuojamosios dalies, šiomis nuostatomis išreiškiamas, pirma, tikslas „PNR duomenis <…> saugoti pakankamai ilgą laikotarpį, kad juos būtų galima panaudoti analizei ir tyrimams atlikti“; tai gali būti atliekama jau per pradinį šešių mėnesių saugojimo laikotarpį. Antra, pagal tą pačią 25 konstatuojamąją dalį šiomis nuostatomis siekiama „išvengti neproporcingo naudojimo“, užmaskuojant šiuos duomenis, ir „užtikrinti aukščiausio lygio duomenų apsaugą“, leidžiant susipažinti su šiais duomenimis tokia forma, kuri padėtų tiesiogiai nustatyti duomenų subjekto tapatybę „pasibaigus tam pradiniam laikotarpiui <…> tik laikantis labai griežtų ir ribotų sąlygų“, atsižvelgiant į tai, kad kuo ilgiau saugomi PNR duomenys, tuo didesnis yra iš to kylantis suvaržymas.

254

Taigi skirtumas tarp pradinio šešių mėnesių saugojimo laikotarpio, numatyto PNR direktyvos 12 straipsnio 2 dalyje, ir vėlesnio laikotarpio, nurodyto šios direktyvos 12 straipsnio 3 dalyje, taip pat taikomas šio sprendimo 251 punkte nurodyto reikalavimo vykdymui.

255

Taigi, atsižvelgiant į PNR direktyvos tikslus ir teroristinių nusikaltimų bei sunkių nusikaltimų tyrimo ir baudžiamojo persekiojimo už juos poreikius, reikia konstatuoti, kad visų oro transporto keleivių, kuriems taikoma šioje direktyvoje nustatyta sistema, PNR duomenų saugojimas per pradinį šešių mėnesių laikotarpį, nesant jokios nuorodos apie jų dalyvavimą teroristiniuose nusikaltimuose ar sunkiuose nusikaltimuose, atrodo, iš principo neviršija to, kas griežtai būtina, nes toks saugojimas leidžia atlikti būtiną paiešką, siekiant nustatyti asmenis, kurie nebuvo įtariami dalyvavimu darant teroristinius nusikaltimus ar sunkius nusikaltimus.

256

Vis dėlto, kiek tai susiję su vėlesniu PNR direktyvos 12 straipsnio 3 dalyje numatytu saugojimo laikotarpiu, visų oro transporto keleivių, kuriems taikoma šia direktyva sukurta sistema, PNR duomenų saugojimas (be to, kad dėl didelio tokių nuolat saugomų duomenų kiekio kyla neproporcingo naudojimo ir piktnaudžiavimo rizika) (pagal analogiją žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 119 punktą) prieštarauja šios direktyvos 25 konstatuojamojoje dalyje nustatytam reikalavimui, kad tokie duomenys būtų saugomi tik tiek laiko, kiek tai yra būtina ir proporcinga siekiamiems tikslams, nes Sąjungos teisės aktų leidėjas siekė nustatyti aukščiausią PNR duomenų, pagal kuriuos galima tiesiogiai nustatyti duomenų subjekto tapatybę, apsaugos lygį.

257

Iš tiesų oro transporto keleivių, dėl kurių nei PNR direktyvos 6 straipsnio 2 dalies a punkte numatytas išankstinis vertinimas, nei galimi patikrinimai, atlikti per šios direktyvos 12 straipsnio 2 dalyje nurodytą šešių mėnesių laikotarpį, nei kokia nors kita aplinkybė neatskleidė objektyvių duomenų, leidžiančių nustatyti teroristinių nusikaltimų ar sunkių nusikaltimų, objektyviai (bent netiesiogiai) susijusių su šių keleivių kelione oro transportu, pavojų, atveju nėra net netiesioginio ryšio tarp šių keleivių PNR duomenų ir šia direktyva siekiamo tikslo, kuris pateisintų šių duomenų saugojimą (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 204 ir 205 punktą).

258

Taigi, tęstinis visų keleivių PNR duomenų kaupimas po pirminio šešių mėnesių laikotarpio neapsiriboja tuo, kas griežtai būtina (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 206 punktą).

259

Vis dėlto, jeigu konkrečiais atvejais nustatomi objektyvūs duomenys (pavyzdžiui, keleivių PNR duomenys, dėl kurių nustatyta patikrinta teigiama sutaptis), leidžiantys manyti, kad tam tikri keleiviai gali kelti teroristinių nusikaltimų ar sunkių nusikaltimų pavojų, tokių keleivių PNR duomenų saugojimas po šio pradinio laikotarpio, atrodo, yra galimas (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 207 punktą ir jame nurodytą jurisprudenciją).

260

Iš tiesų nustačius šiuos objektyvius duomenis būtų galima nustatyti ryšį su tvarkymo pagal PNR direktyvą tikslais, todėl su šiais keleiviais susijusių PNR duomenų saugojimas būtų pateisinamas per šioje direktyvoje nustatytą maksimalų penkerių metų terminą.

261

Kadangi nagrinėjamu atveju atrodo, kad pagrindinėje byloje nagrinėjamuose teisės aktuose numatyta bendra penkerių metų PNR duomenų saugojimo trukmė yra vienodai taikoma visiems keleiviams, įskaitant tuos, dėl kurių nei PNR direktyvos 6 straipsnio 2 dalies a punkte numatytas išankstinis vertinimas, nei galimi patikrinimai, atlikti per pradinį šešių mėnesių laikotarpį, nei kokia nors kita aplinkybė neatskleidė objektyvių duomenų, leidžiančių nustatyti teroristinių ar sunkių nusikaltimų pavojų, tokie teisės aktai gali pažeisti šios direktyvos 12 straipsnio 1 dalį, siejamą su Chartijos 7 ir 8 straipsniais bei 52 straipsnio 1 dalimi, nebent būtų galima juos aiškinti pagal šias nuostatas, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.

262

Atsižvelgiant į tai, kas išdėstyta, į aštuntąjį klausimą reikia atsakyti: PNR direktyvos 12 straipsnio 1 dalis, siejama su Chartijos 7 ir 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinama taip, kad pagal ją draudžiami nacionalinės teisės aktai, kuriuose numatyta bendra penkerių metų PNR duomenų saugojimo trukmė, vienodai taikoma visiems oro transporto keleiviams, įskaitant tuos, dėl kurių nei šios direktyvos 6 straipsnio 2 dalies a punkte numatytas išankstinis vertinimas, nei galimi patikrinimai, atlikti per šios direktyvos 12 straipsnio 2 dalyje nurodytą šešių mėnesių laikotarpį, nei kokia nors kita aplinkybė neatskleidė objektyvių duomenų, leidžiančių nustatyti teroristinių nusikaltimų ar sunkių nusikaltimų, objektyviai (bent netiesiogiai) susijusių su šių keleivių kelione oro transportu, pavojų.

263

Devintojo klausimo a punktu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar API direktyva galioja, atsižvelgiant į ESS 3 straipsnio 2 dalį ir Chartijos 45 straipsnį, remiantis prielaida, kad šioje direktyvoje nustatytos pareigos taikomos ES vidaus skrydžiams.

264

Kaip savo išvados 277 punkte pažymėjo generalinis advokatas ir kaip pabrėžė Taryba, Komisija ir kelios vyriausybės, ši prielaida yra klaidinga.

265

Iš tiesų API direktyvos 3 straipsnio 1 dalyje numatyta, kad, esant atsakingų už asmenų tikrinimą prie išorinių sienų institucijų prašymui, valstybės narės turi imtis būtinų priemonių nustatyti įpareigojimą vežėjams iki registracijos pabaigos perduoti informaciją apie keleivius, kuriuos jie pristatys į paskirtą sienos kirtimo punktą, per kurį tie asmenys pateks į valstybės narės teritoriją. Pagal minėtos direktyvos 6 straipsnio 1 dalį šie duomenys perduodami institucijoms, atsakingoms už išorės sienų, kurias kirsdamas keleivis atvyks į šią teritoriją, kontrolę, ir yra tvarkomi šioje nuostatoje numatytomis sąlygomis.

266

Iš šių nuostatų, siejamų su API direktyvos 2 straipsnio a, b ir d punktais, kuriuose atitinkamai apibrėžiamos sąvokos „vežėjas“, „išorės sienos“ ir „sienos kirtimo punktas“, aiškiai matyti, kad šioje direktyvoje oro transporto vežėjams nustatyta pareiga perduoti jos 3 straipsnio 2 dalyje nurodytus duomenis išorės sienų kontrolės institucijoms tik skrydžių, kuriais keleiviai vežami į kirtimo punktą, kuriame leidžiama kirsti valstybių narių išorines sienas su trečiosiomis šalimis, atveju, ir numatytas tik su tokiais skrydžiais susijusių duomenų tvarkymas.

267

Vis dėlto minėtoje direktyvoje nenustatyta jokios pareigos dėl keleivių, keliaujančių skrydžiais, kurie kerta tik valstybių narių vidaus sienas, duomenų.

268

Reikia pridurti, kad Direktyva 2006/24, kurioje į PNR duomenų sąrašą, kaip matyti iš jos 9 konstatuojamosios dalies ir 8 straipsnio 2 dalies, įtraukiami API direktyvos 3 straipsnio 2 dalyje nurodyti duomenys, surinkti pagal šią direktyvą ir saugomi tam tikrų oro vežėjų, ir kuria valstybėms narėms suteikiama galimybė pagal jos 2 straipsnį taikyti PNR direktyvą jų pasirinktiems ES vidaus skrydžiams, nepakeitė nei API direktyvos nuostatų, nei iš šios direktyvos kylančių apribojimų taikymo srities.

269

Atsižvelgiant į tai, kas išdėstyta, į devintojo klausimo a punktą reikia atsakyti: API direktyva turi būti aiškinama taip, kad ji netaikoma ES vidaus skrydžiams.

270

Nors devintojo klausimo b punkte prašymą priimti prejudicinį sprendimą pateikęs teismas remiasi API direktyva, siejama su ESS 3 straipsnio 2 dalimi ir Chartijos 45 straipsniu, iš prašymo priimti prejudicinį sprendimą matyti, kad šis teismas kelia klausimą dėl 2016 m. gruodžio 25 d. įstatyme nustatytos keleivių duomenų perdavimo ir tvarkymo sistemos suderinamumo su Sąjungos teisėje numatytu laisvu asmenų judėjimu ir vidaus sienų kontrolės panaikinimu, nes ši sistema taikoma ne tik oro transportui, bet ir geležinkelių, sausumos ir net jūrų transportui iš Belgijos arba į Belgiją Sąjungos viduje, nekertant išorės sienų su trečiosiomis šalimis.

271

Kaip matyti iš šio sprendimo 265–269 punktų, API direktyva nėra susijusi su atsakymu į šį klausimą, nes ji netaikoma ES vidaus skrydžiams ir joje nenustatoma pareigos perduoti ir tvarkyti keleivių, keliaujančių oro transportu ar kita transporto rūšimi Sąjungoje, nekertant išorės sienų su trečiosiomis šalimis, duomenų.

272

Vis dėlto, nors pagal SESV 67 straipsnio 2 dalį Sąjunga užtikrina, kad nebūtų vykdoma asmenų kontrolė kertant vidaus sienas, pagal PNR direktyvos 2 straipsnį, kuriuo rėmėsi Belgijos teisės aktų leidėjas, priimdamas pagrindinėje byloje nagrinėjamą 2016 m. gruodžio 25 d. įstatymą, kaip matyti iš prašymo priimti prejudicinį sprendimą, valstybėms narėms leidžiama taikyti šią direktyvą ES vidaus skrydžiams.

273

Šiomis aplinkybėmis, siekiant prašymą priimti prejudicinį sprendimą pateikusiam teismui pateikti naudingą atsakymą, devintojo klausimo b punktą reikia performuluoti taip, kad juo iš esmės siekiama išsiaiškinti, ar Sąjungos teisė, visų pirma PNR direktyvos 2 straipsnis, siejamas su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi ir Chartijos 45 straipsniu, turi būti aiškinama taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriuose numatyta, kad vežėjai ir kelionių operatoriai perduoda, o kompetentingos institucijos tvarko PNR duomenis, gautus iš skrydžių ir vežimo kitomis transporto priemonėmis Sąjungoje (iš arba į tą teisės aktą priėmusią valstybę narę arba vežant tranzitu per ją).

274

Chartijos 45 straipsnyje įtvirtintas laisvas asmenų judėjimas, kuris, be kita ko, yra viena iš pagrindinių vidaus rinkos laisvių (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Ordre des barreaux francophones et germanophone ir kt. (Prevencinės priemonės, taikomos siekiant išsiųsti), C‑718/19, EU:C:2021:505, 54 punktą).

275

Šio straipsnio 1 dalyje užtikrinama kiekvieno Sąjungos piliečio teisė laisvai judėti ir apsigyventi valstybių narių teritorijoje ir ši teisė, remiantis su Pagrindinių teisių chartija susijusiais išaiškinimais (OL C 303, 2007, p. 17), atitinka SESV 20 straipsnio 2 dalies pirmos pastraipos a punkte įtvirtintą teisę ir įgyvendinama pagal SESV 20 straipsnio 2 dalies antrą pastraipą ir Chartijos 52 straipsnio 2 dalį, laikantis Sutartyse ir joms įgyvendinti skirtose priemonėse nustatytų sąlygų ir apribojimų.

276

Be to, pagal ESS 3 straipsnio 2 dalį Sąjunga savo piliečiams siūlo vidaus sienų neturinčią laisvės, saugumo ir teisingumo erdvę, kurioje laisvas asmenų judėjimas užtikrinamas kartu taikant atitinkamas išorės sienų kontrolės ir nusikalstamumo prevencijos bei kovos su juo priemones. Be to, pagal SESV 67 straipsnio 2 dalį Sąjunga užtikrina, kad nebus asmenų kontrolės, jiems kertant vidaus sienas, ir formuoja valstybių narių bendrą išorės sienų kontrolės politiką.

277

Remiantis Teisingumo Teismo suformuota jurisprudencija, valstybės narės teisės nuostatos, dėl kurių tam tikri tos valstybės narės piliečiai atsiduria mažiau palankioje situacijoje tik todėl, kad pasinaudojo teise laisvai judėti ir apsigyventi kitoje valstybėje narėje, yra Chartijos 45 straipsnio 1 dalyje kiekvienam Sąjungos piliečiui pripažintų laisvių apribojimas (šiuo klausimu dėl SESV 21 straipsnio 1 dalies žr. 2017 m. birželio 8 d. Sprendimo Freitag, C‑541/15, EU:C:2017:432, 35 punktą ir jame nurodytą jurisprudenciją; taip pat 2020 m. lapkričio 19 d. Sprendimo ZW, C‑454/19, EU:C:2020:947, 30 punktą).

278

Nacionalinės teisės aktais, kaip antai nagrinėjamais pagrindinėje byloje, pagal kuriuos PNR direktyvoje numatyta sistema taikoma ne tik ES išorės skrydžiams, pagal šios direktyvos 2 straipsnio 1 dalį ES vidaus skrydžiams, bet ir šioje nuostatoje nenumatytam vežimui kitomis transporto priemonėmis Sąjungoje, nustatomas bet kurio keleivio, keliaujančio šiomis transporto priemonėmis Sąjungoje ir besinaudojančio judėjimo laisve, PNR duomenų perdavimas ir sistemingas bei nuolatinis jų tvarkymas.

279

Kaip konstatuota šio sprendimo 98–111 punktuose, ES išorės ir ES vidaus skrydžių keleivių duomenų perdavimas ir tvarkymas pagal PNR direktyvoje nustatytą sistemą yra tam tikro dydžio Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymas. Toks suvaržymas yra dar didesnis tais atvejais, kai ši sistema taikoma ir kitoms transporto priemonėms Sąjungoje. Dėl tų pačių priežasčių, kurios išdėstytos šiuose punktuose, tokie suvaržymai taip pat gali būti nepalankūs ir dėl to atgrasyti naudotis judėjimo laisve, kaip tai suprantama pagal Chartijos 45 straipsnį, tokius teisės aktus priėmusių valstybių narių piliečius ir apskritai Sąjungos piliečius, besinaudojančius šiomis transporto priemonėmis Sąjungoje, vykstant iš šių valstybių narių arba į jas, todėl minėtais teisės aktais ribojama ši pagrindinė laisvė.

280

Pagal suformuotą jurisprudenciją laisvo asmenų judėjimo ribojimas gali būti pateisinamas, tik jeigu jis grindžiamas objektyviais pagrindais ir yra proporcingas nacionaline teise siekiamam teisėtam tikslui. Priemonė yra proporcinga, jei būdama tinkama siekiamam tikslui įgyvendinti neviršija to, kas būtina jam pasiekti (šiuo klausimu žr. 2018 m. birželio 5 d. Sprendimo Coman ir kt., C‑673/16, EU:C:2018:385, 41 punktą ir jame nurodytą jurisprudenciją).

281

Reikia pridurti, kad nacionalinė priemonė, kuri riboja asmenų judėjimo laisvę, gali būti pateisinama tik jei ši priemonė nepažeidžia Chartijoje, kurios laikymąsi užtikrina Teisingumo Teismas, įtvirtintų pagrindinių teisių (2021 m. gruodžio 14 d. Sprendimo Stolichna obshtina, rayon „Pancharevo“, C‑490/20, EU:C:2021:1008, 58 punktas ir jame nurodyta jurisprudencija).

282

Konkrečiai kalbant, remiantis šio sprendimo 115 ir 116 punktuose priminta jurisprudencija, bendrojo intereso tikslo negalima siekti neatsižvelgiant į tai, kad jis turi būti suderintas su priemone susijusiomis pagrindinėmis teisėmis, taip užtikrinant, pirma, bendrojo intereso tikslo ir, antra, nagrinėjamų teisių pusiausvyrą. Šiuo klausimu valstybių narių galimybė pateisinti Chartijos 45 straipsnio 1 dalyje užtikrinamos pagrindinės teisės ribojimą turi būti vertinama atsižvelgiant į suvaržymo, kurį lemia toks ribojimas, dydį ir patikrinus, ar šiuo ribojimu siekiamo bendrojo intereso tikslo svarba susijusi su tokiu suvaržymo dydžiu.

283

Kaip priminta šio sprendimo 122 punkte, tikslas kovoti su teroristiniais nusikaltimais ir sunkiais nusikaltimais, kurio siekiama PNR direktyva, neabejotinai yra Sąjungos bendrojo intereso tikslas.

284

Dėl klausimo, ar nacionalinės teisės aktai, priimti siekiant perkelti PNR direktyvą ir kuriais šioje direktyvoje numatyta sistema išplečiama ES vidaus skrydžiams ir kitoms transporto rūšims Sąjungoje, yra tinkami siekiamam tikslui įgyvendinti, iš Teisingumo Teismo turimoje bylos medžiagoje esančios informacijos matyti, kad naudojant PNR duomenis galima nustatyti asmenų, kurie nebuvo įtariami dalyvavę darant teroristinius ar sunkius nusikaltimus ir kurie turėtų būti toliau tikrinami, tapatybę, todėl atrodo, kad tokie teisės aktai yra tinkami siekiant kovoti su teroristiniais nusikaltimais ir sunkiais nusikaltimais.

285

Kiek tai susiję su tokių teisės aktų būtinumu, pažymėtina, kad valstybių narių naudojimasis PNR direktyvos 2 straipsnio 1 dalyje, siejamoje su Chartijos 7 ir 8 straipsniais, numatyta teise turi apsiriboti tuo, kas griežtai būtina šiam tikslui pasiekti, atsižvelgiant į šio sprendimo 163–174 punktuose nurodytus reikalavimus.

286

Šie reikalavimai juo labiau taikomi tuo atveju, kai PNR direktyvoje numatyta sistema taikoma kitoms Sąjungos vidaus transporto priemonėms.

287

Be to, kaip matyti iš prašyme priimti prejudicinį sprendimą pateiktos informacijos, pagrindinėje byloje vienu nagrinėjamu nacionalinės teisės aktu perkeliamos PNR direktyva, API direktyva ir iš dalies Direktyva 2010/65. Šiuo tikslu jame numatyta, kad pagal PNR direktyvą sukurta sistema taikoma visiems ES vidaus skrydžiams, geležinkelių, sausumos ir net jūrų transportui Sąjungoje, vykstančiam iš Belgijos, į ją ir tranzitu per ją, taip pat kelionių organizatoriams, be to, šiuo teisės aktu siekiama ne tik kovos su teroristiniais nusikaltimais ir sunkiais nusikaltimais, bet ir kitų tikslų. Remiantis ta pačia informacija, atrodo, kad visus duomenis, surinktus pagal šį nacionalinės teisės aktą nustatytą sistemą, informacijos apie keleivius skyrius saugo vienoje duomenų bazėje, apimančioje PNR duomenis, įskaitant API direktyvos 3 straipsnio 2 dalyje nurodytus visų transporto keleivių, kuriems taikomas minėtas teisės aktas, duomenis.

288

Šiuo klausimu, kadangi prašymą priimti prejudicinį sprendimą pateikęs teismas, savo devintojo klausimo b punkte rėmėsi tikslu pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, t. y. API direktyvos tikslu, reikia priminti, kad, kaip matyti iš šio sprendimo 233, 234 ir 237 punktų, tikslų, kurių siekiama tvarkant PNR duomenis pagal PNR direktyvą, sąrašas yra baigtinis, todėl nacionalinės teisės aktai, leidžiantys tvarkyti pagal šią direktyvą surinktus PNR duomenis kitais nei joje numatytais tikslais, t. y. be kita ko, siekiant pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, prieštarauja šios direktyvos 6 straipsniui, aiškinamam atsižvelgiant į Chartiją.

289

Be to, kaip matyti iš šio sprendimo 235 punkto, valstybės narės negali sukurti vienos duomenų bazės, apimančios tiek PNR duomenis, surinktus pagal PNR direktyvą ir susijusius su ES vidaus ir išorės skrydžiais, tiek kitų transporto priemonių keleivių duomenis ir API direktyvos 3 straipsnio 2 dalyje nurodytus duomenis, kai su šia duomenų baze galima susipažinti siekiant ne tik tikslų, nurodytų PNR direktyvos 1 straipsnio 2 dalyje, bet ir kitų tikslų.

290

Galiausiai bet kuriuo atveju, kaip savo išvados 281 punkte pažymėjo generalinis advokatas, 2016 m. gruodžio 25 d. įstatymo 28–31 straipsniai gali būti suderinami su Sąjungos teise, visų pirma su SESV 67 straipsnio 2 dalimi, tik jeigu jie aiškinami taip, kad taikomi tik keleivių, kertančių Belgijos išorės sienas su trečiosiomis šalimis, duomenų perdavimui ir tvarkymui. Iš tiesų priemonė, kuria valstybė narė, siekdama pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, išplečia API direktyvos nuostatų (visų pirma tos direktyvos 3 straipsnio 1 dalyje numatytą pareigą perduoti keleivių duomenis) taikymą ES vidaus skrydžiams ir a fortiori kitų rūšių transportui, kuriuo keleiviai Sąjungoje vežami iš tos valstybės narės, į ją arba per ją, leistų kompetentingoms institucijoms sistemingai užtikrinti, kad kirsdami tos valstybės narės vidaus sienas tokie keleiviai turės leidimą įvažiuoti į jos teritoriją arba išvažiuoti iš jos, taigi tokia priemonė turėtų tokį patį poveikį kaip patikrinimai, atliekami prie išorės sienų su trečiosiomis šalimis.

291

Atsižvelgiant į visa tai, kas išdėstyta, į devintojo klausimo b punktą reikia atsakyti: Sąjungos teisė, visų pirma PNR direktyvos 2 straipsnis, siejamas su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi ir Chartijos 45 straipsniu, turi būti aiškinama taip, kad pagal ją draudžiami:

292

Dešimtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Sąjungos teisė turi būti aiškinama taip, kad pagal ją nacionaliniam teismui leidžiama apriboti laiko atžvilgiu jo paties pagal nacionalinę teisę priimto sprendimo pripažinti negaliojančiu nacionalinės teisės aktą, kuriuo oro, geležinkelių ir sausumos vežėjai bei kelionių operatoriai įpareigojami perduoti PNR duomenis ir kuriame numatytas tokių duomenų tvarkymas ir saugojimas, nesuderinamas su PNR direktyvos nuostatomis, siejamomis su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi, Chartijos 7, 8 ir 45 straipsniais ir 52 straipsnio 1 dalimi, poveikį.

293

Pagal Sąjungos teisės viršenybės principą Sąjungos teisė laikoma viršesne už valstybių narių teisę. Taigi pagal šį principą reikalaujama, kad visos valstybių narių institucijos užtikrintų visišką įvairių Sąjungos teisės nuostatų veiksmingumą, nes valstybių narių teisė negali turėti įtakos pripažintam šių nuostatų poveikiui minėtų valstybių narių teritorijoje. Pagal šį principą nacionalinis teismas, įpareigotas taikyti Sąjungos teisės nuostatas pagal jam suteiktą jurisdikciją, tuo atveju, jei neturi įgaliojimų aiškinti nacionalinės teisės aktų atsižvelgdamas į Sąjungos teisės reikalavimus, turi pareigą užtikrinti visišką šių nuostatų veiksmingumą, prireikus savo iniciatyva netaikydamas jokios, net ir vėliau priimtos, joms prieštaraujančios nacionalinės teisės nuostatos, ir neprivalo prašyti, kad ši nacionalinė nuostata būtų panaikinta teisėkūros arba kitokiomis konstitucinėmis priemonėmis, arba laukti, kol tai bus padaryta (1964 m. liepos 15 d. Sprendimas Costa, 6/64, EU:C:1964:66, p. 1159 ir 1160; 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 214 ir 215 punktai; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 118 punktas).

294

Tik Teisingumo Teismas išimties tvarka ir dėl imperatyvių teisinio saugumo pagrindų gali laikinai sustabdyti Sąjungos teisės normos naikinamąjį poveikį jai prieštaraujančios nacionalinės teisės normos atžvilgiu. Tokio Teisingumo Teismo pateikto šios teisės išaiškinimo veikimo laiko atžvilgiu ribojimas gali būti nustatytas tik pačiame sprendime, kuriame pateikiamas prašytas išaiškinimas. Jeigu nacionaliniai teismai turėtų įgaliojimus nors laikinai suteikti Sąjungos teisei prieštaraujančioms nacionalinėms nuostatoms viršenybę prieš Sąjungos teisę, būtų pakenkta Sąjungos teisės viršenybei ir vienodam jos taikymui (2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 119 punktas ir jame nurodyta jurisprudencija).

295

Kitaip, nei tokios procedūrinės pareigos, kaip išankstinis projekto poveikio aplinkai vertinimas, neįvykdymas (jis buvo nagrinėjamas byloje, kurioje priimtas 2019 m. liepos 29 d. Sprendimas Inter-Environnement Wallonie ir Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622, 175, 176, 179 ir 181 punktai), jame Teisingumo Teismas sutiko laikinai sustabdyti šį naikinamąjį poveikį), PNR direktyvos nuostatų, siejamų su Chartijos 7, 8 ir 45 straipsniais bei 52 straipsnio 1 dalimi, pažeidimas negali būti ištaisytas taikant procedūrą, panašią į tą, kuri pripažinta minėtoje byloje. Iš tiesų palikus galioti tokio nacionalinės teisės akto, kaip 2016 m. gruodžio 25 d. įstatymas, poveikį tai reikštų, kad pagal tokį teisės aktą oro ir kitiems vežėjams bei kelionių operatoriams ir toliau būtų nustatomi įpareigojimai, kurie prieštarauja Sąjungos teisei ir kuriais labai suvaržomos asmenų, kurių duomenys perduodami, saugomi ir tvarkomi, pagrindinės teisės ir nustatomi tokių asmenų judėjimo laisvės apribojimai, viršijantys, tai, kas būtina (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 122 punktą ir jame nurodytą jurisprudenciją).

296

Vadinasi, prašymą priimti prejudicinį sprendimą pateikęs teismas negalėtų apriboti laiko atžvilgiu jo paties pagal nacionalinę teisę priimto sprendimo pripažinti negaliojančiu pagrindinėje byloje nagrinėjamą nacionalinės teisės aktą poveikio (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 123 punktą ir jame nurodytą jurisprudenciją).

297

Galiausiai, kiek prašymą priimti prejudicinį sprendimą pateikęs teismas kelia klausimą dėl galimo 2016 m. gruodžio 25 d. įstatymo pripažinimo nesuderinamu su PNR direktyvos, siejamos su Chartija, nuostatomis poveikio įrodymų ir informacijos, gautų naudojant atitinkamų vežėjų ir kelionių organizatorių perduotus duomenis, priimtinumui ir naudojimui baudžiamajame procese, pakanka nurodyti atitinkamą Teisingumo Teismo jurisprudenciją, visų pirma 2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių ryšių duomenų sąlygos), (C‑746/18, EU:C:2021:152) 41–44 punktuose išdėstytus principus, iš kurių matyti, kad pagal valstybių narių procesinės autonomijos principą šis priimtinumo klausimas sprendžiamas pagal nacionalinę teisę, su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 127 punktą).

298

Atsižvelgiant į tai, kas išdėstyta, į dešimtąjį klausimą reikia atsakyti: Sąjungos teisė turi būti aiškinama taip, kad pagal ją nacionaliniam teismui draudžiama apriboti laiko atžvilgiu jo paties pagal nacionalinę teisę priimto sprendimo pripažinti negaliojančiu nacionalinės teisės aktą, kuriuo oro, geležinkelių ir sausumos vežėjai bei kelionių operatoriai įpareigojami perduoti PNR duomenis ir kuriame numatytas tokių duomenų tvarkymas ir saugojimas, nesuderinamas su PNR direktyvos nuostatomis, siejamomis su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi, Chartijos 7, 8 ir 45 straipsniais ir 52 straipsnio 1 dalimi, poveikį. Pagal valstybių narių procesinės autonomijos principą taip gautų įrodymų priimtinumo klausimas sprendžiamas pagal nacionalinę teisę, su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų.

299

Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.

Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia: