52007PC0654

[pic] | COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN |

Brussel, 6.11.2007

COM(2007) 654 definitief

2007/0237 (CNS)

Voorstel voor een

KADERBESLUIT VAN DE RAAD

over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden

(door de Commissie ingediend) {SEC(2007) 1422}{SEC(2007) 1453}

TOELICHTING

1. ACHTERGROND VAN HET VOORSTEL

Motivering en doelstellingen van het voorstel

Het terrorisme vormt op dit moment een van de grootste bedreigingen voor de veiligheid, vrede, stabiliteit, democratie en fundamentele rechten, waarden waarop de Europese Unie is gebouwd, evenals een directe bedreiging voor de Europese burgers. De terroristische dreiging is niet beperkt tot specifieke geografische zones. Terroristen en terroristische organisaties zijn zowel binnen als buiten de grenzen van de EU actief en hebben bewezen het vermogen te hebben om in elk werelddeel en tegen elk land aanslagen en gewelddaden te plegen. In het Europol-rapport “EU Terrorism Situation and Trend Report 2007“ wordt vastgesteld dat vrijwel alle terroristische campagnes grensoverschrijdend van aard zijn. Het is duidelijk dat de interne en externe aspecten van de strijd tegen het terrorisme onderling met elkaar verband houden en dat er, om maatregelen effectief te laten zijn, een nauwe samenwerking en een intensievere uitwisseling van gegevens tussen de lidstaten en hun respectieve diensten nodig is, evenals met Europol en, waar dat passend is, de bevoegde autoriteiten van derde landen.

Sinds 9 september 2001 zijn wetshandhavingsautoriteiten in de hele wereld zich bewust geworden van de toegevoegde waarde van het verzamelen en analyseren van zogeheten PNR-gegevens bij de bestrijding van het terrorisme en georganiseerde criminaliteit. PNR-gegevens houden verband met reisbewegingen, meestal vluchten, en omvatten paspoortgegevens, naam, adres, telefoonnummers, reisagent, creditcardnummer, geschiedenis van het wijzigen van vluchtschema’s, stoelvoorkeur en andere informatie. Het PNR van een individuele passagier bevat meestal niet alle PNR-gegevenselementen, maar alleen de gegevens die door de passagier zelf bij het reserveren zijn verstrekt en informatie die wordt ontvangen bij het inchecken en het boarden. Er zij op gewezen dat luchtvervoerders al PNR-gegevens van passagiers vastleggen voor hun eigen commerciële doeleinden, maar dat andere vervoerders dat niet doen. Door PNR-gegevens te verzamelen en te analyseren kunnen wetshandhavingsautoriteiten personen met een hoog risico identificeren en passende maatregelen nemen.

Tot op heden hebben slechts enkele lidstaten wetgeving aangenomen voor het instellen van mechanismen om luchtvervoerders te verplichten de relevante PNR-gegevens over te dragen en die gegevens door de bevoegde autoriteiten te laten analyseren. Dit betekent dat de potentiële voordelen van een EU-brede regeling bij het voorkomen van het terrorisme en de georganiseerde criminaliteit niet volledig worden gerealiseerd.

Algemene context

Op dit moment heeft de EU in het kader van de strijd tegen terrorisme en grensoverschrijdende georganiseerde criminaliteit overeenkomsten voor de overdracht van PNR-gegevens gesloten met de Verenigde Staten van Amerika en Canada. Deze overeenkomsten beperken zich tot het reizen per luchtvervoer. Op grond van deze overeenkomsten zijn luchtvaartmaatschappijen, die voor hun eigen commerciële doeleinden al PNR-gegevens van hun passagiers vastleggen, verplicht om deze gegevens over te dragen aan de bevoegde autoriteiten van de Verenigde Staten van Amerika en Canada. Op basis van de uitwisseling van informatie met deze derde landen heeft de EU de waarde van PNR-gegevens kunnen vaststellen en is zij zich bewust geworden van het potentieel hiervan voor wetshandhavingsdoeleinden. Bovendien heeft de EU kunnen leren van de ervaringen met het gebruik van PNR-gegevens door die derde landen en van de ervaring die het Verenigd Koninkrijk heeft opgedaan met zijn proefproject. In de twee jaar die het proefproject heeft gedraaid, kon het Verenigd Koninkrijk met name melding maken van een groot aantal arrestaties, de identificatie van mensenhandelnetwerken en het verkrijgen van waardevolle inlichtingen met betrekking tot het terrorisme.

De Europese Raad van 25 en 26 maart 2004 heeft de Commissie verzocht om een voorstel in te dienen voor een gemeenschappelijke EU-aanpak van het gebruik van passagiersgegevens voor wetshandhavingsdoeleinden. Dit verzoek is twee maal herhaald, namelijk op 4 en 5 november 2004 in het Haags Programma en tijdens de bijzondere vergadering van de Raad van 13 juli 2005. Ook is een Europees beleid op dit terrein al aangekondigd in de mededeling van de Commissie “Doorgifte van passagiersgegevens (PNR-gegevens): een allesomvattende EU-aanpak“ van 16 december 2003.

Bestaande bepalingen op het door het voorstel bestreken gebied

Op dit moment hebben luchtvervoerders krachtens Richtlijn 2004/82/EG van de Raad de verplichting om op voorhand af te geven passagiersgegevens (Advance Passenger Information - API) over te dragen aan de bevoegde autoriteiten van de lidstaten. Deze maatregel is erop gericht om de grenscontroleautoriteiten een instrument in handen te geven om de grenscontrole te verbeteren en illegale immigratie te bestrijden. Op grond van deze richtlijn zijn de lidstaten verplicht de nodige nationale maatregelen te nemen om ervoor te zorgen dat luchtvervoerders op verzoek van de autoriteiten die belast zijn met het uitvoeren van controles op personen aan de buitengrenzen, informatie met betrekking tot de passagiers op een vlucht aan deze autoriteiten verstrekken. Deze informatie omvat alleen API-gegevens, die in essentie biografische gegevens zijn. Het betreft onder andere het nummer en de aard van het gebruikte reisdocument, de nationaliteit, de volledige naam, de geboortedatum, de grensdoorlaatpost van binnenkomst, het vervoermiddel, het tijdstip van vertrek en van aankomst van het vervoermiddel, het totale aantal met dat vervoermiddel vervoerde passagiers, en het eerste instappunt. De informatie die in de API-gegevens is vervat kan ook behulpzaam zijn bij het identificeren van bekende terroristen en criminelen door koppeling van hun namen aan waarschuwingssystemen, zoals het SIS.

Bij de bestrijding van terrorisme en georganiseerde criminaliteit is de informatie die in de API-gegevens is vervat voldoende om bekende terroristen en criminelen met behulp van waarschuwingssystemen te identificeren. API-gegevens zijn officiële gegevens, aangezien ze afkomstig zijn uit paspoorten, en zijn voldoende accuraat om een persoon te identificeren. PNR-gegevens bevatten echter meer gegevenselementen en zijn sneller beschikbaar dan API-gegevens. Deze gegevenselementen vormen een zeer belangrijk instrument voor het uitvoeren van risicobeoordelingen van personen en het leggen van verbanden tussen bekende en onbekende personen.

Samenhang met andere beleidsgebieden en doelstellingen van de Unie

Het voorstel is volledig in overeenstemming met de algemene doelstelling om een Europese ruimte van vrijheid, veiligheid en rechtvaardigheid tot stand te brengen. Ook eerbiedigt het voorstel alle bepalingen inzake de fundamentele rechten, in het bijzonder die met betrekking tot de bescherming van persoonsgegevens en de privacy van de betrokken personen.

2. RAADPLEGING VAN BELANGHEBBENDE PARTIJEN EN EFFECTBEOORDELING

Raadpleging van belanghebbende partijen

Wijze van raadpleging, voornaamste geraadpleegde sectoren en profiel van de respondenten

In het kader van de onderhandelingen over de overdracht van PNR-gegevens aan de Verenigde Staten van Amerika en de overdracht van API-gegevens en PNR-gegevens aan Canada zijn verschillende bijeenkomsten en raadplegingen georganiseerd. Naast de door de diensten van de Commissie georganiseerde bijeenkomsten met verenigingen van luchtvaartmaatschappijen en vertegenwoordigers van de leveranciers van computerboekingssystemen, zijn er onder auspiciën van het Forum over de preventie van georganiseerde criminaliteit drie bijeenkomsten gewijd aan een mogelijk initiatief voor de ontwikkeling van een EU-beleid inzake het gebruik van passagiersgegevens.

Ten behoeve van de voorbereiding van dit voorstel hebben de diensten van de Commissie daarnaast alle relevante belanghebbende partijen geraadpleegd door middel van een vragenlijst die in december 2006 is uitgestuurd. Vervolgens heeft de Commissie vertegenwoordigers van de lidstaten uitgenodigd voor een bijeenkomst in Brussel op 2 februari 2007, waar de vertegenwoordigers van de lidstaten de mogelijkheid hadden om hun opvattingen uit te wisselen.

De vragenlijst is verstuurd aan:

- Alle lidstaten

- De gegevensbeschermingsautoriteiten van de lidstaten

- De Europese Toezichthouder voor gegevensbescherming (EDPS)

- De Association of European Airlines (AEA)

- De Air Transport Association of America (ATA)

- De International Air Carrier Association (IACA)

- De European Regions Airline Association (ERA)

- De International Air Transport Association (IATA)

Van 24 lidstaten is een antwoord ontvangen; van de nationale gegevensbeschermingsautoriteiten van de lidstaten is een gezamenlijk antwoord ontvangen. Ook zijn antwoorden ontvangen van de EDPS, de Air Transport Association of America (ATA), de International Air Carrier Association (IACA), de Association of European Airlines (AEA), de European Regions Airline Association (ERA), de International Air Transport Association (IATA), LOT Polish Airlines en Austrian Airlines.

De gegevensbeschermingsautoriteiten van de lidstaten, die als raadplegend orgaan van de Commissie bijeen zijn gekomen onder de paraplu van de Groep van artikel 29, hebben eveneens een aantal adviezen uitgebracht over het gebruik van PNR-gegevens.

Samenvatting van de reacties en hoe daarmee rekening is gehouden

Het raadplegingsproces heeft grote invloed gehad op de wijze waarop het wetgevend voorstel vorm heeft gekregen, in het bijzonder op:

- De keuze voor de beleidsoptie: uit de antwoorden op de vragenlijst die werden ontvangen bleek onmiskenbaar dat de meeste lidstaten duidelijk voorstander zijn van een wetgevend instrument waarmee een gemeenschappelijke EU-aanpak van dit onderwerp wordt gereguleerd. De Groep van artikel 29 is niet overtuigd van de noodzaak van een wetgevend instrument en is derhalve tegen het voorstel, maar heeft wel opgemerkt dat wanneer deze noodzaak eenmaal is vastgesteld of verschillende lidstaten de ontwikkeling van een nationaal PNR-systeem overwegen, harmonisatie van deze maatregelen op EU-niveau de voorkeur heeft.

- Het toepassingsgebied van het voorstel met betrekking tot de vervoersmodaliteiten: de meerderheid van de geraadpleegde partijen is het erover eens dat het toepassingsgebied van het voorstel moet worden beperkt tot het luchtvervoer.

- Het geografische toepassingsgebied van het voorstel: de meeste geraadpleegde partijen zijn van mening dat het geografische toepassingsgebied moet worden beperkt tot vluchten uit derde landen naar de EU en vanuit de EU naar derde landen.

- Het gebruik en het doel van het verzamelen van PNR-gegevens: het verzamelen van PNR-gegevens mag uitsluitend worden gebruikt voor de doeleinden van de derde pijler, dat wil zeggen voor het voorkomen en bestrijden van het terrorisme en daarmee samenhangende misdrijven en andere ernstige misdrijven, met inbegrip van grensoverschrijdende georganiseerde criminaliteit.

- De bewaringstermijn: er is gemeenschappelijk overeengekomen dat om het systeem effectief te laten zijn, de gegevens voor een periode van vijf jaar bewaard moeten blijven, tenzij ze zijn gebruikt in een strafrechtelijk onderzoek of een criminele-inlichtingenoperatie.

- De instantie die de PNR-gegevens zal ontvangen: de meerderheid van de lidstaten is voorstander van het idee om de gegevens te laten ontvangen door een passagiersinformatie-eenheid die binnen elke lidstaat wordt aangewezen, terwijl andere lidstaten voorstander zijn van een gecentraliseerde EU-eenheid die de gegevens ontvangt van luchtvervoerders uit alle lidstaten.

- De methode voor de overdracht van gegevens: de “push“-methode voor de overdracht van gegevens heeft bij alle geraadpleegde partijen de voorkeur boven de “pull”-methode. Het belangrijkste verschil tussen deze twee methoden is dat bij de “push”-methode de gegevens door de luchtvervoerder worden overgedragen aan de nationale autoriteit, terwijl bij de “pull”-methode de nationale autoriteit toegang krijgt tot het boekingssysteem van de luchtvervoerder en de gegevens zelf overneemt.

- Verdere overdrachten van de PNR-gegevens: de meeste geraadpleegde partijen zijn er voorstander van dat de PNR-gegevens worden overgedragen aan de nationale bevoegde autoriteiten en aan de bevoegde autoriteiten van andere lidstaten. Enkele lidstaten zijn er voorstander van dat de gegevens ook aan de bevoegde autoriteiten van derde landen worden overgedragen.

Bijeenbrengen en benutten van deskundigheid

Er behoefde geen beroep te worden gedaan op externe deskundigheid.

Effectbeoordeling

Voor de effectbeoordeling zijn twee hoofdopties met een aantal variabelen onderzocht: de optie “geen wijziging” en de optie van een wetgevend voorstel. Bovendien werd de optie om de samenwerking tussen de lidstaten op dit gebied te bevorderen in een vroeg stadium verworpen, omdat geoordeeld werd dat met deze optie de gewenste doelstelling niet zou worden verwezenlijkt. Enkele lidstaten stelden voor om het toepassingsgebied van het voorstel uit te breiden naar het vervoer over zee en het spoorwegvervoer. Ook deze optie werd in een vroeg stadium verworpen, vanwege kostenoverwegingen en het ontbreken van bestaande systemen om de relevante gegevens te verzamelen.

De conclusie van de effectbeoordeling is dat de voorkeursoptie een wetgevend voorstel met een gedecentraliseerd systeem voor de verwerking van gegevens is. De “geen wijziging”-optie biedt geen echt sterke punten voor de verbetering van de veiligheid in de EU. Integendeel, gezien de manier waarop dit gebied zich momenteel ontwikkelt, wordt verwacht dat deze optie negatieve effecten zal hebben, in de zin dat het naast elkaar bestaan van veel verschillende systemen tot administratieve problemen zal leiden.

De beleidsoptie van een wetgevend voorstel heeft het duidelijke voordeel dat de veiligheid er door wordt vergroot, aangezien met deze optie de kans kleiner wordt dat er op het grondgebied van de EU terroristische aanslagen of ernstige misdrijven worden gepleegd dan wel grensoverschrijdende georganiseerde criminaliteit plaatsvindt. Bovendien zal deze beleidsoptie leiden tot harmonisatie van de verschillende aspecten van de systemen voor de uitwisseling en het gebruik van PNR-gegevens en van de waarborgen die aan personen worden gegeven om hun recht op privacy te beschermen.

Vergeleken met de optie “geen wijziging” heeft de optie van een wetgevend voorstel duidelijke voordelen.

Van de twee opties voor een wetgevend voorstel heeft de optie van een gedecentraliseerde verzameling van gegevens duidelijke voordelen boven die van een gecentraliseerde verzameling als het gaat om het vergroten van de veiligheid in de EU. Bij de optie van een gecentraliseerde verzameling van gegevens bestaat er een grote kans op mislukking vanwege de grote hoeveelheden gegevens die een gecentraliseerde eenheid zal ontvangen en de complicaties die de verschillende wijzen van verwerking met zich mee zullen brengen. Bovendien zal een gecentraliseerde eenheid, om goed te kunnen functioneren, toegang tot de verschillende nationale databanken van alle lidstaten moeten hebben.

Wat de impact van het voorstel op de betrekkingen met derde landen betreft, moet niet uitgesloten worden geacht dat sommige landen wederkerige toegang verlangen tot PNR-gegevens betreffende vluchten van de EU naar hun grondgebied, ook al is een dergelijke situatie in de praktijk vrij onwaarschijnlijk. De bestaande overeenkomsten inzake PNR-gegevens met de VS en Canada voorzien in een dergelijke, automatisch afdwingbare wederkerige behandeling.

De Commissie heeft een effectbeoordeling uitgevoerd die is opgenomen in het werkprogramma[1].

3. JURIDISCHE ELEMENTEN VAN HET VOORSTEL

Samenvatting van de voorgestelde maatregel

Het doel van het voorstel is de harmonisatie van de bepalingen van de lidstaten inzake de verplichtingen van luchtvervoerders die vluchten uitvoeren naar of vanaf het grondgebied van ten minste één lidstaat betreffende de overdracht van PNR-gegevens aan de bevoegde autoriteiten voor de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit. Eender welke verwerking van PNR-gegevens in het kader van het voorstel zal onderworpen zijn aan het Kaderbesluit van de Raad (xx/xx) inzake de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken.

310

Rechtsgrondslag

Het Verdrag betreffende de Europese Unie, en met name artikel 29, artikel 30, lid 1, onder b), en artikel 34, lid 2, onder b).

Subsidiariteitsbeginsel

Het subsidiariteitsbeginsel is van toepassing op de maatregel van de Unie.

De doelstellingen van het voorstel kunnen niet voldoende worden verwezenlijkt door de lidstaten, om de volgende redenen:

De belangrijkste reden waarom optreden door de lidstaten niet voldoende is om de doelstellingen te verwezenlijken is dat de lidstaten onmogelijk zelf de noodzakelijke harmonisatie kunnen realiseren van de aan alle luchtvervoerders die vluchten uitvoeren vanuit of naar de Europese Unie op te leggen wettelijke verplichtingen.

Maatregelen door individuele lidstaten zijn niet voldoende om het belang van die lidstaten veilig te stellen, omdat die lidstaten er niet zeker van kunnen zijn dat ze de relevante PNR-gegevens ontvangen van de autoriteiten van andere lidstaten – dit kan alleen worden gewaarborgd door een EU-brede regeling.

De doelstellingen van het voorstel kunnen om de volgende redenen beter door een optreden van de Unie worden verwezenlijkt:

Een maatregel door de EU zal de doelstellingen van het voorstel beter kunnen verwezenlijken omdat een geharmoniseerde aanpak het mogelijk maakt om een EU-brede uitwisseling van de relevante informatie te waarborgen. Ook maakt het voorstel het mogelijk om een geharmoniseerde aanpak te hanteren tegenover de buitenwereld.

De kwalitatieve indicator die aantoont dat de doelstelling beter kan worden verwezenlijkt door de Unie is een effectiever optreden in de strijd tegen het terrorisme en de georganiseerde criminaliteit.

Het voorstel is derhalve in overeenstemming met het subsidiariteitsbeginsel.

Evenredigheidsbeginsel

Het voorstel is in overeenstemming met het evenredigheidsbeginsel om de volgende redenen:

Het toepassingsgebied van het voorstel is beperkt tot die elementen waarvoor een geharmoniseerde EU-aanpak nodig is – met inbegrip van de omschrijving van de taken van de PNR-eenheden, de gegevenselementen die moeten worden verzameld, de doeleinden waarvoor de informatie kan worden gebruikt, de doorgifte van de gegevens tussen de PNR-eenheden van de lidstaten en de technische voorwaarden voor die doorgifte.

De voorgestelde maatregel is een kaderbesluit dat de nationale autoriteiten zo veel mogelijk ruimte laat. Ook betekent de keuze voor een gedecentraliseerd systeem dat de lidstaten zelf de keuze hebben hoe en waar ze hun PNR-systeem inrichten en zelf kunnen beslissen over de technische aspecten ervan. De harmonisatieaspecten zijn beperkt tot de strikt noodzakelijke, zoals de technische aspecten van de communicatiesystemen die nodig zijn om de gegevens uit te wisselen met andere lidstaten.

De financiële en administratieve lasten voor de Gemeenschap zijn geminimaliseerd door de keuze voor een gedecentraliseerd systeem. Het opzetten en onderhouden van een gecentraliseerd EU-systeem voor de verzameling en verwerking zou aanzienlijke kosten met zich meebrengen.

Keuze van instrumenten

Het voorgestelde instrument is een kaderbesluit op basis van artikel 34, lid 2, van het VEU.

Andere instrumenten zijn om de volgende reden ongeschikt:

Omdat het voorstel de onderlinge aanpassing van de wetgeving van de lidstaten beoogt, zijn andere instrumenten dan een kaderbesluit niet geschikt.

4. GEVOLGEN VOOR DE BEGROTING

Het voorstel heeft geen gevolgen voor de communautaire begroting.

5. AANVULLENDE INFORMATIE

Simulatie, proeffase en overgangsperiode

Het voorstel voorziet of voorzag in een overgangsperiode.

Evaluatie-/herzienings-/vervalbepaling

Het voorstel bevat een evaluatiebepaling.

2007/0237 (CNS)

Voorstel voor een

KADERBESLUIT VAN DE RAAD

over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden

DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag betreffende de Europese Unie, en met name op artikel 29, artikel 30, lid 1, onder b), en artikel 34, lid 2, onder b),

Gezien het voorstel van de Commissie[2],

Gezien het advies van het Europees Parlement[3],

Overwegende hetgeen volgt,

(1) De Europese Raad heeft op 25 maart 2004 de Verklaring betreffende de bestrijding van terrorisme[4] aangenomen, waarin hij de Europese Commissie onder andere verzocht een voorstel in te dienen voor een gemeenschappelijke EU-aanpak van het gebruik van passagiersgegevens voor wetshandhavingsdoeleinden.

(2) Daarnaast is de Commissie in het Haags Programma[5] en tijdens de bijzondere vergadering van de Raad van 13 juli 2005[6] gevraagd een voorstel in te dienen over het gebruik van PNR-gegevens.

(3) Het is een van de doelstellingen van de Europese Unie om een hoog niveau van veiligheid en bescherming te bieden binnen een ruimte van vrijheid, veiligheid en rechtvaardigheid; dit vereist dat de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit adequaat ten uitvoer wordt gelegd. De definities van terroristische misdrijven en georganiseerde criminaliteit zijn ontleend aan de artikelen 1 tot en met 4 van het Kaderbesluit 2002/475/JBZ van de Raad inzake terrorismebestrijding[7] en artikel 2 van het Kaderbesluit (xx/xx) van de Raad inzake de bestrijding van georganiseerde criminaliteit[8], respectievelijk.

(4) De Raad heeft Richtlijn 2004/82/EG van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven [9] aangenomen. Deze richtlijn heeft tot doel de grenscontroles te verbeteren en illegale immigratie te bestrijden door luchtvervoerders van te voren passagiersgegevens aan de bevoegde nationale autoriteiten te laten verstrekken.

(5) Vanwege de informatie die ze bevatten, zijn PNR-gegevens geschikt om terroristische misdrijven en georganiseerde criminaliteit te voorkomen en te bestrijden en bijgevolg de interne veiligheid te vergroten; de krachtens dit kaderbesluit aan luchtvervoerders op te leggen verplichtingen moeten los staan van de verplichtingen die zijn neergelegd in Richtlijn 2004/82/EG.

(6) Luchtvervoerders verzamelen reeds PNR-gegevens voor hun eigen commerciële doeleinden en dit kaderbesluit stelt geen nieuwe verplichting in om extra gegevens te verzamelen of te bewaren.

(7) Voor de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit is het van essentieel belang dat alle lidstaten bepalingen aannemen waarin verplichtingen worden neergelegd voor luchtvervoerders die vluchten uitvoeren naar en vanaf het grondgebied van de Europese Unie; vluchten binnen de EU moeten niet onder dit kaderbesluit vallen, behalve verbindingen tussen twee luchthavens binnen de EU die deel uitmaken van een internationale vlucht.

(8) Het verstrekken van PNR-gegevens aan de bevoegde autoriteiten in overeenstemming met dit kaderbesluit is nodig voor de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit. De regulering van deze gegevensverstrekking moet evenredig zijn aan het legitieme veiligheidsdoel dat wordt nagestreefd.

(9) De bewaringstermijn voor PNR-gegevens door de bevoegde nationale autoriteiten moet evenredig zijn aan de doeleinden waarvoor ze worden gebruikt; namelijk de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit. Vanwege de aard en de gebruiksdoelen van de gegevens is het van belang dat deze voldoende lang worden bewaard om risico-indicatoren te ontwikkelen en reis- en gedragspatronen te kunnen afleiden. Ter voorkoming van onevenredig gebruik dienen de gegevens na een aantal jaren te worden verplaatst naar een slapende database die onder zeer strikte en restrictieve voorwaarden toegankelijk is. Dit garandeert terzelfder tijd dat de gegevens in welbepaalde, uitzonderlijke omstandigheden toch beschikbaar blijven. Voorts dient te worden voorzien in de mogelijkheid de bewaringstermijn te verlengen wanneer de gegevens worden gebezigd in een lopend strafonderzoek of een lopende gerechtelijke procedure.

(10) Het Kaderbesluit (xx/xx) van de Raad inzake de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken moet van toepassing zijn op alle gegevens die in overeenstemming met dit kaderbesluit worden verwerkt. De rechten van de betrokkenen bij dergelijke verwerking, zoals het recht in kennis te worden gesteld, het recht op toegang en het recht om gegevens te laten corrigeren, wissen of afschermen, evenals het recht op schadeloosstelling en het aanwenden van rechtsmiddelen zijn zoals vastgelegd in dat kaderbesluit.

(11) Om de doeltreffendheid van de verplichte verstrekking van PNR-gegevens door luchtvervoerders te waarborgen, moeten de lidstaten afschrikwekkende, doeltreffende en evenredige sancties opleggen, met inbegrip van geldboeten, aan luchtvervoerders die niet aan deze verplichtingen voldoen. De lidstaten nemen alle nodige maatregelen om luchtvervoerders in staat te stellen hun uit het kaderbesluit voortvloeiende verplichtingen na te komen. Bij herhaling van ernstige overtredingen die de fundamentele opzet van dit kaderbesluit ondermijnen, kan worden overgegaan tot maatregelen zoals vasthouding, inbeslagneming en verbeurdverklaring van het vervoermiddel of tijdelijke schorsing of intrekking van de exploitatievergunning. Dergelijke sancties dienen een uitzonderlijk karakter te hebben.

(12) Het is noodzakelijk dat de bevoegde nationale autoriteiten PNR-gegevens ontvangen die door de luchtvervoerders zijn verzameld.

(13) Als gevolg van de wettelijke en technische verschillen tussen de nationale bepalingen inzake informatie, met inbegrip van PNR-gegevens, zullen luchtvervoerders te maken krijgen met verschillende eisen ten aanzien van de te verstrekken informatie, evenals met verschillende voorwaarden waaronder deze informatie aan de bevoegde nationale autoriteiten moet worden verstrekt.

(14) Deze verschillen kunnen nadelig zijn voor de effectieve samenwerking tussen de bevoegde nationale autoriteiten bij de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit.

(15) De Commissie heeft in haar mededeling van 16 december 2003 “Doorgifte van passagiersgegevens (PNR-gegevens): een allesomvattende EU-aanpak”[10] de hoofdelementen van een EU-beleid op dit gebied uiteengezet; bovendien heeft de Commissie steun gegeven en actief bijgedragen aan de werkzaamheden in het kader van het multilateraal initiatief van de Internationale Burgerluchtvaartorganisatie (ICAO), dat heeft geresulteerd in de ontwikkeling van ICAO-richtsnoeren voor de doorgifte van PNR-gegevens; deze richtsnoeren moeten in aanmerking worden genomen. Maatregelen die uitsluitend op nationaal niveau worden genomen, of zelfs op het niveau van de EU, zonder dat er sprake is van internationale coördinatie en samenwerking, zullen beperkt effect hebben. De maatregelen die door de Unie op dit gebied worden genomen moeten daarom consistent zijn met het werk dat in internationale fora wordt verricht.

(16) Er zijn op dit moment twee methoden voor de doorgifte van gegevens beschikbaar: de “pull-methode“, waarbij de bevoegde autoriteiten van de staat die de gegevens opvraagt toegang krijgt tot het boekingssysteem van de luchtvervoerder en een kopie van de benodigde gegevens aan het systeem kan onttrekken (“pull”), en de “push-methode”, waarbij luchtvervoerders de benodigde PNR-gegevens overdragen (“push”) aan de verzoekende autoriteit. De algemene opvatting is dat de “push-methode” een hogere mate van gegevensbescherming biedt; deze methode dient aan alle in de Unie gevestigde luchtvervoerders te worden opgelegd. Ten aanzien van luchtvervoerders van derde landen dient waar zulks technisch, economisch en operationeel mogelijk is, aan deze methode de voorkeur te worden gegeven.

(17) De PNR-gegevens die worden opgevraagd door een staat moeten worden overgedragen aan één enkele vertegenwoordigende eenheid van de verzoekende staat.

(18) De inhoud van de lijsten van opgevraagde PNR-gegevens die worden verkregen door de bevoegde nationale autoriteiten moeten een goede balans houden tussen enerzijds de legitieme behoeften van de publieke autoriteiten bij de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit, en als gevolg daarvan de vergroting van de interne veiligheid van de EU, en anderzijds de bescherming van de fundamentele rechten van burgers, met name het recht op privacy; deze lijsten mogen geen persoonsgegevens bevatten waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijkt, of die de gezondheid of het seksuele leven van de betrokken persoon betreffen; de PNR-gegevens bevatten details over de reservering en de reisroute van de passagier die de bevoegde autoriteiten in staat stellen de passagiers te identificeren die een risico voor de interne veiligheid vertegenwoordigen.

(19) Om de interne veiligheid van de Europese Unie als geheel te vergroten, dient elke lidstaat de verantwoordelijkheid op zicht te nemen voor het beoordelen van de potentiële dreiging die verbonden is aan terroristische misdrijven en georganiseerde criminaliteit. Advies inzake de voor een dergelijke risicobeoordeling te hanteren gemeenschappelijke criteria dient te worden verstrekt door het comité dat bij dit kaderbesluit wordt ingesteld.

(20) Als basisbeginsel van gegevensbescherming dient te worden gewaarborgd dat door de bevoegde autoriteiten van de lidstaten geen handhavingsmaatregel wordt genomen die uitsluitend op geautomatiseerde verwerking van PNR-gegevens of op ras of etnische afstamming, godsdienstige, levensbeschouwelijke of politieke overtuiging of seksuele geaardheid van een persoon is gebaseerd.

(21) De lidstaten moeten de PNR-gegevens die ze ontvangen met andere lidstaten delen als zulks nodig is. Het doorgeven van PNR-gegevens aan derde landen en het nemen van besluiten met betrekking tot de gepastheid van het beschermingsniveau geschieden met inachtneming van het Kaderbesluit (xx/xx) van de Raad inzake de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, alsook van aanvullende criteria betreffende het doel van de doorgifte. Waar de Unie over dergelijke doorgiften internationale overeenkomsten heeft gesloten, dient met de bepalingen daarvan rekening te worden gehouden.

(22) De lidstaten moeten ervoor zorgen dat de overdracht van de relevante PNR-gegevens van luchtvervoerders aan de bevoegde nationale autoriteiten plaatsvindt met gebruikmaking van de meest geavanceerde technologische middelen, om de veiligheid van de overgedragen gegevens zo goed mogelijk te waarborgen.

(23) Aangezien de doelstellingen van dit kaderbesluit niet voldoende kunnen worden verwezenlijkt door unilateraal handelende lidstaten, en derhalve, vanwege de omvang en de gevolgen van de voorgestelde maatregel, beter kunnen worden verwezenlijkt op het niveau van de Europese Unie, kan de Raad maatregelen aannemen overeenkomstig het subsidiariteitsbeginsel zoals uiteengezet in artikel 5 van het EG-Verdrag en zoals genoemd in artikel 2 van het EU-Verdrag. Overeenkomstig het evenredigheidsbeginsel, zoals uiteengezet in artikel 5 van het EG-Verdrag, gaat dit kaderbesluit niet verder dan nodig is om deze doelstellingen te verwezenlijken.

(24) Dit kaderbesluit is in overeenstemming met de fundamentele rechten en neemt de beginselen in acht die zijn neergelegd in het Handvest van de grondrechten van de Europese Unie,

HEEFT HET VOLGENDE KADERBESLUIT VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Doelstellingen

Dit kaderbesluit voorziet in het beschikbaar stellen door luchtvervoerders, van PNR-gegevens van passagiers op internationale vluchten aan de bevoegde autoriteiten van de lidstaten met het oog op de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit, evenals op het verzamelen en bewaren van deze gegevens door de bevoegde autoriteiten en de uitwisseling van deze gegevens tussen deze autoriteiten.

Artikel 2

Definities

Voor de toepassing van dit kaderbesluit gelden de volgende definities:

(a) “luchtvervoerder”: een luchtvervoersonderneming met een geldige exploitatievergunning of een equivalent ervan;

(b) “internationale vlucht”: iedere vlucht die volgens het vluchtschema vanuit een derde land zal aankomen op het grondgebied van ten minste één lidstaat van de Europese Unie of zal vertrekken vanaf het grondgebied van ten minste één lidstaat van de Europese Unie met een eindbestemming in een derde land.

(c) “Passenger Name Record (PNR)”: een bestand met de reisgegevens van iedere passagier dat alle informatie bevat die de boekende en de deelnemende luchtvervoerders nodig hebben om reservering te kunnen verwerken en controleren bij elke reis die door of namens iedere passagier wordt geboekt. Voor de toepassing van dit kaderbesluit worden onder PNR-gegevens verstaan de gegevenselementen die worden genoemd in bijlage I, en alleen voor zover deze worden verzameld door de luchtvervoerders;

(d) “passagier”: elke persoon, met uitzondering van de bemanningsleden, die met toestemming van de vervoerder in een luchtvaartuig wordt vervoerd of zal worden vervoerd;

(e) “boekingssystemen”: de interne inventarissystemen van luchtvervoerders waarin gegevens worden verzameld uit reserveringen die worden gedaan via geautomatiseerde boekingssystemen zoals omschreven in Richtlijn 2299/89 betreffende gedragsregels voor geautomatiseerde boekingssystemen of via directe boekingskanalen als de websites, callcenters of verkoopkantoren van de luchtvervoerders;

(f) “push-methode”: de methode waarbij luchtvervoerders de benodigde PNR-gegevens doorgeven aan de databank van de autoriteit die deze gegevens opvraagt;

(g) “pull-methode”: de methode waarbij de autoriteit die de PNR-gegevens opvraagt toegang krijgt tot het boekingssysteem van de luchtvervoerder en een kopie van de benodigde gegevens aan het systeem onttrekt en in haar eigen databank invoert;

(h) “terroristische misdrijven”: de strafbare feiten krachtens het nationale recht die worden genoemd in de artikelen 1 tot en met 4 van het Kaderbesluit 2002/475/JBZ van de Raad inzake terrorismebestrijding[11];

(i) “georganiseerde criminaliteit”: de strafbare feiten volgens de nationale wetgeving die worden genoemd in artikel 2 van het Kaderbesluit (xx/xx) van de Raad ter bestrijding van georganiseerde criminaliteit[12].

HOOFDSTUK II

VERANTWOORDELIJKHEDEN VAN DE LIDSTATEN

Artikel 3

Passagiersinformatie-eenheid

1. Binnen twaalf maanden nadat dit kaderbesluit in werking treedt, zal elke lidstaat een bevoegde autoriteit, hierna "de passagiersinformatie-eenheid" genoemd, aanwijzen en de Commissie en het secretariaat-generaal van de Raad hiervan in kennis stellen. De verklaring kan op elk moment worden aangepast. De Commissie zal deze informatie publiceren in het Publicatieblad van de Europese Unie.

2. De passagiersinformatie-eenheid zal verantwoordelijk zijn voor het verzamelen van PNR-gegevens van de luchtvervoerders of intermediairs, in overeenstemming met de artikelen 5 en 6, betreffende internationale vluchten die aankomen op of vertrekken vanaf het grondgebied van de lidstaten waarop zij vluchten uitvoeren. In zoverre de verzamelde PNR-gegevens van een passagier gegevens bevatten die niet zijn opgenomen in Bijlage I of speciale categorieën persoonsgegevens bevatten waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt of die de gezondheid of het seksuele leven van de betrokken passagier betreffen, zal de passagiersinformatie-eenheid deze gegevens onmiddellijk wissen.

3. De passagiersinformatie-eenheid zal verder verantwoordelijk zijn voor het analyseren van de PNR-gegevens en voor het uitvoeren van een risicobeoordeling van de passagiers om de personen te identificeren naar wie verder onderzoek nodig is voor een van de in lid 5 genoemde doeleinden. De voor deze risicobeoordeling te hanteren criteria en waarborgen worden bij de nationale wetgeving vastgesteld. Door de passagiersinformatie-eenheden en de bevoegde autoriteiten van de lidstaten wordt geen enkele handhavingsmaatregel genomen die uitsluitend op automatische verwerking van PNR-gegevens of op ras of etnische afstamming, godsdienstige, levensbeschouwelijke of politieke overtuiging of seksuele geaardheid van een persoon is gebaseerd.

4. De passagiersinformatie-eenheid van een lidstaat zal de PNR-gegevens van de overeenkomstig artikel 3 geïdentificeerde personen overdragen aan de bevoegde autoriteiten van dezelfde lidstaat, zoals bedoeld in artikel 4, met behulp van elektronische hulpmiddelen of, ingeval van storingen, op enige andere passende wijze.

5. De PNR-gegevens van passagiers mogen alleen worden verwerkt door de passagiersinformatie-eenheden en de bevoegde autoriteiten van de lidstaten, zoals bedoeld in artikel 4, ter voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit, voor de volgende doeleinden:

- het identificeren van personen die betrokken zijn of kunnen zijn bij een terroristisch misdrijf of een misdrijf dat verband houdt met georganiseerde criminaliteit en van met deze personen geassocieerde personen;

- het ontwikkelen en actualiseren van risico-indicatoren voor de beoordeling van deze personen;

- het verstrekken van inlichtingen over reispatronen en andere trends betreffende terroristische misdrijven en georganiseerde misdaad;

- het gebruiken van de gegevens in strafonderzoeken naar en bij de vervolging van terroristische misdrijven en georganiseerde misdaad.

De passagiersinformatie-eenheden en de bevoegde autoriteiten ondernemen geen handhavingsacties op basis van uitsluitend de geautomatiseerde verwerking van PNR-gegevens.

6. Twee of meer lidstaten kunnen dezelfde autoriteit in het leven roepen of aanwijzen als hun passagiersinformatie-eenheid. Deze passagiersinformatie-eenheid zal worden beschouwd als de nationale passagiersinformatie-eenheid van alle daarin deelnemende lidstaten.

Artikel 4

Bevoegde autoriteiten

1. Elke lidstaat dient een lijst op te stellen van de bevoegde autoriteiten die het recht zullen hebben om PNR-gegevens van de passagiersinformatie-eenheid te ontvangen en te verwerken.

2. Bevoegde autoriteiten kunnen uitsluitend autoriteiten zijn die verantwoordelijk zijn voor de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit.

3. Elke lidstaat zal de Commissie en het secretariaat-generaal van de Raad binnen twaalf maanden na de inwerkingtreding van dit kaderbesluit in een verklaring in kennis stellen van de lijst van zijn “bevoegde autoriteiten”, en kan deze verklaring op elk moment aanpassen. De Commissie zal de verklaringen publiceren in het Publicatieblad van de Europese Unie.

Artikel 5

Verplichtingen voor luchtvervoerders

1. De lidstaten dienen de noodzakelijke maatregelen te treffen om te waarborgen dat luchtvervoerders de PNR-gegevens van passagiers op internationale vluchten overdragen aan de nationale passagiersinformatie-eenheid van de lidstaat op wiens grondgebied de genoemde internationale vlucht aankomt, vertrekt of een tussenlanding maakt, in overeenstemming met de in dit kaderbesluit gespecificeerde voorwaarden.

2. Luchtvervoerders zullen de passagiersinformatie-eenheid de in Bijlage I gespecificeerde PNR-gegevens verstrekken in zoverre deze zijn verzameld en verwerkt in de boekingssystemen van de luchtvervoerders.

3. Luchtvervoerders zullen deze gegevens verstrekken met behulp van elektronische hulpmiddelen of, ingeval van storingen, op enige andere passende wijze:

(a) van te voren, 24 uur voor de geplande vertrektijd van de vlucht

en

(b) onmiddellijk na beëindiging van het inchecken.

De relevante passagiersinformatie-eenheid kan van een luchtvervoerder eisen dat deze de PNR-gegevens 24 uur voor de geplande vertrektijd van de vlucht verstrekt wanneer er een aanwijzing bestaat dat vroegtijdige toegang nodig is om te kunnen reageren op een specifieke dreiging die verband houdt met terroristische misdrijven of georganiseerde criminaliteit. Bij het uitoefenen van deze bevoegdheid zal de passagiersinformatie-eenheid handelen in overeenstemming met het evenredigheidsbeginsel.

4. Luchtvervoerders waarvan de databanken zijn gevestigd in een lidstaat van de Europese Unie dienen de noodzakelijke technische maatregelen te treffen om te waarborgen dat de PNR-gegevens door de passagiersinformatie-eenheden of de aangewezen intermediairs zoals bedoeld in artikel 6, worden overdragen met behulp van de “push-methode”.

5. Luchtvervoerders waarvan de databanken niet zijn gevestigd in een lidstaat van de Europese Unie:

- zijn verplicht om de “push-methode” te gebruiken om de gegevens over te dragen aan de passagiersinformatie-eenheden of de aangewezen intermediairs zoals bedoeld in artikel 6.

- zijn in de gevallen waarin ze niet over de benodigde technische architectuur beschikken om de “push-methode” te gebruiken, verplicht om de passagiersinformatie-eenheden of de aangewezen intermediairs zoals bedoeld in artikel 6 toe te staan de gegevens aan hun databanken te onttrekken met behulp van de “pull-methode”.

In alle gevallen moeten zij de passagiersinformatie-eenheden en de relevante intermediairs van alle lidstaten informeren of ze de “push-methode” of de “pull-methode” zullen gebruiken om de gegevens over te dragen.

6. De lidstaten zorgen ervoor dat luchtvervoerders de passagiers van internationale vluchten informeren over de verstrekking van PNR-gegevens aan de passagiersinformatie-eenheid en, indien van toepassing, aan de intermediair, evenals over de doeleinden van de verwerking van deze gegevens, de bewaringsperiode en het mogelijke gebruik van deze gegevens bij de voorkoming en bestrijding van terroristische misdrijven en de georganiseerde criminaliteit, en over de mogelijkheid dat deze gegevens worden uitgewisseld en gedeeld.

Artikel 6

Intermediair

1. De lidstaten zorgen ervoor dat luchtvervoerders die internationale vluchten uitvoeren een intermediair kunnen aanwijzen waaraan zij de PNR-gegevens van hun passagiers verstrekken, in plaats van deze rechtsreeks aan de passagiersinformatie-eenheden te verstrekken, in overeenstemming met de artikelen 2 tot en met 6.

2. Luchtvervoerders die contractuele relaties met dergelijke intermediairs aangaan, stellen de passagiersinformatie-eenheden van alle lidstaten onmiddellijk in kennis van een dergelijke regeling. De intermediairs treden op namens de luchtvervoerder door wie ze zijn aangewezen, en voor de toepassing van dit kaderbesluit zullen ze worden beschouwd als de vertegenwoordiger van de luchtvervoerder.

3. De door luchtvervoerders aangewezen intermediairs zijn verantwoordelijk voor het verzamelen van de PNR-gegevens van deze luchtvervoerders. In zoverre de verzamelde PNR-gegevens van een passagier gegevens bevatten die niet zijn opgenomen in Bijlage I of speciale categorieën persoonsgegevens bevatten waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt of die de gezondheid of het seksuele leven van de betrokken passagier betreffen, zal de intermediair deze gegevens onmiddellijk wissen.

4. De intermediairs dragen de PNR-gegevens over aan de nationale passagiersinformatie-eenheid van de lidstaat op wiens grondgebied de betrokken internationale vlucht aankomt, vertrekt of een tussenlanding maakt, met behulp van elektronische hulpmiddelen of, ingeval van storingen, op enige andere passende wijze. De overdracht van deze gegevens aan de passagiersinformatie-eenheid vindt plaats met behulp van de “push-methode”.

5. De intermediairs houden hun databanken uitsluitend op het grondgebied van de Europese Unie en voeren de verwerking van de PNR-gegevens eveneens uitsluitend op het grondgebied van de Europese Unie uit.

6. Het is de intermediairs verboden om de voor de luchtvervoerders verzamelde en aan de passagiersinformatie-eenheid overgedragen gegevens te verwerken voor enig ander doel dan de in dit artikel genoemde doeleinden; ze zullen de gegevens onmiddellijk na overdracht aan de passagiersinformatie-eenheid wissen.

Artikel 7

Uitwisseling van informatie

1. De lidstaten dienen ervoor te zorgen dat de PNR-gegevens van door een passagiersinformatie-eenheid overeenkomstig artikel 3, lid 3, geïdentificeerde passagiers door die passagiersinformatie-eenheid slechts worden overgedragen aan de passagiersinformatie-eenheden van andere lidstaten voor zover die overdracht noodzakelijk is voor de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit. De passagiersinformatie-eenheden van de ontvangende lidstaten bewaren de PNR-gegevens in overeenstemming met artikel 9 en dragen deze gegevens over aan hun krachtens artikel 4 aangewezen bevoegde autoriteiten.

2. De passagiersinformatie-eenheid of enige aangewezen bevoegde autoriteiten van een lidstaat heeft het recht om bij de passagiersinformatie-eenheid van enige andere lidstaat specifieke PNR-gegevens op te vragen die overeenkomstig artikel 9, lid 1, in de actieve databank van deze laatste passagiersinformatie-eenheid worden bewaard. Het opvragen van deze gegevens kan worden gebaseerd op elk van de gegevenselementen of op een combinatie daarvan, naar gelang passend wordt geacht door de verzoekende eenheid ter voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit. De passagiersinformatie-eenheden willigen deze verzoeken in zodra ze de desbetreffende gegevens uit de databank kunnen ophalen.

3. Wanneer een lidstaat een andere lidstaat om specifieke gegevens vraagt die zijn opgeslagen in de slapende databank als bedoeld in artikel 9, lid 2, wordt het verzoek gericht aan de autoriteit die in de lidstaat verantwoordelijk is voor de databank waarin de PNR-gegevens zijn opgeslagen, en dit verzoek wordt uitsluitend in uitzonderlijke omstandigheden gedaan, in reactie op een specifieke en daadwerkelijke dreiging die verband houdt met de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit. Uitsluitend speciaal daartoe gemachtigde personeelsleden van de bevoegde autoriteiten hebben toegang tot dergelijke gegevens.

4. In uitzonderlijke omstandigheden, wanneer er een aanwijzing bestaat dat vroegtijdige toegang noodzakelijk is om te kunnen reageren op een specifieke en daadwerkelijke dreiging die verband houdt met de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit, heeft de passagiersinformatie-eenheid van een lidstaat of de aangewezen bevoegde autoriteit het recht om de passagiersinformatie-eenheid van een andere lidstaat te verzoeken om eerder dan 24 uur voor de geplande vertrektijd PNR-gegevens te verstrekken van vluchten die aankomen, vertrekken of een tussenlanding maken op het grondgebied van deze laatste lidstaat.

Artikel 8

Doorgifte van gegevens aan derde landen

1. Onverminderd de voorwaarden en waarborgen die zijn vervat in het Kaderbesluit (xx/xx) van de Raad inzake de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, kunnen PNR-gegevens door een lidstaat uitsluitend worden doorgegeven aan wetshandhavingsautoriteiten van derde landen wanneer de lidstaat zich ervan vergewist heeft dat:

(a) de autoriteiten van het derde land de gegevens uitsluitend zal gebruiken voor de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit,

(b) het desbetreffende derde land de gegevens niet zal overdragen aan een ander derde land zonder de uitdrukkelijke toestemming van de lidstaat.

2. Bovendien mogen dergelijke overdrachten alleen plaatsvinden in overeenstemming met de nationale wetgeving van de betrokken lidstaat en met alle van toepassing zijnde internationale overeenkomsten.

Artikel 9

Bewaringsperiode

1. De lidstaten zorgen ervoor dat de door luchtvervoerders aan de passagiersinformatie-eenheid verstrekte PNR-gegevens worden bewaard in een databank bij de passagiersinformatie-eenheid voor een periode van vijf jaar na de overdracht van deze gegevens aan de passagiersinformatie-eenheid van de eerste lidstaat op wiens grondgebied de internationale vlucht aankomt, vertrekt of een tussenlanding maakt.

2. Na afloop van de in lid 1 genoemde periode van vijf jaar na de overdracht van de PNR-gegevens aan de passagiersinformatie-eenheid worden de gegevens voor een verdere periode van acht jaar bewaard. Gedurende deze periode mogen de PNR-gegevens uitsluitend worden verkregen, verwerkt en gebruikt met de goedkeuring van de bevoegde autoriteiten en uitsluitend in uitzonderlijke omstandigheden om te kunnen reageren op een specifieke en daadwerkelijke dreiging die verband houdt met de voorkoming en bestrijding van terroristische misdrijven en georganiseerde criminaliteit. Uitsluitend speciaal daartoe gemachtigde personeelsleden van de bevoegde autoriteiten hebben toegang tot dergelijke gegevens.

3. De lidstaten zorgen ervoor dat de PNR-gegevens na afloop van de in lid 2 gespecificeerde periode van acht jaar uit de databank van hun passagiersinformatie-eenheid worden gewist.

4. In afwijking van de leden 1, 2 en 3, kunnen de passagiersinformatie-eenheden de PNR-gegevens voor langere perioden bewaren in gevallen waarin de gegevens worden gebruikt voor een lopend strafrechtelijk onderzoek met betrekking tot een terroristisch misdrijf of georganiseerd misdrijf dat is gepleegd tegen of door de persoon op wie de gegevens betrekking hebben. Deze gegevens worden uit alle archieven en bestanden gewist zodra dit onderzoek is afgesloten.

Artikel 10

Sancties

De lidstaten zorgen ervoor, in overeenstemming met hun nationale recht, dat afschrikwekkende, doeltreffende en evenredige sancties, met inbegrip van geldboeten, worden opgelegd aan luchtvervoerders en intermediairs die geen gegevens of incomplete of verkeerde gegevens overdragen of op andere wijze de nationale bepalingen overtreden die zijn aangenomen krachtens dit kaderbesluit. In geval van herhaalde zware overtredingen omvatten deze sancties maatregelen als de vasthouding, inbeslagneming en verbeurdverklaring van het vervoermiddel, of de tijdelijke opschorting dan wel intrekking van de exploitatievergunning.

HOOFDSTUK III

BESCHERMING VAN PERSOONSGEGEVENS

Artikel 11

Bescherming van persoonsgegevens

1. De lidstaten zorgen ervoor dat het Kaderbesluit (xx/xx)[13] van de Raad inzake de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken van toepassing is op de verwerking van persoonsgegevens krachtens dit kaderbesluit.

2. De gegevens die krachtens dit kaderbesluit worden ontvangen door passagiersinformatie-eenheden, de intermediairs en de aangewezen bevoegde autoriteiten van alle lidstaten worden uitsluitend verwerkt voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of georganiseerde criminaliteit.

3. De passagiersinformatie-eenheden en de bevoegde autoriteiten van de lidstaten nemen geen enkele handhavingsmaatregel die uitsluitend op geautomatiseerde verwerking van PNR-gegevens of op ras of etnische afstamming, godsdienstige, levensbeschouwelijke of politieke overtuiging of seksuele geaardheid van een persoon is gebaseerd.

Artikel 12

Gegevensbeveiliging

De lidstaten zorgen ervoor dat de passagiersinformatie-eenheden, de intermediairs en de aangewezen bevoegde autoriteiten van elke lidstaat passende veiligheidsmaatregelen treffen ten aanzien van de PNR-gegevens die krachtens dit kaderbesluit worden verwerkt, opdat:

a) de gegevens fysiek worden beschermd;

b) onbevoegden de toegang tot de door de lidstaten gebezigde nationale opslagfaciliteiten wordt ontzegd (controle op de toegang tot de faciliteiten);

c) voorkomen wordt dat gegevensdragers door onbevoegden kunnen worden gelezen, gekopieerd, veranderd of verwijderd (controle op gegevensdragers);

d) onbevoegde kennisneming, wijziging of verwijdering van opgeslagen persoonsgegevens worden voorkomen (controle op de opslag);

e) onbevoegde verwerking van de gegevens wordt voorkomen (controle op de gegevensverwerking);

f) degenen die toegangsbevoegdheid hebben tot de gegevens, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft, en uitsluitend met persoonlijke en unieke gebruikersidentiteiten en geheime toegangsprocedures (controle op de toegang tot de gegevens);

g) wordt gewaarborgd dat alle autoriteiten met toegangsrecht tot de gegevens profielen opstellen waarin de taken en verantwoordelijkheden worden omschreven van personen die bevoegd zijn om de gegevens in te zien, in te voeren, bij te werken, te wissen en te doorzoeken, en deze profielen desgevraagd onverwijld ter beschikking stellen van de nationale controleautoriteiten (personeelsprofielen);

h) nagegaan en vastgesteld kan worden aan welke instanties persoonsgegevens door middel van gegevenstransmissieapparatuur kunnen worden overgedragen (controle op de overdracht);

i) wordt voorkomen, in het bijzonder door middel van passende gemeenschappelijke protocollen en versleutelingstechnieken, dat bij de overdracht van persoonsgegevens de gegevens op onbevoegde wijze worden gelezen of gekopieerd (controle op het transport).

HOOFDSTUK IV

COMITOLOGIE

Artikel 13

G emeenschappelijke protocollen en versleutelingsstandaarden

1. Tot de in lid 6 van dit artikel genoemde tijdslimiet is verstreken, worden alle overdrachten van PNR-gegevens die plaatsvinden voor de doeleinden van dit kaderbesluit uitgevoerd met behulp van elektronische hulpmiddelen of, ingeval van storingen, op enige andere passende wijze.

2. Zodra de in lid 6 van dit artikel genoemde tijdslimiet is verstreken, worden alle overdrachten van PNR-gegevens die plaatsvinden voor de doeleinden van dit kaderbesluit op elektronische wijze uitgevoerd, met gebruikmaking van veilige methoden die gemeenschappelijk zijn voor alle overdrachten om de beveiliging van de gegevens tijdens de overdracht en hun leesbaarheid voor alle betrokken partijen te waarborgen; deze methoden omvatten het volgende:

a) gemeenschappelijke protocollen, en

b) gemeenschappelijke versleutelingsstandaarden.

3. De gemeenschappelijke protocollen en versleutelingsstandaarden worden ingesteld en, indien nodig, aangepast in overeenstemming met de in artikel 15 beschreven procedure.

4. Als de in de leden 2 en 3 genoemde overdrachtswijze niet beschikbaar is, blijft lid 1 van toepassing gedurende de gehele periode dat dit het geval is.

5. Elke lidstaat zorgt ervoor dat de technische wijzigingen worden uitgevoerd die nodig zijn om de gemeenschappelijke protocollen en versleutelingsstandaarden te kunnen gebruiken voor alle overdrachten van PNR-gegevens die plaatsvinden voor de doeleinden van dit kaderbesluit. De lidstaten stellen de Commissie in kennis van de datum met ingang waarvan deze overdrachten kunnen plaatsvinden. De Commissie deelt deze datum onverwijld mee aan het in artikel 14 genoemde comité.

6. De in lid 5 genoemde technische wijzigingen worden uitgevoerd binnen 1 jaar na de aanneming van de gemeenschappelijke protocollen en versleutelingsstandaarden.

7. De maatregelen die nodig zijn voor de tenuitvoerlegging van de leden 2 en 3 worden aangenomen in overeenstemming met de in artikel 15 genoemde regelgevende procedure.

Artikel 14 Comitéprocedure

1. De Commissie wordt bijgestaan door een comité, bestaande uit vertegenwoordigers van de lidstaten en voorgezeten door de vertegenwoordiger van de Commissie (“het comité”).

2. Het comité stelt op voorstel van zijn voorzitter zijn reglement van orde vast op basis van standaardprocedureregels die in het Publicatieblad van de Europese Unie worden bekendgemaakt.

3. Het comité kan zijn leden passende aanbevelingen doen over de aanneming van de gemeenschappelijke protocollen en versleutelingsstandaarden die worden gebruikt bij alle overdrachten van PNR-gegevens die plaatsvinden krachtens dit kaderbesluit, alsook over de gemeenschappelijke algemene criteria en de werkmethoden voor de risicobeoordeling als bedoeld in artikel 3, lid 3.

Artikel 15 Procedure

1. Ingeval naar dit artikel wordt verwezen, legt de vertegenwoordiger van de Commissie het comité een ontwerp van de te nemen maatregelen voor. Het comité brengt binnen een termijn die de voorzitter naar gelang van de urgentie van de materie kan vaststellen, advies over dit ontwerp uit. Het comité spreekt zich uit met de meerderheid van stemmen die in artikel 205, lid 2, van het Verdrag betreffende de Europese Unie is voorgeschreven voor de besluiten die de Raad op voorstel van de Commissie moet aannemen. De stemmen van de vertegenwoordigers van de lidstaten in het comité worden gewogen overeenkomstig genoemd artikel. De voorzitter neemt niet aan de stemming deel.

2. De Commissie stelt de beoogde maatregelen vast wanneer zij in overeenstemming zijn met het advies van het comité.

3. Wanneer de beoogde maatregelen niet in overeenstemming zijn met het advies van het comité of wanneer geen advies is uitgebracht, dient de Commissie onverwijld bij de Raad een voorstel betreffende de te nemen maatregelen in en brengt zij het Europees Parlement hiervan op de hoogte.

4. De Raad kan binnen drie maanden na de datum van indiening van het voorstel bij de Raad met een gekwalificeerde meerderheid van stemmen een besluit nemen over het voorstel.

Wanneer de Raad binnen die termijn met een gekwalificeerde meerderheid van stemmen te kennen geeft dat hij zich tegen het voorstel verzet, neemt de Commissie het voorstel opnieuw in behandeling. Zij kan bij de Raad een gewijzigd voorstel indienen, haar voorstel opnieuw indienen of een wetgevingsvoorstel indienen op basis van het Verdrag.

Wanneer de Raad bij afloop van die termijn het voorgestelde uitvoeringsbesluit niet heeft aangenomen of niet te kennen heeft gegeven dat hij zich tegen het voorstel voor uitvoeringsmaatregelen verzet, wordt het voorgestelde uitvoeringsbesluit door de Commissie vastgesteld.

HOOFDSTUK V

SLOTBEPALINGEN

Artikel 16

Tenuitvoerlegging

1. De lidstaten treffen de nodige maatregelen om uiterlijk op 31 december 2010 aan de bepalingen van dit kaderbesluit te voldoen. Uiterlijk op dezelfde datum zenden de lidstaten het secretariaat-generaal van de Raad en de Commissie de tekst toe van de bepalingen waarmee de uit hoofde van dit kaderbesluit op hen rustende verplichtingen in hun nationale wetgeving zijn omgezet, evenals een correlatietabel tussen die bepalingen en dit kaderbesluit.

Wanneer de lidstaten deze bepalingen aannemen, wordt in die bepalingen naar dit kaderbesluit verwezen of wordt hiernaar verwezen bij de officiële bekendmaking van de bepalingen. De regels voor deze verwijzing worden vastgesteld door de lidstaten.

2. Uiterlijk op 31 december 2011 beoordeelt de Raad, op basis van een op grond van deze informatie opgesteld rapport en een schriftelijk rapport van de Commissie, in hoeverre de lidstaten hebben voldaan aan de bepalingen van dit kaderbesluit.

Artikel 17

Evaluatie

De Commissie evalueert de werking van dit kaderbesluit op basis van de door de lidstaten verstrekte informatie en brengt binnen drie jaar na de inwerkingtreding van dit kaderbesluit verslag uit bij de Raad. De evaluatie zal betrekking hebben op alle aspecten van dit kaderbesluit, en in het bijzonder op de toepassing van de "push-methode", op de mate waarin de gegevensbeschermingswaarborgen zijn geëerbiedigd, de lengte van de bewaringstermijn en de kwaliteit van de risicobeoordeling.

Artikel 18

Statistische gegevens

1. De lidstaten zorgen ervoor dat er statistische informatie beschikbaar is over de aan de passagiersinformatie-eenheid verstrekte PNR-gegevens.

2. Deze statistieken moeten per luchtvervoerder en per bestemming ten minste het aantal gegevenselementen, het aantal identificaties van personen met een hoog risico en het aantal daaropvolgende wetshandhavingsacties waarbij PNR-gegevens worden gebruikt omvatten.

3. Deze statistieken mogen geen persoonsgegevens bevatten. De statistieken moeten jaarlijks worden verstrekt aan het secretariaat-generaal van de Raad en aan de Commissie.

Artikel 19

Verhouding tot andere instrumenten

1. De lidstaten mogen de bilaterale of multilaterale overeenkomsten of regelingen die op het tijdstip van de aanneming van dit kaderbesluit van kracht zijn, blijven toepassen voor zover deze overeenkomsten of regelingen verenigbaar zijn met de doelstellingen van dit kaderbesluit.

2. De lidstaten kunnen na de inwerkingtreding van dit kaderbesluit bilaterale of multilaterale overeenkomsten of regelingen sluiten voor zover deze overeenkomsten of regelingen verenigbaar zijn met de doelstellingen van dit kaderbesluit.

Artikel 20

Inwerkingtreding

Dit kaderbesluit treedt in werking op de dag na de bekendmaking ervan in het Publicatieblad van de Europese Unie .

Gedaan te Brussel,

Voor de Raad

De voorzitter

BIJLAGE I

PNR-gegevens overeenkomstig artikel 2

Gegevens van alle passagiers

1. PNR-bestandslocatie

2. Datum van boeking/uitgifte van het biljet

3. Geplande reisdatum of reisdata

4. Naam/namen

5. Adres en contactgegevens (telefoonnummer, e-mailadres)

6. Alle betalingsinformatie, met inbegrip van het factuuradres

7. Volledige reisroute voor dit specifieke PNR

8. Informatie betreffende frequent reizen

9. Reisbureau /reisagent

10. Reisstatus van de passagier, met inbegrip van bevestigingen, de check-in-status en “no-show” of “go-show”-informatie

11. Opgesplitste/opgedeelde PNR-informatie

12. Algemene opmerkingen (uitgezonderd gevoelige informatie)

13. Informatie over biljetuitgifte, waaronder het biljetnummer, de uitgiftedatum van het reisbiljet, biljetten voor enkele reizen en geautomatiseerde prijsnotering van reisbiljetten

14. Zitplaatsinformatie, waaronder het zitplaatsnummer

15. Informatie over gedeelde vluchtcodes

16. Alle bagage-informatie

17. Andere namen in het PNR, waaronder het aantal reizigers in het PNR

18. Eventuele APIS-informatie

19. Alle vroegere wijzigingen in de onder de punten 1 tot en met 18 genoemde PNR

Aanvullende gegevens over niet-begeleide minderjarigen jonger dan 18 jaar

20. Naam en geslacht van het kind

21. Leeftijd

22. Taal/talen die het kind spreekt

23. Naam en contactgegevens van de persoon die het kind begeleidt naar het vertrek en de aard van de relatie van deze persoon met het kind

24. Naam en contactgegevens van de persoon die het kind afhaalt bij aankomst en de aard van de relatie van deze persoon met het kind

25. Functionaris voor vertrek en aankomst[pic][pic][pic][pic][pic][pic]

[1] SEC(2007) 1453.

[2] PB

[3] PB

[4] PB Verklaring betreffende de bestrijding van terrorisme, aangenomen op 25 maart 2004.

[5] Het Haags Programma: Versterking van vrijheid, veiligheid en rechtvaardigheid in de Europese Unie, punt 2.2: Terrorisme.

[6] Verklaring van de Raad over de reactie van de EU op de bomaanslagen in Londen – punt 6.

[7] PB L 164 van 22.6.2002, blz. 3.

[8] PB

[9] PB L 261 van 6.8.2004, blz. 24.

[10] COM(2003) 826 van 16.12.2003.

[11] PB L 164 van 22.6.2002, blz. 3

[12] PB

13 PB