Met de richtlijn wordt beoogd de doorgifte te regelen van persoonsgegevens van passagiers (PNR-gegevens) van passagiers op internationale vluchten van luchtvaartmaatschappijen naar de lidstaten van de Europese Unie (EU).
De richtlijn regelt ook het verwerken van deze gegevens door de bevoegde instanties van de EU-lidstaten.
KERNPUNTEN
Wat zijn PNR-gegevens?
Deze bestaan uit boekingsinformatie die door luchtvaartmaatschappijen wordt opgeslagen in hun reserveringssystemen en hun vertrekcontrolesystemen. De verzamelde informatie bestaat onder andere uit:
reisdata,
reisroute,
ticketinformatie,
contactgegevens,
gebruikte betaalmethode,
bagage-informatie.
Toepassingsgebied
Elke EU-lidstaat moet een passagiersinformatie-eenheid (PIE) instellen. Een PIE is verantwoordelijk voor:
het verzamelen, opslaan en verwerken van de gegevens, en voor het doorgeven van die gegevens of de verwerkingsresultaten aan de nationale bevoegde instanties;
Luchtvaartmaatschappijen moeten de PIE’s in EU-lidstaten voorzien van de PNR-gegevens voor vluchten die aankomen in of vertrekken uit de EU. Op grond van de richtlijn kunnen (maar dit is niet verplicht) EU-lidstaten PNR-gegevens verzamelen over geselecteerde vluchten binnen de EU.
Verwerking
De verzamelde gegevens mogen uitsluitend worden verwerkt voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Gegevens mogen uitsluitend worden verwerkt in de volgende gevallen:
voor het beoordelen van passagiers vóór aankomst aan de hand van vooraf bepaalde risicocriteria en relevante databanken van rechtshandhavingsinstanties;
voor gebruik bij bepaalde onderzoeken/strafvervolging;
als input bij het ontwikkelen van criteria voor risicobeoordeling.
Doorgifte en uitwisseling van gegevens
Lidstaten mogen geen toegang hebben tot de databases van luchtvaarmaatschappijen.
PNR-gegevens worden door de luchtvaartmaatschappij verzonden naar de PIE van de betreffende lidstaat.
Indien nodig en relevant moet een lidstaat PNR-gegevens over een bepaalde persoon verstrekken aan de bevoegde instanties van een andere lidstaat.
PNR-gegevens mogen onder een aantal specifieke voorwaarden worden doorgegeven aan een niet-EU-land.
Opslag
Door luchtvaartmaatschappijen verstrekte gegevens moeten door de PIE in een databank worden opgeslagen gedurende vijf jaar vanaf het moment van doorgifte aan de lidstaat waar de vlucht aankomt of vertrekt.
Na zes maanden moeten de doorgegeven gegevens worden “gedepersonaliseerd” door afscherming van bepaalde informatie zoals:
naam;
adres en contactgegevens;
alle betalingsinformatie, met inbegrip van het factuuradres.
Mededeling van de volledige PNR-informatie na afloop van deze periode van zes maanden is uitsluitend toegestaan indien:
redelijkerwijs wordt aangenomen dat dit noodzakelijk is voor het (per geval) inwilligen van verzoeken om PNR-gegevens afkomstig van de bevoegde instanties of Europol, en
dit is goedgekeurd door een gerechtelijke instantie, of een andere nationale instantie die volgens het nationale recht bevoegd is om na te gaan of aan de voorwaarden voor mededeling is voldaan.
Doorgifte van PNR-gegevens aan niet-EU-landen
Deel Drie, Titel III van de Handels- en samenwerkingsovereenkomst EU-VK (zie de samenvatting) heeft betrekking op de doorgifte, de verwerking en het gebruik van PNR-gegevens met betrekking tot vluchten tussen de EU en het Verenigd Koninkrijk. Hierin worden tevens de regels met betrekking tot PNR-gegevens uiteengezet voor politiële en justitiële samenwerking in strafzaken tussen het Verenigd Koninkrijk en de EU.
De EU heeft daarnaast met Australië en met de Verenigde Staten overeenkomsten gesloten die specifiek betrekking hebben op de doorgifte van PNR-gegevens.
VANAF WANNEER ZIJN DE REGELS VAN TOEPASSING?
De richtlijn moest op in nationale wetgeving zijn .
ACHTERGROND
Het Hof van Justitie erkent de geldigheid van de PNR-richtlijn in het licht van de rechten die worden gewaarborgd door het Handvest van de grondrechten van de EU, maar legt ook enkele beperkingen op aan de toepassing van Richtlijn (EU) 2016/681 toen het besliste dat een aantal regels uit die richtlijn restrictief moeten worden uitgelegd (zie het arrest van het Hof).
Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PB L 119 van , blz. 132-149).
GERELATEERDE DOCUMENTEN
Handels- en samenwerkingsovereenkomst tussen de Europese Unie en de Europese Gemeenschap voor Atoomenergie, enerzijds, en het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland, anderzijds (PB L 149 van , blz. 10-2539).
Overeenkomst tussen de Verenigde Staten van Amerika en de Europese Unie inzake het gebruik en de doorgifte van persoonsgegevens van passagiers aan het Amerikaanse Ministerie van Binnenlandse Veiligheid (PB L 215 van , blz. 5-14).
Overeenkomst tussen de Europese Unie en Australië inzake de verwerking en doorgifte van persoonsgegevens van passagiers (PNR) door luchtvaartmaatschappijen aan de Australische dienst Douane en grensbescherming (PB L 186 van , blz. 4-16).