This document is an excerpt from the EUR-Lex website
Document 02016L0681-20160504
Consolidated text: Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet
Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet
2016L0681 — SV — 04.05.2016 — 000.001
Den här texten är endast avsedd som ett dokumentationshjälpmedel och har ingen rättslig verkan. EU-institutionerna tar inget ansvar för innehållet. De autentiska versionerna av motsvarande rättsakter, inklusive ingresserna, publiceras i Europeiska unionens officiella tidning och finns i EUR-Lex. De officiella texterna är direkt tillgängliga via länkarna i det här dokumentet
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2016/681 av den 27 april 2016 (EGT L 119 4.5.2016, s. 132) |
Rättad genom:
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2016/681
av den 27 april 2016
om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet
KAPITEL I
Allmänna bestämmelser
Artikel 1
Syfte och tillämpningsområde
1. Detta direktiv innehåller bestämmelser om
a) lufttrafikföretags överföring av passageraruppgiftssamlingar (PNR-uppgifter) om passagerare på flygningar utanför EU,
b) behandlingen av de uppgifter som avses i led a, inbegripet medlemsstaternas insamling, användning, lagring och inbördes utbyte av dessa uppgifter.
2. PNR-uppgifter som samlas in i enlighet med detta direktiv får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 6.2 a, b och c.
Artikel 2
Detta direktivs tillämpning på flygningar inom EU
1. Om en medlemsstat beslutar att tillämpa detta direktiv på flygningar inom EU, ska denna medlemsstat skriftligen meddela kommissionen detta. En medlemsstat får när som helst lämna eller återkalla ett sådant meddelande. Kommissionen ska offentliggöra detta meddelande, och en eventuell återkallelse av det, i Europeiska unionens officiella tidning.
2. När ett meddelande som avses i punkt 1 lämnas, ska alla bestämmelser i detta direktiv gälla för flygningar inom EU som om de vore flygningar utanför EU och för PNR-uppgifter från flygningar inom EU som om de vore PNR-uppgifter från flygningar utanför EU.
3. En medlemsstat får besluta att endast tillämpa detta direktiv på valda flygningar inom EU. När medlemsstaten fattar ett sådant beslut, ska den välja de flygningar som den anser vara nödvändiga för att efterfölja målen för detta direktiv. Medlemsstaten får när som helst besluta att ändra urvalet av flygningar inom EU.
Artikel 3
Definitioner
I detta direktiv avses med
1. |
lufttrafikföretag : ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rätt att bedriva passagerarflygtrafik, |
2. |
flygning utanför EU : varje reguljär eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från ett tredjeland och planerad landning på en medlemsstats territorium eller flygning från en medlemsstats territorium med planerad landning i ett tredjeland, i båda fallen inklusive eventuella mellanlandningar på territorier i medlemsstater eller tredjeländer, |
3. |
flygning inom EU : varje reguljär eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från en medlemsstats territorium och planerad landning på en eller flera andra medlemsstaters territorium, utan eventuella mellanlandningar på tredjeländers territorier, |
4. |
passagerare : alla personer, inbegripet personer i transfer eller transit förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan med lufttrafikföretagets godkännande, vilket godkännande framgår av att denna person står med på passagerarförteckningen, |
5. |
passageraruppgiftssamling eller PNR-uppgifter : en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i reservationssystemet, det avgångskontrollsystem som används för att checka in passagerare på flygningar eller likvärdiga system med motsvarande uppgift, |
6. |
reservationssystem : lufttrafikföretagets interna system, där PNR-uppgifter samlas för hantering av reservationer, |
7. |
sändmetod : den metod varigenom lufttrafikföretagen överför de PNR-uppgifter som förtecknas i bilaga I till databasen vid den myndighet som begärt dem, |
8. |
terroristbrott : de brott enligt nationell rätt som avses i artiklarna 1–4 i rambeslut 2002/475/RIF, |
9. |
grov brottslighet : brott som förtecknas i bilaga II som kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt, |
10. |
avidentifiering genom maskering av uppgifter : att göra de uppgifter som kan användas för att omedelbart identifiera den registrerade osynliga för en användare. |
KAPITEL II
Medlemsstaternas skyldigheter
Artikel 4
Enhet för passagerarinformation
1. Varje medlemsstat ska inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet, vilken ska fungera som medlemsstatens enhet för passagerarinformation.
2. Enheten för passagerarinformation ska ansvara för att
a) samla in PNR-uppgifter från lufttrafikföretagen, lagra och behandla dessa uppgifter och överföra dessa uppgifter eller resultatet av behandlingen av dem till de behöriga myndigheter som avses i artikel 7,
b) utbyta både PNR-uppgifter och resultatet av behandlingen av dessa uppgifter med andra medlemsstaters enheter för passagerarinformation och med Europol i enlighet med artiklarna 9 och 10.
3. Personal vid enheten för passagerarinformation kan utgöras av tjänstemän som avdelats från behöriga myndigheter. Medlemsstaterna ska ge enheterna för passagerarinformation tillräckliga resurser för att de ska kunna utföra sina uppgifter.
4. Två eller flera medlemsstater (nedan kallade de deltagande medlemsstaterna) får inrätta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation. En sådan enhet för passagerarinformation ska inrättas i en av de deltagande medlemsstaterna och fungera som nationell enhet för passagerarinformation för alla deltagande medlemsstater. De deltagande medlemsstaterna ska tillsammans enas om närmare bestämmelser för driften av enheten för passagerarinformation utan att avvika från kraven i detta direktiv.
5. Varje medlemsstat ska inom en månad från inrättandet eller utseendet av sin enhet för passagerarinformation meddela kommissionen detta och får när som helst ändra detta meddelande. Kommissionen ska offentliggöra meddelandet och eventuella ändringar därav i Europeiska unionens officiella tidning.
Artikel 5
Dataskyddsombud vid enheten för passagerarinformation
1. Enheten för passagerarinformation ska utse ett dataskyddsombud, som ska ansvara för övervakningen av behandlingen av PNR-uppgifter och för genomförandet av relevanta skyddsåtgärder.
2. Medlemsstaterna ska förse dataskyddsombuden med de resurser som de behöver för att utföra sina uppgifter i enlighet med denna artikel på ett effektivt och oberoende sätt.
3. Medlemsstaterna ska se till att en registrerad har rätt att kontakta dataskyddsombudet, i egenskap av enda kontaktpunkt, i alla frågor som rör behandlingen av den registrerades PNR-uppgifter.
Artikel 6
Behandling av PNR-uppgifter
1. PNR-uppgifter som överförs av lufttrafikföretag ska samlas in av den berörda medlemsstatens enhet för passagerarinformation i enlighet med artikel 8. Om PNR-uppgifter som överförs av lufttrafikföretag omfattar andra uppgifter än dem som anges i bilaga I, ska enheten för passagerarinformation omedelbart och slutgiltigt radera dessa vid mottagandet.
2. Enheten för passagerarinformation ska enbart behandla PNR-uppgifterna för följande ändamål:
a) Göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna enligt artikel 7 och i förekommande fall Europol enligt artikel 10 behöver utreda ytterligare, på grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.
b) I enskilda fall, besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling.
c) Analysera PNR-uppgifter för att uppdatera och skapa nya kriterier som ska användas vid de bedömningar som genomförs enligt punkt 3 b, i syfte att identifiera personer som kan vara delaktiga i terroristbrott eller grov brottslighet.
3. När enheten för passagerarinformation utför den bedömning som avses i punkt 2 a får den:
a) Jämföra PNR-uppgifter med uppgifter i databaser som är relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, inklusive databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser, eller
b) behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier.
4. En bedömning av passagerare före planerad ankomst till eller avresa från medlemsstaten som görs enligt punkt 3 b i enlighet med på förhand fastställda kriterier ska utföras på ett icke-diskriminerande sätt. Dessa på förhand fastställda kriterier måste vara riktade, proportionella och specifika. Medlemsstaterna ska se till att kriterierna fastställs och regelbundet ses över av enheterna för passagerarinformation i samarbete med de behöriga myndigheter som avses i artikel 7. Dessa på förhand fastställda kriterier får under inga omständigheter vara baserade på en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.
5. Medlemsstaterna ska se till att eventuella träffar i samband med automatisk behandling av PNR-uppgifter enligt punkt 2 a granskas individuellt med icke-automatiska metoder, för att verifiera huruvida den behöriga myndighet som avses i artikel 7 behöver vidta åtgärder enligt nationell rätt.
6. Enheten för passagerarinformation i en medlemsstat ska översända PNR-uppgifterna beträffande personer som har identifierats i enlighet med punkt 2 a eller resultaten av behandlingen av dessa uppgifter till de behöriga myndigheter som avses i artikel 7 i samma medlemsstat för vidare granskning. Sådana överföringar får endast göras i enskilda fall och, vid automatisk behandling av PNR-uppgifter, efter individuell icke-automatisk granskning.
7. Medlemsstaterna ska se till att dataskyddsombudet har åtkomst till alla uppgifter som enheten för passagerarinformation behandlar. Om dataskyddsombudet anser att behandlingen av vissa uppgifter inte har varit lagenlig, ska dataskyddsombudet hänskjuta ärendet till den nationella tillsynsmyndigheten.
8. Lagring, behandling och analys av PNR-uppgifter vid enheten för passagerarinformation ska uteslutande utföras på en eller flera säkra platser på en medlemsstats territorium.
9. Konsekvenserna av de bedömningar av passagerare som avses i punkt 2 a i denna artikel får inte äventyra rätten för personer som åtnjuter fri rörlighet enligt unionsrätten att resa in på den berörda medlemsstatens territorium i enlighet med Europaparlamentets och rådets direktiv 2004/38/EG ( 1 ). När bedömningarna sker i samband med flygningar inom EU mellan medlemsstater för vilka Europaparlamentets och rådets förordning (EG) nr 562/2006 ( 2 ) är tillämplig, ska konsekvenserna av sådana bedömningar vara förenliga med den förordningen.
Artikel 7
Behöriga myndigheter
1. Varje medlemsstat ska fastställa en förteckning över de behöriga myndigheter som har befogenhet att begära eller motta PNR-uppgifter eller resultat av behandlingen av dessa uppgifter från enheten för passagerarinformation för vidare granskning av informationen eller för att vidta lämpliga åtgärder för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.
2. De myndigheter som avses i punkt 1 ska vara myndigheter som är behöriga att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.
3. Med avseende på tillämpningen av artikel 9.3 ska varje medlemsstat senast den 25 maj 2017 meddela kommissionen förteckningen över sina behöriga myndigheter och får när som helst ändra sitt meddelande. Kommissionen ska offentliggöra meddelandet och eventuella ändringar därav i Europeiska unionens officiella tidning.
4. PNR-uppgifter och resultaten av behandling av dessa uppgifter som mottas av enheten för passagerarinformation får endast vidarebehandlas av de behöriga myndigheterna i medlemsstaterna, om det specifika syftet är att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.
5. Punkt 4 ska inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av PNR-uppgifter.
6. De behöriga myndigheterna får inte fatta några beslut som har negativa rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar en person endast på grund av den automatiska behandlingen av PNR-uppgifter. Besluten får inte grunda sig på en persons ras eller etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.
Artikel 8
Lufttrafikföretagens skyldigheter vad gäller överföring av uppgifter
1. Medlemsstaterna ska anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag genom sändmetoden överför de PNR-uppgifter som förtecknas i bilaga I, förutsatt att de redan samlar in sådana uppgifter som en del av sin normala affärsverksamhet, till databasen hos enheten för passagerarinformation i den medlemsstat på vars territorium flygningen kommer att ankomma eller från det territorium varifrån flygningen kommer att avgå. Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska det företag som utför flygningen ha skyldighet att överföra PNR-uppgifter om samtliga passagerare ombord. Om en flygning utanför EU omfattar en eller flera mellanlandningar på medlemsstaternas flygplatser, ska lufttrafikföretagen överföra PNR-uppgifterna för alla passagerare till enheterna för passagerarinformation i alla berörda medlemsstater. Detta gäller även om en flygning inom EU innebär en eller flera mellanlandningar på olika medlemsstaters flygplatser, men endast i fråga om medlemsstater som samlar in PNR-uppgifter från flygningar inom EU.
2. Om lufttrafikföretagen har samlat in sådan förhandsinformation om passagerare (API-uppgifter) som förtecknas i punkt 18 i bilaga I men inte lagrar denna information med hjälp av samma tekniska metoder som för andra PNR-uppgifter, ska medlemsstaterna vidta nödvändiga åtgärder för att säkerställa att lufttrafikföretagen genom sändmetoden även överför dessa uppgifter till enheten för passagerarinformation i de medlemsstater som avses i punkt 1. Vid sådan överföring ska alla bestämmelser i detta direktiv vara tillämpliga på dessa API-uppgifter.
3. Lufttrafikföretagen ska överföra PNR-uppgifter elektroniskt med användning av de gemensamma protokoll och understödda dataformat som ska antas i enlighet med det granskningsförfarande som avses i artikel 17.2 eller, vid eventuella tekniska problem, på något annat sätt som säkerställer ett lämpligt dataskydd
a) 24–48 timmar före flygningens planerade avgång, och
b) omedelbart efter det att gatens dörrar stängts, det vill säga när passagerarna har stigit ombord på planet inför avgång och passagerare inte längre tillåts stiga ombord eller stiga av.
4. Medlemsstaterna ska tillåta lufttrafikföretag att begränsa den överföring som avses i punkt 3 b till uppdateringar av sådana överföringar som avses i punkt 3 a.
5. I situationer där åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska lufttrafikföretag efter en bedömning i det enskilda fallet på begäran av en enhet för passagerarinformation, i enlighet med nationell rätt, överföra PNR-uppgifter vid andra tidpunkter än de som anges i punkt 3.
Artikel 9
Utbyte av information mellan medlemsstaterna
1. När personer identifieras av en enhet för passagerarinformation i enlighet med artikel 6.2, ska medlemsstaterna se till att enheten översänder alla relevanta och nödvändiga PNR-uppgifter eller resultaten av en eventuell behandling av dessa uppgifter till motsvarande enheter i de andra medlemsstaterna. Enheterna för passagerarinformation i de mottagande medlemsstaterna ska översända den mottagna informationen till sina behöriga myndigheter i enlighet med artikel 6.6.
2. Enheten för passagerarinformation i en medlemsstat ska ha rätt att vid behov begära att en enhet för passagerarinformation i en annan medlemsstat tillhandahåller PNR-uppgifter som lagras i den senares databas och ännu inte har avidentifierats genom maskering av uppgifter i enlighet med artikel 12.2 och vid behov även resultaten av en eventuell behandling av dessa uppgifter, om en sådan redan har utförts i enlighet med artikel 6.2 a. En sådan begäran ska vederbörligen motiveras. Den får avse en viss uppgift eller en kombination av sådana uppgifter, beroende på vilken information den begärande enheten för passagerarinformation anser vara nödvändig i ett särskilt fall för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Enheterna för passagerarinformation ska tillhandahålla den begärda informationen så snart som möjligt. Om de begärda uppgifterna har avidentifierats genom maskering av uppgifter i enlighet med artikel 12.2, ska enheten för passagerarinformation endast tillhandahålla fullständiga PNR-uppgifter, om det rimligen kan antas vara nödvändigt för de ändamål som anges i artikel 6.2 b och detta endast efter tillstånd från en behörig myndighet som avses i artikel 12.3 b.
3. Endast i nödfall och enligt de villkor som fastställts i punkt 2 får en medlemsstats behöriga myndigheter vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om utlämnande av PNR-uppgifter som finns lagrade i den enhetens databas. Begäran från de behöriga myndigheterna ska motiveras. En kopia av begäran ska alltid skickas till enheten för passagerarinformation i den begärande medlemsstaten. I alla andra fall ska de behöriga myndigheterna översända sina framställningar via enheten för passagerarinformation i den egna medlemsstaten.
4. Om åtkomst till PNR-uppgifter är nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska enheten för passagerarinformation i en medlemsstat i undantagsfall ha rätt att begära att enheten för passagerarinformation i en annan medlemsstat införskaffar PNR-uppgifter i enlighet med artikel 8.5 och vidarebefordrar dessa till den begärande enheten för passagerarinformation.
5. Informationsutbyte enligt denna artikel får göras via alla befintliga kanaler för samarbete mellan medlemsstaternas behöriga myndigheter. Det språk som används i samband med begäran och informationsutbytet ska vara det som gäller för den kanal som används. Medlemsstaterna ska i samband med att de lämnar meddelanden i enlighet med artikel 4.5 även meddela kommissionen uppgifter om de kontaktpunkter till vilka framställningar kan sändas i nödfall. Kommissionen ska underrätta medlemsstaterna om dessa uppgifter.
Artikel 10
Villkor för Europols åtkomst till PNR-uppgifter
1. Europol ska inom ramen för sina befogenheter och för fullgörandet av sina arbetsuppgifter ha rätt att begära PNR-uppgifter eller resultatet av behandlingen av dessa uppgifter från enheterna för passagerarinformation i medlemsstaterna.
2. Europol får från fall till fall via Europols nationella enhet lämna in en elektronisk, vederbörligen motiverad begäran till enheten för passagerarinformation i en medlemsstat om översändande av specifika PNR-uppgifter eller resultaten av behandlingen av dessa uppgifter. Europol får lämna in en sådan begäran när detta är absolut nödvändigt för att stödja och stärka medlemsstaternas åtgärder för att förebygga, förhindra, upptäcka eller utreda ett specifikt terroristbrott eller grovt brott i den mån brottet i fråga omfattas av Europols behörighet enligt beslut 2009/371/RIF. I den motiverade begäran ska rimliga skäl anges till varför Europol anser att översändandet av PNR-uppgifterna eller resultaten av behandlingen av PNR-uppgifter väsentligt kommer att bidra till att brottet i fråga förebyggs, upptäcks eller utreds.
3. Europol ska informera det dataskyddsombud som utsetts i enlighet med artikel 28 i beslut 2009/371/RIF om varje informationsutbyte enligt den här artikeln.
4. Informationsutbyte enligt denna artikel ska äga rum via Siena och i enlighet med beslut 2009/371/RIF. Det språk som används för framställningen och informationsutbytet ska vara det som gäller för Siena.
Artikel 11
Överföring av uppgifter till tredjeländer
1. En medlemsstat får överföra PNR-uppgifter och resultaten av behandling av sådana uppgifter som lagras av enheten för passagerarinformation i enlighet med artikel 12 till ett tredjeland efter bedömning i det enskilda fallet, endast under förutsättning att
a) de villkor som fastställs i artikel 13 i rambeslut 2008/977/RIF är uppfyllda,
b) överföringen är nödvändig för detta direktivs syften enligt artikel 1.2,
c) det berörda tredjelandet godtar att överföra uppgifterna till ett annat tredjeland endast om det är strikt nödvändigt för detta direktivs ändamål enligt artikel 1.2 och endast efter uttryckligt samtycke av medlemsstaten, och
d) samma villkor som de som fastställs i artikel 9.2 är uppfyllda.
2. Trots vad som sägs i artikel 13.2 i rambeslut 2008/977/RIF ska överföring av PNR-uppgifter utan förhandssamtycke av den medlemsstat från vilken uppgifterna hämtades tillåtas i undantagsfall och endast om
a) överföringen är absolut nödvändig för att reagera på ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet i en medlemsstat eller ett tredjeland, och
b) förhandssamtycke inte kan erhållas i tid.
Den myndighet som ansvarar för att ge samtycke ska informeras utan dröjsmål och överföringen ska vederbörligen registreras samt genomgå efterhandskontroll.
3. Medlemsstaterna ska överföra PNR-uppgifter till behöriga myndigheter i tredjeländer på villkor som är förenliga med detta direktiv endast efter att ha förvissat sig om att mottagarnas planerade användning av uppgifterna är förenlig med dessa villkor och skyddsåtgärder.
4. Dataskyddsombudet vid enheten för passagerarinformation i den medlemsstat som har överfört PNR-uppgifterna ska informeras varje gång medlemsstaten överför PNR-uppgifter enligt denna artikel.
Artikel 12
Lagringstid för uppgifter och avidentifiering
1. Medlemsstaterna ska se till att PNR-uppgifter som lämnas av lufttrafikföretag till enheten för passagerarinformation lagras i en databas vid enheten under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick.
2. Vid utgången av en period på sex månader efter överföringen av de PNR-uppgifter som avses i punkt 1 ska alla PNR-uppgifter avidentifieras genom maskering av följande uppgifter, som kan användas för att omedelbart identifiera de passagerare som PNR-uppgifterna avser:
a) Namn, inklusive namn på andra passagerare i PNR samt antal passagerare i PNR som reser tillsammans.
b) Adress och kontaktuppgifter.
c) Alla former av betalningsinformation, inbegripet faktureringsadress, om denna innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser eller andra personer.
d) Uppgifter om bonusprogram.
e) Allmänna anmärkningar, om dessa innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser.
f) Alla API-uppgifter som samlats in.
3. Vid utgången av den sexmånadersperiod som avses i punkt 2 ska utlämnande av de fullständiga PNR-uppgifterna tillåtas endast
a) om det rimligen kan antas vara nödvändigt för de ändamål som avses i artikel 6.2 b, och
b) efter tillstånd från
i) en rättslig myndighet, eller
ii) en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda, under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvärdering.
4. Medlemsstaterna ska se till att PNR-uppgifterna slutgiltigt raderas vid utgången av den period som avses i punkt 1. Denna skyldighet gäller dock inte om specifika PNR-uppgifter har överförts till en behörig myndighet och används i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet, varvid den behöriga myndighetens lagring av uppgifterna i stället ska regleras av nationell rätt.
5. Resultaten av den behandling som avses i artikel 6.2 a ska bevaras endast av enheten för passagerarinformation så länge som krävs för att informera de behöriga myndigheterna och, i enlighet med artikel 9.1, för att informera enheterna för passagerarinformation i andra medlemsstater om en träff. Även om automatisk behandling som utförs efter en sådan individuell icke-automatisk granskning som avses i artikel 6.5 inte ger någon träff, får resultatet bevaras för att undvika framtida ”falska” träffar, så länge de bakomliggande uppgifterna inte har raderats enligt punkt 4 i den här artikeln.
Artikel 13
Skydd av personuppgifter
1. Medlemsstaterna ska föreskriva att alla passagerare vid all behandling av personuppgifter i enlighet med detta direktiv har samma rätt till skydd av sina personuppgifter, rätt till åtkomst, rättelse, radering och begränsning samt rätt till ersättning och tillgång till rättsmedel som fastställs i unionsrätten och nationell rätt och för genomförande av artiklarna 17, 18, 19 och 20 i rambeslut 2008/977/RIF. Dessa artiklar ska därför tillämpas.
2. Medlemsstaterna ska föreskriva att de nationella bestämmelser om konfidentiell behandling och datasäkerhet som har antagits för genomförande av artiklarna 21 och 22 i rambeslut 2008/977/RIF även är tillämpliga på all behandling av personuppgifter i enlighet med detta direktiv.
3. Detta direktiv påverkar inte tillämpligheten av Europaparlamentets och rådets direktiv 95/46/EG ( 3 ) på lufttrafikföretags behandling av personuppgifter, i synnerhet deras skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifters säkerhet och konfidentialitet.
4. Medlemsstaterna ska förbjuda behandling av PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning. Om enheten för passagerarinformation mottar PNR-uppgifter som avslöjar sådana uppgifter, ska dessa uppgifter omedelbart raderas.
5. Medlemsstaterna ska se till att enheten för passagerarinformation bevarar dokumentation om alla system och förfaranden för uppgiftsbehandling inom deras ansvarsområde. Dokumentationen ska minst innehålla
a) namn och kontaktuppgifter för den organisatoriska enhet och den personal vid enheten för passagerarinformation som anförtrotts behandlingen av PNR-uppgifter och de olika nivåerna av åtkomstbehörighet,
b) begäran från behöriga myndigheter och enheter för passagerarinformation i andra medlemsstater,
c) begäran om och överföring av PNR-uppgifter till ett tredjeland.
Enheten för passagerarinformation ska på begäran göra all dokumentation tillgänglig för den nationella tillsynsmyndigheten.
6. Medlemsstaterna ska se till att enheten för passagerarinformation för loggar över åtminstone följande typer av behandling: insamling, läsning, utlämning och radering. Loggarna över läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan behandling och i möjligaste mån identitetsuppgifter för den person som har läst eller lämnat ut PNR-uppgifterna samt identitetsuppgifter för de personer som mottagit uppgifterna. Loggarna ska uteslutande användas för kontroll och självövervakning, för att säkerställa dataintegritet och datasäkerhet och för revision. Enheten för passagerarinformation ska på begäran göra loggarna tillgängliga för den nationella tillsynsmyndigheten.
Loggarna ska bevaras i fem år.
7. Medlemsstaterna ska se till att deras enhet för passagerarinformation genomför lämpliga tekniska och organisatoriska åtgärder och förfaranden för att säkerställa en så hög säkerhetsnivå som är lämplig med tanke på de risker som är förknippade med behandlingen och arten av PNR-uppgifterna.
8. Om ett en personuppgiftsincident kan antas medföra ett avsevärt hot mot skyddet av den registrerades personuppgifter eller negativt påverka dennes integritet, ska medlemsstaterna se till att enheten för passagerarinformation utan onödigt dröjsmål informerar den registrerade och den nationella tillsynsmyndigheten för dataskydd om incidenten.
Artikel 14
Sanktioner
Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av nationella bestämmelser som antagits enligt detta direktiv och vidta alla nödvändiga åtgärder för att se till att de genomförs.
Medlemsstaterna ska särskilt fastställa bestämmelser om sanktioner, inklusive ekonomiska sanktioner, mot lufttrafikföretag som inte översänder uppgifter i enlighet med artikel 8 eller som inte översänder uppgifterna i det fastställda formatet.
Sanktionerna ska vara effektiva, proportionella och avskräckande.
Artikel 15
Nationell tillsynsmyndighet
1. Varje medlemsstat ska föreskriva att den nationella tillsynsmyndighet som avses i artikel 25 i rambeslut 2008/977/RIF ska ansvara för att inom sitt territorium ge riktlinjer för och övervaka tillämpningen av de bestämmelser som medlemsstaterna antar i enlighet med detta direktiv. Artikel 25 i rambeslut 2008/977/RIF ska tillämpas.
2. De nationella tillsynsmyndigheterna ska utföra sina uppgifter enligt punkt 1 i syfte att skydda grundläggande rättigheter i samband med behandling av personuppgifter.
3. Varje nationell tillsynsmyndighet ska
a) hantera klagomål från en registrerad, undersöka ärendet och inom rimlig tid informera de registrerade om förloppet för och resultatet av dennes klagomål,
b) kontrollera att uppgiftsbehandlingen är laglig, genomföra utredningar, inspektioner och revision i enlighet med nationell rätt, antingen på eget initiativ eller på grundval av ett klagomål som avses i led a.
4. Varje nationell tillsynsmyndighet ska på begäran ge registrerade råd om hur de kan utöva de rättigheter som fastställs i de bestämmelser som antas i enlighet med detta direktiv.
KAPITEL III
Genomförandeåtgärder
Artikel 16
Gemensamma protokoll och understödda dataformat
1. All överföring av PNR-uppgifter från lufttrafikföretag till enheter för passagerarinformation inom ramen för detta direktiv ska göras med elektroniska medel som tillhandahåller tillräckliga garantier med avseende på de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som styr den behandling som ska utföras. I händelse av tekniska problem får PNR-uppgifterna överföras på annat lämpligt sätt under förutsättning att samma säkerhetsnivå upprätthålls och att unionsrätten om dataskydd respekteras fullt ut.
2. Ett år från den dag då kommissionen för första gången antar gemensamma protokoll och understödda dataformat i enlighet med punkt 3, ska all överföring av PNR-uppgifter från lufttrafikföretag till enheter för passagerarinformation inom ramen för detta direktiv göras på elektronisk väg med användning av säkra metoder i överensstämmelse med dessa godkända gemensamma protokoll. Dessa protokoll ska vara gemensamma för alla överföringar, så att PNR-uppgifternas säkerhet under överföringen tryggas. PNR-uppgifterna ska överföras i ett understött dataformat, för att säkerställa att de kan läsas av alla berörda parter. Alla lufttrafikföretag ska bestämma vilket gemensamt protokoll och vilket dataformat de avser att använda för sina överföringar och underrätta enheten för passagerarinformation om detta.
3. En förteckning över gemensamma protokoll och understödda dataformat ska upprättas och vid behov anpassas av kommissionen genom genomförandeakter. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 17.2.
4. Punkt 1 ska tillämpas så länge som de gemensamma protokoll och understödda dataformat som avses i punkterna 2 och 3 inte finns tillgängliga.
5. Inom ett år från den dag då de gemensamma protokoll och understödda dataformat som avses i punkt 2 antas, ska medlemsstaterna vidta de tekniska åtgärder som krävs för att dessa gemensamma protokoll och dataformat ska kunna börja användas.
Artikel 17
Kommittéförfarande
1. Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i Europaparlamentets och rådets förordning (EU) nr 182/2011.
2. När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.
Om kommittén inte avger något yttrande, ska kommissionen inte anta utkastet till genomförandeakt och artikel 5.4 tredje stycket i förordning (EU) nr 182/2011 ska tillämpas.
KAPITEL IV
Slutbestämmelser
Artikel 18
Införlivande
1. Medlemsstaterna ska sätta i kraft de bestämmelser i lagar och andra författningar som är nödvändiga för att följa detta direktiv senast den 25 maj 2018. De ska genast underrätta kommissionen om detta.
När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.
2. Medlemsstaterna ska till kommissionen överlämna texterna till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av detta direktiv.
Artikel 19
Översyn
1. På grundval av information som medlemsstaterna tillhandahållit, inbegripet de statistiska uppgifter som avses i artikel 20.2, ska kommissionen senast den 25 maj 2020 göra en översyn av samtliga delar av detta direktiv och överlämna till och lägga fram en rapport för Europaparlamentet och rådet.
2. Kommissionen ska, när den utför sin översyn, lägga särskild vikt vid
a) efterlevnaden av de tillämpliga standarderna för skydd av personuppgifter,
b) nödvändigheten och proportionaliteten i insamlingen och behandlingen av PNR-uppgifter för vart och ett av de syften som fastställs i detta direktiv,
c) längden på den period som uppgifterna lagras,
d) ändamålsenligheten i informationsutbytet mellan medlemsstaterna, och
e) kvaliteten på bedömningarna, även med hänsyn till den statistik som samlats in i enlighet med artikel 20.
3. Den rapport som avses i punkt 1 ska också innefatta en översyn av nödvändigheten, proportionaliteten och ändamålsenligheten i att i detta direktivs tillämpningsområde inbegripa obligatorisk insamling och överföring av PNR-uppgifter avseende samtliga eller utvalda flygningar inom EU. Kommissionen ska beakta medlemsstaternas erfarenheter, särskilt de medlemsstater som tillämpar detta direktiv på flygningar inom EU i enlighet med artikel 2. Rapporten ska också beakta huruvida det är nödvändigt att låta ekonomiska aktörer som inte är trafikföretag, t.ex. resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, omfattas av detta direktivs tillämpningsområde.
4. Mot bakgrund av den översyn som genomförs i enlighet med denna artikel, ska kommissionen om lämpligt lägga fram ett lagstiftningsförslag för Europaparlamentet och rådet i syfte att ändra detta direktiv.
Artikel 20
Statistik
1. Medlemsstaterna ska årligen tillhandahålla kommissionen statistik om PNR-uppgifter som lämnats till enheterna för passagerarinformation. Sådan statistik får inte innehålla några personuppgifter.
2. Statistiken ska åtminstone omfatta följande:
a) Det totala antalet passagerare vars PNR-uppgifter samlats in och utbytts.
b) Antalet passagerare som identifierats för ytterligare undersökning.
Artikel 21
Förhållande till andra instrument
1. Medlemsstaterna får fortsätta att sinsemellan tillämpa de bilaterala eller multilaterala avtal eller ordningar som är i kraft den 24 maj 2016 på utbyte av uppgifter mellan behöriga myndigheter, förutsatt att dessa avtal eller ordningar är förenliga med detta direktiv.
2. Detta direktiv påverkar inte tillämpligheten av direktiv 95/46/EG på lufttrafikföretags behandling av personuppgifter.
3. Detta direktiv påverkar inte medlemsstaternas eller unionens eventuella skyldigheter och åtaganden enligt bilaterala eller multilaterala avtal med tredjeländer.
Artikel 22
Ikraftträdande
Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Detta direktiv riktar sig till medlemsstaterna i enlighet med fördragen.
BILAGA I
PNR-uppgifter som samlas in av lufttrafikföretag
1. PNR-uppgifternas lokaliseringskod.
2. Datum för bokning/utfärdande av biljett.
3. Planerat/planerade resdatum.
4. Namn.
5. Adress och kontaktuppgifter (telefonnummer och e-postadress).
6. Alla former av betalningsinformation, inbegripet faktureringsadress.
7. Hela resrutten för aktuell passageraruppgiftssamling.
8. Uppgifter om bonusprogram.
9. Resebyrå/resebyråtjänsteman.
10. Passagerarens resestatus, inbegripet resebekräftelser, incheckningsstatus, no show (passagerare som inte infinner sig) eller go show (passagerare utan bokning).
11. Delade PNR-uppgifter.
12. Allmänna anmärkningar (inklusive alla tillgängliga uppgifter om ensamkommande barn under 18 år, såsom namn och kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet, flygplatsanställd som ledsagar barnet vid avresan respektive ankomsten).
13. Biljettinformation, inbegripet biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift.
14. Platsnummer och annan platsinformation.
15. Information om gemensam linjebeteckning.
16. All bagageinformation.
17. Antal medresenärer i PNR-uppgifterna samt deras namn.
►C1 18. Eventuell förhandsinformation (API) som samlats in (inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland och sista giltighetsdag, nationalitet, efternamn, förnamn, ◄ kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avresehamn, ankomsthamn, avresetid och ankomsttid).
19. Alla ändringar som gjorts av de PNR-uppgifter som anges i punkterna 1–18.
BILAGA II
Förteckning över brott enligt artikel 3.9
1. Deltagande i en kriminell organisation.
2. Människohandel.
3. Sexuellt utnyttjande av barn samt barnpornografi.
4. Olaglig handel med narkotika och psykotropa ämnen.
5. Olaglig handel med vapen, ammunition och sprängämnen.
6. Korruption.
7. Bedrägeri, inbegripet riktat mot unionens finansiella intressen.
8. Penningtvätt och penningförfalskning, inklusive förfalskning av euron.
9. It-brottslighet/cyberbrottslighet.
10. Miljöbrott, inbegripet olaglig handel med hotade djurarter och hotade växtarter och växtsorter.
11. Hjälp till olovlig inresa och olovlig vistelse.
12. Mord, grov misshandel.
13. Olaglig handel med mänskliga organ och vävnader.
14. Människorov, olaga frihetsberövande och tagande av gisslan.
15. Organiserad stöld och väpnat rån.
16. Olaglig handel med kulturföremål, inbegripet antikviteter och konstverk.
17. Varumärkesförfalskning och piratkopiering.
18. Förfalskning av administrativa dokument och handel med sådana förfalskningar.
19. Olaglig handel med hormonsubstanser och andra tillväxtsubstanser.
20. Olaglig handel med nukleära och radioaktiva ämnen.
21. Våldtäkt.
22. Brott som omfattas av den internationella brottmålsdomstolens behörighet.
23. Kapning av flygplan eller fartyg.
24. Sabotage.
25. Handel med stulna fordon.
26. Industrispionage.
( 1 ) Europaparlamentets och rådets direktiv 2004/38/EG av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (EUT L 158, 30.4.2004, s. 77).
( 2 ) Europaparlamentets och rådets förordning (EG) nr 562/2006 av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna) (EUT L 105, 13.4.2006, s. 1).
( 3 ) Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995, s. 31).