52011PC0032

[pic] | EUROPEISKA KOMMISSIONEN |

Bryssel den 2.2.2011

KOM(2011) 32 slutlig

2011/0023 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV

om användning av PNR-uppgifter för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet

{SEK(2011) 132 slutlig}{SEK(2011) 133 slutlig}

MOTIVERING

1. Bakgrund

- Motiv och syfte

Under det senaste decenniet har EU och andra delar av världen fått uppleva en ökning av grov och organiserad brottslighet, till exempel människohandel[1] och narkotikahandel[2]. Enligt Sourcebook of Crime and Criminal Justice Statistics begicks 14 000 brott per 100 000 invånare i EU:s medlemsstater under 2007 (med undantag för Italien och Portugal, för vilka inga uppgifter fanns tillgängliga). De högsta siffrorna rapporterades för Sverige (14 465) och de lägsta för Cypern (958). I Europols bedömningsrapport om hotet från organiserad brottslighet 2009 (Octa 2009) påpekas att merparten av den organiserade brottsligheten involverar resor mellan olika länder, där syftet ofta är att smuggla människor, narkotika eller annat olagligt gods.

Samtidigt finns terrorister och terroristorganisationer både innanför och utanför EU:s gränser. Terrorattackerna i Förenta staterna 2001, det stoppade försöket att spränga ett antal flygplan på väg från Storbritannien till Förenta staterna i augusti 2006 samt försöket till terrorattack ombord på en flygning från Amsterdam till Detroit i december 2009 visade att terroristerna har förmåga att iscensätta angrepp mot internationella flygningar i nästan vilket land som helst. I Europols rapport från 2010 om terrorism i EU – läge och utveckling (EU Terrorism Situation and Trend Report 2010) betonades att terrorismen fortfarande innebär ett reellt och allvarligt hot, trots att fenomenet för EU:s del minskade i omfattning under 2009. Det faktum att terrorismen i de flesta fall är gränsöverskridande till sin natur och inbegriper internationellt resande[3], bland annat till träningsläger utanför EU, ökar behovet av internationellt samarbete mellan de brottsbekämpande myndigheterna.

Grov brottslighet och terrorism orsakar allvarlig skada för offren, leder till stora ekonomiska skador och undergräver den känsla av säkerhet som är en förutsättning för att människor ska kunna utöva sin frihet och sina individuella rättigheter i praktiken.

I en undersökning från 2009[4] som utfördes på beställning av Internationella arbetsorganisationen, beräknades den ekonomiska förlusten till följd av alltför låg ersättning för det arbete som utförs av offer för människohandel som arbetar i de industrialiserade ekonomierna uppgå till 2 508 368 218 amerikanska dollar för 2007. Motsvarande belopp för världen som helhet var 19 598 020 343 amerikanska dollar.

I den årsrapport för 2010 om situationen på narkotikaområdet i Europa som offentliggjorts av Europeiska centrumet för kontroll av narkotika och narkotikamissbruk, uppmärksammas narkotikaproblemets globala natur och den allvarliga och tilltagande skada som detta problem orsakar. Genom att undergräva samhällsutvecklingen och göda korruption och organiserad brottslighet utgör det ett verkligt hot för Europeiska unionen. Varje år förekommer omkring 1 000 kokainrelaterade dödsfall i EU. Antalet missbrukare av opioider i EU kan uppskattas till minst 1,35 miljoner. När det gäller de ekonomiska och sociala verkningarna av narkotika rapporterade 22 medlemsstater att kostnaderna för handeln med och missbruket av olagliga narkotiska preparat uppgick till sammanlagt 4,2 miljarder euro under 2008.

I en annan undersökning, beställd av det brittiska inrikesdepartementet[5], beräknades kostnaderna för brottsförebyggande insatser, kostnader till följd av brott (till exempel för psykiska och emotionella problem som drabbar brottsoffret eller för egendom som stulits) samt kostnader för åtgärder som vidtas mot brottslighet, inklusive kostnaderna för det straffrättsliga systemet. Dessa kostnader bedömdes 2003 uppgå till 36 166 000 000 brittiska pund.

Samtidigt vill fyra av fem EU-invånare se intensifierade insatser på EU-nivå mot organiserad brottslighet och terrorism[6].

I konsekvens med hotet från grov brottslighet och terrorism och avskaffandet av kontrollerna vid de inre gränserna enligt Schengenkonventionen har EU antagit åtgärder rörande insamling av personuppgifter och utbyte av sådana uppgifter mellan brottsbekämpande och andra myndigheter. Även om dessa åtgärder har visat sig värdefulla, tenderar de att fokusera på information om personer som redan är misstänkta, det vill säga personer som är ”kända” av de brottsbekämpande myndigheterna. Exempel på sådana åtgärder är Schengens informationssystem (SIS)[7], andra generationen av Schengens informationssystem (SIS II)[8], informationssystemet för viseringar (VIS)[9] samt det system för inresa och utresa och det program för registrerade resenärer som är under planering.

I sin översikt över informationshanteringen inom området med frihet, säkerhet och rättvisa[10] analyserade kommissionen dessa åtgärder och pekade på behovet av ett ökat samarbete mellan brottsbekämpande myndigheter när det gäller passagerare på internationella flygningar till och från medlemsstaterna, inbegripet en mer systematisk användning av passageraruppgifter (PNR-uppgifter) för brottsbekämpningsändamål. I ”Stockholmsprogrammet – ett öppet och säkert Europa i medborgarnas tjänst och för deras skydd”[11] uppmanas kommissionen att lägga fram ett förslag om användning av passageraruppgifter för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

PNR-uppgifter är obestyrkta uppgifter som lämnas av passagerare och samlas in genom och bevaras i lufttrafikföretagens system för kontroll av reservationer och avgångar för företagens egna kommersiella syften. PNR-uppgifterna innehåller information av olika slag, såsom resedatum, resväg, biljettinformation, kontaktupplysningar, upplysningar om den resebyrå vid vilken flygningen bokades, betalningssätt, sätesnummer och bagageinformation.

De brottsbekämpande myndigheterna kan använda PNR-uppgifterna på flera olika sätt:

Reaktivt: Uppgifterna används i samband med brottsutredningar, lagföring och upplösning av nätverk efter det att ett brott har begåtts. För att de brottsbekämpande myndigheterna ska kunna gå tillräckligt långt tillbaka i tiden måste de ha rätt att lagra uppgifterna så länge som behövs för ändamålet.

I realtid: Uppgifterna används innan en passagerare har anlänt eller avrest i syfte att förhindra ett brott, övervaka eller gripa personer innan ett brott har begåtts eller på grund av att ett brott har begåtts eller håller på att begås. I dessa fall behövs PNR-uppgifterna för en jämförelse mot redan fastställda bedömningskriterier som gör det möjligt att identifiera tidigare ”okända” misstänkta, eller för att söka i olika databaser över eftersökta personer och föremål.

Proaktivt: Uppgifterna används för analys och för att skapa bedömningskriterier som sedan kan användas för bedömning av passagerare före ankomst eller avresa. För att en sådan analys av betydelse för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet ska kunna utföras måste de brottsbekämpande myndigheterna ha rätt att lagra uppgifterna så länge som behövs för ändamålet.

En mer systematisk insamling, användning och lagring av PNR-uppgifter i samband med internationella flygningar skulle ge bättre förutsättningar att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Detta kräver givetvis garantier för att skyddet av personuppgifter fungerar effektivt.

Användningen av PNR-uppgifter regleras dock för närvarande inte på EU-nivå. Även om endast ett begränsat antal medlemsstater hittills har inrättat ett PNR-system, använder de flesta av dem PNR-uppgifter för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, men detta sker då utan någon särskild systematik eller i enlighet med polisens eller andra myndigheters generella befogenheter. I EU har Förenade kungariket redan ett PNR-system, medan Frankrike, Danmark, Belgien, Sverige och Nederländerna antingen har infört lagstiftning på området eller är i färd med att testa PNR-datasystem. Flera andra medlemsstater överväger att införa PNR-system. Det rör sig om åtgärder som skiljer sig åt på olika plan, bland annat när det gäller syftet med systemet, lagringsperiod, systemstruktur, geografisk räckvidd och berörda transportsätt. När dessa medlemsstater antar ett fullständigt regelverk för användningen av PNR-uppgifter, kommer det med största sannolikhet ändå att finnas skillnader mellan deras bestämmelser om uppgiftsskydd och mellan deras system för att garantera en säker dataöverföring. Som en följd av detta kan det komma att skapas upp till 27 olika system med mycket stora inbördes skillnader. Detta skulle leda till olika nivåer av skydd för personuppgifter i EU, säkerhetsluckor, ökade kostnader och rättsosäkerhet för såväl lufttrafikföretag som passagerare.

Förslaget syftar således till att harmonisera medlemsstaternas bestämmelser om skyldigheter för lufttrafikföretag som upprätthåller flygförbindelser mellan ett tredjeland och åtminstone en medlemsstats territorium att överföra PNR-uppgifter till behöriga myndigheter i syfte att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Det innebär inget åliggande för lufttrafikföretagen att samla in eller lagra några ytterligare uppgifter om passagerare, och inte heller ställer det krav på att passagerare ska tillhandahålla några uppgifter utöver dem som lufttrafikföretagen redan har tillgång till.

Lufttrafikföretagen måste åläggas dessa lagstadgade skyldigheter av följande skäl:

För det första ger PNR-uppgifterna de brottsbekämpande myndigheterna möjlighet att identifiera tidigare ”okända” personer, det vill säga personer som inte tidigare varit misstänkta för inblandning i grov brottslighet och terrorism, men som enligt en analys av uppgifterna kan vara involverade i sådan brottslighet och därför bör bli föremål för ytterligare utredning av de behöriga myndigheterna. Identifieringen av sådana personer ger de brottsbekämpande myndigheterna möjlighet att förebygga och avslöja grov brottslighet, inklusive terrorhandlingar. För att uppnå detta behöver de brottsbekämpande myndigheterna använda PNR-uppgifter, såväl i realtid för att kontrollera PNR-uppgifter mot på förhand fastställda bedömningskriterier som visar vilka tidigare ”okända” personer som kräver ytterligare utredning, som proaktivt för analys och utarbetande av bedömningskriterier.

En analys av PNR-uppgifter kan exempelvis ge indikationer på de vanligaste rutterna för människohandel och narkotikahandel, information som sedan kan användas som del bedömningskriterierna. Kontroller av PNR-uppgifter i realtid mot sådana kriterier kan bidra till att förebygga eller avslöja brott. I ett konkret fall från en medlemsstat avslöjade PNR-analysen en grupp människohandlare som alltid reste samma väg. De använde falska handlingar för att checka in till en flygning inom EU samtidigt som de använde äkta handlingar för att checka in till en annan flygning med destination i ett tredjeland. Så snart de befann sig i flygplatsens lounge-område gick de ombord på det plan som skulle avgå till en destination i EU. Utan hjälp av PNR-uppgifter skulle det ha varit omöjligt att nysta upp detta nätverk för människohandel.

En proaktiv användning av PNR-uppgifter i realtid innebär således att de brottsbekämpande myndigheterna kan möta hotet från grov brottslighet och terrorism från en utgångspunkt som inte finns tillgänglig vid behandling av andra kategorier av personuppgifter. Som beskrivs mer utförligt nedan ger den behandling av personuppgifter som de brottsbekämpande myndigheterna kan använda sig av enligt befintliga och planerade instrument på EU-nivå, till exempel direktivet om förhandsupplysningar om passagerare[12], Schengens informationssystem (SIS) och andra generationen av Schengens informationssystem (SIS II) inte samma möjligheter att identifiera ”okända” misstänkta som behandling av PNR-uppgifter.

För det andra är PNR-uppgifterna till hjälp för de brottsbekämpande myndigheterna i deras arbete med att förebygga, upptäcka, utreda och lagföra grov brottslighet, inklusive terrorism, när ett brott väl har begåtts. Därför behöver de brottsbekämpande myndigheterna använda PNR-uppgifter i realtid, i syfte att kunna kontrollera PNR-uppgifterna mot olika databaser över ”kända” personer och föremål som är registrerade som eftersökta. De behöver också använda PNR-uppgifter reaktivt för att ta fram bevisning och, i förekommande fall, hitta medbrottslingar och nysta upp kriminella nätverk.

Exempelvis kan kreditkortsinformation som ingår bland PNR-uppgifterna göra det möjligt för de brottsbekämpande myndigheterna att identifiera och styrka kopplingar mellan en person och en känd brottsling eller ett kriminellt nätverk. Ett exempel från en medlemsstat rörde storskalig människo- och narkotikahandel med anknytning till en medlemsstat och flera tredjeländer. Karteller importerade narkotika till flera olika destinationer i Europa. Människor som själva var offer för människohandel tvingades svälja narkotika och transportera den till EU. Personerna identifierades genom att det på grundval av PNR-uppgifter kunde konstateras att de hade köpt flygbiljetten med stulna kreditkort. Detta ledde till gripanden i den berörda medlemsstaten. På denna grund skapades ett bedömningskriterium som i sig ledde till flera ytterligare gripanden i andra medlemsstater och tredjeländer.

Slutligen ger kontroll av PNR-uppgifter före passagerarnas ankomst de brottsbekämpande myndigheterna möjlighet att göra en mer ingående bedömning av personer som, baserat på objektiva bedömningskriterier och tidigare erfarenheter, kan utgöra ett säkerhetshot. Detta underlättar resandet för alla andra passagerare och minskar risken för att människor i samband med inresa i EU kontrolleras på grundval av kriterier som nationalitet eller hudfärg, som felaktigt kan förknippas med säkerhetsrisker av brottsbekämpande myndigheter, inklusive tull och gränsbevakning.

De föreslagna åtgärderna innebär att de brottsbekämpande myndigheterna samlar in och behandlar PNR-uppgifter och inverkar därför på rätten till skydd av privatlivet och rätten till skydd av personuppgifter. För att garantera att proportionalitetsprincipen tillämpas fullt ut har förslagets tillämpningsområde avgränsats noga, samtidigt som det innehåller stränga garantier för uppgiftsskydd (se den närmare beskrivningen nedan).

Behovet av att, i begränsad omfattning och inom ramen för stränga garantier för uppgiftsskydd, använda PNR-uppgifter bekräftas av ett antal faktiska omständigheter, i enlighet med vad som framgår av den konsekvensbedömning som åtföljer detta förslag. I avsaknad av harmoniserade bestämmelser om insamling och behandling av PNR-uppgifter på EU-nivå, finns det inte heller någon detaljerad statistik som visar i vilken utsträckning sådana uppgifter bidrar till att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Behovet av att använda PNR-uppgifter bekräftas emellertid av information från tredjeländer och från medlemsstater som redan använder PNR-uppgifter i det brottsbekämpande arbetet.

Erfarenheterna från dessa länder visar att användningen av PNR-uppgifter har lett till värdefulla framsteg i kampen mot i synnerhet narkotika, människohandel och terrorism, samt till ökade insikter om hur terroristorganisationer och andra kriminella nätverk är uppbyggda och fungerar. När det gäller narkotika har medlemsstaterna angett att flertalet av de gjorda beslagen kunnat ske tack vare proaktiv användning av PNR-uppgifter i realtid. Belgien rapporterade att 95 % av alla narkotikabeslag under 2009 helt och hållet eller huvudsakligen varit beroende av behandling av PNR-uppgifter. Sverige rapporterade att 65–75 % av alla narkotikabeslag under 2009 helt och hållet eller huvudsakligen varit beroende av behandling av PNR-uppgifter. Detta motsvarade 278,9 kilo kokain och ytterligare kvantiteter av heroin och annan narkotika. Förenade kungariket rapporterade att 212 kilo kokain och 20 kilo heroin kunde beslagtas under en sexmånadersperiod under 2010, helt eller huvudsakligen tack vare behandling av passageraruppgifter.

- Allmän bakgrund

Den 6 november 2007 antog kommissionen ett förslag till rådets rambeslut om användande av passageraruppgifter (PNR-uppgifter) i brottsbekämpningssyfte[13] (nedan kallat 2007 års förslag ). Förslaget diskuterades utförligt i rådets arbetsgrupper och resultaten av dessa diskussioner godkändes av rådet (rättsliga och inrikes frågor) i januari, juli och november 2008. Arbetsgruppernas diskussioner gjorde det möjligt att uppnå enighet om de flesta av bestämmelserna i förslaget[14].

Ikraftträdandet av fördraget om Europeiska unionens funktionssätt (EUF-fördraget) den 1 december 2009 medförde att kommissionens förslag, som ännu inte antagits av rådet, blev inaktuellt. De här förslaget ersätter 2007 års förslag och är baserat på EUF-fördragets bestämmelser. Det tar hänsyn till de rekommendationer som Europaparlamentet framförde i sin resolution från november 2008[15], och återspeglar den senaste utvecklingen av diskussionerna i rådets arbetsgrupper under 2009. Det tar också hänsyn till yttrandena från Europeiska datatillsynsmannen[16], artikel 29-arbetsgruppen för uppgiftsskydd[17] och byrån för grundläggande rättigheter[18].

- Gällande bestämmelser

PNR-uppgifter skiljer sig från och bör inte förväxlas med förhandsupplysningar om passagerare (API). API-uppgifter är den biografiska information som hämtas från passets maskinläsbara del, dvs. den berörda personens namn, födelseort och medborgarskap samt passets nummer och giltighetstid. De är således annorlunda till sin natur och har ett mer begränsat tillämpningsområde än PNR-uppgifter.

I EU regleras användningen av API-uppgifter av API-direktivet[19]. Enligt API-direktivet ska API-uppgifter, om en medlemsstat begär det, göras tillgängliga för gränskontrollmyndigheterna vid flygningar till destinationer i EU, i syfte att förbättra gränskontrollen och bekämpa olaglig invandring. Även om de enligt direktivet får användas för brottsbekämpning, måste vissa särskilda villkor vara uppfyllda. Detta innebär att även om de brottsbekämpande myndigheterna i vissa fall använder API-uppgifter för att identifiera misstänkta och eftersökta personer, fungerar de i första hand som ett verktyg för identitetskontroll och gränsförvaltning. API-uppgifterna gör det inte heller möjligt för de brottsbekämpande myndigheterna att bedöma passagerare, och bidrar därmed inte heller till att avslöja ännu ”okända” brottslingar eller terrorister.

Schengens informationssystem (SIS) syftar till att upprätthålla den allmänna säkerheten, inklusive den nationella säkerheten, i Schengenområdet. SIS är ett centraliserat informationssystem, bestående av en nationell del i respektive deltagande land och en teknisk stödfunktion i Frankrike. Medlemsstaterna kan registrera personer som har efterlysts för förvarstagande för utlämning, tredjelandsmedborgare som ska vägras inresa, saknade personer, vittnen eller andra som är kallade till rättegång, personer eller fordon som är föremål för särskild övervakning, försvunna eller stulna motorfordon, handlingar och skjutvapen samt misstänkta sedlar.

Informationssystemet för viseringar (VIS) syftar till att ge förutsättningar att hantera båda dessa problem: Systemet ska bidra till en gemensam viseringspolitik genom att underlätta granskningen av prövningen av viseringsansökningar och kontrollerna vid de yttre gränserna, och samtidigt bidra till att förebygga hot mot medlemsstaternas inre säkerhet. Det rör sig om ett centraliserat informationssystem, som består av en nationell del i respektive deltagande land och en teknisk stödfunktion i Frankrike. VIS bygger på ett system för biometrisk matchning för att säkerställa tillförlitliga jämförelser av fingeravtryck, och kommer att användas vid EU:s yttre gränser för att kontrollera viseringsinnehavares identitet. Det kommer att omfatta uppgifter om viseringsansökningar, fotografier, fingeravtryck, beslut som viseringsmyndigheter har fattat i samband med viseringsansökningar och kopplingar mellan olika ansökningar.

Liksom API används VIS och SIS i första hand som verktyg för identitetskontroll och gränskontroll, och fyller sin funktion endast när den misstänktes identitet är känd. Dessa instrument kan således inte användas för att bedöma personer eller för att avslöja ”okända” brottslingar eller terrorister.

Avtal om överföring av PNR-uppgifter i samband med kampen mot grov gränsöverskridande brottslighet och terrorism, begränsade till flygresor, har undertecknats mellan EU och Förenta staterna, Kanada och Australien. Enligt dessa avtal ska lufttrafikföretag som samlar in PNR-uppgifter för egna kommersiella syften överföra dessa uppgifter till behöriga myndigheter i Förenta staterna, Kanada och Australien. Dessa tre avtal kommer att omförhandlas under 2011. Andra länder, bland annat Sydkorea och Japan, har också begärt förhandlingar om sådana avtal. Kommissionen har skisserat huvuddragen i en ny EU-strategi på detta område i sitt meddelande av den 21 september 2010 om en övergripande strategi när det gäller överföring av passageraruppgifter (PNR-uppgifter) till tredjeländer[20]. Det här förslaget är fullt förenligt med den strategi som beskrivs i meddelandet.

- Förenlighet med EU:s politik och mål på andra områden

Schengens informationssystem (SIS)[21], andra generationen av Schengens informationssystem (SIS II)[22] och informationssystemet för viseringar[23] samt det system för inresa och utresa och det program för registrerade resenärer som är under planering, är EU-åtgärder som är direkt inriktade på konkreta insatser vid gränserna.

Även om PNR är uppgifter om passagerare som registreras i anslutning till resor, används de snarare som ett underrättelseverktyg vid brottsbekämpning är som gränskontrollverktyg. De används innan en gräns passeras och inte i samband med själva gränspassagen. Huvudsyftet med att använda PNR-uppgifter är att bekämpa terrorism och grov brottslighet, inte att skapa ett nytt redskap för att hantera olaglig invandring och underlätta gränskontrollarbetet.

Förslaget kommer varken att ändra eller inkräkta på gällande EU-bestämmelser om formerna för utförande av gränskontroller eller på EU-bestämmelserna om in- och utresa från unionens territorium. Tanken är att förslaget ska samexistera med dessa bestämmelser och lämna dem oförändrade.

- Konsekvenser för grundläggande rättigheter

Förslaget överensstämmer med det övergripande målet att skapa ett europeiskt område för frihet, säkerhet och rättvisa. På grund av de föreslagna bestämmelsernas natur har detta förslag varit föremål för en ingående granskning för att garantera förenlighet med de grundläggande rättigheterna, särskilt rätten till skydd för personuppgifter i artikel 8 i EU:s stadga om de grundläggande rättigheterna. Detta framgår av den konsekvensbedömning som åtföljer förslaget. Förslaget är också förenligt med artikel 16 i EUF-fördraget, som garanterar var och en rätten till skydd för personuppgifter.

Förslaget är förenligt med gällande principer för uppgiftsskydd, och dess bestämmelser överensstämmer med rådets rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete[24]. Detta innebär att enskilda kan begära åtkomst till och rättelse, radering och blockering av uppgifter, och att det finns möjligheter att söka ersättning och tillgång till rättsmedel. För att förslaget inte ska inkräkta på proportionalitetsprincipen finns det dessutom områden där förslagets bestämmelser om uppgiftsskydd är strängare än motsvarande bestämmelser i rambeslut 2008/977/RIF.

I synnerhet är tillämpningsområdet för detta förslag strikt avgränsat och de brottsbekämpande myndigheterna får endast använda PNR-uppgifter för att bekämpa en antal särskilt angivna grova brott, som bestraffas med minst tre års fängelse i den berörda medlemsstaten. För att behandlingen av uppgifter om oskyldiga och icke misstänkta ska förbli så begränsad som möjligt har förslaget i vissa delar som rör införande och tillämpning av bedömningskriterier begränsats ytterligare till att endast omfatta grova brott som också är gränsöverskridande till sin natur, det vill säga per definition har en koppling till resande och därmed till den typ av uppgifter som behandlas. Förslaget gör det möjligt att lagra PNR-uppgifter i högst fem år. Efter utgången av denna period måste uppgifterna raderas. Vidare ska uppgifterna anonymiseras redan efter en mycket kort period på 30 dagar, eftersom PNR-uppgifterna kan användas proaktivt även i anonymiserad form efter utgången av denna frist. Insamling och användning av känsliga uppgifter som direkt eller indirekt avslöjar en persons ras eller etniska ursprung, religiösa eller filosofiska övertygelse, politiska åskådning, medlemskap i fackförening, hälsotillstånd eller sexuella läggning är förbjuden. Vidare innehåller förslaget bestämmelser om att medlemsstaterna inte får fatta beslut som har negativa rättsliga verkningar för en person, eller på annat sätt påverkar henne eller honom allvarligt, enbart på grundval av automatisk behandling av PNR-uppgifter. Vidare får ett sådant beslut under inga omständigheter baseras på en persons ras eller etniska ursprung, religiösa eller filosofiska övertygelse, politiska åskådning, medlemskap i fackförening, hälsotillstånd eller sexuella läggning. Till detta kommer att lufttrafikföretagen enbart får överföra uppgifter med hjälp av den så kallade sändmetoden (”push-metoden”), vilket innebär att medlemsstaterna inte kommer att ha direkt tillgång till lufttrafikföretagens IT-system. Överföring av PNR-uppgifter från medlemsstaterna till tredjeländer kommer endast att kunna ske i mycket begränsade fall och efter särskild bedömning. För att garantera effektivitet och en hög uppgiftsskyddsnivå ska medlemsstaterna se till att en oberoende nationell tillsynsmyndighet (uppgiftsskyddsmyndighet) ges ansvaret för att meddela riktlinjer för och övervaka hur PNR-uppgifterna behandlas. Medlemsstaterna ska också inrätta en särskild enhet (enhet för passagerarinformation) som ansvarar för hur uppgifterna hanteras och skyddas. All behandling av PNR-uppgifter måste registreras eller dokumenteras av enheten för passagerarinformation, för att göra det möjligt att kontrollera att behandlingen av uppgifterna är laglig, att tillsynen fungerar och att behandlingen av uppgifterna omfattas av tillräcklig integritet och säkerhet. Medlemsstaterna ska också se till att passagerarna informeras klart och tydligt om insamlingen av PNR-uppgifter och om deras rättigheter.

Förslaget är alltså förenligt med befintliga regler och principer om uppgiftsskydd, samtidigt som det innehåller ett antal garantier för att säkerställa full överensstämmelse med proportionalitetsprincipen och garantera en hög grad av skydd för de grundläggande rättigheterna.

2. Samråd med berörda parter och konsekvensanalys

- Samråd med berörda parter

Metoder, målsektorer och deltagarnas allmänna profil

När 2007 års förslag utarbetades samrådde kommissionen med samtliga berörda aktörer på grundval av en enkät i december 2006. Frågeformuläret skickades till alla medlemsstater, medlemsstaternas dataskyddsmyndigheter, Europeiska datatillsynsmannen, Association of European Airlines (AEA), Air Transport Association of America (ATA), International Air Carrier Association (IACA), European Regions Airline Association (ERA) och International Air Transport Association (IATA). Svaren sammanställdes i den konsekvensanalys som åtföljde 2007 års förslag. Därefter inbjöd kommissionen medlemsstaterna till ett möte, där medlemsstaternas företrädare gavs tillfälle att utbyta synpunkter.

Efter det att 2007 års förslag hade antagits offentliggjorde alla berörda aktörer sina synpunkter på förslaget. Europaparlamentet antog en resolution om förslaget den 20 november 2008[25]. Medlemsstaterna framförde sina synpunkter genom diskussioner i rådets arbetsgrupper[26]. Även Europeiska datatillsynsmannen[27], artikel 29-arbetsgruppen för uppgiftsskydd[28] och byrån för grundläggande rättigheter[29] yttrade sig.

Sammanfattning av svaren

Den viktigaste kritiken i Europaparlamentets resolution gick ut på att det inte hade visats att det verkligen fanns ett behov av de föreslagna åtgärderna. Parlamentet ifrågasatte om förslaget är av en sådan natur att det berättigar ingrepp i rätten till skydd av personuppgifter. I resolutionen ifrågasatte parlamentet om andra gränsinitiativ verkligen hade beaktats vid bedömningen av förslagets mervärde. När det gäller skydd av personuppgifter krävde parlamentet en tydlig ändamålsbegränsning och betonade att endast vissa myndigheter skulle ha tillgång till PNR-uppgifter. Slutligen uttryckte parlamentet en oro för att den föreslagna metoden för automatisk överföring av PNR-uppgifter på grundval av faktabaserade och förutbestämda bedömningskriterier kommer att innebära en mycket vid användning av uppgifterna och betonade att bedömningar aldrig får resultera i ”profilering” på grundval av känsliga uppgifter.

Artikel 29-kommittén ansåg att förslaget var oproportionerligt och att det kan strida mot rätten till skydd för personuppgifter. Kommittén ifrågasatte bestämmelserna om uppgiftsskydd, eftersom rambeslut 2008/977/RIF inte omfattar inhemsk behandling av uppgifter. Den ansåg att det inte fanns tillräckliga argument för att förslaget verkligen behövdes, att lagringstiden (13 år) var oproportionerlig och att endast sändmetoden borde användas vid överföring av uppgifter.

Europeiska datatillsynsmannen ifrågasatte om det var visat att förslaget verkligen var nödvändigt och proportionerligt, med hänsyn till att det kommer att leda till insamling av uppgifter om oskyldiga personer. Han kritiserade förslaget för att bidra till utvecklingen av ett övervakningssamhälle och ifrågasatte dessutom bestämmelserna om uppgiftsskydd, eftersom rambeslut 2008/977/RIF inte omfattar inhemsk behandling av personuppgifter. Datatillsynsmannen efterlyste särskilt en bättre definition av vilka myndigheter som skulle ha tillgång till PNR-uppgifter och av villkoren för överföring av sådana uppgifter till tredjeländer.

Byrån för grundläggande rättigheter ansåg också att det inte hade visats att förlaget är nödvändigt och proportionerligt, och att det borde innehålla fler garantier för att undvika profilering på grundval av känsliga uppgifter.

Även några luftfartsorganisationer, närmare bestämt International Air Transport Association (IATA) och Association of European Airlines (AEA), yttrade sig om förslagen. Dessa kritiserade i första hand förslagets decentraliserade struktur och underströk att en centraliserad insamling av uppgifter skulle ge ekonomiska fördelar för företagen. De kritiserade också valet av sändmetoden och ville att valet av överföringsmetod skulle överlåtas på företagen själva.

Samrådsförfarandet har haft stor inverkan på lagstiftningsförslaget. Även om flera berörda aktörer inte var övertygade om nödvändigheten av att använda PNR-uppgifter, var alla eniga om att lagstiftning på EU-nivå är att föredra framför sinsemellan avvikande nationella PNR-system. Samrådet ledde också till att ändamålet med att använda uppgifterna begränsades till bekämpning av terrorism och grov brottslighet, samtidigt som förslagets tillämpningsområde begränsades till lufttransporter. Vi har valt ett system med starkt uppgiftsskydd, en fastställd lagringstid och förbud mot användning av känsliga uppgifter, såsom uppgifter som avslöjar en persons ras eller etniska tillhörighet, religiösa, filosofiska eller politiska övertygelse eller sexuella läggning. Dessutom förespråkades sändmetoden samt stränga begränsningar för vidareöverföring av uppgifter till tredjeländer.

- Extern experthjälp

Någon extern experthjälp har inte behövts.

- Konsekvensbedömning

Kommissionen har gjort den konsekvensbedömning som var planerad enligt arbetsprogrammet[30].

I konsekvensbedömningen undersöktes fyra huvudalternativ, vart och ett med två lösningsvarianter:

Alternativ A: Avstå från att reglera frågan på EU-nivå och bibehålla status quo.

Alternativ B: inrätta ett system för att samla in och behandla PNR-uppgifter, med lösning B.1: decentraliserad insamling och behandling av uppgifter som sköts av medlemsstaterna och lösning B.2: centraliserad insamling och behandling av uppgifter på EU-nivå.

Alternativ C: införa regler om begränsning av ändamålet med de föreslagna åtgärderna, med lösning C.1: ge tillgång till uppgifterna för att förhindra, upptäcka, utreda och lagföra terroristbrott och andra grova brott, med lösning C.2: ge tillgång till uppgifterna för att förebygga, upptäcka, utreda och lagföra terroristbrott och andra grova brott samt för att uppnå andra strategiska mål.

Alternativ D: införa bestämmelser om vilka transportsätt som ska omfattas av de föreslagna åtgärderna, med lösning D.1: endast lufttrafikföretag, och lösning D.2: Luft-, sjö- och järnvägstransportföretag.

Alternativen utvärderades med hjälp av följande kriterier: påverkan på säkerheten inom EU, effekter på skyddet av personuppgifter, kostnader för myndigheterna, kostnader för lufttrafikföretag/inverkan på konkurrensen på den inre marknaden samt förutsättningar att främja en övergripande strategi.

I konsekvensbedömningen konstaterades att ett lagförslag som omfattar decentraliserad insamling av PNR-uppgifter i samband med flygresor, för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, var det bästa strategiska alternativet (dvs. en kombination av lösningarna B1, C1 och D1). Detta skulle stärka säkerheten i EU och samtidigt minska ingreppen i skyddet av personuppgifter till ett minimum och hålla kostnaderna på en godtagbar nivå.

3. Rättsliga aspekter

- Sammanfattning av den föreslagna åtgärden

Förslaget syftar till att harmonisera medlemsstaternas bestämmelser om skyldigheter för lufttrafikföretag som upprätthåller flygförbindelser mellan ett tredjeland och åtminstone en medlemsstats territorium att överföra PNR-uppgifter till behöriga myndigheter i syfte att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. All behandling av personuppgifter på grundval av detta förslag kommer att vara förenlig med bestämmelserna om skydd av personuppgifter i rambeslut 2008/977/RIF.

- Rättslig grund

EUF-fördraget, särskilt artiklarna 82.1 d och 87.2 a.

- Subsidiaritetsprincipen

De brottsbekämpande myndigheterna måste förses med effektiva verktyg för att bekämpa terrorism och grov brottslighet. Eftersom de flesta grova brott och terroristhandlingar involverar ett visst internationellt resande för gärningsmännen, behöver myndigheterna ha tillgång till PNR-uppgifter för att kunna skydda den inre säkerheten i EU. Vidare finns det ett stort behov av internationellt och gränsöverskridande samarbete när medlemsstaternas behöriga myndigheter genomför utredningar för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

Med hänsyn till den fria rörligheten för personer i Schengenområdet och för att undvika luckor i säkerheten är det nödvändigt att alla medlemsstater samlar in, behandlar och utbyter PNR-uppgifter. Med ett samlat och konsekvent handlande kommer denna åtgärd att bidra till ökad säkerhet i EU.

Insatser på EU-nivå kommer att bidra till att säkerställa harmoniserade bestämmelser om uppgiftsskydd i medlemsstaterna. De olika systemen i medlemsstater som redan har infört liknande mekanismer, eller kommer att göra det i framtiden, kan ha en negativ inverkan på lufttrafikföretagen, eftersom de riskerar att behöva följa flera sinsemellan olika nationella krav, till exempel beträffande de olika typer av information som får överföras och de villkor som gäller för överföringen av information till medlemsstaterna. Dessa skillnader kan också vara till skada för ett effektivt samarbete mellan medlemsstaterna när det gäller att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

Eftersom målen med detta förslag inte kan uppnås på ett tillfredsställande sätt av medlemsstaterna själva, samtidigt som det finns goda förutsättningar att uppnå målen på EU-nivå, måste slutsatsen bli att EU är både behörig att vidta åtgärder och i en bättre position att göra det än enskilda medlemsstater på egen hand. Förslaget är därför förenligt med subsidiaritetsprincipen enligt artikel 5 i fördraget om Europeiska unionen.

- Proportionalitetsprincipen

Den föreslagna systematiska insamlingen, analysen och lagringen av PNR-uppgifter i samband med flygningar till EU från tredjeländer skulle ge bättre förutsättningar att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Detta kräver givetvis garantier för att skyddet av personuppgifter fungerar effektivt.

Förslaget är begränsat till sådana aspekter som kräver en harmoniserad EU-strategi – inklusive en definition av hur medlemsstaterna får använda PNR-enheterna, uppgifter som ska samlas in, de syften som informationen får användas för, överföringen av uppgifter mellan medlemsstaternas PNR-enheter och de tekniska förutsättningarna för sådana överföringar.

Den föreslagna åtgärden är ett direktiv. Valet av ett decentraliserat system innebär att medlemsstaterna kan välja hur de inrättar sina PNR-system och själva besluta om de tekniska aspekterna.

I enlighet med proportionalitetsprincipen i artikel 5 i fördraget om Europeiska unionen går detta förslag inte utöver vad som är nödvändigt och proportionerligt för att uppnå detta mål.

- Val av regleringsform

Föreslaget rättsinstrument: Ett direktiv.

Övriga regleringsformer skulle vara olämpliga av följande skäl:

Syftet med åtgärden är att tillnärma medlemsstaternas lagstiftning, vilket innebär att ett direktiv är det enda lämpliga valet.

4. Budgetkonsekvenser

Förslaget påverkar inte EU:s budget.

5. Övriga upplysningar

- Simulering, pilotfas och övergångsperiod

Förslaget omfattar en övergångsperiod i form av en tvåårig genomförandeperiod. Det kommer också att finnas övergångsbestämmelser för insamlingen av PNR-uppgifter. Syftet är att uppgifter ska samlas in om alla flygningar inom sex år från det att direktivet trätt i kraft.

- Territoriell tillämpning

Förslaget till direktiv riktar sig till medlemsstaterna. Tillämpningen av detta direktiv på Förenade kungariket, Irland och Danmark kommer att fastställas i enlighet med protokoll nr 21 och 22 som är fogade till fördraget om Europeiska unionens funktionssätt.

- Översyn/ändring/tidsbegränsning

Förslaget innehåller en klausul om översyn av tillämpningen av direktivet fyra år efter dagen för införlivandet, och om en särskild bedömning av en möjlig utvidgning av direktivets tillämpningsområde till att omfatta PNR-uppgifter om passagerare på flyg inom EU.

2011/0023 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV

om användning av PNR-uppgifter för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 82.1 d och 87.2 a,

med beaktande av kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande[31],

med beaktande av Regionkommitténs yttrande[32],

efter att ha hört Europeiska datatillsynsmannen,

i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1) Den 6 november 2007 antog kommissionen ett förslag till rådets rambeslut om användande av passageraruppgifter (PNR-uppgifter) i brottsbekämpningssyfte[33]. Ikraftträdandet av Lissabonfördraget den 1 december 2009 ledde dock till att kommissionens förslag, som ännu inte hade antagits av rådet, blev inaktuellt.

(2) I dokumentet ”Stockholmsprogrammet – ett öppet och säkert Europa i medborgarnas tjänst och för deras skydd”[34] uppmanades kommissionen att lägga fram ett förslag om användning av passageraruppgifter för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

(3) I sitt meddelande av den 21 september 2010 om en övergripande strategi när det gäller överföring av passageraruppgifter (PNR-uppgifter) till tredjeländer skisserade kommissionen huvuddragen i en ny EU-strategi på detta område[35].

(4) I rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare[36], regleras transportörers översändande av förhandsuppgifter om passagerare till behöriga nationella myndigheter i syfte att förbättra gränskontrollerna och bekämpa olaglig invandring.

(5) PNR-uppgifter är nödvändiga för att på ett effektivt sätt förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten.

(6) PNR-uppgifter kan hjälpa de brottsbekämpande myndigheterna att förebygga, upptäcka, utreda och lagföra grov brottslighet, inklusive terrorism, genom att jämföra uppgifterna med olika databaser över eftersökta personer och föremål, ta fram bevisning och, i förekommande fall, hitta medbrottslingar och avslöja kriminella nätverk.

(7) PNR-uppgifter gör det möjligt för de brottsbekämpande myndigheterna att identifiera tidigare ”okända” personer, det vill säga personer som inte tidigare varit misstänkta för inblandning i grov brottslighet eller terrorism, men som enligt en analys av uppgifterna kan vara involverade i sådan brottslighet och därför bör bli föremål för ytterligare utredning av de behöriga myndigheterna. Genom att använda PNR-uppgifter kan de brottsbekämpande myndigheterna möta hotet från grov brottslighet och terrorism från en utgångspunkt som inte finns tillgänglig vid behandling av andra kategorier av personuppgifter. För att behandlingen av uppgifter om oskyldiga och icke misstänkta emellertid ska förbli så begränsad som möjligt bör de aspekter av användningen av PNR-uppgifter som rör utformning och tillämpning av bedömningskriterier begränsas ytterligare till att endast omfatta grov brottslighet som dessutom är gränsöverskridande till sin natur, det vill säga per definition har en koppling till resande och därmed till den typ av uppgifter som behandlas.

(8) Behandlingen av personuppgifter bör vara proportionerlig i förhållande till det särskilda säkerhetsmål som detta direktiv syftar till att uppfylla.

(9) För medlemsstaterna finns det i vissa fall ett mervärde i att använda PNR-uppgifter tillsammans med förhandsupplysningar om passagerare (API); en sådan kombinerad användning förbättrar möjligheterna att kontrollera en individs identitet, vilket ökar PNR-uppgifternas betydelse för brottsbekämpningen.

(10) För att skapa förutsättningar att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet är det därför av största vikt att alla medlemsstater inför bestämmelser om skyldigheter för lufttrafikföretag som tillhandahåller internationella flygförbindelser till eller från EU-medlemsstaternas territorier.

(11) Redan nu samlar lufttrafikföretagen in och behandlar PNR-uppgifter om sina passagerare för egna kommersiella syften. Detta direktiv bör inte medföra någon skyldighet för lufttrafikföretagen att samla in eller lagra några ytterligare uppgifter om passagerare eller att ålägga passagerare att tillhandahålla några uppgifter utöver dem som företagen redan har tillgång till.

(12) Definitionen av terroristbrott bör hämtas från artiklarna 1–4 i rådets rambeslut 2002/475/RIF om bekämpande av terrorism[37]. Definitionen av grov brottslighet bör hämtas från artikel 2 i rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna[38]. Medlemsstaterna får dock undanta sådana mindre grova brott för vilka, med hänsyn till deras respektive straffrättsliga system, behandling av PNR-uppgifter i enlighet med detta direktiv inte skulle vara förenlig med proportionalitetsprincipen. Definitionen av grov gränsöverskridande brottslighet bör hämtas från artikel 2 i rådets rambeslut 2002/584/RIF och Förenta nationernas konvention mot gränsöverskridande organiserad brottslighet.

(13) PNR-uppgifter bör överföras till en särskild enhet (enhet för passagerarinformation) i den berörda medlemsstaten, för att garantera klarhet om vad som gäller och minska kostnaderna för lufttrafikföretagen.

(14) Innehållet i eventuella förteckningar över PNR-uppgifter som ska vidarebefordras till enheterna för passagerarinformation bör vara utformat på ett sätt som återspeglar de offentliga myndigheternas legitima krav på att kunna förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, och därigenom förbättra den inre säkerheten i unionen och bidra till ett bättre skydd för medborgarnas grundläggande rättigheter, särskilt rätten till skydd av privatlivet och rätten till skydd av personuppgifter. Förteckningarna bör inte innehålla några personuppgifter som kan avslöja ras eller etnisk tillhörighet, politisk, religiös eller filosofisk övertygelse, fackföreningstillhörighet eller uppgifter om personens hälsotillstånd eller sexuella läggning. PNR-uppgifter bör omfatta information om passagerarens bokning och resrutt som gör det möjligt för de behöriga myndigheterna att identifiera flygpassagerare som utgör ett hot mot den inre säkerheten.

(15) Det finns för närvarande två möjliga metoder för överföring av uppgifter: Direktåtkomstmetoden (”pull-metoden”) som innebär att de behöriga myndigheterna i den stat som begär uppgifterna kan få direkt tillgång till lufttrafikföretagets bokningssystem för att hämta (”pull”) en kopia av de uppgifter som behövs, och sändmetoden (”push-metoden”) som innebär att lufttrafikföretagen överför de begärda PNR-uppgifterna till den myndighet som har begärt dem. Sändmetoden anses ge ett högre uppgiftsskydd och bör vara obligatorisk för alla lufttrafikföretag.

(16) Kommissionen stödjer Internationella civila luftfartsorganisationens (Icao) riktlinjer om PNR-uppgifter. Dessa riktlinjer bör således fungera som underlag vid antagandet av understödda dataformat för överföring av PNR-uppgifter från lufttrafikföretag till medlemsstaterna. Detta berättigar att sådana understödda dataformat, samt relevanta protokoll som gäller för överföring av uppgifter från lufttrafikföretag, antas i enlighet med det rådgivande förfarande som anges i Europaparlamentets och rådets förordning (EU) nr….. [……………..]

(17) Medlemsstaterna bör vidta alla nödvändiga åtgärder för att möjliggöra för lufttrafikföretagen att efterleva sina skyldigheter enligt detta direktiv. Medlemsstaterna bör fastställa avskräckande, effektiva och proportionella sanktioner, även ekonomiska sanktioner, för de lufttrafikföretag som inte uppfyller sina skyldigheter med avseende på överföring av PNR-uppgifter. Vid upprepade allvarliga överträdelser som skulle kunna undergräva de grundläggande målen i detta direktiv, bör sanktionerna i undantagsfall kunna omfatta åtgärder såsom startförbud för och beslag och förverkande av transportmedel, eller tillfällig indragning eller återkallande av den operativa licensen.

(18) Varje medlemsstat bör ansvara för att bedöma potentiella hot från terroristbrott och grov brottslighet.

(19) Med full hänsyn till rätten till skydd av personuppgifter och rätten till icke-diskriminering, bör inga beslut som har negativa rättsliga verkningar för en person eller på ett allvarligt sätt påverkar henne eller honom fattas enbart på grund av den automatiska behandlingen av PNR-uppgifter. Vidare bör inga sådana beslut fattas utifrån en persons ras eller etniska ursprung, religiösa eller filosofiska övertygelse, politiska åskådning, medlemskap i fackförening, hälsotillstånd eller sexuella läggning.

(20) Medlemsstaterna bör vid behov dela PNR-uppgifter som de har mottagit med andra medlemsstater, om en sådan överföring är nödvändig för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Bestämmelserna i detta direktiv bör inte påverka andra EU-instrument om informationsutbyte mellan polismyndigheter och rättsliga myndigheter, till exempel rådets beslut 2009/37/RIF av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol)[39] och rådet rambeslut 2006/960/RIF av den 18 september 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater[40]. Ett sådant utbyte av PNR-uppgifter mellan brottsbekämpande och rättsliga myndigheter bör omfattas av bestämmelserna om polissamarbete och rättsligt samarbete.

(21) Lagringstiden för PNR-uppgifter bör stå i proportion till ändamålen, nämligen att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Med hänsyn till PNR-uppgifternas natur och användningsområden bör det vara tillåtet att lagra dem så länge som krävs för att de ska kunna användas i samband med analyser och utredningar. För att undvika en oproportionerlig användning av uppgifterna är det nödvändigt att de efter en inledande period anonymiseras och endast blir föremål för åtkomst under mycket strikta och begränsade villkor.

(22) Om specifika PNR-uppgifter har översänts till en behörig myndighet för att användas inom ramen för särskilda brottsutredningar eller lagföringsåtgärder, bör den behöriga myndighetens lagring av dessa uppgifter regleras av den berörda medlemsstatens nationella lagstiftning, oavsett vilken lagringstid som föreskrivs i detta direktiv.

(23) Den behandling av PNR-uppgifter som utförs av enheten för passagerarinformation och de behöriga myndigheterna i varje medlemsstat bör omfattas av en nationell standard för skydd av personuppgifter som ligger i linje med rådets rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete[41].

(24) När det gäller rätten till skydd för personuppgifter, är det viktigt att de registrerades rättigheter i samband med behandling av PNR-uppgifter som rör dem, till exempel rätten till åtkomst, rättelse, radering och blockering, samt rätten till ersättning och tillgång till rättsmedel överensstämmer med rambeslut 2008/977/RIF.

(25) Med hänsyn till passagerares rätt att bli informerade om behandlingen av personuppgifter, bör medlemsstaterna se till att de förses med korrekta uppgifter om insamlingen av PNR-uppgifter och överföringen av dessa uppgifter till enheten för passagerarinformation.

(26) Överföring av PNR-uppgifter från medlemsstater till tredjeländer bör endast vara tillåten från fall till fall och under förutsättning att det sker i enlighet med rambeslut 2008/977/RIF. För att garantera skyddet av personuppgifter bör sådana överföringar omfattas av kompletterande krav beträffande syftet med överföringen, den mottagande myndighetens ställning och vilket skydd som gäller för personuppgifter som överförs till tredjelandet i fråga.

(27) Den nationella tillsynsmyndighet som har inrättats enligt rådets rambeslut 2008/977/RIF bör även ansvara för att meddela riktlinjer för och utöva tillsyn över tillämpningen och genomförandet av bestämmelserna i detta direktiv.

(28) Detta direktiv påverkar inte medlemsstaternas möjligheter att i enlighet med sin nationella lagstiftning tillhandahålla ett system för insamling och behandling av PNR-uppgifter för andra ändamål än dem som anges i direktivet, eller PNR-uppgifter rörande andra transportföretag än de som anges i detta direktiv, med avseende på flygningar inom EU som ska ske i enlighet med relevanta bestämmelser om uppgiftsskydd, förutsatt att sådan inhemsk lagstiftning är förenlig med EU-regelverket. Frågan om insamling av PNR-uppgifter om flygningar inom EU bör bli föremål för ytterligare överväganden längre fram.

(29) På grund av rättsliga och tekniska skillnader mellan olika nationella bestämmelser om behandling av personuppgifter, däribland PNR-uppgifter, möts lufttrafikföretagen av olika krav när det gäller vilken typ av information som ska översändas, liksom vilka villkor som gäller för överföringen av denna information till de behöriga nationella myndigheterna. Dessa skillnader kan vara till skada för ett effektivt samarbete mellan de behöriga nationella myndigheterna när det gäller att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

(30) Eftersom målen för detta direktiv inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför bättre kan uppnås på unionsnivå, kan gemenskapen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(31) Detta direktiv står i överensstämmelse med de grundläggande rättigheterna och principerna i Europeiska unionens stadga om de grundläggande rättigheterna, särskilt rätten till skydd av personuppgifter, rätten till respekt för privatlivet och rätten till icke-diskriminering, som tas upp i artiklarna 8, 7 och 21 i stadgan, och bör genomföras i enlighet med dessa. Direktivet överensstämmer med principerna om uppgiftsskydd, och dess bestämmelser är förenliga med rambeslut 2008/977/RIF. För att direktivet inte ska inkräkta på proportionalitetsprincipen kommer dess bestämmelser om uppgiftsskydd i vissa fall att vara strängare än motsvarande bestämmelser i rambeslut 2008/977/RIF.

(32) I synnerhet har direktivets tillämpningsområde gjorts så begränsat som möjligt; detta innebär att PNR-uppgifter får lagras i högst fem år, varefter de måste raderas, att uppgifterna måste anonymiseras redan efter en mycket kort period och att insamling av känsliga uppgifter är förbjuden. För att garantera effektivitet och en hög nivå på uppgiftsskyddet ska medlemsstaterna se till att en oberoende nationell tillsynsmyndighet ges ansvaret för att meddela riktlinjer för och övervaka behandlingen av PNR-uppgifterna. All behandling av PNR-uppgifter måste registreras eller dokumenteras för att göra det möjligt att kontrollera att behandlingen av uppgifterna är laglig, att tillsynen fungerar och att behandlingen av uppgifterna omfattas av tillräcklig integritet och säkerhet. Medlemsstaterna ska också se till att passagerarna informeras klart och tydligt om insamlingen av PNR-uppgifter och om deras rättigheter.

(33) [I enlighet med artikel 3 i protokollet (nr 21) om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionens funktionssätt, har Förenade kungariket och Irland meddelat att de önskar delta i antagandet och tillämpningen av detta direktiv] ELLER [Utan att det påverkar tillämpningen av artikel 4 i protokollet (nr 21) om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa kommer Förenade kungariket och Irland inte att delta i antagandet av detta direktiv och är därför inte bundna av det och omfattas inte av dess tillämpning].

(34) I enlighet med artiklarna 1 och 2 i protokollet (nr 22) om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Danmark.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Syfte och tillämpningsområde

1. Detta direktiv innehåller bestämmelser om lufttrafikföretags översändande av PNR-uppgifter om passagerare på internationella flygningar till och från medlemsstaterna, och om medlemsstaternas behandling av uppgifterna, inbegripet insamling, användning, lagring och inbördes utbyte av dessa.

2. PNR-uppgifter som samlas in i enlighet med detta direktiv får endast behandlas i syfte att

1. förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 4.2 b och 4.2 c, och

2. förebygga, upptäcka, utreda och lagföra terroristbrott och grov gränsöverskridande brottslighet i enlighet med artikel 4.2 a och 4.2 d.

Artikel 2

Definitioner

I detta direktiv avses med

a) lufttrafikföretag : ett lufttransportföretag med giltig operativ licens eller motsvarande som ger rätt att bedriva passagerarflygtrafik.

b) internationell flygning : varje reguljär eller icke-reguljär flygning som utförs av ett lufttransportföretag, med avgång från ett tredjeland och planerad landning på en medlemsstats territorium, eller med en planerad avgång från en medlemsstats territorium och slutdestination i ett tredjeland, i båda fallen inklusive transfer- och transitflygningar.

c) passageraruppgifter eller PNR-uppgifter : en sammanställning av för resan nödvändiga uppgifter om den enskilde passageraren som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera bokningen med avseende varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i reservationssystemet, avgångskontrollsystemet (DCS) eller likvärdiga system med motsvarande funktion.

d) passagerare : alla personer, förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan med lufttrafikföretagets godkännande.

e) reservationssystem : lufttrafikföretagets interna registreringssystem, där PNR-uppgifter samlas i syfte att hantera reservationer.

f) sändmetod : den metod varigenom lufttrafikföretagen överför de begärda PNR-uppgifterna till en databas vid den myndighet som begärt överföringen.

g) terroristbrott : de brott enligt nationell lag som avses i artiklarna 1–4 i rådets rambeslut 2002/475/RIF om bekämpande av terrorism.

h) grov brottslighet : sådana brott enligt nationell lagstiftning som avses i artikel 2.2 i rådets rambeslut 2002/584/RIF, om de kan bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella lagstiftning; medlemsstaterna får dock undanta sådana mindre grova brott för vilka, med hänsyn till deras respektive straffrättsliga system, behandling av PNR-uppgifter i enlighet med detta direktiv inte skulle vara förenlig med proportionalitetsprincipen.

i) grov gränsöverskridande brottslighet : sådana brott enligt nationell lagstiftning som avses i artikel 2.2 i rådets rambeslut 2002/584/RIF, om de kan bestraffas med fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella lagstiftning, och om de

i) begås i mer än en stat,

ii) begås i en stat, men en betydande del av förberedelserna, planeringen, ledningen, eller kontrollen av brotten äger rum i en annan medlemsstat,

iii) begås i en stat, men involverar en organiserad brottsorganisation som ägnar sig åt brottslig verksamhet i mer än en stat, eller

iv) begås i en stat men har betydande verkningar i en annan stat.

KAPITEL II

MEDLEMSSTATERNAS ANSVAR

Artikel 3

Enhet för passagerarinformation

1. Varje medlemsstat ska inrätta eller utse en myndighet med behörighet att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, eller en avdelning inom en sådan myndighet, som ska fungera som medlemsstatens ”enhet för passagerarinformation” och ansvara för att samla in PNR-uppgifter från lufttrafikföretagen, lagra och analysera dessa uppgifter samt översända analysresultaten till de behöriga myndigheter som avses i artikel 5. Dess personal kan utgöras av tjänstemän som avdelats från de behöriga myndigheterna.

2. Två eller flera medlemsstater får inrätta eller utse en och samma myndighet till sin gemensamma enhet för passagerarinformation. En sådan enhet för passagerarinformation ska inrättas i en av de deltagande medlemsstaterna, och därefter fungera som nationell enhet för passagerarinformation för alla deltagande medlemsstater. De deltagande medlemsstaterna ska enas om närmare bestämmelser för driften av enheten för passagerarinformation utan att avvika från kraven i detta direktiv.

3. Varje medlemsstat ska underrätta kommissionen om detta inom en månad från inrättandet av enheten för passagerarinformation och kan när som helst uppdatera denna anmälan. Kommissionen ska offentliggöra denna information, inklusive eventuella uppdateringar, i Europeiska unionens officiella tidning .

Artikel 4

Behandling av PNR-uppgifter

1. PNR-uppgifter som överförs av lufttrafikföretag i enlighet med artikel 6, avseende internationella flygningar som ankommer till eller avgår från en medlemsstats territorium, ska samlas in av den berörda medlemsstatens enhet för passagerarinformation. Om PNR-uppgifter som överförs av lufttrafikföretag omfattar uppgifter utöver de som anges i bilagan, ska enheten för passagerarinformation radera dessa omedelbart vid mottagandet.

2. Enheten för passagerarinformation ska behandla PNR-uppgifterna enbart för följande ändamål:

(a) Göra en bedömning av passagerarna före deras beräknade ankomst till eller avresa från den berörda medlemsstaten, för att identifiera personer som kan vara involverade i terrorism eller grov gränsöverskridande brottslighet, och som de behöriga myndigheterna enligt artikel 5 behöver utreda ytterligare. Vid utförandet av en sådan bedömning kan enheten för passagerarinformation behandla PNR-uppgifterna på grundval av på förhand fastställda kriterier. Medlemsstaterna ska se till att eventuella träffar i samband med sådan automatisk databehandling granskas individuellt på grundval av icke-automatiska metoder, för att verifiera huruvida den behöriga myndighet som avses i artikel 5 bör vidta åtgärder.

(b) Göra en bedömning av passagerarna före deras beräknade ankomst eller avresa från den berörda medlemsstaten, för att identifiera personer som kan vara involverade i terrorism eller grov brottslighet, och som de behöriga myndigheterna enligt artikel 5 behöver utreda ytterligare. Vid utförandet av en sådan bedömning får enheten för passagerarinformation jämföra PNR-uppgifter mot uppgifter i relevanta databaser, inklusive internationella eller nationella databaser, eller nationella kopior av EU-databaser, när det på grundval av EU-rätten har upprättats sådana med avseende på personer eller föremål som är eftersökta eller finns uppförda på spärrlista i enlighet med EU-bestämmelser eller internationella eller nationella bestämmelser som är tillämpliga i sådana fall. Medlemsstaterna ska se till att eventuella träffar i samband sådan automatisk databehandling granskas individuellt på grundval av icke-automatiska metoder, för att verifiera huruvida den behöriga myndighet som avses i artikel 5 bör vidta åtgärder.

(c) I enskilda fall besvara vederbörligen motiverade framställningar från behöriga myndigheter om att lämna ut PNR-uppgifter och om att i specifika fall behandla sådana uppgifter i syfte att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, och förse de behöriga myndigheterna med resultaten av sådan behandling.

(d) Analysera PNR-uppgifter för att uppdatera och skapa nya kriterier för att utföra bedömningar i syfte att identifiera personer som kan vara involverade i ett terroristbrott eller ett grovt gränsöverskridande brott enligt led a.

3. Den bedömning av passagerare före ankomst eller avresa från den medlemsstat som avses i punkt 2 a ska utföras på ett icke-diskriminerande sätt, på grundval av bedömningskriterier som fastställts av medlemsstatens enhet för passagerarinformation. Medlemsstaterna ska se till att bedömningskriterierna fastställs av enheten för passagerarinformation, i samarbete med de behöriga myndigheter som avses i artikel 5. Bedömningskriterierna får under inga omständigheter vara baserade på en persons ras eller etniska ursprung, religiösa eller filosofiska övertygelse, politiska åskådning, medlemskap i fackförening, hälsotillstånd eller sexuella läggning.

4. Enheten för passagerarinformation i en medlemsstat ska överföra PNR-uppgifterna eller resultaten av behandlingen av PNR-uppgifter om personer som har identifierats i enlighet med punkt 2 a–b till de behöriga myndigheterna i samma medlemsstat, för vidare granskning. Sådana överföringar får endast ske om det är befogat i det enskilda fallet.

Artikel 5

Behöriga myndigheter

1. Varje medlemsstat ska fastställa en förteckning över behöriga myndigheter som har befogenhet att begära eller motta PNR-uppgifter eller resultat av behandlingen av PNR-uppgifter från enheterna för passagerarinformation i syfte att undersöka informationen ytterligare eller vidta lämpliga åtgärder för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

2. De behöriga myndigheterna ska bestå av myndigheter som är behöriga med avseende på att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet

3. Varje medlemsstat ska meddela kommissionen förteckningen över sina behöriga myndigheter senast tolv månader efter det att detta direktiv har trätt i kraft, och kan när som helst uppdatera sin den. Kommissionen ska offentliggöra denna information, samt eventuella uppdateringar, i Europeiska unionens officiella tidning .

4. PNR-uppgifter om passagerare och resultaten av behandling av PNR-uppgifter som mottagits av enheten för passagerarinformation får behandlas ytterligare av de behöriga myndigheterna i medlemsstaterna endast om syftet är att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

5. Punkt 4 ska inte påverka brottsbekämpningen eller de rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på andra brott upptäcks i samband med brottsbekämpande insatser som görs till följd av behandling av PNR-uppgifter.

6. De behöriga myndigheterna ska inte fatta några beslut som har negativa rättsliga verkningar för en person eller på annat sätt påverkar en person allvarligt endast på grund av den automatiska behandlingen av PNR-uppgifter. Sådana beslut får inte heller fattas på grundval av en persons ras eller etniska ursprung, religiösa eller filosofiska övertygelse, politiska åskådning, medlemskap i fackförening, hälsotillstånd eller sexuella läggning.

Artikel 6

Lufttrafikföretagens skyldigheter

1. Medlemsstaterna ska anta nödvändiga åtgärder för att se till att lufttransportföretag överför (”push-metoden)) de PNR-uppgifter som anges i artikel 2 c och preciseras i bilagan, förutsatt att de redan samlar in sådana uppgifter, till databasen hos enheten för passagerarinformation i den medlemsstat på vars territorium den internationella flygningen kommer att ankomma eller från det territorium varifrån flygningen kommer att avgå. Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag ska det företag som utför flygningen överföra PNR-uppgifter om samtliga passagerare ombord. Om flygningen innebär en eller flera mellanlandningar på medlemsstaternas flygplatser ska lufttrafikföretagen överföra PNR-uppgifterna till enheterna för passagerarinformation i alla berörda medlemsstater.

2. Lufttrafikföretagen ska överföra PNR-uppgifter elektroniskt med hjälp av de gemensamma protokoll och understödda dataformat som kommer att antas i enlighet med förfarandet i artiklarna 13 och 14 eller, vid eventuella tekniska problem, på något annat sätt som garanterar ett lämpligt uppgiftsskydd

a) 24–48 timmar före flygningens planerade avgång,

och

b) omedelbart efter det att dörrarna stängts, det vill säga när passagerarna har bordat planet inför avgång och eventuella ytterligare passagerare inte längre tillåts komma ombord.

3. Medlemsstaterna får tillåta lufttrafikföretag att begränsa den överföring som avses i punkt 2 b till uppdateringar av sådan överföring som avses i punkt 2 a.

4. Efter en framställan från en enhet för passagerarinformation i enlighet med nationell lagstiftning ska lufttransportföretagen, efter en bedömning i det konkreta fallet, överföra PNR-uppgifter i sådana situationer där det är nödvändigt att få åtkomst i ett tidigare skede än som anges i punkt 2 a för att reagera på ett specifikt och reellt hot med anknytning till terroristbrott eller grov brottslighet.

Artikel 7

Utbyte av information mellan medlemsstaterna

1. Med avseende på personer som identifierats av en enhet för passagerarinformation i enlighet med artikel 4.2 a och b ska medlemsstaterna se till att den enheten överför resultaten av behandlingen av PNR-uppgifterna till enheterna för passagerarinformation i andra medlemsstater, om den förstnämnda enheten anser att en sådan överföring är nödvändig för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Enheterna för passagerarinformation i de mottagande medlemsstaterna ska överföra sådana PNR-uppgifter eller resultatet av behandlingen av PNR-uppgifter till de relevanta behöriga myndigheterna i sina medlemsstater.

2. Enheten för passagerarinformation i en medlemsstat ska ha rätt att om nödvändigt anmoda enheten för passagerarinformation i en annan medlemsstat att tillhandahålla PNR-uppgifter som lagras i den senares databas i enlighet med artikel 9.1 och, om så krävs, även resultaten av behandlingen av PNR-uppgifter. En sådan begäran om uppgifter får avse en viss uppgift eller en kombination av uppgifter, beroende på vilken information den begärande enheten för passagerarinformation anser vara nödvändig i ett särskilt fall för att förebygga, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Enheterna för passagerarinformation ska tillhandahålla de begärda uppgifterna så snabbt som möjligt, liksom resultatet av behandlingen av PNR-uppgifter, om detta redan har förberetts i enlighet med artikel 4.2 a och b.

3. Enheten för passagerarinformation i en medlemsstat ska ha rätt att om nödvändigt anmoda en enhet för passagerarinformation i en annan medlemsstat att tillhandahålla PNR-uppgifter som lagras i den senares databas i enlighet med artikel 9.2 och, om så krävs, även resultaten av behandlingen av PNR-uppgifter. Enheten för passagerarinformation kan i särskilda undantagsfall begära att få tillgång till särskilda PNR-uppgifter som bevaras av enheten för passagerarinformation i en annan medlemsstat, i fullständig och omaskerad form, i syfte att använda dessa med avseende på ett specifikt hot eller en viss utredning eller en viss lagföringsåtgärd med anknytning till terroristbrott eller grov brottslighet.

4. Endast i sådana fall där det är nödvändigt för att förhindra ett omedelbart och allvarligt hot mot den allmänna säkerheten får en medlemsstats behöriga myndigheter vända sig direkt till enheten för passagerarinformation i en annan medlemsstat med en begäran om utlämnande av PNR-uppgifter som finns lagrade i den senares databas i enlighet med artikel 9.1 och 9.2. Sådana framställningar måste avse en särskild utredning eller lagföringsåtgärd avseende terroristbrott eller grov brottslighet och ska vara motiverade. Enheterna för passagerarinformation ska behandla svaren på sådana framställningar som en prioriterad fråga. I alla andra fall ska de behöriga myndigheterna översända sina framställningar via enheten för passagerarinformation i den egna medlemsstaten.

5. Om det är nödvändigt att i ett tidigt skede få tillgång till uppgifter för att möta ett specifikt och faktiskt hot med anknytning till terroristbrott eller grov brottslighet, ska enheten för passagerarinformation i en medlemsstat i undantagsfall ha rätt att när som helst vända sig till enheten för passagerarinformation i en annan medlemsstat med en begäran om PNR-uppgifter rörande flygningar som ankommer till eller avgår från den senares territorium.

6. Informationsutbyte enligt denna artikel får äga rum via alla befintliga kanaler för internationellt brottsbekämpningssamarbete. Det språk som används i samband med begäran och informationsutbytet ska vara det som gäller för den kanal som används. Medlemsstaterna ska, i samband med att de lämnar underrättelser i enlighet med artikel 3.3, även meddela kommissionen uppgifter om vart framställningar kan sändas i brådskande fall. Kommissionen ska underrätta medlemsstaterna om de meddelanden som mottagits.

Artikel 8

Överföring av uppgifter till tredjeländer

Överföring av PNR-uppgifter och resultaten av behandling av PNR-uppgifter till från en medlemsstat till ett tredjeland får endast ske efter bedömning i det enskilda fallet och under förutsättning att

a) villkoren i artikel 13 i rådets rambeslut 2008/977/RIF är uppfyllda,

b) överföringen är nödvändig för de ändamål som anges i artikel 1.2, och

c) det berörda tredjelandet godtar att överföra uppgifterna till ett tredjeland endast om det är nödvändigt för de ändamål som anges i artikel 1.2 och under förutsättning att medlemsstaten i fråga lämnat uttryckligt samtycke till detta.

Artikel 9

Bevarandeperiod

1. Medlemsstaterna ska se till att PNR-uppgifter som lämnas av lufttrafikföretag till enheten för passagerarinformation bevaras i en databas vid enheten under en period på 30 dagar efter överföringen till enheten för passagerarinformation i den första medlemsstat på vars territorium den internationella flygningen ankom eller avgick.

2. Vid utgången av den 30-dagarsperiod efter överföringen av PNR-uppgifter till enheten för passagerarinformation som avses i punkt 1 ska uppgifterna bevaras vid enheten för passagerarinformation i ytterligare fem år. Under denna period ska alla uppgifter som kan användas för att identifiera de passagerare som berörs av PNR-uppgifterna maskeras. Sådana anonymiserade PNR-uppgifter ska endast vara tillgängliga för ett begränsat antal anställda vid enheten för passagerarinformation som uttryckligen är behöriga att analysera PNR-uppgifter och utarbeta bedömningskriterier i enlighet med artikel 4.2 d. Full tillgång till PNR-uppgifterna kan endast beviljas av chefen för enheten för passagerarinformation för de ändamål som anges i artikel 4.2 c, under förutsättning att det rimligen kan antas att det är nödvändigt för att genomföra en utredning och för att reagera på ett hot eller en risk av specifik och reell natur eller en specifik utredning eller lagföringsåtgärd.

Vid tillämpningen av detta direktiv bör följande uppgifter som kan användas för att identifiera de passagerare som berörs av uppgifterna filtreras bort och maskeras:

- Namn, inklusive namn på andra passagerare samt antal passagerare som reser tillsammans.

- Adress och kontaktuppgifter.

- Allmänna påpekanden, om dessa innehåller uppgifter som kan användas för att identifiera den passagerare som PNR-uppgifterna avser. och

- All insamlad förhandsinformation om passagerare.

3. Medlemsstaterna ska se till att PNR-uppgifterna raderas vid utgången av den period som anges i punkt 2. Denna skyldighet gäller dock inte om specifika PNR-uppgifter har överförts till en behörig myndighet och används i samband med särskilda brottsutredningar eller lagföringsåtgärder; i sådana fall ska den behöriga myndighetens lagring av uppgifterna regleras av den berörda medlemsstatens nationella lagstiftning.

4. Resultaten av sådan matchning som avses i artikel 4.2 a och b ska bevaras av enheten för passagerarinformation, dock inte längre än vad som krävs för att informera de behöriga myndigheterna om en träff. Även om en automatisk sökning som utförs efter en individuell icke-automatisk granskning inte ger någon träff, ska resultatet hemlighållas i högst fem år för att undvika framtida ”falska” träffar, såvida inte de bakomliggande uppgifterna ännu inte har raderats i enlighet med punkt 3 vid utgången av denna femårsperiod, i vilket fall loggen ska bevaras till dess att de bakomliggande uppgifterna raderas.

Artikel 10

Sanktioner för lufttrafikföretag

Medlemsstaterna ska i enlighet med sin nationella lagstiftning se till att det finns avskräckande, effektiva och proportionerliga sanktioner, inklusive ekonomiska sådana, som kan användas mot lufttrafikföretag som inte överför redan insamlade uppgifter i enlighet med detta direktiv, eller inte överför uppgifterna i det fastställda formatet eller på annat sätt bryter mot de nationella bestämmelser som antagits enligt detta direktiv.

Artikel 11

Skydd av personuppgifter

1. Medlemsstaterna ska se till att varje passagerare, med avseende på all behandling av personuppgifter i enlighet med detta direktiv, har samma rätt till tillgång till uppgifter och till rättelse, radering eller blockering av uppgifter samt samma rätt att begära ersättning och klaga som följer av nationell lagstiftning som vilar på artiklarna 17, 18, 19 och 20 i rådets rambeslut 2008/977/JHA. Bestämmelserna i artiklarna 17, 18, 19 och 20 i rådets rambeslut 2008/977/JHA ska därför vara tillämpliga.

2. Medlemsstaterna ska se till att de nationella bestämmelser om konfidentiell behandling och datasäkerhet som har antagits för att genomföra artiklarna 21 och 22 i rådets rambeslut 2008/977/RIF även är tillämpliga med avseende på all behandling av personuppgifter som sker i enlighet med detta direktiv.

3. All behandling av PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, religiösa eller filosofiska övertygelse, politiska åskådning, medlemskap i fackförening, hälsotillstånd eller sexuella läggning ska vara förbjuden. Om enheten för passagerarinformation mottar PNR-uppgifter som avslöjar sådana uppgifter, ska dessa uppgifter raderas omedelbart.

4. All behandling av PNR-uppgifter som utförs av lufttrafikföretag, all överföring av PNR-uppgifter som utförs av enheter för passagerarinformation och alla framställningar som görs av behöriga myndigheter eller enheter för passagerarinformation i andra medlemsstater eller i tredjeländer ska, även vid eventuella avslag, registreras eller dokumenteras av enheten för passagerarinformation och de behöriga myndigheterna för att särskilt de nationella tillsynsmyndigheterna på dataskyddsområdet ska kunna kontrollera att behandlingen av uppgifterna är laglig, att tillsynen fungerar och att behandlingen av uppgifterna omfattas av tillräcklig integritet och säkerhet. Dessa loggar ska bevaras i fem års tid, såvida inte situationen är sådan att de bakomliggande uppgifterna ännu inte har raderats i enlighet med artikel 10.3 vid utgången av dessa fem år, i vilket fall loggarna ska bevaras till dess att de bakomliggande uppgifterna har raderats.

5. Medlemsstaterna ska se till att lufttrafikföretag, deras agenter eller andra som säljer biljetter till passagerartransport med flyg informerar passagerarna på internationella flygningar vid bokningen av en resa och i samband med betalningen av biljetten på ett klart och tydligt sätt om vidarebefordran av PNR-uppgifter till enheten för passagerarinformation, syftet med behandlingen av dessa uppgifter, hur lång tid uppgifterna lagras, möjligheten att uppgifterna kommer till användning för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, möjligheten att utbyta och dela sådana uppgifter samt rätten till skydd för personuppgifter, särskilt rätten att klaga till en nationell tillsynsmyndighet för dataskydd efter eget val. Medlemsstaterna ska ge allmänheten tillgång till samma information.

6. Överföring av PNR-uppgifter från enheter för passagerarinformation och behöriga myndigheter till privata aktörer i medlemsstaterna eller i tredjeländer ska vara förbjuden.

7. Utan att det påverkar tillämpningen av artikel 10 ska medlemsstaterna anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullt ut och framför allt föreskriva effektiva, proportionella och avskräckande påföljder för överträdelse av bestämmelser som antagits i enlighet med direktivet.

Artikel 12

Nationell tillsynsmyndighet

Varje medlemsstat ska föreskriva att den nationella tillsynsmyndighet som inrättats enligt artikel 25 i rambeslut 2008/977/RIF även ska ansvara för att ge riktlinjer för och övervaka tillämpningen av de bestämmelser som den berörda medlemsstaten har antagit i enlighet med detta direktiv. Även övriga bestämmelser i artikel 25 i rambeslut 2008/977/RIF är tillämpliga.

KAPITEL IV

GENOMFÖRANDEÅTGÄRDER

Artikel 13

Gemensamma protokoll och understödda format

1. All överföring av PNR-uppgifter från lufttrafikföretag till enheter för passagerarinformation inom ramen för detta direktiv ska, under en period på ett år från antagandet av de gemensamma protokollen och de understödda dataformaten i enlighet med artikel 14, ske på elektronisk väg eller, vid eventuella tekniska problem, på annat lämpligt sätt.

2. Efter utgången av perioden på ett år från den dag då de gemensamma protokollen och de understödda formaten antas, ska all överföring av PNR-uppgifter från lufttrafikföretag till enheter för passagerarinformation inom ramen för detta direktiv ske på elektronisk väg, med säkra metoder i form av godkända gemensamma protokoll som ska vara enhetliga för alla överföringar för att garantera uppgifternas säkerhet under överföringen, och i ett understött format för att säkerställa att de kan läsas av alla berörda parter. Alla lufttrafikföretag ska fastställa vilket gemensamt protokoll och vilket dataformat de avser att använda för sina överföringar och underrätta enheten för passagerarinformation om detta.

3. En förteckning över godkända gemensamma protokoll och understödda dataformat ska upprättas och, om nödvändigt, anpassas av kommissionen i enlighet med det föreskrivande förfarandet i artikel 14.2.

4. Så länge de godkända gemensamma protokoll och understödda dataformat som avses i punkterna 2 och 3 inte finns tillgängliga, ska punkt 1 vara tillämplig.

5. Varje medlemsstat ska vidta de tekniska åtgärder som krävs för att de gemensamma protokollen och de understödda dataformaten ska kunna börja användas inom ett år från den dag då dessa antas.

Artikel 14

Kommittéförfarande

1. Kommissionen ska biträdas av en kommitté (kommittén). Det ska röra sig om en kommitté i den mening som avses i förordning […/2011/EU] av den 16 februari 2011.

2. När det hänvisas till denna punkt ska artikel 4 i förordning […/2011/EU] av den 16 februari 2011 tillämpas.

KAPITEL V

SLUTBESTÄMMELSER

Artikel 15

Införlivande

1. Medlemsstaterna ska sätta i kraft de lagar och andra författningar som är nödvändiga för att följa detta direktiv senast två år efter dess ikraftträdande. De ska till kommissionen genast överlämna texten till dessa bestämmelser tillsammans med en jämförelsetabell över dessa bestämmelser och detta direktiv.

När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

2. Medlemsstaterna ska till kommissionen överlämna texten till de centrala bestämmelser i nationell lagstiftning som de antar inom det område som omfattas av detta direktiv.

Artikel 16

Övergångsbestämmelser

Medlemsstaterna ska se till att PNR-uppgifter för åtminstone 30 % av alla flygningar som anges i artikel 6.1 samlas in senast den dag som anges i artikel 15.1, det vill säga två år efter det att detta direktiv trätt i kraft. Medlemsstaterna ska se till att PNR-uppgifter för åtminstone 60 % av alla flygningar som anges i artikel 6.1 samlas in inom två år efter den dag som anges i artikel 15 . Medlemsstaterna ska se till att PNR-uppgifter alla flygningar som anges i artikel 6.1 samlas in inom fyra år efter den dag som anges i artikel 15 .

Artikel 17

Översyn

På grundval av uppgifter som tillhandahålls av medlemsstaterna ska kommissionen

a) se över om flygningar inom EU kan och bör omfattas av tillämpningsområdet för detta direktiv, på grundval av erfarenheterna från de medlemsstater som samlar in PNR-uppgifter med avseende på sådana flygningar; kommissionen ska inom två år från den dag som anges i artikel 15.1 lägga fram en rapport för Europaparlamentet och rådet om resultaten av denna översyn,

b) lägga fram en rapport för Europaparlamentet och rådet inom fyra år från den dag som anges i artikel 15.1; denna översyn ska omfatta alla delar av detta direktiv, och särskild vikt ska läggas vid i vilken utsträckning garantierna för uppgiftsskydd tillämpas, bevarandeperiodens längd och kvaliteten på riskbedömningarna. Den ska också innehålla den statistik som samlats in enligt artikel 18.

Artikel 18

Statistik

1. Medlemsstaterna ska sammanställa statistik om PNR-uppgifter som lämnats till enheterna för passagerarinformation. Denna statistik ska åtminstone omfatta antalet identifieringar av personer som kan vara inblandade i terroristbrott eller grov brottslighet enligt artikel 4.2, och antalet efterföljande brottsbekämpande åtgärder som inneburit användning av PNR-uppgifter, fördelade på lufttrafikföretag och destination.

2. Sådan statistik får inte omfatta några personuppgifter. Statistiken ska överlämnas till kommissionen på årsbasis.

Artikel 19

Förhållandet till andra instrument

1. Medlemsstaterna får fortsätta att tillämpa de bilaterala och multilaterala avtal och ordningar som är i kraft när detta direktiv antas på utbytet av uppgifter mellan behöriga myndigheter, förutsatt att dessa avtal och ordningar är förenliga med direktivet.

2. Detta direktiv påverkar inte unionens eventuella skyldigheter och åtaganden enligt bilaterala och/eller multilaterala avtal med tredjeländer.

Artikel 20

Ikraftträdande

Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning .

Detta direktiv riktar sig till medlemsstaterna i enlighet med fördragen.

Utfärdat i Bryssel den …

På Europaparlamentets vägnar På rådets vägnar

Ordförande Ordförande

BILAGA

PNR-uppgifter som samlats in av lufttrafikföretag

3. Bokningsnummer.

4. Datum för bokning/utfärdande av biljett.

5. Planerat/planerade resdatum.

6. Samtliga för- och efternamn.

7. Adress och kontaktuppgifter (telefonnummer och e-postadress).

8. Alla former av betalningsinformation, inbegripet faktureringsadress.

9. Hela resrutten för en specifik bokning.

10. Bonusuppgifter.

11. Resebyrå/resebyråtjänsteman.

12. Passagerarens resestatus, inbegripet resebekräftelser, incheckningsstatus, no show (passagerare som ej har checkat in) eller go show (passagerare som checkat in utan bokning).

13. Delade PNR-uppgifter.

14. Allmänna anmärkningar (inklusive alla tillgängliga uppgifter om omyndiga personer under 18 år utan medföljande vuxen, till exempel namn och kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet, flygplatsanställd som ledsagar barnet vid avresan respektive ankomsten).

15. Biljettinformation, inbegripet biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift.

16. Platsnummer och annan platsinformation.

17. Information om gemensam linjebeteckning.

18. All bagageinformation.

19. Antal medresenärer, och deras namn, i samband med en bokning.

20. Eventuella förhandsupplysningar (API) som samlats in.

21. Alla ändringar som gjorts av de PNR-uppgifter som anges i nummer 1–18.

[1] Europols bedömningsrapport om hotet från organiserad brottslighet 2009.

[2] Eurostat 36/2009.

[3] Europols rapport från 2010 om terrorism i EU – läge och utveckling.

[4] Measuring the costs of coercion to workers in forced labour – Vinogradova, De Cock, Belser.

[5] The economic and social costs of crime against individuals and households 2003/04 .

[6] Standard Eurobarometer 71, s. 149 i bilagan.

[7] Konvention om tillämpning av Schengenavtalet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Förbundsrepubliken Tyskland och Franska republiken om gradvis avskaffande av kontroller vid de gemensamma gränserna (EGT L 239, 22.9.2000, s. 19).

[8] Förordning (EG) nr 1987/2006, beslut 2007/533/RIF, förordning (EG) nr 1986/2006.

[9] Rådets beslut 2004/512/EG, förordning (EG) nr 767/2008, rådets beslut 2008/633/RIF. Se även Europeiska rådets uttalande om bekämpande av terrorism, 25.3.2004.

[10] KOM(2010) 385.

[11] Rådets dokument 17024/09, 2.12.2009.

[12] Direktiv 2004/82/EG av den 29 augusti 2004.

[13] KOM(2007) 654.

[14] Rådets dokument 5618/09/2 REV 2, 26.9.2009.

[15] P6_TA (2008) 0561.

[16] EUT C 110, 1.5.2008.

[17] Yttrande nr 145 av den 5 december 2007.

[18] http://fra.europa.eu/fraWebsite/attachments/FRA_opinion_PNR_en.pdf

[19] Direktiv 2004/82/EG av den 29 augusti 2004.

[20] KOM(2010) 492.

[21] Konvention om tillämpning av Schengenavtalet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Förbundsrepubliken Tyskland och Franska republiken om gradvis avskaffande av kontroller vid de gemensamma gränserna (EGT L 239, 22.9.2000, s. 19).

[22] Förordning (EG) nr 1987/2006, beslut 2007/533/RIF, förordning (EG) nr 1986/2006.

[23] Rådets beslut 2004/512/EG, förordning (EG) nr 767/2008, rådets beslut 2008/633/RIF. Se även Europeiska rådets uttalande om bekämpande av terrorism, 25.3.2004.

[24] EUT L 350, 30.12.2008, s. 60.

[25] P6_TA (2008) 0561.

[26] Rådets dokument 17024/09, 2.12.2009.

[27] EUT C 110, 1.5.2008.

[28] Gemensamt yttrande om förslaget till rådets rambeslut om användande av passageraruppgifter (PNR-uppgifter) i brottsbekämpningssyfte, framlagt av kommissionen den 6 november 2007 (WP 145 av den 5.12.2007), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp145_en.pdf.

[29] http://fra.europa.eu/fraWebsite/attachments/FRA_opinion_PNR_en.pdf.

[30] SEK(2011) 132.

[31] EUT C […], […], s. […].

[32] EUT C […], […], s. […].

[33] KOM(2007) 654.

[34] Rådets dokument 17024/09, 2.12.2009.

[35] KOM(2010) 492.

[36] EUT L 261, 6.8.2004, s. 24.

[37] EGT L 164, 22.6.2002, s. 3. Beslutet senast ändrat genom rådets beslut nr 2008/919/RIF av 28 november 2008, EUT L 330, 9.12.2008, s. 21.

[38] EGT L 190, 18.7.2002, s. 1.

[39] EUT L 121, 15.5.2009, s. 37.

[40] EUT L 386, 29.12.2006, s. 89.

[41] EUT L 350, 30.12.2008, s. 60.