DOMSTOLENS DOM (stora avdelningen)
den 30 maj 2006 (*)
”Skydd för fysiska personer avseende behandling av personuppgifter –Lufttransport – Beslut 2004/496/EG – Avtal mellan Europeiska gemenskapen och Amerikas förenta stater – Passagerarregister som överförs till Förenta staternas tull- och gränsskyddsmyndighet – Direktiv 95/46/EG – Artikel 25 – Tredjeländer – Beslut 2004/535/EG – Adekvat skyddsnivå”
I de förenade målen C‑317/04 och C‑318/04,
angående talan om ogiltigförklaring enligt artikel 230 EG, som väckts den 27 juli 2004,
Europaparlamentet, företrätt av R. Passos, N. Lorenz, H. Duintjer Tebbens och A. Caiola, samtliga i egenskap av ombud, med delgivningsadress i Luxemburg,
sökande,
med stöd av:
Europeiska datatillsynsmannen (datatillsynsmannen), företrädd av H. Hijmans och V. Perez Asinari, båda i egenskap av ombud,
intervenient,
mot
Europeiska unionens råd, företrätt av M.C. Giorgi Fort och M. Bishop, båda i egenskap av ombud,
svarande i mål C‑317/04,
med stöd av:
Europeiska gemenskapernas kommission, företrädd av P.J. Kuijper, A. van Solinge och C. Docksey, samtliga i egenskap av ombud, med delgivningsadress i Luxemburg,
Förenade konungariket Storbritannien och Nordirland, företrätt av M. Bethell, C. White och T. Harris, samtliga i egenskap av ombud, biträdda av T. Ward, barrister, med delgivningsadress i Luxemburg,
intervenienter,
och mot
Europeiska gemenskapernas kommission, företrädd av P.J. Kuijper, A. van Solinge, C. Docksey och F. Benyon, samtliga i egenskap av ombud, med delgivningsadress i Luxemburg,
svarande i mål C‑318/04,
med stöd av:
Förenade konungariket Storbritannien och Nordirland, företrätt av M. Bethell, C. White och T. Harris, samtliga i egenskap av ombud, biträdda av T. Ward, barrister, med delgivningsadress i Luxemburg,
intervenient,
meddelar
DOMSTOLEN (stora avdelningen)
sammansatt av ordföranden V. Skouris, avdelningsordförandena S. Jann, C.W.A. Timmermans, A. Rosas och J. Malenovský samt domarna N. Colneric (referent), S. von Bahr, J.N. Cunha Rodrigues, R. Silva de Lapuerta, G. Arestis, A. Borg Barthet, M. Ilešič och J. Klučka,
generaladvokat: P. Léger,
justitiesekreterare: förste handläggaren M. Ferreira,
efter det skriftliga förfarandet och förhandlingen den 18 oktober 2005,
och efter att den 22 november 2005 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Europaparlamentet har i mål C‑317/04 yrkat att domstolen skall ogiltigförklara rådets beslut 2004/496/EG av den 17 maj 2004 om ingående av ett avtal mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security (EUT L 183, s. 83, och rättelse EUT L 255, 2005, s. 168).
2 Parlamentet har i mål C‑318/04 yrkat att domstolen skall ogiltigförklara kommissionens beslut 2004/535/EG av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet (EUT L 235, s. 11) (nedan kallat beslutet om adekvat skydd).
Tillämpliga bestämmelser
3 I artikel 8 i Europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna undertecknad i Rom den 4 november 1950 (nedan kallad Europakonventionen) föreskrivs följande:
”1. Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.
2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.”
4 Artikel 95.1 andra meningen EG har följande lydelse:
”Rådet skall enligt förfarandet i artikel 251 och efter att ha hört Ekonomiska och sociala kommittén, besluta om åtgärder för tillnärmning av sådana bestämmelser i lagar och andra författningar i medlemsstaterna som syftar till att upprätta den inre marknaden och få den att fungera.”
5 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, s. 31), i dess lydelse enligt Europaparlamentets och rådets förordning (EG) nr 1882/2003 av den 29 september 2003 om anpassning till rådets beslut 1999/468/EG av de bestämmelser i rättsakter som omfattas av förfarandet i artikel 251 i EG‑fördraget som avser de kommittéer som biträder kommissionen när den utövar sina genomförandebefogenheter (EUT L 284, s. 1) (nedan kallat direktivet), antogs med stöd av artikel 100a i EG‑fördraget (nu artikel 95 EG i ändrad lydelse).
6 I skäl 11 i direktivet anges att ”de principer om skydd för enskilda personers fri- och rättigheter, särskilt rätten till privatlivet, som detta direktiv innehåller, utgör en precisering och en förstärkning av principerna i Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter”.
7 I skäl 13 i direktivet anges följande:
”Sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen och som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område faller inte inom tillämpningsområdet för gemenskapsrätten, dock med förbehåll för medlemsstaternas skyldigheter enligt artiklarna 56.2, 57 eller 100a i [EG‑fördraget] …”.
8 I skäl 57 i direktivet anges följande:
”Om ett tredje land inte garanterar en adekvat skyddsnivå skall överföring av personuppgifter till det landet förbjudas”.
9 I artikel 2 i direktivet föreskrivs följande:
”I detta direktiv avses med
a) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet,
b) behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,
…”
10 I artikel 3 i direktivet föreskrivs följande:
”Tillämpningsområde
1. Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2. Detta direktiv gäller inte för sådan behandling av personuppgifter
– som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område,
…”
11 I artikel 6.1 i direktivet föreskrivs följande:
”Medlemsstaterna skall föreskriva att personuppgifter
…
b) skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,
c) skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,
…
e) förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål. …”
12 I artikel 7 i direktivet föreskrivs följande:
”Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om
…
c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller
…
e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgifterna har lämnats ut, eller
f) behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1.”
13 I artikel 8.5 första stycket i direktivet föreskrivs följande:
”Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller – om lämpliga skyddsåtgärder finns i nationell lag – med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.”
14 I artikel 12 i direktivet föreskrivs följande:
”Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige
a) utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader
– få bekräftelse på om uppgifter som rör honom behandlas eller inte och information om åtminstone ändamålen med behandlingen, de berörda uppgiftskategorierna och mottagarna eller mottagarkategorierna till vilka uppgifterna utlämnas,
– få begriplig information om vilka uppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer,
– få kännedom om den logik som används när uppgifter som rör honom behandlas på automatisk väg åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1,
b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga,
c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b), om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.”
15 Artikel 13.1 i direktivet har följande lydelse:
”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,
g) skydd av den registrerades eller andras fri- och rättigheter.”
16 I artikel 22 i direktivet föreskrivs följande:
”Rättslig prövning
Medlemsstaterna skall – utan att det påverkar möjligheten att utnyttja något administrativt förfarande, till exempel vid den tillsynsmyndighet som avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en rättslig instans – föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling.”
17 Artiklarna 25 och 26 i direktivet utgör kapitel IV om överföring av personuppgifter till tredje land.
18 Artikel 25 i direktivet har rubriken ”Principer”. Där föreskrivs följande:
”1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land – utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv – säkerställer en adekvat skyddsnivå.
2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där.
3. Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2.
4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till ifrågavarande tredje land.
5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att avhjälpa den situation som uppstått när kommissionen kommit till den slutsats som anges i punkt 4.
6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som – särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – åligger landet har en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel.
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.”
19 Artikel 26.1 i direktivet har rubriken ”Undantag” och där föreskrivs följande:
”Med undantag från artikel 25 skall medlemsstaterna – om det inte finns tvingande regler om detta i deras lagstiftning – föreskriva att överföring av personuppgifter till ett tredje land som inte har en adekvat skyddsnivå i den mening som avses i artikel 25.2 får ske om
a) den registrerade otvetydigt har samtyckt till den planerade överföringen, eller
b) överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att på den registrerades begäran genomföra åtgärder som vidtas innan avtalet ingås, eller
c) överföringen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerade, eller
d) överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk, eller
e) överföringen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerade, eller
f) överföringen görs från ett offentligt register som enligt lagar eller andra författningar är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.”
20 Kommissionen antog beslutet om adekvat skydd med stöd av direktivet, särskilt dess artikel 25.6.
21 I skäl 11 i detta beslut anges följande:
”När CBP [United States Bureau of Customs and Border Protection (Förenta staternas tull- och gränsskyddsmyndighet)] mottar PNR [’Passenger Name Records’ (passagerarregister)] behandlar den flygpassagerarnas personuppgifter i enlighet med villkoren i den åtagandeförklaring som myndigheten avgav den 11 maj 2004 (Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection, nedan kalla[d] ’åtagandeförklaringen’) samt den nationella amerikanska lagstiftning som nämns i åtagandeförklaringen.”
22 Enligt skäl 15 i beslutet skall PNR-uppgifterna endast användas i syfte att förebygga och bekämpa terrorism och därmed relaterad kriminalitet samt andra allvarliga brott, inklusive organiserad brottslighet, som till sin karaktär är gränsöverskridande, och flykt från ett anhållnings- eller häktningsbeslut för dessa brott.
23 I artiklarna 1–4 i beslutet om adekvat skydd föreskrivs följande:
”Artikel 1
För tillämpningen av artikel 25.2 i direktiv 95/46/EG skall … CBP … anses säkerställa en adekvat skyddsnivå för PNR-uppgifter avseende flyg till och från Förenta staterna som överförs från gemenskapen i överensstämmelse med åtagandeförklaringen i bilagan.
Artikel 2
Detta beslut avser den skyddsnivå som CBP erbjuder i syfte att uppfylla kraven i artikel 25.1 i direktiv 95/46/EG och skall inte påverka andra villkor eller begränsningar varigenom andra bestämmelser i direktivet genomförs med avseende på behandlingen av personuppgifter i medlemsstaterna.
Artikel 3
1. Behöriga myndigheter i medlemsstaterna får, utan att det påverkar deras befogenheter att vidta åtgärder för att säkerställa efterlevnaden av nationella bestämmelser som antagits enligt andra bestämmelser än artikel 25 i direktiv 95/46/EG, utöva sina befintliga befogenheter för att tills vidare avbryta uppgiftsöverföringar till CBP i syfte att skydda enskilda med avseende på behandlingen av deras personuppgifter i följande fall:
a) om en behörig amerikansk myndighet fastställt att CBP bryter mot tillämpliga skyddsregler,
b) om sannolikheten är stor att skyddsreglerna i bilagan inte efterlevs, om det finns rimliga skäl att anta att CBP inte vidtar eller inte kommer att vidta adekvata åtgärder i tid för att lösa ärendet, om fortsatt överföring skulle innebära en överhängande risk för att de registrerade lider allvarlig skada och de behöriga myndigheterna i medlemsstaten under dessa omständigheter har vidtagit rimliga åtgärder för att underrätta CBP och gett den tillfälle att yttra sig.
2. Avbrottet skall upphöra så snart det är fastställt att skyddsreglerna följs och de behöriga myndigheterna i medlemsstaterna har underrättats om detta.
Artikel 4
1. Medlemsstaterna skall utan dröjsmål underrätta kommissionen om åtgärder som vidtagits med stöd av artikel 3.
2. Medlemsstaterna och kommissionen skall underrätta varandra om varje förändring av skyddsreglerna och om fall där de åtgärder som vidtas av organ som ansvarar för att CBP följer skyddsreglerna i bilagan inte leder till att dessa regler efterlevs.
3. Om den information som inhämtats enligt artikel 3 och punkterna 1 och 2 i denna artikel visar att nödvändiga grundprinciper för att säkerställa en adekvat skyddsnivå för fysiska personer inte längre efterlevs, eller att ett organ som ansvarar för att CBP följer skyddsreglerna i bilagan inte fullgör denna uppgift på ett verkningsfullt sätt, skall CBP underrättas om detta och vid behov skall det förfarande som anges i artikel 31.2 i direktiv 95/46/EG tillämpas i syfte att tills vidare eller slutgiltigt upphäva detta beslut.”
24 I ”den åtagandeförklaring som [avgetts av CBP]” och som bifogats beslutet om adekvat skydd anges följande:
”Eftersom Europeiska kommissionen … har för avsikt att utöva de befogenheter som den tilldelats genom artikel 25.6 i direktiv 95/46/E[G] … och att anta ett beslut i vilket den konstaterar att [CBP] kan garantera adekvat dataskydd i samband med överföring [från flygbolagen] av [PNR-uppgifter] som kan omfattas av direktivet, åtar sig CBP följande …”
25 Dessa åtaganden omfattar 48 punkter, som är indelade i följande rubriker: ”Rättslig behörighet att inhämta PNR-uppgifter”, ”CBP:s användning av PNR-uppgifterna”, ”Uppgiftskrav”, ”Behandling av ’känsliga’ uppgifter”, ”Metod för att få tillgång till PNR-uppgifter”, ”Lagring av PNR-uppgifter”, ”Datasäkerhetssystem för CBP:s uppgifter”, ”CBP:s behandling och skydd av PNR-uppgifter”, ”Överföring av PNR-uppgifter till andra statliga myndigheter”, ”Information till de PNR-registrerade, deras tillgång till uppgifterna och möjligheter att överklaga”, ”Tillämpning”, ”Ömsesidighet”, ”Översyn och upphörande av åtagandeförklaringen” och ”Ingen grund för personliga rättigheter eller prejudikat”.
26 Bland dessa åtaganden kan särskilt nämnas följande:
”1. Alla lufttrafikföretag som bedriver passagerartrafik till och från Förenta staterna skall enligt gällande lag (title 49, United States Code, section 44909(c)(3)) och tillämpningsföreskrifterna (interimsbestämmelser) (title 19, Code of Federal Regulations, section 122.49b), ge CBP … elektronisk tillgång till de PNR-uppgifter som finns i lufttrafikföretagens automatiska boknings- och avgångskontrollsystem (bokningssystem).
…
3. CBP använder endast PNR-uppgifterna för att förebygga och bekämpa 1) terrorism och terrorrelaterad kriminalitet, 2) andra allvarliga brott, inklusive organiserad gränsöverskridande brottslighet och 3) flykt från ett anhållnings- eller häktningsbeslut för ett av ovanstående brott. Genom att använda PNR-uppgifterna för dessa ändamål kan CBP koncentrera sina resurser till högriskområden och på så sätt främja och upprätthålla [legitimt resande].
4. De uppgifter som CBP kräver framgår av [bilaga] A …
…
27. CBP kommer, i samband med varje förvaltningsrättslig[t förfarande eller domstolsprocess] som följer av en [ansökan enligt Freedom of Information Act (lagen om informationsfrihet)] om utlämnande av PNR-uppgifter som inhämtats från flygbolag, att hänvisa till att sådana register är undantagna från kravet på offentliggörande i enlighet med [nämnda lag].
…
29. CBP kommer enligt sina befogenheter endast att lämna ut PNR-uppgifter till andra statliga myndigheter, även utländska, som sysslar med kontraterrorism eller brottsbekämpning från fall till fall, för att förebygga och bekämpa de brott som definierades i punkt 3. (Myndigheter som CBP kan dela sådan[a] uppgifter med skall hädanefter kallas ’utsedda myndigheter’.)
30. CBP kommer att utöva sina befogenheter med omdöme vid överföring av PNR-uppgifter för angivna ändamål. CBP kommer först att fastställa om skälet för att lämna ut PNR-uppgifter till en annan utsedd myndighet överensstämmer med det angivna ändamålet (se punkt 29). Om så är fallet kommer CBP att fastställa om denna utsedda myndighet är kapabel att förebygga, undersöka eller beivra överträdelser av en lag eller föreskrift som gäller detta ändamål eller upprätthålla eller genomföra sådana lagar och föreskrifter, när CBP konstaterat att det föreligger eller kan föreligga en överträdelse av lagen. Fördelarna med utlämnandet måste bedömas mot bakgrund av alla de omständigheter som lagts fram.
…
35. Denna åtagandeförklaring innehåller inga bestämmelser som hindrar användningen eller utlämnandet av PNR-uppgifter i samband med straffrättsliga förfaranden eller för att uppfylla de villkor som krävs i lag. CBP kommer att underrätta kommissionen om det i Förenta staterna antas någon lag som påverkar innehållet i denna åtagandeförklaring.
…
46. Dessa åtaganden skall gälla under en period om tre år och sex månader (3,5 år), från det datum då ett avtal träder i kraft mellan Förenta staterna och Europeiska gemenskapen, som tillåter att flygbolagen bearbetar PNR-uppgifter för att sedan överföra dessa uppgifter till CBP, i enlighet med direktivet. …
47. Denna åtagandeförklaring utgör inte grund för några fördelar eller rättigheter för privata eller offentliga personer eller parter.
…”
27 Bilaga A till åtagandeförklaringen innehåller de PNR-fält som CBP kräver från flygbolagen. Bland dessa fält kan särskilt nämnas ”PNR-postens lokaliseringskod”, bokningsdatum, namn, adress, betalningsinformation, telefonnummer, resebyrå, passagerarens ”resestatus” (”travel status of passenger”), e-postadress, allmänna kommentarer, stolsnummer, passagerare som tidigare inte har checkat in (no show) och eventuella APIS-uppgifter.
28 Rådet antog beslut 2004/496 särskilt med stöd av artikel 95 EG jämförd med artikel 300.2 första stycket första meningen EG.
29 I de tre skälen i detta beslut anges följande:
”(1) Den 23 februari 2004 bemyndigade rådet kommissionen att på gemenskapens vägnar förhandla om ett avtal med Förenta staterna om lufttrafikföretags behandling och överföring av passageraruppgifter till [CBP].
(2) Europaparlamentet har inte avgivit ett yttrande inom den tid som rådet fastställt i enlighet med artikel 300.3 första stycket i fördraget och det är synnerligen brådskande att åtgärda den situation av osäkerhet som lufttrafikföretag och passagerare befinner sig i samt skydda de berördas finansiella intressen.
(3) Detta avtal bör godkännas.”
30 I artikel 1 i beslut 2004/496 föreskrivs följande:
”Avtalet mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till [CBP] godkänns härmed på gemenskapens vägnar.
Texten till avtalet åtföljer detta beslut.”
31 Avtalet har följande lydelse:
”Europeiska gemenskapen och Amerikas förenta stater,
som erkänner vikten av att grundläggande fri- och rättigheter respekteras, särskilt privatlivets helgd, och vikten av att dessa värden respekteras i samband med förebyggandet och bekämpandet av terrorism och därmed närstående brottslighet och annan allvarlig brottslighet av överstatlig karaktär, däribland organiserad brottslighet,
som beaktar de amerikanska lagar och förordningar enligt vilka alla lufttrafikföretag som bedriver passagerartrafik till och från Förenta staterna skall ge [CBP] elektronisk tillgång till [PNR-uppgifter] i den mån sådana samlas in och förvaras i lufttrafikföretagens automatiserade boknings- och avgångskontrollsystem,
som beaktar direktiv 95/46/EG …, särskilt artikel 7 c i detta,
som beaktar CBP:s åtagandeförklaring av den 11 maj 2004, som kommer att offentliggöras i Federal Register …,
som beaktar kommissionens beslut 2004/535/EG av den 14 maj 2004, som antagits i enlighet med artikel 25.6 i direktiv 95/46/EG, enligt vilket CBP anses ge en adekvat skyddsnivå för sådana PNR-uppgifter om flyg till eller från USA som överförts från Europeiska gemenskapen … i enlighet med åtagandeförklaringen, som åtföljer beslutet …,
som konstaterar att lufttrafikföretag med boknings- och avgångskontrollsystem belägna i en medlemsstat i Europeiska gemenskapen bör se till att PNR-uppgifter överförs till CBP så snart detta är tekniskt möjligt och att de amerikanska myndigheterna fram till dess bör ges direkt tillgång till uppgifterna i enlighet med bestämmelserna i detta avtal,
…
har enats om följande:
1. CBP skall ha elektronisk tillgång till PNR-uppgifter från lufttrafikföretags boknings- och avgångskontrollsystem … belägna på Europeiska gemenskapens medlemsstaters territorium i strikt överensstämmelse med bestämmelserna i beslutet [om adekvat skydd] så länge som det tillämpas, men bara tills ett tillfredsställande system har inrättats som möjliggör för lufttrafikföretagen att föra över sådana uppgifter.
[På engelska har denna punkt följande lydelse: ”CBP may electronically access the PNR data from air carriers' reservation/departure control systems (’reservation systems’) located within the territory of the Member States of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.”]
2. Lufttrafikföretag som bedriver utrikes passagerartrafik till och från Förenta staterna skall [behandla] PNR-uppgifter som bevaras i deras elektroniska bokningssystem [i enlighet med] CBP:s begäran i enlighet med amerikansk lagstiftning och i strikt överensstämmelse med bestämmelserna i beslutet [om adekvat skydd] så länge som det tillämpas.
3. CBP noterar beslutet [om adekvat skydd] och förklarar att det tillämpar den åtagandeförklaring som bifogats [beslutet].
4. CBP skall behandla de PNR-uppgifter som den tar emot och de registrerade personer som berörs av denna behandling i enlighet med gällande amerikansk lagstiftning och konstitutionella krav och utan olaga diskriminering, framför allt grundad på nationalitet eller land där personen är bosatt.
…
7. Detta avtal träder i kraft vid undertecknandet. Varje part får säga upp detta avtal när som helst genom anmälan på diplomatisk väg. Uppsägelsen skall träda i kraft nittio (90) dagar efter dagen för en sådan anmälan till den andra parten. Detta avtal kan när som helst ändras genom skriftlig överenskommelse mellan parterna.
8. Detta avtal innebär varken undantag från eller ändring av parternas lagstiftning; avtalet utgör ej heller grund för några fördelar eller rättigheter för några andra privata eller offentliga personer eller enheter.”
32 Enligt information från rådet om datumet för avtalets ikraftträdande (EUT C 158, 2004, s.1) trädde avtalet, i enlighet med dess punkt 7, i kraft den 28 maj 2004, då det undertecknades i Washington av en företrädare för rådets dåvarande ordförandeskap och av Förenta staternas minister för inrikes säkerhet.
Bakgrund till målen
33 Efter terroristattackerna den 11 september 2001 antog Förenta staterna i november samma år lagstiftning med bestämmelser om att lufttrafikföretag med trafik till, från eller över Förenta staternas territorium är skyldiga att ge Förenta staternas tullmyndigheter elektronisk tillgång till de uppgifter som samlas in och lagras i lufttrafikföretagens automatiska system för bokning och kontroll vid avgångar (PNR-uppgifter). Kommissionen upplyste redan i juni 2002, utan att ifrågasätta legitimiteten i de föreliggande säkerhetsintressena, Förenta staternas myndigheter om att dessa bestämmelser kunde strida mot gemenskapsrättens och medlemsstaternas bestämmelser om skydd för personuppgifter samt mot vissa bestämmelser i rådets förordning (EEG) nr 2299/89 av den 24 juli 1989 om en uppförandekod för datoriserade bokningssystem (EGT L 220, s. 1; svensk specialutgåva, område 7, volym 3, s. 174 ), i dess lydelse enligt rådets förordning (EG) nr 323/1999 av den 8 februari 1999 (EGT L 40, s. 1). Förenta staternas myndigheter senarelade ikraftträdandet av de nya bestämmelserna, men beslutade slutligen att utfärda sanktioner mot de lufttrafikföretag som inte uppfyllde dessa bestämmelser efter den 5 mars 2003. Efter den tidpunkten har ett flertal stora lufttrafikföretag i Europeiska unionen gett nämnda myndigheter tillgång till sina PNR-uppgifter.
34 Kommissionen inledde förhandlingar med Förenta staternas myndigheter, som ledde fram till ett dokument innehållande CBP:s åtaganden, för att kommissionen skulle kunna anta ett beslut om adekvat skydd med stöd av artikel 25.6 i direktivet.
35 Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (inrättad genom artikel 29 i direktivet) lämnade den 13 juni 2003 ett yttrande, i vilket den uttryckte tvivel avseende nivån på det skydd för personuppgifter som skulle säkerställas genom åtagandena beträffande den tilltänkta behandlingen. Den upprepade dessa tvivel i ett yttrande av den 29 januari 2004.
36 Kommissionen lämnade den 1 mars 2004 ett förslag till beslut om adekvat skydd enligt artikel 25.6 i direktivet till Europaparlamentet, tillsammans med förslaget till CBP:s åtaganden.
37 Kommissionen lämnade den 17 mars 2004 till Europaparlamentet, i syfte att höra denna institution enligt artikel 300.3 första stycket EG, ett förslag till rådets beslut om ingående av ett avtal med Förenta staterna. Rådet begärde, med hänvisning till det brådskande förfarandet, i skrivelse av den 25 mars 2004 att parlamentet skulle yttra sig över detta förslag senast den 22 april 2004. I sin skrivelse underströk rådet att ”kampen mot terrorismen, vilken rättfärdigar de föreslagna åtgärderna, har högsta prioritet för Europeiska unionen”, att ”[l]ufttrafikföretagen och passagerarna [för närvarande] befinner sig i en situation av osäkerhet, vilken bör åtgärdas skyndsamt” och att ”[d]et dessutom [är] nödvändigt att skydda berörda parters ekonomiska intressen”.
38 Parlamentet antog den 31 mars 2004, med tillämpning av artikel 8 i rådets beslut 1999/468/EG av den 28 juni 1999 om de förfaranden som skall tillämpas vid utövandet av kommissionens genomförandebefogenheter (EGT L 184, s. 23), en resolution i vilken det angavs en rad rättsliga reservationer angående nämnda förslag. I synnerhet ansåg parlamentet att förslaget till beslut om adekvat skydd gick utöver de befogenheter som kommissionen erhållit genom artikel 25 i direktivet. Parlamentet begärde att ett anpassat folkrättsligt avtal skulle ingås som tillgodosåg grundläggande rättigheter på ett antal detaljerade punkter i resolutionen, och begärde att kommissionen skulle lämna ett nytt förslag till beslut till parlamentet. Parlamentet förbehöll sig vidare rätten att väcka talan vid domstolen för att få till stånd en laglighetsprövning av det tilltänkta avtalet, och i synnerhet dess förenlighet med skyddet för privatlivet.
39 Parlamentet beslutade den 21 april 2004 på begäran av sin ordförande att godta en rekommendation från utskottet för rättsliga frågor och den inre marknaden, att enligt artikel 300.6 EG inhämta domstolens yttrande om huruvida det tilltänkta avtalet var förenligt med bestämmelserna i fördraget. Förfarandet inleddes samma dag som beslutet fattades.
40 Parlamentet beslutade samma dag att återförvisa förslaget till rådets beslut till ansvarigt utskott, vilket underförstått innebar ett avslag i detta skede på rådets begäran om skyndsam handläggning av den 25 mars 2004.
41 Rådet lämnade den 28 april 2004, med hänvisning till artikel 300.3 första stycket EG, en skrivelse till parlamentet i vilken det begärde att parlamentet skulle yttra sig angående förslaget till beslut om ingående av avtalet före den 5 maj 2004. Rådet upprepade de skäl för skyndsam handläggning som det angett i sin skrivelse av den 25 mars 2004.
42 Parlamentet konstaterade att det alltjämt saknades vissa språkversioner av förslaget till rådets beslut och avslog därför den 4 maj 2004 rådets begäran av den 28 april om skyndsam handläggning av detta förslag.
43 Kommissionen antog den 14 maj 2004 beslutet om adekvat skydd, som är föremål för talan i mål C‑318/04. Rådet antog den 17 maj 2004 beslut 2004/496, som är föremål för talan i mål C‑317/04.
44 Rådets dåvarande ordförandeskap informerade i skrivelse av den 4 juni 2004 parlamentet om att det i beslut 2004/496 togs hänsyn till kampen mot terrorismen – som är en prioritet för unionen – men också till behovet av att undanröja en rättsosäker situation för flygbolagen samt till flygbolagens ekonomiska intressen.
45 Parlamentet informerade i skrivelse av den 9 juli 2004 domstolen om att det återkallade sin begäran om yttrande, som hade registrerats med nummer 1/04.
46 I mål C‑317/04 har kommissionen och Förenade konungariket Storbritannien och Nordirland tillåtits att intervenera till stöd för rådets yrkanden, genom beslut av domstolens ordförande av den 18 november 2004 respektive av den 18 januari 2005.
47 I mål C‑318/04 har Förenade kungariket tillåtits att intervenera till stöd för kommissionens yrkanden, genom beslut av domstolens ordförande av den 17 december 2004.
48 Europeiska datatillsynsmannen har tillåtits att intervenera i båda dessa mål till stöd för parlamentets yrkanden, genom beslut av domstolens ordförande av den 17 mars 2005.
49 Med hänsyn till sambandet mellan dessa två mål, vilket bekräftades under det muntliga förfarandet, skall de med stöd av artikel 43 i rättegångsreglerna förenas vad gäller domen.
Talan i mål C‑318/04
50 Parlamentet har åberopat följande fyra grunder till stöd för sin talan: Maktmissbruk, åsidosättande av de väsentliga principerna i direktivet, åsidosättande av grundläggande rättigheter och åsidosättande av proportionalitetsprincipen.
Den första delen av den första grunden: Åsidosättande av artikel 3.2 första strecksatsen i direktivet
Parternas argument
51 Parlamentet har gjort gällande att kommissionens beslut antogs utanför det lagliga kompetensområdet, eftersom bestämmelserna i direktivet inte iakttogs. I synnerhet strider beslutet mot artikel 3.2 första strecksatsen i direktivet rörande undantag för verksamhet som inte omfattas av gemenskapsrätten.
52 Det råder inget tvivel om att behandlingen av PNR-uppgifter efter överföringen till den amerikanska myndighet som avses i beslutet om adekvat skydd sker, och kommer att ske, för att utöva specifikt statlig verksamhet i den mening som avses i punkt 43 i dom av den 6 november 2003 i mål C‑101/01, Lindqvist (REG 2003, s. I‑12971).
53 Kommissionen har med stöd av Förenade kungariket anfört att lufttrafikföretagens verksamhet helt klart omfattas av gemenskapsrättens tillämpningsområde. Enligt kommissionen behandlar dessa privata operatörer PNR-uppgifterna inom gemenskapen och sköter överföringen av dem till ett tredjeland. Det rör sig således om enskildas verksamhet och inte om verksamhet som utförs av den medlemsstat i vilken de berörda lufttrafikföretagen verkar eller av myndigheter i denna stat, såsom domstolen har definierat detta begrepp i punkt 43 i domen i det ovannämnda målet Lindqvist. Lufttrafikföretagens syfte med behandlingen av PNR-uppgifter är endast att iaktta gemenskapsrättens krav, däribland skyldigheten enligt punkt 2 i avtalet. I artikel 3.2 i direktivet hänvisas till myndigheters verksamheter, vilka faller utanför gemenskapsrättens tillämpningsområde.
Domstolens bedömning
54 Enligt artikel 3.2 första strecksatsen i direktivet omfattar direktivet inte sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandling som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.
55 Beslutet om adekvat skydd rör endast PNR-uppgifter som överförs till CBP. Det framgår av skäl 6 i detta beslut att kraven på denna överföring grundar sig på en lag som antogs av Förenta staterna i november 2001 och de tillämpningsföreskrifter som CBP har antagit med stöd av denna lag. Enligt skäl 7 i beslutet syftar den aktuella amerikanska lagstiftningen till att öka säkerheten och skärpa villkoren för in- och utresa i landet. Enligt skäl 8 stöder gemenskapen fullständigt Förenta staternas kamp mot terrorism inom de ramar som fastställs i gemenskapsrätten. I skäl 15 i beslutet anges att PNR-uppgifterna endast skall användas i syfte att förebygga och bekämpa terrorism och därmed relaterad kriminalitet samt andra allvarliga brott, inklusive organiserad brottslighet, av gränsöverskridande beskaffenhet, och flykt från ett anhållnings- eller häktningsbeslut för dessa brott.
56 Härav följer att överföringen av PNR-uppgifter till CBP utgör en behandling som rör allmän säkerhet och statens verksamhet på straffrättens område.
57 Det är visserligen riktigt att PNR-uppgifterna initialt insamlas av lufttrafikföretagen inom ramen för en verksamhet som omfattas av gemenskapsrätten, det vill säga försäljning av en flygbiljett som ger rätt till en tjänst. Den uppgiftsbehandling som avses i beslutet om adekvat skydd är emellertid av en helt annan art. Som anförts ovan i punkt 55 i denna dom rör detta beslut nämligen inte en uppgiftsbehandling som är nödvändig för tillhandahållandet av en tjänst, utan en behandling som anses vara nödvändig för att säkerställa allmän säkerhet och för att tillgodose repressiva syften.
58 I punkt 43 i domen i det ovannämnda målet Lindqvist, som kommissionen har åberopat i sitt svaromål, fastställde domstolen att den verksamhet som nämns som exempel i artikel 3.2 första strecksatsen i direktivet i samtliga fall är statens eller statliga myndigheters specifika verksamhet och inte omfattas av enskildas verksamhetsområden. Härav följer emellertid inte att den aktuella överföringen – på grund av att PNR-uppgifterna har samlats in av privata operatörer för kommersiella syften och att det är dessa operatörer som sköter överföringen av uppgifterna till en tredje stat – faller utanför denna bestämmelses tillämpningsområde. Denna överföring sker nämligen inom en ram som inrättats av statsmakterna och som avser allmän säkerhet.
59 Av det ovan anförda följer att beslutet om adekvat skydd rör sådan behandling av personuppgifter som avses i artikel 3.2 första strecksatsen i direktivet. Detta beslut omfattas således inte av direktivets tillämpningsområde.
60 Talan skall därför bifallas på den första delen av den första grunden, nämligen att artikel 3.2 första strecksatsen i direktivet har åsidosatts.
61 Beslutet om adekvat skydd skall följaktligen ogiltigförklaras utan att det är nödvändigt att pröva de andra delarna av den första grunden eller de övriga grunder som parlamentet har åberopat.
Talan i mål C‑317/04
62 Parlamentet har åberopat sex grunder till stöd för sin talan. De avser att artikel 95 EG felaktigt valts som rättslig grund för beslut 2004/496 och att artikel 300.3 andra stycket EG, artikel 8 i Europakonventionen, proportionalitetsprincipen, motiveringsskyldigheten och principen om lojalt samarbete har åsidosatts.
Den första grunden: Felaktigt val av artikel 95 EG som rättslig grund för beslut 2004/496
Parternas argument
63 Parlamentet har gjort gällande att artikel 95 EG inte är en korrekt rättslig grund för beslut 2004/496. Beslutet har inte till syfte eller verkan att upprätta den inre marknaden och få den att fungera genom att bidra till att undanröja hinder för friheten att tillhandahålla tjänster och det innehåller inte bestämmelser som syftar till att uppnå detta. Syftet med rådets beslut är nämligen att legalisera den personuppgiftsbehandling som föreskrivs i Förenta staternas lagstiftning. Artikel 95 EG kan dessutom inte utgöra grund för gemenskapens behörighet att ingå avtalet, eftersom det syftar till sådan uppgiftsbehandling som är undantagen från direktivets tillämpningsområde.
64 Rådet har anfört att direktivet, som rättsenligt antogs med stöd av artikel 100a i fördraget, i artikel 25 innehåller bestämmelser om att personuppgifter får överföras till en tredje stat som garanterar en adekvat skyddsnivå, vilket innefattar möjligheten att vid behov inleda förhandlingar som leder till att gemenskapen ingår ett avtal med en sådan stat. Det nu aktuella avtalet rör det fria flödet av PNR-uppgifter mellan gemenskapen och Förenta staterna på villkor som inte strider mot människors grundläggande fri- och rättigheter, särskilt rätten till privatliv. Avtalet syftar till att undanröja varje snedvridning av konkurrensen mellan lufttrafikföretagen i medlemsstaterna och mellan dessa företag och lufttrafikföretagen i tredjeland som kan uppkomma till följd av Förenta staternas krav, av skäl som rör skyddet för människors fri- och rättigheter. Konkurrensvillkoren mellan de företag i medlemsstaterna som tillhandahåller internationella passagerartransporttjänster till eller från Förenta staterna skulle ha kunnat snedvridas ifall bara vissa av dessa företag hade gett Förenta staternas myndigheter tillgång till sina databaser. Avtalet syftar till att ålägga alla berörda företag harmoniserade skyldigheter.
65 Kommissionen har påpekat att det föreligger en ”lagkonflikt”, i folkrättslig mening, mellan Förenta staternas lagar och de gemenskapsrättsliga bestämmelserna och att det är nödvändigt att jämka samman dessa. Kommissionen har kritiserat parlamentet, som har bestritt att artikel 95 EG kan utgöra den rättsliga grunden för beslut 2004/496, för att inte ha föreslagit någon lämplig rättslig grund. Enligt kommissionen är artikel 95 EG den ”naturliga rättsliga grunden” för beslutet, eftersom avtalet rör den externa dimensionen av skyddet för personuppgifter vid överföring av dessa inom gemenskapen. Artiklarna 25 och 26 i direktivet innebär att gemenskapen ges en exklusiv extern behörighet.
66 Kommissionen har dessutom gjort gällande att den inledande personuppgiftsbehandlingen, som lufttrafikföretagen utför, sker i kommersiellt syfte. Användningen av dessa uppgifter hos Förenta staternas myndigheter medför inte att de faller utanför direktivets tillämpningsområde.
Domstolens bedömning
67 Artikel 95 EG, jämförd med artikel 25 i direktivet, ger inte gemenskapen behörighet att ingå avtalet.
68 Avtalet avser nämligen samma överföring av uppgifter som beslutet om adekvat skydd och avser således sådan uppgiftsbehandling som är undantagen från direktivets tillämpningsområde, såsom anförts ovan.
69 Härav följer att beslut 2004/496 inte rättsenligt kunde antas med stöd av artikel 95 EG.
70 Detta beslut skall följaktligen ogiltigförklaras utan att det är nödvändigt att pröva de övriga grunder som parlamentet har åberopat.
Begränsning av domens rättsverkningar
71 Det framgår av punkt 7 i avtalet att vardera parten kan säga upp avtalet när som helst och att det upphör att gälla 90 dagar efter det att den part som säger upp avtalet underrättat motparten härom.
72 Enligt punkterna 1 och 2 i avtalet har emellertid CBP en rätt att få tillgång till PNR-uppgifterna och lufttrafikföretagen en skyldighet att behandla dem i enlighet med CBP:s begäran endast så länge som beslutet om adekvat skydd är tillämpligt. I punkt 3 i avtalet förklarar CBP att den skall fullgöra åtagandena i bilagan till detta beslut.
73 Med hänsyn dels till att gemenskapen inte kan åberopa gemenskapsrätten som skäl för att underlåta att genomföra avtalet, som fortsätter att vara tillämpligt under 90 dagar räknat från uppsägningsdagen, dels till det nära sambandet mellan avtalet och beslutet om adekvat skydd, framstår det som motiverat av rättssäkerhetsskäl och för att skydda berörda personer att låta verkningarna av beslutet om adekvat skydd kvarstå under denna tidsperiod. Det måste dessutom tas hänsyn till den tid som behövs för att vidta de åtgärder som är nödvändiga för att följa förevarande dom.
74 Verkningarna av beslutet om adekvat skydd skall således kvarstå fram till den 30 september 2006, dock längst till dess att avtalet har upphört att gälla.
Rättegångskostnader
75 Enligt artikel 69.2 i rättegångsreglerna skall tappande part förpliktas att ersätta rättegångskostnaderna, om detta har yrkats. Parlamentet har yrkat att rådet och kommissionen skall förpliktas att ersätta rättegångskostnaderna. Eftersom rådet och kommissionen har tappat målet skall de ersätta rättegångskostnaderna. Enligt artikel 69.4 första stycket i rättegångsreglerna skall intervenienterna i de förevarande målen bära sina rättegångskostnader.
Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:
1) Rådets beslut 2004/496/EG av den 17 maj 2004 om ingående av ett avtal mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security och kommissionens beslut 2004/535/EG av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet ogiltigförklaras.
2) Verkningarna av beslut 2004/535 skall kvarstå fram till den 30 september 2006, dock längst till dess att avtalet har upphört att gälla.
3) Europeiska unionens råd skall ersätta rättegångskostnaderna i mål C‑317/04.
4) Europeiska gemenskapernas kommission skall ersätta rättegångskostnaderna i mål C‑318/04.
5) Europeiska gemenskapernas kommission skall bära sin rättegångskostnad i mål C‑317/04.
6) Förenade konungariket Storbritannien och Nordirland samt Europeiska datatillsynsmannen skall bära sina rättegångskostnader.
Underskrifter