Language of document : ECLI:EU:C:2006:346

EUROOPA KOHTU OTSUS (suurkoda)

30. mai 2006(*)

Füüsiliste isikute kaitse seoses isikuandmete töötlemisega – Õhutransport – Otsus 2004/496/EÜ – Euroopa Ühenduse ja Ameerika Ühendriikide vaheline leping – Ameerika Ühendriikide Tolli‑ ja Piirivalvebüroole edastatavad lennureisijate reisijaregistrid – Direktiiv 95/46/EÜ – Artikkel 25 – Kolmandad riigid – Otsus 2004/535/EÜ – Andmekaitse piisav tase

Liidetud kohtuasjades C‑317/04 ja C‑318/04,

mille esemeks on 27. juulil 2004 EÜ artikli 230 alusel esitatud tühistamishagid,

Euroopa Parlament, esindajad: R. Passos, N. Lorenz, H. Duintjer Tebbens ja A. Caiola, kohtudokumentide kättetoimetamise aadress Luxembourgis,

hageja,

keda toetab:

Euroopa andmekaitseinspektor (CEPD), esindajad: H. Hijmans ja V. Perez Asinari,

menetlusse astuja,

versus

Euroopa Liidu Nõukogu, esindajad: M. C. Giorgi Fort ja M. Bishop,

kostja kohtuasjas C-317/04,

keda toetab:

Euroopa Ühenduste Komisjon, esindajad: P. J. Kuijper, A. van Solinge ja C. Docksey, kohtudokumentide kättetoimetamise aadress Luxembourgis,

Suurbritannia ja Põhja-Iiri Ühendkuningriik, esindajad: M. Bethell, C. White ja T. Harris, keda abistas barrister T. Ward, kohtudokumentide kättetoimetamise aadress Luxembourgis,

menetlusse astujad,

ja

Euroopa Ühenduste Komisjon, esindajad: P. J. Kuijper, A. van Solinge, C. Docksey ja F. Benyon, kohtudokumentide kättetoimetamise aadress Luxembourgis,

kostja kohtuasjas C‑318/04,

keda toetab:

Suurbritannia ja Põhja-Iiri Ühendkuningriik, esindajad: M. Bethell, C. White ja T. Harris, keda abistas barrister T. Ward, kohtudokumentide kättetoimetamise aadress Luxembourgis,

menetlusse astuja,

EUROOPA KOHUS (suurkoda),

koosseisus: president V. Skouris, kodade esimehed P. Jann, C. W. A. Timmermans, A. Rosas ja J. Malenovský, kohtunikud N. Colneric (ettekandja), S. von Bahr, J. N. Cunha Rodrigues, R. Silva de Lapuerta, G. Arestis, A. Borg Barthet, M. Ilešič ja J. Klučka,

kohtujurist: P. Léger,

kohtusekretär: vanemametnik M. Ferreira,

arvestades kirjalikus menetluses ja 18. oktoobri 2005. aasta kohtuistungil esitatut,

olles 22. novembri 2005. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1        Euroopa Parlament taotleb kohtuasjas C‑317/04 esitatud hagiga nõukogu 17. mai 2004. aasta otsuse 2004/496/EÜ, mis käsitleb Euroopa Ühenduse ja Ameerika Ühendriikide vahelise lepingu sõlmimist lennuettevõtjate poolt reisijate isikuandmete töötlemise ja edastamise kohta Ameerika Ühendriikide Sisejulgeolekuministeeriumi Tolli‑ ja Piirivalvebüroole (ELT L 183, lk 83; parandus ELT 2005, L 255, lk 168), tühistamist.

2        Kohtuasjas C‑318/04 esitatud hagiga taotleb parlament komisjoni 14. mai 2004. aasta otsuse 2004/535/EÜ Ameerika Ühendriikide Tolli‑ ja Piirivalveametile edastatavates reisijaregistrites sisalduvate lennureisijate isikuandmete piisava kaitse kohta (ELT L 235, lk 11; edaspidi „piisava kaitse otsus”) tühistamist.

 Õiguslik raamistik

3        4. novembril 1950 Roomas allakirjutatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni (edaspidi „EIÕK”) artikkel 8 sätestab:

„1.      Igaühel on õigus sellele, et austataks tema era- ja perekonnaelu ja kodu ning korrespondentsi saladust.

2.      Võimud ei sekku selle õiguse kasutamisse muidu, kui kooskõlas seadusega ja kui see on demokraatlikus ühiskonnas vajalik riigi julgeoleku, ühiskondliku turvalisuse või riigi majandusliku heaolu huvides, korratuse või kuriteo ärahoidmiseks, tervise või kõlbluse või kaasinimeste õiguste ja vabaduste kaitseks.”

4        EÜ artikli 95 lõike 1 teine lause kõlab järgmiselt:

„Vastavalt artiklis 251 sätestatud menetlusele ning pärast konsulteerimist majandus- ja sotsiaalkomiteega võtab nõukogu liikmesriikides nii õigus‑ kui ka haldusnormide ühtlustamiseks meetmed, mille eesmärk on siseturu rajamine ja selle toimimine.”

5        Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (ELT L 281, lk 31; ELT eriväljaanne 13/15, lk 355), mida on muudetud Euroopa Parlamendi ja nõukogu 29. septembri 2003. aasta määrusega (EÜ) nr 1882/2003 EÜ asutamislepingu artiklis 251 osutatud menetlusele vastavates õigusaktides sätestatud rakendusvolituste kasutamisel komisjoni abistavaid komiteesid käsitlevate sätete kohandamise kohta nõukogu otsusega 1999/468/EÜ (EÜT L 284, lk 1; ELT eriväljaanne 01/04, lk 447) (edaspidi „direktiiv”), võeti vastu EÜ asutamislepingu artikli 100A (muudetuna EÜ artikkel 95) alusel.

6        Selle üheteistkümnendas põhjenduses on öeldud, et „käesolevas direktiivis sisalduvad üksikisikute õiguste ja vabaduste, eriti eraelu puutumatuse õiguse kaitsmise põhimõtted täpsustavad ja võimendavad põhimõtteid, mida sisaldab Euroopa Nõukogu 28. jaanuari 1981. aasta konventsioon isikuandmete automatiseeritud töötlemisel isiku kaitse kohta”.

7        Direktiivi kolmeteistkümnenda põhjenduse kohaselt:

„Euroopa Liidu lepingu V ja VI jaotises osutatud avaliku korra, riigikaitse, riigi julgeoleku ja riigi toimingutega kriminaalõiguse valdkonnas seotud tegevus ei kuulu ühenduse õiguse reguleerimisalasse, ilma et see piiraks […] asutamislepingu artikli 56 lõikest 2, artiklist 57 või artiklist 100a tulenevaid liikmesriikide kohustusi; […]”.

8        Direktiivi viiekümne seitsmendas põhjenduses on öeldud:

„[S]amas tuleb keelata isikuandmete edastamine kolmandatesse riikidesse, kus nende kaitse tase ei ole piisav”.

9        Direktiivi artikkel 2 sätestab:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

a)      isikuandmed ‑ igasugune teave tuvastatud või tuvastatava füüsilise isiku (edaspidi „andmesubjekt”) kohta. Tuvastatav isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige isikukoodi põhjal või ühe või mitme tema füüsilisele, füsioloogilisele, vaimsele, majanduslikule, kultuurilisele või sotsiaalsele identsusele omase joone põhjal;

b)      isikuandmete töötlemine (edaspidi „töötlemine”) ‑ iga isikuandmetega tehtav toiming või toimingute kogum, olenemata sellest, kas see on automatiseeritud või mitte, näiteks kogumine, salvestamine, korrastamine, säilitamine, kohandamine või muutmine, väljavõtete tegemine, päringu teostamine, kasutamine, üleandmine, levitamine või muul moel avaldamine, ühitamine või ühendamine, sulgemine, kustutamine või hävitamine;

[…]”

10      Direktiivi artikkel 3 sätestab:

„Reguleerimisala

1. Käesolevat direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda.

2. Käesolevat direktiivi ei kohaldata isikuandmete töötlemise suhtes:

–        kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas,

[…]”

11      Direktiivi artikli 6 lõige 1 sätestab:

„Liikmesriigid sätestavad selle, et:

[…]

b)      isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ega töödelda hiljem viisil, mis on vastuolus kõnealuste eesmärkidega. Täiendavat töötlemist ajaloo, statistika või teadusega seotud eesmärkidel ei peeta vastuolus olevaks tingimusel, et liikmesriigid kannavad hoolt vajalike tagatiste eest;

c)      isikuandmed on piisavad, asjakohased ega ületa selle otstarbe piire, mille tarvis neid kogutakse ja/või hiljem töödeldakse;

[…]

e)      isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik seoses andmete kogumise või hilisema töötlemise eesmärkidega. […]”

12      Direktiivi artikkel 7 sätestab:

„Liikmesriigid sätestavad, et isikuandmeid võib töödelda ainult juhul, kui:

[…]

c)      töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks

[…]

         või

e)      töötlemine on vajalik üldiste huvidega seotud ülesande täitmiseks või sellise avaliku võimu teostamiseks, mis on tehtud ülesandeks volitatud töötajale või andmeid saavale kolmandale isikule

         või

f)      töötlemine on vajalik vastutava töötleja või andmeid saava kolmanda isiku või kolmandate isikute õigustatud huvide elluviimiseks, kui selliseid huve ei kaalu üles artikli 1 lõike 1 kohaselt kaitstavate andmesubjekti põhiõiguste ja –vabadustega seotud huvid.”

13      Direktiivi artikli 8 lõike 5 esimese lõigu kohaselt:

„Õigusrikkumiste, süüdimõistvate kohtuotsuste ja turvameetmetega seotud andmeid võib töödelda ainult ametivõimude kontrolli all või juhul, kui siseriikliku õigusega on ette nähtud sobivad spetsiifilised tagatised, erandite kohaselt, mida liikmesriigid võivad lubada nimetatud tagatisi käsitlevate siseriiklike sätete põhjal. Süüdimõistvate kohtuotsuste täielikku registrit võib pidada siiski ainult ametivõimude kontrolli all.”

14      Direktiivi artikkel 12 sätestab:

„Liikmesriigid tagavad, et igal andmesubjektil on õigus nõuda vastutavalt töötlejalt:

a)      mõistliku aja tagant, ilma piiranguteta ja ilma liigsete viivituste ja kulutusteta:

–      kinnitust selle kohta, kas isikut ennast käsitlevaid andmeid töödeldakse, ja teavet vähemalt töötlemise eesmärkide, asjaomaste andmete liikide ja nende vastuvõtjate või vastuvõtjate kategooriate kohta, kellele andmed avalikustatakse,

–       arusaadaval kujul teavet töödeldavate andmete ja nende allika kohta,

–       informatsiooni isikut ennast käsitlevate andmete igasuguse automatiseeritud töötlemise loogika kohta, vähemalt artikli 15 lõikes 1 osutatud automatiseeritud otsuste puhul;

b)      võimalust vastavalt vajadusele parandada, kustutada või sulgeda need andmed, mille töötlemine ei vasta käesoleva direktiivi sätetele, eelkõige seetõttu, et andmed on ebatäielikud või ebaõiged;

c)      teatise saatmist kolmandatele isikutele, kellele andmed on avalikustatud, kõigi punkti b kohaste paranduste, kustutamiste või sulgemiste kohta, kui see ei ole võimatu või kui sellega ei kaasne ülemääraseid jõupingutusi.”

15      Direktiivi artikli 13 lõige 1 kõlab järgmiselt:

„Liikmesriigid võivad artikli 6 lõikes 1, artiklis 10, artikli 11 lõikes 1 ja artiklites 12 ja 21 sätestatud kohustuste ja õiguste ulatuse piiramiseks võtta vastu õigusakte, kui sellised piirangud on vajalikud, et kindlustada:

a)      riigi julgeolek;

b)      riigikaitse;

c)      avalik kord;

d)      kuritegude või reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutuselevõtmine;

e)      liikmesriigi või Euroopa Liidu olulised majanduslikud või rahanduslikud huvid, sealhulgas raha-, eelarve- ja maksuküsimused;

f)      jälgimine, kontrollimine ja regulatiivne funktsioon, mis on kas või ajutiselt seotud avaliku võimu teostamisega punktides c, d ja e osutatud juhtudel;

g)      andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse.”

16      Direktiivi artikkel 22 sätestab:

„Õiguskaitsevahendid

Liikmesriigid sätestavad kõigi isikute õiguse kasutada õiguskaitsevahendeid, kui on rikutud õigusi, mis neile on antud kõigi asjaomase töötlemise suhtes kohaldatavate siseriiklike õigusaktidega, ilma et see piiraks ühegi võimaliku sätestatava haldusliku kaitsevahendi kohaldamist, muu hulgas artiklis 28 osutatud järelevalveasutuse kaudu enne küsimuse suunamist kohtutele”.

17      Direktiivi artiklid 25 ja 26 moodustavad IV peatüki, mis käsitleb isikuandmete edastamist kolmandatesse riikidesse.

18      Direktiivi artikkel 25 pealkirjaga „Põhimõtted” näeb ette:

„1. Liikmesriigid sätestavad, et töödeldavate või pärast edastamist töötlemiseks kavandatud isikuandmete edastamine kolmandatesse riikidesse võib toimuda ainult juhul, kui kõnealune kolmas riik tagab andmekaitse piisava taseme, kui käesoleva direktiivi muude sätete kohaselt vastuvõetud siseriiklikest sätetest ei tulene teisiti.

2. Andmekaitse taset kolmandates riikides hinnatakse, pidades silmas kõiki andmete edastamise toimingute või andmete edastamise toimingute kogumi asjaolusid; tähelepanu pööratakse eelkõige andmete laadile, kavandatud töötlemistoimingu või töötlemistoimingute eesmärgile ja kestusele, päritoluriigile ja lõppsihtriigile, kõnealuses kolmandas riigis kehtivatele nii üldistele kui ka konkreetse sektori õigusnormidele ja kõnealuses riigis järgitavatele ametieeskirjadele ja turvameetmetele.

3. Liikmesriigid ja komisjon teatavad üksteisele juhtudest, mille puhul nad leiavad, et kolmas riik ei taga kaitse piisavat taset lõike 2 tähenduses.

4. Kui komisjon artikli 31 lõikes 2 ettenähtud korras leiab, et kolmas riik ei taga kaitse piisavat taset käesoleva artikli lõike 2 tähenduses, võtavad liikmesriigid vajalikke meetmeid tagamaks, et sama liiki andmeid kõnealusesse kolmandasse riiki ei edastata.

5. Sobival ajal alustab komisjon läbirääkimisi, et parandada olukorda, mis tekkis lõike 4 kohaselt tehtud avastuse tõttu.

6. Komisjon võib leida artikli 31 lõikes 2 sätestatud korras, et kolmas riik tagab kaitse piisava taseme käesoleva artikli lõike 2 tähenduses oma siseriikliku õigusega või endale võetud rahvusvaheliste kohustustega, mis tulenevad eelkõige lõikes 5 osutatud läbirääkimistest, et kaitsta eraelu puutumatust ja üksikisikute põhivabadusi ja -õigusi.

Liikmesriigid võtavad komisjoni otsuse järgimiseks vajalikke meetmeid.”

19      Direktiivi artikli 26 – pealkirjaga „Erandid” – lõike 1 kohaselt:

„Erandina artiklist 25, ja kui konkreetsete juhtude suhtes ei ole siseriiklike õigusaktidega ette nähtud teisiti, sätestavad liikmesriigid, et isikuandmete edastamine või edastamiste kogum kolmandasse riiki, mis ei taga piisavat kaitset artikli 25 lõike 2 tähenduses, võib toimuda tingimusel, et:

a)      andmesubjekt on andmete kavandatud edastamiseks andnud oma ühemõttelise nõusoleku

või

b)      edastamine on vajalik andmesubjekti ja vastutava töötleja vahelise lepingu täitmiseks või andmesubjekti taotlusel võetud lepingueelsete meetmete rakendamiseks

või

c)      edastamine on vajalik andmesubjekti huvides vastutava töötaja ja kolmanda isiku vahel sõlmitud lepingu sõlmimiseks või täitmiseks

või

d)      edastamine on vajalik või seaduse kohaselt nõutav üldiste huvidega seotud olulistel põhjustel või õigusnõuete koostamiseks, esitamiseks või kaitsmiseks

või

e)      edastamine on vajalik andmesubjekti eluliste huvide kaitsmiseks

või

f)      edastatavad andmed on pärit registrist, mis õigusnormide kohaselt on mõeldud avalikkuse teavitamiseks ja on tutvumiseks avatud laiemale avalikkusele või kõigile õigustatud huvidega isikutele, kuivõrd konkreetsel juhul täidetakse tingimusi, mis õigusaktidega on tutvumiseks ette nähtud.”

20      Euroopa Ühenduste Komisjon võttis direktiivi, täpsemalt selle artikli 25 lõike 6 alusel vastu piisava kaitse otsuse.

21      Otsuse üheteistkümnendas põhjenduses on öeldud:

„Lennureisijate reisijaregistrites [PNR, „Passenger Name Records”] sisalduvate CBPle [Ameerika Ühendriikide Tolli‑ ja Piirivalveamet] edastatud isikuandmete töötlemist […] reguleerivad sisejulgeoleku ministeeriumi tolli‑ ja piirivalveameti 11. mai 2004. aasta kohustused (Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection (CBP) of 11 May 2004 ) (edaspidi „kohustused”) ning USA siseriiklikud õigusaktid kohustustes osutatud ulatuses.”

22      Sama otsuse viieteistkümnenda põhjenduse kohaselt kasutatakse PNR-andmeid eelkõige üksnes järgmiste nähtuste ennetamiseks ja nende vastu võitlemiseks: terrorism ja sellega seotud kuriteod; muud rasked kuriteod, sealhulgas organiseeritud kuritegevus, millel on rahvusvaheline mõõde; ning selliste kuritegude puhul vahistamisel või kinnipidamiskohast põgenemine.

23      Piisava kaitse otsuse artiklite 1–4 kohaselt:

„Artikkel 1

Direktiivi 95/46/EÜ artikli 25 lõike 2 kohaldamisel loetakse, et Ameerika Ühendriikide Tolli‑ ja Piirivalveamet (CBP) tagab andmekaitse piisava taseme ühendusest edastatavate PNR-andmete puhul, mis on seotud lendudega USAsse ja sealt välja, vastavalt lisas sätestatud kohustustele.

Artikkel 2

Käesolev otsus käsitleb CBP tagatava kaitse piisavat taset kooskõlas direktiivi 95/46/EÜ artikli 25 lõike 1 nõuetega ning see ei mõjuta muid selliseid tingimusi või piiranguid, millega rakendatakse kõnealuse direktiivi muid sätteid, mis käsitlevad isikuandmete töötlemist liikmesriikides.

Artikkel 3

1. Ilma et see piiraks liikmesriikide pädevate asutuste volitusi võtta meetmeid selliste siseriiklike sätete järgimise tagamiseks, mis on vastu võetud muude sätete alusel kui direktiivi 95/46/EÜ artikkel 25, võivad need ametiasutused järgmistel juhtudel kasutada oma volitusi CBPle andmeedastuste peatamiseks, et tagada üksikisikute kaitse seoses nende isikuandmete töötlemisega:

a)      USA pädev ametiasutus on kindlaks teinud, et CBP rikub kehtivaid kaitsenõudeid; või

b)      on väga tõenäoline, et lisas sätestatud kaitsenõudeid rikutakse, on põhjust arvata, et CBP ei võta ega kavatse võtta õigeaegselt asjakohaseid meetmeid kõnealuse olukorra lahendamiseks, andmeedastuse jätkamine võib kujutada andmesubjektide jaoks tõsise kahju viivitamatut ohtu ning liikmesriigi pädevad ametiasutused on asjaolusid arvestades võtnud piisavaid meetmeid CBP teavitamiseks ja andnud talle võimaluse vastata.

2.      Peatamine lõpetatakse kohe, kui on tagatud kaitsenõuete järgimine ning asjaomaste liikmesriikide pädevatele ametiasutustele on sellest teatatud.

Artikkel 4

1.      Liikmesriigid teavitavad viivitamata komisjoni, kui on võetud meetmeid vastavalt artiklile 3.

2.      Liikmesriigid ja komisjon teavitavad üksteist mis tahes muudatustest kaitsenõuetes ning juhtudest, mil vastavalt lisas sätestatud CBP kaitsenõuete järgimise tagamise eest vastutavad asutused ei suuda nõuete järgimist tagada.

3.      Kui vastavalt artiklile 3 ja käesoleva artikli lõigetele 1 ja 2 kogutud andmed tõendavad, et enam ei täideta peamisi põhimõtteid, mis on vajalikud füüsiliste isikute piisavaks kaitseks, või lisas sätestatud CBP kaitsenõuete järgimise tagamise eest vastutavad asutused ei täida oma ülesandeid tõhusalt, teavitatakse CBPd ning kohaldatakse vajadusel direktiivi 95/46/EÜ artikli 31 lõikes 2 osutatud menetlust eesmärgiga käesolev otsus kehtetuks tunnistada või peatada.”

24      Piisava kaitse otsuse lisana ära toodud „Sisejulgeoleku ministeeriumi tolli- ja piirivalveameti (CBP) kohustus[tes]” on öeldud:

„Toetamaks Euroopa Komisjoni (edaspidi „komisjon”) kava kasutada talle direktiivi 95/46/EÜ […] artikli 25 lõikega 6 antud volitusi ning võtta vastu otsus, millega tunnustatakse, et sisejulgeoleku ministeeriumi tolli- ja piirivalveamet (Department of Homeland Security Bureau of Customs and Border Protection – CBP) pakub piisavat kaitset, kui lennuettevõtja edastab reisijaregistrite (1) (PNR) andmeid, mis võivad kuuluda direktiivi rakendusalasse, kohustub CBP tegema järgmist […]”.

25      Kohustused hõlmavad 48 punkti, mis jagunevad järgmistesse rühmadesse: „Õiguslik alus saada PNR-andmeid”; „PNR-andmete kasutamine CBP poolt”; „Nõutavad andmed”; „Tundlike andmete töötlemine”; „PNR-andmetele juurdepääsu meetod”; „PNR-andmete säilitamine”; „CBP arvutisüsteemi turvalisus”; „PNR-andmete töötlemine ja kaitse CBP poolt”; „PNR-andmete edastamine teistele valitsusasutustele”; „PNR-andmete subjektide teavitamine, juurdepääs andmetele ja andmete parandamise võimalused”; „Sätete järgimine”; „Vastastikkuse põhimõte”; „Kohustuste läbivaatamine ja lõpetamine” ja „Subjektiivsete õiguste või pretsedendi loomise puudumine”.

26      Nimetatud kohustuste hulka kuuluvad muu hulgas järgmised:

„1.      Seaduse (United States Code, jaotis 49, paragrahv 44909(c)(3)) ning selle (ajutiste) rakendusmääruste (Code of Federal Regulations, jaotis 19, paragrahv 122.49b) kohaselt peab iga lennuettevõtja, kes korraldab rahvusvahelist lennureisijatevedu Ameerika Ühendriikidesse või sealt välja, võimaldama CBPle […] elektroonilise juurdepääsu PNR-andmetele sel määral kui need on kogutud ja talletatud lennuettevõtja automaatsesse broneerimis- või väljumiskontrolli süsteemi […].

[…]

3.      CBP kasutab PNR-andmeid üksnes järgmiste nähtude ennetamiseks ja nende vastu võitlemiseks: 1) terrorism ja sellega seotud kuriteod; 2) muud rasked kuriteod, sealhulgas organiseeritud kuritegevus, millel on rahvusvaheline mõõde; ning 3) selliste kuritegude puhul vahistamisel või kinnipidamiskohast põgenemine. PNR-andmete kasutamine sellistel eesmärkidel võimaldab CBP-l suunata oma ressursid kõrge riskiga asjaoludele, hõlbustades ja kaitstes seega heauskset reisimist.

4.      Andmeelemendid, mida CBP nõuab, on loetletud A lisas. […]

[…]

27.      Seoses mis tahes haldus- või kohtumenetlusega, mis tuleneb teabevabaduse seaduse alusel lennuettevõtjatelt saadud PNR-andmete nõudest, on CBP seisukoht, et selliseid andmeid ei pea vastavalt teabevabaduse seadusele avaldama.

[…]

29.      CBP esitab omal äranägemisel PNR-andmeid muudele valitsusasutustele, sealhulgas välisriikide valitsusasutustele, millel on terrorismivastase võitluse või õiguskaitsefunktsioonid, üksnes iga juhtumi korral eraldi ning käesolevate kohustuste punktis 3 määratletud kuritegude ennetamise või nende vastu võitlemise eesmärgil. (Asutusi, millega CBP võib selliseid andmeid jagada, nimetatakse edaspidi „määratud asutusteks”.)

30.      CBP kasutab mõistlikult oma kaalutlusõigust edastada PNR-andmeid nimetatud eesmärkidel. CBP teeb esiteks kindlaks, kas PNR-andmete avaldamine määratud asutusele vastab nimetatud eesmärgile (vaata käesolevate kohustuste punkti 29). Kui jah, siis teeb CBP kindlaks, kas määratud asutus vastutab selle eesmärgiga seotud seaduse või määruse rikkumise ennetamise, uurimise või süüdistuse esitamise eest või sellise seaduse või määruse täitmisele pööramise või rakendamise eest, kui CBP-l on viiteid seaduse rikkumisele või võimalikule rikkumisele. Avaldamise põhjendatus tuleb läbi vaadata kõigi esitatud asjaolude valguses.

[…]

35.      Ükski käesolevate kohustuste säte ei takista PNR-andmete kasutamist või avaldamist seoses kriminaalkohtumenetlusega või muudel seaduses sätestatud juhtudel. CBP teavitab Euroopa Komisjoni mis tahes USA õigusakti vastuvõtmisest, mis mõjutab oluliselt käesolevate kohustuste sätteid.

[…]

46.       Käesolevaid kohustusi kohaldatakse kolm aastat ja kuus kuud (3,5 aastat) alates kuupäevast, millal jõustub Ameerika Ühendriikide ja Euroopa Ühenduse vaheline leping, millega lubatakse PNR-andmete töötlemist lennuettevõtjate poolt eesmärgiga edastada CBPle kõnealuseid andmeid kooskõlas direktiiviga. […]

47.       Käesolevate kohustustega ei looda ega anta ühelegi era- ega avalik-õiguslikule isikule mis tahes õigusi ega eeliseid.

[…]”

27      Kohustuste A lisas on ära toodud „PNR-andmeelemendid”, mida CBP lennuettevõtjatelt soovib. Nende andmete hulka kuuluvad „PNR-registri kood” (locator code), broneeringu kuupäev, nimi, aadress, makseviisid, kontakttelefonid, reisibüroo, reisija reisistaatus („travel status of passenger”), E-posti aadress, üldised märkused, koha number, teave ilmumata jätmise kohta (no-show) ning saadud „APIS teave”.

28      Nõukogu võttis EÜ artikli 95 alusel selle koostoimes EÜ artikli 300 lõike 2 esimese lõigu esimese lausega vastu otsuse 2004/496.

29      Viidatud otsuse kolme põhjenduse kohaselt:

„1)      23. veebruaril 2004 volitas nõukogu komisjoni ühenduse nimel pidama läbirääkimisi Ameerika Ühendriikidega lepingu üle, mis käsitleb lennuettevõtjate poolt reisijate isikuandmete töötlemist ja edastamist Ameerika Ühendriikide Sisejulgeolekuministeeriumi Tolli- ja Piirivalvebüroole.

2)      Euroopa Parlament ei ole esitanud arvamust tähtaja jooksul, mille nõukogu asutamislepingu artikli 300 lõike 3 esimese lõigu kohaselt kehtestas, pidades silmas kiireloomulist vajadust parandada lennuettevõtjate ja reisijate ebakindlat olukorda ja kaitsta asjassepuutuvate isikute finantshuve.

3)      See leping tuleks heaks kiita.”

30      Otsuse 2004/496 artikkel 1 näeb ette:

„Käesolevaga kiidetakse ühenduse nimel heaks Euroopa Ühenduse ja Ameerika Ühendriikide vaheline leping lennuettevõtjate poolt reisijate isikuandmete töötlemise ja edastamise kohta Ameerika Ühendriikide Sisejulgeolekuministeeriumi Tolli‑ ja Piirivalvebüroole.

Lepingu tekst on käesolevale otsusele lisatud.”

31      Osutatud lepingu (edaspidi „leping”) sisu on järgmine:

„E[uroopa Ühendus ja Ameerika Ühendriigid],

T[unnustades] põhiõiguste ja ‑vabaduste, eriti eraelu puutumatuse austamise tähtsust ja tunnustades nende väärtuste austamise tähtsust terrorismi ja sellega seotud kuritegude ning muude tõsiste rahvusvahelise iseloomuga kuritegude, sealhulgas organiseeritud kuritegevuse vastases võitluses ja nende ärahoidmises,

[võttes arvesse] USA eeskirju ja seadusi, mis nõuavad, et iga lennuettevõtja, kes teostab reisijate välislennutransporti Ameerika Ühendriikidesse saabuvatel või sealt väljuvatel lendudel, võimaldaks sisejulgeolekuministeeriumi (edaspidi ministeerium) tolli‑ ja piirivalvebüroole […] [(CBP)] elektroonilise ligipääsu […] [PNR-andmetele] määral, mil seda kogutakse ja salvestatakse lennuettevõtja automaatsetes reserveerimise ja väljumiste kontrollisüsteemides,

[võttes arvesse] […] direktiivi 95/46/EÜ […], eriti selle artikli 7 punkti c,

[võttes arvesse] [CBP] poolt 11. mail 2004 võetud kohustusi, mis avaldatakse föderaalregistris (edaspidi kohustused),

[võttes arvesse] direktiivi 95/46/EÜ artikli 25 lõike 6 kohaselt 14. mail 2004 vastu võetud komisjoni otsust 2004/535/EÜ (edaspidi „otsus”), milles tõdetakse, et [CBP] kaitseb käesolevale lepingule lisatud kohustuste kohaselt piisavalt Euroopa Ühendusest (edaspidi „ühendus”) edastatavaid [PNR-andmeid], mis on seotud Ameerika Ühendriikidesse saabuvate või sealt väljuvate lendudega,

[märkides], et lennuettevõtjad, kellel on Euroopa Liidu liikmesriikide territooriumidel reserveerimise ja väljumiste kontrollisüsteemid, peaksid korraldama [PNR-andmete] edastamise [CBP-le] nii kiiresti, kui tehnilised võimalused lubavad, selle ajani aga peaks USA ametivõimudel vastavalt käesolevale lepingule olema luba neile andmetele otse ligi pääseda,

[…]

[on kokku leppinud järgmises]:

1.      [CBP] võib elektrooniliselt kasutada lennuettevõtjate Euroopa Ühenduse liikmesriikide territooriumidel asuvates reserveerimise ja väljumiste kontrollsüsteemides […] sisalduvaid isikuandmeid [PNR-andmeid], järgides rangelt otsust ja nii kaua, kuni otsus on kohaldatav, ning ainult seni, kuni on paigaldatud rahuldav süsteem, mis võimaldab selliste andmete edastamist lennuettevõtjate poolt.

[Ingliskeelne versioon on järgmine: „CBP may electronically access the PNR data from air carriers reservation/departure control systems (’reservation systems’) located within the territory of the Member State of the European Community strictly in accordance with the Decision and for so long as the Decision is applicable and only until there is a satisfactory system in place allowing for transmission of such data by the air carriers.”]

2.      Lennuettevõtjad, kes teostavad reisijate välislennutransporti Ameerika Ühendriikidesse saabuvatel või sealt väljuvatel lendudel, töötlevad oma automaatsetes reserveerimissüsteemides sisalduvaid isikuandmeid vastavalt [CBP] USA seaduste alusel esitatavatele nõudmistele, järgides rangelt otsust, ja nii kaua, kuni otsus on kohaldatav.

3.      [CBP] võtab otsust arvesse ja teatab, et ta kohaldab sellele lisatud kohustusi.

4.      [CBP] töötleb saadud isikuandmeid ja kohtleb isikuid, keda puudutavaid andmeid töödeldakse, vastavalt kohaldatavatele USA seadustele ja põhiseaduslikele nõudmistele, ilma seadusevastase diskrimineerimiseta, iseäranis rahvuse ja elukohariigi alusel.

[…]

7.      Käesolev leping jõustub allakirjutamisel. Kumbki lepinguosaline võib käesoleva lepingu igal ajal lõpetada, andes sellest diplomaatiliste kanalite kaudu teada. Leping lõpeb üheksakümmend (90) päeva pärast seda, kui teisele lepinguosalisele on lepingu lõpetamisest teatatud. Käesolevat lepingut võib igal ajal vastastikuse kirjaliku kokkuleppega muuta.

8.      Käesoleva lepinguga ei kavatseta lepinguosaliste seadusandlusest kõrvale kalduda ega seda muuta, samuti ei loo ega anna käesolev leping mingeid õigusi ega hüvesid ühelegi muule era‑ või avalik-õiguslikule isikule ega üksusele.”

32      Nõukogu poolt lepingu jõustumise kohta esitatud teabe kohaselt (ELT 2004, C 158, lk 1) jõustus 28. mail 2004 Washingtonis nõukogu esindaja ja Ameerika Ühendriikide sisejulgeolekuministri poolt alla kirjutatud leping selle punkti 7 kohaselt lepingu allakirjutamise päeval.

 Vaidluste taust

33      11. septembri 2001. aasta terrorirünnakute järel võtsid Ühendriigid sama aasta novembris vastu seaduse, mis sätestas, et lennuettevõtjad, kes teostavad lennutransporti Ameerika Ühendriikidesse saabuvatel või sealt väljuvatel, samuti lendudel üle Ühendriikide territooriumi, olid kohustatud võimaldama Ühendriikide tolliasutustele elektroonilise juurdepääsu andmetele, mis sisalduvad automaatsetes reserveerimise ja väljumiste kontrollsüsteemides, mida tähistatakse terminiga „Passenger Name Records”, (edaspidi „PNR-andmed”). Tunnustades küll silmas peetavate julgeolekuhuvide õigustatust, teatas komisjon Ühendriikide ametiasutustele juunist 2002, et nimetatud sätted võivad olla vastuolus ühenduse ja liikmesriikide andmekaitse valdkonna õigusaktidega ning nõukogu 24. juuli 1989. aasta määruse (EMÜ) nr 2299/89 toimimisjuhendi kohta arvutipõhiste ettetellimissüsteemide puhul (EÜT L 220, lk 1; ELT eriväljaanne 07/01, lk 27), muudetud nõukogu 8. veebruari 1999. aasta määrusega (EÜ) nr 323/1999 (EÜT L 40, lk 1), teatavate sätetega. Ühendriikide ametiasutused teatasid uute sätete jõustumisest, kuid keeldusid kategooriliselt loobumast sanktsioonide kohaldamisest nende lennuettevõtjate suhtes, kes pärast 5. märtsi 2003 ei olnud täitnud PNR-andmetele elektroonilist juurdepääsu puudutavaid õigusnorme. Paljud Euroopa Liidu suured lennuettevõtjad olid sellest kuupäevast võimaldanud nimetatud asutustele juurdepääsu ettevõtja käsutuses olevatele PNR-andmetele.

34      Komisjon alustas direktiivi artikli 25 lõike 6 alusel piisava kaitse otsuse vastuvõtmiseks läbirääkimisi Ühendriikide ametiasutustega, kes olid võtnud vastu CBP kohustusi („undertakings”) sätestava akti.

35      Töörühm üksikisikute kaitseks seoses isikuandmete töötlemisega, mis oli loodud direktiivi artikliga 29, esitas 13. juunil 2003 arvamuse, milles väljendas kahtlusi selles osas, kas viidatud kohustustega tagatud andmekaitse on kavandatava andmetöötluse puhul piisav. Töörühm kordas oma kahtlusi ka 29. jaanuari 2004. aasta arvamuses.

36      Komisjon esitas 1. märtsil 2004 parlamendile direktiivi artikli 25 lõike 6 alusel piisava kaitse otsuse eelnõu, millega oli kaasas CBP kohustuste eelnõu.

37      17. märtsil 2004 edastas komisjon EÜ artikli 300 lõike 3 esimeses lõigus ette nähtud konsulteerimist silmas pidades parlamendile ettepaneku Ameerika Ühendriikidega lepingu sõlmimist käsitleva nõukogu otsuse kohta. Nõukogu palus 25. märtsil 2004 kiireloomulisele menetlusele viidates parlamendil esitada viidatud ettepaneku kohta arvamus hiljemalt 22. aprilliks 2004. Nõukogu rõhutas oma kirjas, et „terrorismivastane võitlus, mis õigustab pakutud meetmeid, on Euroopa Liidu üks olulisi prioriteete, [et] hetkel on lennuettevõtjate ja reisijate olukord ebakindel ning seda tuleb viivitamatult parandada [ning et], pealegi on oluline kaitsta asjassepuutuvate poolte finantshuve”.

38      Parlament võttis 31. märtsil 2004 nõukogu 28. juuni 1999. aasta otsuse 1999/468/EÜ, millega kehtestatakse komisjoni rakendusvolituste kasutamise menetlused (EÜT L 184, lk 23; ELT eriväljaanne 01/03, lk 124), artikli 8 alusel vastu resolutsiooni, milles nägi talle esitatud ettepaneku osas ette teatud arvu õiguslikke reservatsioone. Parlament asus kõnealuses resolutsioonis seisukohale, et piisava kaitse otsuse eelnõu ületab komisjonile direktiivi artikliga 25 antud pädevuse. Parlament kutsus üles sõlmima asjakohast rahvusvahelist lepingut, mille puhul peetaks kinni põhiõigustest viidatud resolutsioonis detailselt välja toodud teatud arvus punktides, ning palus komisjonil esitada otsuse uus eelnõu. Lisaks jättis ta endale võimaluse pöörduda Euroopa Kohtusse, et kontrollida kavandatava rahvusvahelise lepingu seaduslikkust, eelkõige aga seda, kas see on kooskõlas eraelu kaitse põhimõttega.

39      21. aprillil 2004 kinnitas parlament presidendi taotluse alusel õigusasjade- ja siseturukomisjoni soovituse, mille kohaselt tuleks EÜ artikli 300 lõike 6 alusel taotleda Euroopa Kohtult arvamust selle kohta, kas kavandatav leping on kooskõlas asutamislepingu sätetega. Kõnealune menetlus algatati samal päeval.

40      Samuti otsustas parlament samal päeval saata komisjonile tagasi nõukogu otsuse ettepaneku kohta esitatud aruande, lükates seeläbi tagasi nõukogu poolt 25. märtsil tehtud taotluse vaadata kõnealune ettepanek läbi kiireloomulisena.

41      Nõukogu saatis 28. aprillil EÜ artikli 300 lõike 3 esimesele lõigule tuginedes parlamendile kirja, milles palus sel esitada arvamus lepingu sõlmimist käsitleva otsuse ettepaneku kohta enne 5. maid 2004. Taotluse kiireloomulisuse põhjenduseks tõi nõukogu uuesti välja 25. märtsi 2004. aasta kirjas esitatud põhjused.

42      Parlament jättis 4. mail 2004 nõukogu poolt talle 28. aprillil esitatud asja kiireloomulise menetlemise ettepaneku rahuldamata, kuna nõukogu otsuse ettepaneku kõiki keeleversioone ei olnud endiselt koos.

43      Sama aasta 14. mail võttis komisjon vastu piisava kaitse otsuse, mis on kohtuasja C‑318/04 esemeks. 17. mail 2004 võttis nõukogu vastu otsuse 2004/496, mida käsitletakse kohtuasjas C‑317/04.

44      Nõukogu ametisolev eesistuja teatas 4. juuni 2004. aasta kirjaga parlamendile, et otsuses 2004/496 on arvesse võetud terrorismivastast võitlust – mis on EL jaoks prioriteet –, kuid samas ka lennuettevõtjate õiguslikult ebakindlat olukorda ning nende finantshuve.

45      Parlament teatas 9. juuli 2004. aasta kirjaga Euroopa Kohtule, et võtab tagasi nr 1/04 all registreeritud arvamuse esitamise taotluse.

46      Euroopa Kohtu president tegi kohtuasjas C‑317/04 18. novembril 2004 ja 18. jaanuaril 2005 määrused komisjoni ning Suurbritannia ja Põhja‑Iiri Ühendkuningriigi menetlusse astumise kohta nõukogu nõuete toetuseks.

47      Kohtuasjas C‑318/04 tegi Euroopa Kohtu president 17. detsembril 2004 määruse Ühendkuningriigi menetlusse astumise kohta komisjoni nõuete toetuseks.

48      Euroopa Kohtu 17. märtsi 2005. aasta määrustega anti viidatud kahes kohtuasjas parlamendi nõuete toetuseks luba astuda menetlusse Euroopa andmekaitseinspektoril.

49      Arvestades kõnealuste kohtuasjade seotust, mis leidis kinnitust suulises menetluses, tuleb need kohtuotsuse huvides kodukorra artikli 43 alusel liita.

 Hagi kohtuasjas C‑318/04

50      Parlament esitab tühistamise toetuseks neli väidet, mis tulenevad vastavalt pädevuse ületamisest, direktiivi oluliste põhimõtete, põhiõiguste ning proportsionaalsuse põhimõtte rikkumisest.

 Esimese väite esimene osa, mis tuleneb direktiivi artikli 3 lõike 2 esimese taande rikkumisest

 Poolte argumendid

51      Parlament väidab, et komisjoni otsus võeti vastu ultra vires, kuna ei järgitud direktiivi sätteid ja rikuti eelkõige selle artikli 3 lõike 2 esimest taanet, mis välistab selle kohaldamise tegevuste suhtes, mis pole reguleeritud ühenduse õigusega.

52      Pole kahtlust, et PNR-andmete töötlemine pärast nende edastamist Ameerika Ühendriikide ametiasutusele, mida reguleerib piisava kaitse otsus, kujutab endast praegu ja edaspidi riigi toiminguid 6. novembri 2003. aasta otsuse kohtuasja  C‑101/01: Lindqvist (EKL 2003, lk I‑12971) punkti 43 mõttes.

53      Komisjon, keda toetab Ühendkuningriik, leiab, et lennuettevõtjate tegevus kuulub ilmselgelt ühenduse õiguse kohaldamisalasse. Komisjon väidab, et eraõiguslikud ettevõtjad töötlevad PNR-andmeid ühenduses ning korraldavad nende edastamist kolmandale riigile. Seega on tegemist üksikisikute toimingutega, mitte aga selle liikmesriigi, kus asjassepuutuvad lennuettevõtjad tegutsevad, ega sellise riigi võimuorganite tegevusega, nagu Euroopa Kohus on seda eespool viidatud Lindqvisti kohtuotsuse punktis 43 määratlenud. Lennuettevõtjad täidavad PNR-andmete töötlemisel ühenduse õigusest tulenevaid nõudeid, sh lepingu punktis 2 ette nähtud kohustust. Direktiivi artikli 3 lõikes 2 on viidatud avalike võimuorganite tegevusele, mis ei kuulu ühenduse õiguse reguleerimisalasse.

 Euroopa Kohtu hinnang

54      Direktiivi artikli 3 lõike 2 esimene taane välistab direktiivi reguleerimisalast isikuandmete töötlemise juhul, kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra, riigikaitse, riigi julgeoleku […] ja riigi toimingutega kriminaalõiguse valdkonnas.

55      Piisava kaitse otsus puudutab üksnes CBP-le edastatud PNR-andmeid. Viidatud otsuse kuuendast põhjendusest tuleneb, et edastamisnõude õiguslikuks aluseks on Ameerika Ühendriikides 2001. aasta novembris vastu võetud seadus ning selle seaduse alusel vastu võetud CBP rakenduseeskirjad. Sama otsuse seitsmenda põhjenduse kohaselt käsitlevad kõnealused USA õigusaktid julgeoleku tõhustamist ja tingimusi, mille alusel isikud võivad riiki siseneda ja sealt lahkuda. Kaheksanda põhjenduse kohaselt toetab ühendus täielikult USAd terrorismivastases võitluses ühenduse õigusaktides kehtestatud piires. Sama otsuse viieteistkümnendas põhjenduses on öeldud, et PNR-andmeid kasutatakse üksnes järgmiste nähtuste ennetamiseks ja nende vastu võitlemiseks: terrorism ja sellega seotud kuriteod; muud rasked kuriteod, sealhulgas organiseeritud kuritegevus, millel on rahvusvaheline mõõde; ning selliste kuritegude puhul vahistamisel või kinnipidamiskohast põgenemine.

56      Siit tuleneb, et PNR-andmete edastamine CBP-le kujutab endast töötlemist, mille esemeks on riigi julgeolek ja riigi toimingud kriminaalõiguse valdkonnas.

57      Kuigi võib õigustatult öelda, et esialgselt kogusid lennuettevõtjad PNR-andmeid ühenduse õiguse valdkonda kuuluva tegevuse, st teenuse tarbimiseks õigust andva lennukipileti müügi käigus, on piisava kaitse otsuses arvestatud andmete töötlemise iseloom hoopis midagi muud. Nagu käesoleva kohtuotsuse punktis 55 märgitud, ei puuduta kõnealune otsus mitte teenuse osutamiseks vajalikku andmetöötlust, vaid sellega peetakse silmas riigi julgeoleku kaitset ning õiguskaitse eesmärke.

58      Eespool viidatud Lindqvisti kohtuotsuse punktis 43, millele komisjon oma vastuses viitas, on Euroopa Kohus asunud seisukohale, et direktiivi artikli 3 lõike 2 esimeses taandes näitena toodud tegevused kujutavad endast igal juhul toiminguid, mis on iseloomulikud riigile või riigi ametiasutustele, ega ole omased eraisikute tegevusvaldkondadele. Sellegipoolest ei järeldu sellest, et kuna eraõiguslikud ettevõtjad kogusid PNR-andmeid kommertseesmärgil ning just nemad korraldavad nende edastamist kolmandasse riiki, ei kuulu kõnealune edastamine viidatud sätte kohaldamisalasse. Edastamine toimub sellises ametivõimude poolt loodud raamistikus, mille eesmärk on tagada riigi julgeolek.

59      Eeltoodud põhjendustest järeldub, et piisava kaitse otsus puudutab isikuandmete töötlemist direktiivi artikli 3 lõike 2 esimese taande mõttes. Seega ei kuulu see otsus direktiivi kohaldamisalasse.

60      Seega on esimese väite esimene osa, mis tuleneb direktiivi artikli 3 lõike 2 esimese taande rikkumisest, põhjendatud.

61      Järelikult tuleb piisava kaitse otsus tühistada, ilma et oleks vaja uurida esimese väite teisi osi ega parlamendi esitatud muid väiteid.

 Hagi kohtuasjas C‑317/04

62      Parlament esitab tühistamise toetuseks kuus väidet, mis tulenevad asjaolust, et otsuse 2004/496 õigusliku alusena on ekslikult kasutatud EÜ artiklit 95, ning vastavalt EÜ artikli 300 lõike 3 teise lõigu, EIÕK artikli 8, proportsionaalsuse põhimõtte, põhjendamiskohustuse ja lojaalse koostöö põhimõtte rikkumisest.

 Esimene väide, mis tuleneb asjaolust, et otsuse 2004/496 õigusliku alusena on ekslikult kasutatud EÜ artiklit 95

 Poolte argumendid

63      Parlament väidab, et EÜ artikkel 95 ei ole otsuse 2004/496 vastuvõtmise õige õiguslik alus. Selle otsuse eesmärgiks ja sisuks ei ole siseturu rajamine ja toimimine, aidates kaasa tõkete kõrvaldamisele teenuste vaba osutamise juures ning see ei sisalda seesuguse eesmärgi täitmiseks mõeldud sätteid. Otsuse eesmärk on muuta seaduslikuks isikuandmete töötlemine, mis on ette nähtud Ühendriikide õigusaktidega. Pealegi ei ole EÜ artikkel 95 loomult selline, et annaks ühendusele pädevuse lepingu sõlmimiseks, kuna see puudutab sellist andmetöötlust, mis on direktiivi kohaldamisalast välja arvatud.

64      Nõukogu kinnitab, et direktiiv, mis on nõuetekohaselt võetud vastu asutamislepingu artikli 100 A alusel, sisaldab artiklis 25 sätteid, millega nähakse ette võimalus edastada isikuandmeid sellisesse kolmandasse riiki, mis tagab andmekaitse piisava taseme, sh võimalus vajaduse korral alustada läbirääkimisi ühenduse ja sellise riigi vahelise lepingu sõlmimiseks. Leping käsitles PNR-andmete vaba liikumist ühenduse ja Ameerika Ühendriikide vahel, järgides isikute põhivabadusi ja –õigusi, eelkõige eraelu kaitset. Lepingu eesmärk oli kaotada liikmesriikide lennuettevõtjate ning liikmesriikide ja kolmandate riikide lennuettevõtjate vahelise konkurentsi moonutused, mis võivad olla Ameerika Ühendriikide poolt isikute õiguste ja vabaduste kaitsmisega seonduvatel põhjustel kehtestatud nõuete tagajärjeks. Ameerika Ühendriikidesse suunduvatel ja sealt lähtuvatel lennuliinidel rahvusvahelist reisijateveoteenust osutavate liikmesriikide lennuettevõtjate vahelise konkurentsi tingimusi kahjustaks see, et üksnes mõningad neist võimaldavad Ühendriikide ametiasutustele juurdepääsu oma andmebaasidele. Lepinguga sooviti kehtestada kõikidele asjassepuutuvatele ettevõtjatele ühesugused kohustused.

65      Komisjon rõhutab, et tegemist on Ameerika Ühendriikide seaduste ja ühenduse õigusnormide vahelise konfliktiga rahvusvahelise avaliku õiguse mõttes, ning ühtlasi vajadusega need omavahel kooskõlla viia. Komisjon paneb parlamendile, kes on vaidlustanud EÜ artikli 95 sobivuse otsuse 2004/496 õigusliku alusena, süüks seda, et parlament ei ole välja pakkunud asjakohast õiguslikku alust. Komisjon on seisukohal, et viidatud artikkel on kõnealuse otsuse „loomulik õiguslik alus”, kuna isikuandmete edastamisel ühendusesiseselt puudutab leping nende andmete kaitse välismõõdet. Direktiivi artiklid 25 ja 26 annavad ühendusele ainuvälispädevuse.

66      Lisaks väidab komisjon, et andmete esialgne töötlemine lennuettevõtjate poolt toimus kommertseesmärkidel. Asjaolu, et neid andmeid kasutavad Ameerika Ühendriikide ametiasutused, ei jäta neid direktiivi kohaldamisalast välja.

 Euroopa Kohtu hinnang

67      EÜ artikkel 95 koos direktiivi artikliga 25 ei anna komisjonile lepingu sõlmimise pädevust.

68      Leping käsitleb sama andmeedastust, mis piisava kaitse otsuski, seega sellist andmetöötlust, mis – nagu eespool öeldud –, ei kuulu direktiivi kohaldamisalasse.

69      Järelikult ei ole otsuse 2004/496 vastuvõtmine EÜ artikli 95 alusel nõuetekohane.

70      Seega tuleb otsus tühistada, ilma et oleks vaja uurida muid parlamendi poolt esitatud väiteid.

 Kohtuotsuse tagajärgede piiramine

71      Lepingu punktist 7 nähtub, et kumbki lepingupool võib selle igal ajal lõpetada ning leping kaotab kehtivuse 90 päeva pärast seda, kui teisele lepinguosalisele on teatatud lepingu lõpetamisest.

72      Seevastu lepingu punktide 1 ja 2 kohaselt on CBP-l juurdepääsuõigus PNR‑andmetele ning lennuettevõtjad on kohustatud töötlema andmeid vastavalt CBP nõudmistele senikaua, kuni piisava kaitse otsus on kohaldatav. CBP on lepingu punktis 3 kinnitanud, et kohaldab nimetatud otsuse lisas toodud kohustusi.

73      Arvestades ühelt poolt asjaolu, et ühendus ei saa toetuda oma õigusele, põhjendamaks sellise lepingu mittetäitmist, mis kehtib veel 90 päeva pärast seda, kui lepingu lõpetamisest on teisele poolele teatatud, ning teiselt poolt kõnealuse lepingu ja piisava kaitse otsuse vahelist tihedat seost, tundub õiguskindlust ja puudutatud isikute kaitset silmas pidades olevat õigustatud säilitada piisava kaitse otsuse kehtivus sama ajavahemiku vältel. Lisaks tuleb arvestada käesoleva kohtuotsuse täitmiseks vajalike meetmete võtmiseks vajaliku ajaga.

74      Seega tuleb piisava kaitse otsust kohaldada jätkuvalt kuni 30. septembrini 2006, kuid otsuse tagajärjed ei tohi jääda kestma pärast lepingu lõppemise kuupäeva.

 Kohtukulud

75      Kodukorra artikli 69 lõike 2 alusel on kohtuvaidluse kaotanud pool kohustatud hüvitama kohtukulud, kui vastaspool on seda nõudnud. Kuna parlament on kohtukulude hüvitamist nõudnud ja nõukogu ning komisjon on kohtuvaidluse kaotanud, tuleb kohtukulud välja mõista nõukogult ja komisjonilt. Sama artikli lõike 4 esimese lõigu alusel kannavad käesolevatel juhtudel menetlusse astujad ise oma kohtukulud.

Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:

1.      Tühistada nõukogu 17. mai 2004. aasta otsus 2004/496/EÜ, mis käsitleb Euroopa Ühenduse ja Ameerika Ühendriikide vahelise lepingu sõlmimist lennuettevõtjate poolt reisijate isikuandmete töötlemise ja edastamise kohta Ameerika Ühendriikide Sisejulgeolekuministeeriumi Tolli- ja Piirivalvebüroole, ning komisjoni 14. mai 2004. aasta otsus 2004/535/EÜ Ameerika Ühendriikide Tolli- ja Piirivalveametile edastatavates reisijaregistrites sisalduvate lennureisijate isikuandmete piisava kaitse kohta.

2.      Kohaldada otsust 2004/535 jätkuvalt kuni 30. septembrini 2006, kuid otsuse tagajärjed ei tohi jääda kestma pärast kõnealuse lepingu lõppemise kuupäeva.

3.      Mõista kohtuasjas C-317/04 kohtukulud välja Euroopa Liidu Nõukogult.

4.      Mõista kohtuasjas C-318/04 kohtukulud välja Euroopa Ühenduste Komisjonilt.

5.      Jätta kohtuasjas C-318/04 Euroopa Ühenduste Komisjoni kohtukulud tema enda kanda.

6.      Jätta Suurbritannia ja Põhja-Iiri Ühendkuningriigi ning Euroopa andmekaitseinspektori kohtukulud nende endi kanda.

Allkirjad

* Kohtumenetluse keel: prantsuse.