GENERALINIO ADVOKATO
GIOVANNI PITRUZZELLA IŠVADA,
pateikta 2022 m. sausio 27 d.(1)
Byla C‑817/19
Ligue des droits humains
prieš
Conseil des ministres
(Cour constitutionnelle (Konstitucinis Teismas, Belgija) prašymas priimti prejudicinį sprendimą)
„Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Keleivio duomenų įrašo (PNR) duomenų tvarkymas – Reglamentas (ES) 2016/679 – Taikymo sritis – Direktyva (ES) 2016/681 – Galiojimas – Europos Sąjungos pagrindinių teisių chartija – 7, 8 straipsniai ir 52 straipsnio 1 dalis“
Turinys
I. Įžanga
II. Teisinis pagrindas
A. Sąjungos teisė
1. Chartija
2. BDAR
3. PNR direktyva
4. Kiti svarbūs Sąjungos teisės aktai
B. Belgijos teisė
C. Pagrindinė byla, prejudiciniai klausimai ir procesas Teisingumo Teisme
III. Analizė
A. Dėl pirmojo prejudicinio klausimo
B. Dėl antrojo, trečiojo, ketvirtojo, šeštojo ir aštuntojo prejudicinių klausimų
1. Dėl Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių
2. Dėl Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymo
3. Dėl iš PNR direktyvos išplaukiančio suvaržymo pateisinimo
a) Dėl reikalavimo, kad bet koks Chartijoje įtvirtintos pagrindinės teisės įgyvendinimo apribojimas būtų numatytas įstatymo, laikymosi
b) Dėl Chartijos 7 ir 8 straipsniuose įtvirtintų teisių esmės paisymo
c) Dėl reikalavimo, kad suvaržymas atitiktų bendrojo intereso tikslą, laikymosi
d) Dėl proporcingumo principo paisymo
1) Dėl PNR direktyvoje nurodytų PNR duomenų tvarkymo tinkamumo, atsižvelgiant į siekiamą tikslą
2) Dėl to, ar suvaržymas yra griežtai būtinas
i) Dėl PNR duomenų tvarkymu siekiamų tikslų apibrėžimo
ii) Dėl PNR duomenų kategorijų, nurodytų PNR direktyvoje (antrasis ir trečiasis prejudiciniai klausimai)
– Dėl I priedo 12 ir 18 punktų pakankamo aiškumo ir tikslumo (trečiasis prejudicinis klausimas)
– Dėl I priede išvardytų duomenų apimties (antrasis prejudicinis klausimas)
– Dėl neskelbtinų duomenų
iii) Dėl sąvokos „keleivis“ (ketvirtasis prejudicinis klausimas)
iv) Dėl to, ar keleivių išankstinis vertinimas yra pakankamai aiškaus ir tikslaus pobūdžio bei apribotas tuo, kas griežtai būtina (šeštasis prejudicinis klausimas)
– Dėl palyginimo su duomenų bazėmis, kaip tai suprantama pagal PNR direktyvos 6 straipsnio 3 dalies a punktą
– Dėl PNR duomenų tvarkymo pagal iš anksto nustatytus kriterijus
– Dėl apsaugos priemonių, taikomų automatizuotam PNR duomenų tvarkymui
– Išvada dėl šeštojo prejudicinio klausimo
v) Dėl PNR duomenų saugojimo (aštuntasis prejudicinis klausimas)
4. Išvada dėl antrojo, trečiojo, ketvirtojo, šeštojo ir aštuntojo prejudicinių klausimų
C. Dėl penktojo prejudicinio klausimo
D. Dėl septintojo prejudicinio klausimo
E. Dėl devintojo prejudicinio klausimo
F. Dėl dešimtojo prejudicinio klausimo
IV. Išvada
I. Įžanga
1. Šiuo prašymu priimti prejudicinį sprendimą Cour constitutionnelle (Konstitucinis Teismas, Belgija) pateikia Teisingumo Teismui dešimt prejudicinių klausimų dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – BDAR)(2) išaiškinimo, taip pat dėl 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvos (ES) 2016/681 dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais (toliau – PNR direktyva)(3) ir 2004 m. balandžio 29 d. Tarybos direktyvos 2004/82/EB dėl vežėjų įpareigojimo perduoti keleivių duomenis (toliau – API direktyva)(4) galiojimo ir išaiškinimo. Šie klausimai iškelti nagrinėjant pelno nesiekiančios asociacijos Ligue des droits humaines (Žmogaus teisių asociacija, toliau – LDH) pareikštą ieškinį dėl visiško arba dalinio 2016 m. gruodžio 25 d. Įstatymo dėl keleivių duomenų tvarkymo (toliau – PNR įstatymas)(5), kuriuo į Belgijos teisę perkeltos PNR direktyva ir API direktyva, panaikinimo.
2. Klausimai, kuriuos Teisingumo Teismas turės išspręsti šioje byloje, susiję su viena iš pagrindinių šiuolaikinio liberalaus demokratinio konstitucionalizmo dilemų: kaip reikėtų apibrėžti asmens ir bendruomenės interesų pusiausvyrą duomenų amžiuje, kai skaitmeninės technologijos suteikė galimybę rinkti, saugoti, tvarkyti ir analizuoti didžiulius asmens duomenų kiekius prognozavimo tikslais? Valdžios institucijų naudojami algoritmai, didžiųjų duomenų analizė ir dirbtinis intelektas gali padėti – tokiu veiksmingu būdu, kokio anksčiau nebuvo galima įsivaizduoti, – remti ir apsaugoti pagrindinius visuomenės interesus: nuo visuomenės sveikatos apsaugos iki aplinkos tvarumo, nuo kovos su terorizmu iki nusikalstamumo, ypač sunkių nusikaltimų, prevencijos. Tačiau valdžios institucijoms nediferencijuotai renkant asmens duomenis ir naudojant skaitmenines technologijas gali susikurti tam tikras informacinis panoptikonas, t. y. viešoji valdžia, kuri viską mato, bet pati lieka nematoma. Tokia visažinė valdžia gali stebėti ir numatyti kiekvieno žmogaus elgesį ir imtis reikiamų priemonių, net iki paradoksalaus rezultato, kurį Stevenas Spielbergas įsivaizdavo filme „Minority Report“, – prevenciškai atimti laisvę iš dar nepadaryto nusikaltimo kaltininko. Kaip žinoma, kai kuriose šalyse visuomenei yra teikiama pirmenybė prieš asmenį ir pagal teisės aktus leidžiama naudoti asmens duomenis vykdant veiksmingą masinį stebėjimą, kuriuo siekiama apsaugoti pagrindiniais laikomus visuomenės interesus. Ir, atvirkščiai, Europos konstitucionalizmas – tiek nacionalinis, tiek viršnacionalinis – kai daugiausia dėmesio skiriama asmeniui ir jo laisvėms, sudaro didelę kliūtį masinio stebėjimo visuomenei, ypač po to, kai buvo pripažintos pagrindinės teisės į privataus gyvenimo ir asmens duomenų apsaugą. Tačiau, kokio masto galėtų būti ši kliūtis, kad nebūtų rimtai pažeisti tam tikri pagrindiniai visuomenės interesai, kaip antai minėti, kurie taip pat gali būti konstitucinio pobūdžio? Tai sudaro klausimo dėl individo ir bendruomenės santykio skaitmeninėje visuomenėje esmę. Toks klausimas, pirma, reikalauja apibrėžti ir įgyvendinti subtilią bendruomenės interesų ir asmens teisių pusiausvyrą, atsižvelgiant į absoliučią pastarųjų svarbą Europos konstituciniame pavelde, ir, antra, reikalauja sukurti apsaugos nuo piktnaudžiavimo priemones. Šiuo atveju mes susiduriame su šiuolaikine klasikinės konstitucionalizmo sampratos versija, nes, kaip glaustai pasakė Le Fédéraliste, žmonės nėra angelai, todėl reikalingi teisiniai mechanizmai, kurie apribotų ir kontroliuotų viešąją valdžią.
3. Tokie yra bendro pobūdžio klausimai, kylantys šioje išvadoje, kurioje apsiribojama Sąjungos teisės aiškinimu atsižvelgiant į ankstesnę Teisingumo Teismo jurisprudenciją ir taikant nusistovėjusius metodus, įskaitant Sąjungos teisę atitinkančio aiškinimo metodą. Šis metodas bus dažnai naudojamas šioje išvadoje, jei tai bus teisiškai įmanoma, siekiant rasti konstituciniu požiūriu būtiną viešųjų tikslų, kuriais grindžiama keleivio duomenų įrašų (toliau – PNR duomenys) perdavimo, rinkimo ir tvarkymo sistema, ir Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 7 ir 8 straipsniuose įtvirtintų teisių pusiausvyrą.
II. Teisinis pagrindas
A. Sąjungos teisė
1. Chartija
4. Pagal Chartijos 7 straipsnį „[k]iekvienas asmuo turi teisę į tai, kad būtų gerbiamas jo privatus ir šeimos gyvenimas, būsto neliečiamybė ir komunikacijos slaptumas“.
5. Chartijos 8 straipsnyje nustatyta:
„1. Kiekvienas turi teisę į savo asmens duomenų apsaugą.
2. Tokie duomenys turi būti tinkamai tvarkomi ir naudojami tik konkretiems tikslams ir tik atitinkamam asmeniui sutikus ar kitais įstatymo nustatytais teisėtais pagrindais. Kiekvienas turi teisę susipažinti su surinktais jo asmens duomenimis bei į tai, kad jie būtų ištaisomi.
3. Nepriklausoma institucija kontroliuoja, kaip laikomasi šių taisyklių.“
6. Pagal Chartijos 52 straipsnio 1 dalį „[b]et koks šios Chartijos pripažintų teisių ir laisvių įgyvendinimo apribojimas turi būti numatytas įstatymo ir nekeisti šių teisių ir laisvių esmės. Remiantis proporcingumo principu, apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrus interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti“.
2. BDAR
7. Pagal BDAR 2 straipsnio 2 dalies d punktą šis reglamentas netaikomas asmens duomenų tvarkymui, kai „duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais“.
8. BDAR reglamento 23 straipsnio 1 dalies d punkte nustatyta:
„Sąjungos ar valstybės narės teise, kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:
<…>
d) nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją.“
3. PNR direktyva
9. Toliau tik trumpai apžvelgsiu PNR direktyvoje įtvirtintos sistemos veikimą. Išsamesnis šios direktyvos nuostatų, kurios yra svarbios siekiant atsakyti į prejudicinius klausimus, turinys bus pateiktas atliekant teisinę analizę.
10. Kaip nurodyta PNR direktyvos, priimtos remiantis SESV 82 straipsnio 1 dalies d punktu ir 87 straipsnio 2 dalies a punktu, 1 straipsnyje, šia direktyva Sąjungos lygmeniu reguliuojamas oro vežėjų atliekamas keleivio duomenų įrašų (PNR) perdavimas vykdant ES išorės skrydžius(6), taip pat šių duomenų rinkimas, tvarkymas ir saugojimas, kurį vykdo valstybių narių kompetentingos valdžios institucijos kovos su terorizmu ir sunkiais nusikaltimais tikslais.
11. Pagal šios direktyvos 3 straipsnio 5 punktą „keleivio duomenų įrašas“, arba „PNR“ – tai „kiekvieno keleivio kelionės sąlygų įrašas, kuriame pateikiama informacija, reikalinga, kad kiekvienos asmens arba jo vardu užsakytos kelionės atveju užsakymus priimantys bei dalyvaujantys oro vežėjai galėtų tvarkyti ir kontroliuoti bilietų rezervavimą, nepriklausomai nuo to, ar įrašas yra rezervavimo sistemose, išvykimo kontrolės sistemose, naudojamose keleivių registravimui į skrydžius, arba tokias pačias funkcijas turinčiose lygiavertėse sistemose“.
12. PNR direktyvos I priede (toliau – I priedas) išvardyti keleivio duomenų įrašo duomenys, kuriuos renka oro vežėjai ir kurie perduodami pagal šios direktyvos 8 straipsnį ir šiame straipsnyje nustatyta tvarka.
13. PNR direktyvos II priede (toliau – II priedas) pateiktas nusikalstamų veikų, kurios laikomos „sunkiais nusikaltimais“, kaip tai suprantama pagal šios direktyvos 3 straipsnio 9 punktą, sąrašas.
14. PNR direktyvos 2 straipsnyje numatyta galimybė valstybėms narėms nuspręsti taikyti šią direktyvą ir „ES vidaus skrydžiams“(7) arba tam tikriems ES vidaus skrydžiams, kurie yra „būtini“ siekiant šios direktyvos tikslų.
15. Pagal PNR direktyvos 4 straipsnio 1 dalį „[k]iekviena valstybė narė įsteigia arba paskiria valdžios instituciją, kompetentingą vykdyti teroristinių nusikaltimų ir sunkių nusikaltimų prevenciją, nustatymą, tyrimą ar patraukimą už juos baudžiamojon atsakomybėn, arba tokios valdžios institucijos padalinį atlikti informacijos apie keleivius skyriaus funkcijas“. Remiantis šio 4 straipsnio 2 dalies a punktu informacijos apie keleivius skyrius atsako, be kita ko, už PNR duomenų rinkimą iš oro vežėjų, tų duomenų saugojimą ir tvarkymą, taip pat tų duomenų arba jų tvarkymo rezultatų perdavimą PNR direktyvos 7 straipsnyje nurodytoms kompetentingoms valdžios institucijoms. Pagal šio 7 straipsnio 2 dalį šios valdžios institucijos yra „valdžios institucijos, kompetentingos teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn klausimais“(8).
16. Pagal PNR direktyvos 6 straipsnio 1 dalies antrą sakinį, „[k]ai oro vežėjų perduoti PNR duomenys apima kitus duomenis nei tie, kurie išvardyti I priede, tokius duomenis gavęs informacijos apie keleivius skyrius nedelsdamas juos ištrina visam laikui“. Šio straipsnio 2 dalis suformuluota taip:
„2. Informacijos apie keleivius skyrius PNR duomenis tvarko tik šiais tikslais:
a) kad atliktų keleivių įvertinimą prieš jų numatytą atvykimą į valstybę narę ar išvykimą iš jos ir nustatytų, kuriuos asmenis turi papildomai patikrinti 7 straipsnyje nurodytos kompetentingos valdžios institucijos ir, prireikus, Europolas pagal 10 straipsnį, kadangi tokie asmenys gali būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu;
b) kad kiekvienu konkrečiu atveju atsakydamas į tinkamai pagrįstą ir pakankamais pagrindais paremtą kompetentingų valdžios institucijų prašymą, konkrečiais atvejais pateiktų ir tvarkytų PNR duomenis teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, ir kad kompetentingoms valdžios institucijoms arba, prireikus, Europolui, pateiktų tokio tvarkymo rezultatus; ir
c) kad analizuotų PNR duomenis, siekdamas atnaujinti arba sukurti naujus kriterijus, naudotinus įvertinimuose, atliekamuose pagal 3 dalies b punktą, kad būtų nustatyti visi asmenys, kurie gali būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu.“
17. PNR direktyvos 12 straipsnyje įtvirtintos nuostatos, susijusios su PNR duomenų saugojimu.
18. PNR direktyvos 5 straipsnyje numatyta, kad kiekvienas informacijos apie keleivius skyrius paskiria duomenų apsaugos pareigūną, atsakingą už PNR duomenų tvarkymo ir atitinkamų apsaugos priemonių įgyvendinimo stebėseną. Be to, pagal šios direktyvos 15 straipsnį numatyta, kad kiekviena valstybė narė turi įpareigoti nacionalinę priežiūros instituciją, nurodytą Pamatinio sprendimo 2008/977/TVR(9) (pakeisto 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo [kuria] panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (toliau – Policijos direktyva))(10) 25 straipsnyje, prižiūrėti pagal minėtą direktyvą priimtų nuostatų taikymą savo teritorijoje. Ši institucija, kuri vykdo savo užduotis siekdama, kad tvarkant asmens duomenis būtų apsaugotos pagrindinės teisės(11), be kita ko, pirma, nagrinėja skundus, kuriuos pateikė bet kuris duomenų subjektas, tiria skundo dalyką ir per pagrįstą laikotarpį informuoja duomenų subjektus apie jų skundų tyrimo eigą bei rezultatus ir, antra, tikrina duomenų tvarkymo teisėtumą, savo iniciatyva arba skundo pagrindu atlieka tyrimus, patikrinimus ir auditą pagal nacionalinę teisę(12).
4. Kiti svarbūs Sąjungos teisės aktai
19. Šios bylos teisinį pagrindą papildo API direktyva ir Policijos direktyva. Išvados aiškumo sumetimais šių aktų svarbių nuostatų turinys bus išdėstytas tiek, kiek tai būtina siekiant išnagrinėti su jomis susijusius klausimus arba, kalbant bendriau, kiek tai būtina teisinei analizei atlikti.
B. Belgijos teisė
20. Pagal Belgijos Konstitucijos 22 straipsnį „[k]iekvienas turi teisę į tai, kad būtų gerbiamas jo privatus ir šeimos gyvenimas, išskyrus įstatyme numatytus atvejus ir sąlygas“.
21. Kaip nurodyta PNR įstatymo 2 straipsnyje, šiuo įstatymu perkeliamos API direktyva ir PNR direktyva, taip pat iš dalies Direktyva 2010/65/ES(13).
22. Pagal PNR įstatymo 3 straipsnio 1 dalį šiuo įstatymu „nustatomos vežėjų ir kelionių organizatorių pareigos dėl atvykstančių, išvykstančių ir vykstančių tranzitu per šalies teritoriją keleivių duomenų perdavimo“. Pagal šio įstatymo 4 straipsnio 1 ir 2 punktus „vežėjas“ – tai „bet kuris fizinis arba juridinis asmuo, kuris vykdydamas profesinę veiklą užtikrina keleivių vežimą oru, jūra, geležinkeliu ar sausuma“, o „kelionių organizatorius“ – tai „bet kuris kelionių organizatorius ar tarpininkas, kaip tai suprantama pagal 1994 m. vasario 16 d. įstatymą, reglamentuojantį kelionių organizavimo sutartį ir tarpininkavimo kelionėms sutartį“.
23. PNR įstatymo 8 straipsnyje nustatyta:
„l. Keleivių duomenys tvarkomi siekiant šių tikslų:
1° paieška ir persekiojimas, įskaitant bausmių arba asmens laisvę ribojančių priemonių vykdymą, už nusikalstamas veikas, nurodytas Code d’instruction criminelle [Baudžiamojo proceso kodeksas] 90ter straipsnio 2 dalies <…> 7, <…> 8, <…> 11, <…> 14, <…> 17, 18, 19 punktuose ir 3 dalyje;
2° paieška ir persekiojimas, įskaitant bausmių arba asmens laisvę ribojančių priemonių vykdymą, už nusikalstamas veikas, nurodytas Code pénal [Baudžiamasis kodeksas] 196 straipsnyje, kiek tai susiję su nusikalstomomis veikomis dėl autentiškų ir viešų dokumentų klastojimo, 198, 199, 199 bis, 207, 213, 375 ir 505 straipsniuose;
3° didelio pavojaus visuomenės saugumui prevencija smurtinio radikalėjimo kontekste, vykdant reiškinių ir grupių stebėseną pagal 1992 m. rugpjūčio 5 d. Įstatymo dėl policijos veiklos 44/5 straipsnio 1 dalies 2 ir 3 punktus ir 2 dalį;
4° 1998 m. lapkričio 30 d. Konstitucinio žvalgybos ir saugumo tarnybų įstatymo(14) 7 straipsnio 1 ir 3/1 punktuose ir 11 straipsnio 1 dalies 1–3 bei 5 punktuose nurodytų veiksmų stebėsena;
5° paieška ir persekiojimas už nusikalstamas veikas, nurodytas 1977 m. liepos 18 d. Bendrojo muitų ir akcizų įstatymo 220 straipsnio 2 dalyje ir 2009 m. gruodžio 22 d. Įstatymo dėl bendros akcizų tvarkos 45 straipsnio 3 pastraipoje <…>
2. Laikantis 11 skyriuje nustatytų sąlygų keleivių duomenys taip pat tvarkomi siekiant pagerinti asmenų, kertančių išorines sienas, kontrolę ir kovoti su neteisėta imigracija.“
24. PNR įstatymo 9 straipsnyje pateiktas perduodamų duomenų sąrašas. Šie duomenys atitinka I priede išvardytus duomenis.
25. Pagal PNR įstatymo 18 straipsnį „[k]eleivių duomenys saugomi keleivių duomenų bazėje ne ilgiau kaip penkerius metus nuo jų įregistravimo. Pasibaigus šiam laikotarpiui, jie sunaikinami“.
26. Šio įstatymo 19 straipsnyje numatyta, kad „[p]asibaigus šešių mėnesių laikotarpiui po keleivių duomenų įregistravimo keleivių duomenų bazėje, visi keleivių duomenys nuasmeninami užmaskuojant duomenų elementus“.
27. PNR įstatymo 24 straipsnyje numatyta:
„1. Keleivių duomenys tvarkomi siekiant atlikti išankstinį keleivių vertinimą prieš numatytą jų atvykimą, išvykimą arba jų tranzitą per šalies teritoriją, kad būtų nustatyta, kuriuos asmenis reikia patikrinti nuodugniau.
2. 1998 m. lapkričio 30 d. Konstitucinio žvalgybos ir saugumo tarnybų įstatymo 8 straipsnio 1 dalies 1, 4 ir 5 punktuose nurodytais tikslais arba dėl 8 straipsnio 1 punkto a, b, c, d, f, g papunkčiuose ir 11 straipsnio 2 dalyje nurodytų grėsmių išankstinis keleivių vertinimas grindžiamas teigiamais rezultatais, gautais palyginus keleivių duomenis su:
1° kompetentingų tarnybų valdomomis duomenų bazėmis, kurios joms yra tiesiogiai prieinamos arba su kuriomis jos gali tiesiogiai susipažinti vykdydamos savo užduotis, arba asmenų sąrašais, kuriuos kompetentingos tarnybos parengia vykdydamos savo užduotis;
2° informacijos apie keleivius skyriaus iš anksto nustatytais kriterijais, nurodytais 25 straipsnyje.
3. 8 straipsnio 1 dalies 3 punkte nurodytais tikslais išankstinis keleivių vertinimas grindžiamas teigiamais rezultatais, gautais palyginus keleivių duomenis su duomenų bazėmis, nurodytomis 2 dalies 1 punkte. <…>“
28. PNR įstatymo 25 straipsnyje pakartotas PNR direktyvos 6 straipsnio 4 dalies turinys.
29. PNR įstatymo 11 skyriuje įtvirtintos nuostatos, reglamentuojančios keleivių duomenų tvarkymą siekiant pagerinti sienų kontrolę ir kovoti su neteisėta imigracija. Šiomis nuostatomis į Belgijos teisę perkelta API direktyva.
30. PNR įstatymo 44 straipsnyje numatyta, kad informacijos apie keleivius skyrius skiria duomenų apsaugos pareigūną federalinėje viešojoje vidaus tarnyboje. PNR įstatymo nuostatų taikymo priežiūrą vykdo Commission de la protection de la vie privée [Privataus gyvenimo apsaugos komisija].
31. PNR įstatymo 51 straipsniu iš dalies keičiamas 1998 m. lapkričio 30 d. Konstitucinio žvalgybos ir saugumo tarnybų įstatymas, įterpiant 16/3 straipsnį, kuris išdėstomas taip:
„1. Vykdydamos savo funkcijas žvalgybos ir saugumo tarnybos gali priimti tinkamai motyvuotą sprendimą susipažinti su [PNR] įstatymo 7 straipsnyje nurodytais keleivių duomenimis.
2. 1 dalyje nurodytą sprendimą priima tarnybos vadovas ir apie jį raštu praneša minėto įstatymo 7 skyriuje nurodytam Informacijos apie keleivius skyriui. Sprendimas įteikiamas Comité permanent R [Nuolatinis R komitetas], nurodant sprendimo motyvus.
Nuolatinis R komitetas žvalgybos ir saugumo tarnyboms draudžia naudoti duomenis, surinktus nesilaikant teisės aktuose nustatytų sąlygų.
Sprendimas gali būti priimtas dėl visų duomenų, susijusių su konkrečiu žvalgybos tyrimu. Šiuo atveju susipažinimo su keleivių duomenimis sąrašas kartą per mėnesį perduodamas Nuolatiniam R komitetui.“
C. Pagrindinė byla, prejudiciniai klausimai ir procesas Teisingumo Teisme
32. 2017 m. liepos 24 d. skundu LDH kreipėsi į Cour constitutionnelle (Konstitucinis Teismas) dėl visiško arba dalinio PNR įstatymo panaikinimo. Savo skundui pagrįsti ji nurodė du pagrindus.
33. Nurodydama pirmąjį ieškinio pagrindą, kuris pateikiamas kaip pagrindinis ir grindžiamas Belgijos Konstitucijos 22 straipsnio, siejamo su BDAR 23 straipsniu, Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi bei 1950 m. lapkričio 4 d. Romoje pasirašytos Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos (toliau – EŽTK) 8 straipsniu, pažeidimu, LDH mano, kad ginčijamame įstatyme nesilaikoma proporcingumo principo, atsižvelgiant į jo taikymo sritį ir nurodytas duomenų kategorijas, jame nustatytą duomenų tvarkymą, jo tikslus ir duomenų saugojimo trukmę. Konkrečiai kalbant, ji teigia, kad PNR duomenų apibrėžtis yra per plati ir gali lemti neskelbtinų duomenų atskleidimą ir kad šiame įstatyme pateikta sąvokos „keleivis“ apibrėžtis leidžia sistemingai netiksliniu būdu tvarkyti visų atitinkamų keleivių duomenis. Be to, LDH mano, kad PNR įstatyme nėra pakankamai aiškiai apibrėžti keleivių duomenų bazių „pre-screening“ metodo pobūdis ir tvarka, taip pat „grėsmės rodiklių“ kriterijai. Galiausiai ji mano, kad PNR įstatymas viršija tai, kas griežtai būtina, nes juo siekiama platesnių PNR duomenų tvarkymo tikslų nei tie, kurie pripažįstami pagal PNR direktyvą, ir kad penkerių metų PNR duomenų saugojimo terminas yra neproporcingas. Antrajame ieškinio pagrinde, kuris pateiktas subsidiariai ir grindžiamas Belgijos Konstitucijos 22 straipsnio, siejamo su ESS 3 straipsnio 2 dalimi bei Chartijos 45 straipsniu, pažeidimu, LDH ginčija PNR įstatymo 11 skyriaus nuostatas, kuriomis perkeliama API direktyva.
34. Conseil des ministres du Royaume de Belgique (Belgijos Karalystės Ministrų taryba), kaip į bylą Cour constitutionnelle (Konstitucinis Teismas) įstojusi šalis, prieštarauja LDH ieškiniui ir ginčija tiek abiejų šiam ieškiniui pagrįsti pateiktų pagrindų priimtinumą, tiek jų pagrįstumą.
35. Cour constitutionnelle (Konstitucinis Teismas) savo ruožtu nurodo tokius argumentus.
36. Dėl pirmojo pagrindo jam visų pirma kyla klausimas, ar I priede pateikta PNR duomenų apibrėžtis yra pakankamai aiški ir tiksli. Kai kurių iš šių duomenų aprašymas yra pavyzdinio pobūdžio, o ne išsamus. Be to, minėtas teismas pažymi, kad PNR direktyvos 3 straipsnio 4 dalyje pateikta „keleivio“ sąvokos apibrėžtis reiškia bet kurio asmens, kuris yra vežamas arba turi būti vežamas ir kuris yra įtrauktas į keleivių sąrašus, PNR duomenų rinkimą, perdavimą, tvarkymą ir saugojimą, neatsižvelgiant į tai, ar yra rimtų priežasčių manyti, kad atitinkamas asmuo padarė nusikalstamą veiką arba rengiasi ją padaryti, arba buvo pripažintas kaltu dėl nusikalstamos veikos padarymo. Dėl PNR duomenų tvarkymo jis pažymi, kad yra sistemingai atliekamas išankstinis šių duomenų vertinimas, reiškiantis visų keleivių PNR duomenų kryžminį patikrinimą duomenų bazėse arba pagal iš anksto parengtus kriterijus, siekiant nustatyti atitiktį. Tačiau Cour constitutionnelle (Konstitucinis Teismas) patikslina, kad nors kriterijai turi būti konkretūs, patikimi ir nediskriminaciniai, jam atrodo, jog techniškai neįmanoma išsamiau apibrėžti iš anksto parengtus kriterijus, kurie bus naudojami rizikos profiliams nustatyti. Dėl PNR duomenų saugojimo termino, numatyto PNR direktyvos 12 straipsnio 1 dalyje, pagal kurią tokie duomenys gali būti saugomi penkerius metus, prašymą priimti prejudicinį sprendimą pateikęs teismas mano, jog PNR duomenys saugomi neatsižvelgiant į tai, ar atliekant išankstinį vertinimą nustatyta, kad atitinkami keleiviai gali kelti pavojų visuomenės saugumui. Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar atsižvelgiant į jurisprudenciją, suformuotą, be kita ko, 2016 m. gruodžio 21 d. Sprendime Tele2 Sverige ir Watson ir kt.(15) ir 2017 m. liepos 26 d. Nuomonėje 1/15 (ES ir Kanados PNR susitarimas)(16), PNR direktyvoje nustatyta PNR duomenų rinkimo, perdavimo, tvarkymo ir saugojimo sistema gali būti laikoma neperžengiančia to, kas yra griežtai būtina. Šiame kontekste šiam teismui taip pat kyla klausimas, ar pagal PNR direktyvą draudžiamos nacionalinės teisės nuostatos, kaip antai PNR įstatymo 8 straipsnio 1 dalies 4 punktas, pagal kurias leidžiama tvarkyti PNR duomenis kitais tikslais, nei numatyti šioje direktyvoje. Galiausiai jis klausia, ar informacijos apie keleivius skyrius gali būti laikomas „kita nacionaline valdžios institucija“, kuri pagal PNR direktyvos 12 straipsnio 3 dalies b punkto ii papunktį gali leisti atskleisti visus PNR duomenis praėjus šešių mėnesių laikotarpiui. Dėl antrojo ieškinio pagrindo prašymą priimti prejudicinį sprendimą pateikęs teismas pažymi, kad šiuo pagrindu ginčijami PNR įstatymo 3 straipsnio 1 dalis, 8 straipsnio 2 dalis ir 28–31 straipsniai, reglamentuojantys keleivių duomenų rinkimą ir tvarkymą, siekiant kovoti su neteisėta imigracija ir pagerinti sienų kontrolę. Primindamas, kad pagal pirmąją iš šių nuostatų šis įstatymas taikomas skrydžiams į šalies teritoriją, iš jos ir vykstant tranzitu per ją, šis teismas konstatuoja, kad nacionalinės teisės aktų leidėjas į šio įstatymo taikymo sritį įtraukė „ES vidaus“ skrydžius, kad gautų „išsamesnį vaizdą apie keleivius, kurie kelia potencialią grėsmę [Sąjungos vidaus] ir nacionaliniam saugumui“, remdamasis PNR direktyvos 2 straipsnyje, siejamame su jos 10 konstatuojamąja dalimi, numatyta galimybe.
37. Šiomis aplinkybėmis Cour constitutionnelle (Konstitucinis Teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar [BDAR] 23 straipsnis, siejamas su šio reglamento 2 straipsnio 2 dalies d punktu, turi būti aiškinamas kaip taikomas tokiam nacionaliniam teisės aktui, kaip [PNR įstatymas], kuriuo į nacionalinę teisę perkeliama [PNR direktyva], [API direktyva] ir [Direktyva 2010/65]?
2. Ar <…> I priedas yra suderinamas su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi tuo požiūriu, kad jame išvardyti duomenys yra itin plataus masto – be kita ko, [šio I priedo] 18 punkte nurodyta daugiau duomenų nei [API direktyvos] 3 straipsnio 2 dalyje – ir todėl, kad, vertinant juos kartu, jie galėtų atskleisti neskelbtinus duomenis ir taip viršyti ribas to, kas „griežtai būtina“?
3. Ar <…> I priedo 12 ir 18 punktai yra suderinami su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi tuo požiūriu, kad, atsižvelgiant į žodžius „įskaitant“, juose paminėti ne išsamūs duomenys, o tik duomenų pavyzdžiai, taigi nesilaikoma reikalavimo tiksliai ir aiškiai nustatyti taisykles, kuriomis apribojama teisė į privatų gyvenimą ir teisė į asmens duomenų apsaugą?
4. Ar [PNR direktyvos] 3 straipsnio 4 punktas ir <…> I priedas yra suderinami su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi tuo požiūriu, kad bendra keleivių duomenų rinkimo, tvarkymo ir perdavimo sistema, kuri sukuriama šiomis nuostatomis, taikoma visiems asmenims, kurie naudojasi atitinkama transporto priemone, neatsižvelgiant į jokius objektyvius kriterijus, leidžiančius manyti, kad šis asmuo gali kelti grėsmę visuomenės saugumui?
5. Ar [PNR direktyvos] 6 straipsnis, siejamas su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami tokie nacionalinės teisės aktai, kaip skundžiamas įstatymas, kuriuo pripažinta, kad vienas iš PNR duomenų tvarkymo tikslų yra nurodytų veiksmų stebėjimas, kurį vykdo žvalgybos ir saugumo tarnybos, taip šį tikslą įtraukiant į teroristinių nusikaltimų ir sunkių nusikaltimų prevenciją, nustatymą, tyrimą ir patraukimą už juos baudžiamojon atsakomybėn?
6. Ar [PNR direktyvos] 6 straipsnis yra suderinamas su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi tuo požiūriu, kad neatsižvelgiant į jokius objektyvius kriterijus, leidžiančius manyti, jog atitinkamas asmuo gali kelti grėsmę visuomenės saugumui, sistemiškai ir bendrai vykdomas juo reglamentuojamas išankstinis tokių keleivių duomenų vertinimas, duomenis siejant su duomenų bazėmis ir iš anksto nustatytais kriterijais?
7. Ar [PNR direktyvos] 12 straipsnio 3 dalyje nurodytą sąvoką „[kita] nacionalin[ė] valdžios institucij[a]“ galima aiškinti taip, kad tokia institucija yra Informacijos apie keleivius skyrius, įsteigtas [PNR įstatymu], kuris, praėjus šešių mėnesių terminui, galėtų suteikti prieigos prie PNR duomenų leidimą vykdant ad hoc užklausas?
8. Ar [PNR direktyvos] 12 straipsnis, siejamas su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami tokie nacionalinės teisės aktai, kaip skundžiamas įstatymas, kuriuo numatytas bendras penkerių metų duomenų saugojimo laikotarpis, nenustatant kitų taisyklių atsižvelgiant į tai, ar, atlikus išankstinį vertinimą, atitinkami keleiviai gali kelti grėsmę visuomenės saugumui?
9. a) Ar [API direktyva] yra suderinama su [ESS] 3 straipsnio 2 dalimi ir [Chartijos] 45 straipsniu tuo požiūriu, kad joje nustatytos pareigos taikomos [Sąjungos] vidaus skrydžiams?
b) Ar [API direktyva], siejama su [ESS] 3 straipsnio 2 dalimi ir [Chartijos] 45 straipsniu, turi būti aiškinama taip, kad pagal ją draudžiami tokie nacionalinės teisės aktai, kaip skundžiamas įstatymas, pagal kurį, siekiant kovoti su neteisėta imigracija ir sugriežtinti pasienio kontrolę, leidžiama nustatyti keleivių, „atvykstančių, išvykstančių ir keliaujančių tranzitu per šalies teritoriją“, duomenų rinkimo ir tvarkymo sistemą, o tai galėtų netiesiogiai reikšti pasienio kontrolės prie vidaus sienų atkūrimą?
10. Jeigu remdamasis ankstesniuose punktuose pateiktais atsakymais į prejudicinius klausimus Konstitucinis Teismas turėtų nuspręsti, kad skundžiamu įstatymu, kuriuo, be kita ko, į nacionalinę teisę perkeliama [PNR direktyva], pažeidžiamas vienas ar keli įsipareigojimai pagal šiuose klausimuose nurodytas nuostatas, ar jis galėtų laikinai palikti galioti [PNR įstatymą], kad būtų išvengta teisinio nesaugumo ir anksčiau surinkti bei saugomi duomenys dar galėtų būti naudojami [šiame] įstatyme numatytais tikslais?“
38. Rašytines pastabas pagal Europos Sąjungos Teisingumo Teismo statuto 23 straipsnį pateikė LDH, Belgijos, Čekijos, Danijos, Vokietijos, Estijos, Airijos, Ispanijos, Prancūzijos, Kipro, Latvijos, Nyderlandų, Austrijos, Lenkijos, Suomijos vyriausybės, taip pat Europos Palamentas, Europos Sąjungos Taryba ir Europos Komisija. Pagal Europos Sąjungos Teisingumo Teismo statuto 24 straipsnį Komisija, Europos duomenų apsaugos priežiūros pareigūnas (EDAPP) ir Europos Sąjungos pagrindinių teisių agentūra (FRA) buvo paprašyti raštu atsakyti į Teisingumo Teismo pateiktus klausimus. Posėdis įvyko 2021 m. liepos 13 d.
III. Analizė
A. Dėl pirmojo prejudicinio klausimo
39. Pirmuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 2 straipsnio 2 dalies d punktas turi būti aiškinamas taip, kad šis reglamentas, visų pirma jo 23 straipsnio 1 dalis, pagal kurią Sąjungos teisė arba valstybių narių įstatymai teisėkūros priemonėmis ir išsamiai išvardytais pagrindais gali apriboti minėtame reglamente numatytų pareigų ir teisių apimtį, taikomas duomenų tvarkymui, vykdomam remiantis nacionalinės teisės aktais, kaip antai PNR įstatymu, kuriuo į nacionalinę teisę perkeliamos PNR direktyva, taip pat API direktyva ir Direktyva 2010/65.
40. BDAR 2 straipsnio 2 dalyje yra numatytos šio reglamento taikymo srities išimtys, kaip antai labai plačiai apibrėžtos(17) jo 2 straipsnio 1 dalyje(18). Kadangi šios taikymo išimtys susijusios su teisės aktu, reglamentuojančiu asmens duomenų tvarkymą, kuris gali pažeisti pagrindines laisves, jos turi būti aiškinamos siaurai(19).
41. BDAR 2 straipsnio 2 dalies d punkte, be kita ko, nustatyta išlyga, pagal kurią šis reglamentas netaikomas asmens duomenų tvarkymui, kai duomenis tvarko „kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais“. Ši išlyga grindžiama dviem kriterijais – subjektyviuoju ir objektyviuoju. Taigi, į minėto reglamento taikymo sritį nepatenka duomenų tvarkymas, pirma, kai jį vykdo „kompetentingos valdžios institucijos“, ir, antra, kai jis atliekamas šioje nuostatoje išvardytais tikslais. Todėl įvairias duomenų tvarkymo rūšis, kurioms taikomas PNR įstatymas, reikia vertinti atsižvelgiant į šiuos du kriterijus.
42. Pirma, dėl vežėjų (oro, geležinkelio, sausumos ir jūrų) arba kelionių organizatorių atliekamo duomenų tvarkymo paslaugų teikimo arba komerciniais tikslais pažymėtina, kad tokiam duomenų tvarkymui, kaip nurodytas šiame įstatyme, taikytinas BDAR, nes netenkintas nei subjektyvusis, nei objektyvusis netaikymo kriterijaus, nustatyto šio reglamento 2 straipsnio 2 dalies d punkte, aspektas.
43. Antra, kalbant apie vežėjų ar kelionių organizatorių atliekamą PNR duomenų perdavimą informacijos apie keleivių skyriui, kuris savaime yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 dalį(20), pažymėtina, jog yra mažiau akivaizdu, ar toks duomenų tvarkymas patenka į šio reglamento taikymo sritį.
44. Viena vertus, šį perdavimą vykdo ne „kompetentinga institucija“, kaip tai suprantama pagal Policijos direktyvos 3 straipsnio 7 dalį, kuria reikia remtis pagal analogiją, nes BDAR nepateikta šios sąvokos apibrėžties(21). Ekonominės veiklos vykdytojas, kaip antai transporto įmonė arba kelionių agentūra, kuriam tenka tik teisinė pareiga perduoti asmens duomenis ir kuriam nėra patikėta jokios valdžios institucijos prerogatyvos(22), negali būti laikomas įstaiga arba subjektu, kaip tai suprantama pagal minėto 3 straipsnio 7 dalies b punktą(23).
45. Kita vertus, transporto įmonės ir kelionių organizatoriai perduoda PNR duomenis vykdydami įstatyme nustatytą įpareigojimą, kad būtų galima pasiekti BDAR 2 straipsnio 2 dalies d punkte išvardytus tikslus.
46. Vis dėlto, mano nuomone, iš šios nuostatos formuluotės aiškiai matyti, kad į BDAR taikymo sritį nepatenka tik toks duomenų tvarkymas, kuris atitinka ir subjektyvųjį, ir objektyvųjį toje nuostatoje įtvirtinto netaikymo kriterijaus aspektą. Todėl PNR duomenų perdavimas informacijos apie keleivius skyriui, kaip to reikalaujama iš transporto įmonių ir kelionių organizatorių pagal PNR įstatymą, patenka į šio reglamento taikymo sritį.
47. Kalbant apie PNR įstatymo nuostatas, kuriomis į nacionalinę teisę perkeliama PNR direktyva, pažymėtina, jog šią išvadą patvirtina šios direktyvos 21 straipsnio 2 dalis, kurioje numatyta, kad minėta direktyva „nedaromas poveikis Direktyvos 95/46/EB(24) taikymui oro vežėjų vykdomam asmens duomenų tvarkymui“. Mano nuomone, reikia atmesti, be kita ko, Prancūzijos vyriausybės siūlomą šios nuostatos aiškinimą, kad toje nuostatoje tėra numatyta, jog vežėjams išlieka taikytini BDAR įtvirtinti įpareigojimai dėl duomenų tvarkymo, kuris nenumatytas PNR direktyvoje. Iš tiesų, atsižvelgiant į šios „išlygos dėl poveikio nedarymo“ formuluotę, matyti, kad jos taikymo sritis yra plati ir apibrėžta tik pagal duomenų tvarkymo subjektą, visiškai nenurodant nei tvarkymo tikslo, nei jo konteksto, t. y. ar šis duomenų tvarkymas atliekamas oro vežėjams vykdant komercinę veiklą, ar įgyvendinant teisės aktuose nustatytą įpareigojimą. Be to, pažymiu, kad tokia pati išlyga įtvirtinta PNR direktyvos 13 straipsnio 3 dalyje, kurioje konkrečiai nurodytos oro vežėjų pareigos pagal BDAR „imtis tinkamų techninių ir organizacinių priemonių asmens duomenų saugumui ir konfidencialumui apsaugoti“. Taigi, tai yra viena iš nuostatų, reglamentuojančių asmens duomenų, tvarkomų pagal PNR direktyvą, apsaugą, ir ji grindžiama šios direktyvos 13 straipsnio 1 dalimi, pagal kurią apskritai bet kokiam duomenų tvarkymui, atliekamam pagal minėtą direktyvą, taikomos joje nurodytos Pamatinio sprendimo 2008/977/TVR nuostatos. Priešingai, nei teigia Prancūzijos vyriausybė, tokia teisės akto struktūra leidžia, pirma, aiškinti 13 straipsnio 3 dalį kaip nuostatą, pagal kurią BDAR taikymo sričiai priskiriamas tik tas PNR direktyvoje numatytas duomenų tvarkymas, kurio nevykdo „kompetentingos institucijos“, kaip jos apibrėžtos Policijos direktyvoje, ir, antra, suprasti nuorodą į minėtame reglamente nustatytų pareigų, susijusių su duomenų saugumu ir konfidencialumu, laikymąsi kaip priminimą apie apsaugos priemones, kurios privalo būti užtikrintos, kai vežėjai perduoda PNR duomenis informacijos apie keleivius skyriams.
48. Šios išvados 46 punkte padarytos išvados nepaneigia BDAR 19 konstatuojamoji dalis ir Policijos direktyvos 11 konstatuojamoji dalis, į kurias, be kita ko, daro nuorodą Vokietijos, Airijos ir Prancūzijos vyriausybės, siekdamos pagrįsti, kad PNR direktyva yra lex specialis pobūdžio. Šiuo klausimu pažymėtina, jog iš tiesų šioje direktyvoje, kiek tai susiję su joje numatytu asmens duomenų tvarkymu, nustatyta šių duomenų apsaugos sistema, kuri yra nepriklausoma nuo BDAR. Vis dėlto ši speciali sistema taikoma tik PNR duomenų tvarkymui, kurį vykdo „kompetentingos institucijos“, kaip jos suprantamos pagal Policijos direktyvos 3 straipsnio 7 punktą, įskaitant informacijos apie keleivius skyrius, o PNR duomenų perdavimui informacijos apie keleivius skyriams išlieka taikytina bendra sistema, nustatyta BDAR, be kita ko, taikant PNR direktyvos 21 straipsnio 2 dalyje numatytą „išlygą dėl poveikio nedarymo“.
49. Grįsdamos savo teiginį, kad BDAR netaikomas vežėjų ir kelionių organizatorių vykdomam PNR duomenų perdavimui informacijos apie keleivius skyriams, Belgijos, Airijos, Prancūzijos ir Kipro vyriausybės remiasi 2006 m. gegužės 30 d. Sprendimu Parlamentas / Taryba ir Komisija(25), kuriame Teisingumo Teismas nusprendė, jog Bendrijos oro vežėjų vykdomas PNR duomenų perdavimas Jungtinių Amerikos Valstijų valdžios institucijoms pagal pastarųjų ir Europos bendrijos sudarytą susitarimą yra asmens duomenų tvarkymas, kaip tai suprantama pagal Direktyvos 95/46 3 straipsnio 2 dalies pirmą įtrauką(26), todėl nepatenka į šios direktyvos taikymo sritį. Darydamas šią išvadą Teismas atsižvelgė į duomenų perdavimo tikslą ir į tai, kad šis perdavimas „vyksta pagal valstybės institucijų nustatytą tvarką“, nors duomenis rinko ir perdavė privatūs subjektai(27).
50. Šiuo klausimu pakanka pažymėti, kad 2020 m. spalio 6 d. Sprendime La Quadrature du Net ir kt.(28) Teisingumo Teismas iš esmės nusprendė, jog Sprendimas Parlamentas / Taryba netaikytinas BDAR kontekste(29).
51. Be to, Sprendimo La Quadrature du Net(30), kuriame pagal analogiją taikomi argumentai, pateikti Sprendime Tele2 Sverige ir 2018 m. spalio 2 d. Sprendime Ministerio Fiscal(31), 102 punkte Teisingumo Teismas teigė, kad „[n]ors [BDAR] 2 straipsnio 2 dalies d punkte nurodyta, kad jis netaikomas, kai duomenis tvarko „kompetentingos valdžios institucijos“, siekdamos užkirsti kelią nusikalstamoms veikoms ir jas nustatyti, įskaitant apsaugą nuo grėsmės visuomenės saugumui ir tokios grėsmės prevenciją, iš to paties reglamento 23 straipsnio 1 dalies d ir h punktų matyti, kad asmens duomenų tvarkymas, kurį tuo pačiu tikslu atlieka privatūs asmenys, patenka į šio reglamento taikymo sritį“(32).
52. Dėl jau išdėstytų priežasčių esu įsitikinęs, jog išvada, kad transporto įmonių ir kelionių organizatorių vykdomas PNR duomenų perdavimas informacijos apie keleivius skyriams patenka į BDAR taikymo sritį, aiškiai išplaukia jau iš BDAR 2 straipsnio 2 dalies d punkto formuluotės, kurioje kalbama tik apie „kompetentingų valdžios institucijų“ atliekamą duomenų tvarkymą, ir nebūtina remtis minėto reglamento 23 straipsnio 1 dalyje esančia apribojimo sąlyga(33). Kad ir kaip būtų, Sprendimo La Quadrature du Net 102 punkte pateiktas teiginys yra aiškus Teisingumo Teismo nuomonės pareiškimas, kuriuo pritariama tokiai išvadai.
53. Kadangi transporto įmonių ir kelionių organizatorių vykdomas PNR duomenų perdavimas patenka į BDAR taikymo sritį, nacionalinės teisės aktai, kaip antai PNR įstatymas, kuriais šios įmonės ir šie organizatoriai įpareigojami atlikti tokį perdavimą, yra „teisėkūros priemonė“, kaip tai suprantama pagal BDAR 23 straipsnio 1 punkto d papunktį, todėl turi atitikti šioje nuostatoje numatytas sąlygas(34).
54. Trečia, kiek tai susiję su informacijos apie keleivius skyrių ir kompetentingų nacionalinių institucijų atliekamu PNR duomenų tvarkymu, pažymėtina, kad, kaip matyti iš to, kas išdėstyta pirma, BDAR taikymas priklauso nuo šiuo tvarkymu siekiamų tikslų.
55. Taigi, pirma, PNR duomenų tvarkymas, kurį atlieka informacijos apie keleivius skyriai ir kompetentingos nacionalinės institucijos PNR įstatymo 8 straipsnio 1 dalies 1–3 ir 5 punktuose išvardytais tikslais(35), nepatenka į BDAR taikymo sritį tiek, kiek, atrodo, šiems tikslams taikytina BDAR 2 straipsnio 2 dalies d punkte nustatyta išlyga. Su šiuo duomenų tvarkymu susijusių asmenų duomenų apsauga yra nacionalinės teisės klausimas, kuriam taikoma Policijos direktyva(36) ir, atsižvelgiant į jos taikymo sritį, – PNR direktyva.
56. Antra, tas pats pasakytina ir apie PNR duomenų tvarkymą, kurį atlieka informacijos apie keleivius skyriai ir saugumo bei žvalgybos tarnybos, vykdydamos Konstitucinio žvalgybos ir saugumo tarnybų įstatymo nuostatose, kurios išvardytos PNR įstatymo 8 straipsnio 1 dalies 4 punkte, nurodytų veiksmų stebėseną, jei šis tvarkymas atitinka BDAR 2 straipsnio 2 dalies d punkte nurodytus tikslus, o tai turi įvertinti prašymą priimti prejudicinį sprendimą pateikęs teismas.
57. Belgijos vyriausybė teigia, kad pagal PNR įstatymo 8 straipsnio 1 dalies 4 punktą atliekamam duomenų tvarkymui bet kuriuo atveju taikomos BDAR 2 straipsnio 2 dalies a punkte numatyta išlyga ir Policijos direktyvos 2 straipsnio 3 dalies a punkte numatyta išlyga, nes saugumo ir žvalgybos tarnybų veikla nepatenka į Sąjungos teisės taikymo sritį.
58. Šiuo atžvilgiu pabrėždamas, kad Teisingumo Teismui nepateikta klausimo dėl šių nuostatų išaiškinimo, pirmiausia noriu pažymėti, jog Teisingumo Teismas jau yra nusprendęs, kad nacionalinės teisės aktai, kuriais privatiems subjektams nustatomos pareigos dėl duomenų tvarkymo, patenka į Sąjungos teisės nuostatų dėl asmens duomenų apsaugos taikymo sritį, net jei šiais nacionalinės teisės aktais siekiama apsaugoti nacionalinį saugumą(37). Darytina išvada, kad PNR įstatyme vežėjams ir kelionių organizatoriams nustatytas įpareigojimas perduoti duomenis iš principo patenka į BDAR taikymo sritį net ir tuomet, kai duomenys perduodami šio įstatymo 8 straipsnio 1 dalies 4 punkto tikslais.
59. Be to, pažymiu, kad nors BDAR 16 konstatuojamojoje dalyje nurodyta, jog šis reglamentas netaikomas „su nacionaliniu saugumu susijusia[i] veikla[i]“, o Policijos direktyvos 14 konstatuojamojoje dalyje patikslinta, kad „su nacionaliniu saugumu susijusi veikla, nacionalinio saugumo klausimus sprendžiančių agentūrų ar padalinių veikla <…> neturėtų būti laikoma veikla, patenkančia į šios direktyvos taikymo sritį“, kriterijai, kuriais remiantis valstybės narės valdžios institucijos, viešosios tarnybos ar agentūros atliekamas asmens duomenų tvarkymas patenka į vieno ar kito Sąjungos teisės akto, kuriuo organizuojama duomenų subjektų apsauga tokio tvarkymo atžvilgiu, taikymo sritį arba nepatenka į tos teisės taikymo sritį, atitinka logiką, susijusią tiek su tai valdžios institucijai, tarnybai ar agentūrai priskirtomis funkcijomis, tiek su to tvarkymo tikslais. Taigi, Teisingumo Teismas nusprendė, kad „turi būti laikoma, kad BDAR 2 straipsnio 2 dalies a punkto, siejamo su jo 16 konstatuojamąja dalimi, vienintelis tikslas – į minėto reglamento taikymo sritį neįtraukti asmens duomenų tvarkymo, kai jį atlieka valstybės institucijos, vykdydamos veiklą, kuria siekiama užtikrinti nacionalinį saugumą, arba veiklą, kuri gali būti priskirta prie tos pačios kategorijos, todėl vien to, kad veikla yra būdinga valstybei ar valstybės institucijai, nepakanka, kad ši išimtis būtų automatiškai jai taikoma“(38). Teisingumo Teismas taip pat patikslino, kad „veikla, kuria siekiama užtikrinti nacionalinį saugumą, nurodyta BDAR 2 straipsnio 2 dalies a punkte, visų pirma apima veiklą, skirtą apsaugoti esminėms valstybės funkcijoms ir pagrindiniams visuomenės interesams“(39). Iš to išplaukia, kad jei valstybė narė savo saugumo ir žvalgybos tarnyboms patikėtų užduotis Policijos direktyvos 3 straipsnio 7 dalies a punkte išvardytose srityse, šių tarnybų atliekamas duomenų tvarkymas vykdant šias užduotis patektų į tos direktyvos ir atitinkamu atveju – į PNR direktyvos taikymo sritį. Apskritai pažymėtina, kad Teisingumo Teismas, aiškindamas ESS 4 straipsnio 2 dalį, kuria remiasi, be kita ko, Belgijos vyriausybė, ne kartą yra nusprendęs, jog vien dėl to, kad nacionalinė priemonė buvo priimta siekiant apsaugoti nacionalinį saugumą, Sąjungos teisė negali būti netaikoma ir valstybės narės negali būti atleistos nuo būtinybės laikytis šios teisės(40), taigi jis nepritarė tam, kad valstybių narių veiklai, susijusiai su nacionalinio saugumo apsauga, būtų automatiškai ir bendrai netaikoma Sąjungos teisė.
60. Trečia, remiantis visų pastabas pateikusių suinteresuotųjų asmenų, išskyrus Prancūzijos vyriausybę, nuomone, reikia manyti, kad PNR duomenų tvarkymas, kurį kompetentingos Belgijos institucijos atlieka PNR įstatymo 8 straipsnio 2 dalyje nurodytais tikslais, t. y. „siekiant pagerinti asmenų, kertančių išorines sienas, kontrolę ir kovoti su neteisėta imigracija“(41), nepatenka nei į BDAR 2 straipsnio 2 dalies d punkte numatytos išlygos taikymo sritį, nei į kitos šiame straipsnyje numatytos išlygos taikymo sritį, todėl jam taikomas šis reglamentas. Priešingai, nei teigia Prancūzijos vyriausybė, minėtam duomenų tvarkymui negali būti taikoma nei PNR direktyva, kurios 1 straipsnio 2 dalyje nustatyta, kad „[p]agal šią direktyvą renkami PNR duomenys gali būti tvarkomi tik teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais“, nei iš principo Policijos direktyva, kuri, remiantis jos 1 straipsnio 1 dalimi, taikoma tik kompetentingoms institucijoms tvarkant asmens duomenis „nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais“. Kaip matyti iš sprendimo dėl prašymo priimti prejudicinį sprendimą, PNR įstatymo 8 straipsnio 2 dalimi ir šio įstatymo 11 skyriumi, kuriame įtvirtintos nuostatos, reglamentuojančios PNR duomenų tvarkymą siekiant pagerinti sienų kontrolę ir kovoti su neteisėta imigracija, ir kuriame numatyta, kad šiuo tikslu informacijos apie keleivius skyriai perduoda šiuos duomenis, be kita ko, už sienų kontrolę atsakingoms policijos tarnyboms, siekiama į Belgijos teisę perkelti API direktyvą ir Direktyvą 2010/65. Tačiau pagal šias dvi direktyvas reikalaujama, kad kompetentingos institucijos, atlikdamos jose numatyto duomenų tvarkymo operacijas, laikytųsi Direktyvos 95/46 nuostatų(42). Priešingai, nei teigia Prancūzijos vyriausybė, nuoroda į šioje direktyvoje numatytas apsaugos taisykles turi būti suprantama taip, kad ji apima bet kokį asmens duomenų tvarkymą, atliekamą pagal API direktyvą ir Direktyvą 2010/65. Tai, kad API direktyva įsigaliojo anksčiau nei Pamatinis sprendimas 2008/977/TVR, šiuo atžvilgiu nėra svarbu, nes tas pamatinis sprendimas ir jį pakeitusi Policijos direktyva yra susiję tik su API direktyvos 3 straipsnio 1 dalyje nurodytu asmens duomenų tvarkymu, kurį kompetentingos institucijos atlieka teisėsaugos tikslais(43).
61. Remdamasis visais išdėstytais argumentais siūlau Teisingumo Teismui į pirmąjį prejudicinį klausimą atsakyti, kad BDAR 23 straipsnis, siejamas su šio reglamento 2 straipsnio 2 dalies d punktu, turi būti aiškinamas taip, kad:
– jis taikomas nacionalinės teisės aktams, kuriais perkeliama PNR direktyva, jei šiais teisės aktais reglamentuojamas vežėjų ir kitų ekonominės veiklos vykdytojų atliekamas PNR duomenų tvarkymas, įskaitant PNR duomenų perdavimą informacijos apie keleivius skyriams, kaip numatyta minėtos direktyvos 8 straipsnyje,
– jis netaikomas nacionalinės teisės aktams, kuriais perkeliama PNR direktyva, jei šiais teisės aktais reglamentuojamas duomenų tvarkymas šios direktyvos 1 straipsnio 2 dalyje nurodytais tikslais, kurį atlieka kompetentingos nacionalinės valdžios institucijos, įskaitant informacijos apie keleivius skyrius, ir prireikus atitinkamos valstybės narės saugumo ir žvalgybos tarnybos,
– jis taikomas nacionalinės teisės aktams, kuriais perkeliamos API direktyva ir Direktyva 2010/65, siekiant pagerinti asmenų kontrolę prie išorės sienų ir kovoti su neteisėta imigracija.
B. Dėl antrojo, trečiojo, ketvirtojo, šeštojo ir aštuntojo prejudicinių klausimų
62. Antruoju, trečiuoju, ketvirtuoju ir šeštuoju prejudiciniais klausimais Cour constitutionnelle (Konstitucinis Teismas) klausia Teisingumo Teismo dėl PNR direktyvos galiojimo atsižvelgiant į Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį. Aštuntuoju prejudiciniu klausimu, nors jis suformuluotas kaip klausimas dėl išaiškinimo, iš esmės taip pat prašoma priimti sprendimą dėl šios direktyvos galiojimo.
63. Šie klausimai susiję su įvairiais minėtoje direktyvoje nustatytos PNR duomenų tvarkymo sistemos elementais ir, atsižvelgiant į kiekvieną iš šių elementų, prašoma įvertinti, ar įvykdytos sąlygos, būtinos tam, kad Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių įgyvendinimo apribojimai būtų teisėti. Taigi, antrasis ir trečiasis prejudiciniai klausimai yra susiję su I priede pateiktu PNR duomenų sąrašu, ketvirtasis – su PNR direktyvos 3 straipsnio 4 dalyje nurodytos sąvokos „keleivis“ apibrėžtimi, šeštasis – su PNR duomenų naudojimu atliekant išankstinį vertinimą pagal šios direktyvos 6 straipsnį, o aštuntasis – su šios direktyvos 12 straipsnio 1 dalyje numatytu PNR duomenų saugojimo terminu.
1. Dėl Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių
64. Pagal Chartijos 7 straipsnį užtikrinama kiekvieno asmens teisė į tai, kad būtų gerbiamas jo privatus ir šeimos gyvenimas, būsto neliečiamybė ir komunikacijos slaptumas. Chartijos 8 straipsnio 1 dalyje savo ruožtu aiškiai pripažįstama kiekvieno teisė į savo asmens duomenų apsaugą. Remiantis suformuota jurisprudencija, šios teisės, apimančios bet kokią informaciją apie fizinį asmenį, kurio tapatybė nustatyta arba gali būti nustatyta, yra glaudžiai susijusios, o prieiga prie asmens duomenų, siekiant juos saugoti ar naudoti, daro poveikį šio asmens pagrindinei teisei į privataus gyvenimo gerbimą(44).
65. Vis dėlto Chartijos 7 ir 8 straipsniuose įtvirtintos teisės nėra absoliučios ir turi būti vertinamos atsižvelgiant į jų socialinę funkciją visuomenėje(45). Taigi, pagal Chartijos 8 straipsnio 2 dalį leidžiama tvarkyti asmens duomenis, jei įvykdytos tam tikros sąlygos. Šioje nuostatoje numatyta, kad asmens duomenys turi būti tvarkomi „tinkamai <…> ir naudojami tik konkretiems tikslams ir tik atitinkamam asmeniui sutikus ar kitais įstatymo nustatytais teisėtais pagrindais“.
66. Be to, bet koks teisės į asmens duomenų apsaugą ir teisės į privatų gyvenimą apribojimas turi atitikti Chartijos 52 straipsnio 1 dalies reikalavimus. Taigi toks apribojimas turi būti numatytas įstatymo, nekeisti šių teisių esmės ir, laikantis proporcingumo principo, turi būti būtinas ir tikrai atitikti Sąjungos pripažintus bendrojo intereso tikslus arba poreikį apsaugoti kitų teises ir laisves.
67. Vertinant minėtas teises apribojančią priemonę taip pat reikia atsižvelgti į Chartijos 3, 4, 6 ir 7 straipsniuose įtvirtintų teisių svarbą ir į nacionalinio saugumo bei kovos su sunkiais nusikaltimais tikslų svarbą, prisidedant prie kitų asmenų teisių ir laisvių apsaugos(46). Šiuo klausimu pažymėtina, kad Chartijos 6 straipsnyje įtvirtinta kiekvieno asmens teisė ne tik į laisvę, bet ir į saugumą(47).
68. Be to, Chartijos 52 straipsnio 3 dalimi siekiama užtikrinti būtiną joje įtvirtintų teisių ir atitinkamų EŽTK garantuojamų teisių, į kurias reikia atsižvelgti kaip į minimalią apsaugą, nuoseklumą(48). Chartijos 7 straipsnyje įtvirtinta teisė į privataus ir šeimos gyvenimo gerbimą atitinka EŽTK 8 straipsnyje garantuojamą teisę, todėl jai turi būti suteikta tokia pati reikšmė ir apimtis(49). Iš Europos Žmogaus Teisių Teismo (toliau – EŽTT) jurisprudencijos matyti, kad šiuo straipsniu garantuojamų teisių apribojimas gali būti pateisinamas atsižvelgiant į minėto straipsnio 2 dalį tik tuomet, jei numatytas įstatymo, susijęs su vienu ar keliais šioje dalyje išvardytais teisėtais tikslais ir būtinas demokratinėje visuomenėje šiems tikslams pasiekti(50). Priemonė taip pat turi būti suderinama su teisės viršenybės principu, aiškiai paminėtu EŽTK preambulėje ir neatsiejamu nuo jos 8 straipsnio dalyko ir tikslo(51).
69. Cour constitutionnelle (Konstitucinis Teismas) pateiktus klausimus dėl galiojimo įvertinimo reikia nagrinėti atsižvelgiant būtent į šiuos principus.
2. Dėl Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymo
70. Teisingumo Teismas jau yra nusprendęs, kad nuostatos, kuriomis įpareigojama arba leidžiama perduoti fizinių asmenų asmens duomenis trečiajai šaliai, pavyzdžiui, valdžios institucijai, nesant šių fizinių asmenų sutikimo ir neatsižvelgiant į tolesnį atitinkamų duomenų panaudojimą, turi būti laikomos jų privataus gyvenimo suvaržymu, taigi, ir Chartijos 7 straipsnyje garantuojamos teisės apribojimu, išskyrus atvejį, kai tos nuostatos gali būti pateisinamos(52). Tas pats pasakytina net nesant aplinkybių, dėl kurių šį suvaržymą būtų galima laikyti „dideliu“, taip pat neatsižvelgiant į tai, ar atitinkama su privačiu gyvenimu susijusi informacija laikytina neskelbtina, arba į tai, ar suinteresuotieji asmenys dėl minėto suvaržymo galimai patyrė nepatogumų(53). Viešosios valdžios institucijų prieiga prie tokios informacijos taip pat laikytina pagal Chartijos 8 straipsnį garantuojamos pagrindinės teisės į asmens duomenų apsaugą suvaržymu, nes tai yra asmens duomenų tvarkymas(54). Be to, duomenų, susijusių su asmens privačiu gyvenimu, saugojimas tam tikrą laikotarpį savaime yra Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymas(55).
71. Teisingumo Teismas taip pat yra nusprendęs, kad PNR duomenys, kaip antai išvardyti I priede, apima informaciją apie fizinius asmenis, kurių tapatybė nustatyta, t. y. atitinkamus oro transporto keleivius, todėl tokių duomenų įvairaus pobūdžio tvarkymas daro poveikį pagal Chartijos 7 straipsnį užtikrinamai pagrindinei teisei į privataus gyvenimo gerbimą. Be to, šiam duomenų tvarkymui taikomas ir Chartijos 8 straipsnis, todėl jis turi atitikti šiame straipsnyje numatytus duomenų apsaugos reikalavimus(56).
72. Taigi pagal PNR direktyvą leidžiamas PNR duomenų tvarkymas ir, be kita ko, kiek tai susiję su šia byla, oro vežėjų atliekamas šių duomenų perdavimas informacijos apie keleivius skyriams, jų naudojimas šiuose skyriuose, vėlesnis jų perdavimas kompetentingoms nacionalinėms institucijoms, kaip tai suprantama pagal šios direktyvos 7 straipsnį, ir jų saugojimas – visa tai yra Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymai.
73. Kalbant apie šių suvaržymų dydį, reikia pažymėti, pirma, kad pagal PNR direktyvą numatytas sistemingas ir tęstinis PNR duomenų perdavimas informacijos apie keleivius skyriams dėl kiekvieno oro transporto keleivio, kaip jis apibrėžtas šios direktyvos 3 straipsnio 4 punkte, kuris vyksta „ES išorės skrydžiu“, kaip tai suprantama pagal minėtos direktyvos 3 straipsnio 2 punktą. Toks duomenų perdavimas reiškia, kad informacijos apie keleivius skyriai turi bendrą prieigą prie visų perduodamų PNR duomenų(57). Priešingai, nei šioje byloje teigia kai kurios valstybės narės, šios išvados nepaneigia ta aplinkybė, kad dėl automatizuoto duomenų tvarkymo informacijos apie keleivius skyriai turi galimybę konkrečiai susipažinti tik su tais duomenimis, kuriuos išanalizavus buvo nustatyta atitiktis. Iš tiesų, pirma, tokia aplinkybė iki šiol netrukdė Teisingumo Teismui teigti, kiek tai susiję su panašiomis sistemomis, kai automatizuotai tvarkomi „nerūšiuojant“ surinkti arba saugomi asmens duomenys, kad šiuo atveju atitinkamos valdžios institucijos turi bendrą prieigą prie tokių duomenų. Antra, vien asmens duomenų pateikimas valdžios institucijoms, kad šios juos tvarkytų ir saugotų, reiškia, kad šios institucijos a priori turi bendrą ir visišką prieigą prie tokių duomenų, o tai sudaro pagrindinių teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą suvaržymą.
74. Antra, pagal PNR direktyvos 2 straipsnio 1 dalį valstybės narės gali nuspręsti taikyti šią direktyvą „ES vidaus skrydžiams“, kaip tai suprantama pagal minėtos direktyvos 3 straipsnio 3 punktą. Šiuo klausimu pažymiu, pirma, kad PNR direktyvoje ne tik numatyta galimybė valstybėms narėms išplėsti jos taikymą ES vidaus skrydžiams, bet ir nustatytos tiek formalios, tiek materialinės sąlygos, kuriomis reglamentuojamas šios galimybės įgyvendinimas(58), taip pat patikslinta, kad, kai šia galimybe pasinaudojama tik dėl tam tikrų ES vidaus skrydžių, šie skrydžiai turi būti atrenkami atsižvelgiant į šia direktyva siekiamus tikslus(59). Antra, PNR direktyvoje nustatytos tokios pasirinkimo galimybės įgyvendinimo pasekmės, nes jos 2 straipsnio 2 dalyje numatyta, kad jei valstybė narė nusprendžia taikyti šią direktyvą ES vidaus skrydžiams, visos jos nuostatos „taikomos ES vidaus skrydžiams taip, kaip jos būtų taikomos ES išorės skrydžiams, ir ES vidaus skrydžių PNR duomenims taip, kaip jos būtų taikomos ES išorės skrydžių PNR duomenims“.
75. Šiomis aplinkybėmis, priešingai, nei teigia kai kurios šioje byloje pastabas pateikusios vyriausybės, manau, jog, nepaisant to, kad PNR direktyvos taikymas ES vidaus skrydžiams priklauso nuo valstybių narių pasirinkimo, jei tokia galimybe pasinaudota, PNR direktyva sudaro teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą suvaržymų teisinį pagrindą, kalbant apie su šiais skrydžiais susijusių PNR duomenų perdavimą, tvarkymą ir saugojimą.
76. Išskyrus Danijos Karalystę, kuriai ši direktyva netaikoma(60), beveik visos valstybės narės taiko minėtoje direktyvoje nustatytą tvarką „ES vidaus skrydžiams“(61). Tai reiškia, kad ši tvarka taikoma visiems skrydžiams į Sąjungą ir iš jos, taip pat beveik visiems skrydžiams Sąjungos viduje.
77. Trečia, kalbant apie perduotinus PNR duomenis, pažymėtina, kad I priede išvardyta 19 duomenų kategorijų, apimančių biografinius duomenis(62), kelionės oro transportu detales(63) ir kitus duomenis, surinktus pagal vežimo oro transportu sutartį, kaip antai telefono numerį, elektroninio pašto adresą, mokėjimo būdus, kelionių agentūrą ar agentą, informaciją apie bagažą ir bendras pastabas(64). Tačiau, kaip Teisingumo Teismas nurodė Nuomonės 1/15 128 punkte dėl duomenų kategorijų, kurios išvardytos Kanados ir Europos Sąjungos susitarimo dėl keleivio duomenų įrašo duomenų perdavimo ir tvarkymo projekto (toliau – Kanados ir ES PNR susitarimo projektas) priede ir kurios iš esmės suformuluotos taip pat, kaip ir I priede, „net jeigu kai kurie PNR duomenys, vertinami atskirai, neatrodo kaip galintys atskleisti svarbią su atitinkamų asmenų privačiu gyvenimu susijusią informaciją, vis dėlto, vertinami kartu, jie gali atskleisti, be kita ko, visą kelionės maršrutą, kelionių įpročius, ryšius, egzistuojančius tarp dviejų ar daugiau asmenų, taip pat informaciją apie oro keleivių finansinę padėtį, jų mitybos įpročius ar sveikatos būklę, net galėtų atskleisti apie šiuos keleivius neskelbtinų duomenų“.
78. Ketvirta, pagal PNR direktyvos 6 straipsnį oro vežėjų perduodamus duomenis informacijos apie keleivius skyriai analizuoja automatizuotu būdu ir sistemingai, t. y. neatsižvelgiant į tai, ar yra bent menkiausių rodiklių, kad atitinkami asmenys gali būti susiję su teroristiniais nusikaltimais arba sunkiais nusikaltimais. Konkrečiau kalbant, atliekant šios direktyvos 6 straipsnio 2 dalies a punkte numatytą išankstinį keleivių vertinimą ir remiantis šio straipsnio 3 dalimi, minėti duomenys gali būti tikrinami palyginant juos su duomenimis „[tikslus] atitinkančiose“ duomenų bazėse (6 straipsnio 3 dalies a punktas) ir tvarkomi pagal iš anksto nustatytus kriterijus (6 straipsnio 3 dalies b punktas). Tačiau tikėtina, kad atlikus pirmojo tipo duomenų tvarkymo operaciją bus gauta papildomos informacijos apie privatų atitinkamų asmenų gyvenimą(65) ir, priklausomai nuo to, kokios duomenų bazės naudojamos kryžminiam patikrinimui, gali būti įmanoma net sudaryti tikslų šių asmenų profilį. Tokiomis aplinkybėmis kelių vyriausybių pareikštas prieštaravimas, kad PNR direktyva leidžia susipažinti tik su palyginti ribotu asmens duomenų rinkiniu, tinkamai neatspindi potencialaus pagrindinių teisių, saugomų pagal Chartijos 7 ir 8 straipsnius, suvaržymo masto, kiek tai susiję su duomenų, su kuriais gali būti leidžiama susipažinti, apimtimi. Dėl antrojo tipo duomenų tvarkymo operacijos, numatytos PNR direktyvos 6 straipsnio 3 dalies b punkte, primenu, kad Nuomonės 1/15 169 ir 172 punktuose Teisingumo Teismas pabrėžė, jog bet kokiai analizei, paremtai iš anksto nustatytais kriterijais, neišvengiamai būdinga tam tikra paklaida ir, be kita ko, tam tikras „klaidingų atitikčių“ skaičius. Remiantis prie Komisijos 2020 m. ataskaitos pridėtame Komisijos tarnybų darbo dokumente(66) (toliau – 2020 m. darbo dokumentas) pateiktais duomenimis, teigiamų rezultatų, kurie, atlikus 6 straipsnio 5 dalyje numatytą individualią peržiūrą, pasirodė esantys klaidingi, skaičius yra gana didelis ir 2018 bei 2019 m. buvo susijęs bent su 5 iš 6 identifikuotų asmenų(67).
79. Penkta, pagal PNR direktyvos 12 straipsnio 1 dalį PNR duomenys saugomi duomenų bazėje penkerius metus po jų perdavimo valstybės narės, į kurios teritoriją arba iš kurios teritorijos vykdomas skrydis, informacijos apie keleivius skyriui. Taigi, pagal PNR direktyvą leidžiama itin ilgai disponuoti informacija apie oro transporto keleivių privatų gyvenimą(68). Be to, kadangi PNR duomenų perdavimas susijęs su beveik visais skrydžiais iš Sąjungos, į ją ir jos viduje, o lėktuvas tapo gana įprasta transporto priemone, didelės dalies oro transporto keleivių asmens duomenys gali būti saugomi beveik nuolat vien dėl to, kad jie bent du kartus kas penkerius metus keliauja lėktuvu.
80. Galiausiai, kalbant bendriau, pažymėtina, kad PNR direktyvoje numatytomis priemonėmis, vertinant jų visumą, siekiama ES lygmeniu sukurti stebėjimo sistemą, kurioje stebėjimas yra „netikslinis“, t. y. neparemtas įtarimais dėl vieno ar kelių konkrečių asmenų, „masinis“, nes vykdomas daugelio asmenų asmens duomenų atžvilgiu(69) ir apima visus tam tikros kategorijos asmenis(70), ir „proaktyvus“, nes siekiama ne tik ištirti žinomas grėsmes, bet ir rasti ar nustatyti anksčiau nežinomus pavojus(71). Tokios priemonės dėl paties savo pobūdžio yra didelis pagrindinių teisių, saugomų pagal Chartijos 7 ir 8 straipsnius(72), suvaržymas, visų pirma dėl šių priemonių prevencinio ir prognozavimo tikslo, kuris reikalauja vertinti didelių gyventojų grupių asmens duomenis siekiant „identifikuoti“ asmenis, dėl kurių, atsižvelgiant į šio vertinimo rezultatus, turėtų būti atliktas nuodugnesnis kompetentingų institucijų tyrimas(73). Be to, tam tikrų sunkių nusikaltimų prevencijos tikslais vis plačiau naudojamas didelio kiekio įvairaus pobūdžio asmens duomenų, surinktų „nerūšiuojant“, tvarkymas, taip pat jų palyginimas ir susietas tvarkymas turi „kumuliacinį poveikį“, kuris didina pagrindinių teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą apribojimų dydį ir gali paskatinti laipsnišką perėjimą prie „stebėjimo visuomenės“(74).
81. Remdamasis visais išdėstytais argumentais manau, kad PNR direktyvos nulemtas pagrindinių teisių, saugomų pagal Chartijos 7 ir 8 straipsnius, suvaržymas turi būti kvalifikuojamas mažiausiai kaip „didelis“.
82. Tiesa, kaip visų pirma teigia Komisija, kad apsaugos priemonių ir garantijų visuma, numatyta PNR direktyvoje siekiant, be kita ko, išvengti piktnaudžiavimo PNR duomenimis, gali sumažinti tokių suvaržymų intensyvumą arba dydį. Vis dėlto tai nepaneigia tos aplinkybės, kad bet kokiai sistemai, pagal kurią valdžios institucijos gali susipažinti su asmens duomenimis ir juos tvarkyti, būdingas tam tikras pagrindinių teisių suvaržymo dydis, neatsiejamas nuo jo objektyvių požymių. Mano nuomone, prieš pradedant nagrinėti, kiek tai susiję su šių apribojimų proporcingumo vertinimu, šioje sistemoje numatytų apsaugos priemonių pakankamumą ir tinkamumą, turi būti nustatytas šis suvaržymo dydis. Man atrodo, kad Teisingumo Teismas būtent taip darė iki šiol.
83. Tam, kad pagrindinių teisių į privataus gyvenimo gerbimą ir į asmens duomenų apsaugą suvaržymai, išplaukiantys iš PNR direktyvos, būtų suderinami su Chartija, jie turi atitikti šios išvados 65 ir 66 punktuose nurodytas sąlygas, kurios bus nagrinėjamos toliau atsižvelgiant į aspektus, į kuriuos prašymą priimti prejudicinį sprendimą pateikęs teismas atkreipė Teisingumo Teismo dėmesį.
3. Dėl iš PNR direktyvos išplaukiančio suvaržymo pateisinimo
84. Trečiasis prejudicinis klausimas susijęs su Chartijos 52 straipsnio 1 dalies pirmame sakinyje įtvirtintos sąlygos, pagal kurią bet koks pagrindinės teisės suvaržymas turi būti „numatytas įstatymo“, laikymusi, o antruoju, ketvirtuoju, šeštuoju ir aštuntuoju prejudiciniais klausimais Teisingumo Teismo, be kita ko, klausiama, ar paisoma proporcingumo principo, nurodyto šios nuostatos antrame sakinyje.
a) Dėl reikalavimo, kad bet koks Chartijoje įtvirtintos pagrindinės teisės įgyvendinimo apribojimas būtų numatytas įstatymo, laikymosi
85. Pagal suformuotą Teisingumo Teismo jurisprudenciją(75), paremtą EŽTT jurisprudencija(76), reikalavimas, kad bet koks pagrindinės teisės įgyvendinimo apribojimas būtų „numatytas įstatymo“, nėra susijęs vien su suvaržymo „įstatymine“ kilme – tai nėra šios bylos dalykas, – bet taip pat reiškia, kad pats teisinis pagrindas, kuriuo remiantis leidžiamas toks apribojimas, turi aiškiai ir tiksliai apibrėžti jo apimtį. Kiek tai susiję su „įstatymo kokybe“, taigi su atitinkamos priemonės prieinamumu ir nuspėjamumu(77), šiuo antruoju aspektu, kurį apima žodžiai „numatytas įstatymo“, kaip tai suprantama tiek pagal Chartijos 52 straipsnio 1 dalį, tiek pagal Chartijos 8 straipsnio 2 dalį ir EŽTK 8 straipsnį, siekiama ne tik užtikrinti teisėtumo principo laikymąsi ir tinkamą apsaugą nuo savivalės(78), bet ir patenkinti teisinio saugumo reikalavimą. Šis reikalavimas taip pat patvirtintas 2016 m. rugpjūčio 19 d. 108-osios konvencijos(79) patariamojo komiteto nuomonėje dėl keleivių duomenų tvarkymo poveikio duomenų apsaugai (toliau – 2016 m. rugpjūčio 19 d. nuomonė)(80).
86. Priimdamas PNR direktyvą Sąjungos teisės aktų leidėjas pats apribojo Chartijos 7 ir 8 straipsniuose įtvirtintas teises. Taigi, pagal šią direktyvą leidžiami minėtų teisių suvaržymai negali būti laikomi valstybių narių pasirinkimo pasekme(81), nepaisant diskrecijos, kuria jos galėjo pasinaudoti perkeldamos ją į nacionalinę teisę, – šių apribojimų teisinis pagrindas yra pati PNR direktyva. Šiomis aplinkybėmis Sąjungos teisės aktų leidėjas, siekdamas laikytis šios išvados 80 punkte nurodytos jurisprudencijos ir, be kita ko, Chartijoje bei EŽTK įtvirtintų pagrindinių teisių apsaugos „aukštų standartų“, į kuriuos daroma nuoroda PNR direktyvos 15 konstatuojamojoje dalyje, privalėjo priimti aiškias ir tikslias taisykles, apibrėžiančias priemonių, kuriomis nustatomi tokie suvaržymai, apimtį ir taikymą.
87. Nors prašymą priimti prejudicinį sprendimą pateikęs teismas užduoda savo trečiąjį prejudicinį klausimą konkrečiai dėl šios pareigos laikymosi, kiek tai susiję su I priedo 12 ir 18 punktais, nagrinėjant antrąjį, ketvirtąjį ir šeštąjį klausimus, – kuriuose šiam teismui kyla abejonių dėl Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymų, nustatytų PNR direktyvoje, būtinumo, – taip pat reikėtų pareikšti nuomonę dėl ginčijamų PNR direktyvos nuostatų pakankamo aiškumo ir tikslumo.
88. Nors, kaip nurodžiau šios išvados 85 punkte, ši analizė susijusi su suvaržymo teisėtumu, kaip tai suprantama pagal Chartijos 52 straipsnio 1 dalies pirmą sakinį, ją atliksiu nagrinėdamas šio suvaržymo proporcingumą, nurodytą tos dalies antrame sakinyje, vadovaudamasis tiek Teisingumo Teismo, tiek EŽTT požiūriu bylose, kuriose nagrinėjamos su asmens duomenų tvarkymu susijusios priemonės(82).
b) Dėl Chartijos 7 ir 8 straipsniuose įtvirtintų teisių esmės paisymo
89. Pagal Chartijos 52 straipsnio 1 dalies pirmą sakinį bet koks pagrindinių teisių įgyvendinimo apribojimas turi būti grindžiamas ne tik pakankamai aiškiu teisiniu pagrindu, bet ir nekeisti šių teisių esmės.
90. Kaip išdėsčiau šios išvados 66 punkte, šis reikalavimas – kuris yra įtrauktas į įvairių valstybių narių konstitucijas(83) ir kuris, nors ir nėra tiesiogiai pripažintas EŽTK, tačiau gerai įtvirtintas EŽTT jurisprudencijoje(84), – nustatytas Chartijos 52 straipsnio 1 dalyje(85). Toks reikalavimas, kurį Teisingumo Teismas pripažino gerokai anksčiau, nei jis buvo kodifikuotas(86), buvo nuolat patvirtinamas Sąjungos teismų jurisprudencijoje, net ir įsigaliojus Lisabonos sutarčiai.
91. Be kita ko, iš 2015 m. spalio 6 d. Sprendimo Schrems (87) matyti, jog Sąjungos teisės akto neatitiktis esminiam pagrindinės teisės turiniui savaime reiškia, kad šis aktas yra niekinis arba negaliojantis, nesant būtinybės lyginti atitinkamų interesų. Taigi Teisingumo Teismas pripažįsta, kad kiekviena pagrindinė teisė yra „branduolys“, užtikrinantis kiekvienam asmeniui laisvės sritį, į kurią nesikiša valdžios institucijos ir kuri negali būti ribojama(88), antraip būtų pakenkta demokratijos, teisinės valstybės ir pagarbos žmogaus orumui principams, kuriais grindžiama pagrindinių teisių apsauga. Be to, tiek iš Chartijos 52 straipsnio 1 dalies formuluotės, tiek iš Teisingumo Teismo jurisprudencijos, visų pirma iš Sprendimo Schrems I, matyti, kad vertinimas, ar buvo pažeista atitinkamos pagrindinės teisės esmė, turi būti atliekamas prieš vertinant ginčijamos priemonės proporcingumą ir nepriklausomai nuo šio proporcingumo vertinimo. Kitaip tariant, tai yra savarankiškas testas.
92. Vis dėlto nustatyti, kas sudaro pagrindinės teisės, kurios įgyvendinimas gali būti ribojamas, „esmę“, t. y. neliečiamą turinį, yra itin sudėtinga. Nors, kad ši sąvoka galėtų atlikti savo funkciją, ją turėtų būti galima apibrėžti absoliučiai, atsižvelgiant į esminius atitinkamos pagrindinės teisės požymius, subjektyvius ir objektyvius interesus, kuriuos ja siekiama apsaugoti, ir apskritai į jos funkciją demokratinėje visuomenėje, grindžiamoje pagarba žmogaus orumui(89), praktiškai toks veiksmas beveik neįmanomas, bent jau neatsižvelgiant į kriterijus, kurie paprastai naudojami nagrinėjant atitinkamos teisės suvaržymo proporcingumą, kaip antai tokio suvaržymo dydis, jo mastas ar jo laiko aspektas, taigi neatsižvelgiant į kiekvienos bylos ypatumus.
93. Kalbant, be kita ko, apie pagrindinę teisę į privataus gyvenimo gerbimą, visų pirma reikia atsižvelgti ne tik į tai, kad kiekvieno asmens psichinei ir fizinei sveikatai, gerovei, savarankiškumui, asmenybės raidai ir jo gebėjimui užmegzti bei puoselėti socialinius santykius yra svarbu turėti privačią sferą, kurioje jis gali plėtoti savo asmeninį vidinį gyvenimą, bet ir į šios teisės vaidmenį siekiant apsaugoti kitas teises ir laisves, kaip antai minties, sąžinės, religijos, saviraiškos ir informacijos laisves, kurių visiškas įgyvendinimas reikalauja pripažinti tam tikrą intymumo sferą. Apskritai reikia atsižvelgti į funkciją, kurią demokratinėje visuomenėje atlieka teisės į privatų gyvenimą gerbimas(90). Atrodo, kad Teisingumo Teismas vertina, ar yra pažeista šios teisės esmė, atsižvelgdamas tiek į suvaržymo intensyvumą, tiek į jo mastą, o tai leidžia manyti, kad toks pažeidimas apibrėžiamas labiau kiekybiškai nei kokybiškai. Pavyzdžiui, pirma, Sprendime Digital Rights Teisingumo Teismas iš esmės nusprendė, kad pagal Direktyvą 2006/24/EB(91) reikalaujamas duomenų saugojimas nepasiekia tokio lygio, kad keltų pavojų teisės į privataus gyvenimo gerbimą esmei, nes ši direktyva „neleidžia sužinoti paties elektroninių ryšių turinio“(92). Antra, Nuomonėje 1/15 Teisingumo Teismas iš esmės nusprendė, kad apribojimas, susijęs tik su tam tikrais atitinkamų asmenų privataus gyvenimo aspektais, negali reikšti šios pagrindinės teisės esmės suvaržymo(93).
94. Teisingumo Teismas, atrodo, mano, kad pagrindinės teisės į asmens duomenų apsaugą esmė išsaugoma, kai priemone, kuria nustatomas suvaržymas, apibrėžiami duomenų tvarkymo tikslai ir numatomos taisyklės, užtikrinančios atitinkamų duomenų saugumą, be kita ko, apsaugą nuo atsitiktinio ar neteisėto sunaikinimo, atsitiktinio praradimo ar pakeitimo(94).
95. Šioje byloje, nors prašymą priimti prejudicinį sprendimą pateikęs teismas aiškiai nenurodė Chartijos 7 ir 8 straipsniuose įtvirtintų teisių esmės paisymo reikalavimo, manau, kad šio reikalavimo laikymosi klausimas yra susijęs su ketvirtuoju ir šeštuoju prejudiciniais klausimais. Dėl šios priežasties siūlau Teisingumo Teismui jį išnagrinėti.
96. Primenu, kad Nuomonės 1/15 150 punkte pripažindamas, kad PNR duomenys „tam tikrais atvejais gali atskleisti labai tikslios informacijos apie asmens privatų gyvenimą“(95) ir kad tokia informacija gali tiesiogiai ar netiesiogiai atskleisti neskelbtinus atitinkamo asmens duomenis(96), Teisingumo Teismas, kiek tais susiję su Kanados ir ES PNR susitarimo projektu, vis dėlto nusprendė, kad „tokia informacija apsiriboj[o] tam tikrais privataus gyvenimo aspektais, ypač susijusiais su kelionėmis lėktuvu iš Kanados į Sąjungą, ir atvirkščiai“, todėl pagrindinės teisės į privataus gyvenimo gerbimą pažeidimas neturėjo įtakos šios teisės esmei.
97. Išskyrus tai, kad Kanados ir ES PNR susitarimo projekte nurodyti PNR duomenys turėjo būti perduoti trečiajai šaliai ir kad jų tolesnį tvarkymą turėjo atlikti tos trečiosios šalies valdžios institucijos savo teritorijoje, pagrindinės teisės į privataus gyvenimo gerbimą suvaržymai, kylantys iš minėto susitarimo projekto, ir PNR direktyvoje numatyti suvaržymai savo pobūdžiu iš esmės sutampa. Tai pasakytina, be kita ko, apie nurodytus PNR duomenis, apie šių duomenų perdavimo ir tvarkymo sistemingą ir bendrą pobūdį, automatizuotą šio tvarkymo pobūdį ir minėtų duomenų saugojimą. Tačiau abu atvejai skiriasi šių suvaržymų „geografine taikymo sritimi“. Iš tiesų, kaip nurodžiau šios išvados 77 punkte, šioje byloje nagrinėjamas duomenų tvarkymas neapsiriboja oro susisiekimu tik su viena trečiąja šalimi, kaip tai buvo Nuomonėje 1/15 nagrinėtu atveju, bet apima beveik visus į Sąjungą atvykstančius ir iš jos išvykstančius lėktuvų skrydžius bei Sąjungos viduje vykdomus skrydžius. Tai reiškia, kad, palyginti su Kanados ir ES PNR susitarimo projektu, pagal PNR direktyvą reikalaujamas sistemingas duomenų tvarkymas taikomas gerokai didesniam oro transporto keleivių, keliaujančių lėktuvais Sąjungos viduje ir už jos ribų, skaičiui. Be to, atsižvelgiant į didėjantį tvarkomų duomenų kiekį ir jų rinkimo dažnumą, juos tvarkant greičiausiai gali būti gaunama ir tikslesnė, ir išsamesnė informacija apie privatų atitinkamų asmenų gyvenimą (kelionių įpročius, asmeninius santykius, finansinę padėtį ir pan.).
98. Vis dėlto, kaip tai buvo padaryta ir Nuomonėje 1/15, konstatuotina, jog ši informacija, vertinama atskirai, apima tik tam tikrus šio privataus gyvenimo aspektus, susijusius su kelionėmis oro transportu. Taigi, atsižvelgdamas į būtinybę siaurai apibrėžti pagrindinių teisių „esmės“ sąvoką, kad ji išsaugotų savo funkciją – apsaugoti nuo kėsinimosi į pačią šių teisių esmę, manau, kad išvada, prie kurios Teisingumo Teismas priėjo Nuomonės 1/15 150 punkte, gali būti taikoma šioje byloje.
99. Nuomonėje 1/15 Teisingumo Teismas taip pat nepripažino teisės į asmens duomenų apsaugą esmės pažeidimo(97). Ši išvada, mano nuomone, taikytina ir šios bylos aplinkybėms. Iš tiesų, kaip ir Kanados ir ES PNR susitarimo projekto atveju, PNR direktyvos 1 straipsnio 2 dalyje yra apibrėžti PNR duomenų tvarkymo tikslai. Be to, šioje direktyvoje ir kituose Sąjungos aktuose, į kuriuos joje daroma nuoroda, visų pirma BDAR ir Policijos direktyvoje, įtvirtintos specialios nuostatos, skirtos užtikrinti, be kita ko, šių duomenų saugumui, konfidencialumui ir vientisumui, taip pat apsaugoti jiems nuo neteisėtos prieigos ir tvarkymo. Nors negalima laikyti, kad tokios teisės nuostatos, kaip numatytos PNR direktyvoje, daro poveikį Chartijos 7 ir 8 straipsnių saugomų pagrindinių teisių esmei, vis dėlto turi būti atlikta tiksli ir griežta jų proporcingumo kontrolė.
c) Dėl reikalavimo, kad suvaržymas atitiktų bendrojo intereso tikslą, laikymosi
100. PNR direktyva siekiama, be kita ko, užtikrinti Sąjungos vidaus saugumą ir apsaugoti asmenų gyvybę bei saugumą perduodant PNR duomenis kompetentingoms valstybių narių institucijoms kovos su terorizmu ir sunkiais nusikaltimais tikslais(98).
101. Konkrečiau kalbant, iš PNR direktyvos 1 straipsnio 2 dalies, siejamos su jos 6 ir 7 konstatuojamosiomis dalimis, taip pat iš Komisijos pasiūlymo, kuriuo remiantis priimta ši direktyva (toliau – PNR direktyvos pasiūlymas)(99), matyti, kad siekdamos tokio tikslo teisėsaugos institucijos(100) naudoja PNR duomenis įvairiais būdais. Pirma, šie duomenys naudojami siekiant nustatyti asmenis, kurie yra susiję arba įtariami esant susiję su jau padarytais teroristiniais nusikaltimais ir sunkiais nusikaltimais, surinkti įrodymus ir prireikus surasti nusikaltėlių bendrininkus bei išardyti nusikalstamus tinklus („reaktyvus“ naudojimas). Antra, PNR duomenys gali būti vertinami prieš keleiviams atvykstant ar išvykstant, siekiant užkirsti kelią nusikaltimo padarymui ir nustatyti asmenis, kurie anksčiau nebuvo įtariami dalyvavimu teroristiniuose nusikaltimuose ar sunkiuose nusikaltimuose ir kurie, remiantis šio vertinimo rezultatais, turėtų būti toliau tikrinami teisėsaugos institucijų („tikralaikis“ naudojimas). Galiausiai PNR duomenys naudojami siekiant nustatyti vertinimo kriterijus, kurie vėliau gali būti taikomi vertinant keleivių keliamą riziką prieš jiems atvykstant ir prieš išvykstant („proaktyvus“ naudojimas). Toks proaktyvus PNR duomenų naudojimas turėtų suteikti teisėsaugos institucijoms galimybę kovoti su sunkių nusikaltimų ir terorizmo grėsme kitokiu aspektu, nei tai leidžia daryti kitų asmens duomenų kategorijų tvarkymas(101).
102. Iš Teisingumo Teismo jurisprudencijos matyti, kad visuomenės saugumo apsaugos tikslas, be kita ko, apimantis ir teroristinių nusikaltimų, ir sunkių nusikaltimų prevenciją, tyrimą, nustatymą ir patraukimą baudžiamojon atsakomybėn už juos, yra Sąjungos bendrojo intereso tikslas, kaip tai suprantama pagal Chartijos 52 straipsnio 1 dalį, galintis pateisinti net didelius Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymus(102).
103. Teisingumo Teismas taip pat pripažino, kad visuomenės saugumo užtikrinimo ir kovos su sunkiais nusikaltimais tikslai prisideda prie kitų asmenų teisių ir laisvių apsaugos(103). Taigi, siekiant darnios šių tikslų ir Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių pusiausvyros(104), taip pat reikia atsižvelgti į Chartijos 3, 4, 6 ir 7 straipsniuose įtvirtintų teisių svarbą. Šiuo klausimu pažymėtina, kad nors Sprendime La Quadrature du Net Teisingumo Teismas nusprendė, jog Chartijos 6 straipsnio „negalima aiškinti taip, kad juo viešosios valdžios institucijoms nustatoma pareiga imtis konkrečių priemonių, kad būtų užkirstas kelias tam tikroms nusikalstamoms veikoms“(105), kiek tai susiję, visų pirma, su veiksminga kova su nusikalstamomis veikomis, kurių aukos yra, be kita ko, nepilnamečiai ir kiti pažeidžiami asmenys, jis pabrėžė, kad pareigos veikti, tenkančios viešosios valdžios institucijoms, gali kilti tiek iš Chartijos 7 straipsnio, priimant teisines priemones, kuriomis siekiama apsaugoti privatų ir šeimos gyvenimą, tiek iš jos 3 ir 4 straipsnių, kalbant apie asmenų fizinės ir psichinės neliečiamybės apsaugą bei kankinimo, nežmoniško ir žeminamo elgesio draudimą(106).
104. Galiausiai Teisingumo Teismas nusprendė, kad nacionalinio saugumo užtikrinimo tikslo svarba viršija kovos su nusikalstamumu apskritai, net ir su sunkiais nusikaltimais, ir visuomenės saugumo užtikrinimo tikslų svarbą, todėl jis gali pateisinti priemones, numatančias didesnį pagrindinių teisių suvaržymą nei tas, kurį būtų galima pateisinti kitais tikslais(107). Kadangi teroristinė veikla gali kelti grėsmę valstybių narių nacionaliniam saugumui, PNR direktyva nustatyta sistema, kuri yra kovos su tokia veikla priemonė, prisideda prie valstybių narių nacionalinio saugumo apsaugos tikslo.
d) Dėl proporcingumo principo paisymo
105. Pagal Chartijos 52 straipsnio 1 dalies antrą sakinį, remiantis proporcingumo principu, joje numatytos pagrindinės teisės įgyvendinimo apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrus interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti.
106. Šiuo klausimu primintina, jog remiantis Teisingumo Teismo suformuota jurisprudencija pagal proporcingumo principą reikalaujama, kad Sąjungos institucijų aktai būtų tinkami atitinkamo reglamentavimo teisėtiems tikslams pasiekti ir neviršytų to, kas tinkama ir būtina jiems įgyvendinti(108).
107. Pagal Teisingumo Teismo suformuotą jurisprudenciją pagrindinės teisės į privataus gyvenimo gerbimą apsauga Sąjungos lygmeniu reikalauja, kad nuostatos, leidžiančios nukrypti nuo asmens duomenų apsaugos, ir šios apsaugos apribojimai neviršytų to, kas yra griežtai būtina. Be to, bendrojo intereso tikslo negalima siekti neatsižvelgiant į tai, kad jis turi būti derinamas su pagrindinėmis teisėmis, kurioms taikoma priemonė, nustatant pusiausvyrą tarp, viena vertus, bendrojo intereso tikslo ir, kita vertus, nagrinėjamų teisių(109). Konkrečiau kalbant, Chartijos 7 ir 8 straipsniuose įtvirtintų teisių apribojimo proporcingumas turi būti vertinamas atsižvelgiant į suvaržymo, kurį lemia toks apribojimas, dydį ir tikrinant, ar šiuo apribojimu siekiamo bendrojo intereso tikslo svarba atitinka šį dydį(110).
108. Iš Teisingumo Teismo jurisprudencijos matyti, jog tam, kad būtų tenkintas proporcingumo reikalavimas, PNR direktyvoje, kuri yra Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių, aprašytų šios išvados 70–83 punktuose, suvaržymų teisinis pagrindas, turi būti numatytos aiškios ir tikslios taisyklės, kuriomis reglamentuojama tokius suvaržymus nustatančių priemonių apimtis ir taikymas ir nustatomi minimalūs reikalavimai, kad asmenims, kurių duomenys perduodami, būtų suteikta pakankamai garantijų, leidžiančių veiksmingai apsaugoti jų asmens duomenis nuo piktnaudžiavimo pavojų, taip pat nuo bet kokios neteisėtos prieigos prie jų ir neteisėto jų panaudojimo(111). Būtinybė turėti tokias garantijas yra dar svarbesnė tais atvejais, kaip antai šioje byloje, kai asmens duomenys tvarkomi automatizuotu būdu ir kai susiduriama su šios ypatingos asmens duomenų kategorijos, kokią sudaro neskelbtini duomenys, apsaugos klausimu(112).
109. Kalbant apie iš proporcingumo principo kylančių reikalavimų laikymosi teisminės kontrolės apimtį, pažymėtina, kad atsižvelgiant į asmens duomenų apsaugos svarbą pagrindinei teisei į privataus gyvenimo gerbimą ir į šios teisės suvaržymą, kurį lemia PNR direktyva, Sąjungos teisės aktų leidėjo vertinimo diskrecija yra nedidelė, todėl reikia taikyti griežtą kontrolę(113).
1) Dėl PNR direktyvoje nurodytų PNR duomenų tvarkymo tinkamumo, atsižvelgiant į siekiamą tikslą
110. Nuomonės 1/15 153 punkte Teisingumo Teismas dėl Kanados ir ES PNR susitarimo projekto tvirtino, kad PNR duomenų perdavimas Kanadai ir vėlesnis jų tvarkymas gali būti laikomi galinčiais užtikrinti numatytu sudaryti susitarimu siekiamo tikslo įgyvendinimą – garantuoti visuomenės saugumą ir apsaugą. Man atrodo, kad šis tinkamumas, jau seniai pripažintas tiek Sąjungos, tiek pasauliniu lygiu(114) negali būti paneigtas kalbant apie PNR duomenų rinkimą ir vėlesnį tvarkymą, kiek tai susiję tiek su ES išorės skrydžiais, tiek su ES vidaus skrydžiais(115).
111. Vis dėlto direktyvoje nustatytos PNR duomenų tvarkymo sistemos veiksmingumą galima įvertinti tik praktiškai, atsižvelgiant į jos taikymo rezultatus(116). Šiuo atžvilgiu labai svarbu, kad toks veiksmingumas būtų vertinamas nuolat, remiantis kuo tikslesniais ir patikimesniais statistiniais duomenimis(117). Todėl Komisija turėtų reguliariai atlikti peržiūrą, panašią į tą, kuri jau numatyta PNR direktyvos 19 straipsnyje.
2) Dėl to, ar suvaržymas yra griežtai būtinas
112. Nors Cour constitutionnelle (Konstitucinis Teismas) tiesiogiai neišsakė abejonių dėl to, ar PNR direktyvoje nustatytos taisyklės yra aiškios, tikslios ir griežtai būtinos, kiek tai susiję su PNR duomenų tvarkymo tikslų apibrėžimu(118), mano nuomone, atliekant šioje direktyvoje numatytos sistemos proporcingumo analizę, kurios prašė prašymą priimti prejudicinį sprendimą pateikęs teismas, negalima neatsakyti į šį klausimą(119).
i) Dėl PNR duomenų tvarkymu siekiamų tikslų apibrėžimo
113. Aiškus tikslų, kuriais kompetentingoms valdžios institucijoms leidžiama susipažinti su asmens duomenimis ir vėliau juos naudoti, apibrėžimas yra esminis bet kurios duomenų tvarkymo, be kita ko, teisėsaugos tikslais, sistemos reikalavimas. Be to, šio reikalavimo įvykdymas yra būtinas tam, kad Teisingumo Teismas galėtų įvertinti nagrinėjamų priemonių proporcingumą, taikydamas suvaržymo dydžio testą atsižvelgiant į jo jurisprudencijoje nustatyto tikslo svarbą(120).
114. Teisingumo Teismas yra pažymėjęs, kad svarbu aiškiai apibrėžti priemonių, kuriomis apribojamos pagrindinės teisės į privataus gyvenimo gerbimą ir asmens duomenų apsaugą, tikslus, be kita ko, Sprendime Digital Rights, kuriame jis pripažino Direktyvą 2006/24 negaliojančia. To sprendimo 60 punkte Teisingumo Teismas nurodė, kad šioje direktyvoje nenumatyta „jokio objektyvaus kriterijaus, kuris leistų nubrėžti ribas kompetentingų nacionalinių institucijų prieigai prie duomenų ir jų vėlesniam naudojimui nusikaltimų, kurie, atsižvelgiant į Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių ribojimo mastą ir dydį, gali būti laikomi pakankamai sunkiais, kad pateisintų tokį ribojimą, prevencijos, atskleidimo ar baudžiamojo persekiojimo tikslais“, ir kad, priešingai, joje apsiribojama tik „bendro pobūdžio nuoroda, pateikta jos 1 straipsnio 1 dalyje, į sunkius nusikaltimus, kaip jie apibrėžti kiekvienos valstybės narės nacionalinėje teisėje“.
115. PNR direktyvos 1 straipsnio 2 dalyje nustatytas bendras tikslų apribojimo kriterijus, kuriuo remiantis „[p]agal šią direktyvą renkami PNR duomenys gali būti tvarkomi tik teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais“. Tačiau, priešingai nei Direktyvoje 2006/24, PNR direktyvoje neapsiribojama tokia nuoroda, nes jos 3 straipsnio 8 ir 9 punktuose apibrėžta tiek „teroristinių nusikaltimų“ sąvoka, tiek „sunkių nusikaltimų“ sąvoka, pirmoji – remiantis 2002 m. birželio 13 d. Tarybos pamatinio sprendimo 2002/475/TVR dėl kovos su terorizmu (OL L 164, 2002, p. 3; 2004 m. specialusis leidimas lietuvių k., 19 sk., 6 t., p. 18) (pakeistas Direktyva (ES) 2017/541)(121) 1–4 straipsniais, o antroji – pirma, II priede išvardijant nusikalstamų veikų, patenkančių į šią sąvoką, kategorijas ir, antra, nustatant sunkumo ribą pagal maksimalią laisvės atėmimo bausmės ar kardomosios priemonės, kuri taikoma už šias veikas, trukmę.
116. Nuoroda į atitinkamas Direktyvos 2017/541 nuostatas leidžia pakankamai aiškiai ir tiksliai apibūdinti veiksmus, kurie gali būti laikomi teroristiniais nusikaltimais pagal PNR direktyvos 3 straipsnio 8 punktą, ir įvertinti jų sunkumą tam, kad būtų palyginti šia direktyva siekiamo visuomenės saugumo apsaugos tikslo svarba ir jos nulemto Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymo dydis, tačiau tokia išvada nėra vienodai akivaizdi, kalbant apie visas II priede išvardytas nusikalstamas veikas.
117. Nuomonės 1/15 177 punkte Teisingumo Teismas nusprendė, kad Kanados ir ES PNR susitarimo projekte aiškiai ir tiksliai apibrėžiamas „sunkių tarpvalstybinių nusikaltimų“ sunkumo laipsnis, nustatant, kad už juos turi būti „baudžiama laisvės apribojimu, kurio terminas – bent ketveri metai, arba už kurį skiriama sunkesnė bausmė“, darant nuorodą „į Kanados teisėje apibrėžtus nusikaltimus“ ir išvardijant „įvairi[as] situacij[as], kai nusikaltimas laikomas tarpvalstybinio pobūdžio nusikaltimu“.
118. Lyginant su šioje nuomonėje Teisingumo Teismo nagrinėtomis teisės nuostatomis, pažymėtina, kad PNR direktyvoje, pirma, apibrėžiant atitinkamas nusikalstamas veikas neatsižvelgiama į jų tarpvalstybinį pobūdį, antra, joje pateiktas išsamus nusikalstamų veikų, kurios dėl savo pobūdžio laikomos sunkiais nusikaltimais, jeigu už jas skiriama minimalus šios direktyvos 3 straipsnio 9 punkte numatytos maksimalios bausmės dydis, sąrašas, trečia, iš principo sumažinta sunkumo riba, patvirtinant maksimalios bausmės dydžiu grindžiamą kriterijų ir nustatant, kad šis dydis yra treji metai.
119. Pirma, kalbant apie apribojimo kriterijaus, pagrįsto tarpvalstybiniu pobūdžiu, nebuvimą, tiesa, kad PNR direktyvos materialinės taikymo srities apribojimas tik sunkiais „tarpvalstybiniais“ nusikaltimais būtų leidęs sutelkti dėmesį į nusikalstamas veikas, kurios dėl savo pobūdžio bent jau potencialiai gali būti objektyviai susijusios su kelionėmis lėktuvu, taigi, ir su duomenų, surinktų ir tvarkomų pagal PNR direktyvą, kategorijomis(122). Tačiau iš esmės pritariu Komisijos išreikštai nuomonei, kad, kitaip nei tarptautinio susitarimo kontekste, tokio kriterijaus svarba ir būtinybė yra mažiau akivaizdi kovos su nusikalstamumu priemonės, kurios tikslas – apsaugoti Sąjungos vidaus saugumą, atveju. Be to, kaip taip pat teigia Komisija, tarpvalstybinių elementų nebuvimas savaime nereiškia, kad nusikalstama veika nėra sunki.
120. Antra, dėl kriterijaus, susijusio su atitinkamų nusikalstamų veikų sunkumo riba, – kuris, siekiant suteikti galimybę ex ante įvertinti šį sunkumą, turi būti aiškinamas kaip susijęs su maksimalia teisės aktuose numatyta laisvės atėmimo bausme ar kardomąja priemone, o ne su bausme, kuri gali būti realiai paskirta konkrečiu atveju, – pažymėtina, kad šis kriterijus, nors ir grindžiamas minimalia maksimalios bausmės riba, o ne minimalia minimalios bausmės riba, savaime nėra netinkamas, kad būtų nustatytas pakankamas sunkumo lygis, galintis pateisinti Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymą, kurį lemia PNR direktyvoje numatytas duomenų tvarkymas. Vis dėlto manau, kad jį reikia aiškinti kaip kriterijų, kuriuo nustatomas „minimalus“ sunkumo lygis. Taigi, nors toks kriterijus draudžia valstybėms narėms II priede išvardytas nusikalstamas veikas, už kurias jų nacionalinė baudžiamoji teisė numato trumpesnį nei trejų metų maksimalų laisvės atėmimo arba kardomosios priemonės terminą, priskirti prie „sunkių nusikaltimų“, vis dėlto jis neįpareigoja valstybių narių automatiškai taikyti tokį kvalifikavimą visoms nusikalstamoms veikoms, kurios gali būti įtrauktos į minėtą II priedą ir už kurias gali būti skirta bausmė, siekianti PNR direktyvos 3 straipsnio 9 punkte numatytą ribą, jei, atsižvelgiant į jų baudžiamosios sistemos ypatumus, dėl tokio kvalifikavimo taikymo PNR direktyvoje numatytos sistemos, kuria siekiama bendrų nusikalstamų veikų formų prevencijos, atskleidimo, tyrimo ir baudžiamojo persekiojimo už jas tikslų, naudojimas prieštarautų šios direktyvos tikslams.
121. Trečia, kiek tai susiję su II priedo sąrašu, pirmiausia reikia pažymėti, jog tai, kad PNR direktyvoje išsamiai išvardytos nusikalstamos veikos, patenkančios į „sunkių nusikaltimų“ apibrėžtį, yra pagrindinė formali ir esminė garantija, siekiant užtikrinti šia direktyva nustatytos sistemos teisėtumą ir keleivių teisinį saugumą. Vis dėlto konstatuotina, kad į minėtą sąrašą įtrauktos tiek nusikalstamos veikos, kurios dėl savo pobūdžio yra neabejotinai sunkios – pavyzdžiui, prekyba žmonėmis, seksualinis vaikų išnaudojimas ir vaikų pornografija, prekyba ginklais arba branduolinėmis ar radioaktyviosiomis medžiagomis, orlaivių (laivų) užgrobimas, sunkūs nusikaltimai, priklausantys Tarptautinio baudžiamojo teismo jurisdikcijai, nužudymas, išžaginimas, pagrobimas ir įkaitų paėmimas(123), tiek nusikalstamos veikos, kurių sunkumo lygis yra mažiau akivaizdus, kaip antai sukčiavimas, gaminių klastojimas ir piratavimas, administracinių dokumentų klastojimas ir prekyba suklastotais dokumentais, taip pat prekyba vogtomis transporto priemonėmis(124). Be to, kai kurios iš į II priedą įtrauktų nusikalstamų veikų, dėl pačios jų esmės, gali būti labiau tarpvalstybinio pobūdžio nei kitos, kaip antai prekyba žmonėmis, prekyba narkotinėmis medžiagomis ar ginklais, seksualinis vaikų išnaudojimas, pagalba neteisėtai atvykti į šalį ir apsigyventi joje, orlaivio užgrobimas, ir taip pat būti susijusios su keleivių vežimu oro transportu.
122. Dėl II priede išvardytų nusikaltimų pakankamo aiškumo ir tikslumo taip pat pažymėtina, kad jų apibrėžtumo lygis labai skiriasi. Pavyzdžiui, nors šiame priede pateiktas sąrašas turi būti laikomas baigtiniu, keli jo punktai yra „atviro“ pobūdžio(125), o kituose daromos nuorodos į bendras sąvokas, galinčias apimti labai daug skirtingo sunkumo nusikalstamų veikų, net jei neviršijama PNR direktyvos 3 straipsnio 9 punkte numatyta maksimali riba(126).
123. Šiuo klausimu pažymiu, pirma, kad šios išvados 123 išnašoje nurodytose derinimo direktyvose, priimtose SESV 83 straipsnio 1 dalies taikymo srityse, yra svarbių nuorodų, leidžiančių nustatyti bent jau tam tikrus sunkius nusikaltimus, kurie gali patekti į atitinkamas II priedo kategorijas. Pavyzdžiui, be kita ko, Direktyvos 2013/40 3–8 straipsniuose apibrėžtos įvairios nusikalstamos veikos, patenkančios į šio II priedo 9 punkte nurodytą sąvoką „elektroniniai (kibernetiniai) nusikaltimai“, kiekvienu atveju neįtraukiant veiksmų, sudarančių „mažareikšmius atvejus“(127). Be to, Direktyvoje 2019/713 apibrėžtos tam tikros sukčiavimo rūšys, o Direktyvoje 2017/1371 – „Sąjungos finansiniams interesams kenkiančio sukčiavimo“ sudėties elementai. Šiame kontekste taip pat reikia paminėti EB 175 straipsnio 1 dalies pagrindu priimtą Direktyvą 2008/99/EB dėl aplinkos apsaugos pagal baudžiamąją teisę(128) – jos 3 straipsnyje apibrėžti keli sunkūs nusikaltimai aplinkai, kurie gali būti įtraukti į II priedo 10 punktą, įskaitant veiksmus, kvalifikuotinus kaip „neteisėt[a] prekyb[a] nykstančių rūšių gyvūnais ir nykstančių rūšių bei veislių augalais“, išskyrus visus veiksmus, kurie daro nedidelį poveikį saugomam gėriui. Galiausiai priminsiu Direktyvą 2002/90/EB(129), kurioje apibrėžtas padėjimas neteisėtai atvykti, vykti tranzitu ir apsigyventi, taip pat Pamatinį sprendimą 2002/946/TVR(130), kuriuo siekiama sustiprinti bausmių sistemą baudžiant už šias nusikalstamas veikas, Pamatinį sprendimą 2003/568/TVR(131), kuriame apibrėžtos nusikalstamos veikos, kvalifikuojamos kaip „aktyvioji ir pasyvioji korupcija privačiame sektoriuje“, ir Pamatinį sprendimą 2008/841/TVR(132), kuriame apibrėžtos nusikalstamos veikos, susijusios su dalyvavimu nusikalstamoje organizacijoje.
124. Antra, pažymiu, kaip teisingai nurodė Komisija, kad, nesant visiško materialinės baudžiamosios teisės suderinimo, Sąjungos teisės aktų leidėjui negali būti priekaištaujama dėl to, kad jis labiau nepatikslino II priede nurodytų nusikalstamų veikų. Taigi, kitaip nei toliau šioje išvadoje bus nurodyta dėl I priede pateikto PNR duomenų sąrašo, II priede nurodytų nusikalstamų veikų sąrašo perkėlimas į nacionalinę teisę reikalauja, kad valstybės narės, atsižvelgdamos į savo nacionalinės baudžiamosios teisės sistemų ypatumus, apibrėžtų nusikalstamas veikas, kurios gali būti į jį įtrauktos. Tačiau tai turi būti atliekama visapusiškai laikantis kriterijaus, pagal kurį bet koks Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymas neturi viršyti to, kas yra griežtai būtina. Taigi, pavyzdžiui, mano nuomone, neatmestina, jog valstybės narės gali numatyti, kad PNR duomenys, kiek tai susiję su tam tikromis nusikalstamomis veikomis, pavyzdžiui, nurodytomis II priedo 7, 16, 17, 18, 25 punktuose, gali būti naudojami tik tais atvejais, kai šios veikos yra tarpvalstybinio pobūdžio arba padarytos nusikalstamo susivienijimo, arba kai yra tam tikrų sunkinančių aplinkybių. Valstybių narių teismai, taikant Teisingumo Teismo kontrolę, šį sąrašą perkeliančias nacionalinės teisės nuostatas turės aiškinti taip, kad jos atitiktų tiek PNR direktyvą, tiek Chartiją, todėl PNR duomenų tvarkymas kiekvienoje kategorijoje turi apimti tik tas nusikalstamas veikas, kurios atitinka šioje direktyvoje reikalaujamą didelį sunkumo laipsnį, ir nusikalstamas veikas, kurių atžvilgiu toks tvarkymas yra svarbus(133).
125. Atsižvelgdamas į šios išvados 120 ir 124 punktuose pateiktus patikslinimus, manau, kad PNR direktyvos 3 straipsnio 9 punktas ir jos II priede pateiktas nusikalstamų veikų sąrašas atitinka aiškumo ir tikslumo reikalavimus ir neviršija to, kas griežtai būtina.
126. Vis dėlto reikia pripažinti, kad šios išvados 124 punkte aprašytas sprendimas nėra visiškai patenkinamas. Iš tiesų, pirma, juo valstybėms narėms paliekama didelė diskrecija, todėl tikėtina, kad PNR duomenų tvarkymo materialinė taikymo sritis skirtingose valstybėse narėse gali labai skirtis, o tai kelia pavojų Sąjungos teisės aktų leidėjo siekiamam suderinimo tikslui(134). Antra, jis reiškia, kad esminio sistemos elemento, kaip antai šio tvarkymo tikslų ribojimo, proporcingumo kontrolė, turi būti atliekama ex post nacionalinių perkėlimo priemonių, o ne ex ante pačios PNR direktyvos atžvilgiu. Todėl, jei Teisingumo Teismas nuspręstų, kaip siūlau, pripažinti, kad PNR direktyvos 3 straipsnio 9 dalis ir jos II priede pateiktas nusikalstamų veikų sąrašas atitinka Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį, būtų pageidautina, kad jis atkreiptų Sąjungos teisės aktų leidėjo dėmesį į tai, kad toks vertinimas tik preliminarus ir reiškia, kad šis teisės aktų leidėjas, atsižvelgdamas į tai, kaip valstybės narės perkėlė į nacionalinę teisę šią nuostatą ir šį sąrašą, ir remdamasis PNR direktyvos 20 straipsnyje nurodytais statistiniais duomenimis turi patikrinti, ar būtina: i) dar labiau patikslinti ir susiaurinti į minėtą sąrašą įtrauktų nusikalstamų veikų kategorijas; ii) pašalinti iš sąrašo tas nusikalstamas veikas, dėl kurių PNR duomenų tvarkymas yra neproporcingas, nereikšmingas arba neveiksmingas; ir iii) padidinti PNR direktyvos 3 straipsnio 9 dalyje nurodytų nusikalstamų veikų sunkumo ribą(135). Šiuo klausimu norėčiau pažymėti, kad nors PNR direktyvos 19 straipsnio 2 dalies b punkte reikalaujama, kad Komisija atliktų visų direktyvos aspektų peržiūrą, skirdama ypatingą dėmesį „PNR duomenų rinkimo ir tvarkymo kiekvienu iš šioje direktyvoje nustatytų tikslų būtinybei ir proporcingumui“, nei Komisijos 2020 m. ataskaitoje, nei prie jos pridėtame 2020 m. darbo dokumente, mano nuomone, šis klausimas nėra tinkamai išnagrinėtas.
ii) Dėl PNR duomenų kategorijų, nurodytų PNR direktyvoje (antrasis ir trečiasis prejudiciniai klausimai)
127. PNR direktyvoje numatytas 19 kategorijų PNR duomenų, kuriuos oro vežėjai renka skrydžių rezervavimo tikslais, perdavimas informacijos apie keleivius skyriams. Šios I priede išvardytos kategorijos atitinka oro transporto bendrovių rezervavimo sistemose nurodytas kategorijas ir 2010 m. Tarptautinės civilinės aviacijos organizacijos (ICAO) priimtų gairių dėl keleivio duomenų įrašo duomenų(136) (toliau – ICAO gairės) I priede išvardytas kategorijas.
128. Antruoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar I priedas galioja atsižvelgiant į Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį, kiek tai susiję, pirma, su šiame priede išvardytų asmens duomenų apimtimi – ir, be kita ko, su jo 18 punkte nurodytais API duomenimis, kurie viršija API direktyvos 3 straipsnio 2 dalyje išvardytus duomenis, – ir, antra, su galimybe, kad šie duomenys, vertinami kartu, atskleidžia neskelbtinus duomenis, taigi viršija tai, kas yra „griežtai būtina“. Trečiuoju prejudiciniu klausimu, kuris, kaip jau turėjau progą pažymėti, susijęs su tuo, ar laikomasi pirmosios iš Chartijos 52 straipsnio 1 dalyje nurodytų trijų sąlygų, pagal kurią bet koks pagrindinės teisės apribojimas turi būti „numatytas įstatymo“, – šiuo atveju Cour constitutionnelle (Konstitucinis Teismas) klausia Teisingumo Teismo dėl I priedo 12 ir 18 punktų galiojimo, atsižvelgiant, be kita ko, į „atvirą“ jų formulavimo pobūdį.
129. Kadangi nagrinėjant antrąjį prejudicinį klausimą reikia išnagrinėti, ar I priede nurodytos asmens duomenų kategorijos yra pakankamai aiškios ir tikslios, pirmiausia nagrinėsiu trečiąjį prejudicinį klausimą.
– Dėl I priedo 12 ir 18 punktų pakankamo aiškumo ir tikslumo (trečiasis prejudicinis klausimas)
130. Pirmiausia reikėtų pažymėti, kad Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymo, kurį nustato šių teisių įgyvendinimą ribojanti priemonė, mastas ir dydis visų pirma priklauso nuo tvarkomų asmens duomenų apimties ir pobūdžio. Taigi šių duomenų apibrėžimas yra esminis dalykas ir tai privalo būti padaryta kuo aiškiau ir tiksliau priimant bet kokį teisinį tokios priemonės pagrindą.
131. Kiek tai susiję su PNR duomenų tvarkymu, šis reikalavimas buvo pripažintas Nuomonėje 1/15. Spręsdamas dėl Kanados ir ES PNR susitarimo projekto priedo punktų, kuriuose išvardyti numatytame sudaryti susitarime nurodyti PNR duomenys, Teisingumo Teismas šioje nuomonėje, be kita ko, nusprendė, kad rėmimasis bendromis informacijos kategorijomis, nepakankamai apibrėžiant perduotinų duomenų apimtį, taip pat pavyzdinių duomenų sąrašų naudojimas, nenustatant jokių informacijos, kuri gali būti įtraukta į atitinkamą kategoriją, pobūdžio ir apimties ribų, neatitinka aiškumo ir tikslumo reikalavimų.
132. Trečiąjį prejudicinį klausimą reikia nagrinėti atsižvelgiant būtent į šiuos principus.
133. I priedo 12 punktas suformuluotas taip:
„Bendros pastabos (įskaitant visą turimą su jaunesniais nei 18 metų nelydimais nepilnamečiais susijusią informaciją, būtent: nepilnamečio vardas ir pavardė, lytis, amžius, kalba (‑os), kuria (‑iomis) jis kalba, išlydinčio asmens vardas, pavardė bei kontaktiniai duomenys ir jo ryšys su nepilnamečiu, pasitinkančio asmens vardas, pavardė bei kontaktiniai duomenys ir jo ryšys su nepilnamečiu, išlydintis ir pasitinkantis oro uosto darbuotojas).“
134. Kiek tai susiję su „bendromis pastabomis“, šis punktas, kaip ir Kanados ir ES PNR susitarimo projekto priedo 17 punktas, yra vadinamoji „laisvo teksto“ kategorija, skirta apimti bet kokiai informacijai, kurią renka oro vežėjai, vykdydami savo paslaugų teikimo veiklą, be informacijos, aiškiai išvardytos kituose I priedo punktuose. Tačiau konstatuotina, kaip Teisingumo Teismas pažymėjo Nuomonės 1/15 160 punkte, kad taip apibrėžta ši kategorija „nepateikia jokios informacijos apie perduotinų duomenų pobūdį ir apimtį ir, atrodo, net gali apimti informaciją, kuri visiškai nesusijusi su PNR duomenų perdavimo tikslu“. Be to, kadangi I priedo 12 punkto formuluotėje skliausteliuose pateiktas patikslinimas dėl nelydimų nepilnamečių yra tik pavyzdinis, kaip matyti iš žodžio „įskaitant“ vartojimo, šiame punkte nenustatyta jokio informacijos, kuri gali būti į jį įtraukta, pobūdžio ir apimties apribojimo(137).
135. Šiomis aplinkybėmis I priedo 12 punktas negali būti laikomas pakankamai aiškiai ir tiksliai apibrėžtu.
136. Nors atrodo, kad Komisija ir Parlamentas pritaria šiai išvadai, pastabas dėl trečiojo prejudicinio klausimo pateikusios valstybės narės ir Taryba jai prieštarauja, remdamosi iš esmės sutampančiais argumentais.
137. Pirma, pirmąja argumentų grupe apskritai siekiama užginčyti galimybę šioje byloje taikyti išvadas, kurias Teisingumo Teismas padarė Nuomonėje 1/15.
138. Šiuo klausimu, nors ir suprantu, kad abiejų bylų kontekstas skiriasi, apsiribosiu pastaba, jog išvada, kurią Teisingumo Teismas padarė Nuomonės 1/15 160 punkte dėl Kanados ir ES PNR susitarimo projekto priedo 17 punkto, pagrįsta išimtinai semantiniu ir struktūriniu šio punkto aiškinimu. Taigi, tokį aiškinimą visiškai galima pritaikyti I priedo 12 punktui, kurio formuluotė, išskyrus jame pateiktą pavyzdį, yra identiška minėto 17 punkto formuluotei ir turi panašią struktūrą. Be to, kaip išsamiau paaiškinsiu toliau, abi nagrinėjamos taisyklės patenka į tą patį daugiašalį reguliavimo kontekstą, kurį visų pirma sudaro ICAO gairės, Teisingumo Teismo, beje, aiškiai nurodytos Nuomonės 1/15 156 punkte. Šiomis aplinkybėmis ne tik niekas nedraudžia I priedo 12 punkto aiškinti taip pat, kaip Teisingumo Teismas aiškino Kanados ir ES PNR susitarimo projekto priedo 17 punktą Nuomonės 1/15 160 punkte, bet ir visų pirma nėra jokio pagrindo nukrypti nuo šio aiškinimo.
139. Antra, nemažai valstybių narių pabrėžia, kad įvairūs I priedo punktai, įskaitant 12 punktą, atitinka ICAO gairių I priedo duomenų kategorijas, kurios gerai žinomos oro vežėjams ir kurių turinį jie gali tiksliai nustatyti. Be kita ko, šis 12 punktas atitiktų dvi paskutines minėto priedo duomenų kategorijas, atitinkamai pavadintas „Bendros pastabos“ ir „Laisvas tekstas / kodo vieta OSI [Other Supplementary Information], SSR [Special Service Request], SSI [Special Service Information], Pastabos / istorija“, kuriose kalbama apie „papildomą informaciją“ arba „susijusią su prašomomis paslaugomis“(138).
140. Šiuo klausimu visų pirma pažymiu, kad Kanados ir ES PNR susitarimo projekto I priedo duomenų kategorijų ir ICAO gairių I priedo duomenų kategorijų atitiktis nesutrukdė Teisingumo Teismui Nuomonėje 1/15 pripažinti, jog tam tikros šio susitarimo projekto I priedo kategorijos netenkino aiškumo ir tikslumo reikalavimų, kuriuos turi atitikti priemonė, ribojanti naudojimąsi pagrindinėmis teisėmis. Be to, atkreipiu dėmesį į tai, kad nuoroda į ICAO gaires, beje, neaiški(139), neleidžia tiksliau apibrėžti informacijos, kuri gali būti nurodyta I priedo 12 punkte, pobūdžio ir apimties, priešingai, nei, atrodo, mano kai kurios valstybės narės. Atvirkščiai, šių gairių tekstas patvirtina išvadą, kad „laisvo teksto“ kategorija, kaip antai minėtas 12 punktas, be automatiškai PNR priskirtos informacijos, apima neapibrėžtą kiekį įvairių duomenų(140).
141. Trečia, kai kurios vyriausybės teigia, kad valstybės narės, taikydamos vidaus teisėkūros priemones ir laikydamosi Chartijos 7, 8 straipsniuose ir 52 straipsnio 1 dalyje nustatytų ribų, turi patikslinti, kokia informacija gali būti įtraukta į I priedo 12 punktą. Iš tiesų pati direktyvos prigimtis lemia, kad valstybėms narėms paliekama diskrecija pasirinkti priemones, būtinas joje įtvirtintoms nuostatoms įgyvendinti.
142. Šiuo klausimu, kaip jau nurodžiau šios išvados 86 punkte, manau, kad kai priemonės, kuriomis suvaržomos Chartijoje įtvirtintos pagrindinės teisės, kyla iš Sąjungos teisės akto, Sąjungos teisės aktų leidėjas, laikydamasis minėtų aiškumo ir tikslumo kriterijų bei proporcingumo principo, turi nustatyti tikslią šių suvaržymų apimtį. Iš to išplaukia, kad šiam teisės aktų leidėjui pasirinkus tokią priemonę, kaip direktyva, ją perkeliant į nacionalinę teisę valstybėms narėms, mano nuomone, negali būti deleguota nustatyti esminius aspektus, apibrėžiančius suvaržymo apimtį, kaip antai, kiek tai susiję su Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių apribojimais, tvarkytinų asmens duomenų pobūdį ir apimtį.
143. Ketvirta, kai kurios valstybės narės pažymi, kad I priedo 12 punktas turi būti suprantamas kaip apimantis tik su vežimo paslauga susijusią informaciją. Taip aiškinant šį punktą, jis būtų suderinamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi.
144. Šis argumentas manęs taip pat neįtikina. Iš esmės informacija, kurią galima įtraukti į „bendrų pastabų“ kategoriją ir jai priskirti OSI, SSI ir SSR kodus, yra labai įvairi (medicininė priežiūra, specialus maitinimas ar mitybos pageidavimai, bet koks pagalbos prašymas, informacija apie nelydimus nepilnamečius ir pan.)(141) ir visa ji susijusi su vežimo paslauga, nes visų pirma skirta tam, kad oro vežėjas galėtų šią paslaugą pritaikyti kiekvieno keleivio poreikiams. Todėl aiškinimo kriterijus, pagrįstas informacijos svarba transporto paslaugų teikimui, neleidžia labiau patikslinti šio 12 punkto taikymo apimties. Be to, pažymiu, kad nors Nuomonės 1/15 159 punkte Teisingumo Teismas rėmėsi šiuo kriterijumi, siekdamas kitokią Kanados ir ES PNR susitarimo projekto priede numatytą duomenų kategoriją aiškinti taip, kad ji atitiktų aiškumo ir tikslumo reikalavimus, jis atmetė galimybę taikyti tokį aiškinimą, kiek tai susiję su šio priedo 17 punktu, atitinkančiu I priedo 12 punktą.
145. Penkta, kelios valstybės narės pabrėžė, kad informaciją, kuriai turėtų būti taikomas I priedo 12 punktas, oro vežėjams savo noru teikia patys keleiviai, kurie yra tinkamai informuoti apie vėlesnį tokių duomenų perdavimą valdžios institucijoms. Man atrodo, kad toks argumentas pagrįstas mintimi, jog atitinkamas keleivis tarsi netiesiogiai sutinka, kad jo oro transporto bendrovei pateikti duomenys vėliau būtų perduoti valdžios institucijoms.
146. Šiuo klausimu Teisingumo Teismas jau turėjo galimybę patikslinti, jog negali būti kalbama apie „sutikimą“, kai duomenų subjektas negali laisvai prieštarauti jo asmens duomenų tvarkymui(142). Tačiau, kalbant apie didžiąją dalį informacijos, kuri gali būti nurodyta I priedo 12 punkte, pažymėtina, jog atitinkamas keleivis iš tikrųjų neturi pasirinkimo, nes privalo ją pateikti, kad galėtų pasinaudoti vežimo paslauga. Be kita ko, tai pasakytina apie neįgaliuosius arba riboto judumo asmenis, arba asmenis, kuriems reikalinga medicininė priežiūra, arba apie nelydimus nepilnamečius. Taip pat primenu, jog Nuomonės 1/15 142 ir 143 punktuose Teisingumo Teismas aiškiai nurodė, kad viešosios valdžios institucijų atliekamas PNR duomenų tvarkymas siekiant kitokio tikslo nei tas, dėl kurio oro vežėjai renka šiuos duomenis, negali būti laikomas grindžiamu kokia nors keleivių sutikimo dėl tokio rinkimo forma.
147. Galiausiai dauguma valstybių narių teigia, kad PNR direktyvoje numatytam duomenų tvarkymui taikoma daug apsaugos priemonių, įskaitant, kiek tai susiję su duomenų perdavimu informacijos apie keleivius skyriams, šių skyrių pareigą ištrinti I priede neišvardytus duomenis, taip pat duomenis, kurie gali atskleisti asmens rasinę ar etninę kilmę, jo politines pažiūras, religiją ar filosofinius įsitikinimus, narystę profesinėse sąjungose, sveikatos būklę, lytinį gyvenimą ar seksualinę orientaciją.
148. Šiuo klausimu iškart norėčiau pasakyti, kad, mano nuomone, vertinimas, ar yra pakankamai aiškios ir tikslios taisyklės, apibrėžiančios duomenų, kurie gali būti perduoti valdžios institucijoms, apimtį ir pobūdį, kiek šiuo vertinimu siekiama užtikrinti, kad Chartijos 7 ir 8 straipsniuose įtvirtintas pagrindines teises suvaržanti priemonė atitiktų teisėtumo ir teisinio saugumo principus, turi būti atliekamas neatsižvelgiant į apsaugos priemones, susijusias su duomenų tvarkymu, kurį atliks tos institucijos, nes šios apsaugos priemonės tampa svarbios tik nagrinėjant atitinkamos priemonės proporcingumą. Be to, būtent taip Teisingumo Teismas Nuomonės 1/15 155–163 punktuose vertino Kanados ir ES PNR susitarimo projekte numatytas duomenų kategorijas. Apskritai norėčiau pridurti, kad ypatingą dėmesį reikėtų atkreipti į tai, kad būtų aiškiai atskirti skirtingi etapai nagrinėjant priemonę, kuria apribojamos pagrindinės teisės, nes šių skirtingų etapų sujungimas, mano nuomone, visais atvejais kenkia veiksmingai šių teisių apsaugai.
149. Atsižvelgdamas į tai, norėčiau tik pažymėti, pirma, kad pagal PNR direktyvos 6 straipsnio 1 dalį informacijos apie keleivius skyriams nustatytas įpareigojimas ištrinti kitus nei I priede išvardytus duomenis yra veiksmingas tik tuo atveju, jei tame priede pateiktas aiškus ir baigtinis perduotinų duomenų sąrašas. Tas pats pasakytina apie pareigą ištrinti vadinamuosius „neskelbtinus“ duomenis(143), kuri nustatyta informacijos apie keleivius skyriams PNR direktyvos 13 straipsnio 4 dalyje. Iš tiesų pernelyg neaiški, netiksli ar atvira informacijos, kuri turi būti perduota, apibrėžtis padidina tiek tikimybę, kad tokie duomenys bus perduoti netiesiogiai, tiek riziką, kad jie nebus iš karto identifikuoti ir ištrinti. Kitaip tariant, minėtos apsaugos priemonės gali būti veiksmingos tik tuo atveju, jei taisyklės, apibrėžiančios PNR duomenų, kuriuos oro vežėjai turi perduoti informacijos apie keleivius skyriams, pobūdį ir apimtį, yra pakankamai aiškios ir tikslios, o tokių duomenų sąrašas yra baigtinis ir išsamus.
150. Remdamasis visais išdėstytais argumentais ir, kaip jau nurodžiau šios išvados 135 punkte, manau, kad I priedo 12 punktas tiek, kiek jame numatytos „bendros pastabos“, kalbant apie duomenis, kuriuos oro vežėjai pagal PNR direktyvą privalo perduoti informacijos apie keleivius skyriams, neatitinka aiškumo ir tikslumo reikalavimų pagal Chartijos 52 straipsnio 1 dalį, kaip ją aiškina Teisingumo Teismas(144), ir turi būti pripažintas negaliojančiu.
151. Savo rašytinėse pastabose Komisija ir Parlamentas siūlė Teisingumo Teismui dėl I priedo 12 punkto veikiau remtis „Sąjungos teisės atitinkančiu aiškinimu“, suprantant šį punktą taip, kad jis taikomas tik informacijai apie nepilnamečius, kuri tiesiogiai nurodyta skliausteliuose. Reikia pripažinti, kad man kyla tam tikrų abejonių, ar toks aiškinimas atitinka įprasto Sąjungos teisę atitinkančio aiškinimo ribas. Žinoma, tiesa, kad pagal bendrąjį aiškinimo principą Sąjungos teisės aktas turi būti aiškinamas kiek įmanoma taip, kad nebūtų paneigtas jo galiojimas, ir laikantis visos pirminės teisės ir, be kita ko, Chartijos nuostatų(145). Taip pat tiesa, kad PNR direktyvos atveju, atrodo, skatinama tokio aiškinimo galimybė, nes daugelyje šios direktyvos konstatuojamųjų dalių akcentuojami visapusis pagrindinių teisių, teisės į privataus gyvenimo gerbimą ir proporcingumo principo paisymas(146). Tačiau iš suformuotos jurisprudencijos taip pat matyti, kad Sąjungos teisę atitinkantis aiškinimas galimas tik tuomet, kai Sąjungos antrinės teisės aktą galima aiškinti įvairiai ir dėl to pirmenybė gali būti teikiama aiškinimui, pagal kurį nuostata atitinka pirminę teisę, o ne aiškinimui, dėl kurio gali būti konstatuotas jos nesuderinamumas su Sąjungos teise(147).
152. Vis dėlto, mano nuomone, I priedo 12 punktas negali būti aiškinamas taip, kaip siūlo Komisija ir Parlamentas, nes tai būtų contra legem aiškinimas. Iš tiesų, kaip išdėsčiau pirma, šis punktas susijęs su plačia įvairių rūšių a priori neidentifikuotinų duomenų kategorija ir duomenys apie nepilnamečius tėra jos pakategorė. Jeigu šis punktas būtų aiškinamas kaip susijęs tik su šia vienintele pakategore, būtų ne tik neatsižvelgta į jo teksto dalį, bet ir paneigta logiška jo formuluotės tvarka. Toks veiksmas, iš esmės pašalinant I priedo 12 punkto formuluotės dalį, kuri būtų pripažinta neatitinkančia aiškumo ir tikslumo reikalavimų, mano nuomone, galimas tik po dalinio šio punkto panaikinimo.
153. Dėl likusios I priedo 12 punkto dalies, kurioje išvardijami su nelydimais nepilnamečiais susiję duomenys, manau, kad ji atitinka aiškumo ir tikslumo reikalavimus, jei aiškinama kaip apimanti tik tiesiogiai su skrydžiu susijusią ir tame punkte aiškiai nurodytą informaciją apie nelydimus nepilnamečius.
154. I priedo 18 punktas suformuluotas taip:
„Visi surinkti išankstinės informacijos apie keleivius (API) duomenys (įskaitant bet kurio asmens dokumento rūšį, numerį, išdavusią šalį, galiojimo pabaigos datą, pilietybę, pavardę, vardą, lytį, gimimo datą, oro transporto bendrovę, skrydžio numerį, išvykimo datą, atvykimo datą, išvykimo oro uostą, atvykimo oro uostą, išvykimo laiką ir atvykimo laiką).“
155. Šio punkto struktūra panaši į I priedo 12 punkto struktūrą. Jame taip pat nurodyta bendra duomenų kategorija, t. y. išankstinė informacija apie keleivius (Advance Passenger Information – API), o po jos skliausteliuose pateikiamas duomenų, priskiriamų šiai bendrajai kategorijai, sąrašas, kuris yra tik pavyzdinis, kaip matyti iš žodžio „įskaitant“ vartojimo.
156. Vis dėlto, priešingai nei I priedo 12 punkte, šio priedo 18 punkte daroma nuoroda į duomenų, kurių tiek pobūdį, tiek apimtį lengviau nustatyti, kategoriją. Iš tiesų iš PNR direktyvos 4 konstatuojamosios dalies matyti, kad, kai šioje direktyvoje minima ši duomenų kategorija, ji reiškia informaciją, kurią pagal API direktyvą – į ją aiškiai daroma nuoroda šioje konstatuojamojoje dalyje – oro vežėjai perduoda kompetentingoms nacionalinėms valdžios institucijoms, siekiant gerinti sienų kontrolę ir kovoti su nelegalia imigracija. Šie duomenys išvardyti API direktyvos 3 straipsnio 2 dalyje.
157. Be to, iš PNR direktyvos 9 konstatuojamosios dalies(148), taip pat iš API direktyvos 3 straipsnio 2 dalies ir I priedo 18 punkte pateikto pavyzdinio sąrašo matyti, kad tame punkte nurodyti API duomenys yra, pirma, biografiniai duomenys, leidžiantys patikrinti oro transporto keleivio tapatybę, ir, antra, duomenys, susiję su užsakytu skrydžiu. Kalbant konkrečiau apie pirmąją kategoriją – biografinius duomenis, pažymėtina, kad API direktyvos 3 straipsnio 2 dalyje ir I priedo 18 punkte išvardyta informacija apima registracijos metu gautus duomenis, kurie gali būti paimti iš tos paso (arba kito kelionės dokumento) dalies, kurią gali nuskaityti mašina(149).
158. Taigi I priedo 18 punkte, aiškinamame atsižvelgiant į PNR direktyvos 4 ir 9 konstatuojamąsias dalis, iš esmės pakankamai aiškiai ir tiksliai apibrėžtas bent jau jame nurodytų duomenų pobūdis.
159. Dėl šių duomenų apimties konstatuotina, pirma, kad API direktyvos 3 straipsnio 2 dalis taip pat suformuluota „atvirai“, o joje išvardytų duomenų sąrašas pateikiamas po žodžių „pirmiau minėta informacija yra tokia“(150), ir, antra, kad API duomenų kategorija, kaip ji apibrėžta šios srities daugiašaliuose derinimo dokumentuose, taip pat apima kitus duomenis nei tie, kurie nurodyti tiek API direktyvoje, tiek I priedo 18 punkte(151).
160. Šiomis aplinkybėmis tam, kad I priedo 18 punktas atitiktų aiškumo ir tikslumo reikalavimus, keliamus teisiniams pagrindams, kuriais nustatomi Chartijos 7 ir 8 straipsnių suvaržymai, jį reikia aiškinti taip, kad jis apima tik tuos API duomenis, kurie aiškiai išvardyti šiame punkte bei API direktyvos 3 straipsnio 2 dalyje ir kuriuos oro vežėjai surinko įprastomis jų veiklos vykdymo sąlygomis(152).
161. Šiame etape tikslinga trumpai apžvelgti kitus I priedo punktus, kurie, atsižvelgiant į jų formuluotes, taip pat yra „atviro“ pobūdžio arba nepakankamai tikslūs, nors prašymą priimti prejudicinį sprendimą pateikęs teismas aiškiai neprašė Teisingumo Teismo jų aptarti(153).
162. Visų pirma, kalbant apie I priedo 5 punktą, kuriame nurodyti „adresas ir kontaktinė informacija (telefono numeris, el. pašto adresas)“, reikia pažymėti, kad nors jį reikia laikyti susijusiu tik su aiškiai skliausteliuose paminėta informacija, todėl jis yra išsamus, vis dėlto šiame punkte nepatikslinta, kaip buvo ir atitinkamos Kanados ir ES PNR susitarimo projekto duomenų kategorijos atveju(154), ar ši kontaktinė informacija susijusi tik su keleiviu, ar ir su trečiaisiais asmenimis, kurie oro keleiviui rezervavo skrydį, trečiaisiais asmenimis tarpininkais, per kuriuos galima susisiekti su tokiu keleiviu, arba trečiaisiais asmenimis, kurie turi būti informuojami skubos atveju(155). Atsižvelgdamas į tai, kad aiškinant I priedo 5 punktą kaip apimantį ir minėtas trečiųjų asmenų kategorijas būtų išplėstas suvaržymas, PNR direktyvos nustatytas kitiems asmenims nei oro transporto keleiviai, kaip tai suprantama pagal PNR direktyvos 3 straipsnio 4 punktą, siūlau Teisingumo Teismui, – nesant tikslių duomenų, leidžiančių manyti, kad sistemingas ir bendras šių trečiųjų asmenų kontaktinių duomenų rinkimas yra griežtai būtinas šioje direktyvoje įtvirtintos PNR sistemos veiksmingumui, – aiškinti minėtą punktą kaip susijusį tik su jame aiškiai nurodyta informacija ir su oro transporto keleiviu, kurio vardu yra atlikta rezervacija. Tiesa, pagal PNR direktyvą neatmetama galimybė, kad informacijos apie keleivius skyriams gali būti perduodami ir kitų subjektų, ne oro transporto keleivių, asmens duomenys(156). Tačiau labai svarbu, kad būtų aiškiai ir nedviprasmiškai nurodyti atvejai, kuriais tai gali būti daroma, pavyzdžiui, I priedo 9 punkte nurodytų kelionių agentūrų atvejis arba to paties priedo 12 punkte nurodytų nelydimų nepilnamečių globėjų atvejis. Iš esmės tik įvykdžius šią sąlygą būtų galima laikyti, kad priimant sprendimą įtraukti šiuos duomenis į tuos, kurie turi būti perduoti informacijos apie keleivius skyriams, buvo suderinti įvairūs interesai, kaip tai suprantama pagal PNR direktyvos 15 konstatuojamąją dalį, ir kad atitinkami tretieji asmenys gali būti tinkamai informuoti apie jų asmens duomenų tvarkymą.
163. Antra, dėl I priedo 6 punkto, kuriame nurodyta „[i]nformacija apie visus mokėjimo būdus, įskaitant sąskaitos siuntimo adresą“, pažymėtina, – kaip Teisingumo Teismas nusprendė Nuomonės 1/15 159 punkte, kiek tai susiję su atitinkama Kanados ir ES PNR susitarimo priede nurodyta duomenų kategorija, – kad, siekiant patenkinti aiškumo ir tikslumo reikalavimus, šis punktas turi būti aiškinamas kaip „apimanti[s] tik informaciją, susijusią su mokėjimo už lėktuvo bilietą būdais ir sąskaitos už jį išrašymu, ir [jis] visiškai neapima kitos tiesiogiai su skrydžiu nesusijusios informacijos“. Todėl tokia informacija negali apimti, pavyzdžiui, informacijos apie mokėjimo sąlygas, kai mokama už kitas, tiesiogiai su skrydžiu nesusijusias paslaugas, kaip antai transporto priemonės nuomą atvykus(157).
164. Dėl 8 punkto pažymėtina, kad jame nurodyta „[i]nformacija apie dažnai lėktuvais keliaujančius keleivius“, kuri pagal ICAO standartus apibrėžiama kaip susijusi su dažnai lėktuvais keliaujančio keleivio sąskaitos numeriu ir statusu(158). Taip aiškinamas šis punktas atitinka aiškumo ir tikslumo reikalavimus.
165. Kalbant apie I priedo 10 punktą, kuriame nurodytas „[k]eleivio kelionės statusas, įskaitant patvirtinimus, registravimo statusą, informaciją apie neatvykimą arba apie paskutinės minutės atvykimą be bilieto užsakymo“, ir šio priedo 13 punktą, susijusį su „[i]nformacija apie bilietų pardavimą, įskaitant bilieto numerį, bilieto išdavimo datą, bilietus į vieną pusę ir automatizuotą bilietų kainos nurodymą“, pažymėtina, kad, nepaisant jų atviros formuluotės, šiuose punktuose nurodyta tik labai konkreti ir aiškiai identifikuojama informacija, tiesiogiai susijusi su skrydžiu. Tas pats pasakytina apie I priedo 14 punktą, kuriame nurodytas „[s]ėdimos vietos numeris ir kita informacija apie sėdimas vietas“, ir šio priedo 16 punktą, kuriame nurodyta „[v]isa informacija apie bagažą“.
– Dėl I priede išvardytų duomenų apimties (antrasis prejudicinis klausimas)
166. Tarp veiksnių, į kuriuos Teisingumo Teismas atsižvelgia vertindamas priemonės, kuria nustatomi Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymai, proporcingumą, yra tvarkomų asmens duomenų tinkamumas, svarba ir neperteklinis pobūdis („duomenų kiekio mažinimo“ principas)(159). Toks pat testas numatytas EŽTT jurisprudencijoje(160) ir rekomenduojamas 108-ojoje konvencijoje(161).
167. Iš PNR direktyvos 15 konstatuojamosios dalies matyti, kad PNR duomenų, kurie turi būti perduoti informacijos apie keleivius skyriams, sąrašas buvo nustatytas siekiant tiek atspindėti viešosios valdžios institucijų teisėtus reikalavimus kovos su terorizmu ir sunkiais nusikaltimais srityje, tiek apsaugoti pagrindines teises į privataus gyvenimo gerbimą ir į asmens duomenų apsaugą, tuo tikslu taikant „aukštus standartus“ vadovaujantis Chartija, 108-ąja konvencija ir EŽTK. Toje pačioje konstatuojamojoje dalyje patikslinta, kad PNR duomenys, be kita ko, turėtų apimti tik informaciją apie keleivių rezervuotus bilietus ir kelionių maršrutus, kuria remdamosi kompetentingos valdžios institucijos gali nustatyti grėsmę vidaus saugumui keliančius oro transporto keleivius.
168. Pirma, kalbant apie I priede išvardytų PNR duomenų tinkamumą ir svarbą, pažymėtina, kad įvairiuose šio priedo punktuose, įskaitant 5, 6, 8 ir 18 punktus, kaip siūlau juos aiškinti(162), ir 12 punktą, išskyrus dalį, kurią siūlau pripažinti negaliojančia(163), yra nurodyti tik duomenys, kuriais pateikiama tiesiogiai su kelionėmis oru susijusi informacija, patenkanti į PNR direktyvos taikymo sritį. Be to, šie duomenys turi objektyvų ryšį su šia direktyva siekiamais tikslais. Konkrečiai kalbant, API duomenys gali būti naudojami, be kita ko, „reaktyviuoju būdu“, siekiant identifikuoti asmenį, jau žinomą teisėsaugos institucijoms, pavyzdžiui, dėl to, kad jis įtariamas dalyvavęs vykdant teroristinius nusikaltimus arba sunkius nusikaltimus, kurie jau buvo padaryti, arba dėl to, kad jis rengiasi padaryti tokį nusikaltimą, o PNR duomenys veikiau gali būti naudojami „realiuoju laiku arba proaktyviuoju būdu“, siekiant nustatyti teisėsaugos institucijoms dar nežinomų asmenų keliamas grėsmes.
169. Antra, kalbant apie I priede išvardytų PNR duomenų apimtį, pažymėtina, kad šie duomenys, įskaitant esančius šio priedo 5, 6, 8, 12 ir 18 punktuose, kaip siūlau juos aiškinti šios išvados 134–164 punktuose, neatrodo pertekliniai, atsižvelgiant, pirma, į PNR direktyva siekiamo visuomenės saugumo tikslo svarbą ir, antra, į šioje direktyvoje nustatytos tvarkos tinkamumą tokiam tikslui pasiekti.
170. Dėl, be kita ko, API duomenų, apie kuriuos visų pirma klausia prašymą priimti prejudicinį sprendimą pateikęs teismas, pažymiu, kad šie duomenys, biografiniai ir susiję su kelionės maršrutu, paprastai leidžia gauti tik ribotą informaciją apie atitinkamų keleivių privatų gyvenimą. Beje, nors tiesa, kad I priedo 18 punkte nurodyta informacija nėra aiškiai paminėta API direktyvos 3 straipsnio 2 dalyje, ši informacija, susijusi su oro transporto keleivio tapatybe (lytis), naudojamu kelionės dokumentu (išdavimo šalis, bet kokio asmens tapatybės dokumento galiojimo pabaigos data) arba su skrydžiu (oro transporto bendrovė, skrydžio numeris, išvykimo ir atvykimo data bei oro uostas), iš dalies sutampa su PNR duomenimis, nurodytais kituose I priedo punktuose, pavyzdžiui, 3, 7 ir 13 punktuose, arba gali būti gauta iš šių duomenų. Be to, kadangi minėta informacija susijusi su biografiniais duomenimis arba naudojamais kelionės dokumentais, ji gali padėti teisėsaugos tarnyboms patikrinti asmens tapatybę ir taip sumažinti, kaip pažymėta PNR direktyvos 9 konstatuojamojoje dalyje, riziką, kad bus nepagrįstai tikrinami ir tiriami nekalti asmenys. Galiausiai reikia pabrėžti, jog vien dėl to, kad į I priedo 18 punktą įtraukti papildomi duomenys, palyginti su API direktyvos 3 straipsnio 2 dalyje nurodytais duomenimis, negalima automatiškai teigti, jog šie duomenys yra pertekliniai, nes šia direktyva ir PNR direktyva siekiama skirtingų tikslų.
171. Dėl I priedo 12 punkte išvardytų duomenų apie nelydimus nepilnamečius pažymėtina, kad jie yra susiję su pažeidžiama asmenų, kuriems taikoma speciali apsauga, įskaitant jų privataus gyvenimo gerbimą ir jų asmens duomenų apsaugą, kategorija(164). Tačiau šių teisių apribojimas gali būti būtinas, be kita ko, siekiant apsaugoti vaikus nuo sunkių nusikaltimų, kurių aukomis jie gali tapti, kaip antai prekybos vaikais, jų seksualinio išnaudojimo ar vaikų grobimo. Taigi a priori negalima teigti, kad I priedo 12 punktas, kiek jame reikalaujama perduoti daugiau asmens duomenų, kai tai susiję su nelydimais nepilnamečiais, viršija tai, kas yra griežtai būtina.
172. Nors, mano nuomone, asmens duomenys, kuriuos oro vežėjai privalo perduoti informacijos apie keleivius skyriams pagal PNR direktyvą, atitinka tinkamumo ir svarbos reikalavimus ir neviršija to, kas griežtai būtina šia direktyva nustatytos sistemos veikimui, vis dėlto toks perdavimas susijęs su dideliu kiekvieno atitinkamo keleivio asmens duomenų kiekiu, ypač vertinant absoliučiais skaičiais. Šiomis aplinkybėmis labai svarbu, kad tokiam perdavimui būtų taikomos pakankamos apsaugos priemonės, kuriomis siekiama, pirma, pasirūpinti, kad būtų perduodami tik aiškiai nurodyti duomenys, ir, antra, užtikrinti perduodamų duomenų saugumą ir konfidencialumą.
173. Šiuo klausimu reikia pažymėti, pirma, kad Sąjungos teisės aktų leidėjas visų pirma numatė keletą apsaugos priemonių, leidžiančių apriboti PNR duomenų, su kuriais gali susipažinti teisėsaugos institucijos, kategorijas ir užtikrinti, kad tokia prieiga apsiribotų tik tais duomenimis, kurių tvarkymas laikomas būtinu PNR direktyvos tikslais. Taigi, pirma, atsižvelgiant į atsakyme į trečiąjį prejudicinį klausimą pateiktus argumentus, šioje direktyvoje išsamiai ir tiksliai išvardyti duomenys, kurie gali būti perduodami informacijos apie keleivius skyriams. Antra, PNR direktyvoje aiškiai nurodyta, kad informacijos apie keleivius skyriams gali būti perduodami tik tame sąraše, kuris yra šios direktyvos 15 konstatuojamojoje dalyje nurodytų įvairių interesų ir reikalavimų pusiausvyros rezultatas (PNR direktyvos 6 straipsnio 1 dalis), esantys duomenys. Trečia, šioje direktyvoje patikslinta, kad, kai perduoti PNR duomenys apima kitus duomenis, nei tie, kurie išvardyti I priede, tokius duomenis gavęs informacijos apie keleivius skyrius „nedelsdamas juos ištrina visam laikui“ (PNR direktyvos 6 straipsnio 1 dalis). Ketvirta, minėtoje direktyvoje numatyta, kad I priede nurodyti PNR duomenys gali būti perduodami tik tiek, kiek juos oro vežėjai jau yra surinkę, vykdydami savo įprastą veiklą (PNR direktyvos 8 straipsnio 1 dalis ir 8 konstatuojamoji dalis), ir tai reiškia, kad ne visi I priede išvardyti duomenys yra sistemingai prieinami informacijos apie keleivius skyriams, o tik tie, kurie yra atitinkamo operatoriaus rezervavimo sistemoje. Penkta, PNR direktyvos 8 straipsnio 1 dalyje reikalaujama, kad oro vežėjai, perduodami PNR duomenis informacijos apie keleivius skyriams, naudotų „push“ metodą. Šis ICAO gairėse(165) rekomenduojamas metodas reiškia, kad minėti vežėjai patys perduoda PNR duomenis į informacijos apie keleivius skyrių duomenų bazes. Palyginti su „pull“ metodu, kai kompetentingos institucijos gali prisijungti prie operatorių sistemų ir gauti reikiamų duomenų kopiją iš jų duomenų bazių, „push“ metodas suteikia daugiau garantijų, nes atitinkamam oro vežėjui patikėtas PNR duomenų saugotojo ir valdytojo vaidmuo. Galiausiai, laikantis ICAO gairių ir „vieno langelio“ principo(166), PNR direktyvoje numatyta, kad PNR duomenys perduodami per vieną įstaigą, t. y. informacijos apie keleivių skyrių, kuri veikia prižiūrima šios direktyvos 5 straipsnyje nurodyto įgaliotojo atstovo ir ypač minėtos direktyvos 15 straipsnyje nurodytos nacionalinės priežiūros institucijos.
174. Antra, PNR direktyvoje numatytos tam tikros apsaugos priemonės, kuriomis siekiama užtikrinti PNR duomenų saugumą. Šiuo klausimu darau nuorodą į šios direktyvos 13 straipsnio 2 dalį, kurioje numatyta, kad bet kokiam duomenų tvarkymui pagal šią direktyvą taikomos Policijos direktyvos 28 ir 29 straipsnių nuostatos dėl duomenų tvarkymo konfidencialumo ir duomenų saugumo, taip pat į to paties straipsnio 3 dalį, kurioje, kiek tai susiję su oro vežėjų atliekamu PNR duomenų tvarkymu, primintos jų pareigos pagal BDAR, visų pirma pareigos imtis tinkamų techninių ir organizacinių priemonių asmens duomenų saugumui ir konfidencialumui apsaugoti(167).
175. Galiausiai reikia pabrėžti, kad PNR direktyvos 29 ir 37 konstatuojamosiose dalyse pripažįstama keleivių teisė gauti „tiksli[ą] ir lengvai prieinam[ą] bei lengvai suprantam[ą] informacij[ą], be kita ko, apie PNR duomenų rinkimą, o valstybių narių prašoma užtikrinti, kad šios teisės būtų laikomasi. Nors šis pripažinimas nevirto privaloma nuostata PNR direktyvos tekste, norėčiau pabrėžti, kaip nurodžiau nagrinėdamas pirmąjį prejudicinį klausimą, kad PNR duomenų perdavimui informacijos apie keleivius skyriams taikomos BDAR nuostatos. Todėl atlikdami šį perdavimą oro vežėjai privalo laikytis, be kita ko, BDAR 13 ir 14 straipsnių, kuriuose numatyta duomenų subjektų teisė į informaciją tvarkant asmens duomenis. Nors perkeldamos PNR direktyvą valstybės narės turėtų aiškiai numatyti oro transporto keleivių teisę į informaciją, kaip antai pripažįstama šios direktyvos 29 ir 37 konstatuojamosiose dalyse, kad ir kaip būtų, jos negali riboti BDAR 13 ir 14 straipsnių taikymo srities pagal šio reglamento 23 straipsnio 1 dalį, nes tai prieštarautų šios direktyvos esmei. Tačiau, kad tokia teisė būtų veiksminga, ji taip pat turi apimti perduodamų PNR duomenų kategorijas.
176. Atsižvelgdamas į visus išdėstytus argumentus, manau, kad PNR duomenys, kurių tvarkymas numatytas PNR direktyvoje, atsižvelgiant į siūlomus apribojimus ir paaiškinimus, pateiktus nagrinėjant trečiąjį prejudicinį klausimą, yra tinkami, svarbūs ir nepertekliniai, atsižvelgiant į šia direktyva siekiamus tikslus, ir kad jų apimtis neviršija to, kas griežtai būtina šiems tikslams įgyvendinti.
– Dėl neskelbtinų duomenų
177. Pagal PNR direktyvą apskritai draudžiama tvarkyti „neskelbtinus duomenis“(168).
178. Nors šioje direktyvoje nepateikta sąvokos „neskelbtini duomenys“ apibrėžties, iš jos 13 straipsnio 4 dalies matyti, kad ji apima bent jau „PNR duomenis, kuriais atskleidžiama asmens rasė ar etninė kilmė, politinės pažiūros, religija ar filosofiniai įsitikinimai, narystė profesinėse sąjungose, sveikata, lytinis gyvenimas ar seksualinė orientacija“(169). Nuomonės 1/15 165 punkte Teisingumo Teismas patikslino, jog bet kuri priemonė, grindžiama teiginiu, kad viena ar kelios iš šių savybių „savaime, nepriklausomai nuo individualaus konkretaus keleivio elgesio, galėtų būti svarbios atsižvelgiant į PNR duomenų tvarkymu siekiamą tikslą <…>, pažeistų pagal Chartijos 7 ir 8 straipsnius, siejamus su 21 straipsniu, užtikrinamas teises“. Taigi, PNR direktyva, kuria draudžiamas bet koks jos 13 straipsnio 4 dalyje nurodytų duomenų tvarkymas, atitinka Teisingumo Teismo nustatytus apribojimus, taikomus šių kategorijų duomenų naudojimui PNR duomenų tvarkymo sistemoje tiek pagal nacionalinę teisę, tiek pagal Sąjungos teisę ar Sąjungos sudarytą tarptautinį susitarimą.
179. PNR direktyvoje nustatytas bendras draudimas tvarkyti neskelbtinus duomenis apima ir jų rinkimą. Taigi, kaip aiškiai nurodyta šios direktyvos 15 konstatuojamojoje dalyje, I priede išvardytos 19 duomenų kategorijų nėra grindžiamos PNR duomenimis, nurodytais šios direktyvos 13 straipsnio 4 dalyje.
180. Nors nė vienoje iš šių kategorijų tokie duomenys nėra aiškiai nurodyti, vis dėlto jie galėtų būti priskirti prie I priedo 12 punkto kategorijos „Bendros pastabos“, kurios „atvira formuluotė“ gali apimti neapibrėžtą kiekį įvairaus pobūdžio informacijos, kaip jau turėjau galimybę pažymėti nagrinėdamas trečiąjį prejudicinį klausimą. Iš tiesų, kaip Teisingumo Teismas pažymėjo Nuomonės 1/15 164 punkte, yra konkretus pavojus, kad minėtoje kategorijoje nurodyta informacija, susijusi, pavyzdžiui, su mitybos pageidavimais, pagalbos prašymais, kainų paketais tam tikrų kategorijų asmenims ar asociacijoms, gali tiesiogiai atskleisti neskelbtinus duomenis, kaip tai suprantama pagal PNR direktyvos 13 straipsnio 4 dalį, visų pirma susijusius su atitinkamų keleivių religiniais įsitikinimais, jų sveikatos būkle, naryste profesinėje sąjungoje ar politinėje partijoje.
181. Kadangi šie duomenys bet kuriuo atveju negali būti tvarkomi pagal PNR direktyvą, oro transporto vežėjų atliekamas jų perdavimas ne tik akivaizdžiai viršija tai, kas griežtai būtina, bet ir yra visiškai neveiksmingas. Šiuo klausimu svarbu pažymėti, jog tai, kad pagal PNR direktyvos 13 straipsnio 4 dalies antrą sakinį informacijos apie keleivius skyriai bet kuriuo atveju privalo nedelsiant ištrinti PNR duomenis, atskleidžiančius šios dalies pirmame sakinyje nurodytą informaciją, negali leisti ar pateisinti šių duomenų perdavimo(170), nes minėtoje direktyvoje nustatyto draudimo juos tvarkyti turi būti paisoma jau pirmajame PNR duomenų tvarkymo etape. Todėl pareiga ištrinti neskelbtinus duomenis yra tik papildoma apsaugos priemonė, numatyta toje direktyvoje tam atvejui, jei išimties tvarka tokie duomenys per klaidą būtų perduoti informacijos apie keleivius skyriams.
182. Be to, pažymiu, kaip savo išvados dėl Nuomonės 1/15 222 punkte(171) tai padarė generalinis advokatas P. Mengozzi, kad informaciją, kuri priskirta prie „laisvo teksto“ kategorijų, kaip antai I priedo 12 punkto kategorijos „Bendros pastabos“, ir kurioje gali būti neskelbtinų duomenų pagal PNR direktyvos 13 straipsnio 4 dalį, keleiviai pateikia tik papildomai, todėl mažai tikėtina, kad su teroristiniais ar sunkiais nusikaltimais susiję asmenys savo noru ją pateiks, taigi greičiausiai sistemingas tokių duomenų perdavimas daugeliu atveju bus susijęs tik su asmenimis, paprašiusiais suteikti papildomą paslaugą, kuri iš tikrųjų teisėsaugos institucijų visiškai nedomina(172).
183. Nagrinėdamas trečiąjį prejudicinį klausimą, padariau išvadą, kad I priedo 12 punktas tiek, kiek jis susijęs su skiltimi „Bendros pastabos“, neatitinka Chartijos 52 straipsnio 1 dalies pirmame sakinyje nustatytų aiškumo ir tikslumo reikalavimų. Dėl ką tik išdėstytų priežasčių manau, jog šios skilties įtraukimas į duomenų, kurie sistemingai perduodami informacijos apie keleivius skyriams, kategorijas, nepatikslinant informacijos, kurią ji gali apimti, taip pat neatitinka Chartijos 52 straipsnio 1 dalies antrame sakinyje numatyto būtinumo kriterijaus, kaip jį yra išaiškinęs Teisingumo Teismas(173).
184. Vis dėlto iš PNR duomenų, kurie turi būti perduoti valstybės institucijoms pagal PNR duomenų tvarkymo sistemą, sąrašo išbraukus vadinamąsias „laisvo teksto“ kategorijas, to nepakaktų siekiant pašalinti riziką, kad neskelbtini duomenys galėtų būti prieinami toms institucijoms. Tokie duomenys iš tiesų gali būti ne tik tiesiogiai gaunami iš informacijos, kurią apima tokios duomenų kategorijos, bet ir netiesiogiai atskleidžiami arba numanomi iš „koduotose“ kategorijose esančios informacijos. Pavyzdžiui, iš oro transporto keleivio vardo ir pavardės galima spręsti arba bent jau daryti prielaidas dėl atitinkamo keleivio etninės kilmės arba tikėjimo. Tas pats pasakytina apie pilietybę. Tokių duomenų iš esmės negalima išbraukti iš perduotinų PNR duomenų sąrašo, o valdžios institucijos, turinčios teisę juos gauti, negali jų ištrinti. Todėl, siekiant išvengti rizikos, kad dėl neskelbtinų asmeninių savybių bus stigmatizuojama daug asmenų, kurie vis dėlto nėra įtariami padarę kokį nors nusikaltimą, svarbu PNR sistemoje numatyti pakankamas apsaugos priemones, kurios kiekviename surinktų duomenų tvarkymo etape neleistų, kad atliekant šį tvarkymą būtų tiesiogiai ar netiesiogiai atsižvelgiama į tokias savybes, pavyzdžiui, automatinės analizės metu taikant šiomis savybėmis pagrįstus atrankos kriterijus. Prie šio klausimo grįšiu, pateikdamas tolesnę analizę.
185. Remdamasis visais pirma išdėstytais argumentais manau, kad, nepaneigiant to, kas nuspręsta šio išvados 183 punkte, PNR duomenų perdavimo informacijos apie keleivius skyriams etape PNR direktyvoje numatytos pakankamos apsaugos priemonės, kuriomis siekiama apsaugoti neskelbtinus duomenis.
iii) Dėl sąvokos „keleivis“ (ketvirtasis prejudicinis klausimas)
186. Ketvirtuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas Teisingumo Teismo iš esmės klausia, ar PNR direktyvoje nustatyta sistema, pagal kurią leidžiama bendrai perduoti ir tvarkyti bet kurio asmens, atitinkančio „keleivio“ sąvoką, kaip ji suprantama pagal šios direktyvos 3 straipsnio 4 dalį, PNR duomenis, neatsižvelgiant į jokias objektyvias aplinkybes, leidžiančias manyti, kad atitinkamas asmuo gali kelti pavojų visuomenės saugumui, yra suderinama su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi. Be kita ko, jis kelia klausimą, ar PNR direktyvoje įtvirtintai asmens duomenų tvarkymo sistemai gali būti taikoma Teisingumo Teismo jurisprudencija, susijusi su duomenų saugojimu ir prieiga prie jų elektroninių ryšių sektoriuje.
187. Šioje jurisprudencijoje, kiek tai svarbu šiai bylai, Teisingumo Teismas padarė išvadą, kad teisės aktai, kuriuose, siekiant kovoti su sunkiais nusikaltimais, numatytas bendras ir nediferencijuotas elektroninių ryšių srauto ir vietos nustatymo duomenų(174) preventyvus saugojimas tam, kad teisėsaugos institucijos turėtų prie jų prieigą, nedarant jokio skirtumo, apribojimo ar išimties dėl siekiamo tikslo, iš principo negali būti laikomi pateisinamais demokratinėje visuomenėje(175). Tą patį Teisingumo Teismas nusprendė dėl nacionalinės teisės nuostatų, kuriose, siekiant kovoti su terorizmu, numatyta automatizuota visų minėtų duomenų analizė, kai elektroninių ryšių paslaugų teikėjai atlieka filtravimą kompetentingų nacionalinių institucijų prašymu ir taikant jų nustatytus parametrus(176). Teisingumo Teismo teigimu, tokios priemonės gali būti pateisinamos tik tais atvejais, kai valstybė narė susiduria su didele grėsme nacionaliniam saugumui, kuri yra tikra ir esama arba numatoma, ir kai sprendimui, kuriame numatytas šių priemonių įgyvendinimas, taikoma veiksminga teismo arba nepriklausomo administracinio subjekto kontrolė(177). Be to, Teisingumo Teismo teigimu, šių priemonių naudojimas tokiais atvejais turi būti apribotas laiko atžvilgiu ir bet kuriuo atveju negali būti vykdomas sistemingai(178).
188. Be to, pažymiu, kad nors šioje jurisprudencijoje Teisingumo Teismas tiesiogiai nenurodė, kaip Sprendime Schrems I, kad buvo pakenkta teisės į privataus gyvenimo gerbimą esmei, jis vis dėlto nusprendė, kad nagrinėtomis priemonėmis buvo nustatytas tokio dydžio suvaržymas, jog, išskyrus konkrečių grėsmių valstybės narės nacionaliniam saugumui atvejį, jos paprasčiausiai negalėjo būti laikomos neviršijančiomis to, kas griežtai būtina, todėl – atitinkančiomis Chartiją(179), neatsižvelgiant į galimas numatytas garantijas, apsaugančias nuo piktnaudžiavimo ir neteisėtos prieigos prie atitinkamų duomenų pavojaus(180).
189. Jau turėjau galimybę pabrėžti, kad toks reglamentavimas, kaip numatytas PNR direktyvoje, turi tam tikrų bendrų bruožų su priemonėmis, kurias Teisingumo Teismas nagrinėjo pirmesniuose šios išvados punktuose primintoje jurisprudencijoje, todėl jis yra itin intervencinis. Pavyzdžiui, šioje direktyvoje nustatyta bendra ir nediferencijuota didelės gyventojų dalies asmens duomenų rinkimo ir automatizuotos analizės sistema, bendrai taikoma visiems asmenims, atitinkantiems minėtos direktyvos 3 straipsnio 4 dalyje pateiktą „keleivio“ sąvoką, taigi, ir tiems, dėl kurių nėra jokių įrodymų, leidžiančių manyti, kad šių asmenų elgesys gali būti susijęs su teroristine veikla ar sunkiais nusikaltimais, net ir netiesiogiai ar nedidele dalimi. Būtent šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar ši jurisprudencija gali būti taikoma tokiai PNR duomenų tvarkymo sistemai, kaip įtvirtinta PNR direktyvoje.
190. Šiuo klausimu pažymiu, kad Nuomonės 1/15 186–189 punktuose nagrinėdamas Kanados ir ES PNR susitarimo projekto taikymo sritį ratione personae Teisingumo Teismas vengė bet kokio gretinimo tarp, pirma, priemonių, skirtų bendrai ir nediferencijuotai prieigai prie elektroninių ryšių turinio, srauto ir vietos nustatymo duomenų, taip pat jų saugojimui, ir, antra, PNR duomenų perdavimo bei jų automatizuoto tvarkymo, atliekant keleivių, kuriems taikomas minėtas susitarimas, išankstinį vertinimą. Tačiau tuo metu, kai ši nuomonė buvo paskelbta, jau buvo suformuota jurisprudencija, patvirtinta likus vos keliems mėnesiams iki nuomonės paskelbimo priimtame Sprendime Tele2 Sverige, kuriuo remiasi prašymą priimti prejudicinį sprendimą pateikęs teismas, ir šioje jurisprudencijoje nurodytos priemonės, išskyrus specifines ir konkrečias situacijas(181), buvo pripažintos nesuderinamomis su Chartija(182). Naujausi Teisingumo Teismo sprendimai šioje srityje, visų pirma Sprendimas La Quadrature du Net, atitinka šią jurisprudenciją, ją patikslina ir tam tikrais aspektais detalizuoja.
191. Minėtose Nuomonės 1/15 punktuose Teisingumo Teismas aiškiai nurodė, jog neatrodo, kad Kanados ir ES PNR susitarimas peržengia to, kas griežtai būtina, ribas, kiek pagal jį išankstinio vertinimo tikslais leidžiama perduoti ir automatizuotai tvarkyti visų į Kanadą atvykstančių oro transporto keleivių PNR duomenis, nepaisant to, kad toks perdavimas ir tvarkymas turėjo vykti „neatsižvelgiant į tai, ar yra kokių nors objektyvių elementų, leidžiančių manyti, kad keleiviai gali kelti pavojų visuomenės saugumui Kanadoje“(183). Šios nuomonės 187 punkte Teisingumo Teismas net nurodė, kad, „netaikant kontrolės tam tikrų kategorijų asmenims arba tam tikruose kilmės regionuose, galėtų būti kliudoma įgyvendinti automatizuotu PNR duomenų tvarkymu siekiamą tikslą, būtent tikrinant tokius duomenis iš visų oro keleivių nustatyti asmenis, galinčius kelti pavojų visuomenės saugumui, ir būtų palikta tokio patikrinimo apėjimo galimybė“(184).
192. Taigi, bent jau kiek tai susiję su bendru ir nediferencijuotu PNR duomenų perdavimu, Teisingumo Teismas nukrypo nuo griežtesnio požiūrio, kurio laikomasi metaduomenų saugojimo ir prieigos prie jų srityje.
193. Nors neginčytina, kad dėstydamas savo motyvus jis atsižvelgė, kaip matyti iš Nuomonės 1/15 152 ir 188 punktų, pirma, į konstatavimą, kad automatizuotas PNR duomenų tvarkymas palengvina saugumo patikrinimus, ypač pasienyje, ir, antra, į tai, kad pagal Čikagos konvenciją oro transporto keleiviai, norintys atvykti į šios konvencijos valstybės narės teritoriją, privalo būti patikrinti ir laikytis tos valstybės nustatytų atvykimo ir išvykimo sąlygų, įskaitant jų PNR duomenų patikrinimą, manau, kad yra kitų priežasčių, pagrindžiančių tokio skirtingo požiūrio taikymą, visų pirma dėl tvarkomų duomenų pobūdžio.
194. Teisingumo Teismas ne kartą yra pabrėžęs, kad ne tik elektroninių ryšių turinys, bet ir metaduomenys gali atskleisti „daug svarbių aspektų apie duomenų subjektų privatų gyvenimą, įskaitant neskelbtiną informaciją, pavyzdžiui, seksualinę orientaciją, politines pažiūras, religinius, filosofinius, socialinius ar kitus įsitikinimus ir sveikatos būklę“, kad iš šių duomenų, vertinamų kaip visuma, „gali būti daromos labai tikslios išvados apie asmenų, kurių duomenys saugomi, privatų gyvenimą, kaip antai kasdienio gyvenimo įpročius, nuolatinę ar laikiną gyvenamąją vietą, kasdienį ir kitokį judėjimą, vykdomą veiklą, socialinius ryšius ir jų socialinę aplinką“, ir kad minėti duomenys visų pirma sudaro sąlygas „duomenų subjektų profiliui nustatyti, o tai irgi yra tokia pat jautri informacija, kiek tai susiję su teise į privataus gyvenimo gerbimą, kaip ir pranešimų turinys“(185). Be to, primenu, kad iki šiol Teisingumo Teismo nagrinėtose teisės nuostatose, įskaitant įtvirtintąsias Direktyvoje 2006/24, nebuvo numatyta jokios išimties ir jos taip pat buvo taikomos pranešimams socialinėms ar religinėms tarnyboms arba specialistams, kurie saistomi profesinės paslapties įpareigojimų, arba iš jų gaunamiems pranešimams. Taigi, nors Teisingumo Teismas nekonstatavo, jog buvo pažeista teisės į privataus gyvenimo gerbimą esmė, jis vis dėlto patvirtino, kad „atsižvelgiant į informacijos, kurią gali suteikti srauto ir vietos nustatymo duomenys, jautrumą, šios informacijos konfidencialumas yra esminis, kiek tai susiję su teise į privataus gyvenimo gerbimą“(186).
195. Vis dėlto, nors, kaip priminiau šios išvados 77 ir 98 punktuose, Nuomonėje 1/15 Teisingumo Teismas pripažino, kad PNR duomenys tam tikrais atvejais gali atskleisti labai tikslios informacijos apie asmens privatų gyvenimą(187), jis vis dėlto patvirtino, kad šios informacijos pobūdis apima tik tam tikrus šio privataus gyvenimo aspektus(188), todėl prieiga prie tokių duomenų yra mažiau intervencinė nei prieiga prie elektroninių ryšių turinio ir srauto bei vietos nustatymo duomenų.
196. Antra, skiriasi ne tik PNR duomenų pobūdis ir srauto bei vietos nustatymo duomenų pobūdis, bet ir informacijos, kurią gali atkleisti šios skirtingos duomenų kategorijos, kiekis bei įvairovė, nes PNR duomenys yra labiau riboti tiek kiekybiniu, tiek kokybiniu požiūriais. Taip yra ne tik dėl to, kad bendro ir nediferencijuoto elektroninių ryšių duomenų tvarkymo sistemos gali būti susijusios su beveik visa nurodyta populiacija, o PNR duomenų tvarkymo sistemos taikomos siauresniam ratui, nors jis ir apima didelį asmenų skaičių, bet ir dėl elektroninių ryšių priemonių naudojimo dažnumo bei jų gausos. Be to, PNR direktyvoje numatyta rinkti ir tvarkyti ribotą ir išsamiai apibrėžtą PNR duomenų skaičių, išskyrus duomenis, kurie patenka į šios direktyvos 13 straipsnio 4 dalyje išvardytas kategorijas, todėl tikėtina, kad jei ne kiekis, tai bent jau informacijos apie duomenų subjektų privatų gyvenimą, kuri gali būti gauta, jautrumas gali būti iš dalies įvertintas iš anksto(189). Tačiau toks nurodytų duomenų rūšių apribojimas, kuris leistų pašalinti didelę dalį duomenų, kuriuose gali būti neskelbtinos informacijos, srauto ir vietos nustatymo duomenų atveju yra įmanomas tik iš dalies, atsižvelgiant į atitinkamų naudotojų ir ryšio priemonių skaičių(190).
197. Trečia, bet koks elektroninių ryšių metaduomenų tvarkymas gali ne tik paveikti beveik visų gyventojų privačią gyvenimo sritį, bet ir trukdyti naudotis kitomis laisvėmis, kuriomis įgyvendinamas kiekvieno asmens dalyvavimas socialiniame ir demokratiniame šalies gyvenime(191), ir, be kita ko, turėti atgrasomąjį poveikį elektroninių ryšių priemonių naudotojų saviraiškos laisvei(192), esančiai „vien[u] iš pagrindinių demokratinės ir pliuralistinės visuomenės pagrindų“, kurie yra vertybių, kuriomis pagal ESS 2 straipsnį grindžiama Sąjunga, dalis(193). Šis aspektas būdingas priemonėms, susijusioms su šiomis asmens duomenų kategorijomis, ir iš esmės nėra susijęs su PNR duomenų tvarkymo sistemomis.
198. Ketvirta, visų pirma dėl to, kad iš elektroninių ryšių turinio, taip pat srauto ir buvimo vietos duomenų galima gauti daug ir įvairios neskelbtinos informacijos, yra daug didesnė savavališko tokių duomenų tvarkymo rizika nei PNR duomenų tvarkymo sistemų atveju.
199. Dėl visų išdėstytų priežasčių manau, kad griežtesnis požiūris, kurio Teisingumo Teismas laikosi elektroninių ryšių srityje, negali būti taikomas PNR duomenų tvarkymo sistemoms. Šia linkme Teisingumo Teismas, bent jau netiesiogiai, išsakė požiūrį Nuomonėje 1/15 dėl tarptautinio susitarimo, kuriuo tokia sistema nustatoma siekiant apsaugoti trečiosios šalies saugumą. Mano nuomone, tokia pati pozicija juo labiau pateisinama kalbant apie PNR direktyvą, kurios tikslas – apsaugoti Sąjungos vidaus saugumą.
200. Atsižvelgiant į tai, reikia pažymėti, kaip tai padarė generalinis advokatas P. Mengozzi savo išvados dėl Nuomonės 1/15 216 punkte(194), kad pačiomis PNR sistemomis, nesvarbu, ar jos patvirtintos vienašališkai, ar pagal tarptautinį susitarimą, siekiama būtent užtikrinti masinį duomenų perdavimą, kuris leistų kompetentingoms institucijoms, naudojant automatizuotas tvarkymo priemones ir iš anksto nustatytus vertinimo scenarijus ar kriterijus, nustatyti teisėsaugos tarnyboms iki tol nežinomus asmenis, kurie, panašu, kelia „susidomėjimą“ arba pavojų visuomenės saugumui ir kuriems dėl to vėliau gali būti taikoma individuali išsamesnė patikra. Todėl „pagrįsto įtarimo“ reikalavimas, kai antai įtvirtintas EŽTT jurisprudencijoje dėl tikslinio pasiklausymo atliekant baudžiamąjį tyrimą(195) ir Teisingumo Teismo jurisprudencijoje dėl metaduomenų saugojimo(196), yra mažiau svarbus tokio perdavimo ir tokio tvarkymo kontekste(197). Be kita ko, tokiomis sistemomis siekiamas prevencijos tikslas taip pat negali būti įgyvendintas apribojant jų taikymą konkrečiai asmenų kategorijai, kaip, beje, Teisingumo Teismas patvirtino šios išvados 191 punkte nurodytuose Nuomonės 1/15 punktuose, todėl atrodo, kad PNR direktyvos taikymo apimtis užtikrina veiksmingą šio tikslo įgyvendinimą(198).
201. Taip pat reikėtų pabrėžti, kad Komisija ne kartą akcentavo strateginę PNR duomenų tvarkymo, kaip esminės bendro Sąjungos atsako į terorizmą ir sunkius nusikaltimus priemonės ir kaip ES saugumo sąjungos pagrindinės sudedamosios dalies, svarbą(199). Kalbant apie „bendrą koncepciją“ kovojant su terorizmu, PNR duomenų tvarkymo sistemų vaidmenį pripažino ir Jungtinių Tautų Saugumo Taryba, kuri Rezoliucijoje 2396 (2017)(200) pareikalavo, kad Jungtinių Tautų valstybės narės „stiprintų savo gebėjimus rinkti, apdoroti ir analizuoti PNR duomenis pagal ICAO standartus ir rekomenduojamą praktiką ir užtikrintų, kad tokie duomenys būtų prieinami visoms kompetentingoms nacionalinėms institucijoms ir kad jos juos naudotų, visapusiškai gerbdamos žmogaus teises ir pagrindines laisves, teroristinių nusikaltimų ir teroristų kelionių prevencijos, nustatymo ir tyrimo tikslais“(201). Šis įpareigojimas dar kartą buvo patvirtintas Rezoliucijoje 2482/2019 dėl terorizmo ir sunkių tarpvalstybinių nusikaltimų(202).
202. Šiomis aplinkybėmis Sąjungos lygmeniu suderintos PNR duomenų tvarkymo sistemos, taikomos tiek ES išorės, tiek ES vidaus skrydžiams (toms valstybėms, kurios pasinaudojo PNR direktyvos 2 straipsniu), patvirtinimas leidžia užtikrinti, kad šie duomenys būtų tvarkomi laikantis Chartijos 7 ir 8 straipsniuose įtvirtintų teisių aukšto apsaugos lygio, nustatyto toje direktyvoje, ir sukuria referencinę teisinę sistemą, kuria remiamasi derantis dėl tarptautinių susitarimų dėl PNR duomenų tvarkymo ir perdavimo(203).
203. Be to, nors tiesa, kad PNR direktyvoje įtvirtinta sistema nediferencijuotai taikoma visiems oro transporto keleiviams, kaip teisingai pažymėjo Parlamentas savo rašytinėse pastabose ir kaip taip pat pabrėžė Jungtinių Tautų Saugumo Taryba Rezoliucijoje 2396 (2017), kurioje kalbama apie konkrečią riziką, kad civilinė aviacija gali būti naudojama teroristiniais tikslais ir kaip transporto priemonė, ir kaip taikinys(204), egzistuoja objektyvus ryšys tarp oro transporto ir grėsmių visuomenės saugumui, susijusių visų pirma su terorizmu ir su bent jau tam tikromis sunkių nusikaltimų formomis, ypač prekyba narkotikais ar prekyba žmonėmis, kurioms, be to, būdingas stiprus tarpvalstybinis elementas.
204. Galiausiai svarbu pabrėžti, kaip nurodė Parlamentas, Taryba ir kelios rašytines pastabas pateikusios valstybės narės, kad į Sąjungą atvykstantys ir iš jos išvykstantys oro transporto keleiviai turi būti tikrinami saugumo tikslais(205). PNR duomenų perdavimas ir tvarkymas prieš jiems atvykstant ar išvykstant palengvina ir pagreitina šiuos patikrinimus, kaip Teisingumo Teismas taip pat pažymėjo Nuomonėje 1/15, ir leidžia teisėsaugos institucijoms sutelkti dėmesį į tuos keleivius, dėl kurių jos turi faktinių įrodymų apie realią grėsmę saugumui(206).
205. Galiausiai, kalbant, be kita ko, apie PNR direktyvos sistemos išplėtimą ES vidaus skrydžiams, nors a priori negalima visiškai atmesti poveikio Europos piliečių judėjimo laisvei, be kita ko, įtvirtintai Chartijos 45 straipsnyje, PNR direktyvoje nustatytas privataus gyvenimo suvaržymas, nors ir didelis, mano nuomone, nėra toks, kad savaime atgrasytų nuo naudojimosi šia laisve, o PNR duomenų tvarkymą visuomenė netgi gali suvokti kaip būtiną priemonę siekiant užtikrinti kelionių oro transportu saugumą(207). Tačiau tokio atgrasomojo poveikio galimybė turi būti nuolat vertinama ir stebima.
206. Vis dėlto siekiant laikytis šios išvados 107 ir 108 punktuose nurodytos jurisprudencijos PNR direktyva negali apsiriboti reikalavimu, kad prieiga prie visų oro transporto keleivių PNR duomenų ir jų automatizuotas tvarkymas atitiktų siekiamą tikslą; joje taip pat turi būti aiškiai ir tiksliai nustatytos materialinės ir procedūrinės sąlygos, kuriomis reglamentuojama ši prieiga, šis tvarkymas ir tolesnis šių duomenų naudojimas(208), ir turi būti numatytos tinkamos apsaugos priemonės kiekviename šio proceso etape. Nagrinėdamas antrąjį prejudicinį klausimą jau užsiminiau apie apsaugos priemones, susijusias su PNR duomenų perdavimu informacijos apie keleivius skyriams. Nagrinėdamas šeštąjį prejudicinį klausimą aptarsiu apsaugos priemones, kurios yra konkrečiau susijos su automatizuotu šių duomenų tvarkymu, o nagrinėdamas aštuntąjį prejudicinį klausimą – su jų saugojimu susijusias apsaugos priemones.
207. Prieš tęsdamas šį nagrinėjimą norėčiau pabrėžti esminę svarbą, kurią PNR direktyvos įtvirtintos apsaugos sistemos kontekste turi šios direktyvos 15 straipsnyje nurodytos nepriklausomos valdžios institucijos vykdoma priežiūra. Pagal šį straipsnį bet kokį duomenų tvarkymą, numatytą minėtoje direktyvoje, prižiūri nepriklausoma priežiūros institucija, kuri turi įgaliojimus tikrinti šio tvarkymo teisėtumą, atlikti tyrimus, patikrinimus ir auditą bei nagrinėti bet kurio duomenų subjekto pateiktus skundus. Tokia kontrolė, vykdoma išorės subjekto, kuriam pavesta ginti interesus, galimai prieštaraujančius interesams, kurių siekia PNR duomenų tvarkymo rengėjai, taip pat užtikrinti, kad būtų laikomasi visų su minėtu tvarkymu susijusių apribojimų bei apsaugos priemonių, yra esminė garantija, aiškiai nustatyta Chartijos 8 straipsnio 3 dalyje, o jos veiksmingumas, kalbant apie atitinkamų pagrindinių teisių apsaugą, yra netgi didesnis nei asmenims prieinamų teisių gynimo priemonių sistemos. Todėl, mano nuomone, itin svarbu, kad Teisingumo Teismas PNR direktyvos 15 straipsnyje numatytų priežiūros įgaliojimų apimtį aiškintų plačiai ir kad valstybės narės, perkeldamos šią direktyvą į nacionalinę teisę, savo nacionalinei priežiūros institucijai pripažintų visą šių įgaliojimų apimtį, suteikdamos jai materialinius ir asmeninius išteklius, būtinus jos užduočiai atlikti.
208. Remdamasis visais išdėstytais argumentais manau, kad PNR direktyva neviršija to, kas griežtai būtina, kiek pagal ją leidžiama perduoti ir automatizuotai tvarkyti bet kurio asmens, kuris atitinka „keleivio“ sąvoką, kaip ji suprantama pagal šios direktyvos 3 straipsnio 4 dalyje, duomenis.
iv) Dėl to, ar keleivių išankstinis vertinimas yra pakankamai aiškaus ir tikslaus pobūdžio bei apribotas tuo, kas griežtai būtina (šeštasis prejudicinis klausimas)
209. Šeštuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas Teisingumo Teismo iš esmės klausia, ar PNR direktyvos 6 straipsnyje nurodytas išankstinis vertinimas yra suderinamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi. Nors šio klausimo formuluotėje daugiausia dėmesio skiriama sistemingam ir bendram visų oro transporto keleivių PNR duomenų automatizuoto tvarkymo, kurį apima šis išankstinis vertinimas, pobūdžiui, iš sprendimo dėl prašymo priimti prejudicinį sprendimą motyvų matyti, kad Cour constitutionnelle (Konstitucinis Teismas) prašo Teisingumo Teismo atlikti bendresnį vertinimą dėl teisėtumo ir proporcingumo reikalavimų laikymosi tokio tvarkymo kontekste. Toliau atliksiu šį vertinimą remdamasis analize, pateikta nagrinėjant ketvirtąjį prejudicinį klausimą, kiek tai susiję su minėto automatizuoto duomenų tvarkymo netiksliniu pobūdžiu.
210. PNR direktyvos 6 straipsnio 2 dalies a punkte numatyta, kad informacijos apie keleivius skyriai atlieka išankstinį oro transporto keleivių įvertinimą prieš jų numatytą atvykimą į valstybę narę ar išvykimą iš jos. Atliekant šį vertinimą siekiama nustatyti asmenis, kuriuos turi papildomai patikrinti kompetentingos valdžios institucijos, „[nes] tokie asmenys gali būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu“. Pagal PNR direktyvos 6 straipsnio 6 dalį valstybės narės informacijos apie keleivius skyrius nustatytų asmenų PNR duomenis arba tų duomenų tvarkymo rezultatus perduoda „toliau nagrinėti“ tos pačios valstybės narės kompetentingoms valdžios institucijoms, nurodytoms šios direktyvos 7 straipsnyje.
211. Pagal PNR direktyvos 6 straipsnio 3 dalį išankstinis vertinimas pagal to straipsnio 2 dalies a punktą atliekamas lyginant PNR duomenis su duomenimis „[tikslus] atitinkančiose“ duomenų bazėse (6 straipsnio 3 dalies a punktas) arba juos tvarkant pagal nustatytus kriterijus (6 straipsnio 3 dalies b punktas).
212. Prieš pereidamas prie kiekvienos iš šių dviejų duomenų tvarkymo rūšių nagrinėjimo noriu pažymėti, kad iš minėtos 6 straipsnio 3 dalies formuluotės nėra aišku, ar valstybės narės privalo numatyti, kad išankstinis keleivių vertinimas būtų atliekamas sistemingai ir kad visais atvejais būtų naudojama vienos ar kitos rūšies automatizuota analizė, ar, kaip atrodo, patvirtina veiksmažodžio „galėti“ ir skiriamojo jungtuko „arba“ vartojimas, jos turi teisę sutvarkyti savo sistemas taip, kad, pavyzdžiui, 6 straipsnio 3 dalies b punkte numatytas nagrinėjimas būtų atliekamas konkrečiais atvejais. Šiuo klausimu patikslinu, kad Komisijos pasiūlyme dėl PNR direktyvos buvo numatyta, jog šis nagrinėjimas atliekamas tik siekiant kovoti su sunkiais tarpvalstybiniais nusikaltimais(209).
213. Kaip ir Komisija, manau, kad, be kita ko, iš PNR direktyvos struktūros matyti, jog valstybės narės privalo numatyti abiejų rūšių automatizuotą duomenų tvarkymą dėl priežasčių, kurios taip pat susijusios su būtinybe užtikrinti kuo vienodesnį Sąjungos PNR sistemos taikymą. Tačiau tai nereiškia, kad valstybėms narėms neleidžiama – ir netgi privaloma, siekiant užtikrinti, kad atliekant išankstinį vertinimą pagal PNR direktyvos 6 straipsnio 2 dalies a punktą duomenys būtų tvarkomi tik tiek, kiek tai griežtai būtina, – apriboti PNR direktyvos 6 straipsnio 3 dalies b punkte numatytos analizės, atsižvelgiant į jos veiksmingumą kiekvienos iš šioje direktyvoje nurodytų nusikalstamų veikų atžvilgiu, ir, jei reikia, taikyti ją tik kai kurioms iš šių veikų. Tai patvirtina PNR direktyvos 7 konstatuojamoji dalis, pagal kurią „siekiant užtikrinti, kad PNR duomenys būtų tvarkomi tik tiek, kiek tai būtina, vertinimo kriterijų kūrimas ir taikymas turėtų būti apribotas, kad apimtų tik teroristinius nusikaltimus bei sunkius nusikaltimus, kurių atžvilgiu tokių kriterijų naudojimas yra aktualus“.
– Dėl palyginimo su duomenų bazėmis, kaip tai suprantama pagal PNR direktyvos 6 straipsnio 3 dalies a punktą
214. Pirmoji išankstinio vertinimo, kurį informacijos apie keleivius skyriai atlieka pagal PNR direktyvos 6 straipsnio 2 dalies a punktą, dalis apima, kaip numatyta šio straipsnio 3 dalies a punkte, PNR duomenų („data matching“) palyginimą su duomenų bazėmis, siekiant rasti galimas atitiktis („hits“). Šias atitiktis turi patikrinti informacijos apie keleivius skyriai pagal PNR direktyvos 6 straipsnio 5 dalį ir, jei reikia, paversti jas į „match“ prieš perduodant kompetentingoms institucijoms.
215. Kaip Teisingumo Teismas pripažino Nuomonės 1/15 172 punkte, Chartijos 7 ir 8 straipsniuose įtvirtintų teisių apribojimo, kurį lemia šių rūšių automatizuota analizė, apimtis iš esmės priklauso nuo duomenų bazių, kuriomis ji paremta. Todėl labai svarbu, kad nuostatose, kuriose numatytas toks duomenų tvarkymas, būtų pakankamai aiškiai ir tiksliai nurodytos duomenų bazės, su kuriomis leidžiama atlikti kryžminį tvarkytinų duomenų patikrinimą.
216. Pagal PNR direktyvos 6 straipsnio 3 dalies a punktą informacijos apie keleivius skyriai palygina PNR duomenis su duomenimis „duomenų bazėse, atitinkančiose <…> tikslus“(210), kurių siekiama šia direktyva [(toliau – tikslus atitinkančios duomenų bazės)]. Šioje nuostatoje taip pat paminėta konkreti duomenų bazių kategorija, t. y. „asmenų ar daiktų, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai“ duomenų bazės, taigi Sąjungos teisės aktų leidėjas siekė aiškiai apibrėžti jas kaip „atitinkančias tikslus“, kaip tai suprantama pagal šią nuostatą.
217. Be šio patikslinimo, „tikslus atitinkančių duomenų bazių“ sąvoka išsamiau nepaaiškinta. Visų pirma nenurodyta, ar tam, kad PNR duomenų kryžminiam patikrinimui naudojamos duomenų bazės būtų laikomos „atitinkančios tikslus“, jas turi tvarkyti teisėsaugos institucijos, ar apskritai bet kuri valdžios institucija, ar jos tiesiog turi būti tiesiogiai ar netiesiogiai prieinamos. Duomenų, kurie gali būti tokiose duomenų bazėse, pobūdis ir jų ryšys su PNR direktyva siekiamais tikslais taip pat nėra patikslinti(211). Be to, iš PNR direktyvos 6 straipsnio 3 dalies a punkto formuluotės aišku, kad tiek nacionalinės, tiek ES ir tarptautinės duomenų bazės gali būti laikomos „tikslus atitinkančiomis duomenų bazėmis“, o tai dar labiau išplečia duomenų bazių, kurioms gali būti taikoma ši sąvoka, sąrašą ir didina šios sąvokos atvirą pobūdį(212).
218. Šiomis aplinkybėmis taikydamas šios išvados 151 punkte primintą bendrąjį aiškinimo principą Teisingumo Teismas turi aiškinti PNR direktyvos 6 straipsnio 3 dalies a punktą ir, be kita ko, sąvoką „tikslus atitinkančios duomenų bazės“, kiek įmanoma atsižvelgdamas į Chartijoje nustatytus aiškumo ir tikslumo reikalavimus. Be to, kadangi šioje nuostatoje numatytas Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių apribojimas, ji turi būti aiškinama siaurai ir atsižvelgiant į reikalavimą užtikrinti aukštą šių pagrindinių teisių apsaugos lygį, kaip nurodyta, be kita ko, PNR direktyvos 15 konstatuojamojoje dalyje. Taip pat ji turi būti aiškinama atsižvelgiant į PNR direktyvos 1 straipsnio 2 dalyje įtvirtintą tikslų, kuriais gali būti tvarkomi PNR duomenys, ribojimo principą.
219. Atsižvelgdamas į šiuos kriterijus manau, kad sąvoką „tikslus atitinkančios duomenų bazės“ reikia aiškinti kaip susijusią tik su nacionalinėmis duomenų bazėmis, kurias valdo kompetentingos valdžios institucijos pagal PNR direktyvos 7 straipsnio 1 dalį, taip pat su Sąjungos ir tarptautinėmis duomenų bazėmis, kurias tiesiogiai naudoja šios institucijos, vykdydamos savo pareigas. Be to, minėtos duomenų bazės turi būti tiesiogiai ir glaudžiai susijusios su PNR direktyva siekiamais kovos su terorizmu ir sunkiais nusikaltimais tikslais, o tai reiškia, kad jos buvo sukurtos siekiant šių tikslų. Taip aiškinant šią sąvoką, laikytina, kad ji yra daugiausia, arba net išimtinai, susijusi su PNR direktyvos 6 straipsnio 3 dalies a punkte aiškiai nurodytomis asmenų ar daiktų, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, duomenų bazėmis.
220. Paprastai į „tikslus atitinkančių duomenų bazių“ sąvoką neįtraukiamos valstybių narių žvalgybos tarnybų valdomos ar naudojamos duomenų bazės, išskyrus atvejus, kai jos griežtai atitinka sąlygą dėl glaudaus ryšio su direktyvoje numatytais tikslais ir kai atitinkama valstybė narė pripažįsta, kad jos žvalgybos tarnybos turi specialius įgaliojimus teisėsaugos srityje(213).
221. Pirma pasiūlytas aiškinimas atitinka Nuomonės 1/15 172 punkte Teisingumo Teismo pateiktas rekomendacijas.
222. Vis dėlto net ir toks PNR direktyvos 6 straipsnio 3 dalies a punkto aiškinimas neleidžia pakankamai tiksliai nustatyti duomenų bazių, kuriomis valstybės narės naudosis atlikdamos kryžminį patikrinimą su PNR duomenimis, ir jis negali būti laikomas atitinkančiu Chartijos 52 straipsnio 1 dalies reikalavimus, kaip juos aiškina Teisingumo Teismas. Todėl ši nuostata turi būti suprantama taip, kad pagal ją valstybės narės, perkeldamos PNR direktyvą į nacionalinę teisę, privalo paskelbti minėtų duomenų bazių sąrašą ir jį nuolat atnaujinti. Taip pat būtų pageidautina, kad Sąjungos lygmeniu būtų sudarytas „tikslus atitinkančių“ duomenų bazių, kaip tai suprantama pagal PNR direktyvos 6 straipsnio 3 dalies a punktą, kurias Sąjunga valdo bendradarbiaudama su valstybėmis narėmis, ir tarptautinių duomenų bazių sąrašas, siekiant suvienodinti valstybių narių praktiką šioje srityje.
– Dėl PNR duomenų tvarkymo pagal iš anksto nustatytus kriterijus
223. Antroji išankstinio vertinimo pagal PNR direktyvos 6 straipsnio 2 dalies a punktą dalis – automatizuota analizė pagal iš anksto nustatytus kriterijus. Atliekant šią analizę PNR duomenys tvarkomi, daugiausia prognozavimo tikslais, taikant algoritmus, kuriais siekiama „identifikuoti“ keleivius, kurie gali būti susiję su teroristiniais nusikaltimais ar sunkiais nusikaltimais. Šiomis aplinkybėmis informacijos apie keleivius skyrius iš esmės vykdo profiliavimo veiklą(214). Kadangi toks duomenų tvarkymas gali turėti reikšmingų pasekmių asmenims, identifikuotiems taikant algoritmą(215), reikia tikslios sistemos, susijusios tiek su jo atlikimo būdu, tiek su taikytinomis apsaugos priemonėmis. Iš tiesų, kaip Teisingumo Teismas pažymėjo Nuomonės 1/15 172 punkte, Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymų apimtis iš esmės priklauso nuo taikomų iš anksto nustatytų modelių ir kriterijų.
224. Šiuo klausimu pažymiu, pirma, kad PNR direktyvos 6 straipsnio 4 dalies antrame sakinyje patikslinta, jog iš anksto nustatyti kriterijai, kuriais remiantis atliekamas šios direktyvos 6 straipsnio 3 dalies b punkte numatytas išankstinis vertinimas, turi būti „tiksliniai, proporcingi ir konkretūs“. Pirmasis iš šių reikalavimų yra susijęs su šio straipsnio 2 dalies a punkte numatyto išankstinio vertinimo tikslu, t. y. nustatyti asmenis, kurių atžvilgiu kompetentingos institucijos turi atlikti papildomą tikrinimą, ir taip atitinka Nuomonėje 1/15 Teisingumo Teismo pabrėžtą būtinybę, kad naudojami kriterijai leistų „nustatyti“ tuos asmenis, kurie gali būti „pagrįstai įtariami“ dalyvavimu darant teroristinius nusikaltimus ar sunkius nusikaltimus(216). Tokia „tikslinė atranka“ reiškia, kad taikomi abstraktūs vertinimo kriterijai arba, vartojant 2021 m. rekomendacijos dėl profiliavimo žodžius, – „profiliai“(217), pagal kuriuos „filtruojami“ PNR duomenys, siekiant nustatyti keleivius, kurie juos atitinka ir dėl to jų atžvilgiu gali prireikti papildomo tikrinimo. Tačiau pagal PNR direktyvą neleidžia individualiai profiliuoti visų oro transporto keleivių, kurių duomenys yra analizuojami, pavyzdžiui, kiekvienam iš jų suteikiant rizikos kategoriją pagal iš anksto nustatytą skalę, nes tai gali pažeisti šios direktyvos 6 straipsnio 4 dalį ir Teisingumo Teismo Nuomonėje 1/15 nustatytus apribojimus, taikomus automatizuotam PNR duomenų tvarkymui.
225. Be to, pagal 6 straipsnio 4 dalies antrą sakinį iš anksto nustatyti kriterijai, numatyti PNR direktyvos 6 straipsnio 3 dalies b punkte, turi būti „konkretūs“(218), t. y. jie turi būti pritaikyti siekiamam tikslui ir svarbūs atsižvelgiant į šį tikslą, bei „proporcingi“(219), t. y. neviršyti šio tikslo ribų. Siekiant įvykdyti šiuos reikalavimus ir, be kita ko, „užtikrinti, kad PNR duomenys būtų tvarkomi tik tiek, kiek tai būtina“, PNR direktyvos 7 konstatuojamojoje dalyje, kaip jau minėjau, nurodyta, kad „vertinimo kriterijų kūrimas ir taikymas turėtų būti apribotas, kad apimtų tik teroristinius nusikaltimus bei sunkius nusikaltimus, kurių atžvilgiu tokių kriterijų naudojimas yra aktualus“.
226. Galiausiai tiek iš PNR direktyvos preambulės ir nuostatų, tiek iš Nuomonėje 1/15 Teisingumo Teismo išdėstytų reikalavimų matyti, kad PNR direktyvos 6 straipsnio 3 dalies b punkte nurodyti iš anksto nustatyti kriterijai taip pat turi būti „patikimi“(220), o tai reiškia, pirma, kad jie turi būti parengti taip, kad būtų kuo labiau sumažinta klaidų rizika(221), ir, antra, kad jie turi būti „aktualūs“(222). Šiuo klausimu pagal PNR direktyvos 6 straipsnio 4 dalies trečią sakinį valstybės narės įpareigojamos užtikrinti, kad „informacijos apie keleivius skyriai tuos kriterijus nustatytų ir reguliariai peržiūrėtų bendradarbiaudami su 7 straipsnyje nurodytomis kompetentingomis valdžios institucijomis“(223). Siekiant užtikrinti šių kriterijų patikimumą ir kiek įmanoma apriboti klaidingai teigiamus rezultatus, kaip Komisija pripažino atsakydama į Teisingumo Teismo raštu pateiktą klausimą, taip pat būtina juos parengti taip, kad būtų atsižvelgta tiek į kaltę patvirtinančius, tiek į ją paneigiančius įrodymus.
227. Antra, PNR direktyva aiškiai draudžiamas diskriminacinis profiliavimas. Pavyzdžiui, šios direktyvos 6 straipsnio 4 dalies pirmame sakinyje numatyta, kad išankstinis vertinimas pagal šio straipsnio 3 dalies b punkte iš anksto nustatytus kriterijus „vykdomas nediskriminuojant“. Šiuo klausimu reikia patikslinti, kad nors 6 straipsnio 4 dalies trečiame sakinyje nurodyta, kad minėti kriterijai „jokiomis aplinkybėmis neturi būti nustatomi asmens rasės ar etninės kilmės, politinių pažiūrų, religijos ar filosofinių įsitikinimų, narystės profesinėse sąjungose, sveikatos, lytinio gyvenimo ar seksualinės orientacijos pagrindu“, bendras diskriminacinio profiliavimo draudimas turėtų būti suprantamas kaip apimantis visus Chartijos 21 straipsnyje nurodytus diskriminacijos pagrindus, net ir tuos, kurie nėra aiškiai paminėti(224).
228. Trečia, tiek iš PNR direktyvos 6 straipsnio 3 dalies b punkto formuluotės, tiek iš PNR direktyvoje numatytos apsaugos priemonių, susijusių su automatizuotu PNR duomenų tvarkymu, sistemos matyti, kad šioje nuostatoje numatytai analizei naudojamų algoritmų veikimas turi būti skaidrus, o jų taikymo rezultatai atsekami. Šis skaidrumo reikalavimas, žinoma, nereiškia, kad naudojami „profiliai“ turi būti skelbiami viešai. Tačiau jis reiškia, kad turi būti užtikrintas algoritminio sprendimo priėmimo atpažįstamumas. Iš esmės, pirma, reikalavimas, kad kriterijai, pagal kuriuos turi būti atliekama šis analizė, būtų „iš anksto nustatyti“, neleidžia jų keisti be žmogaus įsikišimo, todėl neleidžia naudoti dirbtinio intelekto technologijų, vadinamų „machine learning“(225), kurios, nors ir gali būti tikslesnės, yra sunkiai interpretuojamos net ir automatizuotą tvarkymą atlikusiems operatoriams(226). Antra, tam, kad PNR direktyvos 6 straipsnio 5 ir 6 dalyse įtvirtinta apsaugos priemonė (pagal kurią bet koks teigiamas rezultatas, gautas automatizuotai tvarkant PNR duomenis pagal to straipsnio 2 dalies a punktą, turi būti atskirai peržiūrėtas neautomatizuotu būdu) būtų veiksminga, kiek tai susiję su PNR direktyvos 6 straipsnio 3 dalies b punkte nurodyta analize, reikia, kad būtų galima suprasti, kodėl programoje buvo gauta tokia atitiktis, o to neįmanoma užtikrinti, ypač jei naudojamos savaiminio mokymosi sistemos. Tas pats pasakytina ir apie šios analizės teisėtumo, įskaitant gautų rezultatų nediskriminacinį pobūdį, kontrolę, kurią yra įgalioti vykdyti duomenų apsaugos pareigūnas ir nacionalinė priežiūros institucija atitinkamai pagal PNR direktyvos 6 straipsnio 7 dalį ir 15 straipsnio 3 dalies b punktą. Naudojamų algoritmų veikimo skaidrumas taip pat yra būtina sąlyga tam, kad suinteresuotieji asmenys galėtų pasinaudoti teise pateikti skundą ir teise į veiksmingą teisminę gynybą.
– Dėl apsaugos priemonių, taikomų automatizuotam PNR duomenų tvarkymui
229. Jau turėjau galimybę paminėti tam tikras apsaugos priemones, kurios taikomos automatizuotam PNR duomenų tvarkymui atliekant išankstinį vertinimą pagal PNR direktyvos 6 straipsnio 2 dalies a punktą ir kurios atitinka reikalavimus, Teisingumo Teismas nurodytus Nuomonėje 1/15, t. y. draudimas tvarkyti duomenis remiantis iš anksto nustatytais diskriminaciniais kriterijais (PNR direktyvos 6 straipsnio 4 dalies pirmas ir ketvirtas sakiniai, Nuomonės 1/15 172 punktas), reguliari iš anksto nustatytų kriterijų, pagal kuriuos turi būti atliekamas šios direktyvos 6 straipsnio 3 dalies b punkte numatytas išankstinis vertinimas, peržiūra (PNR direktyvos 6 straipsnio 4 dalies trečias sakinys, Nuomonės 1/15 174 punktas), bet kokio teigiamo rezultato, gauto automatizuotu būdu tvarkant PNR duomenis, peržiūra neautomatizuotu būdu (PNR direktyvos 6 straipsnio 5 ir 6 dalys, Nuomonės 1/15 173 punktas) ir duomenų apsaugos pareigūno bei nacionalinės priežiūros institucijos vykdoma šio tvarkymo teisėtumo kontrolė (PNR direktyvos 6 straipsnio 7 dalis ir 15 straipsnio 3 dalies b punktas). Šiomis aplinkybėmis labai svarbu, kad nepriklausomos institucijos, kaip antai PNR direktyvos 15 straipsnyje nurodyta institucija, vykdoma kontrolė, pirma, galėtų apimti visus automatizuotam PNR duomenų tvarkymui būdingus aspektus, įskaitant palyginimui naudojamų duomenų bazių, kaip jos suprantamos pagal šios direktyvos 6 straipsnio 3 dalies a punktą, identifikavimą ir iš anksto nustatytų kriterijų, taikomų atliekant analizę pagal minėtos direktyvos 6 straipsnio 3 dalies b punktą, parengimą, ir, antra, kad ši kontrolė galėtų būti vykdoma tiek ex ante, tiek ex post.
230. Svarbu pabrėžti, kad minėtos apsaugos priemonės turi būti laikomos bendrai taikytinomis abiem analizės rūšims, nurodytoms PNR direktyvos 6 straipsnio 3 dalyje, nepaisant to, kaip jos suformuluotos. Pavyzdžiui, nors šios direktyvos 6 straipsnio 4 dalies pirmame sakinyje reikalavimas laikytis nediskriminavimo principo primintas kalbant tik apie išankstinį vertinimą, atliekamą pagal iš anksto nustatytus kriterijus, šis reikalavimas taikomas visuose PNR duomenų tvarkymo etapuose, taigi, ir tada, kai šie duomenys lyginami su atitinkamomis duomenų bazėmis atliekant išankstinį vertinimą, kaip tai suprantama pagal minėtos direktyvos 6 straipsnio 3 dalies a punktą. Tas pats pasakytina apie reikalavimą, kad PNR direktyvos 6 straipsnio 3 dalies b punkte nurodytoje analizėje naudojami iš anksto nustatyti kriterijai būtų patikimi ir aktualūs, – jį reikia suprasti ir kaip nuorodą į duomenis, esančius duomenų bazėse, naudojamose šios direktyvos 6 straipsnio 3 dalies a punkte numatytam palyginimui atlikti. Šiuo klausimu apibendrindamas pažymiu, kad visos apsaugos priemonės, taikomos Policijos direktyvoje numatytam automatizuotam asmens duomenų tvarkymui, taip pat taikomos ir PNR direktyvos kontekste, o automatizuota analizė, atliekama pagal šią direktyvą, turi būti laikoma patenkančia į Policijos direktyvos taikymo sritį.
231. Be šios išvados 229 punkte išvardytų apsaugos priemonių, dar yra PNR direktyvos 7 straipsnio 6 dalyje numatyta apsaugos priemonė, kuri papildo, pirma, draudimą bet kokį sprendimų priėmimo procesą grįsti tik PNR duomenų automatizuoto tvarkymo rezultatais ir, antra, draudimą diskriminuoti tvarkant ir naudojant tokius duomenis. Taigi, šioje nuostatoje numatyta, kad „[k]ompetentingos valdžios institucijos nepriima jokių tik automatizuotu PNR duomenų tvarkymu grindžiamų sprendimų, kurie turi neigiamų teisinių pasekmių asmeniui arba kurie jį labai paveikia“, ir kad tokie sprendimai „neturi būti priimami asmens rasės ar etninės kilmės, politinių pažiūrų, religijos ar filosofinių įsitikinimų, narystės profesinėse sąjungose, sveikatos būklės, lytinio gyvenimo ar seksualinės orientacijos pagrindu“. Kaip nurodžiau šios išvados 227 punkte dėl PNR direktyvos 6 straipsnio 4 dalies ketvirto sakinio, šį diskriminacijos pagrindų sąrašą reikėtų papildyti pagrindais, kurie nurodyti Chartijos 21 straipsnyje ir nėra aiškiai paminėti.
232. Kalbant apie PNR duomenų saugumą, PNR direktyvos 6 straipsnio 8 dalyje numatyta, kad informacijos apie keleivius skyriai PNR duomenis turi saugoti, tvarkyti ir analizuoti tik saugioje vietoje ar vietose, esančiose valstybių narių teritorijoje.
– Išvada dėl šeštojo prejudicinio klausimo
233. Atsižvelgdamas į visus išdėstytus argumentus ir į šios išvados 213, 219, 220, 222, 227, 228, 230 ir 231 punktuose siūlomus išaiškinimus manau, kad automatizuotas PNR duomenų tvarkymas atliekant PNR direktyvos 6 straipsnio 2 dalies a punkte nurodytą išankstinį vertinimą atitinka aiškumo ir tikslumo reikalavimus, taip pat neviršija to, kas griežtai būtina.
v) Dėl PNR duomenų saugojimo (aštuntasis prejudicinis klausimas)
234. Aštuntuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas Teisingumo Teismo klausia, ar PNR direktyvos 12 straipsnis, siejamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriuose numatytas bendras penkerių metų PNR duomenų saugojimo laikotarpis, neatsižvelgiant į tai, ar atliekant išankstinį vertinimą nustatyta, kad atitinkami keleiviai gali kelti pavojų visuomenės saugumui.
235. PNR direktyvos 12 straipsnio 1 dalyje numatyta, kad PNR duomenys turi būti saugomi duomenų bazėje „penkerių metų laikotarpį po jų perdavimo valstybės narės, į kurios teritoriją arba iš kurios teritorijos vykdomas skrydis, informacijos apie keleivius skyriui“. Pagal šio straipsnio 2 dalį „pasibaigus pradiniam saugojimo laikotarpiui“(227), kurio trukmė šeši mėnesiai, PNR duomenys nuasmeninami užmaskuojant tam tikrus jų elementus, pagal kuriuos būtų galima tiesiogiai nustatyti atitinkamo asmens tapatybę. Pagal minėto straipsnio 3 dalį pasibaigus šiam šešių mėnesių laikotarpiui visus PNR duomenis, įskaitant užmaskuotus elementus, leidžiama atskleisti tik tais atvejais, kai „pagrįstai“ manoma, kad tai būtina PNR direktyvos 6 straipsnio 2 dalies b punkte nurodytais tikslais ir patvirtinus teisminei institucijai arba kitai nacionalinei valdžios institucijai, pagal nacionalinę teisę kompetentingai patikrinti, ar įvykdytos atskleidimo sąlygos. Galiausiai to paties straipsnio 4 dalyje numatyta, kad pasibaigus 1 dalyje nurodytam penkerių metų laikotarpiui PNR duomenys panaikinami visam laikui.
236. Iš to, kas išdėstyta, matyti, kad pačioje PNR direktyvoje įtvirtinta PNR duomenų saugojimo tvarka, įskaitant šio saugojimo trukmę, ir nustatytas penkerių metų laikotarpis(228), todėl šiuo klausimu valstybės narės iš principo neturi jokios diskrecijos, kaip, beje, patvirtino Komisija. Tokiomis aplinkybėmis, kaip jau turėjau galimybę pažymėti, aštuntuoju prejudiciniu klausimu, nors ir suformuluotu kaip aiškinimo klausimas, Teisingumo Teismo iš tiesų prašoma priimti sprendimą dėl minėtos tvarkos suderinamumo su Chartija.
237. Pagal bendrąjį asmens duomenų apsaugos principą šie duomenys, tokia forma, kuri leistų tiesiogiai ar netiesiogiai nustatyti duomenų subjektų tapatybę, neturi būti saugomi ilgiau, nei tai būtina atsižvelgiant į tikslus, dėl kurių jie tvarkomi(229). Be to, pagal suformuotą jurisprudenciją teisės nuostatos, kuriose numatytas asmens duomenų saugojimas, visada turi atitikti objektyvius kriterijus, nustatančius saugotinų asmens duomenų ir siekiamo tikslo ryšį(230).
238. Nuomonėje 1/15 dėl duomenų, renkamų atvykstant į Kanadą, Teisingumo Teismas nusprendė, kad būtinas ryšys tarp PNR duomenų ir Kanados ir ES PNR susitarimu siekiamo tikslo egzistuoja visų oro transporto keleivių atžvilgiu, kol jie yra šios trečiosios šalies teritorijoje(231). Priešingai, kalbant apie iš Kanados išvykusius oro transporto keleivius, kurių atžvilgiu, jiems atvykstant į šią trečiąją šalį ir iki jų išvykimo iš jos, nenustatyta terorizmo ar sunkių tarpvalstybinių nusikaltimų rizikos, Teisingumo Teismas nusprendė, jog neatrodo, kad egzistuoja toks ryšys, net ir netiesioginis, kuris pateisina jų PNR duomenų saugojimą(232). Bet jis pabrėžė, kad toks saugojimas gali būti priimtinas, „[j]eigu vis dėlto konkrečiais atvejais nustatoma objektyvių elementų, leidžiančių manyti, kad tam tikri oro keleiviai net išvykę iš Kanados gali kelti riziką kovojant su terorizmu ir sunkiais tarpvalstybiniais nusikaltimais“(233).
239. Jeigu Nuomonėje 1/15 Teisingumo Teismo nustatyti principai būtų perkelti į PNR direktyvos kontekstą, jie reikštų, kad ES išorės skrydžių PNR duomenys, surinkti atvykstant į Sąjungą, ir ES vidaus skrydžių PNR duomenys, surinkti atvykstant į atitinkamą valstybę narę, gali būti saugomi (po jų išankstinės analizės, kaip ji suprantama pagal PNR direktyvos 6 straipsnio 2 dalies a punktą) tik tol, kol atitinkami keleiviai lieka Sąjungos arba tos valstybės narės teritorijoje. Kalbant apie ES išorės skrydžių PNR duomenis, surinktus išvykstant iš Sąjungos, ir ES vidaus skrydžių PNR duomenis, surinktus išvykstant iš atitinkamos valstybės narės, pažymėtina, kad po minėto išankstinio vertinimo jie iš principo galėtų būti saugomi tik tuo atveju, jei kalbama apie keleivius, kurių atžvilgiu objektyvi informacija leistų atskleisti, kad egzistuoja rizika kovos su terorizmu ir sunkiais nusikaltimais srityje(234).
240. Teisingumo Teismui pastabas pateikusios vyriausybės ir institucijos iš esmės nepritaria, kad šioje byloje būtų taikomi Nuomonėje 1/15 išdėstyti principai dėl PNR duomenų saugojimo. Šiuo klausimu, žinoma, negalima atmesti galimybės, jog Teisingumo Teismo sprendimą pasiremti kriterijumi, susijusiu su duomenų subjekto buvimu Kanados teritorijoje, nulėmė ta aplinkybė, kad jam teko nagrinėti asmens duomenų saugojimo trečiosios šalies teritorijoje klausimą. Taip pat gali būti, kad tokio kriterijaus taikymas PNR direktyvos kontekste galėtų konkrečiai reikšti teisių į privataus gyvenimo gerbimą ir į asmens duomenų apsaugą suvaržymą, kuris potencialiai būtų didesnis tam tikroms asmenų kategorijoms, be kita ko, tiems asmenims, kurie nuolat gyvena Sąjungoje ir juda Sąjungos viduje arba grįžta po buvimo užsienyje. Galiausiai tiesa, kad šį kriterijų gali būti sunku įgyvendinti praktiškai, bent jau ES vidaus skrydžių atveju, kaip pabrėžė kai kurios valstybės narės ir Taryba.
241. Vis dėlto net siekiant netaikyti kriterijaus, kuriuo Teisingumo Teismas pasinaudojo Nuomonėje 1/15, visų oro transporto keleivių PNR duomenų saugojimas, neatsižvelgiant į PNR direktyvos 6 straipsnio 2 dalies a punkte nurodyto išankstinio vertinimo rezultatus, ir nedarant jokio skirtumo pagal tai, ar remiantis objektyviais ir patikrinamais kriterijais buvo nustatyta terorizmo ar sunkių nusikaltimų rizika, prieštarauja šios išvados 237 punkte nurodytai suformuotai Teisingumo Teismo jurisprudencijai, kuria Teisingumo Teismas buvo nusprendęs pasiremti minėtoje nuomonėje. Taigi, nors manau, kad šios išvados 201–203 punktuose išdėstyti argumentai, susiję su ketvirtojo prejudicinio klausimo nagrinėjimu, pateisina bendrą ir nediferencijuotą PNR duomenų perdavimą ir automatizuotą jų tvarkymą atliekant PNR direktyvos 6 straipsnio 2 dalies a punkte numatytą išankstinį vertinimą, jie vis dėlto, mano nuomone, savaime nepateisina bendro ir nediferencijuoto šių duomenų saugojimo net ir po to, kai buvo atliktas toks vertinimas.
242. Be to, pažymiu, kad tas pats penkerių metų saugojimo laikotarpis taikomas ir kovai su terorizmu, ir kovai su sunkiais nusikaltimais, o kalbant apie pastarąjį tikslą – visiems be išimties II priede išvardytiems nusikaltimams. Tačiau, kaip matyti iš šios išvados 121 punkte išdėstytų argumentų, šis sąrašas yra itin platus ir apima skirtingo tipo ir sunkumo nusikalstamas veikas. Šiuo klausimu svarbu pažymėti, kad beveik visų valstybių narių ir institucijų, pateikusių pastabas šioje byloje, nurodytas pateisinimas, susijęs su tyrimų trukme ir sudėtingumu, buvo konkrečiai paminėtas kalbant tik apie teroristinius nusikaltimus ir tam tikrus nusikaltimus, kuriems iš esmės būdingas tarpvalstybinis pobūdis, kaip antai prekybą žmonėmis ar narkotikais, taip pat, bendriau kalbant, apie tam tikras organizuoto nusikalstamumo formas. Be to, primenu, kad Nuomonėje 1/15 Teisingumo Teismas pritarė panašiam pateisinimui tik tiek, kiek tai susiję su PNR duomenų saugojimu, kalbant apie oro transporto keleivius, kurių atžvilgiu egzistuoja objektyvi rizika kovos su terorizmu ar sunkiais tarpvalstybiniais nusikaltimais kontekste, – šiuo atveju penkerių metų duomenų saugojimas laikomas neviršijančiu to, kas griežtai būtina(235). Tačiau buvo nuspręsta, kad šis pateisinimas negali leisti „tęstinio visų oro keleivių PNR duomenų kaupimo <…> galimai siekiant pasinaudoti prieiga prie šių duomenų, nepaisant to, ar yra ryšys su kova su terorizmu ir sunkiais tarpvalstybiniais nusikaltimais“(236).
243. Žinoma, tiesa, kaip pabrėžia Taryba, Parlamentas ir Komisija bei visos pastabas dėl aštuntojo prejudicinio klausimo pateikusios valstybės narės, kad PNR direktyvoje numatytos specialios apsaugos priemonės, susijusios tiek su PNR duomenų, kurie iš dalies užmaskuojami pasibaigus pradiniam šešių mėnesių terminui, saugojimu, tiek su jų naudojimu saugojimo laikotarpiu, kuriam taikomos griežtos sąlygos. Vis dėlto, pirma, pažymiu, kad Kanados ir ES PNR susitarimo projekte taip pat buvo numatyta PNR duomenų nuasmeninimo užmaskuojant duomenų elementus sistema(237), ir, antra, kad, nors toks nuasmeninimas, kaip pabrėžia, be kita ko, 108-osios konvencijos patariamasis komitetas(238), gali sumažinti ilgalaikio duomenų saugojimo keliamą riziką, pavyzdžiui, piktnaudžiavimą prieiga, užmaskuoti duomenys vis tiek leidžia identifikuoti asmenis, todėl jie išlieka asmens duomenimis, kurių saugojimas taip pat turi būti ribojamas laiko atžvilgiu, kad būtų išvengta visuotinio nuolatinio stebėjimo. Šiuo klausimu pažymiu, kad penkerių metų saugojimo terminas reiškia, kad didelio keleivių skaičiaus, ypač keliaujančių ES viduje, duomenys gali būti saugomi beveik nuolat. Antra, dėl duomenų naudojimo apribojimų pažymiu, kad asmens duomenų saugojimas ir prieiga prie tokių duomenų yra skirtingi pagrindinių teisių į privataus gyvenimo gerbimą ir į asmens duomenų apsaugą suvaržymai, kuriems reikalingi atskiri pateisinimai. Nors taikant griežtas apsaugos priemones, susijusias su galimybe susipažinti su saugomais duomenimis, galima bendrai įvertinti priežiūros priemonės poveikį šioms pagrindinėms teisėms, vis dėlto tai nepanaikina suvaržymų, susijusių su bendru ilgalaikiu saugojimu.
244. Dėl Komisijos argumento, kad būtina saugoti visų oro transporto keleivių PNR duomenis tam, kad informacijos apie keleivius skyriai galėtų įgyvendinti PNR direktyvos 6 straipsnio 2 dalies c punkte nurodytą užduotį atnaujinti arba apibrėžti naujus kriterijus, naudotinus atliekant vertinimus pagal to paties straipsnio 3 dalies b punktą, pažymiu, kad nors ir sutinku, jog šių kriterijų tikslumas iš dalies priklauso nuo jų palyginimo su „normaliu“ elgesiu, kaip teigia Komisija, vis dėlto jie turi būti parengti remiantis „nusikalstamu“ elgesiu. Toks argumentas, kurį, beje, pateikia tik nedaugelis valstybių narių, mano nuomone, negali turėti lemiamos reikšmės, kurią jam, atrodo, suteikia Komisija, ir savaime pateisinti bendro visų oro transporto keleivių neanonimintų PNR duomenų saugojimo.
245. Atsižvelgiant į išdėstytus argumentus ir siekiant užtikrinti, kad PNR direktyvos 12 straipsnio 1 dalies aiškinimas atitiktų Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį, mano nuomone, tikslinga šią nuostatą aiškinti taip, kad PNR duomenų, kuriuos oro vežėjai pateikia informacijos apie keleivius skyriams, saugojimas duomenų bazėje penkerių metų laikotarpiu po jų perdavimo informacijos apie keleivius skyriams toje valstybėje narėje, kurios teritorijoje yra atvykimo arba išvykimo vieta, atlikus išankstinį vertinimą pagal šios direktyvos 6 straipsnio 2 dalies a punktą leidžiamas tik tuomet, jei remiantis objektyviais kriterijais nustatomas ryšys tarp šių duomenų ir kovos su terorizmu ar sunkiais nusikaltimais. Bendras ir nediferencijuotas neanonimintų PNR duomenų saugojimas pagal analogiją su Teisingumo Teismo teiginiais toje pačioje jurisprudencijoje gali būti pateisinamas tik esant didelei grėsmei valstybių narių saugumui, kuri yra reali ir aktuali arba numanoma, pavyzdžiui, susijusi su teroristine veikla, ir jei tokio saugojimo trukmė neviršija to, kas griežtai būtina.
246. PNR direktyvos 12 straipsnio 1 dalyje numatyto saugojimo ribos gali būti apibrėžtos, pavyzdžiui, remiantis rizikos vertinimu arba kompetentingų nacionalinių institucijų įgyta patirtimi, leidžiančia nustatyti tam tikrus oro maršrutus, konkrečius kelionių modelius, agentūras, per kurias atliekami užsakymai, arba tam tikras asmenų kategorijas ar geografines vietoves, identifikuotas remiantis objektyviais ir nediskriminaciniais elementais, kaip Teisingumo Teismas nusprendė savo jurisprudencijoje dėl elektroninių ryšių metaduomenų saugojimo(239). Be to, pagal analogiją su Nuomone 1/15, būtinas ryšys tarp PNR duomenų ir PNR direktyvos siekiamo tikslo laikytinas nustatytu tol, kol oro transporto keleiviai yra Sąjungoje (arba atitinkamoje valstybėje narėje) arba iš jos išvyksta. Tas pats pasakytina ir apie keleivių duomenis, dėl kurių gautas patikrintas teigiamas rezultatas.
247. Baigdamas aštuntojo prejudicinio klausimo nagrinėjimą, norėčiau pateikti keletą svarstymų dėl taisyklių, reglamentuojančių prieigą prie PNR duomenų ir jų naudojimą po to, kai atliktas PNR direktyvos 6 straipsnio 2 dalies a punkte numatytas išankstinis vertinimas, ir prieš tai, kai jie nuasmeninami pasibaigus pradiniam šešių mėnesių saugojimo laikotarpiui, numatytam PNR direktyvos 12 straipsnio 2 dalyje.
248. Iš kartu skaitomų PNR direktyvos 6 straipsnio 2 dalies b punkto ir 12 straipsnio 3 dalies matyti, kad per šį pradinį laikotarpį neanoniminti PNR duomenys arba jų tvarkymo rezultatai gali būti perduodami kompetentingoms valdžios institucijoms pagal pirmąją nuostatą, nesilaikant antrosios iš šių nuostatų a ir b punktuose nustatytų sąlygų(240). PNR direktyvos 6 straipsnio 2 dalies b punkte tik numatyta, kad kompetentingų valdžios institucijų prašymai dėl tokio duomenų tvarkymo ir perdavimo turi būti „tinkamai pagrįst[i]“ ir „pakankamais pagrindais paremt[i]“.
249. Remiantis suformuota jurisprudencija, kurią Teisingumo Teismas priminė Nuomonėje 1/15, Sąjungos teisės aktuose negali būti apsiribota reikalavimu, kad valdžios institucijos prieiga prie teisėtai saugomų asmens duomenų atitiktų vieną iš tokiuose teisės aktuose nurodytų tikslų; juose taip pat turi būti numatytos šį naudojimą reglamentuojančios materialinės ir procedūrinės sąlygos(241), siekiant, be kita ko, apsaugoti šiuos duomenis nuo piktnaudžiavimo pavojų(242). Šioje nuomonėje Teisingumo Teismas nusprendė, kad PNR duomenų naudojimas po to, kai jie patikrinti oro transporto keleiviams atvykus į Kanadą ir jiems būnant šioje šalyje, turi būti pagrįstas naujomis tokį naudojimą pateisinančiomis aplinkybėmis(243), patikslindamas: „jeigu egzistuoja objektyvūs elementai, leidžiantys manyti, kad vieno ar kelių oro keleivių PNR duomenys gali efektyviai prisidėti įgyvendinant tikslą kovoti su teroristiniais nusikaltimais ir sunkiais tarptautiniais nusikaltimais, tokių duomenų naudojimas neviršija to, kas griežtai būtina“(244). Remdamasis pagal analogiją Sprendimo Tele2 Sverige 120 punktu Teisingumo Teismas nusprendė, kad, siekiant praktiškai užtikrinti visišką šių sąlygų laikymąsi, „iš esmės būtina, kad saugomų PNR duomenų naudojimas oro keleivių buvimo Kanadoje laikotarpiu paprastai, išskyrus tinkamai pagrįstus skubos atvejus, būtų siejamas su išankstine kontrole, kurią atliktų teismas arba nepriklausomas administracinis subjektas, ir kad toks teismas ar toks subjektas savo sprendimą priimtų gavę motyvuotą kompetentingų institucijų prašymą, kurį šios pateiktų vykdydamos visų pirma prevencijos, atskleidimo arba baudžiamojo persekiojimo procedūras“(245). Taigi, Teisingumo Teismas nustatė, kad PNR duomenų, išsaugotų po patikrinimo kelionės lėktuvu metu, panaudojimo galimybei keliama dvejopa sąlyga, kuri yra tiek materialinė, t. y. objektyvių tokį panaudojimą pateisinančių priežasčių buvimas, tiek procedūrinė, t. y. teismo arba nepriklausomos administracinės institucijos kontrolė. Teisingumo Teismo aiškinimas, kuris anaiptol nėra „kontekstinis“, reiškia, kad PNR duomenų srityje taikoma jurisprudencija, be kita ko, suformuota sprendimuose Digital Rights ir Tele2 Sverige.
250. Taigi, PNR direktyvoje įtvirtinta tvarka, kuri taikoma pirmaisiais šešiais PNR duomenų saugojimo mėnesiais ir pagal kurią, atlikus šios direktyvos 6 straipsnio 2 dalies a punkte nurodytą išankstinį vertinimą, leidžiama atskleisti ir tvarkyti, galbūt pakartotinai, PNR duomenis, nesant tinkamų procedūrinių apsaugos priemonių bei pakankamai aiškių ir tikslių materialinių taisyklių, apibrėžiančių šių įvairių suvaržymų dalyką ir tvarką, neatitinka Nuomonėje 1/15 Teisingumo Teismo nurodytų reikalavimų. Taip pat neatrodo, kad ji atitinka reikalavimą, kad PNR duomenys būtų naudojami tik tada, kai tai yra būtina.
251. Tad siūlau Teisingumo Teismui PNR direktyvos 6 straipsnio 2 dalies b punktą aiškinti taip, kad būtų užtikrinta, kad duomenų tvarkymas pagal šią nuostatą per šios direktyvos 12 straipsnio 2 dalyje numatytą pradinį šešių mėnesių laikotarpį atitiktų Teisingumo Teismo nuomonėje 1/15 nustatytus reikalavimus.
252. Dėl pirmosios sąlygos materialinio pobūdžio, su kuria Teisingumo Teismas sieja tolesnį PNR duomenų naudojimą, manau, kad žodžiai „pagrįstai manoma“, kaip tai suprantama pagal PNR direktyvos 12 straipsnio 3 dalies a punktą, ir „pakankamais pagrindais paremt[as]“, kaip tai suprantama pagal šios direktyvos 6 straipsnio 2 dalies b punktą, gali būti lengvai aiškinami taip, kad kompetentingų institucijų prašymuose, susijusiuose su šiomis nuostatomis, turi būti nurodyti „objektyvūs elementai, leidžiantys manyti, kad vieno ar kelių oro keleivių PNR duomenys gali efektyviai prisidėti įgyvendinant tikslą kovoti su teroristiniais nusikaltimais ir sunkiais <…> nusikaltimais“(246).
253. Dėl antrosios sąlygos procedūrinio pobūdžio manau, kad PNR direktyvos 6 straipsnio 2 dalies b punktą, siejamą su jos 12 straipsnio 3 dalimi, ir atsižvelgiant į Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį reikia aiškinti taip, kad šios direktyvos 12 straipsnio 3 dalies b punkte numatytas reikalavimas dėl teisminės institucijos arba nepriklausomos administracinės institucijos išankstinio patvirtinimo taikytinas bet kokiam PNR duomenų tvarkymui, kuris atliekamas taikant minėtą minėto 6 straipsnio 2 dalies b punktą.
4. Išvada dėl antrojo, trečiojo, ketvirtojo, šeštojo ir aštuntojo prejudicinių klausimų
254. Remdamasis visais išdėstytais argumentais, siūlau Teisingumo Teismui pripažinti I priedo 12 punktą negaliojančiu tiek, kiek jame prie PNR duomenų, kuriuos oro vežėjai pagal PNR direktyvos 8 straipsnį privalo perduoti informacijos apie keleivius skyriams, kategorijų priskiriamos „bendros pastabos“, taip pat tai, kad išnagrinėjus antrąjį, trečiąjį, ketvirtąjį, šeštąjį ir aštuntąjį prejudicinius klausimus nenustatyta kitų aplinkybių, galinčių turėti įtakos šios direktyvos galiojimui, aiškinant šios direktyvos nuostatas taip, kaip siūloma šios išvados 153, 160, 161–164, 219, 228, 239 ir 251 punktuose.
255. Atsižvelgiant į mano siūlomą atsakymą į prejudicinius klausimus, susijusius su PNR direktyvos galiojimu, negalima pritarti, be kita ko, Tarybos pateiktam prašymui palikti galioti PNR direktyvos padarinius tuo atveju, jei Teisingumo Teismas nuspręstų pripažinti PNR direktyvą negaliojančia visą ar iš dalies, neatsižvelgiant į bet kokias kitas aplinkybes.
C. Dėl penktojo prejudicinio klausimo
256. Penktuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas Teisingumo Teismo iš esmės klausia, ar PNR direktyvos 6 straipsnis, siejamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad juo draudžiami nacionalinės teisės aktai, pagal kuriuos PNR duomenų tvarkymo tikslas gali būti „tam tikra žvalgybos ir saugumo tarnybų vykdoma veikla“. Iš sprendimo dėl prašymo priimti prejudicinį sprendimą matyti, kad tai yra veikla, kurią vykdo Valstybės saugumo tarnyba ir Generalinė žvalgybos ir saugumo tarnyba, atlikdamos savo užduotį užtikrinti nacionalinį saugumą.
257. Kaip nurodžiau šios išvados 113 ir 114 punktuose, asmens duomenų tvarkymo tikslų ribojimas yra esminė garantija, kurios reikia laikytis, kad Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymai neviršytų to, kas yra būtina, kaip tai suprantama pagal Teisingumo Teismo jurisprudenciją. Taip pat jau patikslinau, kiek tai susiję su PNR direktyvoje numatytais šių pagrindinių teisių suvaržymais, kad siekdamas laikytis, be kita ko, Chartijos 52 straipsnio 1 dalyje įtvirtintų teisėtumo ir proporcingumo principų Sąjungos teisės aktų leidėjas turėjo numatyti aiškias ir tikslias taisykles, reglamentuojančias priemonių, kuriomis nustatomi tokie suvaržymai, apimtį ir taikymą.
258. Taigi, PNR direktyvos 1 straipsnio 2 dalyje patikslinta, kad pagal šią direktyvą renkami PNR duomenys „gali būti tvarkomi tik teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, kaip numatyta 6 straipsnio 2 dalies a, b ir c punktuose“. Pagal šią nuostatą informacijos apie keleivius skyriai PNR duomenis tvarko tik tam, kad atliktų išankstinį oro transporto keleivių vertinimą (6 straipsnio 2 dalies a punktas), atsakytų į konkrečius kompetentingų valdžios institucijų prašymus (6 straipsnio 2 dalies b punktas) ir kad atnaujintų arba parengtų naujus kriterijus, naudotinus atliekant vertinimą pagal minėto 6 straipsnio 3 dalies b punktą (6 straipsnio 2 dalies a punktas). Visais trimis atvejais aiškiai primenami PNR direktyvos 1 straipsnio 2 dalyje nustatyti tikslai, susiję su kova su terorizmu ir sunkiais nusikaltimais.
259. Be to, šios direktyvos 7 straipsnio 4 dalyje nurodyta, kad ne tik jos 6 straipsnyje numatytas PNR duomenų tvarkymas, bet ir tolesnis tokių duomenų tvarkymas bei tokio tvarkymo, kurį atlieka valstybių narių kompetentingos valdžios institucijos, rezultatai turi būti ribojami „tik konkrečiais teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn tikslais“.
260. Tai, kad PNR direktyva siekiami tikslai yra apibrėžti išsamiai, aiškiai matyti iš jos 1 straipsnio 2 dalies formuluotės ir, be jau minėtų 6 straipsnio 2 dalies ir 7 straipsnio 4 dalies, patvirtinama keliais šios direktyvos straipsniais bei konstatuojamosiomis dalimis, kiekvieną prieigos prie PNR duomenų, jų tvarkymo, saugojimo ir dalijimosi jais proceso etapą sistemingai siejant tik su šiais konkrečiais tikslais(247).
261. Tiek iš PNR direktyvos 1 straipsnio 2 dalies formuluotės, tiek iš jos aiškinimo atsižvelgiant į teisėtumo ir proporcingumo principus, pagal kuriuos reikalaujama išsamiai apriboti priemonių, susijusių su kišimusi į pagrindines teises į privatumą ir asmens duomenų apsaugą, tikslus, matyti, kad bet koks PNR duomenų tvarkymo tikslų išplėtimas, viršijantis šioje nuostatoje aiškiai nurodytus saugumo tikslus, prieštarauja PNR direktyvai.
262. Mano nuomone, šis draudimas išplėsti direktyvoje numatytus tikslus visų pirma taikomas valstybių narių saugumo ir žvalgybos tarnybų veiklai, taip pat ir dėl skaidrumo trūkumo, kuris būdingas jų modus operandi. Šiuo klausimu mano požiūris sutampa su Komisijos požiūriu, kad šios tarnybos paprastai neturėtų turėti tiesioginės prieigos prie PNR duomenų. Šiomis aplinkybėmis manau, jog vien tai, kad nacionaliniai informacijos apie keleivius skyriai tarp savo narių gali turėti saugumo tarnybų deleguotų pareigūnų, kaip tai yra Belgijos informacijos apie keleivius skyriaus atveju, jau yra kritikuotina(248).
263. Remdamasis išdėstytais argumentais manau, jog į penktąjį prejudicinį klausimą reikia atsakyti taip, kad PNR direktyva, be kita ko, jos 1 straipsnio 2 dalis bei 6 straipsnis, turi būti aiškinama taip, kad ja draudžiami nacionalinės teisės aktai, pagal kuriuos tam tikra žvalgybos ir saugumo tarnybų vykdoma veikla pripažįstama kaip PNR duomenų tvarkymo tikslas, jei, siekiant tokio tikslo, nacionalinis informacijos apie keleivius skyrius būtų priverstas tvarkyti minėtus duomenis ir (arba) perduoti juos arba jų tvarkymo rezultatus šioms tarnyboms kitais nei šios direktyvos 1 straipsnio 2 dalyje išsamiai nurodytais tikslais, o tai turi patikrinti nacionalinis teismas.
D. Dėl septintojo prejudicinio klausimo
264. Septintuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės Teisingumo Teismo klausia, ar PNR direktyvos 12 straipsnio 3 dalies b punktas turi būti aiškinamas taip, kad informacijos apie keleivius skyrius yra „kompetentinga nacionalinė valdžios institucija“, kaip tai suprantama pagal šią nuostatą, kuri gali leisti atskleisti visus PNR duomenis pasibaigus pradiniam šešių mėnesių laikotarpiui nuo šių duomenų perdavimo.
265. Primenu, jog PNR direktyvos 12 straipsnio 2 dalyje numatyta, kad praėjus šešių mėnesių laikotarpiui PNR duomenys nuasmeninami užmaskuojant tam tikrus duomenų elementus, galinčius padėti tiesiogiai identifikuoti keleivį, su kuriuo jie susiję. Pasibaigus šiam laikotarpiui, visus minėtus duomenis leidžiama atskleisti tik 12 straipsnio 3 dalyje nustatytomis sąlygomis ir, be kita ko, tokį atskleidimą prieš tai patvirtinus „teisminei institucijai“ (12 straipsnio 3 dalies b punkto i papunktis) arba „kitai nacionalinei valdžios institucijai, pagal nacionalinę teisę kompetentingai patikrinti, ar įvykdytos atskleidimo sąlygos, su sąlyga, kad informacijos apie keleivius skyriaus duomenų apsaugos pareigūnas yra informuojamas ir kad tas duomenų apsaugos pareigūnas atlieka ex post peržiūrą“ (12 straipsnio 3 dalies b punkto ii papunktis).
266. Dauguma vyriausybių, pateikusių rašytines pastabas šioje byloje, nepareiškė nuomonės dėl septintojo prejudicinio klausimo. Čekijos Respublikos vyriausybė, kaip ir Komisija, mano, jog PNR direktyvos 12 straipsnio 3 dalis negali būti aiškinama taip, kad informacijos apie keleivius skyrius būtų laikomas „kompetentinga nacionalinė valdžios institucija“. Tačiau Belgijos(249), Airijos, Ispanijos, Prancūzijos ir Kipro vyriausybės prieštarauja tokiam aiškinimui. Jos iš esmės mano, kad jokia PNR direktyvos ar Sąjungos teisės nuostata nekliudo tam, kad informacijos apie keleivių skyrius būtų paskirtas kaip kompetentinga nacionalinė valdžios institucija, kaip tai suprantama pagal minėtos direktyvos 12 straipsnio 2 dalies b punkto ii papunktį, ir kad informacijos apie keleivius skyrius pagal savo pobūdį yra pakankamai nepriklausoma institucija, kad galėtų leisti tvarkyti PNR duomenis.
267. Savo ruožtu pažymiu, pirma, kad iš PNR direktyvos 12 straipsnio 3 dalies b punkto formuluotės ir, be kita ko, iš vartojamo jungtuko „arba“, siejančio abu šios nuostatos i ir ii punktuose nurodytus atvejus, matyti, jog Sąjungos teisės aktų leidėjas ketino vienodai vertinti nacionalinės valdžios institucijos, nurodytos ii papunktyje, ir teisminės institucijos, nurodytos i punkte, vykdomą kontrolę. Darytina išvada, kad minėta nacionalinė valdžios institucija turi būti nepriklausoma ir nešališka tiek, kad jos vykdoma kontrolė galėtų būti laikoma panašia alternatyva kontrolei, kurią gali atlikti teisminė institucija(250).
268. Antra, iš PNR direktyvos parengiamųjų darbų matyti, kad Sąjungos teisės aktų leidėjas, pirma, nepritarė Komisijos pasiūlymui pavesti informacijos apie keleivius skyriaus vadovui užduotį leisti atskleisti visus PNR duomenis(251) ir, antra, pratęsė iki šešių mėnesių šios institucijos pasiūlytą pradinį 30 dienų tokių duomenų saugojimo laikotarpį. Būtent tokiame kontekste, kai ieškoma pusiausvyros tarp saugojimo laikotarpio trukmės iki PNR duomenų nuasmeninimo ir sąlygų, kurios taikomos jų atskleidimui pasibaigus šiam laikotarpiui, Sąjungos teisės aktų leidėjas priėmė sprendimą nustatyti, kad visapusiškai prieigai prie PNR duomenų būtų taikomos griežtesnės procedūrinės sąlygos, nei iš pradžių nustatė Komisija, ir patikėti nepriklausomai institucijai užduotį patikrinti, ar laikomasi atskleidimo sąlygų.
269. Trečia, kaip teisingai pažymėjo Komisija, iš PNR direktyvos struktūros matyti, kad PNR direktyvos 12 straipsnio 3 dalyje numatytos patvirtinimo procedūros prasmė – pavesti nešališkam trečiajam subjektui užduotį kiekvienu konkrečiu atveju suderinti atitinkamų asmenų teises ir šia direktyva siekiamą teisėsaugos tikslą.
270. Ketvirta, iš Teisingumo Teismo jurisprudencijos matyti, kad subjektas, kuriam pavesta atlikti išankstinę kontrolę, reikalingą siekiant leisti kompetentingoms nacionalinėms valdžios institucijoms susipažinti su teisėtai saugomais asmens duomenimis, turi turėti visus įgaliojimus ir suteikti visas garantijas, būtinas įvairių nagrinėjamų interesų ir teisių suderinimui užtikrinti. Teisingumo Teismas taip pat patikslino, kad šis subjektas turi turėti statusą, leidžiantį jam vykdyti savo funkcijas objektyviai ir nešališkai, ir šiuo tikslu jis turi būti apsaugotas nuo bet kokios išorinės įtakos(252). Konkrečiai kalbant, atsižvelgiant į reikalaujamą nepriklausomumo reikalavimą, ypač baudžiamojoje srityje, už išankstinę kontrolę atsakinga institucija turi turėti trečiojo asmens statusą prieigos prie duomenų prašančios institucijos atžvilgiu, todėl ji neturi dalyvauti atliekant baudžiamąjį tyrimą ir turi likti nešališka baudžiamojo proceso šalims(253).
271. Vis dėlto konstatuotina, kad informacijos apie keleivius skyrius nesuteikia visų nepriklausomumo ir nešališkumo garantijų, kurias turi atitikti institucija, atsakinga už PNR direktyvos 12 straipsnio 3 dalyje numatytą išankstinę kontrolę. Iš tiesų informacijos apie keleivius skyriai yra tiesiogiai susiję su institucijomis, kompetentingomis teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn srityje. Pagal PNR direktyvos 4 straipsnio 1 dalį pats informacijos apie keleivius skyrius yra tokia institucija arba jos padalinys. Be to, šio straipsnio 3 dalyje numatyta, kad informacijos apie keleivius skyriaus darbuotojai gali būti kompetentingų institucijų deleguoti tarnautojai. Taip yra ir Belgijos informacijos apie keleivius skyriaus atveju – pagal PNR įstatymo 14 straipsnį jį sudaro, be kita ko, policijos, valstybės saugumo, bendrosios žvalgybos ir saugumo tarnybos bei bendrosios muitinės ir akcizų administracijos deleguoti nariai.
272. Tiesa, kad apskritai informacijos apie keleivius skyriaus nariai turi suteikti visas patikimumo, kompetencijos, skaidrumo ir nepriklausomumo garantijas, o valstybės narės prireikus turi užtikrinti, kad, atsižvelgiant į jų ryšius su savo įstaigomis, šių garantijų būtų galima praktiškai laikytis, visų pirma siekiant išvengti, kad kompetentingos institucijos, į kurių struktūrą iš pradžių buvo įtraukti šie nariai, turėtų tiesioginę prieigą ne prie PNR duomenų bazės, o tik prie informacijos apie keleivius skyrių gautų įrašų rezultatų. Vis dėlto informacijos apie keleivius skyrių nariai, deleguoti kompetentingų institucijų, kaip tai suprantama pagal PNR direktyvos 7 straipsnio 2 dalį, delegavimo laikotarpiu neišvengiamai išlaiko ryšį su savo tarnybomis ir išsaugo savo statusą, net jeigu jie funkciniu ir hierarchiniu požiūriais yra pavaldūs informacijos apie keleivius skyriui vadovaujančiam pareigūnui.
273. Išvadą, kad informacijos apie keleivius skyrius nėra nacionalinė valdžios institucija, kaip tai suprantama pagal PNR direktyvos 12 straipsnio 3 dalies b punkto ii papunktį, patvirtina ir tai, kad pagal šią nuostatą atitinkamo informacijos apie keleivius skyriaus duomenų apsaugos pareigūnas yra „informuojamas“ apie prašymą atskleisti duomenis ir atlieka „ex post peržiūrą“. Iš tiesų, jei informacijos apie keleivius skyrius, kaip „kita nacionalinė valdžios institucija“, būtų įgaliotas patvirtinti prašymą atskleisti duomenis pagal PNR direktyvos 12 straipsnio 3 dalį, duomenų apsaugos pareigūnas, kuris, be kita ko, yra atsakingas už atitinkamų apsaugos priemonių, susijusių su PNR duomenų tvarkymu, įgyvendinimą pagal šios direktyvos 5 straipsnio 1 dalį, būtų informuojamas apie prašymą suteikti prieigą tuo metu, kai šis prašymas pateikiamas, o jo kontrolė neišvengiamai būtų vykdoma ex ante(254).
274. Atsižvelgdamas į tai, kas išdėstyta, siūlau Teisingumo Teismui į septintąjį prejudicinį klausimą atsakyti, kad PNR direktyvos 12 straipsnio 3 dalies b punktas turi būti aiškinamas taip, kad informacijos apie keleivius skyrius nėra „kita kompetentinga nacionalinė valdžios institucija“, kaip tai suprantama pagal šią nuostatą.
E. Dėl devintojo prejudicinio klausimo
275. Devintuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas Teisingumo Teismo iš esmės klausia, pirma, ar API direktyva yra suderinama su ESS 3 straipsnio 2 dalimi ir Chartijos 45 straipsniu tiek, kiek ji taikoma skrydžiams Sąjungos viduje, ir, antra, ar ši direktyva, siejama su ESS 3 straipsnio 2 dalimi ir Chartijos 45 straipsniu, turi būti aiškinami taip, kad ja draudžiami nacionalinės teisės aktai, pagal kuriuos, siekiant kovoti su neteisėta imigracija ir pagerinti sienų kontrolę, leidžiama keleivių duomenų rinkimo ir tvarkymo sistema, o tai galėtų netiesiogiai reikšti kontrolės prie vidaus sienų atkūrimą.
276. Iš sprendimo dėl prašymo priimti prejudicinį sprendimą matyti, kad šis prejudicinis klausimas susijęs su antrojo ieškinio pagrindo, kurį LDH pateikė subsidiariai, nagrinėjimu. Šis ieškinio pagrindas grindžiamas Belgijos Konstitucijos 22 straipsnio, siejamo su ESS 3 straipsnio 2 dalimi ir Chartijos 45 straipsniu, pažeidimu, ginčijant PNR įstatymo 3 straipsnio 1 dalį, 8 straipsnio 2 dalį ir 11 skyrių, be kita ko, 28–31 straipsnius. Nors pirmajame iš šių straipsnių bendrai nurodytas šio įstatymo tikslas, patikslinant, kad juo „nustatomos vežėjų ir kelionių organizatorių pareigos dėl atvykstančių, išvykstančių ir vykstančių tranzitu per šalies teritoriją keleivių duomenų perdavimo“, minėto įstatymo 8 straipsnio 2 dalyje numatyta, kad „[l]aikantis 11 skyriuje nustatytų sąlygų keleivių duomenys taip pat tvarkomi siekiant pagerinti asmenų, kertančių išorines sienas, kontrolę ir kovoti su neteisėta imigracija“. Atsižvelgiant į šį tikslą, pagal PNR įstatymo 29 straipsnio 1 dalį už pasienio kontrolę atsakingoms policijos tarnyboms ir Office des étrangers (Užsieniečių reikalų tarnyba, Belgija) perduodami tik šio įstatymo 9 straipsnio 1 dalies 18 punkte nurodyti „keleivių duomenys“ (t. y. PNR direktyvos I priedo 18 punkte nurodyti API duomenys), susiję su trimis keleivių kategorijomis. Tai yra „per išorės Belgijos sienas planuojantys atvykti arba atvykę keleiviai“, „per išorės Belgijos sienas planuojantys išvykti arba išvykę keleiviai“ ir „per Belgijoje esančią tarptautinio tranzito zoną planuojantys vykti, joje esantys arba buvę keleiviai“(255). Iš PNR įstatymo 29 straipsnio 3 dalies matyti, kad informacijos apie keleivius skyrius minėtus duomenis perduoda už pasienio kontrolę atsakingoms policijos tarnyboms ir Užsieniečių reikalų tarnybai „iškart po jų įrašymo į keleivių duomenų bazę“ ir kad jie yra sunaikinami praėjus dvidešimt keturioms valandoms nuo jų perdavimo. Pagal šią nuostatą, pasibaigus šiam terminui, Užsieniečių reikalų tarnyba taip pat gali pateikti informacijos apie keleivius skyriui pagrįstą prašymą susipažinti su tais pačiais duomenimis, jei tai būtina jos teisės aktais nustatytai užduočiai atlikti. Taigi, teisinis pagrindas, su kuriuo yra susijęs devintasis prejudicinis klausimas, nepatenka į PNR direktyvos taikymo sritį, atsižvelgiant į PNR įstatymo 28 ir 29 straipsniuose nurodytą duomenų tvarkymo tikslą, o priskirtinas API direktyvos taikymo sričiai. Be to, visų pirma iš Teisingumo Teismo kanceliarijai pateiktos bylos medžiagos matyti, kad antrasis LDH ieškinio pagrindas grindžiamas PNR įstatymo 11 skyriaus nuostatų aiškinimu, pagal kurį jos taikomos ir Belgijos vidaus sienų kirtimo atveju.
277. Pirmoji devintojo klausimo dalis grindžiama klaidinga prielaida ir, mano nuomone, į ją Teisingumo Teismas neturi atsakyti. Iš tiesų iš API direktyvos 3 straipsnio 1 dalies, siejamos su jos 2 straipsnio b ir d punktais, nedviprasmiškai matyti, kad pagal šią direktyvą oro vežėjai įpareigojami perduoti API duomenis institucijoms, atsakingoms už asmenų kontrolę prie išorės sienų tik skrydžių, kuriais keleiviai vežami į sienos kirtimo punktą, kur leidžiama kirsti valstybių narių išorės sienas su trečiosiomis šalimis, atveju. Taip pat minėtos direktyvos 6 straipsnio 1 dalyje numatytas tik su tais skrydžiais susijusių API duomenų tvarkymas. Be to, nors PNR direktyvoje numatyta galimybė valstybėms narėms išplėsti pareigą perduoti surinktus API duomenis ir oro vežėjams, vykdantiems ES vidaus skrydžius, toks išplėtimas neturi pažeisti API direktyvos(256). Pagal PNR direktyvą perduoti API duomenys tvarkomi tik toje direktyvoje numatytais teisėsaugos tikslais. Atvirkščiai, PNR direktyvos 34 konstatuojamojoje dalyje numatyta, kad šia direktyva nedaroma poveikio galiojančioms Sąjungos taisyklėms dėl to, kaip atliekama sienų kontrolė, arba Sąjungos taisyklėms, kuriomis reglamentuojamas atvykimas į Sąjungos teritoriją ir išvykimas iš jos, o šios direktyvos 6 straipsnio 9 dalies antrame sakinyje nustatyta, kad, kai pagal šio straipsnio 2 dalį atliekami vertinimai susiję su ES vidaus skrydžiais tarp valstybių narių, kuriems taikomas Šengeno sienų kodeksas(257), tokių vertinimų rezultatai turi atitikti minėtą reglamentą.
278. Jei ši devintojo prejudicinio klausimo dalis būtų performuluota taip, kaip subsidiariai siūlo Komisija, t. y. taip, kad ji būtų susijusi ne su API direktyvos, o su PNR direktyvos, ypač jos 2 straipsnio, suderinamumu su Sutarties ir Chartijos nuostatomis, tai reikštų, kad ne tik būtų pakeistas teisės aktas, kurio galiojimą prašymą priimti prejudicinį sprendimą pateikęs teismas prašo įvertinti, bet ir būtų peržengtas šio prejudicinio klausimo teisinis pagrindas. Iš tiesų, kaip paaiškinau, PNR įstatymo 11 skyriaus nuostatomis, kurios ginčijamos antruoju ieškinio pagrindu, perkeliama API direktyva, o ne PNR direktyva.
279. Tam atvejui, jeigu Teisingumo Teismas atliktų tokį performulavimą, toliau apsiribosiu keliais samprotavimais, susijusiais, be kita ko, su klausimu, ar išankstinis vertinimas, kurį valstybės narės, vadovaudamosi savo diskrecija pagal PNR direktyvos 2 straipsnį, gali atlikti dėl ES vidaus skrydžių keleivių PNR duomenų, gali būti laikomas lygiaverčiu „patikrinimams kertant sieną“, kaip tai suprantama pagal Šengeno sienų kodekso 23 straipsnio a punktą(258). Pirma, nors išankstinis PNR duomenų vertinimas vykdomas ne „sienos perėjimo punkte“ arba „sienos kirtimo momentu“, o prieš tai, vis dėlto jis atliekamas „dėl“ neišvengiamo sienų kirtimo. Antra, pagal PNR direktyvos 2 straipsnį valstybėms narėms leidžiama PNR direktyvos 6 straipsnio 2 dalies a punkte numatytą išankstinį PNR duomenų vertinimą išplėsti visų ES vidaus skrydžių keleiviams, neatsižvelgiant į atitinkamų asmenų elgesį ir aplinkybes, keliančias grėsmę visuomenės saugumui. Be to, šis išankstinis vertinimas yra sisteminio pobūdžio. Tačiau nei vienas, nei kitas iš šių elementų neatitinka Šengeno sienų kodekso 23 straipsnio a punkto antro sakinio ii, iii ir iv papunkčiuose nurodytų požymių(259). Trečia, kiek tai susiję su šio straipsnio a punkto antro sakinio i ir iii papunkčiuose nurodytais požymiais, man kyla klausimas, ar išankstinis vertinimas pagal PNR direktyvos 6 straipsnio 2 dalies a punktą nesutampa, bent jau iš dalies, su patikrinimų kertant sieną, vykdomų pagal Šengeno sienų kodekso (iš dalies pakeisto Reglamentu 2017/458) 8 straipsnio 2 dalies b punktą ir 3 dalies a punkto vi papunktį bei g punkto iii papunktį, tikslu, ir ypač, ar šis išankstinis vertinimas pagal savo tvarką aiškiai skiriasi nuo tų sistemingų patikrinimų(260). Šiuo klausimu pažymiu, jog šio kodekso 8 straipsnio 2e dalyje ir 3 dalies ia punkte patikslinta, kad minėti patikrinimai „gali būti vykdomi iš anksto, remiantis pagal [API direktyva] arba kitus Sąjungos ar nacionalinės teisės aktus gautais duomenimis apie keleivius“. Vis dėlto tiesa, kad PNR direktyvos tikslas nėra „užtikrinti, kad asmenims būtų leidžiama atvykti į valstybės narės teritoriją arba iš jos išvykti“, arba „užkirsti kelią asmenims išvengti patikrinimų kertant sieną“, o tai pripažino Teisingumo Teismas, kalbėdamas apie „sienų kontrolės“ tikslus pagal Šengeno sienų kodeksą(261), nes šia direktyva siekiama išimtinai teisėsaugos tikslo. Be to, minėto kodekso 23 straipsnio a punkto antro sakinio ii papunktyje aiškiai numatyta, kad naudojimasis policijos įgaliojimais negali būti laikomas lygiaverčiu patikrinimams kertant sieną, kai patikrinimai, be kita ko, skirti kovai su tarpvalstybiniu nusikalstamumu(262). Galiausiai atlikdamas savo vertinimą Teisingumo Teismas taip pat turėtų atsižvelgti į, be kita ko, Komisijos pabrėžtą aplinkybę, kad pagal PNR direktyvos 2 straipsnį valstybėms narėms leidžiama tik įpareigoti oro vežėjus perduoti PNR duomenis, surinktus vykdant jų įprastą veiklą, todėl jame nenumatyta pareigos, panašios į numatytąją API direktyvoje dėl išorės sienų kirtimo.
280. Dėl devintojo prejudicinio klausimo antrosios dalies, kaip ir Komisija, manau, kad ji turi būti suprantama kaip susijusi su vidaus sienų kirtimu ir kad ja siekiama gauti Teisingumo Teismo paaiškinimus, leidžiančius prašymą priimti prejudicinį sprendimą pateikusiam teismui įvertinti PNR įstatymo 11 skyriaus nuostatų suderinamumą su valstybių narių vidaus sienų kontrolės panaikinimu Šengeno erdvėje.
281. Šiuo klausimu atsižvelgdamas į tai, kad Teisingumo Teismas turi mažai informacijos, norėčiau tik pažymėti, jog PNR įstatymo 11 skyriaus nuostatos galėtų būti suderinamos su Sąjungos teise, visų pirma su SESV 67 straipsnio 2 dalimi, tik tuo atveju, jeigu jos aiškinamos kaip susijusios vien su keleivių, kertančių Belgijos išorės sienas su trečiosiomis šalimis, API duomenų perdavimu ir tvarkymu.
282. Jeigu Teisingumo Teismas nuspręstų performuluoti devintojo prejudicinio klausimo antrąją dalį taip, kad ja būtų prašoma PNR direktyvos išaiškinimo, norėčiau tik pažymėti, kiek tai susiję su PNR įstatymo 11 skyriaus nuostatomis, jog šio įstatymo 28 ir 29 straipsniuose numatytas API duomenų tvarkymas grindžiamas sistema, kurią nustatė Belgijos teisės aktų leidėjas, siekdamas perkelti PNR direktyvą. Taigi, pirma, tvarkomi API duomenys – tai duomenys, išvardyti šios direktyvos I priedo 12 punkte, o ne tik tie, kurie nurodyti API direktyvos 3 straipsnio 2 dalyje pateiktame sąraše. Antra, pagal PNR įstatymo 29 straipsnio 1 dalį šiuos duomenis už sienų kontrolę atsakingoms policijos tarnyboms ir Užsieniečių reikalų tarnybai perduoda informacijos apie keleivius skyrius, kuris yra atsakingas už PNR duomenų rinkimą ir tvarkymą tik PNR direktyvoje numatytais tikslais, o ne tiesiogiai oro vežėjai, kaip numatyta API direktyvoje. Be to, šis perdavimas taip pat susijęs su keleivių, kurie ketina išvykti arba jau išvyko iš Belgijos teritorijos, duomenimis ir yra skirtas ne tik valdžios institucijoms, atsakingoms už sienų kontrolę, bet ir Užsieniečių reikalų tarnybai, kuri yra atsakinga už imigravusių asmenų valdymą ir kovą su nelegalia imigracija. Trečia, pagal PNR įstatymo 29 straipsnio 4 dalies antrą pastraipą Užsieniečių reikalų tarnyba, atrodo, turi teisę kreiptis į informacijos apie keleivius skyrių su prašymu leisti susipažinti su API duomenimis net ir po to, kai šie duomenys buvo tvarkomi atitinkamiems keleiviams kertant sieną. Šiuo požiūriu ši tarnyba de facto prilyginama kompetentingai valdžios institucijai pagal PNR direktyvos 7 straipsnį, nors tai nėra tokio pobūdžio institucija ir ji nėra įtraukta į tokių institucijų sąrašą, kurį Belgija pateikė Komisijai. Tačiau, mano nuomone, tokiam API direktyvoje ir PNR direktyvoje numatytų sistemų sujungimui negalima pritarti, nes juo pažeidžiamas PNR direktyvos 1 straipsnio 2 dalyje įtvirtintas tikslų ribojimo principas(263).
283. Remdamasis visais išdėstytais argumentais siūlau Teisingumo Teismui į devintąjį prejudicinį klausimą atsakyti taip, kad API direktyvos 3 straipsnio 1 dalis, pagal kurią valstybės narės imasi būtinų priemonių nustatyti įpareigojimą oro vežėjams, atsakingiems už asmenų tikrinimą prie išorinių sienų institucijų prašymu, iki registracijos pabaigos perduoti šio straipsnio 2 dalyje, siejamoje su šios direktyvos 2 straipsnio b ir d punktais, nurodytą informaciją apie keleivius, taikoma tik keleiviams, vežamiems į sienos kirtimo punktą, kur leidžiama kirsti valstybių narių išorės sienas su trečiosiomis valstybėmis. Nacionalinės teisės aktai, kuriais šis įpareigojimas, siekiant tik pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, išplečiamas ir asmenų, kertančių atitinkamos valstybės narės vidaus sienas oro ar kitomis transporto priemonėmis, duomenims, prieštarautų SESV 67 straipsnio 2 daliai ir Šengeno sienų kodekso 22 straipsniui.
F. Dėl dešimtojo prejudicinio klausimo
284. Dešimtuoju prejudiciniu klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas Teisingumo Teismo iš esmės klausia, ar tuo atveju, jeigu padarytų išvadą, kad PNR įstatymu pažeidžiami Chartijos 7, 8 straipsniai ir 52 straipsnio 1 dalis, jis galėtų laikinai palikti galioti šio įstatymo padarinius, kad būtų išvengta teisinio nesaugumo ir anksčiau surinkti bei saugomi duomenys dar galėtų būti naudojami PNR įstatyme numatytais tikslais.
285. Teisingumo Teismas į tokio paties pobūdžio klausimą atsakė su elektroniniu ryšių metaduomenų saugojimu susijusiame Sprendime La Quadrature du Net, kuris buvo priimtas po šio prašymo priimti prejudicinį sprendimą pateikimo. Tame sprendime Teisingumo Teismas pirmiausia priminė savo jurisprudenciją, pagal kurią būtų pakenkta Sąjungos teisės viršenybei ir vienodam jos taikymui, jeigu nacionaliniai teismai turėtų įgaliojimus nors laikinai suteikti Sąjungos teisei prieštaraujančioms nacionalinėms nuostatoms viršenybę prieš Sąjungos teisę. Paskui jis priminė, kad 2019 m. liepos 29 d. Sprendime Inter-Environnement Wallonie ir Bond Beter Leefmilieu Vlaanderen(264), kuriame buvo nagrinėtas priemonių, priimtų pažeidžiant Sąjungos teisėje įtvirtintą pareigą atlikti išankstinį projekto poveikio aplinkai ir saugomai teritorijai vertinimą, teisėtumas, nusprendė, kad nacionalinis teismas išimties tvarka gali, jei tai leidžiama pagal vidaus teisę, palikti galioti tokių priemonių padarinius, kai šis tolesnis taikymas pateisinamas privalomais pagrindais, susijusiais su būtinybe išvengti realios ir didelės grėsmės, kad atitinkamoje valstybėje narėje bus nutrauktas elektros energijos tiekimas, tik tol, kol to neišvengiamai reikia tokiam neteisėtumui pašalinti. Vis dėlto Teisingumo Teismas padarė išvadą, kad, priešingai nei tuo atveju, kai neįvykdyta procedūrinė pareiga, kaip antai išankstinis projekto poveikio konkrečioje aplinkos apsaugos srityje vertinimas, Chartijos 7 ir 8 straipsnių pažeidimo negalima ištaisyti taikant procedūrą, panašią į nurodytąją minėtame sprendime(265). Mano nuomone, toks pat atsakymas turi būti pateiktas ir į dešimtąjį prejudicinį klausimą šioje byloje.
286. Kadangi tiek prašymą priimti prejudicinį sprendimą pateikęs teismas, tiek Belgijos vyriausybė, tiek Komisija ir Taryba klausia, ar Sąjungos teisė draudžia baudžiamajame procese remtis informacija arba įrodymais, gautais naudojant PNR duomenis, surinktus, apdorotus ir (arba) saugomus su Sąjungos teise nesuderinamu būdu, norėčiau priminti, kad Sprendimo La Quadrature du Net 222 punkte Teisingumo Teismas patikslino, kad pagal šiuo metu galiojančią Sąjungos teisę iš principo tik nacionalinėje teisėje turi būti nustatytos taisyklės dėl informacijos ir įrodymų, gautų saugant duomenis su Sąjungos teise nesuderinamu būdu, priimtinumo ir vertinimo baudžiamajame procese, pradėtame dėl sunkiomis nusikalstamomis veikomis įtariamų asmenų, laikantis lygiavertiškumo ir veiksmingumo principų. Dėl pastarojo principo Teisingumo Teismas yra nusprendęs, kad pagal šį principą nacionalinis baudžiamųjų bylų teismas, vykstant baudžiamajam procesui, pradėtam dėl sunkiomis nusikalstamomis veikomis įtariamų asmenų, privalo neatsižvelgti į informaciją ir įrodymus, gautus atliekant su Sąjungos teise nesuderinamą bendrą ir nediferencijuotą srauto ir vietos nustatymo duomenų saugojimą, jeigu šie asmenys negali veiksmingai pateikti pastabų dėl šios informacijos ir įrodymų, kurie priklauso teisėjams nežinomai sričiai ir gali daryti lemiamą įtaką faktinių aplinkybių vertinimui. Šie principai mutatis mutandis taip pat taikytini pagrindinės bylos aplinkybėms.
IV. Išvada
287. Remdamasis išdėstytais argumentais siūlau Teisingumo Teismui į Cour constitutionnelle (Konstitucinis Teismas, Belgija) pateiktus prejudicinius klausimus atsakyti taip:
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 23 straipsnis, siejamas su šio reglamento 2 straipsnio 2 dalies d punktu, turi būti aiškinamas taip, kad:
– jis taikomas nacionalinės teisės aktams, kuriais perkeliama 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/681 dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, jei šiais teisės aktais reglamentuojamas oro vežėjų ir kitų ekonominės veiklos vykdytojų atliekamas PNR duomenų tvarkymas, įskaitant PNR duomenų perdavimą šios direktyvos 4 straipsnyje nurodytiems informacijos apie keleivius skyriams, kaip numatyta minėtos direktyvos 8 straipsnyje,
– jis netaikomas nacionalinės teisės aktams, kuriais perkeliama Direktyva 2016/681, jei šiais teisės aktais reglamentuojamas duomenų tvarkymas šios direktyvos 1 straipsnio 2 dalyje nurodytais tikslais, kurį atlieka kompetentingos nacionalinės valdžios institucijos, įskaitant informacijos apie keleivius skyrius, ir prireikus atitinkamos valstybės narės saugumo ir žvalgybos tarnybos,
– jis taikomas nacionalinės teisės aktams, kuriais perkeliamos 2004 m. balandžio 29 d. Tarybos direktyva 2004/82/EB dėl vežėjų įpareigojimo perduoti keleivių duomenis ir 2010 m. spalio 20 d. Europos Parlamento ir Tarybos direktyva 2010/65/ES dėl pranešimo formalumų, taikomų į valstybių narių uostus įplaukiantiems ir (arba) iš jų išplaukiantiems laivams, kuria panaikinama Direktyva 2002/6/EB, siekiant pagerinti asmenų kontrolę prie išorės sienų ir kovoti su neteisėta imigracija.
2. Direktyvos 2016/681 I priedo 12 punktas negalioja tiek, kiek jame prie duomenų, kuriuos oro vežėjai pagal šios direktyvos 8 straipsnį privalo perduoti informacijos apie keleivius skyriams, kategorijų priskiriamos „bendros pastabos“.
3. Išnagrinėjus antrąjį, trečiąjį, ketvirtąjį, šeštąjį ir aštuntąjį prejudicinius klausimus nenustatyta kitų aplinkybių, galinčių turėti įtakos Direktyvos 2016/681 galiojimui.
4. Direktyvos 2016/681 I priedo 12 punkto dalis, kuri nebuvo pripažinta negaliojančia, turi būti aiškinama kaip apimanti tik tiesiogiai su skrydžiu susijusią ir tame punkte aiškiai nurodytą informaciją apie nepilnamečius.
5. Direktyvos 2016/681 I priedo 18 punktas turi būti aiškinamas taip, kad jis apima tik tuos išankstinės informacijos apie keleivius duomenis, kurie aiškiai išvardyti šiame punkte bei Direktyvos 2004/82 3 straipsnio 2 dalyje ir kuriuos oro vežėjai surinko įprastomis jų veiklos vykdymo sąlygomis.
6. Direktyvos 2016/681 6 straipsnio 3 dalies a punkte nurodytą sąvoką „tikslus atitinkančios duomenų bazės“ reikia aiškinti kaip susijusią tik su nacionalinėmis duomenų bazėmis, kurias valdo kompetentingos valdžios institucijos pagal šios direktyvos 7 straipsnio 1 dalį, taip pat su Sąjungos ir tarptautinėmis duomenų bazėmis, kurias tiesiogiai naudoja šios valdžios institucijos, vykdydamos savo funkcijas. Šios duomenų bazės turi būti tiesiogiai ir glaudžiai susijusios su minėta direktyva siekiamais kovos su terorizmu ir sunkiais nusikaltimais tikslais, o tai reiškia, kad jos turi būti sukurtos siekiant šių tikslų. Perkeldamos Direktyvą 2016/681 į nacionalinę teisę valstybės narės privalo paskelbti minėtų duomenų bazių sąrašą ir jį nuolat atnaujinti.
7. Direktyvos 2016/681 6 straipsnio 3 dalies b punktas turi būti aiškinamas taip, kad vykdant šioje nuostatoje numatytą automatizuotą duomenų tvarkymą pagal jį draudžiama naudoti algoritmų sistemas, jei dėl jų naudojimo be žmogaus įsikišimo gali būti pakeisti iš anksto nustatyti kriterijai, kuriais remiantis buvo atliktas šis duomenų tvarkymas, ir jeigu jos neleidžia aiškiai ir skaidriai nustatyti priežasčių, lėmusių teigiamą rezultatą atlikus minėtą tvarkymą.
8. Direktyvos 2016/681 12 straipsnio 1 dalis, siekiant, kad ji atitiktų Europos Sąjungos pagrindinių teisių chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį, turi būti aiškinama taip, kad PNR duomenų, kuriuos oro vežėjai pateikia informacijos apie keleivius skyriui, saugojimas duomenų bazėje penkerių metų laikotarpiu po jų perdavimo informacijos apie keleivius skyriui toje valstybėje narėje, kurios teritorijoje yra lėktuvų atvykimo arba išvykimo vieta, atlikus išankstinį vertinimą pagal šios direktyvos 6 straipsnio 2 dalies a punktą leidžiamas tik tuomet, jei remiantis objektyviais kriterijais nustatomas ryšys tarp šių duomenų ir kovos su terorizmu ar sunkiais nusikaltimais. Bendras ir nediferencijuotas neanonimintų PNR duomenų saugojimas gali būti pateisinamas tik esant didelei grėsmei valstybių narių saugumui, kuri yra reali ir aktuali arba numanoma, pavyzdžiui, susijusi su teroristine veikla, ir jei tokio saugojimo trukmė neviršija to, kas griežtai būtina.
9. Direktyvos 2016/681 6 straipsnio 2 dalies b punktas turi būti aiškinamas taip, kad PNR duomenų arba šių duomenų tvarkymo rezultatų atskleidimas pagal šią nuostatą, kuris atliekamas per šios direktyvos 12 straipsnio 2 dalyje numatytą pradinį šešių mėnesių laikotarpį, turi atitikti minėtos direktyvos 12 straipsnio 3 dalies b punkte nustatytas sąlygas.
10. Direktyva 2016/681, be kita ko, jos 1 straipsnio 2 dalis ir 6 straipsnis, turi būti aiškinama taip, kad pagal ją draudžiami nacionalinės teisės aktai, pagal kuriuos tam tikra žvalgybos ir saugumo tarnybų vykdoma veikla pripažįstama kaip PNR duomenų tvarkymo tikslas, jei, siekiant tokio tikslo, nacionalinis informacijos apie keleivius skyrius būtų priverstas tvarkyti minėtus duomenis ir (arba) perduoti juos arba jų tvarkymo rezultatus šioms tarnyboms kitais nei šios direktyvos 1 straipsnio 2 dalyje išsamiai nurodytais tikslais, o tai turi patikrinti nacionalinis teismas.
11. Direktyvos 2016/681 12 straipsnio 3 dalies b punktas turi būti aiškinamas taip, kad informacijos apie keleivius skyrius nėra „kita kompetentinga nacionalinė valdžios institucija“, kaip tai suprantama pagal šią nuostatą.
12. Direktyvos 2004/82 3 straipsnio 1 dalis, pagal kurią valstybės narės imasi būtinų priemonių nustatyti įpareigojimą oro vežėjams, atsakingiems už asmenų tikrinimą prie išorinių sienų institucijų prašymu, iki registracijos pabaigos perduoti šio straipsnio 2 dalyje, siejamoje su šios direktyvos 2 straipsnio b ir d punktais, nurodytą informaciją apie keleivius, taikoma tik keleiviams, vežamiems į sienos kirtimo punktą, kuriame leidžiama kirsti valstybių narių išorės sienas su trečiosiomis valstybėmis. Nacionalinės teisės aktai, kuriais šis įpareigojimas, siekiant tik pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, išplečiamas ir asmenų, kertančių atitinkamos valstybės narės vidaus sienas oro ar kitomis transporto priemonėmis, duomenims, prieštarautų SESV 67 straipsnio 2 daliai ir 2016 m. kovo 9 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/399 dėl taisyklių, reglamentuojančių asmenų judėjimą per sienas, Sąjungos kodekso (Šengeno sienų kodeksas) 22 straipsniui.
13. Nacionalinis teismas negali taikyti savo nacionalinės teisės nuostatos, pagal kurią jam leidžiama apriboti laiko atžvilgiu padarinius, kylančius, kai jis įgyvendina pagal šią teisę jam suteiktus įgaliojimus pripažinti negaliojančiu nacionalinės tesės aktą, kuriuo oro, sausumos ir jūrų vežėjai bei kelionių organizatoriai, siekiant kovoti su terorizmu ir sunkiais nusikaltimais, įpareigojami perduoti keleivių PNR duomenis ir kuriame numatytas bendras ir nediferencijuotas šių duomenų tvarkymas ir saugojimas, nesuderinami su Pagrindinių teisių chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi. Taikydamas veiksmingumo principą nacionalinis baudžiamųjų bylų teismas, vykstant baudžiamajam procesui, pradėtam dėl terorizmu ar sunkiais nusikaltimais įtariamų asmenų, privalo neatsižvelgti į informaciją ir įrodymus, gautus pagal tokį su Sąjungos teise nesuderinamą teisės aktą, jeigu šie asmenys negali veiksmingai pateikti pastabų dėl šios informacijos ir įrodymų, kurie priklauso teisėjams nežinomai sričiai ir gali daryti lemiamą įtaką faktinių aplinkybių vertinimui.