TIESAS SPRIEDUMS (virspalāta)
2022. gada 21. jūnijā (*)
Satura rādītājs
Lūgums sniegt prejudiciālu nolēmumu – Personas datu apstrāde – Pasažieru datu reģistra (PDR) dati – Regula (ES) 2016/679 – 2. panta 2. punkta d) apakšpunkts – Piemērošanas joma – Direktīva (ES) 2016/681 – Starp Eiropas Savienību un trešām valstīm veikto lidojumu pasažieru PDR datu izmantošana – Iespēja iekļaut Savienībā veikto lidojumu pasažieru datus – Šo datu automatizēta apstrāde – Glabāšanas termiņš – Cīņa pret teroristu nodarījumiem un smagiem noziegumiem – Spēkā esamība – Eiropas Savienības Pamattiesību harta – 7., 8. un 21. pants, kā arī 52. panta 1. punkts – Valsts tiesību akti, ar kuriem PDR sistēmas piemērošana tiek paplašināta, iekļaujot arī citus Savienības transporta veidus – Pārvietošanās brīvība Eiropas Savienībā – Pamattiesību harta – 45. pants
Lietā C‑817/19
par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Cour constitutionnelle (Konstitucionālā tiesa, Beļģija) iesniegusi ar 2019. gada 17. oktobra lēmumu un kas Tiesā reģistrēts 2019. gada 31. oktobrī, tiesvedībā
Ligue des droits humains
pret
Conseil des ministres,
TIESA (virspalāta)
šādā sastāvā: priekšsēdētājs K. Lēnartss [K. Lenaerts], palātu priekšsēdētāji A. Arabadžijevs [A. Arabadjiev], S. Rodins [S. Rodin], I. Jarukaitis [I. Jarukaitis] un N. Jēskinens [N. Jääskinen], tiesneši T. fon Danvics [T. von Danwitz] (referents), M. Safjans [M. Safjan], F. Biltšens [F. Biltgen], P. Dž. Švīrebs [P. G. Xuereb], N. Pisarra [N. Piçarra], L. S. Rosi [L. S. Rossi], A. Kumins [A. Kumin] un N. Vāls [N. Wahl],
ģenerāladvokāts: Dž. Pitrucella [G. Pitruzzella],
sekretāre: M. Krauzenbeka [M. Krausenböck], administratore,
ņemot vērā rakstveida procesu un 2021. gada 13. jūlija tiesas sēdi,
ņemot vērā apsvērumus, ko snieguši:
– Ligue des droits humains vārdā – C. Forget, advokāte,
– Beļģijas valdības vārdā – P. Cottin, J.‑C. Halleux, C. Pochet un M. Van Regemorter, pārstāvji, kam palīdz C. Caillet, advocaat, E. Jacubowitz, avocat, kā arī G. Ceuppens, V. Dethy un D. Vertongen,
– Čehijas valdības vārdā – T. Machovičová, O. Serdula, M. Smolek un J. Vláčil, pārstāvji,
– Dānijas valdības vārdā – M. Jespersen, J. Nymann‑Lindegren, V. Pasternak Jørgensen un M. Søndahl Wolff, pārstāvji,
– Vācijas valdības vārdā – D. Klebs un J. Möller, pārstāvji,
– Igaunijas valdības vārdā – N. Grünberg, pārstāve,
– Īrijas vārdā – M. Browne, A. Joyce un J. Quaney, pārstāvji, kam palīdz D. Fennelly, BL,
– Spānijas valdības vārdā – L. Aguilera Ruiz, pārstāvis,
– Francijas valdības vārdā – D. Dubois, E. de Moustier un T. Stehelin, pārstāvji,
– Kipras valdības vārdā – E. Neofytou, pārstāve,
– Latvijas valdības vārdā – E. Bārdiņš, K. Pommere un V. Soņeca, pārstāvji,
– Nīderlandes valdības vārdā – M. K. Bulterman, A. Hanje, J. Langer un C. S. Schillemans, pārstāvji,
– Austrijas valdības vārdā – G. Kunnert, A. Posch un J. Schmoll, pārstāvji,
– Polijas valdības vārdā – B. Majczyna, pārstāvis,
– Slovākijas valdības vārdā – B. Ricziová, pārstāve,
– Somijas valdības vārdā – A. Laine un H. Leppo, pārstāves,
– Eiropas Parlamenta vārdā – O. Hrstková Šolcová un P. López‑Carceller, pārstāves,
– Eiropas Savienības Padomes vārdā – J. Lotarski, N. Rouam, E. Sitbon un C. Zadra, pārstāvji,
– Eiropas Komisijas vārdā – D. Nardi un M. Wasmeier, pārstāvji,
– Eiropas Datu aizsardzības uzraudzītāja vārdā – P. Angelov, A. Buchta, F. Coudert un C.‑A. Marnier, pārstāvji,
– Eiropas Savienības Pamattiesību aģentūras vārdā – L. López, T. Molnar, M. Nespor un M. O’Flaherty, pārstāvji,
noklausījusies ģenerāladvokāta secinājumus 2022. gada 27. janvāra tiesas sēdē,
pasludina šo spriedumu.
Spriedums
1 Lūgums sniegt prejudiciālu nolēmumu būtībā ir par:
– Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp.; turpmāk tekstā – “VDAR”) 2. panta 2. punkta d) apakšpunkta un 23. panta, Padomes Direktīvas 2004/82/EK (2004. gada 29. aprīlis) par pārvadātāju pienākumu darīt zināmus datus par pasažieriem (OV 2004, L 261, 24. lpp.; turpmāk tekstā – “IPI direktīva”), kā arī Eiropas Parlamenta un Padomes Direktīvas 2010/65/ES (2010. gada 20. oktobris) par ziņošanas formalitātēm kuģiem, kuri ienāk dalībvalstu ostās un/vai iziet no tām, un ar ko atceļ Direktīvu 2002/6/EK (OV 2010, L 283, 1. lpp.), interpretāciju;
– Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/681 (2016. gada 27. aprīlis) par pasažieru datu reģistra (PDR) datu izmantošanu teroristu nodarījumu un smagu noziegumu novēršanai, atklāšanai, izmeklēšanai un saukšanai pie atbildības par tiem (OV 2016, L 119, 132. lpp.; turpmāk tekstā – “PDR direktīva”) 3. panta 4. punkta, 6. un 12. panta, kā arī I pielikuma interpretāciju un spēkā esamību, ņemot vērā Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) 7. un 8. pantu un 52. panta 1. punktu, kā arī
– IPI direktīvas interpretāciju un spēkā esamību, ņemot vērā LES 3. panta 2. punktu un Hartas 45. pantu.
2 Šis lūgums ir iesniegts tiesvedībā starp Ligue des droits humains (Cilvēktiesību līga) un Conseil des ministres (Ministru padome, Beļģija) par 2016. gada 25. decembra loi relative au traitement des données des passagers (Likums par pasažieru datu apstrādi) likumību.
I. Atbilstošās tiesību normas
A. Savienības tiesības
1. Direktīva 95/46/EK
3 Ar VDAR no 2018. gada 25. maija ir atcelta Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.). Šīs direktīvas 3. panta 2. punktā bija noteikts:
“Šī direktīva neattiecas uz personas datu apstrādi:
– tādu pasākumu gaitā, uz kuru neattiecas Kopienas tiesību akti, kā Līguma par Eiropas Savienību V un VI sadaļā paredzētie pasākumi, un, jebkurā gadījumā, uz apstrādes operācijām attiecībā uz sabiedrisko drošību, aizsardzību, valsts drošību (ieskaitot valsts ekonomisko labklājību, ja apstrādes operācija attiecas uz valsts drošības jautājumiem) un uz valsts pasākumiem krimināltiesību jomā;
– ko veic fiziska persona tikai un vienīgi personiska vai mājsaimnieciska pasākuma gaitā.”
2. IPI direktīva
4 IPI direktīvas 1., 7., 9. un 12. apsvērumā ir paredzēts:
“(1) Lai efektīvi apkarotu nelegālo imigrāciju un uzlabotu robežkontroli, ir svarīgi, lai visas dalībvalstis ieviestu noteikumus, ar ko nosaka pienākumus aviopārvadātājiem, kas ieved ārvalstniekus dalībvalstu teritorijā. Turklāt, lai nodrošinātu lielāku šā mērķa efektivitāti, ir pēc iespējas jāsaskaņo dalībvalstu paredzētie finansiālie sodi gadījumos, kad pārvadātāji nepilda savus pienākumus, ņemot vērā dalībvalstu tiesību sistēmu un prakses atšķirības.
[..]
(7) Pienākumi, kas jānosaka pārvadātājiem saskaņā ar šo direktīvu, papildina pienākumus, kuri noteikti saskaņā ar 26. pantu 1990. gada Šengenas Konvencijā, ar ko īsteno 1985. gada 14. jūnija Šengenas līgumu un kas ir papildināta ar Padomes Direktīvu 2001/51/EK [(2001. gada 28. jūnijs), ar kuru papildina 26. pantu Konvencijā, ar ko īsteno 1985. gada 14. jūnija Šengenas līgumu (OV 2001, L 187, 45. lpp.)], un šiem abu veidu pienākumiem ir viens mērķis – ierobežot migrācijas plūsmas un apkarot nelegālo imigrāciju.
[..]
(9) Lai efektīvāk apkarotu nelegālo imigrāciju un nodrošinātu šā mērķa efektivitātes palielināšanos, ir svarīgi, lai, neskarot Direktīvas [95/46] noteikumus, iespējami drīz tiktu ņemti vērā tehnoloģiskie jauninājumi, jo īpaši attiecībā uz biometrisko datu iekļaušanu un izmantošanu informācijā, kura pārvadātājiem jāsniedz.
[..]
(12) Direktīvu [95/46] piemēro attiecībā uz personas datu apstrādi, ko veic dalībvalstu iestādes. Tas nozīmē, ka, lai gan būtu likumīgi robežkontroles veikšanai nosūtītos datus par pasažieriem apstrādāt arī tādēļ, lai tos varētu izmantot kā pierādījumus tiesvedībā, kas saistīta ar tādu normatīvo aktu piemērošanu, kuri attiecas uz ieceļošanu un imigrāciju, ieskaitot to noteikumus par sabiedrisko kārtību (ordre public) un valsts drošību, to turpmāka apstrāde šiem mērķiem neatbilstošā veidā būtu pretrunā principam, kas noteikts Direktīvas [95/46] 6. panta 1. punkta b) apakšpunktā. Dalībvalstīm jāparedz sodu sistēma, kas piemērojama gadījumos, kad datu izmantošana neatbilst šīs direktīvas mērķim.”
5 IPI direktīvas 1. pantā “Mērķis” ir noteikts:
“Šīs direktīvas mērķis ir uzlabot robežkontroli un apkarot nelegālo imigrāciju, pārvadātājiem savlaicīgi nosūtot datus par pasažieriem kompetentajām valstu iestādēm.”
6 Šīs direktīvas 2. pantā “Definīcijas” ir noteikts:
“Šajā direktīvā:
a) “pārvadātājs” ir fiziska vai juridiska persona, kuras nodarbošanās ir pasažieru pārvadāšana pa gaisu;
b) “ārējās robežas” ir dalībvalstu ārējās robežas ar trešām valstīm;
c) “robežkontrole” ir pārbaude, ko veic uz robežas vienīgi saistībā ar nodomu šķērsot konkrēto robežu neatkarīgi no citiem apsvērumiem;
d) “robežpārejas punkts” ir robežas šķērsošanas vieta, ko kompetentās iestādes apstiprinājušas ārējo robežu šķērsošanai;
e) “personas dati”, “personas datu apstrāde” un “personas datu reģistrācijas sistēma” ir termini, kuru nozīme noteikta Direktīvas [95/46] 2. pantā.”
7 Minētās direktīvas 3. panta “Datu nosūtīšana” 1. un 2. punktā ir noteikts:
“1. Dalībvalstis veic visus pasākumus, kas vajadzīgi, lai pārvadātājiem noteiktu pienākumu pēc to iestāžu pieprasījuma, kuras ir atbildīgas par personu pārbaudi uz ārējām robežām, pabeidzot reģistrāciju, sniegt informāciju par pasažieriem, ko tie vedīs uz apstiprinātu robežpārejas punktu, caur kuru šīs personas ieceļos dalībvalsts teritorijā.
2. Iepriekš minētajā informācijā ietver šādus datus:
– izmantotā ceļošanas dokumenta veids un numurs,
– pilsonība;
– pilns vārds un uzvārds,
– dzimšanas datums,
– robežpārejas punkts, caur kuru ieceļo dalībvalstu teritorijā,
– transportlīdzekļa kods,
– transportlīdzekļa izlidošanas un ielidošanas laiks,
– transportlīdzeklī pārvadājamo pasažieru kopskaits,
– sākotnējais iekāpšanas punkts.”
8 IPI direktīvas 6. pantā “Datu apstrāde” ir minēts:
“1. Personas dati, kas minēti 3. panta 1. punktā, jānosūta iestādēm, kas ir atbildīgas par personu pārbaudi uz ārējām robežām, caur kurām attiecīgais pasažieris ieceļos dalībvalsts teritorijā, lai veicinātu šādu pārbaužu veikšanu ar mērķi efektīvāk apkarot nelegālo imigrāciju.
Dalībvalstis nodrošina, ka pārvadātāji šos datus vāc un nosūta elektroniski vai, ja tas neizdodas, izmantojot citus līdzekļus iestādēm, kas ir atbildīgas par robežkontroles veikšanu tajā apstiprinātajā robežpārejas punktā, caur kuru pasažieris ieceļos dalībvalsts teritorijā. Par personu pārbaudi uz ārējām robežām atbildīgās iestādes šos datus saglabā pagaidu datnē.
Pēc pasažieru ieceļošanas šīs iestādes 24 stundu laikā pēc datu saņemšanas tos izdzēš, ja vien tie vēlāk nav vajadzīgi obligāto darbību veikšanai iestādēm, kas ir atbildīgas par personu pārbaudēm uz ārējām robežām saskaņā ar valstu tiesību aktiem un ievērojot Direktīvā [95/46] paredzētos datu aizsardzības noteikumus.
Dalībvalstis veic pasākumus, kas vajadzīgi, lai pārvadātājiem noteiktu pienākumu 24 stundu laikā pēc transportlīdzekļa ielidošanas izdzēst visus 3. panta 1. punktā noteiktos personas datus, kurus tie saskaņā ar šo direktīvu savākuši un nosūtījuši robežkontroles dienestiem.
Saskaņā ar valstu tiesību aktiem un ievērojot Direktīvā [95/46] paredzētos datu aizsardzības noteikumus, 3. panta 1. punktā minētos datus dalībvalstis drīkst izmantot arī tiesībaizsardzībai.
2. Dalībvalstis veic pasākumus, kas vajadzīgi, lai pārvadātājiem noteiktu pienākumu informēt pasažierus saskaņā ar Direktīvas [95/46] noteikumiem. Tas ietver arī [minētās direktīvas] 10. panta c) punktā un 11. panta 1. punkta c) apakšpunktā minēto informāciju.”
3. Direktīva 2010/65
9 Direktīvu 2010/65 saskaņā ar 25. pantu Eiropas Parlamenta un Padomes Regulā (ES) 2019/1239 (2019. gada 20. jūnijs), ar ko izveido Eiropas Jūras vienloga sistēmas vidi un ar ko atceļ Direktīvu 2010/65 (OV 2019, L 198, 64. lpp.), atceļ no 2025. gada 15. augusta.
10 Šīs direktīvas 2. apsvērumā ir noteikts:
“Lai atvieglinātu jūras pārvadājumus un kuģošanas sabiedrībām samazinātu administratīvo slogu, ir jāvienkāršo un pēc iespējas plašāk jāsaskaņo ziņošanas formalitātes, ko nosaka Savienības tiesību akti un dalībvalstis. [..]”
11 Minētās direktīvas 1. panta “Priekšmets un darbības joma” 1. un 2. punktā ir noteikts:
“1. Šīs direktīvas mērķis ir vienkāršot un saskaņot administratīvās procedūras, kuras piemēro jūras satiksmē, nosakot, ka atbilstīgi standarta praksei informācija ir jānosūta elektroniski un racionalizējot ziņošanas formalitātes.
2. Šī direktīva attiecas uz jūras satiksmei piemērojamām ziņošanas formalitātēm kuģiem, kuri ienāk ostās, kas atrodas dalībvalstīs, vai iziet no tām.”
12 Šīs pašas direktīvas 8. pantā “Konfidencialitāte” ir noteikts:
“1. Dalībvalstis saskaņā ar piemērojamiem Savienības tiesību aktiem vai valsts tiesību aktiem veic pasākumus, kas vajadzīgi, lai nodrošinātu tās komerciālās un cita veida konfidenciālās informācijas konfidencialitāti, kuras apmaiņa veikta saskaņā ar šo direktīvu.
2. Dalībvalstis īpašu uzmanību pievērš saskaņā ar šo direktīvu apkopoto komerciālo datu aizsardzībai. Attiecībā uz personas datiem dalībvalstis nodrošina atbilstību Direktīvai [95/46]. [Eiropas] Savienības iestādes un struktūras nodrošina, ka tiek ievērota [Eiropas Parlamenta un Padomes] Regula (EK) Nr. 45/2001 [(2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (OV 2001, L 8, 1. lpp.)].”
4. VDAR
13 VDAR 19. apsvērumā ir noteikts:
“Fizisku personu aizsardzība attiecībā uz personas datu apstrādi, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai lai sauktu pie atbildības par tiem, vai lai izpildītu kriminālsodus, tostarp pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, un šādu datu brīva aprite ir konkrēta Savienības tiesību akta priekšmets. Tāpēc šī regula nebūtu jāpiemēro apstrādes darbībām, kas veiktas minētajos nolūkos. Tomēr personas datu apstrāde, ko minētajos nolūkos saskaņā ar šo regulu veic publiskas iestādes, būtu jāreglamentē konkrētākā Savienības tiesību aktā, proti, Eiropas Parlamenta un Padomes Direktīvā (ES) 2016/680 [(2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV 2016, L 119, 89. lpp.)]. Dalībvalstis kompetentajām iestādēm Direktīvas [2016/680] nozīmē var uzticēt uzdevumus, kas nav obligāti saistīti ar darbībām, ko veic nolūkā novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem vai nolūkā izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst, tādējādi šajos citos nolūkos veiktā personas datu apstrāde, ciktāl tā ietilpst Savienības tiesību aktu darbības jomā, ietilpst šīs regulas darbības jomā.
[..]”
14 Šīs regulas 2. panta “Materiālā darbības joma” 1. un 2. punktā ir noteikts:
“1. Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.
2. Šo regulu nepiemēro personas datu apstrādei:
a) tādas darbības gaitā, kas neietilpst Savienības tiesību aktu darbības jomā;
b) ko īsteno dalībvalstis, veicot darbības, kas ir LES V sadaļas 2. nodaļas darbības jomā;
[..]
d) ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.”
15 Minētās regulas 4. pantā “Definīcijas” ir paredzēts:
Šajā regulā:
1) “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu [..];
2) “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
[..].”
16 VDAR 23. pantā “Ierobežojumi” ir noteikts:
“1. Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:
a) valsts drošību;
b) aizsardzību;
c) sabiedrisko drošību;
d) noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu vai saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret sabiedriskās drošības apdraudējumiem un to novēršanu;
[..]
h) uzraudzības, pārbaudes vai regulatīvo funkciju, kas – pat ja tikai epizodiski – ir saistīta ar oficiālu pilnvaru īstenošanu a) līdz e) un g) apakšpunktā minētajos gadījumos.
2. Jo īpaši – jebkurā leģislatīvā pasākumā, kas minēts 1. punktā, ietver konkrētus noteikumus attiecīgā gadījumā vismaz par:
a) nolūkiem, kādos veic apstrādi, vai apstrādes kategorijām;
b) personas datu kategorijām;
c) ieviesto ierobežojumu darbības jomu;
d) garantijām, lai novērstu ļaunprātīgu izmantošanu vai nelikumīgu piekļuvi vai nosūtīšanu;
e) pārziņa vai pārziņu kategoriju noteikšanu;
f) glabāšanas laikposmiem un piemērojamām garantijām, ņemot vērā apstrādes vai apstrādes kategoriju raksturu, darbības jomu un nolūkus;
g) riskiem attiecībā uz datu subjektu tiesībām un brīvībām; un
h) datu subjektu tiesībām saņemt informāciju par ierobežojumu, izņemot tad, ja tas var kaitēt ierobežojuma mērķim.”
17 Šīs regulas 94. pantā “Direktīvas [95/46] atcelšana” ir noteikts:
“1. Direktīvu [95/46] atceļ no 2018. gada 25. maija.
2. Atsauces uz atcelto direktīvu uzskata par atsaucēm uz šo regulu. Atsauces uz Darba grupu personu aizsardzībai attiecībā uz personas datu apstrādi, kas izveidota ar Direktīvas [95/46] 29. pantu, uzskata par atsaucēm uz Eiropas Datu aizsardzības kolēģiju, kas izveidota ar šo regulu.”
5. Direktīva 2016/680
18 Ar Direktīvu 2016/680 saskaņā ar tās 59. pantu no 2018. gada 6. maija ir atcelts un aizstāts Padomes Pamatlēmums 2008/977/TI (2008. gada 27. novembris) par tādu personas datu aizsardzību, ko apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās (OV 2008, L 350, 60. lpp.).
19 Direktīvas 2016/680 9.–11. apsvērumā ir noteikts:
“(9) Balstoties uz to, [VDAR] nosaka vispārīgus noteikumus, lai aizsargātu fiziskas personas attiecībā uz to personas datu apstrādi un nodrošinātu personas datu brīvu apriti Savienībā.
(10) 21. deklarācijā par personas datu aizsardzību tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, kas pievienota Lisabonas līgumu pieņēmušās Starpvaldību konferences Nobeiguma aktam, konference atzina, ka var būt nepieciešami īpaši noteikumi par personas datu aizsardzību un par personas datu brīvu apriti tiesu iestāžu sadarbībā krimināllietās un policijas sadarbībā, pamatojoties uz LESD 16. pantu, minēto jomu specifisko iezīmju dēļ.
(11) Tādēļ ir piemēroti minētās jomas aptvert direktīvā, kurā paredzēti īpaši noteikumi par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, respektējot šo darbību īpašo raksturu. Starp šādām kompetentajām iestādēm var būt ne vien publiskās iestādes, tādas kā tiesu iestādes, policija vai citas tiesībaizsardzības iestādes, bet arī jebkādas citas struktūras vai vienības, kam dalībvalsts tiesībās uzticēts īstenot publisko varu un publiskās pilnvaras šīs direktīvas nolūkos. Ja šāda struktūra vai vienība personas datus apstrādā citos nolūkos, nevis šajā direktīvā noteiktajos, piemēro [VDAR]. Tāpēc [VDAR] piemēro gadījumos, kad struktūra vai vienība vāc personas datus citos nolūkos un minētos personas datus apstrādā tālāk, lai pildītu kādu juridisku pienākumu, kam tā pakļauta. Piemēram, finanšu iestādes noziedzīga nodarījuma izmeklēšanas, atklāšanas vai saukšanas pie atbildības nolūkos patur dažus no personas datiem, ko tās apstrādā, un konkrētos gadījumos un saskaņā ar dalībvalsts tiesībām sniedz minētos personas datus tikai kompetentajām valsts iestādēm. Struktūrai vai vienībai, kas šādu iestāžu vārdā apstrādā personas datus šīs direktīvas darbības jomā, vajadzētu būt saistītai ar līgumu vai kādu citu juridisku aktu un noteikumiem, kas piemērojami apstrādātājiem, ievērojot šo direktīvu, bet [VDAR] piemērošana paliek neskarta attiecībā uz apstrādātāja personas datu apstrādi, kas ir ārpus šīs direktīvas darbības jomas.”
20 Šīs direktīvas 1. panta “Priekšmets un mērķi”, kas būtībā atbilst Pamatlēmuma 2008/977 1. pantam, 1. punktā ir paredzēts:
“Šajā direktīvā ir paredzēti noteikumi par fizisko personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.”
21 Minētās direktīvas 3. pantā “Definīcijas” ir noteikts:
“Šajā direktīvā:
[..]
7) “kompetentā iestāde” ir:
a) jebkura publiska iestāde, kuras kompetencē ir novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst; vai
b) jebkura cita struktūra vai vienība, kam dalībvalsts tiesībās uzticēts īstenot publisku varu un publiskas pilnvaras ar mērķi novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst;
[..].”
6. PDR direktīva
22 PDR direktīvas 4.–12., 15., 19., 20., 22., 25., 27., 28., 33., 36. un 37. apsvērumā ir noteikts:
“(4) Ar [IPI] direktīvu [..] reglamentē to, kā gaisa pārvadātāji nosūta kompetentajām valstu iestādēm iepriekšējas pasažieru informācijas (IPI) datus nolūkā uzlabot robežkontroli un apkarot nelikumīgu imigrāciju.
(5) Šīs direktīvas mērķi inter alia ir garantēt drošību, aizsargāt personu dzīvību un drošību un izveidot tiesisko regulējumu, ar ko aizsargāt PDR datus attiecībā uz to apstrādi kompetentās iestādēs.
(6) PDR datu efektīva izmantošana, piemēram, salīdzinot PDR datus ar dažādām datubāzēm attiecībā uz meklētām personām un objektiem, ir vajadzīga, lai novērstu, atklātu, izmeklētu teroristu nodarījumus un smagus noziegumus un sauktu pie atbildības par tiem un tādējādi stiprinātu iekšējo drošību, kā arī lai vāktu pierādījumus un attiecīgā gadījumā atrastu noziedznieku līdzzinātājus un izjauktu noziedznieku tīklus.
(7) PDR datu novērtēšana ļauj identificēt personas, kuras pirms šādas novērtēšanas netika turētas aizdomās par saistību ar teroristu nodarījumiem vai smagiem noziegumiem un kuras būtu tālāk jāpārbauda kompetentajām iestādēm. Izmantojot PDR datus, ir iespējams pievērsties teroristu nodarījumu un smagu noziegumu draudiem no citādas perspektīvas, nekā apstrādājot citas personas datu kategorijas. Tomēr, lai nodrošinātu, ka PDR datu apstrāde nepārsniedz to, kas ir nepieciešams, vērtēšanas kritēriju izstrāde un piemērošana būtu jāattiecina vienīgi uz teroristu nodarījumiem un smagiem noziegumiem, attiecībā uz kuriem šādu kritēriju izmantošana ir atbilstīga. Turklāt vērtēšanas kritēriji būtu jānosaka tādā veidā, ka nevainīgu personu skaits, ko nepareizi identificējusi sistēma, ir minimāls.
(8) Gaisa pārvadātāji paši savos komerciālos nolūkos jau vāc un apstrādā savu pasažieru PDR datus. Ar šo direktīvu nevajadzētu gaisa pārvadātājiem uzlikt pienākumu vākt vai glabāt kādus papildu datus par pasažieriem, nedz arī pasažieriem uzlikt pienākumu sniegt kādus datus papildus tiem, kas jau tiek sniegti gaisa pārvadātājiem.
(9) Daži gaisa pārvadātāji to savāktos IPI datus glabā kā daļu no PDR datiem, turpretim citi to nedara. PDR datu izmantošanai kopā ar IPI datiem ir pievienotā vērtība, jo tā palīdz dalībvalstīm pārbaudīt indivīda identitāti, tādējādi stiprinot minētā rezultāta tiesībaizsardzības nozīmīgumu un mazinot risku veikt pārbaudes un izmeklēšanu attiecībā uz nevainīgām personām. Tādēļ ir būtiski nodrošināt, lai tad, kad gaisa pārvadātāji vāc IPI datus, viņi tos nosūta neatkarīgi no tā, vai viņi IPI datus glabā ar atšķirīgiem tehniskajiem līdzekļiem nekā citus PDR datus.
(10) Lai novērstu, atklātu, izmeklētu teroristu nodarījumus un smagus noziegumus un sauktu pie atbildības par tiem, ir svarīgi, lai visas dalībvalstis ieviestu noteikumus, kas paredz pienākumus gaisa pārvadātājiem, kuri veic ES ārējos lidojumus, nosūtīt to savāktos PDR datus, tostarp IPI datus. Dalībvalstīm vajadzētu būt iespējai attiecināt šo pienākumu arī uz gaisa pārvadātājiem, kas veic ES iekšējos lidojumus. Minētajiem noteikumiem nebūtu jāskar [IPI] direktīva.
(11) Personas datu apstrādei vajadzētu būt samērīgai ar konkrētajiem mērķiem drošības jomā, kādus paredzēts panākt ar šo direktīvu.
(12) Šajā direktīvā izmantotajai teroristu nodarījumu definīcijai vajadzētu būt tādai pašai kā Padomes Pamatlēmumā 2002/475/TI [(2002. gada 13. jūnijs) par terorisma apkarošanu (OV 2002, L 164, 3. lpp.)]. Smagu noziegumu definīcijai vajadzētu aptvert tās nodarījumu kategorijas, kas uzskaitītas šīs direktīvas II pielikumā.
[..]
(15) Būtu jāizveido PDR datu saraksts, kas jāiegūst [pasažieru informācijas nodaļai (PIN)], nolūkā atspoguļot publisko iestāžu leģitīmās prasības, lai novērstu, atklātu, izmeklētu teroristu nodarījumus vai smagus noziegumus un sauktu pie atbildības par tiem, tādējādi uzlabojot iekšējo drošību Savienībā, kā arī aizsargājot pamattiesības, jo īpaši privātumu un personas datu aizsardzību. Šajā nolūkā būtu jāpiemēro augsti standarti saskaņā ar [Hartu], Konvenciju par personu aizsardzību attiecībā uz personas datu automātisko apstrādi (“Konvencija Nr. 108”) un [Romā 1950. gada 4. novembrī parakstīto] Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvenciju (“ECTK”). Šāds saraksts nebūtu jābalsta uz personas rasi vai etnisko izcelsmi, reliģiju vai pārliecību, politiskiem vai jebkuriem citiem uzskatiem, dalību arodbiedrībās, veselību, seksuālo dzīvi vai dzimumorientāciju. PDR datos būtu jāiekļauj vienīgi sīkāka informācija par pasažieru veiktajām rezervācijām un ceļojuma maršrutiem, kas ļauj kompetentajām iestādēm identificēt aviopasažierus, kuri rada draudus iekšējai drošībai.
[..]
(19) Katrai dalībvalstij vajadzētu būt atbildīgai par iespējamo draudu izvērtēšanu saistībā ar teroristu nodarījumiem un smagiem noziegumiem.
(20) Pilnībā ņemot vērā tiesības uz personas datu aizsardzību un tiesības uz nediskrimināciju, nevienu tādu lēmumu, kas personai rada nelabvēlīgas tiesiskās sekas vai minēto personu būtiski ietekmē, nevajadzētu pieņemt, pamatojoties vienīgi uz PDR datu automātisku apstrādi. Turklāt, ievērojot Hartas 8. un 21. pantu, ar šādu lēmumu nevajadzētu radīt nekāda veida diskrimināciju tādu iemeslu dēļ kā personas dzimums, rase, ādas krāsa, etniskā vai sociālā izcelsme, ģenētiskās īpatnības, valoda, reliģija vai pārliecība, politiskie vai jebkuri citi uzskati, piederība nacionālai minoritātei, īpašums, izcelsme, invaliditāte, vecums vai dzimumorientācija. [Eiropas] Komisijai minētie principi būtu jāņem vērā arī tad, kad tā pārskata šīs direktīvas piemērošanu.
[..]
(22) Pilnībā ņemot vērā principus, kas izklāstīti Eiropas Savienības Tiesas jaunākajā attiecīgajā judikatūrā, ar šīs direktīvas piemērošanu būtu jānodrošina pamattiesību un tiesību uz privātumu, kā arī proporcionalitātes principa pilnīga ievērošana. Tai būtu arī patiesi jāatbilst nepieciešamības un samērīguma mērķiem, lai panāktu Savienības atzīto vispārējo interešu ņemšanu vērā un ievērotu vajadzību cīņā pret teroristu nodarījumiem un smagiem noziegumiem aizsargāt citu tiesības un brīvības. Šīs direktīvas piemērošana būtu pienācīgi jāpamato un jāievieš nepieciešamie aizsardzības pasākumi, lai ikviens PDR datu glabāšanas, analizēšanas, nosūtīšanas vai izmantošanas gadījums būtu likumīgs.
[..]
(25) Termiņam, kādā jāglabā PDR dati, vajadzētu būt tik ilgam, cik nepieciešams, un samērīgam ar mērķiem novērst, atklāt, izmeklēt teroristu nodarījumus un smagus noziegumus un saukt pie atbildības par tiem. Datu un to izmantošanas rakstura dēļ ir nepieciešams PDR datus glabāt pietiekami ilgi, lai varētu veikt analīzi un datus izmantot izmeklēšanā. Lai izvairītos no nesamērīgas izmantošanas, pēc sākotnējā glabāšanas termiņa PDR dati būtu jādepersonalizē ar datu elementu maskēšanu. Lai nodrošinātu datu aizsardzības augstāko līmeni, piekļuve pilniem PDR datiem, kas ļauj tieši identificēt datu subjektu, pēc minētā sākotnējā termiņa būtu jāpiešķir tikai saskaņā ar ļoti stingriem un ierobežotiem nosacījumiem.
[..]
(27) Uz PIN un kompetento iestāžu veikto PDR datu apstrādi katrā dalībvalstī būtu jāattiecina personas datu aizsardzības standarts, kas noteikts valsts tiesību aktos saskaņā ar Padomes Pamatlēmumu [2008/977] un konkrētajām datu aizsardzības prasībām, kas noteiktas šajā direktīvā. Atsauces uz Pamatlēmumu [2008/977] būtu jāsaprot kā atsauces uz pašlaik spēkā esošo tiesisko regulējumu, kā arī turpmākiem tiesību aktiem, ar kuriem to aizstās.
(28) Ņemot vērā tiesības uz personas datu aizsardzību, datu subjektu tiesībām attiecībā uz viņu PDR datu apstrādi, piemēram, tiesībām uz piekļuvi, labošanu, dzēšanu un ierobežošanu un tiesībām uz kompensāciju un aizsardzību tiesā, vajadzētu būtu saskaņā gan ar Pamatlēmumu [2008/977], gan augsta līmeņa aizsardzību, ko paredz Harta un ECTK.
[..]
(33) Šī direktīva neietekmē dalībvalstu iespējas saskaņā ar saviem tiesību aktiem paredzēt sistēmu PDR datu vākšanai un apstrādei no ekonomikas dalībniekiem, kas nav pārvadātāji, piemēram, ceļojumu aģentūrām un tūrisma operatoriem, kas sniedz ar ceļojumiem saistītus pakalpojumus, tostarp rezervē lidojumus, un šajā nolūkā vāc un apstrādā PDR datus, vai no pārvadāšanas pakalpojumu sniedzējiem, kas nav šajā direktīvā noteiktie pakalpojumu sniedzēji, ar noteikumu, ka šādi valsts tiesību akti atbilst Savienības tiesību aktiem.
[..]
(36) Šajā direktīvā ir ievērotas Hartā noteiktās pamattiesības un principi, jo īpaši tiesības uz personas datu aizsardzību, tiesības uz privātumu un tiesības uz nediskrimināciju, ko aizsargā ar tās 8., 7. un 21. pantu, tādēļ tā būtu attiecīgi jāīsteno. Šī direktīva ir saderīga ar datu aizsardzības principiem, un tās noteikumi ir saskaņā ar Pamatlēmumu [2008/977]. Turklāt, lai panāktu atbilstību proporcionalitātes principam, šajā direktīvā attiecībā uz konkrētiem jautājumiem ir paredzēti stingrāki noteikumi par datu aizsardzību nekā Pamatlēmumā [2008/977].
(37) Šīs direktīvas darbības joma ir tik ierobežota, cik iespējams, jo: tā paredz PDR datu glabāšanu pasažieru informācijas nodaļās ne ilgāk kā piecus gadus, un pēc tam dati būtu jādzēš; tā paredz, ka, beidzoties sākotnējam sešu mēnešu termiņam, dati ir jādepersonalizē ar datu elementu maskēšanu; un tā aizliedz vākt un izmantot sensitīvus datus. Lai nodrošinātu iedarbīgumu un augstu datu aizsardzības līmeni, dalībvalstīm tiek prasīts nodrošināt, lai neatkarīga valsts uzraudzības iestāde un jo īpaši datu aizsardzības inspektors būtu atbildīgi par konsultēšanu un uzraudzību pār to, kādā veidā tiek apstrādāti PDR dati. Visa PDR datu apstrāde būtu jāuzskaita vai jādokumentē, lai pārbaudītu tās likumību, veiktu pašuzraudzību un nodrošinātu pienācīgu datu integritāti un drošu apstrādi. Dalībvalstīm arī būtu jānodrošina, lai pasažieriem tiktu sniegta skaidra un precīza informācija par PDR datu vākšanu un viņu tiesībām.”
23 PDR direktīvas 1. pantā “Priekšmets un piemērošanas joma” ir noteikts:
“1. Šī direktīva paredz, ka:
a) gaisa pārvadātāji nosūta pasažieru datu reģistra (PDR) datus par ES ārējo lidojumu pasažieriem;
b) dalībvalstis veic a) apakšpunktā minēto datu apstrādi, tostarp to vākšanu, izmantošanu un glabāšanu, kā arī to apmaiņu starp dalībvalstīm.
2. PDR datus, kas ir savākti saskaņā ar šo direktīvu, var apstrādāt vienīgi, lai novērstu, atklātu, izmeklētu teroristu nodarījumus un smagus noziegumus un sauktu pie atbildības par tiem, kā paredzēts 6. panta 2. punkta a), b) un c) apakšpunktā.”
24 Šīs direktīvas 2. pants “Šīs direktīvas piemērošana ES iekšējiem lidojumiem” ir izteikts šādā redakcijā:
“1. Ja kāda dalībvalsts nolemj šo direktīvu piemērot ES iekšējiem lidojumiem, tā rakstiski paziņo Komisijai. Dalībvalsts šādu paziņojumu var sniegt vai atsaukt jebkurā laikā. Komisija minēto paziņojumu un jebkādu tā atsaukumu publicē Eiropas Savienības Oficiālajā Vēstnesī.
2. Ja tiek sniegts 1. punktā minētais paziņojums, visus šīs direktīvas noteikumus ES iekšējiem lidojumiem piemēro tā, it kā tie būtu ES ārējie lidojumi, un PDR datiem, ko iegūst no ES iekšējiem lidojumiem, piemēro tā, it kā tie būtu PDR dati no ES ārējiem lidojumiem.
3. Dalībvalsts var nolemt piemērot šo direktīvu tikai atsevišķiem ES iekšējiem lidojumiem. Pieņemot šādu lēmumu, dalībvalsts izvēlas tos lidojumus, kurus tā uzskata par vajadzīgiem, lai sasniegtu šīs direktīvas mērķus. Dalībvalsts jebkurā laikā var pieņemt lēmumu mainīt ES iekšējo lidojumu izvēli.”
25 Minētās direktīvas 3. pantā “Definīcijas” ir noteikts:
Šajā direktīvā piemēro šādas definīcijas:
1) “gaisa pārvadātājs” ir gaisa transporta uzņēmums ar derīgu darbības licenci vai tās ekvivalentu, kas tam ļauj pa gaisu pārvadāt pasažierus;
2) “ES ārējais lidojums” ir ikviens regulārs vai neregulārs gaisa pārvadātāja veikts lidojums no kādas trešās valsts, kam plānots nolaisties kādas dalībvalsts teritorijā, vai no kādas dalībvalsts teritorijas un kam plānots nolaisties kādā trešā valstī, abos gadījumos ietverot arī lidojumus ar starpnosēšanos dalībvalstu vai trešo valstu teritorijā;
3) “ES iekšējais lidojums” ir ikviens regulārs vai neregulārs gaisa pārvadātāja veikts lidojums no kādas dalībvalsts teritorijas, kam plānots nolaisties kādas citas dalībvalsts vai vairāku citu dalībvalstu teritorijā, bez jebkādas starpnosēšanās kādas trešās valsts teritorijā;
4) “pasažieris” ir jebkura persona, tostarp personas, kas ir transfēra vai tranzīta pasažieri, bet izņemot gaisa kuģa apkalpes locekļus, ko pārvadā vai pārvadās gaisa kuģī ar gaisa pārvadātāja piekrišanu, kas izpaužas kā minētās personas reģistrēšana pasažieru sarakstā;
5) “pasažieru datu reģistrs” jeb “PDR” ir ikviena pasažiera ceļošanas datu reģistrs, kurā ir iekļauta informācija, kas vajadzīga, lai rezervējošie un iesaistītie gaisa pārvadātāji varētu veikt katras personas personīgi vai tās vārdā pieteikta ceļojuma rezervācijas apstrādi un kontroli, un kurš iekļauts vai nu rezervācijas sistēmās, izlidošanas kontroles sistēmās (ko izmanto, lai reģistrētu pasažierus lidojumiem), vai līdzvērtīgās sistēmās, kas nodrošina tādas pašas funkcijas;
6) “rezervācijas sistēma” ir gaisa pārvadātāja iekšējā sistēma, kurā darbībām ar rezervāciju tiek vākti PDR dati;
7) ““push” metode” ir metode, saskaņā ar kuru gaisa pārvadātāji nosūta PDR datus, kas uzskaitīti I pielikumā, uz tās iestādes datubāzi, kas tos lūdz;
8) “teroristu nodarījumi” ir valsts tiesību aktos noteiktie nodarījumi, kas minēti Pamatlēmuma [2002/475] 1.–4. pantā;
9) “smagi noziegumi” ir II pielikumā uzskaitītie nodarījumi, par kuriem var piemērot brīvības atņemšanas sodu vai ar brīvības atņemšanu saistītu drošības līdzekli, kura maksimālais ilgums ir vismaz trīs gadi saskaņā ar dalībvalsts tiesību aktiem;
10) “depersonalizēšana ar datu elementu maskēšanu” ir process, ar ko lietotājam padara neredzamus tos datu elementus, ar kuru palīdzību varētu tieši identificēt datu subjektu.
26 PDR direktīvas 4. panta “Pasažieru informācijas nodaļa” 1.–3. punktā ir noteikts:
“1. Katra dalībvalsts izveido vai izraugās iestādi, kas ir kompetenta novērst, atklāt, izmeklēt teroristu nodarījumus un smagus noziegumus vai saukt pie atbildības par tiem, vai šādas iestādes filiāli, lai tā darbotos kā tās “pasažieru informācijas nodaļa” (“PIN”).
2. PIN ir atbildīga par:
a) PDR datu vākšanu no gaisa pārvadātājiem, minēto datu glabāšanu un apstrādi un minēto datu vai to apstrādes rezultātu nosūtīšanu 7. pantā minētajām kompetentajām iestādēm;
b) PDR datu un to apstrādes rezultātu apmaiņu ar citu dalībvalstu PIN un ar Eiropolu saskaņā ar 9. un 10. pantu.
3. Par PIN darbiniekiem var norīkot kompetentu iestāžu darbiniekus. Dalībvalstis PIN piešķir pietiekamus resursus, lai tās varētu pildīt savus pienākumus.”
27 Šīs direktīvas 5. pants “PIN datu aizsardzības inspektors” ir izteikts šādā redakcijā:
“1. PIN ieceļ datu aizsardzības inspektoru, kas atbild par PDR datu apstrādes uzraudzību un attiecīgu aizsardzības pasākumu ieviešanu.
2. Dalībvalstis datu aizsardzības inspektoriem piešķir līdzekļus, kas vajadzīgi efektīvai un neatkarīgai šajā pantā minēto pienākumu un uzdevumu izpildei.
3. Dalībvalstis nodrošina datu subjektam tiesības sazināties ar datu aizsardzības inspektoru kā vienīgo kontaktpersonu visos jautājumos, kas saistīti ar minētā datu subjekta PDR datu apstrādi.”
28 Minētās direktīvas 6. pantā “PDR datu apstrāde” ir noteikts:
“1. Kā paredzēts 8. pantā, gaisa pārvadātāju nosūtītos PDR datus vāc attiecīgās dalībvalsts PIN. Ja gaisa pārvadātāju nosūtītie PDR dati ietver datus, kas nav uzskaitīti I pielikumā, PIN šādus datus pēc saņemšanas tūlīt un neatgriezeniski dzēš.
2. PIN apstrādā PDR datus tikai šādiem mērķiem:
a) veikt pasažieru novērtējumu pirms viņu paredzētās ielidošanas dalībvalstī vai izlidošanas no tās, lai identificētu personas, kuras 7. pantā minētajām kompetentajām iestādēm un attiecīgā gadījumā saskaņā ar 10. pantu Eiropolam ir jāpārbauda sīkāk, ņemot vērā faktu, ka šādas personas var būt iesaistītas teroristu nodarījumā vai smagā noziegumā;
b) katrā gadījumā atsevišķi reaģēt uz pienācīgi motivētu kompetento iestāžu lūgumu, kas ir pietiekami pamatots, sniegt un apstrādāt PDR datus konkrētos gadījumos, lai novērstu, atklātu, izmeklētu teroristu nodarījumus vai smagus noziegumus un sauktu pie atbildības par tiem, un sniegt kompetentajai iestādei vai attiecīgā gadījumā Eiropolam šādas apstrādes rezultātus; un
c) analizēt PDR datus nolūkā atjaunināt vai izstrādāt jaunus kritērijus, kas izmantojami novērtējumos, ko veic saskaņā ar 3. punkta b) apakšpunktu, lai identificētu ikvienu personu, kas var būt iesaistīta teroristu nodarījumā vai smagā noziegumā.
3. Veicot 2. punkta a) apakšpunktā minēto novērtējumu, PIN var:
a) salīdzināt PDR datus ar datubāzēm, kuras paredzētas [ir lietderīgas] nolūkā novērst, atklāt, izmeklēt teroristu nodarījumus un smagus noziegumus un saukt pie atbildības par tiem, tostarp datubāzēm par personām vai objektiem, kuri tiek meklēti vai par kuriem ir izdots brīdinājums saskaņā ar Savienības, starptautiskiem un valsts noteikumiem, ko piemēro šādām datubāzēm; vai
b) apstrādāt PDR datus pēc iepriekš noteiktiem kritērijiem.
4. Pasažieru ikvienu novērtējumu pirms to paredzētās ielidošanas dalībvalstī vai izlidošanas no tās, ko veic saskaņā ar 3. punkta b) apakšpunktā minētajiem iepriekš noteiktajiem kritērijiem, veic nediskriminējošā veidā. Minētajiem iepriekš noteiktajiem kritērijiem ir jābūt mērķorientētiem, samērīgiem un konkrētiem. Dalībvalstis nodrošina, ka PIN nosaka un regulāri pārskata minētos kritērijus sadarbībā ar 7. pantā minētajām kompetentajām iestādēm. Minētie kritēriji nekādā gadījumā nav balstīti uz personas rasi vai etnisko izcelsmi, politiskiem uzskatiem, reliģiju vai filozofisko pārliecību, dalību arodbiedrībās, veselību, seksuālo dzīvi vai dzimumorientāciju.
5. Dalībvalstis nodrošina, lai ikvienu pozitīvo atbilsmi, kas iegūta saskaņā ar 2. punkta a) apakšpunktu veiktas automātiskas PDR datu apstrādes rezultātā, individuāli izskatītu neautomātiskā veidā nolūkā pārbaudīt, vai 7. pantā minētajai kompetentajai iestādei ir jāveic pasākumi saskaņā ar valsts tiesību aktiem.
6. Dalībvalsts PIN saskaņā ar 2. punkta a) apakšpunktu identificēto personu PDR datus vai minēto datu apstrādes rezultātus nosūta turpmākai pārbaudei tās pašas dalībvalsts kompetentajām iestādēm, kas minētas 7. pantā. Šādu nosūtīšanu veic tikai un vienīgi katrā gadījumā atsevišķi un – automātiskas PDR datu apstrādes gadījumā – pēc individuālas [pārskatīšanas neautomatizētā] veidā.
7. Dalībvalstis nodrošina, lai datu aizsardzības inspektoram būtu piekļuve visiem datiem, ko apstrādā PIN. Ja datu aizsardzības inspektors uzskata, ka kādu datu apstrāde nav bijusi likumīga, datu aizsardzības inspektors par šo gadījumu var ziņot valsts uzraudzības iestādei.
[..]
9. Rezultāti, kas iegūti, veicot šā panta 2. punkta a) apakšpunktā minētos pasažieru novērtējumus, neapdraud tādu personu ieceļošanas tiesības, kuras attiecīgās dalībvalsts teritorijā izmanto Savienības tiesības brīvi pārvietoties, kā noteikts Eiropas Parlamenta un Padomes Direktīvā 2004/38/EK [(2004. gada 29. aprīlis) par Savienības pilsoņu un viņu ģimenes locekļu tiesībām brīvi pārvietoties un uzturēties dalībvalstu teritorijā, ar ko groza Regulu (EEK) Nr. 1612/68 un atceļ Direktīvas 64/221/EEK, 68/360/EEK, 72/194/EEK, 73/148/EEK, 75/34/EEK, 75/35/EEK, 90/364/EEK, 90/365/EEK un 93/96/EEK (OV 2004, L 158, 77. lpp.)]. Turklāt tādu novērtējumu rezultātiem, ja tos veic saistībā ar ES iekšējiem lidojumiem starp dalībvalstīm, uz kurām attiecas Eiropas Parlamenta un Padomes Regula (EK) Nr. 562/2006 [(2006. gada 15. marts), ar kuru ievieš Kopienas Kodeksu par noteikumiem, kas reglamentē personu pārvietošanos pār robežām (Šengenas Robežu kodekss) (OV 2006, L 105, 1. lpp.)], ir jāatbilst minētajai regulai.”
29 PDR direktīvas 7. pantā “Kompetentās iestādes” ir noteikts:
“1. Katra dalībvalsts pieņem to kompetento iestāžu sarakstu, kuras ir tiesīgas lūgt vai saņemt no PIN PDR datus vai minēto datu apstrādes rezultātus, lai pārbaudītu šo informāciju tālāk vai lai veiktu atbilstīgu darbību nolūkā novērst, atklāt, izmeklēt teroristu nodarījumus vai smagus noziegumus un saukt pie atbildības par tiem.
2. Šā panta 1. punktā minētās iestādes ir iestādes, kuru kompetencē ir teroristu nodarījumu vai smagu noziegumu novēršana, atklāšana, izmeklēšana vai saukšana pie atbildības par tiem.
[..]
4. PIN saņemtos PDR datus un minēto datu apstrādes rezultātus dalībvalstu kompetentās iestādes var apstrādāt tālāk vienīgi konkrētā nolūkā novērst, atklāt, izmeklēt teroristu nodarījumus vai smagus noziegumus vai saukt pie atbildības par tiem.
5. Šā panta 4. punkts neskar valstu tiesībaizsardzības vai tiesu iestāžu pilnvaras gadījumos, kad šādai apstrādei sekojošās tiesībaizsardzības darbības gaitā tiek atklāti citi noziedzīgi nodarījumi vai norādes uz tiem.
6. Kompetentās iestādes lēmumus, kas personai rada nelabvēlīgas tiesiskās sekas vai būtiski ietekmē personu, nepieņem, pamatojoties vienīgi uz PDR datu automatizētu apstrādi. Šādus lēmumus nepieņem, balstoties uz personas rasi vai etnisko izcelsmi, politiskiem uzskatiem, reliģiju vai filozofisko pārliecību, dalību arodbiedrībās, veselību, seksuālo dzīvi vai dzimumorientāciju.”
30 Šīs direktīvas 8. panta “Gaisa pārvadātāju pienākumi attiecībā uz datu nosūtīšanu” 1.–3. punktā ir noteikts:
“1. Dalībvalstis pieņem nepieciešamos pasākumus, lai nodrošinātu, ka gaisa pārvadātāji nosūta (“push” metode) PDR datus, kas uzskaitīti I pielikumā, tādā apmērā, kādā tie šādus datus jau ir savākuši, veicot savu ikdienas darbu, uz tās dalībvalsts PIN datubāzi, kuras teritorijā lidojumam būs nolaišanās vai no kuras teritorijas lidojumam būs izlidošana. Ja lidojuma kodus kopīgi lieto viens vai vairāki gaisa pārvadātāji, pienākums nosūtīt visu lidojuma pasažieru PDR datus ir tam gaisa pārvadātājam, kas veic lidojumu. Ja ES ārējam lidojumam ir viena vai vairākas starpnosēšanās dalībvalstu lidostās, gaisa pārvadātāji visu pasažieru PDR datus nosūta visu attiecīgo dalībvalstu PIN. Tas attiecas arī uz gadījumiem, kad ES iekšējam lidojumam ir viena vai vairākas starpnosēšanās dažādās dalībvalstīs, taču tikai attiecībā uz dalībvalstīm, kuras vāc PDR datus, ko iegūst no ES iekšējiem lidojumiem.
2. Gadījumā, ja gaisa pārvadātāji ir savākuši jebkādus [IPI datus], kas uzskaitīti I pielikuma 18. punktā, bet minētos datus neglabā ar tādiem pašiem tehniskajiem līdzekļiem kā citus PDR datus, dalībvalstis pieņem nepieciešamos pasākumus, lai nodrošinātu, ka gaisa pārvadātāji nosūta (“push” metode) arī minētos datus uz 1. punktā minēto dalībvalstu PIN. Šādas nosūtīšanas gadījumā visus šīs direktīvas noteikumus piemēro attiecībā uz minētajiem IPI datiem.
3. Gaisa pārvadātāji PDR datus nosūta elektroniski, izmantojot kopīgus protokolus un saderīgus datu formātus, kurus pieņem saskaņā ar pārbaudes procedūru, kas minēta 17. panta 2. punktā, vai, ja tehniskas kļūmes gadījumā tas nav iespējams, ar jebkādiem citiem piemērotiem līdzekļiem, nodrošinot atbilstīgu datu drošības līmeni:
a) 24–48 stundas pirms paredzētā izlidošanas laika; un
b) tūlīt pēc vārtu slēgšanas, proti, pēc tam, kad pasažieri ir iekāpuši gaisa kuģī, kas gatavojas izlidot, un pasažieriem iekāpt vai izkāpt vairs nav iespējams.”
31 Minētās direktīvas 12. pantā “Datu glabāšanas termiņš un depersonalizēšana” ir noteikts:
“1. Dalībvalstis nodrošina, ka PDR datus, ko PIN sniedz gaisa pārvadātāji, uzglabā PIN datubāzē piecus gadus pēc to nosūtīšanas tās dalībvalsts PIN, kuras teritorijā lidojumam ir nolaišanās vai izlidošana.
2. Beidzoties sešu mēnešu termiņam pēc 1. punktā minēto PDR datu nosūtīšanas, visus PDR datus depersonalizē, maskējot šādus datu elementus, ar kuru palīdzību varētu tieši identificēt pasažieri, uz kuru attiecas PDR dati:
a) vārds(‑i), uzvārds(‑i), tostarp citu PDR iekļauto pasažieru vārd[i], uzvārd[i] un PDR iekļauto kopā ceļojošo ceļotāju skait[s];
b) adrese un kontaktinformācija;
c) visu veidu maksājumu informācija, tostarp rēķina nosūtīšanas adrese, ciktāl tajā ir iekļauta jebkāda informācija, kuru varētu izmantot, lai tieši identificētu pasažieri, uz kuru attiecas PDR, vai jebkuru citu personu;
d) bieži lidojošas personas (Frequent Flyer) informācija;
e) vispārējas piezīmes, ciktāl tās satur jebkādu informāciju, kas varētu kalpot, lai tieši identificētu pasažieri, uz kuru attiecas PDR; un
f) visi savāktie IPI dati.
3. Beidzoties 2. punktā minētajam sešu mēnešu termiņam, pilnu PDR datu izpaušana ir atļauta tikai tad, ja:
a) ir pamats uzskatīt, ka tas ir nepieciešams 6. panta 2. punkta b) apakšpunktā minētajos nolūkos; un
b) to ir apstiprinājusi:
i) tiesu iestāde; vai
ii) cita valsts iestāde, kas saskaņā ar valsts tiesību aktiem ir kompetenta pārbaudīt, vai ir izpildīti datu izpaušanas nosacījumi; šādā gadījumā informē PIN datu aizsardzības inspektoru, kurš veic ex post pārskatīšanu.
4. Dalībvalstis nodrošina, ka pēc 1. punktā minētā termiņa beigām PDR datus neatgriezeniski dzēš. Šis pienākums neskar gadījumus, kad konkrēti PDR dati ir nosūtīti kompetentai iestādei un tiek izmantoti saistībā ar konkrētām lietām, lai novērstu, atklātu, izmeklētu teroristu nodarījumus vai smagus noziegumus vai sauktu pie atbildības par tiem, un šajā gadījumā to, kā kompetentā iestāde glabā šādus datus, reglamentē valstu tiesību akti.
5. Šīs direktīvas 6. panta 2. punkta a) apakšpunktā minētās apstrādes rezultātu PIN glabā vienīgi tik ilgi, cik nepieciešams, lai informētu kompetentās iestādes un – saskaņā ar 9. panta 1. punktu – informētu citu dalībvalstu PIN par pozitīvu atbilsmi. Ja automātiskas apstrādes rezultāts pēc tā individuālas pārbaudīšanas ar neautomātiskiem līdzekļiem, kā minēts 6. panta 5. punktā, ir izrādījies negatīvs, to tomēr var glabāt tik ilgi, kamēr saskaņā ar šā panta 4. punktu nav dzēsti tam pamatā esošie dati, nolūkā nepieļaut turpmākas “neapstiprinājušās” pozitīvas atbilsmes.”
32 PDR direktīvas 13. panta “Personas datu aizsardzība” 1.–5. punktā ir noteikts:
“1. Katra dalībvalsts paredz, ka saistībā ar personas datu jebkuru apstrādi saskaņā ar šo direktīvu ikvienam pasažierim ir tādas pašas tiesības uz savu personas datu aizsardzību, tiesības uz piekļuvi, labošanu, dzēšanu un ierobežošanu un tiesības uz kompensāciju un aizsardzību tiesā, kā noteikts Savienības un valsts tiesību aktos un atbilstīgi Pamatlēmuma [2008/977] 17., 18., 19. un 20. panta īstenošanai. Tādējādi minētie panti ir piemērojami.
2. Katra dalībvalsts paredz, ka noteikumus, kas pieņemti saskaņā ar valsts tiesību aktiem, īstenojot Pamatlēmuma [2008/977] 21. un 22. pantu, attiecībā uz apstrādes konfidencialitāti un datu drošību, piemēro arī jebkurai personas datu apstrādei saskaņā ar šo direktīvu.
3. Šī direktīva neskar Eiropas Parlamenta un Padomes Direktīvas [95/46] piemērojamību personas datu apstrādei, ko veic gaisa pārvadātāji, jo īpaši to pienākumus veikt piemērotus tehniskus un organizatoriskus pasākumus personas datu drošības un konfidencialitātes nodrošināšanai.
4. Dalībvalstis aizliedz PDR datu apstrādi, kuras rezultātā tiek atklāta personas rase vai etniskā izcelsme, politiskie uzskati, reliģija vai filozofiskā pārliecība, dalība arodbiedrībā, veselība, seksuālā dzīve vai dzimumorientācija. Ja PIN saņem PDR datus, kas atklāj šādu informāciju, tos nekavējoties dzēš.
5. Dalībvalstis nodrošina, ka PIN saglabā dokumentāciju, kas saistīta ar visām tām apstrādes sistēmām un procedūrām, par kurām tā ir atbildīga. Šādā dokumentācijā ir ietverts vismaz:
a) organizācijas nosaukums un kontaktinformācija, PIN darbinieki, kuriem ir uzticēta PDR datu apstrāde, un atšķirīgie piekļuves atļaujas līmeņi;
b) lūgumi no citu dalībvalstu kompetentajām iestādēm un PIN;
c) visi lūgumi par PDR datu nosūtīšanu un to nosūtīšana uz trešo valsti.
PIN pēc pieprasījuma visu dokumentāciju dara pieejamu valsts uzraudzības iestādei.”
33 Šīs direktīvas 15. pantā “Valsts uzraudzības iestāde” ir noteikts:
“1. Katra dalībvalsts paredz, ka valsts uzraudzības iestāde, kas minēta Pamatlēmuma [2008/977] 25. pantā, ir atbildīga par konsultēšanu un uzraudzību pār to, kā tās teritorijā tiek piemēroti noteikumi, ko dalībvalstis ir pieņēmušas, ievērojot šo direktīvu. Piemēro [minētā pamatlēmuma] 25. pantu.
2. Minētās valsts uzraudzības iestādes veic 1. punktā paredzētās darbības, lai aizsargātu pamattiesības saistībā ar personas datu apstrādi.
3. Katra valsts uzraudzības iestāde:
a) izskata ikviena datu subjekta iesniegtas sūdzības, izmeklē attiecīgās lietas un saprātīgā termiņā informē datu subjektus par viņu iesniegto sūdzību izskatīšanas gaitu un rezultātu;
b) pēc savas iniciatīvas vai pamatojoties uz a) apakšpunktā minēto sūdzību, saskaņā ar valsts tiesību aktiem pārbauda datu apstrādes likumību, veic izmeklēšanu, pārbaudes un revīzijas.
4. Katra valsts uzraudzības iestāde pēc pieprasījuma konsultē ikvienu datu subjektu par to tiesību izmantošanu, kuras noteiktas saskaņā ar šo direktīvu pieņemtajos noteikumos.”
34 Minētās direktīvas 19. pantā “Pārskatīšana” ir paredzēts:
“1. Pamatojoties uz dalībvalstu sniegto informāciju, tostarp 20. panta 2. punktā minēto statistikas informāciju, Komisija līdz 2020. gada 25. maijam pārskata visus šīs direktīvas elementus un iesniedz ziņojumu Eiropas Parlamentam un Padomei un iepazīstina ar to.
2. Veicot pārskatīšanu, Komisija īpašu uzmanību pievērš:
a) piemērojamo personas datu aizsardzības standartu ievērošanai;
b) tam, vai PDR datu vākšana un apstrāde ir nepieciešama un samērīga attiecībā uz katru no šajā direktīvā noteiktajiem mērķiem;
c) datu glabāšanas termiņa ilgumam;
d) informācijas apmaiņas efektivitātei starp dalībvalstīm; un
e) novērtējumu kvalitātei, tostarp attiecībā uz statistikas informāciju, kas vākta, ievērojot 20. pantu.
3. Šā panta 1. punktā minētajā ziņojumā pārskata arī to, vai būtu nepieciešami, samērīgi un iedarbīgi šīs direktīvas darbības jomā iekļaut PDR datu obligātu vākšanu un nosūtīšanu attiecībā uz visiem vai izvēlētiem ES iekšējiem lidojumiem. Komisija ņem vērā pieredzi, kas gūta dalībvalstīs, it īpaši tajās dalībvalstīs, kuras saskaņā ar 2. pantu piemēro šo direktīvu ES iekšējiem lidojumiem. Šajā ziņojumā arī izvērtē nepieciešamību šīs direktīvas darbības jomā iekļaut ekonomikas dalībniekus, kas nav pārvadātāji, piemēram, ceļojumu aģentūras un tūrisma operatorus, kas sniedz ar ceļojumiem saistītus pakalpojumus, tostarp rezervē lidojumus.
4. Ņemot vērā minēto pārskatīšanu, kas veikta saskaņā ar šo pantu, Komisija vajadzības gadījumā iesniedz Eiropas Parlamentam un Padomei leģislatīvā akta priekšlikumu, ar ko paredz grozīt šo direktīvu.”
35 Šīs pašas direktīvas 21. panta “Saistība ar citiem instrumentiem” 2. punktā ir noteikts:
“Šī direktīva neskar Direktīvas [95/46] piemērojamību personas datu apstrādei, ko veic gaisa pārvadātāji.”
36 PDR direktīvas I pielikumā “Pasažieru reģistra dati, ciktāl tos vāc gaisa pārvadātāji” ir noteikts:
“1. PDR ieraksta rādītājs
2. Rezervācijas / biļetes izsniegšanas datums
3. Paredzētā ceļojuma datums(‑i)
4. Vārds(‑i), uzvārds(‑i)
5. Adrese un kontaktinformācija (tālruņa numurs, e‑pasta adrese)
6. Visu veidu maksājumu informācija, tostarp rēķina nosūtīšanas adrese
7. Informācija par visu konkrētajam PDR atbilstīgā ceļojuma maršrutu
8. Bieži lidojošas personas (Frequent Flyer) informācija
9. Ceļojuma aģentūra / ceļojuma aģents
10. Pasažiera statuss ceļojuma laikā, tostarp lidojuma apstiprinājumi, reģistrēta pasažiera statuss, informācija par neierašanos uz lidojumu (no show) vai ierašanos uz lidojumu bez iepriekšējas rezervācijas (go show)
11. PDR dati par atdalītajām rezervācijām
12. Vispārīgas piezīmes (tostarp visa pieejamā informācija par nepilngadīgajiem, kuri jaunāki par 18 gadiem un kuri ceļo bez pavadoņa, piemēram, nepilngadīgā vārds, uzvārds un dzimums, vecums, valoda(‑as), kādā(‑ās) viņš runā, personas, kas nepilngadīgo pavada pie izlidošanas, vārds un kontaktinformācija, kā arī radniecība ar nepilngadīgo, personas, kas nepilngadīgo sagaida pie atlidošanas, vārds un kontaktinformācija, kā arī radniecība ar nepilngadīgo, darbinieks, kas pavada pie izlidošanas un ielidošanas)
13. Dati par biļetes izdošanu, tostarp biļetes numurs, biļetes izdošanas datums un vienvirziena biļetes, automātiskie biļetes tarifa (Automated Ticket Fare Quote) lauki
14. Sēdvietas numurs un cita informācija par sēdvietu
15. Informācija par koplietošanas kodiem (code share)
16. Visa informācija par bagāžu
17. Citu tā paša PDR ceļotāju skaits un vārdi, uzvārdi
18. Visi savāktie iepriekšējās pasažieru informācijas (IPI) dati (tostarp identitātes dokumenta veids, numurs, izdevējvalsts un derīguma termiņš, valstspiederība, uzvārds, vārds, dzimums, dzimšanas datums, aviokompānija, lidojuma numurs, izlidošanas datums, ierašanās datums, izlidošanas lidosta, ierašanās lidosta, izlidošanas laiks un ierašanās laiks)
19. Visas vēsturiskās izmaiņas PDR datos, kas uzskaitīti 1.–18. punktā.”
37 Šīs direktīvas II pielikums “3. panta 9. punktā minēto nodarījumu saraksts” ir izteikts šādā redakcijā:
“1. dalība noziedzīgā organizācijā,
2. cilvēku tirdzniecība,
3. bērnu seksuāla izmantošana un bērnu pornogrāfija,
4. narkotisku un psihotropu vielu nelikumīga tirdzniecība,
5. ieroču, munīcijas un sprāgstvielu nelikumīga tirdzniecība,
6. korupcija,
7. krāpniecība, tostarp tāda, kas skar Savienības finanšu intereses,
8. noziedzīgi iegūtu līdzekļu legalizēšana un naudas, tostarp euro, viltošana,
9. datornoziedzība/kibernoziedzība,
10. noziegumi pret vidi, tostarp apdraudētu dzīvnieku un augu sugu un šķirņu nelikumīga tirdzniecība,
11. nelikumīgas ieceļošanas un uzturēšanās veicināšana,
12. slepkavība, smagi miesas bojājumi,
13. cilvēku orgānu un audu nelikumīga tirdzniecība,
14. personu nolaupīšana, nelikumīga brīvības atņemšana un ķīlnieku sagrābšana,
15. organizēta un bruņota laupīšana,
16. kultūras priekšmetu, tostarp senlietu un mākslas darbu, nelikumīga tirdzniecība,
17. izstrādājumu viltošana un pirātisms,
18. administratīvu dokumentu viltošana un to nelikumīga tirdzniecība,
19. hormonu un citu augšanas stimulatoru nelikumīga tirdzniecība,
20. kodolmateriālu vai radioaktīvu materiālu nelikumīga tirdzniecība,
21. izvarošana,
22. noziegumi, kuri ir Starptautiskās Krimināltiesas jurisdikcijā,
23. gaisa kuģu / kuģu sagrābšana,
24. sabotāža,
25. zagtu transportlīdzekļu tirdzniecība,
26. rūpnieciskā spiegošana.”
7. Pamatlēmums 2002/475
38 Pamatlēmuma 2002/475 1. pantā tika definēts jēdziens “teroristu nodarījums”, uzskaitot virkni tīšu darbību, kas minētas tā paša panta [1. punkta] a)–i) apakšpunktā un kas ir izdarītas ar mērķi “nopietni iebiedēt iedzīvotājus”, “nepiemēroti piespiest valdību vai starptautisku organizāciju veikt jebkādu darbību vai atturēties no tās” vai “nopietni destabilizēt vai sagraut valsts vai starptautiskas organizācijas politiskās, konstitucionālās, ekonomiskās vai sociālās pamatstruktūras”. Šā pamatlēmuma 2. un 3. pantā attiecīgi tika definēti jēdzieni “pārkāpumi, kas saistīti ar teroristu grupu” un “nodarījumi, kas saistīti ar teroristu darbībām”. Minētā pamatlēmuma 4. pantā tika reglamentēta kriminālatbildība par kūdīšanu, atbalstīšanu vai līdzdalību un mēģinājumu izdarīt šādus nodarījumus.
39 Pamatlēmums 2002/475 tika atcelts ar Eiropas Parlamenta un Padomes Direktīvu (ES) 2017/541 (2017. gada 15. marts) par terorisma apkarošanu un ar ko aizstāj Padomes Pamatlēmumu [2002/475] un groza Padomes Lēmumu 2005/671/TI (OV 2017, L 88, 6. lpp.), kuras 3.–14. pantā ir analogas definīcijas.
B. Beļģijas tiesības
1. Konstitūcija
40 Konstitūcijas 22. pantā ir noteikts:
“Ikvienam ir tiesības uz privātās un ģimenes dzīves neaizskaramību, izņemot likumā noteiktos gadījumos un apstākļos.
Likums, dekrēts vai noteikums, kas minēts 134. pantā, garantē šo tiesību aizsardzību.”
2. 2016. gada 25. decembra likums
41 2016. gada 25. decembra loi relative au traitement des données des passagers (Likums par pasažieru datu apstrādi, 2017. gada 25. janvāra Moniteur belge, 12905. lpp.; turpmāk tekstā – “2016. gada 25. decembra likums”) 2. pants ir izteikts šādi:
“Ar šo likumu un karaļa dekrētiem, kas tiks izdoti, izpildot šo likumu, tiek transponēta [IPI direktīva] un [PDR direktīva]. Ar šo likumu un karaļa dekrētu par jūrniecības nozari daļēji tiek transponēta Direktīva [2010/65].”
42 Šā likuma 3. pantā ir noteikts:
“1. § Šajā likumā ir noteikti pārvadātāju un tūrisma operatoru pienākumi saistībā ar tādu pasažieru datu nosūtīšanu, kas ierodas vai izceļo no valsts teritorijas, vai to šķērso.
2. § Karalis ar Ministru padomes apstiprinātu dekrētu katrai transporta nozarei un tūrisma operatoriem nosaka nosūtāmos pasažieru datus un to nosūtīšanas kārtību pēc Privātuma aizsardzības komisijas atzinuma.”
43 Minētā likuma 4. pantā ir paredzēts:
“Šā likuma un tā izpildes rīkojumu piemērošanas nolūkā piemēro šādas definīcijas:
[..]
8° “kompetentie dienesti”: dienesti, kas minēti 14. panta 1. punkta 2. apakšpunktā;
9° “PDR”: ikviena pasažiera ceļošanas datu reģistrs, kurā ir iekļauta 9. pantā paredzētā informācija, kas vajadzīga, lai pārvadātāji un tūrisma operatori, kas veic rezervācijas, varētu veikt katras personas personīgi vai tās vārdā pieteikta ceļojuma rezervācijas apstrādi un kontroli, kura ir iekļauta vai nu rezervācijas sistēmās, izlidošanas kontroles sistēmās (ko izmanto pasažieru kontrolei, lai reģistrētu pasažierus lidojumiem), vai līdzvērtīgās sistēmās, kas nodrošina tādas pašas funkcijas;
10° “pasažieris”: jebkura persona, tostarp personas, kas ir transfēra vai tranzīta pasažieri, bet izņemot apkalpes locekļus, ko pārvadā vai pārvadās gaisa pārvadātājs ar pēdējā piekrišanu, kas izpaužas kā minētās personas reģistrēšana pasažieru sarakstā;
[..].”
44 2016. gada 25. decembra likuma 8. pantā ir noteikts:
“1. § Pasažieru datus apstrādā šādos nolūkos:
1° izmeklēšana un kriminālvajāšana, ieskaitot ar brīvības atņemšanu saistīto sodu vai brīvību ierobežojošu pasākumu īstenošanu attiecībā uz noziedzīgiem nodarījumiem, kas paredzēti Code d’instruction criminelle [Kriminālprocesa kodeksa] 90.ter panta 2. punkta [..] 7., [..] 8., [..] 11., [..] 14., [..] 17., 18. un 19. apakšpunktā un 3. punktā;
2° izmeklēšana un kriminālvajāšana, ieskaitot ar brīvības atņemšanu saistīto sodu vai brīvību ierobežojošu pasākumu īstenošanu attiecībā uz noziedzīgiem nodarījumiem, kas minēti Kriminālkodeksa 196. pantā attiecībā uz dokumentu viltošanu, 198., 199., 199.bis, 207., 213., 375. un 505. pantā;
[..]
4° to darbību uzraudzība, kas minētas 1998. gada 30. novembra loi organique des services de renseignement et de sécurité [Konstitutīvā likuma par izlūkošanas un drošības dienestiem] 7. panta 1. un 3/1. punktā un 11. panta 1. punkta 1.–3. un 5. apakšpunktā;
5° izmeklēšana un kriminālvajāšana par pārkāpumiem, kas minēti 1977. gada 18. jūlija loi générale sur les douanes et accises [Vispārējā likuma par muitu un akcīzes nodokļiem] 220. panta 2. punktā un 2009. gada 22. decembra loi relative au régime général d’accise [Likuma par vispārējo akcīzes nodokļu sistēmu] 45. panta trešajā daļā [..].
2. § Saskaņā ar 11. nodaļā paredzētajiem nosacījumiem pasažieru dati tiek apstrādāti arī nolūkā uzlabot personu kontroli pie ārējām robežām un nelegālās imigrācijas apkarošanai.”
45 Saskaņā ar šā likuma 14. panta 1. punktu:
“PIN sastāv no:
[..]
2° darbiniekiem, kas norīkoti no šādiem kompetentajiem dienestiem:
a) policijas dienestiem, kas minēti 1998. gada 7. decembra loi organisant un service de police intégré, structuré à deux niveaux [Likumā, ar ko organizē integrētu policijas dienestu, kura struktūra ir divos līmeņos];
b) Valsts drošības dienesta, kas minēts 1998. gada 30. novembra loi organique des services de renseignement et de sécurité [Pamatlikumā par izlūkošanas un drošības dienestiem];
c) Vispārējā izlūkošanas un drošības dienesta, kas minēts 1998. gada 30. novembra Pamatlikumā par izlūkošanas un drošības dienestiem;
[..].”
46 Minētā likuma 24. pants, kas ietverts šā likuma 10. nodaļas par datu apstrādi 1. iedaļā “Pasažieru datu apstrāde saistībā ar pasažieru iepriekšēju novērtēšanu”, ir formulēts šādi:
“1. § Pasažieru dati tiek apstrādāti, lai veiktu iepriekšēju pasažieru novērtējumu pirms to ierašanās, izceļošanas vai tranzīta, kas paredzēts valsts teritorijā, lai noteiktu, kurām personām ir jāveic padziļināta pārbaude.
2. § Saistībā ar 8. panta 1. punkta 1., 4. un 5. apakšpunktā minētajiem mērķiem vai saistībā ar 1998. gada 30. novembra Pamatlikuma par izlūkošanas un drošības dienestiem 8. panta 1. punkta a), b), c), d), f) un g) apakšpunktā un 11. panta 2. punktā minētajiem draudiem pasažieru iepriekšēja novērtēšana pamatojas uz pozitīvu atbilstību, kas izriet no pasažieru datu atbilstības:
1° datubāzēm, ko pārvalda kompetentie dienesti vai kas tiem ir tieši pieejamas, vai kam tie var piekļūt, pildot savus pienākumus, vai ar personu sarakstiem, kurus izveidojuši kompetentie dienesti, pildot savus pienākumus;
2° PIN iepriekš noteiktiem vērtēšanas kritērijiem, kas minēti 25. pantā.
3. § Saistībā ar 8. panta 1. punkta 3. apakšpunktā minētajiem mērķiem pasažieru iepriekšēja novērtēšana pamatojas uz pozitīvu atbilsmi, kas izriet no pasažieru datu atbilstības 2. punkta 1. apakšpunktā minētajām datubāzēm.
4. § PIN apstiprina pozitīvo atbilsmi 24 stundu laikā pēc automātiskā paziņojuma saņemšanas par pozitīvo atbilsmi.
5. § No šāda apstiprinājuma brīža kompetentais dienests, kas ir šīs pozitīvās atbilsmes avots, pēc iespējas drīzāk veic atbilstošus pasākumus.”
47 2016. gada 25. decembra likuma 11. nodaļā “Pasažieru datu apstrāde, lai uzlabotu robežkontroli un cīņu pret nelegālo imigrāciju” ir ietverts šā likuma 28.–31. pants.
48 Šā likuma 28. pantā ir noteikts:
“1. § Šo nodaļu piemēro attiecībā uz pasažieru datu apstrādi, ko veic policijas dienesti, kuri ir atbildīgi par robežkontroli, un Office des étrangers [Ārvalstnieku birojs], lai uzlabotu personu pārbaudes pie ārējām robežām un apkarotu nelegālo imigrāciju.
2. § Tas neskar par robežkontroli atbildīgo policijas dienestu un Ārvalstnieku biroja pienākumus nosūtīt personas datus vai informāciju saskaņā ar normatīvajiem aktiem.”
49 Saskaņā ar minētā likuma 29. pantu:
“1. § Šā likuma 28. panta 1. punktā minētajos nolūkos pasažieru datus nosūta policijas dienestiem, kas atbild par robežkontroli, un Ārvalstnieku birojam, lai tie varētu veikt savus likumīgos pienākumus, ievērojot šajā pantā noteiktos ierobežojumus.
2. § Tiek nosūtīti tikai 9. panta 1. punkta 18. apakšpunktā minētie pasažieru dati, kas attiecas uz šādām pasažieru kategorijām:
1° pasažieri, kuri vēlas ieceļot vai kuri ir ieceļojuši teritorijā, šķērsojot Beļģijas ārējās robežas;
2° pasažieri, kuri vēlas izceļot vai kuri ir izceļojuši no teritorijas, šķērsojot Beļģijas ārējās robežas;
3° pasažieri, kuri ir iecerējuši šķērsot starptautisku tranzīta zonu Beļģijā, atrodas tajā vai arī ir to šķērsojuši.
3. § Pasažieru dati, kas minēti 2. punktā, tūlīt pēc to reģistrācijas pasažieru datubāzē tiek nosūtīti policijas dienestiem, kas atbild par Beļģijas ārējo robežu kontroli. Tie saglabā šos datus pagaidu datnē un iznīcina tos divdesmit četru stundu laikā pēc to nosūtīšanas.
4. § Ja tas ir nepieciešams likumā noteikto uzdevumu izpildei, 2. punktā minētos pasažieru datus tūlīt pēc to reģistrācijas pasažieru datubāzē nosūta Ārvalstnieku birojam. Tas saglabā šos datus pagaidu datnē un iznīcina tos divdesmit četru stundu laikā pēc to nosūtīšanas.
Ārvalstnieku birojs iesniedz PIN pienācīgi pamatotu piekļuves pieteikumu, ja šā termiņa beigās piekļuve 2. punktā minētajiem pasažieru datiem ir nepieciešama, īstenojot tā likumiskos uzdevumus.
[..]”
50 Ar 2017. gada 18. jūlija Karaļa dekrētu par 2016. gada 25. decembra likuma izpildi, norādot aviosabiedrību pienākumus (2017. gada 28. jūlija Moniteur belge, 75934. lpp.), ar 2019. gada 3. februāra Karaļa dekrētu par 2016. gada 25. decembra likuma īstenošanu, nosakot pienākumus HST pārvadātājiem un HST biļešu izplatītājiem (2019. gada 12. februāra Moniteur belge, 13018. lpp.), un ar 2019. gada 3. februāra Karaļa dekrētu par 2016. gada 25. decembra likuma īstenošanu, tostarp par pienākumiem pārvadātājiem ar autobusu (2019. gada 12. februāra Moniteur belge, 13023. lpp.), 2016. gada 25. decembra likums tika attiecināts attiecīgi uz aviosabiedrībām, pārvadātājiem, kas sniedz starptautiskos pasažieru pārvadājumus (HST pārvadātāji), un ceļojumu starpniekiem, kuriem ir līgums ar šiem pārvadātājiem (HST biļešu izplatītāji), kā arī uz pārvadātājiem ar autobusu.
II. Pamatlieta un prejudiciālie jautājumi
51 Ar 2017. gada 24. jūlija pieteikumu Ligue des droits humains vērsās Cour constitutionnelle (Konstitucionālā tiesa, Beļģija) ar prasību, lūdzot pilnībā vai daļēji atcelt 2016. gada 25. decembra likumu.
52 Iesniedzējtiesa norāda, ka ar šo likumu valsts tiesībās ir transponēta PDR direktīva un IPI direktīva, kā arī daļēji Direktīva 2010/65. No minētā likuma sagatavošanas darbiem izriet, ka tā mērķis ir “izveidot tiesisko regulējumu, lai noteiktu pienākumu dažādām starptautisko pasažieru pārvadājumu nozarēm (gaisa, dzelzceļa, jūras un starptautiskā ceļu transporta), kā arī tūrisma operatoriem nosūtīt savu pasažieru datus uz datubāzi, ko pārvalda [Service public fédéral intérieur (Federālais valsts iekšlietu dienests, Beļģija)]”. Valsts likumdevējs esot arī precizējis, ka 2016. gada 25. decembra likuma mērķi iedalāmi trijās kategorijās, proti, pirmkārt, noziedzīgu nodarījumu novēršana, atklāšana, izmeklēšana un saukšana pie atbildības par tiem vai kriminālsodu izpilde, otrkārt, izlūkošanas un drošības dienestu uzdevumi un, treškārt, ārējo robežu kontroles uzlabošana un cīņa pret nelegālo imigrāciju.
53 Prasības pamatojumam Ligue des droits humains izvirza divus pamatus, no kuriem pirmais ir balstīts uz to, ka ir pārkāpts Konstitūcijas 22. pants, lasot to kopsakarā ar VDAR 23. pantu, Hartas 7. un 8. pantu un 52. panta 1. punktu, kā arī ECPAK 8. pantu, un otrais, pakārtoti izvirzītais, ir balstīts uz šā 22. panta, lasot to kopsakarā ar LES 3. panta 2. punktu un Hartas 45. pantu, pārkāpumu.
54 Ar pirmo pamatu Ligue des droits humains pēc būtības apgalvo, ka šis likums rada iejaukšanos tiesībās uz privātās dzīves neaizskaramību un personas datu aizsardzību, kas neatbilst Hartas 52. panta 1. punktam un it īpaši samērīguma principam. Faktiski minētā likuma piemērošanas joma un savākto datu, kas varētu atklāt sensitīvu informāciju, definīcija esot pārāk plaša. Līdzīgi arī jēdziens “pasažieris” tā paša likuma izpratnē ļaujot sistemātiski un bezmērķīgi automatizēti apstrādāt visu pasažieru datus. Turklāt nav pietiekami skaidri noteikts iepriekšējās pārbaudes (prescreening) metodes raksturs un veids, kā arī datubāzes, ar kurām šos datus pēc nosūtīšanas salīdzina. Turklāt 2016. gada 25. decembra likums ir vērsts uz citiem mērķiem, nevis PDR direktīvas mērķiem. Visbeidzot – šajā likumā paredzētais piecu gadu termiņš minēto datu glabāšanai esot nesamērīgs.
55 Ar otro pamatu, kas vērsts pret 2016. gada 25. decembra likuma 3. panta 1. punktu, 8. panta 2. punktu un 28.–31. pantu, Ligue des droits humains apgalvo, ka, PDR direktīvā paredzēto sistēmu attiecinot arī uz pārvadājumiem Savienības iekšienē, šo normu sekas ir netieši atjaunot kontroli pie iekšējām robežām, un tas ir pretrunā personu pārvietošanās brīvībai. Proti, tiklīdz persona atrodas Beļģijas teritorijā, neatkarīgi no tā, vai tā ierodas, izbrauc vai piestāj, tās dati tiek automātiski ievākti.
56 Conseil des ministres apstrīd šo argumentāciju. It īpaši tā uzskata, ka pirmais pamats ir nepieņemams, ciktāl tas attiecas uz VDAR, kas nav piemērojama 2016. gada 25. decembra likumam. Turklāt minētajā likumā paredzētā datu apstrāde saskaņā ar PDR direktīvu esot būtisks instruments, citastarp saistībā ar cīņu pret terorismu un smagiem noziegumiem, un no minētā likuma izrietošie pasākumi esot nepieciešami, lai sasniegtu izvirzītos mērķus, kas ir samērīgi.
57 Attiecībā uz pirmo pamatu iesniedzējtiesa vispirms apšauba VDAR paredzētās aizsardzības piemērojamību datu apstrādei, kas ieviesta ar 2016. gada 25. decembra likumu, ar kuru galvenokārt ir paredzēts īstenot PDR direktīvu. Pēc tam šī tiesa, atsaucoties uz judikatūru, kas izriet no 2017. gada 26. jūlija Atzinuma 1/15 (ES un Kanādas PDR nolīgums) (EU:C:2017:592), norāda, ka PDR datu definīcija, kas ietverta šīs direktīvas 3. panta 5. punktā, kā arī I pielikumā, varētu, pirmkārt, nebūt pietiekami skaidra un precīza, ņemot vērā to, ka daži no šiem datiem šajos noteikumos nav izsmeļoši aprakstīti, un, otrkārt, netieši izraisīt sensitīvu datu izpaušanu. Turklāt minētās direktīvas 3. panta 4. punktā ietvertā “pasažiera” jēdziena definīcija varētu būt tāda, ka PDR datu vākšana, pārsūtīšana, apstrāde un saglabāšana ir vispārējs un nediskriminējošs pienākums, kas attiecas uz jebkuru personu, kura tiek vai tiks pārvadāta un iekļauta pasažieru sarakstā, neatkarīgi no tā, vai ir nopietns pamats uzskatīt, ka šī persona ir izdarījusi vai gatavojas izdarīt noziedzīgu nodarījumu vai ir atzīta par vainīgu noziedzīga nodarījuma izdarīšanā.
58 Turklāt minētā tiesa norāda, ka saskaņā ar PDR direktīvas noteikumiem PDR dati tiek sistemātiski pakļauti iepriekšējam novērtējumam, kas ietver salīdzināšanu ar iepriekš izveidotām datubāzēm vai kritērijiem, lai noteiktu atbilsmi. Tomēr Eiropas Padomes Konvencijas Nr. 108 Konsultatīvā komiteja 2016. gada 19. augusta atzinumā par pasažieru datu apstrādes ietekmi uz datu aizsardzību (T‑PD(2016)18rev) esot norādījusi, ka personas datu apstrāde attiecas uz visiem pasažieriem, nevis tikai uz personām, kuras tiek turētas aizdomās par iesaistīšanos noziedzīgā nodarījumā vai rada tiešus draudus valsts drošībai vai sabiedriskajai kārtībai, un ka PDR datus var ne tikai salīdzināt (data matching) ar datubāzēm, bet arī apstrādāt izpētes ceļā (data mining), izmantojot selektorus vai prognozēšanas algoritmus, lai identificētu personas, kas varētu būt iesaistītas noziedzīgās darbībās vai tās veikt, jo šāds pasažieru novērtējums, izmantojot datu salīdzināšanu, var radīt jautājumus par paredzamību, it īpaši tad, ja to veic, pamatojoties uz prognozēšanas algoritmiem, kuros izmanto dinamiskus kritērijus, kuri var nepārtraukti mainīties saskaņā ar to pašmācīšanās spējām. Šajā kontekstā iesniedzējtiesa uzskata – lai gan saskaņā ar 2017. gada 26. jūlija Atzinumu 1/15 (ES un Kanādas PDR nolīgums) (EU:C:2017:592) iepriekš noteiktajiem riska profilu noteikšanas kritērijiem ir jābūt konkrētiem, uzticamiem un nediskriminējošiem, šķiet, ka tehniski nav iespējams sīkāk definēt šos kritērijus.
59 Attiecībā uz PDR direktīvas 12. pantā paredzēto piecu gadu uzglabāšanas termiņu un piekļuvi datiem šī tiesa norāda, ka Commission de la protection de la vie privée (Privātuma aizsardzības komisija, Beļģija) 2010. gada 13. janvāra Pašiniciatīvas atzinumā Nr. 01/2010 par likumprojektu, ar kuru tiek apstiprināts ES un ASV PDR nolīgums, uzskatīja, ka tad, ja glabāšanas termiņš ir ilgs un dati tiek uzglabāti masveidā, palielinās attiecīgo personu profilēšanas risks, kā arī risks, ka šie dati tiks ļaunprātīgi izmantoti citiem mērķiem, nevis sākotnēji paredzētajiem. Turklāt no Eiropas Padomes Konvencijas Nr. 108 Konsultatīvās komitejas 2016. gada 19. augusta atzinuma izriet, ka maskētos datus joprojām var izmantot, lai identificētu personas, un tādējādi tie joprojām ir personas dati, un to uzglabāšana ir jāierobežo laikā, lai novērstu plašu pastāvīgu uzraudzību.
60 Šādos apstākļos, ņemot vērā judikatūru, kas izriet it īpaši no 2017. gada 26. jūlija Atzinuma 1/15 (ES un Kanādas PDR nolīgums) (EU:C:2017:592), iesniedzējtiesa jautā, vai PDR direktīvā noteiktā PDR datu vākšanas, pārsūtīšanas, apstrādes un uzglabāšanas sistēma var tikt uzskatīta par tādu, kurā ir ievērotas absolūti nepieciešamā robežas. Šī tiesa uzskata, ka ir arī jānoskaidro, vai šī direktīva nepieļauj tādu valsts tiesisko regulējumu, ar kuru tiek atļauta PDR datu apstrāde citiem mērķiem, kas nav paredzēti minētajā direktīvā, un vai visu šo datu izpaušanu pēc to depersonalizācijas saskaņā ar tās pašas direktīvas 12. pantu varētu apstiprināt tāda valsts iestāde kā PIN, kas izveidota ar 2016. gada 25. decembra likumu.
61 Attiecībā uz otro pamatu iesniedzējtiesa norāda, ka šā likuma 3. panta 1. punktā ir paredzēti pārvadātāju un ceļojumu operatoru pienākumi attiecībā uz tādu pasažieru datu nosūtīšanu, kas “ieceļo, izceļo un šķērso valsts teritoriju”. Attiecībā uz minētā likuma piemērošanas jomu šī tiesa piebilst, ka valsts likumdevējs ir nolēmis “iekļaut datu vākšanā Savienības iekšējos pārvadājumus”, lai iegūtu “pilnīgāku priekšstatu par to pasažieru pārvietošanos, kas rada iespējamu apdraudējumu Kopienas un valsts drošībai”, kas ir paredzēts PDR direktīvas 2. pantā, lasot to kopsakarā ar tās 10. apsvērumu, attiecībā uz Savienības iekšējiem lidojumiem. Turklāt minētā tiesa precizē, ka Privātuma aizsardzības komisija 2015. gada 16. decembra Atzinumā Nr. 55/2015 par provizorisko likumprojektu, kas ir 2016. gada 25. decembra likuma pirmsākums, apšaubīja iespējamo pretrunu starp Beļģijas PDR sistēmu un personu brīvas pārvietošanās principu, ciktāl šī sistēma ietver pārvadājumus, kas tiek veikti Savienības teritorijā.
62 Šādos apstākļos Cour constitutionnelle (Konstitucionālā tiesa) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
1) Vai [VDAR] 23. pants, to skatot kopsakarā ar šīs regulas 2. panta 2. punkta d) apakšpunktu, ir jāinterpretē tādējādi, ka tas ir piemērojams tādiem valsts tiesību aktiem kā [2016. gada 25. decembra likums], ar ko transponē [PDR direktīvu], kā arī [IPI direktīvu] un Direktīvu [2010/65]?
2) Vai [PDR direktīvas] I pielikums ir saderīgs ar [Hartas] 7. un 8. pantu un 52. panta 1. punktu, ciktāl tajā uzskaitītie dati ir ļoti plaši – it īpaši dati, kas minēti [šīs direktīvas] I pielikuma 18. punktā un kas pārsniedz [IPI direktīvas] 3. panta 2. punktā minētos datus, – un ciktāl, tos aplūkojot kopā, tie varētu atklāt sensitīvus datus un attiecīgi pārkāptu “absolūti nepieciešamā” robežas?
3) Vai [PDR direktīvas] I pielikuma 12. un 18. punkts ir saderīgs ar [Hartas] 7. un 8. pantu un 52. panta 1. punktu, ciktāl, ņemot vērā tajā lietoto jēdzienu “tostarp”, tajos paredzētie dati ir minēti kā piemēri un nav izsmeļoši, tādējādi neievērojot prasību nodrošināt precizitāti un skaidrību noteikumiem, kas rada iejaukšanos tiesībās uz privātās dzīves neaizskaramību un tiesībās uz personas datu aizsardzību?
4) Vai [PDR direktīvas] 3. panta 4. punkts un tās pašas direktīvas I pielikums ir saderīgi ar [Hartas] 7. un 8. pantu un 52. panta 1. punktu, ciktāl šajās tiesību normās noteiktā pasažieru datu savākšanas, nosūtīšanas un apstrādes sistēma attiecas uz jebkuru personu, kura izmanto attiecīgo transportlīdzekli, neatkarīgi no jebkādiem objektīviem pierādījumiem, kas ļautu uzskatīt, ka šī persona var radīt risku sabiedrības drošībai?
5) Vai [PDR direktīvas] 6. pants, to skatot kopsakarā ar [Hartas] 7. un 8. pantu un 52. panta 1. punktu, ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu kā apstrīdētais likums, kurā kā PDR datu apstrādes mērķis ir atzīta izlūkošanas un drošības dienestu darbības uzraudzība, tādējādi iekļaujot šo mērķi teroristu nodarījumu un smagu noziegumu novēršanā, atklāšanā, izmeklēšanā un saukšanā pie atbildības par tiem?
6) Vai [PDR direktīvas] 6. pants ir saderīgs ar [Hartas] 7. un 8. pantu un 52. panta 1. punktu, ciktāl ar to paredzētais iepriekšējais novērtējums, ņemot vērā korelāciju ar datubāzēm un iepriekš noteiktiem kritērijiem, sistemātiski un vispārīgi tiek piemērots pasažieru datiem neatkarīgi no jebkādiem objektīviem pierādījumiem, kas ļautu uzskatīt, ka šie pasažieri var radīt risku sabiedrības drošībai?
7) Vai [PDR direktīvas] 12. panta 3. punktā minētais jēdziens “cita kompetentā valsts iestāde” var tikt interpretēts kā tāds, kas attiecas uz PIN, kura izveidota ar 2016. gada 25. decembra likumu un kura tādējādi varētu atļaut piekļuvi PDR datiem pēc sešu mēnešu termiņa beigām, veicot ad hoc meklēšanu?
8) Vai [PDR direktīvas] 12. pants, to skatot kopsakarā ar [Hartas] 7. un 8. pantu un 52. panta 1. punktu, ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu kā apstrīdētais tiesību akts, kurā ir paredzēts vispārējs piecus gadus ilgs datu uzglabāšanas termiņš, neparedzot atšķirības atkarībā no tā, vai attiecīgie pasažieri, veicot iepriekšēju novērtējumu, var vai nevar radīt risku sabiedrības drošībai?
9) a) Vai [IPI direktīva] ir saderīga ar [LES] 3. panta 2. punktu un [Hartas] 45. pantu, ciktāl tajā noteiktie pienākumi attiecas uz Eiropas Savienības iekšējiem lidojumiem?
b) Vai [IPI direktīva], to skatot kopsakarā ar [LES] 3. panta 2. punktu un [Hartas] 45. pantu, ir jāinterpretē tādējādi, ka tā nepieļauj tādu valsts tiesisko regulējumu kā apstrīdētais likums, kurā, lai apkarotu nelegālo imigrāciju un uzlabotu robežkontroli, ir atļauta tādu pasažieru datu savākšanas un apstrādes sistēma, kuri “ieceļo, izceļo vai šķērso valsts teritoriju”, kas var netieši nozīmēt kontroles atjaunošanu pie iekšējām robežām?
10) Ja, pamatojoties uz atbildēm uz iepriekš minētajiem prejudiciālajiem jautājumiem, Cour constitutionnelle [Konstitucionālā tiesa] nonāk pie secinājuma, ka apstrīdētajā likumā, ar kuru tostarp ir transponēta [PDR direktīva], nav ievērots viens vai vairāki pienākumi, kas izriet no šajos jautājumos minētajām tiesību normām, vai tā varētu uz laiku saglabāt [2016. gada 25. decembra likuma] sekas, lai izvairītos no tiesiskās nedrošības un ļautu iepriekš savāktos un saglabātos datus vēl izmantot likumā paredzētajiem mērķiem?”
III. Par prejudiciālajiem jautājumiem
A. Par pirmo jautājumu
63 Ar pirmo jautājumu iesniedzējtiesa būtībā vaicā, vai VDAR 2. panta 2. punkta d) apakšpunkts un 23. pants ir jāinterpretē tādējādi, ka šī regula ir piemērojama personas datu apstrādei, kas paredzēta valsts tiesiskajā regulējumā, kura mērķis ir transponēt valsts tiesībās gan PDR direktīvas, gan IPI direktīvas, gan Direktīvas 2010/65 noteikumus, it īpaši attiecībā uz PDR datu nosūtīšanu, glabāšanu un apstrādi.
64 Kā izriet no VDAR 2. panta 1. punkta, šī regula attiecas uz personas datu apstrādi, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, kā arī uz tādu personas datu apstrādi, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem. Minētās regulas 4. panta 2. punktā jēdziens “apstrāde” ir plaši definēts, it īpaši ietverot šādu datu vai datu kopu vākšanu, reģistrēšanu, glabāšanu, aplūkošanu, izmantošanu, izpaušanu, nosūtot, izplatot vai citādi padarot pieejamus, saskaņošanu vai dzēšanu.
65 Tomēr Beļģijas valdība apgalvo, ka PDR datu nosūtīšana PIN, ko ekonomikas dalībnieki veic, lai novērstu un atklātu noziedzīgus nodarījumus, kā paredzēts PDR direktīvas 1. panta 1. punkta a) apakšpunktā un 2. punktā un 8. pantā, un kas ir uzskatāma par personas datu “apstrādi” VDAR 4. panta 2. punkta izpratnē, kā arī to iepriekšēja vākšana neietilpst šīs regulas piemērošanas jomā saskaņā ar minētās regulas 2. panta 2. punkta d) apakšpunktu, jo judikatūra, kas izriet no 2006. gada 30. maija sprieduma apvienotajās lietās Parlaments/Padome un Komisija (C‑317/04 un C‑318/04, EU:C:2006:346, 57.–59. punkts), kas attiecas uz Direktīvas 95/46 3. panta 2. punkta pirmo ievilkumu, esot attiecināma uz šo minētās regulas tiesību normu.
66 Šajā ziņā ir taisnība, kā Tiesa jau ir konstatējusi, ka Direktīvas 95/46 – kas no 2018. gada 25. maija tika atcelta un aizstāta ar VDAR – 3. panta 2. punkta pirmajā ievilkumā no tās darbības jomas vispārīgi tika izslēgtas “apstrādes darbības, kas saistītas ar sabiedrības drošību, aizsardzību vai valsts drošību”, neveicot nekādu nošķiršanu atkarībā no attiecīgā datu pārziņa. Tādējādi uz apstrādi, ko privāti uzņēmēji veic, pildot valsts iestāžu uzliktos pienākumus, attiecīgā gadījumā varētu attiekties minētajā noteikumā paredzētais izņēmums, ņemot vērā, ka noteikuma formulējums attiecas uz visu apstrādi – neatkarīgi no tā, kas to veic –, kuras mērķis ir sabiedrības drošība, aizsardzība vai valsts drošība (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 101. punkts).
67 Tomēr VDAR 2. panta 2. punkta d) apakšpunktā šāda atšķirība ir paredzēta, jo, kā ģenerāladvokāts norādījis secinājumu 41. un 46. punktā, no šīs normas formulējuma ir skaidrs, ka ir jāizpilda divi nosacījumi, lai uz datu apstrādes darbību attiektos tajā paredzētais izņēmums. Pirmais nosacījums attiecas uz apstrādes nolūkiem, proti, noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem vai kriminālsodu izpildi, tostarp aizsardzību pret draudiem sabiedrības drošībai un to novēršanu, un otrais nosacījums attiecas uz datu apstrādes veicēju, proti, “kompetento iestādi”, kā noteikts minētajā noteikumā.
68 Kā to arī konstatējusi Tiesa, no VDAR 23. panta 1. punkta d) un h) apakšpunkta izriet, ka personas datu apstrāde, ko šīs regulas 2. panta 2. punkta d) apakšpunktā noteiktajiem mērķiem veic privātpersonas, ietilpst tās piemērošanas jomā (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 102. punkts).
69 No tā izriet, ka judikatūra, kas izriet no 2006. gada 30. maija sprieduma Parlaments/Padome un Komisija (C‑317/04 un C‑318/04, EU:C:2006:346) un uz ko atsaucas Beļģijas valdība, nav attiecināma uz izņēmumu no VDAR piemērošanas jomas, kas norādīts tās 2. panta 2. punkta d) apakšpunktā.
70 Turklāt šis izņēmums ir jāinterpretē šauri, tāpat kā pārējie VDAR 2. panta 2. punktā paredzētie izņēmumi no šīs regulas piemērošanas jomas.
71 Kā izriet no minētās regulas 19. apsvēruma, šo izņēmumu pamato apstāklis, ka personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu un atklātu noziedzīgus nodarījumus, tostarp – lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu, reglamentē konkrētāks Savienības tiesību akts, proti, Direktīva 2016/680, kura tika pieņemta tajā pašā dienā kā VDAR (spriedums, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 69. punkts).
72 Turklāt, kā norādīts Direktīvas 2016/680 9.–11. apsvērumā, minētajā direktīvā ir paredzēti īpaši noteikumi par fizisku personu aizsardzību attiecībā uz šādu apstrādi, ņemot vērā šo darbību, kas ietilpst tiesu iestāžu sadarbības krimināllietās un policijas sadarbības jomā, īpašo raksturu, savukārt VDAR ir paredzēti vispārīgi noteikumi par šādu personu aizsardzību, kurus paredzēts piemērot minētajām apstrādes darbībām, ja nav piemērojams konkrētāks tiesību akts, ko veido Direktīva 2016/680. Konkrētāk, šīs direktīvas 11. apsvērumā ir precizēts, ka VDAR ir piemērojama personas datu apstrādei, ko veic “kompetentā iestāde” minētās direktīvas 3. panta 7. punkta izpratnē, taču citos, nevis šajā direktīvā paredzētajos nolūkos (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 70. punkts).
73 Attiecībā uz šā sprieduma 67. punktā minēto pirmo nosacījumu un, konkrētāk, attiecībā uz mērķiem, kādiem personas dati tiek apstrādāti saskaņā ar PDR direktīvu, jāatgādina, ka saskaņā ar šīs direktīvas 1. panta 2. punktu PDR datus var apstrādāt tikai teroristu nodarījumu un smagu noziegumu novēršanas, atklāšanas, izmeklēšanas un kriminālvajāšanas mērķiem. Šie nolūki ir vieni no tiem, kas paredzēti VDAR 2. panta 2. punkta d) apakšpunktā un Direktīvas 2016/680 1. panta 1. punktā, tāpēc uz šādām apstrādes darbībām var attiekties šīs regulas 2. panta 2. punkta d) apakšpunktā minētais izņēmums, un tādējādi tās var ietilpt šīs direktīvas piemērošanas jomā.
74 Taču tas neattiecas uz IPI direktīvā un Direktīvā 2010/65 paredzētajām apstrādes darbībām, kuru nolūki ir atšķirīgi no VDAR 2. panta 2. punkta d) apakšpunktā un Direktīvas 2016/680 1. panta 1. punktā paredzētajiem nolūkiem.
75 Proti, IPI direktīvas mērķis ir uzlabot robežkontroli un apkarot nelegālo imigrāciju, kā redzams no tās 1., 7. un 9. apsvēruma, kā arī 1. panta, iepriekš nosūtot pasažieru datus no pārvadātājiem kompetentajām valsts iestādēm. Turklāt vairākos šīs direktīvas apsvērumos un noteikumos ir skaidri norādīts, ka datu apstrāde, kas paredzēta, lai īstenotu minēto direktīvu, ietilpst VDAR piemērošanas jomā. Tādējādi minētās direktīvas 12. apsvērumā ir noteikts, ka “Direktīvu [95/46] piemēro attiecībā uz personas datu apstrādi, ko veic dalībvalstu iestādes”. Turklāt IPI direktīvas 6. panta 1. punkta piektajā daļā ir norādīts, ka dalībvalstis var izmantot IPI datus arī tiesībaizsardzībai, “ievērojot Direktīvā [95/46] paredzētos datu aizsardzības noteikumus”, un šis formulējums ir izmantots arī minētā noteikuma trešajā daļā. Līdzīgi tiek lietots formulējums “neskarot Direktīvas [95/46] noteikumus”, it īpaši IPI direktīvas 9. apsvērumā. Visbeidzot IPI direktīvas 6. panta 2. punktā noteikts, ka pārvadātājiem pasažieri jāinformē “saskaņā ar Direktīvas [95/46] noteikumiem”.
76 No Direktīvas 2010/65 2. apsvēruma un 1. panta 1. punkta izriet, ka šīs direktīvas mērķis ir vienkāršot un saskaņot administratīvās procedūras, ko piemēro jūras transportam, vispārēji ieviešot elektronisku informācijas nosūtīšanu un racionalizējot ziņošanas formalitātes, lai atvieglotu jūras transportu un samazinātu administratīvo slogu kuģniecības uzņēmumiem. Minētās direktīvas 8. panta 2. punktā ir apstiprināts, ka datu apstrādes darbības, kas paredzētas, lai īstenotu minēto direktīvu, ietilpst VDAR darbības jomā, jo minētajā noteikumā dalībvalstīm ir prasīts nodrošināt atbilstību Direktīvai 95/46 attiecībā uz personas datiem.
77 No tā izriet, ka datu apstrādes darbības, kas paredzētas valsts tiesību aktos, ar kuriem IPI direktīvas un Direktīvas 2010/65 noteikumus transponē valsts tiesību aktos, ietilpst VDAR darbības jomā. Savukārt datu apstrādei, kas paredzēta valsts tiesību aktos, ar kuriem PDR direktīva ir transponēta valsts tiesībās, saskaņā ar šīs regulas 2. panta 2. punkta d) apakšpunktā paredzēto izņēmumu var nepiemērot šo direktīvu, ja ir izpildīts šā sprieduma 67. punktā minētais otrais nosacījums, proti, ka apstrādes veicējs ir kompetentā iestāde šīs tiesību normas izpratnē.
78 Attiecībā uz otro nosacījumu Tiesa uzskatīja, ka, ciktāl Direktīvas 2016/680 3. panta 7. punktā ir definēts jēdziens “kompetentā iestāde”, šāda definīcija pēc analoģijas ir jāpiemēro VDAR 2. panta 2. punkta d) apakšpunktam (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Latvijas Republikas Saeima (Pārkāpumu uzskaites punkti), C‑439/19, EU:C:2021:504, 69. punkts).
79 Tomēr saskaņā ar PDR direktīvas 4. un 7. pantu katrai dalībvalstij attiecīgi ir jānorīko par savu PIN iestāde, kuras kompetencē ir teroristu nodarījumu un smagu noziegumu novēršana, atklāšana, izmeklēšana un saukšana pie atbildības par tiem, kā arī jāpieņem to kompetento iestāžu saraksts, kuras ir pilnvarotas pieprasīt vai saņemt no minētās nodaļas PDR datus vai šādu datu apstrādes rezultātus; šīs iestādes ir arī kompetentās iestādes šajā jomā, kā noteikts minētās direktīvas 7. panta 2. punktā.
80 No šiem faktoriem izriet, ka PDR datu apstrāde, ko PIN un minētās kompetentās iestādes veic šādiem nolūkiem, atbilst abiem šā sprieduma 67. punktā minētajiem nosacījumiem, tādējādi uz šādu apstrādi papildus pašas PDR direktīvas noteikumiem attiecas Direktīva 2016/680, nevis VDAR, un tas arī ir apstiprināts PDR direktīvas 27. apsvērumā.
81 Savukārt, tā kā ekonomikas dalībniekiem, piemēram, gaisa pārvadātājiem, pat ja tiem ir juridisks pienākums nosūtīt PDR datus, ar šo direktīvu nav uzticēta ne valsts varas īstenošana, ne arī piešķirtas valsts varas prerogatīvas, šos ekonomikas dalībniekus nevar uzskatīt par kompetentajām iestādēm Direktīvas 2016/680 3. panta 7. punkta un VDAR 2. panta 2. punkta d) apakšpunkta izpratnē, tādējādi gaisa pārvadātāju veiktā šo datu vākšana un nosūtīšana PIN ietilpst šīs regulas darbības jomā. Tāds pats secinājums ir jāizdara arī situācijā, kas paredzēta 2016. gada 25. decembra likumā un kurā minēto datu vākšanu un nosūtīšanu veic citi pārvadātāji vai ceļojumu rīkotāji.
82 Visbeidzot iesniedzējtiesa jautā, kāda ietekme, ja tāda vispār ir, būtu valsts tiesību aktu pieņemšanai, lai vienlaikus transponētu PDR direktīvas, IPI direktīvas un Direktīvas 2010/65 noteikumus, piemēram, 2016. gada 25. decembra likumam. Šajā ziņā jāatgādina, kā izriet no šā sprieduma 72. un 75.–77. punkta, ka abās pēdējās minētajās direktīvās paredzētās datu apstrādes darbības ietilpst VDAR, kurā ir ietverti vispārīgi noteikumi par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, piemērošanas jomā.
83 Tādējādi, ja datu apstrādes darbība, kas tiek veikta, pamatojoties uz šiem tiesību aktiem, ietilpst IPI direktīvas un/vai Direktīvas 2010/65 darbības jomā, šai apstrādes darbībai ir piemērojama VDAR. Tas pats attiecas uz datu apstrādi uz tā paša pamata, uz kuru papildus PDR direktīvai attiecas IPI direktīva un/vai Direktīva 2010/65 attiecībā uz tās mērķi. Visbeidzot, ja datu apstrāde, ko veic, pamatojoties uz tiem pašiem tiesību aktiem, mērķa ziņā ietilpst tikai PDR direktīvas darbības jomā, VDAR ir piemērojama, ja runa ir par PDR datu vākšanu un nosūtīšanu PIN, ko veic gaisa pārvadātāji. Turpretī, ja šādu apstrādi PDR direktīvas 1. panta 2. punktā minētajos nolūkos veic PIN vai kompetentās iestādes, uz šādu apstrādi papildus valsts tiesību aktiem attiecas arī Direktīva 2016/680.
84 Ņemot vērā iepriekš minētos apsvērumus, uz pirmo jautājumu ir jāatbild, ka VDAR 2. panta 2. punkta d) apakšpunkts un 23. pants ir jāinterpretē tādējādi, ka šī regula ir piemērojama personas datu apstrādei, kas paredzēta valsts tiesiskajā regulējumā, ar kuru paredzēts transponēt valsts tiesībās IPI direktīvu, Direktīvu 2010/65 un PDR direktīvu, pirmkārt, attiecībā uz datu apstrādi, ko veic privātie operatori, un, otrkārt, datu apstrādi, kuru veic valsts iestādes, uz kurām attiecas tikai vai tostarp IPI direktīva vai Direktīva 2010/65. Turpretī minētā regula nav piemērojama datu apstrādei, kura paredzēta šādos tiesību aktos un uz kuru attiecas tikai PDR direktīva, un kuru minētās direktīvas 1. panta 2. punktā minētajos nolūkos veic PIN vai kompetentās iestādes.
B. Par otro līdz ceturto un sesto jautājumu
85 Ar otro līdz ceturto un sesto jautājumu, kas jāaplūko kopā, iesniedzējtiesa būtībā vaicā Tiesai par PDR direktīvas spēkā esamību saistībā ar Hartas 7. un 8. pantu, kā arī 52. panta 1. punktu. Šie jautājumi it īpaši attiecas uz:
– šīs direktīvas I pielikumu un šajā pielikumā uzskaitītajiem datiem, it īpaši datiem, kas minēti tā 12. un 18. punktā, ņemot vērā skaidrības un precizitātes prasības (otrais un trešais jautājums);
– minētās direktīvas 3. panta 4. punktu un tās I pielikumu, jo PDR datu vispārējas vākšanas, nosūtīšanas un apstrādes sistēmu, kas paredzēta šajos noteikumos, var piemērot jebkurai personai, kas veic lidojumu, uz kuru attiecas šīs pašas direktīvas noteikumi (ceturtais jautājums); un
– PDR direktīvas 6. pantu, ciktāl tas paredz iepriekšēju novērtējumu, salīdzinot PDR datus ar datubāzēm un/vai tos apstrādājot, ņemot vērā iepriekš noteiktus kritērijus, kas tiek sistemātiski un vispārīgi piemērots šiem datiem neatkarīgi no objektīviem faktoriem, kuri ļauj uzskatīt, ka attiecīgie pasažieri varētu apdraudēt sabiedrības drošību (sestais jautājums).
86 Sākotnēji jāatgādina, ka saskaņā ar vispārēju interpretācijas principu Savienības akts pēc iespējas ir jāinterpretē tā, lai netiktu apšaubīta tā spēkā esamība, un atbilstoši primāro tiesību kopumam, it īpaši Hartas tiesību normām. Tādējādi, ja Savienības atvasināto tiesību normu var interpretēt dažādi, priekšroka dodama tādai interpretācijai, kas to padara atbilstošu primārajām tiesībām, nevis tādai, kas noved pie secinājuma, ka tiesību norma ar to nav saderīga (spriedums, 2021. gada 2. februāris, Consob, C‑481/19, EU:C:2021:84, 50. punkts un tajā minētā judikatūra).
87 Turklāt saskaņā ar pastāvīgo judikatūru, ja direktīvas noteikumos dalībvalstīm ir paredzēta rīcības brīvība, lai noteiktu transponēšanas pasākumus, kas būtu pielāgoti dažādām iespējamām situācijām, tām, īstenojot šos pasākumus, ir ne tikai jāinterpretē savas valsts tiesības saskanīgi ar attiecīgo direktīvu, bet arī jānodrošina, lai tās nebūtu pamatotas ar tādu šīs direktīvas interpretāciju, kas būtu pretrunā Savienības tiesību sistēmā aizsargātajām pamattiesībām vai citiem šīs tiesību sistēmas vispārējiem principiem (šajā nozīmē skat. spriedumus, 2016. gada 15. februāris, N., C‑601/15 PPU, EU:C:2016:84, 60. punkts un tajā minētā judikatūra, kā arī 2020. gada 16. jūlijs, État belge (Ģimenes atkalapvienošanās – Nepilngadīgs bērns), C‑133/19, C‑136/19 un C‑137/19, EU:C:2020:577, 33. punkts un tajā minētā judikatūra).
88 Attiecībā uz PDR direktīvu jāatzīmē, ka it īpaši 15., 20., 22., 25., 36. un 37. apsvērumā ir uzsvērts, ka Savienības likumdevējs, atsaucoties uz augstu datu aizsardzības līmeni, piešķir lielu nozīmi tam, lai pilnībā tiktu ievērotas Hartas 7., 8. un 21. pantā nostiprinātās pamattiesības, kā arī samērīguma princips, tāpēc, kā norādīts 36. apsvērumā, šī direktīva “būtu attiecīgi jāīsteno”.
89 It īpaši PDR direktīvas 22. apsvērumā ir uzsvērts, ka, “pilnībā ņemot vērā principus, kas izklāstīti [Tiesas] jaunākajā attiecīgajā judikatūrā, ar šīs direktīvas piemērošanu būtu jānodrošina pamattiesību un tiesību uz privātumu, kā arī proporcionalitātes principa pilnīga ievērošana” un “būtu arī patiesi jāatbilst nepieciešamības un samērīguma mērķiem, lai panāktu Savienības atzīto vispārējo interešu ņemšanu vērā un ievērotu vajadzību cīņā pret teroristu nodarījumiem un smagiem noziegumiem aizsargāt citu tiesības un brīvības”. Šajā apsvērumā arī ir noteikts, ka šīs direktīvas piemērošana “būtu pienācīgi jāpamato un jāievieš nepieciešamie aizsardzības pasākumi, lai ikviens PDR datu glabāšanas, analizēšanas, nosūtīšanas vai izmantošanas gadījums būtu likumīgs”.
90 Turklāt PDR direktīvas 19. panta 2. punktā ir noteikts, ka, pārskatot šo direktīvu, Komisijai īpaša uzmanība jāpievērš “piemērojamo personas datu aizsardzības standartu ievērošanai”, “tam, vai PDR datu vākšana un apstrāde ir nepieciešama un samērīga attiecībā uz katru no šajā direktīvā noteiktajiem mērķiem”, kā arī “datu glabāšanas termiņa ilgumam”.
91 Tādēļ ir jāpārbauda, vai PDR direktīvu, kā to prasa it īpaši šā sprieduma 88.–90. punktā minētie šīs direktīvas apsvērumi un noteikumi, var interpretēt tā, lai nodrošinātu pilnīgu atbilstību Hartas 7. un 8. pantā garantētajām pamattiesībām, kā arī tās 52. panta 1. punktā noteiktajam samērīguma principam.
1. Par PDR direktīvas radīto iejaukšanos Hartas 7. un 8. pantā garantētajās pamattiesībās
92 Hartas 7. pantā ikvienai personai ir garantētas tiesības uz privātās un ģimenes dzīves, mājokļa un saziņas neaizskaramību, savukārt Hartas 8. panta 1. punkts ikvienam nepārprotami piešķir tiesības uz personas datu aizsardzību.
93 Kā izriet no PDR direktīvas 3. panta 5. punkta un no uzskaitījuma, kas izklāstīts tās I pielikumā, PDR dati, uz kuriem attiecas šī direktīva, tostarp ietver ne tikai aviopasažiera vai aviopasažieru vārdus un uzvārdus, bet arī rezervācijai vajadzīgo informāciju, piemēram, paredzētā ceļojuma datumus un ceļojuma maršrutu, informāciju par biļetēm, personu grupas, kas reģistrētas ar vienu un to pašu rezervācijas numuru, pasažiera vai pasažieru kontaktinformāciju, informāciju par maksāšanas līdzekļiem vai rēķiniem, informāciju par bagāžu, kā arī vispārējas piezīmes par pasažieriem.
94 Tā kā PDR dati tādējādi ietver informāciju par identificētām fiziskām personām, proti, attiecīgajiem aviopasažieriem, dažādā apstrāde, kas var uz to attiekties, skar pamattiesības uz privātās dzīves neaizskaramību, kas garantētas Hartas 7. pantā (šajā nozīmē skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 121. un 122. punkts, kā arī tajos minētā judikatūra).
95 Turklāt uz PDR direktīvā noteikto PDR datu apstrādi attiecas arī Hartas 8. pants, jo tā ir personas datu apstrāde šā panta izpratnē un līdz ar to tai katrā ziņā ir jāatbilst no minētā panta izrietošajām datu aizsardzības prasībām (šajā nozīmē skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 123. punkts un tajā minētā judikatūra).
96 Tomēr saskaņā ar pastāvīgo judikatūru personas datu izpaušana trešai personai, piemēram, valsts iestādei, ir iejaukšanās Hartas 7. un 8. pantā noteiktajās pamattiesībās, lai kāda būtu izpaustās informācijas vēlāka izmantošana. Tas pats attiecas uz personas datu glabāšanu, kā arī piekļuvi minētajiem datiem, lai valsts iestādes varētu tos izmantot. Šajā ziņā nav svarīgi, vai attiecīgā informācija par privāto dzīvi ir vai nav sensitīva un vai attiecīgajām personām ir vai nav radītas iespējamas neērtības šīs iejaukšanās dēļ (Atzinums 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 124. un 126. punkts, kā arī tajos minētā judikatūra).
97 Tādējādi gan tāda PDR datu nosūtīšana attiecīgās dalībvalsts PIN, ko veic gaisa pārvadātāji un kas paredzēta PDR direktīvas 1. panta 1. punkta a) apakšpunktā, lasot to saistībā ar tās 8. pantu, gan nosacījumu noteikšana šo datu glabāšanai, izmantošanai, kā arī iespējamai turpmākai nosūtīšanai šīs dalībvalsts kompetentajām iestādēm, PIN un citu dalībvalstu kompetentajām iestādēm, Eiropolam vai trešo valstu iestādēm, kā to atļauj šīs direktīvas 6., 7., 9. un 10.–12. pants, ir iejaukšanās Hartas 7. un 8. pantā garantētajās tiesībās.
98 Attiecībā uz šīs iejaukšanās smagumu, pirmkārt, jānorāda, ka saskaņā ar PDR direktīvas 1. panta 1. punkta a) apakšpunktu, lasot to kopsakarā ar tās 8. pantu, PDR direktīvā ir paredzēts sistemātiski un nepārtraukti nosūtīt PIN PDR datus par ikvienu pasažieri, kas veic reisu “ārpus ES” šīs direktīvas 3. panta 2. punkta izpratnē starp trešām valstīm un Savienību. Kā ģenerāladvokāts norādījis secinājumu 73. punktā, šāda nosūtīšana nozīmē, ka PIN ir vispārēja piekļuve visiem paziņotajiem PDR datiem par visām personām, kas izmanto gaisa transporta pakalpojumus, neatkarīgi no šo datu turpmākas izmantošanas.
99 Otrkārt, PDR direktīvas 2. panta 1. punktā paredzēts, ka dalībvalstis var nolemt piemērot šo direktīvu Savienības iekšējiem lidojumiem tās 3. panta 3. punkta izpratnē, un 2. punktā precizēts, ka šādā gadījumā visus minētās direktīvas noteikumus “ES iekšējiem lidojumiem piemēro tā, it kā tie būtu ES ārējie lidojumi, un PDR datiem, ko iegūst no ES iekšējiem lidojumiem, piemēro tā, it kā tie būtu PDR dati no ES ārējiem lidojumiem”.
100 Treškārt, lai gan daži PDR dati, kas uzskaitīti PDR direktīvas I pielikumā, kā apkopots šā sprieduma 93. punktā, aplūkoti atsevišķi, nešķiet tādi, kas varētu atklāt precīzu informāciju par attiecīgo personu privāto dzīvi, tas nemaina faktu, ka, aplūkoti kopā, minētie dati var atklāt tostarp pilnīgu ceļojuma maršrutu, ceļošanas paradumus, esošās attiecības starp divām vai vairākām personām, kā arī informāciju par aviopasažieru finansiālo stāvokli, viņu ēšanas paradumiem vai veselības stāvokli un tie pat varētu sniegt par šiem pasažieriem sensitīvu informāciju (šajā nozīmē skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 128. punkts).
101 Ceturtkārt, saskaņā ar PDR direktīvas 6. panta 2. punkta a) un b) apakšpunktu gaisa pārvadātāju nosūtītos datus ir paredzēts pakļaut ne tikai iepriekšējam novērtējumam, kas tiek veikts pirms paredzamās pasažieru ierašanās vai izlidošanas, bet arī vēlākam novērtējumam.
102 Attiecībā uz iepriekšēju novērtējumu no PDR direktīvas 6. panta 2. punkta a) apakšpunkta un 3. punkta izriet, ka šo novērtējumu dalībvalstu PIN veic sistemātiski un ar automatizētiem līdzekļiem, t.i., pastāvīgi un neatkarīgi no tā, vai ir kādas norādes par attiecīgo personu iesaistīšanās risku teroristu nodarījumos vai smagos noziegumos. Šajā nolūkā šie noteikumi paredz, ka PDR datus var salīdzināt ar “datubāzēm, kuras ir lietderīgas”, un apstrādāt pēc “iepriekš noteiktiem kritērijiem”.
103 Šajā kontekstā jāatgādina, ka Tiesa jau ir nospriedusi, ka PDR datu automatizētas analīzes radītais iejaukšanās Hartas 7. un 8. pantā garantētajās tiesībās smagums būtībā ir atkarīgs no iepriekš noteiktajiem modeļiem un kritērijiem, kā arī datubāzēm, uz kuru pamata notiek šāda veida datu apstrāde (Atzinums 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 172. punkts).
104 Kā ģenerāladvokāts norādījis secinājumu 78. punktā, PDR direktīvas 6. panta 3. punkta a) apakšpunktā paredzētā apstrāde, proti, PDR datu salīdzināšana ar “datubāzēm, kuras ir lietderīgas”, var sniegt papildu informāciju par aviopasažieru privāto dzīvi un ļaut izdarīt ļoti precīzus secinājumus šajā ziņā.
105 Attiecībā uz PDR datu apstrādi pēc “iepriekš noteiktiem kritērijiem”, kā paredzēts PDR direktīvas 6. panta 3. punkta b) apakšpunktā, ir taisnība, ka šīs direktīvas 6. panta 4. punktā ir noteikts, ka pasažieru novērtēšanai pēc šiem kritērijiem ir jābūt nediskriminējošai un it īpaši nebalstītai uz virkni pazīmju, kas minētas šā 4. punkta pēdējā teikumā. Turklāt minētajiem iepriekš noteiktajiem kritērijiem ir jābūt mērķorientētiem, samērīgiem un konkrētiem.
106 Ņemot vērā izklāstīto, Tiesa jau ir nospriedusi, ka, tā kā PDR datu automatizēta analīze tiek veikta, izmantojot nepārbaudītus personas datus, vai arī tā ir balstīta uz iepriekš noteiktiem modeļiem un kritērijiem, tajā katrā ziņā tiek pieļauts zināms kļūdu īpatsvars (pēc analoģijas skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 169. punkts). Konkrēti, kā to būtībā norādījis ģenerāladvokāts secinājumu 78. punktā, no Komisijas darba dokumenta (SWD(2020)128 final), kas pievienots tās 2020. gada 24. jūlija ziņojumam par PDR direktīvas pārskatīšanu, izriet, ka to pozitīvo atbilsmju skaits, kas izriet no šīs direktīvas 6. panta 3. punkta a) un b) apakšpunktā paredzētajām automatizētas apstrādes darbībām un kas pēc individuālas pārbaudes ar neautomatizētiem līdzekļiem izrādījās kļūdainas, ir diezgan ievērojams un 2018. un 2019. gadā bija vismaz piecas no sešām identificētajām personām. Tādējādi šo apstrādes darbību rezultātā tiek veikta plaša ar minētajām personām saistīto PDR datu analīze.
107 Runājot par PDR direktīvas 6. panta 2. punkta b) apakšpunktā paredzēto PDR datu vēlāku novērtējumu, no minētā noteikuma izriet, ka sešu mēnešu laikā pēc PDR datu nosūtīšanas, kas minēta šīs direktīvas 12. panta 2. punktā, PIN ir pienākums pēc kompetento iestāžu pieprasījuma darīt PDR datus zināmus šīm iestādēm un veikt apstrādi īpašos gadījumos, lai apkarotu teroristu nodarījumus vai smagus noziegumus.
108 Turklāt pat tad, ja pēc minētā sešu mēnešu termiņa beigām PDR dati tiek depersonalizēti, maskējot atsevišķus šo datu elementus, saskaņā ar PDR direktīvas 12. panta 3. punktu PIN var būt pienākums pēc šāda pieprasījuma sniegt visus PDR datus kompetentajām iestādēm tādā veidā, kas ļauj identificēt datu subjektu, ja ir pamatots iemesls uzskatīt, ka tas ir nepieciešams šīs direktīvas 6. panta 2. punkta b) apakšpunktā minētajiem mērķiem, ja to atļauj tiesu iestāde vai “cita valsts iestāde, kas ir kompetenta”.
109 Piektkārt, PDR direktīvas 12. panta 1. punktā paredzot, ka PDR dati ir jāglabā datubāzē piecus gadus pēc to nodošanas tās dalībvalsts PIN, kuras teritorijā atrodas lidojuma ielidošanas vai izlidošanas vieta, PDR direktīva, šajā ziņā neparedzot neko sīkāk – ņemot vērā, ka visi PDR dati, lai gan sākotnējā sešu mēnešu perioda beigās, maskējot atsevišķus datu elementus, tie tiek depersonalizēti, joprojām var tikt paziņoti šā sprieduma iepriekšējā punktā paredzētajā gadījumā –, ļauj sniegt informāciju par aviopasažieru privāto dzīvi laikposmā, ko Tiesa 2017. gada 26. jūlija Atzinumā 1/15 (ES un Kanādas PDR nolīgums) (EU:C:2017:592, 132. punkts) jau ir kvalificējusi kā īpaši ilgu.
110 Ņemot vērā aviopārvadājumu izmantošanas ierasto raksturu, šāds glabāšanas periods nozīmē, ka ļoti lielas Savienības iedzīvotāju daļas PDR dati saskaņā ar PDR direktīvā noteikto sistēmu, visticamāk, tiks glabāti atkārtoti un tādējādi būs pieejami analīzei saistībā ar PIN un kompetento iestāžu veiktajiem iepriekšējiem un vēlākiem novērtējumiem ilgu un pat nenoteiktu laikposmu attiecībā uz personām, kas ceļo ar gaisa transportu biežāk nekā reizi piecos gados.
111 Ņemot vērā visus iepriekš minētos apsvērumus, PDR direktīva ir jāuzskata par tādu, kas rada noteiktu nopietnu iejaukšanos Hartas 7. un 8. pantā garantētajās tiesībās, ciktāl tās mērķis ir izveidot nepārtrauktas, mērķtiecīgas un sistemātiskas uzraudzības sistēmu, kas ietver visu to personu personas datu automatizētu novērtēšanu, kuras izmanto gaisa transporta pakalpojumus.
2. Par PDR direktīvas izraisītās iejaukšanās pamatojumu
112 Jāatgādina, ka Hartas 7. un 8. pantā noteiktās pamattiesības ir uztveramas nevis kā absolūtas prerogatīvas, bet gan jāaplūko saistībā ar to funkciju sabiedrībā (Atzinums 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 136. punkts un tajā minētā judikatūra, kā arī spriedums, 2020. gada 6. oktobris, Privacy International, C‑623/17, EU:C:2020:790, 63. punkts un tajā minētā judikatūra).
113 Atbilstoši Hartas 52. panta 1. punkta pirmajam teikumam visiem tajā atzīto tiesību un brīvību izmantošanas ierobežojumiem ir jābūt noteiktiem tiesību aktos un tajos jārespektē šo tiesību un brīvību būtība. Atbilstoši Hartas 52. panta 1. punkta otrajam teikumam, ievērojot samērīguma principu, ierobežojumus šīm tiesībām un brīvībām drīkst uzlikt tikai tad, ja tie ir nepieciešami un patiešām atbilst vispārējo interešu mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības. Šajā ziņā Hartas 8. panta 2. punktā ir precizēts, ka personas dati ir jāapstrādā “noteiktiem mērķiem un ar attiecīgās personas piekrišanu vai ar citu likumīgu pamatojumu, kas paredzēts tiesību aktos”.
114 Jāpiebilst – prasība, ka jebkuram pamattiesību izmantošanas ierobežojumam jābūt paredzētam tiesību aktos, nozīmē, ka tiesību aktā, kas atļauj iejaukšanos šajās tiesībās, pašam ir jānosaka attiecīgo tiesību izmantošanas ierobežojuma apjoms, precizējot, pirmkārt, ka šī prasība neizslēdz, ka attiecīgais ierobežojums tiek formulēts pietiekami atklāti, lai to varētu pielāgot dažādiem gadījumiem, kā arī situācijas izmaiņām (šajā nozīmē skat. spriedumu, 2022. gada 26. aprīlis, Polija/Parlaments un Padome, C‑401/19, EU:C:2022:297, 64. un 74. punkts, kā arī tajos minētā judikatūra), un, otrkārt, ka Tiesa vajadzības gadījumā, izmantojot interpretāciju, var precizēt ierobežojuma konkrēto piemērošanas jomu, ņemot vērā gan attiecīgo Savienības tiesību aktu formulējumu, gan to vispārējo sistēmu un mērķus, kas ar tiem tiek īstenoti, interpretējot tos saskaņā ar Hartā garantētajām pamattiesībām.
115 Runājot par samērīguma principa ievērošanu, pamattiesību uz privātās dzīves neaizskaramību aizsardzība Savienībā saskaņā ar pastāvīgo Tiesas judikatūru pieprasa, lai atkāpes no personas datu aizsardzības un šīs aizsardzības ierobežojumi tiktu īstenoti absolūti nepieciešamā ietvaros. Turklāt vispārējo interešu mērķa sasniegšanā nevar neņemt vērā to, ka tas ir jāsaskaņo ar šā pasākuma skartajām pamattiesībām, līdzsvarojot šo vispārējo interešu mērķi, no vienas puses, ar attiecīgajām tiesībām, no otras puses (Atzinums 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 140. punkts, kā arī spriedums, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 52. punkts un tajā minētā judikatūra).
116 Konkrētāk, dalībvalstu iespēja pamatot Hartas 7. un 8. pantā garantēto tiesību ierobežojumu ir jāizvērtē, novērtējot ar šādu ierobežojumu saistītās iejaukšanās smagumu un pārbaudot, vai ar šo ierobežojumu sasniedzamā vispārējo interešu mērķa nozīmīgums ir samērojams ar šo smagumu (šajā nozīmē skat. spriedumus, 2018. gada 2. oktobris, Ministerio Fiscal, C‑207/16, EU:C:2018:788, 55. punkts un tajā minētā judikatūra, kā arī 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 53. punkts un tajā minētā judikatūra).
117 Lai izpildītu samērīguma prasību, attiecīgajos tiesību aktos, kas saistīti ar iejaukšanos, ir jāparedz skaidri un precīzi noteikumi, kas reglamentē tajos paredzēto pasākumu tvērumu un piemērošanu un nosaka minimālās prasības, lai personām, kuru dati ir nosūtīti, būtu pietiekamas garantijas, ka viņu personas dati tiks efektīvi aizsargāti pret ļaunprātīgas izmantošanas risku. Tajā it īpaši ir jānorāda, kādos apstākļos un saskaņā ar kādiem nosacījumiem šādu datu apstrādi paredzošs pasākums var tikt veikts, tādējādi garantējot, ka šāda iejaukšanās notiek tikai absolūti nepieciešamajā apmērā. Šādu garantiju nepieciešamība ir vēl jo svarīgāka, ja personas dati tiek apstrādāti automatizēti. Šie apsvērumi ir it īpaši svarīgi, ja PDR dati ir tādi, kas var sniegt par šiem pasažieriem sensitīvu informāciju (Atzinums 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 141. punkts, kā arī spriedums, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 132. punkts un tajā minētā judikatūra).
118 Tādējādi tiesiskajam regulējumam, kurā paredzēta personas datu glabāšana, vienmēr ir jāatbilst objektīviem kritērijiem, kas veido saikni starp glabājamiem datiem un sasniedzamo mērķi (šajā nozīmē skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 191. punkts un tajā minētā judikatūra, kā arī spriedumus, 2019. gada 3. oktobris, A u.c., C‑70/18, EU:C:2019:823, 63. punkts, un 2020. gada 6. oktobris La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 133. punkts).
a) Par tiesiskuma principa un attiecīgo pamattiesību būtības ievērošanu
119 Hartas 7. un 8. pantā garantēto pamattiesību īstenošanas ierobežojums, kas izriet no PDR direktīvā noteiktās sistēmas, ir paredzēts Savienības tiesību aktā. Attiecībā uz jautājumu, vai saskaņā ar šā sprieduma 114. punktā minēto judikatūru šī direktīva kā Savienības tiesību akts, kas ļauj iejaukties šajās tiesībās, pati par sevi nosaka minēto tiesību izmantošanas ierobežojuma apjomu, jānorāda, ka minētās direktīvas, kā arī tās I un II pielikuma noteikumos ir ietverts, pirmkārt, PDR datu saraksts un, otrkārt, šo datu apstrādes sistēma, it īpaši nosakot šādas apstrādes mērķus un metodes. Turklāt šis jautājums lielā mērā tiek sajaukts ar jautājumu par atbilstību samērīguma prasībai, kas minēta šā sprieduma 117. punktā (šajā nozīmē skat. spriedumu, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 180. punkts) un tiks izskatīts šā sprieduma 125. un nākamajos punktos.
120 Attiecībā uz Hartas 7. un 8. pantā ietverto pamattiesību būtiskā satura ievērošanu jāatzīst, ka PDR dati attiecīgā gadījumā var atklāt ļoti precīzu informāciju par personas privāto dzīvi. Tomēr, tā kā, no vienas puses, šīs informācijas raksturs aprobežojas ar konkrētiem privātās dzīves aspektiem, kas it īpaši attiecas uz šīs personas ceļojumiem ar gaisa transportu, un, no otras puses, PDR direktīvas 13. panta 4. punktā ir skaidri aizliegts apstrādāt sensitīvus datus VDAR 9. panta 1. punkta izpratnē, šajā direktīvā minētie dati paši par sevi nesniedz pilnīgu pārskatu par personas privāto dzīvi. Turklāt minētās direktīvas 1. panta 2. punktā, lasot to kopsakarā ar tās 3. panta 8. un 9. punktu, kā arī II pielikumu, ir noteikti mērķi, kādos šos datus var apstrādāt. Visbeidzot šīs pašas direktīvas 4.–15. pantā ir paredzēti noteikumi, kas reglamentē minēto datu nosūtīšanu, apstrādi un glabāšanu, kā arī noteikumi, kuru mērķis ir it īpaši nodrošināt šo datu drošību, konfidencialitāti un integritāti, kā arī aizsargāt tos pret nelikumīgu piekļuvi un apstrādi. Šādos apstākļos PDR direktīvā ietvertie iejaukšanās pasākumi neapdraud Hartas 7. un 8. pantā noteikto pamattiesību būtību.
b) Par vispārēju interešu mērķi un PDR datu apstrādes piemērotību, ņemot vērā šo mērķi
121 Attiecībā uz jautājumu par to, vai ar PDR direktīvu izveidotajai sistēmai ir vispārēju interešu mērķis, no šīs direktīvas 5., 6. un 15. apsvēruma izriet, ka tās mērķis ir nodrošināt Savienības iekšējo drošību un tādējādi aizsargāt personu dzīvību un drošību, vienlaikus izveidojot tiesisko regulējumu, kas nodrošina augstu pasažieru pamattiesību, it īpaši viņu tiesību uz privātās dzīves neaizskaramību un personas datu aizsardzību, aizsardzības līmeni, kad PDR datus apstrādā kompetentās iestādes.
122 Šajā nolūkā PDR direktīvas 1. panta 2. punktā noteikts, ka saskaņā ar šo direktīvu savāktos PDR datus var apstrādāt saskaņā ar tās 6. panta 2. punkta a)–c) apakšpunktu tikai teroristu nodarījumu un smagu noziegumu novēršanas, atklāšanas, izmeklēšanas un kriminālvajāšanas mērķiem. Šie mērķi neapšaubāmi ir Savienības vispārējas nozīmes mērķi, kas var attaisnot pat nopietnu iejaukšanos Hartas 7. un 8. pantā nostiprinātajās pamattiesībās (šajā nozīmē skat. spriedumu, 2014. gada 8. aprīlis, Digital Rights Ireland u.c., C‑293/12 un C‑594/12, EU:C:2014:238, 42. punkts, kā arī Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 148. un 149. punkts).
123 Attiecībā uz PDR direktīvā paredzētās sistēmas piemērotību sasniegt izvirzītos mērķus jākonstatē – lai gan “kļūdaini negatīvu” rezultātu iespējamība un samērā liels to “kļūdaini pozitīvu” rezultātu skaits, kuri, kā norādīts šā sprieduma 106. punktā, iegūti šajā direktīvā paredzēto automatizētās apstrādes darbību rezultātā 2018. un 2019. gadā, var ierobežot šīs sistēmas piemērotību sasniegt izvirzītos mērķus, tie tomēr nevar minēto sistēmu padarīt par tādu, kas nav piemērota, lai sekmētu mērķa cīnīties pret teroristu nodarījumiem un smagiem noziegumiem sasniegšanu. Kā izriet no šā sprieduma 106. punktā minētā Komisijas darba dokumenta, saskaņā ar minēto direktīvu veiktā automatizētā apstrāde faktiski jau ir ļāvusi identificēt riskantus aviopasažierus saistībā ar cīņu pret teroristu nodarījumiem un smagiem noziegumiem.
124 Turklāt, ņemot vērā PDR datu automatizētai apstrādei raksturīgo kļūdu īpatsvaru un it īpaši diezgan lielo “kļūdaini pozitīvo” rezultātu skaitu, minētajā direktīvā izveidotās sistēmas piemērotība ir būtiski atkarīga no tā, vai pareizi darbojas šo datu apstrādes ar neautomatizētiem līdzekļiem iegūto rezultātu turpmākā pārbaude, kas saskaņā ar PDR direktīvu ir PIN uzdevums. Tādēļ šajā nolūkā minētajā direktīvā paredzētie noteikumi veicina šo mērķu sasniegšanu.
c) Par iejaukšanās, kas izriet no PDR direktīvas, nepieciešamību
125 Saskaņā ar šā sprieduma 115.–118. punktā minēto judikatūru ir jāpārbauda, vai no PDR direktīvas izrietošā iejaukšanās ir ierobežota līdz tam, kas ir absolūti nepieciešams, un it īpaši – vai šajā direktīvā ir paredzēti skaidri un precīzi noteikumi par tajā paredzēto pasākumu tvērumu un piemērošanu un vai ar šo direktīvu izveidotā sistēma joprojām atbilst objektīviem kritērijiem, izveidojot saikni starp PDR datiem, kas ir cieši saistīti ar aviopārvadājumu rezervēšanu un izpildi, un mērķiem, kas noteikti ar minēto direktīvu, proti, cīņa pret teroristu nodarījumiem un smagiem noziegumiem.
1) Par aviopasažieru datiem, uz kuriem attiecas PDR direktīva
126 Būtu jāizvērtē, vai PDR direktīvas I pielikumā iekļautie datu posteņi skaidri un precīzi definē PDR datus, kas gaisa pārvadātājam ir jāziņo PIN.
127 Vispirms būtu jāatgādina, kā tas izriet no PDR direktīvas 15. apsvēruma, ka Savienības likumdevējs ir paredzējis, ka PDR datu saraksts, kas jānosūta PIN, ir jāsastāda “nolūkā atspoguļot publisko iestāžu leģitīmās prasības, lai novērstu, atklātu, izmeklētu teroristu nodarījumus vai smagus noziegumus un sauktu pie atbildības par tiem, tādējādi uzlabojot iekšējo drošību Savienībā, kā arī aizsargājot pamattiesības, jo īpaši privātumu un personas datu aizsardzību”. Konkrētāk, saskaņā ar šo pašu apsvērumu šajos datos “būtu jāiekļauj vienīgi sīkāka informācija par pasažieru veiktajām rezervācijām un ceļojuma maršrutiem, kas ļauj kompetentajām iestādēm identificēt aviopasažierus, kuri rada draudus iekšējai drošībai”. Turklāt PDR direktīvas 13. panta 4. punkta pirmais teikums aizliedz “PDR datu apstrādi, kuras rezultātā tiek atklāta personas rase vai etniskā izcelsme, politiskie uzskati, reliģija vai filozofiskā pārliecība, dalība arodbiedrībā, veselība, seksuālā dzīve vai dzimumorientācija”.
128 Tāpēc saskaņā ar PDR direktīvas I pielikumu savāktajiem un paziņotajiem PDR datiem jābūt tieši saistītiem ar lidojumu un attiecīgo pasažieri, un tiem jābūt ierobežotiem, pirmkārt, lai tie atbilstu tikai valsts iestāžu likumīgajām prasībām teroristu nodarījumu vai smagu noziegumu novēršanai, atklāšanai, izmeklēšanai un saukšanai pie atbildības par tiem un, otrkārt, lai tie izslēgtu sensitīvus datus.
129 PDR direktīvas I pielikuma 1.–4., 7., 9., 11., 15., 17. un 19. punkts atbilst šīm prasībām, kā arī skaidrības un precizitātes prasībām, jo tie attiecas uz skaidri identificējamu un ierobežotu informāciju, kas tieši saistīta ar veikto lidojumu un attiecīgo pasažieri. Kā ģenerāladvokāts norādījis secinājumu 165. punktā, tas attiecas arī uz 10., 13., 14. un 16. punktu, neraugoties uz to atvērto formulējumu.
130 Savukārt 5., 6., 8., 12. un 18. punkta interpretācijas nolūkā ir jāsniedz precizējumi.
131 Šā pielikuma 5. punktā, kas attiecas uz “adresi un kontaktinformāciju (tālruņa numurs, e‑pasta adrese)”, nav skaidri norādīts, vai minētā adrese un kontaktinformācija attiecas tikai uz aviopasažieri vai arī uz trešām personām, kas aviopasažierim rezervējušas lidojumu, uz trešām personām, ar kuru starpniecību var sazināties ar aviopasažieri, vai uz trešām personām, kuras jāinformē ārkārtas situācijā. Tomēr, kā ģenerāladvokāts būtībā norādījis secinājumu 162. punktā, ņemot vērā skaidrības un precizitātes prasības, šo punktu nevar interpretēt tādējādi, ka tas netieši atļauj arī šādu trešo personu personas datu vākšanu un nosūtīšanu. Tādējādi minētais punkts ir jāinterpretē tādējādi, ka tas attiecas tikai uz tā aviopasažiera pasta adresi un kontaktinformāciju, proti, tālruņa numuru un e‑pasta adresi, kura vārdā tikusi veikta rezervācija.
132 Šā pielikuma 6. punkts, kurā ir atsauce uz “visu informāciju, kas attiecas uz maksāšanas veidiem, ieskaitot rēķina izrakstīšanas adresi”, lai tas atbilstu skaidrības un precizitātes prasībām, ir jāinterpretē tādējādi, ka tas attiecas vienīgi uz informāciju par aviobiļetes apmaksāšanas kārtību un rēķinu, izslēdzot visu citu ar lidojumu tieši nesaistīto informāciju (pēc analoģijas skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 159. punkts).
133 Šā pielikuma 8. punkts, kurā ir atsauce uz “bieži lidojošas personas (Frequent Flyer) informāciju”, kā ģenerāladvokāts norādījis secinājumu 164. punktā, ir jāinterpretē tādējādi, ka tas attiecas vienīgi uz datiem par konkrētā pasažiera statusu attiecīgās aviosabiedrības vai aviosabiedrību grupas bieži lidojošo pasažieru programmas kontekstā, kā arī numuru, kas identificē šo pasažieri kā “bieži lidojošu”. Tāpēc 8. punktā nav atļauts vākt informāciju par darījumiem, ar kuriem šis statuss ir iegūts.
134 Savukārt 12. punkts attiecas uz jautājumiem, kas skar “vispārīgas piezīmes (tostarp visa pieejamā informācija par nepilngadīgajiem, kuri jaunāki par 18 gadiem un kuri ceļo bez pavadoņa, piemēram, nepilngadīgā vārds, uzvārds un dzimums, vecums, valoda(‑as), kādā(‑ās) viņš runā, personas, kas nepilngadīgo pavada pie izlidošanas, vārds un kontaktinformācija, kā arī radniecība ar nepilngadīgo, personas, kas nepilngadīgo sagaida pie atlidošanas, vārds un kontaktinformācija, kā arī radniecība ar nepilngadīgo, darbinieks, kas pavada pie izlidošanas un ielidošanas)”.
135 Šajā ziņā sākumā jānorāda – lai gan vārdi “vispārīgas piezīmes” neatbilst skaidrības un precizitātes prasībām, jo tie paši par sevi nenosaka ierobežojumus attiecībā uz tās informācijas veidu un apjomu, ko var vākt un izpaust PIN saskaņā ar 12. punktu (šajā nozīmē skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 160. punkts), saraksts iekavās atbilst šīm prasībām.
136 Līdz ar to, lai sniegtu tādu 12. punkta interpretāciju, kas saskaņā ar šā sprieduma 86. punktā minēto judikatūru to saskaņo ar skaidrības un precizitātes prasībām un, plašākā nozīmē, ar Hartas 7. un 8. pantu un 52. panta 1. punktu, ir jāuzskata, ka ir atļauta tikai šajā punktā skaidri uzskaitītās informācijas vākšana un izpaušana, proti, nepilngadīgā aviopasažiera vārds, uzvārds un dzimums, viņa vecums, valoda(‑as), kurā(‑ās) viņš runā, aizbildņa, kas bijis klāt izlidošanas brīdī, vārds, uzvārds un kontaktinformācija un viņa attiecības ar nepilngadīgo, aizbildņa, kas bijis klāt ielidošanas brīdī, vārds, uzvārds un kontaktinformācija un viņa attiecības ar nepilngadīgo, darbinieks, kas bijis klāt izlidošanas un ielidošanas brīdī.
137 Visbeidzot 18. punktā ir iekļauti “visi savāktie iepriekšējās pasažieru informācijas (IPI) dati (tostarp identitātes dokumenta veids, numurs, izdevējvalsts un derīguma termiņš, valstspiederība, uzvārds, vārds, dzimums, dzimšanas datums, aviokompānija, lidojuma numurs, izlidošanas datums, ierašanās datums, izlidošanas lidosta, ierašanās lidosta, izlidošanas laiks un ierašanās laiks)”.
138 Kā ģenerāladvokāts būtībā norādījis secinājumu 156.–160. punktā, no šā 18. punkta, lasot to PDR direktīvas 4. un 9. apsvēruma kontekstā, izriet, ka informācija, uz kuru tas attiecas, ir visi minētajā punktā, kā arī IPI direktīvas 3. panta 2. punktā uzskaitītie IPI dati.
139 Tādējādi 18. punktu, ja to interpretē tā, ka tas attiecas tikai uz šajā punktā un IPI direktīvas 3. panta 2. punktā skaidri minēto informāciju, var uzskatīt par atbilstošu skaidrības un precizitātes prasībām (pēc analoģijas skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 161. punkts).
140 Tādēļ ir jākonstatē, ka, PDR direktīvas I pielikumu interpretējot atbilstoši apsvērumiem, kas it īpaši izklāstīti šā sprieduma 130.–139. punktā, tas kopumā ir pietiekami skaidrs un precīzs, tādējādi norobežojot Hartas 7. un 8. pantā paredzēto pamattiesību aizskāruma apjomu.
2) Par PDR datu apstrādes mērķiem
141 Kā izriet no PDR direktīvas 1. panta 2. punkta, saskaņā ar šo direktīvu savākto PDR datu apstrādes mērķis ir cīņa pret “teroristu nodarījumiem” un “smagiem noziegumiem”.
142 Attiecībā uz jautājumu, vai PDR direktīvā šajā ziņā ir paredzēti skaidri un precīzi noteikumi, kas ierobežo ar šo direktīvu izveidotās sistēmas piemērošanu tikai ar to, kas ir absolūti nepieciešams šiem mērķiem, jānorāda, pirmkārt, ka minētās direktīvas 3. panta 8. punktā termins “teroristu nodarījumi” ir definēts ar atsauci uz “valsts tiesību aktos noteiktiem nodarījumiem, kas minēti Pamatlēmuma [2002/475] 1.–4. pantā”.
143 Papildus tam, ka šā pamatlēmuma 1.–3. pantā skaidri un precīzi bija definēti “teroristu nodarījumi”, “nodarījumi, kas saistīti ar teroristisku grupu”, un “nodarījumi, kas saistīti ar teroristiskām darbībām”, attiecībā uz kuriem dalībvalstīm saskaņā ar minēto pamatlēmumu bija jānosaka, ka tie ir sodāmi kā noziedzīgi nodarījumi, arī Eiropas Parlamenta un Padomes Direktīvas (ES) 2017/541 (2017. gada 15. marts) par terorisma apkarošanu, ar ko aizstāj Padomes Pamatlēmumu [2002/475] un groza Padomes Lēmumu 2005/671/TI (OV 2017, L 88, 6. lpp.), 3.–14. pantā ir skaidri un precīzi definēti tie paši noziedzīgie nodarījumi.
144 Otrkārt, PDR direktīvas 3. panta 9. punktā “smagi noziegumi” ir definēti ar atsauci uz “[šīs direktīvas] II pielikumā uzskaitītajiem nodarījumiem, par kuriem var piemērot brīvības atņemšanas sodu vai ar brīvības atņemšanu saistītu drošības līdzekli, kura maksimālais ilgums ir vismaz trīs gadi saskaņā ar dalībvalsts tiesību aktiem”.
145 Taču vispirms šajā pielikumā ir izsmeļoši uzskaitītas dažādas noziedzīgu nodarījumu kategorijas, kas var atbilst PDR direktīvas 3. panta 9. punktā minētajam “smagam noziegumam”.
146 Ņemot vērā dalībvalstu krimināltiesību sistēmu īpatnības minētās direktīvas pieņemšanas brīdī, ja tajā minētie noziedzīgie nodarījumi nav saskaņoti, Savienības likumdevējs varēja aprobežoties ar atsauci uz noziedzīgu nodarījumu kategorijām, nenosakot to sastāvu, it īpaši tāpēc, ka šie sastāvi hipotētiski noteikti ir definēti valsts tiesību aktos, uz kuriem ir atsauce PDR direktīvas 3. panta 9. punktā, jo dalībvalstīm ir saistošs noziedzīgu nodarījumu un sodu likumības princips, kurš ir LES 2. pantā minētās tiesiskuma kopīgās vērtības, kas ir kopīga ar Savienību, sastāvdaļa (pēc analoģijas skat. spriedumu, 2022. gada 16. februāris Ungārija/Parlaments un Padome, C‑156/21, EU:C:2022:97, 136., 160. un 234. punkts); šis princips turklāt ir ietverts arī Hartas 49. panta 1. punktā, kuru dalībvalstīm ir pienākums ievērot, īstenojot tādu Savienības tiesību aktu kā PDR direktīva (šajā nozīmē skat. spriedumu, 2011. gada 10. novembris, QB, C‑405/10, EU:C:2011:722, 48. punkts un tajā minētā judikatūra). Tādējādi, ņemot vērā arī šajā pašā pielikumā izmantoto terminu parasto nozīmi, ir jāuzskata, ka tajā ir pietiekami skaidri un precīzi noteikti nodarījumi, kas var būt smagi noziegumi.
147 Tiesa gan, II pielikuma 7., 8., 10. un 16. punkts attiecas uz ļoti vispārīgām noziedzīgu nodarījumu kategorijām (krāpšana, noziedzīgi iegūtu līdzekļu legalizēšana un naudas viltošana, smagi noziegumi pret vidi, kultūras priekšmetu nelikumīga tirdzniecība), vienlaikus atsaucoties uz konkrētiem noziedzīgiem nodarījumiem, kas ietilpst šajās vispārīgajās kategorijās. Lai nodrošinātu pietiekamu precizitāti, kas ir arī Hartas 49. panta prasība, šie punkti ir jāinterpretē tā, ka tie attiecas uz minētajiem nodarījumiem, kā noteikts attiecīgajos valsts un/vai Savienības tiesību aktos. Šādi interpretējot, var uzskatīt, ka minētie punkti atbilst skaidrības un precizitātes prasībām.
148 Visbeidzot ir svarīgi arī atgādināt, ka, lai gan ar mērķi apkarot smagus noziegumus saskaņā ar samērīguma principu var attaisnot PDR direktīvas smago iejaukšanos Hartas 7. un 8. pantā garantētajās pamattiesībās, ar mērķi apkarot noziedzību kopumā to nevar attaisnot, jo ar to var attaisnot tikai tādu iejaukšanos, kas pēc būtības nav smaga (pēc analoģijas skat. spriedumu, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 59. punkts un tajā minētā judikatūra). Tādējādi šai direktīvai ar skaidriem un precīziem noteikumiem ir jānodrošina, ka ar minēto direktīvu izveidotās sistēmas piemērošana attiecas tikai uz smagiem noziegumiem un tādējādi izslēdz parastus noziegumus.
149 Šajā ziņā, kā ģenerāladvokāts norādījis secinājumu 121. punktā, daudzi no PDR direktīvas II pielikumā uzskaitītajiem noziedzīgajiem nodarījumiem, piemēram, cilvēku tirdzniecība, bērnu seksuāla izmantošana un bērnu pornogrāfija, ieroču, munīcijas un sprāgstvielu tirdzniecība, nelikumīgi iegūtu līdzekļu legalizācija, kibernoziedzība, cilvēku orgānu un audu tirdzniecība, narkotisko un psihotropo vielu tirdzniecība, kodolmateriālu vai radioaktīvo materiālu tirdzniecība, lidmašīnu vai kuģu nolaupīšana, smagi noziegumi, kas ir Starptautiskās Krimināltiesas jurisdikcijā, slepkavības, izvarošana, nolaupīšana un ķīlnieku sagrābšana, ir nenoliedzami nopietni nodarījumi.
150 Turklāt, lai gan citus nodarījumus, kas arī minēti šajā II pielikumā, a priori ir grūtāk saistīt ar smagiem noziegumiem, no PDR direktīvas 3. panta 9. punkta noteikumiem tomēr izriet, ka šādus nodarījumus var uzskatīt par smagiem noziegumiem tikai tad, ja saskaņā ar attiecīgās dalībvalsts tiesību aktiem par tiem ir paredzēts brīvības atņemšanas sods vai ar brīvības atņemšanu saistīts drošības līdzeklis, kura maksimālais ilgums ir vismaz trīs gadi. No šīs tiesību normas izrietošās prasības, kas attiecas uz piemērojamā soda veidu un smagumu, principā ir tādas, kas ierobežo ar minēto direktīvu izveidotās sistēmas piemērošanu attiecībā uz pietiekami smagiem nodarījumiem, lai attaisnotu iejaukšanos Hartas 7. un 8. pantā paredzētajās pamattiesībās, ko rada ar šo pašu direktīvu izveidotā sistēma.
151 Tomēr, ciktāl PDR direktīvas 3. panta 9. punktā ir atsauce nevis uz minimālo, bet gan maksimālo piemērojamo sodu, nav izslēgts, ka PDR datus var apstrādāt, lai apkarotu noziedzīgus nodarījumus, kuri, lai gan atbilst šajā noteikumā paredzētajam smaguma sliekšņa kritērijam, ņemot vērā valsts krimināltiesību sistēmas īpatnības, ietilpst nevis smagu noziegumu, bet gan parastu noziegumu jomā.
152 Tāpēc dalībvalstu pienākums ir nodrošināt, lai ar PDR direktīvu izveidotās sistēmas piemērošana efektīvi aprobežotos ar cīņu pret smagiem noziegumiem un lai šī sistēma netiktu attiecināta uz parastiem noziedzīgiem nodarījumiem.
3) Par saikni starp PDR datiem un šādu datu apstrādes nolūkiem
153 Jāatzīst – kā to būtībā secinājumu 119. punktā norādījis ģenerāladvokāts –, ka PDR direktīvas 3. panta 8. un 9. punktā, lasot tos kopsakarā ar tās II pielikumu, nav skaidri norādīts tāds kritērijs, kas ierobežotu šīs direktīvas piemērošanas jomu ar nodarījumiem, kuri pēc savas būtības vismaz netieši var būt objektīvi saistīti ar gaisa satiksmi un tādējādi ar datu kategorijām, kas ir nosūtītas, apstrādātas un uzglabātas saskaņā ar minēto direktīvu.
154 Tomēr, kā ģenerāladvokāts norādījis secinājumu 121. punktā, daži PDR direktīvas II pielikumā uzskaitītie nodarījumi, piemēram, cilvēku tirdzniecība, narkotiku vai ieroču tirdzniecība, neatļautas ieceļošanas un uzturēšanās veicināšana vai lidmašīnas nolaupīšana, pēc savas būtības var būt tieši saistīti ar pasažieru pārvadājumiem ar gaisa transportu. Tas pats attiecas uz dažiem teroristu nodarījumiem, piemēram, plašu transporta sistēmas vai infrastruktūras postījumu nodarīšanu vai gaisa kuģu sagrābšanu, kas minēti Pamatlēmuma 2002/475 1. panta 1. punkta d) un e) apakšpunktā, uz kuru ir izdarīta atsauce PDR direktīvas 3. panta 8. punktā, vai arī ceļošanas veikšanu terorisma nolūkā un šādas ceļošanas organizēšanu vai veicināšanu, kas minēta Direktīvas 2017/541 9. un 10. pantā.
155 Šajā kontekstā jāatgādina arī, ka Komisija 2011. gada 2. februāra Priekšlikumu Eiropas Parlamenta un Padomes direktīvai par pasažieru datu reģistra (PDR) datu izmantošanu teroristu nodarījumu un smagu noziegumu novēršanai, atklāšanai, izmeklēšanai un saukšanai pie atbildības par tiem (COM(2011) 32 final), kas ir PDR direktīvas pirmsākums, pamatoja, uzsverot, ka “atentāti ASV 2001. gadā, izjauktais atentāta plāns 2006. gada augustā, kura mērķis bija uzspridzināt vairākas lidmašīnas, kas lidoja starp Apvienoto Karalisti un Amerikas Savienotajām Valstīm, un atentāta mēģinājums reisā Amsterdama–Detroita 2009. gada decembrī pierādīja, ka teroristi spēj veikt uzbrukumus starptautiskiem lidojumiem jebkurā valstī”, un ka “lielākā daļa teroristu darbību ir starptautiskas un ietver starptautiskus ceļojumus, tostarp uz treniņnometnēm, kas atrodas ārpus Savienības”. Turklāt, lai pamatotu vajadzību veikt PDR datu analīzi smagu noziegumu apkarošanas nolūkā, Komisija kā piemēru minēja gadījumu ar cilvēku kontrabandistu grupu, kas cilvēku tirdzniecības nolūkos bija uzrādījusi viltotus dokumentus, lai reģistrētos lidojumam, kā arī gadījumu, kad cilvēku tirdzniecības un narkotiku kontrabandas tīkls narkotiku ievešanai vairākās Eiropas daļās izmantoja cilvēku tirdzniecības upurus, kuri aviobiļetes iegādājās, izmantojot nozagtas kredītkartes. Tomēr visi šie gadījumi attiecās uz nodarījumiem, kas bija tieši saistīti ar pasažieru pārvadāšanu ar gaisa transportu, proti, tie bija nodarījumi, kas bija vērsti uz pasažieru pārvadāšanu ar gaisa transportu, kā arī nodarījumi, kas izdarīti, ceļojot ar gaisa transportu vai saistībā ar to.
156 Turklāt ir svarīgi konstatēt, ka pat nodarījumiem, kuriem nav šādas tiešas saiknes ar pasažieru pārvadāšanu ar gaisa transportu, atkarībā no lietas apstākļiem var būt netieša saikne ar pasažieru pārvadāšanu ar gaisa transportu. Tas it īpaši attiecas uz gadījumiem, kad gaisa transportu izmanto kā līdzekli, lai sagatavotu šādus nodarījumus vai izvairītos no kriminālvajāšanas pēc to izdarīšanas. Turpretim pārkāpumi, kuriem nav nekādas, pat netiešas, objektīvas saiknes ar pasažieru gaisa pārvadājumiem, nevar attaisnot PDR direktīvā noteiktās sistēmas piemērošanu.
157 Šādos apstākļos šīs direktīvas 3. panta 8. un 9. punkts, lasot tos kopsakarā ar tās II pielikumu un ņemot vērā no Hartas 7. un 8. panta un 52. panta 1. punkta izrietošās prasības, uzliek dalībvalstīm pienākumu nodrošināt, it īpaši šīs direktīvas 6. panta 5. punktā paredzētās individuālās pārbaudes ar neautomatizētiem līdzekļiem laikā, ka ar šo direktīvu izveidotās sistēmas piemērošana attiecas tikai uz teroristu nodarījumiem un tikai uz tādiem smagiem noziegumiem, kas ir vismaz netieši objektīvi saistīti ar pasažieru pārvadājumiem ar gaisa transportu.
4) Par aviopasažieriem un attiecīgajiem lidojumiem
158 Ar PDR direktīvu izveidotā sistēma aptver PDR datus par visām personām, uz kurām attiecas jēdziens “pasažieris”, kā tas definēts šīs direktīvas 3. panta 4. punktā, un kuras lido ar reisiem, uz kuriem attiecas šī direktīva.
159 Saskaņā ar minētās direktīvas 8. panta 1. punktu šādus datus nosūta tās dalībvalsts PIN, kuras teritorijā ir lidojums ielidošanas vieta vai no kuras teritorijas tas izlido, neatkarīgi no jebkādiem objektīviem elementiem, kas ļautu uzskatīt, ka attiecīgie pasažieri varētu radīt risku, ka tie varētu būt iesaistīti teroristu nodarījumos vai smagos noziegumos. Tomēr šādi nosūtītie dati saskaņā ar PDR direktīvas 6. panta 2. punkta a) apakšpunktu un 3. punktu tiek pakļauti automatizētai apstrādei iepriekšējas izvērtēšanas gaitā, un tās mērķis, kā izriet no šīs direktīvas 7. apsvēruma, ir identificēt personas, kuras pirms šīs izvērtēšanas netika turētas aizdomās par saistību ar teroristu nodarījumiem vai smagiem noziegumiem un kuras būtu turpmāk rūpīgi jāpārbauda kompetentajām iestādēm.
160 It īpaši no PDR direktīvas 1. panta 1. punkta a) apakšpunkta un 2. panta izriet, ka direktīvā ir nošķirti pasažieri, kas veic lidojumus ārpus Savienības, kuri notiek starp Savienību un trešām valstīm, un pasažieri, kas veic lidojumus Savienības iekšienē, kuri notiek starp dažādām dalībvalstīm.
161 Attiecībā uz ārpus Savienības veiktu reisu pasažieriem jāatgādina, ka saistībā ar pasažieriem, kas veic lidojumus starp Savienību un Kanādu, Tiesa jau ir atzinusi, ka PDR datu automatizēta apstrāde pirms ierašanās Kanādā atvieglo un paātrina drošības pārbaudes uz robežām. Turklāt noteiktu kategoriju personu vai noteiktu izcelsmes zonu izslēgšana varētu radīt šķērsli PDR datu automatizētas apstrādes mērķim, proti, šo datu pārbaudes ceļā no visiem aviopasažieriem identificēt personas, kas iespējami varētu apdraudēt sabiedrības drošību, un tādējādi pieļaut, ka šāda pārbaude varētu tikt apieta (šajā nozīmē skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 187. punkts).
162 Šos apsvērumus var mutatis mutandis attiecināt uz pasažieriem, kuri veic lidojumus starp Savienību un visām trešām valstīm un attiecībā uz kuriem dalībvalstīm saskaņā ar PDR direktīvas 1. panta 1. punkta a) apakšpunktu, lasot to kopsakarā ar šīs direktīvas 3. panta 2. un 4. punktu, ir pienākums piemērot PDR direktīvā noteikto sistēmu. Proti, to aviopasažieru PDR datu nosūtīšanu un iepriekšēju izvērtēšanu, kuri ieceļo Savienībā vai izceļo no tās, nevar attiecināt tikai uz konkrētu aviopasažieru loku, ņemot vērā to draudu būtību sabiedrības drošībai, ko var radīt teroristu nodarījumi un smagi noziegumi, kuri ir objektīvi vismaz netieši saistīti ar pasažieru gaisa pārvadājumiem starp Savienību un trešām valstīm. Līdz ar to ir jāuzskata, ka pastāv nepieciešamā saikne starp šiem datiem un mērķi apkarot šādus nodarījumus, tādējādi PDR direktīva nepārsniedz absolūti nepieciešamā robežas tikai tāpēc, ka tā paredz dalībvalstīm pienākumu sistemātiski pārsūtīt un iepriekš izvērtēt visu šo pasažieru PDR datus.
163 Attiecībā uz pasažieriem, kas veic lidojumus starp dažādām Savienības dalībvalstīm, PDR direktīvas 2. panta 1. punktā, lasot to kopsakarā ar tās 10. apsvērumu, ir paredzēta tikai iespēja dalībvalstīm paplašināt ar minēto direktīvu izveidotās sistēmas piemērošanu, attiecinot to arī uz Savienības iekšējiem lidojumiem.
164 Tādējādi Savienības likumdevējs nav paredzējis uzlikt dalībvalstīm pienākumu paplašināt ar PDR direktīvu izveidotās sistēmas piemērošanu, attiecinot to arī uz Savienības iekšējiem lidojumiem, bet, kā izriet no šīs direktīvas 19. panta 3. punkta, ir atlicis lēmumu par šādu paplašināšanu, uzskatot, ka pirms tam ir jāveic detalizēts novērtējums par tās juridisko ietekmi, it īpaši uz attiecīgo personu pamattiesībām.
165 Šajā ziņā jāatzīmē – nosakot, ka PDR direktīvas 19. panta 1. punktā minētajā Komisijas pārskatīšanas ziņojumā “pārskata arī to, vai būtu nepieciešami, samērīgi un iedarbīgi šīs direktīvas darbības jomā iekļaut PDR datu obligātu vākšanu un nosūtīšanu attiecībā uz visiem vai izvēlētiem ES iekšējiem lidojumiem”, un ka tai šajā ziņā ir jāņem vērā “pieredze, kas gūta dalībvalstīs, it īpaši tajās dalībvalstīs, kuras saskaņā ar 2. pantu piemēro šo direktīvu ES iekšējiem lidojumiem”, šīs direktīvas 19. panta 3. punktā ir skaidri norādīts, ka, pēc Savienības likumdevēja domām, ar minēto direktīvu izveidotā sistēma nav obligāti jāpiemēro visiem Savienības iekšējiem lidojumiem.
166 Tāpat PDR direktīvas 2. panta 3. punktā ir noteikts, ka dalībvalstis var nolemt piemērot šo direktīvu tikai dažiem Savienības iekšējiem lidojumiem, ja tās uzskata to par nepieciešamu, lai sasniegtu minētās direktīvas mērķus, vienlaikus tās jebkurā brīdī mainīt šādu lidojumu izvēli.
167 Katrā ziņā iespēja dalībvalstīm paplašināt ar PDR direktīvu izveidotās sistēmas piemērošanu, attiecinot to arī uz Savienības iekšējiem lidojumiem, ir jāīsteno – kā tas izriet no direktīvas 22. apsvēruma –, pilnībā ievērojot Hartas 7. un 8. pantā garantētās pamattiesības. Šajā ziņā, lai gan saskaņā ar minētās direktīvas 19. apsvērumu dalībvalstīm ir jāizvērtē teroristu nodarījumu un smagu noziegumu radītie draudi, šīs iespējas izmantošana paredz, ka, veicot šo izvērtējumu, dalībvalstis secina, ka šādu nodarījumu radītie draudi ir tādi, kas attaisno šīs pašas direktīvas piemērošanu arī Savienības iekšējiem lidojumiem.
168 Šādos apstākļos dalībvalsts, ja tā vēlas izmantot PDR direktīvas 2. pantā paredzēto iespēju – vai nu attiecībā uz visiem Savienības iekšējiem lidojumiem saskaņā ar šā panta 2. punktu, vai tikai uz dažiem no šiem lidojumiem saskaņā ar minētā panta 3. punktu –, nav atbrīvota no pienākuma pārbaudīt, vai šīs direktīvas piemērošanas attiecināšana uz visiem vai dažiem Savienības iekšējiem lidojumiem ir patiešām nepieciešama un samērīga, lai sasniegtu šīs direktīvas 1. panta 2. punktā minēto mērķi.
169 Tādējādi, ņemot vērā PDR direktīvas 5.–7., 10. un 22. apsvērumu, šādai dalībvalstij ir jāpārliecinās, ka šajā direktīvā paredzētā PDR datu apstrāde par pasažieriem, kuri veic lidojumus Savienības iekšienē vai dažus no šiem lidojumiem, ir absolūti nepieciešama, ņemot vērā Hartas 7. un 8. pantā garantēto pamattiesību aizskāruma nopietnību, lai nodrošinātu Savienības iekšējo drošību vai vismaz minētās dalībvalsts iekšējo drošību un tādējādi aizsargātu personu dzīvību un drošību.
170 It īpaši attiecībā uz draudiem, kas saistīti ar teroristu nodarījumiem, no Tiesas judikatūras izriet, ka teroristiskas darbības ir vienas no tām, kas var nopietni destabilizēt valsts konstitucionālās, politiskās, ekonomiskās vai sociālās pamatstruktūras un it īpaši radīt tiešus draudus sabiedrībai, iedzīvotājiem vai valstij kā tādai, un ka katras dalībvalsts primārajās interesēs ir novērst un apspiest šādas darbības, lai aizsargātu valsts pamatfunkcijas un sabiedrības pamatintereses ar nolūku garantēt valsts drošību. Šādus draudus no vispārējā un pastāvīgā smagu noziedzīgu nodarījumu riska atšķir to raksturs, īpašā nopietnība un to apstākļu specifika, kādos tie rodas (šajā nozīmē skat. spriedumus, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 135. un 136. punkts, kā arī 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 61. un 62. punkts).
171 Tādējādi, ja, pamatojoties uz dalībvalsts veikto novērtējumu, tiek konstatēts, ka pastāv pietiekami konkrēti apstākļi, lai uzskatītu, ka dalībvalsts saskaras ar reāliem un esošiem vai paredzamiem terorisma draudiem, tas, ka šī dalībvalsts saskaņā ar PDR direktīvas 2. panta 1. punktu paredz šīs direktīvas piemērošanu visiem Savienības iekšējiem lidojumiem no minētās dalībvalsts vai uz minēto dalībvalsti uz ierobežotu laikposmu, šķiet, nepārsniedz absolūti nepieciešamā robežas. Šādu draudu pastāvēšana pati par sevi ir pietiekama, lai noteiktu saikni starp attiecīgo datu nosūtīšanu un apstrādi, no vienas puses, un cīņu pret terorismu, no otras puses (pēc analoģijas skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 137. punkts).
172 Jābūt iespējai lēmumu, kas paredz šo piemērošanu, efektīvi pārskatīt tiesā vai neatkarīgā administratīvajā iestādē, kuras lēmumam ir saistošs spēks, lai pārbaudītu, vai šī situācija pastāv un vai tiek ievēroti nosacījumi un garantijas, kas jānodrošina. Piemērošanas termiņš arī jāierobežo uz laiku, kas nepārsniedz absolūti nepieciešamo, bet kas būtu pagarināms, ja šie draudi saglabājas (pēc analoģijas skat. spriedumus, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 168. punkts, kā arī 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 58. punkts).
173 Savukārt, ja nav reālu un esošu vai paredzamu terorisma draudu, ar kuriem saskaras attiecīgā dalībvalsts, nevar uzskatīt, ka PDR direktīvā paredzētās sistēmas piemērošana bez nošķīruma ne tikai lidojumiem ārpus Savienības, bet arī visiem Savienības iekšējiem lidojumiem aprobežojas ar to, kas ir absolūti nepieciešams.
174 Šādā situācijā PDR direktīvā paredzētās sistēmas piemērošana konkrētiem Savienības iekšējiem lidojumiem ir jāierobežo ar to lidojumu PDR datu nosūtīšanu un apstrādi, kas it īpaši attiecas uz konkrētiem gaisa satiksmes maršrutiem vai ceļojumu modeļiem, vai konkrētām lidostām, par kurām ir norādes, kas var pamatot šādu piemērošanu. Šādā situācijā attiecīgajai dalībvalstij ir jāizvēlas Savienības iekšējie lidojumi saskaņā ar tā novērtējuma rezultātiem, kas tai ir jāveic, pamatojoties uz šā sprieduma 163.–169. punktā izklāstītajām prasībām, un regulāri jāpārskata šis novērtējums, ņemot vērā to apstākļu izmaiņas, kas pamatojušas to izvēli, lai nodrošinātu, ka ar minēto direktīvu izveidotās sistēmas piemērošana Savienības iekšējiem lidojumiem vienmēr aprobežojas ar to, kas ir absolūti nepieciešams.
175 No iepriekš minētajiem apsvērumiem izriet, ka šāda PDR direktīvas 2. panta un 3. panta 4. punkta interpretācija, lasot tos kopsakarā ar Hartas 7. un 8. pantu, kā arī 52. panta 1. punktu, nodrošina, ka ar šīm tiesību normām tiek ievērotas absolūti nepieciešamā robežas.
5) Par PDR datu iepriekšēju izvērtēšanu, izmantojot automatizētu apstrādi
176 Saskaņā ar PDR direktīvas 6. panta 2. punkta a) apakšpunktu minētajā direktīvā paredzētā iepriekšēja novērtējuma mērķis ir identificēt personas, attiecībā uz kurām ir nepieciešama turpmāka pārbaude, it īpaši šīs direktīvas 7. pantā minētajām kompetentajām iestādēm, ņemot vērā, ka šīs personas var būt iesaistītas teroristu nodarījumā vai smagā noziegumā.
177 Šis iepriekšējais novērtējums notiek divos posmos. Pirmkārt, attiecīgās dalībvalsts PIN saskaņā ar PDR direktīvas 6. panta 3. punktu veic PDR datu automatizētu apstrādi, salīdzinot tos ar datubāzēm vai iepriekš noteiktiem kritērijiem. Otrkārt, ja automatizētās apstrādes darbību rezultātā tiek konstatēta pozitīva atbilsme (hit), minētā nodaļa saskaņā ar šīs direktīvas 6. panta 5. punktu veic individuālu pārbaudi ar neautomatizētiem līdzekļiem, lai noskaidrotu, vai minētās direktīvas 7. pantā paredzētajām kompetentajām iestādēm ir jāveic pasākumi saskaņā ar valsts tiesību aktiem (match).
178 Tomēr, kā atgādināts šā sprieduma 106. punktā, automatizētai apstrādei neizbēgami ir diezgan augsts kļūdu īpatsvars, ciktāl tā tiek veikta, pamatojoties uz nepārbaudītiem personas datiem un iepriekš noteiktiem kritērijiem.
179 Šādos apstākļos un ņemot vērā Hartas preambulas ceturtajā apsvērumā uzsvērto nepieciešamību stiprināt pamattiesību aizsardzību, it īpaši, ņemot vērā zinātnes un tehnoloģiju attīstību, ir jānodrošina, kā noteikts PDR direktīvas 20. apsvērumā un 7. panta 6. punktā, ka kompetentās iestādes nedrīkst pieņemt nevienu lēmumu, kas rada tiesiskas sekas, kuras kaitē personai vai būtiski to ietekmē, pamatojoties vienīgi uz PDR datu automatizētu apstrādi. Turklāt saskaņā ar šīs direktīvas 6. panta 6. punktu PIN pati var nosūtīt PDR datus šīm iestādēm tikai pēc individuālas pārbaudes, kas veikta ar neautomatizētiem līdzekļiem. Visbeidzot papildus minētajām pārbaudēm, kuras ir jāveic pašai PIN un kompetentajām iestādēm, visu automatizētās apstrādes darbību likumība ir jāpārbauda datu aizsardzības inspektoram un valsts uzraudzības iestādei saskaņā attiecīgi ar minētās direktīvas 6. panta 7. punktu un 15. panta 3. punkta b) apakšpunktu, kā arī valsts tiesām, izmantojot tiesiskās aizsardzības līdzekļus, kas paredzēti šīs pašas direktīvas 13. panta 1. punktā.
180 Kā ģenerāladvokāts būtībā norādījis secinājumu 207. punktā, valsts uzraudzības iestādei, datu aizsardzības inspektoram un PIN ir jānodrošina materiālie un cilvēkresursi, kas nepieciešami, lai veiktu uzraudzību, kas no tiem tiek prasīta saskaņā ar PDR direktīvu. Turklāt valsts tiesību aktos, ar kuriem šo direktīvu transponē valsts tiesībās un atļauj tajā paredzētās automatizētās apstrādes darbības, ir jāparedz skaidri un precīzi noteikumi, kas reglamentē datubāzu un izmantoto analīzes kritēriju noteikšanu, iepriekšējas novērtēšanas nolūkā neizmantojot citas metodes, kas nav skaidri paredzētas šīs direktīvas 6. panta 2. punktā.
181 Turklāt no PDR direktīvas 6. panta 9. punkta izriet, ka tās 6. panta 2. punkta a) apakšpunktā paredzētā iepriekšēja novērtējuma sekas neapdraud to personu ieceļošanas tiesības, kuras izmanto Direktīvā 2004/38 paredzētās tiesības brīvi pārvietoties attiecīgās dalībvalsts teritorijā, un turklāt tām jāatbilst Regulai Nr. 562/2006. Tādējādi ar PDR direktīvu izveidotā sistēma neļauj kompetentajām iestādēm ierobežot šīs tiesības vairāk, nekā paredzēts Direktīvā 2004/38 un Regulā Nr. 562/2006.
i) PDR datu salīdzinājums ar datubāzēm
182 Saskaņā ar PDR direktīvas 6. panta 3. punkta a) apakšpunktu, veicot šīs direktīvas 6. panta 2. punkta a) apakšpunktā minēto novērtējumu, PIN “var” salīdzināt PDR datus ar “datubāzēm, kuras ir lietderīgas nolūkā” novērst, atklāt un izmeklēt teroristu nodarījumus un smagus noziegumus un saukt pie atbildības par tiem, “tostarp datubāzēm par personām vai objektiem, kuri tiek meklēti vai par kuriem ir izdots brīdinājums saskaņā ar Savienības, starptautiskiem un valsts noteikumiem, ko piemēro šādām datubāzēm”.
183 Lai gan no paša PDR direktīvas 6. panta 3. punkta a) apakšpunkta formulējuma, it īpaši no vārda “tostarp”, izriet, ka datubāzes, kas attiecas uz personām vai priekšmetiem, kuri tiek meklēti vai par kuriem ir izdots brīdinājums, ir starp minētajā noteikumā minētajām “datubāzēm, kuras ir lietderīgas”, šajā noteikumā nav precizēts, kuras citas datubāzes arī varētu uzskatīt par “lietderīgām”, ņemot vērā šīs direktīvā izvirzītos mērķus. Proti, kā ģenerāladvokāts norādījis secinājumu 217. punktā, minētajā tiesību normā nav skaidri noteikts, kādi dati var būt šādās datubāzēs un kāda ir to saistība ar šiem mērķiem, kā arī nav norādīts, vai PDR dati ir jāsalīdzina tikai ar valsts iestāžu pārvaldītām datubāzēm vai arī tie var tikt salīdzināti arī ar privātpersonu pārvaldītām datubāzēm.
184 Šādos apstākļos PDR direktīvas 6. panta 3. punkta a) apakšpunktu pirmšķietami varētu interpretēt tādējādi, ka PDR datus var izmantot tikai kā meklēšanas kritērijus, lai veiktu analīzi dažādās datubāzēs, tostarp datubāzēs, ko dalībvalstu drošības un izlūkošanas iestādes pārvalda un izmanto, lai sasniegtu mērķus, kas nav minēti šajā direktīvā, un ka šāda analīze var izpausties kā datizrace (data mining). Tomēr iespēja veikt šādu analīzi un salīdzināt PDR datus ar šādām datubāzēm, visticamāk, gaisa transporta pasažieriem radītu sajūtu, ka viņu privātā dzīve ir pakļauta uzraudzībai. Tādējādi, lai gan šajā noteikumā paredzētā iepriekšēja izvērtēšana sākas ar salīdzinoši ierobežotu datu kopumu, proti, PDR datiem, šādu šī 6. panta 3. punkta a) apakšpunkta interpretāciju nevar pieņemt, jo tā varētu radīt nesamērīgu šo datu, kas ir līdzekļi, lai noteiktu attiecīgo personu precīzu profilu, izmantošanu tikai tādēļ, ka šīs personas plāno ceļot ar gaisa transportu.
185 Tādējādi saskaņā ar šā sprieduma 86. un 87. punktā minēto judikatūru PDR direktīvas 6. panta 3. punkta a) apakšpunkts ir jāinterpretē tā, lai nodrošinātu Hartas 7. un 8. pantā paredzēto pamattiesību pilnīgu ievērošanu.
186 Šajā ziņā no PDR direktīvas 7. un 15. apsvēruma izriet, ka šīs direktīvas 6. panta 3. punkta a) apakšpunktā paredzētajai automatizētajai apstrādei ir jāaprobežojas ar to, kas ir absolūti nepieciešams, lai cīnītos pret teroristu nodarījumiem un smagiem noziegumiem, vienlaikus nodrošinot šo pamattiesību augstu aizsardzības līmeni.
187 Turklāt, kā Komisija būtībā ir norādījusi, atbildot uz Tiesas jautājumu, šā noteikuma formulējums, saskaņā ar kuru PIN “var” salīdzināt PDR datus ar tajā paredzētajām datubāzēm, ļauj PIN atkarībā no konkrētās situācijas izvēlēties apstrādes metodi, kas nepārsniedz tikai to, kas ir absolūti nepieciešams. Ņemot vērā nepieciešamību ievērot skaidrības un precizitātes prasības, kas nepieciešamas, lai nodrošinātu Hartas 7. un 8. pantā noteikto pamattiesību aizsardzību, PIN ir pienākums ierobežot PDR direktīvas 6. panta 3. punkta a) apakšpunktā paredzēto automatizēto apstrādi, attiecinot to tikai uz tām datubāzēm, kuras šis noteikums ļauj identificēt. Šajā ziņā, lai gan pēdējā minētajā noteikumā ietvertā atsauce uz “datubāzēm, kuras ir lietderīgas”, neļauj to interpretēt, pietiekami skaidri un precīzi precizējot datubāzes, uz kurām tā attiecas, to pašu nevar teikt par atsauci uz “datubāzēm, kas attiecas uz personām vai priekšmetiem, kurus meklē vai par kuriem ir izdots brīdinājums saskaņā ar valsts, starptautiskajiem un Savienības noteikumiem, kas piemērojami šādām datubāzēm”.
188 Tādējādi, kā ģenerāladvokāts būtībā norādījis secinājumu 219. punktā, PDR direktīvas 6. panta 3. punkta a) apakšpunkts, ņemot vērā šīs pamattiesības, ir jāinterpretē tādējādi, ka šīs datubāzes ir vienīgās datubāzes, ar kurām PIN var salīdzināt PDR datus.
189 Attiecībā uz prasībām, kurām jāatbilst šīm datubāzēm, jāatzīmē, ka saskaņā ar PDR direktīvas 6. panta 4. punktu iepriekšējai izvērtēšanai, kas veikta, ņemot vērā iepriekš noteiktus kritērijus, saskaņā ar šīs direktīvas 6. panta 3. punkta b) apakšpunktu ir jābūt nediskriminējošai, šiem kritērijiem jābūt mērķorientētiem, samērīgiem un konkrētiem un tie jānosaka un regulāri jāpārskata PIN sadarbībā ar minētās direktīvas 7. pantā paredzētajām kompetentajām iestādēm. Ja, atsaucoties uz šīs pašas direktīvas 6. panta 3. punkta b) apakšpunktu, šā 6. panta 4. punkta noteikumi attiecas tikai uz PDR datu apstrādi, ņemot vērā iepriekš noteiktus kritērijus, šis pēdējais noteikums ir jāinterpretē, ņemot vērā Hartas 7., 8. un 21. pantu, tādā nozīmē, ka tajā noteiktās prasības ir mutatis mutandis jāpiemēro šo datu salīdzināšanai ar šā sprieduma iepriekšējā punktā minētajām datubāzēm, it īpaši tāpēc, ka šīs prasības būtībā atbilst tām, kas PDR datu kontrolpārbaudei ar datubāzēm noteiktas judikatūrā, kura izriet no 2017. gada 26. jūlija Atzinuma 1/15 (ES un Kanādas PDR nolīgums) (EU:C:2017:592, 172. punkts).
190 Šajā ziņā jāprecizē, ka prasība par minēto datubāžu nediskriminējošu raksturu citastarp nozīmē, ka ierakstiem datubāzēs par personām, kuras tiek meklētas vai par kurām ir izsludināts brīdinājums, jābūt balstītiem uz objektīviem un nediskriminējošiem faktoriem, kas noteikti valsts, starptautiskajos un Savienības noteikumos, kurus piemēro šādām datubāzēm (pēc analoģijas skat. spriedumu, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 78. punkts).
191 Turklāt, lai izpildītu prasību par mērķorientēto raksturu, samērīgumu un atbilstību iepriekš minētajiem kritērijiem, šā sprieduma 188. punktā minētās datubāzes ir jāizmanto saistībā ar cīņu pret teroristu nodarījumiem un smagiem noziegumiem, kas ir objektīvi vismaz netieši saistīti ar pasažieru gaisa pārvadājumiem.
192 Bez tam saskaņā ar PDR direktīvas 6. panta 3. punkta a) apakšpunktu izmantotās datubāzes, ņemot vērā šā sprieduma 183. un 184. punktā izklāstītos apsvērumus, ir jāpārvalda šīs direktīvas 7. pantā minētajām kompetentajām iestādēm vai – Savienības datubāžu un starptautisko datubāžu gadījumā – jāizmanto šīm iestādēm saistībā ar to uzdevumu apkarot teroristu nodarījumus un smagus noziegumus. Tas attiecas uz datubāzēm par personām vai priekšmetiem, kuri tiek meklēti vai par kuriem ir izdots brīdinājums saskaņā ar valsts, starptautiskajiem un Savienības noteikumiem, kas piemērojami šādām datubāzēm.
ii) Par PDR datu apstrādi, ņemot vērā iepriekš noteiktus kritērijus
193 PDR direktīvas 6. panta 3. punkta b) apakšpunktā ir noteikts, ka PIN var apstrādāt PDR datus arī saskaņā ar iepriekš noteiktiem kritērijiem. No šīs direktīvas 6. panta 2. punkta a) apakšpunkta izriet, ka PDR datu iepriekšējas izvērtēšanas un līdz ar to arī apstrādes, pamatojoties uz iepriekš noteiktiem kritērijiem, mērķis būtībā ir identificēt personas, kuras varētu būt iesaistītas teroristu nodarījumā vai smagā noziegumā.
194 Attiecībā uz kritērijiem, kurus PIN var izmantot šim nolūkam, pirmkārt, jāatzīmē, ka saskaņā ar PDR direktīvas 6. panta 3. punkta b) apakšpunkta noteikumiem šiem kritērijiem jābūt “iepriekš noteiktiem”. Kā ģenerāladvokāts norādījis secinājumu 228. punktā, šī prasība nepieļauj mākslīgā intelekta tehnoloģiju izmantošanu mašīnmācīšanās (machine learning) ietvaros, kas spēj bez cilvēka iejaukšanās un kontroles mainīt novērtēšanas procesu un it īpaši novērtēšanas kritērijus, uz kuriem balstās tā piemērošanas rezultāts, un šo kritēriju svērumu.
195 Svarīgi piebilst, ka šādu tehnoloģiju izmantošana radītu risku, ka PDR direktīvas noteikumos paredzētā pozitīvo atbilsmju individuālā pārbaude un likumības pārbaude varētu kļūt neefektīva. Proti, kā ģenerāladvokāts būtībā norādījis secinājumu 228. punktā, ņemot vērā mākslīgā intelekta tehnoloģiju darbības nepārredzamību, var būt neiespējami saprast iemeslu, kādēļ konkrētā programma ir uzrādījusi pozitīvu atbilsmi. Šādos apstākļos šādu tehnoloģiju izmantošana varētu liegt attiecīgajām personām izmantot arī Hartas 47. pantā paredzētās tiesības uz efektīvu tiesību aizsardzību tiesā, kuras saskaņā ar PDR direktīvas 28. apsvērumu ir paredzēts garantēt augstā līmenī, it īpaši, lai apstrīdētu iegūto rezultātu nediskriminējošo raksturu.
196 Otrkārt, attiecībā uz prasībām, kas izriet no PDR direktīvas 6. panta 4. punkta, minētā noteikuma pirmajā teikumā ir noteikts, ka iepriekšēju izvērtēšanu pēc iepriekš noteiktiem kritērijiem veic nediskriminējošā veidā, un ceturtajā teikumā ir precizēts, ka šie kritēriji nekādā gadījumā nedrīkst būt balstīti uz personas rasi vai etnisko izcelsmi, politiskajiem uzskatiem, reliģisko vai filozofisko pārliecību, dalību arodbiedrībās, veselības stāvokli, seksuālo dzīvi vai dzimumorientāciju.
197 Tādējādi dalībvalstis nedrīkst pieņemt kā iepriekš noteiktus tādus kritērijus, kuru pamatā ir šā sprieduma iepriekšējā punktā minētās pazīmes, kuru izmantošana var izraisīt diskrimināciju. Šajā ziņā no PDR direktīvas 6. panta 4. punkta ceturtā teikuma formulējuma, saskaņā ar kuru iepriekš noteiktie kritēriji “nekādā gadījumā” nav balstīti uz šīm īpašībām, izriet, ka šis noteikums attiecas gan uz tiešu, gan netiešu diskrimināciju. Turklāt šādu interpretāciju apstiprina arī Hartas 21. panta 1. punkts, kura gaismā ir jālasa minētais noteikums, kas aizliedz “jebkādu” diskrimināciju minēto pazīmju dēļ. Šādos apstākļos iepriekš noteiktie kritēriji ir jānosaka tā, lai to piemērošana – kaut gan tie būtu formulēti neitrāli – nevarētu radīt īpaši nelabvēlīgu situāciju personām ar aizsargātām iezīmēm.
198 No PDR direktīvas 6. panta 4. punkta otrajā teikumā noteiktajām prasībām par iepriekš noteiktu kritēriju mērķorientēto raksturu, samērīgumu un konkrētību izriet, ka iepriekšējai izvērtēšanai izmantotie kritēriji ir jānosaka tā, lai tie būtu vērsti tieši uz tām personām, attiecībā uz kurām varētu būt pamatotas aizdomas par līdzdalību teroristu nodarījumos vai smagos noziegumos, kā minēts šajā direktīvā. Šādu interpretāciju apstiprina arī pats tās 6. panta 2. punkta a) apakšpunkta formulējums, kurā uzsvērts “fakts”, ka attiecīgās personas “var būt” iesaistītas “teroristu nodarījumā” vai “smagā noziegumā”. Tāpat minētās direktīvas 7. apsvērumā ir precizēts, ka vērtēšanas kritēriju izveide un piemērošana būtu jāierobežo ar teroristu nodarījumiem un smagiem noziegumiem, “attiecībā uz kuriem šādu kritēriju izmantošana ir atbilstīga”.
199 Lai šādā veidā vērstos pret šādi paredzētām personām un ņemot vērā diskriminācijas risku, ko rada kritēriji, kuru pamatā ir PDR direktīvas 6. panta 4. punkta ceturtajā teikumā minētās iezīmes, PIN un kompetentās iestādes principā nevar balstīties uz šīm iezīmēm. Turpretim, kā Vācijas valdība norādīja tiesas sēdē, tās var ņemt vērā citastarp personu faktiskās rīcības īpatnības saistībā ar avioceļojuma sagatavošanu un veikšanu, kas saskaņā ar konstatētajiem faktiem un kompetento iestāžu gūto pieredzi varētu liecināt, ka personas, kas šādi rīkojas, varētu būt iesaistītas teroristiskos nodarījumos vai smagos noziegumos.
200 Šajā kontekstā, kā Komisija norādīja, atbildot uz Tiesas jautājumu, iepriekš noteiktie kritēriji ir jānosaka tā, lai ņemtu vērā gan “apsūdzošus”, gan “attaisnojošus” elementus, jo šī prasība varētu veicināt šo kritēriju ticamību un it īpaši nodrošināt to samērīgumu, kā to prasa PDR direktīvas 6. panta 4. punkta otrais teikums.
201 Visbeidzot, saskaņā ar šīs direktīvas 6. panta 4. punkta trešo teikumu iepriekš noteiktie kritēriji regulāri jāpārskata. Šajā pārskatīšanā šie kritēriji ir jāatjaunina, ņemot vērā apstākļu izmaiņas, kas pamatojušas to ņemšanu vērā iepriekšējā novērtējumā, tādējādi ļaujot it īpaši reaģēt uz izmaiņām cīņā pret šā sprieduma 157. punktā minētajiem teroristu nodarījumiem un smagiem noziegumiem (pēc analoģijas skat. spriedumu, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 82. punkts). It īpaši minētajā pārskatīšanā būtu jāņem vērā pieredze, kas gūta, piemērojot iepriekš noteiktos kritērijus, lai pēc iespējas samazinātu “kļūdaini pozitīvu” rezultātu skaitu un tādējādi veicinātu šo kritēriju piemērošanas stingru nepieciešamību.
iii) Par garantijām saistībā ar PDR datu automatizētu apstrādi
202 Atbilstība prasībām, kas PDR direktīvas 6. panta 4. punktā ir noteiktas PDR datu automatizētai apstrādei, ir nepieciešama ne tikai saistībā ar datubāzu noteikšanu un pārskatīšanu un šajā noteikumā paredzētajiem iepriekš noteiktajiem kritērijiem, bet arī, kā ģenerāladvokāts norādījis secinājumu 230. punktā, visā šo datu apstrādes procesā.
203 It īpaši attiecībā uz iepriekš noteiktajiem kritērijiem vispirms būtu jāprecizē – lai gan, kā norādīts PDR direktīvas 7. apsvērumā, PIN ir jānosaka novērtēšanas kritēriji tā, lai pēc iespējas samazinātu nevainīgu personu kļūdainu identifikāciju skaitu ar šajā direktīvā izveidoto sistēmu, saskaņā ar minētās direktīvas 6. panta 5. un 6. punktu tai pašai nodaļai ir jāveic individuāla pārbaude par jebkuru pozitīvu atbilsmi, izmantojot neautomatizētus līdzekļus, lai pēc iespējas labāk identificētu iespējamos “viltus pozitīvos rezultātus”. Turklāt, lai gan PIN ir jānosaka nediskriminējoši vērtēšanas kritēriji, tai ir pienākums veikt šādu pārbaudi, lai izslēgtu iespējamus diskriminējošus rezultātus. PIN ir jāievēro tas pats pārbaudes pienākums attiecībā uz PDR datu salīdzināšanu ar datubāzēm.
204 Tādējādi PIN ir jāatturas no šādas automatizētas apstrādes rezultātu nosūtīšanas PDR direktīvas 7. pantā minētajām kompetentajām iestādēm, ja, ņemot vērā šā sprieduma 198. punktā izklāstītos apsvērumus, minētās pārbaudes rezultātā tai nav pierādījumu, kas juridiski pietiekami pamatotu saprātīgas aizdomas par līdzdalību teroristu nodarījumos vai smagos noziegumos attiecībā uz personām, kas identificētas, izmantojot šādu automatizētu apstrādi, vai ja tai ir pierādījumi, ka šāda apstrāde rada diskriminējošus rezultātus.
205 Attiecībā uz pārbaudēm, kas PIN jāveic šajā nolūkā, no PDR direktīvas 6. panta 5. un 6. punkta, lasot to kopsakarā ar tās 20. un 22. apsvērumu, izriet, ka dalībvalstīm ir jāparedz skaidri un precīzi noteikumi, lai vadītu un uzraudzītu analīzi, ko veic par individuālo pārbaudi atbildīgās amatpersonas, lai nodrošinātu Hartas 7., 8. un 21. pantā noteikto pamattiesību pilnīgu ievērošanu un it īpaši lai garantētu konsekventu administratīvo praksi PIN saskaņā ar nediskriminācijas principu.
206 Konkrētāk, ņemot vērā šā sprieduma 106. punktā minēto diezgan lielo “viltus pozitīvo” rezultātu skaitu, dalībvalstīm jānodrošina, lai PIN skaidri un precīzi noteiktu objektīvus pārbaudes kritērijus, kas ļautu tās amatpersonām pārbaudīt, pirmkārt, vai un kādā mērā pozitīva atbilsme (hit) patiešām attiecas uz personu, kura, iespējams, ir iesaistīta šā sprieduma 157. punktā minētajos teroristu nodarījumos vai smagos noziegumos, un tādēļ šīs direktīvas 7. pantā minētajām kompetentajām iestādēm ir jāveic turpmāka pārbaude, kā arī, otrkārt, jāpārbauda minētajā direktīvā paredzēto automatizētās apstrādes darbību nediskriminējošais raksturs un it īpaši iepriekš noteiktie kritēriji un izmantotās datubāzes.
207 Šajā kontekstā dalībvalstīm ir pienākums nodrošināt, ka saskaņā ar PDR direktīvas 13. panta 5. punktu, lasot to saistībā ar tās 37. apsvērumu, PIN reģistrē jebkādu PDR datu apstrādi, kas veikta saistībā ar iepriekšēju novērtējumu, tostarp saistībā ar individuālu pārbaudi ar neautomatizētiem līdzekļiem, lai pārbaudītu tās likumību un veiktu paškontroli.
208 Saskaņā ar PDR direktīvas 7. panta 6. punkta pirmo teikumu kompetentās iestādes nedrīkst pieņemt lēmumu, kas rada tiesiskas sekas, kuras kaitē personai vai būtiski to ietekmē, pamatojoties tikai uz PDR datu automatizētu apstrādi, un tas nozīmē, ka, veicot iepriekšēju novērtējumu, tām ir jāņem vērā un attiecīgā gadījumā priekšroka jādod PIN ar neautomatizētiem līdzekļiem veiktās individuālās pārbaudes rezultātam, nevis automatizētas apstrādes rezultātā iegūtajam. Šā 7. panta 6. punkta otrajā teikumā ir precizēts, ka šādi lēmumi nedrīkst būt diskriminējoši.
209 Šajā kontekstā kompetentajām iestādēm ir jānodrošina gan šādas automatizētas apstrādes likumība, it īpaši tās nediskriminējošais raksturs, gan individuālas pārbaudes likumība.
210 It īpaši kompetentajām iestādēm ir jānodrošina, lai attiecīgā persona – neļaujot tai noteikti administratīvās procedūras laikā iepazīties ar iepriekš noteiktajiem vērtēšanas kritērijiem un programmām, kurās šie kritēriji tiek piemēroti, – varētu saprast šo kritēriju un programmu darbību, lai tā, pilnībā pārzinot faktus, varētu izlemt, vai izmantot savas tiesības uz tiesisko aizsardzību, ko garantē PDR direktīvas 13. panta 1. punkts, lai vajadzības gadījumā apstrīdētu minēto kritēriju prettiesiskumu un it īpaši diskriminējošo raksturu (pēc analoģijas skat. spriedumu, 2020. gada 24. novembris, Minister van Buitenlandse Zaken, C‑225/19 un C‑226/19, EU:C:2020:951, 43. punkts un tajā minētā judikatūra). Tas pats ir jāattiecina uz šā sprieduma 206. punktā minētajiem pārskatīšanas kritērijiem.
211 Visbeidzot saistībā ar pārsūdzību saskaņā ar PDR direktīvas 13. panta 1. punktu tiesnesim, kas ir atbildīgs par kompetento iestāžu pieņemtā lēmuma likumības pārbaudi, kā arī, izņemot valsts drošības apdraudējuma gadījumus, pašai attiecīgajai personai jābūt iespējai uzzināt gan visus iemeslus, gan pierādījumus, uz kuru pamata ir pieņemts šis lēmums (pēc analoģijas skat. spriedumu, 2013. gada 4. jūnijs, ZZ, C‑300/11, EU:C:2013:363, 54.–59. punkts), tostarp iepriekš noteiktos vērtēšanas kritērijus un programmu darbību, piemērojot šos kritērijus.
212 Turklāt attiecīgi saskaņā ar PDR direktīvas 6. panta 7. punktu un 15. panta 3. punkta b) apakšpunktu datu aizsardzības inspektors un valsts uzraudzības iestāde ir atbildīgi par PIN veikto automatizētās apstrādes darbību likumības uzraudzību saistībā ar iepriekšēju izvērtēšanu, tostarp par šādas apstrādes nediskriminējošo raksturu. Lai gan pirmajā no šiem noteikumiem ir noteikts, ka datu aizsardzības inspektoram ir piekļuve visiem datiem, ko apstrādā PIN, šai piekļuvei noteikti ir jāattiecas arī uz iepriekš noteiktiem kritērijiem un datubāzēm, ko izmanto PIN, lai nodrošinātu datu aizsardzības efektivitāti un augstu datu aizsardzības līmeni, kas datu aizsardzības inspektoram jānodrošina saskaņā ar šīs direktīvas 37. apsvērumu. Tāpat arī izmeklēšana, pārbaudes un revīzijas, ko valsts uzraudzības iestāde veic saskaņā ar otro no šiem noteikumiem, var attiekties uz šiem iepriekš noteiktajiem kritērijiem un datubāzēm.
213 No visiem iepriekš minētajiem apsvērumiem izriet, ka PDR direktīvas noteikumus, kas reglamentē PDR datu iepriekšēju izvērtēšanu saskaņā ar šīs direktīvas 6. panta 2. punkta a) apakšpunktu, var interpretēt saskaņā ar Hartas 7., 8. un 21. pantu, ievērojot to, kas ir absolūti nepieciešams.
6) Par PDR datu turpmāku izpaušanu un novērtēšanu
214 Saskaņā ar PDR direktīvas 6. panta 2. punkta b) apakšpunktu PDR datus pēc kompetento iestāžu pieprasījuma tām var paziņot un tos var izvērtēt arī pēc paredzētās ierašanās dalībvalstī vai izbraukšanas no tās.
215 Attiecībā uz nosacījumiem, ar kādiem var veikt šādu izpaušanu un novērtēšanu, no šā noteikuma teksta izriet, ka PIN var apstrādāt PDR datus, lai “katrā gadījumā atsevišķi” reaģētu uz kompetento iestāžu “pienācīgi motivētiem lūgumiem, kas ir pietiekami pamatoti”, sniegt un apstrādāt šādus datus “konkrētos gadījumos, lai novērstu, atklātu, izmeklētu teroristu nodarījumus vai smagus noziegumus un sauktu pie atbildības par tiem”. Turklāt, ja pieprasījums tiek iesniegts vairāk nekā sešus mēnešus pēc PDR datu nosūtīšanas PIN, kas ir termiņš, pēc kura visi PDR dati ir depersonalizēti, maskējot konkrētus elementus saskaņā ar šīs direktīvas 12. panta 2. punktu, minētās direktīvas 12. panta 3. punktā ir noteikts, ka visu PDR datu izpaušana un tādējādi arī PDR datu nedepersonalizētās versijas izpaušana ir atļauta tikai tad, ja ir izpildīti divi nosacījumi, proti, pirmkārt, ir pamats uzskatīt, ka tā ir nepieciešama minētās direktīvas 6. panta 2. punkta b) apakšpunktā minētajiem mērķiem, un, otrkārt, to ir apstiprinājusi tiesu iestāde vai cita valsts iestāde, kas ir kompetenta saskaņā ar valsts tiesību aktiem.
216 Šajā ziņā no pašiem PDR direktīvas 6. panta 2. punkta b) apakšpunkta noteikumiem izriet, ka PIN nevar sistemātiski izpaust un pēc tam izvērtēt visu aviopasažieru PDR datus un ka tā var tikai “katrā gadījumā atsevišķi” reaģēt uz lūgumiem veikt šādu apstrādi “konkrētos gadījumos”. Tomēr, ciktāl šis noteikums attiecas uz “konkrētiem gadījumiem”, šādai apstrādei nav obligāti jāaprobežojas tikai ar viena aviopasažiera PDR datiem, bet, kā Komisija norādīja, atbildot uz Tiesas jautājumu, tā var attiekties arī uz vairākām personām ar nosacījumu, ka attiecīgajām personām ir vairākas kopīgas pazīmes, kas ļauj tās kopā uzskatīt par “konkrētu gadījumu” vēlamās izpaušanas un novērtēšanas nolūkā.
217 Runājot par būtiskajiem nosacījumiem, kas ir jāizpilda, lai PDR datus par aviopasažieriem varētu turpmāk izpaust un izvērtēt, lai gan PDR direktīvas 6. panta 2. punkta b) apakšpunktā un 12. panta 3. punkta a) apakšpunktā attiecīgi ir norādīts “pietiekami pamatoti” un “ir pamats uzskatīt”, skaidri nenorādot šo pamatojumu būtību, tomēr no pirmā minētā noteikuma, kas attiecas uz šīs direktīvas 1. panta 2. punktā paredzētajiem mērķiem, izriet, ka PDR datu izpaušanu un turpmāku izvērtēšanu var veikt tikai nolūkā pārbaudīt, vai pastāv norādes par attiecīgo personu iespējamu saistību ar teroristu nodarījumiem vai smagiem noziegumiem, kas – kā izriet no šā sprieduma 157. punkta –, ir vismaz netieši objektīvi saistīti ar pasažieru gaisa pārvadājumiem.
218 Tomēr saskaņā ar PDR direktīvā noteikto sistēmu PDR datu izpaušana un apstrāde saskaņā ar šīs direktīvas 6. panta 2. punkta b) apakšpunktu attiecas uz to personu datiem, par kurām jau ir veikts iepriekšējs novērtējums pirms to paredzētās ierašanās attiecīgajā dalībvalstī vai izbraukšanas no tās. Turklāt pieprasījums veikt turpmāku izvērtēšanu, visticamāk, it īpaši attiecas uz personām, kuru PDR dati pēc iepriekšējas izvērtēšanas nav nosūtīti kompetentajām iestādēm, ciktāl izvērtēšanā nav atklāti pierādījumi, ka šīs personas varētu būt iesaistītas teroristu nodarījumos vai smagos noziegumos, kam ir objektīva vismaz netieša saikne ar pasažieru gaisa pārvadājumiem. Šādos apstākļos šo datu izpaušanai un apstrādei, lai tos turpmāk novērtētu, jābūt pamatotai ar jauniem apstākļiem, kas attaisno šādu izmantošanu (šajā nozīmē skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 200. punkts un tajā minētā judikatūra).
219 Attiecībā uz to apstākļu raksturu, kas var attaisnot PDR datu izpaušanu un apstrādi, lai tos vēlāk izvērtētu, saskaņā ar pastāvīgo judikatūru, tā kā vispārēju piekļuvi visiem saglabātajiem datiem neatkarīgi no jebkādas vismaz netiešas saiknes ar izvirzīto mērķi nevar uzskatīt par ierobežotu līdz tam, kas ir absolūti nepieciešams, attiecīgajiem tiesību aktiem neatkarīgi no tā, vai tie ir Savienības tiesību akti vai valsts noteikumi, kas paredzēti to transponēšanai, ir jābalstās uz objektīviem kritērijiem, lai noteiktu apstākļus un nosacījumus, kādos kompetentajām iestādēm ir jāpiešķir piekļuve attiecīgajiem datiem. Šajā ziņā piekļuvi saistībā ar mērķi apkarot noziedzību principā var piešķirt vienīgi to personu datiem, kuras tiek turētas aizdomās par smaga nozieguma plānošanu, sagatavošanos tam vai tā izdarīšanu vai arī kuras vienā vai otrā veidā ir saistītas ar šādu noziegumu. Tomēr īpašos gadījumos, proti, kad teroristiskas darbības rada apdraudējumu vitāli svarīgām valsts drošības, aizsardzības vai sabiedrības drošības interesēm, piekļuvi varētu piešķirt arī citu personu datiem, ja pastāv objektīvi apstākļi, kas ļauj uzskatīt, ka šie dati konkrētajā gadījumā varētu efektīvi sekmēt šādu darbību apkarošanu (spriedumi, 2021. gada 2. marts, Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi), C‑746/18, EU:C:2021:152, 50. punkts un tajā minētā judikatūra, kā arī 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 105. punkts).
220 Tādējādi PDR direktīvas 6. panta 2. punkta b) apakšpunktā un 12. panta 3. punkta a) apakšpunktā attiecīgi lietotās frāzes “pietiekami pamatoti” un “ir pamats uzskatīt”, ņemot vērā Hartas 7. un 8. pantu, ir jāinterpretē tādējādi, ka tās attiecas uz objektīviem elementiem, kas var radīt pamatotas aizdomas par datu subjekta iesaistīšanos tādā vai citā veidā smagos noziegumos, kam ir vismaz netieša objektīva saikne ar pasažieru gaisa pārvadājumiem, savukārt attiecībā uz teroristiskiem nodarījumiem, kam ir šāda saikne, šī prasība ir izpildīta, ja pastāv objektīvi faktori, kas ļauj uzskatīt, ka PDR dati konkrētajā gadījumā varētu efektīvi palīdzēt apkarot šādus nodarījumus.
221 Visbeidzot attiecībā uz procesuālajiem nosacījumiem PDR datu izpaušanai un apstrādei to vēlākas novērtēšanas nolūkā PDR direktīvas 12. panta 3. punkta b) apakšpunktā ir noteikts, ka gadījumā, ja lūgums tiek iesniegts vēlāk nekā sešus mēnešus pēc to nodošanas PIN, t.i., kad saskaņā ar šā panta 2. punktu minētie dati ir depersonalizēti, maskējot šajā 2. punktā minētos elementus, pilnu PDR datu un tādējādi datu versijas, kura nav depersonalizēta, izpaušanu apstiprina tiesu iestāde vai cita valsts iestāde, kas ir kompetenta saskaņā ar valsts tiesību aktiem. Šajā kontekstā šīm iestādēm ir pilnībā jāizvērtē lūguma pamatotība un it īpaši jāpārbauda, vai pierādījumi, kas iesniegti, lai pamatotu minēto lūgumu, ir tādi, kas apstiprina šā sprieduma iepriekšējā punktā minēto materiālo nosacījumu par “pamata uzskatīt” esamību.
222 Tiesa gan, gadījumā, ja lūgums par PDR datu izpaušanu un turpmāku izvērtēšanu tiek iesniegts pirms sešu mēnešu termiņa beigām pēc šo datu nosūtīšanas, PDR direktīvas 6. panta 2. punkta b) apakšpunktā nav skaidri paredzēts šāds procesuāls nosacījums. Tomēr, interpretējot pēdējo minēto normu, ir jāņem vērā šīs direktīvas 25. apsvērums, no kura izriet, ka, paredzot minēto procesuālo nosacījumu, Savienības likumdevējs ir vēlējies “nodrošināt visaugstāko datu aizsardzības līmeni” attiecībā uz piekļuvi PDR datiem tādā formā, kas ļauj tieši identificēt datu subjektu. Tomēr jebkurš lūgums par datu izpaušanu un turpmāku izvērtēšanu nozīmē šādu piekļuvi šiem datiem neatkarīgi no tā, vai šis lūgums ir iesniegts pirms sešu mēnešu termiņa beigām pēc PDR datu nosūtīšanas PIN vai pēc šā termiņa beigām.
223 Konkrēti, lai praksē nodrošinātu pilnīgu pamattiesību ievērošanu ar PDR direktīvu izveidotajā sistēmā un it īpaši šā sprieduma 218. un 219. punktā izklāstīto nosacījumu izpildi, ir būtiski, lai PDR datu izpaušana turpmākas izvērtēšanas nolūkā, izņemot pienācīgi pamatotus steidzamus gadījumus, principā tiktu pakļauta iepriekšējai kontrolei, ko veic tiesa vai neatkarīga administratīva iestāde, un lai šīs tiesas vai iestādes lēmums tiktu pieņemts pēc pamatota kompetento iestāžu pieprasījuma, kas citastarp iesniegts saistībā ar nodarījuma novēršanu, atklāšanu vai kriminālvajāšanas procedūrām. Pienācīgi pamatotas steidzamības gadījumā minētā kontrole jāveic īsā laikā (pēc analoģijas skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 202. punkts un tajā minētā judikatūra, kā arī spriedumu, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 110. punkts).
224 Šādos apstākļos PDR direktīvas 12. panta 3. punkta b) apakšpunktā paredzētā prasība par iepriekšēju pārbaudi attiecībā uz PDR datu izpaušanas pieprasījumiem, kas iesniegti pēc sešu mēnešu termiņa beigām pēc šo datu nodošanas PIN, mutatis mutandis jāpiemēro arī gadījumā, ja pieprasījums par izpaušanu ir iesniegts pirms minētā termiņa beigām.
225 Turklāt, lai gan PDR direktīvas 12. panta 3. punkta b) apakšpunktā nav skaidri norādītas prasības, kas jāievēro par iepriekšēju pārbaudi atbildīgajai iestādei, saskaņā ar pastāvīgo judikatūru, lai nodrošinātu, ka Hartas 7. un 8. pantā garantēto pamattiesību aizskārums, kas izriet no piekļuves personas datiem, ir ierobežots līdz absolūti nepieciešamajam, šai iestādei ir jābūt visām pilnvarām un visām garantijām, kas vajadzīgas, lai nodrošinātu dažādo attiecīgo interešu un tiesību saskaņošanu. Runājot konkrētāk par kriminālizmeklēšanu, šādai pārbaudei ir vajadzīgs, lai šī iestāde spētu nodrošināt taisnīgu līdzsvaru starp interesēm, kas saistītas ar izmeklēšanas vajadzībām saistībā ar cīņu pret noziedzību, no vienas puses, un personu, kuru datiem tiek piekļūts, pamattiesībām uz privātās dzīves neaizskaramību un personas datu aizsardzību, no otras puses (spriedums, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 107. punkts, kā arī tajā minētā judikatūra).
226 Šajā nolūkā šai iestādei ir jāpiemīt tādam statusam, kas tai savu uzdevumu izpildē ļauj rīkoties objektīvi, un tālab tā nedrīkst būt pakļauta nekādai ārējai ietekmei. Šī neatkarības prasība nozīmē, ka iestādei ir jābūt trešās personas statusam attiecībā pret personu, kas pieprasa piekļuvi datiem, lai pirmā minētā varētu īstenot savu kontroli bez jebkādas ārējas ietekmes. Konkrēti krimināltiesību jomā neatkarības prasība nozīmē, ka minētā iestāde, pirmkārt, nav iesaistīta attiecīgajā kriminālizmeklēšanā un, otrkārt, tai attiecībā pret kriminālprocesa dalībniekiem ir jābūt neitrālai (šajā nozīmē skat. spriedumu, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 108. punkts, kā arī tajā minētā judikatūra).
227 Tādējādi PDR direktīvas noteikumus, kas reglamentē PDR datu turpmāku izpaušanu un izvērtēšanu saskaņā ar šīs direktīvas 6. panta 2. punkta b) apakšpunktu, var interpretēt saskaņā ar Hartas 7. un 8. pantu, kā arī 52. panta 1. punktu, nepārsniedzot to, kas ir absolūti nepieciešams.
228 Ņemot vērā visus iepriekš minētos apsvērumus, tā kā PDR direktīvas interpretācija, ņemot vērā Hartas 7., 8. un 21. pantu, kā arī 52. panta 1. punktu, nodrošina šīs direktīvas atbilstību minētajiem Hartas pantiem, otrā līdz ceturtā un sestā jautājuma izskatīšanā nav atklājies neviens apstāklis, kas varētu ietekmēt minētās direktīvas spēkā esamību.
C. Par piekto jautājumu
229 Ar piekto jautājumu iesniedzējtiesa vēlas noskaidrot, vai PDR direktīvas 6. pants, lasot to Hartas 7. un 8. panta, kā arī 52. panta 1. punkta kontekstā, ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, kas atļauj apstrādāt saskaņā ar šo direktīvu savāktos PDR datus izlūkošanas un drošības dienestu uzraudzības nolūkos.
230 No lūguma sniegt prejudiciālu nolēmumu izriet, ka šo jautājumu iesniedzējtiesa attiecina tieši uz Sûreté de l’État (Valsts drošības dienests, Beļģija) un Service général du renseignement et de la sécurité (Vispārējais izlūkošanas un drošības dienests, Beļģija) darbībām saistībā ar to attiecīgajiem uzdevumiem valsts drošības aizsardzības jomā.
231 Šajā ziņā, lai ievērotu likumības un samērīguma principus, kas inter alia minēti Hartas 52. panta 1. punktā, Savienības likumdevējs ir paredzējis skaidrus un precīzus noteikumus, kas reglamentē to PDR direktīvā paredzēto pasākumu mērķus, kuri rada iejaukšanos Hartas 7. un 8. pantā garantētajās pamattiesībās.
232 Proti, PDR direktīvas 1. panta 2. punktā skaidri noteikts, ka saskaņā ar šo direktīvu savāktos PDR datus var apstrādāt “vienīgi, lai novērstu, atklātu, izmeklētu teroristu nodarījumus un smagus noziegumus un sauktu pie atbildības par tiem, kā paredzēts [minētās direktīvas] 6. panta 2. punkta a), b) un c) apakšpunktā”. Pēdējais minētais noteikums apstiprina šā 1. panta 2. punktā noteikto principu, sistemātiski atsaucoties uz jēdzieniem “teroristu nodarījums” un “smags noziegums”.
233 Tādējādi no šo noteikumu formulējuma skaidri izriet, ka tajos uzskaitītie mērķi, kas tiek īstenoti, apstrādājot PDR datus saskaņā ar PDR direktīvu, ir izsmeļoši.
234 Šādu interpretāciju citastarp apstiprina PDR direktīvas 11. apsvērums, saskaņā ar kuru PDR datu apstrādei jābūt samērīgai ar šajā direktīvā noteiktajiem “konkrētajiem mērķiem drošības jomā”, un direktīvas 7. panta 4. punkts, saskaņā ar kuru PDR datus un šādu datu apstrādes rezultātus, ko saņem PIN, var apstrādāt tālāk “vienīgi konkrētā nolūkā novērst, atklāt, izmeklēt teroristu nodarījumus vai smagus noziegumus vai saukt pie atbildības par tiem”.
235 Turklāt PDR direktīvas 1. panta 2. punktā minēto mērķu izsmeļošais raksturs nozīmē arī to, ka PDR datus nevar glabāt vienā datubāzē, kurā var veikt meklēšanu gan šiem, gan citiem mērķiem. Proti, šo datu uzglabāšana šādā datubāzē radītu risku, ka minētie dati varētu tikt izmantoti citiem mērķiem, kas nav minēti 1. panta 2. punktā.
236 Šajā lietā, ciktāl, kā uzskata iesniedzējtiesa, pamatlietā aplūkotais valsts tiesiskais regulējums kā PDR datu apstrādes mērķi pieļauj izlūkdienestu un drošības dienestu mērķtiecīgu darbību uzraudzību, tādējādi iekļaujot šo mērķi teroristu nodarījumu un smagu noziegumu novēršanā un atklāšanā un šādu nodarījumu izmeklēšanā un kriminālvajāšanā, šis tiesiskais regulējums var neņemt vērā PDR direktīvā paredzētā PDR datu apstrādes nolūku saraksta izsmeļošo raksturu, un tas ir jāpārbauda iesniedzējtiesai.
237 Tādējādi uz piekto jautājumu ir jāatbild, ka PDR direktīvas 6. pants, lasot to Hartas 7. un 8. panta, kā arī 52. panta 1. punkta kontekstā, ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, kas atļauj saskaņā ar šo direktīvu savākto PDR datu apstrādi citiem mērķiem, kuri nav skaidri minēti šīs direktīvas 1. panta 2. punktā.
D. Par septīto jautājumu
238 Ar septīto jautājumu iesniedzējtiesa būtībā vaicā, vai PDR direktīvas 12. panta 3. punkta b) apakšpunkts ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, saskaņā ar kuru iestādei, kas izveidota kā PIN, ir arī kompetentās valsts iestādes statuss, kura ir pilnvarota apstiprināt PDR datu izpaušanu sešu mēnešu termiņa beigās pēc šo datu nodošanas PIN.
239 Vispirms jānorāda, ka Beļģijas valdība apšauba Tiesas kompetenci atbildēt uz šo jautājumu, kā to formulējusi iesniedzējtiesa, pamatojoties uz to, ka tikai šīs tiesas kompetencē ir interpretēt valsts tiesību normas un it īpaši izvērtēt no 2016. gada 25. decembra likuma izrietošās prasības PDR direktīvas 12. panta 3. punkta b) apakšpunkta kontekstā.
240 Šajā ziņā pietiek norādīt, ka ar minēto jautājumu iesniedzējtiesa lūdz interpretēt Savienības tiesību normu. Turklāt, lai gan LESD 267. pantā minētajā tiesvedībā valsts tiesību normu interpretācija ir dalībvalstu tiesu, nevis Tiesas kompetencē un Tiesa nav tiesīga lemt par valsts tiesību normu atbilstību Savienības tiesībām, Tiesas kompetencē tomēr ir sniegt valsts tiesai visus norādījumus par Savienības tiesību normu interpretāciju, kas ļautu tai izvērtēt šo normu saderīgumu ar Savienības tiesisko regulējumu (spriedums, 2020. gada 30. aprīlis, CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, 28. punkts un tajā minētā judikatūra). No tā izriet, ka Tiesa ir kompetenta atbildēt uz septīto jautājumu.
241 Pēc būtības jānorāda, ka PDR direktīvas 12. panta 3. punkta b) apakšpunkta formulējums, kura i) un ii) punktā ir atsauce attiecīgi uz “tiesu iestādi” un “citu valsts iestādi, kas saskaņā ar valsts tiesību aktiem ir kompetenta pārbaudīt, vai ir izpildīti izpaušanas nosacījumi”, paredz, ka šīs divas iestādes ir vienādas, kā tas izriet no tā, ka starp i) un ii) punktu lietots saiklis “vai”. No šā formulējuma izriet, ka minētā “cita” kompetentā valsts iestāde ir alternatīva tiesu iestādei, tāpēc tai jāpiemīt neatkarībai un objektivitātei, kas ir pielīdzināma tiesu iestādei.
242 Šo analīzi apstiprina PDR direktīvas 25. apsvērumā minētais mērķis nodrošināt visaugstāko datu aizsardzības līmeni attiecībā uz piekļuvi pilnīgiem PDR datiem, kas ļauj tieši identificēt datu subjektu. Tajā pašā apsvērumā arī precizēts, ka šāda piekļuve būtu jāpiešķir tikai ar ļoti stingriem nosacījumiem pēc sešu mēnešu termiņa pēc PDR datu nosūtīšanas PIN.
243 Minēto analīzi apstiprina arī PDR direktīvas rašanās vēsture. Tā kā šā sprieduma 155. punktā minētajā direktīvas priekšlikumā, kas bija pamatā PDR direktīvai, bija paredzēts tikai tas, ka “piekļuvi visiem PDR datiem atļauj tikai Pasažieru informācijas nodaļas vadītājs”, šīs direktīvas 12. panta 3. punkta b) apakšpunktā redakcijā, ko Savienības likumdevējs galu galā ir saglabājis, ir noteikta tiesu iestāde un “cita valsts iestāde”, kura ir kompetenta pārbaudīt, vai ir izpildīti nosacījumi, lai izpaustu visus PDR datus, un apstiprināt šādu izpaušanu, nostādot tās vienā līmenī.
244 Turklāt un galvenokārt saskaņā ar šā sprieduma 223., 225. un 226. punktā minēto pastāvīgo judikatūru ir būtiski, lai kompetento iestāžu piekļuve saglabātajiem datiem būtu pakļauta iepriekšējai pārbaudei, ko veic tiesa vai neatkarīga administratīva iestāde, un lai šīs tiesas vai iestādes lēmums tiktu pieņemts pēc šo iestāžu pamatota lūguma, kas citastarp iesniegts saistībā ar nodarījuma novēršanu, atklāšanu vai kriminālvajāšanas procedūrām. Prasība par to, ka iestādei, kas veic iepriekšēju pārbaudi, jābūt neatkarīgai, ietver arī to, ka tai jābūt trešās personas statusā attiecībā pret iestādi, kas lūdz piekļuvi datiem, lai minētā iestāde varētu veikt šo pārbaudi objektīvi un taisnīgi, bez jebkādas ārējas ietekmes. Konkrēti krimināltiesību jomā neatkarības prasība nozīmē, ka iestāde, kas ir atbildīga par šo iepriekšējo pārbaudi, pirmkārt, nav iesaistīta attiecīgajā kriminālizmeklēšanā un, otrkārt, attiecībā pret kriminālprocesa dalībniekiem ir neitrāla.
245 Kā ģenerāladvokāts norādījis secinājumu 271. punktā, PDR direktīvas 4. panta 1. un 3. punktā ir paredzēts, ka PIN, kas izveidota vai izraudzīta katrā dalībvalstī, ir iestāde, kuras kompetencē ir teroristu nodarījumu un smagu noziegumu novēršana, izmeklēšana un kriminālvajāšana par tiem, un ka tās darbinieki var būt šīs direktīvas 7. pantā minēto kompetento iestāžu norīkotas amatpersonas, tādējādi PIN noteikti šķiet saistīta ar šīm iestādēm. Saskaņā ar minētās direktīvas 6. panta 2. punkta b) apakšpunktu PIN var veikt arī PDR datu apstrādi, kuras rezultātus tā paziņo minētajām iestādēm. Ņemot vērā šos apstākļus, PIN nevar uzskatīt par trešo personu attiecībā pret šīm iestādēm un tādējādi par tādu, kam piemīt visas neatkarības un objektivitātes pazīmes, kas vajadzīgas, lai veiktu šā sprieduma iepriekšējā punktā minēto iepriekšējo pārbaudi un pārbaudītu, vai ir izpildīti minētās direktīvas 12. panta 3. punkta b) apakšpunktā paredzētie nosacījumi PDR datu izpaušanai pilnā apjomā.
246 Turklāt tas, ka pēdējā minētā noteikuma ii) punktā ir noteikts, ka gadījumā, ja visu šādu datu izpaušanu apstiprina “cita kompetenta valsts iestāde”, PIN datu aizsardzības inspektoram “jābūt informētam un jāveic ex post pārskatīšana” – lai gan tas tā nav gadījumā, kad šādu apstiprinājumu sniedz tiesu iestāde –, nevar atspēkot šo novērtējumu. Saskaņā ar iedibināto judikatūru ar tādu vēlāku pārbaudi, kādu veic datu aizsardzības inspektors, nevar sasniegt iepriekšējas pārbaudes mērķi, kas ir nepieļaut, ka tiek atļauta piekļuve attiecīgajiem datiem apmērā, kurš pārsniedz absolūti nepieciešamā robežas (šajā nozīmē skat. spriedumu, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 110. punkts, kā arī tajā minētā judikatūra).
247 Ņemot vērā visus šos apsvērumus, uz septīto jautājumu ir jāatbild, ka PDR direktīvas 12. panta 3. punkta b) apakšpunkts ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, saskaņā ar kuru iestāde, kas izveidota kā PIN, ir arī kompetentā valsts iestāde, kura ir pilnvarota apstiprināt PDR datu izpaušanu pēc sešu mēnešu termiņa beigām pēc šo datu nosūtīšanas PIN.
E. Par astoto jautājumu
248 Ar astoto jautājumu iesniedzējtiesa būtībā vaicā, vai PDR direktīvas 12. pants, lasot to kopsakarā ar Hartas 7. un 8. pantu, kā arī 52. panta 1. punktu, ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, kurā ir paredzēts vispārējs PDR datu glabāšanas termiņš – pieci gadi –, nenošķirot pasažierus, kas rada vai nerada teroristisku nodarījumu vai smagu noziegumu risku.
249 Jāatgādina, ka saskaņā ar šīs direktīvas 12. panta 1. un 4. punktu tās dalībvalsts PIN, kuras teritorijā atrodas attiecīgā lidojuma ielidošanas vai izlidošanas vieta, saglabā gaisa pārvadātāju sniegtos PDR datus datubāzē piecus gadus pēc to nosūtīšanas šai nodaļai un pēc minētā piecu gadu laikposma beigām šos datus neatgriezeniski dzēš.
250 Kā atgādināts PDR direktīvas 25. apsvērumā, “termiņam, kādā jāglabā PDR dati, vajadzētu būt tik ilgam, cik nepieciešams, un samērīgam ar mērķiem novērst, atklāt, izmeklēt teroristu nodarījumus un smagus noziegumus un saukt pie atbildības par tiem”.
251 Tāpēc PDR datu glabāšana saskaņā ar PDR direktīvas 12. panta 1. punktu nav attaisnojama, ja nepastāv objektīva saikne starp šādu glabāšanu un šīs direktīvas mērķiem, proti, cīņu pret teroristu nodarījumiem un smagiem noziegumiem, kas ir vismaz netieši objektīvi saistīti ar pasažieru pārvadājumiem ar gaisa transportu.
252 Šajā ziņā, kā izriet no PDR direktīvas 25. apsvēruma, ir jānošķir, pirmkārt, šīs direktīvas 12. panta 2. punktā minētais sākotnējais sešu mēnešu glabāšanas termiņš un, otrkārt, minētās direktīvas 12. panta 3. punktā minētais turpmākais laikposms.
253 Interpretējot PDR direktīvas 12. panta 1. punktu, jāņem vērā šā panta 2. un 3. punktā ietvertie noteikumi, kuros ir noteikts PDR datu, kas tiek glabāti pēc sākotnējā sešu mēnešu glabāšanas termiņa beigām, glabāšanas un piekļuves režīms. Kā izriet no šīs direktīvas 25. apsvēruma, šie noteikumi, no vienas puses, atspoguļo mērķi “PDR datus glabāt pietiekami ilgi, lai varētu veikt analīzi un datus izmantot izmeklēšanā”, ko var veikt jau sākotnējā sešu mēnešu glabāšanas termiņā. No otras puses, saskaņā ar to pašu 25. apsvērumu ar tiem cenšas “izvairīties no nesamērīgas izmantošanas”, maskējot šos datus, un “nodrošināt datu aizsardzības augstāko līmeni”, atļaujot piekļuvi šiem datiem tādā formā, kas ļauj tieši identificēt datu subjektu “pēc minētā sākotnējā termiņa [..] tikai saskaņā ar ļoti stingriem un ierobežotiem nosacījumiem”, tādējādi ņemot vērā – jo ilgāk PDR dati tiek glabāti, jo smagāka ir no tās izrietošā iejaukšanās.
254 PDR direktīvas 12. panta 2. punktā minētā sākotnējā sešu mēnešu glabāšanas termiņa un šīs direktīvas 12. panta 3. punktā minētā turpmākā termiņa nošķiršana attiecas arī uz šā sprieduma 251. punktā minētās prasības obligātu izpildi.
255 Tādējādi, ņemot vērā PDR direktīvas mērķus un teroristu nodarījumu un smagu noziegumu izmeklēšanas un kriminālvajāšanas vajadzības, ir jāuzskata, ka PDR datu glabāšana sākotnējā sešu mēnešu termiņā par visiem aviopasažieriem, uz kuriem attiecas ar šo direktīvu izveidotā sistēma, kaut arī nepastāv ne mazākās norādes par viņu līdzdalību teroristu nodarījumos vai smagos noziegumos, principā nepārsniedz absolūti nepieciešamās robežas, ciktāl tā ļauj veikt nepieciešamās kratīšanas, lai identificētu personas, kuras netika turētas aizdomās par līdzdalību teroristu nodarījumos vai smagos noziegumos.
256 Turpretim attiecībā uz PDR direktīvas 12. panta 3. punktā minēto turpmāko periodu PDR datu glabāšana par visiem aviopasažieriem, uz kuriem attiecas ar minēto direktīvu izveidotā sistēma, papildus tam, ka tā, ņemot vērā lielo datu daudzumu, kas var tikt pastāvīgi saglabāts, rada nesamērīgas izmantošanas un ļaunprātīgas izmantošanas risku (pēc analoģijas skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 119. punkts), ir pretrunā minētās direktīvas 25. apsvēruma prasībai, saskaņā ar kuru šādi dati ir jāglabā tikai tik ilgi, cik tas ir nepieciešams un samērīgi ar sasniedzamajiem mērķiem, jo Savienības likumdevējs ir paredzējis noteikt visaugstāko aizsardzības līmeni PDR datiem, kas ļauj tieši identificēt datu subjektus.
257 Proti, attiecībā uz tiem aviopasažieriem, attiecībā uz kuriem ne PDR direktīvas 6. panta 2. punkta a) apakšpunktā minētais iepriekšējais novērtējums, ne iespējamās pārbaudes, kas veiktas šīs direktīvas 12. panta 2. punktā minētajā sešu mēnešu termiņā, ne arī citi apstākļi nav atklājuši tādu objektīvu elementu esamību, kas varētu liecināt par teroristu nodarījumu vai smagu noziegumu risku, kam ir objektīva vismaz netieša saikne ar šo aviopasažieru veiktajiem lidojumiem, šajos apstākļos starp šo pasažieru PDR datiem un minētajā direktīvā izvirzīto mērķi nepastāv nekāda, pat netieša, saikne, kas attaisnotu šo datu glabāšanu (pēc analoģijas skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 204. un 205. punkts).
258 Tāpēc visu aviopasažieru PDR datu pastāvīga uzglabāšana pēc sākotnējā sešu mēnešu termiņa nešķiet ierobežota absolūti nepieciešamajā apmērā (pēc analoģijas skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 206. punkts).
259 Tomēr, ja īpašos gadījumos tiek konstatētas objektīvas pazīmes, piemēram, pasažieru PDR dati, kuri devuši apstiprinātu pozitīvu atbilsmi, kas ļauj uzskatīt, ka konkrēti pasažieri varētu radīt risku saistībā ar teroristu nodarījumiem vai smagiem noziegumiem, šķiet pieļaujama viņu PDR datu uzglabāšana pēc šā sākotnējā termiņa (pēc analoģijas skat. Atzinumu 1/15 (ES un Kanādas PDR nolīgums), 2017. gada 26. jūlijs, EU:C:2017:592, 207. punkts un tajā minētā judikatūra).
260 Proti, šo objektīvo elementu identificēšana ir tāda, kas ļauj noteikt saikni ar mērķiem, kurus ar PDR direktīvā paredzētajām apstrādes darbībām cenšas sasniegt, tādējādi PDR datu par šiem pasažieriem glabāšana ir pamatota maksimālajā minētajā direktīvā atļautajā termiņā, proti, piecus gadus.
261 Šajā gadījumā, ciktāl pamatlietā aplūkotais tiesiskais regulējums, šķiet, paredz vispārēju PDR datu glabāšanas termiņu – piecus gadus –, kas piemērojams bez izņēmuma visiem pasažieriem, tostarp tiem, attiecībā uz kuriem nedz PDR direktīvas 6. panta 2. punkta a) apakšpunktā minētais iepriekšējais novērtējums, nedz arī iespējamās pārbaudes, kas veiktas sākotnējā sešu mēnešu termiņā, nedz arī kādi citi apstākļi nav atklājuši, ka pastāv objektīvi faktori, kuri var pierādīt risku saistībā ar teroristu nodarījumiem vai smagiem noziegumiem, šis tiesiskais regulējums var pārkāpt šīs direktīvas 12. panta 1. punktu, lasot to Hartas 7. un 8. panta, kā arī 52. panta 1. punkta gaismā, ja vien to nevar interpretēt saskaņā ar šiem noteikumiem, un tas ir jāpārbauda iesniedzējtiesai.
262 Ņemot vērā iepriekš minētos apsvērumus, uz astoto jautājumu ir jāatbild, ka PDR direktīvas 12. panta 1. punkts, lasot to kopsakarā ar Hartas 7. un 8. pantu, kā arī 52. panta 1. punktu, ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, kurā ir paredzēts vispārējs PDR datu glabāšanas termiņš piecu gadu garumā, kas piemērojams bez izņēmuma visiem aviopasažieriem, tostarp tiem, attiecībā uz kuriem nedz šīs direktīvas 6. panta 2. punkta a) apakšpunktā minētais iepriekšējais novērtējums, nedz minētās direktīvas 12. panta 2. punktā minētajā sešu mēnešu laikposmā paredzētās iespējamās pārbaudes, nedz kādi citi apstākļi nav atklājuši, ka pastāv objektīvi pierādījumi, kas varētu liecināt par tādu teroristu nodarījumu vai smagu noziegumu risku, kuri ir vismaz netieši objektīvi saistīti ar pasažieru gaisa pārvadājumiem.
F. Par devītā jautājuma a) daļu
263 Devītā jautājuma a) daļā iesniedzējtiesa būtībā apšauba IPI direktīvas spēkā esamību LES 3. panta 2. punkta un Hartas 45. panta kontekstā, pieņemot, ka šajā direktīvā noteiktie pienākumi attiecas uz Savienības iekšējiem lidojumiem.
264 Tomēr, kā ģenerāladvokāts uzsvēris secinājumu 277. punktā un kā norādījusi Padome, Komisija un vairākas valdības, šis pieņēmums ir kļūdains.
265 IPI direktīvas 3. panta 1. punktā ir noteikts, ka dalībvalstīm jāveic pasākumi, kas vajadzīgi, lai noteiktu pārvadātājiem pienākumu pēc iestāžu, kas atbild par personu pārbaudi pie ārējām robežām, pieprasījuma pirms reģistrācijas pabeigšanas nosūtīt informāciju par pasažieriem, kurus tie gatavojas pārvadāt uz atļauto robežšķērsošanas vietu, caur kuru šīs personas ieceļos dalībvalsts teritorijā. Saskaņā ar minētās direktīvas 6. panta 1. punktu šie dati tiek nosūtīti iestādēm, kas atbildīgas par pārbaužu veikšanu pie ārējām robežām, caur kurām pasažieris ieceļo attiecīgajā teritorijā, un tiek apstrādāti saskaņā ar minētajā noteikumā paredzētajiem nosacījumiem.
266 No šīm tiesību normām, kas lasāmas, ņemot vērā IPI direktīvas 2. panta a), b) un d) punktu, kuros attiecīgi ir definēti jēdzieni “pārvadātājs”, “ārējās robežas” un “robežpārejas punkts”, skaidri izriet, ka šī direktīva uzliek gaisa pārvadātājiem pienākumu nosūtīt šīs direktīvas 3. panta 2. punktā minētos datus iestādēm, kas atbildīgas par ārējo robežu kontroli, tikai attiecībā uz lidojumiem, kuros pasažierus pārvadā uz robežpārejas punktu, kurš ir atļauts dalībvalstu ārējo robežu šķērsošanai ar trešām valstīm, un paredz tikai ar šiem lidojumiem saistīto datu apstrādi.
267 Savukārt minētā direktīva neuzliek nekādus pienākumus attiecībā uz datiem par pasažieriem, kas ceļo lidojumos, kuri šķērso tikai dalībvalstu iekšējās robežas.
268 Jāpiebilst, ka PDR direktīva, iekļaujot starp PDR datiem, kā tas izriet no tās 9. apsvēruma un 8. panta 2. punkta, IPI direktīvas 3. panta 2. punktā minētos datus, kas ievākti saskaņā ar šo direktīvu un ko uzglabā atsevišķi gaisa pārvadātāji, un piešķirot dalībvalstīm iespēju saskaņā ar tās 2. pantu piemērot PDR direktīvu Savienības iekšējiem lidojumiem, ko tās nosaka, nav mainījusi ne IPI direktīvas noteikumu darbības jomu, ne no šīs direktīvas izrietošos ierobežojumus.
269 Ņemot vērā iepriekš minēto, atbilde uz devītā jautājuma a) daļu ir, ka IPI direktīva ir jāinterpretē tādējādi, ka tā neattiecas uz Savienības iekšējiem lidojumiem.
G. Par devītā jautājuma b) daļu
270 Lai gan devītā jautājuma b) daļā iesniedzējtiesa atsaucas uz IPI direktīvu, lasot to kopsakarā ar LES 3. panta 2. punktu un Hartas 45. pantu, no lūguma sniegt prejudiciālu nolēmumu izriet, ka šī tiesa jautā, vai ar 2016. gada 25. decembra likumu ieviestā pasažieru datu nosūtīšanas un apstrādes sistēma ir saderīga ar Savienības tiesībās paredzēto personu brīvu pārvietošanos un iekšējo robežu kontroles atcelšanu, jo šī sistēma attiecas ne tikai uz gaisa transportu, bet arī uz dzelzceļa, sauszemes un pat jūras transportu no Beļģijas vai uz Beļģiju, kas tiek veikts Savienības teritorijā, nešķērsojot ārējās robežas ar trešām valstīm.
271 Tomēr, kā redzams no šā sprieduma 265.–269. punkta, IPI direktīva, kas neattiecas uz Savienības iekšējiem lidojumiem un neuzliek pienākumu nosūtīt un apstrādāt to pasažieru datus, kuri ceļo ar gaisa transportu vai citu transporta veidu Savienības teritorijā, nešķērsojot ārējās robežas ar trešām valstīm, nav būtiska, lai atbildētu uz šo jautājumu.
272 Turpretim, lai gan saskaņā ar LESD 67. panta 2. punktu Savienība nodrošina, ka personas netiek pārbaudītas uz iekšējām robežām, PDR direktīvas 2. pants, uz kuru Beļģijas likumdevējs ir balstījies, pieņemot pamatlietā aplūkoto 2016. gada 25. decembra likumu, kā tas izriet no lūguma sniegt prejudiciālu nolēmumu, ļauj dalībvalstīm piemērot šo direktīvu attiecībā uz lidojumiem Savienības iekšienē.
273 Šādos apstākļos, lai iesniedzējtiesai sniegtu lietderīgu atbildi, devītā jautājuma b) daļa būtu jāformulē citādi, lai pēc būtības noskaidrotu, vai Savienības tiesības, it īpaši PDR direktīvas 2. pants, ņemot vērā LES 3. panta 2. punktu, LESD 67. panta 2. punktu un Hartas 45. pantu, ir jāinterpretē tādējādi, ka tam ir pretrunā valsts tiesiskais regulējums, kurā paredzēta sistēma, kas noteic, ka pārvadātāji un ceļojumu operatori nosūta un kompetentās iestādes apstrādā PDR datus par lidojumiem un ar citiem līdzekļiem Savienības iekšienē veiktiem pārvadājumiem no dalībvalsts, kura ir pieņēmusi minēto tiesisko regulējumu, uz to vai tranzītā caur šo dalībvalsti.
274 Hartas 45. pantā ir nostiprināta personu brīva pārvietošanās, kas turklāt ir viena no iekšējā tirgus pamatbrīvībām (šajā nozīmē skat. spriedumu, 2021. gada 22. jūnijs, Ordre des barreaux francophones et germanophone u.c. (Preventīvie pasākumi izraidīšanas nolūkā), C‑718/19, EU:C:2021:505, 54. punkts).
275 Šā panta 1. punkts garantē ikviena Savienības pilsoņa tiesības brīvi pārvietoties un uzturēties dalībvalstu teritorijā, kas saskaņā ar Paskaidrojumiem attiecībā uz Pamattiesību hartu (OV 2007, C 303, 17. lpp.) atbilst LESD 20. panta 2. punkta pirmās daļas a) apakšpunktā garantētajām tiesībām, un tās tiek īstenotas saskaņā ar LESD 20. panta 2. punkta otro daļu un Hartas 52. panta 2. punktu, ievērojot Līgumos un to īstenošanai pieņemtajos pasākumos paredzētos nosacījumus un ierobežojumus.
276 Saskaņā ar LES 3. panta 2. punktu Savienība piedāvā saviem pilsoņiem brīvības, drošības un tiesiskuma telpu bez iekšējām robežām, kurā personu brīva pārvietošanās tiek nodrošināta kopā ar atbilstīgiem pasākumiem, citastarp attiecībā uz ārējo robežu kontroli, kā arī noziedzības novēršanu un apkarošanu. Tāpat saskaņā ar LESD 67. panta 2. punktu Savienība nodrošina, ka personas netiek kontrolētas pie iekšējām robežām, un izstrādā kopēju politiku it īpaši attiecībā uz ārējo robežu kontroli.
277 Saskaņā ar Tiesas pastāvīgo judikatūru valsts tiesiskais regulējums, kas noteiktiem valsts pilsoņiem ir nelabvēlīgs tikai tādēļ, ka viņi ir izmantojuši savas tiesības brīvi pārvietoties un uzturēties citā dalībvalstī, ir Hartas 45. panta 1. punktā atzīto ikviena Savienības pilsoņa brīvību ierobežojums (šajā nozīmē attiecībā uz LESD 21. panta 1. punktu skat. spriedumus, 2017. gada 8. jūnijs, Freitag, C‑541/15, EU:C:2017:432, 35. punkts un tajā minētā judikatūra, kā arī 2020. gada 19. novembris, ZW, C‑454/19, EU:C:2020:947, 30. punkts).
278 Tāds valsts tiesiskais regulējums kā pamatlietā, ar kuru PDR direktīvā paredzētā sistēma tiek piemērota ne tikai lidojumiem ārpus Savienības, bet saskaņā ar šīs direktīvas 2. panta 1. punktu arī lidojumiem Savienības iekšienē un – papildus šajā tiesību normā paredzētajam – ar citiem transportlīdzekļiem veiktiem pārvadājumiem Savienības teritorijā, izraisa jebkura pasažiera, kurš, izmantojot pārvietošanās brīvību, ceļo ar šiem transportlīdzekļiem Savienības teritorijā, PDR datu nosūtīšanu un sistemātisku un nepārtrauktu apstrādi.
279 Kā konstatēts šā sprieduma 98.–111. punktā, ar PDR direktīvu izveidotās sistēmas rezultātā veiktā pasažieru datu nosūtīšana un apstrāde, kas attiecas uz lidojumiem ārpus Savienības un Savienības iekšienē, ir saistīta ar zināma smaguma iejaukšanos attiecīgo personu pamattiesībās, kas noteiktas Hartas 7. un 8. pantā. Šīs iejaukšanās smagums vēl vairāk palielinās, ja šīs sistēmas piemērošana tiek attiecināta arī uz citiem transportlīdzekļiem Savienībā. Šāda iejaukšanās tādu pašu iemeslu dēļ kā šajos punktos minētie var arī radīt neizdevīgus apstākļus un tādējādi atturēt no pārvietošanās brīvības īstenošanas Hartas 45. panta izpratnē to dalībvalstu pilsoņus, kuras ir pieņēmušas šādu tiesisko regulējumu, kā arī kopumā Savienības pilsoņus, kas ar šiem transportlīdzekļiem ceļo Savienībā uz šīm dalībvalstīm vai no tām, tādējādi minētais tiesiskais regulējums rada šīs pamatbrīvības ierobežojumu.
280 Saskaņā ar pastāvīgo judikatūru personu brīvas pārvietošanās ierobežojums ir attaisnojams tikai tad, ja tas ir pamatots ar objektīviem apsvērumiem un ir samērīgs ar mērķi, ko likumīgi cenšas sasniegt ar valsts tiesību aktiem. Pasākums ir samērīgs, ja tas ir piemērots izvirzītā mērķa sasniegšanai un nepārsniedz šā mērķa sasniegšanai nepieciešamo (šajā nozīmē skat. spriedumu, 2018. gada 5. jūnijs, Coman u.c., C‑673/16, EU:C:2018:385, 41. punkts, kā arī tajā minētā judikatūra).
281 Jāpiebilst, ka valsts pasākums, kas var kavēt personu brīvu pārvietošanos, var tikt attaisnots tikai tad, ja tas atbilst ar Hartu garantētajām pamattiesībām, kuru ievērošanu nodrošina Tiesa (spriedums, 2021. gada 14. decembris, Stolichna obshtina, rayon “Pancharevo”, C‑490/20, EU:C:2021:1008, 58. punkts un tajā minētā judikatūra).
282 Proti, saskaņā ar šā sprieduma 115. un 116. punktā minēto judikatūru vispārējas nozīmes mērķi nevar īstenot, neņemot vērā to, ka tas ir jāsaskaņo ar pamattiesībām, kuras skar pasākums, panākot līdzsvaru starp vispārējas nozīmes mērķi, no vienas puses, un attiecīgajām tiesībām, no otras puses. Šajā ziņā dalībvalstu iespēja pamatot Hartas 45. panta 1. punktā garantēto pamattiesību ierobežojumu ir jāizvērtē, novērtējot ar šādu ierobežojumu saistītās iejaukšanās smagumu un pārbaudot, vai ar šo ierobežojumu sasniedzamā vispārējo interešu mērķa nozīmīgums ir samērīgs ar šo smagumu.
283 Kā atgādināts šā sprieduma 122. punktā, PDR direktīvā izvirzītais mērķis cīnīties pret teroristu nodarījumiem un smagiem noziegumiem neapšaubāmi ir Savienības vispārējo interešu mērķis.
284 Attiecībā uz jautājumu, vai valsts tiesību akti, kuri pieņemti, lai transponētu PDR direktīvu, un ar kuriem šajā direktīvā paredzētā sistēma tiek attiecināta uz Savienības iekšējiem lidojumiem un citiem transporta veidiem Savienībā, ir piemēroti izvirzītā mērķa sasniegšanai, no Tiesas rīcībā esošajos lietas materiālos ietvertās informācijas izriet, ka PDR datu izmantošana ļauj identificēt personas, kuras netika turētas aizdomās par līdzdalību teroristu nodarījumos vai smagos noziegumos un kuras būtu stingrāk jāpārbauda, tādējādi šāds tiesiskais regulējums šķiet piemērots, lai sasniegtu mērķi cīnīties pret teroristu nodarījumiem un smagiem noziegumiem.
285 Attiecībā uz šāda tiesiskā regulējuma nepieciešamību dalībvalstīm ir jāierobežo PDR direktīvas 2. panta 1. punktā paredzētā rīcības brīvība, ņemot vērā Hartas 7. un 8. pantu, līdz tam, kas ir absolūti nepieciešams šā mērķa sasniegšanai, ņemot vērā šā sprieduma 163.–174. punktā minētās prasības.
286 Šīs prasības vēl jo vairāk attiecas uz gadījumiem, kad PDR direktīvā paredzētā sistēma tiek piemērota citiem transporta veidiem Savienībā.
287 Turklāt, kā izriet no lūgumā sniegt prejudiciālu nolēmumu ietvertās informācijas, pamatlietā aplūkotais valsts tiesiskais regulējums vienā tiesību aktā transponē PDR direktīvu, IPI direktīvu un daļēji arī Direktīvu 2010/65. Šajā nolūkā tas noteic PDR direktīvā paredzētās sistēmas piemērošanu visiem Savienības iekšējiem lidojumiem, kā arī dzelzceļa, sauszemes un pat jūras transportam Savienībā, kas notiek no Beļģijas, uz to un tranzītā caur to, un attiecas arī uz ceļojumu operatoriem, vienlaikus cenšoties sasniegt arī citus mērķus, ne tikai cīņu pret teroristu nodarījumiem un smagiem noziegumiem. Saskaņā ar tām pašām norādēm šķiet, ka visus datus, kuri savākti saskaņā ar sistēmu, kas izveidota ar minēto valsts tiesību aktu, PIN glabā vienotā datubāzē, kurā ietverti PDR dati, tostarp IPI direktīvas 3. panta 2. punktā minētie dati, par visiem tāda transporta pasažieriem, uz kuru attiecas minētie tiesību akti.
288 Šajā ziņā, ciktāl iesniedzējtiesa devītā jautājuma b) daļā atsaucas uz mērķi uzlabot robežkontroli un apkarot nelegālo imigrāciju, kas ir IPI direktīvas mērķis, jāatgādina, kā izriet no šā sprieduma 233., 234. un 237. punkta, ka PDR direktīvā paredzēto PDR datu apstrādes mērķu uzskaitījums ir izsmeļošs, tādējādi valsts tiesiskais regulējums, ar kuru saskaņā ar šo direktīvu savāktos PDR datus atļauj apstrādāt citiem mērķiem, kas nav tajā paredzētie, proti, tostarp, lai uzlabotu robežkontroli un apkarotu nelegālo imigrāciju, ir pretrunā minētās direktīvas 6. pantam, to lasot Hartas kontekstā.
289 Turklāt, kā norādīts šā sprieduma 235. punktā, dalībvalstis nevar izveidot vienotu datubāzi, kurā būtu ietverti gan PDR dati, kas savākti saskaņā ar PDR direktīvu un attiecas gan uz lidojumiem ārpus Savienības un Savienības iekšienē, gan citu transportlīdzekļu pasažieru dati, gan arī IPI direktīvas 3. panta 2. punktā minētie dati, it īpaši tad, ja šādā datubāzē var veikt meklēšanu ne tikai PDR direktīvas 1. panta 2. punktā minētajiem mērķiem, bet arī citiem mērķiem.
290 Visbeidzot un katrā ziņā, kā ģenerāladvokāts norādījis secinājumu 281. punktā, 2016. gada 25. decembra likuma 28.–31. pants var būt saderīgs ar Savienības tiesībām, it īpaši ar LESD 67. panta 2. punktu, tikai tad, ja tie tiek interpretēti un piemēroti kā tādi, kas attiecas tikai uz to pasažieru IPI datu nosūtīšanu un apstrādi, kuri šķērso Beļģijas ārējās robežas ar trešām valstīm. Proti, pasākums, ar kuru dalībvalsts paplašina IPI direktīvas noteikumus, lai uzlabotu robežkontroli un apkarotu nelegālo imigrāciju, attiecinot tos uz Savienības iekšējiem lidojumiem un a fortiori uz citiem pasažieru transporta veidiem Savienībā no šīs dalībvalsts vai caur šo dalībvalsti, it īpaši šīs direktīvas 3. panta 1. punktā paredzētais pienākums nosūtīt datus par pasažieriem, ļautu kompetentajām iestādēm, pasažieriem šķērsojot minētās dalībvalsts iekšējās robežas, sistemātiski pārliecināties, vai šiem pasažieriem ir atļauts ieceļot tās teritorijā vai izceļot no tās, un tādējādi tam būtu līdzvērtīga ietekme kā pārbaudēm, ko veic uz ārējām robežām ar trešām valstīm.
291 Ņemot vērā visus šos apsvērumus, uz 9. jautājuma b) daļu ir jāatbild, ka Savienības tiesības, it īpaši PDR direktīvas 2. pants, lasot to kopsakarā ar LES 3. panta 2. punktu, LESD 67. panta 2. punktu un Hartas 45. pantu, ir jāinterpretē tādējādi, ka tās nepieļauj:
– valsts tiesību aktus, kas paredz, ka tad, ja nepastāv faktiski un pašreizēji vai paredzami terorisma draudi, ar kuriem saskaras attiecīgā dalībvalsts, gaisa pārvadātāji un ceļojumu operatori nosūta un kompetentās iestādes apstrādā PDR datus par visiem Savienības iekšējiem lidojumiem un pārvadājumiem ar citiem transportlīdzekļiem Savienībā no šīs dalībvalsts, uz to vai tranzītā caur to, lai cīnītos ar teroristu nodarījumiem un smagiem noziegumiem. Šādā situācijā PDR direktīvā paredzētās sistēmas piemērošana ir jāierobežo ar PDR datu nosūtīšanu un apstrādi par lidojumiem un/vai pārvadājumiem, kas it īpaši attiecas uz konkrētiem maršrutiem vai ceļojumu modeļiem vai konkrētām lidostām, stacijām vai jūras ostām, attiecībā uz kurām ir norādes, kas var pamatot šādu piemērošanu. Attiecīgajai dalībvalstij ir jāizvēlas tie Savienības iekšējie lidojumi un/vai pārvadājumi, kurus Savienībā veic ar citiem līdzekļiem un attiecībā uz kuriem pastāv šādas norādes, un regulāri jāpārskata minētā piemērošana, ņemot vērā izmaiņas apstākļos, kas pamato to izvēli, lai nodrošinātu, ka šīs sistēmas piemērošana šādiem lidojumiem un/vai pārvadājumiem vienmēr aprobežojas ar to, kas ir absolūti nepieciešams, un
– valsts tiesību aktus, kuros paredzēta šāda minēto datu nosūtīšanas un apstrādes sistēma, lai uzlabotu robežkontroli un apkarotu nelegālo imigrāciju.
H. Par desmito jautājumu
292 Ar desmito jautājumu iesniedzējtiesa būtībā vēlas noskaidrot, vai Savienības tiesības ir jāinterpretē tādējādi, ka valsts tiesa var laika ziņā ierobežot prettiesiskuma pasludināšanas sekas, kas tai saskaņā ar valsts tiesībām ir saistošas attiecībā uz valsts tiesību aktiem, kuri gaisa, dzelzceļa un sauszemes pārvadātājiem, kā arī ceļojumu operatoriem uzliek pienākumu nosūtīt PDR datus un paredz šādu datu apstrādi un uzglabāšanu tādā veidā, kas nav saderīgs ar PDR direktīvas noteikumiem, tos lasot kopsakarā ar LES 3. panta 2. punktu, LESD 67. panta 2. punktu un Hartas 7., 8. un 45. pantu, kā arī 52. panta 1. punktu.
293 Ar Savienības tiesību pārākuma principu tiek nostiprināta Savienības tiesību prioritāte pār dalībvalstu tiesībām. Tātad šis princips uzliek par pienākumu visām dalībvalstu iestādēm nodrošināt dažādo Savienības tiesību normu pilnīgu iedarbību, jo dalībvalstu tiesības nevar ietekmēt iedarbību, kura šīm normām ir atzīta minēto valstu teritorijā. Saskaņā ar šo principu gadījumā, ja valsts tiesību aktus nav iespējams interpretēt atbilstīgi Savienības tiesību prasībām, valsts tiesai, kurai ir pienākums atbilstoši savai kompetencei piemērot Savienības tiesību normas, ir pienākums nodrošināt šo normu pilnīgu iedarbību, pēc savas ierosmes vajadzības gadījumā atstājot bez piemērošanas jebkuru tām pretrunā esošu valsts tiesību aktu normu, pat vēlāk pieņemtu, un nav nepieciešams lūgt vai gaidīt, lai tā vispirms tiktu atcelta likumdošanas kārtībā vai ar kādu citu konstitūcijā paredzētu metodi (spriedumi, 1964. gada 15. jūlijs, Costa, 6/64, EU:C:1964:66, 1159. un 1160. lpp.; 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 214. un 215. punkts, kā arī 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 118. punkts).
294 Vienīgi Tiesa izņēmuma kārtā un primāro tiesiskās drošības apsvērumu dēļ var noteikt nepiemērošanas seku – kādas rada Savienības tiesību normas piemērošana tai pretrunā esošām valsts tiesībām – īslaicīgu apturēšanu. Šādas Tiesas interpretācijas iedarbības laikā ierobežojums ir pieļaujams tikai spriedumā, kurā ir lemts par pieprasīto interpretāciju. Savienības tiesību pārākums un vienveidīga piemērošana tiktu apdraudēta, ja valsts tiesām būtu pilnvaras piešķirt valsts tiesību normām pārākumu pār Savienības tiesībām, kurām šīs tiesību normas ir pretrunā, pat ja tas būtu tikai uz laiku (spriedums, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 119. punkts, kā arī tajā minētā judikatūra).
295 Atšķirībā no tāda procesuāla pienākuma neveikšanas kā iepriekšējs projekta ietekmes uz vidi novērtējums, par ko ir strīds lietā, kurā tika pasludināts 2019. gada 29. jūlija spriedums Inter‑Environnement Wallonie un Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622, 175., 176., 179. un 181. punkts) un kurā Tiesa atzina šo nepiemērošanas seku pagaidu apturēšanu, PDR direktīvas noteikumu, ņemot vērā Hartas 7., 8. un 45. pantu, kā arī 52. panta 1. punktu, neievērošana nevar tikt novērsta, izmantojot procedūru, kas ir salīdzināma ar šajā lietā pieļauto. Proti, saglabāt tādu valsts tiesību aktu kā 2016. gada 25. decembra likums sekas nozīmētu, ka šie tiesību akti gaisa pārvadātājiem, kā arī citiem pārvadātājiem un ceļojumu operatoriem turpina uzlikt pienākumus, kas ir pretrunā Savienības tiesībām un kas ietver smagu iejaukšanos to personu pamattiesībās, kuru dati ir nosūtīti, uzglabāti un apstrādāti, kā arī šo personu pārvietošanās brīvības ierobežojumus, kas pārsniedz to, kas ir nepieciešams (pēc analoģijas skat. spriedumu, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 122. punkts un tajā minētā judikatūra).
296 Tāpēc iesniedzējtiesa nevar ierobežot laikā tāda prettiesiskuma konstatējuma sekas, kurš tai saskaņā ar valsts tiesībām jāveic attiecībā uz pamatlietā aplūkotajiem valsts tiesību aktiem (pēc analoģijas skat. spriedumu, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 123. punkts un tajā minētā judikatūra).
297 Visbeidzot, ciktāl iesniedzējtiesa ir nobažījusies par to, kā 2016. gada 25. decembra likuma iespējamās neatbilstības PDR direktīvas noteikumiem, lasot tos Hartas kontekstā, konstatēšana ietekmē pierādījumu un informācijas, kas iegūti, izmantojot attiecīgo pārvadātāju un ceļojumu operatoru nosūtītos datus, pieļaujamību un izmantošanu kriminālprocesā, pietiek atsaukties uz attiecīgo Tiesas judikatūru, it īpaši uz principiem, kas atgādināti 41.–44. punktā 2021. gada 2. marta spriedumā Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi) (C‑746/18, EU:C:2021:152), no kura izriet, ka saskaņā ar dalībvalstu procesuālās autonomijas principu šāda pieņemamība ir valsts tiesību jautājums, ievērojot līdzvērtības un efektivitātes principus (pēc analoģijas skat. spriedumu, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 127. punkts).
298 Ņemot vērā iepriekš minētos apsvērumus, uz desmito jautājumu ir jāatbild, ka Savienības tiesības ir jāinterpretē tādējādi, ka tās nepieļauj, ka valsts tiesa ierobežo laikā tāda prettiesiskuma konstatējuma sekas, kurš tai saskaņā ar valsts tiesībām ir jāveic attiecībā uz valsts tiesisko regulējumu, ar kuru gaisa, dzelzceļa un sauszemes pārvadātājiem, kā arī ceļojumu operatoriem ir uzlikts pienākums nosūtīt PDR datus un ir paredzēta šādu datu apstrāde un uzglabāšana tādā veidā, kas nav saderīgs ar PDR direktīvas noteikumiem, tos lasot kopsakarā ar LES 3. panta 2. punktu, LESD 67. panta 2. punktu un Hartas 7., 8. un 45. pantu, kā arī 52. panta 1. punktu. Jautājums par šādā veidā iegūtu pierādījumu pieļaujamību atbilstoši dalībvalstu procesuālās autonomijas principam ir vērtējams saskaņā ar valsts tiesībām ar nosacījumu, ka tiek ievērots tostarp līdzvērtības un efektivitātes princips.
IV. Par tiesāšanās izdevumiem
299 Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.
Ar šādu pamatojumu Tiesa (virspalāta) nospriež:
1) Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) 2. panta 2. punkta d) apakšpunkts un 23. pants ir jāinterpretē tādējādi, ka šī regula ir piemērojama personas datu apstrādei, kas paredzēta valsts tiesiskajā regulējumā, kura mērķis ir transponēt valsts tiesībās gan Padomes Direktīvu 2004/82/EK (2004. gada 29. aprīlis) par pārvadātāju pienākumu paziņot datus par pasažieriem, gan Eiropas Parlamenta un Padomes Direktīvu 2010/65/ES (2010. gada 20. oktobris) par ziņošanas formalitātēm kuģiem, kuri ienāk dalībvalstu ostās un/vai iziet no tām, un ar ko atceļ Direktīvu 2002/6/EK, gan Eiropas Parlamenta un Padomes Direktīvu (ES) 2016/681 (2016. gada 27. aprīlis) par pasažieru datu reģistra (PDR) datu izmantošanu teroristu nodarījumu un smagu noziegumu novēršanai, atklāšanai, izmeklēšanai un saukšanai pie atbildības par tiem, pirmkārt, attiecībā uz datu apstrādi, ko veic privātie operatori, un, otrkārt, datu apstrādi, ko veic valsts iestādes, uz kurām attiecas tikai vai arī Direktīva 2004/82 vai Direktīva 2010/65. Turpretī minētā regula nav piemērojama datu apstrādei, kura paredzēta šādos tiesību aktos un uz kuru attiecas tikai Direktīvas 2016/681 darbības joma, un kuru šīs direktīvas 1. panta 2. punktā minētajos nolūkos veic pasažieru informācijas nodaļa (PIN) vai kompetentās iestādes.
2) Tā kā Direktīvas 2016/681 interpretācija, ņemot vērā Eiropas Savienības Pamattiesību hartas 7., 8. un 21. pantu, kā arī 52. panta 1. punktu, nodrošina šīs direktīvas atbilstību šiem Pamattiesību hartas pantiem, otrā līdz ceturtā un sestā prejudiciālā jautājuma izskatīšanā nav atklājies neviens apstāklis, kas varētu ietekmēt minētās direktīvas spēkā esamību.
3) Direktīvas 2016/681 6. pants, lasot to kopsakarā ar Pamattiesību hartas 7. un 8. pantu, kā arī 52. panta 1. punktu, ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, kas atļauj saskaņā ar šo direktīvu savākto pasažieru datu reģistra (PDR) datu apstrādi citiem mērķiem, kuri nav skaidri paredzēti minētās direktīvas 1. panta 2. punktā.
4) Direktīvas 2016/681 12. panta 3. punkta b) apakšpunkts ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, saskaņā ar kuru iestāde, kas izveidota kā pasažieru informācijas nodaļa (PIN), ir arī kompetentā valsts iestāde, kura ir pilnvarota apstiprināt PDR datu izpaušanu pēc sešu mēnešu termiņa beigām pēc šo datu nosūtīšanas PIN.
5) Direktīvas 2016/681 12. panta 1. punkts, lasot to kopsakarā ar Pamattiesību hartas 7. un 8. pantu, kā arī 52. panta 1. punktu, ir jāinterpretē tādējādi, ka tas nepieļauj tādu valsts tiesisko regulējumu, kurā ir paredzēts vispārējs PDR datu glabāšanas termiņš piecu gadu garumā, kas piemērojams bez izņēmuma visiem aviopasažieriem, tostarp tiem, attiecībā uz kuriem nedz šīs direktīvas 6. panta 2. punkta a) apakšpunktā minētais iepriekšējais novērtējums, nedz minētās direktīvas 12. panta 2. punktā paredzētajā sešu mēnešu termiņā veiktais iespējamais novērtējums, nedz kādi citi apstākļi nav atklājuši, ka pastāv objektīvi pierādījumi, kas varētu liecināt par tādu teroristu nodarījumu vai smagu noziegumu risku, kuri ir vismaz netieši objektīvi saistīti ar pasažieru gaisa pārvadājumiem.
6) Direktīva 2004/82 ir jāinterpretē tādējādi, ka tā nav piemērojama tādiem regulāriem vai neregulāriem gaisa pārvadātāja veiktiem lidojumiem no kādas dalībvalsts teritorijas, kuriem plānots nolaisties kādas citas dalībvalsts vai vairāku citu dalībvalstu teritorijā bez jebkādas starpnosēšanās kādas trešās valsts teritorijā (Savienības iekšējie lidojumi).
7) Savienības tiesības, it īpaši Direktīvas 2016/681 2. pants, lasot to kopsakarā ar LES 3. panta 2. punktu, LESD 67. panta 2. punktu un Pamattiesību hartas 45. pantu, ir jāinterpretē tādējādi, ka tām ir pretrunā:
– valsts tiesību akti, kas paredz, ka tad, ja nepastāv faktiski un pašreizēji vai paredzami terorisma draudi, ar kuriem saskaras attiecīgā dalībvalsts, gaisa pārvadātāji un ceļojumu operatori nosūta un kompetentās iestādes apstrādā PDR datus par visiem Savienības iekšējiem lidojumiem un pārvadājumiem ar citiem transportlīdzekļiem Savienībā no attiecīgās dalībvalsts, uz to vai tranzītā caur to, lai cīnītos ar teroristu nodarījumiem un smagiem noziegumiem. Šādā situācijā Direktīvā 2016/681 paredzētās sistēmas piemērošana ir jāierobežo ar PDR datu pārsūtīšanu un apstrādi par lidojumiem un/vai pārvadājumiem, kas it īpaši attiecas uz konkrētiem maršrutiem vai ceļojumu modeļiem vai konkrētām lidostām, stacijām vai jūras ostām, attiecībā uz kurām ir norādes, kas var pamatot šādu piemērošanu. Attiecīgajai dalībvalstij ir jāizvēlas tie Savienības iekšējie lidojumi un/vai pārvadājumi, kurus Savienībā veic ar citiem līdzekļiem un attiecībā uz kuriem pastāv šādas norādes, un regulāri jāpārskata minētā piemērošana, ņemot vērā izmaiņas apstākļos, kas pamato to izvēli, lai nodrošinātu, ka šīs sistēmas piemērošana šiem lidojumiem un/vai pārvadājumiem vienmēr aprobežojas ar to, kas ir absolūti nepieciešams, un
– valsts tiesību akti, kuros paredzēta šāda minēto datu nosūtīšanas un apstrādes sistēma, lai uzlabotu robežkontroli un apkarotu nelegālo imigrāciju.
8) Savienības tiesības ir jāinterpretē tādējādi, ka tās nepieļauj, ka valsts tiesa ierobežo laikā tāda prettiesiskuma konstatējuma sekas, kurš tai saskaņā ar valsts tiesībām ir jāveic attiecībā uz valsts tiesisko regulējumu, ar kuru gaisa, dzelzceļa un sauszemes pārvadātājiem, kā arī ceļojumu operatoriem ir uzlikts pienākums nosūtīt PDR datus un ir paredzēta šādu datu apstrāde un glabāšana tādā veidā, kas nav saderīgs ar Direktīvas 2016/681 noteikumiem, tos lasot kopsakarā ar LES 3. panta 2. punktu, LESD 67. panta 2. punktu un Pamattiesību hartas 7., 8. un 45. pantu, kā arī 52. panta 1. punktu. Jautājums par šādā veidā iegūto pierādījumu pieļaujamību atbilstoši dalībvalstu procesuālās autonomijas principam ir vērtējams saskaņā ar valsts tiesībām ar nosacījumu, ka tiek ievērots tostarp līdzvērtības un efektivitātes princips.
[Paraksti]