TEISINGUMO TEISMO (didžioji kolegija) SPRENDIMAS
2022 m. birželio 21 d.(*)
Turinys
I. Teisinis pagrindas
A. Sąjungos teisė
1. Direktyva 95/46/EB
2. API direktyva
3. Direktyva 2010/65
4. BDAR
5. Direktyva 2016/680
6. PNR direktyva
7. Pamatinis sprendimas 2002/475
B. Belgijos teisė
1. Konstitucija
2. 2016 m. gruodžio 25 d. įstatymas
II. Pagrindinė byla ir prejudiciniai klausimai
III. Dėl prejudicinių klausimų
A. Dėl pirmojo klausimo
B. Dėl antrojo–ketvirtojo ir šeštojo klausimų
1. Dėl iš PNR direktyvos kylančių Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymų
2. Dėl iš PNR direktyvos kylančių suvaržymų pateisinimo
a) Dėl teisėtumo principo ir nagrinėjamų pagrindinių teisių esmės paisymo
b) Dėl bendrojo intereso tikslo ir galimybės tvarkyti PNR duomenis, atsižvelgiant į šį tikslą
c) Dėl iš PNR direktyvos kylančių suvaržymų būtinumo
1) Dėl PNR direktyvoje nurodytų oro transporto keleivių duomenų
2) Dėl PNR duomenų tvarkymu siekiamų tikslų
3) Dėl PNR duomenų ir šių duomenų tvarkymo tikslų ryšio
4) Dėl oro transporto keleivių ir atitinkamų skrydžių
5) Dėl išankstinio PNR duomenų vertinimo automatizuotai tvarkant duomenis
i) Dėl PNR duomenų palyginimo su duomenimis duomenų bazėse
ii) Dėl PNR duomenų tvarkymo pagal iš anksto nustatytus kriterijus.
iii) Dėl automatizuotam PNR duomenų tvarkymui taikomų apsaugos priemonių
6) Dėl PNR duomenų atskleidimo ir vėlesnio vertinimo
C. Dėl penktojo klausimo
D. Dėl septintojo klausimo
E. Dėl aštuntojo klausimo
F. Dėl devintojo klausimo a punkto
G. Dėl devintojo klausimo b punkto
H. Dėl dešimtojo klausimo
Dėl bylinėjimosi išlaidų
„Prašymas priimti prejudicinį sprendimą – Asmens duomenų apsauga – Keleivio duomenų įrašo (PNR) duomenys – Reglamentas (ES) 2016/679 – 2 straipsnio 2 dalies d punktas – Taikymo sritis – Direktyva (ES) 2016/681 – Tarp Europos Sąjungos ir trečiųjų šalių vykdomų skrydžių keleivių PNR duomenų naudojimas – Galimybė įtraukti Sąjungoje vykdomų skrydžių keleivių duomenis – Automatizuotas duomenų tvarkymas – Saugojimo laikotarpis – Kova su teroristiniais ir sunkiais nusikaltimais – Teisėtumas – Europos Sąjungos pagrindinių teisių chartija – 7, 8 ir 21 straipsniai bei 52 straipsnio 1 dalis – Nacionalinės teisės aktai, kuriais PNR sistemos taikymas išplečiamas vežimui kitomis transporto priemonėmis Sąjungoje – Judėjimo Sąjungoje laisvė – Pagrindinių teisių chartija – 45 straipsnis“
Byloje C‑817/19
dėl Cour constitutionnelle (Belgija) 2019 m. spalio 17 d. sprendimu, kurį Teisingumo Teismas gavo 2019 m. spalio 31 d., pagal SESV 267 straipsnį pateikto prašymo priimti prejudicinį sprendimą byloje
Ligue des droits humains
prieš
Conseil des ministres
TEISINGUMO TEISMAS (didžioji kolegija),
kurį sudaro pirmininkas K. Lenaerts, kolegijų pirmininkai A. Arabadjiev, S. Rodin, I. Jarukaitis ir N. Jääskinen, teisėjai T. von Danwitz (pranešėjas), M. Safjan, F. Biltgen, P. G. Xuereb, N. Piçarra, L. S. Rossi, A. Kumin ir N. Wahl,
generalinis advokatas G. Pitruzzella,
posėdžio sekretorė M. Krausenböck, administratorė,
atsižvelgęs į rašytinę proceso dalį ir įvykus 2021 m. liepos 13 d. posėdžiui,
išnagrinėjęs pastabas, pateiktas:
– Ligue des droits humains, atstovaujamos avocate C. Forget,
– Belgijos vyriausybės, atstovaujamos P. Cottin, J.‑C. Halleux, C. Pochet ir M. Van Regemorter, padedamų advocaat C. Caillet, avocat E. Jacubowitz, taip pat G. Ceuppens, V. Dethy ir D. Vertongen,
– Čekijos vyriausybės, atstovaujamos T. Machovičová, M. Smolek, O. Serdula ir J. Vláčil,
– Danijos vyriausybės, atstovaujamos M. Jespersen, J. Nymann-Lindegren, V. Pasternak Jørgensen ir M. Søndahl Wolff,
– Vokietijos vyriausybės, atstovaujamos J. Möller ir D. Klebs,
– Estijos vyriausybės, atstovaujamos N. Grünberg,
– Airijos, atstovaujamos M. Browne, A. Joyce ir J. Quaney, padedamų BL D. Fennelly,
– Ispanijos vyriausybės, atstovaujamos L. Aguilera Ruiz,
– Prancūzijos vyriausybės, atstovaujamos D. Dubois, E. de Moustier ir T. Stehelin,
– Kipro vyriausybės, atstovaujamos I. Neophytou,
– Latvijos vyriausybės, atstovaujamos E. Bārdiņš, K. Pommere ir V. Soņeca,
– Nyderlandų vyriausybės, atstovaujamos M. K. Bulterman, A. Hanje, J. Langer ir C. S. Schillemans,
– Austrijos vyriausybės, atstovaujamos G. Kunnert, A. Posch ir J. Schmoll,
– Lenkijos vyriausybės, atstovaujamos B. Majczyna,
– Slovakijos vyriausybės, atstovaujamos B. Ricziová,
– Suomijos vyriausybės, atstovaujamos A. Laine ir H. Leppo,
– Europos Parlamento, atstovaujamo O. Hrstková Šolcová ir P. López-Carceller,
– Europos Sąjungos Tarybos, atstovaujamos J. Lotarski, N. Rouam, E. Sitbon ir C. Zadra,
– Europos Komisijos, atstovaujamos D. Nardi ir M. Wasmeier,
– Europos duomenų apsaugos priežiūros pareigūno, atstovaujamo P. Angelov, A. Buchta, F. Coudert ir C.-A. Marnier,
– Europos Sąjungos pagrindinių teisių agentūros, atstovaujamos L. López, T. Molnar, M. Nespor ir M. O’Flaherty,
susipažinęs su 2022 m. sausio 27 d. posėdyje pateikta generalinio advokato išvada,
priima šį
Sprendimą
1 Prašymas priimti prejudicinį sprendimą iš esmės pateiktas dėl:
– 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016, p. 1; klaidų ištaisymas OL L 127, 2018, p. 2) 2 straipsnio 2 dalies d punkto ir 23 straipsnio, taip pat 2004 m. balandžio 29 d. Tarybos direktyvos 2004/82/EB dėl vežėjų įpareigojimo perduoti keleivių duomenis (OL L 261, 2004, p. 24, toliau – API direktyva) bei 2010 m. spalio 20 d. Europos Parlamento ir Tarybos direktyvos 2010/65/ES dėl pranešimo formalumų, taikomų į valstybių narių uostus įplaukiantiems ir (arba) iš jų išplaukiantiems laivams, kuria panaikinama Direktyva 2002/6/EB (OL L 283, 2010, p. 1), išaiškinimo.
– Europos Sąjungos pagrindinių teisių chartijos (toliau – Chartija) 7, 8 straipsnių ir 52 straipsnio 1 dalies, 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvos (ES) 2016/681 dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais (OL L 119, 2016, p. 132, toliau – PNR direktyva) 3 straipsnio 4 punkto, 6 ir 12 straipsnių bei I priedo aiškinimo ir galiojimo, taip pat
– API direktyvos aiškinimo ir galiojimo atsižvelgiant į ESS 3 straipsnio 2 dalį ir Chartijos 45 straipsnį.
2 Šis prašymas pateiktas nagrinėjant Ligue des droits humains ir Conseil des ministres (Ministrų Taryba, Belgija) ginčą dėl 2016 m. gruodžio 25 d. Įstatymo dėl keleivių duomenų tvarkymo teisėtumo.
I. Teisinis pagrindas
A. Sąjungos teisė
1. Direktyva 95/46/EB
3 1995 m. spalio 24 d. Europos Parlamento ir Tarybos direktyva 95/46/EB dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo (OL L 281, 1995, p. 31; 2004 m. specialusis leidimas lietuvių k., 13 sk., 15 t., p. 355) nuo 2018 m. gegužės 25 d. buvo panaikinta BDAR. Šios direktyvos 3 straipsnio 2 dalyje buvo nustatyta:
„Ši direktyva netaikoma tvarkant asmens duomenis:
– kai yra užsiimama tokia veikla, kuri nepatenka į Bendrijos teisės taikymo sritį, kaip antai veikla, kuri numatyta Europos Sąjungos sutarties V ir VI dalyse, taip pat kai atliekamos tvarkymo operacijos, susijusios su visuomenės saugumu, gynyba, valstybės saugumu (taip pat ir valstybės ekonomine gerove, kai tvarkymo operacija susijusi su valstybės saugumo klausimais) ir su valstybės veiksmais baudžiamosios teisės srityje;
– kai duomenis tvarko fizinis asmuo, užsiimdamas tik asmenine ar namų ūkio veikla.“
2. API direktyva
4 API direktyvos 1, 7, 9 ir 12 konstatuojamosiose dalyse numatyta:
„(1) Siekiant veiksmingai kovoti su nelegalia imigracija ir pagerinti pasienio kontrolę būtina, kad visos valstybės narės įdiegtų nuostatas, nustatančias įpareigojimus oro vežėjams, vežantiems keleivius į valstybių narių teritoriją. Be to, kad šio tikslo būtų siekiama veiksmingiau, šiuo metu valstybių narių numatytos finansinės nuobaudos už vežėjų įsipareigojimų nevykdymą turėtų būti kiek įmanoma suderintos, atsižvelgiant į teisinių sistemų ir praktikos skirtumus tarp valstybių narių.
<…>
(7) Įpareigojimai, kuriuos vežėjams nustatys ši direktyva, papildo nustatytuosius 1990 m. Šengeno konvencijos, įgyvendinančios 1985 m. birželio 14 d. Šengeno susitarimą, papildytos [2001 m. birželio 28 d.] Tarybos direktyva 2001/51/EB [papildančia Konvencijos dėl 1985 m. birželio 14 d. Šengeno susitarimo įgyvendinimo 26 straipsnio nuostatas (OL L 187, 2001, p. 45; 2004 m. leidimas lietuvių k., 19 sk., 4 t., p. 160)], 26 straipsnyje – šių dviejų tipų įpareigojimai tarnauja tam pačiam tikslui – pažaboti migracijos srautus ir kovoti prieš nelegalią imigraciją.
<…>
(9) Siekiant veiksmingiau kovoti prieš nelegalią imigraciją ir veiksmingiau siekti šio tikslo, svarbiausia, kad, nepažeidžiant [Direktyvos 95/46] nuostatų, kuo anksčiau būtų atsižvelgta į bet kokias technikos naujoves, ypač susijusias su biometrinių savybių įdiegimu ir naudojimu vežėjams teikiant informaciją.
<…>
(12) [Direktyva 95/46] taikoma asmens duomenų tvarkymui, kurį atlieka valstybių narių institucijos. Tai reiškia, kad nors būtų teisėta pasienio patikrinimui atlikti perduodamus asmens duomenis tvarkyti ir leidžiant juos panaudoti kaip įrodymą nagrinėjimuose, skirtuose užtikrinti įvažiavimo ir imigracijos įstatymų ir kitų teisės aktų, įskaitant jų nuostatas dėl viešosios tvarkos (ordre public) ir nacionalinio saugumo apsaugos, vykdymą, bet koks papildomas tvarkymas, nesuderinamas su tais tikslais prieštarautų Direktyvos 95/46/EB 6 straipsnio 1 dalies b punkte nustatytam principui. Valstybės narės turėtų numatyti sankcijų sistemą, kuri būtų taikoma, jei panaudojus [naudojant] duomenis kitais nei šioje direktyvoje numatytais tikslais.“
5 API direktyvos 1 straipsnis „Tikslas“ suformuluotas taip:
„Šios direktyvos tikslas – sugriežtinti pasienio kontrolę ir kovoti prieš nelegalią imigraciją, kai vežėjai iš anksto perduoda keleivių duomenis kompetentingoms nacionalinėms institucijoms.“
6 Šios direktyvos 2 straipsnyje „Sąvokų apibrėžimai“ nustatyta:
„Šioje direktyvoje:
a) „vežėjas“ – tai bet koks fizinis ar juridinis asmuo, kurio profesija – vežti keleivius oru;
b) „išorinės sienos“ – tai valstybių narių išorinės sienos su trečiosiomis šalimis;
c) „pasienio kontrolė“ – tai patikrinimas, atliekamas pasienyje išskirtinai dėl ketinimo kirsti tą sieną, neatsižvelgiant į jokias kitas aplinkybes;
d) „sienos kirtimo punktas“ – bet koks kirtimo punktas, kurį kompetentingos institucijos paskyrė išorinėms sienoms kirsti;
e) „asmens duomenys“, „asmens duomenų tvarkymas“ ir „asmens duomenų kaupimo rinkmenose sistema“ turi tokius pačius apibrėžimus, kokie pateikti [Direktyvos 95/46] 2 straipsnyje.“
7 Minėtos direktyvos 3 straipsnio „Duomenų perdavimas“ 1 ir 2 dalyse nustatyta:
„1. Valstybės narės imasi būtinų priemonių nustatyti įpareigojimą vežėjams atsakingų už asmenų tikrinimą ties išorinėmis sienomis institucijų prašymu, iki registracijos pabaigos, perduoti informaciją apie keleivius, kuriuos jie pristatys į paskirtą sienos kirtimo punktą, per kurį tie asmenys pateks į valstybės narės teritoriją.
2. Pirmiau minėta informacija yra tokia:
– naudojamo kelionės dokumento numeris ir tipas,
– pilietybė,
– visi vardai ir pavardės,
– gimimo data,
– patekimo į valstybių narių teritoriją sienos kirtimo punktas,
– transporto priemonės kodas,
– transporto priemonės išvykimo ir atvykimo laikas,
– bendras ta transporto priemone vežamų keleivių skaičius;
– pradinė įlaipinimo vieta.“
8 API direktyvos 6 straipsnyje „Duomenų tvarkymas“ nustatyta:
„1. 3 straipsnio 1 dalyje nurodyti asmens duomenys perduodami institucijoms, atsakingoms už asmenų ties išorinėmis sienomis, per kurias keleiviai patenka į valstybės narės teritoriją, patikrinimą, kad būtų lengviau atlikti tokį patikrinimą, siekiant veiksmingiau kovoti prieš nelegalią imigraciją.
Valstybės narės užtikrina, kad tokius duomenis vežėjai surinktų ir jie būtų perduodami elektroniniu būdu arba, jei yra gedimas, bet kokiomis [kitomis priimtinomis priemonėmis] kitoms institucijoms, atsakingoms už asmenų ties išorinėmis sienomis, per kurias keleiviai patenka į valstybės narės teritoriją, patikrinimą. Už asmenų ties išorinėmis sienomis patikrinimą atsakingos institucijos išsaugo duomenis laikinoje rinkmenoje.
Keleiviams įvažiavus į šalį šios institucijos panaikina [ištrina] duomenis per 24 valandas po perdavimo, nebent duomenų reikia vėlesniems už asmenų ties išorinėmis sienomis patikrinimą atsakingų institucijų teisės aktuose nustatytoms funkcijoms atlikti pagal nacionalinius teisės aktus ir taikant [Direktyvos 95/46] duomenų apsaugos nuostatas.
Valstybės narės imasi būtinų priemonių įpareigoti vežėjus panaikinti [ištrinti] šios direktyvos tikslais jų surinktus ir perduotus pasienio institucijoms duomenis per 24 valandas po transporto priemonės atvykimo pagal 3 straipsnio 1 dalį.
Pagal savo nacionalinius teisės aktus ir [Direktyvoje 95/46 esančias] duomenų apsaugos nuostatas valstybės narės taip pat gali naudoti 3 straipsnio 1 dalyje nurodytus asmens duomenis teisės aktų vykdymo tikslais [teisėsaugos tarnybų poreikiams tenkinti].
2. Valstybės narės imasi būtinų priemonių įpareigoti vežėjus informuoti keleivius pagal [Direktyvos 95/46] nuostatas. Tai aprėpia ir [Direktyvos 95/46] 10 straipsnio c punkte bei 11 straipsnio 1 dalies c punkte nurodytą informaciją.“
3. Direktyva 2010/65
9 Remiantis 2019 m. birželio 20 d. Europos Parlamento ir Tarybos reglamento (ES) 2019/1239, kuriuo nustatoma Europos jūrų sektoriaus vieno langelio aplinka ir panaikinama Direktyva 2010/65/ES (OL L 198, 2019, p. 64), 25 straipsniu, Direktyva 2010/65 panaikinama nuo 2025 m. rugpjūčio 15 d.
10 Šios direktyvos 2 konstatuojamojoje dalyje nustatyta:
„Siekiant sudaryti palankesnes sąlygas jūrų transportui ir sumažinti administracinę naštą laivybos įmonėms, reikia, kiek įmanoma, supaprastinti ir suderinti pranešimo formalumus, nustatytus Sąjungos ir valstybių narių teisės aktais. <…>“
11 Minėtos direktyvos 1 straipsnio „Dalykas ir taikymo sritis“ 1 ir 2 dalyse numatyta:
„1. Šios direktyvos tikslas – supaprastinti ir suderinti administracines procedūras, taikomas jūrų transportui, nustatant, kad informacijos perdavimas elektroninėmis priemonėmis taptų standartine procedūra ir racionalizuojant pranešimo formalumus.
2. Ši direktyva taikoma su jūrų transportu susijusiems pranešimo formalumams, kurie taikomi laivams, įplaukiantiems į valstybėse narėse esančius uostus ir iš jų išplaukiantiems.“
12 Tos pačios direktyvos 8 straipsnyje „Konfidencialumas“ nustatyta:
„1. Valstybės narės, laikydamosi taikomų Sąjungos ar nacionalinės teisės aktų, imasi būtinų priemonių, kad užtikrintų komercinės ir kitos konfidencialios informacijos, kuria keičiamasi pagal šią direktyvą, konfidencialumą.
2. Valstybės narės ypač stengiasi apsaugoti komercinius duomenis, surinktus vadovaujantis šia direktyva. Asmens duomenų atveju valstybės narės užtikrina, kad būtų laikomasi Direktyvos 95/46/EB. [Europos] Sąjungos institucijos ir įstaigos užtikrina, kad būtų laikomasi [2000 m. gruodžio 18 d. Europos Parlamento ir Tarybos] reglamento (EB) Nr. 45/2001 dėl asmenų apsaugos Bendrijos institucijoms ir įstaigoms tvarkant asmens duomenis ir laisvo tokių duomenų judėjimo (OL L 8, 2001, p. 1; 2004 m. specialusis leidimas lietuvių k. 13 sk., 26 t., p. 102).“
4. BDAR
13 BDAR 19 konstatuojamojoje dalyje nustatyta:
„fizinių asmenų apsauga kompetentingoms valdžios institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, ir laisvas tokių duomenų judėjimas reglamentuojami specialiu Sąjungos teisės aktu. Todėl šis reglamentas neturėtų būti taikomas duomenų tvarkymo veiklai tokiais tikslais. Tačiau kai asmens duomenys, kuriuos valdžios institucijos tvarko pagal šį reglamentą, naudojami tais tikslais, jų tvarkymas turėtų būti reglamentuojamas konkretesniu Sąjungos teisės aktu, tai yra [2016 m. balandžio 27 d.] Europos Parlamento ir Tarybos direktyva (ES) 2016/680 [dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (OL L 119, 2016, p. 89)]. Valstybės narės gali kompetentingoms valdžios institucijoms, kaip apibrėžta [Direktyvoje 2016/680], pavesti užduotis, kurios nebūtinai atliekamos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar traukimo baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymo tikslais, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, kad tais kitais tikslais atliekamas asmens duomenų tvarkymas tiek, kiek jis patenka į Sąjungos teisės taikymo sritį, patektų į šio reglamento taikymo sritį.
<…>“
14 Minėto reglamento 2 straipsnio „Materialinė taikymo sritis“ 1 ir 2 dalyse numatyta:
„1. Šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis.
2. Šis reglamentas netaikomas asmens duomenų tvarkymui, kai:
a) duomenys tvarkomi vykdant veiklą, kuriai Sąjungos teisė netaikoma,
b) duomenis tvarko valstybės narės, vykdydamos veiklą, kuriai taikomas ES sutarties V antraštinės dalies 2 skyrius;
<…>
d) duomenis tvarko kompetentingos valdžios institucijos nusikalstamų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymo, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, tikslais.“
15 Minėto reglamento 4 straipsnyje „Apibrėžtys“ numatyta:
„Šiame reglamente:
1) asmens duomenys – bet kokia informacija apie fizinį asmenį, kurio tapatybė nustatyta arba kurio tapatybę galima nustatyti <…>;
2) duomenų tvarkymas – bet kokia automatizuotomis arba neautomatizuotomis priemonėmis su asmens duomenimis ar asmens duomenų rinkiniais atliekama operacija ar operacijų seka, kaip antai rinkimas, įrašymas, rūšiavimas, sisteminimas, saugojimas, adaptavimas ar keitimas, išgava, susipažinimas, naudojimas, atskleidimas persiunčiant, platinant ar kitu būdu sudarant galimybę jais naudotis, taip pat sugretinimas ar sujungimas su kitais duomenimis, apribojimas, ištrynimas arba sunaikinimas;
<…>“
16 BDAR 23 straipsnyje „Apribojimai“ nustatyta:
„1. Sąjungos ar valstybės narės teis[ės], kuri taikoma duomenų valdytojui arba duomenų tvarkytojui, teisėkūros priemone gali būti apribotos 12–22 straipsniuose ir 34 straipsnyje, taip pat 5 straipsnyje tiek, kiek jo nuostatos atitinka 12–22 straipsniuose numatytas teises ir prievoles, nustatytos prievolės ir teisės, kai tokiu apribojimu gerbiama pagrindinių teisių ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė siekiant užtikrinti:
a) nacionalinį saugumą;
b) gynybą;
c) visuomenės saugumą;
d) nusikalstamų veikų prevenciją, tyrimą, nustatymą ar patraukimą už jas baudžiamojon atsakomybėn arba baudžiamųjų sankcijų vykdymą, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją;
<…>
h) stebėsenos, tikrinimo ar reguliavimo funkciją, kuri (net jeigu tik kartais) yra susijusi su viešosios valdžios funkcijų vykdymu a–e ir g punktuose nurodytais atvejais;
2. Visų pirma visose 1 dalyje nurodytose teisėkūros priemonėse pateikiamos konkrečios nuostatos, susijusios tam tikrais atvejais bent su:
a) duomenų tvarkymo tikslais arba duomenų tvarkymo kategorijomis;
b) asmens duomenų kategorijomis;
c) nustatytų apribojimų apimtimi;
d) apsaugos priemonėmis, kuriomis siekiama užkirsti kelią piktnaudžiavimui arba neteisėtam susipažinimui su duomenimis ar jų perdavimui;
e) duomenų valdytojo arba duomenų valdytojų kategorijų apibūdinimu;
f) saugojimo laikotarpiais ir taikytinomis apsaugos priemonėmis, atsižvelgiant į duomenų tvarkymo arba duomenų tvarkymo kategorijų pobūdį, aprėptį ir tikslus;
g) pavojais duomenų subjektų teisėms ir laisvėms, ir
h) duomenų subjektų teise būti informuotiems apie apribojimą, nebent tai pakenktų apribojimo tikslui.“
17 Šio reglamento 94 straipsnyje „[Direktyvos 95/46] panaikinimas“ numatyta:
„1. Direktyva [95/46] panaikinama nuo 2018 m. gegužės 25 d.
2. Nuorodos į panaikintą direktyvą laikomos nuorodomis į šį reglamentą. Nuorodos į Direktyvos [95/46] 29 straipsniu įsteigtą Darbo grupę asmenų apsaugai tvarkant asmens duomenis laikomos nuorodomis į šiuo reglamentu įsteigtą Europos duomenų apsaugos valdybą.“
5. Direktyva 2016/680
18 Remiantis Direktyvos 2016/680 59 straipsniu, šia direktyva nuo 2018 m. gegužės 6 d. panaikintas ir pakeistas 2008 m. lapkričio 27 d. Tarybos pamatinis sprendimas 2008/977/TVR dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos (OL L 350, 2008, p. 60).
19 Direktyvos 2016/680 9–11 konstatuojamosiose dalyse nustatyta:
„(9) tuo remiantis, [BDAR] nustatytos bendrosios taisyklės, kuriomis siekiama užtikrinti fizinių asmenų apsaugą tvarkant asmens duomenis ir užtikrinti laisvą asmens duomenų judėjimą Sąjungoje;
(10) deklaracijoje Nr. 21 dėl asmens duomenų apsaugos teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo srityse, pridėtoje prie Tarpvyriausybinės konferencijos, kurioje priimta Lisabonos sutartis, baigiamojo akto, konferencija pripažino, kad dėl teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sričių ypatingo pobūdžio tose srityse gali reikėti SESV 16 straipsniu grindžiamų specialių taisyklių dėl asmens duomenų apsaugos ir laisvo asmens duomenų judėjimo;
(11) todėl tikslinga tų sričių klausimus reglamentuoti direktyvoje, kurioje nustatytos specialios fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo, baudžiamojo persekiojimo arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais taisyklės, atsižvelgiant į specifinį tokios veiklos pobūdį. Tokios kompetentingos institucijos gali būti ne tik valdžios institucijos, pavyzdžiui, teisminės institucijos, policija ar kitos teisėsaugos institucijos, bet ir bet kuri kita įstaiga arba subjektas, kuriems pagal valstybės narės teisę pavesta vykdyti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais šios direktyvos tikslais. Jei tokia įstaiga arba subjektas tvarko asmens duomenis kitais nei šios direktyvos tikslais, taikomas [BDAR]. Todėl [BDAR] taikomas tais atvejais, kai įstaiga arba subjektas renka asmens duomenis kitais tikslais ir toliau tvarko tuos asmens duomenis siekdami laikytis teisinės prievolės, kuri jiems taikoma. Pavyzdžiui, nusikalstamų veikų tyrimo, atskleidimo ar baudžiamojo persekiojimo tikslais finansų įstaigos saugo tam tikrus savo tvarkomus asmens duomenis ir pateikia tuos asmens duomenis tik kompetentingoms nacionalinėms institucijoms konkrečiais atvejais ir laikydamosi valstybės narės teisės. Įstaiga arba subjektas, tvarkantys asmens duomenis tokių institucijų vardu šios direktyvos taikymo srityje, turėtų būti saistomi sutarties ar kito teisės akto ir nuostatų, taikytinų duomenų tvarkytojams pagal šią direktyvą, o [BDAR] taikymas išlieka nepakitęs duomenų tvarkytojo vykdomos asmens duomenų tvarkymo veiklos, kuriai ši direktyva netaikoma, atžvilgiu.“
20 Šios direktyvos 1 straipsnio „Dalykas ir tikslai“, kuris iš esmės atitinka Pamatinio sprendimo 2008/977 1 straipsnį, 1 dalyje numatyta:
„Šioje direktyvoje nustatytos taisyklės, susijusios su fizinių asmenų apsauga kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais.“
21 Šios direktyvos 3 straipsnyje „Apibrėžtys“ nustatyta:
„Šioje direktyvoje:
<…>
7. kompetentinga institucija –
a) bet kokia valdžios institucija, kompetentinga nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais; arba
b) bet kokia kita įstaiga arba subjektas, kuriems pagal valstybės narės teisę pavesta vykdyti viešosios valdžios funkcijas ir naudotis viešaisiais įgaliojimais nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo, be kita ko, apsaugos nuo grėsmių visuomenės saugumui ir jų prevencijos, tikslais;
<…>“
6. PNR direktyva
22 PNR direktyvos 4–12, 15, 19, 20, 22, 25, 27, 28, 33, 36 ir 37 konstatuojamosiose dalyse nurodyta:
„(4) [API direktyva] reglamentuojamas oro vežėjų atliekamas išankstinės informacijos apie keleivius (toliau – API) duomenų perdavimas kompetentingoms nacionalinėms valdžios institucijoms siekiant gerinti sienų kontrolę ir kovoti su nelegalia imigracija;
(5) šios direktyvos tikslai yra, inter alia, užtikrinti saugumą, ginti asmenų gyvybę bei saugą ir sukurti PNR duomenų apsaugos tuo atveju, kai juos tvarko kompetentingos valdžios institucijos, teisinę sistemą;
(6) veiksmingas PNR duomenų naudojimas, pavyzdžiui, lyginant PNR duomenis su įvairiose ieškomų asmenų ir daiktų duomenų bazėse esančiais duomenimis, būtinas teroristinių nusikaltimų ir sunkių nusikaltimų prevencijai, nustatymui, tyrimui ir patraukimui už juos baudžiamojon atsakomybėn ir taip užtikrinant didesnį vidaus saugumą, siekiant surinkti įrodymus ir atitinkamais atvejais rasti nusikaltėlių bendrininkus ir atskleisti nusikalstamus tinklus;
(7) PNR duomenų vertinimas leidžia nustatyti asmenis, kurie nebuvo įtariami dėl sąsajos su teroristiniais nusikaltimais ar sunkiais nusikaltimais prieš tokį vertinimą, ir juos turėtų išsamiau patikrinti kompetentingos valdžios institucijos. Naudojantis PNR duomenimis galima kovoti su teroristinių nusikaltimų ir sunkių nusikaltimų grėsme kitais būdais nei tvarkant kitų kategorijų asmens duomenis. Tačiau, siekiant užtikrinti, kad PNR duomenys būtų tvarkomi tik tiek, kiek tai būtina, vertinimo kriterijų kūrimas ir taikymas turėtų būti apribotas, kad apimtų tik teroristinius nusikaltimus bei sunkius nusikaltimus, kurių atžvilgiu tokių kriterijų naudojimas yra aktualus. Be to, vertinimo kriterijai turėtų būti nustatomi tokiu būdu, kuris užtikrintų, kad sistema neteisingai identifikuotų kuo mažiau nekaltų žmonių;
(8) oro vežėjai jau renka ir tvarko savo keleivių PNR duomenis savo pačių komerciniais tikslais. Šia direktyva oro vežėjams neturėtų būti nustatytos jokios pareigos iš keleivių rinkti arba saugoti kokius nors papildomus duomenis ir keleiviams neturėtų būti nustatytos jokios pareigos pateikti bet kokius papildomus duomenis be tų, kurie jau teikiami oro vežėjams;
(9) kai kurie oro vežėjai API duomenis, kuriuos jie renka, saugo kaip PNR duomenų dalį, tačiau kiti to nedaro. PNR duomenų naudojimas kartu su API duomenimis turi pridėtinės vertės, kadangi taip valstybėms narėms padedama patikrinti asmens tapatybę ir taip padidinama to rezultato, kiek tai susiję su teisėsaugos veiksmais, vertė bei sumažinamas pavojus, kad bus tikrinami ir tiriami nekalti žmonės. Todėl svarbu užtikrinti, kad tais atvejais, kai oro vežėjai renka API duomenis, jie juos perduotų neatsižvelgiant į tai, ar API duomenis jie saugo skirtingomis techninėmis priemonėmis nei kitus PNR duomenis;
(10) siekiant užkirsti kelią teroristiniams nusikaltimams ir sunkiems nusikaltimams, juos nustatyti, tirti ir patraukti už juos baudžiamojon atsakomybėn, svarbu, kad visos valstybės narės priimtų nuostatas, kuriomis ES išorės skrydžius vykdantys oro vežėjai būtų įpareigoti perduoti PNR duomenis, kuriuos jie renka, įskaitant API duomenis. Valstybės narės taip pat turėtų turėti galimybę šią pareigą taikyti ir ES vidaus skrydžius vykdantiems oro vežėjams. Tos nuostatos neturėtų daryti poveikio [API direktyvai];
(11) asmens duomenų tvarkymas turėtų būti proporcingas konkretiems saugumo tikslams, kurių siekiama pagal šią direktyvą;
(12) šioje direktyvoje vartojamo termino „teroristiniai nusikaltimai“ apibrėžtis turėtų būti tokia pati kaip [2002 m. birželio 13 d.] Tarybos pamatiniame sprendime 2002/475/TVR [(OL L 164, 2002, p. 3)]. Termino „sunkūs nusikaltimai“ apibrėžtis turėtų apimti šios direktyvos II priede išvardytų kategorijų nusikaltimus;
<…>
(15) PNR duomenų, kuriuos turi gauti informacijos apie keleivius skyrius, sąrašas turėtų būti nustatytas siekiant atspindėti viešųjų valdžios institucijų teisėtus reikalavimus užkirsti kelią teroristiniams nusikaltimams ar sunkiems nusikaltimams, juos nustatyti, tirti ir patraukti už juos baudžiamojon atsakomybėn, tokiu būdu didinant vidaus saugumą Sąjungoje ir apsaugant pagrindines teises, visų pirma teisę į privatumą ir teisę į asmens duomenų apsaugą. Tuo tikslu turėtų būti taikomi aukšti standartai vadovaujantis [Chartija], konvencija dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (toliau – Konvencija Nr. 108) ir [1950 m. lapkričio 4 d. Romoje pasirašyta] Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencija (toliau – EŽTK). Toks sąrašas neturėtų būti sudaromas asmens rasės arba etninės kilmės, religijos ar tikėjimo, politinių ar bet kokių kitų pažiūrų, narystės profesinėje sąjungoje, sveikatos, lytinio gyvenimo ar seksualinės orientacijos pagrindu. PNR duomenys turėtų apimti tik išsamią informaciją apie keleivių rezervuotus bilietus ir kelionių maršrutus, kuria remdamosi kompetentingos valdžios institucijos gali nustatyti grėsmę vidaus saugumui keliančius oro transporto keleivius;
<…>
(19) kiekviena valstybė narė turėtų būti atsakinga už galimų teroristinių nusikaltimų ir sunkių nusikaltimų grėsmių įvertinimą;
(20) visapusiškai atsižvelgiant į teisę į asmens duomenų apsaugą ir teisę į nediskriminavimą, neturėtų būti priimama jokių tik automatizuotu PNR duomenų tvarkymu grindžiamų sprendimų, kurie turėtų neigiamų teisinių pasekmių asmeniui arba kurie tą asmenį labai paveiktų. Be to, pagal Chartijos 8 ir 21 straipsnius jokiu tokio pobūdžio sprendimu neturėtų būti diskriminuojama jokiu pagrindu, kaip antai dėl asmens lyties, rasės, odos spalvos, etninės ar socialinės kilmės, genetinių bruožų, kalbos, religijos ar tikėjimo, politinių ar bet kokių kitų pažiūrų, priklausymo tautinei mažumai, turtinės padėties, gimimo, negalios, amžiaus ar seksualinės orientacijos. [Europos] Komisija, peržiūrėdama šios direktyvos taikymą, taip pat turėtų atsižvelgti į tuos principus;
<…>
(22) visapusiškai atsižvelgiant į Europos Sąjungos Teisingumo Teismo pastarojo meto atitinkamoje teismo praktikoje suformuotus principus, taikant šią direktyvą turėtų būti užtikrinta visapusiška pagarba pagrindinėms teisėms, teisei į privatų gyvenimą ir proporcingumo principo laikymasis. Ja taip pat turėtų būti tvirtai laikomasi būtinumo ir proporcingumo tikslų siekiant užtikrinti Sąjungos pripažintus bendrus interesus ir atsižvelgiama į būtinybę garantuoti, kad kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais būtų apsaugotos kitų asmenų teisės ir laisvės. Šios direktyvos taikymas turėtų būti tinkamai pagrindžiamas ir turėtų būti numatytos reikiamos apsaugos priemonės, kad būtų galima užtikrinti PNR duomenų saugojimo, analizės, perdavimo arba naudojimo teisėtumą;
<…>
(25) PNR duomenys turėtų būti saugomi tokį laikotarpį, koks būtinas teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais ir šis laikotarpis turėtų būti šiems tikslams proporcingas. Dėl duomenų pobūdžio ir jų paskirties PNR duomenis būtina saugoti pakankamai ilgą laikotarpį, kad juos būtų galima panaudoti analizei ir tyrimams atlikti. Siekiant išvengti neproporcingo naudojimo, pasibaigus pradiniam saugojimo laikotarpiui PNR duomenys turėtų būti nuasmeninti užmaskuojant duomenų elementus. Siekiant užtikrinti aukščiausio lygio duomenų apsaugą, susipažinti su visais PNR duomenimis, kurie sudaro galimybę tiesiogiai nustatyti duomenų subjektą, pasibaigus tam pradiniam laikotarpiui turėtų būti leidžiama tik laikantis labai griežtų ir ribotų sąlygų;
<…>
(27) i informacijos apie keleivius skyriaus ir kompetentingų valdžios institucijų vykdomam PNR duomenų tvarkymui kiekvienoje valstybėje narėje turėtų būti taikomi asmens duomenų apsaugos pagal nacionalinę teisę standartai, atitinkantys [Pamatinį sprendimą 2008/977], ir konkretūs šioje direktyvoje nustatyti duomenų apsaugos reikalavimai. Nuorodos į [Pamatinį sprendimą 2008/977] turėtų būti laikomos nuorodomis į šiuo metu galiojančius teisės aktus ir į teisės aktus, kuriais jie bus pakeisti;
(28) atsižvelgiant į teisę į asmens duomenų apsaugą, duomenų subjektų teisės, susijusios su jų PNR duomenų tvarkymu, kaip antai teisės su jais susipažinti, juos ištaisyti, ištrinti ir apriboti jų tvarkymą, ir teisė gauti kompensaciją bei teisė į teismines teisių gynimo priemones, turėtų atitikti tiek [Pamatinį sprendimą 2008/977], tiek ir aukštą Chartijoje ir EŽTK numatytą apsaugos lygį;
<…>
(33) ši direktyva neturi įtakos valstybių narių galimybei pagal savo nacionalinę teisę numatyti sistemą, skirtą rinkti ir tvarkyti PNR duomenis, kuriuos teikia ekonominės veiklos vykdytojai, kurie nėra vežėjai, kaip antai kelionių agentūros ir kelionių organizatoriai, teikiantys su kelionėmis susijusias paslaugas, įskaitant skrydžių užsakymą, kurių tikslais jie renka ir tvarko PNR duomenis, arba kiti transporto paslaugų teikėjai, nei nurodyta šioje direktyvoje, jeigu tokia nacionalinė teisė atitinka Sąjungos teisę;
<…>
(36) šia direktyva gerbiamos Chartijoje nurodytos pagrindinės teisės ir principai, visų pirma teisė į asmens duomenų apsaugą, teisė į privatumą ir teisė į nediskriminavimą, kurios saugomos jos 8, 7 ir 21 straipsniais; todėl ją reikėtų atitinkamai įgyvendinti. Ši direktyva neprieštarauja duomenų apsaugos principams, o jos nuostatos atitinka [Pamatinį sprendimą 2008/977]. Be to, siekiant laikytis proporcingumo principo, tam tikroms sritims pagal šią direktyvą numatomos griežtesnės duomenų apsaugos taisyklės, nei nustatytos [Pamatiniame sprendime 2008/977];
(37) šios direktyvos taikymo sritis yra kiek įmanoma apribota, kadangi: pagal ją informacijos apie keleivius skyriuose PNR duomenis numatoma saugoti ne ilgesnį kaip penkerių metų laikotarpį, po kurio duomenys turėtų būti ištrinti; joje numatyta, jog pasibaigus pradiniam šešių mėnesių laikotarpiui duomenys nuasmeninami duomenų elementus užmaskuojant; ir pagal ją draudžiama rinkti bei naudoti neskelbtinus duomenis. Siekiant užtikrinti duomenų apsaugos veiksmingumą ir aukštą lygį, valstybės narės privalo užtikrinti, kad nepriklausoma nacionalinė priežiūros institucija ir visų pirma duomenų apsaugos pareigūnas būtų atsakingi už konsultavimą, kaip tvarkyti PNR duomenis, ir už jų tvarkymo stebėseną. Visi PNR duomenų tvarkymo atvejai turėtų būti registruojami ar dokumentuojami jų teisėtumo patikrinimo, savikontrolės ir deramo duomenų vientisumo bei saugaus tvarkymo užtikrinimo tikslais. Valstybės narės taip pat turėtų užtikrinti, kad keleiviai būtų aiškiai ir tiksliai informuojami apie PNR duomenų rinkimą ir savo teises.“
23 PNR direktyvos 1 straipsnyje „Dalykas ir taikymo sritis“ nustatyta:
„1. Šia direktyva numatoma:
a) oro vežėjų atliekamas ES išorės skrydžių keleivių duomenų įrašo (toliau – PNR) duomenų perdavimas,
b) a punkte nurodytų duomenų tvarkymas, įskaitant valstybių narių vykdomą tokių duomenų rinkimą, naudojimą bei saugojimą ir valstybių narių tarpusavio keitimąsi jais.
2. Pagal šią direktyvą renkami PNR duomenys gali būti tvarkomi tik teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, kaip numatyta 6 straipsnio 2 dalies a, b ir c punktuose.“
24 Šios direktyvos 2 straipsnis „Šios direktyvos taikymas ES vidaus skrydžiams“ suformuluotas taip:
„1. Jeigu valstybė narė nusprendžia taikyti šią direktyvą ES vidaus skrydžiams, ji raštu praneša Komisijai. Valstybė narė tokį pranešimą gali pateikti arba panaikinti bet kuriuo metu. Komisija tą pranešimą ir bet kurį panaikinimą paskelbia Europos Sąjungos oficialiajame leidinyje.
2. Kai pateikiamas 1 dalyje nurodytas pranešimas, visos šios direktyvos nuostatos taikomos ES vidaus skrydžiams taip, kaip jos būtų taikomos ES išorės skrydžiams, ir ES vidaus skrydžių PNR duomenims taip, kaip jos būtų taikomos ES išorės skrydžių PNR duomenims.
3. Valstybė narė gali nuspręsti šią direktyvą taikyti tik pasirinktiems ES vidaus skrydžiams. Priimdama tokį sprendimą valstybė narė pasirenka skrydžius, kuriuos pasirinkti, jos nuomone, yra būtina siekiant šios direktyvos tikslų. Valstybė narė gali nuspręsti bet kada pakeisti savo ES vidaus skrydžių pasirinkimą.
25 Šios direktyvos 3 straipsnyje „Terminų apibrėžtys“ numatyta:
„Šioje direktyvoje vartojamų terminų apibrėžtys:
1) oro vežėjas – oro transporto įmonė, turinti galiojančią veiklos licenciją arba jai lygiavertį dokumentą, leidžiantį oro transportu vežti keleivius;
2) ES išorės skrydis – bet kuris oro vežėjo reguliarus ar nereguliarus skrydis iš trečiosios šalies, kurio suplanuota nusileidimo vieta yra valstybės narės teritorijoje, arba skrydis iš valstybės narės teritorijos, kurio suplanuota nusileidimo vieta yra trečiojoje šalyje, abiem atvejais įskaitant skrydžius su bet kokiais nusileidimais valstybių narių arba trečiųjų šalių teritorijoje;
3) ES vidaus skrydis – bet kuris oro vežėjo reguliarus arba nereguliarus skrydis iš valstybės narės teritorijos, kurio suplanuota nusileidimo vieta yra vienos arba kelių kitų valstybių narių teritorijoje, be jokių nusileidimų trečiosios šalies teritorijoje;
4) keleivis – bet kuris asmuo, įskaitant su persėdimu arba tranzitu vykstančius keleivius ir išskyrus įgulos narius, kuris yra vežamas arba turi būti vežamas orlaiviu sutikus oro vežėjui, kai toks sutikimas parodomas to asmens registracija keleivių sąraše;
5) keleivio duomenų įrašas arba PNR – kiekvieno keleivio kelionės sąlygų įrašas, kuriame pateikiama informacija, reikalinga, kad kiekvienos asmens arba jo vardu užsakytos kelionės atveju užsakymus priimantys bei dalyvaujantys oro vežėjai galėtų tvarkyti ir kontroliuoti bilietų rezervavimą, nepriklausomai nuo to, ar įrašas yra rezervavimo sistemose, išvykimo kontrolės sistemose, naudojamose keleivių registravimui į skrydžius, arba tokias pačias funkcijas turinčiose lygiavertėse sistemose;
6) rezervavimo sistema – oro vežėjo vidinė sistema, kurioje renkami rezervavimui tvarkyti reikalingi PNR duomenys;
7) eksporto metodas – metodas, pagal kurį oro vežėjai perduoda I priede išvardytus PNR duomenis į duomenų prašančios institucijos duomenų bazę;
8) teroristiniai nusikaltimai – nusikaltimai pagal nacionalinę teisę, nurodyti [Pamatinio sprendimo 2002/475] 1–4 straipsniuose;
9) sunkūs nusikaltimai – II priede išvardyti nusikaltimai, už kuriuos pagal valstybės narės nacionalinę teisę baudžiama laisvės atėmimo bausme arba įsakymu sulaikyti [taikomos prevencinės priemonės], kuri[ų] ilgiausias terminas – bent treji metai;
10) nuasmeninti užmaskuojant duomenų elementus – padaryti nematomais naudotojui tuos duomenų elementus, pagal kuriuos galėtų būti galima tiesiogiai nustatyti duomenų subjektą.“
26 PNR direktyvos 4 straipsnio „Informacijos apie keleivius skyrius“ 1–3 dalyse nustatyta:
„1. Kiekviena valstybė narė įsteigia arba paskiria valdžios instituciją, kompetentingą vykdyti teroristinių nusikaltimų ir sunkių nusikaltimų prevenciją, nustatymą, tyrimą ar patraukimą už juos baudžiamojon atsakomybėn, arba tokios valdžios institucijos padalinį atlikti informacijos apie keleivius skyriaus funkcijas.
2. Informacijos apie keleivius skyrius atsako už:
a) PNR duomenų rinkimą iš oro vežėjų, tų duomenų saugojimą ir tvarkymą, ir tų duomenų arba jų tvarkymo rezultatų perdavimą 7 straipsnyje nurodytoms kompetentingoms valdžios institucijoms;
b) keitimąsi tiek PNR duomenimis, tiek tų duomenų tvarkymo rezultatais su kitų valstybių narių informacijos apie keleivius skyriais ir Europolu pagal 9 ir 10 straipsnius.
3. Informacijos apie keleivius skyriaus darbuotojai gali būti deleguoti iš kompetentingų valdžios institucijų. Valstybės narės suteikia informacijos apie keleivius skyriams atitinkamų išteklių, kad jie galėtų vykdyti savo užduotis.“
27 Šios direktyvos 5 straipsnis „Duomenų apsaugos pareigūnas informacijos apie keleivius skyriuje“ suformuluotas taip:
„1. Informacijos apie keleivius skyrius paskiria duomenų apsaugos pareigūną, atsakingą už PNR duomenų tvarkymo ir atitinkamų apsaugos priemonių įgyvendinimo stebėseną.
2. Valstybės narės aprūpina duomenų apsaugos pareigūnus ištekliais, kad jie galėtų veiksmingai ir nepriklausomai vykdyti pagal šį straipsnį jiems numatytas pareigas ir užduotis.
3. Valstybės narės užtikrina, kad duomenų subjektas turėtų teisę kreiptis į duomenų apsaugos pareigūną kaip į bendrą kontaktinį asmenį visais klausimais, susijusiais su to duomenų subjekto PNR duomenų tvarkymu.“
28 Minėtos direktyvos 6 straipsnyje „PNR duomenų tvarkymas“ nurodyta:
„1. Oro vežėjų perduotus PNR duomenis renka atitinkamos valstybės narės informacijos apie keleivius skyrius, kaip numatyta 8 straipsnyje. Kai oro vežėjų perduoti PNR duomenys apima kitus duomenis, nei tie, kurie išvardyti I priede, tokius duomenis gavęs informacijos apie keleivius skyrius nedelsdamas juos ištrina visam laikui.
2. Informacijos apie keleivius skyrius PNR duomenis tvarko tik šiais tikslais:
a) kad atliktų keleivių įvertinimą prieš jų numatytą atvykimą į valstybę narę ar išvykimą iš jos ir nustatytų, kuriuos asmenis turi papildomai patikrinti 7 straipsnyje nurodytos kompetentingos valdžios institucijos ir, prireikus, Europolas pagal 10 straipsnį, kadangi tokie asmenys gali būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu;
b) kad kiekvienu konkrečiu atveju atsakydamas į tinkamai pagrįstą ir pakankamais pagrindais paremtą kompetentingų valdžios institucijų prašymą, konkrečiais atvejais pateiktų ir tvarkytų PNR duomenis teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, ir kad kompetentingoms valdžios institucijoms arba, prireikus, Europolui, pateiktų tokio tvarkymo rezultatus; ir
c) kad analizuotų PNR duomenis, siekdamas atnaujinti arba sukurti naujus kriterijus, naudotinus įvertinimuose, atliekamuose pagal 3 dalies b punktą, kad būtų nustatyti visi asmenys, kurie gali būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu.
3. Atlikdamas 2 dalies a punkte nurodytą įvertinimą informacijos apie keleivius skyrius gali:
a) palyginti PNR duomenis su duomenimis duomenų bazėse, atitinkančiose teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslus, įskaitant asmenų ar daiktų, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, duomenų bazes, pagal tokioms duomenų bazėms taikomas Sąjungos, tarptautines ir nacionalines taisykles; arba
b) tvarkyti PNR duomenis pagal iš anksto nustatytus kriterijus.
4. Bet koks keleivių vertinimas prieš jų numatytą atvykimą į valstybę narę arba išvykimą iš jos, atliekamas pagal 3 dalies b punktą pagal iš anksto nustatytus kriterijus, vykdomas nediskriminuojant. Tie iš anksto nustatyti kriterijai turi būti tiksliniai, proporcingi ir konkretūs. Valstybės narės užtikrina, kad informacijos apie keleivius skyriai tuos kriterijus nustatytų ir reguliariai peržiūrėtų bendradarbiaudami su 7 straipsnyje nurodytomis kompetentingomis valdžios institucijomis. Tie kriterijai jokiomis aplinkybėmis neturi būti nustatomi asmens rasės ar etninės kilmės, politinių pažiūrų, religijos ar filosofinių įsitikinimų, narystės profesinėse sąjungose, sveikatos, lytinio gyvenimo ar seksualinės orientacijos pagrindu.
5. Valstybės narės užtikrina, kad bet koks pagal 2 dalies a punktą automatizuotu būdu tvarkant PNR duomenis gautas teigiamas rezultatas būtų atskirai peržiūrėtas neautomatizuotu būdu siekiant patikrinti, ar 7 straipsnyje nurodyta kompetentinga valdžios institucija turi imtis veiksmų pagal nacionalinę teisę.
6. Valstybės narės informacijos apie keleivius skyrius pagal 2 dalies a punktą nustatytų asmenų PNR duomenis arba tų duomenų tvarkymo rezultatus perduoda tos pačios valstybės narės kompetentingoms valdžios institucijoms, nurodytoms 7 straipsnyje, toliau nagrinėti. Tokie duomenys perduodami tik atskirai įvertinus kiekvieną konkretų atvejį, o automatizuoto PNR duomenų tvarkymo atveju – atskirai juos peržiūrėjus neautomatizuotu būdu.
7. Valstybės narės užtikrina, kad duomenų apsaugos pareigūnas turėtų prieigą prie visų informacijos apie keleivius skyriaus tvarkomų duomenų. Jeigu duomenų apsaugos pareigūnas mano, kad kurių nors duomenų tvarkymas buvo neteisėtas, duomenų apsaugos pareigūnas gali perduoti klausimą nacionalinei priežiūros institucijai.
<…>
9. Šio straipsnio 2 dalies a punkte nurodytų keleivių vertinimų rezultatai neturi kelti pavojaus asmenų, kurie naudojasi Sąjungos laisvo judėjimo teise, teisei atvykti į atitinkamos valstybės narės teritoriją, kaip nustatyta [2004 m. balandžio 29 d.] Europos Parlamento ir Tarybos direktyvoje 2004/38/EB [dėl Sąjungos piliečių ir jų šeimos narių teisės laisvai judėti ir gyventi valstybių narių teritorijoje, iš dalies keičiančioje Reglamentą (EEB) Nr. 1612/68 ir panaikinančioje Direktyvas 64/221/EEB, 68/360/EEB, 72/194/EEB, 73/148/EEB, 75/34/EEB, 75/35/EEB, 90/364/EEB, 90/365/EEB ir 93/96/EEB (OL L 158, 2004, p. 77; 2004 m. specialusis leidimas lietuvių k. 5 sk., 5 t., p. 46]. Be to, kai vertinimai susiję su ES vidaus skrydžiais tarp valstybių narių, kuriems taikomas [2006 m. kovo 15 d.] Europos Parlamento ir Tarybos reglamentas (EB) Nr. 562/2006 [nustatantis taisyklių, reglamentuojančių asmenų judėjimą per sienas, Bendrijos kodeksą (Šengeno sienų kodeksas) (OL L 105, 2006, p. 1)], tokių vertinimų rezultatai turi atitikti tą reglamentą.“
29 PNR direktyvos 7 straipsnyje „Kompetentingos valdžios institucijos“ numatyta:
„1. Kiekviena valstybė narė patvirtina kompetentingų valdžios institucijų, turinčių teisę prašyti informacijos apie keleivius skyrių pateikti PNR duomenis arba tų duomenų tvarkymo rezultatus arba juos gauti, kad galėtų toliau nagrinėti tą informaciją arba imtis atitinkamų veiksmų teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, sąrašą.
2. 1 dalyje nurodytos valdžios institucijos yra valdžios institucijos, kompetentingos teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn klausimais.
<…>
4. Informacijos apie keleivius skyriaus gautus PNR duomenis ir tų duomenų tvarkymo rezultatus valstybių narių kompetentingos valdžios institucijos gali toliau tvarkyti tik konkrečiais teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn tikslais.
5. 4 dalimi nedaromas poveikis nacionaliniams teisėsaugos ar teismų įgaliojimams tais atvejais, kai po tokio duomenų tvarkymo pradėjus taikyti vykdymo užtikrinimo priemones nustatomi kiti nusikaltimai arba jų požymiai.
6. Kompetentingos valdžios institucijos nepriima jokių tik automatizuotu PNR duomenų tvarkymu grindžiamų sprendimų, kurie turi neigiamų teisinių pasekmių asmeniui arba kurie jį labai paveikia. Tokie sprendimai neturi būti priimami asmens rasės ar etninės kilmės, politinių pažiūrų, religijos ar filosofinių įsitikinimų, narystės profesinėse sąjungose, sveikatos būklės, lytinio gyvenimo ar seksualinės orientacijos pagrindu.“
30 Šios direktyvos 8 straipsnio „Oro vežėjų pareigos duomenų perdavimo srityje“ 1–3 dalyse nustatyta:
„1. Valstybės narės patvirtina būtinas priemones, kad užtikrintų, jog oro vežėjai eksporto metodu perduotų PNR duomenis, išvardytus I priede, į valstybės narės, į kurios teritoriją arba iš kurios teritorijos bus vykdomas skrydis, informacijos apie keleivius skyriaus duomenų bazę tiek, kiek tokius duomenis jie surinko vykdydami savo įprastą veiklą. Tais atvejais, kai vienas ar keli oro vežėjai vykdo bendrojo kodo skrydį, pareiga perduoti visų skrydžio keleivių PNR duomenis tenka skrydį vykdančiam oro vežėjui. Kai ES išorės skrydžio metu vieną ar daugiau kartų nusileidžiama valstybių narių oro uostuose, oro vežėjai perduoda visų keleivių PNR duomenis visų atitinkamų valstybių narių informacijos apie keleivius skyriams. Tai taip pat taikoma, kai ES vidaus skrydžio metu vieną ar daugiau kartų nusileidžiama skirtingų valstybių narių oro uostuose, tačiau tik ES vidaus skrydžių PNR duomenis renkančių valstybių narių atžvilgiu.
2. Tuo atveju, kai oro vežėjai yra surinkę [API duomenų], išvardytų I priedo 18 punkte, tačiau nesaugo tų duomenų tokiomis pačiomis techninėmis priemonėmis kaip kitų PNR duomenų, valstybės narės patvirtina būtinas priemones, kad užtikrintų, jog oro vežėjai taip pat eksporto metodu perduotų tuos duomenis 1 dalyje nurodytų valstybių narių informacijos apie keleivius skyriams. Tokio perdavimo atveju tiems API duomenims taikomos visos šios direktyvos nuostatos.
3. Oro vežėjai PNR duomenis perduoda elektroninėmis priemonėmis, naudodami bendrus protokolus ir tinkamus duomenų formatus, kurie turi būti nustatyti pagal 17 straipsnio 2 dalyje nurodytą nagrinėjimo procedūrą, arba, jei kiltų techninių kliūčių, bet kokiu kitu tinkamu būdu, užtikrindami tinkamą duomenų saugumo lygį ir laikydamiesi šių sąlygų:
a) likus 24–48 valandoms iki numatytos skrydžio pradžios ir
b) iškart po to, kai uždaromi įlaipinimo vartai, t. y. kai keleiviai yra įlaipinti į skrydžiui besirengiantį orlaivį ir jų nebegalima įlaipinti ar išlaipinti.“
31 Minėtos direktyvos 12 straipsnis „Duomenų saugojimo laikotarpis ir nuasmeninimas“ suformuluotas taip:
„1. Valstybės narės užtikrina, kad PNR duomenys, kuriuos oro vežėjai pateikė informacijos apie keleivius skyriui, būtų saugomi informacijos apie keleivius skyriaus duomenų bazėje penkerių metų laikotarpį po jų perdavimo valstybės narės, į kurios teritoriją arba iš kurios teritorijos vykdomas skrydis, informacijos apie keleivius skyriui.
2. Pasibaigus šešių mėnesių laikotarpiui po 1 dalyje nurodyto PNR duomenų perdavimo, visi PNR duomenys nuasmeninami užmaskuojant toliau išvardytus duomenų elementus, pagal kuriuos būtų galima tiesiogiai nustatyti keleivį, su kuriuo PNR duomenys yra susiję:
a) vardą (‑us) ir pavardę (‑es), įskaitant PNR užfiksuotus kitų keleivių vardus ir pavardes ir PNR užfiksuotų kartu keliaujančių keleivių skaičių;
b) adresą ir kontaktinę informaciją;
c) informaciją apie visus mokėjimo būdus, įskaitant sąskaitos siuntimo adresą, kurioje yra bet kokios informacijos, pagal kurią būtų galima tiesiogiai nustatyti keleivį, su kuriuo PNR yra susiję, ar bet kuriuos kitus asmenis;
d) informaciją apie dažnai lėktuvais keliaujančius keleivius;
e) bendras pastabas, kuriose yra bet kokios informacijos, pagal kurią būtų galima tiesiogiai nustatyti keleivį, su kuriuo PNR yra susiję; ir
f) bet kokius surinktus API duomenis.
3. Pasibaigus 2 dalyje nurodytam šešių mėnesių laikotarpiui visus PNR duomenis leidžiama atskleisti tik tais atvejais, kai:
a) pagrįstai manoma, kad tai būtina 6 straipsnio 2 dalies b punkte nurodytais tikslais ir
b) patvirtinus:
i) teisminei institucijai arba
ii) kitai nacionalinei valdžios institucijai, pagal nacionalinę teisę kompetentingai patikrinti, ar įvykdytos atskleidimo sąlygos, su sąlyga, kad informacijos apie keleivius skyriaus duomenų apsaugos pareigūnas yra informuojamas ir kad tas duomenų apsaugos pareigūnas atlieka ex post peržiūrą.
4. Valstybės narės užtikrina, kad PNR duomenys būtų visam laikui panaikinami [ištrinami] pasibaigus 1 dalyje nurodytam laikotarpiui. Šia pareiga nedaromas poveikis atvejams, kai konkretūs PNR duomenys yra perduoti kompetentingai valdžios institucijai ir naudojami konkrečiose bylose teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo baudžiamojon atsakomybėn tikslais, – tokiu atveju tokių duomenų saugojimas, kurį vykdo kompetentinga valdžios institucija, reglamentuojamas nacionaline teise.
5. 6 straipsnio 2 dalies a punkte nurodyto tvarkymo rezultatus informacijos apie keleivius skyrius saugo tik tiek laiko, kiek būtina, kad būtų informuotos kompetentingos valdžios institucijos ir pagal 9 straipsnio 1 dalį kitų valstybių narių informacijos apie keleivius skyriai būtų informuoti apie gautą teigiamą rezultatą. Kai automatizuoto tvarkymo rezultatai, juos atskirai peržiūrėjus neautomatizuotu būdu, kaip nurodyta 6 straipsnio 5 dalyje, pasirodo esą neigiami, jie vis tiek gali būti saugomi, kad ateityje būtų išvengta klaidingų teigiamų rezultatų, tol, kol pagrindiniai duomenys nepanaikinami [neištrinami] pagal šio straipsnio 4 dalį.“
32 PNR direktyvos 13 straipsnio „Asmens duomenų apsauga“ 1–5 dalyse nustatyta:
„1. Kiekviena valstybė narė užtikrina, kad, kiek tai susiję su visu asmens duomenų tvarkymu pagal šią direktyvą, kiekvienas keleivis turėtų tokią pačią teisę į savo asmens duomenų apsaugą, teises su jais susipažinti, juos ištaisyti, ištrinti ir apriboti jų tvarkymą bei teisę gauti kompensaciją ir teisę į teisminį teisių gynimą, kaip nustatyta Sąjungos ir nacionalinėje teisėje, taip pat įgyvendinant [Pamatinio sprendimo 2008/977] 17, 18, 19 ir 20 straipsnius. Todėl tie straipsniai yra taikomi.
2. Kiekviena valstybė narė užtikrina, kad pagal nacionalinę teisę įgyvendinant [Pamatinio sprendimo 2008/977] 21 ir 22 straipsnius priimtos nuostatos dėl duomenų tvarkymo konfidencialumo ir duomenų saugumo taip pat būtų taikomos visam asmens duomenų tvarkymui pagal šią direktyvą.
3. Šia direktyva nedaromas poveikis [Direktyvos 95/46] taikymui oro vežėjams tvarkant asmens duomenis, visų pirma jų pareigoms imtis tinkamų techninių ir organizacinių priemonių asmens duomenų saugumui ir konfidencialumui apsaugoti.
4. Valstybės narės draudžia tvarkyti PNR duomenis, kuriais atskleidžiama asmens rasė ar etninė kilmė, politinės pažiūros, religija ar filosofiniai įsitikinimai, narystė profesinėse sąjungose, sveikata, lytinis gyvenimas ar seksualinė orientacija. Jeigu informacijos apie keleivius skyrius gauna PNR duomenų, kuriais atskleidžiama tokia informacija, jie nedelsiant ištrinami.
5. Valstybės narės užtikrina, kad informacijos apie keleivius skyrius saugotų su visomis duomenų tvarkymo sistemomis ir procedūromis, už kurias jos yra atsakingos, susijusius dokumentus. Tuose dokumentuose pateikiama bent ši informacija:
a) informacijos apie keleivius skyriaus organizacinio vieneto ir darbuotojų, kuriems pavesta tvarkyti PNR duomenis, pavadinimas, vardai, pavardės ir kontaktiniai duomenys ir įvairių lygių prieigos leidimai;
b) kompetentingų valdžios institucijų ir kitų valstybių narių informacijos apie keleivius skyrių pateikti prašymai;
c) visi prašymai dėl PNR duomenų perdavimų į trečiąją šalį ir tų duomenų perdavimai.
Nacionalinės priežiūros institucijos prašymu informacijos apie keleivius skyrius pateikia jai visus turimus dokumentus susipažinti.“
33 Šios direktyvos 15 straipsnyje „Nacionalinė priežiūros institucija“ nustatyta:
„1. Kiekviena valstybė narė užtikrina, kad nacionalinė priežiūros institucija, nurodyta [Pamatinio sprendimo 2008/977] 25 straipsnyje, būtų atsakinga už konsultavimą dėl valstybių narių pagal šią direktyvą priimtų nuostatų taikymo jų teritorijoje ir šių nuostatų taikymo stebėseną. Taikomas [Pamatinio sprendimo 2008/977] 25 straipsnis.
2. Tos nacionalinės priežiūros institucijos vykdo savo veiklą pagal 1 dalį siekdamos, kad tvarkant asmens duomenis būtų apsaugotos pagrindinės teisės.
3. Kiekviena nacionalinė priežiūros institucija:
a) nagrinėja skundus, kuriuos pateikė bet kuris duomenų subjektas, tiria skundo dalyką ir per pagrįstą laikotarpį informuoja duomenų subjektus apie jų skundų tyrimo eigą ir rezultatus;
b) tikrina duomenų tvarkymo teisėtumą, savo iniciatyva arba a punkte nurodyto skundo pagrindu atlieka tyrimus, patikrinimus ir auditą pagal nacionalinę teisę.
4. Kiekviena nacionalinė priežiūros institucija bet kurio duomenų subjekto prašymu jį konsultuoja dėl naudojimosi teisėmis, nustatytomis pagal šią direktyvą priimtose nuostatose.“
34 Šios direktyvos 19 straipsnis „Peržiūra“ suformuluotas taip:
„1. Remdamasi valstybių narių pateikta informacija, įskaitant 20 straipsnio 2 dalyje nurodytą statistinę informaciją, Komisija ne vėliau kaip 2020 m. gegužės 25 d. atlieka visų šios direktyvos aspektų peržiūrą bei pateikia ir pristato Europos Parlamentui ir [Europos Sąjungos] Tarybai ataskaitą.
2. Atlikdama peržiūrą, Komisija ypač daug dėmesio skiria:
a) taikomų asmens duomenų apsaugos standartų laikymuisi,
b) PNR duomenų rinkimo ir tvarkymo kiekvienu iš šioje direktyvoje nustatytų tikslų būtinybei ir proporcingumui,
c) duomenų saugojimo trukmei,
d) keitimosi informacija tarp valstybių narių veiksmingumui, ir
e) vertinimų kokybei, be kita ko, kiek tai susiję su statistine informacija, surinkta pagal 20 straipsnį.
3. 1 dalyje nurodytoje ataskaitoje taip pat peržiūrima PNR duomenų, susijusių su visais arba pasirinktais ES vidaus skrydžiais, privalomo rinkimo ir perdavimo įtraukimo į šios direktyvos taikymo sritį būtinybė, proporcingumas ir veiksmingumas. Komisija atsižvelgia į valstybių narių, ypač tų valstybių narių, kurios pagal 2 straipsnį taiko šią direktyvą ES vidaus skrydžiams, įgytą patirtį. Ataskaitoje taip pat įvertinama, ar į šios direktyvos taikymo sritį reikia įtraukti ekonominės veiklos vykdytojus, kurie nėra vežėjai, kaip antai kelionių agentūras ir kelionių organizatorius, teikiančius su kelionėmis susijusias paslaugas, įskaitant skrydžių užsakymą.
4. Prireikus, atsižvelgdama į peržiūrą, vykdytą pagal šį straipsnį, Komisija pateikia Europos Parlamentui ir Tarybai pasiūlymą dėl teisėkūros procedūra priimamo akto siekiant iš dalies pakeisti šią direktyvą.“
35 Tos pačios direktyvos 21 straipsnio „Ryšys su kitais dokumentais“ 2 dalyje nustatyta:
„Šia direktyva nedaromas poveikis [Direktyvos 95/46] taikymui oro vežėjų vykdomam asmens duomenų tvarkymui.“
36 PNR direktyvos I priede „Oro vežėjų renkami keleivio duomenų įrašo duomenys“, be kita ko, nurodyta:
„1. PNR įrašų aptikimo kodas
2. Bilieto rezervavimo/išdavimo data
3. Planuojamos kelionės data (‑os)
4. Vardas (‑ai) ir pavardė (‑ės)
5. Adresas ir kontaktinė informacija (telefono numeris, el. pašto adresas)
6. Informacija apie visus mokėjimo būdus, įskaitant sąskaitos siuntimo adresą
7. Visas su konkrečiu PNR susijęs kelionės maršrutas
8. Informacija apie dažnai lėktuvais keliaujančius keleivius
9. Kelionių agentūra/kelionių agentas
10. Keleivio kelionės statusas, įskaitant patvirtinimus, registravimo statusą, informaciją apie neatvykimą arba apie paskutinės minutės atvykimą be bilieto užsakymo
11. Išskaidyta / padal[y]ta PNR informacija
12. Bendros pastabos (įskaitant visą turimą su jaunesniais nei 18 metų nelydimais nepilnamečiais susijusią informaciją, būtent: nepilnamečio vardas ir pavardė, lytis, amžius, kalba (‑os), kuria (‑iomis) jis kalba, išlydinčio asmens vardas, pavardė bei kontaktiniai duomenys ir jo ryšys su nepilnamečiu, pasitinkančio asmens vardas, pavardė bei kontaktiniai duomenys ir jo ryšys su nepilnamečiu, išlydintis ir pasitinkantis oro uosto darbuotojas)
13. Informacija apie bilietų pardavimą, įskaitant bilieto numerį, bilieto išdavimo datą, bilietus į vieną pusę ir automatizuotą bilietų kainos nurodymą
14. Sėdimos vietos numeris ir kita informacija apie sėdimas vietas
15. Bendrojo kodo informacija
16. Visa informacija apie bagažą
17. PNR užfiksuotų keleivių skaičius ir kiti vardai bei pavardės
18. Visi surinkti išankstinės informacijos apie keleivius (API) duomenys (įskaitant bet kurio asmens dokumento rūšį, numerį, išdavusią šalį, galiojimo pabaigos datą, pilietybę, pavardę, vardą, lytį, gimimo datą, oro transporto bendrovę, skrydžio numerį, išvykimo datą, atvykimo datą, išvykimo oro uostą, atvykimo oro uostą, išvykimo laiką ir atvykimo laiką)
19. Visi ankstesni 1–18 punktuose išvardytų PNR pakeitimai.“
37 Šios direktyvos II priedas „3 straipsnio 9 punkte nurodytų nusikaltimų sąrašas“ suformuluotas taip:
„1. dalyvavimas nusikalstamoje organizacijoje,
2. prekyba žmonėmis,
3. seksualinis vaikų išnaudojimas ir vaikų pornografija,
4. neteisėta prekyba narkotikais ir psichotropinėmis medžiagomis,
5. neteisėta prekyba ginklais, šaudmenimis ir sprogmenimis,
6. korupcija,
7. sukčiavimas, įskaitant Sąjungos finansiniams interesams kenkiantį sukčiavimą,
8. nusikalstamu būdu įgytų pajamų plovimas ir pinigų, įskaitant eurus, padirbinėjimas,
9. elektroniniai/kibernetiniai nusikaltimai,
10. nusikaltimai aplinkai, įskaitant neteisėtą prekybą nykstančių rūšių gyvūnais ir nykstančių rūšių bei veislių augalais,
11. pagalba neteisėtai patekti į šalį ir joje apsigyventi,
12. nužudymas, sunkus kūno sužalojimas,
13. neteisėta prekyba žmogaus organais ir audiniais,
14. žmogaus pagrobimas, neteisėtas laisvės atėmimas ir pagrobimas įkaitu,
15. organizuotas ir ginkluotas apiplėšimas,
16. neteisėta prekyba kultūros vertybėmis, įskaitant antikvarinius daiktus ir meno kūrinius,
17. gaminių klastojimas ir piratavimas,
18. administracinių dokumentų klastojimas ir prekyba jais,
19. neteisėta prekyba hormoninėmis medžiagomis ir kitomis augimą skatinančiomis medžiagomis,
20. neteisėta prekyba branduolinėmis ar radioaktyviosiomis medžiagomis,
21. išžaginimas,
22. Tarptautinio baudžiamojo teismo jurisdikcijai priklausantys nusikaltimai,
23. neteisėtas orlaivio (laivo) užgrobimas,
24. sabotažas,
25. prekyba vogtomis transporto priemonėmis,
26. pramoninis šnipinėjimas.“
7. Pamatinis sprendimas 2002/475
38 Pamatinio sprendimo 2002/475 1 straipsnyje teroristinio nusikaltimo sąvoka buvo apibrėžta išvardijant tam tikrus tyčinius veiksmus, nurodytus to paties straipsnio a–i punktuose, kuriais siekiama „rimtai bauginti gyventojus“ ar „neleistinai priversti vyriausybę ar tarptautinę organizaciją atlikti kokį veiksmą arba susilaikyti nuo veiksmo“ arba „rimtai destabilizuoti ar sunaikinti pagrindinius politinius, konstitucinius, ekonominius ar socialinius šalies darinius ar tarptautinę organizaciją“. Šio pamatinio sprendimo 2 ir 3 straipsniuose buvo atitinkamai apibrėžtos „su teroristine grupe susijusių nusikaltimų“ ir „su teroristine veikla susijusių nusikaltimų“ sąvokos. Minėto pamatinio sprendimo 4 straipsnyje buvo reglamentuojamas bendrininkavimo, kurstymo padaryti nusikalstamas veikas ir kėsinimosi padaryti šias nusikalstamas veikas kriminalizavimas.
39 Pamatinis sprendimas 2002/475 buvo panaikintas 2017 m. kovo 15 d. Europos Parlamento ir Tarybos direktyva (ES) 2017/541 dėl kovos su terorizmu, pakeičiančia Tarybos pamatinį sprendimą 2002/475/TVR ir iš dalies keičiančia Tarybos sprendimą 2005/671 (OL L 88, 2017, p. 6), kurios 3–14 straipsniuose pateiktos panašios apibrėžtys.
B. Belgijos teisė
1. Konstitucija
40 Konstitucijos 22 straipsnyje nurodyta:
„Kiekvienas turi teisę į tai, kad būtų gerbiamas jo privatus ir šeimos gyvenimas, išskyrus įstatyme numatytus atvejus ir sąlygas.
Įstatymas, dekretas ar 134 straipsnyje nurodyta taisyklė užtikrina šios teisės apsaugą.“
2. 2016 m. gruodžio 25 d. įstatymas
41 2016 m. gruodžio 25 d. loi relative au traitement des données des passagers (Įstatymas dėl keleivių duomenų tvarkymo, Moniteur belge, 2017 m. sausio 25 d., p. 12905; toliau – 2016 m. gruodžio 25 d. įstatymas) 2 straipsnis suformuluotas taip:
„Šiuo įstatymu ir Karaliaus dekretais, kurie bus priimti įgyvendinant šį įstatymą, į nacionalinę teisę perkeliama [API direktyva] ir [PNR direktyva]. Šiuo įstatymu ir Karaliaus dekretu dėl jūrų sektoriaus iš dalies perkeliama [Direktyva 2010/65].“
42 Įstatymo 3 straipsnyje nustatyta:
„1. Šiuo įstatymu nustatomos vežėjų ir kelionių organizatorių pareigos dėl keleivių, keliaujančių į, iš ir per šalies teritoriją duomenų perdavimo.
2. Ministrų Taryboje apsvarstytu dekretu Karalius nustato, kokius keleivių duomenis turi teikti atitinkamų transporto sektorių vežėjai ir kelionių organizatoriai, ir šių duomenų teikimo tvarką, kai gaunama Privataus gyvenimo apsaugos komisijos nuomonė.“
43 Šio įstatymo 4 straipsnyje numatyta:
„Šiame įstatyme ir jį įgyvendinančiuose dekretuose vartojamų terminų apibrėžtys:
<…>
8° kompetentingos tarnybos – tarnybos, nurodytos 14 straipsnio 1 dalies 2 punkte;
9° PNR – kiekvieno keleivio kelionės sąlygų įrašas, kuriame pateikiama 9 straipsnyje nurodyta informacija, reikalinga, kad kiekvienos asmens arba jo vardu užsakytos kelionės atveju užsakymus priimantys bei dalyvaujantys vežėjai ir kelionių organizatoriai galėtų tvarkyti ir kontroliuoti bilietų rezervavimą, nepriklausomai nuo to, ar įrašas yra rezervavimo sistemose, išvykimo kontrolės sistemose, naudojamose keleiviams registruoti į skrydžius, ar tokias pačias funkcijas turinčiose lygiavertėse sistemose;
10° keleivis – bet kuris asmuo, įskaitant su persėdimu arba tranzitu vykstančius keleivius ir išskyrus įgulos narius, kuris yra vežamas arba turi būti vežamas vežėjo šiam sutikus, kai toks sutikimas parodomas to asmens registracija keleivių sąraše;
<…>“
44 2016 m. gruodžio 25 d. įstatymo 8 straipsnyje nustatyta:
„1. Keleivių duomenys tvarkomi siekiant šių tikslų:
1° vykdyti paiešką ir persekiojimą, įskaitant bausmių arba asmens laisvę ribojančių priemonių vykdymą, už nusikalstamas veikas, nurodytas Code d’instruction criminelle (Baudžiamojo proceso kodeksas) 90ter straipsnio 2 dalies, <…> 7, <…> 8, <…> 11, <…> 14, <…> 17, 18, 19 punktuose ir 3 dalyje;
2° vykdyti paiešką ir persekiojimą, įskaitant bausmių arba asmens laisvę ribojančių priemonių vykdymą, už nusikalstamas veikas, nurodytas Code pénal (Baudžiamasis kodeksas) 196 straipsnyje, ir kiek tai susiję su nusikalstomomis veikomis dėl autentiškų ir viešų dokumentų klastojimo, 198, 199, 199bis, 207, 213, 375 ir 505 straipsniuose;
<…>
4° vykdyti 1998 m. lapkričio 30 d. loi organique des services de renseignement et de sécurité (Organinis žvalgybos ir saugumo tarnybų įstatymas) 7 straipsnio 1 punkte ir 3 punkto 1 papunktyje bei 11 straipsnio 1 dalies 1–3 ir 5 punktuose nurodytų veiksmų stebėseną;
5° vykdyti paiešką ir persekiojimą už nusikalstamas veikas, nurodytas 1977 m. liepos 18 d. loi générale sur les douanes et accises (Bendrasis muitų ir akcizų įstatymas) 220 straipsnio 2 dalyje ir 2009 m. gruodžio 22 d. loi relative au régime général d’accise (Įstatymas dėl bendros akcizų tvarkos) 45 straipsnio 3 pastraipoje. <…>
2. Laikantis 11 skyriuje nustatytų sąlygų keleivių duomenys taip pat tvarkomi siekiant pagerinti asmenų, kertančių išorines sienas, kontrolę ir kovoti su neteisėta imigracija.“
45 Šio įstatymo 14 straipsnio 1 dalyje nurodyta:
„Informacijos apie keleivius skyriaus sudėtis:
<…>
2° nariai, deleguoti iš šių kompetentingų tarnybų:
a) 1998 m. gruodžio 7 d. Įstatyme, kuriuo organizuojama integruota dviejų lygių policijos tarnyba numatytos Policijos tarnybos,
b) 1998 m. lapkričio 30 d. Organiniame žvalgybos ir saugumo tarnybų įstatyme numatytos Valstybės saugumo tarnybos,
c) 1998 m. lapkričio 30 d. Organiniame žvalgybos ir saugumo tarnybų įstatyme numatytos Generalinės žvalgybos ir saugumo tarnybos,
<…>“
46 Minėto įstatymo 24 straipsnis, esantis to paties įstatymo 10 skyriaus, susijusio su duomenų tvarkymu, 1 skirsnyje „Keleivio duomenų tvarkymas, atliekant išankstinį keleivių vertinimą“, suformuluotas taip:
„1. Keleivių duomenys tvarkomi siekiant atlikti išankstinį keleivių vertinimą prieš numatytą jų atvykimą, išvykimą arba jų tranzitą per šalies teritoriją, kad būtų nustatyta, kuriuos asmenis reikia patikrinti nuodugniau.
2. 1998 m. lapkričio 30 d. Organinio žvalgybos ir saugumo tarnybų įstatymo 8 straipsnio 1 dalies 1, 4 ir 5 punktuose nurodytais tikslais arba dėl 8 straipsnio 1 punkto a, b, c, d, f, g papunkčiuose ir 11 straipsnio 2 dalyje nurodytų grėsmių išankstinis keleivių vertinimas grindžiamas teigiamais rezultatais, gautais palyginus keleivių duomenis su:
1° duomenimis kompetentingų tarnybų valdomose duomenų bazėse, kurios joms yra tiesiogiai prieinamos arba su kuriomis jos gali tiesiogiai susipažinti vykdydamos savo užduotis, arba asmenų sąrašais, kuriuos kompetentingos tarnybos parengia vykdydamos savo užduotis.
2° informacijos apie keleivius skyriaus iš anksto nustatytais kriterijais, nurodytais 25 straipsnyje.
3. 8 straipsnio 1 dalies 3 punkte nurodytais tikslais išankstinis keleivių vertinimas grindžiamas teigiamais rezultatais, gautais palyginus keleivių duomenis su duomenimis duomenų bazėse, nurodytose 2 dalies 1 punkte.
4. Informacijos apie keleivius skyrius patvirtina teigiamą rezultatą per dvidešimt keturias valandas nuo to momento, kai gaunamas automatinis pranešimas apie teigiamą rezultatą.
5. Nuo šio patvirtinimo momento kompetentinga tarnyba, kuri pateikė šį teigiamą rezultatą, kuo greičiau imasi reikiamų veiksmų.“
47 2016 m. gruodžio 25 d. įstatymo 11 skyriuje „Keleivių duomenų tvarkymas, siekiant pagerinti sienų kontrolę ir kovoti su nelegalia imigracija“ yra 28–31 straipsniai.
48 Šio įstatymo 28 straipsnyje nustatyta:
„1. Šis skyrius taikomas, kai keleivių duomenis tvarko policijos tarnybos, atsakingos už sienų kontrolę, ir Užsieniečių reikalų tarnyba, siekiant sugriežtinti asmenų, kertančių išorės sienas, kontrolę ir kovą su neteisėta imigracija.
2. Jis taikomas nepažeidžiant policijos tarnybų, atsakingų už sienų kontrolę, ir Užsieniečių reikalų tarnybos pareigų perduoti asmens duomenis ar informaciją pagal įstatymų ar kitų teisės aktų nuostatas.“
49 Minėto įstatymo 29 straipsnyje nurodyta:
„1. 28 straipsnio 1 dalyje nurodytais tikslais ir laikantis šiame straipsnyje nustatytų ribų, keleivių duomenys perduodami policijos tarnyboms, atsakingoms už sienų kontrolę, ir Užsieniečių reikalų tarnybai, kad jie galėtų vykdyti teisines užduotis.
2. Perduodami tik 9 straipsnio 1 dalies 18 punkte nurodyti keleivių duomenys, susiję su šiomis keleivių kategorijomis:
1° per išorės Belgijos sienas planuojantys atvykti arba atvykę keleiviai;
2° per išorės Belgijos sienas planuojantys išvykti arba išvykę keleiviai;
3° per Belgijoje esančią tarptautinio tranzito zoną planuojantys vykti, joje esantys arba buvę keleiviai;
3. 2 dalyje nurodyti keleivių duomenys perduodami policijos tarnyboms, atsakingoms už Belgijos išorės sienų kontrolę, nedelsiant juos įrašius į keleivių duomenų bazę. Šios tarnybos tokius duomenis saugo laikinoje byloje ir juos sunaikina praėjus dvidešimt keturioms valandoms nuo jų perdavimo.
4. Kai to reikia vykdant teisines užduotis, 2 dalyje nurodyti keleivių duomenys perduodami Užsieniečių reikalų tarnybai iš karto po to, kai jie buvo įregistruoti keleivių duomenų bazėje. Ji šiuos duomenis saugo laikinoje byloje ir juos sunaikina praėjus dvidešimt keturioms valandoms nuo jų perdavimo.
Jei pasibaigus šiam terminui prieiga prie 2 dalyje nurodytų keleivių duomenų yra būtina vykdant teisines užduotis, Užsieniečių reikalų tarnyba pateikia informacijos apie keleivius skyriui tinkamai pagrįstą prašymą.
<…>“
50 2016 m. gruodžio 25 d. įstatymas oro transporto bendrovėms, vežėjams, teikiantiems tarptautinio keleivių vežimo paslaugas (HST vežėjai), ir kelionių tarpininkams, sudariusiems sutartis su šiais vežėjais (HST bilietų platintojai), taip pat vežėjams autobusais pradėtas taikyti atitinkamai: 2017 m. liepos 18 d. arrêté royal relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les compagnies aériennes (Karaliaus dekretas dėl 2016 m. gruodžio 25 d. įstatymo vykdymo, kuriuo nustatytos oro transporto bendrovių pareigos; Moniteur belge, 2017 m. liepos 28 d., p. 75934); 2019 m. vasario 3 d. arrêté royal relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs HST et distributeurs de tickets HST (Karaliaus dekretas dėl 2016 m. gruodžio 25 d. įstatymo vykdymo, kuriuo nustatytos HST vežėjų ir HST bilietų platintojų pareigos, Moniteur belge, 2019 m. vasario 12 d., p. 13018); ir 2019 m. vasario 3 d. arrêté royal relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs par bus (Karaliaus dekretas dėl 2016 m. gruodžio 25 d. įstatymo vykdymo, kuriuo nustatytos vežėjų autobusais pareigos, Moniteur belge, 2019 m. vasario 12 d., p. 13023).
II. Pagrindinė byla ir prejudiciniai klausimai
51 2017 m. liepos 24 d. skundu Ligue des droits humaines kreipėsi į Cour constitutionnelle (Konstitucinis Teismas, Belgija) dėl visiško ar dalinio 2016 m. gruodžio 25 d. įstatymo panaikinimo.
52 Prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad šiuo įstatymu į nacionalinę teisę perkeliamos PNR direktyva, API direktyva ir iš dalies Direktyva 2010/65. Iš minėto įstatymo parengiamųjų dokumentų matyti, kad juo siekiama „sukurti teisinę sistemą, pagal kurią įvairūs tarptautinio keleivinio transporto sektoriai (oro, geležinkelių, tarptautinių kelių ir jūrų transporto) ir kelionių operatoriai būtų įpareigoti perduoti savo keleivių duomenis į duomenų bazę, kurią tvarkytų [Service public fédéral intérieur (Federalinė viešoji vidaus reikalų tarnyba (Belgija)]“. Nacionalinės teisės aktų leidėjas taip pat patikslino, kad gali būti išskiriamos trys 2016 m. gruodžio 25 d. įstatymo tikslų grupės: pirma, nusikalstamų veikų prevencija, nustatymas, tyrimas ir patraukimas baudžiamojon atsakomybėn už jas arba baudžiamųjų sankcijų vykdymas, antra, žvalgybos ir saugumo tarnybų uždaviniai ir, trečia, išorės sienų kontrolės gerinimas ir kova su neteisėta imigracija.
53 Grįsdama savo ieškinį Ligue des droits humains nurodo du pagrindus, grindžiamus, pirma, Konstitucijos 22 straipsnio, siejamo su BDAR 23 straipsniu, Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi ir EŽTK 8 straipsniu, pažeidimu, ir, antra, subsidiariai nurodytu šio 22 straipsnio, siejamo su ESS 3 straipsnio 2 dalimi ir Chartijos 45 straipsniu, pažeidimu.
54 Nurodydama pirmąjį pagrindą Ligue des droits humains iš esmės teigia, kad šiuo įstatymu nustatomas teisės į privataus gyvenimo gerbimą ir į asmens duomenų apsaugą suvaržymas, o tai nesuderinama su Chartijos 52 straipsnio 1 dalimi ir, be kita ko, su proporcingumo principu. Iš tiesų minėto įstatymo taikymo sritis ir renkamų duomenų, galinčių atskleisti neskelbtiną informaciją, apibrėžtis yra per plati. Be to, sąvoka „keleivis“, kaip ji suprantama pagal tą patį įstatymą, leidžia sistemingai, netikslingai bei automatizuotai tvarkyti visų keleivių duomenis. Taip pat nėra pakankamai aiškiai nustatyti „pre-screening“ metodo pobūdis ir tvarka bei duomenų bazės, su kuriose esančiais duomenimis lyginami tokie duomenys, juos perdavus. Be to, 2016 m. gruodžio 25 d. įstatymu siekiama kitų tikslų nei PNR direktyva. Galiausiai šiame įstatyme numatytas penkerių metų minėtų duomenų saugojimo laikotarpis yra neproporcingas.
55 Nurodydama antrąjį pagrindą, susijusį su 2016 m. gruodžio 25 d. įstatymo 3 straipsnio 1 dalimi, 8 straipsnio 2 dalimi ir 28–31 straipsniais, Ligue des droits humains teigia, kad, išplečiant PNR direktyvoje numatytą sistemą ES vidaus transportui, šiomis nuostatomis netiesiogiai atkuriama vidaus sienų kontrolė, prieštaraujanti asmenų judėjimo laisvei. Kai asmuo atvyksta į Belgijos teritoriją, išvyksta iš jos ar tik sustoja joje, jo duomenys automatiškai renkami.
56 Ministrų Taryba ginčija šiuos argumentus. Visų pirma ji teigia, kad pirmasis pagrindas nepriimtinas, kiek jis susijęs su BDAR, nes šis netaikytinas 2016 m. gruodžio 25 d. įstatymui. Be to, remiantis PNR direktyva, šiame įstatyme numatytas duomenų tvarkymas yra esminė priemonė, be kita ko, kovojant su terorizmu ir dideliu nusikalstamumu, o iš šio įstatymo išplaukiančios priemonės yra būtinos siekiamiems tikslams ir proporcingos.
57 Dėl pirmojo pagrindo prašymą priimti prejudicinį sprendimą pateikęs teismas visų pirma kelia klausimą dėl BDAR numatytos apsaugos taikymo duomenų tvarkymui, nustatytam 2016 m. gruodžio 25 d. įstatyme, kuriuo iš esmės siekiama įgyvendinti PNR direktyvą. Be to, tas teismas, remdamasis 2017 m. liepos 26 d. Nuomonėje 1/15 (ES ir Kanados PNR susitarimas) (EU:C:2017:592) suformuota jurisprudencija, pažymi, kad PNR duomenų apibrėžtis, pateikta šios direktyvos 3 straipsnio 5 punkte ir I priede, gali būti, pirma, nepakankamai aiški ir tiksli dėl šiose nuostatose pateikto kai kurių šių duomenų aprašymo nebaigtinio pobūdžio ir, antra, gali netiesiogiai lemti neskelbtinų duomenų atskleidimą. Be to, minėtos direktyvos 3 straipsnio 4 punkte pateiktos sąvokos „keleivis“ apibrėžtis gali lemti tai, kad PNR duomenų rinkimas, perdavimas, tvarkymas ir saugojimas yra bendri ir nediferencijuoti įpareigojimai, taikomi bet kuriam asmeniui, kuris yra vežamas, turi būti vežamas ar yra įtrauktas į keleivių sąrašą, neatsižvelgiant į tai, ar yra svarbių priežasčių manyti, kad šis asmuo įvykdė ar ruošiasi įvykdyti nusikalstamas veikas ar buvo pripažintas kaltu.
58 Minėtas teismas taip pat pažymi, kad PNR duomenys, remiantis PNR direktyvos nuostatomis, yra sistemingai iš anksto vertinami, juos lyginant su duomenimis kitose duomenų bazėse ar iš anksto nustatytais kriterijais, siekiant nustatyti atitiktis. Tačiau Europos Tarybos konvencijos Nr. 108 patariamasis komitetas savo 2016 m. rugpjūčio 19 d. Nuomonėje dėl keleivių duomenų tvarkymo poveikio duomenų apsaugai (T-PD(2016)18rev) nurodė, kad asmens duomenų tvarkymas susijęs su visais keleiviais, o ne tik su tiksliai nustatytais asmenimis, įtariamais dalyvavus nusikalstamoje veikoje arba keliančiais tiesioginę grėsmę nacionaliniam saugumui ar viešajai tvarkai, ir kad PNR duomenys gali būti ne tik lyginami (anglų k. data matching) su duomenų bazėmis, bet ir apdorojami tyrinėjimo būdu (anglų k. data mining), naudojant atrankos arba prognozavimo algoritmus, siekiant nustatyti asmenis, kurie gali būti susiję su nusikalstama veikla arba dalyvauti joje, nes toks keleivių vertinimas lyginant duomenis gali kelti klausimų dėl nuspėjamumo, ypač kai jis atliekamas remiantis prognozavimo algoritmais, naudojančiais dinamiškus kriterijus, kurie gali nuolat kisti dėl jų savaiminio mokymosi galimybių. Šiomis aplinkybėmis prašymą priimti prejudicinį sprendimą pateikęs teismas mano, kad, remiantis 2017 m. liepos 26 d. Nuomone 1/15 (ES ir Kanados PNR susitarimas) (EU:C:2017:592), nors iš anksto nustatyti kriterijai, kuriais remiantis nustatomi rizikos profiliai, turi būti konkretūs, patikimi ir nediskriminuojantys, atrodo, techniškai neįmanoma dar labiau jų apibrėžti.
59 Dėl penkerių metų saugojimo laikotarpio ir PNR direktyvos 12 straipsnyje nustatytos prieigos prie duomenų tas teismas pažymi, kad Commission de la protection de la vie privée (Privataus gyvenimo apsaugos komisija, Belgija) 2010 m. sausio 13 d. Nuomonėje Nr. 01/2010 dėl įstatymo, kuriuo patvirtinamas ES ir Jungtinių Amerikos Valstijų PNR susitarimas, projekto nurodė, kad tais atvejais, kai saugojimo laikotarpis yra ilgas ir kai duomenys saugomi masiškai, padidėja tiek duomenų subjektų profiliavimo pavojus, tiek pavojus, kad duomenys bus naudojami kitais, nei iš pradžių numatytais, tikslais. Be to, iš 2016 m. rugpjūčio 19 d. Europos Tarybos konvencijos Nr. 108 patariamojo komiteto nuomonės matyti, kad užmaskuoti duomenys leidžia nustatyti asmenų tapatybę, todėl yra asmens duomenys, o jų saugojimas turi būti apribotas laiko atžvilgiu, kad būtų užkirstas kelias bendram ir nuolatiniam stebėjimui.
60 Šiomis aplinkybėmis, atsižvelgiant į jurisprudenciją, suformuotą 2017 m. liepos 26 d. Nuomonėje 1/15 (ES ir Kanados PNR susitarimas) (EU:C:2017:592), prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas, ar pagal PNR direktyvą nustatyta PNR duomenų rinkimo, perdavimo, tvarkymo ir saugojimo sistema gali būti laikoma neviršijančia to, kas griežtai būtina. Tas teismas teigia, kad taip pat reikia nustatyti, ar pagal šią direktyvą draudžiami nacionalinės teisės aktai, kuriais leidžiama tvarkyti PNR duomenis kitu tikslu, nei numatytieji minėtoje direktyvoje, ir ar visų šių duomenų atskleidimą po jų perdavimo pagal tos pačios direktyvos 12 straipsnį galėtų patvirtinti tokia nacionalinė institucija, kaip informacijos apie keleivius skyrius, įsteigtas 2016 m. gruodžio 25 d. įstatymu.
61 Dėl antrojo pagrindo prašymą priimti prejudicinį sprendimą pateikęs teismas nurodo, kad šio įstatymo 3 straipsnio 1 dalyje nustatytos vežėjų ir kelionių organizatorių pareigos, susijusios su keleivių, „keliaujančių į, iš ir per šalies teritoriją“, duomenų perdavimu. Dėl minėto įstatymo taikymo srities tas teismas priduria, kad nacionalinės teisės aktų leidėjas nusprendė „įtraukti į duomenų rinkimą ES vidaus transportą“, kad gautų „išsamesnį vaizdą apie keleivių, kurie kelia potencialią grėsmę bendrijos vidaus ir nacionaliniam saugumui, judėjimą“, o tai dėl ES vidaus skrydžių numatyta PNR direktyvos 2 straipsnyje, siejamame su jos 10 konstatuojamąja dalimi. Minėtas teismas pažymi, kad Privataus gyvenimo apsaugos komisija savo 2015 m. gruodžio 16 d. Nuomonėje Nr. 55/2015 dėl įstatymo, kurio pagrindu buvo priimtas 2016 m. gruodžio 25 d. įstatymas, projekto suabejojo dėl galimo Belgijos PNR sistemos prieštaravimo laisvo asmenų judėjimo principui tiek, kiek ši sistema apima Sąjungos vidaus transportą.
62 Tokiomis aplinkybėmis Cour constitutionnelle (Konstitucinis Teismas) nusprendė sustabdyti bylos nagrinėjimą ir pateikti Teisingumo Teismui šiuos prejudicinius klausimus:
„1. Ar [BDAR] 23 straipsnis, siejamas su šio reglamento 2 straipsnio 2 dalies d [punktu], turi būti aiškinamas kaip taikomas tokiam nacionaliniam teisės aktui, kaip [2016 m. gruodžio 25 d. įstatymas], kuriuo į nacionalinę teisę perkeliama [PNR direktyva], [API direktyva] ir [Direktyva 2010/65]?
2. Ar [PNR direktyvos]I priedas yra suderinamas su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi tuo požiūriu, kad jame išvardyti duomenys yra itin plataus masto – be kita ko, [šio I priedo] 18 punkte nurodyta daugiau duomenų nei [API direktyvos] 3 straipsnio 2 dalyje – ir todėl, kad, vertinant juos kartu, jie galėtų atskleisti neskelbtinus duomenis ir taip viršyti ribas to, kas „griežtai būtina“?
3. Ar [PNR direktyvos] I priedo 12 ir 18 punktai yra suderinami su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi tuo požiūriu, kad, atsižvelgiant į žodžius „įskaitant“, juose yra paminėti ne išsamūs duomenys, o tik duomenų pavyzdžiai, taigi nesilaikoma reikalavimo tiksliai ir aiškiai nustatyti taisykles, kuriomis apribojama teisė į privatų gyvenimą ir teisė į asmens duomenų apsaugą?
4. Ar [PNR direktyvos] 3 straipsnio 4 punktas ir tos pačios direktyvos I priedas yra suderinami su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi tuo požiūriu, kad bendra keleivių duomenų rinkimo, tvarkymo ir perdavimo sistema, kuri sukuriama šiomis nuostatomis, taikoma visiems asmenims, kurie naudojasi atitinkama transporto priemone, neatsižvelgiant į jokius objektyvius kriterijus, leidžiančius manyti, kad šis asmuo gali kelti grėsmę visuomenės saugumui?
5. Ar [PNR direktyvos] 6 straipsnis, siejamas su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami tokie nacionalinės teisės aktai, kaip skundžiamas įstatymas, kuriuo pripažinta, kad vienas iš PNR duomenų tvarkymo tikslų yra žvalgybos ir saugumo tarnybų vykdoma stebėjimo veikla, taip šį tikslą įtraukiant į teroristinių nusikaltimų ir sunkių nusikaltimų prevenciją, nustatymą, tyrimą ir patraukimą už juos baudžiamojon atsakomybėn?
6. Ar [PNR direktyvos] 6 straipsnis yra suderinamas su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi tuo požiūriu, kad neatsižvelgiant į jokius objektyvius kriterijus, leidžiančius manyti, jog atitinkamas asmuo gali kelti grėsmę visuomenės saugumui, sistemiškai ir bendrai vykdomas juo reglamentuojamas išankstinis tokių keleivių duomenų vertinimas, duomenis siejant su duomenų bazėmis ir iš anksto nustatytais kriterijais?
7. Ar [PNR direktyvos] 12 straipsnio 3 dalyje nurodytą sąvoką „[kita] nacionalin[ė] valdžios institucij[a]“ galima aiškinti taip, kad tokia institucija yra informacijos apie keleivius skyrius, įsteigtas 2016 m. gruodžio 25 d. įstatymu, kuris, praėjus šešių mėnesių terminui, galėtų suteikti prieigos prie PNR duomenų leidimą vykdant ad hoc užklausas?
8. Ar [PNR direktyvos] 12 straipsnis, siejamas su [Chartijos] 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami tokie nacionalinės teisės aktai, kaip skundžiamas įstatymas, kuriuo numatytas bendras penkerių metų duomenų saugojimo laikotarpis, nenustatant kitų taisyklių atsižvelgiant į tai, ar, atlikus išankstinį vertinimą, atitinkami keleiviai gali kelti grėsmę visuomenės saugumui?
9. a) Ar [API direktyva] yra suderinama su [ESS] 3 straipsnio 2 dalimi ir [Chartijos] 45 straipsniu tuo požiūriu, kad joje nustatytos pareigos taikomos Europos Sąjungos vidaus skrydžiams?
b) Ar [API direktyva], siejama su [ESS] 3 straipsnio 2 dalimi ir [Chartijos] 45 straipsniu, turi būti aiškinama taip, kad pagal ją draudžiami tokie nacionalinės teisės aktai, kaip skundžiamas įstatymas, pagal kurį, siekiant kovoti su neteisėta imigracija ir sugriežtinti sienų kontrolę, leidžiama nustatyti keleivių, „atvykstančių, išvykstančių ir keliaujančių tranzitu per šalies teritoriją“ duomenų rinkimo ir tvarkymo sistemą, o tai galėtų netiesiogiai reikšti pasienio kontrolės prie vidaus sienų atkūrimą?
10. Jeigu remdamasis ankstesniuose punktuose pateiktais atsakymais į prejudicinius klausimus Konstitucinis Teismas nuspręstų, kad skundžiamu įstatymu, kuriuo, be kita ko, į nacionalinę teisę perkeliama [PNR direktyva], pažeidžiamas vienas ar keli įsipareigojimai pagal šiuose klausimuose nurodytas nuostatas, ar jis galėtų laikinai palikti galioti [2016 m. gruodžio 25 d.] įstatymą dėl keleivių duomenų tvarkymo, kad būtų išvengta teisinio nesaugumo ir anksčiau surinkti bei saugomi duomenys dar galėtų būti naudojami įstatyme numatytais tikslais?“
III. Dėl prejudicinių klausimų
A. Dėl pirmojo klausimo
63 Pirmuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar BDAR 2 straipsnio 2 dalies d punktas ir 23 straipsnis turi būti aiškinami taip, kad šis reglamentas taikomas asmens duomenų tvarkymui, numatytam nacionalinės teisės aktuose, kuriais į vidaus teisę perkeliamos API direktyvos, PNR direktyvos ir Direktyvos 2010/65 nuostatos, visų pirma PNR duomenų perdavimui, saugojimui ir tvarkymui.
64 Kaip matyti iš BDAR 2 straipsnio 1 dalies, šis reglamentas taikomas asmens duomenų tvarkymui, visiškai arba iš dalies atliekamam automatizuotomis priemonėmis, ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti jai sudaryti, tvarkymui ne automatizuotomis priemonėmis. Minėto reglamento 4 straipsnio 2 punkte sąvoka „duomenų tvarkymas“ plačiai apibrėžta kaip apimanti, be kita ko, tokių duomenų ar duomenų rinkinių rinkimą, įrašymą, saugojimą, susipažinimą su jais, naudojimą, atskleidimą persiunčiant, platinant ar kitaip sudarant galimybę jais naudotis, taip pat sugretinimą su kitais duomenimis ar ištrynimą.
65 Vis dėlto Belgijos vyriausybė tvirtina, kad tai, jog ūkio subjektų atliekamas PNR duomenų perdavimas informacijos apie keleivius skyriams, siekiant nustatyti nusikalstamas veikas ir užkirsti joms kelią, kaip numatyta PNR direktyvos 1 straipsnio 1 dalies a punkte, 1 straipsnio 2 dalyje, taip pat 8 straipsnyje, o tai yra „duomenų tvarkymas“, kaip tai suprantama pagal BDAR 4 straipsnio 2 punktą, kaip ir išankstinis jų rinkimas, pagal minėto reglamento 1 straipsnio 2 dalį nepatenka į BDAR taikymo sritį, nes jurisprudencija dėl Direktyvos 95/46 3 straipsnio 2 dalies pirmos įtraukos, suformuota 2006 m. gegužės 30 d. Sprendime Parlamentas / Taryba ir Komisija, C‑317/04 ir C‑318/04, EU:C:2006:346, 57–59 punktai), yra taikytina BDAR 4 straipsnio 2 punktui.
66 Šiuo klausimu pažymėtina, kad, kaip jau yra konstatavęs Teisingumo Teismas, pagal Direktyvos 95/46, kuri nuo 2018 m. gegužės 25 d. buvo panaikinta ir pakeista BDAR, 3 straipsnio 2 dalies pirmą įtrauką į jos taikymo sritį apskritai nepateko „tvarkymo operacijos, susijusios su visuomenės saugumu, gynyba, valstybės saugumu“, neatsižvelgiant į tai, kas tvarko atitinkamus duomenis. Taigi privačių ūkio subjektų atliekamam duomenų tvarkymui, susijusiam su viešosios valdžios institucijų nustatytais įpareigojimais, prireikus gali būti taikoma šioje nuostatoje numatyta išimtis, atsižvelgiant į tai, kad jos formuluotė apima visas tvarkymo operacijas, nepriklausomai nuo autoriaus, kurių tikslas – visuomenės saugumas, gynyba arba valstybės saugumas (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 101 punktą).
67 Vis dėlto BDAR 2 straipsnio 2 dalies d punkte daromas toks skirtumas, nes, kaip savo išvados 41 ir 46 punktuose pažymėjo generalinis advokatas, iš šios nuostatos formuluotės aiškiai matyti, kad reikalaujama dviejų sąlygų, kad duomenų tvarkymui būtų taikoma jame numatyta išimtis. Pirmoji iš šių sąlygų susijusi su duomenų tvarkymo tikslais, t. y. nusikalstamų veikų prevencija, tyrimu, nustatymu ar patraukimu baudžiamojon atsakomybėn už jas, baudžiamųjų sankcijų vykdymu, įskaitant apsaugą nuo grėsmių visuomenės saugumui ir jų prevenciją, o antroji sąlyga susijusi su tokį duomenų tvarkymą atliekančiu asmeniu, t. y. „kompetentinga valdžios institucija“, kaip tai suprantama pagal minėtą nuostatą.
68 Kaip konstatavo Teisingumo Teismas, iš BDAR 23 straipsnio 1 dalies d ir h punktų matyti, kad asmens duomenų tvarkymas, kurį atlieka privatūs asmenys šio reglamento 2 straipsnio 2 dalies d punkte nurodytais tikslais, patenka į šio reglamento taikymo sritį (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 102 punktą).
69 Darytina išvada, kad Belgijos vyriausybės nurodyta jurisprudencija, suformuota 2006 m. gegužės 30 d. Sprendime Parlamentas / Taryba ir Komisija (C‑317/04 ir C‑318/04, EU:C:2006:346), negali būti taikoma BDAR 2 straipsnio 2 dalies d punkte numatytai šio reglamento taikymo srities išimčiai.
70 Be to, ši išimtis, kaip ir kitos BDAR taikymo srities išimtys, numatytos šio reglamento 2 straipsnio 2 dalyje, turi būti aiškinama siaurai.
71 Kaip matyti iš minėto reglamento 19 konstatuojamosios dalies, ta išimtis grindžiama aplinkybe, kad kompetentingų valdžios institucijų atliekamą asmens duomenų tvarkymą, be kita ko, nusikalstamų veikų prevencijos, nustatymo, įskaitant apsaugą nuo grėsmės visuomenės saugumui ir tokios grėsmės prevenciją, tikslais, reglamentuoja konkretesnis Sąjungos teisės aktas, t. y. Direktyva 2016/680, kuri buvo priimta tą pačią dieną kaip BDAR (2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 69 punktas).
72 Be to, kaip patikslinta Direktyvos 2016/680 9–11 konstatuojamosiose dalyse, šioje direktyvoje nustatytos konkrečios taisyklės, susijusios su fizinių asmenų apsauga tvarkant šiuos duomenis, laikantis specifinio šios veiklos, priklausančios teisminio bendradarbiavimo baudžiamosiose bylose ir policijos bendradarbiavimo sritims, pobūdžio, o BDAR apibrėžtos bendros taisyklės, susijusios su šių asmenų apsauga, kurios turi būti taikomos duomenų tvarkymui, kai netaikomas konkretesnis aktas, kaip antai Direktyva 2016/680. Konkrečiai šios direktyvos 11 konstatuojamojoje dalyje nurodyta, kad BDAR taikomas asmens duomenų tvarkymui, kurį atlieka „kompetentinga institucija“, kaip ji suprantama pagal minėtos direktyvos 3 straipsnio 7 punktą, tačiau atliekamam kitais tikslais nei joje numatytieji (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 70 punktą).
73 Dėl šio sprendimo 67 punkte nurodytos pirmosios sąlygos, o konkrečiau dėl tikslų, kurių siekiama tvarkant asmens duomenis, kaip numatyta PNR direktyvoje, reikia priminti, kad pagal šios direktyvos 1 straipsnio 2 dalį PNR duomenys gali būti tvarkomi tik teroristinių ir sunkių nusikaltimų prevencijos, atskleidimo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais. Šie tikslai atitinka BDAR 2 straipsnio 2 dalies d punkte ir Direktyvos 2016/680 1 straipsnio 1 dalyje nurodytus tikslus, todėl tokiam tvarkymui gali būti taikoma šio reglamento 2 straipsnio 2 dalies d punkte numatyta išimtis, taigi jis gali patekti į šios direktyvos taikymo sritį.
74 Vis dėlto taip nėra API direktyvoje ir Direktyvoje 2010/65 numatyto duomenų tvarkymo, kurio tikslai skiriasi nuo numatytų BDAR 2 straipsnio 2 dalies d punkte ir Direktyvos 2016/680 1 straipsnio 1 dalyje, atveju.
75 Iš tiesų, kaip matyti iš API direktyvos 1, 7 ir 9 konstatuojamųjų dalių bei 1 straipsnio, ja siekiama pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, vežėjams iš anksto perduodant keleivių duomenis kompetentingoms nacionalinėms institucijoms. Be to, keliose šios direktyvos konstatuojamosiose dalyse ir nuostatose aiškiai nurodyta, kad duomenų tvarkymo operacijos, kurias planuojama atlikti įgyvendinant šią direktyvą, patenka į BDAR taikymo sritį. Minėtos direktyvos 12 konstatuojamojoje dalyje nurodyta, kad „[Direktyva 95/46] taikoma asmens duomenų tvarkymui, kurį atlieka valstybių narių institucijos“. Be to, API direktyvos 6 straipsnio 1 dalies penktoje pastraipoje nurodyta, kad valstybės narės taip pat gali „pagal [Direktyvos 95/46] duomenų apsaugos nuostatas“ (ši sąvoka vartojama ir minėtos nuostatos trečioje pastraipoje) naudoti API duomenis teisėsaugos tarnybų poreikiams tenkinti. Be to, API direktyvos 9 konstatuojamojoje dalyje vartojama formuluotė „nepažeidžiant [Direktyvos 95/46] nuostatų“. Galiausiai API direktyvos 6 straipsnio 2 dalyje numatyta, kad vežėjai turi informuoti keleivius „pagal [Direktyvos 95/46] nuostatas“.
76 Iš Direktyvos 2010/65 2 konstatuojamosios dalies ir 1 straipsnio 1 dalies matyti, kad ja siekiama supaprastinti ir suderinti administracines procedūras, taikomas jūrų transportui, nustatant, kad informacijos perdavimas elektroninėmis priemonėmis taptų standartine procedūra, ir racionalizuojant pranešimo formalumus, kad būtų palengvinta jūrų transporto veikla ir sumažinta laivybos bendrovėms tenkanti administracinė našta. Minėtos direktyvos 8 straipsnio 2 dalyje patvirtinama, kad duomenų tvarkymas, numatytas jai įgyvendinti, patenka į BDAR taikymo sritį, nes pagal šią nuostatą valstybės narės iš tiesų įpareigojamos užtikrinti, kad, kiek tai susiję su asmens duomenimis, būtų laikomasi Direktyvos 95/46.
77 Darytina išvada, kad duomenų tvarkymas, numatytas nacionalinės teisės aktuose, kuriais į vidaus teisę perkeliamos API direktyvos ir Direktyvos 2010/65 nuostatos, patenka į BDAR taikymo sritį. Tačiau nacionalinės teisės aktuose, kuriais į vidaus teisę perkeliama PNR direktyva, numatytam duomenų tvarkymui, remiantis BDAR 2 straipsnio 2 dalies d punkte numatyta išimtimi, gali būti netaikoma ši direktyva, jeigu laikomasi šio sprendimo 67 punkte primintos antrosios sąlygos, t. y. kad duomenų valdytojas yra kompetentinga valdžios institucija, kaip tai suprantama pagal minėtą BDAR nuostatą.
78 Dėl šios antrosios sąlygos Teisingumo Teismas nusprendė: kadangi Direktyvos 2016/680 3 straipsnio 7 dalyje apibrėžta sąvoka „kompetentinga institucija“, tokia apibrėžtis pagal analogiją turi būti taikoma BDAR 2 straipsnio 2 dalies d punktui (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Latvijas Republikas Saeima (Baudos taškai), C‑439/19, EU:C:2021:504, 69 punktą).
79 Pagal PNR direktyvos 4 ir 7 straipsnius kiekviena valstybė narė turi, kaip savo informacijos apie keleivius skyrių, paskirti instituciją, kompetentingą teroristinių ir sunkių nusikaltimų prevencijos, atskleidimo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn srityje, ir sudaryti kompetentingų institucijų, turinčių teisę prašyti informacijos apie keleivius skyrių pateikti PNR duomenis arba tų duomenų tvarkymo rezultatus ar juos gauti, sąrašą, o tokios institucijos taip pat yra kompetentingos šioje srityje, kaip nurodyta šios direktyvos 7 straipsnio 2 dalyje.
80 Iš to matyti, kad informacijos apie keleivius skyrių ir minėtų kompetentingų institucijų atliekamas PNR duomenų tvarkymas šiais tikslais atitinka abi šio sprendimo 67 punkte nurodytas sąlygas, todėl šiam tvarkymui taikomos ne tik pačios PNR direktyvos, bet ir Direktyvos 2016/680 nuostatos, o ne BDAR, ir tai, beje, patvirtinta PNR direktyvos 27 konstatuojamojoje dalyje.
81 Vis dėlto, kadangi ūkio subjektai, kaip antai oro vežėjai, nors ir turi teisinę pareigą perduoti PNR duomenis, nėra nei atsakingi už viešosios valdžios funkcijų vykdymą, nei jiems pagal šią direktyvą yra suteiktos viešosios valdžios prerogatyvos, tokie subjektai negali būti laikomi kompetentingomis institucijomis, kaip tai suprantama pagal Direktyvos 2016/680 3 straipsnio 7 dalį ir BDAR 2 straipsnio 2 dalies d punktą, todėl oro vežėjų atliekamam tokių duomenų rinkimui ir perdavimui informacijos apie keleivius skyriams taikomas šis reglamentas. Ta pati išvada darytina esant tokiai situacijai, kaip numatyta 2016 m. gruodžio 25 d. įstatyme, kai šiuos duomenis renka ir perduoda kiti vežėjai ar kelionių organizatoriai.
82 Galiausiai prašymą priimti prejudicinį sprendimą pateikusiam teismui kyla klausimas dėl galimo tokio nacionalinės teisės akto, koks yra 2016 m. gruodžio 25 d. įstatymas, kuriuo į nacionalinę teisę perkeliamos PNR direktyvos, API direktyvos ir Direktyvos 2010/65 nuostatos, priėmimo pasekmių. Šiuo klausimu reikia priminti, kad, kaip matyti iš šio sprendimo 72 ir 75–77 punktų, API direktyvoje ir Direktyvoje 2010/65 numatytas duomenų tvarkymas patenka į BDAR, kuriame įtvirtintos bendrosios taisyklės, susijusios su fizinių asmenų apsauga tvarkant asmens duomenis, taikymo sritį.
83 Taigi tais atvejais, kai remiantis šiais teisės aktais atliekamas duomenų tvarkymas patenka į API direktyvos ir (arba) Direktyvos 2010/65 taikymo sritį, tokiam tvarkymui taikomas BDAR. Tas pats pasakytina ir apie duomenų tvarkymą tuo pačiu pagrindu ir kuriam taikoma, atsižvelgiant į jo tikslą, ne tik PNR direktyva, bet ir API direktyva ir (arba) Direktyva 2010/65. Galiausiai, kai duomenų tvarkymui, grindžiamam tais pačiais teisės aktais, dėl jo tikslo taikoma tik PNR direktyva, BDAR taikomas, jei toks tvarkymas susijęs su oro vežėjų vykdomu PNR duomenų rinkimu ir jų perdavimu informacijos apie keleivius skyriams. Vis dėlto kai tokį tvarkymą atlieka informacijos apie keleivius skyrius arba kompetentingos institucijos, siekdamos PNR direktyvos 1 straipsnio 2 dalyje nurodytų tikslų, šiam tvarkymui taikoma ne tik nacionalinė teisė, bet ir Direktyva 2016/680.
84 Atsižvelgiant į tai, kas išdėstyta, į pirmąjį klausimą reikia atsakyti: BDAR 2 straipsnio 2 dalies d punktas ir 23 straipsnis turi būti aiškinami taip, kad šis reglamentas taikomas nacionalinės teisės aktuose, kuriais į nacionalinę teisę siekiama perkelti API direktyvos, Direktyvos 2010/65 ir PNR direktyvos nuostatas, numatytam asmens duomenų tvarkymui, kai, pirma, duomenis tvarko privatūs operatoriai, ir, antra, kai duomenis tvarko valdžios institucijos, kurioms taikoma API direktyva ir Direktyva 2010/65 arba tik viena iš jų. Vis dėlto minėtas reglamentas netaikomas tokiuose teisės aktuose numatytam duomenų tvarkymui, kuriam taikoma tik PNR direktyva, ir kai tokį tvarkymą šios direktyvos 1 straipsnio 2 dalyje nurodytais tikslais atlieka informacijos apie keleivius skyriai arba kompetentingos institucijos.
B. Dėl antrojo–ketvirtojo ir šeštojo klausimų
85 Antruoju–ketvirtuoju ir šeštuoju klausimais, kuriuos reikia nagrinėti kartu, prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės klausia Teisingumo Teismo dėl PNR direktyvos galiojimo, atsižvelgiant į Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį. Šie klausimai, be kita ko, susiję su:
– šios direktyvos I priedu ir jame išvardytais duomenimis, be kita ko, nurodytais jo 12 ir 18 punktuose, atsižvelgiant į aiškumo ir tikslumo reikalavimus (antrasis ir trečiasis klausimai),
– minėtos direktyvos 3 straipsnio 4 punktu ir I priedu, kiek šiomis nuostatomis įtvirtinta PNR duomenų rinkimo, perdavimo ir bendro tvarkymo sistema gali būti taikoma bet kuriam skrydžio, kuriam taikomos šios direktyvos nuostatos, keleiviui (ketvirtasis klausimas), ir
– PNR direktyvos 6 straipsniu, kiek jame numatytas išankstinis PNR duomenų vertinimas, juos lyginant su duomenų bazėmis, ir (arba) jų tvarkymas, atsižvelgiant į iš anksto nustatytus kriterijus, sistemiškai ir bendrai taikomus šiems duomenims, neatsižvelgiant į visus objektyvius veiksnius, leidžiančius manyti, kad atitinkami keleiviai gali kelti pavojų visuomenės saugumui (šeštasis klausimas).
86 Visų pirma reikia priminti, kad pagal bendrąjį aiškinimo principą Sąjungos teisės aktas turi būti aiškinamas kiek įmanoma taip, kad nebūtų paneigtas jo galiojimas, ir laikantis visos pirminės teisės, be kita ko, Chartijos, nuostatų. Taigi, kai teisės aktą galima aiškinti įvairiai, pirmenybę reikia teikti pirminę teisę atitinkančiam aiškinimui, o ne tokiam, dėl kurio reikėtų konstatuoti nesuderinamumą su ja (2021 m. vasario 2 d. Sprendimo Consob, C‑481/19, EU:C:2021:84, 50 punktas ir jame nurodyta jurisprudencija).
87 Be to, remiantis suformuota jurisprudencija, kai pagal direktyvos nuostatas valstybėms narėms paliekama diskrecija nustatyti perkėlimo priemones, kurios galėtų būti taikomos skirtingoms numanomoms situacijoms, valstybės narės, įgyvendindamos šias priemones, ne tik privalo savo nacionalinę teisę aiškinti taip, kad ji atitiktų konkrečią direktyvą, bet ir nesivadovauti tokiu jos aiškinimu, kuris pažeistų Sąjungos teisės sistemos saugomas pagrindines teises arba kitus bendruosius Sąjungos teisės sistemoje pripažintus principus (šiuo klausimu žr. 2016 m. vasario 15 d. Sprendimo N., C‑601/15 PPU, EU:C:2016:84, 60 punktą ir jame nurodytą jurisprudenciją; taip pat 2020 m. liepos 16 d. Sprendimo État belge (Šeimos susijungimas – Nepilnametis vaikas), C‑133/19, C‑136/19 ir C‑137/19, EU:C:2020:577, 33 punktą ir jame nurodytą jurisprudenciją).
88 Reikia pažymėti, kad, be kita ko, PNR direktyvos 15, 20, 22, 25, 36 ir 37 konstatuojamosiose dalyse akcentuojama svarba, kurią Sąjungos teisės aktų leidėjas, nurodydamas aukštą duomenų apsaugos lygį, teikia visapusiškai pagarbai pagrindinėms teisėms, įtvirtintoms Chartijos 7, 8 ir 21 straipsniuose, taip pat proporcingumo principui, todėl, kaip nurodyta šios direktyvos 36 konstatuojamojoje dalyje, šią direktyvą „reikėtų atitinkamai įgyvendinti“.
89 Konkrečiai kalbant, PNR direktyvos 22 konstatuojamojoje dalyje pabrėžiama, kad „visapusiškai atsižvelgiant į [Teisingumo Teismo] pastar[uoju] met[u] atitinkamoje teismo praktikoje suformuotus principus, taikant šią direktyvą turėtų būti užtikrinta visapusiška pagarba pagrindinėms teisėms, teisei į privatų gyvenimą ir proporcingumo principo laikymasis“ ir „taip pat turėtų būti tvirtai laikomasi būtinumo ir proporcingumo tikslų siekiant užtikrinti Sąjungos pripažintus bendrus interesus ir atsižvelgiama į būtinybę garantuoti, kad kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais būtų apsaugotos kitų asmenų teisės ir laisvės“. Šioje konstatuojamojoje dalyje priduriama, kad toks direktyvos taikymas „turėtų būti tinkamai pagrindžiamas ir turėtų būti numatytos reikiamos apsaugos priemonės, kad būtų galima užtikrinti PNR duomenų saugojimo, analizės, perdavimo arba naudojimo teisėtumą“.
90 Be to, pagal PNR direktyvos 19 straipsnio 2 dalį Komisija, atlikdama šios direktyvos peržiūrą, įpareigojama skirti ypatingą dėmesį „taikomų asmens duomenų apsaugos standartų laikymuisi“, „PNR duomenų rinkimo ir tvarkymo kiekvienu iš šioje direktyvoje nustatytų tikslų būtinybei ir proporcingumui“ ir „duomenų saugojimo trukmei“.
91 Taigi reikia patikrinti, ar PNR direktyva, kaip, be kita ko, reikalaujama jos konstatuojamosiose dalyse ir nuostatose, nurodytose šio sprendimo 88–90 punktuose, gali būti aiškinama taip, kad būtų užtikrinta visiška pagarba Chartijos 7 ir 8 straipsniuose įtvirtintoms pagrindinėms teisėms ir Chartijos 52 straipsnio 1 dalyje įtvirtintam proporcingumo principui.
1. Dėl iš PNR direktyvos kylančių Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymų
92 Pagal Chartijos 7 straipsnį kiekvienam asmeniui užtikrinama teisė į tai, kad būtų gerbiamas jo privatus ir šeimos gyvenimas, būsto neliečiamybė ir komunikacijos slaptumas, o Chartijos 8 straipsnio 1 dalyje kiekvienam asmeniui aiškiai suteikiama teisė į savo asmens duomenų apsaugą.
93 Kaip matyti iš PNR direktyvos 3 straipsnio 5 punkto ir jos I priede esančio sąrašo, šioje direktyvoje nurodyti PNR duomenys, be kita ko, apima ne tik oro transporto keleivio (‑ių) vardą (‑us) ir pavardę(‑es), bet ir rezervuojant būtiną informaciją, kaip antai planuojamas kelionės datas, kelionės maršrutą, su bilietais susijusią informaciją, asmenų grupes, įregistruotas naudojantis tuo pačiu rezervavimo numeriu, keleivio (‑ių) kontaktinę informaciją, informaciją apie mokėjimo priemones arba sąskaitų išrašymą, informaciją apie bagažą ir bendras pastabas apie keleivius.
94 Kadangi PNR duomenys apima informaciją apie fizinius asmenis, kurių tapatybė nustatyta, t. y. atitinkamus oro transporto keleivius, įvairios šių duomenų tvarkymo operacijos daro poveikį Chartijos 7 straipsnyje įtvirtintai pagrindinei teisei į privataus gyvenimo gerbimą (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 121 ir 122 punktus ir juose nurodytą jurisprudenciją).
95 Be to, tokių PNR duomenų, kokie numatyti PNR direktyvoje, tvarkymui taikomas ir Chartijos 8 straipsnis, nes tai yra asmens duomenų tvarkymas, kaip tai suprantama pagal šį straipsnį, taigi jis būtinai turi atitikti šiame straipsnyje numatytus duomenų apsaugos reikalavimus (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 123 punktą ir jame nurodytą jurisprudenciją).
96 Pagal suformuotą jurisprudenciją asmens duomenų perdavimas trečiajam asmeniui, kaip antai valdžios institucijai, yra Chartijos 7 ir 8 straipsnyje įtvirtintų pagrindinių teisių suvaržymas, nesvarbu, kaip perduota informacija bus naudojama vėliau. Tas pats taikytina asmens duomenų saugojimui ir prieigai prie jų, kai juos siekia panaudoti valdžios institucijos. Šiuo klausimu pažymėtina, kad nelabai svarbu, ar atitinkama su privačiu gyvenimu susijusi informacija yra neskelbtina ir ar dėl šio suvaržymo suinteresuotieji asmenys galbūt patyrė nepatogumų (2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 124 ir 126 punktai ir juose nurodyta jurisprudencija).
97 Taigi tiek oro vežėjų atliekamas PNR duomenų perdavimas atitinkamos valstybės narės informacijos apie keleivius skyriams, kaip numatyta PNR direktyvos 1 straipsnio 1 dalies a punkte, siejamame su jos 8 straipsniu, tiek šių duomenų saugojimo, jų naudojimo ir bet kokio vėlesnio perdavimo tos valstybės narės kompetentingoms institucijoms, kitų valstybių narių informacijos apie keleivius skyriams ir kompetentingoms institucijoms, Europolui arba trečiųjų šalių institucijoms (tai leidžiama, inter alia, pagal šios direktyvos 6, 7, 9 ir 10–12 straipsnius) sąlygų nustatymas yra Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymas.
98 Dėl šių suvaržymų dydžio reikia pažymėti, pirma, kad PNR direktyvos 1 straipsnio 1 dalies a punkte, siejamame su jos 8 straipsniu, numatytas sistemingas ir tęstinis kiekvieno keleivio, kuris keliauja ES išorės skrydžiu, kaip tai suprantama pagal šios direktyvos 3 straipsnio 2 punktą, vykdomu tarp trečiųjų šalių ir Sąjungos, PNR duomenų perdavimas informacijos apie keleivius skyriams. Kaip savo išvados 73 punkte pažymėjo generalinis advokatas, toks perdavimas reiškia, kad informacijos apie keleivius skyriai turi bendrą prieigą prie visų perduotų PNR duomenų, susijusių su visais oro transporto paslaugomis besinaudojančiais asmenimis, neatsižvelgiant į tai, ar šie duomenys naudojami vėliau.
99 Antra, PNR direktyvos 2 straipsnio 1 dalyje numatyta, kad valstybės narės gali nuspręsti taikyti šią direktyvą ES vidaus skrydžiams, kaip tai suprantama pagal šios direktyvos 3 straipsnio 3 punktą, o jo 2 dalyje patikslinta, kad tokiu atveju visos minėtos direktyvos nuostatos „taikomos ES vidaus skrydžiams taip, kaip jos būtų taikomos ES išorės skrydžiams, ir ES vidaus skrydžių PNR duomenims taip, kaip jos būtų taikomos ES išorės skrydžių PNR duomenims“.
100 Trečia, net jeigu kai kurie PNR duomenys, nurodyti PNR direktyvos I priede ir apibendrinti šio sprendimo 93 punkte, vertinami atskirai, neatrodo kaip galintys atskleisti konkrečią su duomenų subjektų privačiu gyvenimu susijusią informaciją, vis dėlto, vertinami kartu, jie gali atskleisti, be kita ko, visą kelionės maršrutą, kelionių įpročius, ryšius, egzistuojančius tarp dviejų ar daugiau asmenų, taip pat informaciją apie oro transporto keleivių finansinę padėtį, jų mitybos įpročius ar sveikatos būklę, net galėtų atskleisti apie šiuos keleivius neskelbtinų duomenų (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 128 punktą).
101 Ketvirta, pagal PNR direktyvos 6 straipsnio 2 dalies a ir b punktus oro vežėjų perduodamų duomenų paskirtis – atlikti ne tik išankstinį vertinimą prieš numatomą keleivių atvykimą ar išvykimą, bet ir vėlesnį vertinimą.
102 Iš PNR 6 straipsnio 2 dalies a punkto ir 3 dalies matyti, kad išankstinį vertinimą valstybių narių informacijos apie keleivius skyriai atlieka sistemingai ir automatizuotomis priemonėmis, t. y. nepertraukiamai ir neatsižvelgiant į tai, ar yra bent menkiausios informacijos apie duomenų subjektų dalyvavimo teroristinėje veikloje ar vykdant sunkius nusikaltimus pavojų. Šiuo tikslu šiose nuostatose numatyta, kad PNR duomenys gali būti lyginami su „duomenimis duomenų bazėse, atitinkančiose <…> tikslus“, ir būti tvarkomi laikantis „iš anksto nustatytų kriterijų“.
103 Šiomis aplinkybėmis reikia priminti, kad Teisingumo Teismas jau yra nusprendęs, jog Chartijos 7 ir 8 straipsniuose įtvirtintų teisių suvaržymo, kurį lemia automatizuota PNR duomenų analizė, mastas iš esmės priklauso nuo iš anksto nustatytų modelių ir kriterijų, taip pat nuo duomenų bazių, kuriomis grindžiamas toks duomenų tvarkymas (2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 172 punktas).
104 Kaip savo išvados 78 punkte pažymėjo generalinis advokatas, PNR direktyvos 6 straipsnio 3 dalies a punkte numatytas duomenų tvarkymas, t. y. PNR duomenų palyginimas su „duomenimis, duomenų bazėse atitinkančiose <…> tikslus“, gali suteikti papildomos informacijos apie oro transporto keleivių privatų gyvenimą ir šiuo klausimu leisti padaryti labai tikslias išvadas.
105 Dėl PNR duomenų tvarkymo atsižvelgiant į „iš anksto nustatytus kriterijus“, kaip numatyta PNR direktyvos 6 straipsnio 3 dalies b punkte, tiesa, kad pagal šios direktyvos 6 straipsnio 4 dalį reikalaujama, kad keleivių vertinimas taikant šiuos kriterijus būtų atliktas nediskriminuojant ir, be kita ko, nebūtų pagrįstas visomis šios 4 dalies paskutiniame sakinyje nurodytomis savybėmis. Be to, taikomi kriterijai turi būti tiksliniai, proporcingi ir konkretūs.
106 Teisingumo Teismas jau yra nusprendęs, kad jeigu automatizuota PNR duomenų analizė atliekama remiantis nepatikrintais asmens duomenimis ir jeigu ji grindžiama iš anksto nustatytais modeliais ir kriterijais, ji neišvengiamai turi tam tikrą paklaidą (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 169 punktą). Konkrečiai kalbant, kaip savo išvados 78 punkte iš esmės pažymėjo generalinis advokatas, iš Komisijos darbo dokumento [SWD(2020)128 final], pridėto prie jos 2020 m. liepos 24 d. ataskaitos dėl PNR direktyvos peržiūros, matyti, kad atlikus šios direktyvos 6 straipsnio 3 dalies a ir b punktuose numatytas automatizuotas duomenų tvarkymo operacijas gautų teigiamų atitikčių, kurios po individualios peržiūros neautomatizuotomis priemonėmis pasirodė klaidingos, skaičius yra gana didelis – 2018 ir 2019 m. tai sudarė bent penkis iš šešių asmenų, kurių tapatybė nustatyta. Taigi toks tvarkymas lemia išsamią šių asmenų PNR duomenų analizę.
107 Kalbant apie vėlesnį PNR duomenų vertinimą, numatytą PNR direktyvos 6 straipsnio 2 dalies b punkte, iš šios nuostatos matyti, kad per šios direktyvos 12 straipsnio 2 dalyje nurodytą šešių mėnesių laikotarpį po PNR duomenų perdavimo informacijos apie keleivius skyrius, gavęs kompetentingų institucijų prašymą, privalo joms pateikti PNR duomenis ir konkrečiais atvejais juos tvarkyti kovos su teroristiniais nusikaltimais ar sunkiais nusikaltimais tikslais.
108 Be to, net jei pasibaigus šiam šešių mėnesių laikotarpiui PNR duomenys nuasmeninami užmaskuojant tam tikrus jų elementus, pagal PNR direktyvos 12 straipsnio 3 dalį informacijos apie keleivius skyrius, gavęs tokį prašymą, gali būti įpareigotas perduoti visus PNR duomenis tokia forma, kuri leistų kompetentingoms institucijoms nustatyti duomenų subjektą, jeigu yra pagrįstų priežasčių manyti, kad tai būtina šios direktyvos 6 straipsnio 2 dalies b punkte nurodytais tikslais, tačiau siekiant perduoti tokius duomenis reikalingas teisminės institucijos arba „kompetentingos nacionalinės valdžios institucijos“ leidimas.
109 Penkta, PNR direktyvos 12 straipsnio 1 dalyje numatyta (nepateikiant išsamesnės informacijos šiuo klausimu), kad PNR duomenys saugomi duomenų bazėje penkerius metus nuo jų perdavimo valstybės narės, kurios teritorijoje yra lėktuvo atvykimo ar išvykimo vieta, informacijos apie keleivius skyriui, taigi pagal šią direktyvą leidžiama turėti informaciją apie privatų oro transporto keleivių gyvenimą laikotarpiu, kurį Teisingumo Teismas savo 2017 m. liepos 26 d. Nuomonėje 1/15 (ES ir Kanados PNR susitarimas) (EU:C:2017:592, 132 punktas) kvalifikavo kaip itin ilgą, atsižvelgiant į tai, kad, nepaisant pasibaigusio pradinio šešių mėnesių laikotarpio, po kurio duomenys nuasmeninami, užmaskuojant tam tikrus jų elementus, visi PNR duomenys vis dar gali būti perduodami ankstesniame šio sprendimo punkte nurodytu atveju.
110 Atsižvelgiant į įprastą kelionių oru pobūdį, toks saugojimo laikotarpis lemia tai, kad labai didelės Sąjungos gyventojų dalies PNR duomenys gali būti pakartotinai saugomi pagal PNR direktyvoje nustatytą sistemą, todėl jie gali būti analizuojami ilgą ar net neribotą laiką informacijos apie keleivius skyriams ir kompetentingoms institucijoms atliekant išankstinius ir vėlesnius vertinimus, jeigu asmenys lėktuvu keliauja daugiau kaip kartą per penkerius metus.
111 Atsižvelgiant į visa tai, kas išdėstyta, reikia konstatuoti, kad PNR direktyva neabejotinai labai suvaržomos Chartijos 7 ir 8 straipsniuose įtvirtintos teisės, nes ja, be kita ko, siekiama nustatyti nuolatinę, netikslinę ir sistemingą stebėjimo sistemą, apimančią visų oro transporto paslaugomis besinaudojančių asmenų automatizuotą asmens duomenų vertinimą.
2. Dėl iš PNR direktyvos kylančių suvaržymų pateisinimo
112 Reikia priminti, kad Chartijos 7 ir 8 straipsniuose įtvirtintos pagrindinės teisės nėra absoliučios ir turi būti vertinamos atsižvelgiant į jų visuomeninę paskirtį (2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 136 punktas ir jame nurodyta jurisprudencija; taip pat 2020 m. spalio 6 d. Sprendimo Privacy International, C‑623/17, EU:C:2020:790, 63 punktas ir jame nurodyta jurisprudencija).
113 Pagal Chartijos 52 straipsnio 1 dalies pirmą sakinį bet koks Chartijos pripažintų teisių ir laisvių įgyvendinimo apribojimas turi būti numatytas įstatymo ir nekeisti šių teisių ir laisvių esmės. Pagal Chartijos 52 straipsnio 1 dalies antrą sakinį, remiantis proporcingumo principu, tokių teisių ir laisvių apribojimai galimi tik tuo atveju, kai jie būtini ir tikrai atitinka Sąjungos pripažintus bendrus interesus arba reikalingi kitų teisėms ir laisvėms apsaugoti. Šiuo klausimu pagal Chartijos 8 straipsnio 2 dalį asmens duomenys, be kita ko, turi būti tvarkomi „tik konkretiems tikslams ir tik atitinkamam asmeniui sutikus ar kitais įstatymo nustatytais teisėtais pagrindais“.
114 Reikia pridurti, kad reikalavimas, kuriuo remiantis bet koks pagrindinių teisių įgyvendinimo apribojimas būtų numatytas įstatymo, reiškia, kad pačiame teisės akte, kuriuo leidžiamas šių teisių suvaržymas, turi būti apibrėžta atitinkamos teisės įgyvendinimo apribojimo apimtis, tačiau reikia patikslinti, pirma, kad toks reikalavimas nedraudžia, kad šis apribojimas, būtų suformuluotas pakankamai atvirai, kad jį būtų galima pritaikyti skirtingoms aplinkybėms ir kintančioms situacijoms (šiuo klausimu žr. 2022 m. balandžio 26 d. Sprendimo Lenkija / Parlamentas ir Taryba, C‑401/19, EU:C:2022:297, 64 ir 74 punktus bei juose nurodytą jurisprudenciją), ir, antra, kad prireikus Teisingumo Teismas gali aiškindamas patikslinti konkrečią apribojimo taikymo sritį, atsižvelgdamas tiek į nagrinėjamų Sąjungos teisės aktų formuluotę, tiek į jų bendrą sistemą ir jais siekiamus tikslus, aiškinamus atsižvelgiant į Chartijoje įtvirtintas pagrindines teises.
115 Dėl proporcingumo principo paisymo pažymėtina, kad pagrindinės teisės į privataus gyvenimo gerbimą apsauga Sąjungos lygiu reikalauja, remiantis suformuota Teisingumo Teismo jurisprudencija, kad nukrypimai nuo asmens duomenų apsaugos ir jos apribojimai neviršytų to, kas yra griežtai būtina. Be to, bendrojo intereso tikslo negalima siekti neatsižvelgiant į tai, kad jis turi būti derinamas su pagrindinėmis teisėmis, kurioms taikoma priemonė, nustatant pusiausvyrą tarp, viena vertus, bendrojo intereso tikslo ir, kita vertus, nagrinėjamų teisių (2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 140 punktas ir 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 52 punktas ir jame nurodyta jurisprudencija).
116 Konkrečiau kalbant, valstybėms narėms suteikta galimybė pateisinti teisių, įtvirtintų, be kita ko, Chartijos 7 ir 8 straipsniuose, apribojimą turi būti vertinama atsižvelgiant į suvaržymo, kurį lemia toks apribojimas, dydį ir tikrinant, ar šiuo apribojimu siekiamo bendrojo intereso tikslo svarba jį atitinka (šiuo klausimu žr. 2018 m. spalio 2 d. Sprendimo Ministerio Fiscal, C‑207/16, EU:C:2018:788, 55 punktą ir jame nurodytą jurisprudenciją; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 53 punktą ir jame nurodytą jurisprudenciją).
117 Tam, kad būtų tenkinamas proporcingumo reikalavimas, nagrinėjamame suvaržymą nustatančiame teisės akte turi būti numatytos aiškios ir tikslios taisyklės, kuriomis būtų reglamentuojama jame nustatytų priemonių apimtis ir taikymas ir nustatyti minimalūs reikalavimai, kad asmenims, kurių duomenys perduodami, būtų suteikta pakankamai garantijų, leidžiančių veiksmingai apsaugoti jų asmens duomenis nuo piktnaudžiavimo pavojų. Konkrečiai jame turi būti nurodyta, kokiomis aplinkybėmis ir sąlygomis gali būti imamasi tokių duomenų tvarkymą numatančios priemonės, taip užtikrinant, kad suvaržymas neviršytų to, kas griežtai būtina. Būtinybė turėti tokias garantijas yra dar svarbesnė tais atvejais, kai asmens duomenys tvarkomi automatizuotu būdu. Šie argumentai visų pirma galioja, kai PNR duomenys gali atskleisti neskelbtiną informaciją apie keleivius (2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 141 punktas; taip pat 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 132 punktas ir jame nurodyta jurisprudencija).
118 Taigi teisės aktai, kuriuose numatytas asmens duomenų saugojimas, visada turi atitikti objektyvius kriterijus, nustatančius saugotinų asmens duomenų ir siekiamo tikslo ryšį (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 191 punktą ir jame nurodytą jurisprudenciją; 2019 m. spalio 3 d. Sprendimo A ir kt., C‑70/18, EU:C:2019:823, 63 punktą; 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 133 punktą).
a) Dėl teisėtumo principo ir nagrinėjamų pagrindinių teisių esmės paisymo
119 Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių įgyvendinimo apribojimas, išplaukiantis iš PNR direktyvoje nustatytos sistemos, yra numatytas Sąjungos teisėkūros procedūra priimtame akte. Dėl klausimo, ar, remiantis šio sprendimo 114 punkte priminta jurisprudencija, šioje direktyvoje, kaip Sąjungos teisės akte, kuriuo suvaržomos šios teisės, apibrėžiama šių teisių įgyvendinimo apribojimo apimtis, reikia pažymėti, kad šios direktyvos nuostatose ir jos I ir II prieduose, pirma, išvardyti PNR duomenys ir, antra, nustatyta šių duomenų tvarkymo sistema, apibrėžiant tokio tvarkymo tikslus ir tvarką. Be to, šis klausimas iš esmės susijęs su šio sprendimo 117 punkte primintu proporcingumo reikalavimo laikymosi klausimu (šiuo klausimu žr. 2020 m. liepos 16 d. Sprendimo Facebook Ireland ir Schrems, C‑311/18, EU:C:2020:559, 180 punktą) ir bus nagrinėjamas šio sprendimo 125 ir paskesniuose punktuose.
120 Kiek tai susiję su Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių esmės paisymu, tiesa, kad PNR duomenys tam tikrais atvejais gali atskleisti labai tikslią informaciją apie asmens privatų gyvenimą. Vis dėlto, kadangi, pirma, šios informacijos pobūdis apima tik tam tikrus privataus gyvenimo aspektus, visų pirma susijusius su šio asmens kelionėmis lėktuvu, ir, antra, pagal PNR direktyvos 13 straipsnio 4 dalį aiškiai draudžiama tvarkyti neskelbtinus duomenis, kaip tai suprantama pagal BDAR 9 straipsnio 1 dalį, vien šioje direktyvoje nurodyti duomenys neleidžia susidaryti bendro vaizdo apie asmens privatų gyvenimą. Be to, minėtos direktyvos 1 straipsnio 2 dalyje, siejamoje su jos 3 straipsnio 8 ir 9 punktais bei II priedu, apibrėžiami šių duomenų tvarkymo tikslai. Galiausiai tos pačios direktyvos 4–15 straipsniuose įtvirtintos tokių duomenų perdavimo, tvarkymo ir saugojimo taisyklės ir taisyklės, skirtos, be kita ko, šių duomenų saugumui, konfidencialumui ir vientisumui užtikrinti, taip pat apsaugoti juos nuo neteisėtos prieigos ir tvarkymo. Šiomis aplinkybėmis reikia konstatuoti, kad PNR direktyvoje numatyti suvaržymai nepažeidžia Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių esmės.
b) Dėl bendrojo intereso tikslo ir galimybės tvarkyti PNR duomenis, atsižvelgiant į šį tikslą
121 Dėl klausimo, ar PNR direktyvoje nustatyta sistema siekiama bendrojo intereso tikslo, pažymėtina, jog iš jos 5, 6 ir 15 konstatuojamųjų dalių matyti, kad šia direktyva siekiama užtikrinti Sąjungos vidaus saugumą ir apsaugoti asmenų gyvybę ir saugumą, kartu sukuriant teisinį pagrindą, užtikrinantį aukštą keleivių pagrindinių teisių apsaugos lygį, visų pirma teises į privataus gyvenimo gerbimą ir asmens duomenų apsaugą, kai kompetentingos institucijos tvarko PNR duomenis.
122 Šiuo tikslu PNR direktyvos 1 straipsnio 2 dalyje nustatyta, kad pagal šią direktyvą surinkti PNR duomenys gali būti tvarkomi kaip nurodyta jos 6 straipsnio 2 dalies a–c punktuose tik teroristinių ir sunkių nusikaltimų prevencijos, atskleidimo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais. Šie tikslai neabejotinai yra Sąjungos bendrojo intereso tikslai, galintys pateisinti Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymus, net ir didelius (šiuo klausimu žr. 2014 m. balandžio 8 d. Sprendimo Digital Rights Ireland ir kt., C‑293/12 ir C‑594/12, EU:C:2014:238, 42 punktą; taip pat 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 148 ir 149 punktus).
123 Reikia konstatuoti, kad nors galimybė gauti „klaidingus neigiamus“ rezultatus ir pakankamai didelis skaičius „klaidingų teigiamų“ rezultatų, kurie, kaip pažymėta šio sprendimo 106 punkte, buvo gauti atlikus šioje direktyvoje numatytas automatizuoto duomenų tvarkymo operacijas 2018 m. ir 2019 m., žinoma, gali riboti PNR direktyvoje nustatytos sistemos tinkamumą nustatytiems tikslams pasiekti, vis dėlto šie veiksniai nėra tokie, kad ta sistema taptų netinkama prisidėti prie kovos su teroristiniais nusikaltimais ir sunkiais nusikaltimais tikslo įgyvendinimo. Iš tiesų, kaip matyti iš šio sprendimo 106 punkte nurodyto Komisijos darbinio dokumento, remiantis minėta direktyva atliekamas automatizuotas duomenų tvarkymas jau yra leidęs nustatyti pavojų keliančius oro transporto keleivius, kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais.
124 Be to, atsižvelgiant į paklaidos lygį, būdingą automatizuotam PNR duomenų tvarkymui, ir, be kita ko, į pakankamai didelį „klaidingų teigiamų“ rezultatų skaičių, PNR direktyvoje nustatytos sistemos tinkamumas iš esmės priklauso nuo to, ar vėliau tinkamai neautomatizuotomis priemonėmis patikrinami tokio duomenų tvarkymo rezultatai; pagal minėtą direktyvą tokį patikrinimą turi atlikti informacijos apie keleivius skyrius. Taigi šiuo tikslu minėtoje direktyvoje numatytos nuostatos padeda siekti tokių tikslų.
c) Dėl iš PNR direktyvos kylančių suvaržymų būtinumo
125 Remiantis šio sprendimo 115–118 punktuose priminta jurisprudencija, reikia patikrinti, ar iš PNR direktyvos kylantys suvaržymai neviršija to, kas griežtai būtina, ir, be kita ko, ar šioje direktyvoje nustatytos aiškios ir tikslios taisyklės, reglamentuojančios joje numatytų priemonių apimtį ir taikymą, ir ar šia direktyva nustatyta sistema visuomet atitinka objektyvius kriterijus, nustatančius PNR duomenų, glaudžiai susijusių su kelionės lėktuvu rezervacija ir vykdymu, ir šia direktyva siekiamų tikslų, t. y. kovos su teroristiniais ir sunkiais nusikaltimais, ryšį.
1) Dėl PNR direktyvoje nurodytų oro transporto keleivių duomenų
126 Reikia įvertinti, ar PNR direktyvos I priede išvardytose duomenų kategorijose aiškiai ir tiksliai apibrėžti PNR duomenys, kuriuos oro vežėjas privalo pateikti informacijos apie keleivius skyriui.
127 Pirmiausia reikia priminti, kad, kaip matyti iš PNR direktyvos 15 konstatuojamosios dalies, Sąjungos teisės aktų leidėjas siekė, kad PNR duomenų, kurie turi būti perduoti informacijos apie keleivius skyriui, sąrašas būtų nustatytas „siekiant atspindėti viešųjų valdžios institucijų teisėtus reikalavimus užkirsti kelią teroristiniams nusikaltimams ar sunkiems nusikaltimams, juos nustatyti, tirti ir patraukti už juos baudžiamojon atsakomybėn, tokiu būdu didinant vidaus saugumą Sąjungoje ir apsaugant pagrindines teises, visų pirma teisę į privatumą ir teisę į asmens duomenų apsaugą“. Konkrečiai šioje konstatuojamojoje dalyje nustatyta, kad tokie PNR duomenys „turėtų apimti tik išsamią informaciją apie keleivių rezervuotus bilietus ir kelionių maršrutus, kuria remdamosi kompetentingos valdžios institucijos gali nustatyti grėsmę vidaus saugumui keliančius oro transporto keleivius“. Be to, PNR direktyvos 13 straipsnio 4 dalies pirmame sakinyje draudžiama „tvarkyti PNR duomenis, kuriais atskleidžiama asmens rasė ar etninė kilmė, politinės pažiūros, religija ar filosofiniai įsitikinimai, narystė profesinėse sąjungose, sveikata, lytinis gyvenimas ar seksualinė orientacija“.
128 Taigi pagal PNR direktyvos I priedą surinkti ir perduoti PNR duomenys turi būti tiesiogiai susiję su vykdomu skrydžiu ir atitinkamu keleiviu ir būti apriboti taip, kad, pirma, atitiktų tik teisėtus valdžios institucijų reikalavimus, susijusius su teroristinių nusikaltimų ar sunkių nusikaltimų prevencija, nustatymu, tyrimu ir patraukimu už juos baudžiamojon atsakomybėn, ir, antra, į juos nebūtų įtraukti neskelbtini duomenys.
129 PNR direktyvos I priedo 1–4, 7, 9, 11, 15, 17 ir 19 punktuose nurodytos duomenų kategorijos atitinka šiuos reikalavimus, taip pat aiškumo ir tikslumo reikalavimus, nes jie apima aiškiai identifikuojamą ir apibrėžtą informaciją, tiesiogiai susijusią su vykdomu skrydžiu ir atitinkamu keleiviu. Kaip savo išvados 165 punkte pažymėjo generalinis advokatas, taip yra ir 10, 13, 14 ir 16 punktuose nurodytų kategorijų atveju, nepaisant jų atviros formuluotės.
130 Vis dėlto reikia pateikti paaiškinimų dėl 5, 6, 8, 12 ir 18 punktuose nurodytų duomenų kategorijų.
131 Nurodant 5 punkte esančią kategoriją, kuri apima „adresą ir kontaktinę informaciją (telefono numeris, el. pašto adresas)“, aiškiai nenustatyta, ar minėtas adresas ir kontaktinė informacija susiję tik su oro transporto keleiviais, ar ir su trečiaisiais asmenimis, kurie rezervavo skrydį oro transporto keleiviui, su trečiaisiais asmenimis, per kuriuos galima susisiekti su tokiu keleiviu, ir su trečiaisiais asmenimis, kurie turi būti informuoti skubos atveju. Vis dėlto, kaip savo išvados 162 punkte iš esmės pažymėjo generalinis advokatas, atsižvelgiant į aiškumo ir tikslumo reikalavimus, ši duomenų kategorija negali būti aiškinama kaip netiesiogiai leidžianti rinkti ir perduoti tokių trečiųjų asmenų asmens duomenis. Taigi minėtą duomenų kategoriją reikia aiškinti kaip apimančią tik oro transporto keleivio, kurio vardu buvo atlikta rezervacija, pašto adresą ir kontaktinę informaciją, t. y. telefono numerį ir el. pašto adresą.
132 Dėl 6 punkte nurodytos kategorijos, apimančios „informaciją apie visus mokėjimo būdus, įskaitant sąskaitos siuntimo adresą“, pažymėtina, jog tam, kad būtų tenkinami aiškumo ir tikslumo reikalavimai, ši kategorija turi būti aiškinama taip, kad ji susijusi tik su informacija apie mokėjimo už lėktuvo bilietą tvarką ir sąskaitos išrašymą, ir neapima jokios kitos informacijos, tiesiogiai nesusijusios su skrydžiu (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 159 punktą).
133 8 punkte pateikta duomenų kategorija, kuri apima „informacij[ą] apie dažnai lėktuvais keliaujančius keleivius“, turi būti aiškinama, kaip savo išvados 164 punkte pažymėjo generalinis advokatas, kaip apimanti tik duomenis, susijusius su atitinkamo keleivio statusu pagal konkrečios oro transporto bendrovės ar oro transporto bendrovių grupės lojalumo programą ir šio keleivio, kaip „dažnai lėktuvais keliaujančio asmens“, identifikacinį numerį. Taigi remiantis 8 punkte pateikta duomenų kategorija neleidžiama rinkti informacijos apie sandorius, kurių pagrindu buvo įgytas šis statusas.
134 12 punkte nurodyta kategorija apima „bendr[as] pastab[as] (įskaitant visą turimą su jaunesniais nei 18 metų nelydimais nepilnamečiais susijusią informaciją, būtent: nepilnamečio vardas ir pavardė, lytis, amžius, kalba (‑os), kuria (‑iomis) jis kalba, išlydinčio asmens vardas, pavardė bei kontaktiniai duomenys ir jo ryšys su nepilnamečiu, pasitinkančio asmens vardas, pavardė bei kontaktiniai duomenys ir jo ryšys su nepilnamečiu, išlydintis ir pasitinkantis oro uosto darbuotojas)“.
135 Šiuo klausimu pirmiausia reikia pažymėti, kad nors sąvoka „bendros pastabos“ neatitinka aiškumo ir tikslumo reikalavimų, nes ja neapribojamas informacijos, kuri gali būti renkama ir perduodama pagal 12 punktą, pobūdis ir apimtis (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 160 punktą), skliausteliuose pateikti pavyzdžiai atitinka tokį reikalavimą.
136 Taigi, siekiant 12 punkte nurodytą kategoriją aiškinti taip, kad pagal šio sprendimo 86 punkte primintą jurisprudenciją ji tenkintų aiškumo ir tikslumo reikalavimus, o plačiau – Chartijos 7 ir 8 straipsnius bei 52 straipsnio 1 dalį, reikia manyti, kad leidžiama rinkti ir pateikti informaciją, aiškiai nurodytą prie šios kategorijos, t. y. nepilnamečio vardą ir pavardę, lytį, amžių, kalbą (‑as), kuria (‑iomis) jis kalba, išlydinčio asmens vardą, pavardę bei kontaktinius duomenis ir jo ryšį su nepilnamečiu, pasitinkančio asmens vardą, pavardę bei kontaktinius duomenis ir jo ryšį su nepilnamečiu, išlydinčio ir pasitinkančio oro uosto darbuotojo pavardę ir kontaktinius duomenis.
137 Galiausiai 18 punkte nurodytos kategorijos apima „vis[us] surinkt[us] išankstinės informacijos apie keleivius (API) duomen[is] (įskaitant bet kurio asmens dokumento rūšį, numerį, išdavusią šalį, galiojimo pabaigos datą, pilietybę, pavardę, vardą, lytį, gimimo datą, oro transporto bendrovę, skrydžio numerį, išvykimo datą, atvykimo datą, išvykimo oro uostą, atvykimo oro uostą, išvykimo laiką ir atvykimo laiką)“.
138 Kaip savo išvados 156–160 punktuose iš esmės pažymėjo generalinis advokatas, iš 18 punkto, siejamo su PNR direktyvos 4 ir 9 konstatuojamosiomis dalimis, matyti, kad jame nurodyta informacija išsamiai atskleidžia API duomenis, išvardytus šiame punkte ir API direktyvos 3 straipsnio 2 dalyje.
139 Taigi 18 punkte nurodyta kategorija gali būti laikoma atitinkančia aiškumo ir tikslumo reikalavimus, jeigu ji aiškinama kaip apimanti tik pačiame punkte ir API direktyvos 3 straipsnio 2 dalyje aiškiai nurodytą informaciją (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 161 punktą).
140 Vadinasi, reikia konstatuoti, kad visas PNR direktyvos I priedas, aiškinamas atsižvelgiant į šio sprendimo 130–139 punktuose išdėstytus argumentus, yra pakankamai aiškus ir tikslus, taigi juo apibrėžiama Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymo apimtis.
2) Dėl PNR duomenų tvarkymu siekiamų tikslų
141 Kaip matyti iš PNR direktyvos 1 straipsnio 2 dalies, pagal šią direktyvą surinktų PNR duomenų tvarkymo tikslas – kovoti su „teroristiniais nusikaltimais“ ir „sunkiais nusikaltimais“.
142 Dėl klausimo, ar šioje srityje PNR direktyvoje numatytos aiškios ir tikslios taisyklės, pagal kurias šioje direktyvoje nustatytos sistemos taikymas ribojamas tuo, kas griežtai būtina šiems tikslams pasiekti, reikia pažymėti, kad, pirma, minėtos direktyvos 3 straipsnio 8 punkte sąvoka „teroristiniai nusikaltimai“ apibrėžiama kaip „nusikaltimai pagal nacionalinę teisę, nurodyti [Pamatinio sprendimo 2002/475] 1–4 straipsniuose“.
143 Be to, kad šio pamatinio sprendimo 1–3 straipsniuose aiškiai ir tiksliai apibrėžti „teroristiniai nusikaltimai“, „su teroristine grupe susiję nusikaltimai“ ir „su teroristine veikla susiję nusikaltimai“, už kuriuos valstybės narės pagal minėtą pamatinį sprendimą turėtų bausti kaip už nusikalstamą veiką, 2017 m. kovo 15 d. Europos Parlamento ir Tarybos direktyvos (ES) 2017/541 dėl kovos su terorizmu, pakeičiančios Pamatinį sprendimą 2002/475 ir iš dalies keičiančios Tarybos sprendimą 2005/671/TVR (OL L 88, 2017, p. 6), 3–14 straipsniuose taip pat aiškiai ir tiksliai apibrėžtos tos pačios nusikalstamos veikos.
144 PNR direktyvos 3 straipsnio 9 punkte „sunkūs nusikaltimai“ apibrėžti kaip „[šios direktyvos] II priede išvardyti nusikaltimai, už kuriuos pagal valstybės narės nacionalinę teisę baudžiama laisvės atėmimo bausme arba [taikomos prevencinės priemonės], kurių ilgiausias terminas – bent treji metai“.
145 Visų pirma šiame priede išsamiai išvardytos įvairios nusikalstamų veikų, kurios gali būti laikomos „sunkiais nusikaltimais“, kaip nurodyta PNR direktyvos 3 straipsnio 9 punkte, kategorijos.
146 Antra, atsižvelgdamas į valstybių narių baudžiamųjų sistemų ypatumus šios direktyvos priėmimo metu (joje nurodytos nusikalstamos veikos nebuvo suderintos) Sąjungos teisės aktų leidėjas galėjo apsiriboti nuorodomis į nusikalstamų veikų kategorijas, neapibrėždamas šių nusikalstamų veikų sudėties, juolab kad daroma prielaida, kad ši sudėtis yra apibrėžta nacionalinėje teisėje, į kurią daroma nuoroda PNR direktyvos 3 straipsnio 9 dalyje, nes valstybės narės privalo laikytis nusikalstamų veikų ir bausmių teisėtumo principo, kuris yra ES sutarties 2 straipsnyje nurodytos bendros su Sąjunga teisinės valstybės vertybės dalis (žr. pagal analogiją 2022 m. vasario 16 d. Sprendimo Vengrija / Parlamentas ir Taryba, C‑156/21, EU:C:2022:97, 136 160 ir 234 punktus); teisinės valstybės principas taip pat įtvirtintas Chartijos 49 straipsnio 1 dalyje ir valstybės narės privalo jo laikytis, įgyvendindamos tokį Sąjungos teisės aktą, kaip PNR direktyva (šiuo klausimu žr. 2011 m. lapkričio 10 d. Sprendimo QB, C‑405/10, EU:C:2011:722, 48 punktą ir jame nurodytą jurisprudenciją). Taigi, atsižvelgiant į įprastą šiame priede vartojamų sąvokų reikšmę, reikia manyti, kad jame pakankamai aiškiai ir tiksliai apibrėžtos nusikalstamos veikos, kurios gali būti laikomos sunkiais nusikaltimais.
147 Tiesa, kad II priedo 7, 8, 10 ir 16 punktai susiję su labai bendro pobūdžio nusikalstamomis veikomis (sukčiavimas, nusikalstamu būdu įgytų pajamų plovimas ir pinigų padirbinėjimas, sunkūs nusikaltimai aplinkai, prekyba kultūros vertybėmis), tačiau kartu nurodomi konkretūs nusikaltimai, priskiriami prie šių bendrųjų kategorijų. Siekiant užtikrinti pakankamą tikslumą, kurio taip pat reikalaujama pagal Chartijos 49 straipsnį, šiuos punktus reikia aiškinti taip, kad jie susiję su tomis nusikalstamomis veikomis, kurios apibrėžtos nacionalinėje ir (arba) Sąjungos teisėje šioje srityje. Taip aiškinami šie punktai gali būti laikomi atitinkančiais aiškumo ir tikslumo reikalavimus.
148 Galiausiai svarbu priminti, kad nors pagal proporcingumo principą kovos su sunkiais nusikaltimais tikslas gali pateisinti didelį PNR direktyvoje nustatytą Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymą, kitaip yra dėl kovos su nusikalstamumu apskritai tikslu – toks tikslas gali pateisinti tik nedidelius suvaržymus (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 59 punktą ir jame nurodytą jurisprudenciją). Taigi aiškios ir tikslios šios direktyvos taisyklės turi užtikrinti, kad joje nustatyta sistema būtų taikoma tik sunkiems nusikaltimams, bet neapimtų bendro pobūdžio nusikalstamų veikų.
149 Kaip savo išvados 121 punkte pažymėjo generalinis advokatas, daugelis PNR direktyvos II priede nurodytų nusikalstamų veikų – pavyzdžiui, prekyba žmonėmis, seksualinis vaikų išnaudojimas ir vaikų pornografija, prekyba ginklais, šaudmenimis ir sprogmenimis, pinigų plovimas, kibernetiniai nusikaltimai, prekyba žmogaus organais ir audiniais, prekyba narkotikais ir psichotropinėmis medžiagomis, prekyba branduolinėmis ar radioaktyviosiomis medžiagomis, orlaivių (laivų) užgrobimas, sunkūs nusikaltimai, priklausantys Tarptautinio baudžiamojo teismo jurisdikcijai, nužudymas, išžaginimas, pagrobimas ir įkaitų paėmimas – dėl savo pobūdžio neabejotinai yra sunkios.
150 Be to, nors kitas nusikalstamas veikas, taip pat nurodytas šiame II priede, a priori galima ne taip lengvai sieti su sunkiais nusikaltimais, vis dėlto iš paties PNR direktyvos 3 straipsnio 9 punkto teksto matyti, kad jos gali būti laikomos sunkiais nusikaltimais, tik jeigu už jas pagal atitinkamos valstybės narės nacionalinę teisę baudžiama laisvės atėmimo bausme arba taikomos prevencinės priemonės, kurių ilgiausias terminas yra ne trumpesnis kaip treji metai. Iš šios nuostatos kylantys reikalavimai, susiję su taikytinos bausmės pobūdžiu ir griežtumu, iš principo gali apriboti minėtoje direktyvoje nustatytos sistemos taikymą tik toms nusikalstamoms veikoms, kurios yra pakankamai sunkios ir kuriomis galima pateisinti Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymą, išplaukiantį iš toje pačioje direktyvoje nustatytos sistemos.
151 Vis dėlto, kadangi PNR direktyvos 3 straipsnio 9 punkte nurodoma ne minimali, o maksimali taikytina bausmė, neatmestina galimybė, kad PNR duomenys gali būti tvarkomi siekiant kovoti su nusikaltimais, kurie, nors atitinka šioje nuostatoje numatytą kriterijų, susijusį su sunkumo riba, atsižvelgiant į nacionalinės baudžiamosios sistemos ypatumus, priskiriami ne prie sunkių nusikaltimų, o prie įprasto nusikalstamumo.
152 Taigi valstybės narės turi užtikrinti, kad pagal PNR direktyvą nustatytos sistemos taikymas iš tikrųjų būtų apribotas kova su sunkiais nusikaltimais ir kad ši sistema nebūtų taikoma nusikaltimams, kurie priskiriami prie įprastų nusikalstamų veikų.
3) Dėl PNR duomenų ir šių duomenų tvarkymo tikslų ryšio
153 Tiesa, kad, kaip savo išvados 119 punkte iš esmės pažymėjo generalinis advokatas, PNR direktyvos 3 straipsnio 8 punkto ir 3 straipsnio 9 punkto, aiškinamų kartu su šios direktyvos II priedu, formuluotėse aiškiai nenurodytas kriterijus, kuris apribotų šios direktyvos taikymo sritį tik tomis nusikalstamomis veikomis, kurios dėl savo pobūdžio gali turėti bent netiesioginį objektyvų ryšį su kelionėmis oru, taigi, ir su pagal šią direktyvą perduodamų, tvarkomų ir saugomų duomenų kategorijomis.
154 Vis dėlto, kaip savo išvados 121 punkte pažymėjo generalinis advokatas, tam tikros PNR direktyvos II priede nurodytos nusikalstamos veikos, kaip antai prekyba žmonėmis, prekyba narkotinėmis medžiagomis ar ginklais, pagalba neteisėtai patekti į šalį ir joje apsigyventi arba orlaivio užgrobimas, dėl savo pobūdžio gali turėti tiesioginį ryšį su keleivių vežimu oru. Tas pats pasakytina apie tam tikrus teroristinius nusikaltimus, kaip antai masinį transporto sistemos ar infrastruktūros įrenginių sunaikinimą arba orlaivių užgrobimą, nurodytus Pamatinio sprendimo 2002/475 1 straipsnio 1 dalies d ir e punktuose, į kuriuos daroma nuoroda PNR direktyvos 3 straipsnio 8 punkte, arba apie keliavimą terorizmo tikslais ir tokių kelionių organizavimą ar jų palengvinimą – nusikalstamas veikas, nurodytas Direktyvos 2017/541 9 ir 10 straipsniuose.
155 Šiomis aplinkybėmis taip pat reikia priminti, kad savo 2011 m. vasario 2 d. pasiūlyme dėl keleivio duomenų įrašo duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais (COM(2011) 32 final), kurio pagrindu buvo priimta PNR direktyva, Komisija pabrėžė, kad „[t]eroristiniai išpuoliai Jungtinėse Valstijose 2001 m., sustabdytas teroristinis išpuolis 2006 m. rugpjūčio mėn., per kurį siekta susprogdinti kelis iš Jungtinės Karalystės į Jungtines Valstijas skrendančius orlaivius, ir 2009 m. gruodžio mėn. bandymas įvykdyti teroristinį išpuolį skrydžio iš Amsterdamo į Detroitą metu parodė teroristų galimybes surengti išpuolius kaip taikinį pasirenkant tarptautinius skrydžius bet kurioje šalyje“ ir kad „[d]auguma teroristinių veikų yra tarpvalstybinio pobūdžio ir yra susijusios su tarptautinėmis kelionėmis, inter alia, į mokymo stovyklas už ES ribų“. Be to, siekdama pagrįsti PNR duomenų analizės poreikį kovoti su sunkiais nusikaltimais Komisija kaip pavyzdį nurodė kontrabandininkų grupės, kuri prekybos žmonėmis tikslais pateikė suklastotus dokumentus, kad galėtų atlikti registravimosi skrydžiui formalumus, atvejį ir prekybos žmonėmis ir narkotikais tinklo, kuris, siekdamas įvežti narkotikus į įvairius Europos regionus, naudojosi prekybos žmonėmis aukomis, o jų lėktuvo bilietus pirko su vogtomis kredito kortelėmis, atvejį. Visi šie atvejai susiję su nusikalstamomis veikomis, turinčiomis tiesioginį ryšį su keleivių vežimu oro transportu, nes tai buvo nusikalstamos veikos, kurių tikslas – keleivių vežimas oro transportu, taip pat nusikalstamos veikos, atliktos oro kelionės metu ar susijusios su ja.
156 Be to, svarbu konstatuoti, kad net nusikalstamos veikos, kurios nėra tiesiogiai susijusios su keleivių vežimu oro transportu, atsižvelgiant į bylos aplinkybes, gali turėti netiesioginį ryšį su keleivių vežimu oro transportu. Taip yra, be kita ko, tuo atveju, kai oro transportu naudojamasi kaip priemone tokioms nusikalstamoms veikoms rengti arba išvengti baudžiamojo persekiojimo jas įvykdžius. Tačiau nusikalstamos veikos, kurios neturi jokio, net ir netiesioginio, objektyvaus ryšio su keleivių vežimu oro transportu, negali pateisinti PNR direktyva nustatytos sistemos taikymo.
157 Šiomis aplinkybėmis pagal PNR direktyvos 3 straipsnio 8 ir 9 punktus, siejamus su jos II priedu, ir atsižvelgiant į reikalavimus, kylančius iš Chartijos 7, 8 straipsnių ir 52 straipsnio 1 dalies, valstybės narės įpareigojamos užtikrinti, kad, be kita ko, neautomatizuotomis priemonėmis atliekant individualią peržiūrą, numatytą minėtos direktyvos 6 straipsnio 5 dalyje, joje nustatytos sistemos taikymas būtų apribotas teroristiniais nusikaltimais ir tik sunkiais nusikaltimais, kurie yra objektyviai susiję, bent netiesiogiai, su keleivių vežimu oro transportu.
4) Dėl oro transporto keleivių ir atitinkamų skrydžių
158 PNR direktyvoje nustatyta sistema apima visų asmenų, kurie atitinka „keleivio“ sąvoką, kaip ji suprantama pagal šios direktyvos 3 straipsnio 4 punktą, ir kurie keliauja skrydžiais, patenkančiais į šios direktyvos taikymo sritį, PNR duomenis.
159 Pagal minėtos direktyvos 8 straipsnio 1 dalį šie duomenys perduodami valstybės narės, į kurios teritoriją arba iš kurios teritorijos bus vykdomas skrydis, informacijos apie keleivius skyriui, neatsižvelgiant į objektyvias aplinkybes, kurios leistų manyti, kad atitinkami keleiviai gali būti susiję su teroristiniais nusikaltimais arba sunkiais nusikaltimais. Vis dėlto taip perduoti duomenys, be kita ko, automatizuotai tvarkomi atliekant išankstinį vertinimą pagal PNR direktyvos 6 straipsnio 2 dalies a punktą ir 3 dalį; šiuo vertinimu, kaip matyti iš šios direktyvos 7 konstatuojamosios dalies, siekiama nustatyti asmenis, kurie iki šio vertinimo nebuvo įtariami dalyvavę teroristiniuose ar sunkiuose nusikaltimuose ir kuriuos kompetentingos institucijos turėtų išsamiau ištirti.
160 Konkrečiau kalbant, iš PNR direktyvos 1 straipsnio 1 dalies a punkto ir 2 straipsnio matyti, kad pagal šią direktyvą skiriami keleiviai, keliaujantys ES išorės skrydžiais tarp Sąjungos ir trečiųjų šalių, ir keleiviai, keliaujantys ES vidaus skrydžiais tarp skirtingų valstybių narių.
161 Kalbant apie ES išorės skrydžių keleivius, primintina, kad dėl keleivių, keliaujančių tarp Sąjungos ir Kanados, Teisingumo Teismas jau yra nusprendęs, kad automatizuotas jų PNR duomenų tvarkymas prieš jiems atvykstant į Kanadą palengvina ir paspartina saugumo kontrolę, visų pirma pasienyje. Be to, netaikant kontrolės tam tikrų kategorijų asmenims arba tam tikruose kilmės regionuose, galėtų būti kliudoma įgyvendinti automatizuotu PNR duomenų tvarkymu siekiamą tikslą – būtent tikrinant visų oro transporto keleivių duomenis nustatyti asmenis, galinčius kelti pavojų visuomenės saugumui, – ir būtų palikta tokio patikrinimo apėjimo galimybė (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas) EU:C:2017:592 187 punktą).
162 Šie argumentai mutatis mutandis gali būti taikomi keleiviams, kurie keliauja skrydžiais tarp Sąjungos ir visų trečiųjų šalių, tokiems skrydžiams valstybės narės privalo taikyti PNR direktyvos 1 straipsnio 1 dalies a punkte, siejamame su minėtos direktyvos 3 straipsnio 2 ir 4 punktais, nustatytą sistemą. Iš tiesų į Sąjungą atvykstančių ar iš jos išvykstančių oro transporto keleivių PNR duomenų perdavimas ir išankstinis vertinimas negali apsiriboti tik tam tikrais oro transporto keleiviais, atsižvelgiant į grėsmių visuomenės saugumui, kurių gali kilti dėl teroristinių nusikaltimų ir sunkių nusikaltimų, objektyviai, bent jau netiesiogiai, susijusių su keleivių vežimu oro transportu tarp Sąjungos ir trečiųjų šalių, pobūdį. Taigi reikia konstatuoti, kad egzistuoja būtinas šių duomenų ir tikslo kovoti su tokiomis nusikalstamomis veikomis ryšys, todėl PNR direktyva neviršija to, kas griežtai būtina, vien dėl to, kad pagal ją valstybės narės įpareigojamos sistemingai perduoti visų šių keleivių PNR duomenis ir juos iš anksto vertinti.
163 Kalbant apie keleivius, skrendančius iš vienos ES valstybės narės į kitą, PNR direktyvos 2 straipsnio 1 dalyje, siejamoje su jos 10 konstatuojamąja dalimi, numatyta tik galimybė valstybėms narėms išplėsti šioje direktyvoje nustatytos sistemos taikymą ES vidaus skrydžiams.
164 Taigi Sąjungos teisės aktų leidėjas neketino nustatyti valstybėms narėms pareigos išplėsti šia direktyva nustatytos sistemos taikymo ES vidaus skrydžiams, bet, kaip matyti iš šios direktyvos 19 straipsnio 3 dalies, atidėjo sprendimo dėl tokio taikymo srities išplėtimo priėmimą, manydamas, kad prieš jį priimant turi būti atliktas išsamus jo teisinių pasekmių, be kita ko, duomenų subjektų pagrindinėms teisėms, vertinimas.
165 Šiuo klausimu reikia pažymėti, kad PNR direktyvos 19 straipsnio 3 dalyje nustatant, kad jos 19 straipsnio 1 dalyje nurodytoje Komisijos peržiūros ataskaitoje „taip pat peržiūrima PNR duomenų, susijusių su visais arba pasirinktais ES vidaus skrydžiais, privalomo rinkimo ir perdavimo įtraukimo į šios direktyvos taikymo sritį būtinybė, proporcingumas ir veiksmingumas“ ir kad Komisija šiuo klausimu turi atsižvelgti į „valstybių narių, ypač tų valstybių narių, kurios pagal 2 straipsnį taiko šią direktyvą ES vidaus skrydžiams, įgytą patirtį“, aiškiai parodoma, kad, Sąjungos teisės aktų leidėjo nuomone, PNR direktyvoje nustatyta sistema nebūtinai turi būti taikoma visiems ES vidaus skrydžiams.
166 Panašiai PNR direktyvos 2 straipsnio 3 dalyje nustatyta, kad valstybės narės gali nuspręsti taikyti šią direktyvą tik tam tikriems ES vidaus skrydžiams, kai jos mano, kad tai būtina siekiant minėtos direktyvos tikslų, ir bet kuriuo metu pakeisti tokį šių skrydžių pasirinkimą.
167 Bet kuriuo atveju valstybėms narėms suteikta galimybe išplėsti PNR direktyvoje nustatytos sistemos taikymą ES vidaus skrydžiams turi būti naudojamasi, kaip matyti iš jos 22 konstatuojamosios dalies, visiškai paisant Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių. Šiuo klausimu, nors pagal minėtos direktyvos 19 konstatuojamąją dalį valstybės narės turi įvertinti teroristinių ir sunkių nusikaltimų grėsmę, vis dėlto šios teisės įgyvendinimas suponuoja, kad atlikdamos šį vertinimą valstybės narės daro išvadą, jog kyla su tokiais nusikaltimais susijusi grėsmė, galinti pateisinti minėtos direktyvos taikymą ir ES vidaus skrydžiams.
168 Tokiomis aplinkybėmis valstybė narė, pageidaujanti pasinaudoti PNR direktyvos 2 straipsnyje numatyta galimybe visiems ES vidaus skrydžiams pagal to straipsnio 2 dalį arba tik kai kuriems skrydžiams pagal to straipsnio 3 dalį, neatleidžiama nuo pareigos patikrinti, ar šios direktyvos taikymo išplėtimas visiems ar kai kuriems ES vidaus skrydžiams iš tiesų yra būtinas ir proporcingas, siekiant šios direktyvos 1 straipsnio 2 dalyje nurodyto tikslo.
169 Taigi, atsižvelgdama į PNR direktyvos 5–7, 10 ir 22 konstatuojamąsias dalis tokia valstybė narė turi patikrinti, ar šioje direktyvoje numatytas keleivių, kurie skrenda ES vidaus skrydžiais arba tik tam tikrais iš jų, PNR duomenų tvarkymas yra griežtai būtinas atsižvelgiant į Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymo dydį, siekiant užtikrinti Sąjungos vidaus saugumą arba bent jau minėtos valstybės narės vidaus saugumą ir taip apsaugoti asmenų gyvybę ir saugumą.
170 Konkrečiai kalbant apie su teroristiniais nusikaltimais susijusią grėsmę, iš Teisingumo Teismo jurisprudencijos matyti, kad teroro aktai yra vieni iš tokių veiksmų, kuriais gali būti rimtai destabilizuojamos pagrindinės valstybės konstitucinės, politinės, ekonominės ar socialinės struktūros ir kurie visų pirma kelia tiesioginį pavojų visuomenei, gyventojams ar pačiai valstybei, ir kad kiekvienos valstybės narės pagrindinis tikslas yra užkirsti kelią šiai veiklai ir ją sustabdyti, kad būtų apsaugotos esminės valstybės funkcijos ir pagrindiniai visuomenės interesai, siekiant užtikrinti nacionalinį saugumą. Taigi tokia grėsmė savo pobūdžiu, dydžiu ir ją supančių aplinkybių specifika skiriasi nuo bendros ir nuolatinės sunkių nusikaltimų rizikos (šiuo klausimu žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 135 ir 136 punktus; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 61 ir 62 punktus).
171 Taigi tuo atveju, kai, remiantis valstybės narės atliktu vertinimu, nustatoma, kad yra pakankamai konkrečių aplinkybių, leidžiančių manyti, kad valstybei narei kyla tikra, esama arba numanoma terorizmo grėsme, aplinkybė, kad pagal PNR direktyvos 2 straipsnio 1 dalį ši valstybė narė numato taikyti šią direktyvą visiems ES vidaus skrydžiams iš šios valstybės narės ar į ją ribotu laikotarpiu, neviršija to, kas griežtai būtina. Iš tiesų dėl tokios grėsmės egzistavimo galima nustatyti atitinkamų duomenų perdavimo ir tvarkymo bei kovos su terorizmu ryšį (pagal analogiją žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 137 punktą).
172 Sprendimui, kuriame nustatytas toks PNR direktyvos taikymas, turi būti taikoma veiksminga teismo arba nepriklausomos administracinės institucijos, kurios sprendimas turi privalomąją galią, kontrolė, siekiant patikrinti, ar egzistuoja tokia situacija, taip pat, ar laikomasi sąlygų ir garantijų, kurios turi būti numatytos. PNR direktyvos taikymo laikotarpis negali viršyti to, kas griežtai būtina, bet jeigu grėsmė išlieka, gali būti pratęstas (pagal analogiją žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 168 punktą bei 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 58 punktą).
173 Priešingai, nesant tikros, esamos ar nuspėjamos terorizmo grėsmės, kuri kyla atitinkamai valstybei narei, aplinkybė, kad ta valstybė narė beatodairiškai taiko PNR direktyvoje nustatytą sistemą ne tik ES išorės, bet ir visiems jos vidaus skrydžiams, negali būti laikoma neviršijančia to, kas griežtai būtina.
174 Tokiu atveju pagal PNR direktyvą nustatytos sistemos taikymas tam tikriems ES vidaus skrydžiams turėtų apsiriboti tik PNR duomenų iš skrydžių, susijusių su tam tikrais oro maršrutais, kelionių schemomis ar oro uostais, dėl kurių yra tokį taikymą pateisinančių požymių, perdavimu ir tvarkymu. Esant tokiai situacijai, atitinkama valstybė narė, atsižvelgdama į vertinimo, kurį ji privalo atlikti remdamasi šio sprendimo 163–169 punktuose nurodytais reikalavimais, rezultatus, turi atrinkti ES vidaus skrydžius ir reguliariai juos peržiūrėti, atsižvelgdama į pasikeitusias jų atranką pateisinusias sąlygas, kad užtikrintų, kad šioje direktyvoje nustatytos sistemos taikymas ES vidaus skrydžiams niekada neviršytų to, kas griežtai būtina.
175 Iš to, kas išdėstyta, matyti, kad toks PNR direktyvos 2 straipsnio ir 3 straipsnio 4 punkto aiškinimas, atsižvelgiant į Chartijos 7, 8 straipsnius ir 52 straipsnio 1 dalį, užtikrina, kad šios nuostatos neviršytų to, kas griežtai būtina.
5) Dėl išankstinio PNR duomenų vertinimo automatizuotai tvarkant duomenis
176 Pagal PNR direktyvos 6 straipsnio 2 dalies a punktą jame numatytu išankstiniu vertinimu siekiama nustatyti asmenis, kuriuos turi papildomai patikrinti 7 straipsnyje nurodytos kompetentingos valdžios institucijos, nes tokie asmenys gali būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu.
177 Toks išankstinis vertinimas atliekamas dviem etapais. Visų pirma pagal PNR direktyvos 6 straipsnio 3 dalį atitinkamos valstybės narės informacijos apie keleivius skyrius automatizuotai tvarko PNR duomenis, juos lygindamas su duomenimis duomenų bazėse arba iš anksto nustatytais kriterijais. Antra, jeigu toks automatizuotas duomenų tvarkymas lemia teigiamą atitiktį („hit“), pagal šios direktyvos 6 straipsnio 5 dalį minėtas skyrius neautomatizuotomis priemonėmis atlieka individualią peržiūrą, kad patikrintų, ar minėtos direktyvos 7 straipsnyje nurodytos kompetentingos institucijos turi imtis priemonių pagal nacionalinę teisę („match“).
178 Vis dėlto, kaip priminta šio sprendimo 106 punkte, automatizuotam duomenų tvarkymui neišvengiamai būdinga gana didelė paklaida, nes toks tvarkymas atliekamas remiantis nepatikrintais asmens duomenimis ir grindžiamas iš anksto nustatytais kriterijais.
179 Šiomis aplinkybėmis ir atsižvelgiant į Chartijos preambulės ketvirtoje pastraipoje pabrėžtą būtinybę stiprinti pagrindinių teisių apsaugą, turint omenyje, be kita ko, mokslo ir technologijų laimėjimus, kaip nurodyta PNR direktyvos 20 konstatuojamojoje dalyje ir jos 7 straipsnio 6 dalyje, reikia užtikrinti, kad kompetentingos institucijos, remdamosi vien automatizuotu PNR duomenų tvarkymu, negalėtų priimti sprendimo, kuris turėtų neigiamų teisinių pasekmių asmeniui arba kuris jį labai paveiktų. Be to, pagal šios direktyvos 6 straipsnio 6 dalį pats informacijos apie keleivius skyrius gali perduoti PNR duomenis šioms institucijoms, tik atskirai juos peržiūrėjęs neautomatizuotomis priemonėmis. Galiausiai, be šių patikrinimų, kuriuos turi atlikti informacijos apie keleivius skyriai ir kompetentingos institucijos, visais atvejais automatizuoto tvarkymo teisėtumą turi galėti patikrinti duomenų apsaugos pareigūnas ir nacionalinė priežiūros institucija atitinkamai pagal minėtos direktyvos 6 straipsnio 7 dalį ir 15 straipsnio 3 dalies b punktą, taip pat nacionaliniai teismai, nagrinėdami ieškinį pagal tos pačios direktyvos 13 straipsnio 1 dalį.
180 Kaip savo išvados 207 punkte iš esmės pažymėjo generalinis advokatas, nacionalinei priežiūros institucijai, duomenų apsaugos pareigūnui ir informacijos apie keleivius skyriui turi būti suteikti būtini materialiniai ir personalo ištekliai, kad šie galėtų atlikti jiems pagal PNR direktyvą pavestą kontrolę. Be to, svarbu, kad nacionalinės teisės aktuose, kuriais ši direktyva perkeliama į vidaus teisę ir kuriais leidžiamas joje numatytas automatizuotas duomenų tvarkymas, būtų nustatytos aiškios ir tikslios duomenų bazių ir naudojamų analizės kriterijų nustatymo taisyklės, nesuteikiant galimybės išankstinio vertinimo tikslais pasinaudoti kitais šios direktyvos 6 straipsnio 2 dalyje aiškiai nenumatytais metodais.
181 Be to, iš PNR direktyvos 6 straipsnio 9 dalies matyti, kad jos 6 straipsnio 2 dalies a punkte nustatyto išankstinio vertinimo pasekmės nekelia pavojaus Direktyvoje 2004/38 numatytai asmenų, kurie naudojasi laisvo judėjimo teise atitinkamos valstybės narės teritorijoje, teisei atvykti, be to, jos turi atitikti Reglamentą Nr. 562/2006. Taigi pagal PNR direktyvoje nustatytą sistemą kompetentingos institucijos negali apriboti šios teisės daugiau, nei numatyta Direktyvoje 2004/38 ir Reglamente Nr. 562/2006.
i) Dėl PNR duomenų palyginimo su duomenimis duomenų bazėse
182 Pagal PNR direktyvos 6 straipsnio 3 dalies a punktą informacijos apie keleivius skyrius, atlikdamas šios direktyvos 6 straipsnio 2 dalies a punkte nurodytą vertinimą, „gali“ teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais palyginti PNR duomenis su „duomenimis duomenų bazėse, atitinkančiose <…> tikslus“, „įskaitant asmenų ar daiktų, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, duomenų bazes, pagal tokioms duomenų bazėms taikomas Sąjungos, tarptautines ir nacionalines taisykles“.
183 Nors iš pačios PNR direktyvos 6 straipsnio 3 dalies a punkto formuluotės, visų pirma iš žodžių „įskaitant“, matyti, kad duomenų bazės, susijusios su asmenimis ar daiktais, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, yra tarp šioje nuostatoje nurodytų „duomenų bazių <…> atitinkančių tikslus“, šioje nuostatoje nepatikslinama, kokios kitos duomenų bazės taip pat gali būti laikomos „atitinkančiomis <…> tikslus“, atsižvelgiant į šia direktyva siekiamus tikslus. Iš tiesų, kaip savo išvados 217 punkte pažymėjo generalinis advokatas, minėtoje nuostatoje aiškiai nenurodytas duomenų, galinčių būti tokiose bazėse, pobūdis ir jų ryšys su šiais tikslais, taip pat nenurodyta, ar PNR duomenys turi būti lyginami tik su valdžios institucijų tvarkomomis duomenų bazėmis, ar jie taip pat gali būti susieti su privačių asmenų tvarkomomis duomenų bazėmis.
184 Šiomis aplinkybėmis iš pirmo žvilgsnio PNR direktyvos 6 straipsnio 3 dalies a punktas galėtų būti aiškinamas taip, kad PNR duomenys gali būti naudojami kaip paprasti paieškos kriterijai, atliekant analizę įvairiose duomenų bazėse, įskaitant duomenų bazes, kurias administruoja ir eksploatuoja valstybių narių saugumo ir žvalgybos agentūros, siekdamos kitų nei šioje direktyvoje nurodytų tikslų, ir kad tokia analizė gali būti viena iš duomenų gavybos („data mining“) formų. Galimybė atlikti tokias analizes ir palyginti PNR duomenis su tokiomis duomenų bazėmis gali sukelti oro transporto keleiviams įspūdį, kad jų privatus gyvenimas yra stebimas. Taigi, nors šioje nuostatoje numatytas išankstinis vertinimas atliekamas remiantis sąlygiškai ribotais duomenimis, t. y. PNR duomenimis, toks 6 straipsnio 3 dalies a punkto aiškinimas negali būti priimtinas, nes tikėtina, kad tokiu atveju būtų neproporcingai naudojamasi šiais duomenimis ir taip suteikiama galimybė nustatyti tikslų duomenų subjektų profilį vien dėl to, kad šie asmenys ketina keliauti lėktuvu.
185 Taigi, remiantis šio sprendimo 86 ir 87 punktuose priminta jurisprudencija, PNR direktyvos 6 straipsnio 3 dalies a punktą reikia aiškinti taip, kad būtų užtikrintas visiškas Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių paisymas.
186 Šiuo klausimu iš PNR direktyvos 7 ir 15 konstatuojamųjų dalių matyti, kad šios direktyvos 6 straipsnio 3 dalies a punkte numatytas automatizuotas duomenų tvarkymas turi apimti tik tai, kas yra griežtai būtina kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais, kartu užtikrinant aukštą šių pagrindinių teisių apsaugos lygį.
187 Be to, kaip Komisija iš esmės pažymėjo atsakydama į Teisingumo Teismo klausimą, šios nuostatos formuluotė, pagal kurią informacijos apie keleivius skyrius „gali“ palyginti PNR duomenis su jo duomenų bazėse esančiais duomenimis, leidžia informacijos apie keleivius skyriui pasirinkti tvarkymo būdą, kuris neviršytų to, kas griežtai būtina, atsižvelgiant į konkrečią situaciją. Atsižvelgiant į tai, kad būtina laikytis aiškumo ir tikslumo reikalavimų, būtinų Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių apsaugai užtikrinti, informacijos apie keleivius skyrius privalo PNR direktyvos 6 straipsnio 3 dalies a punkte numatytą automatizuotą duomenų tvarkymą apriboti tik duomenų bazėmis, kurias galima nustatyti pagal šią nuostatą. Nors 6 straipsnio 3 dalies a punkte esanti nuoroda į „duomenų bazes, atitinkančias <…> tikslus“ negali būti aiškinama kaip pakankamai aiškiai ir tiksliai nurodanti taip apibūdintas duomenų bazes, kitaip yra nuorodos į „asmenų ar daiktų, kurių ieškoma arba dėl kurių paskelbti perspėjimai, duomenų bazes pagal tokioms duomenų bazėms taikomas Sąjungos, tarptautines ir nacionalines taisykles“ atveju.
188 Taigi, kaip savo išvados 219 punkte iš esmės pažymėjo generalinis advokatas, PNR direktyvos 6 straipsnio 3 dalies a punktas, atsižvelgiant į šias pagrindines teises, turi būti aiškinamas taip, kad asmenų ar daiktų, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, duomenų bazės yra vienintelės duomenų bazės, kuriose esančius duomenis informacijos apie keleivius skyrius gali palyginti su PNR duomenimis.
189 Kalbant apie reikalavimus, kuriuos turi atitikti šios duomenų bazės, reikia pažymėti, kad pagal PNR direktyvos 6 straipsnio 4 dalį išankstinis vertinimas, atliekamas atsižvelgiant į iš anksto nustatytus kriterijus, pagal šios direktyvos 6 straipsnio 3 dalies b punktą turi būti atliktas nediskriminuojant, šie kriterijai turi būti tiksliniai, proporcingi ir konkretūs, o informacijos apie keleivius skyriai, bendradarbiaudami su minėtos direktyvos 7 straipsnyje nurodytomis kompetentingomis institucijomis, turi juos reguliariai nustatyti ir peržiūrėti. Nors tos pačios direktyvos 6 straipsnio 4 dalies, kurioje daroma nuoroda į 6 straipsnio 3 dalies b punktą, formuluotė susijusi tik su PNR duomenų tvarkymu atsižvelgiant į iš anksto nustatytus kriterijus, ši 6 straipsnio 4 dalis turi būti aiškinama atsižvelgiant į Chartijos 7, 8 ir 21 straipsnius taip, kad joje nustatyti reikalavimai mutatis mutandis turi būti taikomi lyginant šiuos duomenis su pirmesniame šio sprendimo punkte nurodytose duomenų bazėse esančiais duomenimis, juo labiau kad šie reikalavimai iš esmės atitinka reikalavimus, nustatytus jurisprudencijoje, suformuotoje 2017 m. liepos 26 d. Nuomonėje 1/15 (ES ir Kanados PNR susitarimas,(EU:C:2017:592, 172 punktas) dėl PNR duomenų palyginimo su duomenų bazėse esančiais duomenimis.
190 Šiuo klausimu reikia patikslinti, kad reikalavimas, susijęs su minėtų duomenų bazių nediskriminaciniu pobūdžiu, be kita ko, reiškia, kad įtraukimas į duomenų bazes, susijusias su asmenimis, kurių ieškoma arba dėl kurių paskelbti perspėjimai, turi būti pagrįstas objektyvias ir nediskriminaciniais kriterijais, apibrėžtais tokioms duomenų bazėms taikomose nacionalinėse, tarptautinėse ir Sąjungos taisyklėse (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 78 punktą).
191 Be to, tam, kad būtų įvykdytas iš anksto nustatytų kriterijų tikslingumo, proporcingumo ir konkretumo reikalavimas, šio sprendimo 188 punkte nurodytos duomenų bazės turi būti eksploatuojamos kovojant su teroristiniais nusikaltimais ir sunkiais nusikaltimais, kurie objektyviai, bent netiesiogiai, susiję su keleivių vežimu oru.
192 Taip pat duomenų bazes, naudojamas pagal PNR direktyvos 6 straipsnio 3 dalies a punktą, atsižvelgiant į tai, kas išdėstyta šio sprendimo 183 ir 184 punktuose, turi valdyti kompetentingos institucijos, nurodytos šios direktyvos 7 straipsnyje, arba, kiek tai susiję su Sąjungos duomenų bazėmis ir tarptautinėmis duomenų bazėmis, šios institucijos turi naudotis jomis, siekdamos kovoti su teroristiniais nusikaltimais ir sunkiais nusikaltimais. Taip yra kalbant apie duomenų bazes, susijusias su asmenimis ar daiktais, kurie yra ieškomi arba dėl kurių paskelbti perspėjimai, pagal tokioms duomenų bazėms taikomas Sąjungos, tarptautines ir nacionalines taisykles.
ii) Dėl PNR duomenų tvarkymo pagal iš anksto nustatytus kriterijus.
193 PNR direktyvos 6 straipsnio 3 dalies b punkte numatyta, kad informacijos apie keleivius skyrius taip pat gali tvarkyti PNR duomenis pagal iš anksto nustatytus kriterijus. Iš šios direktyvos 6 straipsnio 2 dalies a punkto matyti, kad išankstiniu vertinimu, taigi, ir PNR duomenų tvarkymu pagal iš anksto nustatytus kriterijus, iš esmės siekiama nustatyti asmenis, kurie gali būti susiję su teroristiniu nusikaltimu arba sunkiais nusikaltimais.
194 Kalbant apie kriterijus, kuriuos informacijos apie keleivius skyrius gali naudoti šiuo tikslu, pirmiausia reikia pažymėti, kad pačioje PNR direktyvos 6 straipsnio 3 dalies b punkto formuluotėje numatyta, kad šie kriterijai turi būti „iš anksto nustatyti“. Kaip savo išvados 228 punkte pažymėjo generalinis advokatas, pagal šį reikalavimą draudžiama naudoti dirbtinio intelekto technologijas mašininio mokymosi („machine learning“) sistemos kontekste, nes tokios technologijos be žmogaus įsikišimo ir kontrolės gali pakeisti vertinimo procesą ir konkrečius vertinimo kriterijus, kuriais grindžiamas jų taikymo rezultatas ir šių kriterijų reikšmė.
195 Svarbu pridurti, kad naudojant tokias technologijas kiltų pavojus, kad individuali teigiamų atitikčių peržiūra ir teisėtumo patikra, kuri būtina pagal PNR direktyvos nuostatas, taptų neveiksminga. Iš tiesų, kaip savo išvados 228 punkte nurodė generalinis advokatas, atsižvelgiant į neskaidrias dirbtinio intelekto technologijas, gali būti neįmanoma suprasti, kodėl taikant tam tikrą programą pasiektas teigiamas rezultatas. Tokiomis aplinkybėmis naudojant tokias technologijas iš duomenų subjektų galėtų būti atimta teisė į Chartijos 47 straipsnyje įtvirtintą veiksmingą teisminę gynybą, kurios aukštą lygį siekiama užtikrinti PNR direktyva, kaip nurodyta jos 28 konstatuojamojoje dalyje, visų pirma siekiant užginčyti nediskriminacinį gautų rezultatų pobūdį.
196 Be to, kiek tai susiję su reikalavimais, kylančiais iš PNR direktyvos 6 straipsnio 4 dalies, šios nuostatos pirmame sakinyje nurodyta, kad išankstinis vertinimas pagal iš anksto nustatytus kriterijus atliekamas nediskriminuojant, o jos ketvirtame sakinyje patikslinta, kad šie kriterijai jokiu būdu nėra nustatomi asmens rasės ar etninės kilmės, politinių pažiūrų, religijos ar filosofinių įsitikinimų, narystės profesinėse sąjungose, sveikatos, lytinio gyvenimo ar seksualinės orientacijos pagrindu.
197 Taigi valstybės narės negali naudoti iš anksto nustatytų kriterijų, pagrįstų ankstesniame šio sprendimo punkte nurodytomis savybėmis, kurių naudojimas galėtų sukelti diskriminaciją. Šiuo klausimu iš PNR direktyvos 6 straipsnio 4 dalies ketvirto sakinio formuluotės, pagal kurią iš anksto nustatyti kriterijai „jokiomis aplinkybėmis“ nėra pagrįsti šiomis savybėmis, matyti, kad ši nuostata susijusi tiek su tiesiogine, tiek su netiesiogine diskriminacija. Be to, tokį aiškinimą patvirtina Chartijos 21 straipsnio 1 dalis, pagal kurią draudžiama „bet kokia“ diskriminacija dėl šių savybių ir į kurią atsižvelgiant turi būti aiškinama minėta nuostata. Tokiomis aplinkybėmis kriterijai iš anksto turi būti nustatyti taip, kad, nors ir būtų suformuluoti neutraliai, juos taikant saugomų savybių turintys asmenys neatsidurtų ypač nepalankioje padėtyje.
198 Iš PNR direktyvos 6 straipsnio 4 dalies antrame sakinyje nustatytų reikalavimų dėl tikslingo, proporcingo ir konkretaus iš anksto nustatytų kriterijų pobūdžio matyti, kad išankstiniam vertinimui naudojami kriterijai turi būti nustatyti taip, kad būtų nukreipti konkrečiai į tuos asmenis, dėl kurių gali kilti pagrįstų įtarimų, kad jie yra susiję su teroristiniais nusikaltimais ar sunkiais nusikaltimais, kaip nurodyta šioje direktyvoje. Tokį aiškinimą patvirtina pati jos 6 straipsnio 2 dalies a punkto formuluotė, kurioje pabrėžiama: „kadangi“ duomenų subjektai „gali“ būti susiję su teroristiniu nusikaltimu arba sunkiu nusikaltimu. Be to, minėtos direktyvos 7 konstatuojamojoje dalyje patikslinta, kad vertinimo kriterijų kūrimas ir taikymas turėtų būti apribotas, kad apimtų tik teroristinius nusikaltimus bei sunkius nusikaltimus, „kurių atžvilgiu tokių kriterijų naudojimas yra aktualus“.
199 Siekdami taip nustatyti asmenis ir atsižvelgdami į diskriminacijos riziką, kurią kelia kriterijai, pagrįsti PNR direktyvos 6 straipsnio 4 dalies ketvirtame sakinyje nurodytomis savybėmis, informacijos apie keleivius skyriai ir kompetentingos institucijos iš esmės negali remtis šiomis savybėmis. Priešingai, kaip per posėdį pažymėjo Vokietijos vyriausybė, jie gali, be kita ko, atsižvelgti į asmenų faktinio elgesio, susijusio su kelionių lėktuvu rengimu ir vykdymu, ypatumus, kurie, remiantis kompetentingų valdžios institucijų konstatuotais faktais ir patirtimi, gali rodyti, kad taip besielgiantys asmenys gali dalyvauti teroristiniuose ar sunkiuose nusikaltimuose.
200 Šiomis aplinkybėmis, kaip atsakydama į Teisingumo Teismo klausimą pažymėjo Komisija, kriterijai iš anksto turi būti nustatyti taip, kad būtų atsižvelgta tiek į „kaltinamuosius“, tiek į „išteisinamuosius“ aspektus, nes tai gali prisidėti prie šių kriterijų patikimumo ir, be kita ko, užtikrinti, kad jie būtų proporcingi, kaip to reikalaujama pagal PNR direktyvos 6 straipsnio 4 dalies antrą sakinį.
201 Galiausiai pagal šios direktyvos 6 straipsnio 4 dalies trečią sakinį iš anksto nustatyti kriterijai turi būti reguliariai peržiūrimi. Atliekant tokią peržiūrą šie kriterijai turi būti atnaujinami atsižvelgiant į sąlygų, kuriomis remiantis į juos buvo atsižvelgta atliekant išankstinį vertinimą, pokyčius, taip sudarant galimybę, be kita ko, reaguoti į kovos su šio sprendimo 157 punkte nurodytais teroristiniais nusikaltimais ir sunkiais nusikaltimais pokyčius (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 82 punktą). Konkrečiai kalbant, atliekant minėtą peržiūrą reikia atsižvelgti į patirtį, įgytą taikant iš anksto nustatytus kriterijus, kad būtų kuo labiau sumažintas „klaidingų teigiamų“ rezultatų skaičius, ir taip prisidėti prie griežtai būtino šių kriterijų taikymo.
iii) Dėl automatizuotam PNR duomenų tvarkymui taikomų apsaugos priemonių
202 Reikalavimų, kurie pagal PNR direktyvos 6 straipsnio 4 dalį taikomi automatizuotam PNR duomenų tvarkymui, laikytis būtina ne tik nustatant ir peržiūrint duomenų bazes ir šioje nuostatoje numatytus iš anksto nustatytus kriterijus, bet ir per visą šių duomenų tvarkymo procesą, kaip savo išvados 230 punkte nurodė generalinis advokatas.
203 Konkrečiai kalbant apie iš anksto nustatytus kriterijus, pirmiausia reikėtų patikslinti, kad nors, kaip nurodyta PNR direktyvos 7 konstatuojamojoje dalyje, informacijos apie keleivius skyrius turi apibrėžti vertinimo kriterijus taip, kad remiantis toje direktyvoje nustatyta sistema kuo rečiau būtų klaidingai nustatoma nekaltų asmenų tapatybė, pagal tos direktyvos 6 straipsnio 5 ir 6 dalis informacijos apie keleivius skyrius taip pat turi neautomatizuotomis priemonėmis atlikti individualią bet kokio teigiamo rezultato peržiūrą, kad, kiek įmanoma, būtų nustatyti galimi „klaidingi teigiami rezultatai“. Be to, nepaisant to, kad informacijos apie keleivius skyrius nediskriminaciniu būdu turi nustatyti vertinimo kriterijus, jis taip pat privalo atlikti tokią peržiūrą, kad būtų išvengta galimų diskriminacinio pobūdžio rezultatų. Informacijos apie keleivius skyrius turi laikytis tos pačios pareigos atlikti peržiūrą, kai PNR duomenys lyginami su duomenimis duomenų bazėse.
204 Taigi informacijos apie keleivius skyriai turi susilaikyti nuo tokio automatizuoto duomenų tvarkymo rezultatų perdavimo PNR direktyvos 7 straipsnyje nurodytoms kompetentingoms institucijoms, jei, atsižvelgiant į šio sprendimo 198 punkte išdėstytas aplinkybes, atlikus tokią peržiūrą jie neturi pakankamo pagrindo pagrįstai įtarti, kad asmenys, kurių tapatybė nustatyta atliekant tokį automatizuotą duomenų tvarkymą, yra susiję su teroristiniais nusikaltimais ar sunkiais nusikaltimais, arba jei turi įrodymų, kad toks duomenų tvarkymas lemia diskriminacinio pobūdžio rezultatus.
205 Kalbant apie patikrinimus, kuriuos šiuo tikslu turi atlikti informacijos apie keleivius skyrius, iš PNR direktyvos 6 straipsnio 5 ir 6 dalių, siejamų su jos 20 ir 22 konstatuojamosiomis dalimis, matyti, kad valstybės narės turi numatyti aiškias ir tikslias taisykles, kuriomis vadovautųsi už individualią peržiūrą atsakingi pareigūnai, atlikdami analizę, ir kurios reglamentuotų tokią analizę, siekiant užtikrinti pagarbą Chartijos 7, 8 ir 21 straipsniuose įtvirtintoms pagrindinėms teisėms, ir, be kita ko, nuoseklią informacijos apie keleivius skyrių administracinę praktiką, laikantis nediskriminavimo principo.
206 Konkrečiai kalbant, atsižvelgiant į šio sprendimo 106 punkte nurodytą pakankamai didelį „klaidingų teigiamų“ rezultatų skaičių, valstybės narės turi įsitikinti, kad informacijos apie keleivius skyriai aiškiai ir tiksliai nustato objektyvius peržiūros kriterijus, leidžiančius jų pareigūnams patikrinti, pirma, ar teigiama atitiktis („hit“) iš tikrųjų susijusi su asmeniu, kurį galima sieti su teroristiniais nusikaltimais arba sunkiais nusikaltimais, nurodytais šio sprendimo 157 punkte, todėl ją toliau turi nagrinėti PNR direktyvos 7 straipsnyje nurodytos kompetentingos institucijos, taip pat, antra, ar toje direktyvoje numatytos automatizuoto duomenų tvarkymo operacijos, ypač iš anksto nustatyti kriterijai ir naudojamos duomenų bazės, nėra diskriminacinio pobūdžio.
207 Šiomis aplinkybėmis valstybės narės turi užtikrinti, kad pagal PNR direktyvos 13 straipsnio 5 dalį, siejamą su jos 37 konstatuojamąja dalimi, informacijos apie keleivius skyrius įregistruotų bet kokią PNR duomenų tvarkymo operaciją, atliktą iš anksto vertinant duomenis, įskaitant atvejus, kai atliekama individuali peržiūra neautomatizuotomis priemonėmis, siekiant patikrinti tokios tvarkymo operacijos teisėtumą ir vykdyti kontrolę.
208 Be to, pagal PNR direktyvos 7 straipsnio 6 dalies pirmą sakinį kompetentingos valdžios institucijos negali priimti jokių tik automatizuotu PNR duomenų tvarkymu grindžiamų sprendimų, kurie turėtų neigiamų teisinių pasekmių asmeniui arba kurie jį labai paveiktų, o tai reiškia, kad atlikdamos išankstinį vertinimą jos turi atsižvelgti ir, jei reikia, teikti pirmenybę individualios peržiūros, kurią neautomatizuotomis priemonėmis atlieka informacijos apie keleivius skyriai, rezultatams, palyginti su automatizuoto tvarkymo rezultatais. Šio 7 straipsnio 6 dalies antrame sakinyje patikslinama, kad tokie sprendimai neturi būti diskriminuojantys.
209 Šiuo tikslu kompetentingos institucijos turi užtikrinti tokio automatizuoto duomenų tvarkymo (be kita ko, jo nediskriminacinį pobūdį), ir individualios peržiūros teisėtumą.
210 Konkrečiai kalbant, kompetentingos institucijos turi užtikrinti, kad suinteresuotas asmuo (administracinės procedūros metu nebūtinai suteikiant jam galimybę susipažinti su iš anksto nustatytais vertinimo kriterijais ir juos taikančiomis programomis) galėtų suprasti šių kriterijų ir programų veikimą, kad žinodamas visas faktines aplinkybes galėtų nuspręsti, ar pasinaudoti PNR direktyvos 13 straipsnio 1 dalyje įtvirtinta savo teise į teisminę gynybą ir prireikus užginčyti neteisėtą, visų pirma diskriminacinį, šių kriterijų pobūdį (pagal analogiją žr. 2020 m. lapkričio 24 d. Sprendimo Minister van Buitenlandse Zaken, C‑225/19 ir C‑226/19, EU:C:2020:951, 43 punktą ir jame nurodytą jurisprudenciją). Tas pats pasakytina apie šio sprendimo 206 punkte nurodytus peržiūros kriterijus.
211 Galiausiai nagrinėdamas skundą pagal PNR direktyvos 13 straipsnio 1 dalį teismas, atsakingas už kompetentingų institucijų priimto sprendimo teisėtumo kontrolę, ir suinteresuotasis asmuo (išskyrus atvejus, kai kyla grėsmė valstybės saugumui) turi turėti galimybę susipažinti su visais motyvais ir įrodymais, kuriais remiantis buvo priimtas sprendimas (pagal analogiją žr. 2013 m. birželio 4 d. Sprendimo ZZ, C‑300/11, EU:C:2013:363, 54–59 punktus), įskaitant iš anksto nustatytus vertinimo kriterijus ir informaciją apie šiuos kriterijus taikančių programų veikimą.
212 Be to, pagal PNR direktyvos 6 straipsnio 7 dalį duomenų apsaugos pareigūnas, o pagal 15 straipsnio 3 dalies b punktą – nacionalinė priežiūros institucija turi užtikrinti automatizuoto tvarkymo, kurį atlieka informacijos apie keleivius skyriai, iš anksto vertindami duomenis, teisėtumo kontrolę; tokia kontrolė, be kita ko, apima nediskriminacinį tokių tvarkymo operacijų pobūdį. Nors pirmoje iš šių nuostatų šiuo klausimu patikslinama, kad duomenų apsaugos pareigūnas turi prieigą prie visų informacijos apie keleivius skyriaus tvarkomų duomenų, ši prieiga būtinai turi apimti ir iš anksto nustatytus kriterijus bei duomenų bazes, kuriomis naudojasi šis skyrius, kad būtų garantuotas duomenų apsaugos veiksmingumas ir aukštas duomenų apsaugos lygis, kurį duomenų apsaugos pareigūnas turi užtikrinti pagal šios direktyvos 37 konstatuojamąją dalį. Be to, nacionalinės priežiūros institucijos pagal šios direktyvos 15 straipsnio 3 dalies b punktą atliekami tyrimai, patikrinimai ir auditas taip pat gali būti susiję su šiais iš anksto nustatytais kriterijais ir duomenų bazėmis.
213 Iš viso to, kas išdėstyta, matyti, kad PNR direktyvos nuostatas, kuriomis reglamentuojamas išankstinis PNR duomenų vertinimas pagal šios direktyvos 6 straipsnio 2 dalies a punktą, galima aiškinti taip, kad jos atitinka Chartijos 7, 8 ir 21 straipsnius, jeigu laikomasi to, kas griežtai būtina.
6) Dėl PNR duomenų atskleidimo ir vėlesnio vertinimo
214 Pagal PNR direktyvos 6 straipsnio 2 dalies b punktą kompetentingų institucijų prašymu PNR duomenys taip pat gali būti atskleisti šioms institucijoms ir būti įvertinti po numatyto atvykimo į valstybę narę arba išvykimo iš jos.
215 Kalbant apie sąlygas, kurioms esant gali būti atskleidžiami ir vertinami tokie duomenys, iš šios nuostatos matyti, kad informacijos apie keleivius skyrius gali tvarkyti PNR duomenis, kad „kiekvienu konkrečiu atveju“ galėtų atsakyti į „tinkamai pagrįstą ir pakankamais pagrindais paremtą kompetentingų valdžios institucijų prašymą“ atskleisti ir tvarkyti duomenis „teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais“. Be to, kai prašymas pateikiamas praėjus daugiau kaip šešiems mėnesiams po PNR duomenų perdavimo informacijos apie keleivius skyriui (pasibaigus šiam laikotarpiui visi PNR duomenys yra nuasmeninami, užmaskuojant tam tikrus jų elementus pagal PNR direktyvos 12 straipsnio 2 dalį), tos direktyvos 12 straipsnio 3 dalyje nustatyta, kad atskleisti visus PNR duomenis, taigi, ir nenuasmenintą jų versiją, leidžiama tik tuo atveju, jei įvykdytos dvi sąlygos: pirma, yra pagrįstų priežasčių manyti, kad tai būtina tos direktyvos 6 straipsnio 2 dalies b punkte nurodytais tikslais, ir, antra, jei tokį atskleidimą patvirtina teisminė institucija arba kita pagal nacionalinę teisę kompetentinga nacionalinė institucija.
216 Šiuo klausimu visų pirma iš pačios PNR direktyvos 6 straipsnio 2 dalies b punkto formuluotės matyti, kad informacijos apie keleivius skyrius negali sistemingai atskleisti ir vėliau vertinti visų oro transporto keleivių PNR duomenų, jis gali tik „kiekvienu konkrečiu atveju“ atsakyti į prašymus dėl tokio duomenų tvarkymo „konkrečiais atvejais“. Kadangi šioje nuostatoje kalbama apie „konkrečius atvejus“, šios duomenų tvarkymo operacijos nebūtinai turi apsiriboti tik vieno oro transporto keleivio PNR duomenimis, bet, kaip Komisija pažymėjo atsakydama į Teisingumo Teismo klausimą, taip pat gali būti susijusios su keliais asmenimis, su sąlyga, kad tie asmenys turi tam tikrų bendrų požymių, leidžiančių juos kartu laikyti „konkrečiu atveju“ siekiamo duomenų atskleidimo ir įvertinimo tikslais.
217 Kalbant apie materialines sąlygas, kurios būtinos norint atskleisti ir vėliau vertinti oro transporto keleivių PNR duomenis, pažymėtina, kad nors PNR direktyvos 6 straipsnio 2 dalies b punkte ir 12 straipsnio 3 dalies a punkte atitinkamai nurodytos sąvokos „pakankami pagrindai“ ir „pagrįstai manoma“, aiškiai neatskleidžiant šių pagrindų pobūdžio, iš pirmosios nuostatos formuluotės, kurioje išvardyti šios direktyvos 1 straipsnio 2 dalyje nurodyti tikslai, matyti, kad PNR duomenų atskleidimas ir vėlesnis jų vertinimas gali būti atliekamas tik siekiant patikrinti, ar yra požymių dėl galimo duomenų subjektų dalyvavimo vykdant teroristinius ar sunkius nusikaltimus, kurie, kaip matyti iš šio sprendimo 157 punkto, yra objektyviai (bent netiesiogiai) susiję su keleivių vežimu oro transportu.
218 Vis dėlto PNR direktyvoje nustatytos sistemos kontekste PNR duomenų atskleidimas ir tvarkymas pagal šios direktyvos 6 straipsnio 2 dalies b punktą yra susiję su asmenų, kurie jau buvo iš anksto įvertinti prieš jiems atvykstant į atitinkamą valstybę narę arba prieš numatomą jų išvykimą iš jos, duomenimis. Be to, prašymas atlikti vėlesnį vertinimą gali būti susijęs, be kita ko, su asmenimis, kurių PNR duomenys nebuvo perduoti kompetentingoms institucijoms atlikus išankstinį vertinimą, jeigu nebuvo nustatyta aplinkybių, rodančių, kad šie asmenys gali būti siejami su teroristiniais nusikaltimais arba sunkiais nusikaltimais, kurie objektyviai (bent netiesiogiai) turi ryšį su keleivių vežimu oru. Šiomis aplinkybėmis tokių duomenų atskleidimas ir tvarkymas, siekiant juos įvertinti vėliau, turi būti grindžiamas naujomis tokį naudojimą pateisinančiomis aplinkybėmis (šiuo klausimu žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592 200 punktą ir jame nurodytą jurisprudenciją).
219 Kalbant apie aplinkybių, galinčių pateisinti PNR duomenų atskleidimą ir tvarkymą, siekiant atlikti vėlesnį jų vertinimą, pobūdį, iš suformuotos jurisprudencijos matyti: kadangi bendra prieiga prie visų saugomų duomenų, nepaisant to, ar egzistuoja koks nors bent jau netiesioginis ryšys su siekiamu tikslu, negali būti laikoma neviršijančia to, kas griežtai būtina, atitinkami teisės aktai (Sąjungos teisės aktas ar jį į nacionalinę teisę perkeliantis nacionalinės teisės aktas) turi būti grindžiami objektyviais kriterijais, kad būtų nustatytos aplinkybės ir sąlygos, kurioms esant kompetentingoms nacionalinėms institucijoms turi būti suteikta prieiga prie nagrinėjamų duomenų. Šiuo klausimu pabrėžtina, kad, kalbant apie kovą su nusikalstamumu, iš principo prieiga gali būti suteikta tik prie asmenų, kurie įtariami planuojantys sunkų nusikaltimą, jį darantys arba padarę, arba vienaip ar kitaip dalyvavę jį darant, duomenų. Vis dėlto ypatingais atvejais, pavyzdžiui, kai terorizmo veikla kėsinamasi į gyvybinius nacionalinio saugumo, gynybos arba visuomenės saugumo interesus, prieiga ir prie kitų asmenų duomenų gali būti leidžiama, jeigu turima objektyvios informacijos, dėl kurios galima manyti, kad konkrečiu atveju šie duomenys iš tiesų prisidės kovojant su tokia veikla (2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių ryšių duomenų sąlygos), C‑746/18, EU:C:2021:152, 50 punktas ir jame nurodyta jurisprudencija; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 105 punktas).
220 Taigi PNR direktyvos 6 straipsnio 2 dalies b punkte ir 12 straipsnio 3 dalies a punkte vartojamos sąvokos „pakankami pagrindai“ ir „pagrįstai manoma“, atsižvelgiant į Chartijos 7 ir 8 straipsnius, turi būti aiškinamos kaip susijusios su objektyvia informacija, galinčia sukelti pagrįstą įtarimą, kad duomenų subjektas yra kaip nors siejamas su sunkiais nusikaltimais, objektyviai (bent netiesiogiai) turinčiais ryšį su keleivių vežimu oro transportu, o teroristinių nusikaltimų, tokiu ryšiu susijusių su keleivių vežimu oro transportu, atveju šis reikalavimas tenkinamas, kai yra objektyvių duomenų, leidžiančių manyti, kad konkrečiu atveju PNR duomenys galėtų veiksmingai padėti kovoti su tokiais nusikaltimais.
221 Galiausiai, kalbant apie PNR duomenų atskleidimo ir tvarkymo vėlesnio vertinimo tikslais procedūrines sąlygas, pagal PNR direktyvos 12 straipsnio 3 dalies b punktą reikalaujama, kad tais atvejais, kai prašymas pateikiamas praėjus daugiau nei šešiems mėnesiams po jų perdavimo informacijos apie keleivius skyriui, t. y. kai pagal šio straipsnio 2 dalį šie duomenys buvo nuasmeninti, užmaskuojant toje 2 dalyje nurodytus elementus, visų PNR duomenų, taigi, ir nuasmenintų duomenų, atskleidimą patvirtintų teismas arba kita pagal nacionalinę teisę kompetentinga nacionalinė institucija. Tokiomis aplinkybėmis šios institucijos turi išsamiai išnagrinėti prašymo pagrįstumą ir, be kita ko, patikrinti, ar minėtam prašymui pagrįsti pateikti įrodymai tenkina ankstesniame punkte nurodytą materialinę sąlygą, susijusią su „pagrįstų motyvų“ buvimu.
222 Tiesa, tuo atveju, kai prašymas atskleisti ir vėliau įvertinti PNR duomenis pateikiamas prieš pasibaigiant šešių mėnesių terminui po šių duomenų perdavimo, PNR direktyvos 6 straipsnio 2 dalies b punkte aiškiai nenumatyta tokios procedūrinės sąlygos. Vis dėlto aiškinant PNR direktyvos 6 straipsnio 2 dalies b punktą reikia atsižvelgti į šios direktyvos 25 konstatuojamąją dalį, iš kurios matyti, kad numatydamas minėtą procedūrinę sąlygą Sąjungos teisės aktų leidėjas siekė „užtikrinti aukščiausio lygio duomenų apsaugą“, kiek tai susiję su prieiga prie PNR duomenų tokia forma, kuri leistų tiesiogiai nustatyti duomenų subjekto tapatybę. Kiekvienas prašymas atskleisti duomenis ir atlikti vėlesnį vertinimą apima tokią prieigą prie šių duomenų, neatsižvelgiant į tai, ar šis prašymas pateiktas prieš pasibaigiant šešių mėnesių laikotarpiui po PNR duomenų perdavimo informacijos apie keleivius skyriui, ar pasibaigus šiam laikotarpiui.
223 Siekiant praktiškai užtikrinti visapusišką pagarbą pagrindinėms teisėms pagal PNR direktyvą sukurtoje sistemoje ir laikytis šio sprendimo 218 ir 219 punktuose išdėstytų sąlygų, svarbu, kad PNR duomenų atskleidimui vėlesnio jų vertinimo tikslais, išskyrus tinkamai pagrįstus skubos atvejus, būtų taikoma išankstinė teismo arba nepriklausomos administracinės institucijos kontrolė, o teismas arba tokia institucija sprendimą priimtų gavę pagrįstą kompetentingų institucijų prašymą, pateiktą, inter alia, vykstant nusikalstamų veikų prevencijos, nustatymo arba patraukimo už jas baudžiamojon atsakomybėn procesams. Tinkamai pagrįstais skubos atvejais tokią kontrolę reikia atlikti per trumpą laiką (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 202 punktą ir jame nurodytą jurisprudenciją; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 110 punktą).
224 Tokiomis aplinkybėmis PNR direktyvos 12 straipsnio 3 dalies b punkte numatytas išankstinės kontrolės reikalavimas prašymams atskleisti PNR duomenis, pateiktiems pasibaigus šešių mėnesių laikotarpiui po tų duomenų perdavimo informacijos apie keleivius skyriams, mutatis mutandis turėtų būti taikomas ir tuo atveju, kai prašymas atskleisti duomenis pateikiamas iki to laikotarpio pabaigos.
225 Be to, nors PNR direktyvos 12 straipsnio 3 dalies b punkte aiškiai nenurodyti reikalavimai, kuriuos turi atitikti už išankstinę kontrolę atsakinga institucija, pagal suformuotą jurisprudenciją, siekiant užtikrinti, kad Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymas, kylantis dėl prieigos prie asmens duomenų, neviršytų to, kas griežtai būtina, ši institucija turi turėti visus įgaliojimus ir teikti garantijas, būtinas įvairių nagrinėjamų interesų ir teisių suderinimui užtikrinti. Konkrečiau kalbant apie ikiteisminį tyrimą, tokiai kontrolei vykdyti reikia, kad ši institucija galėtų užtikrinti teisingą pusiausvyrą tarp interesų, susijusių su tyrimo poreikiais kovojant su nusikalstamumu, ir asmenų, prie kurių duomenų suteikiama prieiga, pagrindinių teisių į privataus gyvenimo gerbimą ir asmens duomenų apsaugą (2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 107 punktas ir jame nurodyta jurisprudencija).
226 Šiuo tikslu tokiai institucijai turi būti suteiktas statusas, leidžiantis jai objektyviai ir nešališkai veikti vykdant savo funkcijas, todėl ji turi būti apsaugota nuo bet kokios išorinės įtakos. Šis nepriklausomumo reikalavimas reiškia, kad tokia institucija turi trečiojo asmens statusą prieigos prie duomenų prašančio subjekto atžvilgiu, kad ji galėtų vykdyti kontrolę be jokios išorinės įtakos. Konkrečiai baudžiamosios teisės srityje nepriklausomumo reikalavimas reiškia, kad už šią išankstinę kontrolę atsakinga institucija, pirma, nedalyvauja vykdant nagrinėjamą ikiteisminį tyrimą, antra, turi būti nešališka baudžiamojo proceso šalims (šiuo klausimu žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 108 punktą ir jame nurodytą jurisprudenciją).
227 Taigi PNR direktyvos nuostatas, kuriomis reglamentuojamas PNR duomenų atskleidimas ir vėlesnis vertinimas pagal šios direktyvos 6 straipsnio 2 dalies b punktą, galima aiškinti taip, kad jos atitinka Chartijos 7, 8 ir 21 straipsnius, jeigu laikomasi to, kas griežtai būtina.
228 Remiantis tuo, kas išdėstyta, kadangi PNR direktyvos aiškinimas, atsižvelgiant į Chartijos 7, 8, 21 straipsnius ir 52 straipsnio 1 dalį, užtikrina šios direktyvos suderinamumą su minėtais Chartijos straipsniais, išnagrinėjus antrąjį–ketvirtąjį ir šeštąjį klausimus nenustatyta nieko, kas galėtų paveikti šios direktyvos galiojimą.
C. Dėl penktojo klausimo
229 Penktuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas siekia išsiaiškinti, ar PNR direktyvos 6 straipsnis, siejamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriais leidžiama tvarkyti pagal šią direktyvą surinktus PNR duomenis žvalgybos ir saugumo tarnybų atliekamo stebėjimo tikslais.
230 Iš prašymo priimti prejudicinį sprendimą matyti, kad pateikdamas šį klausimą prašymą priimti prejudicinį sprendimą pateikęs teismas konkrečiai nurodo veiklos rūšis, kurios patenka į Sûreté de l’État (Valstybės saugumo tarnyba, Belgija) ir Service général du renseignement et de la sécurité (Generalinė žvalgybos ir saugumo tarnyba, Belgija) veiklos sritį, kai jos vykdo atitinkamas savo funkcijas, susijusias su nacionalinio saugumo užtikrinimu.
231 Šiuo klausimu siekdamas laikytis, be kita ko, Chartijos 52 straipsnio 1 dalyje įtvirtintų teisėtumo ir proporcingumo principų Sąjungos teisės aktų leidėjas numatė aiškias ir tikslias taisykles, reglamentuojančias PNR direktyvoje numatytų priemonių, kuriomis suvaržomos Chartijos 7 ir 8 straipsniuose įtvirtintos pagrindinės teisės, tikslus.
232 Iš tiesų PNR direktyvos 1 straipsnio 2 dalyje aiškiai nurodyta, kad pagal šią direktyvą surinkti PNR duomenys gali būti tvarkomi „teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, kaip numatyta [šios direktyvos] 6 straipsnio 2 dalies a, b ir c punktuose“. Pastaroji nuostata patvirtina 1 straipsnio 2 dalyje įtvirtintą principą, nes joje sistemingai vartojamos sąvokos „teroristinis nusikaltimas“ ir „sunkus nusikaltimas“.
233 Taigi iš šių nuostatų formuluotės aiškiai matyti, kad joje pateiktas PNR duomenų tvarkymo pagal PNR direktyvą tikslų sąrašas yra baigtinis.
234 Tokį aiškinimą, be kita ko, patvirtina PNR direktyvos 11 konstatuojamoji dalis, pagal kurią PNR duomenų tvarkymas turi būti proporcingas „konkretiems saugumo tikslams“, kurių siekiama šia direktyva, ir jos 7 straipsnio 4 dalis, pagal kurią informacijos apie keleivius skyrių gauti PNR duomenys ir šių duomenų tvarkymo rezultatas gali būti toliau tvarkomi „konkrečiais teroristinių nusikaltimų ar sunkių nusikaltimų prevencijos, nustatymo, tyrimo ar patraukimo už juos baudžiamojon atsakomybėn tikslais“.
235 Be to, išsamus PNR direktyvos 1 straipsnio 2 dalyje nurodytų tikslų pobūdis taip pat reiškia, kad PNR duomenys negali būti saugomi vienoje duomenų bazėje, su kuria galima susipažinti siekiant tiek šių, tiek kitų tikslų. Iš tiesų šių duomenų saugojimas tokioje duomenų bazėje keltų pavojų, kad tie duomenys bus naudojami kitais tikslais, nei nurodyti 1 straipsnio 2 dalyje.
236 Nagrinėjamu atveju, kadangi, prašymą priimti prejudicinį sprendimą pateikusio teismo teigimu, pagrindinėje byloje nagrinėjamame nacionalinės teisės akte žvalgybos ir saugumo tarnybų nurodytos veiklos vykdymas pripažįstamas PNR duomenų tvarkymo tikslu, taip šį tikslą priskiriant prie teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, atskleidimo, tyrimo ir baudžiamojo persekiojimo už juos tikslų, šiais teisės aktais gali būti pažeistas išsamus tikslų, kurių siekiama tvarkant PNR duomenis pagal PNR direktyvą, sąrašas, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.
237 Taigi į penktąjį klausimą reikia atsakyti: PNR direktyvos 6 straipsnis, siejamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriais leidžiama tvarkyti pagal šią direktyvą surinktus PNR duomenis kitais tikslais nei aiškiai nurodytais minėtos direktyvos 1 straipsnio 2 dalyje.
D. Dėl septintojo klausimo
238 Septintuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar PNR direktyvos 12 straipsnio 3 dalies b punktas turi būti aiškinamas taip, kad juo draudžiami nacionalinės teisės aktai, pagal kuriuos institucija, įsteigta kaip informacijos apie keleivius skyrius, taip pat yra kompetentinga nacionalinė institucija, įgaliota patvirtinti PNR duomenų atskleidimą, praėjus šešių mėnesių laikotarpiui po šių duomenų perdavimo informacijos apie keleivius skyriams.
239 Pirmiausia reikia pažymėti, kad Belgijos vyriausybei kyla abejonių dėl Teisingumo Teismo jurisdikcijos atsakyti į šį klausimą, kaip jį suformulavo prašymą priimti prejudicinį sprendimą pateikęs teismas, nes tik pastarasis teismas turi jurisdikciją aiškinti nacionalinės teisės nuostatas, visų pirma vertinti reikalavimus, kylančius iš 2016 m. gruodžio 25 d. įstatymo, atsižvelgiant į PNR direktyvos 12 straipsnio 3 dalies b punktą.
240 Šiuo klausimu pakanka pažymėti, kad prašymą priimti prejudicinį sprendimą pateikęs teismas prašo išaiškinti Sąjungos teisės nuostatą. Be to, pagal SESV 267 straipsnyje numatytą procedūrą nacionalines nuostatas turi aiškinti nacionaliniai teismai, o ne Teisingumo Teismas; pastarajam nepriklauso spręsti, ar vidaus teisės normos suderinamos su Sąjungos teisės nuostatomis, tačiau Teisingumo Teismas turi jurisdikciją pateikti nacionaliniam teismui visapusį Sąjungos teisės išaiškinimą, kuris šiam teismui leistų įvertinti vidaus teisės normų atitiktį Sąjungos teisės aktams (2020 m. balandžio 30 d. Sprendimo CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, 28 punktas ir jame nurodyta jurisprudencija). Darytina išvada, kad Teisingumo Teismas turi jurisdikciją atsakyti į septintąjį klausimą.
241 Dėl esmės reikia pažymėti, kad pagal PNR direktyvos 12 straipsnio 3 dalies b punktą, kurio i ir ii papunkčiuose atitinkamai minimos „teisminė institucija“ ir „kita nacionalinė valdžios institucija, pagal nacionalinę teisę kompetentinga patikrinti, ar įvykdytos atskleidimo sąlygos“, šios dvi institucijos vertinamos vienodai, kaip matyti iš jungtuko „arba“, vartojamo tarp šių i ir ii papunkčių. Taigi iš šios formuluotės matyti, kad taip nurodyta „kita“ kompetentinga nacionalinė institucija yra alternatyva teisminei institucijai, todėl jos nepriklausomumo ir nešališkumo lygis turi būti panašus į teisminės institucijos.
242 Šią analizę patvirtina PNR direktyvos 25 konstatuojamojoje dalyje nurodytas šios direktyvos tikslas užtikrinti aukščiausio lygio duomenų apsaugą, kiek tai susiję su prieiga prie visų PNR duomenų, kurie sudaro galimybę tiesiogiai nustatyti duomenų subjekto tapatybę. Be to, toje pačioje konstatuojamojoje dalyje patikslinta, kad tokia prieiga turėtų būti suteikta tik laikantis labai griežtų sąlygų praėjus šešiems mėnesiams po PNR duomenų perdavimo informacijos apie keleivius skyriui.
243 Šią analizę taip pat patvirtina PNR direktyvos genezė. Iš tiesų nors šio sprendimo 155 punkte minėtos direktyvos pasiūlyme, kuriuo remiantis buvo priimta PNR direktyva, buvo numatyta tik tai, kad „prieigą prie visų PNR duomenų gali suteikti tik informacijos apie keleivius skyriaus vadovas“, šios direktyvos 12 straipsnio 3 dalies b punkto versijoje, kurią galiausiai pasirinko Sąjungos teisės aktų leidėjas, nurodomos to paties lygmens teisminė institucija ir „kita nacionalinė valdžios institucija“, kompetentinga patikrinti, ar įvykdytos visų PNR duomenų atskleidimo sąlygos, ir patvirtinti tokį atskleidimą.
244 Be to, remiantis šios sprendimo 223, 225 ir 226 punktuose priminta suformuota jurisprudencija, būtina, kad prieš suteikiant kompetentingoms institucijoms prieigą prie saugomų duomenų teismas arba nepriklausomas administracinis subjektas atliktų išankstinę kontrolę, o teismas ar toks subjektas savo sprendimą priimtų gavę motyvuotą tų institucijų prašymą, kurį jos pateiktų, be kita ko, vykdydamos prevencijos, atskleidimo arba baudžiamojo persekiojimo procedūras. Taigi nepriklausomumo reikalavimas, kurį turi atitikti subjektas, atsakingas už išankstinės kontrolės vykdymą, reiškia, kad šis subjektas turi turėti trečiojo asmens statusą prieigos prie duomenų prašančios institucijos atžvilgiu, kad galėtų vykdyti šią kontrolę objektyviai ir nešališkai ir būtų apsaugotas nuo bet kokios išorinės įtakos. Konkrečiai kalbant, baudžiamojoje srityje nepriklausomumo reikalavimas reiškia, kad už šią išankstinę kontrolę atsakinga institucija, pirma, nedalyvauja vykdant nagrinėjamą baudžiamąjį tyrimą ir, antra, turi būti nešališka baudžiamojo proceso šalių atžvilgiu.
245 Kaip savo išvados 271 punkte pažymėjo generalinis advokatas, PNR direktyvos 4 straipsnio 1 ir 3 dalyse numatyta, kad kiekvienoje valstybėje narėje įsteigtas informacijos apie keleivius skyrius yra institucija, kompetentinga užkirsti kelią teroristiniams nusikaltimams ir sunkiems nusikaltimams, taip pat juos nustatyti, tirti ir patraukti už juos baudžiamojon atsakomybėn, o jos darbuotojai gali būti šios direktyvos 7 straipsnyje nurodytų kompetentingų institucijų deleguoti pareigūnai, taigi informacijos apie keleivius skyrius yra neišvengiamai susijęs su tokiomis institucijomis. Pagal minėtos direktyvos 6 straipsnio 2 dalies b punktą informacijos apie keleivius skyrius taip pat gali atlikti PNR duomenų tvarkymo operacijas, apie kurių rezultatus jis praneša minėtoms institucijoms. Atsižvelgiant į tai, kas išdėstyta, negalima laikyti, kad informacijos apie keleivius skyrius turi trečiojo asmens statusą šių institucijų atžvilgiu ir visas nepriklausomumo ir nešališkumo garantijas, kurių reikalaujama siekiant atlikti ankstesniame šio sprendimo punkte minėtą išankstinę kontrolę ir patikrinti, ar įvykdytos visų PNR duomenų atskleidimo sąlygos, kaip numatyta tos pačios direktyvos 12 straipsnio 3 dalies b punkte.
246 Be to, aplinkybė, kad 12 straipsnio 3 dalies b punkto ii papunktyje reikalaujama, kad tuo atveju, kai „kita kompetentinga nacionalinė institucija“ patvirtina visų šių duomenų atskleidimą, informacijos apie keleivius skyriaus duomenų apsaugos pareigūnas būtų apie tai „informuojamas ir kad tas duomenų apsaugos pareigūnas atli[ktų] ex post peržiūrą“, nors to nereikalaujama tuo atveju, kai atskleidimą patvirtina teisminė institucija, nepaneigia tokio vertinimo. Iš tiesų pagal suformuotą jurisprudenciją vėlesnė kontrolė (kaip ta, kurią atlieka duomenų apsaugos pareigūnas) neleidžia pasiekti išankstinės kontrolės tikslo užkirsti kelią tam, kad būtų suteikta prieiga prie nagrinėjamų duomenų, kuri viršytų tai, kas griežtai būtina (šiuo klausimu žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 110 punktą ir jame nurodytą jurisprudenciją).
247 Atsižvelgiant į visa tai, kas išdėstyta, į septintąjį klausimą reikia atsakyti: PNR direktyvos 12 straipsnio 3 dalies b punktas turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, pagal kuriuos institucija, įsteigta kaip informacijos apie keleivius skyrius, taip pat yra kompetentinga nacionalinė institucija, įgaliota patvirtinti PNR duomenų atskleidimą, praėjus šešių mėnesių laikotarpiui po šių duomenų perdavimo informacijos apie keleivius skyriui.
E. Dėl aštuntojo klausimo
248 Aštuntuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar PNR direktyvos 12 straipsnis, siejamas su Chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriuose numatytas bendras penkerių metų PNR duomenų saugojimo laikotarpis, neatsižvelgiant į tai, ar atitinkami keleiviai kelia teroristinių arba sunkių nusikaltimų pavojų, ar ne.
249 Reikia priminti, kad pagal šios direktyvos 12 straipsnio 1 ir 4 dalis valstybės narės, kurios teritorijoje yra atitinkamo lėktuvo atvykimo arba išvykimo vieta, informacijos apie keleivius skyrius saugo oro vežėjų duomenų bazėje pateiktus PNR duomenis penkerius metus po jų perdavimo šiam skyriui ir galutinai ištrina šiuos duomenis, pasibaigus šiam penkerių metų laikotarpiui.
250 PNR direktyvos 25 konstatuojamojoje dalyje priminta, kad PNR duomenys „turėtų būti saugomi tokį laikotarpį, koks būtinas teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais, ir šis laikotarpis turėtų būti šiems tikslams proporcingas“.
251 Taigi PNR duomenų saugojimas pagal PNR direktyvos 12 straipsnio 1 dalį negali būti pateisinamas, jeigu nėra objektyvaus ryšio tarp šio saugojimo ir šia direktyva siekiamų tikslų, t. y. kovos su teroristiniais nusikaltimais ir sunkiais nusikaltimais, objektyviai (bent netiesiogiai) susijusiais su keleivių vežimu oru.
252 Šiuo klausimu, kaip matyti iš PNR direktyvos 25 konstatuojamosios dalies, reikia atskirti, pirma, šios direktyvos 12 straipsnio 2 dalyje numatytą pradinį šešių mėnesių saugojimo laikotarpį ir, antra, minėtos direktyvos 12 straipsnio 3 dalyje nurodytą vėlesnį laikotarpį.
253 Aiškinant PNR direktyvos 12 straipsnio 1 dalį reikia atsižvelgti į šio straipsnio 2 ir 3 dalių nuostatas, kuriose nustatyta PNR duomenų saugojimo ir prieigos prie jų tvarka pasibaigus pradiniam šešių mėnesių saugojimo laikotarpiui. Kaip matyti iš minėtos šios direktyvos 25 konstatuojamosios dalies, šiomis nuostatomis išreiškiamas, pirma, tikslas „PNR duomenis <…> saugoti pakankamai ilgą laikotarpį, kad juos būtų galima panaudoti analizei ir tyrimams atlikti“; tai gali būti atliekama jau per pradinį šešių mėnesių saugojimo laikotarpį. Antra, pagal tą pačią 25 konstatuojamąją dalį šiomis nuostatomis siekiama „išvengti neproporcingo naudojimo“, užmaskuojant šiuos duomenis, ir „užtikrinti aukščiausio lygio duomenų apsaugą“, leidžiant susipažinti su šiais duomenimis tokia forma, kuri padėtų tiesiogiai nustatyti duomenų subjekto tapatybę „pasibaigus tam pradiniam laikotarpiui <…> tik laikantis labai griežtų ir ribotų sąlygų“, atsižvelgiant į tai, kad kuo ilgiau saugomi PNR duomenys, tuo didesnis yra iš to kylantis suvaržymas.
254 Taigi skirtumas tarp pradinio šešių mėnesių saugojimo laikotarpio, numatyto PNR direktyvos 12 straipsnio 2 dalyje, ir vėlesnio laikotarpio, nurodyto šios direktyvos 12 straipsnio 3 dalyje, taip pat taikomas šio sprendimo 251 punkte nurodyto reikalavimo vykdymui.
255 Taigi, atsižvelgiant į PNR direktyvos tikslus ir teroristinių nusikaltimų bei sunkių nusikaltimų tyrimo ir baudžiamojo persekiojimo už juos poreikius, reikia konstatuoti, kad visų oro transporto keleivių, kuriems taikoma šioje direktyvoje nustatyta sistema, PNR duomenų saugojimas per pradinį šešių mėnesių laikotarpį, nesant jokios nuorodos apie jų dalyvavimą teroristiniuose nusikaltimuose ar sunkiuose nusikaltimuose, atrodo, iš principo neviršija to, kas griežtai būtina, nes toks saugojimas leidžia atlikti būtiną paiešką, siekiant nustatyti asmenis, kurie nebuvo įtariami dalyvavimu darant teroristinius nusikaltimus ar sunkius nusikaltimus.
256 Vis dėlto, kiek tai susiję su vėlesniu PNR direktyvos 12 straipsnio 3 dalyje numatytu saugojimo laikotarpiu, visų oro transporto keleivių, kuriems taikoma šia direktyva sukurta sistema, PNR duomenų saugojimas (be to, kad dėl didelio tokių nuolat saugomų duomenų kiekio kyla neproporcingo naudojimo ir piktnaudžiavimo rizika) (pagal analogiją žr. 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 119 punktą) prieštarauja šios direktyvos 25 konstatuojamojoje dalyje nustatytam reikalavimui, kad tokie duomenys būtų saugomi tik tiek laiko, kiek tai yra būtina ir proporcinga siekiamiems tikslams, nes Sąjungos teisės aktų leidėjas siekė nustatyti aukščiausią PNR duomenų, pagal kuriuos galima tiesiogiai nustatyti duomenų subjekto tapatybę, apsaugos lygį.
257 Iš tiesų oro transporto keleivių, dėl kurių nei PNR direktyvos 6 straipsnio 2 dalies a punkte numatytas išankstinis vertinimas, nei galimi patikrinimai, atlikti per šios direktyvos 12 straipsnio 2 dalyje nurodytą šešių mėnesių laikotarpį, nei kokia nors kita aplinkybė neatskleidė objektyvių duomenų, leidžiančių nustatyti teroristinių nusikaltimų ar sunkių nusikaltimų, objektyviai (bent netiesiogiai) susijusių su šių keleivių kelione oro transportu, pavojų, atveju nėra net netiesioginio ryšio tarp šių keleivių PNR duomenų ir šia direktyva siekiamo tikslo, kuris pateisintų šių duomenų saugojimą (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 204 ir 205 punktą).
258 Taigi, tęstinis visų keleivių PNR duomenų kaupimas po pirminio šešių mėnesių laikotarpio neapsiriboja tuo, kas griežtai būtina (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 206 punktą).
259 Vis dėlto, jeigu konkrečiais atvejais nustatomi objektyvūs duomenys (pavyzdžiui, keleivių PNR duomenys, dėl kurių nustatyta patikrinta teigiama sutaptis), leidžiantys manyti, kad tam tikri keleiviai gali kelti teroristinių nusikaltimų ar sunkių nusikaltimų pavojų, tokių keleivių PNR duomenų saugojimas po šio pradinio laikotarpio, atrodo, yra galimas (pagal analogiją žr. 2017 m. liepos 26 d. Nuomonės 1/15 (ES ir Kanados PNR susitarimas), EU:C:2017:592, 207 punktą ir jame nurodytą jurisprudenciją).
260 Iš tiesų nustačius šiuos objektyvius duomenis būtų galima nustatyti ryšį su tvarkymo pagal PNR direktyvą tikslais, todėl su šiais keleiviais susijusių PNR duomenų saugojimas būtų pateisinamas per šioje direktyvoje nustatytą maksimalų penkerių metų terminą.
261 Kadangi nagrinėjamu atveju atrodo, kad pagrindinėje byloje nagrinėjamuose teisės aktuose numatyta bendra penkerių metų PNR duomenų saugojimo trukmė yra vienodai taikoma visiems keleiviams, įskaitant tuos, dėl kurių nei PNR direktyvos 6 straipsnio 2 dalies a punkte numatytas išankstinis vertinimas, nei galimi patikrinimai, atlikti per pradinį šešių mėnesių laikotarpį, nei kokia nors kita aplinkybė neatskleidė objektyvių duomenų, leidžiančių nustatyti teroristinių ar sunkių nusikaltimų pavojų, tokie teisės aktai gali pažeisti šios direktyvos 12 straipsnio 1 dalį, siejamą su Chartijos 7 ir 8 straipsniais bei 52 straipsnio 1 dalimi, nebent būtų galima juos aiškinti pagal šias nuostatas, o tai turi patikrinti prašymą priimti prejudicinį sprendimą pateikęs teismas.
262 Atsižvelgiant į tai, kas išdėstyta, į aštuntąjį klausimą reikia atsakyti: PNR direktyvos 12 straipsnio 1 dalis, siejama su Chartijos 7 ir 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinama taip, kad pagal ją draudžiami nacionalinės teisės aktai, kuriuose numatyta bendra penkerių metų PNR duomenų saugojimo trukmė, vienodai taikoma visiems oro transporto keleiviams, įskaitant tuos, dėl kurių nei šios direktyvos 6 straipsnio 2 dalies a punkte numatytas išankstinis vertinimas, nei galimi patikrinimai, atlikti per šios direktyvos 12 straipsnio 2 dalyje nurodytą šešių mėnesių laikotarpį, nei kokia nors kita aplinkybė neatskleidė objektyvių duomenų, leidžiančių nustatyti teroristinių nusikaltimų ar sunkių nusikaltimų, objektyviai (bent netiesiogiai) susijusių su šių keleivių kelione oro transportu, pavojų.
F. Dėl devintojo klausimo a punkto
263 Devintojo klausimo a punktu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar API direktyva galioja, atsižvelgiant į ESS 3 straipsnio 2 dalį ir Chartijos 45 straipsnį, remiantis prielaida, kad šioje direktyvoje nustatytos pareigos taikomos ES vidaus skrydžiams.
264 Kaip savo išvados 277 punkte pažymėjo generalinis advokatas ir kaip pabrėžė Taryba, Komisija ir kelios vyriausybės, ši prielaida yra klaidinga.
265 Iš tiesų API direktyvos 3 straipsnio 1 dalyje numatyta, kad, esant atsakingų už asmenų tikrinimą prie išorinių sienų institucijų prašymui, valstybės narės turi imtis būtinų priemonių nustatyti įpareigojimą vežėjams iki registracijos pabaigos perduoti informaciją apie keleivius, kuriuos jie pristatys į paskirtą sienos kirtimo punktą, per kurį tie asmenys pateks į valstybės narės teritoriją. Pagal minėtos direktyvos 6 straipsnio 1 dalį šie duomenys perduodami institucijoms, atsakingoms už išorės sienų, kurias kirsdamas keleivis atvyks į šią teritoriją, kontrolę, ir yra tvarkomi šioje nuostatoje numatytomis sąlygomis.
266 Iš šių nuostatų, siejamų su API direktyvos 2 straipsnio a, b ir d punktais, kuriuose atitinkamai apibrėžiamos sąvokos „vežėjas“, „išorės sienos“ ir „sienos kirtimo punktas“, aiškiai matyti, kad šioje direktyvoje oro transporto vežėjams nustatyta pareiga perduoti jos 3 straipsnio 2 dalyje nurodytus duomenis išorės sienų kontrolės institucijoms tik skrydžių, kuriais keleiviai vežami į kirtimo punktą, kuriame leidžiama kirsti valstybių narių išorines sienas su trečiosiomis šalimis, atveju, ir numatytas tik su tokiais skrydžiais susijusių duomenų tvarkymas.
267 Vis dėlto minėtoje direktyvoje nenustatyta jokios pareigos dėl keleivių, keliaujančių skrydžiais, kurie kerta tik valstybių narių vidaus sienas, duomenų.
268 Reikia pridurti, kad Direktyva 2006/24, kurioje į PNR duomenų sąrašą, kaip matyti iš jos 9 konstatuojamosios dalies ir 8 straipsnio 2 dalies, įtraukiami API direktyvos 3 straipsnio 2 dalyje nurodyti duomenys, surinkti pagal šią direktyvą ir saugomi tam tikrų oro vežėjų, ir kuria valstybėms narėms suteikiama galimybė pagal jos 2 straipsnį taikyti PNR direktyvą jų pasirinktiems ES vidaus skrydžiams, nepakeitė nei API direktyvos nuostatų, nei iš šios direktyvos kylančių apribojimų taikymo srities.
269 Atsižvelgiant į tai, kas išdėstyta, į devintojo klausimo a punktą reikia atsakyti: API direktyva turi būti aiškinama taip, kad ji netaikoma ES vidaus skrydžiams.
G. Dėl devintojo klausimo b punkto
270 Nors devintojo klausimo b punkte prašymą priimti prejudicinį sprendimą pateikęs teismas remiasi API direktyva, siejama su ESS 3 straipsnio 2 dalimi ir Chartijos 45 straipsniu, iš prašymo priimti prejudicinį sprendimą matyti, kad šis teismas kelia klausimą dėl 2016 m. gruodžio 25 d. įstatyme nustatytos keleivių duomenų perdavimo ir tvarkymo sistemos suderinamumo su Sąjungos teisėje numatytu laisvu asmenų judėjimu ir vidaus sienų kontrolės panaikinimu, nes ši sistema taikoma ne tik oro transportui, bet ir geležinkelių, sausumos ir net jūrų transportui iš Belgijos arba į Belgiją Sąjungos viduje, nekertant išorės sienų su trečiosiomis šalimis.
271 Kaip matyti iš šio sprendimo 265–269 punktų, API direktyva nėra susijusi su atsakymu į šį klausimą, nes ji netaikoma ES vidaus skrydžiams ir joje nenustatoma pareigos perduoti ir tvarkyti keleivių, keliaujančių oro transportu ar kita transporto rūšimi Sąjungoje, nekertant išorės sienų su trečiosiomis šalimis, duomenų.
272 Vis dėlto, nors pagal SESV 67 straipsnio 2 dalį Sąjunga užtikrina, kad nebūtų vykdoma asmenų kontrolė kertant vidaus sienas, pagal PNR direktyvos 2 straipsnį, kuriuo rėmėsi Belgijos teisės aktų leidėjas, priimdamas pagrindinėje byloje nagrinėjamą 2016 m. gruodžio 25 d. įstatymą, kaip matyti iš prašymo priimti prejudicinį sprendimą, valstybėms narėms leidžiama taikyti šią direktyvą ES vidaus skrydžiams.
273 Šiomis aplinkybėmis, siekiant prašymą priimti prejudicinį sprendimą pateikusiam teismui pateikti naudingą atsakymą, devintojo klausimo b punktą reikia performuluoti taip, kad juo iš esmės siekiama išsiaiškinti, ar Sąjungos teisė, visų pirma PNR direktyvos 2 straipsnis, siejamas su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi ir Chartijos 45 straipsniu, turi būti aiškinama taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriuose numatyta, kad vežėjai ir kelionių operatoriai perduoda, o kompetentingos institucijos tvarko PNR duomenis, gautus iš skrydžių ir vežimo kitomis transporto priemonėmis Sąjungoje (iš arba į tą teisės aktą priėmusią valstybę narę arba vežant tranzitu per ją).
274 Chartijos 45 straipsnyje įtvirtintas laisvas asmenų judėjimas, kuris, be kita ko, yra viena iš pagrindinių vidaus rinkos laisvių (šiuo klausimu žr. 2021 m. birželio 22 d. Sprendimo Ordre des barreaux francophones et germanophone ir kt. (Prevencinės priemonės, taikomos siekiant išsiųsti), C‑718/19, EU:C:2021:505, 54 punktą).
275 Šio straipsnio 1 dalyje užtikrinama kiekvieno Sąjungos piliečio teisė laisvai judėti ir apsigyventi valstybių narių teritorijoje ir ši teisė, remiantis su Pagrindinių teisių chartija susijusiais išaiškinimais (OL C 303, 2007, p. 17), atitinka SESV 20 straipsnio 2 dalies pirmos pastraipos a punkte įtvirtintą teisę ir įgyvendinama pagal SESV 20 straipsnio 2 dalies antrą pastraipą ir Chartijos 52 straipsnio 2 dalį, laikantis Sutartyse ir joms įgyvendinti skirtose priemonėse nustatytų sąlygų ir apribojimų.
276 Be to, pagal ESS 3 straipsnio 2 dalį Sąjunga savo piliečiams siūlo vidaus sienų neturinčią laisvės, saugumo ir teisingumo erdvę, kurioje laisvas asmenų judėjimas užtikrinamas kartu taikant atitinkamas išorės sienų kontrolės ir nusikalstamumo prevencijos bei kovos su juo priemones. Be to, pagal SESV 67 straipsnio 2 dalį Sąjunga užtikrina, kad nebus asmenų kontrolės, jiems kertant vidaus sienas, ir formuoja valstybių narių bendrą išorės sienų kontrolės politiką.
277 Remiantis Teisingumo Teismo suformuota jurisprudencija, valstybės narės teisės nuostatos, dėl kurių tam tikri tos valstybės narės piliečiai atsiduria mažiau palankioje situacijoje tik todėl, kad pasinaudojo teise laisvai judėti ir apsigyventi kitoje valstybėje narėje, yra Chartijos 45 straipsnio 1 dalyje kiekvienam Sąjungos piliečiui pripažintų laisvių apribojimas (šiuo klausimu dėl SESV 21 straipsnio 1 dalies žr. 2017 m. birželio 8 d. Sprendimo Freitag, C‑541/15, EU:C:2017:432, 35 punktą ir jame nurodytą jurisprudenciją; taip pat 2020 m. lapkričio 19 d. Sprendimo ZW, C‑454/19, EU:C:2020:947, 30 punktą).
278 Nacionalinės teisės aktais, kaip antai nagrinėjamais pagrindinėje byloje, pagal kuriuos PNR direktyvoje numatyta sistema taikoma ne tik ES išorės skrydžiams, pagal šios direktyvos 2 straipsnio 1 dalį ES vidaus skrydžiams, bet ir šioje nuostatoje nenumatytam vežimui kitomis transporto priemonėmis Sąjungoje, nustatomas bet kurio keleivio, keliaujančio šiomis transporto priemonėmis Sąjungoje ir besinaudojančio judėjimo laisve, PNR duomenų perdavimas ir sistemingas bei nuolatinis jų tvarkymas.
279 Kaip konstatuota šio sprendimo 98–111 punktuose, ES išorės ir ES vidaus skrydžių keleivių duomenų perdavimas ir tvarkymas pagal PNR direktyvoje nustatytą sistemą yra tam tikro dydžio Chartijos 7 ir 8 straipsniuose įtvirtintų pagrindinių teisių suvaržymas. Toks suvaržymas yra dar didesnis tais atvejais, kai ši sistema taikoma ir kitoms transporto priemonėms Sąjungoje. Dėl tų pačių priežasčių, kurios išdėstytos šiuose punktuose, tokie suvaržymai taip pat gali būti nepalankūs ir dėl to atgrasyti naudotis judėjimo laisve, kaip tai suprantama pagal Chartijos 45 straipsnį, tokius teisės aktus priėmusių valstybių narių piliečius ir apskritai Sąjungos piliečius, besinaudojančius šiomis transporto priemonėmis Sąjungoje, vykstant iš šių valstybių narių arba į jas, todėl minėtais teisės aktais ribojama ši pagrindinė laisvė.
280 Pagal suformuotą jurisprudenciją laisvo asmenų judėjimo ribojimas gali būti pateisinamas, tik jeigu jis grindžiamas objektyviais pagrindais ir yra proporcingas nacionaline teise siekiamam teisėtam tikslui. Priemonė yra proporcinga, jei būdama tinkama siekiamam tikslui įgyvendinti neviršija to, kas būtina jam pasiekti (šiuo klausimu žr. 2018 m. birželio 5 d. Sprendimo Coman ir kt., C‑673/16, EU:C:2018:385, 41 punktą ir jame nurodytą jurisprudenciją).
281 Reikia pridurti, kad nacionalinė priemonė, kuri riboja asmenų judėjimo laisvę, gali būti pateisinama tik jei ši priemonė nepažeidžia Chartijoje, kurios laikymąsi užtikrina Teisingumo Teismas, įtvirtintų pagrindinių teisių (2021 m. gruodžio 14 d. Sprendimo Stolichna obshtina, rayon „Pancharevo“, C‑490/20, EU:C:2021:1008, 58 punktas ir jame nurodyta jurisprudencija).
282 Konkrečiai kalbant, remiantis šio sprendimo 115 ir 116 punktuose priminta jurisprudencija, bendrojo intereso tikslo negalima siekti neatsižvelgiant į tai, kad jis turi būti suderintas su priemone susijusiomis pagrindinėmis teisėmis, taip užtikrinant, pirma, bendrojo intereso tikslo ir, antra, nagrinėjamų teisių pusiausvyrą. Šiuo klausimu valstybių narių galimybė pateisinti Chartijos 45 straipsnio 1 dalyje užtikrinamos pagrindinės teisės ribojimą turi būti vertinama atsižvelgiant į suvaržymo, kurį lemia toks ribojimas, dydį ir patikrinus, ar šiuo ribojimu siekiamo bendrojo intereso tikslo svarba susijusi su tokiu suvaržymo dydžiu.
283 Kaip priminta šio sprendimo 122 punkte, tikslas kovoti su teroristiniais nusikaltimais ir sunkiais nusikaltimais, kurio siekiama PNR direktyva, neabejotinai yra Sąjungos bendrojo intereso tikslas.
284 Dėl klausimo, ar nacionalinės teisės aktai, priimti siekiant perkelti PNR direktyvą ir kuriais šioje direktyvoje numatyta sistema išplečiama ES vidaus skrydžiams ir kitoms transporto rūšims Sąjungoje, yra tinkami siekiamam tikslui įgyvendinti, iš Teisingumo Teismo turimoje bylos medžiagoje esančios informacijos matyti, kad naudojant PNR duomenis galima nustatyti asmenų, kurie nebuvo įtariami dalyvavę darant teroristinius ar sunkius nusikaltimus ir kurie turėtų būti toliau tikrinami, tapatybę, todėl atrodo, kad tokie teisės aktai yra tinkami siekiant kovoti su teroristiniais nusikaltimais ir sunkiais nusikaltimais.
285 Kiek tai susiję su tokių teisės aktų būtinumu, pažymėtina, kad valstybių narių naudojimasis PNR direktyvos 2 straipsnio 1 dalyje, siejamoje su Chartijos 7 ir 8 straipsniais, numatyta teise turi apsiriboti tuo, kas griežtai būtina šiam tikslui pasiekti, atsižvelgiant į šio sprendimo 163–174 punktuose nurodytus reikalavimus.
286 Šie reikalavimai juo labiau taikomi tuo atveju, kai PNR direktyvoje numatyta sistema taikoma kitoms Sąjungos vidaus transporto priemonėms.
287 Be to, kaip matyti iš prašyme priimti prejudicinį sprendimą pateiktos informacijos, pagrindinėje byloje vienu nagrinėjamu nacionalinės teisės aktu perkeliamos PNR direktyva, API direktyva ir iš dalies Direktyva 2010/65. Šiuo tikslu jame numatyta, kad pagal PNR direktyvą sukurta sistema taikoma visiems ES vidaus skrydžiams, geležinkelių, sausumos ir net jūrų transportui Sąjungoje, vykstančiam iš Belgijos, į ją ir tranzitu per ją, taip pat kelionių organizatoriams, be to, šiuo teisės aktu siekiama ne tik kovos su teroristiniais nusikaltimais ir sunkiais nusikaltimais, bet ir kitų tikslų. Remiantis ta pačia informacija, atrodo, kad visus duomenis, surinktus pagal šį nacionalinės teisės aktą nustatytą sistemą, informacijos apie keleivius skyrius saugo vienoje duomenų bazėje, apimančioje PNR duomenis, įskaitant API direktyvos 3 straipsnio 2 dalyje nurodytus visų transporto keleivių, kuriems taikomas minėtas teisės aktas, duomenis.
288 Šiuo klausimu, kadangi prašymą priimti prejudicinį sprendimą pateikęs teismas, savo devintojo klausimo b punkte rėmėsi tikslu pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, t. y. API direktyvos tikslu, reikia priminti, kad, kaip matyti iš šio sprendimo 233, 234 ir 237 punktų, tikslų, kurių siekiama tvarkant PNR duomenis pagal PNR direktyvą, sąrašas yra baigtinis, todėl nacionalinės teisės aktai, leidžiantys tvarkyti pagal šią direktyvą surinktus PNR duomenis kitais nei joje numatytais tikslais, t. y. be kita ko, siekiant pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, prieštarauja šios direktyvos 6 straipsniui, aiškinamam atsižvelgiant į Chartiją.
289 Be to, kaip matyti iš šio sprendimo 235 punkto, valstybės narės negali sukurti vienos duomenų bazės, apimančios tiek PNR duomenis, surinktus pagal PNR direktyvą ir susijusius su ES vidaus ir išorės skrydžiais, tiek kitų transporto priemonių keleivių duomenis ir API direktyvos 3 straipsnio 2 dalyje nurodytus duomenis, kai su šia duomenų baze galima susipažinti siekiant ne tik tikslų, nurodytų PNR direktyvos 1 straipsnio 2 dalyje, bet ir kitų tikslų.
290 Galiausiai bet kuriuo atveju, kaip savo išvados 281 punkte pažymėjo generalinis advokatas, 2016 m. gruodžio 25 d. įstatymo 28–31 straipsniai gali būti suderinami su Sąjungos teise, visų pirma su SESV 67 straipsnio 2 dalimi, tik jeigu jie aiškinami taip, kad taikomi tik keleivių, kertančių Belgijos išorės sienas su trečiosiomis šalimis, duomenų perdavimui ir tvarkymui. Iš tiesų priemonė, kuria valstybė narė, siekdama pagerinti sienų kontrolę ir kovoti su nelegalia imigracija, išplečia API direktyvos nuostatų (visų pirma tos direktyvos 3 straipsnio 1 dalyje numatytą pareigą perduoti keleivių duomenis) taikymą ES vidaus skrydžiams ir a fortiori kitų rūšių transportui, kuriuo keleiviai Sąjungoje vežami iš tos valstybės narės, į ją arba per ją, leistų kompetentingoms institucijoms sistemingai užtikrinti, kad kirsdami tos valstybės narės vidaus sienas tokie keleiviai turės leidimą įvažiuoti į jos teritoriją arba išvažiuoti iš jos, taigi tokia priemonė turėtų tokį patį poveikį kaip patikrinimai, atliekami prie išorės sienų su trečiosiomis šalimis.
291 Atsižvelgiant į visa tai, kas išdėstyta, į devintojo klausimo b punktą reikia atsakyti: Sąjungos teisė, visų pirma PNR direktyvos 2 straipsnis, siejamas su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi ir Chartijos 45 straipsniu, turi būti aiškinama taip, kad pagal ją draudžiami:
– nacionalinės teisės aktai, kuriuose numatyta, kad, nesant tikros, esamos ar numatomos terorizmo grėsmės, kuri kyla atitinkamai valstybei narei, vežėjai ir kelionių operatoriai perduoda, o kompetentingos institucijos tvarko PNR duomenis, gautus iš visų ES vidaus skrydžių ir vežimo kitomis transporto priemonėmis Sąjungoje (iš arba į tą teisės aktą priėmusią valstybę narę arba vežant tranzitu per ją), siekiant kovoti su teroristiniais nusikaltimais ir sunkiais nusikaltimais. Tokiu atveju pagal PNR direktyvą nustatyta sistema turi būti taikoma tik tam tikrų skrydžių ir (arba) vežimo tam tikromis transporto priemonėmis (susijusių su, be kita ko, tam tikrais maršrutais, kelionių schemomis, oro uostais, traukinių stotimis ar jūrų uostais, dėl kurių yra duomenų, galinčių pateisinti tokį taikymą) PNR duomenų perdavimui ir tvarkymui. Atitinkama valstybė narė turi atrinkti ES vidaus skrydžius ir (arba) kitomis transporto priemonėmis Sąjungoje vykdomą vežimą, dėl kurių tokia informacija egzistuoja, ir reguliariai peržiūrėti minėtą taikymą, atsižvelgiant į jų atranką pateisinusių sąlygų pokyčius, kad užtikrintų, kad šios sistemos taikymas šiems skrydžiams ir (arba) transportui niekada neviršytų to, kas griežtai būtina, ir
– nacionalinės teisės aktai, kuriuose numatyta tokia minėtų duomenų perdavimo ir tvarkymo sistema, siekiant pagerinti sienų kontrolę ir kovoti su nelegalia imigracija.
H. Dėl dešimtojo klausimo
292 Dešimtuoju klausimu prašymą priimti prejudicinį sprendimą pateikęs teismas iš esmės siekia išsiaiškinti, ar Sąjungos teisė turi būti aiškinama taip, kad pagal ją nacionaliniam teismui leidžiama apriboti laiko atžvilgiu jo paties pagal nacionalinę teisę priimto sprendimo pripažinti negaliojančiu nacionalinės teisės aktą, kuriuo oro, geležinkelių ir sausumos vežėjai bei kelionių operatoriai įpareigojami perduoti PNR duomenis ir kuriame numatytas tokių duomenų tvarkymas ir saugojimas, nesuderinamas su PNR direktyvos nuostatomis, siejamomis su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi, Chartijos 7, 8 ir 45 straipsniais ir 52 straipsnio 1 dalimi, poveikį.
293 Pagal Sąjungos teisės viršenybės principą Sąjungos teisė laikoma viršesne už valstybių narių teisę. Taigi pagal šį principą reikalaujama, kad visos valstybių narių institucijos užtikrintų visišką įvairių Sąjungos teisės nuostatų veiksmingumą, nes valstybių narių teisė negali turėti įtakos pripažintam šių nuostatų poveikiui minėtų valstybių narių teritorijoje. Pagal šį principą nacionalinis teismas, įpareigotas taikyti Sąjungos teisės nuostatas pagal jam suteiktą jurisdikciją, tuo atveju, jei neturi įgaliojimų aiškinti nacionalinės teisės aktų atsižvelgdamas į Sąjungos teisės reikalavimus, turi pareigą užtikrinti visišką šių nuostatų veiksmingumą, prireikus savo iniciatyva netaikydamas jokios, net ir vėliau priimtos, joms prieštaraujančios nacionalinės teisės nuostatos, ir neprivalo prašyti, kad ši nacionalinė nuostata būtų panaikinta teisėkūros arba kitokiomis konstitucinėmis priemonėmis, arba laukti, kol tai bus padaryta (1964 m. liepos 15 d. Sprendimas Costa, 6/64, EU:C:1964:66, p. 1159 ir 1160; 2020 m. spalio 6 d. Sprendimo Quadrature du Net ir kt., C‑511/18, C‑512/18 ir C‑520/18, EU:C:2020:791, 214 ir 215 punktai; taip pat 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 118 punktas).
294 Tik Teisingumo Teismas išimties tvarka ir dėl imperatyvių teisinio saugumo pagrindų gali laikinai sustabdyti Sąjungos teisės normos naikinamąjį poveikį jai prieštaraujančios nacionalinės teisės normos atžvilgiu. Tokio Teisingumo Teismo pateikto šios teisės išaiškinimo veikimo laiko atžvilgiu ribojimas gali būti nustatytas tik pačiame sprendime, kuriame pateikiamas prašytas išaiškinimas. Jeigu nacionaliniai teismai turėtų įgaliojimus nors laikinai suteikti Sąjungos teisei prieštaraujančioms nacionalinėms nuostatoms viršenybę prieš Sąjungos teisę, būtų pakenkta Sąjungos teisės viršenybei ir vienodam jos taikymui (2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 119 punktas ir jame nurodyta jurisprudencija).
295 Kitaip, nei tokios procedūrinės pareigos, kaip išankstinis projekto poveikio aplinkai vertinimas, neįvykdymas (jis buvo nagrinėjamas byloje, kurioje priimtas 2019 m. liepos 29 d. Sprendimas Inter-Environnement Wallonie ir Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622, 175, 176, 179 ir 181 punktai), jame Teisingumo Teismas sutiko laikinai sustabdyti šį naikinamąjį poveikį), PNR direktyvos nuostatų, siejamų su Chartijos 7, 8 ir 45 straipsniais bei 52 straipsnio 1 dalimi, pažeidimas negali būti ištaisytas taikant procedūrą, panašią į tą, kuri pripažinta minėtoje byloje. Iš tiesų palikus galioti tokio nacionalinės teisės akto, kaip 2016 m. gruodžio 25 d. įstatymas, poveikį tai reikštų, kad pagal tokį teisės aktą oro ir kitiems vežėjams bei kelionių operatoriams ir toliau būtų nustatomi įpareigojimai, kurie prieštarauja Sąjungos teisei ir kuriais labai suvaržomos asmenų, kurių duomenys perduodami, saugomi ir tvarkomi, pagrindinės teisės ir nustatomi tokių asmenų judėjimo laisvės apribojimai, viršijantys, tai, kas būtina (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 122 punktą ir jame nurodytą jurisprudenciją).
296 Vadinasi, prašymą priimti prejudicinį sprendimą pateikęs teismas negalėtų apriboti laiko atžvilgiu jo paties pagal nacionalinę teisę priimto sprendimo pripažinti negaliojančiu pagrindinėje byloje nagrinėjamą nacionalinės teisės aktą poveikio (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 123 punktą ir jame nurodytą jurisprudenciją).
297 Galiausiai, kiek prašymą priimti prejudicinį sprendimą pateikęs teismas kelia klausimą dėl galimo 2016 m. gruodžio 25 d. įstatymo pripažinimo nesuderinamu su PNR direktyvos, siejamos su Chartija, nuostatomis poveikio įrodymų ir informacijos, gautų naudojant atitinkamų vežėjų ir kelionių organizatorių perduotus duomenis, priimtinumui ir naudojimui baudžiamajame procese, pakanka nurodyti atitinkamą Teisingumo Teismo jurisprudenciją, visų pirma 2021 m. kovo 2 d. Sprendimo Prokuratuur (Prieigos prie elektroninių ryšių duomenų sąlygos), (C‑746/18, EU:C:2021:152) 41–44 punktuose išdėstytus principus, iš kurių matyti, kad pagal valstybių narių procesinės autonomijos principą šis priimtinumo klausimas sprendžiamas pagal nacionalinę teisę, su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų (pagal analogiją žr. 2022 m. balandžio 5 d. Sprendimo Commissioner of An Garda Síochána ir kt., C‑140/20, EU:C:2022:258, 127 punktą).
298 Atsižvelgiant į tai, kas išdėstyta, į dešimtąjį klausimą reikia atsakyti: Sąjungos teisė turi būti aiškinama taip, kad pagal ją nacionaliniam teismui draudžiama apriboti laiko atžvilgiu jo paties pagal nacionalinę teisę priimto sprendimo pripažinti negaliojančiu nacionalinės teisės aktą, kuriuo oro, geležinkelių ir sausumos vežėjai bei kelionių operatoriai įpareigojami perduoti PNR duomenis ir kuriame numatytas tokių duomenų tvarkymas ir saugojimas, nesuderinamas su PNR direktyvos nuostatomis, siejamomis su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi, Chartijos 7, 8 ir 45 straipsniais ir 52 straipsnio 1 dalimi, poveikį. Pagal valstybių narių procesinės autonomijos principą taip gautų įrodymų priimtinumo klausimas sprendžiamas pagal nacionalinę teisę, su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų.
Dėl bylinėjimosi išlaidų
299 Kadangi šis procesas pagrindinės bylos šalims yra vienas iš etapų prašymą priimti prejudicinį sprendimą pateikusio teismo nagrinėjamoje byloje, bylinėjimosi išlaidų klausimą turi spręsti šis teismas. Išlaidos, susijusios su pastabų pateikimu Teisingumo Teismui, išskyrus tas, kurias patyrė minėtos šalys, nėra atlygintinos.
Remdamasis šiais motyvais, Teisingumo Teismas (didžioji kolegija) nusprendžia:
1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamento (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) 2 straipsnio 2 dalies d punktas ir 23 straipsnis turi būti aiškinami taip, kad šis reglamentas taikomas nacionalinės teisės aktuose, kuriais į nacionalinę teisę siekiama perkelti 2004 m. balandžio 29 d. Tarybos direktyvos 2004/82/EB dėl vežėjų įpareigojimo perduoti keleivių duomenis, 2010 m. spalio 20 d. Europos Parlamento ir Tarybos direktyvos 2010/65/ES dėl pranešimo formalumų, taikomų į valstybių narių uostus įplaukiantiems ir (arba) iš jų išplaukiantiems laivams, kuria panaikinama Direktyva 2002/6/EB, ir 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyvos (ES) 2016/681 dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teroristinių nusikaltimų ir sunkių nusikaltimų prevencijos, nustatymo, tyrimo ir patraukimo už juos baudžiamojon atsakomybėn tikslais nuostatas, numatytam asmens duomenų tvarkymui, kai, pirma, duomenis tvarko privatūs operatoriai, ir, antra, kai duomenis tvarko valdžios institucijos, kurioms taikoma Direktyva 2004/82 ir Direktyva 2010/65 arba tik viena iš jų. Vis dėlto minėtas reglamentas netaikomas tokiuose teisės aktuose numatytam duomenų tvarkymui, kuriam taikoma tik Direktyva 2016/681, ir kai tokį tvarkymą šios direktyvos 1 straipsnio 2 dalyje nurodytais tikslais atlieka informacijos apie keleivius skyriai arba kompetentingos institucijos.
2. Kadangi Direktyvos 2016/681 aiškinimas atsižvelgiant į Europos Sąjungos pagrindinių teisių chartijos 7, 8, 21 straipsnius ir 52 straipsnio 1 dalį užtikrina šios direktyvos suderinamumą su šiais Pagrindinių teisių chartijos straipsniais, išnagrinėjus antrąjį–ketvirtąjį ir šeštąjį prejudicinius klausimus nenustatyta nieko, kas galėtų paveikti šios direktyvos galiojimą.
3. Direktyvos 2016/681 6 straipsnis, siejamas su Pagrindinių teisių chartijos 7, 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, kuriais leidžiama tvarkyti pagal šią direktyvą surinktus keleivio duomenų įrašo duomenis (PNR duomenis) kitais tikslais nei tie, kurie aiškiai nurodyti jos 1 straipsnio 2 dalyje.
4. Direktyvos 2016/681 12 straipsnio 3 dalies b punktas turi būti aiškinamas taip, kad pagal jį draudžiami nacionalinės teisės aktai, pagal kuriuos institucija, įsteigta kaip informacijos apie keleivius skyrius, taip pat yra kompetentinga nacionalinė institucija, įgaliota patvirtinti PNR duomenų atskleidimą, praėjus šešių mėnesių laikotarpiui po šių duomenų perdavimo informacijos apie keleivius skyriui.
5. Direktyvos 2016/681 12 straipsnio 1 dalis, siejama su Pagrindinių teisių chartijos 7 ir 8 straipsniais ir 52 straipsnio 1 dalimi, turi būti aiškinama taip, kad pagal ją draudžiami nacionalinės teisės aktai, kuriuose numatyta bendra penkerių metų PNR duomenų saugojimo trukmė, vienodai taikoma visiems oro transporto keleiviams, įskaitant tuos, dėl kurių nei šios direktyvos 6 straipsnio 2 dalies a punkte numatytas išankstinis vertinimas, nei galimi patikrinimai, atlikti per 12 straipsnio 2 dalyje nurodytą šešių mėnesių laikotarpį, nei kokia nors kita aplinkybė neatskleidė objektyvių duomenų, leidžiančių nustatyti teroristinių nusikaltimų ar sunkių nusikaltimų, objektyviai (bent netiesiogiai) susijusių su šių keleivių kelione oro transportu, pavojų.
6. Direktyva 2004/82 turi būti aiškinama taip, kad ji netaikoma bet kuriems oro vežėjo reguliariems arba nereguliariems skrydžiams iš valstybės narės teritorijos, kai suplanuota lėktuvo nusileidimo vieta yra vienos arba kelių kitų valstybių narių teritorijoje, be jokių nusileidimų trečiosios šalies teritorijoje (ES vidaus skrydžiams).
7. Sąjungos teisė, visų pirma Direktyvos 2016/681 2 straipsnis, siejamas su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi ir Pagrindinių teisių chartijos 45 straipsniu, turi būti aiškinama taip, kad pagal ją draudžiami:
– nacionalinės teisės aktai, kuriuose numatyta, kad, nesant tikros, esamos ar numatomos terorizmo grėsmės, kuri kyla atitinkamai valstybei narei, vežėjai ir kelionių operatoriai perduoda, o kompetentingos institucijos tvarko PNR duomenis, gautus iš visų ES vidaus skrydžių ir vežimo kitomis transporto priemonėmis Sąjungoje (iš arba į tą teisės aktą priėmusią valstybę narę arba vežant tranzitu per ją), siekiant kovoti su teroristiniais nusikaltimais ir sunkiais nusikaltimais. Tokiu atveju pagal Direktyvą 2016/681 nustatyta sistema turi būti taikoma tik tam tikrų skrydžių ir (arba) vežimo tam tikromis transporto priemonėmis (susijusių su, be kita ko, tam tikrais maršrutais, kelionių schemomis, oro uostais, traukinių stotimis ar jūrų uostais, dėl kurių yra duomenų, galinčių pateisinti tokį taikymą) PNR duomenų perdavimui ir tvarkymui. Atitinkama valstybė narė turi atrinkti ES vidaus skrydžius ir (arba) kitomis transporto priemonėmis Sąjungoje vykdomą vežimą, dėl kurių tokia informacija egzistuoja, ir reguliariai peržiūrėti minėtą taikymą, atsižvelgiant į jų atranką pateisinusių sąlygų pokyčius, kad užtikrintų, kad šios sistemos taikymas šiems skrydžiams ir (arba) transportui niekada neviršytų to, kas griežtai būtina, ir
– nacionalinės teisės aktai, kuriuose numatyta tokia minėtų duomenų perdavimo ir tvarkymo sistema, siekiant pagerinti sienų kontrolę ir kovoti su nelegalia imigracija.
8. Sąjungos teisė turi būti aiškinama taip, kad pagal ją nacionaliniam teismui draudžiama apriboti laiko atžvilgiu jo paties pagal nacionalinę teisę priimto sprendimo pripažinti negaliojančiu nacionalinės teisės aktą, kuriuo oro, geležinkelių ir sausumos vežėjai bei kelionių operatoriai įpareigojami perduoti PNR duomenis ir kuriame numatytas tokių duomenų tvarkymas ir saugojimas, nesuderinamas su Direktyvos 2016/681 nuostatomis, siejamomis su ESS 3 straipsnio 2 dalimi, SESV 67 straipsnio 2 dalimi, Pagrindinių teisių chartijos 7, 8 ir 45 straipsniais ir 52 straipsnio 1 dalimi, poveikį. Pagal valstybių narių procesinės autonomijos principą taip gautų įrodymų priimtinumo klausimas sprendžiamas pagal nacionalinę teisę, su sąlyga, kad laikomasi lygiavertiškumo ir veiksmingumo principų.
Parašai.