DOMSTOLENS DOM (stora avdelningen)
den 21 juni 2022 (*)
Innehållsförteckning
I. Tillämpliga bestämmelser
A. Unionsrätt
1. Direktiv 95/46/EG
2. APIdirektivet
3. Direktiv 2010/65
4. Dataskyddsförordningen
5. Direktiv 2016/680
6. PNR-direktivet
7. Rambeslut 2002/475
B. Belgisk rätt
1. Grundlagen
2. Lagen av den 25 december 2016
II. Målet vid den nationella domstolen och tolknings- och giltighetsfrågorna
III. Prövning av tolknings- och giltighetsfrågorna
A. Den första frågan
B. Den andra till den fjärde samt den sjätte frågan
1. Ingrepp till följd av PNR-direktivet i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan
2. Huruvida de ingrepp som följer av PNR-direktivet är motiverade
a) Iakttagande av legalitetsprincipen och det väsentliga innehållet i de grundläggande rättigheterna i fråga
b) Målet av allmänintresse och huruvida behandlingen av PNR-uppgifter är ägnad att uppnå detta mål
c) Huruvida de ingrepp som följer av PNR-direktivet är nödvändiga
1) De uppgifter om flygpassagerare som omfattas av PNR-direktivet
2) Syftena med behandlingen av PNR-uppgifter
3) Sambandet mellan PNR-uppgifterna och ändamålen med behandlingen av dessa uppgifter
4) Flygpassagerarna och de berörda flygningarna
5) Förhandsbedömning av PNR-uppgifter genom automatisk behandling
i) Jämförelse av PNR-uppgifter med databaserna
ii) Behandling av PNR-uppgifter mot bakgrund av på förhand fastställda kriterier
iii) Garantierna kring den automatiska behandlingen av PNR-uppgifter
6) Senare utlämnande och bedömning av PNR-uppgifter
C. Den femte frågan
D. Den sjunde frågan
E. Den åttonde frågan
F. Den nionde frågan, delfråga a
G. Den nionde frågan, delfråga b
H. Den tionde frågan
IV. Rättegångskostnader
”Begäran om förhandsavgörande – Behandling av personuppgifter – Passageraruppgiftssamlingar (PNR-uppgifter) – Förordning (EU) 2016/679 – Artikel 2.2 d – Tillämpningsområde – Direktiv (EU) 2016/681 – Användning av PNR-uppgifter om passagerare på flygningar mellan Europeiska unionen och tredjeland – Möjlighet att inkludera uppgifter om passagerare på flygningar inom EU – Automatisk behandling av dessa uppgifter – Lagringstid – Bekämpande av terroristbrott och grov brottslighet – Giltighet – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8, 21 och 52.1 – Nationell lagstiftning som utvidgar tillämpningen av PNR-systemet till andra transporter inom unionen – Fri rörlighet inom unionen – Stadgan om de grundläggande rättigheterna – Artikel 45”
I mål C‑817/19,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Cour constitutionnelle (Författningsdomstolen, Belgien) genom beslut av den 17 oktober 2019, som inkom till domstolen den 31 oktober 2019, i målet
Ligue des droits humains
mot
Conseil des ministres,
meddelar
DOMSTOLEN (stora avdelningen)
sammansatt av ordföranden K. Lenaerts, avdelningsordförandena A. Arabadjiev, S. Rodin, I. Jarukaitis och N. Jääskinen samt domarna T. von Danwitz (referent), M. Safjan, F. Biltgen, P.G. Xuereb, N. Piçarra, L.S. Rossi, A. Kumin och N. Wahl,
generaladvokat: G. Pitruzzella,
justitiesekreterare: handläggaren M. Krausenböck,
efter det skriftliga förfarandet och förhandlingen den 13 juli 2021,
med beaktande av de yttranden som avgetts av:
– Ligue des droits humains, genom C. Forget, avocate,
– Belgiens regering, genom P. Cottin, J.-C. Halleux, C. Pochet och M. Van Regemorter, samtliga i egenskap av ombud, biträdda av C. Caillet, advocaat, och E. Jacubowitz, avocat, samt G. Ceuppens, V. Dethy och D. Vertongen,
– Tjeckiens regering, genom T. Machovičová, O. Serdula, M. Smolek och J. Vláčil, samtliga i egenskap av ombud,
– Danmarks regering, genom M. Jespersen, J. Nymann-Lindegren, V. Pasternak Jørgensen och M. Søndahl Wolff, samtliga i egenskap av ombud,
– Tysklands regering, genom D. Klebs och J. Möller, båda i egenskap av ombud,
– Estlands regering, genom N. Grünberg, i egenskap av ombud,
– Irland, genom M. Browne, A. Joyce och J. Quaney, samtliga i egenskap av ombud, biträdda av D. Fennelly, BL,
– Spaniens regering, genom L. Aguilera Ruiz, i egenskap av ombud,
– Frankrikes regering, genom D. Dubois, E. de Moustier och T. Stehelin, samtliga i egenskap av ombud,
– Cyperns regering, genom E. Neofytou, i egenskap av ombud,
– Lettlands regering, inledningsvis genom E. Bārdiņš, K. Pommere och V. Soņeca, samtliga i egenskap av ombud,
– Nederländernas regering, genom M.K. Bulterman, A. Hanje, J. Langer och C.S. Schillemans, samtliga i egenskap av ombud,
– Österrikes regering, genom G. Kunnert, A. Posch och J. Schmoll, samtliga i egenskap av ombud,
– Polens regering, genom B. Majczyna, i egenskap av ombud,
– Slovakiens regering, genom B. Ricziová, i egenskap av ombud,
– Finlands regering, genom A. Laine och H. Leppo, båda i egenskap av ombud,
– Europaparlamentet, genom O. Hrstková Šolcová och P. López-Carceller, båda i egenskap av ombud,
– Europeiska unionens råd, genom J. Lotarski, N. Rouam, E. Sitbon och C. Zadra, samtliga i egenskap av ombud,
– Europeiska kommissionen, genom D. Nardi och M. Wasmeier, båda i egenskap av ombud,
– Europeiska datatillsynsmannen, genom P. Angelov, A. Buchta, F. Coudert och C.-A. Marnier, samtliga i egenskap av ombud,
– Europeiska unionens byrå för grundläggande rättigheter, genom L. López, T. Molnar, M. Nespor och M. O’Flaherty, samtliga i egenskap av ombud,
och efter att den 27 januari 2022 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Begäran om förhandsavgörande avser
– tolkningen av artiklarna 2.2 d och 23 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen), rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (EUT L 261, 2004, s. 24) (nedan kallat API‑direktivet) och Europaparlamentets och rådets direktiv 2010/65/EU av den 20 oktober 2010 om rapporteringsformaliteter för fartyg som ankommer till och/eller avgår från hamnar i medlemsstaterna och om upphävande av direktiv 2002/6/EG (EUT L 283, 2010, s. 1),
– tolkningen och giltigheten, mot bakgrund av artiklarna 7, 8 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), av artikel 3 led 4, artiklarna 6 och 12 samt bilaga I till Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (EUT L 119, 2016, s. 132, och rättelse i EUT L 313, 2016, s. 59) (nedan kallat PNR-direktivet), samt
– tolkningen och giltigheten av API‑direktivet mot bakgrund av artikel 3.2 FEU och artikel 45 i stadgan.
2 Begäran har framställts i ett mål mellan Ligue des droits humains och Conseil des ministres (ministerrådet, Belgien) angående lagenligheten av loi du 25 décembre 2016 relative au traitement des données des passagers (lagen av den 25 december 2016 om behandling av passageraruppgifter).
I. Tillämpliga bestämmelser
A. Unionsrätt
1. Direktiv 95/46/EG
3 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) upphävdes, med verkan från den 25 maj 2018, genom dataskyddsförordningen. I artikel 3.2 i direktiv 95/46 föreskrevs följande:
”Detta direktiv gäller inte för sådan behandling av personuppgifter
– som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område,
– av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll.”
2. API‑direktivet
4 I skälen 1, 7, 9 och 12 i API‑direktivet anges följande:
”(1) För att den olagliga invandringen skall kunna bekämpas effektivt och gränskontrollen förbättras är det av största vikt att samtliga medlemsstater inför bestämmelser om skyldigheterna för de lufttrafikföretag som befordrar passagerare till medlemsstaternas territorium. För att säkerställa att detta mål får ett större genomslag bör även de ekonomiska påföljder som medlemsstaterna för närvarande utkräver i de fall då transportörer underlåter att uppfylla sina skyldigheter harmoniseras i så stor utsträckning som möjligt, med beaktande av olikheterna i medlemsstaternas rättssystem och praxis.
…
(7) De skyldigheter som åläggs transportörer enligt detta direktiv kompletterar dem som fastställs enligt bestämmelserna i artikel 26 i 1990 års Schengenkonvention om tillämpning av Schengenavtalet av den 14 juni 1985, kompletterade genom rådets direktiv 2001/51/EG [av den 28 juni 2001 om komplettering av bestämmelserna i artikel 26 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (EGT L 187, 2001, s. 45)], och de båda typerna av skyldighet har det gemensamma syftet att begränsa migrationsströmmarna och bekämpa den olagliga invandringen.
…
(9) För att bekämpa olaglig invandring mer effektivt och för att säkerställa att detta mål får ett större genomslag är det av största vikt, utan att det påverkar tillämpningen av bestämmelserna i direktiv [95/46], att varje teknisk innovation beaktas vid tidigaste möjliga tillfälle, i synnerhet när det gäller införande och användning av biometriska kännetecken i den information som transportörerna skall lämna.
…
(12) Direktiv [95/46] är tillämpligt med avseende på behandlingen av personuppgifter vid myndigheterna i medlemsstaterna. Detta innebär att det skulle vara lagligt att behandla passageraruppgifter som översänds för utförande av gränskontroller även för att kunna använda dem som bevismaterial i förfaranden som syftar till att säkerställa efterlevnaden av lagar och andra författningar om inresa och invandring, inklusive bestämmelser i dessa om skydd av den allmänna ordningen (’ordre public’) och den inre säkerheten, men att ytterligare behandling på ett sätt som är oförenligt med dessa syften skulle strida mot principen i artikel 6.1 b i direktiv [95/46]. Medlemsstaterna bör införa ett påföljdssystem som skall tillämpas om dessa uppgifter används på ett sätt som strider mot syftet med det här direktivet.”
5 I artikel 1 i API‑direktivet, med rubriken ”Mål”, föreskrivs följande:
”Detta direktiv syftar till att förbättra gränskontrollerna och bekämpa olaglig invandring genom att transportörer översänder förhandsuppgifter om passagerare till behöriga nationella myndigheter.”
6 I artikel 2, med rubriken ”Definitioner”, i detta direktiv anges följande:
”I detta direktiv avses med:
a) transportör: varje fysisk eller juridisk person som bedriver yrkesmässig persontrafik luftvägen,
b) yttre gränser: medlemsstaternas yttre gränser till tredjeländer,
c) gränskontroll: den kontroll som utförs vid en gräns uteslutande till följd av en avsikt att passera gränsen utan hänsyn till andra skäl,
d) gränsövergångsställe: varje gränsövergångsställe som de behöriga myndigheterna har godkänt för passage av de yttre gränserna.
e) personuppgifter, behandling av personuppgifter och register med personuppgifter: den betydelse som fastställs i artikel 2 i direktiv [95/46].”
7 I artikel 3 i direktivet, vilken har rubriken ”Överföring av uppgifter”, anges följande:
”1. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att ålägga transportörerna att, på begäran av de myndigheter som ansvarar för personkontrollen vid de yttre gränserna, senast vid slutet av incheckningen översända information om de passagerare som de kommer att befordra till ett godkänt gränsövergångsställe genom vilket dessa personer kommer att resa in på en medlemsstats territorium.
2. Den information som avses ovan skall innehålla uppgift om
– nummer på och typ av resehandling som används,
– nationalitet,
– fullständigt namn,
– födelsedatum,
– gränsövergångsstället för inresa till medlemsstaternas territorium,
– transportkod,
– avgångs- och ankomsttid för transporten,
– det totala antalet passagerare vid den transporten,
– ursprunglig ort för ombordstigning.”
8 I artikel 6 i API‑direktivet, med rubriken ”Behandling av uppgifter”, föreskrivs följande:
”1. De personuppgifter som avses i artikel 3.1 skall översändas till de myndigheter som ansvarar för genomförandet av personkontroller vid de yttre gränser som passeras när passagerarna reser in på en medlemsstats territorium, i syfte att underlätta verkställandet av sådana kontroller för att mer effektivt kunna bekämpa den olagliga invandringen.
Medlemsstaterna skall se till att dessa uppgifter samlas in av transportörerna och överförs elektroniskt eller, om detta är omöjligt, på annat lämpligt sätt till de myndigheter som ansvarar för genomförandet av gränskontrollerna vid det godkända gränsövergångsställe genom vilket passageraren reser in på en medlemsstats territorium. De myndigheter som ansvarar för genomförandet av personkontroller vid de yttre gränserna skall spara uppgifterna i ett tillfälligt register.
När passagerarna har rest in i landet skall dessa myndigheter radera uppgifterna inom 24 timmar efter översändandet såvida inte uppgifterna behövs senare för att de myndigheter som ansvarar för genomförandet av personkontroller vid de yttre gränserna skall kunna utföra sina lagstadgade uppgifter enligt nationell lag och i enlighet med bestämmelser om uppgiftsskydd enligt direktiv [95/46].
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att ålägga transportörer att inom 24 timmar efter det att transportmedlet har anlänt enligt artikel 3.1 radera de personuppgifter som de insamlat och översänt till gränskontrollmyndigheterna i enlighet med detta direktiv.
Medlemsstaterna får även, enligt nationell lag och i enlighet med bestämmelser om uppgiftsskydd enligt direktiv [95/46], använda de personuppgifter som avses i artikel 3.1 för att säkerställa efterlevnaden av lagarna.
2. Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att ålägga transportörer att informera passagerarna i enlighet med bestämmelserna i direktiv [95/46]. Detta skall även innefatta den information som avses i artikel 10 c och artikel 11.1 c i direktiv [95/46].”
3. Direktiv 2010/65
9 Direktiv 2010/65 upphävs, enligt vad som föreskrivs i artikel 25 i Europaparlamentets och rådets förordning (EU) 2019/1239 av den 20 juni 2019 om inrättande av en europeisk kontaktpunkt för sjöfart och om upphävande av direktiv 2010/65 (EUT L 198, 2019, s. 64), från och med den 15 augusti 2025.
10 I skäl 2 i direktiv 2010/65 anges följande:
”För att underlätta för sjöfarten och minska de administrativa bördorna för rederierna behöver de rapporteringsformaliteter som krävs enligt unionsrättsakter och av medlemsstaterna förenklas och harmoniseras i så stor utsträckning som möjligt. …”
11 Artikel 1 i det direktivet har rubriken ”Syfte och tillämpningsområde”. Artikel 1.1 och 1.2 stadgar följande:
”1. Syftet med detta direktiv är att förenkla och harmonisera de administrativa förfaranden som gäller för sjötransporten genom en allmän övergång till elektronisk överföring av uppgifter och genom en förenkling av rapporteringsformaliteterna.
2. Detta direktiv ska tillämpas på rapporteringsformaliteter för sjötransport som är tillämpliga på fartyg som ankommer till och fartyg som avgår från hamnar i medlemsstaterna.”
12 I artikel 8 i detta direktiv, med rubriken ”Sekretess”, föreskrivs följande:
”1. Medlemsstaterna ska i överensstämmelse med tillämpliga unionsrättsakter eller nationell lagstiftning vidta de åtgärder som krävs för att garantera sekretessen för kommersiella och andra konfidentiella uppgifter som utbyts i enlighet med detta direktiv.
2. Medlemsstaterna ska särskilt se till att kommersiella uppgifter som samlas in enligt detta direktiv skyddas. När det gäller personuppgifter ska medlemsstaterna säkerställa att de följer direktiv [95/46]. [Europeiska u]nionens institutioner och organ ska säkerställa att de följer [Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1)].”
4. Dataskyddsförordningen
13 Skäl 19 i dataskyddsförordningen har följande lydelse:
”Skyddet för fysiska personer när det gäller behöriga myndigheters behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten och det fria flödet av sådana uppgifter, säkerställs på unionsnivå av en särskild unionsrättsakt. Därför bör denna förordning inte vara tillämplig på behandling av personuppgifter för dessa ändamål. Personuppgifter som myndigheter behandlar enligt denna förordning och som används för de ändamålen bör emellertid regleras genom en mer specifik unionsrättsakt, nämligen Europaparlamentets och rådets direktiv (EU) 2016/680 [av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89)]. Medlemsstaterna får anförtro behöriga myndigheter i den mening som avses i direktiv … 2016/680 uppgifter som inte nödvändigtvis utförs för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, så att behandlingen av personuppgifter för dessa andra ändamål, i den mån den omfattas av unionsrätten, omfattas av tillämpningsområdet för denna förordning.
…”
14 Artikel 2 i samma förordning har rubriken ”Materiellt tillämpningsområde”. I artikel 2.1 och 2.2 stadgas följande:
”1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2. Denna förordning ska inte tillämpas på behandling av personuppgifter som
a) utgör ett led i en verksamhet som inte omfattas av unionsrätten,
b) medlemsstaterna utför när de bedriver verksamhet som omfattas av avdelning V kapitel 2 i [fördraget om Europeiska unionen],
…
d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”
15 I artikel 4 i förordningen, med rubriken ”Definitioner”, anges följande:
”I denna förordning avses med
1) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person …
2) behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
…”
16 Artikel 23 i dataskyddsförordningen, med rubriken ”Begränsningar”, anger följande:
”1. Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa
a) den nationella säkerheten,
b) försvaret,
c) den allmänna säkerheten,
d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,
…
h) en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i a–e och g,
2. Framför allt ska alla lagstiftningsåtgärder som avses i punkt 1 innehålla specifika bestämmelser åtminstone, när så är relevant, avseende
a) ändamålen med behandlingen eller kategorierna av behandling,
b) kategorierna av personuppgifter,
c) omfattningen av de införda begränsningarna,
d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,
e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,
f) lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,
g) riskerna för de registrerades rättigheter och friheter, och
h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.”
17 I artikel 94 i förordningen, med rubriken ”Upphävande av direktiv [95/46]”, föreskrivs följande:
”1. Direktiv [95/46] ska upphöra att gälla med verkan från och med den 25 maj 2018.
2. Hänvisningar till det upphävda direktivet ska anses som hänvisningar till denna förordning. Hänvisningar till arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, som inrättades genom artikel 29 i direktiv [95/46], ska anses som hänvisningar till Europeiska dataskyddsstyrelsen, som inrättas genom denna förordning.”
5. Direktiv 2016/680
18 Direktiv 2016/680 har, enligt dess artikel 59, från och med den 6 maj 2018 upphävt och ersatt rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 2008, s. 60).
19 I skäl 9–11 i direktiv 2016/680 anges följande:
”(9) Med stöd av denna grund fastställs i [dataskyddsförordningen] allmänna bestämmelser om skydd av fysiska personer i samband med behandling av personuppgifter och om det fria flödet för sådana uppgifter inom unionen.
(10) I förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att det med hänsyn till detta områdes särart kan komma att bli nödvändigt att anta särskilda regler om skydd av personuppgifter och om det fria flödet av personuppgifter på området för straffrättsligt samarbete och polissamarbete med stöd av artikel 16 [FEUF].
(11) Det är därför lämpligt att dessa områden behandlas i ett direktiv som fastställer särskilda regler om skydd för fysiska personer i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, med respekt för den särskilda karaktären hos denna verksamhet. Sådana behöriga myndigheter kan omfatta inte bara offentliga myndigheter såsom rättsliga myndigheter, polis eller andra brottsbekämpande myndigheter, utan också alla andra organ eller enheter som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning enligt detta direktiv. [Dataskyddsförordningen] bör tillämpas när ett sådant organ eller en sådan enhet behandlar personuppgifter för andra ändamål än de som avses i detta direktiv. [Dataskyddsförordningen] är därför tillämplig i fall då ett organ eller en enhet samlar in personuppgifter för andra ändamål och behandlar dessa personuppgifter ytterligare för att iaktta sina rättsliga skyldigheter. Exempelvis behåller finansinstitut vissa personuppgifter som de behandlar i syfte att utreda, avslöja eller lagföra brott, och tillhandahåller dessa personuppgifter för behöriga nationella myndigheter endast i särskilda fall och i enlighet med medlemsstaternas nationella rätt. Ett organ eller en enhet som behandlar personuppgifter för sådana myndigheters räkning inom detta direktivs tillämpningsområde bör vara bundet av ett avtal eller annan rättsakt och de bestämmelser som är tillämpliga på personuppgiftsbiträden enligt detta direktiv, medan tillämpningen av [dataskyddsförordningen] förblir opåverkad när det gäller personuppgiftsbiträdets behandling av personuppgifter som inte omfattas av detta direktivs tillämpningsområde.”
20 Artikel 1 i detta direktiv har rubriken ”Syfte och mål” och motsvarar i huvudsak artikel 1 i rambeslut 2008/977. Artikel 1.1 föreskriver följande:
”I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”
21 I artikel 3 i direktivet, som har rubriken ”Definitioner”, föreskrivs följande:
”I detta direktiv avses med
…
7. behörig myndighet:
a) en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten, eller
b) annat organ eller annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten,
…”
6. PNR-direktivet
22 I skälen 4–12, 15, 19, 20, 22, 25, 27, 28, 33, 36 och 37 i PNR-direktivet anges följande:
”(4) I [API‑direktivet] regleras transportörers översändande av förhandsinformation om passagerare (API‑uppgifter) till behöriga nationella myndigheter i syfte att förbättra gränskontrollerna och bekämpa olaglig invandring.
(5) Målen för detta direktiv är bland annat att trygga säkerheten, skydda personers liv och säkerhet och att inrätta en rättslig ram för skydd av PNR-uppgifter vid behöriga myndigheters behandling av dessa.
(6) En effektiv användning av PNR-uppgifter, exempelvis genom att jämföra PNR-uppgifter med uppgifter i olika databaser över eftersökta personer och föremål, är nödvändig för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten, för att samla in bevisning och i förekommande fall för att hitta medbrottslingar och avslöja kriminella nätverk.
(7) Bedömningen av PNR-uppgifter gör det möjligt att identifiera personer som tidigare inte har varit misstänkta för delaktighet i terroristbrott eller grov brottslighet innan en sådan bedömning görs och som bör undersökas närmare av de behöriga myndigheterna. Genom att använda PNR-uppgifter är det möjligt att möta hotet från terroristbrott och grov brottslighet från en annan utgångspunkt än vid behandling av andra kategorier av personuppgifter. För att säkerställa att behandlingen av PNR-uppgifter begränsas till vad som är nödvändigt, bör emellertid utformning och tillämpning av bedömningskriterierna begränsas till att endast omfatta terroristbrott och grov brottslighet för vilka användningen av sådana kriterier är relevant. Bedömningskriterierna bör dessutom fastställas på ett sätt som gör att så få oskyldiga människor som möjligt identifieras felaktigt av systemet.
(8) Redan nu samlar lufttrafikföretagen in och behandlar PNR-uppgifter om sina passagerare för sina egna kommersiella syften. Detta direktiv bör inte medföra någon skyldighet för lufttrafikföretagen att samla in eller lagra några ytterligare uppgifter om passagerare eller någon skyldighet för passagerare att tillhandahålla några uppgifter utöver dem som redan tillhandahålls lufttrafikföretagen.
(9) Vissa lufttrafikföretag lagrar insamlade API‑uppgifter som en del av PNR-uppgifterna, andra gör det inte. Att använda PNR-uppgifter tillsammans med API‑uppgifter tillför ett mervärde, genom att det hjälper medlemsstaterna att kontrollera en individs identitet, vilket ökar PNR-uppgifternas betydelse för brottsbekämpningen och minimerar risken för att man kontrollerar och utreder oskyldiga människor. Därför är det viktigt att säkerställa att lufttrafikföretag, om de samlar in API‑uppgifter, överför dessa, oavsett om de lagrar API‑uppgifter med hjälp av andra tekniska metoder än andra PNR-uppgifter.
(10) För att det ska gå att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet är det av största vikt att alla medlemsstater inför bestämmelser om skyldigheter för lufttrafikföretag som tillhandahåller flygförbindelser utanför EU att överföra de PNR-uppgifter, inklusive API‑uppgifter, som de samlar in. Medlemsstaterna bör även ha möjlighet att utsträcka denna skyldighet till lufttrafikföretag som tillhandahåller flygförbindelser inom EU. De bestämmelserna bör inte påverka tillämpningen av [API‑direktivet].
(11) Behandlingen av personuppgifter bör stå i proportion till de särskilda säkerhetsmål som detta direktiv syftar till att uppfylla.
(12) Den definition av terroristbrott som tillämpas i detta direktiv bör vara densamma som i [rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism (EGT L 164, 2002, s. 3)]. Definitionen av allvarlig brottslighet bör omfatta de brottskategorier som förtecknas i bilaga II till detta direktiv.
…
(15) En förteckning över PNR-uppgifter som ska vidarebefordras till en enhet för passagerarinformation bör utformas i syfte att återspegla de offentliga myndigheternas legitima krav på att kunna förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten i unionen, samtidigt som grundläggande rättigheter skyddas, särskilt rätten till skydd av privatlivet och rätten till skydd av personuppgifter. I detta syfte bör höga standarder tillämpas, i enlighet med [stadgan], konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter (nedan kallad konvention nr 108) och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna[, som undertecknades i Rom den 4 november 1950] (nedan kallad Europakonventionen). En sådan förteckning bör inte grundas på en persons ras eller etniska ursprung, religion eller övertygelse, politiska eller annan åskådning, medlemskap i fackförening, hälsotillstånd, sexualliv eller sexuella läggning. PNR-uppgifterna bör endast omfatta sådan information om passagerarens bokning och resrutt som gör det möjligt för de behöriga myndigheterna att identifiera flygpassagerare som utgör ett hot mot den inre säkerheten.
…
(19) Varje medlemsstat bör ansvara för att bedöma potentiella hot från terroristbrott och grov brottslighet.
(20) Med fullt beaktande av rätten till skydd av personuppgifter och rätten till icke-diskriminering, bör inga beslut som har negativa rättsliga verkningar för en person eller som på ett väsentligt sätt påverkar denna person fattas enbart på grund av den automatiska behandlingen av PNR-uppgifter. Med hänsyn till artiklarna 8 och 21 i stadgan bör sådana beslut inte diskriminera på grund av en persons kön, ras, hudfärg, etniska eller sociala ursprung, genetiska särdrag, språk, religion eller övertygelse, politiska eller annan åskådning, tillhörighet till en nationell minoritet, förmögenhet, börd, funktionshinder, ålder eller sexuella läggning. [Europeiska k]ommissionen bör även beakta dessa principer när den ser över tillämpningen av detta direktiv.
…
(22) Med fullt beaktande av principerna i aktuell relevant rättspraxis från Europeiska unionens domstol bör tillämpningen av detta direktiv säkerställa full respekt för de grundläggande rättigheterna, rätten till skydd av privatlivet och proportionalitetsprincipen. Den bör även till fullo vara förenlig med vad som är nödvändigt och proportionellt för att de mål av allmänt intresse som erkänts av unionen ska uppnås och med behovet att skydda andras rättigheter och friheter i kampen mot terroristbrott och grov brottslighet. Tillämpningen av detta direktiv bör vara vederbörligen motiverad och nödvändiga skyddsåtgärder bör vidtas för att säkerställa att all lagring, analys, överföring eller användning av PNR-uppgifter sker på laglig grund.
…
(25) Lagringstiden för PNR-uppgifter bör vara tillräckligt lång och stå i proportion till ändamålen, nämligen att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Med tanke på PNR-uppgifternas art och användningsområden bör det vara tillåtet att lagra dem tillräckligt länge för att de ska kunna användas i samband med analyser och utredningar. För att undvika oproportionell användning bör PNR-uppgifterna efter den inledande lagringsperioden avidentifieras genom maskering av uppgifter. För att säkerställa högsta möjliga nivå av dataskydd bör åtkomst till fullständiga PNR-uppgifter, vilka gör det möjligt att direkt identifiera den registrerade, endast beviljas under mycket strikta och begränsade villkor efter den inledande perioden.
…
(27) Den behandling av PNR-uppgifter som i medlemsstaterna utförs av enheten för passagerarinformation och de behöriga myndigheterna bör omfattas av en standard för skydd av personuppgifter enligt nationell rätt i linje med [rambeslut 2008/977] och de särskilda kraven på dataskydd som fastställs i detta direktiv. Hänvisningar till rambeslut [2008/977] bör ses som hänvisningar till gällande lagstiftning och till lagstiftning som kommer att ersätta denna.
(28) Med hänsyn till rätten till skydd för personuppgifter är det viktigt att de registrerades rättigheter vid behandling av PNR-uppgifter som rör dem, till exempel rätt till åtkomst, rättelse, radering och begränsning samt rätt till ersättning och tillgång till rättsmedel överensstämmer med både rambeslut [2008/977] och den höga skyddsnivå som stadgan och Europakonventionen föreskriver.
…
(33) Detta direktiv påverkar inte medlemsstaternas möjligheter att i enlighet med nationell rätt tillhandahålla ett system för insamling och behandling av PNR-uppgifter från ekonomiska aktörer som inte är transportörer, t.ex. resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, för vilka de samlar in och behandlar PNR-uppgifter, eller från andra transportföretag än de som anges i detta direktiv, förutsatt att sådan nationell rätt är förenlig med unionsrätten.
…
(36) Detta direktiv står i överensstämmelse med de grundläggande rättigheterna och principerna i stadgan, särskilt rätten till skydd av personuppgifter, rätten till respekt för privatlivet och rätten till icke-diskriminering, som skyddas genom artiklarna 8, 7 och 21 i stadgan, och bör därför genomföras i enlighet med dessa. Detta direktiv överensstämmer med principerna om dataskydd och dess bestämmelser är förenliga med rambeslut [2008/977]. För att detta direktiv inte ska inkräkta på proportionalitetsprincipen kommer dess bestämmelser om dataskydd i vissa fall att vara strängare än motsvarande bestämmelser i rambeslut [2008/977].
(37) Tillämpningsområdet för detta direktiv är så begränsat som möjligt eftersom det föreskriver att PNR-uppgifter får lagras i enheter för passagerarinformation i högst fem år, varefter de bör raderas, det föreskriver att uppgifterna bör avidentifieras genom maskering av uppgifter efter en inledande period av sex månader, och det förbjuder insamling och användning av känsliga uppgifter. För att säkerställa effektivitet och en hög nivå av dataskydd, bör medlemsstaterna se till att en oberoende nationell tillsynsmyndighet och särskilt ett dataskyddsombud ges ansvaret för att meddela riktlinjer för och övervaka på vilket sätt PNR-uppgifter behandlas. All behandling av PNR-uppgifter bör loggas eller dokumenteras i syfte att kontrollera att den är laglig, att möjliggöra självövervakning och att säkerställa uppgifternas integritet och en säker behandling. Medlemsstaterna bör också se till att passagerarna klart och tydligt informeras om insamlingen av PNR-uppgifter och om sina rättigheter.”
23 I artikel 1 i PNR-direktivet, med rubriken ”Syfte och tillämpningsområde”, anges följande:
”1. Detta direktiv innehåller bestämmelser om
a) lufttrafikföretags överföring av passageraruppgiftssamlingar (PNR-uppgifter) om passagerare på flygningar utanför EU,
b) behandlingen av de uppgifter som avses i led a, inbegripet medlemsstaternas insamling, användning, lagring och inbördes utbyte av dessa uppgifter.
2. PNR-uppgifter som samlas in i enlighet med detta direktiv får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 6.2 a, b och c.”
24 Artikel 2 i direktivet, med rubriken ”Detta direktivs tillämpning på flygningar inom EU”, har följande lydelse:
”1. Om en medlemsstat beslutar att tillämpa detta direktiv på flygningar inom EU, ska denna medlemsstat skriftligen meddela kommissionen detta. En medlemsstat får när som helst lämna eller återkalla ett sådant meddelande. Kommissionen ska offentliggöra detta meddelande, och en eventuell återkallelse av det, i Europeiska unionens officiella tidning.
2. När ett meddelande som avses i punkt 1 lämnas, ska alla bestämmelser i detta direktiv gälla för flygningar inom EU som om de vore flygningar utanför EU och för PNR-uppgifter från flygningar inom EU som om de vore PNR-uppgifter från flygningar utanför EU.
3. En medlemsstat får besluta att endast tillämpa detta direktiv på valda flygningar inom EU. När medlemsstaten fattar ett sådant beslut, ska den välja de flygningar som den anser vara nödvändiga för att efterfölja målen för detta direktiv. Medlemsstaten får när som helst besluta att ändra urvalet av flygningar inom EU.”
25 Artikel 3 i direktivet, som har rubriken ”Definitioner”, anger följande:
”I detta direktiv avses med
1) lufttrafikföretag: ett lufttrafikföretag med giltig operativ licens eller motsvarande som ger rätt att bedriva passagerarflygtrafik,
2) flygning utanför EU: varje reguljär eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från ett tredjeland och planerad landning på en medlemsstats territorium eller flygning från en medlemsstats territorium med planerad landning i ett tredjeland, i båda fallen inklusive eventuella mellanlandningar på territorier i medlemsstater eller tredjeländer,
3) flygning inom EU: varje reguljär eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från en medlemsstats territorium och planerad landning på en eller flera andra medlemsstaters territorium, utan eventuella mellanlandningar på tredjeländers territorier,
4) passagerare: alla personer, inbegripet personer i transfer eller transit förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett flygplan med lufttrafikföretagets godkännande, vilket godkännande framgår av att denna person står med på passagerarförteckningen,
5) passageraruppgiftssamling eller PNR-uppgifter: en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i reservationssystemet, det avgångskontrollsystem som används för att checka in passagerare på flygningar eller likvärdiga system med motsvarande uppgift,
6) reservationssystem: lufttrafikföretagets interna system, där PNR-uppgifter samlas för hantering av reservationer,
7) sändmetod: den metod varigenom lufttrafikföretagen överför de PNR-uppgifter som förtecknas i bilaga I till databasen vid den myndighet som begärt dem,
8) terroristbrott: de brott enligt nationell rätt som avses i artiklarna 1–4 i rambeslut [2002/475],
9) grov brottslighet: brott som förtecknas i bilaga II som kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt,
10) avidentifiering genom maskering av uppgifter: att göra de uppgifter som kan användas för att omedelbart identifiera den registrerade osynliga för en användare.”
26 Artikel 4 i PNR-direktivet har rubriken ”Enhet för passagerarinformation”. I artikel 4.1–4.3 föreskrivs följande:
”1. Varje medlemsstat ska inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet, vilken ska fungera som medlemsstatens enhet för passagerarinformation.
2. Enheten för passagerarinformation ska ansvara för att
a) samla in PNR-uppgifter från lufttrafikföretagen, lagra och behandla dessa uppgifter och överföra dessa uppgifter eller resultatet av behandlingen av dem till de behöriga myndigheter som avses i artikel 7,
b) utbyta både PNR-uppgifter och resultatet av behandlingen av dessa uppgifter med andra medlemsstaters enheter för passagerarinformation och med Europol i enlighet med artiklarna 9 och 10.
3. Personal vid enheten för passagerarinformation kan utgöras av tjänstemän som avdelats från behöriga myndigheter. Medlemsstaterna ska ge enheterna för passagerarinformation tillräckliga resurser för att de ska kunna utföra sina uppgifter.”
27 Artikel 5 i direktivet, med rubriken ”Dataskyddsombud vid enheten för passagerarinformation”, har följande lydelse:
”1. Enheten för passagerarinformation ska utse ett dataskyddsombud, som ska ansvara för övervakningen av behandlingen av PNR-uppgifter och för genomförandet av relevanta skyddsåtgärder.
2. Medlemsstaterna ska förse dataskyddsombuden med de resurser som de behöver för att utföra sina uppgifter i enlighet med denna artikel på ett effektivt och oberoende sätt.
3. Medlemsstaterna ska se till att en registrerad har rätt att kontakta dataskyddsombudet, i egenskap av enda kontaktpunkt, i alla frågor som rör behandlingen av den registrerades PNR-uppgifter.”
28 I artikel 6 i direktivet, med rubriken ”Behandling av PNR-uppgifter”, föreskrivs följande:
”1. PNR-uppgifter som överförs av lufttrafikföretag ska samlas in av den berörda medlemsstatens enhet för passagerarinformation i enlighet med artikel 8. Om PNR-uppgifter som överförs av lufttrafikföretag omfattar andra uppgifter än dem som anges i bilaga I, ska enheten för passagerarinformation omedelbart och slutgiltigt radera dessa vid mottagandet.
2. Enheten för passagerarinformation ska enbart behandla PNR-uppgifterna för följande ändamål:
a) Göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna enligt artikel 7 och i förekommande fall Europol enligt artikel 10 behöver utreda ytterligare, på grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.
b) I enskilda fall, besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling.
c) Analysera PNR-uppgifter för att uppdatera och skapa nya kriterier som ska användas vid de bedömningar som genomförs enligt punkt 3 b, i syfte att identifiera personer som kan vara delaktiga i terroristbrott eller grov brottslighet.
3. När enheten för passagerarinformation utför den bedömning som avses i punkt 2 a får den:
a) Jämföra PNR-uppgifter med uppgifter i databaser som är relevanta för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, inklusive databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser, eller
b) behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier.
4. En bedömning av passagerare före planerad ankomst till eller avresa från medlemsstaten som görs enligt punkt 3 b i enlighet med på förhand fastställda kriterier ska utföras på ett icke-diskriminerande sätt. Dessa på förhand fastställda kriterier måste vara riktade, proportionella och specifika. Medlemsstaterna ska se till att kriterierna fastställs och regelbundet ses över av enheterna för passagerarinformation i samarbete med de behöriga myndigheter som avses i artikel 7. Dessa på förhand fastställda kriterier får under inga omständigheter vara baserade på en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.
5. Medlemsstaterna ska se till att eventuella träffar i samband med automatisk behandling av PNR-uppgifter enligt punkt 2 a granskas individuellt med icke-automatiska metoder, för att verifiera huruvida den behöriga myndighet som avses i artikel 7 behöver vidta åtgärder enligt nationell rätt.
6. Enheten för passagerarinformation i en medlemsstat ska översända PNR-uppgifterna beträffande personer som har identifierats i enlighet med punkt 2 a eller resultaten av behandlingen av dessa uppgifter till de behöriga myndigheter som avses i artikel 7 i samma medlemsstat för vidare granskning. Sådana överföringar får endast göras i enskilda fall och, vid automatisk behandling av PNR-uppgifter, efter individuell icke-automatisk granskning.
7. Medlemsstaterna ska se till att dataskyddsombudet har åtkomst till alla uppgifter som enheten för passagerarinformation behandlar. Om dataskyddsombudet anser att behandlingen av vissa uppgifter inte har varit lagenlig, ska dataskyddsombudet hänskjuta ärendet till den nationella tillsynsmyndigheten.
…
9. Konsekvenserna av de bedömningar av passagerare som avses i punkt 2 a i denna artikel får inte äventyra rätten för personer som åtnjuter fri rörlighet enligt unionsrätten att resa in på den berörda medlemsstatens territorium i enlighet med Europaparlamentets och rådets direktiv 2004/38/EG [av den 29 april 2004 om unionsmedborgares och deras familjemedlemmars rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier och om ändring av förordning (EEG) nr 1612/68 och om upphävande av direktiven 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG och 93/96/EEG (EUT L 158, 2004, s. 77)]. När bedömningarna sker i samband med flygningar inom EU mellan medlemsstater för vilka Europaparlamentets och rådets förordning (EG) nr 562/2006 [av den 15 mars 2006 om en gemenskapskodex om gränspassage för personer (kodex om Schengengränserna) (EUT L 105, 2006, s. 1)] är tillämplig, ska konsekvenserna av sådana bedömningar vara förenliga med den förordningen.”
29 I artikel 7 i direktivet, med rubriken ”Behöriga myndigheter”, föreskrivs följande:
”1. Varje medlemsstat ska fastställa en förteckning över de behöriga myndigheter som har befogenhet att begära eller motta PNR-uppgifter eller resultat av behandlingen av dessa uppgifter från enheten för passagerarinformation för vidare granskning av informationen eller för att vidta lämpliga åtgärder för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.
2. De myndigheter som avses i punkt 1 ska vara myndigheter som är behöriga att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.
…
4. PNR-uppgifter och resultaten av behandling av dessa uppgifter som mottas av enheten för passagerarinformation får endast vidarebehandlas av de behöriga myndigheterna i medlemsstaterna, om det specifika syftet är att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet.
5. Punkt 4 ska inte påverka de brottsbekämpande eller rättsliga myndigheternas befogenheter på nationell nivå, om andra brott eller indikationer på sådana upptäcks i samband med brottsbekämpande insatser som görs till följd av sådan behandling av PNR-uppgifter.
6. De behöriga myndigheterna får inte fatta några beslut som har negativa rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar en person endast på grund av den automatiska behandlingen av PNR-uppgifter. Besluten får inte grunda sig på en persons ras eller etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.”
30 Artikel 8 i direktivet har rubriken ”Lufttrafikföretagens skyldigheter vad gäller överföring av uppgifter”. Artikel 8.1–8.3 föreskriver följande:
”1. Medlemsstaterna ska anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag genom sändmetoden överför de PNR-uppgifter som förtecknas i bilaga I, förutsatt att de redan samlar in sådana uppgifter som en del av sin normala affärsverksamhet, till databasen hos enheten för passagerarinformation i den medlemsstat på vars territorium flygningen kommer att ankomma eller från det territorium varifrån flygningen kommer att avgå. Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag ska det företag som utför flygningen överföra PNR-uppgifter om samtliga passagerare ombord. Om en flygning utanför EU omfattar en eller flera mellanlandningar på medlemsstaternas flygplatser, ska lufttrafikföretagen överföra PNR-uppgifterna för alla passagerare till enheterna för passagerarinformation i alla berörda medlemsstater. Detta gäller även om en flygning inom EU innebär en eller flera mellanlandningar på olika medlemsstaters flygplatser, men endast i fråga om medlemsstater som samlar in PNR-uppgifter från flygningar inom EU.
2. Om lufttrafikföretagen har samlat in sådan[a API‑uppgifter] som förtecknas i punkt 18 i bilaga I men inte lagrar denna information med hjälp av samma tekniska metoder som för andra PNR-uppgifter, ska medlemsstaterna vidta nödvändiga åtgärder för att säkerställa att lufttrafikföretagen genom sändmetoden även överför dessa uppgifter till enheten för passagerarinformation i de medlemsstater som avses i punkt 1. Vid sådan överföring ska alla bestämmelser i detta direktiv vara tillämpliga på dessa API‑uppgifter.
3. Lufttrafikföretagen ska överföra PNR-uppgifter elektroniskt med användning av de gemensamma protokoll och understödda dataformat som ska antas i enlighet med det granskningsförfarande som avses i artikel 17.2 eller, vid eventuella tekniska problem, på något annat sätt som säkerställer ett lämpligt dataskydd
a) 24–48 timmar före flygningens planerade avgång, och
b) omedelbart efter det att gatens dörrar stängts, det vill säga när passagerarna har stigit ombord på planet inför avgång och passagerare inte längre tillåts stiga ombord eller stiga av.”
31 I artikel 12 i direktivet, med rubriken ”Lagringstid för uppgifter och avidentifiering”, föreskrivs följande:
”1. Medlemsstaterna ska se till att PNR-uppgifter som lämnas av lufttrafikföretag till enheten för passagerarinformation lagras i en databas vid enheten under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick.
2. Vid utgången av en period på sex månader efter överföringen av de PNR-uppgifter som avses i punkt 1 ska alla PNR-uppgifter avidentifieras genom maskering av följande uppgifter, som kan användas för att omedelbart identifiera de passagerare som PNR-uppgifterna avser:
a) Namn, inklusive namn på andra passagerare i PNR samt antal passagerare i PNR som reser tillsammans.
b) Adress och kontaktuppgifter.
c) Alla former av betalningsinformation, inbegripet faktureringsadress, om denna innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser eller andra personer.
d) Uppgifter om bonusprogram.
e) Allmänna anmärkningar, om dessa innehåller uppgifter som kan användas för att omedelbart identifiera den passagerare som passageraruppgiftssamlingar avser.
f) Alla API‑uppgifter som samlats in.
3. Vid utgången av den sexmånadersperiod som avses i punkt 2 ska utlämnande av de fullständiga PNR-uppgifterna tillåtas endast
a) om det rimligen kan antas vara nödvändigt för de ändamål som avses i artikel 6.2 b, och
b) efter tillstånd från
i) en rättslig myndighet, eller
ii) en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda, under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvärdering.
4. Medlemsstaterna ska se till att PNR-uppgifterna slutgiltigt raderas vid utgången av den period som avses i punkt 1. Denna skyldighet gäller dock inte om specifika PNR-uppgifter har överförts till en behörig myndighet och används i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott eller grov brottslighet, varvid den behöriga myndighetens lagring av uppgifterna i stället ska regleras av nationell rätt.
5. Resultaten av den behandling som avses i artikel 6.2 a ska bevaras endast av enheten för passagerarinformation så länge som krävs för att informera de behöriga myndigheterna och, i enlighet med artikel 9.1, för att informera enheterna för passagerarinformation i andra medlemsstater om en träff. Även om automatisk behandling som utförs efter en sådan individuell icke-automatisk granskning som avses i artikel 6.5 inte ger någon träff, får resultatet bevaras för att undvika framtida ’falska’ träffar, så länge de bakomliggande uppgifterna inte har raderats enligt punkt 4 i den här artikeln.”
32 Artikel 13 i PNR-direktivet har rubriken ”Skydd av personuppgifter”. I artikel 13.1–13.5 föreskrivs följande:
”1. Medlemsstaterna ska föreskriva att alla passagerare vid all behandling av personuppgifter i enlighet med detta direktiv har samma rätt till skydd av sina personuppgifter, rätt till åtkomst, rättelse, radering och begränsning samt rätt till ersättning och tillgång till rättsmedel som fastställs i unionsrätten och nationell rätt och för genomförande av artiklarna 17, 18, 19 och 20 i rambeslut [2008/977]. Dessa artiklar ska därför tillämpas.
2. Medlemsstaterna ska föreskriva att de nationella bestämmelser om konfidentiell behandling och datasäkerhet som har antagits för genomförande av artiklarna 21 och 22 i rambeslut [2008/977] även är tillämpliga på all behandling av personuppgifter i enlighet med detta direktiv.
3. Detta direktiv påverkar inte tillämpligheten av [direktiv 95/46] på lufttrafikföretags behandling av personuppgifter, i synnerhet deras skyldigheter att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifters säkerhet och konfidentialitet.
4. Medlemsstaterna ska förbjuda behandling av PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning. Om enheten för passagerarinformation mottar PNR-uppgifter som avslöjar sådana uppgifter, ska dessa uppgifter omedelbart raderas.
5. Medlemsstaterna ska se till att enheten för passagerarinformation bevarar dokumentation om alla system och förfaranden för uppgiftsbehandling inom deras ansvarsområde. Dokumentationen ska minst innehålla
a) namn och kontaktuppgifter för den organisatoriska enhet och den personal vid enheten för passagerarinformation som anförtrotts behandlingen av PNR-uppgifter och de olika nivåerna av åtkomstbehörighet,
b) begäran från behöriga myndigheter och enheter för passagerarinformation i andra medlemsstater,
c) begäran om och överföring av PNR-uppgifter till ett tredjeland.
Enheten för passagerarinformation ska på begäran göra all dokumentation tillgänglig för den nationella tillsynsmyndigheten.”
33 I artikel 15 i direktivet, som har rubriken ”Nationell tillsynsmyndighet”, föreskrivs följande:
”1. Varje medlemsstat ska föreskriva att den nationella tillsynsmyndighet som avses i artikel 25 i rambeslut [2008/977] ska ansvara för att inom sitt territorium ge riktlinjer för och övervaka tillämpningen av de bestämmelser som medlemsstaterna antar i enlighet med detta direktiv. Artikel 25 i rambeslut [2008/977] ska tillämpas.
2. De nationella tillsynsmyndigheterna ska utföra sina uppgifter enligt punkt 1 i syfte att skydda grundläggande rättigheter i samband med behandling av personuppgifter.
3. Varje nationell tillsynsmyndighet ska
a) hantera klagomål från en registrerad, undersöka ärendet och inom rimlig tid informera de registrerade om förloppet för och resultatet av dennes klagomål,
b) kontrollera att uppgiftsbehandlingen är laglig, genomföra utredningar, inspektioner och revision i enlighet med nationell rätt, antingen på eget initiativ eller på grundval av ett klagomål som avses i led a.
4. Varje nationell tillsynsmyndighet ska på begäran ge registrerade råd om hur de kan utöva de rättigheter som fastställs i de bestämmelser som antas i enlighet med detta direktiv.”
34 Artikel 19, med rubriken ”Översyn”, i direktivet har följande lydelse:
”1. På grundval av information som medlemsstaterna tillhandahållit, inbegripet de statistiska uppgifter som avses i artikel 20.2, ska kommissionen senast den 25 maj 2020 göra en översyn av samtliga delar av detta direktiv och överlämna till och lägga fram en rapport för Europaparlamentet och [Europeiska unionens råd].
2. Kommissionen ska, när den utför sin översyn, lägga särskild vikt vid
a) efterlevnaden av de tillämpliga standarderna för skydd av personuppgifter,
b) nödvändigheten och proportionaliteten i insamlingen och behandlingen av PNR-uppgifter för vart och ett av de syften som fastställs i detta direktiv,
c) längden på den period som uppgifterna lagras,
d) ändamålsenligheten i informationsutbytet mellan medlemsstaterna, och
e) kvaliteten på bedömningarna, även med hänsyn till den statistik som samlats in i enlighet med artikel 20.
3. Den rapport som avses i punkt 1 ska också innefatta en översyn av nödvändigheten, proportionaliteten och ändamålsenligheten i att i detta direktivs tillämpningsområde inbegripa obligatorisk insamling och överföring av PNR-uppgifter avseende samtliga eller utvalda flygningar inom EU. Kommissionen ska beakta medlemsstaternas erfarenheter, särskilt de medlemsstater som tillämpar detta direktiv på flygningar inom EU i enlighet med artikel 2. Rapporten ska också beakta huruvida det är nödvändigt att låta ekonomiska aktörer som inte är trafikföretag, t.ex. resebyråer och researrangörer som tillhandahåller reserelaterade tjänster, inklusive bokning av flygningar, omfattas av detta direktivs tillämpningsområde.
4. Mot bakgrund av den översyn som genomförs i enlighet med denna artikel, ska kommissionen om lämpligt lägga fram ett lagstiftningsförslag för Europaparlamentet och rådet i syfte att ändra detta direktiv.”
35 Artikel 21 i samma direktiv har rubriken ”Förhållande till andra instrument”. I punkt 2 i den artikeln föreskrivs följande:
”Detta direktiv påverkar inte tillämpligheten av direktiv [95/46] på lufttrafikföretags behandling av personuppgifter.”
36 I bilaga I till PNR-direktivet, som har rubriken ”Personuppgifter som samlas in av lufttrafikföretag”, anges följande:
”1. PNR-uppgifternas lokaliseringskod.
2. Datum för bokning/utfärdande av biljett.
3. Planerat/planerade resdatum.
4. Namn.
5. Adress och kontaktuppgifter (telefonnummer och e-postadress).
6. Alla former av betalningsinformation, inbegripet faktureringsadress.
7. Hela resrutten för aktuell passageraruppgiftssamling.
8. Uppgifter om bonusprogram.
9. Resebyrå/resebyråtjänsteman.
10. Passagerarens resestatus, inbegripet resebekräftelser, incheckningsstatus, no show (passagerare som inte infinner sig) eller go show (passagerare utan bokning).
11. Delade PNR-uppgifter.
12. Allmänna anmärkningar (inklusive alla tillgängliga uppgifter om ensamkommande barn under 18 år, såsom namn och kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet, flygplatsanställd som ledsagar barnet vid avresan respektive ankomsten).
13. Biljettinformation, inbegripet biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift.
14. Platsnummer och annan platsinformation.
15. Information om gemensam linjebeteckning.
16. All bagageinformation.
17. Antal medresenärer i PNR-uppgifterna samt deras namn.
18. Eventuell förhandsinformation (API) som samlats in (inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland och sista giltighetsdag, nationalitet, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avresehamn, ankomsthamn, avresetid och ankomsttid).
19. Alla ändringar som gjorts av de PNR-uppgifter som anges i punkterna 1–18.”
37 Bilaga II till direktivet, med rubriken ”Förteckning över brott enligt artikel 3.9”, har följande lydelse:
”1. Deltagande i en kriminell organisation.
2. Människohandel.
3. Sexuellt utnyttjande av barn samt barnpornografi.
4. Olaglig handel med narkotika och psykotropa ämnen.
5. Olaglig handel med vapen, ammunition och sprängämnen.
6. Korruption.
7. Bedrägeri, inbegripet riktat mot unionens finansiella intressen.
8. Penningtvätt och penningförfalskning, inklusive förfalskning av euron.
9. It-brottslighet/cyberbrottslighet.
10. Miljöbrott, inbegripet olaglig handel med hotade djurarter och hotade växtarter och växtsorter.
11. Hjälp till olovlig inresa och olovlig vistelse.
12. Mord, grov misshandel.
13. Olaglig handel med mänskliga organ och vävnader.
14. Människorov, olaga frihetsberövande och tagande av gisslan.
15. Organiserad stöld och väpnat rån.
16. Olaglig handel med kulturföremål, inbegripet antikviteter och konstverk.
17. Varumärkesförfalskning och piratkopiering.
18. Förfalskning av administrativa dokument och handel med sådana förfalskningar.
19. Olaglig handel med hormonsubstanser och andra tillväxtsubstanser.
20. Olaglig handel med nukleära och radioaktiva ämnen.
21. Våldtäkt.
22. Brott som omfattas av den internationella brottmålsdomstolens behörighet.
23. Kapning av flygplan eller fartyg.
24. Sabotage.
25. Handel med stulna fordon.
26. Industrispionage.”
7. Rambeslut 2002/475
38 I artikel 1 i rambeslut 2002/475 definierades begreppet terroristbrott med en uppräkning av sådana uppsåtliga handlingar som avsågs i leden a–i i samma artikel och som begåtts i syfte att ”injaga allvarlig fruktan hos en befolkning”, ”otillbörligen tvinga offentliga organ eller en internationell organisation att utföra eller att avstå från att utföra en viss handling” eller ”allvarligt destabilisera eller förstöra de grundläggande politiska, konstitutionella, ekonomiska eller sociala strukturerna i ett land eller i en internationell organisation”. I artiklarna 2 och 3 i rambeslutet definierades begreppen brott som begås av en terroristgrupp respektive brott med anknytning till terroristverksamhet. I artikel 4 i rambeslutet reglerades kriminalisering av medhjälp till, anstiftan av och försök till sådana brott.
39 Rambeslut 2002/475 upphävdes genom Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rambeslut 2002/475 och om ändring av rådets beslut 2005/671/RIF (EUT L 88, 2017, s. 6). Artiklarna 3–14 i det direktivet innehåller motsvarande definitioner.
B. Belgisk rätt
1. Grundlagen
40 I artikel 22 i grundlagen fastställs följande:
”Var och en har rätt till respekt för sitt privatliv och familjeliv, utom i de fall och på de villkor som föreskrivs i lag.
Den lag, det dekret eller den bestämmelse som avses i artikel 134 säkerställer skyddet för denna rättighet.”
2. Lagen av den 25 december 2016
41 Artikel 2 i lagen av den 25 december 2016 om behandling av passageraruppgifter (Moniteur belge av den 25 januari 2017, s. 12905) (nedan kallad lagen av den 25 december 2016) har följande lydelse:
”Genom denna lag och de kungliga kungörelser som antas med stöd av denna lag införlivas [API‑direktivet] och [PNR-direktivet]. Genom denna lag och den kungliga kungörelsen om sjöfartssektorn införlivas delvis direktiv [2010/65].”
42 I artikel 3 i denna lag föreskrivs följande:
”1 § Genom denna lag fastställs skyldigheter för transportörer och researrangörer avseende överföring av uppgifter om passagerare som reser till eller från Belgien eller som befinner sig där i transit.
2 § Konungen fastställer genom kungörelse som bereds av ministerrådet, för varje transportsektor och för researrangörerna, vilka passageraruppgifter som ska överföras och hur de ska översändas, efter yttrande från Commission de la protection de la vie privée (kommissionen för skydd för privatlivet).”
43 I artikel 4 i nämnda lag föreskrivs följande:
”Vid tillämpningen av denna lag och dess tillämpningsbestämmelser avses med
…
8° behöriga myndigheter: de myndigheter som avses i artikel 14 § 1 2°,
9° PNR: en sammanställning av de reseuppgifter för varje passagerare som avses i artikel 9, som krävs för att de berörda transportörer och researrangörer som sköter bokningen ska kunna behandla och kontrollera bokningen för varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i bokningssystemet, i avgångskontrollsystemet (som används för att checka in passagerare på flygningar) eller likvärdiga system med motsvarande funktioner,
10° passagerare: alla personer, inbegripet personer i transfer eller transit förutom besättningsmedlemmar, som transporteras eller ska transporteras av transportören med dennes godkännande, ett godkännande som framgår av att denna person står med på passagerarförteckningen,
…”
44 I artikel 8 i lagen av den 25 december 2016 anges följande:
”1 § Passageraruppgifter ska behandlas för
1° utredning och lagföring, inklusive verkställighet av straff eller frihetsberövande åtgärder, avseende sådana brott som avses i artikel 90ter § 2 … 7° … 8° … 11° … 14° … 17°, 18°, 19° och 90ter § 3 i straffprocesslagen,
2° utredning och lagföring, inklusive verkställighet av straff eller frihetsberövande åtgärder, avseende sådana brott som avses i artikel 196, vad beträffar urkundsförfalskning, samt i artiklarna 198, 199, 199bis, 207, 213, 375 och 505 i Code pénal (strafflagen),
…
4° övervakning av de verksamheter som avses i artiklarna 7 1° och 3°/l, och 11 § 1 1°–3° och 5° i lagen av den 30 november 1998 om underrättelse- och säkerhetstjänsten.
5° utredning och lagföring av sådana brott som avses i artikel 220 § 2 i den allmänna tull- och punktskattelagen av den 18 juli 1977 och artikel 45 tredje stycket i lag av den 22 december 2009 om allmänna regler för punktskatt …
2 § Under de förutsättningar som anges i kapitel 11 ska passageraruppgifter också behandlas för att förbättra personkontroller vid de yttre gränserna och för att bekämpa olaglig invandring.”
45 Artikel 14 § 1 i denna lag har följande lydelse:
”Enheten för passagerarinformation ska bestå av
…
2° ledamöter som avdelats från följande behöriga myndigheter:
a) polismyndigheter som avses i lagen av den 7 december 1998 om organisering av en integrerad polismyndighet, strukturerad i två nivåer,
b) Sûreté de l’État (statliga säkerhetstjänsten), som avses i lagen av den 30 november 1998 om underrättelse- och säkerhetstjänsten,
c) Service général de Renseignement et de Sécurité (allmänna underrättelse- och säkerhetstjänsten), som avses i lagen av den 30 november 1998 om underrättelse- och säkerhetstjänster,
…”
46 Artikel 24 i nämnda lag, som ingår i avsnitt 1, med rubriken ”Behandling av passageraruppgifter vid förhandsbedömning av passagerare”, i kapitel 10 i samma lag, avseende behandling av personuppgifter, har följande lydelse:
”1 § Passageraruppgifterna ska behandlas för att göra en förhandsbedömning av passagerare före deras beräknade ankomst, avresa eller transitering genom det nationella territoriet i syfte att fastställa vilka personer som ska bli föremål för en mer ingående undersökning.
2 § Inom ramen för de syften som anges i artikel 8 § 1 1°, 4° och 5°, eller avseende de hot som nämns i artiklarna 8 1° a–d, f och g och 11 § 2 i lagen av den 30 november 1998 om underrättelse- och säkerhetstjänsten, ska förhandsbedömningen av passagerare grunda sig på en träff, som följer av att passageraruppgifterna jämförs med
1° databaser som förvaltas av behöriga myndigheter eller som är direkt tillgängliga eller åtkomliga för myndigheterna inom ramen för deras uppdrag, eller med personförteckningar som har utarbetats av behöriga myndigheter inom ramen för deras uppdrag.
2° de bedömningskriterier som fastställts i förväg av enheten för passagerarinformation och som avses i artikel 25.
3 § Inom ramen för de syften som avses i artikel 8 § 1 3° ska förhandsbedömningen av passagerare grunda sig på en träff som följer av att passageraruppgifterna jämförs med de databaser som avses i 2 § 1°.
4 § Träffen ska valideras av enheten för passagerarinformation inom 24 timmar efter mottagandet av den automatiska anmälan om träff.
5 § Från och med tidpunkten för denna validering ska den behöriga myndigheten, som träffen härrör från, följa upp detta så snabbt som möjligt.”
47 Kapitel 11 i lagen av den 25 december 2016, med rubriken ”Behandling av passageraruppgifter för att förbättra gränskontrollen och för att bekämpa olaglig invandring”, innehåller artiklarna 28–31.
48 I artikel 28 i denna lag föreskrivs följande:
”1 § Detta kapitel ska tillämpas vid behandling av passageraruppgifter utförd av gränspolisen och av Office des étrangers (utlänningsmyndigheten) i syfte att förbättra personkontrollerna vid de yttre gränserna och för att bekämpa olaglig invandring.
2 § Detta kapitel ska inte påverka de skyldigheter som åligger gränspolisen och utlänningsmyndigheten att vidarebefordra personuppgifter eller information i enlighet med gällande lagar och förordningar.”
49 Artikel 29 i nämnda lag har följande lydelse:
”1 § För de ändamål som avses i artikel 28 § 1 ska passageraruppgifter överföras till gränspolisen och utlänningsmyndigheten så att de kan utföra sina lagstadgade uppgifter, inom de gränser som anges i denna artikel.
2 § Endast de passageraruppgifter som avses i artikel 9 § 1 18°, rörande följande passagerarkategorier, ska överföras:
1° Passagerare som avser att resa in eller som har rest in i Belgien via landets yttre gränser.
2° Passagerare som avser att lämna eller har lämnat landet via Belgiens yttre gränser.
3° Passagerare som har för avsikt att passera, som befinner sig i eller har passerat ett internationellt transitområde beläget i Belgien.
3 § De passageraruppgifter som avses i § 2 ska överföras till de polismyndigheter som ansvarar för kontrollen vid Belgiens yttre gränser omedelbart efter det att de har registrerats i databasen med passageraruppgifter. Dessa myndigheter bevarar uppgifterna i ett tillfälligt register och ska förstöra dem inom 24 timmar efter överföringen.
4 § Om utlänningsmyndigheten behöver de passageraruppgifter som avses i 2 § för att utföra sina lagstadgade uppgifter, ska uppgifterna överföras till myndigheten omedelbart efter det att de registrerats i databasen med passageraruppgifter. Utlänningsmyndigheten ska bevara uppgifterna i en tillfällig fil och ska förstöra dem inom 24 timmar efter överföringen.
Om utlänningsmyndigheten vid utgången av denna tidsfrist måste ha tillgång till de passageraruppgifter som avses i 2 § för att kunna utföra sina lagstadgade uppgifter, ska myndigheten lämna en motiverad ansökan om detta till enheten för passagerarinformation.
…”
50 Lagen av den 25 december 2016 blev tillämplig på flygbolag, transportörer som utför internationella persontransporter och reseförmedlare med avtal med dessa transportörer samt på busstransportörer genom arrêté royal du 18 juillet 2017 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les compagnies aériennes (kunglig kungörelse av den 18 juli 2017 om genomförande av lagen av den 25 december 2016, beträffande skyldigheterna för flygbolag) (Moniteur belge av den 28 juli 2017, s. 75934), genom arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs HST et distributeurs de tickets HST (kunglig kungörelse av den 3 februari 2019 om genomförande av lagen av den 25 december 2016, beträffande skyldigheterna för transportörer som utför internationella persontransporter och reseförmedlare med avtal med dessa transportörer) (Moniteur belge av den 12 februari 2019, s. 13018) respektive genom arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs par bus (kunglig kungörelse av den 3 februari 2019 om genomförande av lagen av den 25 december 2016, beträffande busstransportörer) (Moniteur belge av den 12 februari 2019, s. 13023).
II. Målet vid den nationella domstolen och tolknings- och giltighetsfrågorna
51 Genom ansökan av den 24 juli 2017 väckte Ligue des droits humains talan vid Cour constitutionnelle (Författningsdomstolen, Belgien) och yrkade att lagen av den 25 december 2016 helt eller delvis skulle ogiltigförklaras.
52 Den hänskjutande domstolen har informerat om att den lagen införlivar PNR- och API‑direktiven samt delvis direktiv 2010/65 med nationell rätt. Det framgår av förarbetena till lagen att den syftar till att ”skapa en rättslig ram för att ålägga olika sektorer för internationell persontransport (flyg-, järnvägs-, väg- och sjötransport) och researrangörer att överlämna uppgifter om sina passagerare till en databas som förvaltas av [Service public fédéral intérieur (federala inrikesministeriet, Belgien)]”. Den nationella lagstiftaren har även preciserat att lagen av den 25 december 2016 har tre slags syften: för det första att förebygga, upptäcka, utreda och lagföra brott eller verkställa straffrättsliga påföljder, för det andra att ge underrättelse- och säkerhetstjänsterna möjlighet att utföra sina uppgifter och för det tredje att förbättra kontrollerna vid de yttre gränserna och att bekämpa olaglig invandring.
53 Ligue des droits humains har anfört två grunder till stöd för sin talan. Den första grunden avser åsidosättande av artikel 22 i grundlagen jämförd med artikel 23 i dataskyddsförordningen, artiklarna 7, 8 och 52.1 i stadgan samt artikel 8 i Europakonventionen. Den andra grunden, som åberopats i andra hand, avser åsidosättande av artikel 22 i grundlagen jämförd med artikel 3.2 FEU och artikel 45 i stadgan.
54 Genom sin första grund har Ligue des droits humains gjort gällande att denna lag innebär ett ingrepp i rätten till respekt för privatlivet och skydd för personuppgifter som inte är förenligt med artikel 52.1 i stadgan och i synnerhet med proportionalitetsprincipen. Tillämpningsområdet för nämnda lag och definitionen av insamlade uppgifter, vilka kan röja känslig information, är nämligen alltför breda. På samma sätt möjliggör begreppet passagerare, i den mening som avses i samma lag, en systematisk, icke riktad automatisk behandling av uppgifter om samtliga passagerare. Arten av och formerna för pre-screening-metoden samt de databaser som dessa uppgifter jämförs med, när de väl har överförts, har inte heller preciserats tillräckligt tydligt. Dessutom har lagen av den 25 december 2016 andra syften än dem som eftersträvas med PNR-direktivet. Slutligen är den frist på fem år för lagring av uppgifterna som föreskrivs i denna lag oproportionerlig.
55 Ligue des droits humains har genom sin andra grund, som avser artiklarna 3.1, 8.2 och 28–31 i lagen av den 25 december 2016, gjort gällande att dessa bestämmelser, genom att utvidga det system som föreskrivs i PNR-direktivet till att även omfatta transporter inom EU, indirekt återinfört kontroller vid de inre gränserna som strider mot den fria rörligheten för personer. Så snart en person befinner sig i Belgien, oavsett om det är vid ankomst, avresa eller mellanlandning, samlas det automatiskt in uppgifter om denne.
56 Conseil des ministres (Ministerrådet) har bestritt detta argument. Det anser närmare bestämt att den första grunden inte kan tas upp till sakprövning i den mån den avser dataskyddsförordningen, vilken inte är tillämplig på lagen av den 25 december 2016. Dessutom utgör den behandling av personuppgifter som föreskrivs i denna lag, i enlighet med PNR-direktivet, ett väsentligt redskap bland annat för kampen mot terrorism och allvarlig brottslighet, och de åtgärder som följer av denna lag är nödvändiga för att uppnå de mål som eftersträvas och är proportionerliga.
57 Vad gäller den första grunden vill den hänskjutande domstolen först och främst få klarlagt om det skydd som föreskrivs i dataskyddsförordningen är tillämpligt på den uppgiftsbehandling som införts genom lagen av den 25 december 2016, vilken huvudsakligen syftar till att genomföra PNR-direktivet. Den hänskjutande domstolen har vidare, med hänvisning till den rättspraxis som följer av yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592), påpekat att definitionen av PNR-uppgifter i artikel 3 led 5 i och i bilaga I till detta direktiv dels kan vara otillräckligt klar och precis på grund av att beskrivningen av vissa av dessa uppgifter i dessa bestämmelser inte är uttömmande, dels indirekt kan leda till att känsliga uppgifter röjs. Definitionen av begreppet passagerare i artikel 3 led 4 i det direktivet skulle dessutom kunna göra insamling, överföring, behandling och lagring av PNR-uppgifter till en allmän, odifferentierad skyldighet som omfattar alla personer som transporteras eller ska transporteras och som förs in i förteckningen över passagerare, oberoende av om det finns grundad anledning att anta att personen har begått eller är i begrepp att begå ett brott eller har befunnits skyldig till ett brott.
58 Den hänskjutande domstolen har vidare påpekat att PNR-uppgifter, i enlighet med bestämmelserna i PNR-direktivet, systematiskt blir föremål för en förhandsbedömning som innebär matchning med databaser eller förbestämda kriterier, i syfte att hitta överensstämmelser. Den rådgivande kommittén för Europarådets konvention nr 108 angav i sitt yttrande av den 19 augusti 2016 om konsekvenserna i fråga om skydd av uppgifter vid behandling av passageraruppgifter (T‑PD(2016)18rev) att behandlingen av personuppgifter avser samtliga passagerare och inte bara specifikt avsedda personer som misstänks vara inblandade i ett brott eller utgöra ett omedelbart hot mot den nationella säkerheten eller den allmänna ordningen, och att PNR-uppgifterna inte bara kan matchas (data matching) mot databaser utan också behandlas för att utvinna information (data mining) genom urvalstermer och prediktiva algoritmer, i syfte att identifiera vem som helst som skulle kunna vara inblandad eller delta i brottslig verksamhet. En sådan utvärdering av passagerarna genom matchning av uppgifter kan väcka frågor om förutsebarhet, särskilt när den grundar sig på prediktiva algoritmer som använder sig av dynamiska kriterier som kan utvecklas kontinuerligt genom maskininlärning. I detta sammanhang anser den hänskjutande domstolen att även om de på förhand fastställda kriterierna för att fastställa riskprofiler ska vara specifika, tillförlitliga och icke-diskriminerande, i enlighet med yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592), förefaller det tekniskt omöjligt att närmare definiera dessa kriterier.
59 Vad gäller den lagringstid på fem år och tillgången till uppgifter som föreskrivs i artikel 12 i PNR-direktivet, har den hänskjutande domstolen påpekat att Commission de la protection de la vie privée (kommissionen för skydd av privatlivet, Belgien) i sitt yttrande nr 01/2010 av den 13 januari 2010 om förslaget till lag om godkännande av PNR-avtalet mellan EU och Amerikas förenta stater, ansåg att när lagringstiden är lång och uppgifterna lagras i stor skala så ökar risken för profilering av berörda personer liksom risken för missbruk av uppgifterna för andra syften än de ursprungligen avsedda. Det framgår dessutom av yttrandet av den 19 augusti 2016 från Europarådets rådgivande kommitté för konvention nr 108 att maskerade uppgifter fortfarande gör det möjligt att identifiera personer och därmed förblir personuppgifter och att lagringen av dessa uppgifter måste vara begränsad i tiden för att förhindra en generell, permanent övervakning.
60 Under dessa omständigheter, och med beaktande av den rättspraxis som följer av bland annat yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592), vill den hänskjutande domstolen få klarlagt om det system för insamling, överföring, behandling och lagring av PNR-uppgifter som införts genom PNR-direktivet kan anses hålla sig inom ramen för vad som är strängt nödvändigt. Den hänskjutande domstolen anser att det även behöver avgöras om direktivet utgör hinder för en nationell lagstiftning som tillåter behandling av PNR-uppgifter för ett annat ändamål än det som föreskrivs i direktivet, och om en överföring av samtliga uppgifter efter det att uppgifterna har avidentifierats, i enlighet med artikel 12 i direktivet, skulle kunna godkännas av en nationell myndighet såsom den enhet för passagerarinformation som inrättades genom lagen av den 25 december 2016.
61 Vad gäller den andra grunden har den hänskjutande domstolen angett att artikel 3.1 i nämnda lag fastställer vilka skyldigheter transportörer och reseföretag har i samband med överföring av uppgifter om passagerare som ”reser till eller från Belgien eller som befinner sig där i transit”. Den hänskjutande domstolen har tillagt, beträffande tillämpningsområdet för den lagen, att den nationella lagstiftaren beslutat att ”inkludera transporter inom EU vid insamling av uppgifter” för att få ”en fullständigare översikt över rörelser för passagerare som utgör ett potentiellt hot för säkerheten inom gemenskapen och nationellt”, enligt vad som stadgas i artikel 2 jämförd med skäl 10 i PNR-direktivet för flygningar inom EU. Den har vidare preciserat att utskottet för skydd av privatlivet, i sitt yttrande nr 55/2015 av den 16 december 2015 om utkastet till lagen av den 25 december 2016, frågade sig om det kunde uppstå en konflikt mellan det belgiska PNR-systemet och principen om fri rörlighet för personer, om det systemet inkluderar transporter inom unionen.
62 Mot denna bakgrund beslutade Cour constitutionnelle (Författningsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
”1) Ska artikel 23 jämförd med artikel 2.2 d i [dataskyddsförordningen] tolkas så, att den är tillämplig på en sådan nationell lagstiftning som [lagen av den 25 december 2016], som införlivar [PNR- och API‑direktiven] samt direktiv [2010/65]?
2) Är bilaga I till [PNR-direktivet] förenlig med artiklarna 7, 8 och 52.1 i [stadgan], såtillvida som de uppgifter som anges i bilagan är mycket omfattande – särskilt de uppgifter som avses i punkt 18 i bilaga I till [nämnda direktiv], vilka går utöver de uppgifter som avses i artikel 3.2 i [API‑direktivet] – och såtillvida som uppgifterna sammantagna skulle kunna röja känsliga uppgifter, och därigenom gå utöver vad som är ’strikt nödvändigt’?
3) Är punkterna 12 och 18 i bilaga I till [PNR-direktivet] förenliga med artiklarna 7, 8 och 52.1 i [stadgan], såtillvida som de uppgifter som avses i dessa punkter, med hänsyn till ordet ’inklusive’, anges som exempel och inte på ett uttömmande sätt, med följden att kravet på precision och klarhet i regler som innebär ett ingrepp i rätten till respekt för privatlivet och i rätten till skydd av personuppgifter inte iakttas?
4) Är artikel 3 led 4 i [PNR-direktivet] och bilaga I till [det direktivet] förenliga med artiklarna 7, 8 och 52.1 i [stadgan], såtillvida som det system för generell insamling, överföring och behandling av passageraruppgifter som införs genom dessa bestämmelser avser varje person som använder det berörda transportmedlet, oberoende av objektiva omständigheter som ger anledning att anse att denna person kan utgöra en risk för den allmänna säkerheten?
5) Ska artikel 6 i [PNR-direktivet], jämförd med artiklarna 7, 8 och 52.1 i [stadgan], tolkas så, att den utgör hinder för en sådan nationell lagstiftning som den angripna lagen, enligt vilken ett av syftena med behandlingen av PNR-uppgifter kan vara tillsyn över underrättelse- och säkerhetstjänstens verksamhet, varigenom detta syfte inordnas under förebyggande, förhindrande, upptäckt, utredning och lagföring av terroristbrott och grov brottslighet?
6) Är artikel 6 i [PNR-direktivet] förenlig med artiklarna 7, 8 och 52.1 i [stadgan], såtillvida som den förhandsbedömning, som införs genom den artikeln och som vidtas genom en jämförelse mellan passageraruppgifter och databaser och på förhand fastställda kriterier, systematiskt och generellt ska tillämpas på sådana uppgifter, oberoende av objektiva omständigheter som ger anledning att anse att berörda passagerare kan utgöra en risk för den allmänna säkerheten?
7) Kan begreppet ’annan nationell myndighet som … är behörig’ enligt artikel 12.3 i [PNR-direktivet] tolkas så, att det avser den enhet för passagerarinformation som har inrättats genom lagen av den 25 december 2016, och som således skulle kunna ge tillstånd till tillgång till PNR-uppgifter, efter utgången av en sexmånadersfrist, i samband med punktvisa efterforskningar?
8) Ska artikel 12 i [PNR-direktivet] jämförd med artiklarna 7, 8 och 52.1 i [stadgan] tolkas så, att den utgör hinder för en sådan nationell lagstiftning som den angripna lagen, i vilken det föreskrivs en allmän lagringstid på fem år för uppgifterna, varvid det inte görs någon åtskillnad beroende på om det vid förhandsbedömningen framkommit att de berörda passagerarna kan utgöra en risk för den allmänna säkerheten eller ej?
9 a) Är [API‑direktivet] förenligt med artikel 3.2 [FEU] och med artikel 45 i [stadgan], såtillvida som de skyldigheter som införs genom direktivet är tillämpliga på flygningar inom Europeiska unionen?
b) Ska [API‑direktivet] jämfört med artikel 3.2 [FEU] och artikel 45 i [stadgan] tolkas så, att det utgör hinder för en sådan nationell lagstiftning som den angripna lagen, vilken, i syfte att bekämpa olaglig invandring och förbättra gränskontrollerna, tillåter ett system för insamling och behandling av uppgifter om passagerare ’som reser till eller från Belgien eller som befinner sig där i transit’, vilket indirekt skulle kunna innebära ett återinförande av kontrollerna vid de inre gränserna?
10) Om Cour constitutionnelle (Författningsdomstolen), på grundval av svaren på de föregående frågorna, kommer fram till att den angripna lagen, som bland annat införlivar [PNR-direktivet], åsidosätter en eller flera av de skyldigheter som följer av de bestämmelser som anges i dessa frågor, kan den då tillfälligt låta rättsverkningarna av [lagen av den 25 december 2016] bestå för att undvika rättslig osäkerhet och för att möjliggöra att de uppgifter som redan samlats in och lagrats fortfarande kan användas för de syften som anges i lagen?”
III. Prövning av tolknings- och giltighetsfrågorna
A. Den första frågan
63 Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artiklarna 2.2 d och 23 i dataskyddsförordningen ska tolkas så, att förordningen är tillämplig på sådan behandling av personuppgifter som föreskrivs i en nationell lagstiftning som syftar till att införliva både bestämmelserna i PNR- och API‑direktiven samt direktiv 2010/65, särskilt om överföring, lagring och behandling av PNR-uppgifter, med nationell rätt.
64 Såsom framgår av artikel 2.1 i dataskyddsförordningen ska denna förordning tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Begreppet behandling definieras brett i artikel 4 led 2 i nämnda förordning, på så sätt att det bland annat omfattar insamling, registrering, lagring, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller radering av sådana uppgifter eller uppsättningar av uppgifter.
65 Den belgiska regeringen har dock gjort gällande att ekonomiska aktörers överföring av PNR-uppgifter till enheten för passagerarinformation i syfte att förebygga och upptäcka brott, i enlighet med artiklarna 1.1 a, 1.2 och 8 i PNR-direktivet, som utgör ”behandling” av personuppgifter i den mening som avses i artikel 4.2 i dataskyddsförordningen, liksom den föregående insamlingen av dessa uppgifter, inte omfattas av förordningens tillämpningsområde med stöd av artikel 2.2 d i förordningen, med motiveringen att rättspraxis i domen av den 30 maj 2006 i de förenade målen C‑317/04 och C‑318/04, parlamentet mot rådet och kommissionen (EU:C:2006:346, punkterna 57–59), som avser artikel 3.2 första strecksatsen i direktiv 95/46, kan överföras på denna bestämmelse i förordningen.
66 I detta avseende stämmer det, som domstolen redan har konstaterat, att artikel 3.2 första strecksatsen i direktiv 95/46, som upphävdes och ersattes av dataskyddsförordningen med verkan från och med den 25 maj 2018, generellt sett uteslöt ”behandlingar som rör allmän säkerhet, försvar [och] statens säkerhet” från sitt tillämpningsområde, utan att göra någon åtskillnad beroende på vilken registeransvarig som berörs. Således kunde de behandlingar som privata aktörer utförde till följd av skyldigheter som ålagts av de offentliga myndigheterna i förekommande fall omfattas av det undantag som föreskrivs i denna bestämmelse, med hänsyn till att dess formulering avsåg all behandling, oavsett vem som är uppgiftsbehandlare, och oavsett om den avser allmän säkerhet, försvar eller statens säkerhet (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 101).
67 Artikel 2.2 d i dataskyddsförordningen gör emellertid en sådan åtskillnad, eftersom det tydligt framgår av ordalydelsen i denna bestämmelse, såsom generaladvokaten påpekade i punkterna 41 och 46 i sitt förslag till avgörande, att två villkor måste vara uppfyllda för att en behandling av uppgifter ska omfattas av det föreskrivna undantaget. Även om det första av dessa villkor avser syftet med behandlingen, det vill säga att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, avser det andra villkoret den som utför behandlingen, nämligen ”behöriga myndigheter” i den mening som avses i nämnda bestämmelse.
68 Såsom domstolen också har konstaterat framgår det av artikel 23.1 d och h i dataskyddsförordningen att behandling av personuppgifter som utförs av enskilda personer för de ändamål som avses i artikel 2.2 d i denna förordning omfattas av förordningens tillämpningsområde (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 102).
69 Härav följer att den rättspraxis som följer av domen av den 30 maj 2006, parlamentet/rådet och kommissionen (C‑317/04 och C‑318/04, EU:C:2006:346), som den belgiska regeringen har åberopat, inte kan överföras på det undantag från tillämpningsområdet för dataskyddsförordningen som anges i artikel 2.2 d i förordningen.
70 Detta undantag ska dessutom, i likhet med de övriga undantag från dataskyddsförordningens tillämpningsområde som föreskrivs i artikel 2.2 i denna förordning, tolkas restriktivt.
71 Som framgår av skäl 19 i förordningen motiveras undantaget av den omständigheten att behandling av personuppgifter som utförs av behöriga myndigheter, bland annat för att förebygga, förhindra och avslöja brott, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, regleras av en mer specifik unionsrättsakt, nämligen direktiv 2016/680, som antogs samma dag som dataskyddsförordningen (dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 69).
72 Som framgår av skälen 9–11 i direktiv 2016/680 innehåller det direktivet särskilda bestämmelser om skydd av fysiska personer med avseende på sådan behandling, varvid hänsyn ska tas till särarten hos dessa verksamheter inom området för straffrättsligt samarbete och polissamarbete, medan dataskyddsförordningen fastställer allmänna bestämmelser om skydd av dessa personer, tillämpliga på sådan behandling när den mer specifika rättsakten direktiv 2016/680 inte är tillämplig. Enligt skäl 11 i direktiv 2016/680 är dataskyddsförordningen tillämplig på behandling av personuppgifter som utförs av en ”behörig myndighet” i den mening som avses i artikel 3.7 i nämnda direktiv, men för andra ändamål än de som avses i direktivet (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 70).
73 Vad gäller det första villkoret som avses i punkt 67 ovan, och särskilt de syften som eftersträvas med sådan behandling av personuppgifter som anges i PNR-direktivet, erinrar domstolen om att PNR-uppgifter enligt artikel 1.2 i det direktivet endast får behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Dessa syften omfattas av de syften som avses i artikel 2.2 d i dataskyddsförordningen och i artikel 1.1 i direktiv 2016/680, vilket innebär att sådan behandling kan omfattas av undantaget i artikel 2.2 d i förordningen och följaktligen omfattas av direktivets tillämpningsområde.
74 Så är däremot inte fallet när det gäller sådan behandling som avses i API‑direktivet och i direktiv 2010/65, vilkas syften är andra än de enligt artikel 2.2 d i dataskyddsförordningen och artikel 1.1 i direktiv 2016/680.
75 Vad gäller API‑direktivet syftar det till att förbättra gränskontrollerna och bekämpa olaglig invandring, såsom framgår av skälen 1, 7 och 9 samt artikel 1 i direktivet, genom att transportörerna i förväg översänder passageraruppgifter till de behöriga nationella myndigheterna. Flera skäl och bestämmelser i det direktivet visar för övrigt att den uppgiftsbehandling som föreskrivs för dess genomförande omfattas av tillämpningsområdet för dataskyddsförordningen. I skäl 12 i direktivet anges att ”[direktiv 95/46] är tillämpligt med avseende på behandlingen av personuppgifter vid myndigheterna i medlemsstaterna”. I artikel 6.1 femte stycket i API‑direktivet preciseras dessutom att medlemsstaterna även får använda API‑uppgifter för att tillgodose de brottsbekämpande myndigheternas behov, ”i enlighet med bestämmelser om uppgiftsskydd enligt direktiv [95/46]”. Samma formulering används även i tredje stycket i bestämmelsen. På samma sätt används, bland annat i skäl 9 i API‑direktivet, uttrycket ”utan att det påverkar tillämpningen av bestämmelserna i direktiv [95/46]”. Slutligen föreskriver artikel 6.2 i API‑direktivet att transportörerna ska informera passagerarna ”i enlighet med bestämmelserna i direktiv [95/46]”.
76 Vad gäller direktiv 2010/65 framgår det av skäl 2 och artikel 1.1 i det direktivet att detta syftar till att förenkla och harmonisera de administrativa förfaranden som gäller för sjötransporten genom en allmän övergång till elektronisk överföring av uppgifter och genom en förenkling av rapporteringsformaliteterna, för att underlätta för sjöfarten och minska de administrativa bördorna för rederierna. Artikel 8.2 i nämnda direktiv bekräftar att den uppgiftsbehandling som föreskrivs för dess genomförande omfattas av tillämpningsområdet för dataskyddsförordningen, eftersom den bestämmelsen föreskriver att medlemsstaterna, när det gäller personuppgifter, ska säkerställa att de följer direktiv 95/46.
77 Härav följer att den uppgiftsbehandling som föreskrivs i en nationell lagstiftning genom vilken bestämmelserna i API‑direktivet och direktiv 2010/65 införlivas med nationell rätt, omfattas av tillämpningsområdet för dataskyddsförordningen. Den uppgiftsbehandling som föreskrivs i en nationell lagstiftning genom vilken PNR-direktivet införlivas med nationell rätt kan däremot, i enlighet med undantaget i artikel 2.2 d i dataskyddsförordningen, undgå tillämpningen av förordningen, under förutsättning att det andra villkor som erinras om i punkt 67 ovan är uppfyllt, det vill säga att den som utför behandlingen är en behörig myndighet i den mening som avses i sistnämnda bestämmelse.
78 Vad gäller det andra villkoret har domstolen slagit fast att eftersom begreppet ”behörig myndighet” definierats i artikel 3.7 i direktiv 2016/680, ska den definitionen tillämpas analogt på artikel 2.2 d i dataskyddsförordningen (se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning), C‑439/19, EU:C:2021:504, punkt 69).
79 Enligt artiklarna 4 och 7 i PNR-direktivet ska varje medlemsstat som sin enhet för passagerarinformation inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och fastställa en förteckning över de behöriga myndigheter som har befogenhet att begära eller motta PNR-uppgifter eller resultat av behandlingen av dessa uppgifter från enheten för passagerarinformation. Dessa myndigheter ska vara behöriga myndigheter på området, såsom preciseras i artikel 7.2 i direktivet.
80 Det framgår av dessa omständigheter att den behandling av PNR-uppgifter som enheten för passagerarinformation och de behöriga myndigheterna utför för sådana ändamål uppfyller de två villkor som anges i punkt 67 ovan, vilket innebär att denna behandling, utöver bestämmelserna i själva PNR-direktivet, omfattas av bestämmelserna i direktiv 2016/680 och inte av dataskyddsförordningen, vilket för övrigt bekräftas i skäl 27 i PNR-direktivet.
81 Även om ekonomiska aktörer, såsom lufttrafikföretag, är skyldiga enligt lag att överföra PNR-uppgifter, så har de varken till uppgift att utöva offentlig makt eller har offentliga maktbefogenheter enligt detta direktiv, kan dessa operatörer däremot inte anses vara behöriga myndigheter i den mening som avses i artikel 3.7 i direktiv 2016/680 och artikel 2.2 d i dataskyddsförordningen, vilket innebär att insamlingen och överföringen av dessa uppgifter från lufttrafikföretagen till enheten för passagerarinformation omfattas av denna förordning. Slutsatsen blir densamma i en sådan situation som den som nämns i lagen av den 25 december 2016, där insamlingen och överföringen av nämnda uppgifter utförs av andra transportörer eller av researrangörer.
82 Den hänskjutande domstolen vill slutligen få klarlagt vilken betydelse det kan ha att man antar en nationell lagstiftning, såsom lagen av den 25 december 2016, som syftar till att införliva både bestämmelserna i PNR-direktivet, API‑direktivet och direktiv 2010/65. Såsom framgår av punkterna 72 och 75–77 ovan omfattas den uppgiftsbehandling som föreskrivs i de båda sistnämnda direktiven av tillämpningsområdet för dataskyddsförordningen, vilken innehåller allmänna bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter.
83 När uppgiftsbehandling som utförs på grundval av denna lagstiftning omfattas av API‑direktivet och/eller direktiv 2010/65 är dataskyddsförordningen således tillämplig på denna behandling. Detsamma gäller uppgiftsbehandling som sker på samma grund och som, vad gäller dess syfte, omfattas inte bara av PNR-direktivet utan även av API‑direktivet och/eller direktiv 2010/65. När uppgiftsbehandling som utförs på grundval av samma lagstiftning, vad gäller dess syfte, endast omfattas av PNR-direktivet, är dataskyddsförordningen tillämplig om det rör sig om insamling och överföring av PNR-uppgifter från lufttrafikföretagen till enheten för passageraruppgifter. När en sådan behandling däremot utförs av enheten för passageraruppgifter eller av de behöriga myndigheterna för de ändamål som avses i artikel 1.2 i PNR-direktivet, omfattas denna behandling, förutom av nationell rätt, av direktiv 2016/680.
84 Mot denna bakgrund ska den första frågan besvaras på följande sätt. Artiklarna 2.2 d och 23 i dataskyddsförordningen ska tolkas så, att förordningen är tillämplig på sådan behandling av personuppgifter som föreskrivs i en nationell lagstiftning som syftar till att med nationell rätt införliva både bestämmelserna i PNR- och API‑direktiven samt direktiv 2010/65, vad gäller dels uppgiftsbehandling som utförs av privata aktörer, dels uppgiftsbehandling som utförs av myndigheter som, enbart eller även, omfattas av API‑direktivet eller direktiv 2010/65. Dataskyddsförordningen är däremot inte tillämplig på uppgiftsbehandling som föreskrivs i sådan lagstiftning som enbart omfattas av PNR-direktivet och som utförs av enheten för passagerarinformation eller av behöriga myndigheter för de syften som avses i artikel 1.2 i det direktivet.
B. Den andra till den fjärde samt den sjätte frågan
85 Den hänskjutande domstolen har ställt den andra till den fjärde samt den sjätte frågan, vilka ska prövas gemensamt, för att få klarhet i huruvida PNR-direktivet är giltigt mot bakgrund av artiklarna 7, 8 och 52.1 i stadgan. Frågorna avser bland annat följande:
– Bilaga I till direktivet och de uppgifter som anges i denna bilaga, bland annat de som avses i punkterna 12 och 18, med hänsyn till kraven på klarhet och precision (den andra och den tredje frågan).
– Artikel 3.4 i och bilaga I till direktivet, i den mån det system för insamling, överföring och generell behandling av PNR-uppgifter som införts genom dessa bestämmelser kan tillämpas på alla personer som tar ett flyg som omfattas av direktivets bestämmelser (fjärde frågan).
– Artikel 6 i PNR-direktivet, då den föreskriver en förhandsbedömning, där PNR-uppgifterna jämförs med databaser och/eller behandlas utifrån på förhand fastställda kriterier, vilken ska tillämpas systematiskt och generellt på sådana uppgifter, oberoende av objektiva omständigheter som stöder att de berörda passagerarna kan utgöra en risk för den allmänna säkerheten (sjätte frågan).
86 Inledningsvis vill EU-domstolen påpeka att unionsrättsakter, enligt allmänna tolkningsprinciper och så långt det är möjligt, ska tolkas på ett sätt som inte påverkar deras giltighet och i överensstämmelse med primärrätten i dess helhet, däribland bestämmelserna i stadgan. När en bestämmelse i unionens sekundärrätt kan tolkas på flera sätt, ska en tolkning som gör bestämmelsen förenlig med primärrätten ges företräde framför en tolkning som gör bestämmelsen oförenlig med primärrätten (dom av den 2 februari 2021, Consob, C‑481/19, EU:C:2021:84, punkt 50 och där angiven rättspraxis).
87 Det framgår också av fast rättspraxis att när bestämmelserna i ett direktiv ger medlemsstaterna ett utrymme för skönsmässig bedömning vid utformningen av de åtgärder för införlivande som ska anpassas efter de olika situationer som kan uppkomma, ankommer det på medlemsstaterna att vid genomförandet av dessa åtgärder inte endast tolka sin nationella rätt på ett sätt som står i överensstämmelse med det aktuella direktivet, utan även se till att de inte grundar sig på en tolkning av direktivet som skulle stå i strid med de grundläggande rättigheter som skyddas i unionens rättsordning eller med andra allmänna unionsrättsliga principer (se, för ett liknande resonemang, dom av den 15 februari 2016, N., C‑601/15 PPU, EU:C:2016:84, punkt 60 och där angiven rättspraxis, och dom av den 16 juli 2020, État belge (Familjeåterförening – Underårigt barn), C‑133/19, C‑136/19 och C‑137/19, EU:C:2020:577, punkt 33 och där angiven rättspraxis).
88 Vad gäller PNR-direktivet ska det påpekas att bland annat skälen 15, 20, 22, 25, 36 och 37 betonar den vikt som unionslagstiftaren, med hänvisning till en hög skyddsnivå för personuppgifter, fäster vid att de grundläggande rättigheter som stadfästs i artiklarna 7, 8 och 21 i stadgan samt proportionalitetsprincipen iakttas fullt ut, vilket innebär att direktivet, såsom anges i skäl 36, ”bör … genomföras i enlighet med dessa”.
89 I skäl 22 i PNR-direktivet understryks särskilt att ”[m]ed fullt beaktande av principerna i aktuell relevant rättspraxis från [domstolen] bör tillämpningen av detta direktiv säkerställa full respekt för de grundläggande rättigheterna, rätten till skydd av privatlivet och proportionalitetsprincipen. Den bör även till fullo vara förenlig med vad som är nödvändigt och proportionellt för att de mål av allmänt intresse som erkänts av unionen ska uppnås och med behovet att skydda andras rättigheter och friheter i kampen mot terroristbrott och grov brottslighet.” Det tilläggs i skäl 22 att tillämpningen av direktivet ”bör vara vederbörligen motiverad och nödvändiga skyddsåtgärder bör vidtas för att säkerställa att all lagring, analys, överföring eller användning av PNR-uppgifter sker på laglig grund”.
90 Vidare föreskriver artikel 19.2 i PNR-direktivet att kommissionen, inom ramen för omprövningen av detta direktiv, ska lägga särskild vikt vid ”efterlevnaden av de tillämpliga standarderna för skydd av personuppgifter”, ”nödvändigheten och proportionaliteten i insamlingen och behandlingen av PNR-uppgifter för vart och ett av de syften som fastställs i detta direktiv” och ”längden på den period som uppgifterna lagras”.
91 Det ska således prövas huruvida PNR-direktivet, i enlighet med vad som krävs enligt bland annat de skäl och bestämmelser i direktivet som avses i punkterna 88–90 ovan, kan tolkas på ett sätt som säkerställer att de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan liksom proportionalitetsprincipen enligt artikel 52.1 i stadgan iakttas fullt ut.
1. Ingrepp till följd av PNR-direktivet i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan
92 Artikel 7 i stadgan garanterar var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Artikel 8.1 i stadgan ger uttryckligen var och en rätt till skydd av de personuppgifter som rör honom eller henne.
93 Som framgår av artikel 3 led 5 i PNR-direktivet och av förteckningen i bilaga I till detta direktiv, ska de PNR-uppgifter som avses i detta direktiv, utöver flygpassagerarens eller flygpassagerarnas namn, även innehålla de uppgifter som är nödvändiga för bokningen, såsom datum för resan och resväg, biljettinformation, grupper av personer registrerade under samma bokningsnummer, passagerarens eller passagerarnas kontaktuppgifter, information om betalningsmetod eller fakturering, bagageinformation samt allmänna anmärkningar om passagerarna.
94 Eftersom PNR-uppgifter således innehåller uppgifter om identifierade fysiska personer, det vill säga de berörda flygpassagerarna, påverkar de olika behandlingar som dessa uppgifter kan bli föremål för den grundläggande rätten till respekt för privatlivet, som garanteras i artikel 7 i stadgan (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 121 och 122 samt där angiven rättspraxis).
95 Dessutom omfattas sådan behandling av PNR-uppgifter som avses i PNR-direktivet även av artikel 8 i stadgan på grund av att den utgör behandling av personuppgifter i den mening som avses i denna artikel och därför med nödvändighet måste uppfylla de krav på skydd av uppgifter som följer av den artikeln (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 123 och där angiven rättspraxis).
96 Enligt fast rättspraxis utgör utlämnande av personuppgifter till tredje man, såsom en myndighet, ett ingrepp i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan, oavsett hur de lämnade uppgifterna senare används. Det förhåller sig på samma sätt med lagringen av personuppgifter och åtkomsten till sådana uppgifter i syfte att myndigheter ska använda sig av dem. Det har i detta hänseende föga betydelse huruvida de uppgifter som avser privatlivet är av känslig art eller huruvida de berörda har fått utstå eventuella olägenheter på grund av ingreppet eller inte (yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 124 och 126 och där angiven rättspraxis).
97 Såväl lufttrafikföretagens överföring av PNR-uppgifter till den berörda medlemsstatens enhet för passagerarinformation enligt artikel 1.1 a jämförd med artikel 8 i PNR-direktivet, som övervakningen av villkoren för lagring och användning av dessa uppgifter och eventuella efterföljande överföringar till de behöriga myndigheterna i den medlemsstaten, till enheterna för passagerarinformation och till de behöriga myndigheterna i övriga medlemsstater, till Europol eller rentav till myndigheter i tredjeland, vilket bland annat är tillåtet enligt artiklarna 6, 7, 9 och 10–12 i direktivet, utgör ingrepp i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan.
98 När det gäller allvaret i dessa ingrepp påpekar domstolen för det första att artikel 1.1 a jämförd med artikel 8 i PNR-direktivet föreskriver att PNR-uppgifter systematiskt och kontinuerligt ska överföras till enheterna för passagerarinformation för varje passagerare på en flygning utanför EU, i den mening som avses i artikel 3 led 2 i detta direktiv, mellan tredjeländer och unionen. Såsom generaladvokaten påpekade i punkt 73 i sitt förslag till avgörande innebär en sådan överföring att enheterna för passagerarinformation får allmän tillgång till alla PNR-uppgifter som överlämnats, avseende samtliga personer som använder lufttransporttjänster, oberoende av hur dessa uppgifter sedan används.
99 För det andra föreskriver artikel 2.1 i PNR-direktivet att medlemsstaterna får besluta att tillämpa direktivet på flygningar inom EU, i den mening som avses i artikel 3 led 3. Enligt artikel 2.2 ska alla bestämmelser i direktivet i sådana fall ”gälla för flygningar inom EU som om de vore flygningar utanför EU och för PNR-uppgifter från flygningar inom EU som om de vore PNR-uppgifter från flygningar utanför EU”.
100 För det tredje ska påpekas att även om vissa av de PNR-uppgifter som räknas upp i bilaga I till PNR-direktivet, vilka sammanfattas i punkt 93 ovan, betraktade för sig inte tycks kunna ge någon precis information om de berörda personernas privatliv, kan de uppgifterna sammantagna lämna upplysningar om bland annat en fullständig resrutt, resvanor, förhållandena mellan två eller fler personer, flygpassagerarnas ekonomiska situation och om deras matvanor eller hälsotillstånd. De skulle till och med kunna lämna känsliga upplysningar om dessa flygpassagerare (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 128).
101 För det fjärde är enligt artikel 6.2 a och b i PNR-direktivet de uppgifter som överförs av lufttrafikföretagen avsedda att inte endast bli föremål för en förhandsbedömning före passagerarnas planerade ankomst eller avresa, utan även en senare bedömning.
102 När det gäller förhandsbedömningen framgår det av artikel 6.2 a och 6.3 i PNR-direktivet att medlemsstaternas enheter för passagerarinformation ska göra denna bedömning på ett systematiskt sätt och med automatiserade metoder, det vill säga kontinuerligt och oberoende av om det finns någon som helst indikation på att de berörda personerna riskerar att delta i terroristbrott eller allvarlig brottslighet. För detta ändamål föreskrivs i dessa bestämmelser att PNR-uppgifterna kan jämföras med ”relevanta databaser” och bli föremål för behandling avseende ”på förhand fastställda kriterier”.
103 Det ska i detta sammanhang erinras om att domstolen redan har slagit fast att omfattningen av det ingrepp som automatisk analys av PNR-uppgifter innebär i de rättigheter som slås fast i artiklarna 7 och 8 i stadgan huvudsakligen beror på förhandsbestämda modeller och kriterier samt på de databaser som denna typ av uppgiftsbehandling grundar sig på (yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 172).
104 Såsom generaladvokaten påpekade i punkt 78 i sitt förslag till avgörande kan den behandling som föreskrivs i artikel 6.3 a i PNR-direktivet, det vill säga att PNR-uppgifterna jämförs med ”relevanta databaser”, ge ytterligare information om flygpassagerarnas privatliv och göra det möjligt att dra mycket precisa slutsatser i detta avseende.
105 När det gäller behandlingen av PNR-uppgifter utifrån ”på förhand fastställda kriterier”, som föreskrivs i artikel 6.3 b i PNR-direktivet, är det riktigt att artikel 6.4 i direktivet fordrar att bedömningen av passagerare i enlighet med dessa kriterier ska utföras på ett icke-diskriminerande sätt och i synnerhet utan att vara baserade på sådana egenskaper som räknas upp i sista meningen i artikel 6.4. Dessa fastställda kriterier måste också vara riktade, proportionella och specifika.
106 Domstolen har redan konstaterat att automatisk analys av PNR-uppgifter som görs med utgångspunkt i icke-kontrollerade personuppgifter och som grundar sig på förhandsbestämda modeller och kriterier med nödvändighet har en viss felmarginal (se, analogt, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 169). Såsom generaladvokaten påpekade i punkt 78 i sitt förslag till avgörande framgår det av kommissionens arbetsdokument (SWD(2020)128 final), som bifogats rapporten av den 24 juli 2020 om översyn av PNR-direktivet, att antalet positiva träffar efter automatisk behandling enligt artikel 6.3 a och b i det direktivet som efter en icke-automatisk individuell granskning visat sig vara felaktiga är ganska konsekvent och under åren 2018 och 2019 uppgick till åtminstone fem av sex identifierade personer. Denna behandling leder således till en ingående analys av PNR-uppgifter avseende dessa personer.
107 Vad gäller den senare bedömning av PNR-uppgifter som föreskrivs i artikel 6.2 b i PNR-direktivet, framgår det av denna bestämmelse att enheten för passagerarinformation, under den sexmånadersperiod som följer på överföringen av PNR-uppgifter som avses i artikel 12.2 i direktivet, på begäran av behöriga myndigheter är skyldig att lämna ut PNR-uppgifter till dem och att i särskilda fall behandla PNR-uppgifter i syfte att bekämpa terroristbrott eller grov brottslighet.
108 Även om PNR-uppgifterna efter det att denna sexmånadersperiod löper ut anonymiseras genom maskering av vissa delar, kan enheten för passagerarinformation enligt artikel 12.3 i PNR-direktivet vara skyldig att efter en sådan begäran lämna ut samtliga PNR-uppgifter i en form som gör det möjligt att identifiera den berörda personen för de behöriga myndigheterna, om det finns rimliga skäl att anta att detta är nödvändigt för de ändamål som avses i artikel 6.2 b i detta direktiv. Detta förutsätter tillstånd från en rättslig myndighet eller en ”annan behörig nationell myndighet”.
109 För det femte medger PNR-direktivet tillgång till upplysningar om flygpassagerares privatliv under vad domstolen redan, i sitt yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592, punkt 132), konstaterat är en synnerligen lång tid. Direktivet föreskriver nämligen i artikel 12.1 utan närmare preciseringar att PNR-uppgifter ska lagras i en databas under fem år efter det att de har överförts till enheten för passagerarinformation i den medlemsstat där flygningens ankomst- eller avgångsplats är belägen, och alla PNR-uppgifter kan fortfarande komma att lämnas ut i det fall som avses i punkten ovan, trots att de anonymiserats efter den inledande sexmånadersperioden genom att vissa uppgifter maskerats.
110 Med hänsyn till att flygtransporter är något som tenderar att användas regelbundet, får en sådan lagringstid till följd att en mycket stor del av unionens befolkning återkommande kan få sina PNR-uppgifter lagrade inom ramen för det system som inrättats genom PNR-direktivet, och att de därför är tillgängliga för enheten för passagerarinformation och de behöriga myndigheternas föregående och efterföljande analyser under en avsevärd tid, eller till och med obestämd tid, när det gäller personer som reser med flyg mer än vart femte år.
111 Mot bakgrund av det ovan anförda finner domstolen att PNR-direktivet innebär betydande ingrepp i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan, bland annat eftersom det syftar till att införa ett system för övervakning som är kontinuerligt, systematiskt och inte riktat, och som innefattar automatisk utvärdering av personuppgifter för samtliga personer som använder sig av lufttransporttjänster.
2. Huruvida de ingrepp som följer av PNR-direktivet är motiverade
112 Domstolen erinrar om att de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan inte framstår som absoluta rättigheter, utan ska beaktas i förhållande till deras funktion i samhället (yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 136 och där angiven rättspraxis, och dom av den 6 oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, punkt 63 och där angiven rättspraxis).
113 Enligt artikel 52.1 första meningen i stadgan ska varje begränsning av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Enligt artikel 52.1 andra meningen i stadgan får begränsningar, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller av behovet av skydd för andra människors rättigheter och friheter. Artikel 8.2 i stadgan preciserar att personuppgifter bland annat ska behandlas ”för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund”.
114 Det ska tilläggas att kravet på att samtliga begränsningar i utövandet av grundläggande rättigheter ska vara föreskrivna i lag innebär att den rättsakt som gör ingreppet i rättigheterna möjligt själv måste definiera räckvidden av begränsningen i utövandet av den aktuella rättigheten. Det kravet hindrar emellertid inte att den lagstiftning genom vilken begränsningen införs har en lydelse som är tillräckligt öppen för att möjliggöra en anpassning till olika situationer och förändrade omständigheter (se, för ett liknande resonemang, dom av den 26 april 2022, Polen/parlamentet och rådet, C‑401/19, EU:C:2022:297, punkterna 64 och 74 och där angiven rättspraxis). Vidare kan domstolen i förekommande fall genom sin tolkning precisera den konkreta räckvidden av begränsningen med hänsyn tagen till dels unionslagstiftningens själva lydelse, dels dess allmänna systematik och de syften som eftersträvas med den, såsom dessa tolkats mot bakgrund av de grundläggande rättigheter som stadgan garanterar.
115 Med avseende på iakttagandet av proportionalitetsprincipen, kräver skyddet för den grundläggande rätten till respekt för privatlivet inom unionen enligt domstolens fasta praxis att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strikt nödvändigt. När ett mål av allmänt samhällsintresse eftersträvas måste det dessutom beaktas att detta mål ska vara förenligt med de grundläggande rättigheter som berörs av åtgärden. En balanserad avvägning ska göras mellan å ena sidan målet av allmänt samhällsintresse och å andra sidan rättigheterna i fråga (yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 140, och dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 52 och där angiven rättspraxis).
116 Närmare bestämt ska medlemsstaternas möjlighet att motivera en begränsning av de rättigheter som slås fast i artiklarna 7 och 8 i stadgan bedömas med hänsyn till hur allvarligt det ingrepp är som en sådan begränsning medför. Det ska också kontrolleras att betydelsen av det mål av allmänt samhällsintresse som eftersträvas med denna begränsning står i proportion till hur allvarligt ingreppet är (se, för ett liknande resonemang, dom av den 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 55 och där angiven rättspraxis, och dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 53 och där angiven rättspraxis).
117 För att uppfylla detta krav på proportionalitet måste därför den lagstiftning i vilken ingreppet föreskrivs innehålla tydliga och precisa bestämmelser om räckvidden och tillämpningen av den aktuella åtgärden och om minimikrav, så att de personer vilkas uppgifter har överförts har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk. Lagstiftningen måste i synnerhet precisera under vilka omständigheter och på vilka villkor en åtgärd för behandling av personuppgifter får vidtas, vilket säkerställer att ingreppet begränsas till vad som är strikt nödvändigt. Nödvändigheten av sådana garantier är av än större betydelse när personuppgifterna är föremål för automatisk behandling. Dessa överväganden gäller särskilt när PNR-uppgifter kan avslöja känsliga uppgifter om passagerare (yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 141, och dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 132 och där angiven rättspraxis).
118 Lagstiftning som föreskriver lagring av personuppgifter måste således alltid uppfylla objektiva kriterier, vilka upprättar ett samband mellan de personuppgifter som lagras och det mål som eftersträvas (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 191 och där angiven rättspraxis, dom av den 3 oktober 2019, A m.fl., C‑70/18, EU:C:2019:823, punkt 63, och dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 133).
a) Iakttagande av legalitetsprincipen och det väsentliga innehållet i de grundläggande rättigheterna i fråga
119 Den begränsning i utövandet av de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan som följer av det system som inrättats genom PNR-direktivet, föreskrivs i en unionslagstiftningsakt. Vad gäller frågan huruvida detta direktiv, i enlighet med den rättspraxis som det erinrats om i punkt 114 ovan, i egenskap av unionsrättsakt som tillåter ett ingrepp i dessa rättigheter, i sig definierar räckvidden av begränsningen av utövandet av rättigheterna, ska det påpekas att bestämmelserna i samt bilagorna I och II till direktivet innehåller dels en uppräkning av PNR-uppgifter, dels rambestämmelser för behandlingen av dessa uppgifter, vilka bland annat fastställer ändamålen och villkoren för denna uppgiftsbehandling. Denna fråga sammanfaller till stor del med den om iakttagande av proportionalitetskravet, som erinras om i punkt 117 ovan (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 180), och kommer att prövas i punkt 125 och följande punkter nedan.
120 När det gäller iakttagandet av det väsentliga innehållet i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan, är det riktigt att PNR-uppgifter i förekommande fall kan röja mycket exakta uppgifter om en persons privatliv. Eftersom uppgifternas art är begränsad till vissa aspekter av privatlivet, särskilt denna persons flygresor, och eftersom artikel 13.4 i PNR-direktivet uttryckligen förbjuder behandling av känsliga uppgifter, i den mening som avses i artikel 9.1 i dataskyddsförordningen, räcker emellertid inte de uppgifter som avses i detta direktiv i sig för att ge en fullständig bild av en persons privatliv. I artikel 1.2 jämförd med artikel 3 leden 8 och 9 samt med bilaga II avgränsar direktivet dessutom ändamålen med behandlingen av dessa uppgifter. Slutligen innehåller artiklarna 4–15 i samma direktiv bestämmelser om överföring, behandling och lagring av sådana uppgifter samt bestämmelser som syftar till att säkerställa bland annat uppgifterna säkerhet, sekretess och integritet samt att skydda dem mot olaglig åtkomst och olaglig behandling. Under dessa omständigheter strider inte de ingrepp som PNR-direktivet innebär mot det väsentliga innehållet i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan.
b) Målet av allmänintresse och huruvida behandlingen av PNR-uppgifter är ägnad att uppnå detta mål
121 Vad gäller frågan huruvida det system som inrättats genom PNR-direktivet eftersträvar ett mål av allmänt samhällsintresse, framgår det av skälen 5, 6 och 15 i direktivet att det har till syfte att säkerställa den inre säkerheten i unionen och därmed skydda personers liv och säkerhet och samtidigt inrätta en rättslig ram som säkerställer en hög skyddsnivå för passagerarnas grundläggande rättigheter, särskilt skyddet för privatlivet och skyddet av personuppgifter, när de behöriga myndigheterna behandlar PNR-uppgifter.
122 Enligt artikel 1.2 i PNR-direktivet får PNR-uppgifter som samlas in i enlighet med detta direktiv endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 6.2 a–c. Dessa syften utgör otvivelaktigt mål av allmänt samhällsintresse i unionen, vilka kan motivera ingrepp, även allvarliga sådana, i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan (se, för ett liknande resonemang, dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkt 42, samt yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 148 och 149).
123 Vad gäller frågan huruvida det system som inrättats genom PNR-direktivet är ägnat att uppnå de eftersträvade målen, konstaterar domstolen att även om möjligheten att uppnå ”falska negativa” resultat och det förhållandevis stora antalet ”falska positiva” resultat som, såsom har påpekats i punkt 106 ovan, under åren 2018 och 2019 erhållits vid sådan automatisk behandling som föreskrivs i direktivet visserligen är ägnade att begränsa detta systems lämplighet, är dessa omständigheter likväl inte ägnade att göra det systemet olämpligt att bidra till syftet att bekämpa terroristbrott och grov brottslighet. Som framgår av kommissionens arbetsdokument som avses i punkt 106 ovan har automatisk behandling enligt nämnda direktiv i praktiken redan gjort det möjligt att identifiera flygpassagerare som utgör en risk i kampen mot terroristbrott och grov brottslighet.
124 Med hänsyn till den felfrekvens som präglar automatisk behandling av PNR-uppgifter och, bland annat, det ganska stora antalet ”falska positiva” resultat, beror lämpligheten hos det system som inrättats genom PNR-direktivet huvudsakligen på att den påföljande kontrollen, med hjälp av icke-automatiska metoder, av resultaten av behandlingen fungerar på ett tillfredsställande sätt, en uppgift som enligt detta direktiv ankommer på enheten för passagerarinformation. Direktivets bestämmelser om detta bidrar således till att uppnå dessa mål.
c) Huruvida de ingrepp som följer av PNR-direktivet är nödvändiga
125 I enlighet med den rättspraxis som erinras om i punkterna 115–118 ovan, ska domstolen pröva huruvida de ingrepp som införts genom PNR-direktivet är begränsade till vad som är strikt nödvändigt, bland annat om direktivet innehåller tydliga och precisa regler som reglerar räckvidden och tillämpningen av de åtgärder som föreskrivs i direktivet och om det system som inrättats genom direktivet alltid svarar mot objektiva kriterier som upprättar ett samband mellan PNR-uppgifterna, vilka har ett nära samband med bokning och genomförande av flygresor, och de mål som eftersträvas med direktivet, det vill säga att bekämpa terroristbrott och grov brottslighet.
1) De uppgifter om flygpassagerare som omfattas av PNR-direktivet
126 Det ska bedömas om de kategorier av uppgifter som anges i bilaga I till PNR-direktivet klart och tydligt definierar vilka PNR-uppgifter som ett lufttrafikföretag är skyldigt att överföra till enheten för passagerarinformation.
127 Det ska inledningsvis erinras om att unionslagstiftaren, såsom framgår av skäl 15 i PNR-direktivet, har avsett att förteckningen över de PNR-uppgifter som ska vidarebefordras till en enhet för passagerarinformation bör utformas ”i syfte att återspegla de offentliga myndigheternas legitima krav på att kunna förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och därigenom förbättra den inre säkerheten i unionen, samtidigt som grundläggande rättigheter skyddas, särskilt rätten till skydd av privatlivet och rätten till skydd av personuppgifter”. Enligt samma skäl bör uppgifterna ”endast omfatta sådan information om passagerarens bokning och resrutt som gör det möjligt för de behöriga myndigheterna att identifiera flygpassagerare som utgör ett hot mot den inre säkerheten”. Vidare förbjuder artikel 13.4 första meningen i PNR-direktivet ”behandling av PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofisk övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning”.
128 Följaktligen måste de PNR-uppgifter som samlas in och överlämnas i enlighet med bilaga I till PNR-direktivet ha ett direkt samband med den genomförda flygningen och den berörda passageraren, och de måste vara begränsade till att endast svara mot myndigheternas legitima krav på att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller allvarlig brottslighet, samt utesluta känsliga uppgifter.
129 Punkterna 1–4, 7, 9, 11, 15, 17 och 19 i bilaga I till PNR-direktivet uppfyller dessa krav samt kraven på klarhet och precision, eftersom de avser information som är tydligt identifierbar och avgränsad och som har ett direkt samband med den genomförda flygningen och den berörda passageraren. Såsom generaladvokaten påpekade i punkt 165 i sitt förslag till avgörande är detta även fallet, trots deras öppet hållna lydelse, med punkterna 10, 13, 14 och 16.
130 Det finns däremot anledning att precisera hur punkterna 5, 6, 8, 12 och 18 ska tolkas.
131 Punkt 5, som avser ”[a]dress och kontaktuppgifter (telefonnummer och e-postadress)”, preciserar inte uttryckligen om adressen och kontaktuppgifterna endast avser flygpassageraren eller även en tredje man som bokat flygningen för flygpassageraren, en tredje man genom vilka en passagerare kan kontaktas eller en tredje man som ska informeras i händelse av en nödsituation. Såsom generaladvokaten påpekade i punkt 162 i sitt förslag till avgörande kan denna punkt 5, med hänsyn till kraven på klarhet och precision, emellertid inte tolkas så, att den implicit även tillåter insamling och översändande av sådana tredje mäns personuppgifter. Nämnda punkt 5 ska följaktligen tolkas så, att den endast avser postadress och kontaktuppgifter, det vill säga telefonnummer och e-postadress, till den flygpassagerare i vars namn reservationen gjordes.
132 Punkt 6, som handlar om ”[a]lla former av betalningsinformation, inbegripet faktureringsadress”, ska för att uppfylla kraven på klarhet och precision tolkas på det sättet att den endast avser information om betalningsvillkor och fakturering av flygbiljetten, och inte annan information som saknar direkt samband med flygningen (se, analogt, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 159).
133 Vad gäller punkt 8, som avser ”[u]ppgifter om bonusprogram”, ska den, såsom generaladvokaten påpekade i punkt 164 i sitt förslag till avgörande, tolkas så, att den endast avser uppgifter om den berörda passagerarens ställning i ett bonusprogram för ett visst flygbolag eller en viss grupp flygbolag och det nummer som identifierar passageraren som bonuskund. Punkt 8 gör det således inte möjligt att samla in information om de transaktioner genom vilka denna ställning som bonuskund har förvärvats.
134 Punkt 12 avser ”[a]llmänna anmärkningar (inklusive alla tillgängliga uppgifter om ensamkommande barn under 18 år, såsom namn och kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet, flygplatsanställd som ledsagar barnet vid avresan respektive ankomsten)”.
135 I detta avseende ska det inledningsvis påpekas att även om uttrycket ”allmänna anmärkningar” inte uppfyller kraven på klarhet och precision, eftersom det i sig inte innehåller någon begränsning av arten och omfattningen av den information som kan inhämtas och vidarebefordras till en enhet för passagerarinformation enligt punkt 12 (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 160), uppfyller uppräkningen inom parentes de kraven.
136 För att punkt 12 ska tolkas på så sätt att den, med tillämpning av ovan i punkt 86 nämnda rättspraxis, överensstämmer med kraven på klarhet och precision och, mer allmänt, artiklarna 7, 8 och 52.1 i stadgan, är det följaktligen endast tillåtet att samla in och vidarebefordra sådana uppgifter som uttryckligen anges i den punkten, det vill säga den underåriga flygpassagerarens namn och kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet, flygplatsanställd som ledsagar barnet vid avresan respektive ankomsten.
137 Vad slutligen gäller punkt 18 avser den ”[e]ventuell förhandsinformation (API) som samlats in (inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland och sista giltighetsdag, nationalitet, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avresehamn, ankomsthamn, avresetid och ankomsttid)”.
138 Såsom generaladvokaten påpekade i punkterna 156–160 i sitt förslag till avgörande framgår det av denna punkt 18, jämförd med skälen 4 och 9 i PNR-direktivet, att de uppgifter som denna punkt hänför sig till endast omfattar de API‑uppgifter som räknas upp i denna punkt och i artikel 3.2 i API‑direktivet.
139 Således kan punkt 18, under förutsättning att den tolkas på så sätt att den endast omfattar de uppgifter som uttryckligen anges under samma punkt och i nämnda artikel 3.2 i API‑direktivet, anses uppfylla kraven på klarhet och precision (se, analogt, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 161).
140 Domstolen konstaterar således att bilaga I till PNR-direktivet, tolkad i enlighet med bland annat övervägandena i punkterna 130–139 ovan, i sin helhet är tillräckligt klar och precis och därmed avgränsar räckvidden av ingreppet i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan.
2) Syftena med behandlingen av PNR-uppgifter
141 Som framgår av artikel 1.2 i PNR-direktivet är syftet med behandling av PNR-uppgifter som samlas in i enlighet med detta direktiv att bekämpa ”terroristbrott” och ”grov brottslighet”.
142 När det gäller frågan om PNR-direktivet på detta område innehåller tydliga och precisa bestämmelser som begränsar tillämpningen av det system som inrättats genom direktivet till vad som är absolut nödvändigt för detta ändamål, ska det påpekas att begreppet terroristbrott definieras i artikel 3 led 8 i direktivet som ”de brott enligt nationell rätt som avses i artiklarna 1–4 i rambeslut [2002/475]”.
143 I artiklarna 1–3 i rambeslutet definierades på ett klart och precist sätt ”terroristbrott”, ”brott som begås av en terroristgrupp” och ”brott med anknytning till terroristverksamhet”, som medlemsstaterna skulle straffbelägga som brott enligt rambeslutet. Samma brott definieras också på ett klart och precist sätt i artiklarna 3–14 i Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rambeslut 2002/475 och om ändring av rådets beslut 2005/671/RIF (EUT L 88, 2017, s. 6).
144 Vidare definierar artikel 3 led 9 i PNR-direktivet begreppet ”grov brottslighet” som ”brott som förtecknas i bilaga II [till detta direktiv] som kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år enligt en medlemsstats nationella rätt”.
145 För det första innehåller denna bilaga en uttömmande uppräkning av de olika typer av brott som kan utgöra ”grov brottslighet” i den mening som avses i artikel 3 led 9 i PNR-direktivet.
146 Med hänsyn till variationen hos straffrättssystemen i medlemsstaterna vid antagandet av direktivet, i avsaknad av harmonisering av de avsedda brotten, kunde unionslagstiftaren begränsa sig till att ange kategorier av brott och inte definiera brottsrekvisiten, särskilt som de rekvisiten torde behöva bestämmas i nationell rätt, som artikel 3 led 9 i PNR-direktivet hänvisar till, då medlemsstaterna måste iaktta legalitetsprincipen (inget brott och inget straff utan lag) såsom en beståndsdel av rättsstaten som ett av unionens gemensamma värden enligt artikel 2 FEU (se, analogt, dom av den 16 februari 2022, Ungern/parlamentet och rådet, C‑156/21, EU:C:2022:97, punkterna 136, 160 och 234), en princip som också är stadfäst i artikel 49.1 i stadgan och som medlemsstaterna måste iaktta när de genomför en unionsrättsakt, såsom PNR-direktivet (se, för ett liknande resonemang, dom av den 10 november 2011, QB, C‑405/10, EU:C:2011:722, punkt 48 och där angiven rättspraxis). Med beaktande även av den allmänspråkliga betydelsen av de termer som används i denna bilaga, finner domstolen således att det i bilagan på ett tillräckligt klart och precist sätt fastställs vilka brott som kan utgöra grov brottslighet.
147 Det är riktigt att punkterna 7, 8, 10 och 16 i bilaga II avser mycket allmänna brott (bedrägeri, penningtvätt och penningförfalskning, allvarliga miljöbrott, olaglig handel med kulturföremål), samtidigt som de hänvisar till särskilda brott som hör till dessa allmänna kategorier. För att säkerställa en tillräcklig precision, som även krävs enligt artikel 49 i stadgan, ska dessa punkter tolkas så, att de avser dessa brott, såsom de specificeras i nationell rätt och/eller i unionsrätten på området. Tolkade på detta sätt kan nämnda punkter anses uppfylla kraven på klarhet och precision.
148 Det ska slutligen erinras om att även om målet att bekämpa grov brottslighet kan, i enlighet med proportionalitetsprincipen, motivera det allvarliga ingrepp som PNR-direktivet innebär i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan, så förhåller det sig annorlunda med målet att bekämpa brottslighet i allmänhet, eftersom sistnämnda mål endast kan motivera ingrepp som inte är allvarliga (se, analogt, dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 59 och där angiven rättspraxis). Direktivet ska således, genom klara och precisa regler, säkerställa att tillämpningen av det system som inrättats genom direktivet begränsas till brott som utgör grov brottslighet och utesluter ordinär brottslighet.
149 Som generaladvokaten påpekade i punkt 121 i sitt förslag till avgörande är många av de brott som avses i bilaga II till PNR-direktivet – såsom människohandel, sexuellt utnyttjande av barn och barnpornografi, olaglig handel med vapen, ammunition och sprängämnen, penningtvätt, cyberbrottslighet, olaglig handel med mänskliga organ och vävnader, olaglig handel med narkotika och psykotropa ämnen, olaglig handel med nukleära och radioaktiva ämnen, kapning av flygplan eller fartyg, grova brott som omfattas av den internationella brottmålsdomstolens behörighet, mord, våldtäkt, människorov, olaga frihetsberövande och tagande av gisslan – otvivelaktigt till sin natur allvarliga.
150 Även om andra brott, som också avses i bilaga II, vid första anblick inte lika uppenbart förknippas med grov brottslighet, framgår det emellertid av själva ordalydelsen i artikel 3 led 9 i PNR-direktivet att dessa brott kan anses utgöra grov brottslighet endast om de enligt den berörda medlemsstatens nationella lagstiftning kan leda till fängelse eller annan frihetsberövande åtgärd i minst tre år. De krav som följer av denna bestämmelse, vilka avser det tillämpliga straffets art och grad av stränghet, kan i princip begränsa tillämpningen av det system som inrättats genom PNR-direktivet till brott som är tillräckligt allvarliga för att motivera det ingrepp i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan som följer av det system som inrättats genom direktivet.
151 Eftersom artikel 3 led 9 i PNR-direktivet inte hänvisar till det tillämpliga minimistraffet, utan till det tillämpliga maximistraffet, är det emellertid inte uteslutet att PNR-uppgifter kan bli föremål för behandling i syfte att bekämpa brott som, även om de uppfyller det kriterium som föreskrivs i denna bestämmelse avseende graden av allvar, utgör, med hänsyn till särdragen i det nationella straffrättsliga systemet, inte grov brottslighet utan ordinär brottslighet.
152 Det ankommer således på medlemsstaterna att säkerställa att tillämpningen av det system som inrättats genom PNR-direktivet faktiskt begränsas till bekämpande av grov brottslighet, och att detta system inte utsträcks till att omfatta brott som utgör ordinär brottslighet.
3) Sambandet mellan PNR-uppgifterna och ändamålen med behandlingen av dessa uppgifter
153 Såsom generaladvokaten påpekade i punkt 119 i sitt förslag till avgörande, är det riktigt att ordalydelsen i artikel 3 leden 8 och 9 i PNR-direktivet, jämförda med bilaga II till samma direktiv, inte uttryckligen hänvisar till något kriterium som kan begränsa direktivets tillämpningsområde till att endast avse sådana brott som till sin art åtminstone indirekt kan upprätthålla ett objektivt samband med flygresor och följaktligen med de kategorier av uppgifter som överförs, behandlas och lagras med tillämpning av detta direktiv.
154 Såsom generaladvokaten påpekade i punkt 121 i sitt förslag till avgörande kan vissa av de brott som anges i bilaga II till PNR-direktivet, såsom människohandel, olaglig narkotika- eller vapenhandel, hjälp till olovlig inresa och olovlig vistelse eller kapning av flygplan, till sin natur anses ha ett direkt samband med lufttransport av passagerare. Detsamma gäller vissa terroristbrott, såsom förorsakande av omfattande förstörelse av transportsystem eller infrastruktur eller kapning av luftfartyg, brott som avses i artikel 1.1 d och e i rambeslut 2002/475, som artikel 3 led 8 i PNR-direktivet hänvisar till, eller genomförande av resor för terrorismsyften och organiserande eller underlättande av sådana resor, brott som avses i artiklarna 9 och 10 i direktiv 2017/541.
155 Det ska i detta sammanhang även erinras om att kommissionen motiverade sitt förslag till Europaparlamentets och rådets direktiv om användning av passageraruppgiftssamlingar för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, av den 2 februari 2011 (COM(2011) 32 final), som låg till grund för PNR-direktivet, genom att lägga tonvikten på att ”[t]errorattackerna i Förenta staterna 2001, det stoppade försöket att spränga ett antal flygplan på väg från Storbritannien till Förenta staterna i augusti 2006 samt försöket till terrorattack ombord på en flygning från Amsterdam till Detroit i december 2009 visade att terroristerna har förmåga att iscensätta angrepp mot internationella flygningar i nästan vilket land som helst” och att ”terrorismen i de flesta fall är gränsöverskridande till sin natur och inbegriper internationellt resande, bland annat till träningsläger utanför EU”. För att motivera behovet av en analys av PNR-uppgifterna i syfte att bekämpa grov brottslighet hänvisade kommissionen, som ett exempel, till fallet med en grupp människosmugglare som, i människohandelssyfte, hade företett förfalskade handlingar för att genomföra formaliteterna för incheckning på en flygning samt till ett nätverk för människohandel och olaglig narkotikahandel som, i syfte att importera narkotika till flera regioner i Europa, anlitade personer som själva hade varit offer för människohandel och köpte deras flygbiljetter med stulna kreditkort. Samtliga dessa fall avsåg brott som hade ett direkt samband med lufttransport av passagerare, eftersom det rörde sig om brott som syftade till lufttransport av passagerare och brott som begåtts i samband med eller med hjälp av en flygresa.
156 Det ska dessutom konstateras att även brott som inte har något sådant direkt samband med lufttransport av passagerare kan, beroende på omständigheterna i det enskilda fallet, ha ett indirekt samband med lufttransport av passagerare. Så är bland annat fallet när flygtransporter används för att förbereda sådana brott eller för att kringgå lagföring efter det att brotten begåtts. Brott som inte har något, ens indirekt, objektivt samband med lufttransport av passagerare kan däremot inte motivera en tillämpning av det system som inrättats genom PNR-direktivet.
157 Under dessa omständigheter innebär artikel 3 led 8 och 9 i direktivet, jämförd med bilaga II till samma direktiv och mot bakgrund av de krav som följer av artiklarna 7, 8 och 52.1 i stadgan, att medlemsstaterna bland annat vid den individuella granskningen med icke-automatiska metoder enligt artikel 6.5 i direktivet är skyldiga att säkerställa att tillämpningen av det system som inrättats genom direktivet begränsas till sådana terroristbrott och grova brott som åtminstone indirekt har ett objektivt samband med lufttransport av passagerare.
4) Flygpassagerarna och de berörda flygningarna
158 Det system som inrättats genom PNR-direktivet omfattar PNR-uppgifter för alla personer som omfattas av begreppet passagerare, i den mening som avses i artikel 3 led 4 i direktivet, och som använder sig av flygningar som omfattas av direktivets tillämpningsområde.
159 Enligt artikel 8.1 i direktivet överförs uppgifterna till enheten för passagerarinformation i den medlemsstat där flygningen kommer att ankomma eller varifrån flygningen kommer att avgå, oberoende av objektiva omständigheter som motiverar att de berörda passagerarna riskerar att vara inblandade i terroristbrott eller grov brottslighet. De uppgifter som överförs på detta sätt är emellertid föremål för automatisk behandling inom ramen för förhandsbedömningen enligt artikel 6.2 a och 6.3 i PNR-direktivet, eftersom syftet med denna bedömning, såsom framgår av skäl 7 i direktivet, är att identifiera personer som inte misstänks ha deltagit i terroristbrott eller grov brottslighet före denna bedömning och som bör undersökas närmare av de behöriga myndigheterna.
160 Det framgår närmare bestämt av artiklarna 1.1 a och 2 i PNR-direktivet att direktivet gör åtskillnad mellan passagerare på flygningar utanför EU, mellan unionen och tredjeländer, och passagerare som flyger inom EU, mellan olika medlemsstater.
161 När det gäller passagerare på flygningar utanför EU ska det erinras om att domstolen, vad gäller passagerare på flygningar mellan unionen och Kanada, redan har slagit fast att den automatiska behandlingen av deras PNR-uppgifter före ankomsten till Kanada underlättar och påskyndar säkerhetskontrollen, särskilt vid gränserna. Att utesluta vissa kategorier av personer eller vissa ursprungsområden skulle kunna utgöra hinder för uppnåendet av ändamålet med den automatiska behandlingen av PNR-uppgifter, nämligen att bland samtliga flygpassagerare identifiera de personer som kan utgöra en risk för den allmänna säkerheten genom en kontroll av dessa uppgifter, och skulle kunna göra det möjligt att kringgå kontrollen (se, för ett liknande resonemang, yttrande 1/15, (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 187).
162 Dessa överväganden kan i tillämpliga delar överföras på situationen för passagerare på flygningar mellan unionen och samtliga tredjeländer, på vilka medlemsstaterna är skyldiga att tillämpa det system som inrättats genom PNR-direktivet i enlighet med artikel 1.1 a jämförd med artikel 3 leden 2 och 4 i direktivet. Överföringen och förhandsbedömningen av PNR-uppgifter för flygpassagerare som reser in i eller ut ur unionen kan nämligen inte begränsas till en bestämd krets av flygpassagerare, med beaktande av själva arten av de hot mot den allmänna säkerheten som kan följa av terroristbrott och grov brottslighet som har ett objektivt samband, åtminstone indirekt, med lufttransport av passagerare mellan unionen och tredjeländer. Domstolen finner således att det nödvändiga sambandet mellan dessa uppgifter och målet att bekämpa sådana brott är för handen, vilket innebär att PNR-direktivet inte går utöver vad som är strikt nödvändigt enbart på grund av att det ålägger medlemsstaterna att överföra och göra en systematisk förhandsbedömning av samtliga passagerares PNR-uppgifter.
163 Vad gäller passagerare som flyger mellan olika medlemsstater i unionen föreskriver artikel 2.1 jämförd med skäl 10 i PNR-direktivet endast en möjlighet för medlemsstaterna att utvidga tillämpningen av det system som inrättats genom detta direktiv till flygningar inom EU.
164 Unionslagstiftaren har således inte avsett att ålägga medlemsstaterna en skyldighet att utvidga tillämpningen av det system som inrättats genom PNR-direktivet till att omfatta flygningar inom EU, utan har, såsom framgår av artikel 19.3 i direktivet, förbehållit sig rätten att fatta beslut om en sådan utvidgning. Den anser samtidigt att ett sådant beslut måste föregås av en detaljerad bedömning av dess rättsliga konsekvenser, bland annat för de berörda personernas grundläggande rättigheter.
165 Det ska noteras att kommissionen i den översynsrapport som den ska göra enligt artikel 19.1 i PNR-direktivet ”också [ska] innefatta en översyn av nödvändigheten, proportionaliteten och ändamålsenligheten i att i detta direktivs tillämpningsområde inbegripa obligatorisk insamling och överföring av PNR-uppgifter avseende samtliga eller utvalda flygningar inom EU. Kommissionen ska beakta medlemsstaternas erfarenheter, särskilt de medlemsstater som tillämpar detta direktiv på flygningar inom EU i enlighet med artikel 2.” Av denna skrivning i artikel 19.3 i PNR-direktivet framgår det att det system som inrättas genom direktivet enligt unionslagstiftarens uppfattning inte behöver utvidgas till att omfatta alla flygningar inom EU.
166 På samma sätt föreskrivs i artikel 2.3 i PNR-direktivet att en medlemsstat får besluta att endast tillämpa detta direktiv på valda flygningar inom EU, som den anser vara nödvändiga för att uppnå målen med direktivet. Medlemsstaten får när som helst ändra urvalet av dessa flygningar.
167 Medlemsstaternas möjlighet att utvidga tillämpningen av det system som inrättats genom PNR-direktivet till flygningar inom EU ska under alla omständigheter, såsom framgår av skäl 22 i direktivet, utövas med full respekt för de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan. Även om det i enlighet med skäl 19 i direktivet ankommer på medlemsstaterna att bedöma hoten knutna till terroristbrott och grov brottslighet, förutsätter utövandet av denna möjlighet icke desto mindre att medlemsstaterna vid denna bedömning kommer fram till att det föreligger ett hot som har samband med sådana brott och som kan motivera att direktivet tillämpas även på flygningar inom EU.
168 Under dessa omständigheter är en medlemsstat, när den vill använda sig av möjligheten enligt artikel 2 i PNR-direktivet, oavsett om det gäller samtliga flygningar inom EU enligt artikel 2.2 eller endast vissa av dessa enligt artikel 2.3, inte befriad från skyldigheten att kontrollera att utvidgningen av direktivets tillämpning till att omfatta alla eller vissa flygningar inom EU verkligen är nödvändig och proportionerlig för att uppnå det mål som anges i artikel 1.2 i direktivet.
169 Mot bakgrund av skälen 5–7, 10 och 22 i PNR-direktivet ska medlemsstaterna således kontrollera att den behandling av PNR-uppgifter som föreskrivs i detta direktiv för passagerare på flygningar inom EU eller vissa sådana flygningar är strikt nödvändig – med hänsyn till det allvarliga ingreppet i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan – för att säkerställa unionens inre säkerhet eller åtminstone den aktuella medlemsstatens säkerhet och således för att skydda människors liv och säkerhet.
170 Särskilt när det gäller hot som har samband med terroristbrott framgår det av domstolens praxis att terrorverksamhet ingår bland de brott som allvarligt kan störa de grundläggande konstitutionella, politiska, ekonomiska eller sociala strukturerna i ett land, och i synnerhet direkt hota samhället, befolkningen eller staten som sådan, och att det ligger i varje medlemsstats grundläggande intresse att förebygga och ingripa mot denna verksamhet för att skydda statens väsentliga funktioner och grundläggande samhällsintressen, detta för att säkerställa den nationella säkerheten. Ett sådant hot skiljer sig således till sin art, sitt speciella allvar och den specifika karaktären på de omständigheter som hotet består i, från den allmänna och permanenta risken för grova brott (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 135 och 136, och dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkterna 61 och 62).
171 I en situation där det – på grundval av en medlemsstats bedömning – konstateras att det föreligger tillräckligt konkreta omständigheter för att medlemsstaten ska anses stå inför ett verkligt och aktuellt eller förutsebart terrorhot, tyckes det inte gå utöver vad som är strikt nödvändigt att medlemsstaten med stöd av artikel 2.1 i PNR-direktivet föreskriver att PNR-direktivet ska tillämpas på alla flygningar inom EU från eller till nämnda medlemsstat under en viss tid. Att det föreligger ett sådant hot är nämligen i sig ägnat att upprätta ett samband mellan, å ena sidan, överföring och behandling av de berörda uppgifterna och, å andra sidan, kampen mot terrorismen (se, analogt, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 137).
172 Beslutet om en sådan tillämpning måste kunna bli föremål för effektiv kontroll antingen av en domstol eller av en oberoende förvaltningsmyndighet, vars avgörande har bindande verkan, i syfte att kontrollera om denna situation föreligger och att de villkor och garantier som måste ställas upp är uppfyllda. Tillämpningsperioden måste vara tidsmässigt begränsad till vad som är strikt nödvändigt men kan förlängas om hotet kvarstår (se, analogt, dom av den 6 oktober 2020, Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 168, och dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 58).
173 Om den berörda medlemsstaten inte står inför något verkligt och aktuellt eller förutsebart terroristhot kan det däremot inte anses vara begränsat till vad som är strikt nödvändigt att medlemsstaten utan åtskillnad tillämpar det system som inrättats genom PNR-direktivet inte endast på flygningar utanför EU utan även på samtliga flygningar inom EU.
174 I en sådan situation ska tillämpningen av det system som inrättats genom PNR-direktivet på vissa flygningar inom EU begränsas till överföring och behandling av PNR-uppgifter avseende bland annat vissa flyglinjer, resmönster eller flygplatser för vilka det finns indikationer som kan motivera en sådan tillämpning. Det ankommer på den berörda medlemsstaten att i en sådan situation välja ut flygningarna inom unionen, utifrån resultaten av den bedömning som den ska göra på grundval av de krav som anges i punkterna 163–169 ovan, och att regelbundet ompröva denna med hänsyn till utvecklingen av de villkor som motiverat urvalet, för att säkerställa att tillämpningen av det system som inrättats genom nämnda direktiv på flygningar inom EU alltid begränsas till vad som är strikt nödvändigt.
175 Av vad ovan anförts följer att den tolkning av artiklarna 2 och 3 led 4 i PNR-direktivet som gjorts mot bakgrund av artiklarna 7, 8 och 52.1 i stadgan säkerställer att dessa bestämmelser inte överskrider gränserna för vad som är strikt nödvändigt.
5) Förhandsbedömning av PNR-uppgifter genom automatisk behandling
176 Enligt artikel 6.2 a i PNR-direktivet syftar den förhandsbedömning som föreskrivs där till att identifiera de personer som behöver undersökas närmare av bland annat de behöriga myndigheter som avses i artikel 7 i direktivet. Hänsyn ska därvid tas till att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.
177 Denna förhandsbedömning görs i två steg. För det första utför enheten för passagerarinformation i den berörda medlemsstaten, i enlighet med artikel 6.3 i PNR-direktivet, automatisk behandling av PNR-uppgifter genom att jämföra dem med databaser eller utifrån på förhand fastställda kriterier. För det fall att den automatiska behandlingen leder till en träff (hit) gör enheten för det andra, enligt artikel 6.5 i direktivet, en individuell granskning med icke-automatiska metoder, för att verifiera huruvida den behöriga myndighet som avses i artikel 7 i direktivet behöver vidta åtgärder enligt nationell rätt (match).
178 Som erinrats om i punkt 106 ovan är graden av fel vid automatisk behandling med nödvändighet ganska betydande, eftersom den görs utifrån personuppgifter som inte har kontrollerats och grundar sig på kriterier fastställda på förhand.
179 Under dessa omständigheter, och med beaktande av att det såsom understryks i fjärde stycket i ingressen till stadgan är nödvändigt att stärka skyddet av de grundläggande rättigheterna mot bakgrund av bland annat den vetenskapliga och tekniska utvecklingen, ska det säkerställas, såsom anges i skäl 20 och artikel 7.6 i PNR-direktivet, att de behöriga myndigheterna inte får fatta några beslut som har negativa rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar en person endast på grund av den automatiska behandlingen av PNR-uppgifter. Enligt artikel 6.6 i direktivet får dessutom enheten för passagerarinformation själv överföra PNR-uppgifter till dessa myndigheter först efter en individuell granskning med icke-automatiska metoder. Utöver dessa kontroller, som det ankommer på enheten för passagerarinformation och de behöriga myndigheterna att själva utföra, ska slutligen lagenligheten av all automatiserad behandling kunna kontrolleras av dataskyddsombudet och den nationella tillsynsmyndigheten, i enlighet med artikel 6.7 respektive artikel 15.3 b i direktivet, samt av de nationella domstolarna inom ramen för en sådan rättslig prövning som avses i artikel 13.1 i samma direktiv.
180 Såsom generaladvokaten påpekade i punkt 207 i sitt förslag till avgörande ska den nationella tillsynsmyndigheten, dataskyddsombudet och enheten för passagerarinformation förfoga över de materiella och personliga resurser som krävs för att utöva den kontroll som åligger dem enligt PNR-direktivet. Vidare måste den nationella lagstiftning genom vilken direktivet införlivas med nationell rätt och som tillåter sådan automatisk behandling som föreskrivs i direktivet fastställa tydliga och precisa bestämmelser om fastställandet av vilka databaser och analyskriterier som ska användas. Andra metoder som inte uttryckligen föreskrivs i artikel 6.2 i direktivet får inte användas vid förhandsbedömningen.
181 Det följer dessutom av artikel 6.9 i PNR-direktivet att konsekvenserna av en förhandsbedömning enligt artikel 6.2 a i direktivet inte får äventyra rätten för personer som åtnjuter fri rörlighet att resa in i den berörda medlemsstaten i enlighet med direktiv 2004/38 och de ska vara förenliga med förordning nr 562/2006. Det system som inrättats genom PNR-direktivet medger således inte att de behöriga myndigheterna begränsar denna rätt utöver vad som föreskrivs i direktiv 2004/38 och förordning nr 562/2006.
i) Jämförelse av PNR-uppgifter med databaserna
182 Enligt artikel 6.3 a i PNR-direktivet ”får” enheten för passagerarinformation, när den genomför den bedömning som avses i artikel 6.2 a i direktivet, jämföra PNR-uppgifter med ”databaser som är relevanta” för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, ”inklusive databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser”.
183 Även om det framgår av själva ordalydelsen i artikel 6.3 a i PNR-direktivet, särskilt ordet ”inklusive”, att databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista ingår bland de ”databaser som är relevanta” och som avses i den bestämmelsen, preciserar den däremot inte vilka andra databaser som också skulle kunna vara ”relevanta” utifrån de mål som eftersträvas med direktivet. Såsom generaladvokaten påpekade i punkt 217 i sitt förslag till avgörande preciserar denna bestämmelse inte uttryckligen arten av de uppgifter som sådana databaser kan innehålla och deras förhållande med dessa mål, och anger inte heller om PNR-uppgifterna bara får jämföras med databaser som förvaltas av myndigheter eller om de även kan jämföras med databaser som förvaltas av privatpersoner.
184 Mot denna bakgrund skulle artikel 6.3 a i PNR-direktivet vid första anblicken kunna tolkas så, att PNR-uppgifterna kan användas som sökkriterier för att göra analyser utifrån olika databaser, inbegripet utifrån databaser som medlemsstaternas säkerhets- och underrättelsemyndigheter förvaltar och använder i syfte att uppnå andra mål än dem som avses i direktivet, och att sådana analyser kan ske i form av utvinning av data (data mining). Möjligheten att utföra sådana analyser och att jämföra PNR-uppgifter med sådana databaser skulle kunna ge flygpassagerarna en känsla av att deras privatliv är föremål för en form av övervakning. Även om den förhandsbedömning som föreskrivs i denna bestämmelse utgår från den relativt begränsade samling uppgifter som PNR-uppgifterna utgör, kan en sådan tolkning av artikel 6.3 a inte godtas, eftersom en sådan tolkning skulle kunna medföra ett oproportionerlig utnyttjande av dessa uppgifter som skulle göra det möjligt att fastställa en exakt profil av de berörda personerna enbart till följd av att de avser att resa med flyg.
185 I enlighet med den rättspraxis som det erinras om i punkterna 86 och 87 ovan ska artikel 6.3 a i PNR-direktivet följaktligen tolkas på ett sådant sätt att de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan iakttas fullt ut.
186 Det framgår av skälen 7 och 15 i PNR-direktivet att den automatiska behandling som föreskrivs i artikel 6.3 a i direktivet ska begränsas till vad som är strikt nödvändigt för att bekämpa terroristbrott och grov brottslighet, samtidigt som en hög skyddsnivå för dessa grundläggande rättigheter säkerställs.
187 Såsom kommissionen påpekat som svar på en fråga från domstolen gör lydelsen av denna bestämmelse, enligt vilken enheten för passagerarinformation ”får” jämföra PNR-uppgifterna med de databaser som den avser, det möjligt för enheten att välja att behandla uppgifterna på ett sätt som är begränsat till vad som är strikt nödvändigt, sett utifrån den konkreta situationen. Med hänsyn till att det är nödvändigt att iaktta de krav på klarhet och precision som krävs för att säkerställa skyddet av de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan, är enheten för passagerarinformation skyldig att begränsa den automatiska behandling som föreskrivs i artikel 6.3 a i PNR-direktivet till att endast omfatta de databaser som denna bestämmelse gör det möjligt att identifiera. Även om hänvisningen i sistnämnda bestämmelse till ”databaser som är relevanta” inte kan tolkas på ett tillräckligt klart och precist sätt vad gäller vilka databaser som avses, förhåller det sig annorlunda med hänvisningen till ”databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, i enlighet med unionsbestämmelser eller internationella eller nationella bestämmelser som är tillämpliga på sådana databaser”.
188 Såsom generaladvokaten påpekade i punkt 219 i sitt förslag till avgörande ska artikel 6.3 a i PNR-direktivet, mot bakgrund av dessa grundläggande rättigheter, tolkas på det sättet att dessa sistnämnda databaser är de enda databaser som enheten för passagerarinformation får jämföra PNR-uppgifterna mot.
189 Vad gäller de krav som dessa databaser ska uppfylla, ska det påpekas att enligt artikel 6.4 i PNR-direktivet ska den förhandsbedömning som görs utifrån på förhand fastställda kriterier utföras enligt artikel 6.4 i direktivet, på ett icke-diskriminerande sätt. Dessa kriterier måste vara riktade, proportionella och specifika. Medlemsstaterna ska se till att kriterierna fastställs och regelbundet ses över av enheterna för passagerarinformation i samarbete med de behöriga myndigheter som avses i artikel 7. Eftersom artikel 6.4 hänvisar till artikel 6.3 b i direktivet och därför enligt sin lydelse endast avser behandling av PNR-uppgifter mot bakgrund av på förhand fastställda kriterier, ska artikel 6.4 i direktivet tolkas mot bakgrund av artiklarna 7, 8 och 21 i stadgan, såtillvida att kraven i bestämmelsen ska gälla i tillämpliga delar när uppgifterna jämförs mot de databaser som avses i punkten ovan, särskilt som dessa krav i sak motsvarar de krav som fastställs för jämförelse av PNR-uppgifter mot databaser i den rättspraxis som följer av yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592, punkt 172).
190 Det ska i detta hänseende preciseras att kravet på att dessa databaser inte får vara icke-diskriminerande bland annat innebär att uppgifter om personer som eftersöks eller som finns uppförda på en spärrlista bara får föras in i databaserna enligt objektiva och icke-diskriminerande kriterier som definieras i unionsbestämmelser eller nationella eller internationella bestämmelser som är tillämpliga på sådana databaser (se, analogt, dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 78).
191 För att uppfylla kravet på att de på förhand fastställda kriterierna ska vara riktade, proportionella och specifika, ska de databaser som avses i punkt 188 ovan dessutom användas i samband med bekämpningen av terroristbrott och grov brottslighet som har ett åtminstone indirekt objektivt samband med lufttransport av passagerare.
192 De databaser som används i enlighet med artikel 6.3 a i PNR-direktivet ska, mot bakgrund av övervägandena i punkterna 183 och 184 ovan, förvaltas av de behöriga myndigheter som avses i artikel 7 i direktivet eller, vad gäller EU-databaser och internationella databaser, användas av dessa myndigheter inom ramen för deras uppdrag att bekämpa terroristbrott och grov brottslighet. Så är fallet med databaser avseende de personer eller föremål som eftersöks eller som finns uppförda på en spärrlista, i enlighet med unionsbestämmelser eller nationella eller internationella bestämmelser som är tillämpliga på sådana databaser.
ii) Behandling av PNR-uppgifter mot bakgrund av på förhand fastställda kriterier
193 Enligt artikel 6.3 b i PNR-direktivet får enheten för passagerarinformation behandla PNR-uppgifter i enlighet med på förhand fastställda kriterier. Det framgår av artikel 6.2 a i direktivet att förhandsbedömningen, och därmed behandlingen av PNR-uppgifter mot bakgrund av på förhand fastställda kriterier, i huvudsak syftar till att identifiera personer som kan vara inblandade i terroristbrott eller grov brottslighet.
194 När det gäller de kriterier som enheten för passagerarinformation kan använda för detta syfte, ska det inledningsvis påpekas att dessa kriterier, enligt själva ordalydelsen i artikel 6.3 b i PNR-direktivet, ska fastställas ”på förhand”. Såsom generaladvokaten påpekade i punkt 228 i sitt förslag till avgörande hindrar detta krav att man använder artificiell intelligens i självlärande system (machine learning), som utan mänskligt ingripande och kontroll kan ändra bedömningsprocessen och, i synnerhet, de bedömningskriterier som ligger till grund för resultatet av processens tillämpning samt viktningen av dessa kriterier.
195 Det ska tilläggas att användningen av sådan teknik skulle riskera att beröva den individuella granskningen av träffar och den laglighetsprövning som krävs enligt bestämmelserna i PNR-direktivet all ändamålsenlig verkan. Såsom generaladvokaten påpekade i punkt 228 i sitt förslag till avgörande kan det, med hänsyn till hur ogenomskinligt det är hur teknologier för artificiell intelligens fungerar, visa sig omöjligt att förstå skälet till att ett visst program har kommit fram till en träff. Under dessa omständigheter skulle användningen av sådan teknik kunna beröva de berörda personerna deras rätt till ett effektivt rättsmedel inför domstol enligt artikel 47 i stadgan, en rätt som PNR-direktivet enligt skäl 28 däri syftar till att säkerställa en hög skyddsnivå för, särskilt för att kunna ifrågasätta att de resultat som erhållits inte är diskriminerande.
196 Vad därefter beträffar de krav som följer av artikel 6.4 i PNR-direktivet, anges i första meningen i denna bestämmelse att förhandsbedömningen enligt på förhand fastställda kriterier ska utföras på ett icke-diskriminerande sätt. I fjärde meningen preciseras att dessa kriterier under inga omständigheter får vara baserade på en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.
197 Medlemsstaterna får således inte, såsom på förhand fastställda kriterier, använda kriterier som grundar sig på sådana egenskaper som avses i föregående punkt och vars användning kan ge upphov till diskriminering. Det framgår av ordalydelsen i artikel 6.4 fjärde meningen i PNR-direktivet, enligt vilken på förhand fastställda kriterier ”under inga omständigheter” får vara baserade på dessa egenskaper, att bestämmelsen avser såväl direkt som indirekt diskriminering. Denna tolkning bekräftas dessutom av artikel 21.1 i stadgan, mot bakgrund av vilken nämnda bestämmelse ska läsas, som förbjuder ”all” diskriminering på grund av dessa egenskaper. Under dessa omständigheter ska de på förhand fastställda kriterierna fastställas på ett sådant sätt att tillämpningen av dem, även om kriterierna är neutralt formulerade, inte särskilt kan missgynna personer som har de skyddade egenskaperna.
198 När det gäller kraven på att de på förhand fastställda kriterier som föreskrivs i artikel 6.4 andra meningen i PNR-direktivet ska vara riktade, proportionella och specifika, följer det av dessa krav att de kriterier som används vid förhandsbedömningen ska bestämmas på ett sådant sätt att de specifikt riktar in sig på de individer som skäligen kan misstänkas delta i sådana terroristbrott eller sådan grov brottslighet som avses i direktivet. Denna tolkning stöds av själva ordalydelsen i artikel 6.2 a i direktivet, där det betonas att de berörda personerna ”kan” vara inblandade i terroristbrott eller allvarlig brottslighet. På samma sätt anges i skäl 7 i direktivet att utformning och tillämpning av bedömningskriterierna bör begränsas till att endast omfatta terroristbrott och grov brottslighet ”för vilka användningen av sådana kriterier är relevant”.
199 För att rikta in sig på de sålunda berörda personerna, och med beaktande av den risk för diskriminering som de kriterier som baseras på de i artikel 6.4 fjärde meningen i PNR-direktivet angivna egenskaperna medför, kan enheten för passagerarinformation och de behöriga myndigheterna i princip inte grunda sig på dessa egenskaper. Däremot kan de, som den tyska regeringen påpekade vid förhandlingen, bland annat ta hänsyn till särskilda omständigheter i det faktiska beteendet hos personer som har samband med förberedandet och genomförandet av flygresor, vilka, enligt de konstateranden som gjorts och erfarenheterna från de behöriga myndigheternas sida, skulle kunna visa på att personer som uppträder på detta sätt kan vara inblandade i terroristbrott eller grov brottslighet.
200 Såsom kommissionen har påpekat som svar på en fråga från domstolen ska i detta sammanhang de på förhand fastställda kriterierna fastställas på ett sådant sätt att hänsyn tas till såväl uppgifter till personernas ”nackdel” som till deras ”fördel”. Detta krav kan bidra till att dessa kriterier är tillförlitliga och bland annat säkerställa att de är proportionerliga, såsom krävs enligt artikel 6.4 andra meningen i PNR-direktivet.
201 Enligt artikel 6.4 tredje meningen i direktivet ska slutligen de på förhand fastställda kriterierna ses över regelbundet. Vid denna översyn ska dessa kriterier uppdateras mot bakgrund av hur de omständigheter som motiverade att de beaktades vid förhandsbedömningen utvecklats, vilket bland annat gör det möjligt att reagera på utvecklingen i kampen mot sådana terroristbrott och grova brott som avses i punkt 157 ovan (se, analogt, dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 82). Vid översynen ska man särskilt beakta erfarenheterna från tillämpningen av de förhand fastställda kriterierna, för att i möjligaste mån minska antalet oriktiga positiva resultat och därigenom bidra till att tillämpningen av dessa kriterier begränsas till vad som är strikt nödvändigt.
iii) Garantierna kring den automatiska behandlingen av PNR-uppgifter
202 De krav som uppställs i artikel 6.4 i PNR-direktivet för automatisk behandling av PNR-uppgifter gäller inte bara vid fastställandet och översynen av databaserna och de på förhand fastställda kriterier som föreskrivs i denna bestämmelse, utan även, såsom generaladvokaten påpekade i punkt 230 i sitt förslag till avgörande, under hela behandlingen av dessa uppgifter.
203 När det särskilt gäller de på förhand fastställda kriterierna ska det först preciseras att även om enheten för passagerarinformation, såsom anges i skäl 7 i PNR-direktivet, ska fastställa bedömningskriterierna på ett sätt som minimerar antalet felaktiga utpekanden av oskyldiga personer i det system som inrättats genom direktivet, måste denna enhet, i enlighet med artikel 6.5 och 6.6 i direktivet, likväl göra en individuell granskning av varje träff från icke-automatiska metoder, i syfte att i så stor utsträckning som möjligt upptäcka eventuella ”falska positiva resultat”. Dessutom är enheten för passagerarinformation, oaktat att den måste fastställa bedömningskriterierna på ett icke-diskriminerande sätt, skyldig att göra en sådan granskning för att utesluta eventuella diskriminerande resultat. Enheten för passagerarinformation ska iaktta samma granskningsskyldighet vad gäller jämförelsen av PNR-uppgifterna mot databaserna.
204 Enheten för passagerarinformation ska således avstå från att överföra resultaten av den automatiska behandlingen till de behöriga myndigheter som avses i artikel 7 i PNR-direktivet när den, mot bakgrund av övervägandena i punkt 198 ovan, efter granskningen inte har tillräckligt underlag för att skäligen misstänka att de personer som identifierats genom den automatiska behandlingen är delaktiga i terroristbrott eller grov brottslighet, eller när den har underlag för slutsatsen att den behandlingen leder till diskriminerande resultat.
205 När det gäller de kontroller som enheten för passagerarinformation ska utföra i detta avseende, följer det av artikel 6.5 och 6.6 jämförd med skälen 20 och 22 i PNR-direktivet att medlemsstaterna ska föreskriva tydliga och precisa regler som kan vägleda och reglera den bedömning som görs av de tjänstemän som ansvarar för den individuella granskningen, för att säkerställa full respekt för de grundläggande rättigheter som slås fast i artiklarna 7, 8 och 21 i stadgan och, inte minst, för att garantera en konsekvent administrativ praxis inom enheten för passagerarinformation som iakttar principen om icke-diskriminering.
206 Med hänsyn särskilt till det ganska stora antal ”falska positiva” resultat som nämns i punkt 106 ovan, ska medlemsstaterna försäkra sig om att enheten för passagerarinformation på ett klart och precist sätt fastställer objektiva granskningskriterier så att enhetens tjänstemän kan kontrollera dels om och i vilken utsträckning en träff (hit) verkligen avser en person som kan vara inblandad i sådana terroristbrott eller sådan grov brottslighet som avses i punkt 157 ovan och därför ska undersökas närmare av den behöriga myndighet som avses i artikel 7 i direktivet, dels att den automatiska behandlingen i enlighet med direktivet, och i synnerhet de på förhand fastställda kriterierna och de databaser som används, inte är diskriminerande.
207 Medlemsstaterna är i detta sammanhang skyldiga att se till att enheten för passagerarinformation, i enlighet med artikel 13.5 jämförd med skäl 37 i PNR-direktivet, bevarar dokumentation om all behandling av PNR-uppgifter i samband med förhandsbedömningen, inbegripet vid en individuell granskning med icke-automatiska metoder, för laglighetskontroll och självrättelse.
208 Vidare får de behöriga myndigheterna, enligt artikel 7.6 första meningen i PNR-direktivet, inte fatta några beslut som har negativa rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar en person endast på grund av den automatiska behandlingen av PNR-uppgifter. Detta innebär att de vid förhandsbedömningen ska beakta och, i förekommande fall, ge företräde åt resultatet av enheten för passagerarinformations individuella granskning med icke-automatiska metoder framför resultatet av den automatiska behandlingen. Enligt den andra meningen i artikel 7.6 får sådana beslut inte vara diskriminerande.
209 I detta sammanhang ska de behöriga myndigheterna försäkra sig om att såväl sådan automatisk behandling, bland annat vad gäller behandlingens icke-diskriminerande karaktär, som den individuella granskningen är lagenliga.
210 De behöriga myndigheterna ska särskilt försäkra sig om att den berörda personen – utan att denne, under det administrativa förfarandet, nödvändigtvis har möjlighet att få kännedom om de på förhand fastställda bedömningskriterierna och de program som tillämpar dessa kriterier – kan förstå hur kriterierna och programmen fungerar så att denne, med full kännedom om omständigheterna, kan avgöra huruvida han eller hon ska utövar sin rätt till domstolsprövning enligt artikel 13.1 i PNR-direktivet för att i förekommande fall angripa den påstått olagliga, däribland diskriminerande, karaktären hos dessa kriterier (se, analogt, dom av den 24 november 2020, Minister van Buitenlandse Zaken, C‑225/19 och C‑226/19, EU:C:2020:951, punkt 43 och där angiven rättspraxis). Detsamma gäller de kriterier för omprövning som avses i punkt 206 ovan.
211 Slutligen ska, inom ramen för ett överklagande enligt artikel 13.1 i PNR-direktivet, den domstol som ska pröva lagenligheten av det beslut som fattats av de behöriga myndigheterna och, förutom i fall av hot mot statens säkerhet, den berörde själv kunna ta del av såväl samtliga skäl som den bevisning som legat till grund för beslutet (se, analogt, dom av den 4 juni 2013, ZZ, C‑300/11, EU:C:2013:363, punkterna 54–59), inklusive de på förhand fastställda bedömningskriterierna och uppgift om hur programmen för tillämpning av dessa kriterier fungerar.
212 Enligt artikel 6.7 respektive artikel 15.3 b i PNR-direktivet ankommer det dessutom på dataskyddsombudet och den nationella tillsynsmyndigheten att kontrollera lagenligheten av den automatiska behandling som enheten för passagerarinformation utför i samband med förhandsbedömningen. Denna prövning omfattar bland annat att behandlingen inte är diskriminerande. Även om det i den första av dessa bestämmelser preciseras att dataskyddsombudet har tillgång till alla uppgifter som behandlas av enheten för passagerarinformation, måste denna tillgång med nödvändighet omfatta de på förhand fastställda kriterier och de databaser som denna enhet använder, för att garantera effektiviteten och den höga nivån på det uppgiftsskydd som dataskyddsombudet ska säkerställa enligt skäl 37 i direktivet. På samma sätt kan de utredningar, inspektioner och revisioner som den nationella tillsynsmyndigheten utför med stöd av artikel 15.3 b i PNR-direktivet avse även dessa på förhand fastställda kriterier och dessa databaser.
213 Av det ovan anförda följer att de bestämmelser i PNR-direktivet som reglerar förhandsbedömningen av PNR-uppgifter enligt artikel 6.2 a i detta direktiv kan tolkas i överensstämmelse med artiklarna 7, 8 och 21 i stadgan, med iakttagande av gränserna för vad som är strikt nödvändigt.
6) Senare utlämnande och bedömning av PNR-uppgifter
214 Enligt artikel 6.2 b i PNR-direktivet får PNR-uppgifter också, på förfrågan från de behöriga myndigheterna, tillhandahållas dessa myndigheter och bli föremål för en bedömning efter passagerarnas beräknade ankomst till eller avresa från den berörda medlemsstaten.
215 Vad gäller villkoren för ett sådant tillhandahållande och en sådan bedömning, framgår det av bestämmelsens lydelse att enheten för passagerarinformation kan behandla PNR-uppgifter i ”enskilda fall” efter en ”vederbörligen motiverad förfrågan som bygger på tillräckliga skäl” från de behöriga myndigheterna om att PNR-uppgifter ska tillhandahållas dessa och behandlas ”i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet”. När en förfrågan ges in mer än sex månader efter överföringen av PNR-uppgifterna till enheten för passagerarinformation, en period vid utgången av vilken alla PNR-uppgifter ska avidentifieras genom maskering av vissa avsnitt enligt artikel 12.2 i direktivet, föreskriver artikel 12.3 i direktivet att utlämnande av de fullständiga PNR-uppgifterna, och därmed en icke avidentifierad version av dessa, ska tillåtas endast om det rimligen kan antas vara nödvändigt för de ändamål som avses i artikel 6.2 b direktivet och efter tillstånd från en rättslig myndighet eller en annan nationell myndighet som är behörig enligt nationell rätt.
216 I detta avseende framgår det för det första av själva lydelsen i artikel 6.2 b i PNR-direktivet att enheten för passagerarinformation inte systematiskt får lämna ut och bedöma PNR-uppgifter i efterhand för samtliga flygpassagerare och bara ”i enskilda fall” får besvara en förfrågan om sådan behandling ”i specifika fall”. Eftersom denna bestämmelse hänvisar till ”specifika fall”, måste denna behandling inte nödvändigtvis begränsas till en enda flygpassagerares PNR-uppgifter, utan den kan, såsom kommissionen har påpekat som svar på en fråga från domstolen, även avse ett flertal personer, förutsatt att de berörda personerna har ett visst antal gemensamma egenskaper som gör det möjligt att betrakta dem gemensamt som ett ”specifikt fall” för det utlämnande och den bedömning som är föremålet för förfrågan.
217 Vad därefter gäller de materiella villkoren för att PNR-uppgifter för flygpassagerare ska kunna lämnas ut och bedömas senare, hänvisar artikel 6.2 b respektive artikel 12.3 a i PNR-direktivet visserligen till ”tillräckliga skäl” respektive rimliga skäl, utan att uttryckligen precisera arten av dessa skäl. Det framgår emellertid av själva lydelsen i den första av dessa bestämmelser, som hänvisar till de syften som avses i artikel 1.2 i direktivet, att PNR-uppgifter får lämnas ut och behandlas i efterhand endast i syfte att kontrollera om det föreligger indicier för att de berörda personerna har kopplingar till terroristbrott eller grov brottslighet som, såsom framgår av punkt 157 ovan, uppvisar ett åtminstone indirekt objektivt samband med lufttransport av passagerare.
218 I det system som inrättats genom PNR-direktivet avser tillhandahållande och behandling av PNR-uppgifter enligt artikel 6.2 b i detta direktiv uppgifter om personer som redan har varit föremål för en förhandsbedömning före deras planerade ankomst i den berörda medlemsstaten eller den planerade avresan från denna medlemsstat. Dessutom kan en förfrågan om bedömning i efterhand avse bland annat personer vilkas PNR-uppgifter inte har överförts till behöriga myndigheter efter förhandsbedömningen, när det vid den bedömningen inte framkommit några omständigheter som tyder på att dessa personer kunde vara inblandade i terroristbrott eller grov brottslighet som har ett åtminstone indirekt objektivt samband med lufttransport av passagerare. Under dessa omständigheter ska utlämnande och behandling av dessa uppgifter för senare utvärdering grunda sig på nya omständigheter som motiverar en sådan användning (se, för ett liknande resonemang, yttrande 1/15, (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 200 och där angiven rättspraxis).
219 När det gäller arten av de omständigheter som kan motivera att PNR-uppgifter lämnas ut och behandlas för att utvärderas senare, följer det av fast rättspraxis att eftersom allmän tillgång till samtliga lagrade uppgifter, oberoende av om det finns något som helst samband, ens indirekt, med det eftersträvade målet, inte kan anses vara begränsad till vad som är strikt nödvändigt, måste den berörda lagstiftningen oavsett om denna består av unionslagstiftningen eller av en nationell införlivandebestämmelse, grunda sig på objektiva kriterier för att fastställa de omständigheter och villkor under vilka de behöriga myndigheterna ska ges tillgång till uppgifterna. Tillgång kan i princip bara beviljas, i samband med bekämpning av brott, till uppgifter om personer som misstänks planera, begå eller ha begått ett allvarligt brott eller på något sätt vara inblandade i ett sådant brott. I särskilda fall, som när vitala intressen för nationell säkerhet, försvar eller allmän säkerhet hotas av terrorism, skulle dock tillgång kunna ges även till uppgifter om andra personer när det finns objektiva omständigheter som ger skäl att anta att de uppgifterna i ett konkret fall effektivt skulle kunna bidra till att bekämpa terrorism (dom av den 2 mars 2021, Prokuratuur (Villkor för att ge tillgång till uppgifter avseende elektronisk kommunikation), C‑746/18, EU:C:2021:152, punkt 50 och där angiven rättspraxis, och dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 105).
220 Uttrycken ”tillräckliga skäl” och ”rimligen” i artikel 6.2 b respektive artikel 12.3 a i PNR-direktivet ska således, mot bakgrund av artiklarna 7 och 8 i stadgan, tolkas på det sättet att de avser objektiva omständigheter som kan ligga till grund för en rimlig misstanke om att den berörda personen på ett eller annat sätt är inblandad i grov brottslighet som har ett åtminstone indirekt objektivt samband med lufttransport av passagerare. Beträffande terroristbrott med ett sådant samband är kravet uppfyllt när det finns objektiva faktorer som gör att PNR-uppgifterna i ett konkret fall kan anses bidra effektivt till kampen mot sådana brott.
221 Vad slutligen gäller de förfarandevillkor som gäller för utlämnande och behandling av PNR-uppgifter för senare bedömning, krävs det enligt artikel 12.3 b i PNR-direktivet att för det fall förfrågan lämnas in mer än sex månader efter överföringen till enheten för passagerarinformation, det vill säga när uppgifterna i enlighet med artikel 12.2 har avidentifierats genom maskering av de uppgifter som avses i nämnda punkt 2, ska utlämnande av samtliga PNR-uppgifter och följaktligen av en icke avidentifierad version av dem godkännas av en rättslig myndighet eller av en annan nationell myndighet som är behörig enligt nationell rätt. I detta sammanhang ankommer det på dessa myndigheter att pröva huruvida förfrågan är välgrundad i dess helhet och, i synnerhet, pröva huruvida de omständigheter som anförts till stöd för förfrågan kan utgöra stöd för det materiella villkoret att det ska föreligga rimliga skäl, på sätt som avses i föregående punkt.
222 Det är riktigt att något sådant processuellt villkor inte uttryckligen föreskrivs i artikel 6.2 b i PNR-direktivet för det fall att förfrågan om utlämnande och utvärdering i efterhand av PNR-uppgifter lämnas in före utgången av sexmånadersfristen efter överföringen av dessa uppgifter. Vid tolkningen av den sistnämnda bestämmelsen ska emellertid skäl 25 i direktivet beaktas, av vilket det framgår att unionslagstiftaren, genom att föreskriva detta processuella villkor, avsåg att ”säkerställa högsta möjliga nivå av dataskydd” när det gäller åtkomsten till PNR-uppgifter i en form som gör det möjligt att direkt identifiera den registrerade. Varje förfrågan om utlämnande och bedömning i efterhand förutsätter en sådan åtkomst till dessa uppgifter, oberoende av om denna förfrågan lämnas in före utgången av sexmånadersperioden efter överföringen av PNR-uppgifter till enheten för passagerarinformation eller om den lämnas in efter utgången av denna period.
223 För att säkerställa i praktiken att de grundläggande rättigheterna iakttas fullt ut i det system som inrättats genom PNR-direktivet, och särskilt de villkor som anges i punkterna 218 och 219 ovan, är det väsentligt att utlämnande av PNR-uppgifter för en bedömning i efterhand i princip, utom i vederbörligen motiverade brådskande fall, ska föregås av en förhandskontroll utförd antingen av domstol eller av en oberoende förvaltningsmyndighet och att ett beslut av denna domstol eller myndighet ska fattas efter en motiverad begäran från de behöriga myndigheterna, som ges in inom ramen för ett förfarande för att förebygga, upptäcka eller lagföra brott. I vederbörligen motiverade brådskande fall ska kontrollen genomföras utan dröjsmål (se, analogt, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 202 och där angiven rättspraxis, samt dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 110).
224 Kravet på förhandskontroll enligt artikel 12.3 b i PNR-direktivet för förfrågningar om utlämnande av PNR-uppgifter som getts in efter utgången av sexmånadersfristen efter överföringen av uppgifterna till enheten för passagerarinformation ska således även gälla i tillämpliga delar för det fall att förfrågan om utlämnande ges in före utgången av denna frist.
225 Även om artikel 12.3 b i PNR-direktivet inte uttryckligen anger vilka krav som den myndighet som ansvarar för förhandskontrollen ska uppfylla, följer det av fast rättspraxis att myndigheten – för att säkerställa att det ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan som följer av att tillgång till personuppgifter begränsas till vad som är strikt nödvändigt – ska förfoga över alla befogenheter och lämna alla nödvändiga garantier för att säkerställa en avvägning mellan de olika intressena och rättigheterna i fråga. Vad särskilt gäller en brottsutredning kräver en sådan kontroll att denna myndighet kan säkerställa rätt balans mellan de intressen som inom ramen för brottsbekämpning gör sig gällande för att svara mot utredningens behov, å ena sidan, och de grundläggande rättigheter avseende respekt för privatlivet och skydd av personuppgifter som tillkommer de personer vars uppgifter kan komma att lämnas ut, å andra sidan (dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 107 och där angiven rättspraxis).
226 En sådan myndighet måste ha en ställning som innebär att den kan fullgöra sitt uppdrag på ett objektivt och opartiskt sätt, och den måste därför vara fri från all yttre påverkan. Detta krav på oberoende innebär att myndigheten måste vara fristående i förhållande till den som begär tillgång till uppgifterna, så att myndigheten kan utöva sin kontroll utan yttre påverkan. På det straffrättsliga området innebär kravet på oberoende att denna myndighet dels inte får vara involverad i den aktuella brottsutredningen, dels ska ha en neutral ställning i förhållande till parterna i det straffrättsliga förfarandet (se, för ett liknande resonemang, dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 108 och där angiven rättspraxis).
227 De bestämmelser i PNR-direktivet som reglerar utlämning och bedömning i efterhand av PNR-uppgifter enligt artikel 6.2 b i direktivet lämpar sig således för en tolkning som är förenlig med artiklarna 7, 8 och artikel 52.1 i stadgan, med iakttagande av vad som är strikt nödvändigt.
228 Mot bakgrund av det ovan anförda har det vid prövningen av den andra till den fjärde frågan samt den sjätte frågan inte framkommit någon omständighet som kan påverka giltigheten av PNR-direktivet, eftersom en tolkning av detta direktiv mot bakgrund av artiklarna 7, 8, 21 och 52.1 i stadgan säkerställer direktivets förenlighet med dessa artiklar i stadgan.
C. Den femte frågan
229 Den hänskjutande domstolen har ställt den femte frågan för att få klarhet i huruvida artikel 6 i PNR-direktivet, jämförd med artiklarna 7, 8 och 52.1 i stadgan, ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som tillåter behandling av PNR-uppgifter som samlats in i enlighet med detta direktiv i syfte att följa upp underrättelse- och säkerhetstjänstens verksamhet.
230 Det framgår av begäran om förhandsavgörande att den hänskjutande domstolen genom denna fråga särskilt avser den verksamhet som bedrivs av Sûreté de l’État (Statliga säkerhetstjänsten, Belgien) och Service général du renseignement et de la sécurité (Allmänna underrättelse- och säkerhetstjänsterna, Belgien) inom ramen för sina respektive uppgifter avseende skyddet av nationell säkerhet.
231 För att iaktta legalitetsprincipen och proportionalitetsprincipen, som bland annat avses i artikel 52.1 i stadgan, har unionslagstiftaren föreskrivit tydliga och precisa bestämmelser som reglerar ändamålen med de i PNR-direktivet föreskrivna åtgärder som innebär ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan.
232 I artikel 1.2 i PNR-direktivet anges nämligen uttryckligen att PNR-uppgifter som samlas in i enlighet med detta direktiv endast får behandlas ”i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 6.2 a, b och c [i direktivet]”. Den sistnämnda bestämmelsen bekräftar den princip som uttalas i artikel 1.2 genom att det systematiskt hänvisas till begreppen ”terroristbrott” och ”grov brottslighet”.
233 Det framgår således tydligt av dessa bestämmelsers ordalydelse att uppräkningen däri av de mål som eftersträvas med behandlingen av PNR-uppgifter enligt PNR-direktivet är uttömmande.
234 Denna tolkning stöds bland annat av skäl 11 i PNR-direktivet, enligt vilket behandlingen av PNR-uppgifter ska stå i proportion till de ”särskilda säkerhetsmål” som direktivet syftar till att uppfylla, och av artikel 7.4, enligt vilken PNR-uppgifter och resultatet av behandling av dessa uppgifter som mottas av enheten för passagerarinformation endast får vidarebehandlas ”om det specifika syftet är att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet”.
235 Dessutom innebär den uttömmande karaktären av de ändamål som avses i artikel 1.2 i PNR-direktivet även att PNR-uppgifter inte får lagras i en enda databas som kan användas för såväl dessa som andra ändamål. Att lagra dessa uppgifter i en sådan databas skulle nämligen innebära en risk för att uppgifterna används för andra ändamål än dem som avses i artikel 1.2.
236 I den mån den nationella lagstiftning som är aktuell i det nationella målet enligt den hänskjutande domstolen godtar att ett syfte med behandlingen av PNR-uppgifter kan vara uppföljning av underrättelse- och säkerhetstjänsternas verksamhet, vilket då innefattar syftet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, riskerar den lagstiftningen att inte respektera att uppräkningen i PNR-direktivet av de mål som eftersträvas med behandlingen av PNR-uppgifter är uttömmande. Det ankommer dock på den hänskjutande domstolen att kontrollera detta.
237 Den femte frågan ska därför besvaras på så sätt att artikel 6 i PNR-direktivet jämförd med artiklarna 7, 8 och 52.1 i stadgan ska tolkas så, att den utgör hinder för en nationell lagstiftning som tillåter behandling av PNR-uppgifter som samlats in i enlighet med detta direktiv för andra ändamål än dem som uttryckligen anges i artikel 1.2 i detta direktiv.
D. Den sjunde frågan
238 Den hänskjutande domstolen har ställt den sjunde frågan för att få klarhet i huruvida artikel 12.3 b i PNR-direktivet ska tolkas så, att den utgör hinder för en nationell lagstiftning enligt vilken den myndighet som inrättats som enhet för passagerarinformation även är behörig nationell myndighet med befogenhet att godkänna utlämnande av PNR-uppgifter vid utgången av den sexmånadersperiod som följer efter överföringen av dessa uppgifter till enheten för passagerarinformation.
239 Det ska inledningsvis påpekas att den belgiska regeringen hyser tvivel kring om EU-domstolen är behörig att besvara denna fråga, såsom den har formulerats av den hänskjutande domstolen, med motiveringen att den hänskjutande domstolen är ensam behörig att tolka de nationella bestämmelserna och, i synnerhet, att bedöma de krav som följer av lagen av den 25 december 2016 mot bakgrund av artikel 12.3 b i PNR-direktivet.
240 Det räcker i detta avseende att påpeka att den hänskjutande domstolen har ställt denna fråga för att få klarhet i hur en unionsbestämmelse ska tolkas. Även om det i ett förfarande enligt artikel 267 FEUF ankommer på medlemsstaternas domstolar och inte på EU-domstolen att tolka nationella bestämmelser, och även om det inte ankommer på EU-domstolen att uttala sig om nationella bestämmelsers förenlighet med unionsrätten, är EU-domstolen behörig att tillhandahålla den nationella domstolen alla sådana uppgifter om unionsrättens tolkning som gör det möjligt för den nationella domstolen att bedöma om sådana bestämmelser är förenliga med unionsrätten (dom av den 30 april 2020, CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, punkt 28 och där angiven rättspraxis). Av detta följer att EU-domstolen är behörig att besvara den sjunde frågan.
241 I sak ska det påpekas att ordalydelsen i artikel 12.3 b i PNR-direktivet, som i led i) respektive ii) nämner ”en rättslig myndighet” och ”en annan nationell myndighet som enligt nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda”, likställer dessa båda myndigheter, såsom framgår av användningen av konjunktionen ”eller” mellan leden i) och ii) Det framgår således av denna lydelse att denna andra behöriga nationella myndighet utgör ett alternativ till den rättsliga myndigheten och följaktligen ska ha en nivå av oberoende och opartiskhet som är jämförbar med den rättsliga myndigheten.
242 Denna bedömning stöds av det syfte med PNR-direktivet som anges i skäl 25 i direktivet, nämligen att säkerställa högsta möjliga nivå av dataskydd när det gäller åtkomst till fullständiga PNR-uppgifter, vilka gör det möjligt att direkt identifiera den registrerade. I samma skäl preciseras för övrigt att sådan åtkomst endast bör beviljas under mycket strikta villkor efter sexmånadersfristen efter överföringen av PNR-uppgifterna till enheten för passagerarinformation.
243 Denna bedömning stöds även av PNR-direktivets tillkomsthistoria. Medan det förslag till direktiv som nämns i punkt 155 ovan och som ligger till grund för PNR-direktivet, bara föreskrev att ”endast den ansvarige vid enheten för passagerarinformation får ges tillgång till samtliga PNR-uppgifter”, utpekar nämligen den version av artikel 12.3 b i direktivet som unionslagstiftaren slutligen antog den rättsliga myndigheten och ”en annan nationell myndighet” – vilka likställs – som behöriga att kontrollera om villkoren för utlämnande av samtliga PNR-uppgifter är uppfyllda och att ge tillstånd till ett sådant utlämnande.
244 Enligt den fasta rättspraxis som domstolen erinrat om i punkterna 223, 225 och 226 ovan är det dessutom och framför allt av avgörande betydelse att de behöriga myndigheternas tillgång till lagrade uppgifter är underkastad en förhandskontroll utförd antingen av domstol eller av en oberoende administrativ enhet, och att nämnda domstols eller enhets beslut fattas efter en motiverad begäran från dessa myndigheter som framställts bland annat i samband med ett förfarande för att förebygga, förhindra, upptäcka eller lagföra brott. Det krav på oberoende som enheten med ansvar för sådan förhandskontroll ska uppfylla innebär även att enheten måste vara fristående i förhållande till den myndighet som begär tillgång till uppgifterna, så att enheten kan utöva sin kontroll på ett objektivt och opartiskt sätt och därvid skyddas från yttre påverkan. På det straffrättsliga området innebär kravet på oberoende särskilt att den myndighet som ska utföra förhandskontrollen dels inte får vara involverad i den aktuella brottsutredningen, dels ska ha en neutral ställning i förhållande till parterna i det straffrättsliga förfarandet.
245 Som generaladvokaten påpekade i punkt 271 i sitt förslag till avgörande, föreskriver artikel 4.1 och 4.3 i PNR-direktivet att den enhet för passagerarinformation som inrättats eller utsetts i varje medlemsstat ska vara behörig myndighet vad gäller att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet samt att dess personal kan vara tjänstemän som avdelats från de behöriga myndigheter som avses i artikel 7 i direktivet, vilket innebär att enheten för passagerarinformation med nödvändighet tycks vara anknuten till dessa myndigheter. Enheten för passagerarinformation får också, med stöd av artikel 6.2 b i direktivet, behandla PNR-uppgifter och lämna ut resultaten av den behandlingen till dessa myndigheter. Mot bakgrund av dessa omständigheter kan enheten för passagerarinformation inte anses vara fristående i förhållande till dessa myndigheter och följaktligen ha den oberoende ställning och opartiskhet som krävs för att utföra den förhandskontroll som nämns i punkten ovan och kontrollera huruvida villkoren för utlämnande av samtliga PNR-uppgifter är uppfyllda, såsom föreskrivs i artikel 12.3 b i direktivet.
246 Den omständigheten att led ii) i sistnämnda bestämmelse, för det fall att en ”annan nationell myndighet som … är behörig” godkänner utlämnandet av samtliga dessa uppgifter, kräver att dataskyddsombudet vid enheten för passagerarinformation ”informeras och att denne genomför en efterhandsutvärdering”, medan så inte är fallet när godkännandet har lämnats av den rättsliga myndigheten, påverkar inte denna bedömning. Det följer nämligen av fast rättspraxis att en senare kontroll, såsom den som utförs av dataskyddsombudet, inte räcker för att uppnå syftet med förhandskontrollen, nämligen att förhindra att tillgång ges till de aktuella uppgifterna utöver vad som är strikt nödvändigt (se, för ett liknande resonemang, dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 110 och där angiven rättspraxis).
247 Mot denna bakgrund ska den sjunde frågan besvaras på följande sätt. Artikel 12.3 b i PNR-direktivet ska tolkas så, att den utgör hinder för en nationell lagstiftning enligt vilken den myndighet som inrättats som enhet för passagerarinformation även är behörig nationell myndighet med befogenhet att godkänna utlämnande av PNR-uppgifter vid utgången av den sexmånadersperiod som följer efter överföringen av dessa uppgifter till enheten för passagerarinformation.
E. Den åttonde frågan
248 Den hänskjutande domstolen har ställt den åttonde frågan för att få klarhet i huruvida artikel 12 i PNR-direktivet, jämförd med artiklarna 7, 8 och 52.1 i stadgan, ska tolkas så, att den utgör hinder för en nationell lagstiftning som föreskriver en generell lagringstid på fem år för PNR-uppgifter, oavsett om de berörda passagerarna utgör en risk eller ej beträffande terroristbrott eller grov brottslighet.
249 Enligt artikel 12.1 och 12.4 i detta direktiv ska enheten för passagerarinformation i den medlemsstat där ankomst- eller avgångsorten för den berörda flygningen är belägen lagra de PNR-uppgifter som lufttrafikföretagen lämnar i en databas under fem år efter överföringen till denna enhet och slutgiltigt radera dessa uppgifter vid utgången av denna femårsperiod.
250 Som anges i skäl 25 i PNR-direktivet bör ”[l]agringstiden för PNR-uppgifter … vara tillräckligt lång och stå i proportion till ändamålen, nämligen att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet”.
251 Lagring av PNR-uppgifter med tillämpning av artikel 12.1 i PNR-direktivet är följaktligen inte motiverad om det saknas ett objektivt samband mellan lagringen och de mål som eftersträvas med direktivet, det vill säga bekämpande av terroristbrott och grov brottslighet som har ett åtminstone indirekt objektivt samband med lufttransport av passagerare.
252 Som framgår av skäl 25 i direktivet ska det göras åtskillnad mellan, å ena sidan, den inledande lagringstiden på sex månader enligt artikel 12.2 i direktivet och, å andra sidan, den efterföljande perioden, som avses i artikel 12.3 i direktivet.
253 Vid tolkningen av artikel 12.1 i samma direktiv ska hänsyn tas till bestämmelserna i artikel 12.2 och 12.3, som innehåller bestämmelser om lagring och tillgång till PNR-uppgifter som lagrats efter utgången av den inledande lagringsperioden på sex månader. Som framgår av skäl 25 i PNR-direktivet ger dessa bestämmelser för det första uttryck för syftet att PNR-uppgifterna ska kunna ”lagra[s] … tillräckligt länge för att de ska kunna användas i samband med analyser och utredningar”, vilka redan kan genomföras under den inledande lagringsperioden på sex månader. För det andra syftar de, enligt samma skäl 25, till att ”undvika oproportionerlig användning” genom maskering av uppgifterna och att ”säkerställa högsta möjliga skyddsnivå” genom att endast bevilja åtkomst till dessa uppgifter på ett sätt som gör det möjligt att direkt identifiera den registrerade ”under mycket strikta och begränsade villkor efter den inledande perioden”. Således tas hänsyn till att ju längre tid PNR-uppgifterna lagras, desto allvarligare ingrepp innebär detta.
254 Åtskillnaden mellan den inledande lagringsperioden på sex månader, som avses i artikel 12.2 i PNR-direktivet, och den efterföljande period som avses i artikel 12.3 i detta direktiv, är även tillämplig vid erforderligt iakttagande av kravet i punkt 251 ovan.
255 Med hänsyn till syftet med PNR-direktivet och behovet av utredning och lagföring av terroristbrott och grov brottslighet, finner domstolen därför att lagring under den inledande sexmånadersperioden av PNR-uppgifter avseende samtliga flygpassagerare som omfattas av det system som inrättats genom direktivet, utan att det finns någon som helst indikation på att de skulle vara inblandade i terroristbrott eller grov brottslighet, inte principiellt tycks gå utöver vad som är strikt nödvändigt, eftersom detta möjliggör nödvändiga efterforskningar för att identifiera personer som inte vara misstänkta för att delta i terroristbrott eller grov brottslighet.
256 Vad däremot gäller den efterföljande perioden, som avses i artikel 12.3 i PNR-direktivet, medför lagring av PNR-uppgifter avseende samtliga flygpassagerare som omfattas av det system som inrättats genom direktivet inneboende risker för oproportionerlig användning och missbruk, till följd av den stora mängd uppgifter som kan lagras kontinuerligt (se, analogt, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 119). Detta är dessutom oförenligt med kravet i skäl 25 i direktivet att uppgifterna bara ska lagras så länge som är nödvändigt och i proportion till ändamålen, eftersom unionslagstiftaren haft för avsikt att säkerställa högsta möjliga nivå av dataskydd för PNR-uppgifter som gör det möjligt att direkt identifiera den registrerade.
257 När det gäller flygpassagerare för vilka varken den förhandsbedömning som avses i artikel 6.2 a i PNR-direktivet, eller eventuella kontroller som utförts under den sexmånadersperiod som avses i artikel 12.2 i direktivet, eller någon annan omständighet har visat att det föreligger objektiva omständigheter som visar att det föreligger en risk för terroristbrott eller grov brottslighet som har ett åtminstone indirekt objektivt samband med dessa passagerares flygresor, tycks det under dylika omständigheter inte föreligga något samband, ens indirekt, mellan PNR-uppgifterna för dessa passagerare och målet med direktivet som skulle motivera att dessa uppgifter lagras (se, analogt, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 204 och 205).
258 Att kontinuerligt lagra PNR-uppgifter för samtliga passagerare efter den inledande sexmånadersperioden förefaller således inte vara begränsat till vad som är strikt nödvändigt (se, analogt, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 206).
259 I den utsträckning som det i enskilda fall emellertid kunnat fastställas objektiva omständigheter, såsom PNR-uppgifterna för passagerare för vilka det föreligger en bekräftad positiv överensstämmelse, som gör det möjligt att anse att vissa flygpassagerare skulle kunna utgöra en risk med avseende på terroristbrott eller grov brottslighet, framstår en lagring av deras PNR-uppgifter som tillåten även efter denna inledande period (se, analogt, yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 207 och där angiven rättspraxis).
260 Att identifiera dessa objektiva omständigheter skulle nämligen kunna fastställa ett samband med syftena med behandlingen enligt PNR-direktivet, och lagring av PNR-uppgifterna för dessa passagerare skulle då vara motiverad under den maximala tidsperiod som medges i direktivet, det vill säga fem år.
261 I förevarande fall tycks den lagstiftning som är aktuell i det nationella målet föreskriva en allmän lagringstid för PNR-uppgifter på fem år, och denna är tillämplig utan åtskillnad på alla passagerare, inklusive på passagerare för vilka varken den förhandsbedömning som avses i artikel 6.2 a i PNR-direktivet, eller eventuella kontroller som utförts under den inledande sexmånadersperioden eller någon annan omständighet har utvisat att det föreligger objektiva omständigheter som visar att det föreligger en risk för terroristbrott eller grov brottslighet. Den lagstiftningen torde i så fall strida mot artikel 12.1 i direktivet jämförd med artiklarna 7, 8 och 52.1 i stadgan, såvida den inte kan tolkas på ett sätt som är förenligt med dessa bestämmelser, vilket det ankommer på den hänskjutande domstolen att avgöra.
262 Mot bakgrund av ovanstående överväganden ska den åttonde frågan besvaras på följande sätt. Artikel 12.1 i PNR-direktivet jämförd med artiklarna 7, 8 och 52.1 i stadgan ska tolkas så, att den utgör hinder för en nationell lagstiftning som föreskriver en generell lagringstid på fem år för PNR-uppgifter, tillämplig utan åtskillnad på alla flygpassagerare, inklusive på passagerare för vilka varken den förhandsbedömning som avses i artikel 6.2 a i PNR-direktivet, eller eventuella kontroller som utförts under den sexmånadersperiod som avses i artikel 12.2 i direktivet eller någon annan omständighet har utvisat att det föreligger objektiva omständigheter som visar att det föreligger en risk för terroristbrott eller grov brottslighet med ett åtminstone indirekt objektivt samband med lufttransport av passagerare.
F. Den nionde frågan, delfråga a
263 Den hänskjutande domstolen har ställt fråga 9 a för att få klarhet i huruvida API‑direktivet är giltigt mot bakgrund av artikel 3.2 FEU och artikel 45 i stadgan, med utgångspunkt i antagandet att de skyldigheter som införts genom direktivet är tillämpliga på flygningar inom EU.
264 Såsom generaladvokaten noterade i punkt 277 i sitt förslag till avgörande och såsom rådet, kommissionen och flera regeringar påpekat, är detta antagande emellertid felaktigt.
265 I artikel 3.1 i API‑direktivet föreskrivs nämligen att medlemsstaterna ska vidta de åtgärder som är nödvändiga för att ålägga transportörerna att, på begäran av de myndigheter som ansvarar för personkontrollen vid de yttre gränserna, senast vid slutet av incheckningen översända information om de passagerare som de kommer att befordra till ett godkänt gränsövergångsställe genom vilket dessa personer kommer att resa in på en medlemsstats territorium. Uppgifterna ska enligt artikel 6.1 i direktivet översändas till de myndigheter som ansvarar för genomförandet av personkontroller vid de yttre gränser som passeras när passagerarna reser in i en medlemsstat, och uppgifterna ska behandlas på de villkor som anges i sistnämnda bestämmelse.
266 Det framgår emellertid tydligt av dessa bestämmelser, lästa mot bakgrund av artikel 2 a, b och d i API‑direktivet, där begreppen ”transportör”, ”yttre gränser” och ”gränsövergångsställe” definieras, att detta direktiv föreskriver en skyldighet för lufttrafikföretag att sända över de uppgifter som avses i artikel 3.2 i direktivet till de myndigheter som ansvarar för kontroller vid de yttre gränserna endast när det gäller flygningar som transporterar passagerare till ett gränsövergångsställe som godkänts för passage av medlemsstaternas yttre gränser till tredjeländer och föreskriver bara behandling av uppgifter om dessa flygningar.
267 Det direktivet ålägger däremot inte någon skyldighet avseende uppgifter om passagerare på flygningar som endast passerar inre gränser mellan medlemsstaterna.
268 Det ska tilläggas att PNR-direktivet – genom att, såsom framgår av skäl 9 och artikel 8.2 i det direktivet, bland PNR-uppgifter inkludera de uppgifter som avses i artikel 3.2 i API‑direktivet, vilka samlats in i enlighet med detta direktiv och lagrats av vissa lufttrafikföretag, samt genom att ge medlemsstaterna möjlighet att i enlighet med artikel 2 i PNR-direktivet tillämpa det direktivet på de flygningar inom EU som de definierar – varken har ändrat räckvidden av bestämmelserna i API‑direktivet eller de begränsningar som följer av detta direktiv.
269 Mot bakgrund av det ovan anförda ska fråga 9 a besvaras på så sätt att API‑direktivet ska tolkas på det sättet att det inte är tillämpligt på flygningar inom EU.
G. Den nionde frågan, delfråga b
270 Även om den hänskjutande domstolen i fråga 9 b hänvisar till API‑direktivet, jämfört med artikel 3.2 FEU och artikel 45 i stadgan, framgår det av begäran om förhandsavgörande att den hänskjutande domstolen vill få klarlagt om det system för överföring och behandling av passageraruppgifter som införts genom lagen av den 25 december 2016 är förenligt med den fria rörligheten för personer och med avskaffandet av gränskontroller vid de inre gränserna, vilka föreskrivs i unionsrätten, i det att detta system inte bara är tillämpligt på lufttransport utan även på järnvägs, land- och sjötransporter från eller till Belgien, som utförs inom unionen utan att några yttre gränser till tredjeland passeras.
271 Som framgår av punkterna 265–269 i förevarande dom är API‑direktivet inte relevant för att besvara denna fråga, då det direktivet inte är tillämpligt på flygningar inom EU och inte föreskriver någon skyldighet att överföra och behandla uppgifter om passagerare som reser med flyg eller med något annat transportmedel inom unionen utan att passera de yttre gränserna till tredjeland.
272 Däremot ger artikel 2 i PNR-direktivet – som den belgiska lagstiftaren grundat sig på för att såsom framgår av begäran om förhandsavgörande anta lagen av den 25 december 2016 – medlemsstaterna rätt att tillämpa detta direktiv på flygningar inom EU, detta trots att unionen enligt artikel 67.2 FEUF ska säkerställa att det inte förekommer någon kontroll av personer vid de inre gränserna.
273 För att ge den hänskjutande domstolen ett användbart svar är det därför nödvändigt att omformulera fråga 9 b på så sätt att den avser huruvida unionsrätten, särskilt artikel 2 i PNR-direktivet jämförd med artikel 3.2 FEU, artikel 67.2 FEUF och artikel 45 i stadgan, ska tolkas så, att den utgör hinder för en nationell lagstiftning som föreskriver ett system för överföring – genom transportörers och researrangörers försorg – och behandling – genom de behöriga myndigheternas försorg – av PNR-uppgifter för flyg och transporter med andra transportmedel inom unionen, från, till eller via den medlemsstat som antagit lagstiftningen i fråga.
274 För det första avser artikel 45 i stadgan fri rörlighet för personer, vilket är en av de grundläggande friheterna på den inre marknaden (se, för ett liknande resonemang, dom av den 22 juni 2021, Ordre des barreaux francophones et germanophone m.fl. (Förebyggande åtgärder inför avlägsnande), C‑718/19, EU:C:2021:505, punkt 54).
275 Artikel 45.1 i stadgan garanterar varje unionsmedborgare rätten att fritt röra sig och uppehålla sig inom medlemsstaternas territorier. Den rättigheten motsvarar, enligt förklaringarna avseende stadgan om de grundläggande rättigheterna (EUT C 303, 2007, s. 17) den rättighet som garanteras i artikel 20.2 första stycket a FEUF och den utövas, i enlighet med artikel 20.2 andra stycket FEUF och artikel 52.2 i stadgan, på de villkor och inom de gränser som fastställs i fördragen och genom de åtgärder som antas med tillämpning av dessa.
276 Enligt artikel 3.2 FEU ska unionen erbjuda sina medborgare ett område med frihet, säkerhet och rättvisa utan inre gränser, där den fria rörligheten för personer garanteras samtidigt som lämpliga åtgärder vidtas avseende bland annat kontroller vid yttre gränser samt förebyggande och bekämpande av brottslighet. Likaså ska unionen enligt artikel 67.2 FEUF säkerställa att det inte förekommer någon kontroll av personer vid de inre gränserna, och den ska utarbeta en gemensam politik för bland annat kontroll av de yttre gränserna.
277 Enligt domstolens fasta praxis utgör nationell lagstiftning som missgynnar vissa medborgare i en medlemsstat endast på grund av att de har utnyttjat rätten att fritt röra sig och uppehålla sig i en annan medlemsstat, en inskränkning i de friheter som tillkommer varje unionsmedborgare enligt artikel 45.1 i stadgan (se, för ett liknande resonemang, beträffande artikel 21.1 FEUF, dom av den 8 juni 2017, Freitag, C‑541/15, EU:C:2017:432, punkt 35 och där angiven rättspraxis, och dom av den 19 november 2020, ZW, C‑454/19, EU:C:2020:947, punkt 30).
278 En sådan nationell lagstiftning som den som är aktuell i det nationella målet – enligt vilken det system som föreskrivs i PNR-direktivet inte bara tillämpas på flygningar utanför EU utan även, i enlighet med artikel 2.1 i direktivet, på flygningar inom EU och, utöver vad som föreskrivs i den bestämmelsen, på transporter med andra transportmedel inom unionen – leder till systematisk och kontinuerlig överföring och behandling av PNR-uppgifter för varje passagerare som på dessa sätt förflyttar sig inom unionen och därmed utövar sin rätt till fri rörlighet.
279 Som konstateras i punkterna 98–111 ovan innebär överföringen och behandlingen av uppgifter om passagerare på flygningar utanför EU och inom EU till följd av det system som inrättats genom PNR-direktivet ett allvarligt ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan för de berörda personerna. Ingreppet blir ännu allvarligare om tillämpningen av detta system utvidgas till att omfatta andra transportmedel inom unionen. Sådana ingrepp kan, av samma skäl som de som anges i dessa punkter, även missgynna medborgare i de medlemsstater som antagit en sådan lagstiftning samt, rent allmänt, unionsmedborgare som förflyttar sig med dessa transportmedel inom unionen från eller till dessa medlemsstater, och följaktligen avhålla dem från att utöva sin rätt till fri rörlighet i den mening som avses i artikel 45 i stadgan, vilket innebär att nämnda lagstiftning medför en inskränkning i denna grundläggande frihet.
280 Enligt fast rättspraxis kan en inskränkning i den fria rörligheten för personer vara motiverad endast om den grundar sig på objektiva skäl och står i proportion till det legitima syfte som eftersträvas med de nationella bestämmelserna. En åtgärd är proportionerlig om den är ägnad att säkerställa att det eftersträvade målet uppnås och inte går utöver vad som är nödvändigt för att uppnå detta mål (se, för ett liknande resonemang, dom av den 5 juni 2018, Coman m.fl., C‑673/16, EU:C:2018:385, punkt 41 och där angiven rättspraxis).
281 Vidare ska det tilläggas att en nationell bestämmelse som kan hindra personer från att utöva sin fria rörlighet endast kan anses motiverad om den är förenlig med de grundläggande rättigheter som garanteras i stadgan och vars efterlevnad domstolen säkerställer (dom av den 14 december 2021, Stolichna obshtina, rayon ”Pancharevo”, C‑490/20, EU:C:2021:1008, punkt 58 och där angiven rättspraxis).
282 I enlighet med den rättspraxis som det erinras om i punkterna 115 och 116 ovan kan ett mål av allmänt samhällsintresse inte eftersträvas utan att hänsyn tas till att det ska vara förenligt med de grundläggande rättigheter som berörs av åtgärden, genom en balanserad avvägning mellan, å ena sidan, målet av allmänintresse och, å andra sidan, de aktuella rättigheterna. Medlemsstaternas möjlighet att motivera en begränsning av den grundläggande rättighet som garanteras i artikel 45.1 i stadgan ska bedömas mot bakgrund av hur allvarligt ingrepp som en sådan begränsning innebär och genom att det kontrolleras att vikten av det mål av allmänt samhällsintresse som eftersträvas med begränsningen står i proportion till ingreppets allvar.
283 Som erinras om i punkt 122 ovan är PNR-direktivets mål att bekämpa terroristbrott och grov brottslighet utan tvekan ett mål av allmänt samhällsintresse som unionen eftersträvar.
284 När det gäller frågan huruvida en nationell lagstiftning som antagits för att införliva PNR-direktivet och som utvidgar det system som föreskrivs i detta direktiv till flygningar inom EU och till andra transportmedel inom unionen är ägnad att uppnå det eftersträvade målet, framgår det av handlingarna i målet att användningen av PNR-uppgifter gör det möjligt att identifiera personer som inte misstänktes delta i terroristbrott eller i grov brottslighet och som bör undersökas närmare, varför en sådan lagstiftning framstår som lämplig för att nå det eftersträvade målet att bekämpa terroristbrott och grov brottslighet.
285 När det gäller frågan huruvida en sådan lagstiftning är nödvändig, ska medlemsstaternas utövande av den möjlighet som föreskrivs i artikel 2.1 i PNR-direktivet, jämförd med artiklarna 7 och 8 i stadgan, begränsas till vad som är strikt nödvändigt för att uppnå detta mål mot bakgrund av de krav som anges i punkterna 163–174 ovan.
286 Dessa krav gör sig i än högre grad gällande när det system som föreskrivs i PNR-direktivet tillämpas på andra transportmedel inom unionen.
287 Som framgår av begäran om förhandsavgörande införlivar den aktuella nationella lagstiftningen PNR-direktivet, API‑direktivet och delvis direktiv 2010/65 genom en samlad rättsakt. I detta syfte stadgar den att det system som föreskrivs i PNR-direktivet ska tillämpas på alla flygningar inom EU och på järnvägs-, land- och sjötransporter inom EU från, till och via Belgien och den tillämpas även på researrangörer, samtidigt som den även eftersträvar andra mål än att bekämpa terroristbrott och grov brottslighet. Enligt begäran om förhandsavgörande tycks enheten för passagerarinformation lagra alla uppgifter som samlats in inom ramen för det system som inrättats genom denna nationella lagstiftning i en enda databas, däribland PNR-uppgifter och sådana uppgifter som avses i artikel 3.2 i API‑direktivet för samtliga passagerare på de transporter som omfattas av nämnda lagstiftning.
288 Eftersom den hänskjutande domstolen i sin fråga 9 b har hänvisat till målet att förbättra gränskontrollerna och bekämpa olaglig invandring, vilket är målet med API‑direktivet, ska det erinras om att, såsom framgår av punkterna 233, 234 och 237 ovan, uppräkningen av de mål som eftersträvas med behandlingen av PNR-uppgifter med stöd av PNR-direktivet är uttömmande. En nationell lagstiftning som tillåter behandling av PNR-uppgifter som samlats in i enlighet med det direktivet för andra syften än de som föreskrivs däri – såsom att förbättra gränskontrollerna och bekämpa olaglig invandring – strider således mot artikel 6 i det direktivet, jämförd med stadgan.
289 Som framgår av punkt 235 ovan kan medlemsstaterna inte upprätta en samlad databas som innehåller både PNR-uppgifter som samlas in i enlighet med PNR-direktivet och som avser flygningar utanför och inom EU och uppgifter om passagerare som reser med andra transportmedel samt sådana uppgifter som avses i artikel 3.2 i API‑direktivet, särskilt när databasen kan användas inte bara för de ändamål som anges i artikel 1.2 i PNR-direktivet utan även för andra ändamål.
290 Såsom generaladvokaten påpekade i punkt 281 i sitt förslag till avgörande kan artiklarna 28–31 i lagen av den 25 december 2016 under alla omständigheter inte vara förenliga med unionsrätten, i synnerhet med artikel 67.2 FEUF, såvitt de inte tolkas och tillämpas på det sättet att de endast avser överföring och behandling av API‑uppgifter om passagerare som passerar Belgiens yttre gränser till tredjeländer. En åtgärd genom vilken en medlemsstat utsträcker bestämmelserna i API‑direktivet, i syfte att förbättra gränskontrollerna och bekämpandet av olaglig invandring, till flygningar inom EU och, a fortiori, till andra transportmedel som befordrar passagerare inom unionen från, till eller via denna medlemsstat, bland annat den skyldighet att överföra passageraruppgifter som föreskrivs i artikel 3.1 i direktivet, skulle innebära att de behöriga myndigheterna tilläts att på ett systematiskt sätt, vid passage av medlemsstatens inre gränser, försäkra sig om att passagerarna kan få resa in i eller ut ur medlemsstaten, vilket skulle ha motsvarande verkan som kontrollerna vid de yttre gränserna till tredjeland.
291 Mot bakgrund av det ovan anförda ska fråga 9 b besvaras enligt följande. Unionsrätten, särskilt artikel 2 i PNR-direktivet jämförd med artikel 3.2 FEU, artikel 67.2 FEUF och artikel 45 i stadgan, ska tolkas så, att den utgör hinder för
– en nationell lagstiftning som, i avsaknad av ett verkligt och aktuellt eller förutsebart terroristhot i den berörda medlemsstaten, föreskriver ett system för överföring – genom lufttrafikföretagens och researrangörernas försorg – och behandling – genom de behöriga myndigheternas försorg – av PNR-uppgifter för alla flygningar inom EU och transporter med andra transportmedel inom EU, till eller från eller via den medlemsstaten, i syfte att bekämpa terroristbrott och grov brottslighet. I en sådan situation ska tillämpningen av det system som inrättats genom PNR-direktivet begränsas till överföring och behandling av PNR-uppgifter avseende flygningar och/eller transporter gällande bland annat vissa flyglinjer eller resmönster eller vissa flygplatser, järnvägsstationer eller hamnar för vilka det finns uppgifter som kan motivera en sådan tillämpning. Det ankommer på den berörda medlemsstaten att välja ut de flygningar inom EU och/eller transporter med andra transportmedel inom EU för vilka sådana uppgifter förekommer och regelbundet göra en översyn av tillämpningen med hänsyn till utvecklingen av de villkor som motiverat urvalet, för att säkerställa att tillämpningen av systemet på dessa flygningar och/eller dessa transporter alltid är begränsad till vad som är strikt nödvändigt, och
– en nationell lagstiftning som föreskriver ett sådant system för överföring och behandling av nämnda uppgifter i syfte att förbättra gränskontrollerna och bekämpandet av illegal invandring.
H. Den tionde frågan
292 Den hänskjutande domstolen har ställt sin tionde fråga för att få klarhet i huruvida unionsrätten ska tolkas så, att en nationell domstol kan tidsbegränsa verkningarna av en rättsstridighetsförklaring som enligt nationell rätt åligger den i fråga om nationell lagstiftning som ålägger luft-, järnvägs- och landtransportörer samt researrangörer att överföra PNR-uppgifter och som föreskriver behandling och lagring av sådana uppgifter på ett sätt som är oförenligt med bestämmelserna i PNR-direktivet, jämförda med artikel 3.2 FEU, artikel 67.2 FEUF samt artiklarna 7, 8, 45 och 52.1 i stadgan.
293 Enligt principen om unionsrättens företräde har unionsrätten företräde framför respektive medlemsstats nationella rätt. Denna princip medför således en skyldighet för alla myndigheter i medlemsstaterna att säkerställa unionsbestämmelsernas fulla verkan, och medlemsstaternas lagstiftning kan inte påverka verkan av unionsbestämmelserna inom medlemsstaterna. Av denna princip följer att för det fall det inte är möjligt att tolka nationell rätt i enlighet med kraven i unionsrätten, är den nationella domstol som inom ramen för sin behörighet ska tillämpa unionsbestämmelser skyldig att säkerställa att dessa bestämmelser ges full verkan genom att, med stöd av sin egen behörighet, vid behov, underlåta att tillämpa nationell lagstiftning som strider mot unionsbestämmelserna, även senare sådan, utan att vare sig begära eller avvakta ett föregående upphävande av denna genom ett lagstiftningsförfarande eller annat konstitutionellt förfarande (dom av den 15 juli 1964, Costa, 6/64, EU:C:1964:66, s. 1159 och 1160, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 214 och 215, och dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 118).
294 Det är endast EU-domstolen som, undantagsvis och av tvingande rättssäkerhetshänsyn, får förordna om ett tillfälligt uppskjutande av en unionsbestämmelses företrädesrätt i förhållande till nationell rätt som strider mot den förstnämnda bestämmelsen. En sådan begränsning i tiden av verkningarna av domstolens tolkning av unionsrätten får endast förordnas i den dom varigenom den begärda tolkningen meddelas. Om de nationella domstolarna kunde ge nationella bestämmelser som strider mot unionsrätten företräde i förhållande till unionsrätten, ens tillfälligt, så skulle det äventyra unionsrättens företräde och den enhetliga tillämpningen av unionsrätten (dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 119 och där angiven rättspraxis).
295 Till skillnad från en underlåtenhet att uppfylla en processuell skyldighet – såsom att på miljöskyddsområdet göra en förhandsbedömning av ett projekts miljökonsekvenser, såsom var fallet i det mål som avgjordes genom domen av den 29 juli 2019, Inter-Environnement Wallonie och Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622, punkterna 175, 176, 179 och 181), där EU-domstolen godtog ett tillfälligt upphävande av denna företrädesrätt – kan ett åsidosättande av bestämmelserna i PNR-direktivet, jämfört med artiklarna 7, 8, 45 och 52.1 i stadgan, inte regleras genom ett förfarande som är jämförbart med det som godtogs i nyssnämnda mål. Att låta verkningarna av en sådan nationell lagstiftning som lagen av den 25 december 2016 bestå, skulle nämligen innebära att denna lagstiftning fortsatt ålade lufttransportföretag och andra transportföretag och researrangörer skyldigheter som strider mot unionsrätten och som innebär allvarliga ingrepp i de grundläggande rättigheterna för de personer vars uppgifter har överförts, lagrats och behandlats liksom inskränkningar i den fria rörligheten för dessa personer som går utöver vad som är nödvändigt (se, analogt, dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 122 och där angiven rättspraxis).
296 Den hänskjutande domstolen kan därför inte tidsbegränsa verkningarna av en rättsstridighetsförklaring som den enligt nationell rätt ska utfärda med avseende på den i målet aktuella nationella lagstiftningen (se, analogt, dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 123 och där angiven rättspraxis).
297 Vad slutligen gäller den hänskjutande domstolens fråga om verkningarna av att det eventuellt slås fast att lagen av den 25 december 2016 eventuellt är oförenlig med PNR-direktivet, tolkat mot bakgrund av stadgan, för frågan huruvida bevisning och upplysningar som erhållits genom uppgifter överförda av berörda transportörer och researrangörer kan tillåtas och hur de får användas inom ramen för straffrättsliga förfaranden, räcker det att hänvisa till EU-domstolens praxis på området, och i synnerhet till de principer som det erinras om i punkterna 41–44 i domen av den 2 mars 2021, Prokuratuur (Villkor för tillgång till uppgifter om elektronisk kommunikation) (C‑746/18, EU:C:2021:152), av vilka det följer att frågan om huruvida bevisning får tillåtas omfattas, i enlighet med principen om medlemsstaternas processuella autonomi, av nationell rätt, under förutsättning att bland annat principerna om likvärdighet och effektivitet iakttas (se, analogt, dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 127).
298 Mot bakgrund av det ovan anförda ska den tionde frågan besvaras på följande sätt. Unionsrätten ska tolkas så, att den hindrar att en nationell domstol tidsbegränsar verkningarna av en rättsstridighetsförklaring som enligt nationell rätt åligger den i fråga om nationell lagstiftning som ålägger luft-, järnvägs- och landtransportörer samt researrangörer att överföra PNR-uppgifter och som föreskriver behandling och lagring av dessa uppgifter på ett sätt som är oförenligt med bestämmelserna i PNR-direktivet, jämförda med artikel 3.2 FEU, artikel 67.2 FEUF samt artiklarna 7, 8, 45 och 52.1 i stadgan. Frågan huruvida bevisning som erhållits därigenom kan tillåtas omfattas, i enlighet med principen om medlemsstaternas processuella autonomi, av nationell rätt, under förutsättning att bland annat principerna om likvärdighet och effektivitet iakttas.
IV. Rättegångskostnader
299 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:
1) Artiklarna 2.2 d och 23 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ska tolkas så, att förordningen är tillämplig på sådan behandling av personuppgifter som föreskrivs i en nationell lagstiftning som syftar till att med nationell rätt införliva både bestämmelserna i rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare, Europaparlamentets och rådets direktiv 2010/65/EU av den 20 oktober 2010 om rapporteringsformaliteter för fartyg som ankommer till och/eller avgår från hamnar i medlemsstaterna och om upphävande av direktiv 2002/6/EG och Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, vad gäller dels uppgiftsbehandling som utförs av privata aktörer, dels uppgiftsbehandling som utförs av myndigheter som, enbart eller även, omfattas av direktiv 2004/82 eller direktiv 2010/65. Förordningen är däremot inte tillämplig på uppgiftsbehandling som föreskrivs i sådan lagstiftning och som enbart omfattas av direktiv 2016/681 och som utförs av enheten för passagerarinformation eller av behöriga myndigheter för de syften som avses i artikel 1.2 i det direktivet.
2) Det har vid prövningen av den andra till den fjärde frågan samt den sjätte frågan inte framkommit någon omständighet som kan påverka giltigheten av direktiv 2016/681, eftersom en tolkning av detta direktiv mot bakgrund av artiklarna 7, 8, 21 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna säkerställer direktivets förenlighet med dessa artiklar i stadgan.
3) Artikel 6 i direktiv 2016/681 jämförd med artiklarna 7, 8 och 52.1 i stadgan om de grundläggande rättigheterna ska tolkas så, att den utgör hinder för en nationell lagstiftning som tillåter behandling av passageraruppgiftssamlingar (PNR-uppgifter) som samlats in i enlighet med detta direktiv för andra ändamål än dem som uttryckligen anges i artikel 1.2 i detta direktiv.
4) Artikel 12.3 b i direktiv 2016/681 ska tolkas så, att den utgör hinder för en nationell lagstiftning enligt vilken den myndighet som inrättats som enhet för passagerarinformation även är behörig nationell myndighet med befogenhet att godkänna utlämnande av PNR-uppgifter vid utgången av den sexmånadersperiod som följer efter överföringen av dessa uppgifter till enheten för passagerarinformation.
5) Artikel 12.1 i direktiv 2016/681 jämförd med artiklarna 7, 8 och 52.1 i stadgan om de grundläggande rättigheterna ska tolkas så, att den utgör hinder för en nationell lagstiftning som föreskriver en generell lagringstid på fem år för PNR-uppgifter, tillämplig utan åtskillnad på alla flygpassagerare, inklusive på passagerare för vilka varken den förhandsbedömning som avses i artikel 6.2 a i detta direktiv, eller eventuella kontroller som utförts under den sexmånadersperiod som avses i artikel 12.2 i direktivet eller någon annan omständighet har utvisat att det föreligger objektiva omständigheter som visar att det föreligger en risk för terroristbrott eller grov brottslighet med ett åtminstone indirekt objektivt samband med lufttransport av passagerare.
6) Direktiv 2004/82 ska tolkas så, att det inte är tillämpligt på varje reguljär eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från en medlemsstats territorium och planerad landning på en eller flera andra medlemsstaters territorium, utan eventuella mellanlandningar på tredjeländers territorier (flygningar inom EU).
7) Unionsrätten, särskilt artikel 2 i direktiv 2016/681 jämförd med artikel 3.2 FEU, artikel 67.2 FEUF och artikel 45 i stadgan om de grundläggande rättigheterna, ska tolkas så, att den utgör hinder för
– en nationell lagstiftning som, i avsaknad av ett verkligt och aktuellt eller förutsebart terroristhot i den berörda medlemsstaten, föreskriver ett system för överföring – genom lufttrafikföretagens och researrangörernas försorg – och behandling – genom de behöriga myndigheternas försorg – av PNR-uppgifter för alla flygningar inom EU och transporter med andra transportmedel inom EU, till eller från eller via den medlemsstaten, i syfte att bekämpa terroristbrott och grov brottslighet. I en sådan situation ska tillämpningen av det system som inrättats genom direktiv 2016/681 begränsas till överföring och behandling av PNR-uppgifter avseende flygningar och/eller transporter gällande bland annat vissa flyglinjer eller resmönster eller vissa flygplatser, järnvägsstationer eller hamnar för vilka det finns uppgifter som kan motivera en sådan tillämpning. Det ankommer på den berörda medlemsstaten att välja ut de flygningar inom EU och/eller transporter med andra transportmedel inom EU för vilka sådana uppgifter förekommer och regelbundet göra en översyn av tillämpningen med hänsyn till utvecklingen av de villkor som motiverat urvalet, för att säkerställa att tillämpningen av systemet på dessa flygningar och/eller dessa transporter alltid är begränsad till vad som är strikt nödvändigt, och
– en nationell lagstiftning som föreskriver ett sådant system för överföring och behandling av nämnda uppgifter i syfte att förbättra gränskontrollerna och bekämpandet av illegal invandring.
8) Unionsrätten ska tolkas så, att den hindrar att en nationell domstol tidsbegränsar verkningarna av en rättsstridighetsförklaring som enligt nationell rätt åligger den i fråga om nationell lagstiftning som ålägger luft-, järnvägs- och landtransportörer samt researrangörer att överföra PNR-uppgifter och som föreskriver behandling och lagring av dessa uppgifter på ett sätt som är oförenligt med bestämmelserna i direktiv 2016/681, jämförda med artikel 3.2 FEU, artikel 67.2 FEUF samt artiklarna 7, 8, 45 och 52.1 i stadgan om de grundläggande rättigheterna. Frågan huruvida bevisning som erhållits därigenom kan tillåtas omfattas, i enlighet med principen om medlemsstaternas processuella autonomi, av nationell rätt, under förutsättning att bland annat principerna om likvärdighet och effektivitet iakttas.
Underskrifter