DOMSTOLENS DOM (Store Afdeling)
21. juni 2022 (*)
Indhold
»Præjudiciel forelæggelse – behandling af personoplysninger – passagerlisteoplysninger (PNR-oplysninger) – forordning (EU) 2016/679 – artikel 2, stk. 2, litra d) – anvendelsesområde – direktiv (EU) 2016/681 – anvendelse af PNR-oplysninger om passagerer på flyvninger mellem Den Europæiske Union og tredjelande – mulighed for at inkludere oplysninger om passagerer på flyvninger inden for EU – automatisk behandling af disse oplysninger – opbevaringsperiode – bekæmpelse af terrorhandlinger og grov kriminalitet – gyldighed – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7, 8 og 21 samt artikel 52, stk. 1 – national lovgivning, der udvider anvendelsen af PNR-systemet til at omfatte anden befordring inden for EU – fri bevægelighed inden for EU – chartret om grundlæggende rettigheder – artikel 45«
I sag C-817/19,
angående en anmodning om præjudiciel afgørelse i henhold til artikel 267 TEUF, indgivet af Cour constitutionnelle (Belgien) ved afgørelse af 17. oktober 2019, indgået til Domstolen den 31. oktober 2019, i sagen
Ligue des droits humains
mod
Conseil des ministres,
har
DOMSTOLEN (Store Afdeling),
sammensat af præsidenten, K. Lenaerts, afdelingsformændene A. Arabadjiev, S. Rodin, I. Jarukaitis og N. Jääskinen samt dommerne T. von Danwitz (refererende dommer), M. Safjan, F. Biltgen, P.G. Xuereb, N. Piçarra, L.S. Rossi, A. Kumin og N. Wahl,
generaladvokat: G. Pitruzzella,
justitssekretær: fuldmægtig M. Krausenböck,
på grundlag af den skriftlige forhandling og efter retsmødet den 13. juli 2021,
efter at der er afgivet indlæg af:
– Ligue des droits humains ved avocate C. Forget,
– den belgiske regering ved P. Cottin, J.-C. Halleux, C. Pochet og M. Van Regemorter, som befuldmægtigede, bistået af advocaat C. Caillet, avocat E. Jacubowitz samt G. Ceuppens, V. Dethy og D. Vertongen,
– den tjekkiske regering ved T. Machovičová, O. Serdula, M. Smolek og J. Vláčil, som befuldmægtigede,
– den danske regering ved M. Jespersen, J. Nymann-Lindegren, V. Pasternak Jørgensen og M. Søndahl Wolff, som befuldmægtigede,
– den tyske regering ved D. Klebs og J. Möller, som befuldmægtigede,
– den estiske regering ved N. Grünberg, som befuldmægtiget,
– Irland ved M. Browne, A. Joyce og J. Quaney, som befuldmægtigede, bistået af D. Fennelly, BL,
– den spanske regering ved L. Aguilera Ruiz, som befuldmægtiget,
– den franske regering ved D. Dubois, E. de Moustier og T. Stehelin, som befuldmægtigede,
– den cypriotiske regering ved E. Neofytou, som befuldmægtiget,
– den lettiske regering ved E. Bārdiņš, K. Pommere og V. Soņeca, som befuldmægtigede,
– den nederlandske regering ved M.K. Bulterman, A. Hanje, J. Langer og C.S. Schillemans, som befuldmægtigede,
– den østrigske regering ved G. Kunnert, A. Posch og J. Schmoll, som befuldmægtigede,
– den polske regering ved B. Majczyna, som befuldmægtiget,
– den slovakiske regering ved B. Ricziová, som befuldmægtiget,
– den finske regering ved A. Laine og H. Leppo, som befuldmægtigede,
– Europa-Parlamentet ved O. Hrstková Šolcová og P. López-Carceller, som befuldmægtigede,
– Rådet for Den Europæiske Union ved J. Lotarski, N. Rouam, E. Sitbon og C. Zadra, som befuldmægtigede,
– Europa-Kommissionen ved D. Nardi og M. Wasmeier, som befuldmægtigede,
– Den Europæiske Tilsynsførende for Databeskyttelse ved P. Angelov, A. Buchta, F. Coudert og C.-A. Marnier, som befuldmægtigede,
– Den Europæiske Unions Agentur for Grundlæggende Rettigheder ved L. López, T. Molnar, M. Nespor og M. O’Flaherty, som befuldmægtigede,
og efter at generaladvokaten har fremsat forslag til afgørelse i retsmødet den 27. januar 2022,
afsagt følgende
Dom
1 Anmodningen om præjudiciel afgørelse vedrører nærmere bestemt:
– fortolkningen af artikel 2, stk. 2, litra d), og artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, herefter »databeskyttelsesforordningen«), Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (EUT 2004, L 261, s. 24, herefter »API-direktivet«) og Europa-Parlamentets og Rådets direktiv 2010/65/EU af 20. oktober 2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF (EUT 2010, L 283, s. 1)
– fortolkningen og gyldigheden af artikel 3, nr. 4), og artikel 6 og 12 i samt bilag I til Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (EUT 2016, L 119, s. 132, herefter »PNR-direktivet«), henset til artikel 7 og 8 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«), samt
– fortolkningen og gyldigheden af API-direktivet, henset til artikel 3, stk. 2, TEU og chartrets artikel 45.
2 Anmodningen er blevet indgivet i forbindelse med en tvist mellem Ligue des droits humains og Conseil des ministres (ministerrådet, Belgien) vedrørende lovligheden af loi du 25 décembre 2016 relative au traitement des données des passagers (lov af 25.12.2016 om behandling af passageroplysninger).
I. Retsforskrifter
A. EU-retten
1. Direktiv 95/46/EF
3 Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31) blev ophævet ved databeskyttelsesforordningen med virkning fra den 25. maj 2018. Dette direktivs artikel 3, stk. 2, bestemte:
»Dette direktiv gælder ikke for sådan behandling af personoplysninger,
– som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område
– som foretages af en fysisk person med henblik på udøvelse af rent personlige eller familiemæssige aktiviteter.«
2. API-direktivet
4 Følgende fremgår af 1., 7., 9. og 12. betragtning til API-direktivet.
»(1) For effektivt at bekæmpe ulovlig indvandring og forbedre grænsekontrollen er det af afgørende betydning, at alle medlemsstater indfører bestemmelser, der fastsætter forpligtelser for lufttransportvirksomheder, der befordrer passagerer ind på medlemsstaternes område. For i højere grad at sikre, at dette mål nås, bør medlemsstaternes nuværende finansielle sanktioner i de tilfælde, hvor transportvirksomhederne ikke overholder deres forpligtelser, endvidere harmoniseres i videst muligt omfang, idet der dog tages hensyn til medlemsstaternes forskelligartede retssystemer og praksis på området.
[…]
(7) De forpligtelser, som ved dette direktiv pålægges transportvirksomheder, supplerer dem, som blev fastsat ved artikel 26 i Schengen-konventionen fra 1990 om gennemførelse af Schengen-aftalen af 14. juni 1985, som suppleret ved Rådets direktiv 2001/51/EF [af 28. juni 2001 om fastsættelse af supplerende bestemmelser til artikel 26 i konventionen om gennemførelse af Schengen-aftalen af 14. juni 1985 (EFT 2001, L 187, s. 45)], idet de to former for forpligtelse tjener samme formål, nemlig at styre migrationsstrømmene og bekæmpe ulovlig indvandring.
[…]
(9) Med henblik på at bekæmpe ulovlig indvandring mere effektivt og i højere grad sikre, at dette mål nås, er det af afgørende betydning, at der så hurtigt som muligt tages hensyn til al teknologisk innovation, navnlig når det drejer sig om integration og brug af biometriske elementer i de oplysninger, som transportvirksomhederne skal forelægge, jf. dog bestemmelserne i direktiv [95/46].
[…]
(12) Direktiv [95/46] finder anvendelse på medlemsstaternes myndigheders behandling af personoplysninger. Det betyder, at mens det er lovligt, at oplysninger om passager[er], som videregives med henblik på anvendelse til grænsekontrol, også anvendes som bevismateriale i retssager, der har til formål at håndhæve love og administrative bestemmelser vedrørende indrejse og indvandring, herunder bestemmelserne heri om beskyttelse af den offentlige orden og den nationale sikkerhed, vil enhver yderligere anvendelse på en måde, der ikke er i overensstemmelse med disse formål, være i modstrid med principperne i artikel 6, stk. 1, litra b), i direktiv [95/46]. Medlemsstaterne bør indføre en ordning med sanktioner, der kan pålægges, hvis oplysningerne anvendes i modstrid med formålet med nærværende direktiv.«
5 API-direktivets artikel 1 med overskriften »Formål« fastsætter:
»Dette direktiv har til formål at forbedre grænsekontrollen og bekæmpe ulovlig indvandring ved hjælp af transportvirksomhedernes forudgående videregivelse af passageroplysninger til de kompetente nationale myndigheder.«
6 Dette direktivs artikel 2 med overskriften »Definitioner« bestemmer:
»I dette direktiv forstås ved:
a) »transportvirksomhed«, en fysisk eller juridisk person, der i erhvervsmæssigt øjemed udfører personbefordring ad luftvejen
b) »ydre grænser«, medlemsstaternes ydre grænser til tredjelande
c) »grænsekontrol«, kontrol ved en grænse, foretaget udelukkende i forbindelse med passage af denne grænse uden hensyn til andre omstændigheder
d) »grænseovergangssted«, ethvert overgangssted, der af de kompetente myndigheder er godkendt til passage af de ydre grænser
e) »personoplysninger«, »behandling af personoplysninger« samt »register med personoplysninger« som defineret i artikel 2 direktiv [95/46].«
7 Direktivets artikel 3 med overskriften »Videregivelse af personoplysninger« bestemmer følgende i stk. 1 og 2:
»1. Medlemsstaterne træffer de nødvendige foranstaltninger til at gøre det obligatorisk for transportvirksomheder, på anmodning af myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, efter indtjekning at fremsende oplysninger om de passagerer, de skal befordre til et godkendt grænseovergangssted, som de pågældende passagerer vil benytte med henblik på indrejse på en medlemsstats område.
2. Ovennævnte oplysninger skal omfatte:
– den anvendte rejselegitimations nummer og type
– nationalitet
– fulde navn
– fødselsdato
– det grænseovergangssted, der vil blive benyttet med henblik på indrejse på en medlemsstats område
– transportkode
– afgangs- og ankomsttidspunkt for transporten
– samlet antal passagerer, der befordres med den pågældende transport
– første ombordstigningssted.«
8 API-direktivets artikel 6 med overskriften »Behandling af personoplysninger« bestemmer:
»1. De i artikel 3, stk. 1, omhandlede personoplysninger fremsendes til de myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, hvor passagerer rejser ind på en medlemsstats område, med henblik på at lette gennemførelsen af denne kontrol, således at ulovlig indvandring kan bekæmpes mere effektivt.
Medlemsstaterne sikrer, at disse oplysninger indsamles af transportvirksomhederne og overføres elektronisk eller, hvis dette ikke er muligt, på anden passende måde, til de myndigheder, der er ansvarlige for grænsekontrollen ved det godkendte grænseovergangssted, som passagerer vil benytte med henblik på indrejse på en medlemsstats område. De myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, lagrer oplysningerne i en midlertidig fil.
Når passagererne er indrejst, sletter disse myndigheder oplysningerne inden 24 timer efter fremsendelsen, medmindre oplysningerne senere er nødvendige for udøvelsen af de lovpligtige funktioner, som påhviler de myndigheder, der har ansvaret for personkontrollen ved de ydre grænser i henhold til national lovgivning og med forbehold af bestemmelserne om beskyttelse af personoplysninger i henhold til direktiv [95/46].
Medlemsstaterne træffer de nødvendige foranstaltninger til at forpligte transportvirksomhederne til inden 24 timer efter transportmidlets ankomst, jf. artikel 3, stk. 1, at slette de personoplysninger, de har indsamlet og overført til grænsekontrolmyndighederne i henhold til dette direktiv.
I overensstemmelse med deres nationale lovgivning og med forbehold af bestemmelserne om beskyttelse af personoplysninger i henhold til direktiv [95/46] kan medlemsstaterne endvidere anvende de personoplysninger, der er omhandlet i artikel 3, stk. 1, med henblik på retshåndhævelse.
2. Medlemsstaterne træffer de nødvendige foranstaltninger til at forpligte transportvirksomhederne til at informere passagererne som foreskrevet i direktiv [96/46]. Dette omfatter også de i artikel 10, litra c), og artikel 11, stk. 1, litra c), i [nævnte] direktiv […] omhandlede informationer.«
3. Direktiv 2010/65
9 Direktiv 2010/65 ophæves i henhold til artikel 25 i Europa-Parlamentets og Rådets direktiv (EU) 2019/1239 af 20. juni 2019 om oprettelse af et europæisk søfartsmiljø med ét kontaktpunkt og om ophævelse af direktiv 2010/65 (EUT 2019, L 198, s. 64) fra den 15. august 2025.
10 I anden betragtning til dette direktiv er følgende anført:
»For at lette søtransporten og reducere den administrative byrde, der pålægges rederierne, er det i videst muligt omfang nødvendigt at forenkle og harmonisere de meldeformaliteter, som EU-retsakter og medlemsstaterne kræver. […]«
11 Dette direktivs artikel 1 med overskriften »Genstand og anvendelsesområde« bestemmer følgende i stk. 1 og 2:
»1. Dette direktiv har til formål at forenkle og harmonisere de administrative procedurer i forbindelse med søtransport ved at gøre elektronisk dataoverførsel til normen og ved at rationalisere meldeformaliteterne.
2. Dette direktiv finder anvendelse på meldeformaliteter i forbindelse med søtransport, der skal overholdes af skibe ved ankomst til eller afsejling fra havne beliggende i medlemsstaterne.«
12 Samme direktivs artikel 8 med overskriften »Fortrolighed« har følgende ordlyd:
»1. Medlemsstaterne træffer i overensstemmelse med gældende EU-retsakter eller national lovgivning de nødvendige foranstaltninger til at sikre fortroligheden af de kommercielle og andre fortrolige oplysninger, der udveksles i overensstemmelse med dette direktiv.
2. Medlemsstaterne sørger især for at beskytte kommercielle oplysninger, der er indsamlet i henhold til dette direktiv. I forbindelse med personoplysninger sikrer medlemsstaterne, at de overholder direktiv [95/46]. [Den Europæiske Unions] institutioner og organer sikrer, at de overholder [Europa-Parlamentets og Rådets] forordning (EF) nr. 45/2001 [af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og ‑organerne og om fri udveksling af sådanne oplysninger (EFT 2001, L 8, s. 1)].«
4. Databeskyttelsesforordningen
13 I 19. betragtning til databeskyttelsesforordningen er følgende anført:
»Beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskyttelsen mod og forebyggelsen af trusler mod den offentlige sikkerhed og den frie udveksling af sådanne oplysninger, er genstand for en specifik EU-retsakt. Denne forordning bør derfor ikke gælde for behandlingsaktiviteter med disse formål. Behandling af personoplysninger af offentlige myndigheder, som er omfattet af denne forordning, med henblik på disse formål bør imidlertid være genstand for en mere specifik EU-retsakt, Europa-Parlamentets og Rådets direktiv (EU) 2016/680 [af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89)]. Medlemsstater kan overdrage opgaver, der ikke nødvendigvis foretages med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, til de kompetente myndigheder som omhandlet i [direktiv 2016/680], således at behandling af personoplysninger til disse andre formål, for så vidt som de er omfattet af EU-retten, falder ind under denne forordnings anvendelsesområde.
[…]«
14 Denne forordnings artikel 2 med overskriften »Materielt anvendelsesområde« bestemmer følgende i stk. 1 og 2:
»1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
2. Denne forordning gælder ikke for behandling af personoplysninger:
a) under udøvelse af aktiviteter, der falder uden for EU-retten
b) som foretages af medlemsstaterne, når de udfører aktiviteter, der falder inden for rammerne af afsnit V, kapitel 2, i TEU
[…]
d) som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed.«
15 Forordningens artikel 4 med overskriften »Definitioner« fastsætter:
»I denne forordning forstås ved:
1) »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person […]
2) »behandling«: enhver aktivitet eller række af aktiviteter – med eller uden brug af automatisk behandling – som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse
[…]«
16 Databeskyttelsesforordningens artikel 23 med overskriften »Begrænsninger« bestemmer:
»1. EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:
a) statens sikkerhed
b) forsvaret
c) den offentlige sikkerhed
d) forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed
[…]
h) kontrol-, tilsyns- eller reguleringsfunktioner, herunder opgaver af midlertidig karakter, der er forbundet med offentlig myndighedsudøvelse i de tilfælde, der er omhandlet i litra a)-e) og g).
2. Navnlig skal enhver lovgivningsmæssig foranstaltning, der er omhandlet i stk. 1, som minimum, hvor det er relevant, indeholde specifikke bestemmelser vedrørende:
a) formålene med behandlingen eller kategorierne af behandling
b) kategorierne af personoplysninger
c) rækkevidden af de indførte begrænsninger
d) garantierne for at undgå misbrug eller ulovlig adgang eller overførsel
e) specifikation af den dataansvarlige eller kategorierne af dataansvarlige
f) opbevaringsperioder og de gældende garantier under hensyntagen til behandlingens karakter, omfang og formål eller kategorier af behandling
g) risiciene for de registreredes rettigheder og frihedsrettigheder, og
h) de registreredes ret til at blive underrettet om begrænsningen, medmindre dette kan skade formålet med begrænsningen.«
17 Forordningens artikel 94 med overskriften »Ophævelse af direktiv [95/46]« fastsætter:
»1. Direktiv [95/46] ophæves med virkning fra den 25. maj 2018.
2. Henvisninger til det ophævede direktiv gælder som henvisninger til denne forordning. Henvisninger til Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i direktiv [95/46], gælder som henvisninger til Det Europæiske Databeskyttelsesråd oprettet ved denne forordning.«
5. Direktiv 2016/680
18 Direktiv 2016/680 ophævede og erstattede i henhold til artikel 59 heri Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT 2008, L 350, s. 60) med virkning fra den 6. maj 2018.
19 9.-11. betragtning til direktiv 2016/680 har følgende ordlyd:
»(9) På det grundlag fastsættes der ved [databeskyttelsesforordningen] generelle regler for at beskytte fysiske personer i forbindelse med behandling af personoplysninger og sikre fri udveksling af personoplysninger i Unionen.
(10) I erklæring nr. 21 om beskyttelse af personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde, der er knyttet som bilag til slutakten fra den regeringskonference, der vedtog Lissabontraktaten, erkendte konferencen, at det kan blive nødvendigt med specifikke regler om beskyttelse af personoplysninger og om fri bevægelighed for personoplysninger inden for retligt samarbejde i straffesager og politisamarbejde baseret på artikel 16 i TEUF som følge af disse områders specifikke karakter.
(11) Det er derfor hensigtsmæssigt at disse områder behandles i et direktiv, der fastsætter særlige regler for beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, idet disse aktiviteters særlige karakter respekteres. Disse kompetente myndigheder kan omfatte ikke blot offentlige myndigheder som judicielle myndigheder, politi eller andre retshåndhævende myndigheder, men også alle andre organer eller enheder, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed eller offentlige beføjelser med henblik på dette direktiv. Hvis det pågældende organ eller den pågældende enhed behandler personoplysninger til andre formål end med henblik på dette direktiv, finder [databeskyttelsesforordningen] anvendelse. [Databeskyttelsesforordningen] finder derfor anvendelse i tilfælde, hvor et organ eller en enhed indsamler personoplysninger til andre formål og viderebehandler disse personoplysninger for at opfylde en retlig forpligtelse, som det/den er underlagt. For eksempel opbevarer finansielle institutioner med henblik på efterforskning, afsløring eller retsforfølgning af strafbare handlinger visse personoplysninger, som de behandler, og disse personoplysninger videregives kun til de kompetente nationale myndigheder i særlige tilfælde og i henhold til medlemsstaternes nationale ret. Et organ eller en enhed, som behandler personoplysninger på sådanne myndigheders vegne inden for dette direktivs anvendelsesområde, bør være bundet af en kontrakt eller en anden retsakt og af de bestemmelser, der gælder for databehandlere i henhold til dette direktiv, mens anvendelsen af [databeskyttelsesforordningen] ikke berøres heraf, for så vidt angår databehandlerens behandlingsaktiviteter uden for dette direktivs anvendelsesområde.«
20 Dette direktivs artikel 1 med overskriften »Genstand og formål«, der i det væsentlige svarer til artikel 1 i rammeafgørelse 2008/977, fastsætter følgende i stk. 1:
»I dette direktiv fastsættes regler om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed.«
21 Direktivets artikel 3 med overskriften »Definitioner« bestemmer:
»I dette direktiv forstås ved:
[…]
7. »kompetent myndighed«:
a) enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, eller
b) ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed og offentlige beføjelser med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed
[…]«
6. PNR-direktivet
22 I 4.-12., 15., 19., 20., 22., 25., 27., 28., 33., 36. og 37. betragtning til PNR-direktivet er følgende anført:
»(4) [API-direktivet] regulerer luftfartsselskabernes videregivelse af forhåndsoplysninger om passagerer (API-oplysninger) til de kompetente nationale myndigheder med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring.
(5) Formålene med nærværende direktiv er bl.a. at garantere sikkerheden, beskytte personers liv og sikkerhed og skabe en retlig ramme for beskyttelse af PNR-oplysninger med hensyn til de kompetente myndigheders behandling heraf.
(6) En effektiv anvendelse af PNR-oplysninger, f.eks. ved at kontrollere PNR-oplysninger i forskellige databaser over eftersøgte personer og genstande, er nødvendig for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet og derved forbedre den interne sikkerhed, at indsamle bevismateriale og, hvor det er relevant, at finde kriminelles medskyldige og optrævle kriminelle netværk.
(7) Vurdering af PNR-oplysninger gør det muligt at identificere personer, der ikke har været mistænkt for at være involveret i terrorhandlinger eller grov kriminalitet forud for en sådan vurdering, og som de kompetente myndigheder bør undersøge nærmere. Ved at anvende PNR-oplysninger er det muligt at imødegå den trussel, som terrorhandlinger og grov kriminalitet udgør, fra et andet perspektiv end ved behandling af andre kategorier af personoplysninger. For at sikre, at behandlingen af PNR-oplysninger fortsat begrænses i nødvendigt omfang, bør fastsættelsen og anvendelsen af vurderingskriterier imidlertid begrænses til terrorhandlinger og grov kriminalitet, for hvilke anvendelsen af sådanne kriterier er relevant. Endvidere bør vurderingskriterierne defineres på en måde, der minimerer antallet af uskyldige personer, som uretmæssigt identificeres af systemet.
(8) Luftfartsselskaber indsamler og behandler allerede deres passagerers PNR-oplysninger til egen forretningsmæssig brug. Dette direktiv bør ikke pålægge luftfartsselskaberne nogen pligt til at indsamle eller opbevare yderligere oplysninger fra passagererne eller passagererne nogen pligt til at fremlægge flere oplysninger end dem, der allerede gives til luftfartsselskaberne.
(9) Nogle luftfartsselskaber opbevarer som en del af PNR-oplysningerne de af dem indsamlede API-oplysninger, mens andre ikke gør. Anvendelsen af PNR-oplysninger sammen med API-oplysninger tilføjer en merværdi, når det drejer sig om at bistå medlemsstaterne med at kontrollere en persons identitet, og styrker derved den retshåndhævelsesmæssige værdi af dette resultat og minimerer risikoen for, at uskyldige personer kontrolleres og efterforskes. Det er derfor vigtigt at sikre, at luftfartsselskaberne ved indsamling af API-oplysninger videregiver disse, uanset om de opbevarer API-oplysningerne ved hjælp af andre tekniske midler end andre PNR-oplysninger.
(10) For at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet er det vigtigt, at alle medlemsstaterne indfører bestemmelser, som forpligter de luftfartsselskaber, der foretager flyvninger uden for EU, til at videregive de af dem indsamlede PNR-oplysninger, herunder API-oplysninger. Medlemsstaterne bør også have mulighed for at udstrække denne forpligtelse til luftfartsselskaber, der foretager flyvninger inden for EU. Disse bestemmelser bør ikke berøre [API-direktivet].
(11) Behandlingen af personoplysninger bør stå i rimeligt forhold til de konkrete sikkerhedsmål, der forfølges i dette direktiv.
(12) Terrorhandlinger bør i dette direktiv defineres på samme måde som i Rådets rammeafgørelse 2002/475/RIA [af 13. juni 2002 om bekæmpelse af terrorisme (EFT 2002, L 164, s. 3)]. Definitionen af grov kriminalitet bør omfatte de kategorier af overtrædelser, der er opført på listen i bilag II til dette direktiv.
[…]
(15) En liste med de PNR-oplysninger, som en passageroplysningsenhed skal have, bør ved udformningen afspejle de offentlige myndigheders berettigede krav med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet for derved at forbedre den indre sikkerhed i Unionen og beskytte de grundlæggende rettigheder, navnlig retten til privatlivets fred og beskyttelse af personoplysninger. Med henblik herpå bør der anvendes høje standarder i overensstemmelse med [chartret], konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (»konvention nr. 108«) og den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder[, undertegnet i Rom den 4. november 1950] (»EMRK«). En sådan liste bør ikke være baseret på en persons race eller etniske oprindelse, religion eller tro, politiske eller andre anskuelser, medlemskab af en fagforening, sundhed, seksualitet eller seksuel orientering. PNR-oplysningerne bør udelukkende indeholde nærmere oplysninger om passagerers reservationer og rejseplaner, der sætter de kompetente myndigheder i stand til at finde frem til, hvilke flypassagerer der udgør en trussel mod den indre sikkerhed.
[…]
(19) Hver medlemsstat bør være ansvarlig for at vurdere de potentielle trusler i forbindelse med terrorhandlinger og grov kriminalitet.
(20) Under fuld hensyntagen til retten til beskyttelse af personoplysninger og retten til ikkeforskelsbehandling bør der ikke træffes afgørelser, som har byrdefulde retsvirkninger for en person eller i væsentlig grad påvirker denne person, udelukkende som følge af en automatisk behandling af PNR-oplysninger. Desuden bør sådanne afgørelser, jf. chartrets artikel 8 og 21, ikke medføre nogen form for forskelsbehandling såsom forskelsbehandling på grund af en persons køn, race, farve, etniske eller sociale oprindelse, genetiske anlæg, sprog, religion eller tro, politiske eller andre anskuelser, tilhørsforhold til et nationalt mindretal, formueforhold, fødsel, handicap, alder eller seksuelle orientering. Når [Europa-]Kommissionen vurderer anvendelsen af dette direktiv, bør den også tage hensyn til disse principper.
[…]
(22) Under fuld hensyntagen til de principper, som Den Europæiske Unions Domstol har opstillet i den seneste relevante retspraksis, bør anvendelsen af dette direktiv sikre fuld respekt for de grundlæggende rettigheder, for retten til privatlivets fred og for proportionalitetsprincippet. Det bør også reelt opfylde målene om nødvendighed og proportionalitet for at tilgodese de almene interesser, der er anerkendt af Unionen, og behovet for at beskytte andres rettigheder og friheder i forbindelse med bekæmpelse af terrorhandlinger og grov kriminalitet. Anvendelsen af dette direktiv bør være behørigt begrundet, og der bør indføres de nødvendige beskyttelsesforanstaltninger for at sikre, at enhver lagring, analyse, videregivelse eller anvendelse af PNR-oplysninger er lovlig.
[…]
(25) Den periode, hvori PNR-oplysninger skal opbevares, bør være så lang som nødvendig med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet samt stå i et rimeligt forhold hertil. Som følge af oplysningernes art og deres anvendelse er det nødvendigt, at PNR-oplysningerne opbevares i tilstrækkelig lang tid til, at der kan foretages en analyse, og at de kan anvendes i forbindelse med efterforskninger. For at undgå en uforholdsmæssig anvendelse bør PNR-oplysningerne efter en indledende periode anonymiseres ved hjælp af maskering af dataelementer. For at sikre den højeste grad af databeskyttelse bør der efter den nævnte indledende periode kun på meget strenge og begrænsede vilkår gives adgang til de fuldstændige PNR-oplysninger, som muliggør direkte identifikation af den registrerede.
[…]
(27) Passageroplysningsenhedernes og de kompetente myndigheders behandling af PNR-oplysninger i hver medlemsstat bør være omfattet af standardbeskyttelsen af personoplysninger i henhold til national ret i overensstemmelse med […] rammeafgørelse [2008/977] og de konkrete krav til databeskyttelse, der er fastsat i dette direktiv. Henvisninger til rammeafgørelse [2008/977] bør læses som henvisninger til gældende lovgivning samt til lovgivning, som må erstatte den.
(28) Under hensyn til retten til beskyttelse af personoplysninger bør de registreredes rettigheder vedrørende behandlingen af deres PNR-oplysninger, herunder retten til indsigt, berigtigelse, sletning og begrænsning samt retten til erstatning og klageadgang, være i overensstemmelse både med rammeafgørelse [2008/977] og med det høje beskyttelsesniveau, der er fastsat i chartret og EMRK.
[…]
(33) Dette direktiv påvirker ikke medlemsstaternes mulighed for at indføre et system i national ret til indsamling og behandling af PNR-oplysninger fra erhvervsdrivende, der ikke er luftfartsselskaber, f.eks. rejsebureauer og rejsearrangører, der leverer rejserelaterede tjenester, herunder reservation af flyvninger, for hvilke de indsamler og behandler PNR-oplysninger, eller fra andre transportvirksomheder end dem, der er nævnt i dette direktiv, forudsat at sådan national ret er i overensstemmelse med EU-retten.
[…]
(36) Dette direktiv overholder de grundlæggende rettigheder og principperne i chartret, navnlig retten til beskyttelse af personoplysninger, retten til privatlivets fred og retten til ikkeforskelsbehandling, jf. chartrets artikel 8, 7 og 21; det bør derfor gennemføres i overensstemmelse hermed. Dette direktiv er foreneligt med principperne om databeskyttelse, og dets bestemmelser er i overensstemmelse med rammeafgørelse [2008/977]. For at sikre at proportionalitetsprincippet overholdes, fastsætter dette direktiv desuden i forbindelse med bestemte spørgsmål strengere regler for databeskyttelse end rammeafgørelse [2008/977].
(37) Dette direktivs anvendelsesområde er så begrænset som muligt, da: [D]et fastsætter, at PNR-oplysninger i passageroplysningsenhederne skal opbevares i en periode på højst fem år, hvorefter oplysningerne bør slettes; det fastsætter, at oplysningerne skal anonymiseres ved hjælp af maskering af dataelementer efter en indledende periode på seks måneder[,] og det forbyder indsamling og anvendelse af følsomme oplysninger. For at sikre et effektivt og højt databeskyttelsesniveau skal medlemsstaterne sikre, at en uafhængig national tilsynsmyndighed og navnlig en databeskyttelsesansvarlig er ansvarlig for at rådgive om og føre tilsyn med, hvordan PNR-oplysninger behandles. Al behandling af PNR-oplysninger bør registreres eller dokumenteres med henblik på kontrol af dens lovlighed, egenkontrol og at sikre oplysningernes integritet og sikre behandling. Medlemsstaterne bør desuden sikre, at passagererne er klart og præcist oplyst om indsamlingen af PNR-oplysninger og om deres rettigheder.«
23 PNR-direktivets artikel 1 med overskriften »Genstand og anvendelsesområde« fastsætter:
»1. Ved dette direktiv fastsættes bestemmelser om:
a) luftfartsselskabers videregivelse af passagerlisteoplysninger (PNR-oplysninger) om passagerer på flyvninger uden for EU
b) behandlingen af de i litra a) omhandlede oplysninger, herunder medlemsstaters indsamling, anvendelse og opbevaring heraf samt medlemsstaters indbyrdes udveksling heraf.
2. PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, må kun behandles med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, jf. artikel 6, stk. 2, litra a), b) og c).«
24 Direktivets artikel 2 med overskriften »Anvendelse af dette direktiv på flyvninger inden for EU« har følgende ordlyd:
»1. Hvis en medlemsstat beslutter at anvende dette direktiv på flyvninger inden for EU, giver den Kommissionen skriftlig meddelelse herom. En medlemsstat kan når som helst give eller tilbagekalde en sådan meddelelse. Kommissionen offentliggør meddelelsen og en eventuel tilbagekaldelse af den i Den Europæiske Unions Tidende.
2. Når en meddelelse omhandlet i stk. 1 er givet, finder alle direktivets bestemmelser anvendelse for flyvninger inden for EU, som var de flyvninger uden for EU, og for PNR-oplysninger fra flyvninger inden for EU, som var de PNR-oplysninger fra flyvninger uden for EU.
3. En medlemsstat kan beslutte at anvende dette direktiv udelukkende på udvalgte flyvninger inden for EU. Når medlemsstaten træffer en sådan beslutning, vælger den samtidig de flyvninger, som den finder nødvendige med henblik på at nå målene i dette direktiv. Medlemsstaten kan når som helst beslutte at ændre udvælgelsen af flyvninger inden for EU.«
25 Direktivets artikel 3 med overskriften »Definitioner« bestemmer:
»I dette direktiv forstås ved:
1) »luftfartsselskab« en lufttransportvirksomhed med en gyldig licens eller lignende, der tillader det at udføre luftbefordring af passagerer
2) »flyvning uden for EU«: enhver ruteflyvning eller ikkeruteflyvning, der foretages af et luftfartsselskab, som flyver fra et tredjeland og med planlagt landing på en medlemsstats område, eller som flyver fra en medlemsstats område og med planlagt landing i et tredjeland, herunder i begge tilfælde flyvninger med mellemlandinger på medlemsstaters eller tredjelandes område
3) »flyvning inden for EU«: enhver ruteflyvning eller ikkeruteflyvning, som foretages af et luftfartsselskab, som flyver fra en medlemsstats område og med planlagt landing på en eller flere andre medlemsstaters område og uden mellemlandinger på et tredjelands område
4) »passager«: enhver person, herunder personer i transfer eller transit, undtagen besætningsmedlemmer, der med luftfartsselskabets samtykke befordres eller skal befordres i et luftfartøj, idet et sådant samtykke anskueliggøres ved, at denne person er registreret i passagerlisten
5) »passagerliste« eller »PNR«: en liste over den enkelte passagers rejse, som omfatter alle nødvendige oplysninger til, at reservationer kan behandles og kontrolleres af de luftfartsselskaber, der foretager reservationen, og de deltagende luftfartsselskaber for hver rejse, der reserveres af eller på vegne af enhver person, uanset om listen findes i reservationssystemer, afgangskontrolsystemer (der anvendes til kontrol af passagerer ved ombordstigning på luftfartøjer) eller tilsvarende systemer, der omfatter de samme funktionaliteter
6) »reservationssystem«: luftfartsselskabets interne system, hvori PNR-oplysninger indsamles med henblik på behandling af reservationer
7) »push«-metoden«: den metode, hvorved luftfartsselskaber videregiver de PNR-oplysninger, der er opført på listen i bilag I, til den anmodende myndigheds database
8) »terrorhandlinger«: de overtrædelser i henhold til national ret, der er omhandlet i artikel 1-4 i rammeafgørelse [2002/475]
9) »grov kriminalitet«: de overtrædelser, der er opført på listen i bilag II, og som kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst tre år i henhold til en medlemsstats nationale ret
10) »at anonymisere ved hjælp af maskering af dataelementer«: at gøre de dataelementer, der kan tjene til direkte at identificere den registrerede, utilgængelige for en bruger.«
26 PNR-direktivets artikel 4 med overskriften »Passageroplysningsenhed« bestemmer følgende i stk. 1-3:
»1. Hver medlemsstat opretter eller udpeger en myndighed med kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet eller en afdeling i en sådan myndighed, der skal fungere som »passageroplysningsenhed«.
2. Passageroplysningsenheden er ansvarlig for:
a) at indsamle PNR-oplysninger fra luftfartsselskaber, at lagre og behandle disse oplysninger og at videregive disse oplysninger eller resultatet af behandlingen af dem til de i artikel 7 omhandlede kompetente myndigheder
b) at udveksle både PNR-oplysninger og resultatet af behandlingen af disse oplysninger med andre medlemsstaters passageroplysningsenheder og med Europol, jf. artikel 9 og 10.
3. Passageroplysningsenhedens personale kan være udstationeret fra kompetente myndigheder. Medlemsstaterne tildeler passageroplysningsenhederne tilstrækkelige ressourcer til, at de kan udføre deres opgaver.«
27 Direktivets artikel 5 med overskriften »Databeskyttelsesansvarlig i passageroplysningsenheden« har følgende ordlyd:
»1. Passageroplysningsenheden udpeger en databeskyttelsesansvarlig, der er ansvarlig for at føre tilsyn med behandlingen af PNR-oplysninger og at gennemføre relevante beskyttelsesforanstaltninger.
2. Medlemsstaterne tildeler databeskyttelsesansvarlige de midler, der er nødvendige for, at de på effektiv og uafhængig vis kan udføre deres hverv i overensstemmelse med denne artikel.
3. Medlemsstaterne sikrer, at en registreret har ret til at kontakte den databeskyttelsesansvarlige som et enkelt kontaktpunkt om alle spørgsmål i tilknytning til behandlingen af denne registreredes PNR-oplysninger.«
28 Direktivets artikel 6 med overskriften »Behandling af PNR-oplysninger« bestemmer:
»1. De PNR-oplysninger, som luftfartsselskaberne videregiver, indsamles af passageroplysningsenheden i den relevante medlemsstat, jf. artikel 8. Hvis de PNR-oplysninger, som luftfartsselskaberne videregiver, indeholder andre oplysninger end dem, der er opført på listen i bilag I, skal passageroplysningsenheden straks og permanent ved modtagelsen slette sådanne oplysninger.
2. Passageroplysningsenheden må kun behandle PNR-oplysninger med henblik på følgende:
a) at foretage en vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten for at identificere personer, som det kræves, at de i artikel 7 omhandlede kompetente myndigheder og, hvis det er relevant, Europol i overensstemmelse med artikel 10 undersøger nærmere, idet sådanne personer kan være involveret i en terrorhandling eller grov kriminalitet
b) fra sag til sag at reagere på en behørigt begrundet anmodning baseret på tilstrækkelige grunde fra de kompetente myndigheder om at videregive og behandle PNR-oplysninger i konkrete sager med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet og at forelægge resultaterne af denne behandling for de kompetente myndigheder eller, hvis det er relevant, for Europol, og
c) at analysere PNR-oplysninger med henblik på at ajourføre eller fastsætte nye kriterier, der skal anvendes i forbindelse med vurderingerne, der foretages i medfør af stk. 3, litra b), med henblik på at identificere personer, der kan være involveret i en terrorhandling eller grov kriminalitet.
3. Når den i stk. 2, litra a), omhandlede vurdering foretages, kan passageroplysningsenheden:
a) sammenholde PNR-oplysninger med oplysninger i databaser, der er relevante med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, herunder databaser vedrørende personer eller genstande, der eftersøges eller er indberettet, i overensstemmelse med de EU-regler og internationale eller nationale regler, som finder anvendelse på sådanne databaser, eller
b) behandle PNR-oplysninger efter forud fastsatte kriterier.
4. Enhver vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten, der foretages i medfør af stk. 3, litra b), efter forud fastsatte kriterier, udføres på en ikkediskriminerende måde. Disse forud fastsatte kriterier skal være målrettede, stå i rimeligt forhold til målet og være konkrete. Medlemsstaterne sikrer, at disse kriterier fastsættes og regelmæssigt evalueres af passageroplysningsenheden i samarbejde med de i artikel 7 omhandlede kompetente myndigheder. Kriterierne må under ingen omstændigheder være baseret på en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuel orientering.
5. Medlemsstaterne sikrer, at alle hit som følge af den automatiske behandling af PNR-oplysninger, der foretages i medfør af stk. 2, litra a), gennemgås individuelt og manuelt for at kontrollere, om de i artikel 7 omhandlede kompetente myndigheder skal iværksætte tiltag i henhold til national ret.
6. En medlemsstats passageroplysningsenhed videregiver de i overensstemmelse med stk. 2, litra a), identificerede personers PNR-oplysninger eller resultaterne af behandling af disse oplysninger til de i artikel 7 omhandlede kompetente myndigheder i den samme medlemsstat med henblik på nærmere undersøgelse. Sådanne videregivelser af oplysninger må kun ske fra sag til sag og, i tilfælde af automatisk behandling af PNR-oplysninger, efter en individuel og manuel gennemgang.
7. Medlemsstaterne sikrer, at den databeskyttelsesansvarlige har adgang til alle de oplysninger, som passageroplysningsenheden behandler. Hvis den databeskyttelsesansvarlige finder, at behandlingen af enhver form for oplysninger ikke er sket lovligt, kan den databeskyttelsesansvarlige forelægge spørgsmålet for den nationale tilsynsmyndighed.
[…]
9. Konsekvenserne af vurderingerne af passagerer, jf. denne artikels stk. 2, litra a), må ikke anfægte retten til indrejse på den pågældende medlemsstats område for personer, der har ret til fri bevægelighed i henhold til EU-retten, jf. Europa-Parlamentets og Rådets direktiv 2004/38/EF [af 29. april 2004 om unionsborgeres og deres familiemedlemmers ret til at færdes og opholde sig frit på medlemsstaternes område, om ændring af forordning (EØF) nr. 1612/68 og om ophævelse af direktiv 64/221/EØF, 68/360/EØF, 72/194/EØF, 73/148/EØF, 75/34/EØF, 75/35/EØF, 90/364/EØF, 90/365/EØF og 93/96/EØF (EUT 2004, L 158, s. 77)]. Endvidere skal konsekvenserne af sådanne vurderinger, når vurderingerne foretages i forbindelse med flyvninger inden for EU mellem medlemsstater, som er underlagt Europa-Parlamentets og Rådets forordning (EF) nr. 562/2006 [af 15. marts 2006 om indførelse af en fællesskabskodeks for personers grænsepassage (Schengen-grænsekodeks) (EUT 2006, L 105, s. 1)], være i overensstemmelse med nævnte forordning.«
29 PNR-direktivets artikel 7 med overskriften »Kompetente myndigheder« har følgende ordlyd:
»1. Hver medlemsstat vedtager en liste over kompetente myndigheder, der er berettigede til at anmode om eller modtage PNR-oplysninger eller resultatet af behandling af disse oplysninger fra passageroplysningsenhederne for at undersøge disse oplysninger nærmere eller iværksætte passende tiltag for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet.
2. De i stk. 1 omhandlede myndigheder skal være myndigheder, der har kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet.
[…]
4. Medlemsstaternes kompetente myndigheder må kun foretage yderligere behandling af PNR-oplysninger og resultatet af behandling af PNR-oplysninger, der modtages fra passageroplysningsenheden, med henblik på det specifikke formål at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet.
5. Stk. 4 berører ikke de nationale retshåndhævende eller retlige myndigheders beføjelser, når der opdages andre overtrædelser eller tegn herpå under en retshåndhævende aktion foranlediget af en sådan databehandling.
6. De kompetente myndigheder må ikke træffe afgørelser, som har byrdefulde retsvirkninger for en person eller i væsentlig grad påvirker en person, udelukkende som følge af automatisk behandling af PNR-oplysninger. Sådanne afgørelser må ikke træffes på grundlag af en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuel orientering.«
30 Direktivets artikel 8 med overskriften »Luftfartsselskabernes forpligtelser vedrørende videregivelse af oplysninger« fastsætter følgende i stk. 1-3:
»1. Medlemsstaterne vedtager alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber ved hjælp af »push«-metoden videregiver de PNR-oplysninger, som er opført på listen i bilag I, i det omfang de allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter, til databasen for passageroplysningsenheden i den medlemsstat, på hvis område flyet lander, eller fra hvis område det afgår. Hvis der for en flyvning er fælles rutenummer (»code sharing«) mellem et eller flere luftfartsselskaber, er det luftfartsselskab, der står for flyvningen, forpligtet til at videregive PNR-oplysninger om alle passagerer. Hvis der under en flyvning uden for EU mellemlandes en eller flere gange i medlemsstaternes lufthavne, videregiver luftfartsselskabet PNR-oplysningerne om alle passagerer til passageroplysningsenhederne i alle de berørte medlemsstater. Dette gælder også, når der under en flyvning inden for EU mellemlandes en eller flere gange i forskellige medlemsstaters lufthavne, men kun i forbindelse med medlemsstater, som indsamler PNR-oplysninger fra flyvninger inden for EU.
2. Hvis luftfartsselskaberne har indsamlet [API-oplysninger], jf. bilag I, punkt 18, men ikke opbevarer disse oplysninger ved hjælp af de samme tekniske midler som andre PNR-oplysninger, vedtager medlemsstaterne de nødvendige foranstaltninger for at sikre, at luftfartsselskaberne ved hjælp af »push«-metoden også videregiver disse oplysninger til passageroplysningsenheden i de i stk. 1 omhandlede medlemsstater. Ved en sådan videregivelse finder alle bestemmelserne i dette direktiv anvendelse for disse API-oplysninger.
3. Luftfartsselskaberne videregiver PNR-oplysninger elektronisk ved brug af de fælles protokoller og understøttede dataformater, der vedtages efter undersøgelsesproceduren i artikel 17, stk. 2, eller, i tilfælde af tekniske problemer, ved brug af et hvilket som helst andet hensigtsmæssigt middel, der sikrer et passende datasikkerhedsniveau:
a) 24-48 timer før den planlagte flyafgang, og
b) straks efter, at luftfartøjets døre er blevet lukket, dvs. når passagerne er gået om bord i luftfartøjet med henblik på afrejse, og det ikke længere er muligt for passagerer at gå om bord i luftfartøjet eller forlade det.«
31 Direktivets artikel 12 med overskriften »Dataopbevaringsperiode og anonymisering« bestemmer:
»1. Medlemsstaterne sikrer, at PNR-oplysninger, som luftfartsselskaberne videregiver til passageroplysningsenheden, opbevares i en database hos passageroplysningsenheden i en periode på fem år efter videregivelsen til passageroplysningsenheden i den medlemsstat, på hvis område luftfartøjet lander eller afgår.
2. Ved udløbet af den i stk. 1 omhandlede seksmånedersperiode fra videregivelsen af PNR-oplysningerne anonymiseres alle PNR-oplysninger ved hjælp af maskering af følgende dataelementer, der kan tjene til direkte at identificere de passagerer, som PNR-oplysningerne vedrører:
a) navn(e), herunder andre passagerers navne på passagerlisten og antal rejsende på passagerlisten, der rejser sammen
b) adresse og kontaktoplysninger
c) alle former for betalingsoplysninger, herunder faktureringsadresse, for så vidt de indeholder enhver form for oplysning, der kan tjene til direkte at identificere de passagerer, som passagerlisten vedrører, eller alle andre personer
d) oplysninger om bonusprogrammer
e) generelle bemærkninger, for så vidt de indeholder enhver form for oplysning, der kan tjene til direkte at identificere de passagerer, som passagerlisten vedrører, og
f) eventuelle API-oplysninger, der er blevet indsamlet.
3. Ved udløbet af den i stk. 2 omhandlede seksmånedersperiode må videregivelse af de fuldstændige PNR-oplysninger kun tillades, når det er:
a) antaget med rimelig grund, at det er nødvendigt med henblik på de i artikel 6, stk. 2, litra b), omhandlede formål, og
b) godkendt af:
i) en judiciel myndighed, eller
ii) en anden national myndighed, der i henhold til national ret er kompetent til at kontrollere, om betingelserne for videregivelse er opfyldt, på betingelse af at passageroplysningsenhedens databeskyttelsesansvarlige underrettes, og at denne databeskyttelsesansvarlige foretager en efterfølgende kontrol.
4. Medlemsstaterne sikrer, at PNR-oplysningerne slettes permanent efter udløbet af den i stk. 1 omhandlede periode. Denne forpligtelse berører ikke tilfælde, hvor der er videregivet konkrete PNR-oplysninger til en kompetent myndighed, og de anvendes i forbindelse med en konkret sag med henblik på at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet, i hvilket tilfælde de kompetente myndigheders opbevaring af sådanne oplysninger reguleres af national ret.
5. Passageroplysningsenheden opbevarer kun det i artikel 6, stk. 2, litra a), omhandlede resultat af behandlingen, så længe det er nødvendigt for at underrette de kompetente myndigheder og, jf. artikel 9, stk. 1, andre medlemsstaters passageroplysningsenheder om et hit. Hvis resultatet af automatisk behandling efter en individuel og manuel gennemgang, jf. artikel 6, stk. 5, har vist sig ikke at give noget hit, kan det dog lagres for at undgå fremtidige »falske« hit, så længe de bagvedliggende oplysninger ikke er slettet i medfør af denne artikels stk. 4.«
32 PNR-direktivets artikel 13 med overskriften »Beskyttelse af personoplysninger« bestemmer følgende i stk. 1-5:
»1. Hvad angår al behandling af personoplysninger i medfør af dette direktiv sørger hver medlemsstat for, at alle passagerer har den samme ret til beskyttelse af deres personoplysninger, ret til indsigt, berigtigelse, sletning og begrænsning samt ret til erstatning og klageadgang som fastsat i EU-retten og national ret samt i forbindelse med gennemførelsen af artikel 17, 18, 19 og 20 i rammeafgørelse [2008/977]. De nævnte artikler finder derfor anvendelse.
2. Hver medlemsstat sørger for, at de bestemmelser i national ret, der er vedtaget med henblik på gennemførelsen af artikel 21 og 22 i rammeafgørelse [2008/977], om fortrolighed i forbindelse med databehandling og datasikkerhed også finder anvendelse på al behandling af personoplysninger i medfør af dette direktiv.
3. Dette direktiv berører ikke anvendelsen af Europa-Parlamentets og Rådets direktiv [95/46] med hensyn til luftfartsselskabers behandling af personoplysninger, navnlig deres pligt til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningers sikkerhed og fortrolighed.
4. Medlemsstaterne forbyder behandling af PNR-oplysninger, der angiver en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuelle orientering. Såfremt passageroplysningsenheden modtager PNR-oplysninger, der indeholder oplysninger herom, skal de straks slettes.
5. Medlemsstaterne sikrer, at passageroplysningsenhederne opbevarer dokumentation vedrørende alle behandlingssystemer og ‑procedurer, der anvendes under deres ansvar. Denne dokumentation skal mindst omfatte:
a) navn og kontaktoplysninger på organisationen og personalet i den passageroplysningsenhed, som behandler PNR-oplysningerne, og de forskellige niveauer af adgangstilladelse
b) anmodningerne indgivet af kompetente myndigheder og andre medlemsstaters passageroplysningsenheder
c) alle anmodninger om og videregivelser af PNR-oplysninger til et tredjeland.
Passageroplysningsenheden stiller efter anmodning al dokumentation til rådighed for den nationale tilsynsmyndighed.«
33 Direktivets artikel 15 med overskriften »National tilsynsmyndighed« bestemmer:
»1. Hver medlemsstat sørger for, at den nationale tilsynsmyndighed, der er omhandlet i artikel 25 i rammeafgørelse [2008/977], gøres ansvarlig for at rådgive om og føre tilsyn med anvendelsen på dens område af de bestemmelser, som medlemsstaterne har vedtaget i medfør af dette direktiv. Artikel 25 i rammeafgørelse [2008/977] finder anvendelse.
2. Disse nationale tilsynsmyndigheder udfører deres aktiviteter, jf. stk. 1, med henblik på at beskytte grundlæggende rettigheder i forbindelse med behandlingen af personoplysninger.
3. Hver national tilsynsmyndighed:
a) behandler klager, der indgives af registrerede, undersøger sagen og underretter de registrerede om forløbet og resultatet af deres klager inden for en rimelig frist
b) kontrollerer lovligheden af databehandlingen, gennemfører undersøgelser, inspektioner og revisioner i overensstemmelse med national ret enten af egen drift eller på grundlag af en i litra a) omhandlet klage.
4. Hver nationale tilsynsmyndighed rådgiver efter anmodning alle registrerede om udøvelsen af de rettigheder, som fastsættes i bestemmelser, der vedtages i medfør af dette direktiv.«
34 Direktivets artikel 19 med overskriften »Revision« fastsætter:
»1. På grundlag af de oplysninger, som medlemsstaterne fremlægger, herunder de i artikel 20, stk. 2, omhandlede statistiske oplysninger, foretager Kommissionen senest den 25. maj 2020 en revision af alle elementerne af dette direktiv og forelægger og præsenterer en rapport for Europa-Parlamentet og for Rådet [for Den Europæiske Union].
2. I sin revision skal Kommissionen have særlig fokus på:
a) overholdelse af de gældende standarder for beskyttelse af personoplysninger
b) nødvendigheden og proportionaliteten af at indsamle og behandle PNR-oplysninger for hvert af de mål, der er fastsat i dette direktiv
c) længden af dataopbevaringsperioden
d) effektiviteten af udveksling af oplysninger mellem medlemsstaterne, og
e) kvaliteten af vurderingerne, herunder med hensyn til de statistiske oplysninger, der indsamles i medfør af artikel 20.
3. Den i stk. 1 omhandlede rapport skal også indeholde en revision af nødvendigheden, proportionaliteten og effektiviteten af at inkludere den obligatoriske indsamling og videregivelse af PNR-oplysninger vedrørende alle eller udvalgte flyvninger inden for EU inden for dette direktivs anvendelsesområde. Kommissionen tager hensyn til erfaringerne i medlemsstaterne, særlig de medlemsstater, der anvender dette direktiv på flyvninger inden for EU i overensstemmelse med artikel 2. I rapporten behandles også nødvendigheden af at inkludere erhvervsdrivende, der ikke er luftfartsselskaber, f.eks. rejsebureauer og rejsearrangører, der leverer rejserelaterede tjenester, herunder reservation af flyvninger, inden for dette direktivs anvendelsesområde.
4. I lyset af den revision, der er gennemført i medfør af denne artikel, forelægger Kommissionen, hvis det er relevant, Europa-Parlamentet og Rådet et forslag til en lovgivningsmæssig retsakt med henblik på ændring af dette direktiv.«
35 Samme direktivs artikel 21 med overskriften »Forhold til andre instrumenter« bestemmer følgende i stk. 2:
»Dette direktiv berører ikke anvendelsen af direktiv [95/46], for så vidt angår luftfartsselskabers behandling af personoplysninger.«
36 I bilag I til PNR-direktivet, der har overskriften »Passagerlisteoplysninger indsamlet af luftfartsselskaber«, er følgende angivet:
»1. PNR-nummer
2. Dato for reservation/udstedelse af billet
3. Planlagt(e) rejsedato(er)
4. Navn(e)
5. Adresse og kontaktoplysninger (telefonnummer, e-mailadresse)
6. Alle former for oplysninger om betalingsformer, herunder faktureringsadresse
7. Fuldstændig rejseplan for en konkret passagerliste
8. Oplysninger om bonusprogrammer
9. Rejsebureau/rejseagent
10. Rejsestatus for passagerer, herunder bekræftelser, indtjekningsstatus, oplysninger om »no-show« og »go-show«
11. Opsplittede/opdelte PNR-oplysninger
12. Generelle bemærkninger (herunder alle tilgængelige oplysninger om uledsagede mindreårige under 18 år, såsom den mindreåriges navn og køn, alder og talt(e) sprog, navnet på og kontaktoplysninger for den ansvarlige person ved afrejsen og dennes forhold til den mindreårige, navnet på og kontaktoplysninger for den ansvarlige person ved ankomsten og dennes forhold til barnet, lufthavnsmedarbejder ved afgang og ankomst)
13. Oplysninger i billetrubrikken, herunder billetnummer, dato for udstedelse af billetten og enkeltbilletter, automatisk billetprisangivelse (»automated ticket fare quote«)
14. Pladsnummer og andre pladsoplysninger
15. Oplysninger om fælles rutenummer (»code sharing«)
16. Alle bagageoplysninger
17. Antal medrejsende og disses navne på passagerlisten
18. Eventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger) (herunder typen, nummeret, udstedelseslandet og udløbsdatoen for ethvert identitetsdokument, nationalitet, efternavn, fornavn, køn, fødselsdato, luftfartsselskab, rutenummer, afgangsdato, ankomstdato, afgangslufthavn, ankomstlufthavn, afgangstidspunkt og ankomsttidspunkt)
19. Alle historiske ændringer af passagerlisten vedrørende punkt 1-18.«
37 Bilag II til direktivet, der har overskriften »Liste over overtrædelser, jf. artikel 3, nr. 9)«, er affattet således:
»1. Deltagelse i en kriminel organisation
2. Menneskehandel
3. Seksuel udnyttelse af børn og børnepornografi
4. Ulovlig handel med narkotika og psykotrope stoffer
5. Ulovlig handel med våben, ammunition og sprængstoffer
6. Bestikkelse
7. Svig, herunder rettet mod Unionens finansielle interesser
8. Hvidvaskning af udbyttet fra strafbart forhold og falskmøntneri, herunder forfalskning af euroen
9. IT-kriminalitet/cyberkriminalitet
10. Miljøkriminalitet, herunder ulovlig handel med truede dyrearter og ulovlig handel med truede plantearter og træsorter
11. Menneskesmugling
12. Forsætlig manddrab, grov legemsbeskadigelse
13. Ulovlig handel med menneskeorganer og ‑væv
14. Bortførelse, frihedsberøvelse og gidseltagning
15. Organiseret eller væbnet røveri
16. Ulovlig handel med kulturgoder, herunder antikviteter og kunstgenstande
17. Efterligninger og fremstilling af piratudgaver af produkter
18. Forfalskning af officielle dokumenter og ulovlig handel med falske dokumenter
19. Ulovlig handel med hormonpræparater og andre vækstfremmende stoffer
20. Ulovlig handel med nukleare eller radioaktive materialer
21. Voldtægt
22. Strafbare handlinger omfattet af Den Internationale Straffedomstols straffemyndighed
23. Skibs- eller flykapring
24. Sabotage
25. Handel med stjålne motorkøretøjer
26. Industrispionage.«
7. Rammeafgørelse 2002/475
38 Artikel 1 i rammeafgørelse 2002/475 definerede begrebet »terrorhandling« ved opregning af en række forsætlige handlinger nævnt i samme artikels litra a) til i), der begås med det formål »alvorligt at intimidere en befolkning«, »uretmæssigt at tvinge offentlige myndigheder eller en international organisation til at foretage eller til at undlade at foretage en handling« eller »alvorligt at destabilisere eller ødelægge et lands eller en international organisations grundlæggende politiske, forfatningsmæssige, økonomiske eller samfundsmæssige strukturer«. Denne rammeafgørelses artikel 2 og 3 definerede henholdsvis begreberne »strafbare handlinger med forbindelse til en terroristgruppe« og »strafbare handlinger med forbindelse til terroraktivitet«. Rammeafgørelsens artikel 4 fastsatte bestemmelser om kriminalisering af anstiftelse af og medvirken til samt forsøg på at begå sådanne strafbare handlinger.
39 Rammeafgørelse 2002/475 blev ophævet ved Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme og om erstatning af Rådets rammeafgørelse 2002/475 og ændring af Rådets afgørelse 2005/671/RIA (EUT 2017, L 88 s. 6, berigtiget i EUT 2018, L 91, s. 30), der indeholder tilsvarende definitioner i artikel 3-14.
B. Belgisk ret
1. Forfatningen
40 Forfatningens artikel 22 bestemmer:
»Enhver har ret til respekt for sit privatliv og familieliv, undtagen i de tilfælde og på de betingelser, der er fastsat ved lov.
Beskyttelsen af denne ret sikres ved sådanne love, bekendtgørelser eller regler, som er omhandlet i artikel 134.«
2. Loven af 25. december 2016
41 Artikel 2 i loi du 25 décembre 2016 relative au traitement des données des passagers (lov af 25.12.2016 om behandling af passageroplysninger) (Moniteur belge af 25.1.2017, s. 12905, herefter »loven af 25. december 2016«) er affattet således:
»Denne lov og de kongelige anordninger, der vedtages til gennemførelse heraf, gennemfører [API-direktivet] og [PNR-direktivet] i belgisk ret. Denne lov og den kongelige anordning om søfartssektoren gennemfører delvis direktiv [2010/65].«
42 Lovens artikel 3 bestemmer:
»Stk. 1. Denne lov fastsætter transportvirksomheders og rejseselskabers forpligtelser i forbindelse med videregivelse af oplysninger om passagerer på vej til, fra og gennem det nationale område.
Stk. 2. Kongen fastsætter ved anordning, der vedtages i Conseil des ministres [(ministerrådet)], for de enkelte transportsektorer og for rejseselskaberne, hvilke passageroplysninger der skal videregives, og hvordan de skal videregives, efter udtalelse fra Commission de la protection de la vie privée [(kommissionen for beskyttelse af privatlivets fred)].«
43 Lovens artikel 4 fastsætter:
»I denne lov og de tilhørende gennemførelsesanordninger forstås ved:
[…]
8) »de kompetente tjenester«: de tjenester, som er omhandlet i artikel 14, stk. 1, nr. 2)
9) »PNR«: en liste over den enkelte passagers rejse, som omfatter de i artikel 9 omhandlede oplysninger, der er nødvendige for, at reservationer kan behandles og kontrolleres af de transportvirksomheder og rejseselskaber, der foretager reservationen, for hver rejse, der reserveres af eller på vegne af enhver person, uanset om listen findes i reservationssystemer, afgangskontrolsystemer (der anvendes til kontrol af passagerer ved ombordstigning) eller tilsvarende systemer, der omfatter de samme funktionaliteter
10) »passager«: enhver person, herunder personer i transfer eller transit, undtagen besætningsmedlemmer, der med transportvirksomhedens samtykke befordres eller skal befordres af denne virksomhed, idet et sådant samtykke anskueliggøres ved, at denne person er registreret i passagerlisten
[…]«
44 Artikel 8 i loven af 25. december 2016 bestemmer:
»Stk. 1. Passageroplysninger behandles med henblik på:
1) efterforskning og retsforfølgning, herunder fuldbyrdelse af straffe eller frihedsberøvende foranstaltninger, vedrørende de overtrædelser, der er omhandlet i artikel 90b, stk. 2, […] nr. 7), […] nr. 8), […] nr. 11), […] nr. 14), […] nr. 17), nr. 18) og nr. 19), samt artikel 90b, stk. 3, i Code d’instruction criminelle [(strafferetsplejeloven)]
2) efterforskning og retsforfølgning, herunder fuldbyrdelse af straffe eller frihedsberøvende foranstaltninger, vedrørende de overtrædelser, der er omhandlet i artikel 196 for så vidt angår forfalskning af officielt bekræftede og offentlige dokumenter samt artikel 198, 199, 199a, 207, 213, 375 og 505 i Code pénal [(straffeloven)]
[…]
4) overvågning af de aktiviteter, der er omhandlet i artikel 7, nr. 1) og 3/1), samt artikel 11, stk. 1, nr. 1)-3) og […] 5), i loi du 30 novembre 1998 organique des services de renseignement et de sécurité [(styringslov af 30.11.1998 om efterretnings- og sikkerhedstjenesterne)]
5) efterforskning og retsforfølgning af de overtrædelser, der er omhandlet i artikel 220, stk. 2, i loi générale sur les douanes et accises du 18 juillet 1977 [(almindelig lov af 18.7.1977 om told- og punktafgifter)] og artikel 45, stk. 3, i loi du 22 décembre 2009 relative au régime général d’accise [(lov af 22.12.2009 om den generelle ordning for punktafgifter)] […]
Stk. 2. På de betingelser, der er fastsat i kapitel 11, behandles passageroplysninger ligeledes med henblik på at forbedre personkontrollen ved de ydre grænser og med henblik på at bekæmpe ulovlig indvandring.«
45 Denne lovs artikel 14, stk. 1, bestemmer:
»Passageroplysningsenheden består af:
[…]
2) udstationerede medarbejdere fra følgende kompetente tjenester:
a) politimyndigheder, der er omhandlet i loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux [(lov af 7.12.1998 om en integreret politiindsats med en todelt struktur)]
b) Sûreté de l’État [(den statslige sikkerhedstjeneste)], jf. loi du 30 novembre 1998 organique des services de renseignement et de sécurité [(styringslov af 30.11.1998 om efterretnings- og sikkerhedstjenesterne)]
c) Service général de Renseignement et de Sécurité [(den generelle efterretnings- og sikkerhedstjeneste)], jf. loi du 30 novembre 1998 organique des services de renseignement et de sécurité [(styringslov af 30.11.1998 om efterretnings- og sikkerhedstjenesterne)]
[…]«
46 Lovens artikel 24, som er indeholdt i afdeling 1 med overskriften »Behandling af passageroplysninger i forbindelse med forudgående vurdering af passagerer« i kapitel 10 vedrørende behandling af oplysninger, har følgende ordlyd:
»Stk. 1. Passageroplysninger behandles med henblik på at foretage en vurdering af passagerer forud for deres planlagte ankomst til, afrejse fra eller transit gennem det nationale område for at afgøre, hvilke personer der skal underkastes en nærmere undersøgelse.
Stk. 2. I forbindelse med de formål, som er omhandlet i artikel 8, stk. 1, nr. 1), 4) og 5), eller som vedrører de trusler, der er nævnt i artikel 8, nr. 1), litra a), b), c), d), f) og g), og artikel 11, stk. 2, i loi du 30 novembre 1998 organique des services de renseignement et de sécurité [(styringslov af 30.11.1998 om efterretnings- og sikkerhedstjenesterne)], baseres den forudgående vurdering af passagerer på et hit, der følger af passageroplysningernes korrelation med:
1) de databaser, der forvaltes af de kompetente tjenester eller er direkte tilgængelige eller til rådighed for dem i forbindelse med deres arbejde, eller de personlister, som de kompetente tjenester har udarbejdet i forbindelse med deres arbejde
2) de vurderingskriterier, som passageroplysningsenheden har fastsat på forhånd, som omhandlet i artikel 25.
Stk. 3. I forbindelse med de formål, der er omhandlet i artikel 8, stk. 1, nr. 3), baseres den forudgående vurdering af passagerer på et hit, der følger af passageroplysningernes korrelation med de i stk. 2, nr. 1), omhandlede databaser.
Stk. 4. Det pågældende hit valideres af passageroplysningsenheden senest 24 timer efter modtagelsen af den automatiserede meddelelse om hittet.
Stk. 5. Så snart valideringen er foretaget, træffer den kompetente tjeneste, som har konstateret det pågældende hit, hurtigst muligt passende foranstaltninger.«
47 Kapitel 11 i loven af 25. december 2016 med overskriften »Behandling af passageroplysninger med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring« indeholder lovens artikel 28-31.
48 Lovens artikel 28 bestemmer:
»Stk. 1. Dette kapitel finder anvendelse på den behandling af passageroplysninger, som foretages af de politimyndigheder, der er ansvarlige for grænsekontrollen, og af Office des étrangers [(udlændingekontoret)] med henblik på at forbedre personkontrollen ved de ydre grænser og med henblik på at bekæmpe ulovlig indvandring.
Stk. 2. Det berører ikke de forpligtelser, der påhviler de politimyndigheder, der er ansvarlige for grænsekontrollen, og Office des étrangers [(udlændingekontoret)] til at videregive personoplysninger eller oplysninger i henhold til love eller administrative bestemmelser.«
49 Lovens artikel 29 har følgende ordlyd:
Stk. 1. Passageroplysningerne videregives til de formål, der er omhandlet i artikel 28, stk. 1, og inden for de grænser, der er fastsat i denne artikel, til de politimyndigheder, der er ansvarlige for grænsekontrollen, og til Office des étrangers [(udlændingekontoret)] for at gøre det muligt for dem at udføre deres lovbestemte opgaver.
Stk. 2. Der videregives alene passageroplysninger som omhandlet i artikel 9, stk. 1, nr. 18), vedrørende følgende kategorier af passagerer:
1) passagerer, der påtænker at indrejse eller er indrejst på området via Belgiens ydre grænser
2) passagerer, der påtænker at forlade eller har forladt området via Belgiens ydre grænser
3) passagerer, der påtænker at passere, befinder sig i eller har passeret et internationalt transitområde i Belgien.
Stk. 3. De passageroplysninger, der er omhandlet i stk. 2, videregives til de politimyndigheder, der er ansvarlige for grænsekontrollen ved Belgiens ydre grænser, umiddelbart efter at de er registreret i passagerdatabasen. Politimyndighederne lagrer disse oplysninger i en midlertidig fil og sletter dem inden for 24 timer efter videregivelsen.
Stk. 4. De passageroplysninger, der er omhandlet i stk. 2, videregives til Office des étrangers [(udlændingekontoret)], umiddelbart efter at de er registreret i passagerdatabasen, når dette kontor har behov for oplysningerne for at kunne udføre sine lovbestemte opgaver. Kontoret lagrer disse oplysninger i en midlertidig fil og sletter dem inden for 24 timer efter videregivelsen.
Såfremt Office des étrangers [(udlændingekontoret)] ved udløbet af denne frist er nødt til at have adgang til de passageroplysninger, der er omhandlet i stk. 2, i forbindelse med udøvelsen af sine lovbestemte opgaver, sender det en begrundet anmodning til passageroplysningsenheden.
[…]«
50 Loven af 25. december 2016 blev gjort anvendelig på flyselskaber, transportvirksomheder, der tilbyder international personbefordring (HST-transportvirksomheder) og rejsebureauer, der har indgået kontrakt med disse transportvirksomheder (forhandlere af HST-billetter), samt på bustransportvirksomheder ved henholdsvis arrêté royal du 18 juillet 2017 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les compagnies aériennes (kongelig anordning af 18.7.2017 om gennemførelse af loven af 25. december 2016 ved anvendelse af forpligtelserne på flyselskaber) (Moniteur belge af 28.7.2017, s. 75934), arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs HST et distributeurs de tickets HST (kongelig anordning af 3.2.2019 om gennemførelse af loven af 25. december 2016 ved anvendelse af forpligtelserne på HST-transportvirksomheder og forhandlere af HST-billetter) (Moniteur belge af 12.2.2019, s. 13018) og arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs par bus (kongelig anordning af 3.2.2019 om gennemførelse af loven af 25. december 2016 ved anvendelse af forpligtelserne på bustransportvirksomheder (Moniteur belge af 12.2.2019, s. 13023).
II. Tvisten i hovedsagen og de præjudicielle spørgsmål
51 Ved stævning indleveret til Cour constitutionnelle (forfatningsdomstol, Belgien) den 24. juli 2017 har Ligue des droits humains anlagt et søgsmål med påstand om hel eller delvis annullation af loven af 25. december 2016.
52 Den forelæggende ret har forklaret, at denne lov gennemfører PNR-direktivet og API-direktivet samt til dels direktiv 2010/65 i national ret. Det fremgår af forarbejderne til loven, at denne tager sigte på at »skabe en retlig ramme med henblik på at pålægge forskellige sektorer inden for den internationale personbefordring (luftfart, jernbanetransport, international vejtransport og søtransport) og rejseselskaber at videregive oplysninger om deres passagerer til en database, der forvaltes af [Service public fédéral intérieur (forbundsindenrigsministeriet, Belgien)]«. Den nationale lovgiver har ligeledes præciseret, at formålene med loven af 25. december 2016 falder inden for tre kategorier, nemlig for det første forebyggelse, opdagelse, efterforskning og retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, for det andet efterretnings- og sikkerhedstjenesternes opgaver og for det tredje forbedring af kontrollen ved de ydre grænser og bekæmpelse af ulovlig indvandring.
53 Til støtte for søgsmålet har Ligue des droits humains fremsat to anbringender, hvoraf det første vedrører en tilsidesættelse af forfatningens artikel 22, sammenholdt med databeskyttelsesforordningens artikel 23, chartrets artikel 7 og 8 og artikel 52, stk. 1, samt EMRK’s artikel 8, og det andet, som er fremsat subsidiært, en tilsidesættelse af forfatningens artikel 22, sammenholdt med artikel 3, stk. 2, TEU og chartrets artikel 45.
54 Med det første anbringende har Ligue des droits humains i det væsentlige gjort gældende, at denne lov udgør et indgreb i retten til respekt for privatlivet og i retten til beskyttelse af personoplysninger, som ikke er i overensstemmelse med chartrets artikel 52, stk. 1, og navnlig ikke med proportionalitetsprincippet. Lovens anvendelsesområde og de oplysninger, der indsamles – som kan afsløre følsomme oplysninger – er nemlig defineret for bredt. På samme måde gør begrebet »passager« i samme lov det muligt at foretage en systematisk og ikke-målrettet automatisk behandling af oplysninger vedrørende alle passagerer. Desuden er karakteren af og de nærmere bestemmelser om metoden til forhåndskontrol og de databaser, som disse oplysninger sammenholdes med, når de er videregivet, ikke fastsat tilstrækkeligt klart. I øvrigt forfølger loven af 25. december 2016 andre formål end dem, der er fastsat i PNR-direktivet. Endelig er den frist på fem år, der er fastsat i denne lov for lagring af de nævnte oplysninger, uforholdsmæssig.
55 Med det andet anbringende, der vedrører artikel 3, stk. 1, artikel 8, stk. 2, og artikel 28-31 i loven af 25. december 2016, har Ligue des droits humains gjort gældende, at disse bestemmelser, idet de udvider det system, der er fastsat ved PNR-direktivet, til at omfatte transporter inden for EU, har den virkning, at kontrollen ved de indre grænser indirekte genindføres, i strid med den frie bevægelighed for personer. Så snart en person befinder sig på belgisk område, bliver vedkommendes oplysninger nemlig automatisk indsamlet, uanset om den pågældende ankommer, afrejser eller mellemlander.
56 Conseil des ministres (ministerrådet) har bestridt denne argumentation. Det er navnlig af den opfattelse, at det første anbringende skal afvises, for så vidt som det vedrører databeskyttelsesforordningen, som ikke finder anvendelse på loven af 25. december 2016. Desuden udgør den behandling af oplysninger, der er fastsat i denne lov, i overensstemmelse med PNR-direktivet et vigtigt værktøj i forbindelse med navnlig bekæmpelse af terrorisme og grov og organiseret kriminalitet, og foranstaltningerne i henhold til denne lov er nødvendige for at nå de forfulgte, forholdsmæssige mål.
57 Med hensyn til det første anbringende har den forelæggende ret indledningsvis udtrykt tvivl om, hvorvidt den beskyttelse, som databeskyttelsesforordningen fastsætter, finder anvendelse på den behandling af oplysninger, som er indført ved loven af 25. december 2016, der først og fremmest tager sigte på at gennemføre PNR-direktivet. Den forelæggende ret har dernæst under henvisning til retspraksis i henhold til udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26. juli 2017 (EU:C:2017:592) anført, at definitionen af PNR-oplysninger i PNR-direktivets artikel 3, nr. 5), og i bilag I til dette direktiv for det første muligvis ikke er tilstrækkeligt klar og præcis, eftersom disse bestemmelsers beskrivelse af visse af disse oplysninger ikke er udtømmende, og for det andet indirekte kan føre til afsløring af følsomme oplysninger. Desuden kan definitionen af begrebet »passager« i det nævnte direktivs artikel 3, nr. 4), have til følge, at indsamling, videregivelse, behandling og opbevaring af PNR-oplysninger udgør generelle og udifferentierede forpligtelser, som finder anvendelse på enhver person, der befordres eller skal befordres, og som er registreret i passagerlisten, uanset om der foreligger vægtige grunde til at tro, at denne person har begået eller vil begå en overtrædelse eller er blevet dømt for en overtrædelse.
58 Den forelæggende ret har endvidere anført, at PNR-oplysningerne i overensstemmelse med bestemmelserne i PNR-direktivet systematisk underkastes en forudgående vurdering, ved at de krydstjekkes med databaser eller forud fastsatte kriterier for at finde hit. Europarådets Rådgivende Komité for konvention nr. 108 har imidlertid i sin udtalelse af 19. august 2016 om de konsekvenser, som behandlingen af passageroplysninger har for databeskyttelsen (T-PD(2016)18rev), anført, at behandlingen af personoplysninger vedrører alle passagerer og ikke kun målpersoner, der mistænkes for at være involveret i en strafbar handling eller udgøre en umiddelbar trussel for den nationale sikkerhed eller den offentlige orden, og at PNR-oplysninger ikke alene kan sammenholdes med oplysninger i databaser (data matching), men også behandles med henblik på udvinding (data mining) ved hjælp af selektorer eller algoritmer til forudsigelse af resultater med det formål at identificere enhver, der kan være involveret eller deltage i kriminelle aktiviteter, idet en sådan vurdering af passagerne ved datakortlægning kan rejse spørgsmål om forudsigelighed, navnlig når den foretages på basis af algoritmer til forudsigelse af resultater med anvendelse af dynamiske kriterier, der hele tiden kan ændre sig i forhold til deres selvlæringsevne. I denne sammenhæng er det den forelæggende rets opfattelse, at selv om de forud fastsatte kriterier til fastlæggelse af risikoprofiler i overensstemmelse med udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26. juli 2017 (EU:C:2017:592) skal være specifikke, pålidelige og ikke-diskriminerende, forekommer det teknisk umuligt at definere dem yderligere.
59 Med hensyn til opbevaringsperioden på fem år og adgangen til oplysningerne som fastsat i PNR-direktivets artikel 12 har den forelæggende ret anført, at Commission de la protection de la vie privée (kommissionen for beskyttelse af privatlivets fred, Belgien) i sin initiativudtalelse nr. 1/2010 af 13. januar 2010 om forslag til lov om godkendelse af PNR-aftalen mellem EU og USA anførte, at når oplysninger opbevares længe og i store mængder, øges risikoen for profilering af de registrerede, og det samme gør risikoen for, at disse oplysninger anvendes til andre formål end de oprindeligt fastsatte. Det fremgår desuden af udtalelsen af 19. august 2016 fra Europarådets Rådgivende Komité for konvention nr. 108, at maskerede oplysninger også gør det muligt at identificere personer og således fortsat er personoplysninger, og at opbevaring heraf skal være tidsmæssigt begrænset, således at generel, løbende overvågning forebygges.
60 Under disse omstændigheder ønsker den forelæggende ret, henset til retspraksis i henhold til bl.a. udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26. juli 2017 (EU:C:2017:592), oplyst, om det system til indsamling, videregivelse, behandling og opbevaring af PNR-oplysninger, der er indført ved PNR-direktivet, kan anses for at holde sig inden for grænserne for det strengt nødvendige. Den forelæggende ret finder, at det ligeledes skal afgøres, om dette direktiv er til hinder for en national lovgivning, som tillader behandling af PNR-oplysninger til andre formål end dem, der er fastsat i PNR-direktivet, og om videregivelse af de fuldstændige PNR-oplysninger efter anonymisering, jf. samme direktivs artikel 12, kan godkendes af en national myndighed såsom passageroplysningsenheden, der blev oprettet ved loven af 25. december 2016.
61 Hvad angår det andet anbringende har den forelæggende ret anført, at denne lovs artikel 3, stk. 1, fastsætter transportvirksomheders og rejseselskabers forpligtelser i forbindelse med videregivelse af oplysninger om passagerer »på vej til, fra og gennem det nationale område«. Den har med hensyn til denne lovs anvendelsesområde tilføjet, at den nationale lovgiver har besluttet »også at indsamle oplysninger om flyvninger inden for EU« for at opnå »et mere fuldstændigt billede af de rejser, som foretages af passagerer, der udgør en potentiel trussel for sikkerheden i EU og nationalt«, således som PNR-direktivets artikel 2, sammenholdt med tiende betragtning hertil, giver mulighed for med hensyn til flyvninger inden for EU. Den forelæggende ret har desuden præciseret, at Commission de la protection de la vie privée (kommissionen for beskyttelse af privatlivets fred) i sin udtalelse nr. 55/2015 af 16. december 2015 om det udkast til lovforslag, der lå til grund for loven af 25. december 2016, rejste spørgsmålet om en eventuel konflikt mellem det belgiske PNR-system og princippet om fri bevægelighed for personer, for så vidt som dette system medtager oplysninger om transporter inden for EU.
62 Under disse omstændigheder har Cour constitutionnelle (forfatningsdomstol) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:
»1) Skal [databeskyttelsesforordningens] artikel 23 […], sammenholdt med denne forordnings artikel 2, stk. 2, litra d), fortolkes således, at den finder anvendelse på en national lovgivning såsom [loven af 25. december 2016], som gennemfører [PNR-direktivet] samt [API-direktivet] og [direktiv 2010/65]?
2) Er bilag I til [PNR-direktivet] foreneligt med [chartrets] artikel 7, artikel 8 og artikel 52, stk. 1, […] for så vidt som de deri opregnede oplysninger er meget omfattende – bl.a. hvad angår de oplysninger, som er omhandlet i punkt 18 i bilag I til [dette direktiv], og som er mere vidtrækkende end de oplysninger, der er omhandlet i [API-direktivets] artikel 3, stk. 2, […] – og for så vidt som de samlet set kan afsløre følsomme oplysninger og dermed overskride grænserne for det »strengt nødvendige«?
3) Er punkt 12 og 18 i bilag I til [PNR-direktivet] forenelige med [chartrets] artikel 7, artikel 8 og artikel 52, stk. 1, […] for så vidt som de deri omhandlede oplysninger henset til udtrykket »herunder« er angivet illustrativt og ikke udtømmende, hvilket indebærer, at kravet om, at regler, der gør indgreb i retten til respekt for privatlivet og i retten til beskyttelse af personoplysninger, skal være præcise og klare, ikke er opfyldt?
4) Er [PNR-direktivets] artikel 3, nr. 4), […] og bilag I til dette direktiv forenelige med [chartrets] artikel 7, artikel 8 og artikel 52, stk. 1, […] for så vidt som det system for generel indsamling, overførsel og behandling af passageroplysninger, der er indført ved disse bestemmelser, omfatter enhver person, der anvender det pågældende transportmiddel, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at denne person kan frembyde en risiko for den offentlige sikkerhed?
5) Skal [PNR-direktivets] artikel 6 […], sammenholdt med [chartrets] artikel 7, artikel 8 og artikel 52, stk. 1, […] fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvorefter et af formålene med behandlingen af PNR-oplysninger kan være efterretnings- og sikkerhedstjenesternes overvågning af de omfattede aktiviteter, og dette formål dermed indgår i forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet?
6) Er [PNR-direktivets] artikel 6 […] forenelig med [chartrets] artikel 7, artikel 8 og artikel 52, stk. 1, […] for så vidt som den deri omhandlede forudgående vurdering ved korrelation med databaser og forud fastsatte kriterier finder systematisk og generel anvendelse på oplysninger om passagerer, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at disse passagerer kan frembyde en risiko for den offentlige sikkerhed?
7) Kan begrebet »anden [kompetent] national myndighed« i [PNR-direktivets] artikel 12, stk. 3, […] fortolkes således, at det omfatter den passageroplysningsenhed, som er oprettet ved lov af 25. december 2016, og som derfor kan give adgang til PNR-oplysninger efter en periode på seks måneder i forbindelse med ad hoc-efterforskninger?
8) Skal [PNR-direktivets] artikel 12 […], sammenholdt med [chartrets] artikel 7, artikel 8 og artikel 52, stk. 1, […] fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvori der er fastsat en generel dataopbevaringsperiode på fem år, uden at der sondres mellem, hvorvidt den forudgående vurdering har vist, at de pågældende passagerer kan udgøre en risiko for den offentlige sikkerhed eller ej?
9) a) Er [API-direktivet] foreneligt med artikel 3, stk. 2, [TEU] og med [chartrets] artikel 45 […], for så vidt som de deri fastsatte forpligtelser finder anvendelse på flyvninger inden for EU?
b) Skal [API-direktivet], sammenholdt med artikel 3, stk. 2, [TEU] og med [chartrets] artikel 45 […], fortolkes således, at det er til hinder for en national lovgivning såsom den anfægtede lov, der med henblik på at bekæmpe ulovlig indvandring og at forbedre grænsekontrollen gør det muligt at indføre et system til indsamling og behandling af oplysninger om passagerer »på vej til, fra og gennem det nationale område«, hvilket indirekte kan føre til genindførelse af kontrollen ved de indre grænser?
10) Såfremt Cour constitutionnelle (forfatningsdomstol) på grundlag af besvarelserne af de foregående præjudicielle spørgsmål konkluderer, at den anfægtede lov, der bl.a. gennemfører [PNR-direktivet], er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan Cour constitutionnelle (forfatningsdomstol) da midlertidigt opretholde virkningerne af [loven af 25. december 2016] med henblik på at undgå retsusikkerhed og muliggøre, at oplysninger, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i loven?«
III. Om de præjudicielle spørgsmål
A. Det første spørgsmål
63 Med det første spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om databeskyttelsesforordningens artikel 2, stk. 2, litra d), og artikel 23 skal fortolkes således, at denne forordning finder anvendelse på behandling af personoplysninger som fastlagt i en national lovgivning, der tager sigte på at gennemføre bestemmelserne i både PNR-direktivet, API-direktivet og direktiv 2010/65 i national ret, og navnlig på videregivelse, opbevaring og behandling af PNR-oplysninger.
64 Som det følger af databeskyttelsesforordningens artikel 2, stk. 1, finder denne forordning anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. Begrebet »behandling« er i forordningens artikel 4, nr. 2), defineret bredt som navnlig omfattende indsamling, registrering, opbevaring, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller sletning af personoplysninger eller en samling af personoplysninger.
65 Den belgiske regering har imidlertid gjort gældende, at erhvervsdrivendes videregivelse af PNR-oplysninger til passageroplysningsenheden med henblik på at forebygge og opdage strafbare handlinger som fastsat i PNR-direktivets artikel 1, stk. 1, litra a), artikel 1, stk. 2, og artikel 8, der, ligesom den forudgående indsamling heraf, udgør en »behandling« af personoplysninger som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2), i henhold til denne forordnings artikel 2, stk. 2, litra d), ikke er omfattet af forordningens anvendelsesområde, eftersom retspraksis i henhold til dom af 30. maj 2006, Parlamentet mod Rådet og Kommissionen (C-317/04 og C-318/04, EU:C:2006:346, præmis 57-59), vedrørende artikel 3, stk. 2, første led, i direktiv 95/46 kan overføres på denne bestemmelse i forordningen.
66 I denne henseende er det, således som Domstolen allerede har fastslået, korrekt, at artikel 3, stk. 2, første led, i direktiv 95/46, som er blevet ophævet og erstattet af databeskyttelsesforordningen med virkning fra den 25. maj 2018, generelt udelukkede »behandling, der vedrører den offentlige sikkerhed [og] statens sikkerhed« fra direktivets anvendelsesområde, uden at foretage en sondring ud fra, hvem der havde behandlet de pågældende data. Behandling af personoplysninger, der foretages af private operatører, og som følger af forpligtelser, som disse er pålagt af de offentlige myndigheder, kunne nemlig i givet fald være omfattet af den undtagelse, der var fastsat i denne bestemmelse, i betragtning af at formuleringen af denne tog sigte på alle behandlinger, uanset hvem der foretog dem, som vedrørte den offentlige sikkerhed, forsvaret eller statens sikkerhed (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 101).
67 En sådan sondring er imidlertid foretaget i databeskyttelsesforordningens artikel 2, stk. 2, litra d), idet denne bestemmelses ordlyd, således som generaladvokaten har anført i punkt 41 og 46 i forslaget til afgørelse, klart viser, at der gælder to betingelser for, at en behandling af oplysninger er omfattet af den undtagelse, der er fastsat i denne bestemmelse. Mens den første af disse betingelser vedrører formålene med behandlingen, nemlig forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed, vedrører den anden spørgsmålet om, hvem der foretager denne behandling, nemlig en »kompetent myndighed« som omhandlet i denne bestemmelse.
68 Som Domstolen ligeledes har fastslået, fremgår det af databeskyttelsesforordningens artikel 23, stk. 1, litra d) og h), at behandling af personoplysninger, der foretages af privatpersoner med henblik på de formål, som er angivet i denne forordnings artikel 2, stk. 2, litra d), er omfattet af dens anvendelsesområde (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 102).
69 Det følger heraf, at den retspraksis i henhold til dom af 30. maj 2006, Parlamentet mod Rådet og Kommissionen (C-317/04 og C-318/04, EU:C:2006:346), som den belgiske regering har henvist til, ikke kan overføres på den undtagelse vedrørende databeskyttelsesforordningens anvendelsesområde, der er angivet i denne forordnings artikel 2, stk. 2, litra d).
70 Denne undtagelse skal desuden i lighed med de andre undtagelser til databeskyttelsesforordningens anvendelsesområde i denne forordnings artikel 2, stk. 2, fortolkes strengt.
71 Som det fremgår af 19. betragtning til nævnte forordning, er denne undtagelse begrundet med den omstændighed, at de kompetente myndigheders behandling af personoplysninger med henblik på navnlig at forebygge og afsløre strafbare handlinger, herunder beskytte og forebygge trusler mod den offentlige sikkerhed, er genstand for en mere specifik EU-retsakt, nemlig direktiv 2016/680, der blev vedtaget samme dag som databeskyttelsesforordningen (dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 69).
72 Som det i øvrigt er præciseret i 9.-11. betragtning til direktiv 2016/680, fastsætter dette direktiv særlige regler for beskyttelse af fysiske personer i forbindelse med denne behandling, idet disse aktiviteters særlige karakter respekteres, inden for retligt samarbejde i straffesager og politisamarbejde, mens databeskyttelsesforordningen fastsætter de generelle regler vedrørende beskyttelse af sådanne personer, som skal anvendes på denne behandling, når den mere specifikke retsakt, som direktiv 2016/680 udgør, ikke finder anvendelse. Navnlig gælder databeskyttelsesforordningen ifølge 11. betragtning til dette direktiv for den behandling af personoplysninger, som foretages af en »kompetent myndighed« som omhandlet i nævnte direktivs artikel 3, nr. 7), men til andre formål end de i dette direktiv fastsatte (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 70).
73 Hvad angår den første betingelse, som er omhandlet i denne doms præmis 67, og nærmere bestemt formålene med den behandling af personoplysninger, som er fastsat i PNR-direktivet, bemærkes, at PNR-oplysninger i henhold til dette direktivs artikel 1, stk. 2, kun må behandles med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. Disse formål er omfattet af de formål, der er omhandlet i databeskyttelsesforordningens artikel 2, stk. 2, litra d), og i artikel 1, stk. 1, i direktiv 2016/680, således at sådanne behandlinger kan være omfattet af den undtagelse, der er omhandlet i denne forordnings artikel 2, stk. 2, litra d), og dermed være omfattet af dette direktivs anvendelsesområde.
74 Dette er derimod ikke tilfældet for den behandling, der er fastsat i API-direktivet og direktiv 2010/65, der har andre formål end dem, der er fastsat i databeskyttelsesforordningens artikel 2, stk. 2, litra d), og i artikel 1, stk. 1, i direktiv 2016/680.
75 For så vidt angår API-direktivet tager dette nemlig, som det fremgår af første, syvende og niende betragtning hertil og artikel 1 heri, sigte på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring, ved hjælp af transportvirksomhedernes forudgående videregivelse af passageroplysninger til de kompetente nationale myndigheder. I øvrigt fremgår det klart af flere betragtninger til og bestemmelser i dette direktiv, at de behandlinger af oplysninger, der er fastsat med henblik på direktivets gennemførelse, er omfattet af databeskyttelsesforordningens anvendelsesområde. Det fremgår således af 12. betragtning til API-direktivet, at »[d]irektiv [95/46] finder anvendelse på medlemsstaternes myndigheders behandling af personoplysninger«. Desuden er det i API-direktivets artikel 6, stk. 1, femte afsnit, præciseret, at medlemsstaterne endvidere kan anvende API-oplysningerne med henblik på retshåndhævelse »med forbehold af bestemmelserne [i] direktiv [95/46]«, hvilket udtryk ligeledes er anvendt i denne bestemmelses tredje afsnit. På samme måde anvendes, navnlig i niende betragtning til API-direktivet, udtrykket »jf. dog bestemmelserne i direktiv [95/46]«. Endelig fastsætter API-direktivets artikel 6, stk. 2, at transportvirksomhederne skal informere passagererne »som foreskrevet i direktiv [96/46]«.
76 Hvad angår direktiv 2010/65 følger det af anden betragtning hertil og artikel 1, stk. 1, heri, at dette direktiv har til formål at forenkle og harmonisere de administrative procedurer i forbindelse med søtransport ved at gøre elektronisk dataoverførsel til normen og ved at rationalisere meldeformaliteterne for at lette søtransporten og reducere den administrative byrde, der pålægges rederierne. Dette direktivs artikel 8, stk. 2, bekræfter, at den behandling af oplysninger, der er fastsat med henblik på direktivets gennemførelse, er omfattet af databeskyttelsesforordningens anvendelsesområde, idet denne bestemmelse nemlig pålægger medlemsstaterne at sikre, at de i forbindelse med personoplysninger overholder direktiv 95/46.
77 Det følger heraf, at behandling af oplysninger, som er fastsat i en national lovgivning, der gennemfører bestemmelserne i API-direktivet og direktiv 2010/65 i national ret, er omfattet af databeskyttelsesforordningens anvendelsesområde. Derimod kan behandling af oplysninger, som er fastsat i en national lovgivning, der gennemfører PNR-direktivet i national ret, i henhold til undtagelsen i denne forordnings artikel 2, stk. 2, litra d), falde uden for dennes anvendelsesområde, forudsat at den anden betingelse, som er nævnt i denne doms præmis 67, er overholdt, nemlig at den, der foretager behandlingen, er en kompetent myndighed som omhandlet i sidstnævnte bestemmelse.
78 Hvad angår denne anden betingelse har Domstolen fastslået, at for så vidt som direktiv 2016/680 i artikel 3, nr. 7), definerer begrebet »kompetent myndighed«, skal denne definition anvendes analogt på databeskyttelsesforordningens artikel 2, stk. 2, litra d) (jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint), C-439/19, EU:C:2021:504, præmis 69).
79 I henhold til PNR-direktivets artikel 4 og 7 skal hver medlemsstat henholdsvis udpege en myndighed med kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet, der skal fungere som passageroplysningsenhed, og vedtage en liste over kompetente myndigheder, der er berettigede til at anmode om eller modtage PNR-oplysninger eller resultatet af behandling af disse oplysninger fra passageroplysningsenheden, idet disse myndigheder ligeledes skal være myndigheder, der har kompetence på området, således som det er præciseret i det nævnte direktivs artikel 7, stk. 2.
80 Det fremgår af disse forhold, at passageroplysningsenhedens og disse kompetente myndigheders behandling af personoplysninger med sådanne formål for øje opfylder de to betingelser, som er nævnt i denne doms præmis 67, således at denne behandling foruden at være omfattet af bestemmelserne i selve PNR-direktivet også er omfattet af bestemmelserne i direktiv 2016/680, men ikke af databeskyttelsesforordningen, hvilket i øvrigt bekræftes i 27. betragtning til PNR-direktivet.
81 Eftersom erhvervsdrivende, såsom luftfartsselskaber, selv om de er underlagt en retlig forpligtelse til at videregive PNR-oplysninger, hverken er pålagt at udøve offentlig myndighed eller er tillagt offentlige beføjelser ved dette direktiv, kan de derimod ikke anses for at være kompetente myndigheder som omhandlet i artikel 3, nr. 7), i direktiv 2016/680 og databeskyttelsesforordningens artikel 2, stk. 2, litra d), og luftfartsselskabers indsamling og videregivelse af disse oplysninger til passageroplysningsenheden er derfor omfattet af denne forordning. Det samme gælder i en situation som den, der er omhandlet i loven af 25. december 2016, hvor indsamling og videregivelse af disse oplysninger foretages af andre transportvirksomheder eller rejseselskaber.
82 Endelig er den forelæggende ret i tvivl om den eventuelle betydning af vedtagelsen af en national lovgivning, der tager sigte på at gennemføre bestemmelserne i både PNR-direktivet, API-direktivet og direktiv 2010/65, såsom loven af 25. december 2016. I denne henseende bemærkes, således som det fremgår af denne doms præmis 72 og 75-77, at behandling af oplysninger i henhold til de to sidstnævnte direktiver er omfattet af anvendelsesområdet for databeskyttelsesforordningen, der indeholder generelle regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.
83 Når en behandling af oplysninger foretaget på grundlag af denne lovgivning er omfattet af API-direktivet og/eller direktiv 2010/65, finder databeskyttelsesforordningen således anvendelse på denne behandling. Det samme gælder for en behandling af oplysninger foretaget på samme grundlag, der med hensyn til behandlingens formål foruden at være omfattet af PNR-direktivet også er omfattet API-direktivet og/eller direktiv 2010/65. Endelig finder databeskyttelsesforordningen anvendelse, når en behandling foretaget på grundlag af samme lovgivning med hensyn til behandlingens formål kun er omfattet af PNR-direktivet, såfremt der er tale om luftfartsselskabers indsamling og videregivelse af PNR-oplysninger til passageroplysningsenheden. Når en sådan behandling foretages af passageroplysningsenheden eller de kompetente myndigheder med henblik på de formål, der er omhandlet i PNR-direktivets artikel 1, stk. 2, er behandlingen derimod foruden at være omfattet af national ret også omfattet af direktiv 2016/680.
84 Henset til ovenstående betragtninger skal det første spørgsmål besvares med, at databeskyttelsesforordningens artikel 2, stk. 2, litra d), og artikel 23 skal fortolkes således, at denne forordning finder anvendelse på behandling af personoplysninger, som er fastsat i en national lovgivning, der tager sigte på at gennemføre bestemmelserne i både API-direktivet, direktiv 2010/65 og PNR-direktivet i national ret, med hensyn til dels private operatørers behandling af oplysninger, dels offentlige myndigheders behandling af oplysninger, som alene eller ligeledes er omfattet af API-direktivet eller direktiv 2010/65. Denne forordning finder derimod ikke anvendelse på behandling af oplysninger som fastsat i en sådan lovgivning, der alene er omfattet af PNR-direktivet, og som foretages af passageroplysningsenheden eller de kompetente myndigheder med henblik på de formål, som er omhandlet i dette direktivs artikel 1, stk. 2.
B. Det andet til det fjerde spørgsmål samt det sjette spørgsmål
85 Med det andet til det fjerde spørgsmål samt det sjette spørgsmål, der skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om PNR-direktivet er gyldigt, henset til chartrets artikel 7 og 8 samt artikel 52, stk. 1. Disse spørgsmål vedrører navnlig følgende:
– bilag I til dette direktiv og de oplysninger, der er opregnet i dette bilag, navnlig i punkt 12 og 18, med hensyn til kravene om klarhed og præcision (det andet og det tredje spørgsmål)
– artikel 3, nr. 4), i og bilag I til dette direktiv, for så vidt som det system til generel indsamling, videregivelse og behandling af PNR-oplysninger, der er indført ved disse bestemmelser, kan finde anvendelse på enhver person, der benytter en flyvning, som er omfattet af samme direktivs bestemmelser (det fjerde spørgsmål), og
– PNR-direktivets artikel 6, for så vidt som den fastsætter bestemmelser om en forudgående vurdering ved, at PNR-oplysninger sammenholdes med oplysninger i databaser og/eller behandles efter forud fastsatte kriterier, idet denne vurdering finder anvendelse systematisk og generelt på disse oplysninger, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at de pågældende passagerer kan frembyde en risiko for den offentlige sikkerhed (det sjette spørgsmål).
86 Indledningsvis bemærkes, at ifølge et almindeligt fortolkningsprincip skal en EU-retsakt i videst muligt omfang fortolkes således, at dens gyldighed ikke drages i tvivl, og i overensstemmelse med hele den primære ret og navnlig med chartrets bestemmelser. Når en bestemmelse i den afledte EU-ret kan fortolkes på flere måder, bør den fortolkning, der bringer bestemmelsen i overensstemmelse med den primære ret, således lægges til grund frem for den, som medfører, at bestemmelsen må anses for uforenelig med denne (dom af 2.2.2021, Consob, C-481/19, EU:C:2021:84, præmis 50 og den deri nævnte retspraksis).
87 Desuden fremgår det af fast retspraksis, at når medlemsstaterne ved bestemmelserne i et direktiv indrømmes et skøn til at definere gennemførelsesforanstaltninger, der er tilpasset de forskellige tænkelige situationer, påhviler det dem ved gennemførelsen af disse foranstaltninger ikke blot at fortolke deres nationale ret på en måde, der er forenelig med det direktiv, der er tale om, men også at sikre, at de ikke lægger en fortolkning heraf til grund, som kommer i konflikt med de grundlæggende rettigheder, der beskyttes ved Unionens retsorden, eller med andre generelle principper, som er anerkendt i denne retsorden (jf. i denne retning dom af 15.2.2016, N., C-601/15 PPU, EU:C:2016:84, præmis 60 og den deri nævnte retspraksis, og af 16.7.2020, État belge (Familiesammenføring – mindreårigt barn), C-133/19, C-136/19 og C-137/19, EU:C:2020:577, præmis 33 og den deri nævnte retspraksis).
88 Hvad angår PNR-direktivet bemærkes, at der navnlig i 15., 20., 22., 25., 36. og 37. betragtning hertil er lagt vægt på den betydning, som EU-lovgiver, med henvisning til et højt databeskyttelsesniveau, tillægger den fulde respekt for de grundlæggende rettigheder, som er sikret ved chartrets artikel 7, 8 og 21, og proportionalitetsprincippet, således at dette direktiv som anført i 36. betragtning hertil »bør […] gennemføres i overensstemmelse hermed«.
89 Det fremhæves navnlig i 22. betragtning til PNR-direktivet, at »[u]nder fuld hensyntagen til de principper, som [Domstolen] har opstillet i den seneste relevante retspraksis, bør anvendelsen af dette direktiv sikre fuld respekt for de grundlæggende rettigheder, for retten til privatlivets fred og for proportionalitetsprincippet« og »reelt opfylde målene om nødvendighed og proportionalitet for at tilgodese de almene interesser, der er anerkendt af Unionen, og behovet for at beskytte andres rettigheder og friheder i forbindelse med bekæmpelse af terrorhandlinger og grov kriminalitet«. Det tilføjes i denne betragtning, at anvendelsen af direktivet »bør være behørigt begrundet, og der bør indføres de nødvendige beskyttelsesforanstaltninger for at sikre, at enhver lagring, analyse, videregivelse eller anvendelse af PNR-oplysninger er lovlig«.
90 I øvrigt fastsætter PNR-direktivets artikel 19, stk. 2, at Kommissionen i sin revision af direktivet skal have særlig fokus på »overholdelse af de gældende standarder for beskyttelse af personoplysninger«, »nødvendigheden og proportionaliteten af at indsamle og behandle PNR-oplysninger for hvert af de mål, der er fastsat i dette direktiv«, og »længden af dataopbevaringsperioden«.
91 Det skal derfor undersøges, om PNR-direktivet i overensstemmelse med de krav, der bl.a. er fastsat i de betragtninger hertil og bestemmelser heri, som er nævnt i denne doms præmis 88-90, kan fortolkes på en måde, der sikrer fuld respekt for de grundlæggende rettigheder, som er sikret ved chartrets artikel 7 og 8, og proportionalitetsprincippet som fastsat i chartrets artikel 52, stk. 1.
1. De indgreb, der følger af PNR-direktivet, i de grundlæggende rettigheder, som er sikret ved chartrets artikel 7 og 8
92 Chartrets artikel 7 fastsætter, at enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation, mens dets artikel 8, stk. 1, udtrykkeligt tillægger enhver person ret til beskyttelse af personoplysninger, der vedrører den pågældende.
93 Som det fremgår af PNR-direktivets artikel 3, nr. 5), og opregningen i bilag I til direktivet, omfatter de i direktivet omhandlede PNR-oplysninger foruden navnet på flypassageren eller flypassagererne bl.a. oplysninger, som er nødvendige for reservationen, såsom de planlagte rejsedatoer, rejseruten, billetoplysninger, grupperne af personer registreret under samme reservationsnummer, kontaktoplysningerne på passageren eller passagererne, oplysninger om betaling eller debitering, bagageoplysninger og generelle bemærkninger om passagererne.
94 Eftersom PNR-oplysningerne således indeholder oplysninger om identificerede fysiske personer, nemlig de pågældende flypassagerer, berører de forskellige behandlinger, som disse oplysninger kan undergives, den grundlæggende ret til respekt for privatlivet, der er sikret ved chartrets artikel 7 (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 121 og 122 og den deri nævnte retspraksis).
95 Herudover er behandling af PNR-oplysninger som omhandlet i PNR-direktivet tillige omfattet af chartrets artikel 8, idet den udgør behandling af personoplysninger i denne artikels forstand og derfor nødvendigvis skal opfylde de i den nævnte artikel fastsatte krav vedrørende beskyttelse af oplysninger (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 123 og den deri nævnte retspraksis).
96 Det fremgår af fast retspraksis, at videregivelse af personoplysninger til en tredjemand såsom en offentlig myndighed udgør et indgreb i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, uanset hvad de videregivne oplysninger efterfølgende bruges til. Det samme gælder opbevaring af personoplysninger og offentlige myndigheders adgang hertil med henblik på brug heraf. I denne henseende er det uden betydning, om de pågældende oplysninger vedrørende privatlivet er følsomme oplysninger, eller om indgrebet har medført eventuelle ubehageligheder for de berørte (udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 124 og 126 og den deri nævnte retspraksis).
97 Såvel luftfartsselskabernes videregivelse af PNR-oplysninger til passageroplysningsenheden i den berørte medlemsstat som omhandlet i PNR-direktivets artikel 1, stk. 1, litra a), sammenholdt med artikel 8, som rammebetingelserne for den opbevaring og brug af disse oplysninger samt den eventuelle efterfølgende videregivelse heraf til denne medlemsstats kompetente myndigheder, passageroplysningsenhederne og de kompetente myndigheder i andre medlemsstater, Europol eller tredjelandes myndigheder, der navnlig er tilladt i henhold til direktivets artikel 6, 7, 9 og 10-12, udgør således indgreb i de rettigheder, der er sikret ved chartrets artikel 7 og 8.
98 Hvad angår alvoren af disse indgreb bemærkes for det første, at PNR-direktivet i henhold til artikel 1, stk. 1, litra a), sammenholdt med artikel 8, muliggør systematisk og fortsat videregivelse til passageroplysningsenhederne af PNR-oplysninger for alle passagerer, der benytter en flyvning uden for EU som omhandlet i dette direktivs artikel 3, nr. 2), der foretages mellem et tredjeland og EU. Som generaladvokaten har anført i punkt 73 i forslaget til afgørelse, indebærer en sådan videregivelse, at passageroplysningsenhederne får generel adgang til alle PNR-oplysninger, der er fremsendt, vedrørende samtlige personer, der benytter lufttransporttjenester, uanset hvad disse oplysninger efterfølgende bruges til.
99 For det andet fastsætter PNR-direktivet i artikel 2, stk. 1, at medlemsstaterne kan beslutte at anvende direktivet på flyvninger inden for EU som omhandlet i artikel 3, nr. 3), og i artikel 2, stk. 2, at alle direktivets bestemmelser i så fald finder »anvendelse for flyvninger inden for EU, som var de flyvninger uden for EU, og for PNR-oplysninger fra flyvninger inden for EU, som var de PNR-oplysninger fra flyvninger uden for EU«.
100 For det tredje bemærkes, at selv om visse af de PNR-oplysninger, der er opregnet i bilag I til PNR-direktivet, som sammenfattet i denne doms præmis 93, isoleret set ikke synes at kunne afsløre præcise oplysninger om de registreredes privatliv, forholder det sig ikke desto mindre således, at oplysningerne samlet set bl.a. kan afsløre den fuldstændige rejserute, rejsevanerne, eksisterende forhold mellem to eller flere personer og oplysninger om flypassagerernes økonomiske situation, madvaner eller helbredstilstand, og de kan sågar blotlægge følsomme oplysninger om disse passagerer (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 128).
101 For det fjerde skal de oplysninger, som luftfartsselskaberne videregiver, i henhold til PNR-direktivets artikel 6, stk. 2, litra a) og b), ikke alene underkastes en forudgående vurdering, som foretages før passagerernes planlagte ankomst eller afrejse, men også en efterfølgende vurdering.
102 Hvad angår den forudgående vurdering fremgår det af PNR-direktivets artikel 6, stk. 2, litra a), og artikel 6, stk. 3, at denne vurdering foretages systematisk og automatisk af medlemsstaternes passageroplysningsenheder, dvs. kontinuerligt og uafhængigt af, om der er noget som helst tegn på en risiko for, at de registrerede kan være involveret i terrorhandlinger eller grov kriminalitet. Med henblik herpå fastsætter disse bestemmelser, at PNR-oplysningerne kan sammenholdes med »oplysninger i databaser, der er relevante«, og behandles efter »forud fastsatte kriterier«.
103 I denne sammenhæng bemærkes, at Domstolen allerede har fastslået, at omfanget af det indgreb i de i chartrets artikel 7 og 8 sikrede rettigheder, som automatiserede analyser af PNR-oplysningerne indebærer, i det væsentlige afhænger af de forudfastsatte modeller og kriterier samt af de databaser, som denne form for databehandling er baseret på (udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 172).
104 Som generaladvokaten har anført i punkt 78 i forslaget til afgørelse, kan den behandling, der er omhandlet i PNR-direktivets artikel 6, stk. 3, litra a), dvs. sammenholdelse af PNR-oplysninger med »oplysninger i databaser, der er relevante«, afsløre yderligere oplysninger om flypassagerernes privatliv og gøre det muligt at drage meget præcise konklusioner herom.
105 Med hensyn til behandling af PNR-oplysninger efter »forud fastsatte kriterier« som omhandlet i PNR-direktivets artikel 6, stk. 3, litra b), er det korrekt, at enhver vurdering af passagerer efter sådanne kriterier i henhold til dette direktivs artikel 6, stk. 4, skal udføres på en ikke-diskriminerende måde og navnlig ikke må være baseret på en række kendetegn, som er nævnt i artikel 6, stk. 4, sidste punktum. De fastsatte kriterier skal desuden være målrettede, stå i rimeligt forhold til målet og være konkrete.
106 Når dette er sagt, har Domstolen allerede fastslået, at for så vidt som automatiserede analyser af PNR-oplysninger foretages ud fra ikke-verificerede personoplysninger, og for så vidt som de er baseret på forudfastsatte modeller og kriterier, er de nødvendigvis forbundet med en vis fejlmargen (jf. analogt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 169). Navnlig fremgår det, således som generaladvokaten i det væsentlige har anført i punkt 78 i forslaget til afgørelse, af et arbejdsdokument fra Kommissionen [SWD(2020) 128 final], der er knyttet til Kommissionens rapport af 24. juli 2020 om revision af PNR-direktivet, at antallet af hit opnået ved automatisk behandling foretaget i medfør af dette direktivs artikel 6, stk. 3, litra a) og b), som efter en individuel og manuel gennemgang viste sig at være fejlagtige, er ganske betydeligt, og at der i 2018 og 2019 var tale om mindst fem ud af seks identificerede personer. Den pågældende behandling fører således til en vidtgående analyse af PNR-oplysningerne vedrørende disse personer.
107 Hvad angår den efterfølgende vurdering af PNR-oplysningerne, jf. PNR-direktivets artikel 6, stk. 2, litra b), fremgår det af denne bestemmelse, at passageroplysningsenheden i løbet af den seksmånedersperiode fra videregivelsen af PNR-oplysningerne, der er omhandlet i direktivets artikel 12, stk. 2, efter anmodning fra de kompetente myndigheder skal videregive PNR-oplysningerne til disse og behandle oplysningerne i konkrete sager med henblik på at bekæmpe terrorhandlinger eller grov kriminalitet.
108 Selv om PNR-oplysningerne efter udløbet af denne seksmånedersperiode anonymiseres ved hjælp af maskering af visse dataelementer, kan passageroplysningsenheden desuden i henhold til PNR-direktivets artikel 12, stk. 3, have pligt til, efter en sådan anmodning, at videregive de fuldstændige PNR-oplysninger i en form, der gør det muligt at identificere den registrerede, til de kompetente myndigheder, når der er rimelig grund til at antage, at dette er nødvendigt med henblik på de i direktivets artikel 6, stk. 2, litra b), omhandlede formål, idet en sådan videregivelse dog skal være godkendt af en judiciel myndighed eller »en anden national myndighed, der […] er kompetent«.
109 For det femte gør PNR-direktivet, idet det i artikel 12, stk. 1, uden yderligere præciseringer i denne henseende fastsætter, at PNR-oplysningerne skal opbevares i en database i en periode på fem år efter videregivelsen til passageroplysningsenheden i den medlemsstat, på hvis område luftfartøjet lander eller afgår – henset til det forhold, at de fuldstændige PNR-oplysninger, uanset anonymiseringen ved udløbet af den første periode på seks måneder ved hjælp af maskering af visse dataelementer, fortsat kan videregives i det tilfælde, der er omhandlet i den foregående præmis – det muligt at råde over oplysninger om flypassagerernes privatliv i en periode, som Domstolen allerede, i sin udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26. juli 2017 (EU:C:2017:592, præmis 132), har betegnet som udsædvanligt lang.
110 Henset til, hvor almindeligt det er at benytte flytransport, indebærer en sådan opbevaringsperiode, at en meget stor del af EU’s befolkning kan få deres PNR-oplysninger opbevaret – gentagne gange – i forbindelse med det system, der er indført ved PNR-direktivet, og som følge heraf kan gøres til genstand for analyser, der foretages i forbindelse med passageroplysningsenhedens og de kompetente myndigheders forudgående og efterfølgende vurderinger, i et betydeligt og – for personer, der rejser med fly mere end én gang hvert femte år – endda ubegrænset tidsrum.
111 Henset til samtlige ovenstående betragtninger må det fastslås, at PNR-direktivet indebærer indgreb af en klart alvorlig karakter i de rettigheder, som er sikret ved chartrets artikel 7 og 8, for så vidt som det bl.a. har til formål at indføre et system til kontinuerlig, ikke-målrettet og systematisk overvågning, der omfatter automatisk vurdering af personoplysninger vedrørende samtlige personer, der benytter lufttransporttjenester.
2. Begrundelsen for de indgreb, der følger af PNR-direktivet
112 Det bemærkes, at de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, ikke er absolutte rettigheder, men skal ses i sammenhæng med deres funktion i samfundet (udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 136 og den deri nævnte retspraksis, og dom af 6.10.2020, Privacy International, C-623/17, EU:C:2020:790, præmis 63 og den deri nævnte retspraksis).
113 I henhold til chartrets artikel 52, stk. 1, første punktum, skal enhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved chartret, være fastlagt i lovgivningen og respektere disses væsentligste indhold. Ifølge chartrets artikel 52, stk. 1, andet punktum, kan der under iagttagelse af proportionalitetsprincippet kun indføres begrænsninger af disse rettigheder og friheder, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder. I denne henseende er det i chartrets artikel 8, stk. 2, præciseret, at personoplysninger navnlig skal behandles »til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag«.
114 Det skal tilføjes, at kravet om, at enhver begrænsning i udøvelsen af de grundlæggende rettigheder skal være fastlagt i lovgivningen, indebærer, at den retsakt, som tillader et indgreb i disse rettigheder, selv skal definere rækkevidden af begrænsningen i udøvelsen af den pågældende rettighed, idet det skal præciseres dels, at dette krav ikke udelukker, at den pågældende begrænsning formuleres så åbent, at den kan tilpasses forskellige situationer og ændrede omstændigheder (jf. i denne retning dom af 26.4.2022, Polen mod Parlamentet og Rådet, C-401/19, EU:C:2022:297, præmis 64 og 74 og den deri nævnte retspraksis), dels at Domstolen om nødvendigt ved fortolkning kan præcisere den konkrete rækkevidde af begrænsningen både med hensyn til selve ordlyden af den omhandlede EU-lovgivning og med hensyn til dens almindelige opbygning og de formål, den forfølger, som fortolket i lyset af de grundlæggende rettigheder, som er sikret ved chartret.
115 Hvad angår overholdelsen af proportionalitetsprincippet kræver beskyttelsen af den grundlæggende ret til respekt for privatlivet på EU-plan i henhold til Domstolens faste praksis, at undtagelserne til og begrænsningerne af beskyttelsen af personoplysninger holdes inden for det strengt nødvendige. Desuden kan et mål af almen interesse ikke forfølges uden hensyntagen til den omstændighed, at dette mål skal forenes med de grundlæggende rettigheder, der er berørt af foranstaltningen, ved at foretage en rimelig afvejning mellem målet af almen interesse og de pågældende rettigheder (udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 140, og dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 52 og den deri nævnte retspraksis).
116 Medlemsstaternes mulighed for at begrunde en begrænsning af de rettigheder, der er sikret ved chartrets artikel 7 og 8, skal nærmere bestemt vurderes ved at bedømme alvoren af det indgreb, som en sådan begrænsning indebærer, og ved at kontrollere, at betydningen af det mål af almen interesse, der forfølges med denne begrænsning, står i forhold til denne alvor (jf. i denne retning dom af 2.10.2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, præmis 55 og den deri nævnte retspraksis, og af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 53 og den deri nævnte retspraksis).
117 For at opfylde kravet om proportionalitet skal den pågældende lovgivning, der medfører indgrebet, fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af de foranstaltninger, som den fastsætter, og opstiller en række mindstekrav, således at de personer, hvis oplysninger er blevet videregivet, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personoplysninger mod risikoen for misbrug. Lovgivningen skal navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige. Nødvendigheden af at råde over sådanne garantier er så meget desto større, når personoplysningerne er undergivet en automatiseret behandling. Disse betragtninger gør sig især gældende, når PNR-oplysningerne kan afsløre følsomme oplysninger om passagererne (udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 141, og dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 132 og den deri nævnte retspraksis).
118 En lovgivning, der foreskriver lagring af personoplysninger, skal således altid opfylde objektive kriterier, som fastlægger et forhold mellem de oplysninger, der skal lagres, og det forfulgte mål (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 191 og den deri nævnte retspraksis, samt dom af 3.10.2019, A m.fl., C-70/18, EU:C:2019:823, præmis 63, og af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 133).
a) Overholdelsen af legalitetsprincippet og kravet om, at de omhandlede grundlæggende rettigheders væsentligste indhold respekteres
119 Den begrænsning i udøvelsen af de grundlæggende rettigheder som sikret ved chartrets artikel 7 og 8, der følger af det system, som er indført ved PNR-direktivet, er fastsat i en lovgivningsmæssig EU-retsakt. Med hensyn til spørgsmålet om, hvorvidt dette direktiv i overensstemmelse med den retspraksis, der er nævnt i denne doms præmis 114, i sin egenskab af en EU-retsakt, der tillader indgrebet i disse rettigheder, selv definerer rækkevidden af begrænsningen i udøvelsen af disse, bemærkes, at bestemmelserne i dette direktiv samt bilag I og II hertil dels indeholder en opregning af PNR-oplysningerne, dels opstiller rammerne for behandlingen af oplysningerne ved navnlig at fastsætte formålene hermed og de nærmere regler herfor. Dette spørgsmål er i øvrigt i store træk sammenfaldende med spørgsmålet om overholdelsen af det proportionalitetskrav, der er nævnt i denne doms præmis 117 (jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems, C-311/18, EU:C:2020:559, præmis 180), og vil blive behandlet i præmis 125 ff.
120 Med hensyn til respekten for det væsentligste indhold af de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, er det korrekt, at PNR-oplysninger alt efter omstændighederne kan afsløre meget præcise oplysninger om en persons privatliv. For så vidt som karakteren af disse oplysninger for det første er begrænset til visse aspekter af privatlivet vedrørende navnlig personens flyrejser, og PNR-direktivet for det andet i artikel 13, stk. 4, udtrykkeligt forbyder behandling af følsomme oplysninger som omhandlet i databeskyttelsesforordningens artikel 9, stk. 1, gør de oplysninger, der er omhandlet i direktivet, det imidlertid ikke i sig selv muligt få et fuldstændigt billede af en persons privatliv. Desuden begrænser direktivet i artikel 1, stk. 2, sammenholdt med artikel 3, nr. 8) og 9), samt bilag II til direktivet, de formål, til hvilke disse oplysninger kan behandles. Endelig fastsætter direktivet i artikel 4-15 regler for videregivelse, behandling og opbevaring af disse oplysninger samt regler med henblik på navnlig at sikre oplysningernes sikkerhed, fortrolighed og integritet og beskytte dem mod ulovlig adgang og behandling. Under disse omstændigheder skader de indgreb, som PNR-direktivet indebærer, ikke det væsentligste indhold af de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8.
b) Målet af almen interesse og spørgsmålet om, hvorvidt behandlingen af PNR-oplysninger er egnet i forhold til dette mål
121 Hvad angår spørgsmålet om, hvorvidt det system, der er indført ved PNR-direktivet, forfølger et mål af almen interesse, fremgår det af 5., 6. og 15. betragtning til dette direktiv, at det har til formål at garantere Unionens indre sikkerhed og således beskytte personers liv og sikkerhed og skabe en retlig ramme, som sikrer et højt niveau for beskyttelsen af passagerernes grundlæggende rettigheder, navnlig retten til privatlivets fred og beskyttelse af personoplysninger, ved de kompetente myndigheders behandling af PNR-oplysninger.
122 I denne henseende bestemmer PNR-direktivets artikel 1, stk. 2, at PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, kun må gøres til genstand for behandling som omhandlet i direktivets artikel 6, stk. 2, litra a)-c), med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. Disse formål udgør utvivlsomt mål af almen interesse for EU, der kan begrunde endog alvorlige indgreb i de grundlæggende rettigheder, som er sikret ved chartrets artikel 7 og 8 (jf. i denne retning dom af 8.4.2014, Digital Rights Ireland m.fl., C-293/12 og C-594/12, EU:C:2014:238, præmis 42, og udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 148 og 149).
123 Med hensyn til spørgsmålet om, hvorvidt det system, der er indført ved PNR-direktivet, er egnet til at opfylde de forfulgte formål, må det fastslås, at selv om muligheden for »falsk negative« resultater og det ganske betydelige antal »falsk positive« resultater, der som nævnt i denne doms præmis 106 blev opnået efter automatisk behandling i henhold til dette direktiv i 2018 og 2019, kan begrænse dette systems egnethed, kan disse forhold dog ikke gøre systemet uegnet til at bidrage til opfyldelsen af formålet om bekæmpelse af terrorhandlinger og grov kriminalitet. Som det fremgår af det arbejdsdokument fra Kommissionen, der er nævnt i denne doms præmis 106, har automatisk behandling foretaget i medfør af dette direktiv nemlig i virkeligheden allerede gjort det muligt at identificere flypassagerer, som udgjorde en risiko i forbindelse med bekæmpelsen af terrorhandlinger og grov kriminalitet.
124 Henset til den fejlmargen, som nødvendigvis er forbundet med automatisk behandling af PNR-oplysninger, og navnlig det ganske betydelige antal »falsk positive« resultater, afhænger egnetheden af det system, der er indført ved PNR-direktivet, desuden i bund og grund af, om den efterfølgende, manuelle kontrol af de resultater, der er opnået ved den automatiske behandling, som det i henhold til dette direktiv påhviler passageroplysningsenheden at foretage, fungerer korrekt. De bestemmelser herom, som er fastsat i PNR-direktivet, bidrager derfor til at opfylde disse formål.
c) Spørgsmålet om nødvendigheden af de indgreb, som følger af PNR-direktivet
125 I overensstemmelse med den retspraksis, der er nævnt i denne doms præmis 115-118, skal det undersøges, om de indgreb, der følger af PNR-direktivet, er begrænset til det strengt nødvendige, og navnlig om dette direktiv fastsætter klare og præcise regler, der regulerer rækkevidden og anvendelsen af de foranstaltninger, som det omhandler, samt om det system, som det indfører, altid opfylder objektive kriterier, der fastlægger et forhold mellem PNR-oplysningerne, der er nært knyttet til reservationen og gennemførelsen af flyrejser, og de formål, som forfølges med dette direktiv, nemlig bekæmpelse af terrorhandlinger og grov kriminalitet.
1) De oplysninger om flypassagerer, der er omhandlet i PNR-direktivet
126 Det skal vurderes, om de rubrikker for oplysninger, der er indeholdt i bilag I til PNR-direktivet, klart og præcist definerer de PNR-oplysninger, som et luftfartsselskab har pligt til at videregive til passageroplysningsenheden.
127 Indledningsvis bemærkes, at EU-lovgiver, således som det fremgår af 15. betragtning til PNR-direktivet, har ønsket, at listen med de PNR-oplysninger, som en passageroplysningsenhed skal have, ved udformningen skal »afspejle de offentlige myndigheders berettigede krav med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet for derved at forbedre den indre sikkerhed i Unionen og beskytte de grundlæggende rettigheder, navnlig retten til privatlivets fred og beskyttelse af personoplysninger«. Ifølge samme betragtning bør PNR-oplysningerne »udelukkende indeholde nærmere oplysninger om passagerers reservationer og rejseplaner, der sætter de kompetente myndigheder i stand til at finde frem til, hvilke flypassagerer der udgør en trussel mod den indre sikkerhed«. Desuden forbyder PNR-direktivet i artikel 13, stk. 4, første punktum, »behandling af PNR-oplysninger, der angiver en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuelle orientering«.
128 Følgelig skal de PNR-oplysninger, som indsamles og videregives i overensstemmelse med bilag I til PNR-direktivet, have en direkte forbindelse med flyvningen og den pågældende passager og være begrænset således, at de for det første alene imødekommer de offentlige myndigheders berettigede krav med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet og for det andet ikke omfatter følsomme oplysninger.
129 Rubrik 1-4, 7, 9, 11, 15, 17 og 19 i bilag I til PNR-direktivet opfylder disse krav samt kravene om klarhed og præcision, for så vidt som de vedrører klart identificerbare og afgrænsede oplysninger med direkte forbindelse til flyvningen og den pågældende passager. Som generaladvokaten har anført i punkt 165 i forslaget til afgørelse, gælder dette også for rubrik 10, 13, 14 og 16, til trods for deres åbne ordlyd.
130 Derimod er der med henblik på fortolkningen af rubrik 5, 6, 8, 12 og 18 brug for præciseringer.
131 Hvad angår rubrik 5, der omhandler »[a]dresse og kontaktoplysninger (telefonnummer, e-mailadresse)«, er det ikke heri udtrykkeligt præciseret, om adressen og kontaktoplysningerne alene vedrører flypassageren eller tillige tredjemænd, der har foretaget flyreservationen for flypassageren, tredjemænd, gennem hvilke en flypassager kan kontaktes, eller tredjemænd, som skal underrettes i nødsituationer. Som generaladvokaten i det væsentlige har anført i punkt 162 i forslaget til afgørelse, kan denne rubrik, henset til kravene om klarhed og præcision, imidlertid ikke fortolkes således, at den implicit også tillader indsamling og videregivelse af sådanne tredjemænds personoplysninger. Følgelig skal denne rubrik fortolkes således, at den kun omfatter postadressen og kontaktoplysninger, nemlig telefonnummer og e-mailadresse på den flypassager, i hvis navn reservationen er foretaget.
132 Hvad angår rubrik 6, der omhandler »[a]lle former for oplysninger om betalingsformer, herunder faktureringsadresse«, skal denne, med henblik på at opfylde kravene om klarhed og præcision, fortolkes således, at den alene vedrører oplysninger om betalingsmetoden og debiteringen af flybilletten, hvorved enhver anden oplysning, der ikke har nogen direkte forbindelse med flyvningen, er udelukket (jf. analogt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 159).
133 For så vidt angår rubrik 8, der omhandler »[o]plysninger om bonusprogrammer«, skal denne, således som generaladvokaten har anført i punkt 164 i forslaget til afgørelse, fortolkes således, at den udelukkende vedrører oplysninger om den pågældende passagers status i et bestemt luftfartsselskabs eller en bestemt gruppe luftfartsselskabers bonusprogram samt det nummer, hvormed denne passager identificeres som »hyppigt rejsende«. Rubrik 8 tillader følgelig ikke indsamling af oplysninger om de transaktioner, hvorved denne status er blevet opnået.
134 Med hensyn til rubrik 12 omhandler denne »[g]enerelle bemærkninger (herunder alle tilgængelige oplysninger om uledsagede mindreårige under 18 år, såsom den mindreåriges navn og køn, alder og talt(e) sprog, navnet på og kontaktoplysninger for den ansvarlige person ved afrejsen og dennes forhold til den mindreårige, navnet på og kontaktoplysninger for den ansvarlige person ved ankomsten og dennes forhold til barnet, lufthavnsmedarbejder ved afgang og ankomst)«.
135 I denne henseende bemærkes indledningsvis, at selv om udtrykket »generelle bemærkninger« ikke opfylder kravene om klarhed og præcision, for så vidt som det ikke som sådant fastsætter nogen afgrænsning med hensyn til arten og omfanget af de oplysninger, der kan indsamles og videregives til en passageroplysningsenhed i medfør af rubrik 12 (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 160), opfylder opregningen i parentes for sin del disse krav.
136 Med henblik på at fortolke rubrik 12 således, at den i henhold til den retspraksis, der er nævnt i denne doms præmis 86, opfylder kravene om klarhed og præcision og, mere generelt, chartrets artikel 7 og 8 samt artikel 52, stk. 1, skal det lægges til grund, at det alene er tilladt at indsamle og videregive de oplysninger, som udtrykkeligt er opregnet i denne rubrik, nemlig den mindreårige flypassagers navn og køn, alder og talt(e) sprog, navnet på og kontaktoplysninger for den ansvarlige person ved afrejsen og dennes forhold til den mindreårige, navnet på og kontaktoplysninger for den ansvarlige person ved ankomsten og dennes forhold til barnet, lufthavnsmedarbejder ved afgang og ankomst.
137 Hvad endelig angår rubrik 18 omhandler denne »[e]ventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger) (herunder typen, nummeret, udstedelseslandet og udløbsdatoen for ethvert identitetsdokument, nationalitet, efternavn, fornavn, køn, fødselsdato, luftfartsselskab, rutenummer, afgangsdato, ankomstdato, afgangslufthavn, ankomstlufthavn, afgangstidspunkt og ankomsttidspunkt)«.
138 Som generaladvokaten i det væsentlige har anført i punkt 156-160 i forslaget til afgørelse, fremgår det af rubrik 18, sammenholdt med fjerde og niende betragtning til PNR-direktivet, at de oplysninger, som denne rubrik henviser til, er de API-oplysninger, som er udtømmende opregnet i denne rubrik samt i API-direktivets artikel 3, stk. 2.
139 Forudsat at rubrik 18 fortolkes således, at den kun dækker de oplysninger, der udtrykkeligt er omhandlet i denne rubrik og i API-direktivets artikel 3, stk. 2, kan den således anses for at opfylde kravene om klarhed og præcision (jf. analogt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 161).
140 Det skal derfor fastslås, at bilag I til PNR-direktivet, når det fortolkes i overensstemmelse med de betragtninger, der bl.a. er anført i denne doms præmis 130-139, i sin helhed har en tilstrækkeligt klar og præcis karakter og således afgrænser rækkevidden af indgrebet i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8.
2) Formålene med behandlingen af PNR-oplysninger
141 Som det fremgår af PNR-direktivets artikel 1, stk. 2, har behandling af PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, til formål at bekæmpe »terrorhandlinger« og »grov kriminalitet«.
142 Hvad angår spørgsmålet om, hvorvidt PNR-direktivet fastsætter klare og præcise regler på dette område, som begrænser anvendelsen af det system, der er indført ved direktivet, til det strengt nødvendige for disse formål, bemærkes for det første, at begrebet »terrorhandlinger« er defineret i direktivets artikel 3, nr. 8), ved henvisning til »de overtrædelser i henhold til national ret, der er omhandlet i artikel 1-4 i rammeafgørelse [2002/475]«.
143 Ud over det forhold, at denne rammeafgørelse i artikel 1-3 klart og præcist definerede de »terrorhandlinger«, »strafbare handlinger med forbindelse til en terroristgruppe« og »strafbare handlinger med forbindelse til terroraktivitet«, som medlemsstaterne skulle gøre strafbare i henhold til denne rammeafgørelse, definerer Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme og om erstatning af rammeafgørelse 2002/475 og ændring af Rådets afgørelse 2005/671/RIA (EUT 2017, L 88, s. 6, berigtiget i EUT 2018, L 91, s. 30) ligeledes i artikel 3-14 klart og præcist de samme strafbare handlinger.
144 For det andet definerer PNR-direktivets artikel 3, nr. 9), begrebet »grov kriminalitet« med henvisning til »de overtrædelser, der er opført på listen i bilag II [til dette direktiv], og som kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst tre år i henhold til en medlemsstats nationale ret«.
145 Først og fremmest indeholder dette bilag en udtømmende opregning af de forskellige kategorier af overtrædelser, der kan udgøre »grov kriminalitet« som omhandlet i PNR-direktivets artikel 3, nr. 9).
146 Dernæst kunne EU-lovgiver henset til de særlige kendetegn, som medlemsstaternes strafferetlige systemer, i mangel af harmonisering af de således omhandlede overtrædelser, havde på tidspunktet for direktivets vedtagelse, nøjes med at angive kategorier af overtrædelser uden at definere gerningsindholdet i disse, hvilket gælder så meget desto mere, som at dette nødvendigvis hypotetisk er defineret i den nationale ret, der henvises til i PNR-direktivets artikel 3, nr. 9), idet medlemsstaterne er forpligtet til at overholde det strafferetlige legalitetsprincip, der indgår i det i artikel 2 TEU omhandlede retsstatsprincip som en del af det fælles værdigrundlag, de deler med Unionen (jf. analogt dom af 16.2.2022, Ungarn mod Parlamentet og rådet, C-156/21, EU:C:2022:97, præmis 136, 160 og 234), hvilket princip i øvrigt er sikret ved chartrets artikel 49, stk. 1, som medlemsstaterne har pligt til at overholde, når de gennemfører en EU-retsakt såsom PNR-direktivet (jf. i denne retning dom af 10.11.2011, QB, C-405/10, EU:C:2011:722, præmis 48 og den deri nævnte retspraksis). Når der ligeledes tages hensyn til den sædvanlige betydning af de udtryk, der er anvendt i samme bilag, må det således fastslås, at dette på en tilstrækkeligt klar og præcis måde fastlægger, hvilke overtrædelser der kan udgøre grov kriminalitet.
147 Det er korrekt, at punkt 7, 8, 10 og 16 i bilag II omhandler meget generelle kategorier af overtrædelser (svig, hvidvaskning af udbyttet fra strafbart forhold og falskmøntneri, miljøkriminalitet, ulovlig handel med kulturgoder), idet der dog samtidig også henvises til specifikke overtrædelser inden for de generelle kategorier. Med henblik på at sikre en tilstrækkelig præcision som ligeledes krævet i henhold til chartrets artikel 49 skal disse punkter fortolkes således, at de henviser til de nævnte overtrædelser, således som disse er nærmere angivet i national ret og/eller EU-retten på området. Når disse punkter fortolkes på denne måde, kan de anses for at opfylde kravene om klarhed og præcision.
148 Endelig bemærkes, at selv om formålet om bekæmpelse af grov kriminalitet i overensstemmelse med proportionalitetsprincippet kan begrunde det alvorlige indgreb, som PNR-direktivet medfører i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, forholder det sig anderledes hvad angår formålet om bekæmpelse af kriminalitet i almindelighed, idet sidstnævnte formål alene kan begrunde indgreb, der ikke er alvorlige (jf. analogt dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 59 og den deri nævnte retspraksis). Direktivet skal således ved klare og præcise regler sikre, at anvendelsen af den ordning, der er indført ved dette, begrænses til overtrædelser, der henhører under grov kriminalitet, og dermed udelukker overtrædelser, der henhører under almindelig kriminalitet.
149 I denne henseende, og således som generaladvokaten har anført i punkt 121 i forslaget til afgørelse, er ganske mange af de overtrædelser, der er nævnt i bilag II til PNR-direktivet, som f.eks. menneskehandel, seksuel udnyttelse af børn og børnepornografi, ulovlig handel med våben, ammunition og sprængstoffer, hvidvaskning, IT-kriminalitet/cyberkriminalitet, ulovlig handel med menneskeorganer og ‑væv, ulovlig handel med narkotika og psykotrope stoffer, ulovlig handel med nukleare eller radioaktive materialer, skibs- eller flykapring, strafbare handlinger omfattet af Den Internationale Straffedomstols straffemyndighed, forsætligt manddrab, voldtægt, bortførelse, frihedsberøvelse og gidseltagning, uomtvisteligt meget grove henset til deres karakter.
150 Desuden fremgår det – selv om det, a priori, er mindre oplagt at forbinde andre overtrædelser, der ligeledes er omhandlet i bilag II, med grov kriminalitet – ikke desto mindre af selve ordlyden af PNR-direktivets artikel 3, nr. 9), at disse overtrædelser kun kan anses for at henhøre under grov kriminalitet, hvis de kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst tre år i henhold til den berørte medlemsstats nationale ret. De krav, der følger af denne bestemmelse, og som vedrører karakteren og strengheden af straffen, kan principielt begrænse anvendelsen af det system, der er indført ved det nævnte direktiv, til overtrædelser med en tilstrækkelig grad af grovhed, der kan begrunde det indgreb, som følger af samme system, i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8.
151 For så vidt som PNR-direktivets artikel 3, nr. 9), ikke henviser til minimumsstraffen, men til maksimumsstraffen, er det imidlertid ikke udelukket, at PNR-oplysninger behandles med henblik på bekæmpelse af overtrædelser, der – selv om de opfylder kriteriet om alvorstærsklen i henhold til denne bestemmelse – under hensyntagen til det nationale strafferetlige systems særlige kendetegn ikke henhører under grov kriminalitet, men under almindelig kriminalitet.
152 Det påhviler derfor medlemsstaterne at sikre, at anvendelsen af det system, der er indført ved PNR-direktivet, faktisk er begrænset til bekæmpelse af grov kriminalitet, og at dette system ikke udvides til at omfatte overtrædelser, som henhører under almindelig kriminalitet.
3) Forbindelsen mellem PNR-oplysningerne og formålene med behandlingen af disse oplysninger
153 Det er korrekt, således som generaladvokaten i det væsentlige har anført i punkt 119 i forslaget til afgørelse, at ordlyden af PNR-direktivets artikel 3, nr. 8) og 9), sammenholdt med bilag II til direktivet, ikke udtrykkeligt henviser til et kriterium, som kan begrænse direktivets anvendelsesområde til alene at omfatte overtrædelser, som efter deres karakter – i hvert fald indirekte – kan have en objektiv forbindelse med flyrejser og dermed med de kategorier af oplysninger, der videregives, behandles og opbevares i medfør af dette direktiv.
154 Som generaladvokaten har anført i punkt 121 i forslaget til afgørelse, kan visse af de overtrædelser, der er nævnt i bilag II til PNR-direktivet, såsom menneskehandel, ulovlig handel med narkotika, menneskesmugling og flykapring, imidlertid efter deres karakter have en direkte forbindelse med luftbefordring af passagerer. Det samme gælder visse terrorhandlinger, såsom massive ødelæggelser af et transportsystem eller en infrastruktur eller kapring af luftfartøjer, hvilke overtrædelser var omhandlet i artikel 1, stk. 1, litra d) og e), i rammeafgørelse 2002/475, som PNR-direktivets artikel 3, nr. 8), henviser til, eller rejser med terror for øje samt tilrettelæggelse eller facilitering af sådanne rejser, hvilke overtrædelser er omhandlet i artikel 9 og 10 i direktiv 2017/541.
155 I denne sammenhæng bemærkes ligeledes, at Kommissionen i begrundelsen for sit forslag til Europa-Parlamentets og Rådets direktiv om anvendelse af passagerlisteoplysninger til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet af 2. februar 2011 [COM(2011) 32 final], der ligger til grund for PNR-direktivet, lagde vægt på, at »[t]errorangrebet i USA i 2001, det mislykkede terrorangreb i august 2006 med henblik på at sprænge en række fly på vej fra Det Forenede Kongerige til USA i luften og terrorforsøget om bord på et fly fra Amsterdam til Detroit i december 2009 viste, at terroristerne er i stand til at gå til angreb under internationale flyvninger i et hvilket som helst land«, og at »[d]e fleste terroraktiviteter rækker ud over landegrænserne og indebærer international rejseaktivitet, bl.a. til træningslejre uden for EU«. For at begrunde behovet for at analysere PNR-oplysninger med henblik på at bekæmpe grov kriminalitet henviste Kommissionen desuden, som eksempler, til en gruppe menneskesmuglere, der i forbindelse med menneskehandel havde brugt falske dokumenter til at checke ind på et fly, og til et netværk af menneskesmuglere og narkohandlere, der for at smugle narkotika til flere destinationer i Europa benyttede personer, der selv var ofre for menneskehandel, og anvendte stjålne kreditkort til at købe disse personers flybilletter. Alle disse sager vedrørte overtrædelser, der havde en direkte forbindelse med luftbefordring af passagerer, idet der var tale om overtrædelser, der var rettet mod luftbefordringen af passagerer, og om overtrædelser begået under eller ved hjælp af en flyrejse.
156 Det skal endvidere fastslås, at selv overtrædelser, der ikke har en sådan direkte forbindelse med luftbefordring af passagerer, afhængigt af sagens omstændigheder, kan have en indirekte forbindelse med luftbefordring af passagerer. Dette er bl.a. tilfældet, når luftbefordringen tjener som middel til at forberede sådanne overtrædelser eller til at unddrage sig strafforfølgning, efter at de er blevet begået. Derimod kan overtrædelser, der ikke har nogen objektiv forbindelse med luftbefordring af passagerer, heller ikke indirekte, ikke begrunde anvendelsen af det system, der er indført ved PNR-direktivet.
157 Under disse omstændigheder kræver dette direktivs artikel 3, nr. 8) og 9), sammenholdt med bilag II til direktivet, og i lyset af de krav, der følger af chartrets artikel 7 og 8 samt artikel 52, stk. 1, at medlemsstaterne, bl.a. i forbindelse med den individuelle og manuelle gennemgang i henhold til direktivets artikel 6, stk. 5, sikrer, at anvendelsen af det system, der er indført ved direktivet, begrænses til terrorhandlinger og alene de former for grov kriminalitet, som har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer.
4) De berørte flypassagerer og flyvninger
158 Det system, der er indført ved PNR-direktivet, omfatter PNR-oplysninger vedrørende samtlige personer, der er omfattet af begrebet »passager« som omhandlet i dette direktivs artikel 3, nr. 4), og som benytter flyvninger, der falder ind under direktivets anvendelsesområde.
159 Ifølge dette direktivs artikel 8, stk. 1, skal disse oplysninger videregives til passageroplysningsenheden i den medlemsstat, på hvis område flyet skal lande, eller fra hvis område det skal afgå, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at der kan være en risiko for, at de pågældende passagerer er involveret i terrorhandlinger eller grov kriminalitet. De således videregivne oplysninger underkastes imidlertid navnlig automatisk behandling i forbindelse med den forudgående vurdering i henhold til PNR-direktivets artikel 6, stk. 2, litra a), og artikel 6, stk. 3, hvilken vurdering, som det fremgår af syvende betragtning til direktivet, har til formål at identificere personer, der ikke har været mistænkt for at være involveret i terrorhandlinger eller grov kriminalitet forud for denne vurdering, og som de kompetente myndigheder bør undersøge nærmere.
160 Det fremgår nærmere bestemt af PNR-direktivets artikel 1, stk. 1, litra a), og artikel 2, at der i direktivet sondres mellem passagerer, der benytter flyvninger uden for EU – mellem EU og tredjelande – og passagerer, der benytter flyvninger inden for EU – mellem forskellige medlemsstater.
161 Hvad angår passagerer på flyvninger uden for EU bemærkes, at Domstolen med hensyn til passagerer, der benytter flyvninger mellem EU og Canada, allerede har fastslået, at den automatiserede behandling af disse passagerers PNR-oplysninger inden deres ankomst til Canada medfører, at sikkerhedskontrollen, navnlig ved grænsen, bliver lettere og foretages hurtigere. Endvidere kan udelukkelsen af bestemte personkategorier eller af bestemte oprindelsesområder dels være til hinder for gennemførelsen af formålet med den automatiserede behandling af PNR-oplysningerne, nemlig identifikationen, gennem en kontrol af disse oplysninger, af de personer blandt samtlige flypassagerer, der kan frembyde en risiko for den offentlige sikkerhed, dels gøre det muligt at omgå denne kontrol (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 187).
162 Disse betragtninger kan overføres mutatis mutandis på situationen for passagerer, der benytter flyvninger mellem EU og samtlige tredjelande, som medlemsstaterne skal anvende det system, der er indført ved PNR-direktivet, på, jf. dette direktivs artikel 1, stk. 1, litra a), sammenholdt med artikel 3, nr. 2) og 4). Videregivelsen og den forudgående vurdering af PNR-oplysninger vedrørende flypassagerer, der rejser ind i eller ud af EU, kan nemlig i betragtning af selve karakteren af de trusler mod den offentlige sikkerhed, der kan følge af terrorhandlinger og grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer mellem EU og tredjelande, ikke begrænses til en bestemt kreds af flypassagerer. Det må således fastslås, at der er den nødvendige forbindelse mellem disse oplysninger og formålet om bekæmpelse af sådanne overtrædelser, således at PNR-direktivet ikke går ud over grænserne for det strengt nødvendige alene af den grund, at det pålægger medlemsstaterne systematisk at videregive og foretage en forudgående vurdering af PNR-oplysninger for samtlige disse passagerer.
163 Hvad angår passagerer, der benytter flyvninger mellem forskellige EU-medlemsstater, fastsætter PNR-direktivets artikel 2, stk. 1, sammenholdt med tiende betragtning hertil, blot, at medlemsstaterne har mulighed for også at anvende det system, der er indført ved direktivet, på flyvninger inden for EU.
164 EU-lovgiver har således ikke haft til hensigt at pålægge medlemsstaterne en forpligtelse til at udvide anvendelsen af det system, der er indført ved PNR-direktivet, til at omfatte flyvninger inden for EU, men har, som det fremgår af direktivets artikel 19, stk. 3, udsat sin afgørelse vedrørende en sådan udvidet anvendelse, idet lovgiver fandt, at der først måtte foretages en detaljeret vurdering af de retlige virkninger heraf, navnlig for de registreredes grundlæggende rettigheder.
165 I denne henseende bemærkes, at PNR-direktivets artikel 19, stk. 3, ved at fastsætte, at Kommissionens revisionsrapport, jf. direktivets artikel 19, stk. 1, »[også skal] indeholde en revision af nødvendigheden, proportionaliteten og effektiviteten af at inkludere den obligatoriske indsamling og videregivelse af PNR-oplysninger vedrørende alle eller udvalgte flyvninger inden for EU inden for dette direktivs anvendelsesområde«, og at Kommissionen i denne henseende skal tage hensyn til »erfaringerne i medlemsstaterne, særlig de medlemsstater, der anvender dette direktiv på flyvninger inden for EU i overensstemmelse med artikel 2«, klart viser, at det har været EU-lovgivers hensigt, at det system, der er indført ved direktivet, ikke nødvendigvis skal udvides til at omfatte alle flyvninger inden for EU.
166 På samme måde bestemmer PNR-direktivets artikel 2, stk. 3, at medlemsstaterne kan beslutte at anvende dette direktiv udelukkende på udvalgte flyvninger inden for EU, når de finder det nødvendigt med henblik på at nå målene i dette direktiv, idet de når som helst kan beslutte at ændre udvælgelsen af flyvninger.
167 Under alle omstændigheder skal medlemsstaternes beføjelse til at udvide anvendelsen af det system, der er indført ved PNR-direktivet, til også at omfatte flyvninger inden for EU, således som det fremgår af 22. betragtning til direktivet, udøves under fuld hensyntagen til de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8. Selv om det i denne henseende i overensstemmelse med 19. betragtning til direktivet tilkommer medlemsstaterne at vurdere truslerne i forbindelse med terrorhandlinger og grov kriminalitet, forholder det sig ikke desto mindre således, at udøvelsen af denne beføjelse forudsætter, at medlemsstaterne ved denne vurdering finder, at der foreligger en trussel i forbindelse med sådanne overtrædelser, som kan begrunde, at samme direktiv ligeledes anvendes på flyvninger inden for EU.
168 Under disse omstændigheder er en medlemsstat, som ønsker at udnytte muligheden i medfør af PNR-direktivets artikel 2, uanset om dette er for samtlige flyvninger inden for EU, jf. artikel 2, stk. 2, eller udelukkende for udvalgte flyvninger inden for EU, jf. artikel 2, stk. 3, ikke fritaget fra at kontrollere, at udvidelsen af direktivets anvendelse til at omfatte alle eller en del af flyvningerne inden for EU faktisk er nødvendig og forholdsmæssig med henblik på opfyldelsen af det formål, der er omhandlet i direktivets artikel 1, stk. 2.
169 Henset til 5.-7., 10. og 22. betragtning til PNR-direktivet skal en sådan medlemsstat således kontrollere, at behandlingen i medfør af dette direktiv af PNR-oplysninger vedrørende passagerer, der benytter flyvninger inden for EU eller udvalgte flyvninger inden for EU, i lyset af alvoren af indgrebet i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, er strengt nødvendig med henblik på at garantere den indre sikkerhed i EU, eller i hvert fald denne medlemsstats sikkerhed, og således beskytte personers liv og sikkerhed.
170 Hvad nærmere bestemt angår trusler i forbindelse med terrorhandlinger fremgår det af Domstolens praksis, at terrorvirksomhed hører til de aktiviteter, der alvorligt kan destabilisere et lands grundlæggende forfatningsmæssige, politiske, økonomiske eller sociale strukturer og navnlig direkte true samfundet, befolkningen eller staten som sådan, og at hver enkelt medlemsstat har en primær interesse i at forebygge og bekæmpe disse aktiviteter for at beskytte statens væsentlige funktioner og grundlæggende samfundsinteresser med det formål at beskytte den nationale sikkerhed. Sådanne trusler adskiller sig på grund af deres art, deres særligt alvorlige karakter og den særlige karakter af de omstændigheder, som udgør dem, fra den generelle og vedvarende risiko i form af alvorlige strafbare handlinger (jf. i denne retning dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 135 og 136, og af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 61 og 62).
171 I en situation, hvor det på grundlag af den vurdering, som en medlemsstat har foretaget, konstateres, at der foreligger tilstrækkeligt konkrete omstændigheder til at antage, at den pågældende medlemsstat står over for en terrortrussel, som må anses for at være reel og aktuel eller forudsigelig, forekommer det ikke at overskride grænserne for det strengt nødvendige, at denne medlemsstat træffer bestemmelse om i medfør af PNR-direktivets artikel 2, stk. 1, at anvende dette direktiv på alle flyvninger inden for EU fra eller til medlemsstaten i en begrænset periode. Den omstændighed, at der foreligger en sådan trussel, kan nemlig i sig selv godtgøre, at der består en forbindelse mellem på den ene side videregivelsen og behandlingen af de pågældende oplysninger og på den anden side bekæmpelsen af terrorisme (jf. analogt dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 137).
172 Den afgørelse, hvorved der træffes bestemmelse om denne anvendelse, skal kunne gøres til genstand for en effektiv prøvelse ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, at denne situation foreligger, og at de betingelser og garantier, der skal være fastsat, er overholdt. Anvendelsesperioden skal ligeledes være tidsmæssigt begrænset til det strengt nødvendige, men kunne forlænges i tilfælde af, at denne trussel består (jf. analogt dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 168, og af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 58).
173 Såfremt den pågældende medlemsstat ikke står over for en reel og aktuel eller forudsigelig terrortrussel, kan denne medlemsstats anvendelse uden forskel af det system, der er indført ved PNR-direktivet, ikke alene på flyvninger uden for EU, men også på samtlige flyvninger inden for EU, derimod ikke anses for at være begrænset til det strengt nødvendige.
174 I en sådan situation skal anvendelsen af det system, der er indført ved PNR-direktivet, på udvalgte flyvninger inden for EU begrænses til videregivelse og behandling af PNR-oplysninger for flyvninger vedrørende bl.a. bestemte flyforbindelser, rejseruter eller bestemte lufthavne, for hvilke der foreligger oplysninger, der kan begrunde denne anvendelse. Det tilkommer i en sådan situation den pågældende medlemsstat at udvælge de pågældende flyvninger inden for EU ud fra resultaterne af den vurdering, som den skal foretage på grundlag af de krav, der er angivet i denne doms præmis 163-169, og regelmæssigt foretage en ny vurdering i lyset af udviklingen i de forhold, der har begrundet valget af disse flyvninger, med henblik på at sikre, at anvendelsen af det system, der er indført ved dette direktiv, altid er begrænset til det strengt nødvendige.
175 Det følger af ovenstående betragtninger, at den således anlagte fortolkning af PNR-direktivets artikel 2 og artikel 3, nr. 4), henset til chartrets artikel 7 og 8 samt artikel 52, stk. 1, kan sikre, at disse bestemmelser holder sig inden for grænserne for det strengt nødvendige.
5) Den forudgående vurdering af PNR-oplysninger ved hjælp af automatisk behandling
176 I henhold til PNR-direktivets artikel 6, stk. 2, litra a), har den i denne bestemmelse fastsatte forudgående vurdering til formål at identificere personer, som det kræves, at de i direktivets artikel 7 omhandlede kompetente myndigheder undersøger nærmere, idet sådanne personer kan være involveret i en terrorhandling eller grov kriminalitet.
177 Denne forudgående vurdering foretages i to trin. Først foretager passageroplysningsenheden i den berørte medlemsstat i overensstemmelse med PNR-direktivets artikel 6, stk. 3, en automatisk behandling af PNR-oplysningerne ved at sammenholde dem med oplysninger i databaser eller behandler dem efter forud fastsatte kriterier. Såfremt denne automatiske behandling resulterer i et hit, gennemgår denne enhed dernæst i henhold til direktivets artikel 6, stk. 5, oplysningerne individuelt og manuelt for at kontrollere, om de i artikel 7 omhandlede kompetente myndigheder skal iværksætte tiltag i henhold til national ret (match).
178 Som anført i denne doms præmis 106 er automatisk behandling nødvendigvis forbundet med en ganske betydelig fejlmargen, for så vidt som den foretages ud fra ikke-verificerede personoplysninger og på grundlag af forud fastsatte kriterier.
179 Under disse omstændigheder skal det, i betragtning af den i 4. betragtning i præamblen til chartret fremhævede nødvendighed af at styrke beskyttelsen af de grundlæggende rettigheder på baggrund af bl.a. den videnskabelige og teknologiske udvikling, som anført i 20. betragtning til PNR-direktivet og artikel 7, stk. 6, heri, sikres, at de kompetente myndigheder ikke træffer afgørelser, som har byrdefulde retsvirkninger for en person eller i væsentlig grad påvirker en person, udelukkende som følge af automatisk behandling af PNR-oplysninger. I henhold til dette direktivs artikel 6, stk. 6, må passageroplysningsenheden desuden kun selv videregive PNR-oplysninger til disse myndigheder, efter at den har foretaget en individuel og manuel gennemgang. Foruden disse kontroller, som det tilkommer passageroplysningsenheden og de kompetente myndigheder selv at foretage, skal lovligheden af enhver automatisk behandling endelig kunne gøres til genstand for en kontrol foretaget af den databeskyttelsesansvarlige og den nationale tilsynsmyndighed, jf. henholdsvis PNR-direktivets artikel 6, stk. 7, og artikel 15, stk. 3, litra b), samt af de nationale retter i forbindelse med den klageadgang, der er omhandlet i samme direktivs artikel 13, stk. 1.
180 Som generaladvokaten i det væsentlige har anført i punkt 207 i forslaget til afgørelse, skal den nationale tilsynsmyndighed, den databeskyttelsesansvarlige og passageroplysningsenheden imidlertid have de materielle og personalemæssige ressourcer, der er nødvendige for, at de kan udføre den kontrol, som påhviler dem i henhold til PNR-direktivet. Det er desuden vigtigt, at den nationale lovgivning, som gennemfører dette direktiv i national ret og tillader automatisk behandling som omhandlet i direktivet, fastsætter klare og præcise regler for bestemmelsen af, hvilke databaser og analysekriterier der kan anvendes, idet der ved den forudgående vurdering ikke må benyttes andre metoder, der ikke er udtrykkeligt fastsat i direktivets artikel 6, stk. 2.
181 Desuden følger det af PNR-direktivets artikel 6, stk. 9, at konsekvenserne af den forudgående vurdering i medfør af direktivets artikel 6, stk. 2, litra a), ikke må bringe retten til indrejse på den pågældende medlemsstats område for personer, der har ret til fri bevægelighed i henhold til direktiv 2004/38, i fare, og de skal endvidere være i overensstemmelse med forordning nr. 562/2006. Det system, der er indført ved PNR-direktivet, tillader således ikke de kompetente myndigheder at begrænse denne ret på en måde, som går ud over, hvad der er fastsat i direktiv 2004/38 og forordning nr. 562/2006.
i) Sammenholdelsen af PNR-oplysninger med oplysninger i databaser
182 Ifølge PNR-direktivets artikel 6, stk. 3, litra a), »kan« passageroplysningsenheden, når den i direktivets artikel 6, stk. 2, litra a), omhandlede vurdering foretages, sammenholde PNR-oplysninger med oplysninger i »databaser, der er relevante« med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, »herunder databaser vedrørende personer eller genstande, der eftersøges eller er indberettet, i overensstemmelse med de EU-regler og internationale eller nationale regler, som finder anvendelse på sådanne databaser«.
183 Selv om det følger af selve ordlyden af PNR-direktivets artikel 6, stk. 3, litra a), og navnlig af ordet »herunder«, at databaser vedrørende personer eller genstande, der eftersøges eller er indberettet, er blandt de »databaser, der er relevante«, som omhandlet i denne bestemmelse, præciseres det derimod ikke heri, hvilke andre databaser der ligeledes ville kunne anses for at være »relevante« i lyset af de formål, der forfølges med direktivet. Som generaladvokaten har anført i punkt 217 i forslaget til afgørelse, beskriver denne bestemmelse nemlig ikke udtrykkeligt karakteren af de oplysninger, der kan være indeholdt i sådanne databaser, og deres forbindelse med disse formål, og den angiver heller ikke, om PNR-oplysninger alene må sammenholdes med oplysninger i databaser, der forvaltes af offentlige myndigheder, eller om de også må sammenholdes med oplysninger i databaser, der forvaltes af private.
184 Under disse omstændigheder kunne PNR-direktivets artikel 6, stk. 3, litra a), umiddelbart lægge op til en fortolkning, hvorefter PNR-oplysninger kan anvendes som simple søgekriterier med henblik på at foretage analyser på grundlag af oplysninger i forskellige databaser, herunder databaser, som forvaltes og benyttes af medlemsstaternes sikkerheds- og efterretningstjenester med henblik på andre formål end dem, der er omhandlet i dette direktiv, og hvorefter sådanne analyser kan tage form af udvinding af oplysninger (data mining). Muligheden for at foretage sådanne analyser og sammenholde PNR-oplysninger med oplysninger i sådanne databaser vil imidlertid kunne give flypassagerer en fornemmelse af, at deres privatliv er genstand for en form for overvågning. Selv om udgangspunktet for den forudgående vurdering i henhold til denne bestemmelse er et forholdsvis begrænset datasæt, nemlig PNR-oplysninger, kan en sådan fortolkning af artikel 6, stk. 3, litra a), følgelig ikke lægges til grund, idet den ville kunne føre til en uforholdsmæssig anvendelse af disse oplysninger og gøre det muligt at tegne en præcis profil af de registrerede alene af den grund, at de agter at rejse med fly.
185 I overensstemmelse med den retspraksis, der er nævnt i denne doms præmis 86 og 87, skal PNR-direktivets artikel 6, stk. 3, litra a), derfor fortolkes således, at den fulde respekt for de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, garanteres.
186 I denne henseende fremgår det af 7. og 15. betragtning til PNR-direktivet, at den automatiske behandling i henhold til direktivets artikel 6, stk. 3, litra a), skal begrænses til det strengt nødvendige med henblik på at bekæmpe terrorhandlinger og grov kriminalitet, samtidig med at der sikres et højt beskyttelsesniveau for disse grundlæggende rettigheder.
187 Som Kommissionen i det væsentlige har anført som svar på et spørgsmål fra Domstolen, gør denne bestemmelses ordlyd, i henhold til hvilken passageroplysningsenheden »kan« sammenholde PNR-oplysninger med oplysninger i de databaser, som bestemmelsen omhandler, det desuden muligt for denne enhed at vælge en behandlingsform, som er begrænset til det strengt nødvendige, alt efter den konkrete situation. I lyset af den nødvendige overholdelse af kravene om klarhed og præcision med henblik på at garantere beskyttelsen af de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, skal passageroplysningsenheden begrænse den automatiske behandling i henhold til PNR-direktivets artikel 6, stk. 3, litra a), til kun at omfatte de databaser, som kan udpeges i medfør af denne bestemmelse. Selv om henvisningen i sidstnævnte bestemmelse til »databaser, der er relevante«, i denne henseende ikke kan fortolkes på en sådan måde, at de således omhandlede databaser afgrænses tilstrækkeligt klart og præcist, forholder det sig anderledes med henvisningen til »databaser vedrørende personer eller genstande, der eftersøges eller er indberettet, i overensstemmelse med de EU-regler og internationale eller nationale regler, som finder anvendelse på sådanne databaser«.
188 Som generaladvokaten i det væsentlige har anført i punkt 219 i forslaget til afgørelse, skal PNR-direktivets artikel 6, stk. 3, litra a), derfor i lyset af disse grundlæggende rettigheder fortolkes således, at disse sidstnævnte databaser er de eneste databaser, som passageroplysningsenheden kan sammenholde PNR-oplysninger med.
189 Hvad angår de krav, som disse databaser skal opfylde, bemærkes, at ifølge PNR-direktivets artikel 6, stk. 4, skal den forudgående vurdering efter forud fastsatte kriterier, der foretages i medfør af direktivets artikel 6, stk. 3, litra b), udføres på en ikke-diskriminerende måde, og de pågældende kriterier skal være målrettede, stå i rimeligt forhold til målet og være konkrete, ligesom de skal fastsættes og evalueres regelmæssigt af passageroplysningsenheden i samarbejde med de i artikel 7 omhandlede kompetente myndigheder. Selv om direktivets artikel 6, stk. 4, ved at henvise til artikel 6, stk. 3, litra b), efter sin ordlyd udelukkende omfatter behandling af PNR-oplysninger efter forud fastsatte kriterier, skal denne bestemmelse i lyset af chartrets artikel 7, 8 og 21 fortolkes således, at de heri fastsatte krav skal anvendes mutatis mutandis på disse oplysningers sammenholdelse med oplysningerne i de databaser, der er nævnt i den foregående præmis, og dette så meget desto mere, som at disse krav i det væsentlige svarer til de krav vedrørende krydstjek af PNR-oplysninger med databaser, der er fastsat i retspraksis i henhold til udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26. juli 2017 (EU:C:2017:592, præmis 172).
190 Det skal i denne henseende præciseres, at kravet vedrørende disse databasers ikke-diskriminerende karakter navnlig indebærer, at registrering i databaser vedrørende personer, der eftersøges eller er indberettet, skal være baseret på objektive og ikke-diskriminerende forhold, der er fastsat i de EU-regler og internationale eller nationale regler, som finder anvendelse på sådanne databaser (jf. analogt dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 78).
191 For at opfylde kravet om, at de forud fastsatte kriterier skal være målrettede, stå i rimeligt forhold til målet og være konkrete, skal de databaser, der er omhandlet i denne doms præmis 188, desuden benyttes i forbindelse med bekæmpelse af terrorhandlinger og grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer.
192 De databaser, der anvendes i medfør af PNR-direktivets artikel 6, stk. 3, litra a), skal i øvrigt, henset til betragtningerne i denne doms præmis 183 og 184, forvaltes af de kompetente myndigheder, der er omhandlet i direktivets artikel 7, eller – hvad angår EU’s databaser og internationale databaser – benyttes af disse myndigheder i forbindelse med deres arbejde med bekæmpelse af terrorhandlinger og grov kriminalitet. Dette er tilfældet for databaser vedrørende personer eller genstande, der eftersøges eller er indberettet, i overensstemmelse med de EU-regler og internationale eller nationale regler, som finder anvendelse på sådanne databaser.
ii) Behandling af PNR-oplysninger efter forud fastsatte kriterier
193 PNR-direktivets artikel 6, stk. 3, litra b), fastsætter, at passageroplysningsenheden ligeledes kan behandle PNR-oplysninger efter forud fastsatte kriterier. Det fremgår af direktivets artikel 6, stk. 2, litra a), at den forudgående vurdering og dermed behandlingen af PNR-oplysninger efter forud fastsatte kriterier i det væsentlige tager sigte på at identificere personer, der kan være involveret i en terrorhandling eller grov kriminalitet.
194 Hvad angår de kriterier, som passageroplysningsenheden kan anvende til dette formål, bemærkes indledningsvis, at disse ifølge selve ordlyden af PNR-direktivets artikel 6, stk. 3, litra b), skal være »forud fastsatte«. Som generaladvokaten har anført i punkt 228 i forslaget til afgørelse, er dette krav til hinder for, at der anvendes teknologier inden for kunstig intelligens i forbindelse med selvlæringssystemer (machine learning), som uden menneskelig indgriben og kontrol kan ændre vurderingsprocessen og navnlig de vurderingskriterier, som resultatet af anvendelsen af denne proces er baseret på, samt vægtningen af disse kriterier.
195 Det skal tilføjes, at anvendelse af sådanne teknologier risikerer at fratage den individuelle gennemgang af hit og det tilsyn med behandlingens lovlighed, som kræves efter PNR-direktivets bestemmelser, deres effektive virkning. Som generaladvokaten i det væsentlige har anført i punkt 228 i forslaget til afgørelse, kan det, henset til den ugennemsigtige måde, hvorpå teknologier inden for kunstig intelligens fungerer, være umuligt at forstå, hvorfor et givet program har genereret et hit. Under disse omstændigheder kan anvendelse af sådanne teknologier ligeledes fratage de registrerede den ret til effektive retsmidler, jf. chartrets artikel 47, som PNR-direktivet ifølge 28. betragtning hertil tager sigte på at sikre på et højt beskyttelsesniveau, navnlig med henblik på at anfægte, at de opnåede resultater er ikke-diskriminerende.
196 Hvad dernæst angår de krav, der følger af PNR-direktivets artikel 6, stk. 4, fastsætter denne bestemmelses første punktum, at den forudgående vurdering efter forud fastsatte kriterier skal udføres på en ikke-diskriminerende måde, og i bestemmelsens fjerde punktum er det præciseret, at disse kriterier under ingen omstændigheder må være baseret på en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuelle orientering.
197 Medlemsstaterne må således ikke som forud fastsatte kriterier opretholde kriterier, der er baseret på de kendetegn, der er nævnt i den foregående præmis, og hvis anvendelse kan give anledning til forskelsbehandling. I denne henseende følger det af ordlyden af PNR-direktivets artikel 6, stk. 4, fjerde punktum, hvorefter de forud fastsatte kriterier »under ingen omstændigheder« må være baseret på disse kendetegn, at denne bestemmelse både omfatter direkte og indirekte forskelsbehandling. Denne fortolkning bekræftes i øvrigt af chartrets artikel 21, stk. 1, som den nævnte bestemmelse skal læses i lyset af, og som forbyder »enhver« forskelsbehandling på grund af disse kendetegn. Under disse omstændigheder skal de forud fastsatte kriterier fastsættes på en sådan måde, at de – selv om de er formuleret neutralt – ikke ved deres anvendelse kan medføre, at personer, som har de beskyttede kendetegn, stilles særligt ufordelagtigt.
198 Hvad angår kravene i PNR-direktivets artikel 6, stk. 4, andet punktum, om, at de forud fastsatte kriterier skal være målrettede, stå i rimeligt forhold til målet og være konkrete, følger det af disse krav, at de kriterier, der anvendes ved den forudgående vurdering, skal være fastsat således, at de specifikt er målrettet personer, for hvilke der kan foreligge en rimelig mistanke om deltagelse i terrorhandlinger eller grov kriminalitet som omhandlet i dette direktiv. Denne fortolkning bekræftes af selve ordlyden af direktivets artikel 6, stk. 2, litra a), som lægger vægt på det forhold, at de registrerede »kan« være involveret i »en« terrorhandling eller grov kriminalitet. På samme måde er det i syvende betragtning til direktivet anført, at fastsættelsen og anvendelsen af vurderingskriterier bør begrænses til terrorhandlinger og grov kriminalitet, »for hvilke anvendelsen af sådanne kriterier er relevant«.
199 Med henblik på denne målretning mod de således omhandlede personer og i betragtning af den risiko for forskelsbehandling, som kriterier baseret på de i PNR-direktivets artikel 6, stk. 4, fjerde punktum, nævnte kendetegn medfører, kan passageroplysningsenheden og de kompetente myndigheder principielt ikke basere sig på disse kendetegn. Som den tyske regering har anført i retsmødet, kan de derimod bl.a. tage hensyn til de særlige træk ved personers faktiske adfærd i forbindelse med forberedelsen og gennemførelsen af flyrejser, som ifølge de kompetente myndigheders konstateringer og erfaring kan indikere, at personer, der handler på denne måde, kan være involveret i terrorhandlinger eller grov kriminalitet.
200 I denne sammenhæng skal de forud fastsatte kriterier, således som Kommissionen har anført som svar på et spørgsmål fra Domstolen, fastsættes således, at der tages hensyn til både »belastende« og »diskulperende« forhold, idet kravet herom kan bidrage til, at disse kriterier er pålidelige, og navnlig til at sikre, at de står i rimeligt forhold til målet, således som PNR-direktivets artikel 6, stk. 4, andet punktum, kræver.
201 Endelig skal de forud fastsatte kriterier i henhold til direktivets artikel 6, stk. 4, tredje punktum, evalueres regelmæssigt. I forbindelse med denne evaluering skal disse kriterier tilpasses udviklingen i de forhold, der har begrundet, at de er blevet anvendt ved den forudgående vurdering, således at der bl.a. kan reageres på udviklingen i bekæmpelsen af terrorhandlinger og grov kriminalitet som omhandlet i denne doms præmis 157 (jf. analogt dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 82). Ved evalueringen skal der navnlig tages hensyn til de erfaringer, der er opnået ved anvendelsen af de forud fastsatte kriterier, med henblik på at begrænse antallet af »falsk positive« resultater så meget som muligt og herved bidrage til, at anvendelsen af disse kriterier holdes inden for det strengt nødvendige.
iii) Garantierne i tilknytning til den automatiske behandling af PNR-oplysninger
202 De krav, som i henhold til PNR-direktivets artikel 6, stk. 4, skal overholdes ved den automatiske behandling af PNR-oplysninger, gælder ikke alene i forbindelse med fastsættelsen og evalueringen af de anvendte databaser og de forud fastsatte kriterier som omhandlet i denne bestemmelse, men også, således som generaladvokaten har anført i punkt 230 i forslaget til afgørelse, under hele den proces, hvor disse oplysninger behandles.
203 Hvad nærmere bestemt angår de forud fastsatte kriterier skal det indledningsvis præciseres, at selv om passageroplysningsenheden, således som det er anført i syvende betragtning til PNR-direktivet, skal definere vurderingskriterierne på en måde, der minimerer antallet af uskyldige personer, som uretmæssigt identificeres af det system, der er indført ved dette direktiv, skal samme enhed alligevel i henhold til direktivets artikel 6, stk. 5 og 6, foretage en individuel og manuel gennemgang af alle hit, med henblik på i videst muligt omfang at opdage eventuelle »falsk positive« resultater. Desuden har passageroplysningsenheden, uanset at den skal fastsætte vurderingskriterierne på en ikke-diskriminerende måde, pligt til at foretage en sådan gennemgang for at udelukke eventuelle diskriminerende resultater. Passageroplysningsenheden skal overholde samme forpligtelse til at foretage en gennemgang i forbindelse med sammenholdelse af PNR-oplysninger med oplysninger i databaser.
204 Passageroplysningsenheden skal således afholde sig fra at videregive resultaterne af denne automatiske behandling til de i PNR-direktivets artikel 7 omhandlede kompetente myndigheder, når den, henset til de betragtninger, der er anført i denne doms præmis 198, ikke – efter denne gennemgang – råder over oplysninger, der i tilstrækkelig grad kan begrunde en rimelig mistanke om, at personer, der er identificeret ved hjælp af denne automatiske behandling, deltager i terrorhandlinger eller grov kriminalitet, eller når den råder over oplysninger, der tyder på, at den nævnte behandling fører til diskriminerende resultater.
205 Hvad angår de kontroller, som passageroplysningsenheden skal foretage i denne henseende, følger det af PNR-direktivets artikel 6, stk. 5 og 6, sammenholdt med 20. og 22. betragtning til direktivet, at medlemsstaterne skal fastsætte klare og præcise regler, der bestemmer grundlaget og rammerne for den analyse, som de medarbejdere, der er ansvarlige for den individuelle gennemgang, foretager, med henblik på at sikre den fulde respekt for de grundlæggende rettigheder, som er sikret ved chartrets artikel 7, 8 og 21, og navnlig sikre en konsekvent administrativ praksis i passageroplysningsenheden under overholdelse af princippet om forbud mod forskelsbehandling.
206 Navnlig skal medlemsstaterne i betragtning af det ganske betydelige antal »falsk positive« resultater, som er nævnt i denne doms præmis 106, sikre, at passageroplysningsenheden fastsætter klare og præcise, objektive kriterier for gennemgangen, som gør det muligt for dens medarbejdere at kontrollere dels, om og i hvilket omfang et hit faktisk vedrører en person, som kan være involveret i terrorhandlinger eller grov kriminalitet som omhandlet i denne doms præmis 157, og som de i direktivets artikel 7 omhandlede kompetente myndigheder derfor skal undersøge nærmere, dels at den automatiske behandling i henhold til direktivet og navnlig de forud fastsatte kriterier og de anvendte databaser ikke er af en diskriminerende karakter.
207 I denne sammenhæng har medlemsstaterne pligt til at sikre, at passageroplysningsenhederne i overensstemmelse med PNR-direktivets artikel 13, stk. 5, sammenholdt med 37. betragtning til direktivet, opbevarer dokumentation vedrørende al behandling af PRN-oplysninger foretaget i forbindelse med den forudgående vurdering, herunder i forbindelse med den individuelle og manuelle gennemgang, med henblik på kontrol af behandlingens lovlighed og egenkontrol.
208 Dernæst må de kompetente myndigheder i henhold til PNR-direktivets artikel 7, stk. 6, første punktum, ikke træffe afgørelser, som har byrdefulde retsvirkninger for en person eller i væsentlig grad påvirker en person, udelukkende som følge af automatisk behandling af PNR-oplysninger, hvilket i forbindelse med den forudgående vurdering indebærer, at myndighederne skal tage hensyn til og, hvor det er relevant, lade resultatet af passageroplysningsenhedens individuelle og manuelle gennemgang gå forud for resultatet af den automatiske behandling. I artikel 7, stk. 6, andet punktum, er det præciseret, at sådanne afgørelser ikke må være diskriminerende.
209 I denne forbindelse skal de kompetente myndigheder sikre sig, at både denne automatiske behandling og den individuelle gennemgang er lovlig og navnlig ikke-diskriminerende.
210 De kompetente myndigheder skal særligt sikre sig, at den berørte, uden nødvendigvis at få mulighed for under den administrative procedure at gøre sig bekendt med de forud fastsatte vurderingskriterier og de programmer, som anvender disse kriterier, kan forstå, hvordan disse kriterier og disse programmer fungerer, således at den pågældende på grundlag af et fuldt kendskab til sagen kan afgøre, om vedkommende vil gøre brug af sin klageadgang som sikret ved PNR-direktivets artikel 13, stk. 1, med henblik på eventuelt at gøre disse kriteriers ulovlige og navnlig diskriminerende karakter gældende (jf. analogt dom af 24.11.2020, Minister van Buitenlandse Zaken, C-225/19 og C-226/19, EU:C:2020:951, præmis 43 og den deri nævnte retspraksis). Det samme må gælde for de kriterier for gennemgang, som er omhandlet i denne doms præmis 206.
211 Endelig skal det i forbindelse med en sag, som anlægges i medfør af PNR-direktivets artikel 13, stk. 1, være muligt for den dommer, der skal foretage legalitetsprøvelsen af den afgørelse, som de kompetente myndigheder har truffet, og – undtagen i tilfælde, hvor der er tale om trusler mod statens sikkerhed – for den berørte selv at få kendskab til såvel den fulde begrundelse som de beviser, på grundlag af hvilke denne afgørelse er truffet (jf. analogt dom af 4.6.2013, ZZ, C-300/11, EU:C:2013:363, præmis 54-59), herunder til de forud fastsatte vurderingskriterier og til, hvordan de programmer, som anvender disse kriterier, fungerer.
212 I øvrigt påhviler det i henhold til PNR-direktivets artikel 6, stk. 7, og artikel 15, stk. 3, litra b), henholdsvis den databeskyttelsesansvarlige og den nationale tilsynsmyndighed at kontrollere lovligheden af den automatiske behandling, som passageroplysningsenheden har foretaget i forbindelse med den forudgående vurdering, idet denne kontrol bl.a. omfatter behandlingens ikke-diskriminerende karakter. Selv om det i den første af disse bestemmelser i denne henseende er præciseret, at den databeskyttelsesansvarlige skal have adgang til alle de oplysninger, som passageroplysningsenheden behandler, skal denne adgang nødvendigvis omfatte de forud fastsatte kriterier og de databaser, som denne enhed anvender, for at sikre det effektive og høje databeskyttelsesniveau, som den databeskyttelsesansvarlige har ansvaret for i overensstemmelse med 37. betragtning til dette direktiv. På samme måde kan de undersøgelser, inspektioner og revisioner, som den nationale tilsynsmyndighed gennemfører i medfør af den anden af disse bestemmelser, ligeledes vedrøre disse på forhånd fastsatte kriterier og disse databaser.
213 Det følger af samtlige ovenstående betragtninger, at PNR-direktivets bestemmelser om den forudgående vurdering af PNR-oplysninger i medfør af direktivets artikel 6, stk. 2, litra a), kan fortolkes på en måde, der er forenelig med chartrets artikel 7, 8 og 21, således at grænserne for det strengt nødvendige overholdes.
6) Den efterfølgende videregivelse og vurdering af PNR-oplysninger
214 I henhold til PNR-direktivets artikel 6, stk. 2, litra b), kan PNR-oplysninger ligeledes efter anmodning fra de kompetente myndigheder videregives til disse myndigheder og vurderes efter den planlagte ankomst til eller afrejse fra medlemsstaten.
215 Hvad angår betingelserne for, at en sådan videregivelse og en sådan vurdering kan foretages, fremgår det af denne bestemmelses ordlyd, at passageroplysningsenheden kan behandle PNR-oplysninger med henblik på »fra sag til sag« at reagere på »en behørigt begrundet anmodning baseret på tilstrækkelige grunde« fra de kompetente myndigheder om at videregive og behandle disse oplysninger »i konkrete sager med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet«. For tilfælde, hvor en anmodning indgives mere end seks måneder efter videregivelsen af PNR-oplysningerne til passageroplysningsenheden – ved udløbet af hvilken periode alle PNR-oplysninger i henhold til direktivets artikel 12, stk. 2, anonymiseres ved hjælp af maskering af visse dataelementer – bestemmes det i direktivets artikel 12, stk. 3, at videregivelse af de fuldstændige PNR-oplysninger, og dermed af en ikke-anonymiseret version af disse – kun er tilladt på to betingelser, nemlig for det første at det er antaget med rimelig grund, at det er nødvendigt med henblik på de i direktivets artikel 6, stk. 2, litra b), omhandlede formål, og for det andet at det er godkendt af en judiciel myndighed eller en anden national myndighed, der i henhold til national ret er kompetent på området.
216 I denne henseende fremgår det først og fremmest af selve ordlyden af PNR-direktivets artikel 6, stk. 2, litra b), at passageroplysningsenheden ikke systematisk må foretage en efterfølgende videregivelse og vurdering af PNR-oplysninger for samtlige flypassagerer, og at den kun må reagere »fra sag til sag« på anmodninger om denne form for behandling »i konkrete sager«. Når dette er sagt, skal den pågældende behandling, for så vidt som denne bestemmelse henviser til »konkrete sager«, ikke nødvendigvis være begrænset til at omfatte en enkelt passagers PNR-oplysninger, men kan, således som Kommissionen har anført som svar på et spørgsmål fra Domstolen, ligeledes vedrøre flere personer, forudsat at de pågældende har et vist antal kendetegn til fælles, som begrunder, at de sammen udgør en »konkret sag« med henblik på den ønskede videregivelse og vurdering.
217 Hvad dernæst angår de materielle betingelser for, at PNR-oplysninger vedrørende flypassagerer kan gøres til genstand for en efterfølgende videregivelse og vurdering, følger det, selv om der i PNR-direktivets artikel 6, stk. 2, litra b), og artikel 12, stk. 3, litra a), henvises til henholdsvis »tilstrækkelige grunde« og »rimelig grund« uden en udtrykkelig præcisering af karakteren af disse grunde, ikke desto mindre af selve ordlyden af den første af disse bestemmelser – der vedrører de i direktivets artikel 1, stk. 2, omhandlede formål – at efterfølgende videregivelse og vurdering af PNR-oplysninger kun må foretages med henblik på at efterprøve, om der foreligger indicier på, at de registrerede muligvis kan være involveret i terrorhandlinger eller grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer, således som det fremgår af denne doms præmis 157.
218 I forbindelse med det system, der er indført ved PNR-direktivet, vedrører videregivelse og behandling af PNR-oplysninger i medfør af dette direktivs artikel 6, stk. 2, litra b), oplysninger om personer, som allerede har været genstand for en forudgående vurdering før deres planlagte ankomst til eller afrejse fra den pågældende medlemsstat. Desuden vil en anmodning om efterfølgende vurdering navnlig vedrøre personer, hvis PNR-oplysninger ikke er blevet videregivet til de kompetente myndigheder efter den forudgående vurdering, for så vidt som denne ikke har afsløret forhold, der tyder på, at de pågældende personer kunne være involveret i terrorhandlinger eller grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer. Under disse omstændigheder skal videregivelse og behandling af disse oplysninger med henblik på efterfølgende vurdering heraf være baseret på nye omstændigheder, der begrunder denne brug (jf. i denne retning udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 200 og den deri nævnte retspraksis).
219 Hvad angår karakteren af de omstændigheder, der kan begrunde videregivelse og behandling af PNR-oplysninger med henblik på efterfølgende vurdering heraf, fremgår det af fast retspraksis, at for så vidt som en generel adgang til samtlige lagrede data – uafhængigt af, om der foreligger nogen forbindelse, selv indirekte, til det forfulgte mål – ikke kan anses for at være begrænset til det strengt nødvendige, skal den pågældende lovgivning, uanset om der er tale om EU-lovgivning eller en national bestemmelse til gennemførelse af denne, således være baseret på objektive kriterier med henblik på fastlæggelsen af de omstændigheder og betingelser, hvorunder de kompetente myndigheder skal gives adgang til de omhandlede data. I denne henseende kan der i forbindelse med målet om bekæmpelse af kriminalitet principielt kun gives adgang til data vedrørende personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse. I særlige situationer, såsom dem, hvor vitale interesser for den nationale sikkerhed, forsvaret eller den offentlige sikkerhed er truet af terrorvirksomhed, kan der imidlertid også gives adgang til andre personers data, når der foreligger objektive forhold, som gør det muligt at antage, at disse data i en konkret sag kan bidrage effektivt til bekæmpelsen af en sådan virksomhed (dom af 2.3.2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation), C-746/18, EU:C:2021:152, præmis 50 og den deri nævnte retspraksis, og af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 105).
220 Ordene »tilstrækkelige grunde« og »rimelig grund« i henholdsvis PNR-direktivets artikel 6, stk. 2, litra b), og artikel 12, stk. 3, litra a), skal således i lyset af chartrets artikel 7 og 8 fortolkes således, at de henviser til objektive forhold, der kan begrunde en rimelig mistanke om, at den registrerede på en eller anden måde er involveret i grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer, mens dette krav hvad angår terrorhandlinger, der har en sådan forbindelse, er opfyldt, når der foreligger objektive forhold, som gør det muligt at antage, at PNR-oplysningerne i en konkret sag kan bidrage effektivt til bekæmpelsen af sådanne overtrædelser.
221 Hvad angår de proceduremæssige betingelser for videregivelse og behandling af PRN-oplysninger med henblik på efterfølgende vurdering heraf kræves det endelig i PNR-direktivets artikel 12, stk. 3, litra b), såfremt anmodningen er indgivet mere end seks måneder efter videregivelsen af oplysningerne til passageroplysningsenheden, dvs. når oplysningerne i overensstemmelse med denne artikels stk. 2 er blevet anonymiseret ved maskering af de i dette stykke omhandlede dataelementer, at videregivelse af de fuldstændige PNR-oplysninger, og dermed af en ikke-anonymiseret version af disse, er godkendt af en judiciel myndighed eller en anden national myndighed, der i henhold til national ret er kompetent på området. I denne sammenhæng tilkommer det disse myndigheder at foretage en fuldstændig undersøgelse af, om anmodningen er velbegrundet, og navnlig kontrollere, om de oplysninger, der er fremlagt til støtte for denne, kan godtgøre opfyldelsen af den materielle betingelse vedrørende spørgsmålet, om der foreligger »rimelig grund« som omhandlet i den foregående præmis.
222 Det er korrekt, at PNR-direktivets artikel 6, stk. 2, litra b), ikke udtrykkeligt fastsætter en sådan proceduremæssige betingelse for tilfælde, hvor anmodningen om efterfølgende videregivelse og vurdering af PNR-oplysninger indgives før udløbet af fristen på seks måneder efter videregivelsen af disse oplysninger. Ved fortolkningen af sidstnævnte bestemmelse skal der imidlertid tages hensyn til 25. betragtning til dette direktiv, hvoraf det fremgår, at EU-lovgiver med fastsættelsen af denne proceduremæssige betingelse har ønsket at »sikre den højeste grad af databeskyttelse« hvad angår adgang til PNR-oplysninger i en form, som muliggør direkte identifikation af den registrerede. Enhver anmodning om efterfølgende videregivelse og vurdering indebærer imidlertid en sådan adgang til disse oplysninger, uanset om anmodningen er indgivet inden udløbet af perioden på seks måneder efter videregivelsen af PNR-oplysningerne til passageroplysningsenheden eller først er indgivet efter udløbet af denne periode.
223 Med henblik på i praksis at sikre fuld overholdelse af de grundlæggende rettigheder i det system, der er indført ved PNR-direktivet, og navnlig af de betingelser, der er nævnt i denne doms præmis 218 og 219, er det afgørende, at videregivelse af PNR-oplysninger med henblik på en efterfølgende vurdering principielt, undtagen i behørigt begrundede hastende tilfælde, er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, og at denne domstols eller denne enheds afgørelse træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af de kompetente myndigheder inden for rammerne af procedurer med henblik på forebyggelse, opdagelse eller strafferetlig forfølgning. I tilfælde af behørigt begrundede hastende tilfælde skal denne kontrol foretages hurtigst muligt (jf. analogt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 202 og den deri nævnte retspraksis, og dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 110).
224 Under disse omstændigheder skal kravet om en forudgående kontrol som omhandlet i PNR-direktivets artikel 12, stk. 3, litra b), for anmodninger om videregivelse af PNR-oplysninger, der indgives efter udløbet af seksmånedersperioden efter videregivelsen af disse oplysninger til passageroplysningsenheden, ligeledes finde anvendelse mutatis mutandis, når anmodningen om videregivelse indgives før udløbet af denne periode.
225 Selv om PNR-direktivets artikel 12, stk. 3, litra b), ikke udtrykkeligt præciserer, hvilke krav den myndighed, der har til opgave at foretage den forudgående kontrol, skal opfylde, følger det desuden af fast retspraksis, at med henblik på at sikre, at det indgreb i de ved chartrets artikel 7 og 8 sikrede grundlæggende rettigheder, som følger af adgang til personoplysninger, er begrænset til det strengt nødvendige, skal denne myndighed have alle de beføjelser og frembyde alle de garantier, der er nødvendige for at sikre en afvejning af de forskellige berørte interesser og rettigheder. Hvad nærmere bestemt angår en strafferetlig efterforskning kræver en sådan kontrol, at denne myndighed er i stand til at sikre en rimelig ligevægt mellem dels de interesser, der er forbundet med, hvad der er nødvendigt af hensyn til efterforskningen i forbindelse med bekæmpelsen af kriminalitet, dels den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger for så vidt angår de personer, hvis oplysninger er berørt af adgangen (dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 107 og den deri nævnte retspraksis).
226 Med henblik herpå skal en sådan myndighed have en status, der gør det muligt for den at udføre sine opgaver på en objektiv og upartisk måde, og den skal derfor kunne handle uden udefrakommende indflydelse. Dette krav om uafhængighed indebærer, at denne myndighed skal være udenforstående i forhold til den myndighed, der anmoder om adgang til dataene, således at den førstnævnte myndighed er i stand til at foretage sin kontrol uden nogen form for udefrakommende indflydelse. Navnlig inden for det strafferetlige område indebærer kravet om uafhængighed, at denne myndighed for det første ikke er involveret i den pågældende strafferetlige efterforskning og for det andet er neutral i forhold til parterne i straffesagen (jf. i denne retning dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 108 og den deri nævnte retspraksis).
227 De bestemmelser i PNR-direktivet, der regulerer den efterfølgende videregivelse og vurdering af PNR-oplysninger i henhold til dette direktivs artikel 6, stk. 2, litra b), kan derfor fortolkes på en måde, der er forenelig med chartrets artikel 7 og 8 samt artikel 52, stk. 1, således at grænserne for det strengt nødvendige overholdes.
228 Henset til samtlige ovenstående betragtninger har undersøgelsen af det andet til det fjerde spørgsmål og det sjette spørgsmål intet frembragt, der kan rejse tvivl om PNR-direktivets gyldighed, eftersom en fortolkning af dette direktiv i lyset af chartrets artikel 7, 8 og 21 samt artikel 52, stk. 1, sikrer direktivets overensstemmelse med disse bestemmelser i chartret.
C. Det femte spørgsmål
229 Med det femte spørgsmål ønsker den forelæggende ret oplyst, om PNR-direktivets artikel 6, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1, skal fortolkes således, at den er til hinder for en national lovgivning, der tillader behandling af PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, med henblik på efterretnings- og sikkerhedstjenesternes overvågning af aktiviteter.
230 Det fremgår af anmodningen om præjudiciel afgørelse, at den forelæggende ret med dette spørgsmål nærmere bestemt sigter til de aktiviteter, som Sûreté de l’État (den statslige sikkerhedstjeneste, Belgien) og Service général du renseignement et de la sécurité (den generelle efterretnings- og sikkerhedstjeneste, Belgien) varetager som led i deres opgaver i forbindelse med beskyttelsen af den nationale sikkerhed.
231 I denne henseende har EU-lovgiver med henblik på at overholde legalitetsprincippet og proportionalitetsprincippet, der bl.a. er omhandlet i chartrets artikel 52, stk. 1, fastsat klare og præcise regler om formålene med de foranstaltninger, som er fastsat i PNR-direktivet, og som indebærer indgreb i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8.
232 I PNR-direktivets artikel 1, stk. 2, er det nemlig udtrykkeligt fastsat, at PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, kun må behandles »med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, jf. [direktivets] artikel 6, stk. 2, litra a), b) og c)«. Sidstnævnte bestemmelse bekræfter det princip, der er fastsat i artikel 1, stk. 2, ved systematisk at henvise til begreberne »terrorhandling« og »grov kriminalitet«.
233 Det fremgår således klart af disse bestemmelsers ordlyd, at opregningen heri af de formål, der kan forfølges med behandlingen af PNR-oplysninger i henhold til PNR-direktivet, er udtømmende.
234 Denne fortolkning bekræftes navnlig af 11. betragtning til PNR-direktivet, hvorefter behandlingen af PNR-oplysninger bør stå i rimeligt forhold til de »konkrete sikkerhedsmål«, der forfølges med dette direktiv, og af direktivets artikel 7, stk. 4, hvorefter der kun må foretages yderligere behandling af PNR-oplysninger og resultatet af behandling af PNR-oplysninger, der modtages fra passageroplysningsenheden, »med henblik på det specifikke formål at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet«.
235 Desuden indebærer den udtømmende karakter af de formål, der er omhandlet i PNR-direktivets artikel 1, stk. 2, ligeledes, at PNR-oplysninger ikke må opbevares i en enkelt database, der kan konsulteres med henblik på både disse og andre formål. Opbevaring af disse oplysninger i en sådan database vil nemlig indebære en risiko for, at oplysningerne bruges til andre formål end dem, der er omhandlet i artikel 1, stk. 2.
236 I det foreliggende tilfælde kan den i hovedsagen omhandlede nationale lovgivning, for så vidt som den – ifølge den forelæggende ret – anerkender den overvågning, som efterretnings- og sikkerhedstjenesterne foretager af de omhandlede aktiviteter, som formål med behandlingen af PNR-oplysninger, og således lader dette formål indgå i forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet, udgøre en tilsidesættelse af den udtømmende karakter af opregningen af de formål, der kan forfølges med behandling af personoplysninger i medfør af PNR-direktivet, idet det påhviler den forelæggende ret at afgøre, om dette er tilfældet.
237 Det femte spørgsmål skal derfor besvares med, at PNR-direktivets artikel 6, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1, skal fortolkes således, at den er til hinder for en national lovgivning, der tillader behandling af PNR-oplysninger, der er indsamlet i overensstemmelse med dette direktiv, til andre formål end dem, der udtrykkeligt er omhandlet i direktivets artikel 1, stk. 2.
D. Det syvende spørgsmål
238 Med det syvende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om PNR-direktivets artikel 12, stk. 3, litra b), skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, hvorefter den myndighed, der er oprettet som passageroplysningsenhed, ligeledes har egenskab af kompetent national myndighed med bemyndigelse til at godkende videregivelsen af PNR-oplysningerne ved udløbet af seksmånedersperioden efter videregivelsen af disse oplysninger til passageroplysningsenheden.
239 Indledningsvis bemærkes, at den belgiske regering er i tvivl om, hvorvidt Domstolen har kompetence til at besvare dette spørgsmål, således som det er formuleret af den forelæggende ret, idet denne ret er enekompetent til at fortolke de nationale bestemmelser og navnlig vurdere de krav, der følger af loven af 25. december 2016, i henseende til PNR-direktivets artikel 12, stk. 3, litra b).
240 Hertil skal det blot bemærkes, at den forelæggende ret med det nævnte spørgsmål ønsker en fortolkning af en EU-retlig bestemmelse. Selv om det under en sag anlagt i henhold til artikel 267 TEUF tilkommer retterne i medlemsstaterne og ikke Domstolen at fortolke nationale bestemmelser, og selv om det ikke tilkommer sidstnævnte at tage stilling til, om nationale bestemmelser er forenelige med EU-retten, har Domstolen kompetence til at forsyne den nationale ret med alle de EU-retlige fortolkningselementer, som kan sætte denne i stand til at bedømme, om de pågældende bestemmelser er forenelige med EU-retten (dom af 30.4.2020, CTT – Correios de Portugal, C-661/18, EU:C:2020:335, præmis 28 og den deri nævnte retspraksis). Det følger heraf, at Domstolen har kompetence til at besvare det syvende spørgsmål.
241 Hvad angår realiteten bemærkes, at ordlyden af PNR-direktivets artikel 12, stk. 3, litra b), som i nr. i) og ii) nævner henholdsvis »en judiciel myndighed« og »en anden national myndighed, der i henhold til national ret er kompetent til at kontrollere, om betingelserne for videregivelse er opfyldt«, ligestiller disse to myndigheder, således som det fremgår af anvendelsen af bindeordet »eller« mellem nr. i) og ii). Det følger således af denne ordlyd, at den »anden« kompetente nationale myndighed, som således er omhandlet, udgør et alternativ til den judicielle myndighed og derfor hvad angår uafhængighed og upartiskhed skal være sammenlignelig med denne.
242 Denne analyse bestyrkes af PNR-direktivets formål, jf. 25. betragtning til direktivet, om at sikre den højeste grad af databeskyttelse med hensyn til adgang til de fuldstændige PNR-oplysninger, som muliggør direkte identifikation af den registrerede. I samme betragtning er det i øvrigt præciseret, at efter perioden på seks måneder efter videregivelsen af PNR-oplysningerne til passageroplysningsenheden bør en sådan adgang kun gives på meget strenge vilkår.
243 Denne analyse bekræftes ligeledes af PNR-direktivets tilblivelseshistorie. Mens det direktivforslag, der er nævnt i denne doms præmis 155, og som ligger til grund for PNR-direktivet, blot fastsatte, at »[t]illadelse til at få adgang til de fuldstændige PNR-oplysninger meddeles af PNR-kontorets leder«, angives i den version af dette direktivs artikel 12, stk. 3, litra b), som EU-lovgiver endeligt vedtog, som ligestillede myndigheder, den judicielle myndighed og en »anden national myndighed«, der er kompetent til at kontrollere, om betingelserne for videregivelse af de fuldstændige PNR-oplysninger er opfyldt, og til at godkende en sådan videregivelse.
244 Frem for alt er det endvidere i overensstemmelse med den faste retspraksis, der er nævnt i denne doms præmis 223, 225 og 226, afgørende, at de kompetente myndigheders adgang til de lagrede data er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, og at denne domstols eller enheds afgørelse træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning. Det krav om uafhængighed, som den enhed, der har til opgave at udføre den forudgående kontrol, skal opfylde, indebærer ligeledes, at denne enhed skal være udenforstående i forhold til den myndighed, der anmoder om adgang til dataene, således at den nævnte enhed er i stand til at foretage denne kontrol på en objektiv og upartisk måde uden nogen form for udefrakommende indflydelse. Navnlig inden for det strafferetlige område indebærer kravet om uafhængighed, at den myndighed, der har til opgave at foretage denne forudgående kontrol, for det første ikke er involveret i den pågældende strafferetlige efterforskning og for det andet er neutral i forhold til parterne i straffesagen.
245 Som generaladvokaten har anført i punkt 271 i forslaget til afgørelse, fastsætter PNR-direktivets artikel 4 imidlertid i stk. 1 og 3, at den passageroplysningsenhed, som oprettes eller udpeges i hver medlemsstat, er en myndighed med kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet, og at dens personale kan være udstationeret fra de i direktivets artikel 7 omhandlede kompetente myndigheder, således at passageroplysningsenheden nødvendigvis synes at være knyttet til disse myndigheder. Passageroplysningsenheden kan ligeledes i medfør af direktivets artikel 6, stk. 2, litra b), behandle PNR-oplysninger og forelægge resultaterne af behandlingen for de nævnte myndigheder. Henset til disse forhold kan passageroplysningsenheden ikke anses for at være udenforstående i forhold til de samme myndigheder og dermed opfylde alle nødvendige krav med hensyn til uafhængighed og upartiskhed for at kunne udføre den forudgående kontrol, som er nævnt i den foregående præmis, og kontrollere, om betingelserne for videregivelse af de fuldstændige PNR-oplysninger er opfyldt, som fastsat i direktivets artikel 12, stk. 3, litra b).
246 I øvrigt kan den omstændighed, at sidstnævnte bestemmelse i nr. ii) i tilfælde, hvor en »anden national myndighed, der […] er kompetent«, godkender videregivelsen af de fuldstændige PNR-oplysninger, kræver, at passageroplysningsenhedens databeskyttelsesansvarlige »underrettes, og at denne databeskyttelsesansvarlige foretager en efterfølgende kontrol«, mens dette ikke gælder, når godkendelsen gives af den judicielle myndighed, ikke rejse tvivl om denne vurdering. Ifølge fast retspraksis gør en senere kontrol – såsom den, der foretages af den databeskyttelsesansvarlige – det nemlig ikke muligt at opfylde formålet med den forudgående kontrol, der består i at forhindre, at der gives adgang til de omhandlede data på en måde, der går ud over, hvad der er strengt nødvendigt (jf. i denne retning dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 110 og den deri nævnte retspraksis).
247 Henset til samtlige disse betragtninger skal det syvende spørgsmål besvares med, at PNR-direktivets artikel 12, stk. 3, litra b), skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, hvorefter den myndighed, der er oprettet som passageroplysningsenhed, ligeledes har egenskab af kompetent national myndighed med bemyndigelse til at godkende videregivelsen af PNR-oplysningerne ved udløbet af seksmånedersperioden efter videregivelsen af disse oplysninger til passageroplysningsenheden.
E. Det ottende spørgsmål
248 Med det ottende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om PNR-direktivets artikel 12, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1, skal fortolkes således, at den er til hinder for en national lovgivning, som fastsætter en generel dataopbevaringsperiode for PNR-oplysninger på fem år, uden at der sondres mellem, om de berørte passagerer kan udgøre en risiko i forbindelse med terrorhandlinger eller grov kriminalitet eller ej.
249 Det bemærkes, at passageroplysningsenheden i den medlemsstat, på hvis område luftfartøjet lander eller afgår, ifølge PNR-direktivets artikel 12, stk. 1 og 4, skal opbevare PNR-oplysninger, som luftfartsselskaberne videregiver til denne enhed, i en database i en periode på fem år efter videregivelsen og slette disse oplysninger permanent efter udløbet af denne periode på fem år.
250 Som anført i 25. betragtning til PNR-direktivet bør »[d]en periode, hvori PNR-oplysninger skal opbevares, […] være så lang som nødvendig med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet samt stå i et rimeligt forhold hertil«.
251 Følgelig kan opbevaring af PNR-oplysninger i henhold til PNR-direktivets artikel 12, stk. 1, ikke begrundes, når der ikke foreligger en objektiv forbindelse mellem opbevaringen og de formål, der forfølges med dette direktiv, nemlig bekæmpelse af terrorhandlinger og grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer.
252 I denne henseende skal der, således som det fremgår af 25. betragtning til PNR-direktivet, sondres mellem på den ene side den indledende opbevaringsperiode på seks måneder som omhandlet i direktivets artikel 12, stk. 2, og på den anden side den efterfølgende periode, der er omhandlet i direktivets artikel 12, stk. 3.
253 Ved fortolkningen af PNR-direktivets artikel 12, stk. 1, skal der tages hensyn til bestemmelserne i denne artikels stk. 2 og 3, som fastsætter ordningen for opbevaring af PNR-oplysninger og adgang til de opbevarede oplysninger efter udløbet af den indledende opbevaringsperiode på seks måneder. Som det følger af 25. betragtning til dette direktiv, er disse bestemmelser for det første udtryk for formålet om at sikre, »at PNR-oplysningerne opbevares i tilstrækkelig lang tid til, at der kan foretages en analyse, og at de kan anvendes i forbindelse med efterforskninger«, der allerede kan foretages under den indledende opbevaringsperiode på seks måneder. De tager for det andet, ligeledes ifølge 25. betragtning, sigte på at »undgå en uforholdsmæssig anvendelse« ved hjælp af maskering af disse oplysninger og at »sikre den højeste grad af databeskyttelse« ved, at der »efter den nævnte indledende periode kun på meget strenge og begrænsede vilkår« gives adgang til de fuldstændige PNR-oplysninger i en form, som muliggør direkte identifikation af den registrerede, idet der således tages hensyn til det forhold, at jo længere PNR-oplysningerne opbevares, desto mere alvorligt bliver indgrebet som følge heraf.
254 Sondringen mellem den indledende opbevaringsperiode på seks måneder som omhandlet i PNR-direktivets artikel 12, stk. 2, og den efterfølgende periode, der er omhandlet i direktivets artikel 12, stk. 3, finder imidlertid også anvendelse på den nødvendige overholdelse af det krav, der er omhandlet i denne doms præmis 251.
255 Henset til formålene med PNR-direktivet og de behov, der er knyttet til efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet, skal det således fastslås, at opbevaring i den indledende seksmånedersperiode af PNR-oplysninger vedrørende samtlige flypassagerer, som er omfattet af det system, der er indført ved dette direktiv, uden at der er noget som helst tegn på, at de skulle være involveret i terrorhandlinger eller grov kriminalitet, således synes principielt ikke at overskride grænserne for det strengt nødvendige, for så vidt som en sådan opbevaring gør det muligt at foretage de nødvendige søgninger med henblik på at identificere personer, der ikke har været mistænkt for at være involveret i terrorhandlinger eller grov kriminalitet.
256 Hvad angår den efterfølgende periode, der er omhandlet i PNR-direktivets artikel 12, stk. 3, er opbevaring af PNR-oplysninger vedrørende samtlige flypassagerer, der er omfattet af det system, der er indført ved dette direktiv – ud over at medføre iboende risici for uforholdsmæssig anvendelse og misbrug på grund af den store mængde data, der løbende kan lagres (jf. analogt dom af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 119), derimod i strid med det krav, der er omhandlet i 25. betragtning til direktivet, hvorefter den periode, hvori disse oplysninger skal opbevares, kun bør være så lang som nødvendig med henblik på at opfylde de formål, der forfølges, samt stå i et rimeligt forhold hertil, idet EU-lovgiver har villet tilvejebringe den højeste grad af beskyttelse af PNR-oplysninger, som muliggør direkte identifikation af de registrerede.
257 Hvad angår flypassagerer, med hensyn til hvilke hverken den forudgående vurdering som omhandlet i PNR-direktivets artikel 6, stk. 2, litra a), eventuelle kontroller foretaget i den seksmånedersperiode, der er omhandlet i dette direktivs artikel 12, stk. 2, eller nogen anden omstændighed har afsløret, at der foreligger objektive forhold, som kan godtgøre en risiko i forbindelse med terrorhandlinger eller grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med disse passagerers flyrejse, synes der nemlig under sådanne omstændigheder ikke at foreligge nogen forbindelse, selv indirekte, mellem deres PNR-oplysninger og det med direktivet forfulgte formål, som kan begrunde opbevaring af disse oplysninger (jf. analogt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 204 og 205).
258 Fortsat opbevaring af PNR-oplysninger for samtlige flypassagerer efter den indledende periode på seks måneder synes derfor ikke at være begrænset til det strengt nødvendige (jf. analogt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 206).
259 Når det imidlertid i konkrete sager fastslås, at der foreligger objektive forhold – såsom de passageroplysninger, der har givet et verificeret hit – som gør det muligt at antage, at visse passagerer ville kunne frembyde en risiko i forbindelse med terrorhandlinger og grov kriminalitet, synes det tilladeligt at opbevare deres PNR-oplysninger ud over denne indledende periode (jf. analogt udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 207 og den deri nævnte retspraksis).
260 Konstateringen af disse objektive forhold kan nemlig påvise en forbindelse med de formål, som forfølges med behandlingen i henhold til PNR-direktivet, således at opbevaring af disse passagerers PNR-oplysninger er begrundet i det tidsrum, der maksimalt er tilladt efter direktivet, nemlig i fem år.
261 I det foreliggende tilfælde kan den i hovedsagen omhandlede nationale lovgivning, for så vidt som den synes at fastsætte en generel dataopbevaringsperiode for PNR-oplysninger på fem år, der finder anvendelse uden forskel på alle passagerer, herunder på dem, med hensyn til hvilke hverken den forudgående vurdering som omhandlet i PNR-direktivets artikel 6, stk. 2, litra a), eventuelle kontroller foretaget i seksmånedersperioden eller nogen anden omstændighed har afsløret, at der foreligger objektive forhold, som kan godtgøre en risiko i forbindelse med terrorhandlinger eller grov kriminalitet, udgøre en tilsidesættelse af dette direktivs artikel 12, stk. 1, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1, medmindre den kan fortolkes i overensstemmelse med disse bestemmelser, hvilket det påhviler den forelæggende ret at efterprøve.
262 Henset til ovenstående betragtninger skal det ottende spørgsmål besvares med, at PNR-direktivets artikel 12, stk. 1, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, som fastsætter en generel dataopbevaringsperiode for PNR-oplysninger på fem år, der finder anvendelse uden forskel på alle flypassagerer, herunder på dem, med hensyn til hvilke hverken den forudgående vurdering som omhandlet i dette direktivs artikel 6, stk. 2, litra a), eventuelle kontroller foretaget i den seksmånedersperiode, der er omhandlet i direktivets artikel 12, stk. 2, eller nogen anden omstændighed har afsløret, at der foreligger objektive forhold, som kan godtgøre en risiko i forbindelse med terrorhandlinger eller grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer.
F. Det niende spørgsmål, litra a)
263 Med det niende spørgsmål, litra a), ønsker den forelæggende ret nærmere bestemt oplyst, om API-direktivet er gyldigt, henset til artikel 3, stk. 2, TEU og chartrets artikel 45, idet den forudsætter, at de forpligtelser, som dette direktiv indfører, finder anvendelse på flyvninger inden for EU.
264 Som generaladvokaten har fremhævet i punkt 277 i forslaget til afgørelse, og som Rådet, Kommissionen og flere regeringer har anført, er denne forudsætning fejlagtig.
265 API-direktivets artikel 3, stk. 1, fastsætter nemlig, at medlemsstaterne skal træffe de nødvendige foranstaltninger til at gøre det obligatorisk for transportvirksomheder, på anmodning af myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, efter indtjekning at fremsende oplysninger om de passagerer, de skal befordre til et godkendt grænseovergangssted, som de pågældende passagerer vil benytte med henblik på indrejse på en medlemsstats område. Disse oplysninger fremsendes i henhold til dette direktivs artikel 6, stk. 1, til de myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, hvor passagerer rejser ind på dette område, og behandles på de betingelser, der er fastsat i sidstnævnte bestemmelse.
266 Det fremgår klart af disse bestemmelser, sammenholdt med API-direktivets artikel 2, litra a), b) og d), der definerer begreberne »transportvirksomhed«, »ydre grænser« og »grænseovergangssted«, at dette direktiv kun gør det obligatorisk for lufttransportvirksomheder at videregive de i direktivets artikel 3, stk. 2, omhandlede oplysninger til de myndigheder, der er ansvarlige for kontrollen ved de ydre grænser, med hensyn til flyvninger, der befordrer passagerer til et overgangssted, der er godkendt til passage af medlemsstaternes ydre grænser med tredjelande, og kun fastsætter bestemmelser om behandling af oplysninger vedrørende disse flyvninger.
267 API-direktivet indfører derimod ikke forpligtelser med hensyn til oplysninger vedrørende passagerer på flyvninger, der kun passerer indre grænser mellem medlemsstaterne.
268 Det skal tilføjes, at idet PNR-direktivet, således som det fremgår af niende betragtning hertil og artikel 8, stk. 2, heri, som PNR-oplysninger medtager de oplysninger, der er nævnt i API-direktivets artikel 3, stk. 2, som indsamles i overensstemmelse med dette direktiv og opbevares af visse luftfartsselskaber, og idet PNR-direktivet giver medlemsstaterne mulighed for i medfør af artikel 2 at anvende dette direktiv på de flyvninger inden for EU, som de fastsætter, hverken har ændret rækkevidden af API-direktivets bestemmelser eller de begrænsninger, der følger af dette direktiv.
269 Henset til det ovenstående skal det niende spørgsmål, litra a), besvares med, at API-direktivet skal fortolkes således, at det ikke finder anvendelse på flyvninger inden for EU.
G. Det niende spørgsmål, litra b)
270 Den forelæggende ret henviser i det niende spørgsmål, litra b), til API-direktivet, sammenholdt med artikel 3, stk. 2, TEU og chartrets artikel 45, men det fremgår af anmodningen om præjudiciel afgørelse, at den ønsker oplyst, om det system for videregivelse og behandling af passageroplysninger, der er indført ved loven af 25. december 2016, er foreneligt med den frie bevægelighed for personer og afskaffelsen af kontrollen ved de indre grænser som fastsat i EU-retten, for så vidt som dette system ikke alene finder anvendelse på flytransport, men også på jernbanetransport, vejtransport og søtransport fra eller til Belgien, inden for EU og uden passage af ydre grænser til tredjelande.
271 Som det fremgår af denne doms præmis 265-269, er API-direktivet, som ikke finder anvendelse på flyvninger inden for EU, og som ikke pålægger en forpligtelse til at videregive og behandle oplysninger om passagerer, der rejser med fly eller et andet transportmiddel inden for EU uden at passere ydre grænser til tredjelande, ikke relevant for besvarelsen af dette spørgsmål.
272 PNR-direktivets artikel 2, på grundlag af hvilken den belgiske lovgiver vedtog den i hovedsagen omhandlede lov af 25. december 2016, således som det fremgår af anmodningen om præjudiciel afgørelse, giver derimod medlemsstaterne mulighed for at anvende dette direktiv på flyvninger inden for EU, selv om Unionen ifølge artikel 67, stk. 2, TEUF skal sikre, at der ikke foretages personkontrol ved de indre grænser.
273 Under disse omstændigheder og med henblik på at give den forelæggende ret et hensigtsmæssigt svar skal det niende spørgsmål, litra b), omformuleres, således at det hermed nærmere bestemt ønskes oplyst, om EU-retten, og navnlig PNR-direktivets artikel 2, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og chartrets artikel 45, skal fortolkes således, at den er til hinder for en national lovgivning, som fastsætter et system, i henhold til hvilket transportvirksomheder og rejseselskaber videregiver, og de kompetente myndigheder behandler PNR-oplysninger vedrørende flyvninger og transporter med andre midler inden for EU fra eller til den medlemsstat, der har vedtaget denne lovgivning, eller gennem denne.
274 Først og fremmest sikrer chartrets artikel 45 den frie bevægelighed for personer, der i øvrigt er en af de grundlæggende friheder i det indre marked (jf. i denne retning dom af 22.6.2021, Ordre des barreaux francophones et germanophone m.fl. (Forebyggende foranstaltninger med henblik på udsendelse), C-718/19, EU:C:2021:505, præmis 54).
275 Denne artikel sikrer i stk. 1 enhver unionsborger retten til at færdes og opholde sig frit på medlemsstaternes område, idet denne ret ifølge forklaringerne til chartret om grundlæggende rettigheder (EUT 2007, C 303, s. 17) svarer til den ret, der er sikret ved artikel 20, stk. 2, første afsnit, litra a), TEUF, og i henhold til artikel 20, stk. 2, andet afsnit, TEUF og chartrets artikel 52, stk. 2, skal udøves med de begrænsninger og på de betingelser, der er fastsat i traktaterne og i foranstaltninger vedtaget med henblik på deres gennemførelse.
276 Dernæst giver Unionen i henhold til artikel 3, stk. 2, TEU borgerne et område med frihed, sikkerhed og retfærdighed uden indre grænser, hvor der er fri bevægelighed for personer, kombineret med passende foranstaltninger vedrørende navnlig kontrol ved de ydre grænser samt forebyggelse og bekæmpelse af kriminalitet. På samme måde sikrer Unionen i henhold til artikel 67, stk. 2, TEUF, at der ikke foretages personkontrol ved de indre grænser, og den udformer en fælles politik for navnlig kontrol ved de ydre grænser.
277 I henhold til Domstolens faste praksis udgør en national lovgivning, som stiller visse statsborgere i en EU-medlemsstat ringere, blot fordi de har gjort brug af deres ret til frit at færdes og tage ophold i en anden medlemsstat, en begrænsning af de friheder, som ifølge chartrets artikel 45, stk. 1, tilkommer enhver unionsborger (jf. i denne retning for så vidt angår artikel 21, stk. 1, TEUF dom af 8.6.2017, Freitag, C-541/15, EU:C:2017:432, præmis 35 og den deri nævnte retspraksis, og af 19.11.2020, ZW, C-454/19, EU:C:2020:947, præmis 30).
278 En national lovgivning som den i hovedsagen omhandlede, hvorefter det system, der er fastsat ved PNR-direktivet, ikke alene anvendes på flyvninger uden for EU, men også, i henhold til direktivets artikel 2, stk. 1, på flyvninger inden for EU samt – hvad der går videre end denne bestemmelse – på transporter med andre midler inden for EU, medfører systematisk og fortsat videregivelse og behandling af PNR-oplysninger vedrørende alle passagerer, der benytter sig af deres ret til fri bevægelighed og rejser ved hjælp af disse midler inden for EU.
279 Som det er blevet fastslået i denne doms præmis 98-111, indebærer den videregivelse og behandling af oplysninger om passagerer på flyvninger uden for og inden for EU, der følger af det system, der er indført ved PNR-direktivet, indgreb af en klart alvorlig karakter i de grundlæggende rettigheder, som de registrerede er sikret ved chartrets artikel 7 og 8. Indgrebet er af endnu større alvor, når anvendelsen af dette system udvides til at omfatte andre transportmidler inden for EU. Sådanne indgreb kan af de samme grunde som dem, der er anført i de nævnte præmisser, ligeledes medføre, at statsborgere i medlemsstater, der har vedtaget en sådan lovgivning, og generelt unionsborgere, der rejser ved hjælp af disse transportmidler i EU fra eller til disse medlemsstater, stilles ufordelagtigt og dermed afskrækkes fra at udnytte deres ret til fri bevægelighed som omhandlet i chartrets artikel 45, således at den nævnte lovgivning indebærer en restriktion for denne grundlæggende frihed.
280 Det følger af fast retspraksis, at en hindring for den frie bevægelighed for personer kun kan være begrundet, såfremt den er baseret på objektive hensyn og står i rimeligt forhold til det formål, der lovligt tilstræbes med den nationale lovgivning. En foranstaltning er forholdsmæssig, når den er egnet til at sikre opfyldelsen af det forfulgte mål og ikke går videre, end hvad der er nødvendigt for at nå det (jf. i denne retning dom af 5.6.2018, Coman m.fl., C-673/16, EU:C:2018:385, præmis 41 og den deri nævnte retspraksis).
281 Det skal tilføjes, at en national foranstaltning, der kan begrænse den frie bevægelighed for personer, kun kan begrundes, når denne foranstaltning er i overensstemmelse med de grundlæggende rettigheder, der er fastsat i chartret, og som Domstolen skal beskytte (dom af 14.12.2021, Stolichna obshtina, rayon »Pancharevo«, C-490/20, EU:C:2021:1008, præmis 58 og den deri nævnte retspraksis).
282 Navnlig kan et mål af almen interesse i henhold til den retspraksis, der er nævnt i denne doms præmis 115 og 116, ikke forfølges uden hensyntagen til den omstændighed, at dette mål skal forenes med de grundlæggende rettigheder, der er berørt af foranstaltningen, ved at foretage en rimelig afvejning mellem målet af almen interesse på den ene side og de pågældende rettigheder på den anden. I denne henseende skal medlemsstaternes mulighed for at begrunde en begrænsning af den grundlæggende rettighed, der er sikret ved chartrets artikel 45, stk. 1, vurderes ved at bedømme alvoren af det indgreb, som en sådan begrænsning indebærer, og ved at kontrollere, at betydningen af det mål af almen interesse, der forfølges med denne begrænsning, står i forhold til denne alvor.
283 Som anført i denne doms præmis 122 er det formål om bekæmpelse af terrorhandlinger og grov kriminalitet, som forfølges med PNR-direktivet, utvivlsomt et mål af almen interesse for EU.
284 Hvad angår spørgsmålet om, hvorvidt en national lovgivning, der er vedtaget med henblik på at gennemføre PNR-direktivet, og som udvider det system, der er fastsat ved dette direktiv, til at omfatte flyvninger inden for EU og andre transportmidler inden for EU, er egnet til at sikre opfyldelsen af det forfulgte formål, fremgår det af oplysningerne i sagsakterne for Domstolen, at anvendelsen af PNR-oplysninger gør det muligt at identificere personer, der ikke har været mistænkt for at være involveret i terrorhandlinger eller grov kriminalitet, og som bør undersøges nærmere, således at en sådan lovgivning forekommer at være egnet til at opfylde det tilstræbte formål om bekæmpelse af terrorhandlinger og grov kriminalitet.
285 Hvad angår nødvendigheden af en sådan lovgivning skal medlemsstaternes udnyttelse af den mulighed, der er fastsat i PNR-direktivets artikel 2, stk. 1, sammenholdt med chartrets artikel 7 og 8, begrænses til, hvad der er strengt nødvendigt for at opfylde dette formål, henset til de krav, der er omhandlet i denne doms præmis 163-174.
286 Disse krav gælder så meget desto mere, når det system, der er fastsat ved PNR-direktivet, anvendes på andre transportmidler inden for EU.
287 Som det fremgår af oplysningerne i anmodningen om præjudiciel afgørelse, gennemfører den i hovedsagen omhandlede nationale lovgivning i øvrigt, ved en og samme retsakt, PNR-direktivet, API-direktivet og – delvist – direktiv 2010/65. I denne henseende bestemmer den omhandlede nationale lovgivning, at det system, der er fastsat ved PNR-direktivet, anvendes på samtlige flyvninger inden for EU og på jernbanetransport, vejtransport og søtransport inden for EU, fra, til eller gennem Belgien, og ligeledes på rejseselskaber, samtidig med at den også forfølger andre formål end alene bekæmpelse af terrorhandlinger og grov kriminalitet. Ifølge de samme oplysninger bliver alle data, der indsamles i forbindelse med det system, der er indført ved denne nationale lovgivning, tilsyneladende opbevaret af passageroplysningsenheden i en enkelt database med PNR-oplysninger, herunder de oplysninger, der er omhandlet i API-direktivets artikel 3, stk. 2, vedrørende samtlige passagerer på transporter, der er omfattet af denne lovgivning.
288 I denne henseende bemærkes, for så vidt som den forelæggende ret i det niende spørgsmål, litra b), har henvist til formålet om at forbedre grænsekontrollen og bekæmpe ulovlig indvandring – der er det formål, som API-direktivet forfølger – at opregningen, som det følger af denne doms præmis 233, 234 og 237, af de formål, der kan forfølges med behandling af personoplysninger i medfør af PNR-direktivet, er udtømmende, således at en national lovgivning, som tillader behandling af PNR-oplysninger indsamlet i henhold til dette direktiv til andre formål end dem, der er fastsat heri, nemlig navnlig med henblik på forbedring af grænsekontrollen og bekæmpelse af ulovlig indvandring, er i strid med direktivets artikel 6, sammenholdt med chartret.
289 Som det desuden fremgår af denne doms præmis 235, må medlemsstaterne ikke oprette en enkelt database, der indeholder både PNR-oplysninger indsamlet i henhold til PNR-direktivet vedrørende flyvninger uden for og inden for EU og oplysninger om passagerer på andre transportmidler samt de oplysninger, der er omhandlet i API-direktivets artikel 3, stk. 2, navnlig når denne database kan konsulteres med henblik på ikke alene de formål, der er omhandlet i PNR-direktivets artikel 1, stk. 2, men også andre formål.
290 Endelig kan artikel 28-31 i loven af 25. december 2016, således som generaladvokaten har anført i punkt 281 i forslaget til afgørelse, under alle omstændigheder kun være forenelige med EU-retten, og navnlig med artikel 67, stk. 2, TEUF, hvis de fortolkes og anvendes således, at de udelukkende vedrører videregivelse og behandling af API-oplysninger for passagerer, der passerer Belgiens ydre grænser til tredjelande. En foranstaltning, hvorved en medlemsstat med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring udvider bestemmelserne i API-direktivet, herunder forpligtelsen til at videregive de passageroplysninger, der er omhandlet i dette direktivs artikel 3, stk. 1, til at omfatte flyvninger inden for EU og især andre transportformer, der befordrer passagerer i EU fra eller gennem denne medlemsstat, vil nemlig være ensbetydende med, at de kompetente myndigheder får mulighed for, i forbindelse med passage af denne medlemsstats indre grænser, systematisk at sikre, at disse passagerer kan tillades at rejse ind på eller forlade dets område, og vil således have en virkning svarende til den kontrol, der gennemføres ved de ydre grænser til tredjelande.
291 Henset til samtlige disse betragtninger skal det niende spørgsmål, litra b), besvares med, at EU-retten, herunder navnlig PNR-direktivets artikel 2, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og chartrets artikel 45, skal fortolkes således, at den er til hinder for:
– En national lovgivning, der, uden at den pågældende medlemsstat står over for en reel og aktuel eller forudsigelig terrortrussel, fastsætter et system, i henhold til hvilket luftfartsselskaber og rejseselskaber videregiver, og de kompetente myndigheder behandler PNR-oplysninger vedrørende samtlige flyvninger inden for EU og transporter med andre midler inden for EU fra eller til denne medlemsstat eller gennem denne, med henblik på bekæmpelse af terrorhandlinger og grov kriminalitet. I en sådan situation skal anvendelsen af det system, der er indført ved PNR-direktivet, begrænses til at omfatte videregivelse og behandling af PNR-oplysninger for flyvninger og/eller transporter vedrørende bl.a. bestemte flyforbindelser eller rejseruter eller bestemte lufthavne, banegårde eller havne, for hvilke der foreligger oplysninger, der kan begrunde denne anvendelse. Det tilkommer den pågældende medlemsstat at udvælge de pågældende flyvninger inden for EU og de transporter, der gennemføres med andre midler inden for EU, for hvilke sådanne oplysninger foreligger, og regelmæssigt foretage en ny vurdering af denne anvendelse i lyset af udviklingen i de forhold, der har begrundet valget af de pågældende flyvninger og transporter, med henblik på at sikre, at anvendelsen af dette system på disse flyvninger og/eller disse transporter altid er begrænset til det strengt nødvendige.
– En national lovgivning, der fastsætter et sådant system for videregivelse og behandling af de nævnte oplysninger med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring.
H. Det tiende spørgsmål
292 Med det tiende spørgsmål ønsker den forelæggende ret nærmere bestemt oplyst, om EU-retten skal fortolkes således, at en national ret tidsmæssigt kan begrænse virkningerne af en ulovlighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til en national lovgivning, der pålægger luftfartsselskaber, jernbanetransportører og vejtransportselskaber samt rejseselskaber at videregive PNR-oplysninger og foreskriver en behandling og opbevaring af disse oplysninger, som er uforenelig med PNR-direktivets bestemmelser, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og chartrets artikel 7, 8 og 45 samt artikel 52, stk. 1.
293 Ifølge princippet om EU-rettens forrang har EU-retten en fortrinsstilling i forhold til medlemsstaternes nationale ret. Dette princip medfører derfor en forpligtelse for alle instanser i medlemsstaterne til at sikre, at de forskellige EU-retlige bestemmelser gennemføres fuldt ud, idet medlemsstaternes nationale ret ikke kan ændre den virkning, som disse forskellige bestemmelser tillægges på disse staters område. Den nationale ret, der inden for sit kompetenceområde skal anvende EU-retlige bestemmelser, har i henhold til dette princip pligt til – såfremt det ikke er muligt at anlægge en fortolkning af den nationale lovgivning, der er i overensstemmelse med de EU-retlige krav – at sikre disse bestemmelsers fulde virkning, idet den om fornødent af egen drift skal undlade at anvende enhver modstående bestemmelse i national lovgivning, endog en senere national bestemmelse, uden at den behøver at anmode om eller afvente en forudgående ophævelse af denne bestemmelse ad lovgivningsvejen eller ved noget andet forfatningsmæssigt middel (dom af 15.7.1964, Costa, 6/64, EU:C:1964:66, Sml. 1954-1964, s. 531, af 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 214 og 215, og af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 118).
294 Det er alene Domstolen, der undtagelsesvis og af tvingende retssikkerhedsmæssige hensyn kan træffe bestemmelse om en midlertidig udsættelse af den fortrængende virkning, som en EU-retlig bestemmelse har i forhold til national ret, der er i strid hermed. Der kan alene træffes bestemmelse om en sådan tidsmæssig begrænsning af virkningerne af Domstolens fortolkning af EU-retten i selve den dom, der afgør fortolkningsspørgsmålet. Hvis de nationale retsinstanser havde beføjelse til at give nationale bestemmelser forrang for EU-retten, som disse bestemmelser strider mod, også selv om det blot er midlertidigt, ville dette være til skade for EU-rettens forrang og ensartede anvendelse (dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 119 og den deri nævnte retspraksis).
295 I modsætning til tilsidesættelsen af en proceduremæssig forpligtelse, såsom den forudgående vurdering af virkningerne af et projekt på miljøet, der var omhandlet i den sag, der gav anledning til dom af 29. juli 2019, Inter-Environnement Wallonie og Bond Beter Leefmilieu Vlaanderen (C-411/17, EU:C:2019:622, præmis 175, 176, 179 og 181), hvori Domstolen accepterede en midlertidig suspension af denne fortrængende virkning, kan en tilsidesættelse af PNR-direktivets bestemmelser, sammenholdt med chartrets artikel 7, 8 og 45 samt artikel 52, stk. 1, ikke afhjælpes ved en procedure, der kan sammenlignes med den procedure, der blev tilladt i denne sag. Opretholdelsen af virkningerne af en national lovgivning såsom loven af 25. december 2016 vil nemlig indebære, at denne lovgivning fortsat vil pålægge luftfartsselskaber og andre transportselskaber samt rejseselskaber forpligtelser, der er i strid med EU-retten, og som medfører alvorlige indgreb i de grundlæggende rettigheder, der tilkommer de personer, hvis oplysninger er blevet videregivet, opbevaret og behandlet, og begrænsninger af disse personers frie bevægelighed, der går videre end nødvendigt (jf. analogt dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 122 og den deri nævnte retspraksis).
296 Den forelæggende ret kan derfor ikke tidsmæssigt begrænse virkningerne af en ulovlighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til den i hovedsagen omhandlede nationale lovgivning (jf. analogt dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 123 og den deri nævnte retspraksis).
297 Endelig er det, for så vidt som den forelæggende ret er i tvivl om betydningen af en eventuel konstatering af, at loven af 25. december 2016 er uforenelig med bestemmelserne i PNR-direktivet, sammenholdt med chartret, for antageligheden og muligheden for at anvende de beviser og oplysninger, der er opnået ved hjælp af data, som de pågældende transportvirksomheder og rejseselskaber har videregivet i forbindelse med straffesager, tilstrækkeligt at henvise til Domstolens praksis herom og navnlig til de principper, der er nævnt i præmis 41-44 i dom af 2. marts 2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation) (C-746/18, EU:C:2021:152), hvoraf det følger, at spørgsmålet om antageligheden af beviser i overensstemmelse med princippet om medlemsstaternes procesautonomi henhører under national ret, dog under overholdelse af bl.a. ækvivalensprincippet og effektivitetsprincippet (jf. analogt dom af 5.4.2022, Commissioner of An Garda Síochána m.fl., C-140/20, EU:C:2022:258, præmis 127).
298 Henset til ovenstående betragtninger skal det tiende spørgsmål besvares med, at EU-retten skal fortolkes således, at den er til hinder for, at en national ret tidsmæssigt begrænser virkningerne af en ulovlighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til en national lovgivning, der pålægger luftfartsselskaber, jernbanetransportører og vejtransportselskaber samt rejseselskaber at videregive PNR-oplysninger og foreskriver en behandling og opbevaring af disse oplysninger, som er uforenelig med PNR-direktivets bestemmelser, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og chartrets artikel 7, 8 og 45 samt artikel 52, stk. 1. Spørgsmålet om antageligheden af beviser, der er fremskaffet på denne måde, henhører i overensstemmelse med princippet om medlemsstaternes procesautonomi under national ret, dog under overholdelse af bl.a. ækvivalensprincippet og effektivitetsprincippet.
IV. Sagsomkostninger
299 Da sagens behandling i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.
På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:
1) Artikel 2, stk. 2, litra d), og artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at denne forordning finder anvendelse på behandling af personoplysninger, som er fastsat i en national lovgivning, der tager sigte på at gennemføre bestemmelserne i både Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer, i Europa-Parlamentets og Rådets direktiv 2010/65/EU af 20. oktober 2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF og i Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet i national ret, med hensyn til dels private operatørers behandling af oplysninger, dels offentlige myndigheders behandling af oplysninger, som alene eller ligeledes er omfattet af direktiv 2004/82 eller direktiv 2010/65. Denne forordning finder derimod ikke anvendelse på behandling af oplysninger som fastsat i en sådan lovgivning, der alene er omfattet af direktiv 2016/681, og som foretages af passageroplysningsenheden eller de kompetente myndigheder med henblik på de formål, som er omhandlet i dette direktivs artikel 1, stk. 2.
2) Eftersom en fortolkning af direktiv 2016/681 i lyset af artikel 7, 8 og 21 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder sikrer dette direktivs overensstemmelse med disse bestemmelser i chartret om grundlæggende rettigheder, har undersøgelsen af det andet til det fjerde og det sjette præjudicielle spørgsmål intet frembragt, der kan rejse tvivl om dette direktivs gyldighed.
3) Artikel 6 i direktiv 2016/681, sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder, skal fortolkes således, at den er til hinder for en national lovgivning, der tillader behandling af passagerlisteoplysninger (PNR-oplysninger), der er indsamlet i overensstemmelse med dette direktiv, til andre formål end dem, der udtrykkeligt er omhandlet i direktivets artikel 1, stk. 2.
4) Artikel 12, stk. 3, litra b), i direktiv 2016/681 skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, hvorefter den myndighed, der er oprettet som passageroplysningsenhed, ligeledes har egenskab af kompetent national myndighed med bemyndigelse til at godkende videregivelsen af PNR-oplysningerne ved udløbet af seksmånedersperioden efter videregivelsen af disse oplysninger til passageroplysningsenheden.
5) Artikel 12, stk. 1, i direktiv 2016/681, sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, som fastsætter en generel dataopbevaringsperiode for PNR-oplysninger på fem år, der finder anvendelse uden forskel på alle flypassagerer, herunder på dem, med hensyn til hvilke hverken den forudgående vurdering som omhandlet i dette direktivs artikel 6, stk. 2, litra a), eventuelle kontroller foretaget i den seksmånedersperiode, der er omhandlet i direktivets artikel 12, stk. 2, eller nogen anden omstændighed har afsløret, at der foreligger objektive forhold, som kan godtgøre en risiko i forbindelse med terrorhandlinger eller grov kriminalitet, der har en – i det mindste indirekte – objektiv forbindelse med luftbefordring af passagerer.
6) Direktiv 2004/82 skal fortolkes således, at det ikke finder anvendelse på flyvninger, uanset om det er ruteflyvninger eller ikke-ruteflyvninger, der foretages af et luftfartsselskab, som flyver fra en medlemsstats område og med planlagt landing på en eller flere andre medlemsstaters område og uden mellemlandinger på et tredjelands område (flyvninger inden for EU).
7) EU-retten, herunder navnlig artikel 2 i direktiv 2016/681, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og artikel 45 i chartret om grundlæggende rettigheder, skal fortolkes således, at den er til hinder for:
– En national lovgivning, der, uden at den pågældende medlemsstat står over for en reel og aktuel eller forudsigelig terrortrussel, fastsætter et system, i henhold til hvilket luftfartsselskaber og rejseselskaber videregiver, og de kompetente myndigheder behandler, PNR-oplysninger vedrørende samtlige flyvninger inden for EU og transporter med andre midler inden for EU fra eller til denne medlemsstat eller gennem denne, med henblik på bekæmpelse af terrorhandlinger og grov kriminalitet. I en sådan situation skal anvendelsen af det system, der er indført ved PNR-direktivet, begrænses til at omfatte videregivelse og behandling af PNR-oplysninger for flyvninger og/eller transporter vedrørende bl.a. bestemte flyforbindelser eller rejseruter eller bestemte lufthavne, banegårde eller havne, for hvilke der foreligger oplysninger, der kan begrunde denne anvendelse. Det tilkommer den pågældende medlemsstat at udvælge de pågældende flyvninger inden for EU og de transporter, der gennemføres med andre midler inden for EU, for hvilke sådanne oplysninger foreligger, og regelmæssigt foretage en ny vurdering af denne anvendelse i lyset af udviklingen i de forhold, der har begrundet valget af de pågældende flyvninger og transporter, med henblik på at sikre, at anvendelsen af dette system på disse flyvninger og/eller disse transporter altid er begrænset til det strengt nødvendige.
– En national lovgivning, der fastsætter et sådant system for videregivelse og behandling af de nævnte oplysninger med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring.
8) EU-retten skal fortolkes således, at den er til hinder for, at en national ret tidsmæssigt begrænser virkningerne af en ulovlighedserklæring, som det i henhold til national ret påhviler denne ret at afsige med hensyn til en national lovgivning, der pålægger luftfartsselskaber, jernbanetransportører og vejtransportselskaber samt rejseselskaber at videregive PNR-oplysninger og foreskriver en behandling og opbevaring af disse oplysninger, som er uforenelig med PNR-direktivets bestemmelser, sammenholdt med artikel 3, stk. 2, TEU, artikel 67, stk. 2, TEUF og artikel 7, 8 og 45 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder. Spørgsmålet om antageligheden af beviser, der er fremskaffet på denne måde, henhører i overensstemmelse med princippet om medlemsstaternes procesautonomi under national ret, dog under overholdelse af bl.a. ækvivalensprincippet og effektivitetsprincippet.
Underskrifter