A BÍRÓSÁG ÍTÉLETE (nagytanács)

2022. június 21.(*)

Tartalomjegyzék

„Előzetes döntéshozatal – A személyes adatok kezelése – Utas‑nyilvántartási adatállomány (PNR) – (EU) 2016/679 rendelet – A 2. cikk (2) bekezdésének d) pontja – Hatály – (EU) 2016/681 irányelv – Az Unió és harmadik országok között üzemeltetett légi járatok utasaira vonatkozó PNR‑adatok felhasználása – Az Unión belül üzemeltetett légi járatok utasaira vonatkozó adatok felvételének lehetősége – Ezen adatok automatizált kezelése – Megőrzési időszak – A terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelem – Érvényesség – Az Európai Unió Alapjogi Chartája – A 7., 8. és 21. cikk, valamint az 52. cikk (1) bekezdése – A PNR‑rendszer alkalmazását az Unión belül végzett más szállításokra kiterjesztő nemzeti szabályozás – Az Unión belüli szabad mozgás – Alapjogi Charta – 45. cikk”

A C‑817/19. sz. ügyben,

az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet a Cour constitutionnelle (alkotmánybíróság, Belgium) a Bírósághoz 2019. október 31‑én érkezett, 2019. október 17‑i határozatával terjesztett elő

a Ligue des droits humains

és

a Conseil des ministres

között folyamatban lévő eljárásban,

A BÍRÓSÁG (nagytanács),

tagjai: K. Lenaerts elnök, A. Arabadjiev, S. Rodin, I. Jarukaitis és N. Jääskinen tanácselnökök, T. von Danwitz (előadó), M. Safjan, F. Biltgen, P. G. Xuereb, N. Piçarra, L. S. Rossi, A. Kumin és N. Wahl bírák,

főtanácsnok: G. Pitruzzella,

hivatalvezető: M. Krausenböck tanácsos,

tekintettel az írásbeli szakaszra és a 2021. július 13‑i tárgyalásra,

figyelembe véve a következők által előterjesztett észrevételeket:

–        a Ligue des droits humains képviseletében C. Forget avocate,

–        a belga kormány képviseletében P. Cottin, J.‑C. Halleux, C. Pochet és M. Van Regemorter, meghatalmazotti minőségben, segítőik: C. Caillet advocaat, E. Jacubowitz avocat, valamint G. Ceuppens, V. Dethy és D. Vertongen,

–        a cseh kormány képviseletében T. Machovičová, O. Serdula, M. Smolek és J. Vláčil, meghatalmazotti minőségben,

–        a dán kormány képviseletében M. Jespersen, J. Nymann‑Lindegren, V. Pasternak Jørgensen és M. Søndahl Wolff, meghatalmazotti minőségben,

–        a német kormány képviseletében D. Klebs és J. Möller, meghatalmazotti minőségben,

–        az észt kormány képviseletében N. Grünberg, meghatalmazotti minőségben,

–        Írország képviseletében M. Browne, A. Joyce és J. Quaney, meghatalmazotti minőségben, segítőjük: D. Fennelly BL,

–        a spanyol kormány képviseletében L. Aguilera Ruiz, meghatalmazotti minőségben,

–        a francia kormány képviseletében D. Dubois, E. de Moustier és T. Stehelin, meghatalmazotti minőségben,

–        a ciprusi kormány képviseletében E. Neofytou, meghatalmazotti minőségben,

–        a lett kormány képviseletében E. Bārdiņš, K. Pommere és V. Soņeca, meghatalmazotti minőségben,

–        a holland kormány képviseletében M. K. Bulterman, A. Hanje, J. Langer és C. S. Schillemans, meghatalmazotti minőségben,

–        az osztrák kormány képviseletében G. Kunnert, A. Posch és J. Schmoll, meghatalmazotti minőségben,

–        a lengyel kormány képviseletében B. Majczyna, meghatalmazotti minőségben,

–        a szlovák kormány képviseletében B. Ricziová, meghatalmazotti minőségben,

–        a finn kormány képviseletében A. Laine és H. Leppo, meghatalmazotti minőségben,

–        az Európai Parlament képviseletében O. Hrstková Šolcová és P. López‑Carceller, meghatalmazotti minőségben,

–        az Európai Unió Tanácsa képviseletében J. Lotarski, N. Rouam, E. Sitbon és C. Zadra, meghatalmazotti minőségben,

–        az Európai Bizottság képviseletében D. Nardi és M. Wasmeier, meghatalmazotti minőségben,

–        az európai adatvédelmi biztos képviseletében P. Angelov, A. Buchta, F. Coudert és C.‑A. Marnier, meghatalmazotti minőségben,

–        az Európai Unió Alapjogi Ügynöksége képviseletében L. López, T. Molnar, M. Nespor és M. O’Flaherty, meghatalmazotti minőségben,

a főtanácsnok indítványának a 2022. január 27‑i tárgyaláson történt meghallgatását követően,

meghozta a következő

Ítéletet

1        Az előzetes döntéshozatal iránti kérelem lényegében:

–        a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) (HL 2016. L 119., 1. o.; helyesbítések: HL 2016. L 314., 72. o., HL 2018. L 127., 2. o. és HL 2021. L 74., 35. o.; a továbbiakban: általános adatvédelmi rendelet) 2. cikke (2) bekezdése d) pontjának és 23. cikkének, a fuvarozóknak az utasokkal kapcsolatos adatok közlésére vonatkozó kötelezettségéről szóló, 2004. április 29‑i 2004/82/EK tanácsi irányelvnek (HL 2004. L 261., 24. o.; magyar nyelvű különkiadás 19. fejezet, 7. kötet, 74. o.; a továbbiakban: API‑irányelv), valamint a tagállamok kikötőibe érkező vagy onnan induló hajókra vonatkozó nyilatkozattételi követelményekről és a 2002/6/EK irányelv hatályon kívül helyezéséről szóló, 2010. október 20‑i 2010/65/EU európai parlamenti és tanácsi irányelvnek (HL 2010. L 283., 1. o.) az értelmezésére;

–        az utas‑nyilvántartási adatállománynak (PNR) a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása érdekében történő felhasználásáról szóló, 2016. április 27‑i (EU) 2016/681 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 132. o.; a továbbiakban: PNR‑irányelv) 3. cikke 4. pontjának, 6. és 12. cikkének, valamint I. mellékletének az Európai Unió Alapjogi Chartája (a továbbiakban: Charta) 7. és 8. cikkére, valamint 52. cikkének (1) bekezdésére tekintettel való értelmezésére és érvényességére; valamint

–        az API‑irányelvnek az EUSZ 3. cikk (2) bekezdésére és a Charta 45. cikkére tekintettel való értelmezésére és érvényességére

vonatkozik.

2        E kérelmet a Ligue des droits humains és a Conseil des ministres (minisztertanács, Belgium) között az utasok adatainak kezeléséről szóló, 2016. december 25‑i törvény jogszerűsége tárgyában folyamatban lévő jogvita keretében terjesztették elő.

I.      Jogi háttér

A.      Az uniós jog

1.      A 95/46/EK irányelv

3        A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvet (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 2018. május 25‑i hatállyal hatályon kívül helyezte az általános adatvédelmi rendelet. Ezen irányelv 3. cikkének (2) bekezdése a következőképpen rendelkezett:

„Az irányelv nem alkalmazandó az alábbi személyesadat‑feldolgozásokra [helyesen: személyesadat‑kezelésekre]:

–      a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási [helyesen: kezelési] művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási [helyesen: kezelési] műveletek,

–      a természetes személy által kizárólag személyes célú vagy háztartási tevékenysége keretében végzett adatfeldolgozás [helyesen: adatkezelés].”

2.      Az API‑irányelv

4        Az API‑irányelv (1), (7), (9) és (12) preambulumbekezdése a következőket írja elő:

„(1)      Az illegális bevándorlás elleni hatékony küzdelem és a határellenőrzés javítása érdekében alapvető fontosságú, hogy minden tagállam olyan rendelkezéseket vezessen be, amelyek kötelezettségeket állapítanak meg a tagállamok területére utasokat szállító légi fuvarozók számára. Emellett, e célkitűzés nagyobb hatékonyságának biztosítására, a tagállamok jogrendszerei és joggyakorlata közötti különbségek figyelembevételével, a lehető legnagyobb mértékben harmonizálni kell a tagállamok által azon esetekre előírt pénzügyi szankciókat, amikor a fuvarozók nem teljesítik kötelezettségeiket.

[…]

(7)      Az irányelv alapján a légi fuvarozókra rótt kötelezettségek kiegészítik [az 1985. június 14‑i Schengeni Megállapodás végrehajtásáról szóló egyezmény 26. cikkében foglalt rendelkezések kiegészítéséről szóló, 2001. június 28‑i 2001/51/EK tanácsi irányelvvel] kiegészített, az 1985. június 14‑i Schengeni Megállapodás végrehajtásáról szóló 1990. évi Schengeni Egyezmény 26. cikkének rendelkezései szerint megállapított kötelezettségeket; a kötelezettségek két típusa ugyanazon célt szolgálja: a migrációs áramlás megfékezését és az illegális bevándorlás elleni küzdelmet.

[…]

(9)      Az illegális bevándorlás elleni hatékonyabb küzdelem és e célkitűzés nagyobb hatékonyságának biztosítása érdekében alapvető fontosságú, hogy a [95/46] irányelv rendelkezéseinek sérelme nélkül a lehető leghamarabb figyelembe vegyék a technológiai innovációt, különös tekintettel a fuvarozók által nyújtandó információk biometrikus jellemzőinek integrálására és alkalmazására.

[…]

(12)      A [95/46] irányelvet a személyes adatok tagállamok hatóságai által végzett feldolgozása tekintetében kell alkalmazni. Ez azt jelenti, hogy ugyan az utasoknak a határellenőrzés elvégzéséhez továbbított adatai bizonyítási eszközként is felhasználhatóak a beutazásról és bevándorlásról szóló törvények és rendeletek érvényesítését célzó eljárásokban, beleértve a közrend és a nemzetbiztonság védelmét is, az említett célokkal összeegyeztethetetlen módon történő további feldolgozásuk azonban ellenkezne a [95/46] irányelv 6. cikke (1) bekezdésének b) pontjában megállapított alapelvvel. A tagállamoknak elő kell írniuk egy szankciórendszert, amelyet az ezen irányelv céljával ellentétes adatfelhasználás esetén kell alkalmazni.”

5        Az API‑irányelv „Cél” című 1. cikke a következőket írja elő:

„Ezen irányelv célja a határellenőrzések javítása és az illegális bevándorlás elleni küzdelem, melynek keretében a fuvarozók az utasok adatait előzetesen továbbítják az illetékes nemzeti hatóságoknak.”

6        Ezen irányelv „Fogalommeghatározások” című 2. cikke a következőket mondja ki:

„Ezen irányelv alkalmazásában:

a)      »fuvarozó«: olyan természetes vagy jogi személy, aki foglalkozásszerűen légi személyszállítást végez;

b)      »külső határok«: a tagállamok külső határai harmadik országok felé;

c)      »határellenőrzés«: a határon végrehajtott ellenőrzés, amelyet minden egyéb megfontolástól függetlenül, kizárólag a határátlépési szándék alapján végeznek el;

d)      »határátkelőhely«: az illetékes hatóság által a külső határok átlépésére engedélyezett átkelőhely;

e)      »személyes adatok«, »személyes adatok feldolgozása [helyesen: kezelése]« és »személyesadat‑nyilvántartó rendszer«: e kifejezéseknek a [95/46] rendelet [helyesen: irányelv] 2. cikke szerinti jelentése alkalmazandó.”

7        Az említett irányelv „Adatátvitel” című 3. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)      A tagállamok megteszik a szükséges lépéseket ahhoz, hogy olyan kötelezettséget állapítsanak meg a fuvarozók részére, amely szerint utóbbiak a külső határokon a személyek ellenőrzésének végrehajtásáért felelős hatóságok kérésére, a check‑in befejezésekor információt nyújtsanak azon utasokról, akiket egy engedélyezett határátkelőhelyig szállítanak, ahol az említett személyek beutaznak a tagállam területére.

(2)      A fent említett információk az alábbiakat tartalmazzák:

–        a felhasznált útiokmány száma és típusa,

–        állampolgárság,

–        teljes nevek,

–        születési idő,

–        beutazási határátkelőhely a tagállamok területére,

–        szállítási kód,

–        indulási és érkezési idő,

–        a járaton szállított utasok teljes száma,

–        az első beszállási hely.”

8        Az API‑irányelvnek az „Adatfeldolgozás” című 6. cikke a következőket mondja ki:

„(1)      Az ellenőrzések végrehajtásának az illegális bevándorlás elleni hatékonyabb küzdelem céljából történő elősegítése érdekében, a 3. cikk (1) bekezdésében említett személyes adatokat továbbítani kell a személyek ellenőrzéséért a tagállamba beutazás helyszínéül szolgáló külső határokon felelős hatóságokhoz.

A tagállamok gondoskodnak arról, hogy a fuvarozók összegyűjtsék ezen adatokat, és azokat elektronikus úton, vagy hiba esetén egyéb megfelelő módon továbbítsák az utas számára a tagállamba beutazás helyszínéül szolgáló hivatalos határátkelőhelyen a határellenőrzés elvégzéséért felelős hatóságoknak. A személyek külső határokon történő ellenőrzéséért felelős hatóságok átmeneti állományba mentik az adatokat.

Az utasok beutazását követően az adatok továbbításától számított 24 órán belül a hatóságok törlik az adatokat, kivéve, ha azokra a nemzeti jogszabályokkal összhangban és a [95/46] irányelv szerinti adatvédelmi rendelkezésekre is figyelemmel a személyek külső határokon történő ellenőrzéséért felelős hatóságok jogszabályban előírt feladatainak gyakorlásához később szükség van.

A tagállamok megteszik a szükséges intézkedéseket annak érdekében, hogy a fuvarozókat arra kötelezzék, hogy azok a szállítóeszköz megérkezését követő 24 órán belül töröljék azon személyes adatokat, amelyeket ezen irányelv alkalmazásában a 3. cikk (1) bekezdése szerint összegyűjtöttek, és továbbítottak a határőrizeti hatóságoknak.

A nemzeti jogszabályokkal és a [95/46] irányelv szerinti adatvédelmi rendelkezésekkel összhangban a tagállamok a 3. cikk (1) bekezdésében említett személyes adatokat bűnüldözési célokra is felhasználhatják.

(2)      A tagállamok megteszik a szükséges intézkedéseket annak érdekében, hogy a fuvarozókat arra kötelezzék, hogy azok a [95/46] irányelvben megállapított rendelkezésekkel összhangban tájékoztassák az utasokat. Ez magában foglalja a [95/46] irányelv 10. cikkének c) pontjában és 11. cikke (1) bekezdésének c) pontjában említett információkat is.”

3.      A 2010/65 irányelv

9        A 2010/65 irányelv 2025. augusztus 15‑től hatályát veszti az európai egyablakos tengerügyi ügyintézési környezet létrehozásáról és a 2010/65/EU irányelv hatályon kívül helyezéséről szóló, 2019. június 20‑i (EU) 2019/1239 európai parlamenti és tanácsi rendelet (HL 2019. L 198., 64. o.) 25. cikke értelmében.

10      Ezen irányelv (2) preambulumbekezdése a következőket mondja ki:

„A tengeri közlekedés megkönnyítése és a hajózási társaságokra nehezedő adminisztratív terhek csökkentése érdekében a lehető legnagyobb mértékben egyszerűsíteni és harmonizálni kell az uniós jogi aktusok és a tagállamok által megkövetelt nyilatkozattételi követelményeket. […]”

11      Az említett irányelv „Tárgy és hatály” című 1. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)      Ezen irányelv célja a tengeri közlekedésre vonatkozó adminisztratív eljárások egyszerűsítése és harmonizációja az információ elektronikus továbbításának standarddá tétele, valamint a nyilatkozattételi követelmények észszerűsítése révén.

(2)      Ezen irányelvet a tengeri közlekedésre vonatkozó nyilatkozattételi követelményekre kell alkalmazni, a tagállamok területén található kikötőkbe érkező és onnan induló hajók tekintetében.”

12      Ugyanezen irányelv „Titoktartás” című 8. cikke értelmében:

„(1)      A tagállamok az alkalmazandó uniós jogi aktusokkal vagy nemzeti jogszabályokkal összhangban megteszik az ezen irányelv alapján cserélt üzleti vagy egyéb bizalmas információ titkos jellegének biztosításához szükséges intézkedéseket.

(2)      A tagállamok különös gondot fordítanak az ezen irányelvvel összhangban gyűjtött üzleti adatok védelmére. A személyes adatok védelme tekintetében a tagállamok biztosítják, hogy megfeleljenek a 95/46/EK irányelvnek. Az [Európai] Unió intézményei és szervei biztosítják, hogy megfeleljenek [a személyes adatok közösségi intézmények és szervek által történő feldolgozása {helyesen: kezelése} tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18‑i 45/2001/EK európai parlamenti és tanácsi rendeletnek].”

4.      Az általános adatvédelmi rendelet

13      Az általános adatvédelmi rendelet (19) preambulumbekezdése a következőket mondja ki:

„A személyes adatoknak az illetékes hatóságok által bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából, ezeken belül ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából végzett kezelése vonatkozásában a természetes személyek védelme, valamint az ilyen adatok szabad áramlása külön uniós jogi aktus tárgyát képezi. E rendelet ezért az e célok érdekében végzett adatkezelési tevékenységekre nem alkalmazandó. Ugyanakkor a közhatalmi szervek e rendelet alapján végzett személyes adatkezelését, ha az adatokat a fenti célok érdekében használják fel, a kifejezetten erre vonatkozó külön uniós jogi aktusnak, [a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelvnek (HL 2016. L 119., 89. o.; helyesbítések: HL 2018. L 127., 7. o. és HL 2021. L 74., 39. o.)] kell szabályoznia. A tagállamok [a 2016/680 irányelv] szerinti illetékes hatóságokat megbízhatják olyan egyéb feladatokkal is, amelyeknek ellátása nem feltétlenül a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása, illetve nem a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése céljából történik, ebben az esetben a személyes adatoknak az említett egyéb célokból történő, egyébiránt az uniós jog hatálya alá tartozó kezelése e rendelet hatálya alá tartozik.

[…]”

14      E rendelet „Tárgyi hatály” című 2. cikkének (1) és (2) bekezdése a következőképpen rendelkezik:

„(1)      E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2)      E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

a)      az uniós jog hatályán kívül eső tevékenységek során végzik;

b)      a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;

[…]

d)      az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.”

15      Az említett rendelet „Fogalommeghatározások” című 4. cikke a következőket írja elő:

„E rendelet alkalmazásában:

1.      »személyes adat«: azonosított vagy azonosítható természetes személyre […] vonatkozó bármely információ […];

2.      »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[…]”

16      Az általános adatvédelmi rendelet „Korlátozások” című 23. cikke a következőképpen rendelkezik:

„(1)      Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:

a)      nemzetbiztonság;

b)      honvédelem;

c)      közbiztonság;

d)      bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

[…]

h)      az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;

(2)      Az (1) bekezdésben említett jogalkotási intézkedések adott esetben részletes rendelkezéseket tartalmaznak legalább:

a)      az adatkezelés céljaira vagy az adatkezelés kategóriáira,

b)      a személyes adatok kategóriáira,

c)      a bevezetett korlátozások hatályára,

d)      a visszaélésre, illetve a jogosulatlan hozzáférésre vagy továbbítás megakadályozását célzó garanciákra,

e)      az adatkezelő meghatározására vagy az adatkezelők kategóriáinak meghatározására,

f)      az adattárolás időtartamára, valamint az alkalmazandó garanciákra, figyelembe véve az adatkezelés vagy az adatkezelési kategóriák jellegét, hatályát és céljait,

g)      az érintettek jogait és szabadságait érintő kockázatokra, és

h)      az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak a korlátozásról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját.”

17      E rendeletnek „A [95/46 irányelv] hatályon kívül helyezése” című 94. cikke a következőket írja elő:

„(1)      A [95/46 irányelv] 2018. május 25‑i hatállyal hatályát veszti.

(2)      A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. A [95/46 irányelv] 29. cikke által létrehozott, a természetes személyeknek a személyes adatok feldolgozása [helyesen: kezelése] tekintetében való védelmével foglalkozó munkacsoportra történő hivatkozást az e rendelet által létrehozott Európai Adatvédelmi Testületre történő hivatkozásnak kell tekinteni.”

5.      A 2016/680 irányelv

18      A 2016/680 irányelv az 59. cikkével összhangban 2018. május 6‑tól hatályon kívül helyezte és felváltotta a büntetőügyekben folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes adatok védelméről szóló, 2008. november 27‑i 2008/977/IB tanácsi kerethatározatot (HL 2008. L 350., 60. o.).

19      A 2016/680 irányelv (9)–(11) preambulumbekezdése értelmében:

„(9)      Ennek alapján az [általános adatvédelmi rendelet] általános szabályokat határoz meg a természetes személyeknek a személyes adatok kezelése tekintetében történő védelme, valamint az ilyen adatok Unión belüli szabad áramlásának biztosítása céljából.

(10)      A Lisszaboni Szerződést elfogadó kormányközi konferencia zárónyilatkozatához csatolt, a büntetőügyekben folytatott igazságügyi, valamint a rendőrségi együttműködés területén a személyes adatok védelméről szóló 21. sz. nyilatkozatban a konferencia elismerte, hogy az EUMSZ 16. cikke alapján a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területén – e területek sajátos természetéből adódóan – a személyes adatok védelmére és a személyes adatok szabad áramlására vonatkozóan különös szabályok válhatnak szükségessé.

(11)      Ezért helyénvaló, hogy e területek szabályozása irányelvben történjen, amelyben meg kell határozni azokat a különleges szabályokat, amelyek a személyes adatok bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából az illetékes hatóságok általi kezelése tekintetében a természetes személyek védelmére vonatkoznak, tiszteletben tartva e tevékenységek jellegét. Az ilyen illetékes hatóságok körébe nemcsak olyan közhatalmi szervek tartozhatnak, mint az igazságügyi hatóságok, a rendőrség vagy egyéb bűnüldöző hatóságok, hanem bármely egyéb olyan szerv vagy jogalany is, amely a tagállami jog alapján ezen irányelv alkalmazása céljából közfeladatokat lát el és közhatalmi jogosítványokat gyakorol. Ha azonban ez a szerv vagy jogalany ezen irányelv céljaitól eltérő célból kezel személyes adatokat, akkor az [általános adatvédelmi rendeletet] kell alkalmazni. [Az általános adatvédelmi rendeletet] kell éppen ezért az alkalmazni azokban az esetekben, amikor valamely szerv vagy jogalany egyéb célból gyűjt és kezel tovább személyes adatokat annak érdekében, hogy egy rá vonatkozó jogi kötelezettséget teljesítsen. Így például bűncselekmények nyomozása, felderítése és a vádeljárás lefolytatása céljából a pénzügyi intézmények bizonyos általuk kezelt személyes adatokat megőriznek, és azokat kizárólag meghatározott esetekben és a tagállami joggal összhangban az illetékes nemzeti hatóságok részére szolgáltatják. Azokat a szerveket vagy jogalanyokat, amelyek az említett hatóságok nevében ezen irányelv hatályán belül kezelnek személyes adatokat, szerződés vagy egyéb jogi aktus és az ezen irányelv alapján az adatfeldolgozókra alkalmazandó rendelkezések kötelezik, az adatfeldolgozó által ezen irányelv hatályán kívül végzett személyes adatok kezelése tekintetében azonban változatlanul az [általános adatvédelmi rendelet] alkalmazandó.”

20      Ezen irányelv „Tárgy és célok” című 1. cikke, amely lényegében megegyezik a 2008/977 kerethatározat 1. cikkével, az (1) bekezdésében a következőket írja elő:

„Ez az irányelv szabályokat állapít meg a természetes személyek védelmére a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása – így többek között a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelése tekintetében.”

21      Az említett irányelv „Fogalommeghatározások” című 3. cikke a következőképpen rendelkezik:

„Ezen irányelv alkalmazásában:

[…]

7.      »illetékes hatóság«:

a)      olyan közhatalmi szerv, amely a bűncselekmények megelőzését, nyomozását, felderítését vagy üldözését, illetve büntetőjogi szankciók végrehajtását illetően eljárni jogosult beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését; vagy

b)      bármely egyéb, olyan szerv vagy más jogalany, amely a tagállami jog alapján közfeladatokat lát el és közhatalmi jogosítványokat gyakorol a bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása céljából, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;

[…]”

6.      A PNR‑irányelv

22      A PNR‑irányelv (4)–(12), (15), (19), (20), (22), (25), (27), (28), (33), (36) és (37) preambulumbekezdése a következőket mondja ki:

„(4)      [Az API‑irányelv] szabályozza az előzetes utasinformációs adatok (API) légi fuvarozók általi továbbítását az illetékes nemzeti hatóságok részére a határellenőrzés javítása és az illegális bevándorlás elleni küzdelem érdekében.

(5)      Az irányelv céljai többek között a biztonság garantálása, a személyek életének és biztonságának szavatolása, továbbá az illetékes hatóságok által kezelt PNR‑adatok védelmét biztosító jogi keret létrehozása.

(6)      A PNR‑adatok hatékony alkalmazása, például a PNR‑adatoknak a körözés alatt álló személyekre és tárgyakra vonatkozó különböző adatbázisokkal történő összevetése, elengedhetetlen a terrorista bűncselekmények és a súlyos bűncselekmények megelőzéséhez, felderítéséhez, kivizsgálásához és üldözéséhez, és ezáltal a belső biztonság fokozásához, bizonyíték gyűjtéséhez, valamint adott esetben bűntársak felderítéséhez, és a bűnözői hálózatok felszámolásához.

(7)      A PNR‑adatok értékelése lehetővé teszi az olyan személyek beazonosítását, akiket nem gyanúsítottak terrorista bűncselekmények elkövetésével vagy súlyos bűncselekményben való részvétellel azelőtt, hogy az ilyen értékelés arra utalt volna, hogy e személyek ilyen bűncselekmény elkövetésében érintettek lehetnek, és akiket ezért az illetékes hatóságok általi további vizsgálatnak kell alávetni. A PNR‑adatok felhasználásával a terrorista bűncselekmények és súlyos bűncselekmények jelentette fenyegetést a személyes adatok egyéb kategóriáinak kezelésétől eltérő szempontból lehet megközelíteni. Annak biztosítása érdekében azonban, hogy a PNR adatok kezelése csak a legszükségesebbre korlátozódjon, az értékelési kritériumok létrehozása és alkalmazása olyan terrorista bűncselekmények és a súlyos bűncselekmények tényállásaira kell korlátozni, amelyek esetében releváns az említett kritériumok alkalmazása. Ezen túlmenően az értékelési kritériumokat oly módon kell meghatározni, hogy a rendszer garantáltan a lehető legkevesebb ártatlan személyt azonosítson be tévesen.

(8)      A légi fuvarozók saját kereskedelmi céljaikra már ma is gyűjtenek és kezelnek utasaikra vonatkozó PNR‑adatokat. Ez az irányelv nem kötelezheti a légi fuvarozókat arra, hogy az utasoktól további információkat gyűjtsenek vagy őrizzenek meg, és az utasokat sem kötelezheti arra, hogy a légi fuvarozók részére már szolgáltatott adatokon kívül további adatokat szolgáltassanak.

(9)      Egyes légi fuvarozók az API‑adatokat a PNR‑adatok részeként gyűjtik, mások azonban nem. A PNR‑adatoknak az API‑adatokkal történő együttes használata hozzáadott értékkel bír, mivel segíti a tagállamokat a személyazonosság megállapításában, így megerősíti a kapott eredmény rendészeti és bűnüldözési értékét, valamint minimálisra csökkenti annak a kockázatát, hogy ártatlan személyek vonatkozásában sor kerüljön adatok összevetésére és nyomozati cselekményekre. Ennélfogva fontos biztosítani, hogy amennyiben a légi fuvarozók API‑adatokat gyűjtenek, kötelesek azokat továbbítani, függetlenül attól, hogy az API‑adatokat technikailag elkülönített módon, a PNR‑adatok részeként őrzik‑e meg.

(10)      Ezért a terrorista bűncselekmények és súlyos bűncselekmények megelőzéséhez, felderítéséhez, nyomozásához és üldözéséhez elengedhetetlen, hogy minden tagállam olyan rendelkezéseket hozzon, amelyek előírják az EU‑n kívüli légi járatokat üzemeltető légi fuvarozók által gyűjtött PNR adatok, ideértve az API‑adatok továbbítását. A tagállamok lehetőséget kapnak arra is, hogy ezt a kötelezettséget kiterjesszék az EU‑n belüli légi járatokat üzemeltető légi fuvarozókra is. E rendelkezések nem érinthetik [az API‑irányelvet].

(11)      A személyes adatok kezelésének az ezen irányelv által kitűzött egyedi biztonsági célokkal arányosnak kell lennie.

(12)      A terrorista bűncselekmény ebben az irányelvben szereplő fogalommeghatározásának [a terrorizmus elleni küzdelemről szóló, 2002. június 13‑i 2002/475/IB tanácsi kerethatározatban (HL 2002. L 164., 3. o.; magyar nyelvű különkiadás 19. fejezet, 6. kötet, 18. o.)] szereplő fogalommeghatározással meg kell egyeznie. A súlyos bűncselekmény fogalommeghatározásának pedig az ezen irányelv II. mellékletében felsorolt bűncselekményi tényállásokat kell tartalmaznia.

[…]

(15)      Az utas‑adat információs egység által beszerzendő, szükséges PNR‑adatokat felsoroló listák tartalmát úgy kell megállapítani, hogy az tükrözze a hatóságok jogos elvárásait a terrorista bűncselekmények vagy súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése terén, és így javítsa az Unió belső biztonságát, továbbá biztosítsa az alapvető jogok, nevezetesen a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jog védelmét. Ennek érdekében [a Charta], az egyéneknek a személyes adataik gépi feldolgozása során való védelméről szóló egyezménnyel (108. sz. egyezmény), valamint [az 1950. november 4‑én Rómában aláírt,] az emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel (EJEE) összhangban magas szintű normákat kell alkalmazni. Az ilyen listák nem alapulhatnak a személyek faji vagy etnikai hovatartozásán, vallási vagy világnézeti meggyőződésén, politikai vagy egyéb véleményén, szakszervezeti tagságán, egészségi állapotán vagy szexuális életén vagy szexuális irányultságán. A PNR‑adatok kizárólag az utas helyfoglalásával és útvonalával kapcsolatos információkat tartalmazzák annak érdekében, hogy az illetékes hatóságok a belső biztonságra fenyegetést jelentő légi utasokat be tudják azonosítani.

[…]

(19)      Valamennyi tagállamnak kötelessége, hogy értékelje a terrorista bűncselekményekkel vagy súlyos bűncselekményekkel kapcsolatos potenciális fenyegetéseket.

(20)      A személyes adatok védelméhez való jog és az egyenlő bánásmódhoz való jog teljes tiszteletben tartása mellett kizárólag a PNR‑adatok automatizált kezelésének eredményeként nem hozható olyan döntés, amely egyes személyekre nézve hátrányos joghatással jár, vagy őket jelentős mértékben érinti. Ezen túlmenően, az ilyen döntések – tekintettel a Charta 8. és 21. cikkére – nem tehetnek semmilyen megkülönböztetést például nem, faj, szín, etnikai vagy társadalmi származás, genetikai tulajdonság, nyelv, vallás vagy meggyőződés, politikai vagy más vélemény, nemzeti kisebbséghez tartozás, vagyoni helyzet, születés, fogyatékosság, kor vagy szexuális irányultság alapján. [Az Európai] Bizottság ezeket az elveket az irányelv alkalmazásának felülvizsgálatakor figyelembe veszi.

[…]

(22)      Az Európai Unió Bíróságának idevágó közelmúltbeli ítélkezési gyakorlatában körvonalazódó elvek teljes mértékben történő figyelembevételével, ez az irányelv alkalmazása biztosítja az alapvető jogok, a magánélethez való jog és az arányosság elvének teljes körű tiszteletben tartását. Továbbá az Unió által elismert általános érdekek érvényesülése érdekében a terrorista bűncselekmények és a súlyos bűnözés elleni küzdelem során ténylegesen teljesíti a szükségesség és az arányosság céljait, és védi mások jogait és szabadságait. Ezen irányelv alkalmazását kellően indokolni kell, a szükséges biztosítékoknak pedig rendelkezésre kell állniuk annak biztosítása érdekében, hogy a PNR‑adatok bármely tárolása, értékelése, továbbítása és felhasználása jogszerű legyen.

[…]

(25)      A PNR‑adatok megőrzési időtartamának olyan hosszúnak kell lennie, amely a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése érdekében szükséges és arányos. Az adatok és felhasználásuk jellege következtében a PNR‑adatokat az értékelések elvégzése és a nyomozati cselekmények során történő felhasználásuk érdekében kellően hosszú ideig szükséges megőrizni. Az aránytalan felhasználás elkerülése érdekében, a kezdeti adatmegőrzési időszakot követően, az adatokat az adatelemek elrejtése útján személyazonosításra alkalmatlanná kell tenni. A legmagasabb szintű adatvédelem biztosítása érdekében a teljes PNR‑adathoz való hozzáférés – amely az érintett közvetlen beazonosítását lehetővé teszi – csak nagyon szigorú és korlátozott feltételek esetén, a kezdeti adatmegőrzési időszak leteltét követően szabad lehetővé tenni.

[…]

(27)      Az egyes tagállamok utas‑adat információs egységei és illetékes hatóságai általi, a PNR‑adatok kezelésére az ezen hatóságok nemzeti joga szerinti, a személyes adatok védelmére vonatkozó olyan szintű előírásokat kell alkalmazni, amelyek a [2008/977 kerethatározatnak] és az ezen irányelvben meghatározott különös adatvédelmi követelményeknek megfelelnek. A [2008/977 kerethatározatra] történő hivatkozások úgy értendők, hogy azokkal a jelenleg hatályos jogszabályokra és a kerethatározat helyébe lépő jogszabályokra történik hivatkozás.

(28)      Figyelemmel a személyes adatok védelméhez való jogra, az érintettek PNR‑adataik kezelésével kapcsolatos jogainak, így a hozzáféréshez, a helyesbítéshez, a törléshez és a korlátozáshoz való jognak, továbbá a kártérítéshez és a bírósági jogorvoslathoz való jogoknak mind a [2008/977 kerethatározattal], mind a Charta és az EJEE által biztosított magas szintű védelemmel összhangban kell lenniük.

[…]

(33)      Ez az irányelv nem érinti a tagállamok azon lehetőségét, hogy nemzeti joguk alapján rendelkezzenek az olyan PNR‑adatok gyűjtésének és kezelésének rendszeréről, amelyek utasok szállítását nem végző gazdasági szereplőktől – például utazással kapcsolatos szolgáltatásokat nyújtó, többek között járatfoglalásokat végző, és azokhoz PNR‑adatokat gyűjtő és kezelő utazási irodáktól és utazásszervezőktől – vagy az ezen irányelvben meghatározottaktól eltérő fuvarozóktól származnak, amennyiben az említett nemzeti jogszabályok megfelelnek az uniós jognak.

[…]

(36)      Ez az irányelv tiszteletben tartja a Chartában foglalt alapvető jogokat és rögzített elveket és különösen annak a 8., 7. és 21. cikkeiben garantált, a személyes adatok védelméhez való jogot, a magánélet tiszteletben tartásához való jogot és az egyenlő bánásmódhoz való jogot, így az irányelvet ennek megfelelően kell végrehajtani. Ez az irányelv összeegyeztethető az adatvédelmi alapelvekkel, és rendelkezései összhangban állnak a [2008/977 kerethatározattal]. Ezenkívül – az arányosság elvének való megfelelés érdekében – ez az irányelv egyes kérdésekben a [2008/977 kerethatározatnál] szigorúbb adatvédelmi szabályokat tartalmaz.

(37)      Ezen irányelv hatálya a lehető legszűkebbre korlátozott, mivel a PNR‑adatoknak az utas‑adat információs egységek általi megőrzését öt évet meg nem haladó időtartamra teszi lehetővé, ami után az adatokat törölni kell, az adatokat hat hónapos kezdeti időszak elteltével az adatelemek elrejtése útján személyazonosításra alkalmatlanná kell tenni, továbbá tiltja az érzékeny adatok gyűjtését és felhasználását. A hatékony és magas szintű adatvédelem érdekében a tagállamok gondoskodnak arról, hogy független nemzeti felügyeleti hatóság és mindenekelőtt adatvédelmi tisztviselő feleljen a PNR‑adatok kezelési módjának ellenőrzéséért és az ezzel kapcsolatos tanácsadásért. A PNR‑adatok kezelését minden esetben az adatkezelés jogszerűségének ellenőrzése, az önellenőrzés, valamint az adatok sértetlenségének és az adatkezelés biztonságának biztosítása érdekében naplózni vagy dokumentálni kell. A tagállamoknak biztosítaniuk kell továbbá, hogy az utasok világos és pontos tájékoztatást kapjanak a PNR‑adatok gyűjtéséről, valamint a jogaikról.”

23      A PNR‑irányelv „Tárgy és hatály” című 1. cikke a következőket mondja ki:

„(1)      Ez az irányelv szabályozza:

a)      az EU‑n kívüli légi járatok utasaira vonatkozó utas‑nyilvántartási adatok (PNR) légi fuvarozók általi továbbítását;

b)      az a) pontban említett adatok kezelését, beleértve azok tagállamok általi gyűjtését, felhasználását és megőrzését, valamint tagállamok közötti cseréjét.

(2)      Az ezen irányelvvel összhangban gyűjtött PNR‑adatokat kizárólag terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából lehet kezelni a 6. cikk (2) bekezdésének a), b) és c) pontjában foglaltaknak megfelelően.”

24      Ezen irányelvnek „Az irányelv alkalmazása EU‑n belüli légi járatokra” című 2. cikkének szövege a következő:

„(1)      Ha a tagállam úgy határoz, hogy az irányelvet EU‑n belüli légi járatokra is alkalmazza, erről írásban értesíti a Bizottságot. A tagállamok tetszés szerinti időpontban tehetnek vagy vonhatnak vissza ilyen értesítéseket. Ezt az értesítést vagy annak visszavonását a Bizottság az Európai Unió Hivatalos Lapjában közzéteszi.

(2)      Amennyiben az (1) bekezdésben említett értesítés megtételére kerül sor, ezen irányelv valamennyi rendelkezését úgy kell alkalmazni az EU‑n belüli légi járatokra, mintha EU‑n kívüli légi járatok lennének, az EU‑n belüli légi járatokra vonatkozó PNR‑adatokra pedig mintha EU‑n kívüli légi járatokra vonatkoznának.

(3)      A tagállamok dönthetnek úgy, hogy ezt az irányelvet csak egyes kiválasztott EU‑n belüli légi járatokra alkalmazzák. Az ilyen döntések meghozatalakor a tagállamok kiválasztják azokat a légi járatokat, amelyek véleményük szerint az irányelvben foglalt célkitűzések megvalósításához szükségesek. A tagállamok bármikor dönthetnek úgy, hogy módosítják a kiválasztott EU‑n belüli légi járatok körét.”

25      Az említett irányelv „Fogalommeghatározások” című 3. cikke a következőképpen rendelkezik:

„Ezen irányelv alkalmazásában a következő fogalommeghatározásokat kell alkalmazni:

1.      »légi fuvarozó«: utasok légi fuvarozását engedélyező érvényes működési vagy azzal egyenértékű engedéllyel rendelkező légiközlekedési vállalkozás;

2.      »EU‑n kívüli légi járat«: egy légi fuvarozó bármely menetrend szerinti vagy nem menetrend szerinti légi járata, amely egy harmadik országból indul és a tervek szerint egy tagállam területére érkezik, vagy egy tagállam területéről indul és a tervek szerint valamely harmadik ország területére érkezik, beleértve mindkét esetben a tagállamok vagy harmadik országok területén közbenső leszállásokat végrehajtó légi járatokat is;

3.      »EU‑n belüli légi járat«: egy légi fuvarozó bármely menetrend szerinti vagy nem menetrend szerinti légi járata, amely egy tagállam területéről indul és a tervek szerint egy vagy több más tagállam területére érkezik, anélkül hogy egy harmadik ország területén közbeeső leszállást hajtana végre;

4.      »utas«: egy légi jármű fedélzetén a légi fuvarozó hozzájárulásával szállított vagy szállítandó személy – beleértve a tranzit‑ vagy átszálló utasokat is –, a személyzet kivételével, amely hozzájárulást az adott személynek az utasjegyzékbe történő felvétele igazolja;

5.      »utasnyilvántartási adatállomány« vagy »PNR«: olyan adatállomány, amely az egyes utasoknak az utazáshoz kötelezően megadandó adatait tartalmazza, és amely minden olyan információt magában foglal, amelyek ahhoz szükségesek, hogy a jegyet kiállító és a fuvarozásban részt vevő légi fuvarozók elvégezhessék és ellenőrizhessék a foglalásokat minden egyes személyesen vagy más nevére történt útvonalfoglalás esetében, függetlenül attól, hogy azokat légi járatok utasfelvételi‑helyfoglalási rendszerek, indulás‑ellenőrzési rendszerek (amelyet utasfelvételi eljárásra is használnak), vagy ugyanilyen feladatokat ellátó egyenértékű rendszerek szolgáltatják‑e;

6.      »helyfoglalási rendszer«: a légi fuvarozó belső rendszere, amelyben a helyfoglalások kezelése érdekében a PNR‑adatokat gyűjt;

7.      »push módszer«: az a módszer, amellyel a légi fuvarozók az I. mellékletben felsorolt PNR‑adatokat az adatokat kérő hatóság adatbázisába továbbítják;

8.      »terrorista bűncselekmény«: a 2002/475/IB kerethatározat 1–4. cikkében említett, a nemzeti jog szerint is annak minősülő bűncselekmény;

9.      »súlyos bűncselekmény«: a II. mellékletben felsorolt bűncselekményi tényállások, amennyiben a nemzeti jog alapján kiszabható büntetési tétel felső határa legalább háromévi szabadságvesztés vagy szabadságelvonással járó intézkedés;

10.      »személyazonosításra alkalmatlanná tétel adatelemek elrejtése útján (személytelenítés)«: az érintettek közvetlen beazonosítását lehetővé tevő adatelemek láthatatlanná tétele a felhasználók számára.”

26      A PNR‑irányelvnek „Az utas‑adat információs egység” című 4. cikke az (1)–(3) bekezdésében a következőket mondja ki:

„(1)      Valamennyi tagállam létrehoz vagy kijelöl egy olyan hatóságot, amely a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása terén illetékes, vagy egy ilyen hatóság szervezeti egységét annak érdekében, hogy utas‑adat információs egységként járjon el.

(2)      Az utas‑adat információs egység felel:

a)      a PNR‑adatoknak a légi fuvarozóktól történő gyűjtéséért, ezen adatok tárolásáért és kezeléséért, továbbá az adatoknak vagy a kezelésükből származó eredményeknek az 7. cikkben említett illetékes hatóságok részére történő továbbításáért;

b)      mind a PNR‑adatoknak, mind a kezelésükből származó eredményeknek más tagállamok utas‑adat információs egységeivel és az Europollal történő, a 9. és 10. cikk szerinti cseréjéért.

(3)      Az utas‑adat információs egység személyi állományának tagjai kirendelhetők illetékes hatóságoktól. A tagállamok megfelelő forrásokat biztosítanak az utas‑adat információs egységek számára, hogy feladataikat teljesíthessék.”

27      Ezen irányelvnek „Az utas‑adat információs egység adatvédelmi tisztviselője” című 5. cikke a következőképpen szól:

„(1)      Az utas‑adat információs egység egy adatvédelmi tisztviselőt nevez ki, aki a PNR‑adatok kezeléséért és a vonatkozó biztosítékok végrehajtásának az ellenőrzéséért felelős.

(2)      A tagállamok biztosítják az adatvédelmi tisztviselők számára az ahhoz szükséges eszközöket, hogy az e cikk szerinti kötelezettségeiket és feladataikat eredményesen és függetlenül lássák el.

(3)      A tagállamok biztosítják, hogy az érintett jogosult legyen arra, hogy a saját PNR‑adatainak kezelésével kapcsolatos valamennyi kérdésben az adatvédelmi tisztviselővel – mint egyedüli kapcsolattartó ponttal –, kapcsolatba lépjen.”

28      Az említett irányelvnek „A PNR‑adatok kezelése” című 6. cikke a következőképpen rendelkezik:

„(1)      A légi fuvarozók által továbbított PNR‑adatokat az érintett tagállam utas‑adat információs egysége gyűjti a 8. cikkben foglaltakkal összhangban. Amennyiben a légi fuvarozók által továbbított PNR‑adatok az I. mellékletben felsoroltakon túl más adatokat is tartalmaznak, akkor az utas‑adat információs egység ezeket az adatokat a beérkezést követően haladéktalanul és véglegesen töröli.

(2)      Az utas‑adat információs egység a PNR‑adatokat kizárólag a következő célokból kezeli:

a)      az utasok értékelése a tagállamba történő tervezett érkezésüket vagy elutazásukat megelőzően annak érdekében, hogy beazonosítsák azokat a személyeket, akiket a 7. cikkben említett illetékes hatóságoknak és adott esetben a 10. cikk szerint az Europolnak további vizsgálat alá kell vonnia, tekintettel arra, hogy ezek a személyek érintettek lehetnek terrorista bűncselekményben vagy súlyos bűncselekményben;

b      a 7. cikk szerinti illetékes hatóságok eseti alapon, kellően alátámasztott, megfelelő indokolással ellátott megkeresésére történő válaszadás, amely egyedi esetekben a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából a PNR‑adatok szolgáltatására és a PNR‑adatok kezelésére, és az ilyen adatkezelés eredményének az illetékes hatóságok és adott esetben az Europol részére történő szolgáltatására irányul; valamint

c)      a PNR‑adatok értékelése olyan új kritériumok megalkotása vagy frissítése céljából, amelyek a terrorista bűncselekményben vagy súlyos bűncselekményben esetlegesen érintett személyek beazonosítására irányuló, a (3) bekezdés b) pontja alapján végzett értékelések elvégzéséhez szükségesek.

(3)      A (2) bekezdés a) pontja szerinti értékelés elvégzése során az utas‑adat információs egység:

a)      összevetheti a PNR‑adatokat a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése szempontjából releváns adatbázisokkal, beleértve a körözés alatt álló vagy figyelmeztető jelzés hatálya alatt álló személyekre vagy tárgyakra vonatkozó adatbázisokat is, összhangban az ilyen adatbázisokra érvényes uniós, nemzetközi vagy nemzeti szabályokkal;

b)      kezelheti a PNR‑adatokat előzetesen meghatározott kritériumokkal való összevetés útján.

(4)      Az utasoknak a tagállamba történő tervezett érkezésüket vagy indulásukat megelőző, a (3) bekezdés b) pontjában említett, előzetesen meghatározott kritériumok alapján elvégzett bármilyen értékelését megkülönböztetéstől mentes módon kell elvégezni. Ezek az előzetesen meghatározott kritériumoknak célzottnak, arányosnak és konkrétnak kell lenniük. A tagállamok biztosítják, hogy az utas‑adat információs egység ezeket kritériumokat a 7. cikkben említett illetékes hatóságokkal együttműködve határozza meg és azokat rendszeresen felülvizsgálja. Az értékelési kritériumok a személy faji vagy etnikai hovatartozásán, politikai véleményén, vallási vagy világnézeti meggyőződésén, szakszervezeti tagságán, egészségi állapotán vagy szexuális életén vagy szexuális irányultságán semmilyen körülmények között sem alapulhatnak.

(5)      A tagállamok biztosítják, hogy a PNR‑adatoknak a (2) bekezdés a) pontja alapján végzett automatizált kezeléséből származó bármely pozitív találatot nem automatizált eszközökkel, egyedi felülvizsgálat alá kelljen vetni, hogy megbizonyosodjanak arról, hogy az 7. cikkben említett illetékes hatóságnak a nemzeti joggal összhangban intézkednie kell‑e.

(6)      A tagállami utas‑adat információs egység a (2) bekezdés a) pontjával összhangban beazonosított személyek PNR‑adatait vagy az említett adatok kezelésének eredményét további vizsgálat céljából továbbítja ugyanazon tagállamnak a 7. cikkben említett illetékes hatóságai részére. Ilyen adattovábbításra csak eseti alapon kerülhet sor, és ha a PNR‑adatok kezelése automatizált volt, akkor nem automatizált eszközökkel végzett egyedi felülvizsgálatot követően lehetséges.

(7)      A tagállamok biztosítják, hogy az adatvédelmi tisztviselő hozzáférjen az utas‑adat információs egység által kezelt valamennyi adathoz. Amennyiben az adatvédelmi tisztviselő úgy ítéli meg, hogy valamely adat kezelése jogszerűtlen volt, az adatvédelmi tisztviselő az ügyet a nemzeti felügyeleti hatósághoz utalja.

[…]

(9)      A (2) bekezdés a) pontjában említett, utasokra vonatkozó értékelés eredménye nem veszélyeztetheti [az Unió polgárainak és családtagjaiknak a tagállamok területén történő szabad mozgáshoz és tartózkodáshoz való jogáról, valamint az 1612/68/EGK rendelet módosításáról, továbbá a 64/221/EGK, a 68/360/EGK, a 72/194/EGK, a 73/148/EGK, a 75/34/EGK, a 75/35/EGK, a 90/364/EGK, a 90/365/EGK és a 93/96/EGK irányelv hatályon kívül helyezéséről szóló, 2004. április 29‑i 2004/38/EK európai parlamenti és tanácsi irányelvben (HL 2004. L 158., 77. o.; magyar nyelvű különkiadás 5. fejezet, 5. kötet, 46. o.; helyesbítés: HL 2009. L 274., 47. o.)] foglaltak szerint a szabad mozgás uniós jogával rendelkező személyeknek az érintett tagállam területére történő beutazáshoz fűződő jogát. Ezenfelül az ilyen értékelések eredményének – amennyiben azokat az olyan tagállamok közötti EU‑n belüli légi járatok tekintetében végzik, amelyekre alkalmazandó [a személyek határátlépésére irányadó szabályok közösségi kódexének (Schengeni határ‑ellenőrzési kódex) létrehozásáról szóló, 2006. március 15‑i 562/2006/EK európai parlamenti és tanácsi rendelet (HL 2006. L 105., 1. o.; helyesbítés: HL 2015. L 57., 19. o.)] – meg kell felelnie az említett rendeletnek.”

29      A PNR‑irányelv „Illetékes hatóságok” című 7. cikke értelmében:

„(1)      Valamennyi tagállam elfogadja azon illetékes hatóságok jegyzékét, amelyek a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és az üldözése céljából jogosultak az utas‑adat információs egységtől PNR‑adatokat vagy azok kezelésének eredményeit kérni és kapni, az információk további vizsgálata vagy a megfelelő intézkedések megtétele érdekében.

(2)      Az (1) bekezdésben említett hatóságok olyan hatóságok, amelyek hatáskörrel rendelkeznek a terrorista bűncselekmények és a súlyos bűncselekmények megelőzésére, felderítésére, az azokkal kapcsolatos nyomozásra vagy a vádeljárás lefolytatására.

[…]

(4)      Az utas‑adat információs egység által kapott PNR‑adatokat és azok kezelésének eredményét a tagállamok illetékes hatóságai kizárólag a terrorista bűncselekmények és súlyos bűncselekmények megelőzésének, felderítésének, nyomozásának és üldözésének konkrét céljából vethetik alá további adatkezelésnek.

(5)      A (4) bekezdés nem érinti a nemzeti rendészeti szervek és igazságszolgáltatás hatáskörét, amennyiben más bűncselekményeket vagy azok elkövetésére utaló jeleket derítenek fel a fenti adatkezelés eredményeként indult bűnüldözési tevékenységeik során.

(6)      Az illetékes hatóságok egyetlen személyre nézve sem hozhatnak hátrányos joghatással járó vagy őt súlyosan érintő döntést kizárólag a PNR‑adatok automatizált kezelésének eredményeként. Ilyen döntések nem hozhatók az adott személy faji vagy etnikai hovatartozása, politikai véleménye, vallási vagy világnézeti meggyőződése, szakszervezeti tagsága, egészségi állapota, szexuális élete vagy szexuális irányultsága alapján.”

30      Ezen irányelvnek „A légi fuvarozók adattovábbítással kapcsolatos kötelezettségei” című 8. cikke az (1)–(3) bekezdésében a következőket írja elő:

„(1)      A tagállamok elfogadják az annak biztosításához szükséges intézkedéseket, hogy a légi fuvarozók („push”‑módszerrel) továbbítsák az I. mellékletben részletezett PNR‑adatokat – amennyiben ezeket az adatokat szokásos üzleti tevékenységük keretében már összegyűjtötték – a légi járat indulási vagy érkezési helye szerinti tagállam utas‑adat információs egységének adatbázisába. Amennyiben a légi járat utashelyeit egy vagy több légi fuvarozó közösen értékesíti, a járaton utazó összes utas PNR‑adatait a légi járatot üzemeltető légi fuvarozó köteles továbbítani. Ha egy EU‑n kívüli légi járatnak egy vagy több közbenső leszállóhelye van a tagállami repülőtereken, akkor a légi fuvarozók valamennyi utas PNR‑adatait valamennyi érintett tagállam utas‑adat információs egységének továbbítják. Ez akkor is érvényes, ha egy EU‑n belüli légi járatnak egy vagy több közbenső leszállóhelye van különböző tagállamok repülőterein, de csak olyan tagállamok vonatkozásában, amelyek gyűjtik az EU‑n belüli légi járatokra vonatkozó PNR‑adatokat.

(2)      Amennyiben a légi fuvarozók az I. melléklet 18. pontjában felsorolt [API‑adatokat] gyűjtöttek, azonban ezeket technikai értelemben nem őrzik meg a PNR‑adatok részeként, a tagállamok olyan szükséges intézkedéseket fogadnak el, amelyek biztosítják, hogy a légi fuvarozók ezeket az adatokat továbbítsák „push”‑módszerrel az (1) bekezdésben említett tagállamban működő utas‑adat információs egységnek. Az ilyen adattovábbítás esetében az API‑adatok vonatkozásában az ezen irányelvben foglalt valamennyi rendelkezést alkalmazni kell.

(3)      A légi fuvarozók a PNR‑adatokat elektronikus úton, a 17. cikk (2) bekezdésében említett vizsgálóbizottsági eljárással összhangban elfogadandó közös protokollok és támogatott adatformátumok használatával, technikai hiba esetén pedig bármely más megfelelő módon, az adatvédelem megfelelő szintjét biztosítva a következők szerint továbbítják:

a)      24–48 órával a légi járat tervezett indulási időpontját megelőzően; valamint

b)      közvetlenül a beszállás lezárását követően, vagyis amikor az utasok beszálltak a felszállásra készülő repülőgépre, és az utasok beszállása vagy kiszállása már nem lehetséges.”

31      Az említett irányelvnek „Az adatmegőrzés időtartama és a személytelenítés” című 12. cikke a következőképpen rendelkezik:

„(1)      A tagállamok biztosítják, hogy a légi fuvarozók által az utas‑adat információs egység részére szolgáltatott PNR‑adatokat az utas‑adat információs egységhez történő továbbításukat követően öt évig megőrizzék azon tagállam utas‑adat információs egységének adatbázisában, amelynek a területén a légi járat leszállt vagy felszállt.

(2)      A PNR‑adatoknak az (1) bekezdésben említett továbbítását követő hat hónap lejártával az összes PNR‑adatot személyazonosításra alkalmatlanná kell tenni az azon utasok közvetlen beazonosítására alkalmas alábbi adatelemek elrejtése útján, akikre a PNR‑adatok vonatkoznak:

a)      név(nevek), beleértve a PNR‑ban szereplő egyéb utasok nevei és az utas‑nyilvántartási adatállomány szerint együtt utazó utazók száma;

b)      cím és elérhetőség;

c)      kifizetésekhez kapcsolódó valamennyi adat, beleértve a számlázási cím, amennyiben olyan információt tartalmaz, amely alkalmas lehet azon utas közvetlen beazonosítására, akire a PNR‑adatok vonatkoznak, illetve bármely más személy beazonosítására;

d)      törzsutas‑adatok;

e)      általános megjegyzések, amennyiben olyan információt tartalmaznak, amely alkalmas lehet azon utas közvetlen beazonosítására, akire a PNR‑adatok vonatkoznak;

f)      minden összegyűjtött előzetes utas‑információs adat.

(3)      A (2) bekezdésben említett hat hónap lejártával a teljes PNR‑adatok közlése csak akkor engedélyezhető, ha

a)      alapos okkal feltételezhető, hogy ez a 6. cikk (2) bekezdésének b) pontjában említett célból szükséges, és

b)      azt jóváhagyta:

i.      egy igazságügyi hatóság, vagy

ii.      a nemzeti jog alapján az adatok közlésére vonatkozó feltételek teljesülésének ellenőrzésére hatáskörrel rendelkező más nemzeti hatóság, ebben az esetben az utas‑adat információs egység adatvédelmi tisztviselőjét erről tájékoztatni kell, és az adatvédelmi tisztviselő utólagos ellenőrizést végez.

(4)      A tagállamok biztosítják, hogy a PNR‑adatokat az (1) bekezdésben meghatározott időszak lejártával véglegesen törlik. Ez a kötelezettség nem érinti azokat az eseteket, amikor konkrét PNR‑adatokat továbbítottak valamely illetékes hatóság számára, és azokat egy konkrét ügy összefüggésében terrorista bűncselekmény vagy súlyos bűncselekmény megelőzése, felderítése, nyomozása vagy üldözése céljából használják fel, amely esetben az ilyen adatok illetékes hatóság általi megőrzését a tagállam nemzeti joga szabályozza.

(5)      A 6. cikk (2) bekezdésének a) pontjában említett adatkezelés eredményét az utas‑adat információs egység kizárólag addig őrzi meg, ameddig az az illetékes hatóságoknak és más tagállamok utas‑adat információs egységeinek a 9. cikk (1) bekezdésével összhangban, a pozitív találatról történő tájékoztatása érdekében szükséges. Amennyiben egy automatizált adatkezelés eredménye a 6. cikk (5) bekezdésében említett, nem automatizált eszközökkel végzett egyedi felülvizsgálat alapján negatívnak bizonyul, az eredményt a későbbi »téves« pozitív találatok elkerülése érdekében továbbra is tárolni lehet mindaddig, ameddig az alapul szolgáló adatokat az e cikk (4) bekezdése alapján nem törlik.”

32      A PNR‑irányelvnek „A személyes adatok védelme” című 13. cikke az (1)–(5) bekezdésében a következőket mondja ki:

„(1)      Valamennyi tagállam előírja, hogy a személyes adatok ezen irányelv szerinti kezelésének valamennyi formája vonatkozásában minden utast egyenlő jogok illetnek meg, nevezetesen a személyes adatok védelméhez való jog, a hozzáféréshez való jog, a helyesbítéshez, törléshez és a korlátozáshoz való jog, a kártérítéshez való jog és a bírósági jogorvoslathoz való jogok, az uniós és nemzeti jogszabályokban, valamint a [2008/977 kerethatározat] 17., 18., 19. és 20. cikkének végrehajtása révén meghatározottaknak megfelelően. Az említett cikkeket következésképpen alkalmazni kell.

(2)      Valamennyi tagállam előírja, hogy a [2008/977 kerethatározat] 21. és 22. cikkének végrehajtására szolgáló, az adatkezelés bizalmas jellegével és az adatbiztonsággal kapcsolatos nemzeti jogszabályi rendelkezéseket az ezen irányelv szerinti minden személyes adat kezelésére is alkalmazni kell.

(3)      Ez az irányelv nem érinti azt, hogy a [95/46 irányelvet] kell alkalmazni a személyes adatok légi fuvarozók általi kezelésére, különös tekintettel azon kötelezettségükre, hogy a személyes adatok biztonsága és bizalmas kezelése érdekében meghozzák a megfelelő technikai és szervezési intézkedéseket.

(4)      A tagállamok megtiltják az olyan PNR‑adatok kezelését, amelyek a személyek faji vagy etnikai hovatartozására, politikai véleményére, vallási vagy világnézeti meggyőződésére, szakszervezeti tagságára, egészségi állapotára, szexuális életére vagy szexuális irányultságára vonatkoznak. Amennyiben az utas‑adat információs egység ilyen információt feltáró PNR‑adatokat kap, azokat haladéktalanul törli.

(5)      A tagállamok biztosítják, hogy az utas‑adat információs egység a felelősségi körébe tartozó összes adatkezelési rendszerről és eljárásról dokumentációt vezessen. A dokumentációnak legalább a következőket kell tartalmaznia:

a)      az utas‑adat információs egységen belül a PNR‑adatok kezelésével megbízott szervezet és személyzet nevét és elérhetőségeit, és a hozzáférési jogosultság különböző szintjeit;

b)      az illetékes hatóságoktól és más tagállamok utas‑adat információs egységeitől érkezett megkereséseket;

c)      a harmadik országok felé intézett összes megkeresést és adattovábbítást.

Az utas‑adat információs egység megkeresés alapján az összes ilyen dokumentációt a nemzeti felügyeleti hatóság rendelkezésére bocsátja.”

33      Ezen irányelvnek a „Nemzeti felügyeleti hatóság” című 15. cikke értelmében:

„(1)      Valamennyi tagállam előírja, hogy a [2008/977 kerethatározat] 25. cikkében említett nemzeti felügyeleti hatóság felelős az ezen irányelv szerint elfogadott tagállami rendelkezéseknek a területén történő alkalmazásával kapcsolatos tanácsadásért és az alkalmazás ellenőrzéséért. A 2008/977/IB kerethatározat 25. cikkét alkalmazni kell.

(2)      Ezek a nemzeti felügyeleti hatóságok a személyes adatok kezeléséhez kapcsolódó alapvető jogok védelme érdekében, az (1) bekezdésben foglaltaknak megfelelően végzik tevékenységüket.

(3)      Minden nemzeti felügyeleti hatóság:

a)      foglalkozik bármely érintett által benyújtott panasszal, kivizsgálja az ügyet, és észszerű időn belül tájékoztatja az érintettet a panaszával kapcsolatos fejleményekről és annak eredményéről;

b)      ellenőrzi az adatkezelés jogszerűségét, saját kezdeményezésre vagy az a) pontban említett panasz nyomán a nemzeti joggal összhangban vizsgálatokat, ellenőrzéseket és auditokat folytat le.

(4)      Az egyes nemzeti felügyeleti hatóságok – megkeresésre – bármely érintettnek az ezen irányelv szerint elfogadott rendelkezésekben meghatározott jogai gyakorlásával kapcsolatban tanácsot adnak.”

34      Az említett irányelv „Felülvizsgálat” című 19. cikke a következőket írja elő:

„(1)      A tagállamok által szolgáltatott információk, többek között a 20. cikk (2) bekezdésében említett statisztikai információk alapján a Bizottság 2020. május 25‑ig felülvizsgálatot végez ezen irányelv valamennyi eleme vonatkozásában, és jelentést nyújt be és terjeszt elő az Európai Parlamentnek és [az Európai Unió Tanácsának].

(2)      A Bizottság a felülvizsgálat során különös figyelmet szentel:

a)      a személyes adatok védelmével kapcsolatos alkalmazandó normák betartásának;

b)      az ezen irányelv által meghatározott minden egyes célból történő PNR‑adatok gyűjtése és kezelése szükségességének és arányosságának;

c)      az adatmegőrzési időszak hosszának;

d)      a tagállamok közötti információcsere hatékonyságának, és

e)      az értékelések minőségének, többek között a 20. cikk szerint gyűjtött statisztikai adatok tekintetében.

(3)      Az (1) bekezdésben említett jelentésben ismertetni kell annak a vizsgálatát is, hogy a PNR‑adatok kötelező gyűjtése és továbbítása szükséges, arányos és hatékony lenne‑e ezen irányelv hatályán belül az összes EU‑n belüli légi járat vagy azok egy része tekintetében. A Bizottság figyelembe veszi a tagállamok tapasztalatait, különösen azon tagállamokéit, amelyek a 2. cikkel összhangban az EU‑n belüli légi járatok vonatkozásában is alkalmazzák ezen irányelvet. A jelentésben meg kell vizsgálni azt is, hogy szükséges‑e ezen irányelv hatálya alá vonni az utasok szállítását nem végző más gazdasági szereplőket, így például az utazási irodákat és utazással kapcsolatos szolgáltatásokat nyújtó, ideértve a járatfoglalásokat végző utazásszervezőket.

(4)      A Bizottság adott esetben, az e cikk szerint elvégzett felülvizsgálat függvényében, jogalkotási javaslatot nyújt be az Európai Parlamentnek és a Tanácsnak ezen irányelv módosítására.”

35      Ugyanezen irányelv „Más jogi eszközökkel való kapcsolat” című 21. cikke a (2) bekezdésében a következőket mondja ki:

„Ez az irányelv nem érinti azt, hogy a [95/46 irányelvet] alkalmazni kell a személyes adatok légi fuvarozók általi kezelésére.”

36      A PNR‑irányelvnek „A légi fuvarozók által összegyűjtött utas‑nyilvántartási adatállomány” című I. melléklete a következőképpen rendelkezik:

„1.      Nyilvántartási helymeghatározó kód (PNR rekord lokátor)

2.      Helyfoglalás/jegykiállítás dátuma

3.      A tervezett utazás dátuma(i)

4.      Név (nevek)

5.      Cím és elérhetőségre vonatkozó információk (telefonszám, e‑mail cím)

6.      A fizetésekhez kapcsolódó valamennyi információ, beleértve a számlázási címet is

7.      Az utazás teljes útvonala az adott utas‑nyilvántartási adatállomány vonatkozásában

8.      Törzsutas‑adatok

9.      Utazási iroda/utazásközvetítő

10.      Az »utas utazási státusa«, ideértve a visszaigazolásokat, az utasfelvételi státust, a jegykezelésre nem jelentkezett (no show)/foglalás nélkül utazó utasokra (go show) vonatkozó adatot

11.      Megosztott/szétosztott PNR‑információ

12.      Általános megjegyzések (beleértve a felügyelet nélkül utazó, 18 év alatti kiskorúakra vonatkozó minden rendelkezésre álló információt, így a kiskorú nevét és nemét, életkorát, az általa beszélt nyelvet vagy nyelveket, az indulási oldalon megjelent gondviselő nevét és elérhetőségét, valamint a kiskorúhoz fűződő kapcsolatát, az érkezési oldalon a kiskorút váró gondviselő nevét és elérhetőségét, valamint a kiskorúhoz fűződő kapcsolatát, az indulási és az érkezési oldalon megbízott személyt)

13.      Jegykiállítással kapcsolatos adatok, úgymint a jegy sorszáma, a jegykiállítás és az egy útra szóló jegyek dátuma, automatikus árlekérdezés

14.      Az ülőhely száma és egyéb ülőhely‑információk

15.      Megosztott járattal kapcsolatos adatok

16.      Valamennyi poggyászra vonatkozó információ

17.      Az egy PNR‑hoz kapcsolódó egyéb utazók száma és neve

18.      Minden összegyűjtött előzetes utasinformációs (API) adat (beleértve a személyi okmány típusát, számát, kiállító országát és lejárati idejét, az állampolgárságot, családi nevet, utónevet, nemet, születési időt, légitársaságot, járatszámot, az indulás dátumát, az érkezés dátumát, az indulási repülőteret, az érkezési repülőteret, az indulási időt és az érkezési időt)

19.      Az 1–18. pontban megjelölt PNR‑adatok összes korábbi módosítása.”

37      Ezen irányelvnek „A 3. cikk (9) pontjában említett bűncselekmények listája” című II. melléklete a következőképpen szól:

„1.      bűnszervezetben való részvétel;

2.      emberkereskedelem;

3.      gyermekek szexuális kizsákmányolása és gyermekpornográfia;

4.      kábítószerek és pszichotróp anyagok tiltott kereskedelme;

5.      fegyverek, lőszerek és robbanóanyagok tiltott kereskedelme;

6.      korrupció;

7.      csalás, ideértve az Unió pénzügyi érdekeit sértő csalást is;

8.      bűncselekményből származó jövedelem tisztára mosása és pénzhamisítás, beleértve az eurohamisítást is;

9.      számítógépes bűncselekmény/kiberbűnözés;

10.      környezetkárósító bűnözés, beleértve a veszélyeztetett állatfajok, valamint a veszélyeztetett növényfajok és ‑fajták tiltott kereskedelmét;

11.      jogellenes beutazás és tartózkodás elősegítése;

12.      szándékos emberölés, súlyos testi sértés;

13.      emberi szervek és szövetek tiltott kereskedelme;

14.      emberrablás, személyi szabadság megsértése és túszejtés;

15.      szervezett és fegyveres rablás;

16.      kulturális javak – ezen belül régiségek és műtárgyak – tiltott kereskedelme;

17.      termékhamisítás és szerzői jog megsértése;

18.      okmányhamisítása és hamisított okmányokkal való kereskedelem;

19.      hormontartalmú anyagok és más növekedésserkentők tiltott kereskedelme;

20.      nukleáris vagy radioaktív anyagok tiltott kereskedelme;

21.      erőszakos nemi közösülés;

22.      a Nemzetközi Büntetőbíróság joghatósága alá tartozó bűncselekmények;

23.      légi jármű/hajó jogellenes hatalomba kerítése;

24.      szabotázs;

25.      lopott gépjárművek kereskedelme;

26.      ipari kémkedés.”

7.      A 2002/475 kerethatározat

38      A 2002/475 kerethatározat 1. cikke a „terrorista bűncselekmény” fogalmát az ugyanezen cikk a)–i) pontjában említett olyan szándékos cselekmények felsorolásával határozta meg, amelyeket azzal a céllal követnek el, hogy „a lakosságot komolyan megfélemlítsék”, „állami szervet vagy nemzetközi szervezetet jogellenesen arra kényszerítsenek, hogy valamely intézkedést megtegyen vagy ne tegyen meg”, vagy „egy állam vagy nemzetközi szervezet alapvető politikai, alkotmányos, gazdasági vagy társadalmi rendjét súlyosan megzavarják vagy lerombolják”. E kerethatározat 2. és 3. cikke meghatározta a „[t]errorista csoporthoz kapcsolódó bűncselekmények”, illetve a „[t]errorista tevékenységekkel összefüggő bűncselekmények” fogalmát. Az említett kerethatározat 4. cikke a bűncselekményekre való felbujtást, illetve az azokhoz nyújtott bűnsegélyt, valamint a bűncselekmények elkövetésének kísérletét szabályozta.

39      A 2002/475 kerethatározatot hatályon kívül helyezte a terrorizmus elleni küzdelemről, a 2002/475/IB tanácsi kerethatározat felváltásáról, valamint a 2005/671/IB tanácsi határozat módosításáról szóló, 2017. március 15‑i (EU) 2017/541 európai parlamenti és tanácsi irányelv (HL 2017. L 88., 6. o.; helyesbítés: HL 2018. L 91., 30. o.), amelynek 3–14. cikke hasonló fogalommeghatározásokat tartalmaz.

B.      A belga jog

1.      Az alkotmány

40      Az alkotmány 22. cikke a következőképpen rendelkezik:

„Mindenkinek joga van magán‑ és családi életének tiszteletben tartásához, kivéve a törvényben meghatározott eseteket és feltételeket.

E jog védelmét törvény, rendelet vagy a 134. cikkben említett jogszabály biztosítja.”

2.      A 2016. december 25‑i törvény

41      A loi du 25 décembre 2016, relative au traitement des données des passagers (az utasok adatainak kezeléséről szóló, 2016. december 25‑i törvény, Moniteur belge, 2017. január 25., 12 905. o.; továbbiakban: 2016. december 25‑i törvény) 2. cikke a következőképpen szól:

„A jelen törvény és a végrehajtására elfogadandó királyi rendeletek ültetik át [az API‑irányelvet] és a [PNR‑irányelvet]. A jelen törvény és a tengerészeti ágazatról szóló királyi rendelet ülteti át részlegesen a [2010/65] irányelvet.”

42      E törvény 3. cikke a következőképpen rendelkezik:

„1. §      A jelen törvény meghatározza a fuvarozókat és az utazásszervezőket terhelő, a nemzeti területre beutazó, onnan kiutazó és azon átutazó utasok adatainak továbbítására vonatkozó kötelezettségeket.

2. §      A Király a minisztertanács keretében hozott rendeletben a személyes adatok védelméért felelős bizottság véleményének kikérését követően közlekedési ágazatonként, illetve az utazási vállalkozások számára meghatározza az utasok továbbítandó adatait és a továbbítás részletszabályait.”

43      Az említett törvény 4. cikke a következőket írja elő:

„A jelen törvény és a végrehajtására kiadott rendeletek alkalmazásában az alábbi kifejezések értelmezése a következő:

[…]

8°      »az illetékes szolgálatok«: a 14. cikk 1. §‑ának 2° pontjában említett szolgálatok;

9°      »PNR«: olyan adatállomány, amely az egyes utasoknak az utazáshoz kötelezően megadandó adatait tartalmazza, és amely a 9. cikkben hivatkozott minden olyan információt magában foglal, amelyek ahhoz szükségesek, hogy a jegyet kiállító és a fuvarozásban részt vevő légi fuvarozók és utazási vállalkozások elvégezhessék és ellenőrizhessék a foglalásokat minden egyes személyesen vagy más nevére történt útvonalfoglalás esetében, függetlenül attól, hogy azokat légi járatok utasfelvételi‑helyfoglalási rendszerek, indulás‑ellenőrzési rendszerek (amelyet utasfelvételi eljárásra is használnak), vagy ugyanilyen feladatokat ellátó egyenértékű rendszerek szolgáltatják‑e;

10°      »utas«: egy légi jármű fedélzetén a fuvarozó által és a fuvarozónak az adott személy utasjegyzékbe történő felvételében megnyilvánuló hozzájárulásával szállított vagy szállítandó személy – beleértve a tranzit‑ vagy átszálló utasokat is –, a személyzet kivételével;

[…]”

44      A 2016. december 25‑i törvény 8. cikke a következőket mondja ki:

„1. §      Az utasok adatait az alábbi célokból kezelik:

1°      a Code d’Instruction criminelle [belga büntetőeljárási törvény] 90ter. cikke 2. §‑ának […] 7°, […] 8°, […] 11°, […] 14°, […] 17°, 18° és 19°pontjában és 3. §‑ában meghatározott bűncselekmények nyomozása, az azokkal kapcsolatos büntetőeljárás lefolytatása, a büntetések és szabadságkorlátozó intézkedések végrehajtását is beleértve;

2°      a Code pénal [büntető törvénykönyv] 196. cikkében a magán‑ és közokirat hamisítást illetően, valamint a 198., 199., 199bis., 207., 213., 375. és 505. cikkében említett bűncselekményekkel kapcsolatban az említett bűncselekmények nyomozása, az azokkal kapcsolatos büntetőeljárás lefolytatása, a büntetések vagy szabadságkorlátozó intézkedések végrehajtását is beleértve;

[…]

4°      a loi du 30 novembre 1998 organique des services de renseignement et de sécurité [a hírszerzési és biztonsági szervekről szóló, 1998. november 30‑i sarkalatos törvény] 7. cikkének 1° pontjában és 3° pontjának 1. alpontjában, 11. cikke 1. §‑ának 1°‑3° és 5° pontjában hivatkozott tevékenységek figyelemmel kísérése;

5°      a loi générale sur les douanes et accises du 18 juillet 1977 [1977. július 18‑i általános vám‑ és jövedéki törvény] 220. cikkének 2. §‑ában és a loi du 22 décembre 2009 relative au régime général d’accise [a jövedéki adók általános rendszeréről szóló, 2009. december 22‑i törvény] 45. cikkének (3) bekezdésében említett bűncselekmények nyomozása és az azokkal kapcsolatos büntetőeljárás lefolytatása […]

2. §      A 11. fejezetben előírt feltételek tiszteletben tartásával az utasok adatait a személyek külső határokon történő ellenőrzésének javítása és az illegális bevándorlás elleni küzdelem céljából is kezelik.”

45      E törvény 14. cikkének 1. §‑a értelmében:

„Az utas‑adat információs egység összetétele a következő:

[…]

2°      az alábbi illetékes szolgálatok kirendelt tagjai:

a)      a két szervezeti szinttel rendelkező, integrált rendőrségi szolgálat megszervezéséről szóló, 1998. december 7‑i törvény hatálya alá tartozó rendőrségi szolgálatok;

b)      a hírszerzési és biztonsági szervekről szóló, 1998. november 30‑i sarkalatos törvényben említett állambiztonsági szolgálat;

c)      a hírszerzési és biztonsági szervekről szóló, 1998. november 30‑i sarkalatos törvényben említett hírszerzési és biztonsági szolgálat;

[…]”

46      Az említett törvény 24. cikke, amely ugyanezen törvény adatkezelésre vonatkozó 10. fejezetének „Az utasok adatainak az utasok előzetes értékelése keretében végzett kezelése” című 1. szakaszában szerepel, a következőképpen szól:

„1. §      Az utasok adatait az utasoknak az államterületre való érkezését, onnan való indulását vagy azon történő átutazását megelőző, annak meghatározására irányuló előzetes értékelés elvégzése céljából kezelik, hogy mely személyek esetében kell további vizsgálatot végezni.

2. §      A hírszerzési és biztonsági szolgálatokról szóló, 1998. november 30‑i törvény 8. cikke 1. §‑ának 1°, 4° és 5° pontjában említett célokkal összefüggésben, illetve a 8. cikk 1° pontjának a), b), c), d), f) és g) alpontjában és 11. cikkének 2. §‑ában említett fenyegetésekkel kapcsolatban az utasok előzetes értékelése az utasok adatainak az alábbiakkal való összevetéséből származó pozitív találaton alapul:

1°      az illetékes szolgálatok által létrehozott vagy számukra a feladataik ellátása során közvetlenül rendelkezésre álló vagy hozzáférhető adatbázisok, illetve az illetékes szolgálatok által feladataik ellátása során összeállított személylisták;

2°      az utas‑adat információs egység által a 25. cikkben előzetesen meghatározott értékelési kritériumok.

3. §      A 8. cikk 1. §‑ának 3° pontjában említett célokkal összefüggésben az utasok előzetes értékelése az utasadatoknak a 8. cikk 2. §‑ának 1° pontjában említett adatbázisokkal való összevetéséből származó pozitív találaton alapul.

4. §      A pozitív találatot az arról szóló automatizált értesítés kézhezvételétől számított huszonnégy órán belül validálnia kell az utas‑adat információs egységnek.

5. §      E validálás időpontját követően azon illetékes szolgálat, amelytől e pozitív találat ered, a lehető leggyorsabban biztosítja e találat nyomon követését.”

47      A 2016. december 25‑i törvénynek „Az utasok adatainak a határellenőrzés javítása és az illegális bevándorlás elleni küzdelem érdekében való kezelése” című 11. fejezete tartalmazza e törvény 28–31. cikkét.

48      E törvény 28. cikke a következőképpen rendelkezik:

„1. §      A jelen fejezet az utasok adatainak azon kezelésére alkalmazandó, amelyet a határellenőrzést folytató rendőrségi szolgálatok és az idegenrendészeti hivatal a személyek külső határokon történő ellenőrzésének javítása és az illegális bevándorlás elleni küzdelem céljából végeznek.

2. §      E fejezet nem érinti a határellenőrzést folytató rendőrségi szolgálatokat és az idegenrendészeti hivatalt a törvényi vagy rendeleti rendelkezések alapján terhelő, a személyes adatok vagy információk továbbítására vonatkozó kötelezettségeket.”

49      Az említett törvény 29. cikke értelmében:

„1. §      Az utasok adatait a 28. cikk 1. §‑ában említett célokból továbbítják a határellenőrzést végző rendőrségi szolgálatok és az idegenrendészeti hivatal számára, ezáltal lehetővé téve számukra, hogy a jelen cikkben megállapított korlátokon belül elláthassák a jogszabályban rögzített feladataikat.

2. §      Kizárólag a 9. cikk 1. §‑ának 18° pontja szerinti, az utasok alábbi kategóriáira vonatkozó adatokat továbbítják:

1°      az államterületre Belgium külső határain belépni szándékozó vagy belépett utasok;

2°      az államterületről Belgium külső határain kilépni szándékozó vagy kilépett utasok;

3°      a Belgiumban található nemzetközi tranzitzónán áthaladni szándékozó, ott található vagy azon áthaladt utasok.

3. §      A 2. §‑ban hivatkozott utas‑adatokat az utas‑adatbankban való rögzítésüket követően haladéktalanul továbbítják a Belgium külső határainak ellenőrzését végző rendőrségi szolgálatoknak. E szolgálatok az említett adatokat ideiglenes fájlban tárolják, és a továbbítást követően 24 órán belül törlik.

4. §      Amennyiben erre a jogszabályban rögzített feladatai ellátásához szükség van, a 2. §‑ban hivatkozott utas‑adatokat az utas‑adatbankban való rögzítésüket követően haladéktalanul továbbítják az idegenrendészeti hivatalnak. Ez az említett adatokat ideiglenes fájlban tárolja, és a továbbítást követően 24 órán belül törli.

Amennyiben e határidő lejártát követően a 2. §‑ban említett utasadatokhoz való hozzáférés szükséges a jogszabályban rögzített feladatainak ellátásához, az idegenrendészeti hivatal kellő indokolással ellátott megkeresést küld az utas‑adat információs egység részére.

[…]”

50      A 2016. december 25‑i törvényt az arrêté royal du 18 juillet 2017 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les compagnies aériennes (a 2016. december 25‑i törvény végrehajtására vonatkozó, az ott rögzített kötelezettségek légi társaságokra való alkalmazásáról szóló, 2017. július 18‑i királyi rendelet, Moniteur belge, 2017. július 28., 75 934. o.), az arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs HST et distributeurs de tickets HST (a 2016. december 25‑i törvény végrehajtására vonatkozó, az ott rögzített kötelezettségek HST‑fuvarozókra és a HST‑jegyértékesítőkre való alkalmazásáról szóló, 2019. február 3‑i királyi rendelet, Moniteur belge, 2019. február 12., 13 018. o.), illetve az arrêté royal du 3 février 2019 relatif à l’exécution de la loi du 25 décembre 2016, reprenant les obligations pour les transporteurs par bus (a 2016. december 25‑i törvény végrehajtására vonatkozó, az ott rögzített kötelezettségek buszfuvarozókra való alkalmazásáról szóló, 2019. február 3‑i királyi rendelet, Moniteur belge, 2019. február 12., 13 023. o.) alkalmazandóvá tett a légitársaságokra, a nemzetközi személyszállítási szolgáltatást nyújtó fuvarozókra (HST) és az e fuvarozókkal szerződéses kapcsolatban álló utazásközvetítőkre, illetve a buszfuvarozókra.

II.    Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések

51      A 2017. július 24‑én benyújtott keresetlevelével a Ligue des droits humains a 2016. december 25‑i törvény teljes vagy részleges megsemmisítése iránti keresettel fordult a Cour constitutionnelle‑hez (alkotmánybíróság, Belgium).

52      A kérdést előterjesztő bíróság által ismertetettek szerint ez a törvény ülteti át a belső jogba a PNR‑irányelvet és az API‑irányelvet, valamint részben a 2010/65 irányelvet. Az említett törvény előkészítő anyagaiból kitűnik, hogy az „olyan jogi keret létrehozására irányul, amely arra kötelezi a nemzetközi jellegű személyszállítás különböző (légi, vasúti, nemzetközi közúti és tengeri) ágazatait, valamint az utazási vállalkozásokat, hogy továbbítsák utasaik adatait egy a [Service public fédéral intérieur (szövetségi belügyi szolgálat, Belgium)] által kezelt adatbázis felé”. A nemzeti jogalkotó emellett kifejtette, hogy a 2016. december 25‑i törvény céljai három kategóriába sorolhatók: először is a bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása, másodszor a hírszerzési és biztonsági szervek feladatai, harmadszor pedig a külső határokon történő ellenőrzés javítása és az illegális bevándorlás elleni küzdelem.

53      Keresetének alátámasztása érdekében a Ligue des droits humains két jogalapra hivatkozik, amelyek közül az első az alkotmánynak az általános adatvédelmi rendelet 23. cikkével, a Charta 7. és 8. cikkével, valamint 52. cikke (1) bekezdésével, továbbá az EJEE 8. cikkével összefüggésben értelmezett 22. cikkének a megsértésén, míg a másodlagosan hivatkozott második jogalap ugyanezen, az EUSZ 3. cikk (2) bekezdésével és a Charta 45. cikkével összefüggésben értelmezett 22. cikknek a megsértésén alapul.

54      Első jogalapjával a Ligue des droits humains lényegében azt állítja, hogy e törvény a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jogba való beavatkozást tartalmaz, amely nem felel meg a Charta 52. cikke (1) bekezdésének, és különösen az arányosság elvének. Az említett törvény hatálya és – az adott esetben érzékeny információkat feltáró – gyűjtött adatok meghatározása ugyanis túlságosan tág. Hasonlóképpen, az „utas” ugyanezen törvény értelmében vett fogalma lehetővé teszi valamennyi utas adatainak automatizált, szisztematikus és nem célzott kezelését. Ezenkívül nem kellően egyértelműen határozták meg a prescreening módszer jellegét és részletes szabályait, valamint azokat az adatbázisokat, amelyekkel ezen adatokat a továbbítást követően összevetik. Egyébiránt a 2016. december 25‑i törvény a PNR‑irányelv céljaitól eltérő célokat követ. Végül az e törvényben az említett adatok megőrzésére előírt ötéves határidő aránytalan.

55      Második jogalapjával, amely a 2016. december 25‑i törvény 3. cikkének 1. §‑ára, 8. cikkének 2. §‑ára, valamint 28–31. cikkére vonatkozik, a Ligue des droits humains azt állítja, hogy a PNR‑irányelv által előírt rendszernek az Unión belüli szállításokra való kiterjesztésével e rendelkezések azzal a hatással járnak, hogy közvetve visszaállítják a belső határokon folytatott, a személyek szabad mozgásával ellentétes ellenőrzéseket. Amennyiben ugyanis valamely személy Belgium területén tartózkodik, akár a megérkezésekor, a távozásakor vagy az átszállásakor, automatikusan sor kerül az adatai gyűjtésére.

56      A minisztertanács vitatja ezt az érvelést. Konkrétabban úgy véli, hogy az első jogalap elfogadhatatlan, amennyiben az az általános adatvédelmi rendeletre vonatkozik, amely nem alkalmazandó a 2016. december 25‑i törvényre. Egyébiránt az adatoknak az e törvényben előírt kezelése a PNR‑irányelvvel összhangban alapvető eszközt képez különösen a terrorizmus és a súlyos bűncselekmények elleni küzdelem keretében, az említett törvényből fakadó intézkedések pedig szükségesek az elérni kívánt célok megvalósításához és arányosak.

57      Az első jogalapot illetően a kérdést előterjesztő bíróság mindenekelőtt arra keresi a választ, hogy az általános adatvédelmi rendelet által előírt védelem alkalmazható‑e az elsődlegesen a PNR‑irányelv végrehajtására irányuló, 2016. december 25‑i törvény által bevezetett adatkezelésre. E bíróság ezt követően a 2017. július 26‑i 1/15 (EU‑Kanada PNR‑megállapodás) véleményből (EU:C:2017:592) eredő ítélkezési gyakorlatra hivatkozva megállapítja, hogy a PNR‑adatoknak az ezen irányelv 3. cikkének 5. pontjában, valamint I. mellékletében szereplő meghatározása egyrészt nem kellően egyértelmű és pontos, mivel bizonyos ilyen adatok e rendelkezésekben szereplő leírása nem kimerítő jellegű, másrészt pedig közvetetten érzékeny adatok felfedéséhez vezethet. Ezenkívül az „utas” fogalmának az említett irányelv 3. cikkének 4. pontjában szereplő meghatározása azzal a következménnyel járhat, hogy a PNR‑adatok gyűjtése, továbbítása, kezelése és tárolása általános és különbségtétel nélküli kötelezettségnek minősül, amely az utaslistán szereplő minden szállított vagy szállítandó személyt érint, függetlenül attól, hogy fennáll‑e olyan nyomós ok, amely alapján feltételezhető, hogy e személy bűncselekményt követett el, vagy készül elkövetni, vagy bűncselekmény elkövetése miatt elítélték.

58      Az említett bíróság megjegyzi továbbá, hogy a PNR‑adatokat a PNR‑irányelv rendelkezéseinek megfelelően szisztematikusan előzetes értékelésnek vetik alá, amely magában foglalja az előre meghatározott adatbázisokkal vagy kritériumokkal való keresztellenőrzésüket a találatok megállapítása céljából. Márpedig az Európa Tanács 108. sz. egyezményének tanácsadó bizottsága az utasadatok kezelésének adatvédelmi vonatkozásairól szóló, 2016. augusztus 19‑i véleményében [T‑PD(2016)18rev] rámutatott arra, hogy a személyes adatok kezelése valamennyi utasra vonatkozik, és nem csupán azokra a célzott egyénekre, akiknek az esetében fennáll a bűncselekményben való érintettség vagy annak gyanúja, hogy közvetlen fenyegetést jelentenek a nemzetbiztonságra vagy a közrendre, valamint hogy a PNR‑adatok nem csupán adatbázisokkal vethetők össze (data matching), hanem emellett prediktív szelektorok és algoritmusok útján történő adatbányászat útján is kezelhetők (data mining) azon személyek azonosítása céljából, akik bűnözői tevékenységben lehetnek érintettek, vagy ilyen cselekményeket követhetnek el, mivel az utasoknak az adatok megfeleltetése útján történő ilyen értékelése a kiszámíthatósággal kapcsolatos kérdéseket vethet fel, különösen ha arra dinamikus kritériumokat alkalmazó olyan prediktív algoritmusok alapján kerül sor, amelyek az öntanulási képességeik szerint folyamatosan változhatnak. Ebben az összefüggésben a kérdést előterjesztő bíróság úgy véli, hogy bár a kockázati profilok meghatározására szolgáló, előre megállapított kritériumoknak – a 2017. július 26‑i 1/15 (EU–Kanada PNR‑megállapodás) véleménnyel (EU:C:2017:592) összhangban – egyedinek, megbízhatónak és hátrányos megkülönböztetéstől mentesnek kell lenniük, technikailag lehetetlennek tűnik e kritériumok további szűkítése.

59      Ami a PNR‑irányelv 12. cikkében előírt ötéves megőrzési időt és az adatokhoz való hozzáférést illeti, e bíróság rámutat arra, hogy a magánéletvédelmi bizottság (Belgium) az EU‑USA PNR‑megállapodással kapcsolatos egyetértésről szóló törvénytervezetre vonatkozó, 2010. január 13‑i 01/2010. sz. saját kezdeményezésű véleményében úgy vélte, hogy amikor a megőrzési idő hosszú és az adatokat tömegesen tárolják, fokozódik az érintettekkel kapcsolatos profilalkotás kockázata, valamint az adatoknak az eredetitől eltérő célokra való rendeltetésellenes felhasználás veszélye. Ezenfelül az Európa Tanács 108. sz. egyezménye tanácsadó bizottságának 2016. augusztus 19‑i véleményéből kitűnik, hogy a személyazonosításra alkalmatlanná tett adatok még mindig lehetővé teszik a személyek azonosítását, és ennek alapján személyes adatok maradnak, megőrzésük idejét pedig korlátozni kell az állandó általános felügyelet elkerülése érdekében.

60      E körülmények között és a többek között a 2017. július 26‑i 1/15 (EU–Kanada PNR‑megállapodás) véleményből (EU:C:2017:592) eredő ítélkezési gyakorlatra tekintettel a kérdést előterjesztő bíróság arra keresi a választ, hogy a PNR‑adatok gyűjtésére, továbbítására, kezelésére és megőrzésére vonatkozó, a PNR‑irányelv által létrehozott rendszer tekinthető‑e úgy, hogy az a feltétlenül szükséges mértékre korlátozódik. E bíróság szerint azt is meg kell határozni, hogy ellentétes‑e ezen irányelvvel az olyan nemzeti szabályozás, amely engedélyezi a PNR‑adatoknak az említett irányelvben meghatározottaktól eltérő célból történő kezelését, és hogy az olyan nemzeti hatóság, mint a 2016. december 25‑i törvénnyel létrehozott utasadat‑információs egység, jóváhagyhatja‑e az összes ilyen adatnak az ugyanezen irányelv 12. cikke szerinti személytelenítésüket követő közlését.

61      A második jogalapot illetően az előterjesztő bíróság rámutat arra, hogy e törvény 3. cikkének 1. §‑a meghatározza a fuvarozókat és az utazásszervezőket terhelő, „a nemzeti területre beutazó, onnan kiutazó és azon átutazó” utasok adatainak továbbítására vonatkozó kötelezettségeket. E bíróság az említett törvény hatályával kapcsolatosan hozzáteszi, hogy a nemzeti jogalkotó úgy határozott, hogy „[a]z Unión belüli elem[et beemeli] az adatgyűjtésbe […] a Közösségen belüli biztonságra, illetve a nemzetbiztonságra potenciális fenyegetést jelentő utasok mozgásának teljesebb feltérképezés[e]” érdekében, amit a PNR‑irányelvnek az ezen irányelv (10) preambulumbekezdésével összefüggésben értelmezett 2. cikke az Unión belüli járatok vonatkozásában előír. Az említett bíróság ezenfelül kifejti, hogy a magánéletvédelmi bizottság a 2016. december 25‑i törvény előzményét képező törvénytervezetről szóló, 2015. december 16‑i 55/2015. sz. véleményében felvetette a belga PNR rendszer és a személyek szabad mozgásának elve közötti esetleges ellentmondás kérdését, amennyiben ez a rendszer az Unión belül végzett szállításokat is magában foglalja.

62      E körülmények között határozott úgy a Cour constitutionnelle (alkotmánybíróság, Belgium), hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:

„1)      A[z általános adatvédelmi rendelet] 2. cikke (2) bekezdésének d) pontjával együttesen értelmezett 23. cikkét úgy kell‑e értelmezni, hogy az alkalmazandó az olyan nemzeti jogszabályra, mint [a PNR‑irányelvet], valamint [az API‑irányelvet] és a 2010/65 irányelvet átültető [2016. december 25‑i törvény]?

2)      [A PNR‑irányelv] I. melléklete összeegyeztethető‑e [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével abban a tekintetben, hogy az ott felsorolt adatok – többek között [az ezen irányelv I. mellékletének] 18. pontjában felsorolt adatok, amelyek meghaladják [az API‑irányelv] 3. cikkének 2. §‑ában felsorolt adatok – igen széles körben kerültek meghatározásra, valamint abban a tekintetben, hogy összességükben érzékeny adatoknak minősülhetnek, ezáltal megsértve a »feltétlenül szükséges« mérték korlátját?

3)      [A PNR‑irányelv I. mellékletének] 12. és 18. pontja összeegyeztethető‑e [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével abban a tekintetben, hogy a »beleértve« kifejezésre figyelemmel az ott említett adatokra példálózó, nem pedig kimerítő jelleggel hivatkoznak, így a magánélet tiszteletben tartásához való jogba és a személyes adatok védelméhez való jogba történő beavatkozást tartalmazó szabályok nem felelnek meg a pontosság és az egyértelműség követelményeinek?

4)      A [PNR‑irányelv] 3. cikkének 4. pontja és [az I. melléklet] összeegyeztethető‑e [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével abban a tekintetben, hogy az utasadatok általános gyűjtésének, továbbításának és kezelésének e rendelkezések által kialakított rendszere bármely olyan személyre vonatkozik, aki az érintett közlekedési eszközt használja, anélkül hogy fennállna bármilyen objektív körülmény, amelynek alapján megállapítható lenne, hogy e személy veszélyt jelenthet a közbiztonságra?

5)      A [PNR‑irányelv] [Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével együttesen értelmezett 6. cikkét úgy kell‑e értelmezni, hogy azzal ellentétes a megtámadott törvényhez hasonló nemzeti jogszabály, amely a PNR‑adatok kezelésének céljaként elfogadja az érintett tevékenységek hírszerzési és biztonsági szervek általi figyelemmel kísérését, e célt ily módon integrálva a terrorista bűncselekmények és súlyos bűncselekmények megelőzésébe, felderítésébe, nyomozásába és üldözésébe?

6)      A [PNR‑irányelv] 6. cikke összeegyeztethető‑e [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével abban a tekintetben, hogy az általa kialakított előzetes értékelés az adatbankokkal és az előre meghatározott kritériumokkal fennálló korreláció révén szisztematikusan és általánosan alkalmazandó az utasadatokra anélkül, hogy fennállna bármilyen objektív körülmény, amelynek alapján megállapítható lenne, hogy ezen utasok veszélyt jelenthetnek a közbiztonságra?

7)      A [PNR‑irányelv] 12. cikkének (3) bekezdésében hivatkozott »hatáskörrel rendelkező más nemzeti hatóság« fogalmát lehet‑e úgy értelmezni, hogy az a [2016. december 25‑i törvény] által létrehozott utas‑adat információs egységre vonatkozik, amely így engedélyezheti egyedi ellenőrzésekkel összefüggésben a hozzáférést a PNR‑adatokhoz a hat hónapos határidő lejártát követően?

8)      A [PNR‑irányelv] irányelvnek [a Charta] 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével együttesen értelmezett 12. cikkét úgy kell‑e értelmezni, hogy azzal ellentétes a megtámadott törvényhez hasonló nemzeti jogszabály, amely általános ötéves adatmegőrzési időt ír elő, semmilyen különbséget nem téve attól függően, hogy az érintett utasok kapcsán az előzetes értékelés eredményeként megállapították‑e a közbiztonsági kockázat fennállását vagy nem?

9)      a)      [Az API‑irányelv] összeegyeztethető‑e az [EUSZ] 3. cikkének (2) bekezdésével, valamint [a Charta] 45. cikkével, amennyiben az általa bevezetett kötelezettségek alkalmazandók az […] Unión belüli járatokra?

b)      Az [EUSZ] 3. cikkének (2) bekezdésével, valamint [a Charta] 45. cikkével együttesen értelmezett [API‑irányelvet] úgy kell‑e értelmezni, hogy azzal ellentétes a megtámadott törvényhez hasonló nemzeti jogszabály, amely az illegális bevándorlás elleni küzdelemre és a határellenőrzések javítására irányuló cél érdekében »a nemzeti területre beutazó, onnan kiutazó és azon átutazó« utasok adatainak gyűjtésére és kezelésére irányuló rendszert ír elő, ami közvetve a belső határellenőrzések visszaállítását jelentheti?

10)      Amennyiben az előző előzetes döntéshozatalra előterjesztett kérdésekre adott válaszok alapján a Cour constitutionnelle‑nek (alkotmánybíróság, Belgium) azt kellene megállapítania, hogy a többek között [a PNR‑irányelvet] átültető megtámadott törvény egy vagy több, az e kérdésekben hivatkozott rendelkezésekből következő kötelezettséget sért, akkor e bíróság ideiglenesen fenntarthatja‑e [a 2016. december 25‑i törvény] hatályát a jogbizonytalanság elkerülése céljából, illetve annak érdekében, hogy a korábban gyűjtött és megőrzött adatokat még fel lehessen használni [a] törvényben hivatkozott célokra?”

III. Az előzetes döntéshozatalra előterjesztett kérdésekről

A.      Az első kérdésről

63      Első kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontját és 23. cikkét úgy kell‑e értelmezni, hogy e rendelet alkalmazandó az olyan nemzeti jogszabály által előírt személyesadat‑kezelésre, amely a PNR‑irányelv és az API‑irányelv, illetve a 2010/65 irányelv rendelkezéseinek a belső jogba való átültetésére irányul különösen a PNR‑adatok továbbítása, megőrzése és kezelése tekintetében.

64      Amint az általános adatvédelmi rendelet 2. cikkének (1) bekezdéséből következik, e rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. Az „adatkezelés” fogalmát az említett rendelet 4. cikkének 2. pontja tágan határozza meg, így az magában foglalja többek között az ilyen adatok vagy adatállományok gyűjtését, rögzítését, tárolását, az azokba való betekintést, a felhasználásukat, a közlésüket továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, az összehangolásukat vagy a törlésüket.

65      A belga kormány ugyanakkor azt állítja, hogy a bűncselekmények megelőzése és felderítése céljából a PNR‑adatoknak a gazdasági szereplők általi, az utasadat‑információs egység részére történő és a PNR‑irányelv 1. cikke (1) bekezdésének a) pontjában és (2) bekezdésében, valamint 8. cikkében előírt továbbítása, amely az általános adatvédelmi rendelet 4. cikkének 2. pontja értelmében a személyes adatok „kezelésének” minősül, az említett rendelet 2. cikke (2) bekezdésének d) pontja értelmében ezen adatok előzetes gyűjtéséhez hasonlóan nem tartozik e rendelet hatálya alá, mivel a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítéletből (C‑317/04 és C‑318/04, EU:C:2006:346, 57–59. pont) eredő ítélkezési gyakorlat, amely a 95/46 irányelv 3. cikke (2) bekezdésének első franciabekezdésére vonatkozik, átültethető az említett rendelet e rendelkezésére.

66      E tekintetben igaz, hogy – amint azt a Bíróság már megállapította – az általános adatvédelmi rendelet által 2018. május 25‑i hatállyal hatályon kívül helyezett és felváltott 95/46 irányelv 3. cikke (2) bekezdésének első franciabekezdése, amelyre az említett ítélkezési gyakorlat vonatkozik, általános jelleggel kizárta ez utóbbi irányelv hatálya alól az olyan „[adat]kezeléseket”, amelyek „a közbiztonsággal, a védelemmel, a nemzetbiztonsággal […] kapcsolatos[ak]”, és nem tett különbséget az érintett adatok kezelői alapján. Így a magánszolgáltatók által végzett, a hatóságok által előírt kötelezettségekből eredő valamennyi adatkezelés adott esetben az e rendelkezésben előírt kivétel hatálya alá tartozhat, figyelemmel arra, hogy e rendelkezés megfogalmazása az adatkezelő személyétől függetlenül a közbiztonsággal, a nemzetvédelemmel, illetve a nemzetbiztonsággal kapcsolatos valamennyi adatkezelésre vonatkozott (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 101. pont).

67      Ugyanakkor az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontja tartalmaz egy ilyen különbségtételt, mivel – amint arra a főtanácsnok az indítványának 41. és 46. pontjában rámutatott – e rendelkezés szövege egyértelművé teszi, hogy két feltétel szükséges ahhoz, hogy az adatkezelés az e rendeletben szabályozott kivétel hatálya alá tartozzon. Noha e feltételek közül az első az adatkezelés céljára, azaz a bűncselekmények megelőzésére, nyomozására, felderítésére, a vádeljárás lefolytatására vagy büntetőjogi szankciók végrehajtására vonatkozik, ezeken belül ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését is, a második feltétel az ezen adatok kezelését végző személyre, vagyis az említett rendelkezés értelmében vett „illetékes hatóságra” vonatkozik.

68      Amint azt a Bíróság szintén megállapította, az általános adatvédelmi rendelet 23. cikke (1) bekezdésének d) és h) pontjából kitűnik, hogy a magánszemélyek által az e rendelet 2. cikke (2) bekezdésének d) pontjában említett célból végzett személyesadat‑kezelés e rendelet hatálya alá tartozik (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 102. pont).

69      Ebből következik, hogy a belga kormány által említett 2006. május 30‑i Parlament kontra Tanács és Bizottság ítéletből (C‑317/04 és C‑318/04, EU:C:2006:346) eredő ítélkezési gyakorlat nem ültethető át az általános adatvédelmi rendelet hatálya alóli azon kivételre, amelyet e rendelet 2. cikke (2) bekezdésének d) pontja tartalmaz.

70      Ezenkívül e kivételt az általános adatvédelmi rendelet 2. cikkének (2) bekezdésében szabályozott, az e rendelet alóli többi kivételhez hasonlóan szigorúan kell értelmezni.

71      Amint az az említett rendelet (19) preambulumbekezdéséből kitűnik, az említett kivételt az a körülmény indokolja, hogy a személyes adatok illetékes hatóságok általi, többek között bűncselekmények megelőzése és felderítése – köztük a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett kezelésére külön uniós jogi aktus, nevezetesen a 2016/680 irányelv az irányadó, amelyet ugyanazon a napon fogadtak el, mint az általános adatvédelmi rendeletet (2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 69. pont).

72      Amint azt egyébiránt a 2016/680 irányelv (9)–(11) preambulumbekezdése pontosítja, az irányelv különös szabályokat állapít meg a természetes személyek ezen adatkezelésekkel szembeni védelmére vonatkozóan, tiszteletben tartva a büntetőügyekben folytatott igazságügyi együttműködés és a rendőrségi együttműködés területére tartozó e tevékenységek sajátos jellegét, míg az általános adatvédelmi rendelet az e személyek védelmére vonatkozó olyan általános szabályokat határoz meg, amelyek akkor alkalmazandók az említett adatkezelésekre, ha a 2016/680 irányelv jelentette különös aktus nem alkalmazható. Így különösen ezen irányelv (11) preambulumbekezdése szerint az általános adatvédelmi rendeletet kell alkalmazni, amennyiben a személyes adatokat az említett irányelv 3. cikkének 7. pontja értelmében vett „illetékes hatóság” az irányelv céljaitól eltérő célból kezeli (lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 70. pont).

73      A jelen ítélet 67. pontjában említett első feltételt, közelebbről pedig a személyes adatok PNR‑irányelvben előírt kezelésének céljait illetően emlékeztetni kell arra, hogy ezen irányelv 1. cikke (2) bekezdésének megfelelően a PNR‑adatokat kizárólag terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából lehet kezelni. E célok az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában és a 2016/680 irányelv 1. cikkének (1) bekezdésében említett célok körébe tartoznak, így az ilyen adatkezelés az e rendelet 2. cikke (2) bekezdésének d) pontjában szereplő kivétel, és következésképpen ezen irányelv hatálya alá tartozhat.

74      Ezzel szemben nem ez a helyzet az API‑irányelvben és a 2010/65 irányelvben szabályozott adatkezelések esetében, amelyek céljai eltérnek az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontjában és a 2016/680 irányelv 1. cikkének (1) bekezdésében foglalt céloktól.

75      Ami ugyanis az API‑irányelvet illeti, annak célja – amint az az (1), (7) és (9) preambulumbekezdéséből, valamint az 1. cikkéből kitűnik – a határellenőrzések javítása és az illegális bevándorlás elleni küzdelem az utasokra vonatkozó adatok illetékes nemzeti hatóságok részére történő, fuvarozók általi továbbítása révén. Egyébiránt ezen irányelv több preambulumbekezdése és rendelkezése nyilvánvalóvá teszi, hogy a végrehajtása céljából előírt adatkezelések az általános adatvédelmi rendelet hatálya alá tartoznak. Így az említett irányelv (12) preambulumbekezdése kimondja, hogy „[a 95/46 irányelvet] a személyes adatok tagállamok hatóságai által végzett feldolgozása tekintetében kell alkalmazni”. Ezenkívül az API‑irányelv 6. cikke (1) bekezdésének ötödik albekezdése pontosítja, hogy a tagállamok „a [95/46 irányelv] szerinti adatvédelmi rendelkezésekkel összhangban” az API‑adatokat bűnüldözési célokra is felhasználhatják, és ezt a megfogalmazást alkalmazza e rendelkezés harmadik albekezdése is. Hasonlóképpen, többek között az API‑irányelv (9) preambulumbekezdésében a „[95/46 irányelv] rendelkezéseinek sérelme nélkül” kifejezés szerepel. Végül az API‑irányelv 6. cikkének (2) bekezdése előírja, hogy a fuvarozóknak „a [95/46 irányelvben] megállapított rendelkezésekkel összhangban” tájékoztatniuk kell az utasokat.

76      Ami a 2010/65 irányelvet illeti, annak (2) preambulumbekezdéséből és 1. cikkének (1) bekezdéséből az következik, hogy ezen irányelv célja a tengeri közlekedésre vonatkozó adminisztratív eljárások egyszerűsítése és harmonizációja az információ elektronikus továbbításának standarddá tétele, valamint a nyilatkozattételi követelmények észszerűsítése révén a tengeri közlekedés megkönnyítése és a hajózási társaságokra nehezedő adminisztratív terhek csökkentése érdekében. Márpedig az említett irányelv 8. cikkének (2) bekezdése megerősíti, hogy az irányelv végrehajtása céljából történő adatkezelések az általános adatvédelmi rendelet hatálya alá tartoznak, e rendelkezés ugyanis arra kötelezi a tagállamokat, hogy a személyes adatok vonatkozásában biztosítsák a 95/46 irányelv tiszteletben tartását.

77      Ebből következik, hogy az API‑irányelv és a 2010/65 irányelv rendelkezéseit a belső jogba átültető nemzeti jogszabály által előírt adatkezelések az általános adatvédelmi rendelet hatálya alá tartoznak. Ezzel szemben a PNR‑irányelvet a belső jogba átültető nemzeti jogszabály által előírt adatkezelések az e rendelet 2. cikke (2) bekezdésének d) pontjában szereplő kivételnek megfelelően kikerülhetnek e rendelet hatálya alól a jelen ítélet 67. pontjában felidézett második feltétel tiszteletben tartása mellett, vagyis amennyiben az adatkezelést az utóbbi rendelkezés értelmében vett illetékes hatóság végzi.

78      E második feltételt illetően a Bíróság kimondta, hogy mivel a 2016/680 irányelv a 3. cikkének 7. pontjában meghatározza, hogy mit kell „illetékes hatóság” alatt érteni, e meghatározást analógia útján az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontja tekintetében is alkalmazni kell (lásd ebben az értelemben: 2021. június 22‑i Latvijas Republikas Saeima (Büntetőpontok) ítélet, C‑439/19, EU:C:2021:504, 69. pont).

79      Márpedig a PNR‑irányelv 4. és 7. cikke értelmében valamennyi tagállamnak ki kell jelölnie a terrorista bűncselekmények és a súlyos bűncselekmények megelőzése, nyomozása, felderítése és a vádeljárás lefolytatása vonatkozásában illetékes hatóságot mint utasadat‑információs egységet, és meg kell állapítaniuk azon illetékes hatóságok listáját, amelyek az utasadat‑információs egységtől a PNR‑adatokat vagy az ilyen adatok kezelésének eredményét kérhetik vagy ezeket megkaphatják, mivel ez utóbbi hatóságok az említett irányelv 7. cikkének (2) bekezdésében kifejtettek értelmében szintén illetékes hatóságoknak minősülnek.

80      Ezen elemekből kitűnik, hogy a PNR‑adatoknak az utasadat‑információs egység és az említett illetékes hatóságok által ilyen célokból végzett kezelései eleget tesznek a jelen ítélet 67. pontjában említett két feltételnek, így ezen adatkezelések magának a PNR‑irányelvnek a rendelkezésein túl a 2016/680 irányelv, nem pedig az általános adatvédelmi rendelet rendelkezéseinek a hatálya alá tartoznak, amit végeredményben a PNR‑irányelv (27) preambulumbekezdése is megerősít.

81      Ezzel szemben a légi fuvarozókhoz hasonló gazdasági szereplők – jóllehet a PNR‑adatok továbbítására vonatkozó jogszabályi kötelezettség terheli őket – nem látnak el közfeladatot, és ezen irányelv nem ruházza fel őket közhatalmi jogosítványokkal, ezért nem tekinthetők a 2016/680 irányelv 3. cikkének (7) bekezdése és az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontja értelmében vett, hatáskörrel rendelkező hatóságoknak, így ezen adatoknak a légi fuvarozók általi gyűjtése és az utasadat‑információs egység részére való továbbítása e rendelet hatálya alá tartozik. Ugyanez a következtetés érvényes a 2016. december 25‑i törvényben szabályozotthoz hasonló azon helyzetre is, amikor az említett adatok gyűjtését és továbbítását más fuvarozók vagy az utazásszervezők végzik.

82      Az előterjesztő bíróság végül a 2016. december 25‑i törvényhez hasonló olyan nemzeti jogszabály elfogadásának esetleges hatásával kapcsolatos kérdést vet fel, amely egyszerre ülteti át a PNR‑irányelv, az API‑irányelv és a 2010/65 irányelv rendelkezéseit. E tekintetben emlékeztetni kell arra, hogy – amint az a jelen ítélet 72. és 75–77. pontjából kitűnik – a két utóbbi irányelv értelmében előírt adatkezelések a személyes adatok kezelése vonatkozásában a természetes személyek védelmére vonatkozó általános szabályokat tartalmazó általános adatvédelmi rendelet hatálya alá tartoznak.

83      Ily módon, amennyiben az e jogszabály alapján végzett adatkezelés az API‑irányelv és/vagy a 2010/65 irányelv hatálya alá tartozik, ezen adatkezelésre alkalmazni kell az általános adatvédelmi rendeletet. Ugyanez vonatkozik az ugyanezen a jogalapon végzett olyan adatkezelésre is, amely a célját tekintve a PNR‑irányelven túl az API‑irányelv és/vagy a 2010/65 irányelv alá tartozik. Végül, amennyiben az ugyanezen jogszabályok alapján végzett adatkezelés a célját tekintve kizárólag a PNR‑irányelv hatálya alá tartozik, az általános adatvédelmi rendeletet kell alkalmazni akkor, ha a PNR‑adatoknak a légi fuvarozók általi gyűjtéséről és az utasadat‑információs egység részére való továbbításáról van szó. Ezzel szemben, amennyiben az ilyen adatkezelést az utasadat‑információs egység vagy a hatáskörrel rendelkező hatóságok végzik a PNR‑irányelv 1. cikkének (2) bekezdésében említett célból, ez az adatkezelés a nemzeti jogon felül a 2016/680 irányelv hatálya alá tartozik.

84      A fenti megfontolásokra tekintettel az első kérdésre azt a választ kell adni, hogy az általános adatvédelmi rendelet 2. cikke (2) bekezdésének d) pontját és 23. cikkét úgy kell értelmezni, hogy e rendeletet alkalmazni kell a személyes adatok olyan nemzeti jogszabályban előírt kezelésére, amely egyszerre irányul az API‑irányelv, a 2010/65 irányelv és a PNR‑irányelv belső jogba való átültetésére, ami egyrészt a magán gazdasági szereplők által végzett adatkezelést, másrészt pedig a hatóságok által kizárólag vagy egyidejűleg az API‑irányelv és/vagy a 2010/65 irányelv alapján végzett adatkezelést illeti. Ezzel szemben az említett rendelet nem alkalmazandó a kizárólag a PNR‑irányelv hatálya alá tartozó ilyen jogszabály által előírt, az utasadat‑információs egység vagy az illetékes hatóságok által az ezen irányelv 1. cikkének (2) bekezdésében előírt célból végzett adatkezelésre.

B.      A második, harmadik, negyedik és hatodik kérdésről

85      Az együttesen vizsgálandó második, harmadik, negyedik és hatodik kérdésével az előterjesztő bíróság lényegében a PNR‑irányelvnek a Charta 7. és 8. cikkére, valamint 52. cikkének (1) bekezdésére tekintettel való érvényességéről kérdezi a Bíróságot. E kérdések különösen a következőkre vonatkoznak:

–        ezen irányelv I. melléklete, valamint az e mellékletben felsorolt, különösen a 12. és 18. pontjában említett adatok, az egyértelműség és pontosság követelményeire tekintettel (második és harmadik kérdés);

–        az említett irányelv 3. cikkének 4. pontja és I. melléklete, amennyiben a PNR‑adatok általános gyűjtésére, továbbítására és kezelésére vonatkozó, az e rendelkezések által létrehozott rendszer minden olyan személyre alkalmazható, aki az ugyanezen irányelv rendelkezéseinek hatálya alá tartozó légi járatot vesz igénybe (negyedik kérdés), és

–        a PNR‑irányelv 6. cikke, amennyiben az előzetes értékelést ír elő a PNR‑adatoknak az adatbázisokkal való összevetése és/vagy előre meghatározott kritériumokra tekintettel történő kezelése révén, amely értékelés szisztematikusan és általánosan alkalmazandó ezen adatokra, függetlenül bármely olyan objektív tényezőtől, amely lehetővé tenné annak megállapítását, hogy az érintett utasok veszélyt jelenthetnek a közbiztonságra (hatodik kérdés).

86      Elöljáróban emlékeztetni kell arra, hogy egy általános értelmezési elv szerint valamely uniós jogi aktust – amennyiben lehetséges – úgy kell értelmezni, hogy ne váljon kérdésessé annak érvényessége, és hogy megfeleljen az elsődleges jog egészének, különösen a Charta rendelkezéseinek. Ily módon, ha a másodlagos uniós jogszabály szövege többféleképpen értelmezhető, azt az értelmezést kell előnyben részesíteni, amelynek alapján a rendelkezés összeegyeztethető az elsődleges joggal, szemben azzal, amely az azzal való összeegyeztethetetlenség megállapításához vezetne (2021. február 2‑i Consob ítélet, C‑481/19, EU:C:2021:84, 50. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

87      Ezenfelül az állandó ítélkezési gyakorlat értelmében amikor az irányelv rendelkezései a tagállamok számára az átültetésre vonatkozó intézkedések meghatározásához mérlegelési mozgásteret hagynak, hogy azok a különböző várható helyzetekhez igazodjanak, a tagállamoknak, és különösen bíróságaiknak amellett hogy saját nemzeti jogukat az uniós joggal összhangban kell értelmezniük, arra is ügyelniük kell, hogy a másodlagos jog valamely szabályának ne olyan értelmezését vegyék alapul, amely ellentétes az uniós jogrend révén védelemben részesített alapvető jogokkal (lásd ebben az értelemben: 2016. február 15‑i N.‑ítélet, C‑601/15 PPU, EU:C:2016:84, 60. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2020. július 16‑i État belge [Családegyesítés – Kiskorú gyermek] ítélet, C‑133/19, C‑136/19 és C‑137/19, EU:C:2020:577, 33. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

88      A PNR‑irányelvet illetően rá kell mutatni arra, hogy többek között annak (15), (20), (22), (25), (36) és (37) preambulumbekezdése hangsúlyozza, hogy az uniós jogalkotó – azáltal, hogy a magas szintű adatvédelemre hivatkozik – nagy jelentőséget tulajdonít a Charta 7., 8. és 21. cikkében biztosított alapvető jogok, valamint az arányosság elve maradéktalan tiszteletben tartásának, így ezen irányelvet – amint azt a (36) preambulumbekezdés kimondja – „ennek megfelelően kell végrehajtani”.

89      Konkrétabban, a PNR‑irányelv (22) preambulumbekezdése hangsúlyozza, hogy „[a Bíróság idevágó közelmúltbeli ítélkezési gyakorlatában körvonalazódó elvek teljes mértékben történő figyelembevételével, ez az irányelv alkalmazása biztosítja az alapvető jogok, a magánélethez való jog és az arányosság elvének teljes körű tiszteletben tartását”, és „az Unió által elismert általános érdekek érvényesülése érdekében a terrorista bűncselekmények és a súlyos bűnözés elleni küzdelem során ténylegesen teljesíti a szükségesség és az arányosság céljait, és védi mások jogait és szabadságait”. E preambulumbekezdés hozzáteszi, hogy „[e]zen irányelv alkalmazását kellően indokolni kell, a szükséges biztosítékoknak pedig rendelkezésre kell állniuk annak biztosítása érdekében, hogy a PNR‑adatok bármely tárolása, értékelése, továbbítása és felhasználása jogszerű legyen”.

90      Egyébiránt a PNR‑irányelv 19. cikkének (2) bekezdése arra kötelezi a Bizottságot, hogy ezen irányelv felülvizsgálata során szenteljen különös figyelmet „a személyes adatok védelmével kapcsolatos alkalmazandó normák betartásának”, „az ezen irányelv által meghatározott minden egyes célból történő PNR‑adatok gyűjtése és kezelése szükségességének és arányosságának”, valamint „az adatmegőrzési időszak hosszának”.

91      Meg kell tehát vizsgálni, hogy a PNR‑irányelv – többek között a preambulumbekezdései és a jelen ítélet 88–90. pontjában említett rendelkezései által megköveteltekkel összhangban – értelmezhető‑e oly módon, hogy az biztosítsa a Charta 7. és 8. cikkében biztosított alapvető jogoknak, valamint a Charta 52. cikkének (1) bekezdésében rögzített arányosság elvének a maradéktalan tiszteletben tartását.

1.      A PNR‑irányelvből eredő, a Charta 7. és 8. cikkében biztosított alapvető jogokba való beavatkozásról

92      A Charta 7. cikke mindenki számára biztosítja a jogot arra, hogy a magán‑ és családi életét, otthonát és kapcsolattartását tiszteletben tartsák, míg a Charta 8. cikkének (1) bekezdése mindenki számára kifejezetten biztosítja a rá vonatkozó személyes adatok védelméhez való jogot.

93      Amint az a PNR‑irányelv 3. cikkének 5. pontjából és az I. mellékletében szereplő felsorolásból kitűnik, az ezen irányelv hatálya alá tartozó PNR‑adatok a légi utasok nevén kívül magukban foglalják többek között a foglaláshoz szükséges információkat, mint például az utazás tervezett időpontjait és útvonalát, a jegyekkel kapcsolatos információkat, az ugyanazon foglalási szám alatt nyilvántartásba vett személyek csoportjait, az utas vagy utasok elérhetőségi információit, a fizetési módokkal vagy a számlázással kapcsolatos információkat, a poggyászadatokat, valamint az utasokkal kapcsolatos általános megjegyzéseket.

94      Mivel a PNR‑adatok így magukban foglalják az azonosított természetes személyekre, vagyis az érintett légi utasokra vonatkozó információkat, azok a különböző kezelések, amelyeknek ezek az adatok a tárgyukat képezhetik, érintik a magánélet tiszteletben tartásához való, a Charta 7. cikkében biztosított jogot (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 121. és 122. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

95      Ezenkívül az utasnyilvántartási adatállomány adatainak kezelései, mint amelyekről a PNR‑irányelv rendelkezik, a Charta 8. cikkének hatálya alá is tartoznak amiatt, hogy azok az e cikk értelmében vett személyesadat‑kezeléseknek minősülnek, ennek következtében pedig szükségképpen meg kell felelniük az említett cikkben meghatározott adatvédelmi követelményeknek (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 123. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

96      Márpedig az állandó ítélkezési gyakorlat értelmében a személyes adatok harmadik személlyel – így például valamely állami hatósággal – való közlése a Charta 7. és 8. cikkében biztosított alapvető jogokba történő beavatkozásnak minősül, függetlenül attól, hogy a közölt információkat utóbb mire használják. Ugyanez a helyzet a személyes adatok megőrzését, valamint az állami hatóságoknak az említett adatokhoz felhasználás céljából történő hozzáférését illetően. E tekintetben kevésbé fontos, hogy a magánélettel kapcsolatos érintett információk különleges jellemzőkkel bírnak‑e, vagy hogy az érintetteknek ez a beavatkozás okozott‑e esetleges kellemetlenségeket, vagy sem (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 124. és 126. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

97      Így mind a PNR‑adatoknak a légi fuvarozók által az érintett tagállam utasadat‑információs egysége részére történő továbbítása, amelyet a PNR‑irányelv 1. cikke (1) bekezdésének az ugyanezen irányelv 8. cikkével összefüggésben értelmezett a) pontja ír elő, mind pedig az ezen adatok megőrzésére, felhasználására, valamint az e tagállam illetékes hatóságai, az Europol vagy harmadik országok hatóságai részére történő esetleges újbóli továbbítására – amit különösen ezen irányelv 6., 7., 9. és 10–12. cikke tesz lehetővé – vonatkozó feltételek szabályozása a Charta 7. és 8. cikkében biztosított jogokba való beavatkozást képeznek.

98      E beavatkozások súlyosságát illetően először is rá kell mutatni arra, hogy a PNR‑irányelv az 1. cikke (1) bekezdésének az ugyanezen irányelv 8. cikkével összefüggésben értelmezett a) pontja értelmében előírja az ezen irányelv 3. cikkének 2. pontja értelmében vett, a harmadik országok és az Unió között közlekedő, EU‑n kívüli légi járatot igénybe vevő utasok PNR‑adatainak szisztematikus és folyamatos továbbítását. Amint arra a főtanácsnok az indítványának 73. pontjában rámutatott, az ilyen továbbítás magában foglalja, hogy az utasadat‑információs egységek általánosan hozzáférnek a légi szállítási szolgáltatásokat igénybe vevő személyek összességére vonatkozóan közölt valamennyi PNR‑adathoz, függetlenül ezen adatok későbbi felhasználásától.

99      Másodszor, a PNR‑irányelv 2. cikke (1) bekezdésének előírása szerint a tagállamok dönthetnek úgy, hogy ezt az irányelvet alkalmazzák az ezen irányelv 3. cikkének 3. pontja szerinti, EU‑n belüli légi járatokra, a 2. cikk (2) bekezdése pedig pontosítja, hogy ebben az esetben az említett irányelv valamennyi rendelkezését „úgy kell alkalmazni az EU‑n belüli légi járatokra, mintha EU‑n kívüli légi járatok lennének, az EU‑n belüli légi járatokra vonatkozó PNR‑adatokra pedig mintha EU‑n kívüli légi járatokra vonatkoznának”.

100    Harmadszor, még ha a PNR‑irányelv I. mellékletében felsorolt bizonyos PNR‑adatok esetében – amely adatok összegzését a jelen ítélet 93. pontja tartalmazza – nem is tűnik úgy, hogy azok elszigetelten vizsgálva jelentős információkat tárnának fel az érintett személyek magánéletét illetően, ez akkor sem változtat azon, hogy az említett adatok összességükben vizsgálva feltárhatnak többek között teljes utazási útvonalakat, utazási szokásokat, két vagy több személy között fennálló kapcsolatokat, valamint a légi utasok pénzügyi helyzetével kapcsolatos információkat, étkezési szokásaikat vagy egészségi állapotukat, és akár érzékeny információkkal is szolgálhatnak ezen utasokról (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás], EU:C:2017:592, 128. pont).

101    Negyedszer, a PNR‑irányelv 6. cikke (2) bekezdésének a) és b) pontja értelmében a légi fuvarozók által továbbított adatok rendeltetésük szerint nem csupán az utasok tervezett érkezése vagy tervezett távozása előtt végzett előzetes értékelés, hanem egy későbbi értékelés tárgyát is képezik.

102    Az előzetes értékelést illetően a PNR‑irányelv 6. cikke (2) bekezdésének a) pontjából és (3) bekezdéséből kitűnik, hogy ezt az értékelést a tagállamok utasadat‑információs egységei szisztematikusan és automatizált eszközökkel végzik, azaz folyamatos jelleggel és függetlenül attól, hogy fennáll‑e az érintett személyek terrorista bűncselekményekben vagy súlyos bűncselekményekben való érintettségének akár legkisebb kockázata is. E célból e rendelkezések előírása szerint a PNR‑adatok összevethetők a „releváns adatbázisokkal”, és azokon „előzetesen meghatározott kritériumokon” alapuló adatkezelés végezhető.

103    Ebben az összefüggésben emlékeztetni kell arra, hogy a Bíróság már kimondta, hogy a PNR‑adatok automatizált elemzéseivel járó, a Charta 7. és 8. cikkében biztosított jogokba történő beavatkozás terjedelme alapvetően előre meghatározott modellektől és szempontoktól, valamint olyan adatbázisoktól függ, amelyeken az ilyen típusú adatkezelés alapul (2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 172. pont).

104    Márpedig, amint arra a főtanácsnok az indítványának 78. pontjában rámutatott, a PNR‑irányelv 6. cikke (3) bekezdésének a) pontjában előírt adatkezelés, azaz a PNR‑adatoknak a „releváns adatbázisokkal” való összevetése további információkkal szolgálhat a légi utasok magánéletéről, és e tekintetben meglehetősen pontos következtetések levonását teheti lehetővé.

105    Ami a PNR‑adatok „előzetesen meghatározott kritériumokon” alapuló, a PNR‑irányelv 6. cikke (3) bekezdésének b) pontjában előírt kezelését illeti, igaz, hogy ezen irányelv 6. cikkének (4) bekezdése megköveteli, hogy az utasok e kritériumokon alapuló értékelésére hátrányos megkülönböztetés nélkül, és különösen anélkül kerüljön sor, hogy ez az értékelés az említett (4) bekezdés utolsó mondatában szereplő számos jellemzőn alapulna. Ezeknek az előzetesen meghatározott kritériumoknak célzottnak, arányosnak és konkrétnak kell lenniük.

106    Mindezzel együtt a Bíróság már kimondta, hogy mivel a PNR‑adatok automatizált elemzéseit ellenőrizetlen személyes adatokból kiindulva végzik, továbbá azok előzetesen meghatározott modelleken és kritériumokon alapulnak, ezek az elemzések szükségképpen tartalmaznak egy bizonyos hibaarányt (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 169. pont). Konkrétabban, amint arra a főtanácsnok az indítványának 78. pontjában lényegében rámutatott, a PNR‑irányelv felülvizsgálatáról szóló 2020. július 24‑i bizottsági jelentéshez csatolt bizottsági munkadokumentumból (SWD (2020)128 final) kitűnik, hogy az ezen irányelv 6. cikke (3) bekezdésének a) és b) pontjában előírt automatizált adatkezelésekből eredő és a nem automatizált módon történő egyedi felülvizsgálatot követően tévesnek talált pozitív találatok száma igen jelentős, és az 2018 és 2019 során minden hat azonosított személyből legalább ötöt tett ki. Ezen adatkezelések így az említett személyekre vonatkozó PNR‑adatok mélyreható elemzéséhez vezetnek.

107    Ami a PNR‑adatoknak a PNR‑irányelv 6. cikke (2) bekezdésének b) pontjában előírt utólagos értékelését illeti, e rendelkezésből kitűnik, hogy a PNR‑adatok továbbítását követő, az ezen irányelv 12. cikkének (2) bekezdésében említett hat hónapos időszakban az utasadat‑információs egység az illetékes hatóságok megkeresésére egyedi esetekben köteles a terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelem céljából a PNR‑adatok említett hatóságok számára való szolgáltatására és a PNR‑adatok kezelésére.

108    Ezenkívül, még ha e hat hónapos időszak lejártát követően a PNR‑adatokat ezen adatok bizonyos elemeinek elrejtése útján személyazonosításra alkalmatlanná is teszik, az utasadat‑információs egység a PNR‑irányelv 12. cikkének (3) bekezdésével összhangban kötelezhető arra, hogy az erre irányuló megkeresés nyomán az érintett személy azonosítására alkalmas formában közölje a teljes PNR‑adatot az illetékes hatóságokkal, ha alapos okkal feltételezhető, hogy ez a 6. cikk (2) bekezdésének b) pontjában említett célból szükséges, az ilyen közlés ugyanakkor egy igazságügyi hatóság vagy egy „hatáskörrel rendelkező más nemzeti hatóság” által kibocsátott engedélyhez kötött.

109    Ötödször, a PNR‑irányelv azáltal, hogy a 12. cikkének (1) bekezdésében – anélkül, hogy e tekintetben további pontosításokkal szolgálna – előírja, hogy a légi fuvarozók által az utas‑adat információs egység részére szolgáltatott PNR‑adatokat az utas‑adat információs egységhez történő továbbításukat követően öt évig megőrizzék azon tagállam utas‑adat információs egységének adatbázisában, amelynek a területén a légi járat leszállt vagy felszállt, lehetővé teszi – figyelemmel arra, hogy az előző pontban említett esetben továbbra is sor kerülhet a teljes PNR‑adat közlésére annak ellenére, hogy az eredeti hat hónapos időszak lejártával bizonyos adatelemek elrejtése útján személyazonosításra alkalmatlanná tették őket – a légi utasok magánéletére vonatkozó adatokkal való, a Bíróság által a 2017. július 26‑i 1/15 (EU–Kanada PNR‑megállapodás) véleményében (EU:C:2017:592, 132. pont) már különösen hosszúnak minősítettnél hosszabb időszakon át való rendelkezést.

110    A légi szállítás igénybevételének szokásos jellegére figyelemmel az ilyen megőrzési idő következményeként az Unió lakosságának igen nagy része szembesülhet azzal, hogy a PNR‑irányelv által létrehozott rendszer keretében jelentős, sőt akár határozatlan időn keresztül ismétlődően tárolják a PNR‑adatait, és ebből fakadóan felhasználják azokat az utasadat‑információs egység és az illetékes hatóságok által folytatott előzetes és az utólagos értékelések keretében végzett elemzésekhez azon személyeket illetően, akik ötévente egynél több alkalommal utaznak repülőgéppel.

111    A fenti megfontolások összességére tekintettel meg kell állapítani, hogy a PNR‑irányelv egyértelműen súlyos beavatkozásokat tartalmaz a Charta 7. és 8. cikkében biztosított jogokba, többek között mivel olyan folyamatos, nem célzott és szisztematikus ellenőrzési rendszer létrehozására irányul, amely magában foglalja a légi közlekedési szolgáltatásokat igénybe vevő valamennyi személy személyes adatainak automatizált értékelését.

2.      A PNR‑irányelvből eredő beavatkozás igazolásáról

112    Emlékeztetni kell arra, hogy a Charta 7. és 8. cikkében biztosított jogok nem korlátlan jogosultságokat jelentenek, hanem azokat a társadalomban betöltött szerepük alapján kell megítélni (2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 136. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2020. október 6‑i Privacy International ítélet, C‑623/17, EU:C:2020:790, 63. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

113    A Charta 52. cikke (1) bekezdésének első mondata szerint a Chartában elismert jogok és szabadságok gyakorlása csak a törvény által, és e jogok lényeges tartalmának tiszteletben tartásával korlátozható. A Charta 52. cikke (1) bekezdésének második mondata szerint az arányosság elvére figyelemmel, e jogok és szabadságok korlátozására csak akkor és annyiban kerülhet sor, ha és amennyiben az elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja. E tekintetben a Charta 8. cikkének (2) bekezdése pontosítja, hogy a személyes adatokat többek között csak „meghatározott célokra, az érintett személy hozzájárulása alapján vagy valamilyen más, a törvényben rögzített jogos okból lehet kezelni”.

114    Hozzá kell tenni, hogy az a követelmény, amely szerint az alapvető jogok gyakorlása csak törvény által korlátozható, magában foglalja, hogy az e jogokba történő beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia az érintett jog gyakorlásával kapcsolatos korlátozás terjedelmét, azzal, hogy egyrészt e követelmény nem zárja ki, hogy a szóban forgó korlátozást a különböző helyzetekhez és a változó körülményekhez való alkalmazkodáshoz kellően nyitott módon fogalmazzák meg (lásd ebben az értelemben: 2022. április 26‑i Lengyelország kontra Parlament és Tanács ítélet, C‑401/19, EU:C:2022:297, 64. és 74. pont, valamint az ott hivatkozott ítélkezési gyakorlat), másrészt pedig hogy a Bíróság adott esetben értelmezés útján pontosíthatja a korlátozás konkrét hatályát, figyelembe véve mind a szóban forgó uniós szabályozás megfogalmazását, mind pedig az általános rendszerét és az általa megvalósítani kívánt, a Chartában biztosított alapvető jogok fényében értelmezett célkitűzéseket.

115    Ami az arányosság elvének tiszteletben tartását illeti, a magánélet tiszteletben tartásához való alapvető jog védelme a Bíróság állandó ítélkezési gyakorlata szerint uniós szinten megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a szigorúan szükséges határokon belül maradjanak. Közérdekű célt nem lehet továbbá annak figyelembevétele nélkül megvalósítani, hogy azt össze kell egyeztetni az intézkedéssel érintett alapvető jogokkal, kiegyensúlyozottan mérlegelve az egyik oldalon a közérdekű célt, a másik oldalon pedig a szóban forgó jogokat (2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 140. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 52. pont, valamint az ott hivatkozott ítélkezési gyakorlat].

116    Közelebbről, a tagállamok azon lehetőségét, hogy a Charta 7. és 8. cikkében előírt jogok és kötelezettségek korlátozását igazolják, az ilyen korlátozással járó beavatkozás súlyosságának felmérésével, valamint annak ellenőrzésével kell értékelni, hogy a korlátozás által elérni kívánt közérdekű cél jelentősége összefügg‑e a beavatkozás súlyosságával (lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 55. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 53. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

117    Az arányosság követelményének teljesítéséhez a beavatkozást előíró, szóban forgó szabályozásnak egyértelmű és pontos szabályokat kell tartalmaznia az általa előírt intézkedések hatálya és alkalmazása vonatkozásában, és minimális követelményeket kell előírnia annak érdekében, hogy azon személyek, akiknek az adatait továbbították, elegendő olyan biztosítékkal rendelkezzenek, amely lehetővé teszi személyes adataiknak a visszaélések veszélyeivel szembeni hatékony védelmét. Meg kell jelölnie különösen, hogy milyen körülmények között és milyen feltételek mellett lehet az ilyen adatok kezelését előíró intézkedést megtenni, biztosítva ezáltal, hogy a beavatkozás a feltétlenül szükséges mértékre korlátozódjék. Az ilyen biztosítékokkal való rendelkezés még inkább szükséges abban az esetben, ha a személyes adatokat automatikusan kezelik. E megfontolások különösen akkor érvényesek, ha a PNR‑adatok az utasokra vonatkozó érzékeny információkat fedhetnek fel (2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 141. pont; 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 132. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

118    A személyes adatok megőrzését előíró szabályozásnak minden esetben olyan objektív szempontoknak kell megfelelnie, amelyek kapcsolatot teremtenek a megőrzendő adatok és az elérni kívánt cél között (2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 191. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2019. október 3‑i A és társai ítélet, C‑70/18, EU:C:2019:823, 63. pont; 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 133. pont).

a)      A jogszerűség elvének és a szóban forgó alapvető jogok lényeges tartalmának tiszteletben tartásáról

119    A Charta 7. és 8. cikkében biztosított alapvető jogok gyakorlásának a PNR‑irányelv által létrehozott rendszerből eredő korlátozását uniós jogalkotási aktus írja elő. Azon kérdést illetően, hogy a jelen ítélet 114. pontjában felidézett ítélkezési gyakorlattal összhangban ezen irányelv – mint az e jogokba való beavatkozást lehetővé tevő uniós jogi aktus – maga határozza‑e meg az említett jogok gyakorlása korlátozásának terjedelmét, rá kell mutatni arra, hogy az említett irányelv rendelkezései, valamint ezen irányelv I. és II. melléklete egyrészt tartalmazzák a PNR‑adatok felsorolását, másrészt pedig kereteket szabnak ezen adatok kezelésének különösen ezen adatkezelés céljának és részletes szabályainak meghatározásával. Egyébiránt e kérdés nagyrészt összemosódik a jelen ítélet 117. pontjában hivatkozott arányosság követelményének tiszteletben tartásával (lásd ebben az értelemben: 2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 180. pont), és a megvizsgálására a jelen ítélet 125. és azt követő pontjaiban kerül sor.

120    Ami a Charta 7. és 8. cikkében biztosított alapvető jogok lényeges tartalmának tiszteletben tartását illeti, igaz, hogy a PNR‑adatok adott esetben nagyon pontos információkat tárhatnak fel valamely személy magánéletét illetően. Ugyanakkor, mivel egyrészt ezen információk természete e magánéletnek csak bizonyos, különösen e személy légi utazásaival kapcsolatos vonatkozásaira korlátozódik, másrészt pedig a PNR‑irányelv a 13. cikkének (4) bekezdésében kifejezetten tiltja az érzékeny adatoknak az általános adatvédelmi rendelet 9. cikkének (1) bekezdése értelmében vett kezelését, az ezen irányelvben említett adatok önmagukban nem teszik lehetővé egy személy magánéletének teljes áttekintését. Ezenkívül az említett irányelv 1. cikkének a 3. cikk 8. és 9. pontjával, valamint a II. melléklettel összefüggésben értelmezett (2) bekezdése meghatározza ezen adatok kezelésének céljait. Végül ugyanezen irányelv a 4–15. cikkében rögzíti az említett adatok továbbítására, kezelésére és megőrzésére vonatkozó, továbbá a különösen ugyanezen adatok biztonságának, bizalmas jellegének és sértetlenségének garantálását, valamint a jogellenes hozzáféréssel és adatkezeléssel szembeni védelmüket szolgáló szabályokat. E körülmények között a PNR‑irányelvben foglalt beavatkozás nem sérti a Charta 7. és 8. cikkében biztosított alapvető jogok lényeges tartalmát.

b)      A közérdekű célról és a PNR‑adatok kezelésének e célkitűzésre tekintettel fennálló alkalmasságáról

121    Azon kérdést illetően, hogy a PNR‑irányelv által létrehozott rendszer közérdekű célkitűzés megvalósítására irányul‑e, ezen irányelv (5), (6) és (15) preambulumbekezdéséből kitűnik, hogy az irányelv célja az Unió belső biztonságának garantálása, és ezáltal a személyek életének és biztonságának szavatolása egy olyan jogi keret kialakításával, amely a PNR‑adatok illetékes hatóságok általi kezelése során biztosítja az utasok alapvető jogai, különösen a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jog magas szintű védelmét.

122    E célból a PNR‑irányelv 1. cikkének (2) bekezdése úgy rendelkezik, hogy az ezen irányelvvel összhangban gyűjtött PNR‑adatokat kizárólag terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából lehet kezelni a 6. cikk (2) bekezdésének a), b) és c) pontjában foglaltaknak megfelelően. Márpedig e célok kétségtelenül az Unió olyan általános érdekű céljainak minősülnek, amelyek igazolhatják a Charta 7. és 8. cikkében biztosított alapvető jogokba történő, akár súlyos beavatkozásokat is (lásd ebben az értelemben: 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 42. pont; 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 148. és 149. pont).

123    Ami a PNR‑irányelv által létrehozott rendszernek az elérni kívánt célkitűzések megvalósítására való alkalmasságát illeti, meg kell állapítani, hogy bár a „hamis negatív” találatok lehetősége, és azon „hamis pozitív” találatok meglehetősen magas száma, amelyeket – a jelen ítélet 106. pontjában említettek szerint – 2018‑ban és 2019‑ben az ezen irányelvben előírt automatizált adatkezelések nyomán kaptak, korlátozhatja e rendszer alkalmasságát, ugyanakkor nem olyan jellegű, hogy az említett rendszert alkalmatlanná tegye arra, hogy hozzájáruljon a terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelem célkitűzésének megvalósításához. Amint ugyanis a jelen ítélet 106. pontjában említett bizottsági munkadokumentumból kitűnik, az említett irányelv alapján végzett automatikus adatkezelések a terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelem keretében már ténylegesen lehetővé tették a kockázatot jelentő légi utasok azonosítását.

124    Ezenfelül a PNR‑adatok automatizált kezelésében rejlő hibaarányra és a „hamis pozitív” találatok meglehetősen magas számára figyelemmel a PNR‑irányelv által létrehozott rendszer alkalmassága alapvetően az ezen adatkezelések alapján kapott eredmények későbbi ellenőrzésének megfelelő működésétől függ, amely ellenőrzést ezen irányelv értelmében az utasadat‑információs egység végzi nem automatizált eszközök útján. Az említett irányelv által e célból előírt rendelkezések tehát hozzájárulnak e célkitűzések megvalósításához.

c)      A PNR‑irányelvből eredő beavatkozás szükségességéről

125    A jelen ítélet 115–118. pontjában felidézett ítélkezési gyakorlattal összhangban meg kell vizsgálni, hogy a PNR‑irányelvből eredő beavatkozás a feltétlenül szükséges mértékre korlátozódik‑e, és különösen hogy ez az irányelv az általa előírt intézkedések hatályát és alkalmazását szabályozó egyértelmű és pontos szabályokat állapít‑e meg, valamint hogy az általa létrehozott rendszer minden esetben olyan objektív szempontoknak felel‑e meg, amelyek a légi utazások lefoglalásához és megvalósításához szorosan kapcsolódó PNR‑adatokat összefüggésbe hozzák az említett irányelv által elérni kívánt céllal, vagyis a terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelem céljával.

1)      A légi utasok PNR‑irányelvben említett adatairól

126    Meg kell vizsgálni, hogy a PNR‑irányelv I. mellékletében szereplő adatrovatok egyértelműen és pontosan meghatározzák‑e a légi fuvarozó által az utasadat‑információs egységgel közlendő PNR‑adatokat.

127    Elöljáróban emlékeztetni kell arra, hogy amint az a PNR‑irányelv (15) preambulumbekezdéséből kitűnik, az uniós jogalkotó szándéka az volt, hogy az utas‑adat információs egység által beszerzendő, PNR‑adatokat felsoroló listák tartalmát „úgy [állapítsák meg], hogy az tükrözze a hatóságok jogos elvárásait a terrorista bűncselekmények vagy súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése terén, és így javítsa az Unió belső biztonságát, továbbá biztosítsa az alapvető jogok, nevezetesen a magánélet tiszteletben tartásához és a személyes adatok védelméhez való jog védelmét”. Konkrétabban, ugyanezen preambulumbekezdés szerint ezek az adatok „kizárólag az utas helyfoglalásával és útvonalával kapcsolatos információkat tartalmazzák annak érdekében, hogy az illetékes hatóságok a belső biztonságra fenyegetést jelentő légi utasokat be tudják azonosítani”. Ezenkívül a PNR‑irányelv a 13. cikke (4) bekezdésének első mondatában megtiltja „az olyan PNR‑adatok kezelését, amelyek a személyek faji vagy etnikai hovatartozására, politikai véleményére, vallási vagy világnézeti meggyőződésére, szakszervezeti tagságára, egészségi állapotára, szexuális életére vagy szexuális irányultságára vonatkoznak”.

128    Következésképpen a PNR‑irányelv I. mellékletével összefüggésben gyűjtött és közölt PNR‑adatoknak közvetlen kapcsolatban kell állniuk a teljesített repülőúttal és az érintett utassal, továbbá azokat korlátozni kell oly módon, hogy egyrészt kizárólag a hatóságok jogos elvárásait tükrözzék a terrorista bűncselekmények vagy súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése terén, másrészt pedig ki kell zárni az érzékeny adatokat.

129    Márpedig a PNR‑irányelv I. mellékletének 1–4., 7., 9., 11., 15., 17. és 19. rovata megfelel e követelményeknek, valamint az egyértelműség és a pontosság követelményének, amennyiben egyértelműen azonosítható és körülhatárolt, a teljesített repülőúttal és az érintett utassal közvetlen kapcsolatban álló információkra vonatkoznak. Amint arra a főtanácsnok az indítványának 165. pontjában rámutatott, nyitott szövegük ellenére ugyanez érvényes a 10., 13., 14. és 16. rovatra is.

130    Az 5., 6., 8., 12. és 18. rovat értelmezése ezzel szemben pontosításra szorul.

131    Ami „[a] cím[re] és elérhetőségre vonatkozó információk[ra] (telefonszám, e‑mail cím)” vonatkozó 5. rovatot illeti, e rovat nem jelöli meg kifejezetten, hogy az említett cím és elérhetőségi információk csak a légi utasra, vagy a légi utas érdekében foglalást végző harmadik személyekre, azokra a harmadik személyekre, akik közvetítésével a légi utas elérhetőt, vagy akár a vészhelyzet esetén értesítendő harmadik személyekre is vonatkoznak‑e. Mindazonáltal, amint arra a főtanácsnok az indítványának 162. pontjában lényegében rámutatott, az egyértelműség és a pontosság követelményeire figyelemmel e rovat nem értelmezhető úgy, hogy az hallgatólagosan az ilyen harmadik személyek személyes adatainak gyűjtését és továbbítását is lehetővé teszi. Következésképpen az említett rovatot úgy kell értelmezni, hogy az csupán azon légi utas postacímére és elérhetőségi információira, azaz a telefonszámára és e‑mail‑címére vonatkozik, akinek a nevére a foglalás szól.

132    Ami a 6. rovatot illeti, amely „[a] fizetésekhez kapcsolódó valamennyi információ[ra vonatkozik], beleértve a számlázási címet is”, e rovatot az egyértelműség és a pontosság követelményeinek való megfelelés érdekében úgy kell értelmezni, hogy az csak a fizetési módszerekkel és a repülőjegy számlázásával összefüggő információkra terjed ki, kizárva minden más olyan információt, amelyek a légi járattal nincsenek közvetlen összefüggésben (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 159. pont).

133    Ami a „[t]örzsutas‑adatok[ra]” vonatkozó 8. rovatot illeti, azt – amint arra a főtanácsnok az indítványának 164. pontjában rámutatott – úgy kell értelmezni, hogy az kizárólag egy adott légitársaságnak vagy légitársaságok csoportjának törzsutasprogramja keretében az érintett utas státuszára vonatkozó adatokra, illetve ezen utas „törzsutas” számlaszámára terjed ki. A 8. rovat tehát nem teszi lehetővé az említett státusz megszerzéséhez vezető ügyletekre vonatkozó információk gyűjtését.

134    Ami a 12. rovatot illeti, az az „[á]ltalános megjegyzések[re] (beleértve a felügyelet nélkül utazó, 18 év alatti kiskorúakra vonatkozó minden rendelkezésre álló információt, így a kiskorú nevét és nemét, életkorát, az általa beszélt nyelvet vagy nyelveket, az indulási oldalon megjelent gondviselő nevét és elérhetőségét, valamint a kiskorúhoz fűződő kapcsolatát, az érkezési oldalon a kiskorút váró gondviselő nevét és elérhetőségét, valamint a kiskorúhoz fűződő kapcsolatát, az indulási és az érkezési oldalon megbízott személyt)” vonatkozik.

135    E tekintetben elöljáróban emlékeztetni kell arra, hogy bár az „általános megjegyzések” kifejezés nem felel meg az egyértelműség és a pontosság követelményeinek, mivel önmagában semmilyen korlátozást nem ír elő a 12. rovat alapján gyűjthető és az utasadat‑információs egységgel közölhető információk jellegét és terjedelmét illetően (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 160. pont), a zárójelben szereplő felsorolás már eleget tesz e követelményeknek.

136    Következésképpen annak érdekében, hogy a 12. rovat értelmezése a jelen ítélet 86. pontjában felidézett ítélkezési gyakorlat alapján összhangban álljon az egyértelműség és pontosság követelményeivel, és tágabb értelemben a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével, meg kell állapítani, hogy kizárólag az e rovatban kifejezetten felsorolt információk – vagyis a kiskorú légi utas neve és neme, életkora, az általa beszélt nyelv vagy nyelvek, az indulási oldalon megjelent gondviselő neve és elérhetősége, valamint a kiskorúhoz fűződő kapcsolata, az érkezési oldalon a kiskorút váró gondviselő neve és elérhetősége, valamint a kiskorúhoz fűződő kapcsolata, az indulási és az érkezési oldalon megbízott személy – gyűjtése és közlése megengedett.

137    Végül ami a 18. rovatot illeti, az „[m]inden összegyűjtött előzetes utasinformációs (API) adat[ra vonatkozik] (beleértve a személyi okmány típusát, számát, kiállító országát és lejárati idejét, az állampolgárságot, családi nevet, utónevet, nemet, születési időt, légitársaságot, járatszámot, az indulás dátumát, az érkezés dátumát, az indulási repülőteret, az érkezési repülőteret, az indulási időt és az érkezési időt)”.

138    Amint arra a főtanácsnok az indítványának 156–160. pontjában lényegében rámutatott, a PNR‑irányelvnek a (4) és (9) preambulumbekezdésével összefüggésben értelmezett ezen 18. rovatából kitűnik, hogy az ott említett információk kimerítő jelleggel képezik az említett rovatban, illetve az API‑irányelv 3. cikkének (2) bekezdésében felsorolt API‑adatokat.

139    A 18. rovat tehát – annak olyan értelmezése esetén, hogy az csupán az ugyanezen rovatban, valamint az API‑irányelv említett 3. cikkének (2) bekezdésében kifejezetten említett felvilágosításokat fedi le– úgy tekinthető, hogy eleget tesz az egyértelműség és a pontosság követelményének (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 161. pont).

140    Ennélfogva meg kell állapítani, hogy a PNR‑irányelvnek a többek között a jelen ítélet 130–139. pontjában kifejtett megfontolásokkal összhangban értelmezett I. melléklete összességében kellően egyértelmű és pontos, és ezáltal körülhatárolja a Charta 7. és 8. cikkében biztosított alapvető jogokba való beavatkozás terjedelmét.

2)      A PNR‑adatok kezelésének céljairól

141    Amint az a PNR‑irányelv 1. cikkének (2) bekezdéséből kitűnik, az ezen irányelvvel összhangban gyűjtött PNR‑adatok kezelésének célja a „terrorista bűncselekmények” és a „súlyos bűncselekmények” elleni küzdelem.

142    Azon kérdést illetően, hogy a PNR‑irányelv e területen olyan egyértelmű és pontos szabályokat ír‑e elő, amelyek az ezen irányelv által létrehozott rendszer alkalmazását az e célból feltétlenül szükséges mértékre korlátozzák, egyrészt rá kell mutatni arra, hogy az említett irányelv 3. cikkének 8. pontja a „[2002/475] kerethatározat 1–4. cikkében említett, a nemzeti jog szerint is annak minősülő bűncselekmény[ekre]” hivatkozva határozza meg a „terrorista bűncselekmény” fogalmát.

143    Márpedig azon felül, hogy e kerethatározat az 1–3. cikkében egyértelműen és pontosan meghatározta a „terrorista bűncselekmények”, a „terrorista csoporthoz kapcsolódó bűncselekmények” és a „terrorista tevékenységekkel összefüggő bűncselekmények” fogalmát, amelyeket a tagállamoknak az említett kerethatározat alapján bűncselekményként büntetendővé kellett tenniük, a terrorizmus elleni küzdelemről, a 2002/475/IB tanácsi kerethatározat felváltásáról, valamint a 2005/671/IB tanácsi határozat módosításáról szóló, 2017. március 15‑i (EU) 2017/541 európai parlamenti és tanácsi irányelv (HL 2017. L 88., 6. o.; helyesbítés: HL 2018. L 91., 30. o.) a 3–14. cikkében szintén egyértelműen és pontosan meghatározza e bűncselekmények fogalmát.

144    Másrészt a PNR‑irányelv 3. cikkének 9. pontja a „súlyos bűncselekmény” kifejezés meghatározásakor az „[ezen irányelv] II. melléklet[é]ben felsorolt bűncselekményi tényállások[ra utal], amennyiben a nemzeti jog alapján kiszabható büntetési tétel felső határa legalább háromévi szabadságvesztés vagy szabadságelvonással járó intézkedés”.

145    Márpedig mindenekelőtt e melléklet kimerítő jelleggel felsorolja azokat a különböző bűncselekmény‑kategóriákat, amelyek a PNR‑irányelv 3. cikkének 9. pontjában említett „súlyos bűncselekmény[ek]” körébe tartozhatnak.

146    Ezt követően, figyelembe véve a tagállamok büntető rendszereinek az említett irányelv elfogadásakor az irányelvben említett bűncselekmények harmonizációja hiányában mutatott sajátosságait, az uniós jogalkotó dönthetett úgy, hogy csupán bűncselekmény‑kategóriákat jelöl meg anélkül, hogy meghatározná az azokat alkotó tényállási elemeket, annál is inkább, hogy ezeket az elemeket elméletileg szükségszerűen a PNR‑irányelv 3. cikkének 9. pontjában hivatkozott nemzeti jog határozza meg, mivel a tagállamok az EUSZ 2. cikkben említett, az Unióval együttesen vallott közös érték, a jogállamiság részeként kötelesek tiszteletben tartani a bűncselekmények és büntetések törvényességének elvét (lásd analógia útján: 2022. február 16‑i Magyarország kontra Parlament és Tanács ítélet, C‑156/21, EU:C:2022:97, 136., 160. és 234. pont), amely elvet egyébiránt a Charta 49. cikkének (1) bekezdése is megerősíti, és amely elvet a tagállamok kötelesek tiszteletben tartani, amikor az uniós jogot – mint amilyen a PNR‑irányelv – hajtják végre (lásd ebben az értelemben: 2011. november 10‑i QB‑ítélet, C‑405/10, EU:C:2011:722, 48. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Így az ugyanezen mellékletben használt kifejezések szokásos értelmére is tekintettel meg kell állapítani, hogy e melléklet kellőn egyértelműséggel és pontossággal meghatározza azokat a bűncselekményeket, amelyek súlyos bűncselekményeknek minősülhetnek.

147    Igaz, hogy a II. melléklet 7., 8., 10. és 16. pontja a bűncselekmények igen általános kategóriáira vonatkozik (csalás, bűncselekményből származó jövedelem tisztára mosása és pénzhamisítás, környezetkárósító bűnözés, kulturális javak tiltott kereskedelme), ugyanakkor e pontok hivatkoznak az ezen általános kategóriákba tartozó konkrét bűncselekményekre. A Charta 49. cikke által szintén megkövetelt kellő pontosság biztosítása érdekében e pontokat úgy kell értelmezni, hogy azok az említett, az e területre vonatkozó nemzeti és/vagy uniós jog által meghatározott bűncselekményekre vonatkoznak. Ekként értelmezve az említett pontok úgy tekinthetők, hogy azok megfelelnek az egyértelműség és a pontosság követelményének.

148    Végül emlékeztetni kell arra, hogy bár az arányosság elvének megfelelően a súlyos bűncselekmények elleni küzdelem igazolhatja a Charta 7. és 8. cikkében biztosított alapvető jogokba történő, a PNR‑irányelv általi súlyos beavatkozást, más a helyzet a bűncselekményekkel szemben általánosságban folytatott küzdelmet illetően, amely utóbbi célkitűzés kizárólag a nem súlyos beavatkozásokat igazolhatja (lásd analógia útján: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 59. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Ennek megfelelően ezen irányelvnek egyértelmű és pontos szabályok révén biztosítania kell, hogy az említett irányelv által létrehozott rendszer kizárólag a súlyos bűncselekmények körébe tartozó bűncselekményekre korlátozódjon, és ebből következően kizárja a közönséges bűncselekmények körébe tartozó bűncselekményeket.

149    E tekintetben, amint arra a főtanácsnok az indítványának 121. pontjában rámutatott, a PNR‑irányelv II. mellékletében említettek között szerepel számos olyan bűncselekmény – például emberkereskedelem, gyermekek szexuális kizsákmányolása és gyermekpornográfia, fegyverek, lőszerek és robbanóanyagok tiltott kereskedelme, jövedelem tisztára mosása, kiberbűnözés, emberi szervek és szövetek tiltott kereskedelme, kábítószerek és pszichotróp anyagok tiltott kereskedelme, nukleáris vagy radioaktív anyagok tiltott kereskedelme, a légi jármű vagy hajó jogellenes hatalomba kerítése, a Nemzetközi Büntetőbíróság joghatósága alá tartozó bűncselekmények, szándékos emberölés, erőszakos nemi közösülés, emberrablás, személyi szabadság megsértése és túszejtés –, amelynek súlyossága a jellegénél fogva kétségtelenül nagyobb.

150    Ezenkívül, noha az e II. mellékletben szintén említett más bűncselekmények első ránézésre kevéssé hozhatók összefüggésbe a súlyos bűncselekményekkel, a PNR‑irányelv 3. cikke 9. pontjának magából a szövegéből kitűnik, hogy e bűncselekmények csupán akkor tekinthetők súlyosnak, ha az érintett tagállam nemzeti joga alapján kiszabható büntetési tétel felső határa legalább háromévi szabadságvesztés vagy szabadságelvonással járó intézkedés. Az e rendelkezésből eredő, az alkalmazandó büntetés jellegére és súlyára vonatkozó követelmények főszabály szerint alkalmasak arra, hogy az említett irányelv által létrehozott rendszer alkalmazását azokra a kellően súlyos bűncselekményekre korlátozzák, amelyek igazolhatják a Charta 7. és 8. cikkében biztosított alapvető jogokba történő, az ugyanezen irányelv által létrehozott rendszerből eredő beavatkozást.

151    Mivel a PNR‑irányelv 3. cikkének 9. pontja ugyanakkor nem az alkalmazandó legkisebb büntetésre, hanem az alkalmazandó legnagyobb büntetésre utal, nem kizárt, hogy a PNR‑adatok kezelésére az olyan bűncselekmények elleni küzdelem céljából is sor kerülhet, amelyek – noha megfelelnek az e rendelkezés által a súlyossági küszöbre vonatkozóan előírt kritériumnak – a nemzeti büntetőjogi rendszer sajátosságaira figyelemmel nem a súlyos bűncselekmények, hanem a közönséges bűncselekmények körébe tartoznak.

152    Ezért a tagállamok feladata annak biztosítása, hogy a PNR‑irányelv által létrehozott rendszer alkalmazása ténylegesen a súlyos bűncselekmények elleni küzdelemre korlátozódjon, és hogy e rendszer ne terjedjen ki a közönséges bűncselekmények körébe tartozó bűncselekményekre.

3)      A PNR‑adatok és az ezen adatok kezelésének céljai közötti kapcsolatról

153    Igaz, hogy – amint arra a főtanácsnok az indítványának 119. pontjában lényegében rámutatott – a PNR‑irányelv 3. cikkének a II. melléklettel összefüggésben értelmezett 8. és 9. pontjának szövege nem utal kifejezetten olyan kritériumra, amely ezen irányelv hatályát pusztán azokra a jogsértésekre korlátozná, amelyek a jellegüknél fogva objektív és legalább közvetett kapcsolatban állhatnak ezen utasokkal, és következésképpen az említett irányelv alapján továbbított, kezelt és megőrzött adatkategóriákkal.

154    Ugyanakkor, amint arra a főtanácsnok az indítványának 121. pontjában rámutatott, a PNR‑irányelv II. mellékletében említett bizonyos bűncselekmények, így az emberkereskedelem, a kábítószerek és fegyverek tiltott kereskedelme, a jogellenes beutazás és tartózkodás elősegítése vagy a légi jármű hatalomba kerítése a természetüknél fogva közvetlen kapcsolatban állhatnak az utasok légi szállításával. Ugyanez vonatkozik bizonyos terrorista bűncselekményekre, például a közlekedési rendszer vagy az infrastrukturális létesítmény súlyos megrongálására vagy a légi jármű hatalomba kerítésére is, amely bűncselekmények a 2002/475 kerethatározat azon 1. cikke (1) bekezdésének d) és e) pontjában szerepeltek, amelyre a PNR‑irányelv 3. cikkének 8. pontja visszautal, vagy a terrorizmus céljából való utazásra vagy az ilyen utazás szervezésére vagy elősegítésére is, amely bűncselekményeket a 2017/541 irányelv 9. és 10. cikke szabályozza.

155    Ebben az összefüggésben emlékeztetni kell arra is, hogy a Bizottság a PNR‑irányelv előzményét képező, a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, kivizsgálása és büntetőeljárás alá vonása érdekében az utas‑nyilvántartási adatállomány (PNR) felhasználásáról szóló európai parlamenti és tanácsi irányelvre vonatkozó 2011. február 2‑i javaslat (COM(2011) 32 végleges) indokolásában kiemelte, hogy „[a]z Egyesült Államokban 2001‑ben elkövetett terrortámadások, az Egyesült Királyságból az Egyesült Államokba tartó bizonyos repülőgépek felrobbantására irányuló, 2006. augusztusi sikertelen terrortámadás, valamint az Amszterdamból Detroitba tartó repülőgépjáratok egyikének fedélzetén 2009 decemberében megkísérelt terrortámadás rámutatott arra, hogy a terroristák képesek bármely országban támadást intézni nemzetközi repülőgépjáratok ellen”, valamint hogy a „legtöbb terrorista bűncselekmény transznacionális jellegű […] és, többek között az EU területén kívül található kiképzőtáborokba irányuló, nemzetközi utazással jár, ami szükségessé teszi a bűnüldöző hatóságok közötti fokozottabb együttműködést”. Ezenkívül a Bizottság a PNR‑adatoknak a súlyos bűncselekmények elleni küzdelem céljából történő elemzése szükségességének igazolása érdekében példaként az emberkereskedők olyan csoportjára hivatkozott, akik az emberkereskedelem céljából hamis okiratokkal jelentkeztek be az utasfelvételen, vagy az ember‑ és kábítószer‑kereskedelemmel foglalkozó hálózatra, amely a kábítószer számos európai célállomásra való behozatala érdekében olyan személyeket használt fel, akik lenyelték a kábítószert, és akik maguk emberkereskedelem útján jutottak be az országba, és akiknek a repülőjegyeit lopott hitelkártyákkal vásárolták. Márpedig ezen esetek mindegyike olyan bűncselekményekre vonatkozott, amelyek közvetlen kapcsolatban állnak az utasok légi szállításával, mivel olyan bűncselekményekről volt szó, amelyek az utasok légi szállítására irányultak, valamint amelyeket légi utazás során vagy ilyen utazás igénybevételével követtek el.

156    Ezenkívül meg kell állapítani, hogy még azok a bűncselekmények is, amelyek nem mutatnak ilyen közvetlen kapcsolatot az utasok légi szállításával, az adott ügy körülményeitől függően közvetett kapcsolatban állhatnak azzal. Ez különösen igaz akkor, ha a légi szállítás az ilyen bűncselekmények előkészítésének eszközéül vagy a bűncselekmények elkövetését követően a büntetőeljárás elkerülésére szolgál. Ezzel szemben az utasok légi szállításával semmilyen objektív – akárcsak közvetett – kapcsolatot nem mutató bűncselekmények nem igazolhatják a PNR‑irányelv által létrehozott rendszer alkalmazását.

157    E körülmények között ezen irányelv 3. cikkének a II. melléklettel összefüggésben és a Charta 7. és 8. cikkéből, valamint 52. cikkének (1) bekezdéséből eredő követelmények fényében értelmezett 8. és 9. pontja azt követeli meg a tagállamoktól, hogy – különösen az említett irányelv 6. cikkének (5) bekezdésében előírt, nem automatizált eszközökkel végzett egyedi felülvizsgálat során – gondoskodjanak arról, hogy az irányelv által létrehozott rendszer alkalmazása a terrorista bűncselekményekre és kizárólag az utasok légi szállításával objektív és legalább közvetett kapcsolatban álló súlyos bűncselekményekre korlátozódjon.

4)      A légi utasokról és az érintett járatokról

158    A PNR‑irányelv által létrehozott rendszer minden olyan személy PNR‑adataira kiterjed, aki megfelel az ezen irányelv 3. cikkének 4. pontja értelmében vett „utas” fogalmának, és az irányelv hatálya alá tartozó légi járatot vesz igénybe.

159    Az említett irányelv 8. cikkének (1) bekezdése szerint ezeket az adatokat továbbítják a légi járat indulási vagy érkezési helye szerinti tagállam utas‑adat információs egységének, függetlenül az annak megállapítását lehetővé tévő bármely objektív körülménytől, hogy az érintett utasok tekintetében fennáll a terrorista bűncselekményekben vagy súlyos bűncselekményekben való részvétel kockázata. Az ily módon továbbított adatok ugyanakkor többek között automatizált adatkezelésnek vethetők alá a PNR‑irányelv 6. cikke (2) bekezdésének a) pontja és (3) bekezdése alapján végzett előzetes értékelés keretében, amely értékelés célja – amint az ezen irányelv (7) preambulumbekezdéséből kitűnik – az olyan személyek beazonosítása, akiket nem gyanúsítottak terrorista bűncselekmények elkövetésével vagy súlyos bűncselekményben való részvétellel ezen értékelés előtt, és akiket az illetékes hatóságok általi további vizsgálatnak kell alávetni.

160    Közelebbről, a PNR‑irányelv 1. cikke (1) bekezdésének a) pontjából és 2. cikkéből kitűnik, hogy az irányelv különbséget tesz az Unió és harmadik országok között működtetett, EU‑n kívüli légi járatokat igénybe vevő utasok, illetve a különböző tagállamok között működtetett, EU‑n belüli járatokat igénybe vevő utasok között.

161    Ami az EU‑n kívüli légi járatok utasait illeti, emlékeztetni kell arra, hogy az Unió és Kanada közötti járatokat igénybe vevő utasok tekintetében a Bíróság már megállapította, hogy PNR‑adataiknak a Kanadába érkezésük előtti automatikus kezelése különösen a határokon megkönnyíti és felgyorsítja a biztonsági ellenőrzéseket. Ezenkívül bizonyos személykategóriák vagy bizonyos származási övezetek kizárása megakadályozhatná a PNR‑adatok automatikus kezelése céljának, vagyis annak a megvalósítását, hogy ezen adatok ellenőrzése révén az összes légi utas közül azonosítani lehessen azokat a személyeket, akik veszélyt jelenthetnek a közbiztonságra, továbbá elősegíthetné ezen ellenőrzés megkerülését (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 187. pont).

162    Márpedig e megfontolások értelemszerűen átültethetők az Unió és valamennyi harmadik ország között működtetett légi járatokat igénybe vevő utasok helyzetére, akik tekintetében a tagállamok – ezen irányelv 1. cikke (1) bekezdésének az említett irányelv 3. cikke 2. és 4. pontjával összefüggésben értelmezett a) pontjával összhangban – kötelesek a PNR‑irányelv által létrehozott rendszert alkalmazni. Az Unióba belépő vagy az onnan kilépő légi utasok PNR‑adatainak előzetes továbbítása és értékelése ugyanis a közbiztonságot érintő, a terrorista bűncselekményekből és súlyos bűncselekményekből esetlegesen eredő fenyegetések jellegére tekintettel nem korlátozható a légi utasok meghatározott körére, mivel e bűncselekmények objektív és legalábbis közvetett kapcsolatban állnak az Unió és a harmadik országok közötti légiutas‑szállítással. Ily módon meg kell állapítani, hogy fennáll az ezen adatok és az ilyen bűncselekmények elleni küzdelemre irányuló célkitűzés közötti szükséges kapcsolat, ezért a PNR‑irányelv nem lépi túl a feltétlenül szükséges mértéket pusztán amiatt, hogy előírja a tagállamok számára valamennyi ilyen utas PNR‑adatainak szisztematikus továbbítását és előzetes értékelését.

163    Ami a különböző uniós tagállamok közötti légi járatokat igénybe vevő utasokat illeti, a PNR‑irányelv 2. cikkének az irányelv (10) preambulumbekezdésével összefüggésben értelmezett (1) bekezdése csupán annyit ír elő, hogy a tagállamoknak lehetőségük van arra, hogy az ezen irányelv által létrehozott rendszer alkalmazását kiterjesszék az EU‑n belüli légi járatokra.

164    Ily módon az uniós jogalkotó nem kívánta arra kötelezni a tagállamokat, hogy a PNR‑irányelv által létrehozott rendszer alkalmazását terjesszék ki az EU‑n belüli légi járatokra, hanem – amint az ezen irányelv 19. cikkének (3) bekezdéséből kitűnik – fenntartotta számukra az ilyen kiterjesztésre vonatkozó döntést, mivel úgy vélte, hogy azt többek között az érintett személyek alapvető jogaira gyakorolt jogi hatások részletes értékelésének kell megelőznie.

165    E tekintetben meg kell jegyezni, hogy ezen irányelv 19. cikkének (3) bekezdése – annak megjelölésével, hogy a Bizottságnak a PNR‑irányelv 19. cikkének (1) bekezdésében említett felülvizsgálati jelentése „ismertet[i] annak a vizsgálatát is, hogy a PNR‑adatok kötelező gyűjtése és továbbítása szükséges, arányos és hatékony lenne‑e ezen irányelv hatályán belül az összes EU‑n belüli légi járat vagy azok egy része tekintetében”, és ehhez a Bizottság figyelembe veszi „a tagállamok tapasztalatait, különösen azon tagállamokéit, amelyek a 2. cikkel összhangban az EU‑n belüli légi járatok vonatkozásában is alkalmazzák ezen irányelvet” – egyértelművé teszi, hogy az uniós jogalkotó nem tartotta feltétlenül szükségesnek, hogy az említett irányelvvel létrehozott rendszert az EU‑n belüli összes légi járatra kiterjesszék.

166    Ugyanezen gondolatmenetet követve a PNR‑irányelv 2. cikkének (3) bekezdése úgy rendelkezik, hogy a tagállamok dönthetnek úgy, hogy ezt az irányelvet csak egyes kiválasztott EU‑n belüli légi járatokra alkalmazzák, amennyiben azt az említett irányelvben foglalt célkitűzések megvalósításához szükségesnek tartják, ugyanakkor dönthetnek úgy, hogy módosítják e légi járatok körét.

167    Mindenesetre, amint az a PNR‑irányelv (22) preambulumbekezdéséből kitűnik, a tagállamok azon lehetőségét, hogy a PNR‑irányelv által létrehozott rendszer alkalmazását kiterjesszék az EU‑n belüli légi járatokra, a Charta 7. és 8. cikkében biztosított alapvető jogok maradéktalan tiszteletben tartása mellett kell gyakorolni. E tekintetben, noha az említett irányelv (19) preambulumbekezdésével összhangban a tagállamok kötelessége, hogy értékeljék a terrorista bűncselekményekkel vagy súlyos bűncselekményekkel kapcsolatos potenciális fenyegetéseket, ez nem változtat azon, hogy e lehetőség gyakorlása feltételezi, hogy ezen értékelés során a tagállamok az említett bűncselekményekkel kapcsolatos olyan fenyegetés fennállását állapítják meg, amely alkalmas annak igazolására, hogy ugyanezen irányelvet az EU‑n belüli légi járatokra is alkalmazzák.

168    E körülmények között azok a tagállamok, amelyek élni kívánnak a PNR‑irányelv 2. cikkében biztosított lehetőséggel akár az e cikk (2) bekezdése szerint az EU‑n belüli valamennyi légi járat, akár az említett cikk (3) bekezdése alapján csupán bizonyos légi járatok tekintetében, nem mentesülnek annak vizsgálata alól, hogy ezen irányelv alkalmazásának az EU‑n belüli járatok összességére vagy egy részére való kiterjesztése ténylegesen szükséges‑e az említett irányelv 1. cikkének (2) bekezdésében foglalt célkitűzés megvalósításához, illetve hogy azzal arányos‑e.

169    Ily módon, figyelemmel a PNR‑irányelv (5)–(7), (10) és (22) preambulumbekezdésére, a tagállamoknak meg kell vizsgálniuk, hogy az EU‑n belüli légi járatokat igénybe vevő utasok PNR‑adatainak az ezen irányelvben előírt kezelései – a Charta 7. és 8. cikkében biztosított alapvető jogokba való beavatkozás súlyosságára tekintettel – feltétlenül szükségesek‑e az Unió vagy legalábbis e tagállam belső biztonságának garantálásához, és így a személyek életének és biztonságának szavatolásához.

170    Ami különösen a terrorista bűncselekményekhez kapcsolódó fenyegetéseket illeti, a Bíróság ítélkezési gyakorlatából kitűnik, hogy a terrorcselekmények azon tevékenységek közé tartoznak, amelyek komolyan destabilizálhatják az ország alapvető alkotmányos, politikai, gazdasági vagy társadalmi szerkezetét, és különösen amelyek közvetlenül fenyegethetik a társadalmat, a lakosságot vagy magát az államot, és hogy valamennyi tagállam elsődleges érdeke, hogy a nemzetbiztonság fenntartásának céljából megelőzzék és elfojtsák ezeket a tevékenységeket az állam alapvető funkcióinak és a társadalom alapvető érdekeinek a védelme érdekében. Az ilyen fenyegetés a jellegénél, a különös súlyosságánál és az azt megalapozó körülmények sajátosságainál fogva különbözik a súlyos bűncselekmények általános és állandó veszélyétől (lásd ebben az értelemben: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 135. és 136. pont; 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 61. és 62. pont).

171    Így abban az esetben, ha a valamely tagállam által végzett értékelés nyomán megállapítást nyer, hogy kellően konkrét körülmények alapján úgy lehet tekinteni, hogy e tagállamnak olyan nemzetbiztonsági fenyegetéssel kell szembenéznie, amely valósnak és közvetlennek, illetve előre láthatónak bizonyul, az, hogy a tagállam a PNR‑irányelv 2. cikke (1) bekezdése értelmében korlátozott időtartamra előírja ezen irányelv alkalmazását az említett tagállamból kiinduló vagy oda érkező, EU‑n belüli valamennyi légi járatra, nem tűnik úgy, hogy meghaladná a feltétlenül szükséges mértéket. Az ilyen fenyegetés fennállása ugyanis már önmagában olyan jellegű, hogy megteremtheti a kapcsolatot egyrészt az érintett adatok továbbítása és kezelése, másrészt pedig a terrorizmus elleni küzdelem között (lásd analógia útján: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 137. pont).

172    Az ezen alkalmazást előíró határozat tekintetében biztosítani kell, hogy az bíróság, illetve kötelező erejű határozatot hozó, független közigazgatási szerv általi, tényleges ellenőrzésnek legyen alávethető, amely annak vizsgálatára irányul, hogy e helyzet fennáll‑e, valamint hogy tiszteletben tartják‑e az előírandó feltételeket és garanciákat. Az alkalmazás időtartamát szintén a feltétlenül szükséges mértékre kell korlátozni, ez azonban a fenyegetettség tartós fennállása esetén meghosszabbítható (lásd analógia útján: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 168. pont; 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 58. pont).

173    Ezzel szemben ha az érintett tagállam nem néz szembe valós és közvetlen vagy előre látható terrorista fenyegetéssel, nem tekinthető úgy, hogy a PNR‑irányelv által létrehozott rendszernek az e tagállam általi, az EU‑n kívüli járatokon felül az EU‑n belüli összes légi járatra való, különbségtétel nélküli alkalmazása a feltétlenül szükséges mértékre korlátozódik.

174    Ilyen helyzetben a PNR‑irányelv által létrehozott rendszernek az EU‑n belüli bizonyos légi járatokra való alkalmazását többek között bizonyos légi útvonalakra vagy útitervekre, illetve bizonyos olyan repülőterekre vonatkozó PNR‑adatok továbbítására és kezelésére kell korlátozni, amelyek tekintetében az adott körülmények igazolhatják ezen alkalmazást. Ilyen helyzetben az érintett tagállam feladata, hogy az EU‑n belüli légi járatokat a jelen ítélet 163–169. pontjában ismertetett követelmények alapján elvégzendő értékelés eredményeként válassza ki, és hogy ezen értékelést a járatok kiválasztását igazoló körülmények alakulásának függvényében rendszeresen felülvizsgálja annak biztosítása érdekében, hogy az említett irányelv által létrehozott rendszernek az EU‑n belüli járatokra történő alkalmazása mindenkor a feltétlenül szükséges mértékre korlátozódjon.

175    A fenti megfontolásokból az következik, hogy a PNR‑irányelv 2. cikkének és 3. cikke 4. pontjának a Charta 7. és 8. cikkének, valamint 52. cikke (1) bekezdésének fényében való ilyen értelmezése alkalmas annak biztosítására, hogy e rendelkezések tiszteletben tartsák a feltétlenül szükséges mértéket.

5)      A PNR‑adatok automatizált adatkezelések útján történő előzetes értékeléséről

176    A PNR‑irányelv 6. cikke (2) bekezdésének a) pontja értelmében az ott előírt előzetes értékelés célja, hogy beazonosítsák azokat a személyeket, akiket többek között az ezen irányelv 7. cikkében említett illetékes hatóságoknak további vizsgálat alá kell vonniuk, tekintettel arra, hogy ezek a személyek érintettek lehetnek terrorista bűncselekményben vagy súlyos bűncselekményben.

177    Ez az előzetes értékelés két lépésben történik. Az első lépésben az érintett tagállam utasadat‑információs egysége a PNR‑irányelv 6. cikkének (3) bekezdésével összhangban elvégzi a PNR‑adatok automatizált – ezen adatok adatbázisokkal való összevetése vagy előzetesen meghatározott kritériumokra tekintettel történő – kezelését. Amennyiben ezen automatizált adatkezelések pozitív találatot (hit) adnak, az említett egység – ezen irányelv 6. cikkének (5) bekezdése értelmében – második lépésben nem automatizált eszközökkel egyedi felülvizsgálatot végez annak megvizsgálása érdekében, hogy szükség van‑e az említett irányelv 7. cikkében említett illetékes hatóságok részéről nemzeti jog szerinti intézkedések meghozatalára (match).

178    Márpedig, amint arra a jelen ítélet 106. pontja emlékeztetett, az automatizált adatkezelések szükségszerűen meglehetősen magas hibaarányt mutatnak, mivel nem ellenőrzött személyes adatokon és előzetesen meghatározott kritériumokon alapulnak.

179    E körülmények között, és figyelemmel arra, hogy a Charta negyedik preambulumbekezdésében hangsúlyozottak szerint többek között a tudományos és technológiai fejlődés fényében szükséges az alapvető jogok megerősítése, biztosítani kell – amint azt a PNR‑irányelv (20) preambulumbekezdése és 7. cikkének (6) bekezdése kimondja –, hogy az illetékes hatóságok kizárólag a PNR‑adatok automatizált kezelésének eredményeként ne hozhassanak olyan döntést, amely egyes személyekre nézve hátrányos joghatással jár, vagy őket jelentős mértékben érinti. Ezenfelül ezen irányelv 6. cikkének (6) bekezdésével összhangban maga az utasadat‑információs egység csupán nem automatizált eszközökkel végzett egyedi felülvizsgálatot követően továbbíthatja a PNR‑adatokat e hatóságok részére. Végül e vizsgálatokon felül, amelyeknek az elvégzése az utasadat‑információs egység és az illetékes hatóságok feladata, az automatizált adatkezelések összessége jogszerűségének az említett irányelv 6. cikkének (7) bekezdése, illetve 15. cikke (3) bekezdésének b) pontja alapján az adatvédelmi tisztviselő, illetve a nemzeti felügyeleti hatóság által ellenőrizhetőnek, valamint az ugyanezen irányelv 13. cikkének (1) bekezdése szerinti bírósági jogorvoslat keretében a nemzeti bíróságok által felülvizsgálhatónak kell lennie.

180    Márpedig, amint arra a főtanácsnok az indítványának 207. pontjában lényegében rámutatott, a nemzeti felügyeleti hatóságnak, az adatvédelmi tisztviselőnek és az utasadat‑információs egységnek rendelkeznie kell a PNR‑irányelv alapján rájuk háruló ellenőrzés gyakorlásához szükséges anyagi és személyi erőforrásokkal. Ezenkívül az ezen irányelvet a belső jogba átültető és az irányelv által előírt automatizált adatkezeléseket engedélyező nemzeti szabályozásnak az adatbázisokat, valamint az alkalmazott elemzési kritériumokat körülhatároló egyértelmű és pontos szabályokat kell rögzítenie, anélkül hogy az előzetes értékelés céljából az ezen irányelv 6. cikkének (2) bekezdésében kifejezetten elő nem írt más módszerekhez folyamodhatna.

181    Egyébiránt a PNR‑irányelv 6. cikkének (9) bekezdéséből az következik, hogy az ezen irányelv 6. cikke (2) bekezdésének a) pontja szerinti előzetes értékelés következményei nem érintik az érintett tagállam területén a 2004/38 irányelvben előírt szabad mozgáshoz való joggal rendelkező személyek beutazási jogát, amely személyeknek egyébiránt tiszteletben kell tartaniuk az 562/2006 rendeletet. Így a PNR‑irányelv által létrehozott rendszer nem teszi lehetővé az illetékes hatóságok számára, hogy e jogot a 2004/38 irányelvben és az 562/2006 rendeletben előírtakat meghaladó mértékben korlátozzák.

i)      A PNR‑adatok adatbázisokkal való összevetéséről

182    A PNR‑irányelv 6. cikke (3) bekezdésének a) pontja szerint az utas‑adat információs egység az ezen irányelv 6. cikke (2) bekezdésének a) pontjában említett értékelés elvégzésekor „összevetheti” a PNR‑adatokat a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése szempontjából „releváns adatbázisokkal, beleértve a körözés alatt álló vagy figyelmeztető jelzés hatálya alatt álló személyekre vagy tárgyakra vonatkozó adatbázisokat is, összhangban az ilyen adatbázisokra érvényes uniós, nemzetközi vagy nemzeti szabályokkal”.

183    Bár a PNR‑irányelv e 6. cikke (3) bekezdése a) pontjának magából a szövegéből, különösen a „beleértve” kifejezésből az következik, hogy a körözés alatt álló vagy figyelmeztető jelzés hatálya alatt álló személyekre vagy tárgyakra vonatkozó adatbázisok az e rendelkezésben említett „releváns adatbázisok” körébe tartoznak, e rendelkezés nem pontosítja, hogy mely más adatbázisok lennének „relevánsnak” tekinthetők az ezen irányelv által megvalósítani kívánt célkitűzésekre tekintettel. Amint arra ugyanis a főtanácsnok az indítványának 217. pontjában rámutatott, az említett rendelkezés nem határozza meg kifejezetten azoknak az adatoknak a jellegét, amelyeket ezek az adatbázisok tartalmazhatnak, valamint ezen adatoknak az említett célokkal való kapcsolatát sem, ahogyan azt sem jelöli meg, hogy a PNR‑adatokat kizárólag a hatóságok által kezelt adatbázisokkal kell‑e összevetni, vagy azok a magánszemélyek által kezelt adatbázisokkal is összevethetők‑e.

184    E körülmények között a PNR‑irányelv 6. cikke (3) bekezdésének a) pontja első ránézésre értelmezhető oly módon, hogy a PNR‑adatok felhasználhatók egyszerű keresési kritériumokként a különböző adatbázisokon – köztük a tagállamok biztonsági és hírszerző ügynökségei által az ezen irányelvben meghatározottaktól eltérő célkitűzések megvalósítása érdekében kezelt és használt adatbázisokon – alapuló elemzések elvégzéséhez, is, és hogy az ilyen elemzések adatbányászat formáját is ölthetik (data mining). Márpedig az ilyen elemzések végzésének és a PNR‑adatok ilyen adatbázisokkal való összevetésének lehetősége a légi utasok képzetében azt az érzést keltheti, hogy a magánéletüket valamilyen formában megfigyelik. Így, noha az e rendelkezésben előírt előzetes értékelés a PNR‑adatok alkotta, viszonylag korlátozott adatállományon alapul, e 6. cikk (3) bekezdése a) pontjának ilyen értelmezése nem fogadható el, mivel az ezen adatok aránytalan felhasználásához vezethetne azáltal, hogy az érintett személyek pontos profiljának meghatározására szolgáló eszközöket biztosít pusztán azon okból kifolyólag, hogy e személyek repülőgéppel kívánnak utazni.

185    Következésképpen a jelen ítélet 86. és 87. pontjában felidézett ítélkezési gyakorlattal összhangban a PNR‑irányelv 6. cikke (3) bekezdésének a) pontját úgy kell értelmezni, hogy az biztosítsa a Charta 7. és 8. cikkében biztosított alapvető jogok maradéktalan tiszteletben tartását.

186    E tekintetben a PNR‑irányelv (7) és (15) preambulumbekezdéséből kitűnik, hogy az ezen irányelv 6. cikke (3) bekezdésének a) pontjában előírt automatizált kezelésnek a terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelemhez feltétlenül szükséges mértékre kell korlátozódnia, és mindemellett biztosítani kell ezen alapvető jogok magas szintű védelmét.

187    Ezenkívül, amint arra a Bizottság a Bíróság kérdésére válaszolva lényegében rámutatott, e rendelkezés szövege, amely szerint az utasadat‑információs egység „összevetheti” a PNR‑adatokat az e rendelkezésben említett adatbázisokkal, lehetővé teszi az utasadat‑információs egység számára, hogy olyan adatkezelési módot válasszon, amely a konkrét helyzettől függően a feltétlenül szükséges mértékre korlátozódik. Márpedig tekintettel arra, hogy a Charta 7. és 8. cikkében rögzített alapvető jogok védelmének biztosításához feltétlenül tiszteletben kell tartani az egyértelműség és pontosság követelményét, az utasadat‑információs egység köteles a PNR‑irányelv 6. cikke (3) bekezdésének a) pontjában előírt automatizált adatkezelést az e rendelkezés alapján azonosítható adatbázisokra korlátozni. E tekintetben, jóllehet az utóbbi rendelkezésben szereplő, a „releváns adatbázisokra” való hivatkozás nem értelmezhető oly módon, hogy az kellő egyértelműséggel és pontossággal meghatározza az e rendelkezésben említett adatbázisokat, más a helyzet „a körözés alatt álló vagy figyelmeztető jelzés hatálya alatt álló személyekre vagy tárgyakra vonatkozó adatbázisok[…] [esetében], összhangban az ilyen adatbázisokra érvényes uniós, nemzetközi vagy nemzeti szabályokkal”.

188    Ennélfogva, amint arra a főtanácsnok az indítványának 219. pontjában lényegében rámutatott, a PNR‑irányelv 6. cikke (3) bekezdésének a) pontját ezen alapvető jogok fényében úgy kell értelmezni, hogy az utóbbi adatbázisok minősülnek az egyedüli olyan adatbázisoknak, amelyekkel az utasadat‑információs egység összevetheti a PNR‑adatokat.

189    Azon követelményeket illetően, amelyeknek ezen adatbázisoknak meg kell felelniük, rá kell mutatni arra, hogy a PNR‑irányelv 6. cikkének (4) bekezdése szerint az előzetesen meghatározott kritériumokra tekintettel végzett előzetes értékelésnek ezen irányelv 6. cikke (3) bekezdésének b) pontja alapján hátrányos megkülönböztetéstől mentesnek kell lennie, e kritériumoknak célzottnak, arányosnak és egyedinek kell lenniük, továbbá azokat az utasadat‑információs egységnek az említett irányelv 7. cikkében említett illetékes hatóságokkal együttműködve rendszeres időközönként meg kell határoznia és felül kell vizsgálnia. Noha ugyanezen irányelv 6. cikke (4) bekezdésének szövege – az ugyanezen 6. cikk (3) bekezdésének b) pontjára hivatkozással – kizárólag a PNR‑adatok előzetesen meghatározott kritériumok alapján történő kezelésére vonatkozik, ez utóbbi rendelkezést a Charta 7., 8. és 21. cikkének fényében úgy kell értelmezni, hogy az e rendelkezés által előírt követelmények értelemszerűen ezen adatoknak a jelen ítélet előző pontjában említett adatbázisokkal való összevetésére is alkalmazandók, annál is inkább, hogy e követelmények lényegében megegyeznek a 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] véleményből (EU:C:2017:592, 172. pont) eredő ítélkezési gyakorlat által a PNR‑adatok adatbázisokkal való egybevetése tekintetében megállapított követelményekkel.

190    E tekintetben pontosítani kell, hogy azon követelmény, amely szerint az ilyen adatbázisoknak hátrányos megkülönböztetéstől mentesnek kell lenniük, többek között azt jelenti, hogy a körözés alatt álló vagy figyelmeztető jelzés hatálya alatt álló személyek adatbázisába való felvételnek az ilyen adatbázisokra alkalmazandó nemzeti, nemzetközi és uniós szabályok által meghatározott objektív és hátrányos megkülönböztetéstől mentes elemeken kell alapulnia (lásd analógia útján: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 78. pont).

191    Ezenkívül az előzetesen meghatározott kritériumok célzott, arányos és egyedi jellegére vonatkozó követelménynek való megfelelés érdekében a jelen ítélet 188. pontjában említett adatbázisokat a terrorista bűncselekmények és az utasok légi szállításával objektív és legalább közvetett kapcsolatban álló súlyos bűncselekmények elleni küzdelemmel összefüggésben kell működtetni.

192    Egyébiránt a PNR‑irányelv 6. cikke (3) bekezdésének a) pontja alapján használt adatbázisokat a jelen ítélet 183. és 184. pontjában szereplő megfontolásokra tekintettel az ezen irányelv 7. cikkében említett illetékes hatóságoknak kell kezelniük, az uniós és a nemzetközi adatbázisokat pedig e hatóságoknak a terrorista bűncselekmények és a súlyos bűncselekmények elleni küzdelemre irányuló feladatuk keretében kell felhasználniuk. Márpedig az ilyen adatbázisokra alkalmazandó nemzeti, nemzetközi és uniós szabályokkal összhangban mindez a körözés alatt álló vagy a figyelmeztető jelzés hatálya alatt álló személyekre vagy tárgyakra vonatkozó adatbázisokra is vonatkozik.

ii)    A PNR‑adatok előzetesen meghatározott kritériumok alapján történő kezeléséről

193    A PNR‑irányelv 6. cikke (3) bekezdésének b) pontja előírja, hogy az utasadat‑információs egység az előre meghatározott kritériumok alapján is kezelheti a PNR‑adatokat. Ezen irányelv 6. cikke (2) bekezdésének a) pontjából kitűnik, hogy a PNR‑adatok előzetes értékelése, és következésképpen az előzetesen megállapított kritériumokra tekintettel történő kezelése lényegében azoknak a személyeknek az azonosítására irányul, akik terrorista bűncselekményben vagy súlyos bűncselekményekben lehetnek érintettek.

194    Azon kritériumokat illetően, amelyeket az utasadat‑információs egység e célból alkalmazhat, mindenekelőtt rá kell mutatni arra, hogy a PNR‑irányelv 6. cikke (3) bekezdése b) pontjának szövege szerint e kritériumoknak „előzetesen meghatározottaknak” kell lenniük. Amint arra a főtanácsnok az indítványának 228. pontjában rámutatott, e követelménnyel ellentétes a mesterséges intelligencia alapú technológiák öntanuló rendszerek (machine learning) keretében való alkalmazása, amelyek emberi beavatkozás és ellenőrzés nélkül módosíthatják az értékelési folyamatot, és különösen azokat az értékelési szempontokat, amelyeken e módszer alkalmazásának eredménye alapul, továbbá e szempontok súlyozását.

195    Hozzá kell tenni, hogy az ilyen technológiák alkalmazása azzal a kockázattal járhat, hogy megfosztja a hatékony érvényesülésétől a pozitív találatok egyedi felülvizsgálatát, valamint a jogszerűségnek a PNR‑irányelv rendelkezései által megkövetelt ellenőrzését. Amint arra ugyanis a főtanácsnok az indítványának 228. pontjában lényegében rámutatott, az átláthatóság hiányára tekintettel, ami a mesterséges intelligencia alapú technológiák működését jellemzi, lehetetlen megérteni azt az indokot, amely alapján a program pozitív találatot jelzett. E körülmények között az ilyen technológiák alkalmazása emellett a Charta 47. cikkében biztosított azon jogtól is megfoszthatja az érintett személyeket, hogy – különösen a kapott eredmények hátrányos megkülönböztetéstől mentes jellegének vitatása érdekében – hatékony bírósági jogorvoslatot vegyenek igénybe, és amely jog magas szintű védelmét a PNR‑irányelv a (28) preambulumbekezdése szerint biztosítani kívánja.

196    Ami ezt követően a PNR‑irányelv 6. cikkének (4) bekezdéséből fakadó követelményeket illeti, e rendelkezés az első mondatában kimondja, hogy az előzetesen meghatározott kritériumok alapján történő előzetes értékelést megkülönböztetéstől mentes módon kell elvégezni, negyedik mondatában pedig pontosítja, hogy e kritériumok semmilyen esetben sem alapulhatnak a személy faji vagy etnikai hovatartozásán, politikai véleményén, vallási vagy világnézeti meggyőződésén, szakszervezeti tagságán, egészségi állapotán vagy szexuális életén vagy szexuális irányultságán.

197    Így a tagállamok előzetesen meghatározott kritériumokként nem állapíthatnak meg olyan kritériumokat, amelyek a jelen ítélet előző pontjában említett jellemzőkön alapulnak, és amelyek alkalmazása hátrányos megkülönböztetést eredményezhet. E tekintetben a PNR‑irányelv 6. cikke (4) bekezdése negyedik mondata szerint az előzetesen meghatározott kritériumok „semmilyen körülmények között” nem alapulhatnak e jellemzőkön, és e rendelkezés szövegéből az következik, hogy e rendelkezés a közvetlen és a közvetett hátrányos megkülönböztetésre egyaránt vonatkozik. Ezt az értelmezést egyébiránt a Charta 21. cikkének (1) bekezdése is megerősíti, amelynek fényében az említett rendelkezést értelmezni kell, és amely az említett jellemzőkön alapuló „minden” megkülönböztetést tilt. Ilyen körülmények között az előzetesen meghatározott kritériumokat oly módon kell megállapítani, hogy semleges megfogalmazásuk ellenére az alkalmazásuk ne érintse különösen hátrányosan a védett jellemzőkkel rendelkező személyeket.

198    Ami a PNR‑irányelv 6. cikke (4) bekezdésének második mondatában előírt, előzetesen meghatározott kritériumok célzott, arányos és egyedi jellegére vonatkozó követelményeket illeti, e követelményekből az következik, hogy az előzetes értékelés céljából alkalmazott kritériumokat úgy kell meghatározni, hogy azok konkrétan azokra az egyénekre irányuljanak, akik tekintetében fennállhat a terrorista bűncselekményekben vagy az ezen irányelvben említett súlyos bűncselekményekben való részvétel észszerű gyanúja. Ezt az értelmezést maga a 6. cikk (2) bekezdése a) pontjának szövege is alátámasztja, amely „arra” helyezi a hangsúlyt, hogy ezek a személyek érintettek lehetnek „terrorista bűncselekményben” vagy „súlyos bűncselekményben”. Ugyanezen gondolatmenetet követve az említett irányelv (7) preambulumbekezdése pontosítja, hogy az értékelési kritériumok megállapítását és alkalmazását azokra a terrorista bűncselekményekre és súlyos bűncselekményekre kell korlátozni, „amelyek esetében releváns az említett kritériumok alkalmazása”.

199    Az ekként érintett személyek azonosítása érdekében és a PNR‑irányelv 6. cikke (4) bekezdésének negyedik mondatában említett jellemzőkön alapuló kritériumok jelentette hátrányos megkülönböztetés veszélyére figyelemmel az utasadat‑információs egység és a hatáskörrel rendelkező hatóságok főszabály szerint nem vehetnek alapul ilyen jellemzőket. Ezzel szemben, amint arra a német kormány a tárgyaláson rámutatott, figyelembe vehetik többek között a személyeknek a légi utazások előkészítésével és megvalósításával kapcsolatos tényleges magatartásának sajátosságait, amelyek az illetékes hatóságok által tett megállapítások és szerzett tapasztalatok alapján arra utalhatnak, hogy az ilyen magatartást tanúsító személyek terrorista bűncselekményekben vagy súlyos bűncselekményekben vehetnek részt.

200    Ebben az összefüggésben, amint azt a Bizottság a Bíróság kérdésére adott válaszában megjegyezte, az előzetesen meghatározott kritériumok megállapításakor figyelembe kell venni mind a „terhelő”, mind a „mentő” tényezőket, mivel e követelmény alkalmas arra, hogy hozzájáruljon e kritériumok megbízhatóságához, és különösen arra, hogy biztosítsa e kritériumok arányosságát, amint azt a PNR‑irányelv 6. cikke (4) bekezdésének második mondata megköveteli.

201    Végül ezen irányelv 6. cikke (4) bekezdésének harmadik mondata értelmében az előzetesen meghatározott kritériumokat rendszeresen felül kell vizsgálni. E felülvizsgálat keretében e kritériumokat az előzetes értékeléshez való figyelembevételüket igazoló feltételek változásának függvényében naprakésszé kell tenni, lehetővé téve ezáltal többek között a terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelem alakulására való reagálást (lásd analógia útján: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 82. pont). Az említett felülvizsgálatnak figyelembe kell vennie különösen az előzetesen meghatározott kritériumok alkalmazása keretében szerzett tapasztalatokat annak érdekében, hogy a lehető legnagyobb mértékben csökkentse a „hamis pozitív” eredmények számát, és ezáltal hozzájáruljon ahhoz, hogy e kritériumok alkalmazása a feltétlenül szükségesre korlátozódjon.

iii) A PNR‑adatok automatizált kezelését övező biztosítékokról

202    A PNR‑irányelv 6. cikkének (4) bekezdésében a PNR‑adatok automatizált kezelése tekintetében előírt követelményeket nemcsak az adatbázisok meghatározása és felülvizsgálata, valamint az e rendelkezésben előírt, előzetesen meghatározott kritériumok megállapítása és felülvizsgálata során, hanem – amint arra a főtanácsnok az indítványának 230. pontjában rámutatott – ezen adatok kezelése során is folyamatosan tiszteletben kell tartani.

203    Ami közelebbről az előre meghatározott kritériumokat illeti, mindenekelőtt pontosítani kell, hogy bár az utasadat‑információs egységnek – amint azt a PNR‑irányelv (7) preambulumbekezdése kimondja – az értékelési kritériumokat oly módon kell meghatároznia, hogy a legkisebbre csökkentse az ezen irányelv által tévesen azonosított, ártatlan személyek számát, ugyanezen egységnek az említett irányelv 6. cikke (5) és (6) bekezdésével összhangban valamennyi pozitív találat esetében nem automatizált eszközökkel végzett egyedi felülvizsgálatot kell folytatnia az esetleges „hamis pozitív” eredmények lehető legnagyobb mértékben való kiszűrésére. Ezenkívül, annak ellenére, hogy az értékelési kritériumokat hátrányos megkülönböztetéstől mentesen kell rögzítenie, az utasadat‑információs egység köteles ilyen felülvizsgálatot folytatni annak érdekében, hogy kizárja az esetleges hátrányosan megkülönböztető eredményeket. Az utasadat‑információs egységnek a PNR‑adatok adatbázisokkal való összevetése tekintetében is ugyanezen felülvizsgálati kötelezettséget kell tiszteletben tartania.

204    Ily módon az utasadat‑információs egységnek tartózkodnia kell attól, hogy ezen automatikus adatkezelések eredményeit továbbítsa a PNR‑irányelv 7. cikkében említett illetékes hatóságoknak, amennyiben – a jelen ítélet 198. pontjában szereplő megfontolásokra tekintettel – e felülvizsgálatot követően nem rendelkezik olyan információkkal, amelyek a jogilag megkövetelt módon megalapozhatnák a terrorista bűncselekményekben vagy súlyos bűncselekményekben való részvétel észszerű gyanúját az ezen automatizált kezelések révén azonosított személyekkel szemben, továbbá ha arra utaló információkkal rendelkezik, hogy az említett adatkezelések hátrányosan megkülönböztető eredményekhez vezetnek.

205    Az utasadat‑információs egység által e célból elvégzendő ellenőrzéseket illetően a PNR‑irányelvnek a (20) és (22) preambulumbekezdésével összefüggésben értelmezett 6. cikkének (5) és (6) bekezdéséből az következik, hogy a tagállamoknak egyértelmű és pontos szabályokat kell előírniuk, amelyek iránymutatásul szolgálhatnak és körülhatárolhatják az egyedi felülvizsgálattal megbízott alkalmazottak által folytatott elemzést annak érdekében, hogy biztosítsák a Charta 7., 8. és 21. cikkében biztosított alapvető jogok maradéktalan tiszteletben tartását, és különösen azt, hogy az utasadat‑információs egységen belül a hátrányos megkülönböztetés tilalmának elvét tiszteletben tartó következetes közigazgatási gyakorlatot alkalmazzanak.

206    Konkrétabban, a „hamis pozitív” találatoknak a jelen ítélet 106. pontjában hivatkozott meglehetősen magas számára figyelemmel a tagállamoknak gondoskodniuk kell többek között arról, hogy az utasadat‑információs egység olyan, egyértelműen és pontosan meghatározott objektív felülvizsgálati kritériumokat írjon elő, amelyek lehetővé teszik a tagjai számára annak ellenőrzését, hogy egyrészt a pozitív találat (hit) ténylegesen olyan egyénre vonatkozik‑e, aki érintett lehet terrorista bűncselekményekben vagy a jelen ítélet 157. pontjában említett súlyos bűncselekményekben, és ha igen, milyen mértékben, másrészt pedig hogy az említett irányelvben előírt automatizált kezelés, és különösen az előzetesen meghatározott kritériumok és a felhasznált adatbázisok hátrányos megkülönböztetéstől mentesek‑e.

207    Ebben az összefüggésben a tagállamoknak biztosítaniuk kell, hogy a PNR‑irányelvnek a (37) preambulumbekezdésével összefüggésben értelmezett 13. cikke (5) bekezdésével összhangban az utasadat‑információs egység a PNR‑adatoknak az előzetes értékelés – így többek között a nem automatizált eszközök útján végzett felülvizsgálat – keretében végzett minden kezeléséről nyilvántartást vezessen ezen adatkezelés jogszerűségének ellenőrzése és az önellenőrzés céljából.

208    Ezt követően az illetékes hatóságok a PNR‑irányelv 7. cikke (6) bekezdésének első mondata értelmében egyetlen személyre nézve sem hozhatnak hátrányos joghatással járó vagy őt súlyosan érintő döntést kizárólag a PNR‑adatok automatizált kezelésének eredményeként, ami az előzetes értékelés keretében azt jelenti, hogy figyelembe kell venniük az utasadat‑információs egység által nem automatizált eszközök útján végzett egyedi felülvizsgálat eredményét, és adott esetben elsőbbséget kell adniuk ezen eredménynek az automatizált adatkezelések útján kapott eredményekkel szemben. E 7. cikk (6) bekezdésének második mondata pontosítja, hogy az ilyen határozatok nem lehetnek hátrányosan megkülönböztetőek.

209    Ennek keretében az illetékes hatóságoknak meg kell győződniük mind ezen automatikus adatkezelések jogszerűségéről, különösen azok hátrányos megkülönböztetéstől mentes jellegéről, mind pedig az egyedi felülvizsgálat jogszerűségéről.

210    Konkrétabban, az illetékes hatóságoknak biztosítaniuk kell, hogy az érintett – anélkül, hogy a közigazgatási eljárás során szükségszerűen lehetővé tennék számára az előzetesen meghatározott értékelési kritériumok és az e kritériumokat alkalmazó programok megismerését – megérthesse e kritériumok és programok működését oly módon, hogy az ügy teljes ismeretében dönthessen arról, hogy az említett kritériumok jogellenességének és különösen hátrányosan megkülönböztető jellegének adott esetben való vitatása érdekében gyakorolja‑e, vagy sem, a PNR‑irányelv 13. cikkének (1) bekezdésében biztosított bírósági jogorvoslathoz való jogát (lásd analógia útján: 2020. november 24‑i Minister van Buitenlandse Zaken ítélet, C‑225/19 és C‑226/19, EU:C:2020:951, 43. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Ugyanennek kell érvényesülnie a jelen ítélet 206. pontjában említett felülvizsgálati kritériumok esetében is.

211    Végül a PNR‑irányelv 13. cikkének (1) bekezdése alapján benyújtott kereset keretében biztosítani kell, hogy az illetékes hatóságok által elfogadott határozat jogszerűségének felülvizsgálatát végző bíróság, valamint az állambiztonság fenyegetettségének esetét kivéve maga az érintett személy megismerhesse az e határozat meghozatalának alapjául szolgáló indokok és bizonyítékok összességét (lásd analógia útján: 2013. június 4‑i ZZ‑ítélet, C‑300/11, EU:C:2013:363, 54–59. pont), az előzetesen meghatározott kritériumokat és az azokat alkalmazó programok működését is beleértve.

212    Egyébiránt a PNR‑irányelv 6. cikkének (7) bekezdése, illetve 15. cikke (3) bekezdésének b) pontja értelmében az adatvédelmi biztos, illetve a nemzeti felügyeleti hatóság feladata az utasadat‑információs egység által az előzetes értékelés keretében végzett automatizált adatkezelés jogszerűségének ellenőrzése, amely többek között arra is kiterjed, hogy e kezelés hátrányos megkülönböztetéstől mentes‑e. Noha e rendelkezések közül az első e tekintetben pontosítja, hogy az adatvédelmi tisztviselő hozzáfér az utas‑adat információs egység által kezelt valamennyi adathoz, az adatvédelem hatékonyságának és magas szintjének biztosítása érdekében – ami ezen irányelv (37) preambulumbekezdésével összhangban e tisztviselő feladat – e hozzáférésnek szükségszerűen az ezen egység által előzetesen meghatározott kritériumokra és adatbázisokra is ki kell terjednie. Hasonlóképpen, azok a vizsgálatok, ellenőrzések és auditok, amelyeket a nemzeti felügyeleti hatóság e második rendelkezés alapján végez, az előzetesen meghatározott kritériumokra és ezen adatbázisokra is kiterjedhetnek.

213    A fenti megfontolások összességéből az következik, hogy a PNR‑irányelvnek a PNR‑adatok ezen irányelv 6. cikke (2) bekezdésének a) pontja alapján történő előzetes értékelését szabályozó rendelkezései – a feltétlenül szükséges mérték kereteit tiszteletben tartva – értelmezhetőek a Charta 7., 8. és 21. cikkével összhangban.

6)      A PNR‑adatok utólagos közléséről és értékeléséről

214    A PNR‑irányelv 6. cikke (2) bekezdésének b) pontja értelmében a PNR‑adatok az illetékes hatóságok megkeresésére a tagállamba való tervezett érkezést vagy az onnan való tervezett indulást követően is közölhetők e hatóságokkal, és értékelés tárgyát képezhetik.

215    Azon feltételeket illetően, amelyek mellett az ilyen közlés és értékelés elvégezhető, e rendelkezés szövegéből kitűnik, hogy az utasadat‑információs egység az illetékes hatóságok „eseti alapon, kellően alátámasztott, megfelelő indokolással ellátott megkeresésére” való válaszadás céljából kezelheti a PNR‑adatokat, amely adatkezelés ezen adatoknak a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából való, az illetékes hatóságok részére történő szolgáltatására és kezelésére irányul. Ezenfelül ha e megkeresést több mint hat hónappal a PNR‑adatok utasadat‑információs egység részére való továbbítását követően nyújtják be, amely határidő lejártával ezen irányelv 12. cikkének (2) bekezdésével összhangban az összes PNR‑adatot személyazonosításra alkalmatlanná kell tenni bizonyos adatelemek elrejtése útján, az említett irányelv 12. cikkének (3) bekezdése úgy rendelkezik, hogy a teljes PNR‑adatoknak – és következésképpen ezen adatok személyazonosításra alkalmatlanná nem tett formájának – a közlése csupán azzal a kettős feltétellel engedélyezhető, hogy egyrészt alapos okkal feltételezhető, hogy ez a 6. cikk (2) bekezdésének b) pontjában említett célból szükséges, és másrészt azt jóváhagyta vagy egy igazságügyi hatóság, vagy a nemzeti jog alapján hatáskörrel rendelkező más nemzeti hatóság.

216    E tekintetben először is a PNR‑irányelv 6. cikke (2) bekezdése b) pontjának magából a szövegéből kitűnik, hogy az utasadat‑információs egység nem közölheti és értékelheti szisztematikusan az összes légi utas PNR‑adatait, hanem csupán „eseti alapon” adhat választ az „egyedi esetekben” való ilyen adatkezelésre irányuló megkeresésekre. Mindemellett, mivel e rendelkezés „egyedi esetekre” utal, ezeknek az adatkezeléseknek nem kell szükségképpen egyetlen légi utas PNR‑adataira szorítkozniuk, hanem – amint arra a Bizottság a Bíróság kérdésére adott válaszában rámutatott – több személyre is vonatkozhatnak, feltéve hogy az érintett személyek bizonyos számú olyan jellemzővel rendelkeznek, amelyek alapján megállapítható, hogy e személyek a kért közlés és értékelés céljából együttesen „egyedi esetet” alkotnak.

217    Ami ezt követően az ahhoz szükséges anyagi feltételeket illeti, hogy a légi utasok PNR‑adatai későbbi közlés és értékelés tárgyát képezhessék, noha a PNR‑irányelv 6. cikke (2) bekezdésének b) pontja, illetve 12. cikke (3) bekezdésének a) pontja „kellően alátámasztott” megkeresésre, illetve „alapos okra” utal, anélkül hogy kifejezetten megjelölné ezen indokok jellegét, e rendelkezések közül magából az első, az említett irányelv 1. cikkének (2) bekezdésében említett célokra utaló rendelkezésből következik, hogy a PNR‑adatok utólagos közlésére és értékelésére kizárólag annak ellenőrzése érdekében kerülhet sor, hogy fennállnak‑e arra utaló valószínűsítő körülmények, hogy az érintett személyek terrorista bűncselekményekben vagy olyan súlyos bűncselekményekben lehetnek érintettek, amelyek – amint az a jelen ítélet 157. pontjából kitűnik – objektív és legalább közvetett kapcsolatban állnak az utasok légi szállításával.

218    Márpedig a PNR‑irányelv által létrehozott rendszer keretében a PNR‑adatok ezen irányelv 6. cikke (2) bekezdésének b) pontja alapján történő szolgáltatása és kezelése olyan személyek adataira vonatkozik, akik az érintett tagállamba való tervezett megérkezésük vagy az onnan való tervezett távozásuk előtt már előzetes értékelés tárgyát képezték. Ezenkívül az utólagos értékelésre irányuló megkeresés többek között olyan személyekre is vonatkozhat, akiknek a PNR‑adatait az előzetes értékelést követően nem közölték az illetékes hatóságokkal, mivel ezen értékelés nem tárt fel arra utaló elemeket, hogy e személyek terrorista bűncselekményekben vagy az utasok légi szállításával objektív és legalább közvetett kapcsolatban álló súlyos lehetnek érintettek. Ilyen körülmények között ezen adatok utólagos értékelés céljából történő közlését és kezelését olyan új körülményekre kell alapítani, amelyek indokolják e felhasználást (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 200. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

219    Ami azon körülmények jellegét illeti, amelyek a későbbi értékelésük céljából igazolhatják a PNR‑adatok közlését és kezelését, az állandó ítélkezési gyakorlat szerint, mivel az összes megőrzött adathoz való általános, a kitűzött céllal fennálló bármilyen – akárcsak közvetett – kapcsolattól független hozzáférés nem tekinthető a feltétlenül szükséges mértékűre korlátozottnak, az érintett nemzeti szabályozásnak objektív kritériumokon kell alapulnia azon körülmények és feltételek meghatározása érdekében, amelyek esetén hozzáférést kell adni az illetékes nemzeti hatóságok számára a szóban forgó adatokhoz. E tekintetben, főszabály szerint a bűnözés elleni küzdelem céljával összefüggésben csak azon személyek adataihoz lehet hozzáférést adni, akiket azzal gyanúsítanak, hogy súlyos bűncselekmény elkövetését tervezik, ilyen bűncselekményt követnek vagy követtek el, vagy pedig bármilyen más módon részesek ilyen bűncselekmény elkövetésében. Mindazonáltal különleges helyzetekben, mint például amikor a nemzetbiztonság, a nemzetvédelem vagy a közbiztonság létfontosságú érdekét terrorcselekmények veszélyeztetik, a más személyek adataihoz való hozzáférés akkor is megadható, ha léteznek olyan objektív tényezők, amelyek alapján megállapítható, hogy ezen adatok valamely konkrét esetben hatékonyan hozzájárulhatnak az ilyen tevékenységek elleni küzdelemhez (2021. március 2‑i Prokuratuur [Az elektronikus hírközlési adatokhoz való hozzáférés feltételei] ítélet, C‑746/18, EU:C:2021:152, 50. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 105. pont).

220    Így a PNR‑irányelv 6. cikke (2) bekezdésének b) pontjában, illetve 12. cikke (3) bekezdésének a) pontjában szereplő „kellően alátámasztott” megkeresés és „alapos ok” fogalmát a Charta 7. és 8. cikkének fényében úgy kell értelmezni, hogy azok olyan objektív elemekre utalnak, amelyek megalapozhatják az érintett személy olyan súlyos bűncselekményekben való érintettségére vonatkozó észszerű gyanút, amelyek objektív és legalább közvetett kapcsolatban állnak az utasok légi szállításával, míg az ilyen kapcsolatot mutató terrorista bűncselekményeket illetően ez a követelmény akkor teljesül, ha objektív elemek alapján megállapítható, hogy a PNR‑adatok egy konkrét esetben ténylegesen hozzájárulhatnak az ilyen bűncselekmények elleni küzdelemhez.

221    Végül a PNR‑adatok utólagos értékelés céljából való közlésére és kezelésére vonatkozó eljárási feltételeket illetően a PNR‑irányelv 12. cikke (3) bekezdésének b) pontja azt követeli meg, hogy amennyiben a megkeresést több mint hat hónappal az adatok utasadat‑információs egység számára való továbbítását követően, vagyis olyan időpontban nyújtják be, amikor e cikk (2) bekezdésével összhangban az említett adatokat az e (2) bekezdésben említett adatelemek elrejtése útján személyazonosításra alkalmatlanná tették, a teljes PNR‑adatoknak, és következésképpen azok személyazonosításra alkalmatlanná tett formájának a közlését vagy egy igazságügyi hatóságnak, vagy a nemzeti jog alapján hatáskörrel rendelkező más nemzeti hatóságnak jóvá kell hagynia. Ebben az összefüggésben e hatóságoknak teljes egészében meg kell vizsgálniuk a kérelem megalapozottságát, és ellenőrizniük kell különösen azt, hogy az említett kérelem alátámasztása érdekében előterjesztett bizonyítékok alkalmasak‑e a jelen ítélet előző pontjában említett „észszerű indokok” fennállására vonatkozó anyagi jogi feltétel alátámasztására.

222    Igaz, hogy abban az esetben, ha a PNR‑adatok utólagos közlése és értékelése iránti megkeresést az ezen adatok továbbítását követő hat hónapos határidő lejárta előtt nyújtják be, a PNR‑irányelv 6. cikke (2) bekezdésének b) pontja nem ír elő kifejezetten ilyen eljárási feltételt. Mindazonáltal ez utóbbi rendelkezés értelmezésének figyelembe kell vennie ezen irányelv (25) preambulumbekezdését, amelyből kitűnik, hogy az említett eljárási feltétel előírásával az uniós jogalkotó szándéka az volt, hogy „[biztosítsa a] legmagasabb szintű adatvédel[met]” a PNR‑adatokhoz való olyan formában való hozzáférést illetően, amely lehetővé teszi az érintett személy közvetlen azonosítását. Márpedig az utólagos közlés és értékelés iránti összes kérelem magában foglalja az ezen adatokhoz való ilyen hozzáférést, függetlenül attól, hogy e kérelmet a PNR‑adatok utasadat‑információs egységnek való továbbítását követő hat hónapos időszak lejárta előtt nyújtották‑e be, vagy hogy arra ezen időszak lejártát követően került‑e sor.

223    Konkrétabban, a PNR‑irányelv által létrehozott rendszerben az alapvető jogok, és különösen a jelen ítélet 218. és 219. pontjában említett feltételek gyakorlatban történő maradéktalan tiszteletben tartásának biztosítása érdekében alapvető jelentőségű, hogy a PNR‑adatok utólagos értékelés céljából való közlése főszabály szerint – a kellően indokolt sürgős esetek kivételével – valamely bíróság vagy független közigazgatási szerv által végzett előzetes felülvizsgálat tárgyát képezze, és hogy e bíróság vagy szerv különösen megelőzési, felderítési vagy bűnüldözési eljárások keretében a hatáskörrel rendelkező hatóságok által előterjesztett indokolt kérelmet követően hozza meg határozatát. Az indokoltan sürgős esetekben az említett felülvizsgálatot a lehető legrövidebb határidőn belül le kell folytatni (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 202. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 110. pont].

224    E körülmények között a PNR‑irányelv 12. cikke (3) bekezdésének b) pontjában a PNR‑adatok utasadat‑információs egység részére történő továbbítását követő hat hónapos határidő lejártát követően benyújtott, az ezen adatok közlése iránti megkeresésekre vonatkozóan előírt előzetes ellenőrzés követelményét értelemszerűen abban az esetben is alkalmazni kell, ha a közlésre irányuló megkeresést e határidő lejárta előtt nyújtják be.

225    Egyébiránt, noha a PNR‑irányelv 12. cikke (3) bekezdésének b) pontja nem határozza meg kifejezetten azokat a követelményeket, amelyeknek az előzetes felülvizsgálatért felelős hatóságnak meg kell felelnie, az állandó ítélkezési gyakorlat szerint annak biztosítása érdekében, hogy a Charta 7. és 8. cikkében biztosított alapvető jogokba történő, a személyes adatokhoz való hozzáférésből eredő beavatkozás a feltétlenül szükséges mértékre korlátozódjon, e hatóságnak minden ehhez szükséges hatáskörrel rendelkeznie kell, és minden szükséges garanciát meg kell adnia a szóban forgó különböző érdekek és jogok összehangolásának biztosítása érdekében. Ami konkrétabban a felderítést illeti, az ilyen felülvizsgálat megköveteli, hogy e hatóság alkalmas legyen arra, hogy megfelelő egyensúlyt teremtsen egyrészt a bűnözés elleni küzdelem keretében a felderítés szükségleteihez fűződő érdekek, másrészt az azon személyek magánéletének tiszteletben tartásához és személyes adatainak védelméhez fűződő alapvető jogok között, akiknek az adatait a hozzáférés érinti (2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 107. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

226    E célból az ilyen hatóságnak olyan jogállással kell rendelkeznie, amely lehetővé teszi számára, hogy feladatai ellátása során objektív és pártatlan módon járjon el, és e célból minden külső befolyástól mentesnek kell lennie. A függetlenség e követelménye megköveteli, hogy e hatóság harmadik félnek minősüljön az adatokhoz való hozzáférést kérő személyhez képest oly módon, hogy az előbbi képes legyen e felülvizsgálatot minden külső befolyástól mentesen, objektíven és pártatlanul elvégezni Közelebbről, a büntetőjog területén a függetlenség követelménye azt jelenti, hogy az ezen előzetes felülvizsgálat elvégzésére köteles hatóság egyrészt nem vesz részt a szóban forgó felderítés lefolytatásában, másrészt pedig eljárásjogi helyzete semleges a büntetőeljárás felei irányában (lásd ebben az értelemben: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 108. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

227    Ennélfogva a PNR‑irányelv azon rendelkezései, amelyek a PNR‑adatok ezen irányelv 6. cikke (2) bekezdésének b) pontja szerinti közlését és utólagos értékelését szabályozzák, a feltétlenül szükséges mérték kereteinek tiszteletben tartásával értelmezhetőek a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével összhangban.

228    A fenti megfontolások összességére tekintettel, mivel a PNR‑irányelvnek a Charta 7., 8. és 21. cikke, valamint 52. cikke (1) bekezdése fényében történő értelmezése biztosítja ezen irányelvnek a Charta e cikkeivel való összhangját, a második, harmadik, negyedik és hatodik kérdés vizsgálata nem tárt fel egyetlen olyan elemet sem, amely érinthetné az említett irányelv érvényességét.

C.      Az ötödik kérdésről

229    Ötödik kérdésével az előterjesztő bíróság arra keresi a választ, hogy a PNR‑irányelvnek a Charta 7. és 8. cikkének, valamint 52. cikke (1) bekezdésének fényében értelmezett 6. cikkét úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely engedélyezi az ezen irányelvvel összhangban gyűjtött PNR‑adatok kezelését a hírszerzési és biztonsági szervek tevékenységének figyelemmel kísérése céljából.

230    Az előzetes döntéshozatal iránti kérelemből kitűnik, hogy ezzel a kérdéssel az előterjesztő bíróság konkrétabban a Sûreté de l’État (állambiztonsági szolgálat, Belgium) és a Service général du renseignement et de la sécurité (általános hírszerző és biztonsági szolgálat, Belgium) által a nemzetbiztonság védelmével kapcsolatos feladataik keretében végzett tevékenységekre utal.

231    E tekintetben a Charta 52. cikkének (1) bekezdésében szereplő törvényesség és arányosság elvének tiszteletben tartása érdekében az uniós jogalkotó a PNR‑irányelvben előírt intézkedések céljait szabályozó olyan egyértelmű és pontos szabályokat írt elő, amelyek beavatkozást jelentenek a Charta 7. és 8. cikkében biztosított alapvető jogokba.

232    A PNR‑irányelv 1. cikkének (2) bekezdése ugyanis kifejezetten kimondja, hogy az ezen irányelvvel összhangban gyűjtött PNR‑adatokat „kizárólag terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése céljából lehet kezelni [az említett irányelv] 6. cikk[e] (2) bekezdésének a), b) és c) pontjában foglaltaknak megfelelően”. Ez utóbbi rendelkezés megerősíti az ezen 1. cikk (2) bekezdésében kimondott elvet, módszeresen a „terrorista bűncselekmény” és „súlyos bűncselekmény” fogalmára hivatkozva.

233    E rendelkezések szövegéből tehát egyértelműen kitűnik, hogy a PNR‑adatok PNR‑irányelv alapján történő kezelése által követett célkitűzéseknek az e rendelkezésekben szereplő felsorolása kimerítő jellegű.

234    Ezt az értelmezést megerősíti többek között a PNR‑irányelv (11) preambulumbekezdése, amely szerint a PNR‑adatok kezelésének arányosnak kell lennie az ezen irányelv által követett „egyedi biztonsági célokkal”, valamint 7. cikkének (4) bekezdése, amely szerint az utasadat‑információs egység által kapott PNR‑adatok és azok kezelésének eredménye „kizárólag a terrorista bűncselekmények és súlyos bűncselekmények megelőzésének, felderítésének, nyomozásának és üldözésének konkrét céljából vethet[ők] alá további adatkezelésnek”.

235    Egyébiránt a PNR‑irányelv 1. cikkének (2) bekezdésében említett célok kimerítő jellege azt is jelenti, hogy a PNR‑adatok nem őrizhetők meg olyan egyedüli adatbázisban, amelyekbe mind e célokból, mind más célokból betekintés nyerhető. Ezen adatok ilyen adatbázisban való megőrzése ugyanis azzal a veszéllyel jár, hogy az említett adatokat az ezen 1. cikk (2) bekezdésében említettektől eltérő célokra használják fel.

236    A jelen ügyben, mivel a kérdést előterjesztő bíróság szerint az alapügyben szóban forgó nemzeti szabályozás a PNR‑adatok kezelésének céljaként elismeri a hírszerzési és biztonsági szolgálatok által megfigyelt tevékenységek nyomon követését, és ezáltal e célt a terrorista bűncselekmények és súlyos bűncselekmények megelőzésének, felderítésének, nyomozásának és a vádeljárás lefolytatásának részévé teszi, e jogszabály sértheti a PNR‑adatok PNR‑irányelv alapján történő kezelése által követett célok felsorolásának kimerítő jellegét; mindezek megvizsgálása a kérdést előterjesztő bíróság feladata.

237    Ennélfogva az ötödik kérdésre azt a választ kell adni, hogy a PNR‑irányelv 6. cikkét a Charta 7. és 8. cikke, valamint 52. cikkének (1) bekezdése fényében úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely engedélyezi az ezen irányelvvel összhangban gyűjtött PNR‑adatoknak az említett irányelv 1. cikkének (2) bekezdésében kifejezetten említettektől eltérő célokból való kezelését.

D.      A hetedik kérdésről

238    Hetedik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a PNR‑irányelv 12. cikke (3) bekezdésének b) pontját úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely szerint az utasadat‑információs egységként létrehozott hatóság egyúttal olyan, hatáskörrel rendelkező nemzeti hatóság, amely a PNR‑adatok utasadat‑információs egység részére történő továbbítását követő hat hónap lejártával jogosult jóváhagyni ezen adatok közlését.

239    Elöljáróban meg kell jegyezni, hogy a belga kormánynak kétségei vannak afelől, hogy a Bíróság hatáskörrel rendelkezik‑e az előterjesztő bíróság által megfogalmazott e kérdés megválaszolására, mivel kizárólag ez utóbbi bíróság hatáskörébe tartozik a nemzeti rendelkezések értelmezése és különösen a 2016. december 25‑i törvényből eredő követelményeknek a PNR‑irányelv 12. cikke (3) bekezdése b) pontjára tekintettel való értékelése.

240    E tekintetben elegendő rámutatni arra, hogy az említett kérdéssel a kérdést előterjesztő bíróság egy uniós jogi rendelkezés értelmezését kéri. Ezenfelül, jóllehet az EUMSZ 267. cikk alapján kezdeményezett eljárás keretében a nemzeti jogszabályok értelmezése a nemzeti bíróságok feladata, nem pedig a Bíróságé, és ez utóbbi nem dönthet a belső jogszabályoknak az uniós jogi rendelkezésekkel való összeegyeztethetőségéről, a Bíróság hatáskörrel rendelkezik arra, hogy tájékoztassa a nemzeti bíróságot minden olyan, az uniós jog értelmezésére vonatkozó szempontról, amely lehetővé teszi számára az ilyen jogszabályok uniós szabályozással való összeegyeztethetőségének értékelését (2020. április 30‑i CTT – Correios de Portugal ítélet, C‑661/18, EU:C:2020:335, 28. pont, valamint az ott hivatkozott ítélkezési gyakorlat). Ebből következik, hogy a Bíróság hatáskörrel rendelkezik a hetedik kérdés megválaszolására.

241    Az ügy érdemét illetően rá kell mutatni arra, hogy a PNR‑irányelv 12. cikke (3) bekezdése b) pontjának szövege, amely az i., illetve az ii. pontjában „igazságügyi hatóság[ot]”, illetve „a nemzeti jog alapján az adatok közlésére vonatkozó feltételek teljesülésének ellenőrzésére hatáskörrel rendelkező más nemzeti hatóság[ot]” említ, e két hatóságot – amint az a „vagy” kötőszó használatából kitűnik – ugyanazon a szinten kezeli. E megfogalmazásból így az következik, hogy az itt említett, hatáskörrel rendelkező „más” nemzeti hatóság” az igazságügyi hatóság alternatíváját képezi, és ennélfogva az igazságügyi hatóságot jellemzőhöz hasonló szintű függetlenséggel és pártatlansággal kell rendelkeznie.

242    Ezt az elemzést a PNR‑irányelvnek a (25) preambulumbekezdésben említett azon célja is megerősíti, hogy a teljes PNR‑adathoz való hozzáférés – amely az érintett közvetlen beazonosítását lehetővé teszi – tekintetében biztosítsa az adatvédelem legmagasabb szintjét. Ugyanezen preambulumbekezdés egyébiránt pontosítja, hogy az ilyen hozzáférést csak nagyon szigorú és korlátozott feltételek esetén, a kezdeti adatmegőrzési időszak leteltét követően szabad lehetővé tenni.

243    Az említett elemzést a PNR‑irányelv keletkezése is megerősíti. Ugyanis, míg a PNR‑irányelv előzményét képező, a jelen ítélet 155. pontjában említett irányelvjavaslat annak előírására szorítkozott, hogy „[a] teljes PNR‑adatokhoz történő hozzáférést csak az utasnyilvántartó hatóság vezetője rendelheti el”, addig ezen irányelv 12. cikke (3) bekezdése b) pontjának az uniós jogalkotó által végül elfogadott változata ugyanazon a szinten említi az igazságügyi hatóságot, és azon „más nemzeti hatóságot”, amely hatáskörrel rendelkezik arra, hogy ellenőrizze a teljes PNR‑adatok közlésére vonatkozó feltételek teljesülését, valamint hogy jóváhagyja az ilyen közlést.

244    Ezenfelül és különösen a jelen ítélet 223., 225. és 226. pontjában felhívott állandó ítélkezési gyakorlattal összhangban alapvető fontosságú, hogy az illetékes hatóságok megőrzött adatokhoz való hozzáférése főszabály szerint valamely bíróság vagy független közigazgatási szerv által végzett előzetes felülvizsgálat tárgyát képezze, és hogy e bíróság, illetve szerv különösen megelőzési, felderítési vagy bűnüldözési eljárások keretében az e hatóságok által előterjesztett indokolt kérelmet követően hozza meg határozatát. A függetlenség követelménye, amelynek az előzetes felülvizsgálat elvégzésére köteles hatóságnak meg kell felelnie, azt is megköveteli, hogy e hatóság harmadik félnek minősüljön az adatokhoz való hozzáférést kérő hatósághoz képest oly módon, hogy az említett hatóság képes legyen e felülvizsgálatot minden külső befolyástól mentesen, objektíven és pártatlanul elvégezni. Közelebbről, a büntetőjog területén a függetlenség követelménye azt jelenti, hogy az ezen előzetes felülvizsgálat elvégzésére köteles hatóság egyrészt nem vesz részt a szóban forgó felderítés lefolytatásában, másrészt pedig eljárásjogi helyzete semleges a büntetőeljárás felei irányában.

245    Márpedig, amint arra a főtanácsnok az indítványának 271. pontjában rámutatott, a PNR‑irányelv 4. cikke (1) és (3) bekezdésének előírása szerint az egyes tagállamokban létrehozott vagy kijelölt utasadat‑információs egység a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, nyomozása és a vádeljárás lefolytatása tekintetében hatáskörrel rendelkező hatóság, valamint hogy a személyzetének tagjai az ezen irányelv 7. cikkében említett illetékes hatóságok által kirendelt alkalmazottak lehetnek, vagyis az utasadat‑információs egység szükségképpen kapcsolódik e hatóságokhoz. Az utasadat‑információs egység az említett irányelv 6. cikke (2) bekezdésének b) pontja értelmében emellett elvégezheti a PNR‑adatok kezelését, amelynek az eredményét közli az említett hatóságokkal. Ezen elemekre tekintettel nem tekinthető úgy, hogy az utasadat‑információs egység ugyanezen hatóságokhoz képest harmadik félnek minősül, és következésképpen hogy rendelkezik a jelen ítélet előző pontjában említett előzetes felülvizsgálat gyakorlásához és az annak ellenőrzéséhez megkövetelt függetlenség és pártatlanság valamennyi jellemzőjével, hogy teljesülnek‑e az ugyanezen irányelv 12. cikke (3) bekezdésének b) pontjában előírthoz hasonló, a teljes PNR‑adatok közlésére vonatkozó feltételek.

246    Egyébiránt az, hogy ez utóbbi rendelkezés az ii. alpontjában megköveteli, hogy e teljes adatok közlésének a „hatáskörrel rendelkező más nemzeti hatóság” általi jóváhagyása esetén az adatvédelmi tisztviselőt „erről tájékoztatni kell, és az adatvédelmi tisztviselő utólagos ellenőrizést végez”, ugyanakkor nem ez a helyzet akkor, ha e jóváhagyást igazságügyi hatóság adja meg, nem alkalmas ezen értékelés megkérdőjelezésére. A megszilárdult ítélkezési gyakorlat szerint ugyanis a későbbi felülvizsgálat – mint amelyet az adatvédelmi tisztviselő végez – nem teszi lehetővé az előzetes felülvizsgálat céljának való megfelelést, amely annak megakadályozásában áll, hogy a szóban forgó adatokhoz olyan hozzáférést engedélyezzenek, amely túllépi a szigorúan szükséges mértéket (lásd ebben az értelemben: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 110. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

247    E megfontolások összességére tekintettel a hetedik kérdésre azt a választ kell adni, hogy a PNR‑irányelv 12. cikke (3) bekezdésének b) pontját úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely szerint az utasadat‑információs egységként létrehozott hatóság egyúttal az arra vonatkozó hatáskörrel rendelkező nemzeti hatóságnak is minősül, hogy a PNR‑adatok utasadat‑információs egység részére történő továbbítását követő hat hónap lejártával jóváhagyja ezen adatok közlését.

E.      A nyolcadik kérdésről

248    Nyolcadik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy a PNR‑irányelvnek a Charta 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 12. cikkét úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti jogszabály, amely a PNR‑adatok ötéves általános megőrzési idejét írja elő anélkül, hogy különbséget tenne aszerint, hogy az érintett utasok a terrorista bűncselekményekkel vagy súlyos bűncselekményekkel kapcsolatos veszélyt jelentenek‑e.

249    Emlékeztetni kell arra, hogy ezen irányelv 12. cikkének (1) és (4) bekezdése szerint azon tagállam utas‑adat információs egysége, amelynek a területén a légi járat leszállt vagy felszállt, a légi fuvarozók által szolgáltatott PNR‑adatokat az ezen egységhez történő továbbításukat követően öt évig megőrzi egy adatbázisban, majd ezen ötéves időszak lejártával véglegesen törli ezen adatokat.

250    Amint arra a PNR‑irányelv (25) preambulumbekezdése emlékeztet, a PNR‑adatok „megőrzési időtartamának olyan hosszúnak kell lennie, amely a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és üldözése érdekében szükséges és arányos”.

251    Következésképpen a PNR‑adatoknak a PNR‑irányelv 12. cikkének (1) bekezdése alapján történő megőrzése nem igazolható az e megőrzés és az ezen irányelv által követett célkitűzések – azaz a terrorista bűncselekmények és az utasok légi szállításával objektív és legalább közvetett kapcsolatban álló súlyos bűncselekmények elleni küzdelem – közötti objektív kapcsolat hiányában.

252    E tekintetben, amint az a PNR‑irányelv e (25) preambulumbekezdéséből kitűnik, különbséget kell tenni egyrészt az ezen irányelv 12. cikkének (2) bekezdésében említett kezdeti hat hónapos megőrzési időszak, másrészt pedig az említett irányelv 12. cikkének (3) bekezdésében említett későbbi időszak között.

253    A PNR‑irányelv 12. cikke (1) bekezdésének értelmezése során figyelembe kell venni az e cikk (2) és (3) bekezdésében szereplő azon rendelkezéseket, amelyek meghatározzák az eredeti hat hónapos megőrzési időszak lejártát követően megőrzött PNR‑adatok megőrzésére és az azokhoz való hozzáférésre vonatkozó szabályokat. Amint az ezen irányelv (25) preambulumbekezdéséből következik, e rendelkezések egyrészt azt a célt tükrözik, hogy biztosítsák, hogy „a PNR‑adatokat az értékelések elvégzése és a nyomozati cselekmények során történő felhasználásuk érdekében kellően hosszú ideig [megőrizzék]”, amely műveletek már a kezdeti hat hónapos megőrzési időszak során is elvégezhetőek. Másrészt ugyanezen (25) preambulumbekezdés szerint e rendelkezések arra irányulnak, hogy ezen adatok elrejtésével „[elkerüljék] [a]z aránytalan felhasználás[t]”, míg „[a] legmagasabb szintű adatvédelem biztosítása érdekében” az ezen adatokhoz való hozzáférést – amely az érintett közvetlen beazonosítását lehetővé teszi – „csak nagyon szigorú és korlátozott feltételek esetén, a kezdeti adatmegőrzési időszak leteltét követően” tegyék lehetővé, ezáltal figyelembe véve azt, hogy a PNR‑adatok megőrzési ideje hosszának növekedésével az ebből eredő beavatkozás súlya is növekszik.

254    Márpedig a PNR‑irányelv 12. cikkének (2) bekezdésében említett kezdeti hat hónapos megőrzési időszak és az ezen irányelv 12. cikkének (3) bekezdésében említett későbbi időszak közötti különbségtétel a jelen ítélet 251. pontjában említett követelmény szükségszerű tiszteletben tartására is vonatkozik.

255    Ily módon, tekintettel a PNR‑irányelv céljaira, valamint a terrorista bűncselekmények és súlyos bűncselekmények nyomozásával és a vádeljárás lefolytatásával kapcsolatos szükségletekre, meg kell állapítani, hogy főszabály szerint nem tűnik úgy, hogy az ezen irányelv által létrehozott rendszer hatálya alá tartozó valamennyi légi utas PNR‑adatainak a kezdeti hat hónapos megőrzési időszak során való megőrzése anélkül, hogy bármi is utalna a terrorista bűncselekményekben vagy súlyos bűncselekményekben való érintettségére, meghaladná a feltétlenül szükséges mértéket, mivel e megőrzés lehetővé teszi az olyan személyek azonosításához szükséges kereséseket, akiket nem gyanúsítottak terrorista bűncselekményekben vagy súlyos bűncselekményekben való részvétellel.

256    Ezzel szemben, ami a PNR‑irányelv 12. cikkének (3) bekezdésében említett későbbi időszakot illeti, az ezen irányelv által létrehozott rendszer hatálya alá tartozó légi utasok összességére vonatkozó PNR‑adatok megőrzése azon felül, hogy – az esetlegesen folyamatosan megőrzött adatok jelentős mennyisége miatt – önmagában véve is magában rejti a visszaélés és a jogellenes hozzáférés veszélyét (lásd analógia útján: 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 119. pont), ellentétes az említett irányelv (25) preambulumbekezdésében említett azon követelménnyel, amely szerint ezen adatok csupán a szükséges és a megvalósítani kívánt célokkal arányos időtartamra őrizhetők meg, mivel az uniós jogalkotó az érintett személyek azonosítását lehetővé tévő PNR‑adatok védelmét a lehető legmagasabb szinten kívánta biztosítani.

257    Azon légi utasokat illetően ugyanis, akik esetében sem a PNR‑irányelv 6. cikke (2) bekezdésének a) pontjában említett előzetes értékelés, sem az ezen irányelv 12. cikkének (2) bekezdésében említett hat hónapos időszak során végzett esetleges ellenőrzések, sem pedig bármely más körülmény nem tárt fel olyan objektív elemeket, amelyek alkalmasak lennének terrorista bűncselekmények vagy olyan súlyos bűncselekmények kockázatának megállapítására, amelyek objektív és legalább közvetett kapcsolatban állnak ezen utasok légi utazásával, nem tűnik úgy, hogy ilyen körülmények között olyan – akár közvetett – összefüggés állna fenn ezen utasok PNR‑adatai és az említett irányelv által elérni kívánt cél között, amely igazolná ugyanezen adatok megőrzését (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 204. és 205. pont).

258    Az összes légi utas PNR‑adatainak a kezdeti hat hónapos időszakot követő folyamatos tárolása tehát nem tűnik úgy, hogy a feltétlenül szükséges mértékre korlátozódna (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 206. pont).

259    Ugyanakkor, amennyiben konkrét esetekben olyan objektív elemeket – így azoknak az utasoknak az adatait, akikre igazolt pozitív találat mutat – azonosítanak, amelyek alapján megállapítható, hogy bizonyos légi utasok a terrorista bűncselekményekkel és a súlyos bűncselekményekkel kapcsolatos veszélyt jelenthetnek, a PNR‑adataik tárolása e kezdeti időszakot meghaladóan is megengedhetőnek tűnik (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 207. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

260    Ezen objektív elemek azonosítása ugyanis kapcsolatot teremthet a PNR‑irányelv alapján végzett adatkezelések által követett célokkal, és ily módon igazolhatja az ezen utasokra vonatkozó PNR‑adatoknak az említett irányelv által előírt maximális, vagyis ötéves határidőn keresztüli megőrzését.

261    A jelen ügyben, mivel az alapügyben szóban forgó jogszabály a PNR‑adatok megőrzésére vonatkozó ötéves általános időtartamot ír elő, amely különbségtétel nélkül alkalmazandó valamennyi utasra, ideértve azokat is, akik esetében sem a PNR‑irányelv 6. cikke (2) bekezdésének a) pontjában említett előzetes értékelés, sem a kezdeti hat hónapos időszak során végzett esetleges ellenőrzések, sem pedig bármely más körülmény nem tárt fel olyan objektív elemeket, amelyek alapján megállapítható lenne a terrorista bűncselekményekkel és súlyos bűncselekményekkel kapcsolatos veszély fennállása, e szabályozás sértheti ezen irányelv 12. cikkének a Charta 7. és 8. cikke, valamint 52. cikke (1) bekezdése fényében értelmezett (1) bekezdését, feltéve hogy e szabályozás nem értelmezhető az e rendelkezésekkel összhangban álló módon; mindezek vizsgálata a kérdést előterjesztő bíróság feladata.

262    A fenti megfontolásokra tekintettel a nyolcadik kérdésre azt a választ kell adni, hogy a PNR‑irányelv 12. cikkének (1) bekezdését a Charta 7. és 8. cikkével, valamint az 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely a PNR‑adatok megőrzésére vonatkozóan olyan ötéves általános időtartamot ír elő, amely különbségtétel nélkül valamennyi légi utasra alkalmazandó, ideértve azokat is, akik esetében sem a PNR‑irányelv 6. cikke (2) bekezdésének a) pontjában említett előzetes értékelés, sem a kezdeti hat hónapos időszak során végzett esetleges ellenőrzések, sem pedig bármely más körülmény nem tárt fel olyan objektív elemeket, amelyek alapján megállapítható lenne a terrorista bűncselekményekkel vagy súlyos bűncselekményekkel kapcsolatos olyan veszély fennállása, amely objektív és legalább közvetett kapcsolatban áll az utasok légi szállításával.

F.      A kilencedik kérdés a) pontjáról

263    A kilencedik kérdésének a) pontjával az előterjesztő bíróság lényegében arra keresi a választ, hogy az API‑irányelv érvényes‑e az EUSZ 3. cikk (2) bekezdésére és a Charta 45. cikkére tekintettel, abból az előfeltevésből kiindulva, hogy az ezen irányelv által bevezetett kötelezettségek az EU‑n belüli járatokra is alkalmazandók.

264    Ez az előfeltevés márpedig – amint arra a főtanácsnok az indítványának 277. pontjában rámutatott, és amint azt a Tanács, a Bizottság és több kormány is megjegyezte – téves.

265    Az API‑irányelv 3. cikkének (1) bekezdése ugyanis előírja, hogy a tagállamok megteszik a szükséges lépéseket ahhoz, hogy olyan kötelezettséget állapítsanak meg a fuvarozók részére, amely szerint utóbbiak a külső határokon a személyek ellenőrzésének végrehajtásáért felelős hatóságok kérésére, a check‑in befejezésekor információt nyújtsanak azon utasokról, akiket egy engedélyezett határátkelőhelyig szállítanak, ahol az említett személyek beutaznak a tagállam területére. Az említett irányelv 6. cikkének (1) bekezdése szerint ezeket az adatokat továbbítani kell a személyek ellenőrzéséért a tagállamba beutazás helyszínéül szolgáló külső határokon felelős hatóságokhoz, és ezen adatok az utóbbi rendelkezésben előírt feltételek mellett kezelhetők.

266    Márpedig az API‑irányelv 2. cikke a), b) és d) pontjának – amelyek meghatározzák a „fuvarozó”, a „külső határok” és a „határátkelőhely” fogalmát – fényében értelmezett e rendelkezésekből egyértelműen kitűnik, hogy ezen irányelv a 3. cikkének (2) bekezdésében említett adatok légi fuvarozók általi, a külső határok ellenőrzéséért felelős hatóságoknak való továbbítására vonatkozó kötelezettséget csupán az utasokat a tagállamok harmadik országokkal való külső határainak átlépésére engedélyezett határátkelőhelyre szállító járatok esetében írja elő, és az e járatokra vonatkozó adatoknak is csupán a kezelését írja elő.

267    Ezzel szemben az említett irányelv nem ír elő semmilyen kötelezettséget azon utasok adataira vonatkozóan, akik csupán a tagállamok közötti belső határokat átlépő légi járatokon utaznak.

268    Hozzá kell tenni, hogy a PNR‑irányelv azzal, hogy amint az a (9) preambulumbekezdéséből és a 8. cikkének (2) bekezdéséből kitűnik, a PNR‑adatok közé sorolja az API‑irányelv 3. cikkének (2) bekezdésében említett, az ezen irányelvvel összhangban gyűjtött és bizonyos légi fuvarozók által megőrzött adatokat, valamint azáltal, hogy a 2. cikke értelmében biztosítja a tagállamok számára azt a lehetőséget, hogy a PNR‑irányelvet az általuk meghatározott, EU‑n belüli légi járatokra is alkalmazzák, nem módosította sem az API‑irányelv rendelkezéseinek hatályát, sem pedig az ezen irányelvből eredő korlátozásokat.

269    A fentiekre tekintettel a kilencedik kérdés a) pontjára azt a választ kell adni, hogy az API‑irányelvet úgy kell értelmezni, hogy az nem alkalmazandó az EU‑n belüli légi járatokra.

G.      A kilencedik kérdés b) pontjáról

270    Bár a kérdést előterjesztő bíróság a kilencedik kérdésének b) pontjában az EUSZ 3. cikk (2) bekezdésével és a Charta 45. cikkével összefüggésben értelmezett API‑irányelvre hivatkozik, az előzetes döntéshozatal iránti kérelemből kitűnik, hogy e bíróság arra keresi a választ, hogy a 2016. december 25‑i törvény által bevezetett, az utasok adatainak továbbítására és kezelésére vonatkozó rendszer összeegyeztethető‑e a személyek szabad mozgásával és a belső határellenőrzések eltörlésével, amelyeket az uniós jog ír elő, amennyiben e rendszer nemcsak a légi, hanem a vasúti, szárazföldi és tengeri, Belgiumból kiinduló vagy oda érkező és az Unión belül az Unió és a harmadik országok közötti külső határok átlépése nélkül végzett szállításokra is alkalmazandó.

271    Márpedig, amint az a jelen ítélet 265–269. pontjából kitűnik, e kérdés megválaszolása szempontjából nem releváns az API‑irányelv, amely nem alkalmazandó az EU‑n belüli légi járatokra, és nem ír elő a légi úton vagy más szállítási móddal az Unión belül az Unió és a harmadik országok közötti külső határok átlépése nélkül utazó utasok adatainak továbbítására és kezelésére vonatkozó kötelezettséget.

272    Ezzel szemben, míg az EUMSZ 67. cikkének (2) bekezdése szerint az Unió biztosítja a személyek belső határokon történő ellenőrzések alóli mentességét, a PNR‑irányelv 2. cikke, amelyre a belga jogalkotó az alapügyben szóban forgó, 2016. december 25‑i törvény elfogadása érdekében támaszkodott, amint az az előzetes döntéshozatal iránti kérelemből kitűnik, felhatalmazza a tagállamokat arra, hogy ezt az irányelvet az EU‑n belüli légi járatokra is alkalmazzák.

273    E körülmények között, annak érdekében, hogy a kérdést előterjesztő bíróság számára hasznos választ lehessen adni, a kilencedik kérdés b) pontját úgy kell átfogalmazni, hogy az lényegében arra irányul, hogy az uniós jogot, különösen a PNR‑irányelv 2. cikkét az EUSZ 3. cikk (2) bekezdésével, az EUMSZ 67. cikk (2) bekezdésével és a Charta 45. cikkével összefüggésben úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely az azt elfogadó tagállamból induló, oda érkező vagy e tagállamon áthaladó, Unión belüli légi járatokra vagy az Unión belül más eszközökkel végzett szállításokra vonatkozó PNR‑adatok fuvarozók és utazásszervezők általi továbbítására, valamint ezen adatok illetékes hatóságok általi kezelésére szolgáló rendszerről rendelkezik.

274    Először is, a Charta 45. cikke megerősíti a személyek szabad mozgását, amely egyébiránt a belső piac egyik alapvető szabadságát képezi (lásd ebben az értelemben: 2021. június 22‑i Ordre des barreaux francophones et germanophone és társai [Kitoloncolás céljából foganatosított megelőző intézkedések] ítélet, C‑718/19, EU:C:2021:505, 54. pont).

275    E cikk az (1) bekezdésében minden uniós polgár számára biztosítja a tagállamok területén való szabad mozgáshoz és tartózkodáshoz való jogot, amely jog az Alapjogi Chartához fűzött magyarázatok (HL 2007. C 303., 17. o.) szerint megfelel az EUMSZ 20. cikk (2) bekezdése első albekezdésének a) pontjában biztosított jognak, és e jog az EUMSZ 20. cikk (2) bekezdése második albekezdésének és a Charta 52. cikke (2) bekezdésének megfelelően a Szerződésekben és a végrehajtásukra elfogadott intézkedésekben megállapított feltételekkel és korlátozásokkal gyakorolható.

276    Ezt követően az EUSZ 3. cikk (2) bekezdése szerint az Unió egy belső határok nélküli, a szabadságon, a biztonságon és a jog érvényesülésén alapuló olyan térséget kínál polgárai számára, ahol a személyek szabad mozgásának biztosítása a külső határok ellenőrzésére, valamint a bűnmegelőzésre és bűnüldözésre vonatkozó megfelelő intézkedésekkel párosul. Ehhez hasonlóan az EUMSZ 67. cikk (2) bekezdésével összhangban az Unió biztosítja a személyek belső határokon történő ellenőrzések alóli mentességét, és közös politikát alakít ki többek között a külső határok ellenőrzése terén.

277    A Bíróság állandó ítélkezési gyakorlatával összhangban az olyan nemzeti szabályozás, amely az állam saját állampolgárait pusztán azért hozza hátrányos helyzetbe, mert éltek a más tagállamban való szabad mozgás és tartózkodás jogával, a Charta 45. cikkének (1) bekezdésében valamennyi uniós polgárnak biztosított szabadságok korlátozását jelenti (lásd ebben az értelemben, az EUMSZ 21. cikk (1) bekezdését illetően: 2017. június 8‑i Freitag ítélet, C‑541/15, EU:C:2017:432, 35. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2020. november 19‑i ZW‑ítélet, C‑454/19, EU:C:2020:947, 30. pont).

278    Márpedig az olyan nemzeti szabályozás, mint amelyről az alapügyben szó van, amely a PNR‑irányelvben előírt rendszert az EU‑n kívüli légi járatokon felül az ezen irányelv 2. cikkének (1) bekezdésével összhangban az EU‑n belüli légi járatokra, valamint – az e rendelkezésben előírtakon túl – az Unión belül más eszközökkel végzett szállításokra is alkalmazza, azzal a következménnyel jár, hogy az Unión belül ilyen eszközök igénybevételével a szabad mozgáshoz való jogukat gyakorló valamennyi utas PNR‑adatait szisztematikusan és folyamatosan továbbítják és kezelik.

279    A jelen ítélet 98–111. pontjában megállapítottak szerint az EU‑n kívüli és az EU‑n belüli légi járatok utasaira vonatkozó adatoknak a PNR‑irányelv által létrehozott rendszerből fakadó továbbítása és kezelése egyértelműen súlyos beavatkozásokkal jár az érintett személyeknek a Charta 7. és 8. cikkében biztosított alapvető jogaiba. E beavatkozás súlyosságát csak tovább fokozza, ha e rendszer alkalmazása az Unión belül más eszközökkel végzett szállításokra is kiterjed. Az ilyen beavatkozások az e pontokban kifejtettekkel azonos okok miatt szintén alkalmasak arra, hogy hátrányos helyzetbe hozzák az ilyen szabályozást elfogadó tagállamok állampolgárait, valamint általában azokat az uniós polgárokat, akik az Unión belül e tagállamokból kiutazva vagy oda beérkezve e közlekedési eszközöket veszik igénybe, és következésképpen hogy visszatartsák e személyeket a Charta 45. cikke értelmében vett szabad mozgáshoz való joguk gyakorlásától, ezért az említett szabályozás korlátozza ezen alapvető szabadságot.

280    Az állandó ítélkezési gyakorlattal összhangban a személyek szabad mozgásának korlátozása csak akkor igazolható, ha objektív megfontolásokon alapul, és a nemzeti jog által jogszerűen megállapított célkitűzéssel arányos. Valamely intézkedés akkor arányos, ha – amellett, hogy alkalmas az elérni kívánt cél megvalósítására – nem lépi túl az e cél eléréséhez szükséges mértéket (lásd ebben az értelemben: 2018. június 5‑i Coman és társai ítélet, C‑673/16, EU:C:2018:385, 41. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

281    Hozzá kell tenni, hogy egy olyan nemzeti intézkedés, amely akadályozhatja a személyek szabad mozgását, kizárólag akkor igazolható, ha ezen intézkedés összhangban van a Chartában biztosított alapvető jogokkal, amelyek tiszteletben tartását a Bíróság biztosítja (2021. december 14‑i Stolichna obshtina, rayon „Pancharevo” ítélet, C‑490/20, EU:C:2021:1008, 58. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

282    Konkrétabban, a jelen ítélet 115. és 116. pontjában felidézett ítélkezési gyakorlattal összhangban, valamely közérdekű cél nem követhető annak figyelembevétele nélkül, hogy azt össze kell egyeztetni az intézkedéssel érintett alapvető jogokkal azáltal, hogy egyensúlyt teremtenek egyrészt a közérdekű cél, másrészt pedig a szóban forgó jogok között. E tekintetben a tagállamok azon lehetőségét, hogy igazolják a Charta 45. cikkének (1) bekezdésében biztosított alapvető jog korlátozását, az ilyen korlátozással járó beavatkozás súlyosságának mérésével, valamint annak ellenőrzésével kell értékelni, hogy az e korlátozás által követett közérdekű cél jelentősége összefügg‑e a beavatkozás súlyosságával.

283    Amint arra a jelen ítélet 122. pontja emlékeztet, a PNR‑irányelv által követett, a terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelemre irányuló célkitűzés kétségtelenül az Unió általános érdekű célkitűzése.

284    Ami azt a kérdést illeti, hogy a PNR‑irányelv átültetése céljából elfogadott olyan nemzeti szabályozás, amely kiterjeszti az ezen irányelv által előírt rendszert az EU‑n belüli légi járatokra és az Unión belül más eszközökkel végzett szállításokra, alkalmas‑e a megvalósítani kívánt célkitűzés elérésére, a Bíróság rendelkezésére álló iratokban szereplő információkból kitűnik, hogy a PNR‑adatok felhasználása lehetővé teszi azon személyek azonosítását, akiket nem gyanúsítottak terrorista bűncselekményekben vagy súlyos bűncselekményekben való részvétellel, és akiket további vizsgálat alá kell vonni, és így az ilyen szabályozás alkalmasnak tűnik a terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelem mint megvalósítandó célkitűzés elérésére.

285    Ami az ilyen szabályozás szükségességét illeti, a PNR‑irányelvnek a Charta 7. és 8. cikke fényében értelmezett 2. cikke (1) bekezdésében előírt lehetőség tagállamok általi gyakorlásának – a jelen ítélet 163–174. pontjában említett követelményekre tekintettel – az e cél megvalósításához feltétlenül szükséges mértékre kell korlátozódnia.

286    E követelményeket még inkább alkalmazni kell abban az esetben, ha a PNR‑irányelv által előírt rendszert az Unión belül más eszközökkel végzett szállításokra alkalmazzák.

287    Egyébiránt, amint az az előzetes döntéshozatal iránti kérelemben szereplő információkból kitűnik, az alapeljárásban szóban forgó nemzeti szabályozás egyetlen jogi aktussal ülteti át a PNR‑irányelvet, az API‑irányelvet, valamint – részlegesen – a 2010/65 irányelvet. E célból e szabályozás előírja a PNR‑irányelvvel létrehozott rendszernek az EU‑n belüli légi járatok összességére, valamint az Unión belül Belgiumból indulva, oda irányulóan vagy azon áthaladva végzett vasúti, szárazföldi és tengeri szállításokra való alkalmazását, és emellett az utazásszervezőkre is alkalmazandó, azzal, hogy a terrorista bűncselekmények és súlyos bűncselekmények elleni küzdelmen felül más célkitűzéseket is követ. Ugyanezen információk szerint úgy tűnik, hogy az utasadat‑információs egység az e nemzeti szabályozás által létrehozott rendszer keretében gyűjtött valamennyi adatot egy olyan egységes adatbázisban tárolja, amely magában foglalja az említett szabályozás hatálya alá tartozó szállítási eszközöket igénybe vevő valamennyi utas PNR‑adatait, beleértve az API‑irányelv 3. cikkének (2) bekezdésében említett adatokat is.

288    E tekintetben, amennyiben a kérdést előterjesztő bíróság a kilencedik kérdésének b) pontjában a határellenőrzések javítására és az illegális bevándorlás elleni küzdelemre irányuló célkitűzésre hivatkozott, amely az API‑irányelv célkitűzése, emlékeztetni kell arra, hogy amint az a jelen ítélet 233., 234. és 237. pontjából következik, a PNR‑adatok PNR‑irányelv alapján történő kezelése által megvalósítani kívánt célkitűzések felsorolása kimerítő jellegű, így az olyan nemzeti szabályozás, amely engedélyezi az ezen irányelvvel összhangban gyűjtött PNR‑adatoknak az említett irányelvben előírtaktól – így különösen a határellenőrzések javításától vagy az illegális bevándorlással szembeni küzdelemtől – eltérő célokból való kezelését, ellentétes az említett irányelvnek a Charta fényében értelmezett 6. cikkével.

289    Ezenkívül, amint az a jelen ítélet 235. pontjából kitűnik, a tagállamok nem hozhatnak létre olyan egységes adatbázist, amely a PNR‑irányelv alapján gyűjtött, az EU‑n kívüli és az EU‑n belüli járatokra vonatkozó PNR‑adatokat, az egyéb szállítási eszközöket igénybe vevő utasok adatait, valamint az API‑irányelv 3. cikkének (2) bekezdésében említett adatokat egyaránt tartalmazza, különösen ha ezen adatbázisokba nem csupán a PNR‑irányelv 1. cikkének (2) bekezdésében említett, hanem más célkitűzések megvalósítása céljából is betekintés nyerhető.

290    Végezetül és mindenesetre, amint arra a főtanácsnok az indítványának 281. pontjában rámutatott, a 2016. december 25‑i törvény 28–31. cikke csak akkor egyeztethető össze az uniós joggal, különösen az EUMSZ 67. cikk (2) bekezdésével, ha azokat úgy értelmezik és alkalmazzák, mint amelyek kizárólag a Belgium és a harmadik országok közötti külső határokat átlépő utasok API‑adatainak továbbítására és kezelésére vonatkoznak. Az olyan intézkedés ugyanis, amellyel valamely tagállam a határellenőrzések javítása és az illegális bevándorlás elleni küzdelem céljából kiterjeszti az API‑irányelv rendelkezéseit – különösen az utasok adatainak továbbítására vonatkozó, az ezen irányelv 3. cikkének (1) bekezdésében előírt kötelezettséget – az EU‑n belüli légi járatokra, és a fortiori az e tagállamból induló és oda érkező, illetve az említett tagállamon áthaladó utasokat szállító más közlekedési eszközökre, lehetővé tenné az illetékes hatóságok számára, hogy az említett tagállam belső határainak átlépésekor szisztematikusan meggyőződjenek arról, hogy engedélyezhető ezen utasoknak a tagállam területére való belépése vagy az onnan való kilépése, és így a harmadik országokkal közös külső határokon folytatott ellenőrzésekkel azonos hatású lenne.

291    E megfontolások összességére tekintettel a kilencedik kérdés b) pontjára azt a választ kell adni, hogy az uniós jogot, különösen a PNR‑irányelv 2. cikkét az EUSZ 3. cikk (2) bekezdése, az EUMSZ 67. cikk (2) bekezdése és a Charta 45. cikke fényében úgy kell értelmezni, hogy azzal ellentétes:

–        az olyan nemzeti szabályozás, amely az érintett tagállam valódi és közvetlen vagy előre látható terrorfenyegetettségének hiányában a terrorista bűncselekményekkel és a súlyos bűncselekményekkel szembeni küzdelem érdekében a légi fuvarozók és az utazásszervezők általi adattovábbítási, illetve az illetékes hatóságok általi adatkezelési rendszert ír elő az e tagállamból induló vagy oda érkező, illetve az azon áthaladó, EU‑n belüli légi járatok és az Unión belül más eszközökkel végzett szállítások összességére vonatkozó PNR‑adatok tekintetében. Ilyen helyzetben a PNR‑irányelv által létrehozott rendszer alkalmazását a többek között bizonyos útvonalakra vagy útitervekre vonatkozó azon légi járatok és/vagy szállítások, illetve azon repülőterek, vasútállomások vagy tengeri kikötők PNR‑adatainak a továbbítására és kezelésére kell korlátozni, amelyek tekintetében a körülmények igazolják ezen alkalmazást. Az érintett tagállam feladata, hogy kiválassza az EU‑n belüli azon légi járatokat és/vagy az Unión belül más eszközökkel végzett azon szállításokat, amelyek tekintetében ilyen körülmények állnak fenn, valamint hogy rendszeresen felülvizsgálja az említett alkalmazást a légi járatok és a szállítások kiválasztását igazoló feltételekkel kapcsolatos fejlemények függvényében annak érdekében, hogy e rendszernek az e légi járatokra és/vagy e szállításokra való alkalmazása a feltétlenül szükséges mértékre korlátozódjon; valamint

–        az említett adatoknak a határellenőrzések javítása és az illegális bevándorlás elleni küzdelem céljából való továbbítására és kezelésére vonatkozó ilyen rendszert előíró nemzeti szabályozás.

H.      A tizedik kérdésről

292    Tizedik kérdésével a kérdést előterjesztő bíróság lényegében arra vár választ, hogy az uniós jogot úgy kell‑e értelmezni, hogy a nemzeti bíróság korlátozhatja azon ítéletének időbeli hatályát, amelyben olyan nemzeti jogszabályt kell a nemzeti jog alapján jogellenesnek nyilvánítania, amely a légi, vasúti és szárazföldi fuvarozókat, valamint az utazásszervezőket a PNR‑adatok továbbítására kötelezi, és ezen adatok olyan kezelését és megőrzését írja elő, amelyek összeegyeztethetetlenek a PNR‑irányelvnek az EUSZ 3. cikk (2) bekezdése, az EUMSZ 67. cikk (3) bekezdése, valamint a Charta 7., 8. és 45. cikke, valamint 52. cikke (1) bekezdése fényében értelmezett rendelkezéseivel.

293    Az uniós jog elsőbbségének elve értelmében az uniós jog elsőbbséget élvez a tagállamok jogával szemben. Ez az elv tehát arra kötelezi a tagállamok valamennyi szervét, hogy biztosítsák az uniós jog különböző rendelkezéseinek teljes érvényesülését, mivel a tagállamok joga nem befolyásolhatja az e rendelkezéseknek az említett államok területén elismert hatályát. Ezen elv értelmében, amennyiben a nemzeti jogszabályoknak az uniós jog követelményeivel összhangban álló értelmezése nem lehetséges, az uniós jogi rendelkezéseket hatáskörének keretei között alkalmazni hivatott nemzeti bíróság köteles biztosítani e normák teljes érvényesülését, szükség esetén – saját hatáskörénél fogva – mellőzve a nemzeti jogszabályok uniós joggal ellentétes rendelkezéseinek alkalmazását, utólagosan is, anélkül hogy előzetesen kérelmeznie vagy várnia kellene azok jogalkotói vagy bármilyen egyéb alkotmányos úton történő megsemmisítésére (1964. július 15‑i Costa ítélet, 6/64, EU:C:1964:66, 1159. és 1160. o.; 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, EU:C:2020:791, 214. és 215. pont; 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 118. pont).

294    Kizárólag a Bíróság engedélyezheti, kivételesen és jogbiztonságon alapuló kényszerítő megfontolások alapján, azon kizárás joghatásainak ideiglenes felfüggesztését, amelyeket valamely uniós rendelkezés a vele ellentétes nemzeti jogra gyakorol. A Bíróság által adott jogértelmezéshez fűződő joghatások időbeli korlátozására kizárólag ugyanazon ítéletben kerülhet sor, amely a kért értelmezésről szól. Sértené az uniós jog elsőbbségét és egységes alkalmazását, ha a nemzeti bíróságoknak lehetőségük lenne – akár ideiglenesen – elsőbbséget biztosítani az uniós joggal ellentétes nemzeti rendelkezéseknek az uniós joggal szemben (2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 119. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

295    Ellentétben az olyan eljárási kötelezettség elmulasztásával, mint a projekt környezetre gyakorolt hatásainak előzetes vizsgálata, amely a 2019. július 29‑i Inter‑Environnement Wallonie és Bond Beter Leefmilieu Vlaanderen ítélet (C‑411/17, EU:C:2019:622, 175., 176., 179. és 181. pont) alapjául szolgáló ügy tárgyát képezi, és amely ügyben a Bíróság elfogadta e kiszorító hatás ideiglenes felfüggesztését, a PNR‑irányelvnek a Charta 7., 8. és 45. cikke, valamint 52. cikke (1) bekezdése fényében értelmezett rendelkezéseinek a megsértése nem orvosolható az ebben az ügyben alkalmazotthoz hasonló eljárás útján. Egy olyan nemzeti szabályozás, mint a 2016. december 25‑i törvény joghatásainak fenntartása ugyanis azt jelentené, hogy e szabályozás továbbra is olyan kötelezettségeket ír elő a légi és más fuvarozókkal, valamint az utazásszervezőkkel szemben, amelyek ellentétesek az uniós joggal, és amelyek súlyos beavatkozást jelentenek azon személyek alapvető jogaiba, akiknek az adatait továbbították, megőrizték és kezelték, továbbá a szükséges mértéket meghaladóan korlátozza e személyek szabad mozgáshoz való jogát (lásd analógia útján: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 122. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

296    Ennélfogva a kérdést előterjesztő bíróság nem korlátozhatja azon ítéletének időbeli hatályát, amelyben az alapügyben szereplő nemzeti jogszabály jogellenességét kell a nemzeti jog alapján megállapítania (lásd analógia útján: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 123. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

297    Végül, amennyiben a kérdést előterjesztő bíróság a 2016. december 25‑i törvénynek a Charta fényében értelmezett PNR‑irányelvvel való esetleges összeegyeztethetetlenségére vonatkozó megállapításnak a büntetőeljárás keretében az érintett fuvarozók és az utazásszervezők által továbbított adatok útján szerzett bizonyítékok és információk elfogadhatóságára és felhasználására gyakorolt hatását illeti, elegendő a Bíróság erre vonatkozó ítélkezési gyakorlatára utalni, különösen a 2021. március 2‑i Prokuratuur (Az elektronikus hírközléssel kapcsolatos adatokhoz való hozzáférés feltételei) ítélet (C‑746/18, EU:C:2021:152) 41–44. pontjában felidézett elvekre, amelyekből az következik, hogy ez az elfogadhatatlanság a tagállamok eljárási autonómiájának elvével összhangban a nemzeti jog hatálya alá tartozik, többek között az egyenértékűség és a tényleges érvényesülés elvének tiszteletben tartása mellett (lásd analógia útján: 2022. április 5‑i Commissioner of An Garda Síochána és társai ítélet, C‑140/20, EU:C:2022:258, 127. pont, valamint az ott hivatkozott ítélkezési gyakorlat).

298    A fenti megfontolásokra tekintettel a tizedik kérdésre azt a választ kell adni, hogy az uniós jogot úgy kell értelmezni, hogy a nemzeti bíróság korlátozhatja azon ítéletének időbeli hatályát, amelyben olyan nemzeti jogszabályt kell a nemzeti jog alapján jogellenesnek nyilvánítania, amely a légi, vasúti és szárazföldi fuvarozókat, valamint az utazásszervezőket a PNR‑adatok továbbítására kötelezi, és ezen adatok olyan kezelését és megőrzését írja elő, amelyek összeegyeztethetetlenek a PNR‑irányelvnek az EUSZ 3. cikk (2) bekezdése, az EUMSZ 67. cikk (2) bekezdése, továbbá a Charta 7., 8. és 45. cikke, valamint 52. cikke (1) bekezdése fényében értelmezett rendelkezéseivel. Az ily módon nyert bizonyítási elemek elfogadhatósága a tagállamok eljárási autonómiájának elvével összhangban a nemzeti jog hatálya alá tartozik, többek között az egyenértékűség és a tényleges érvényesülés elvének tiszteletben tartása mellett.

IV.    A költségekről

299    Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.

A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:

1)      A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 2. cikke (2) bekezdésének d) pontját és 23. cikkét úgy kell értelmezni, hogy e rendelet alkalmazandó a személyes adatoknak az olyan nemzeti jogszabályban előírt kezelésére, amely egyszerre irányul a fuvarozóknak az utasokkal kapcsolatos adatok közlésére vonatkozó kötelezettségéről szóló, 2004. április 29‑i 2004/82/EK tanácsi irányelv, a tagállamok kikötőibe érkező vagy onnan induló hajókra vonatkozó nyilatkozattételi követelményekről és a 2002/6/EK irányelv hatályon kívül helyezéséről szóló, 2010. október 20‑i 2010/65/EU európai parlamenti és tanácsi irányelv, valamint az utas‑nyilvántartási adatállománynak (PNR) a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása érdekében történő felhasználásáról szóló, 2016. április 27‑i (EU) 2016/681 európai parlamenti és tanácsi irányelv rendelkezéseinek a belső jogba való átültetésére, ami egyrészt a magán gazdasági szereplők által végzett adatkezelést, másrészt pedig a hatóságok által kizárólag vagy egyidejűleg a 2004/82 irányelv és/vagy a 2010/65 irányelv alapján végzett adatkezelést illeti. Ezzel szemben az említett rendelet nem alkalmazandó a kizárólag a 2016/681 irányelv hatálya alá tartozó ilyen jogszabály által előírt, az utasadat‑információs egység vagy az illetékes hatóságok által az ezen irányelv 1. cikkének (2) bekezdésében előírt célból végzett adatkezelésre.

2)      Mivel a 2016/681 irányelvnek az Európai Unió Alapjogi Chartája 7., 8. és 21. cikke, valamint 52. cikke (1) bekezdése fényében történő értelmezése biztosítja ezen irányelvnek az Alapjogi Charta e cikkeivel való összhangját, az előzetes döntéshozatalra előterjesztett második, harmadik, negyedik és hatodik kérdés vizsgálata nem tárt fel egyetlen olyan elemet sem, amely érinthetné az említett irányelv érvényességét.

3)      A 2016/681 irányelv 6. cikkét az Alapjogi Charta 7. és 8. cikke, valamint 52. cikkének (1) bekezdése fényében úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely engedélyezi az ezen irányelvvel összhangban gyűjtött utas‑nyilvántartási adatállománynak (PNR‑adatok) az említett irányelv 1. cikkének (2) bekezdésében kifejezetten említettektől eltérő célokból való kezelését.

4)      A 2016/681 irányelv 12. cikke (3) bekezdésének b) pontját úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely szerint az utasadat‑információs egységként létrehozott hatóság egyúttal az arra vonatkozó hatáskörrel rendelkező nemzeti hatóságnak is minősül, hogy a PNR‑adatok utasadat‑információs egység részére történő továbbítását követő hat hónap lejártával jóváhagyja ezen adatok közlését.

5)      A 2016/681 irányelv 12. cikkének (1) bekezdését az Alapjogi Charta 7. és 8. cikkével, valamint az 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely a PNR‑adatok megőrzésére vonatkozóan olyan ötéves általános időtartamot ír elő, amely különbségtétel nélkül valamennyi légi utasra alkalmazandó, ideértve azokat is, akik esetében sem ezen irányelv 6. cikke (2) bekezdésének a) pontjában említett előzetes értékelés, sem az említett irányelv 12. cikkében rögzített kezdeti hat hónapos időszak során esetlegesen végzett ellenőrzések, sem pedig bármely más körülmény nem tárt fel olyan objektív elemeket, amelyek alapján megállapítható lenne a terrorista bűncselekményekkel vagy súlyos bűncselekményekkel kapcsolatos olyan veszély fennállása, amely objektív és legalább közvetett kapcsolatban áll az utasok légi szállításával.

6)      A 2004/82 irányelvet úgy kell értelmezni, hogy az nem alkalmazandó a légi fuvarozó menetrend szerinti vagy nem menetrend szerinti olyan légi járatára, amely egy tagállam területéről indul és a tervek szerint egy vagy több más tagállam területére érkezik, anélkül hogy egy harmadik ország területén közbeeső leszállást hajtana végre (EU‑n belüli légi járatok).

7)      Az uniós jogot, különösen a 2016/681 irányelv 2. cikkét az EUSZ 3. cikk (2) bekezdése, az EUMSZ 67. cikk (2) bekezdése és az Alapjogi Charta 45. cikke fényében úgy kell értelmezni, hogy azzal ellentétes:

–        az olyan nemzeti szabályozás, amely az érintett tagállam valódi és közvetlen vagy előre látható terrorfenyegetettségének hiányában a terrorista bűncselekményekkel és a súlyos bűncselekményekkel szembeni küzdelem érdekében a légi fuvarozók és az utazásszervezők általi adattovábbítási, illetve az illetékes hatóságok általi adatkezelési rendszert ír elő az e tagállamból induló vagy oda érkező, illetve az azon áthaladó, EU-n belüli légi járatok és az Unión belül más eszközökkel végzett szállítások összességére vonatkozó PNR-adatok tekintetében. Ilyen helyzetben a 2016/681 irányelv által létrehozott rendszer alkalmazását a többek között bizonyos útvonalakra vagy útitervekre vonatkozó azon légi járatok és/vagy szállítások, illetve azon repülőterek, vasútállomások vagy tengeri kikötők PNR‑adatainak a továbbítására és kezelésére kell korlátozni, amelyek tekintetében a körülmények igazolják ezen alkalmazást. Az érintett tagállam feladata, hogy kiválassza az EU‑n belüli azon légi járatokat és/vagy az Unión belül más eszközökkel végzett azon szállításokat, amelyek tekintetében ilyen körülmények állnak fenn, valamint hogy rendszeresen felülvizsgálja az említett alkalmazást a légi járatok és a szállítások kiválasztását igazoló feltételekkel kapcsolatos fejlemények függvényében annak érdekében, hogy e rendszernek az e légi járatokra és/vagy e szállításokra való alkalmazása a feltétlenül szükséges mértékre korlátozódjon; valamint

–        az említett adatoknak a határellenőrzések javítása és az illegális bevándorlás elleni küzdelem céljából való továbbítására és kezelésére vonatkozó ilyen rendszert előíró nemzeti szabályozás.

8)      Az uniós jogot úgy kell értelmezni, hogy a nemzeti bíróság korlátozhatja azon ítéletének időbeli hatályát, amelyben olyan nemzeti jogszabályt kell a nemzeti jog alapján jogellenesnek nyilvánítania, amely a légi, vasúti és szárazföldi fuvarozókat, valamint az utazásszervezőket a PNR‑adatok továbbítására kötelezi, és ezen adatok olyan kezelését és megőrzését írja elő, amelyek összeegyeztethetetlenek a 2016/681 irányelvnek az EUSZ 3. cikk (2) bekezdése, az EUMSZ 67. cikk (2) bekezdése, továbbá az Alapjogi Charta 7., 8. és 45. cikke, valamint 52. cikke (1) bekezdése fényében értelmezett rendelkezéseivel. Az ily módon nyert bizonyítási elemek elfogadhatósága a tagállamok eljárási autonómiájának elvével összhangban a nemzeti jog hatálya alá tartozik, többek között az egyenértékűség és a tényleges érvényesülés elvének tiszteletben tartása mellett.

Aláírások

*      Az eljárás nyelve: francia.