Language of document : ECLI:EU:C:2022:491

Mål C-817/19

Ligue des droits humains

mot

ministerrådet

(begäran om förhandsavgörande från Cour constitutionnelle (Belgien))

 Domstolens dom (stora avdelningen) av den 21 juni 2022

”Begäran om förhandsavgörande – Behandling av personuppgifter – Behandling av passageraruppgiftssamlingar (PNR-uppgifter) – Förordning (EU) 2016/679 – Artikel 2.2 d – Tillämpningsområde – Direktiv (EU) 2016/681 – Användning av PNR-uppgifter om passagerare på flygningar mellan unionen och tredjeland – Möjlighet att inkludera uppgifter om passagerare på flygningar inom EU – Automatisk behandling av dessa uppgifter – Lagringstid – Bekämpning av terroristbrott och grov brottslighet – Giltighet – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 21 samt artikel 52.1 – Nationell lagstiftning som utvidgar tillämpningen av PNR-systemet till andra transporter inom unionen – Fri rörlighet inom unionen – Artikel 45 i stadgan”

1.        Skydd för fysiska personer avseende behandling av personuppgifter – Förordning 2016/679 – Tillämpningsområde – Behandling av personuppgifter enligt en nationell lagstiftning som syftar till att införliva direktiven 2004/82, 2010/65 och 2016/681 – Omfattas – Gränser

(Europaparlamentets och rådets förordning 2016/679, artiklarna 2.2 d och 23; Europaparlamentets och rådets direktiv 2010/65, 2016/680 och 2016/681; rådets direktiv 2004/82)

(se punkterna 67, 68, 73, 74, 80, 83 och 84 samt punkt 1 i domslutet)

2.        Polissamarbete – Straffrättsligt samarbete – Användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet – Direktiv 2016/681 – PNR-uppgifter – Räckvidd – Berörda flygpassagerare och flygningar – Automatisk behandling av dessa uppgifter – Åsidosättande av rätten till respekt för privatlivet och till skydd för personuppgifter – Föreligger inte

(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 21 och 52.1; Europaparlamentets och rådets direktiv 2016/681, artiklarna 1.2, 2, 3 leden 2, 4, 8 och 9, 6 och 12 samt bilagorna I och II)

(se punkterna 94–97, 111, 122, 123, 129, 131–140, 152, 157, 162, 169–175, 184, 188, 197, 202, 213, 218–220, 223 och 225–228 samt punkt 2 i domslutet)

3.        Grundläggande rättigheter – Respekt för privatlivet – Skydd av personuppgifter – Begränsningar – Villkor

(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8 och 52.1)

(se punkterna 115–118)

4.        Polissamarbete – Straffrättsligt samarbete – Användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet – Direktiv 2016/681 – Behandling av PNR-uppgifter – Syften – Behandling för andra syften än dem som uttryckligen föreskrivs – Otillåtet

(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8 och 52.1; Europaparlamentets och rådets direktiv 2016/681, artiklarna 1.2 och 6)

(se punkterna 233, 235, 237, 288 och 289 samt punkt 3 i domslutet)

5.        Polissamarbete – Straffrättsligt samarbete – Användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet – Direktiv 2016/681 – Utlämnande av PNR-uppgifter mer än sex månader efter det att de överförts från lufttransportören – Villkor – Tillstånd av en behörig nationell myndighet – Begrepp – Enhet för passagerarinformation – Omfattas inte

(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7 och 8; Europaparlamentets och rådets direktiv 2016/681, artiklarna 4.1–4.3 och 12.3 b)

(se punkterna 244, 245 och 247 samt punkt 4 i domslutet)

6.        Polissamarbete – Straffrättsligt samarbete – Användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet – Direktiv 2016/681 – Lagringstid för PNR-uppgifter – Allmän lagringstid på fem år, tillämplig på alla flygpassagerare utan åtskillnad – Otillåtet

(Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 45 och 52.1; Europaparlamentets och rådets direktiv 2016/681, artikel 12)

(se punkterna 251, 255–259 och 262 samt punkt 5 i domslutet)

7.        Gränskontroller, asyl och invandring – Skyldighet för transportörerna att lämna ut passageraruppgifter – Direktiv 2004/82 – Tillämpningsområde – Flygningar inom EU – Omfattas inte

Europaparlamentets och rådets direktiv 2016/681, artikel 2; rådets direktiv 2004/82, artiklarna 2 a, b och d, 3.1 och 6.1)

(se punkterna 266–269 samt punkt 6 i domslutet)

8.        Polissamarbete – Straffrättsligt samarbete – Användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet – Direktiv 2016/681 – Tillämpning av direktivet på flygningar inom EU – Tillämpning av samtliga flygningar inom EU och på transporter med andra transportmedel inom unionen när det inte föreligger något verkligt och aktuellt eller förutsebart terrorhot – Otillåtet – Begränsad tillämplighet – Tillåtlighet – Villkor

(Artikel 3.2 FEU; artikel 67 FEUF; Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 45 och 52.1; Europaparlamentets och rådets direktiv 2016/681)

(se punkterna 277–282, 285, 290 och 291 samt punkt 7 i domslutet)

9.        Unionsrätt – Företräde – Direktiv 2016/681 – Ogiltigförklaring, av den nationella domstolen, av nationella bestämmelser som är oförenliga med det direktivet – Möjlighet att bibehålla verkningarna av bestämmelserna i fråga – Föreligger inte – Upptagande till prövning av bevisning som erhållits med stöd av dessa bestämmelser – Tillämpning av nationell rätt – Gränser – Iakttagande av likvärdighetsprincipen och effektivitetsprincipen

(Artikel 3.2 FEU; artikel 67.2 FEUF; Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 45 och 52.1; Europaparlamentets och rådets direktiv 2016/681)

(se punkterna 293–298 samt punkt 8 i domslutet)

Resumé

PNR-uppgifter (Passenger Name Record) är bokningsuppgifter som lufttrafikföretagen lagrar i sina boknings- och avgångskontrollsystem. Enligt PNR-direktivet(1) är transportörerna skyldiga att överföra uppgifterna för varje passagerare som reser med ett flyg utanför Europeiska unionen, mellan ett tredjeland och EU, till den berörda destinationsmedlemsstatens eller avgångsmedlemsstatens enhet för passagerarinformation, för att bekämpa terrorism och grov brottslighet. De PNR-uppgifter som överförs på detta sätt blir föremål för en förhandsbedömning av enheten för passagerarinformation(2) och lagras därefter, så att de behöriga myndigheterna i den berörda medlemsstaten eller myndigheterna i en annan medlemsstat eventuellt ska kunna göra en senare bedömning. Medlemsstaterna får besluta att tillämpa direktivet även på flygningar inom EU.(3)

Ligue des droits humains väckte talan vid Cour constitutionnelle (Författningsdomstolen, Belgien) om ogiltigförklaring av lagen av den 25 december 2016,(4) genom vilken både PNR-direktivet och API-direktivet(5) införlivades med belgisk rätt. Enligt klaganden strider den lagen mot respekten för privatlivet och mot skyddet för personuppgifter. Ligue des droits humains har kritiserat dels att PNR-uppgifterna är så brett definierade, dels att lagen föreskriver en generell insamling, överföring och behandling av uppgifter. Lagen påstås även strida mot den fria rörligheten för personer, eftersom den indirekt återinför gränskontroller genom att utsträcka PNR-systemet till flygningar inom EU och transporter med andra transportmedel inom unionen.

Cour constitutionnelle (Författningsdomstolen) har ställt tio tolkningsfrågor till EU-domstolen om bland annat giltigheten och tolkningen av PNR-direktivet samt huruvida dataskyddsförordningen(6) är tillämplig.

Dessa frågor föranleder EU-domstolen att på nytt pröva behandlingen av PNR-uppgifter med avseende på de grundläggande rättigheterna till respekt för privatlivet och skydd för personuppgifter,(7) vilka är stadfästa i Europeiska unionens stadga om de grundläggande rättigheterna.(8) Genom sin dom, som meddelas av stora avdelningen, bekräftar domstolen att PNR-direktivet är giltigt i den utsträckning det kan tolkas på ett sätt som är förenligt med stadgan samt lämnar vissa preciseringar om tolkningen av vissa av bestämmelserna i direktivet.(9)

Domstolens bedömning

Efter att ha preciserat vilka behandlingar av personuppgifter som föreskrivs i en nationell lagstiftning som, i likhet med den nu aktuella, syftar till att införliva både API-direktivet och PNR-direktivet, som de allmänna bestämmelserna i dataskyddsförordningen är tillämpliga på,(10) prövar domstolen huruvida PNR-direktivet är giltigt.

Huruvida PNR-direktivet är giltigt

I sin dom slår domstolen fast att eftersom dess tolkning av bestämmelserna i PNR-direktivet mot bakgrund av de grundläggande rättigheter som garanteras i artiklarna 7, 8, 21 och 52.1 i stadgan(11) säkerställer direktivets förenlighet med dessa artiklar, har det vid prövningen av de ställda frågorna inte framkommit någon omständighet som kan påverka direktivets giltighet.

Domstolen erinrar inledningsvis om att en unionsrättsakt så långt möjligt ska tolkas på ett sätt som inte påverkar deras giltighet och i överensstämmelse med primärrätten i dess helhet, däribland bestämmelserna i stadgan. Medlemsstaterna ska därför se till att de inte grundar sig på en tolkning av rättsakten som skulle stå i strid med de grundläggande rättigheter som skyddas i unionsrätten eller med andra allmänna principer som erkänns i denna rättsordning. När det gäller PNR-direktivet preciserar domstolen att många skäl och bestämmelser i direktivet kräver en sådan direktivkonform tolkning, med betoning på den vikt som unionslagstiftaren, med hänvisning till en hög skyddsnivå för uppgifter, fäster vid att de grundläggande rättigheter som garanteras i stadgan respekteras fullt ut.

Domstolen konstaterar att PNR-direktivet medför betydande ingrepp i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan, då det syftar till att införa ett system för övervakning som är kontinuerlig och systematisk och inte riktad, och som innefattar automatisk utvärdering av personuppgifter för samtliga personer som använder sig av lufttransporttjänster. Domstolen erinrar om att medlemsstaternas möjlighet att motivera ett sådant ingrepp ska bedömas utifrån hur allvarligt ingreppet är och genom att kontrollera att betydelsen av det mål av allmänt samhällsintresse som eftersträvas står i proportion till detta allvar.

Domstolen finner att den överföring, behandling och lagring av PNR-uppgifter som föreskrivs i direktivet kan anses vara begränsad till vad som är strikt nödvändigt för att bekämpa terroristbrott och grov brottslighet, under förutsättning att de befogenheter som föreskrivs i direktivet tolkas restriktivt. I dagens dom preciseras bland annat följande:

–        Det system som inrättats genom PNR-direktivet ska endast omfatta information som är tydligt identifierbar och avgränsad i punkterna i bilaga I till direktivet och som har samband med den flygning som genomförs och den berörda passageraren, vilket för vissa punkter i bilagan innebär att endast de uppgifter som uttryckligen anges ska omfattas.(12)

–        Tillämpningen av det system som inrättats genom PNR-direktivet ska begränsas till terroristbrott och till grov brottslighet som har ett åtminstone indirekt objektivt samband med lufttransport av passagerare. När det gäller sådana brott kan tillämpningen av detta system inte utsträckas till att omfatta brott som, även om de uppfyller kriteriet i detta direktiv avseende en gräns för svårhetsgrad och avses i bilaga II till direktivet, med hänsyn till särdragen i det nationella straffrättsliga systemet inte utgör grov brottslighet utan endast ordinär brottslighet.

–        En eventuell utvidgning av tillämpningen av PNR-direktivet till att omfatta hela eller delar av flygningar inom EU, som en medlemsstat kan besluta om med tillämpning av den möjlighet som föreskrivs i detta direktiv, ska begränsas till vad som är strikt nödvändigt. Det måste kunna bli föremål för effektiv kontroll antingen av en domstol eller av en oberoende myndighet, vars avgörande har bindande verkan. Domstolen preciserar i detta avseende följande:

–        Endast i en situation där en medlemsstat bedömer att det föreligger tillräckligt konkreta omständigheter för att medlemsstaten ska anses stå inför ett verkligt och aktuellt eller förutsebart terrorhot, går det inte utöver vad som är strikt nödvändigt att föreskriva att direktivet ska tillämpas på alla flygningar inom EU från eller till nämnda medlemsstat under en viss tidsperiod, vilken ska begränsad till vad som är strikt nödvändigt men kan förlängas.(13)

–        Om det inte föreligger något sådant terroristhot får tillämpningen av direktivet inte utsträckas till samtliga flygningar inom EU utan måste begränsas till vissa flyglinjer, resmönster eller flygplatser för vilka det enligt den berörda medlemsstatens bedömning finns indikationer som kan motivera en sådan tillämpning. Det ska regelbundet omprövas om det fortfarande är strikt nödvändigt att tillämpa direktivet på de flygningar inom EU som valts ut, med hänsyn till utvecklingen av de villkor som motiverat urvalet.

–        Vad gäller förhandsbedömningen av PNR-uppgifter, vars syfte är att identifiera de personer för vilka en mer ingående undersökning krävs före avresa eller ankomst och som inledningsvis görs genom automatisk behandling, får enheten för passagerarinformation endast jämföra dessa uppgifter mot databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista.(14) Dessa databaser får inte vara diskriminerande och ska förvaltas av behöriga myndigheter för att bekämpa terroristbrott och grov brottslighet som har ett åtminstone indirekt objektivt samband med lufttransport av passagerare. Vad för det andra gäller förhandsbedömningen utifrån på förhand fastställda kriterier, får enheten för passagerarinformation inte använda artificiell intelligens i självlärande system (machine learning), som utan mänskligt ingripande och kontroll kan ändra bedömningsprocessen och, i synnerhet, de bedömningskriterier som ligger till grund för resultatet av dess tillämpning samt viktningen av dessa kriterier. Kriterierna ska bestämmas på ett sådant sätt att de specifikt riktar in sig på de individer som skäligen kan misstänkas delta i terroristbrott eller grov brottslighet och att hänsyn tas till såväl uppgifter till personernas ”nackdel” som till deras ”fördel”, samtidigt som ingen direkt eller indirekt diskriminering sker.(15)

–        Med hänsyn till den felfrekvens som präglar automatisk behandling av PNR-uppgifter och det ganska stora antalet ”falska positiva” resultat under åren 2018 och 2019, beror lämpligheten hos det system som inrättats genom direktivet huvudsakligen på att enheten för passagerarinformations påföljande kontroll, med hjälp av icke-automatiserade metoder, av resultaten av behandlingen fungerar på ett tillfredsställande sätt. Medlemsstaterna ska föreskriva tydliga och precisa regler som kan vägleda och reglera den bedömning som görs av de tjänstemän som ansvarar för den individuella granskningen, för att säkerställa full respekt för de grundläggande rättigheter som slås fast i artiklarna 7, 8 och 21 i stadgan och, inte minst, för att garantera en konsekvent administrativ praxis inom enheten för passagerarinformation som iakttar principen om icke-diskriminering. De ska i synnerhet försäkra sig om att enheten för passagerarinformation fastställer objektiva granskningskriterier så att dess tjänstemän kan kontrollera dels om och i vilken utsträckning en positiv överensstämmelse (hit) verkligen avser en person som kan vara inblandad i terroristbrott eller grov brottslighet, dels att den automatiska behandlingen inte är diskriminerande. Domstolen understryker i detta sammanhang att de behöriga myndigheterna ska försäkra sig om att den berörda personen kan förstå hur de på förhand fastställda bedömningskriterierna och de program som tillämpar dessa kriterier fungerar så att denne, med full kännedom om omständigheterna, kan avgöra huruvida han eller hon ska utövar sin rätt till domstolsprövning. Inom ramen för ett sådant överklagande ska den domstol som ska pröva lagenligheten av det beslut som fattats av de behöriga myndigheterna och, förutom i fall av hot mot statens säkerhet, den berörde själv kunna ta del av såväl samtliga skäl som den bevisning som legat till grund för beslutet, inklusive de på förhand fastställda bedömningskriterierna och hur programmen för tillämpning av de kriterierna fungerar.

–        Senare utlämnande och bedömning av PNR-uppgifter, det vill säga efter den berörda personens ankomst eller avresa, kan endast ske på grundval av nya omständigheter och objektiva omständigheter som antingen kan ligga till grund för en skälig misstanke om att den berörda personen på ett eller annat sätt är inblandad i grov brottslighet som har ett åtminstone indirekt samband med lufttransport av passagerare, eller som gör det möjligt att anse att uppgifterna i ett konkret fall faktiskt kan bidra till bekämpandet av terroristbrott som har ett sådant samband. Utlämnandet av PNR-uppgifter för en sådan senare bedömning ska i princip, utom i vederbörligen motiverade brådskande fall, underställas en förhandskontroll utförd antingen av domstol eller av en oberoende förvaltningsmyndighet på motiverad begäran av de behöriga myndigheterna, oberoende av om denna begäran lämnades in före eller efter utgången av sexmånadersperioden efter överföringen av PNR-uppgifter till enheten för passagerarinformation.(16)

Tolkningen av PNR-direktivet

Domstolen konstaterar att PNR-direktivet är giltigt och gör därefter ytterligare förtydliganden beträffande tolkningen av detta direktiv. För det första påpekar domstolen att direktivet innehåller en uttömmande uppräkning av de mål som eftersträvas med behandlingen av PNR-uppgifter. Direktivet utgör således hinder för en nationell lagstiftning som tillåter behandling av PNR-uppgifter för andra ändamål än att bekämpa terroristbrott och grov brottslighet. En nationell lagstiftning, som dessutom anger att syftet med behandlingen av PNR-uppgifter är att ha tillsyn över underrättelse- och säkerhetstjänsten verksamhet, är således ägnad att strida mot den uttömmande uppräkningen. Inte heller får det system som inrättats genom PNR-direktivet användas för att förbättra gränskontrollerna och bekämpa olaglig invandring.(17) Av detta följer även att PNR-uppgifter inte får lagras i en samlad databas som kan nyttjas för att uppnå såväl syftena med direktivet som andra syften.

För det andra förtydligar domstolen begreppet oberoende nationell myndighet behörig att kontrollera om villkoren för att lämna ut PNR-uppgifter för en senare bedömning är uppfyllda och att godkänna ett sådant utlämnande. I synnerhet kan den myndighet som inrättats som enhet för passagerarinformation inte kvalificeras som sådan, eftersom den inte är fristående från den myndighet som begär tillgång till uppgifterna. Eftersom de anställda vid enheten för passagerarinformation kan vara anställda som utstationerats av de myndigheter som har befogenhet att begära tillgång till uppgifter, tycks enheten med nödvändighet vara bunden till dessa myndigheter. Således utgör PNR-direktivet hinder för en nationell lagstiftning enligt vilken den myndighet som inrättas som enhet för passagerarinformation även är behörig nationell myndighet, med befogenhet att godkänna utlämnande av PNR-uppgifter efter utgången av de sex månader som följer efter överföringen av dessa uppgifter till enheten för passagerarinformation.

Vad för det tredje gäller lagringstiden för PNR-uppgifter slår domstolen fast att artikel 12 i PNR-direktivet, jämförd med artiklarna 7, 8 och 52.1 i stadgan, utgör hinder för en nationell lagstiftning som föreskriver en allmän lagringstid på fem år för dessa uppgifter, tillämplig på alla flygpassagerare utan åtskillnad.

Enligt domstolen framstår lagring av PNR-uppgifter inte som begränsad till vad som är strikt nödvändigt, efter utgången av den inledande lagringstiden på sex månader, för flygpassagerare för vilka det varken vid förhandsbedömningen, vid eventuella kontroller som gjorts under den inledande lagringstiden på sex månader eller av några andra omständigheter har framkommit att det föreligger objektiva faktorer – såsom att PNR-uppgifterna för de berörda passagerarna visat en bekräftad positiv överensstämmelse vid förhandsbedömningen – ägnade att konstatera att det föreligger en risk för terroristbrott eller grov brottslighet som har ett åtminstone indirekt objektivt samband med den flygresa som dessa passagerare gjort. Däremot finner domstolen att lagringen av PNR-uppgifter under den inledande sexmånadersperioden för alla flygpassagerare som omfattas av det system som inrättats genom direktivet inte principiellt tycks gå utöver vad som är strikt nödvändigt.

För det fjärde ger domstolen vägledning om en eventuell tillämpning av PNR-direktivet i syfte att bekämpa terroristbrott och grov brottslighet på andra transportmedel som befordrar passagerare inom unionen. Direktivet, jämförd med artikel 3.2 FEU, artikel 67.2 FEUF och artikel 45 i stadgan, utgör hinder för ett system för överföring och behandling av PNR-uppgifter för alla transporter som utförs med andra transportmedel inom unionen i avsaknad av ett verkligt och aktuellt eller förutsebart terroristhot i den berörda medlemsstaten. I en sådan situation ska, liksom för flygningar inom EU, tillämpningen av det system som inrättats genom PNR-direktivet begränsas till överföring och behandling av PNR-uppgifter avseende transporter som avser bland annat vissa linjer eller resmönster eller vissa järnvägsstationer eller hamnar för vilka det finns indikationer som kan motivera en sådan tillämpning. Det ankommer på den berörda medlemsstaten att gör urvalet av de transporter för vilka sådana indikationer finns och regelbundet se över tillämpningen mot bakgrund av utvecklingen av de villkor som motiverat urvalet.


1      Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (EUT L 119, 2016, s. 132) (nedan kallad PNR-direktivet).


2      Denna förhandsbedömning syftar till att identifiera personer som bör undersökas närmare av de behöriga myndigheterna, då de kan vara inblandade i terroristbrott eller i grov brottslighet. Den utförs systematiskt och automatiserat och innebär att PNR-uppgifterna jämförs med ”relevanta” databaser eller behandlas utifrån de på förhand fastställda kriterierna i artikel 6.2 a och 6.3 i PNR-direktivet.


3      Genom att utnyttja den möjlighet som föreskrivs i artikel 2 i PNR-direktivet.


4      Lag av den 25 december 2016 om behandling av passageraruppgifter) (Moniteur belge av den 25 januari 2017, s. 12905).


5      Rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (EGT L 261, 2004, s. 24) (nedan kallat API -direktivet). Direktivet reglerar lufttrafikföretagens överlämnande av förhandsinformation om passagerare (såsom resehandlingens nummer och typ samt nationalitet) till behöriga nationella myndigheter i syfte att förbättra gränskontrollerna och bekämpa olaglig invandring.


6      Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1) (nedan kallad dataskyddsförordningen).


7      Nedan kallade ”de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan”. Domstolen har redan prövat huruvida det system för insamling och behandling av PNR-uppgifter som planerades i utkastet till avtal mellan Kanada och Europeiska unionen om överföring och behandling av passageraruppgifter (yttrande 1/15 (PNR-avtal mellan EU och Kanada) av den 26 juli 2017 (EU:C:2017:592)) är förenligt med dessa rättigheter.


8      Nedan kallad stadgan.


9      I synnerhet artikel 2 (”Tillämpning av detta direktiv på flygningar inom EU”), artikel 6 (”Behandling av PNR-uppgifter”) och artikel 12 (”Lagringstid för uppgifter och avidentifiering”).


10      Domstolen preciserar att dataskyddsförordningen är tillämplig på sådan behandling av personuppgifter som föreskrivs i en sådan lagstiftning, vad gäller dels uppgiftsbehandling som utförs av privata aktörer, dels uppgiftsbehandling som utförs av offentliga myndigheter som helt eller delvis omfattas av API-direktivet. Dataskyddsförordningen är däremot inte tillämplig på behandling som föreskrivs i en sådan lagstiftning som endast omfattas av PNR-direktivet och som utförs av enheten för passagerarinformation eller av behöriga myndigheter för att bekämpa terroristbrott och grov brottslighet.


11      Enligt denna bestämmelse ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med deras väsentliga innehåll. Begränsningar av dessa rättigheter och friheter får dessutom göras endast om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.


12      Bland annat ska ”betalningsinformation” (punkt 6 i bilagan) begränsas till betalningsvillkoren och faktureringen av flygbiljetten och exkludera all annan information som saknar direkt samband med flygningen, och ”allmänna anmärkningar” (punkt 12) kan endast avse de uppgifter som uttryckligen räknas upp under denna rubrik och som avser minderåriga passagerare.


13      Förekomsten av ett sådant hot är nämligen i sig ägnat att skapa ett samband mellan, å ena sidan, överföring och behandling av de berörda uppgifterna och, å andra sidan, kampen mot terrorismen. Att föreskriva att PNR-direktivet ska tillämpas på alla flygningar inom EU från eller till den berörda medlemsstaten under en begränsad tid går således inte utöver vad som är strikt nödvändigt, förutsatt att beslutet om denna tillämpning kan kontrolleras av en domstol eller av en oberoende myndighet.


14      Det vill säga databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, i den mening som avses i artikel 6.3 a i PNR-direktivet. Analys utifrån andra databaser skulle kunna ske i form av en utvinning av data (data mining) och skulle kunna medföra ett oproportionerlig utnyttjande av dessa uppgifter som skulle göra det möjligt att fastställa en exakt profil av de berörda personerna enbart till följd av att de avser att resa med flyg.


15      De på förhand fastställda kriterierna ska vara riktade, proportionella och specifika samt ses över regelbundet (artikel 6.4 i PNR-direktivet). Förhandsbedömningen enligt på förhand fastställda kriterier ska göras på ett icke-diskriminerande sätt. Enligt artikel 6.4 fjärde meningen i direktivet får kriterierna under inga omständigheter vara baserade på en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.


16      Enligt artikel 12.1 och 12.3 i PNR-direktivet föreskrivs en sådan kontroll uttryckligen endast för begäran om utlämnande av PNR-uppgifter som getts in efter det att sexmånadersfristen efter överföringen av uppgifterna till enheten för passagerarinformation löpt ut.


17      Det vill säga syftet med API-direktivet.