Language of document : ECLI:EU:C:2022:491

ARREST VAN HET HOF (Grote kamer)

21 juni 2022 (*)



Inhoud



„Prejudiciële verwijzing – Verwerking van persoonsgegevens – Persoonsgegevens van passagiers (PNR) – Verordening (EU) 2016/679 – Artikel 2, lid 2, onder d) – Werkingssfeer – Richtlijn (EU) 2016/681 – Gebruik van PNR-gegevens van passagiers van vluchten tussen de Europese Unie en derde landen – Mogelijkheid om ook gegevens van passagiers van vluchten binnen de Unie te gebruiken – Geautomatiseerde verwerking van deze gegevens – Bewaartermijn – Bestrijding van terroristische misdrijven en ernstige criminaliteit – Geldigheid – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 21 en artikel 52, lid 1 – Nationale wetgeving die het PNR-systeem bij uitbreiding toepast op andere soorten vervoer binnen de Unie – Vrijheid van verkeer binnen de Unie – Handvest van de grondrechten – Artikel 45”

In zaak C‑817/19,

betreffende een verzoek om een prejudiciële beslissing krachtens artikel 267 VWEU, ingediend door het Grondwettelijk Hof (België) bij beslissing van 17 oktober 2019, ingekomen bij het Hof op 31 oktober 2019, in de procedure

Ligue des droits humains

tegen

Ministerraad,

wijst

HET HOF (Grote kamer),

samengesteld als volgt: K. Lenaerts, president, A. Arabadjiev, S. Rodin, I. Jarukaitis en N. Jääskinen, kamerpresidenten, T. von Danwitz (rapporteur), M. Safjan, F. Biltgen, P. G. Xuereb, N. Piçarra, L. S. Rossi, A. Kumin en N. Wahl, rechters,

advocaat-generaal: G. Pitruzzella,

griffier: M. Krausenböck, administrateur,

gezien de stukken en na de terechtzitting op 13 juli 2021,

gelet op de opmerkingen van:

–        de Ligue des droits humains, vertegenwoordigd door C. Forget, advocaat,

–        de Belgische regering, vertegenwoordigd door P. Cottin, J.‑C. Halleux, C. Pochet en M. Van Regemorter als gemachtigden, bijgestaan door C. Caillet, advocaat, E. Jacubowitz, advocaat, en G. Ceuppens, V. Dethy en D. Vertongen,

–        de Tsjechische regering, vertegenwoordigd door T. Machovičová, O. Serdula, M. Smolek en J. Vláčil als gemachtigden,

–        de Deense regering, vertegenwoordigd door M. Jespersen, J. Nymann-Lindegren, V. Pasternak Jørgensen en M. Søndahl Wolff als gemachtigden,

–        de Duitse regering, vertegenwoordigd door D. Klebs en J. Möller als gemachtigden,

–        de Estse regering, vertegenwoordigd door N. Grünberg als gemachtigde,

–        Ierland, vertegenwoordigd door M. Browne, A. Joyce en J. Quaney als gemachtigden, bijgestaan door D. Fennelly, BL,

–        de Spaanse regering, vertegenwoordigd door L. Aguilera Ruiz als gemachtigde,

–        de Franse regering, vertegenwoordigd door D. Dubois, E. de Moustier en T. Stehelin als gemachtigden,

–        de Cypriotische regering, vertegenwoordigd door E. Neofytou als gemachtigde,

–        de Letse regering, vertegenwoordigd door E. Bārdiņš, K. Pommere en V. Soņeca als gemachtigden,

–        de Nederlandse regering, vertegenwoordigd door M. K. Bulterman, A. Hanje, J. Langer en C. S. Schillemans als gemachtigden,

–        de Oostenrijkse regering, vertegenwoordigd door G. Kunnert, A. Posch en J. Schmoll als gemachtigden,

–        de Poolse regering, vertegenwoordigd door B. Majczyna als gemachtigde,

–        de Slowaakse regering, vertegenwoordigd door B. Ricziová als gemachtigde,

–        de Finse regering, vertegenwoordigd door A. Laine en H. Leppo als gemachtigden,

–        het Europees Parlement, vertegenwoordigd door O. Hrstková Šolcová en P. López-Carceller als gemachtigden,

–        de Raad van de Europese Unie, vertegenwoordigd door J. Lotarski, N. Rouam, E. Sitbon en C. Zadra als gemachtigden,

–        de Europese Commissie, vertegenwoordigd door D. Nardi en M. Wasmeier als gemachtigden,

–        de Europese Toezichthouder voor gegevensbescherming, vertegenwoordigd door P. Angelov, A. Buchta, F. Coudert en C.‑A. Marnier als gemachtigden,

–        het Bureau van de Europese Unie voor de grondrechten, vertegenwoordigd door L. López, T. Molnar, M. Nespor en M. O’Flaherty als gemachtigden,

gehoord de conclusie van de advocaat-generaal ter terechtzitting van 27 januari 2022,

het navolgende

Arrest

1        Het verzoek om een prejudiciële beslissing betreft in wezen:

–        de uitlegging van artikel 2, lid 2, onder d), en artikel 23 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1, met rectificatie in PB 2021, L 74, blz. 35; hierna: „AVG”), van richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven (PB 2004, L 261, blz. 24; hierna: „API-richtlijn”) en van richtlijn 2010/65/EU van het Europees Parlement en de Raad van 20 oktober 2010 betreffende meldingsformaliteiten voor schepen die aankomen in en/of vertrekken uit havens van de lidstaten en tot intrekking van richtlijn 2002/6/EG (PB 2010, L 283, blz. 1);

–        de uitlegging en de geldigheid van artikel 3, punt 4, de artikelen 6 en 12 van en bijlage I bij richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PB 2016, L 119, blz. 132; hierna: „PNR-richtlijn”) in het licht van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”), en

–        de uitlegging en de geldigheid van de API-richtlijn in het licht van artikel 3, lid 2, VEU en artikel 45 van het Handvest.

2        Dit verzoek is ingediend in het kader van een geding tussen de Ligue des droits humains en de Ministerraad (België) over de rechtmatigheid van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens.

I.      Toepasselijke bepalingen

A.      Unierecht

1.      Richtlijn 95/46

3        Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31) is met ingang van 25 mei 2018 ingetrokken bij de AVG. Artikel 3, lid 2, van deze richtlijn luidde als volgt:

„De bepalingen van deze richtlijn zijn niet van toepassing op de verwerking van persoonsgegevens:

–      die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie en in ieder geval verwerkingen die betrekking hebben op de openbare veiligheid, defensie, de veiligheid van de Staat (waaronder de economie van de Staat, wanneer deze verwerkingen in verband staan met vraagstukken van Staatsveiligheid), en de activiteiten van de Staat op strafrechtelijk gebied;

–      die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht.”

2.      API-richtlijn

4        De overwegingen 1, 7, 9 en 12 van de API-richtlijn luiden:

„(1)      Voor een doeltreffende bestrijding van illegale immigratie en betere grenscontroles is het van essentieel belang dat alle lidstaten een regeling invoeren waarbij de verplichtingen worden vastgesteld die gelden voor luchtvervoerders die passagiers naar het grondgebied van de lidstaten vervoeren. Om die doelstelling effectiever te verwezenlijken, moeten tevens de geldboeten die in de lidstaten zijn gesteld op niet-nakoming van de verplichtingen door vervoerders, zoveel mogelijk worden geharmoniseerd, waarbij rekening moet worden gehouden met de verschillen in de rechtsstelsels en de juridische praktijk van de lidstaten.

[…]

(7)      De krachtens deze richtlijn aan vervoerders op te leggen verplichtingen vormen een aanvulling op die welke zijn vastgesteld op grond van artikel 26 van de in 1990 te Schengen gesloten Overeenkomst ter uitvoering van het Akkoord van Schengen van 14 juni 1985, zoals aangevuld bij richtlijn 2001/51/EG van de Raad [van 28 juni 2001 tot aanvulling van het bepaalde in artikel 26 van de Overeenkomst ter uitvoering van het Akkoord van Schengen van 14 juni 1985 (PB 2001, L 187, blz. 45)]: de twee soorten verplichtingen dienen hetzelfde doel, namelijk beheersing van de migratiestromen en bestrijding van de illegale immigratie.

[…]

(9)      Voor een doeltreffender bestrijding van illegale immigratie en een effectievere verwezenlijking van die doelstelling is het van essentieel belang dat, zonder afbreuk te doen aan richtlijn [95/46], in een zo vroeg mogelijk stadium rekening wordt gehouden met elke technologische innovatie, met name wat betreft de opneming en het gebruik van biometrische kenmerken in de door de vervoerders te verstrekken informatie.

[…]

(12)      Richtlijn [95/46] is van toepassing op de verwerking van persoonsgegevens door de autoriteiten van de lidstaten. Dit houdt in dat het weliswaar legitiem is om ten behoeve van grenscontroles doorgegeven passagiersgegevens ook te gebruiken als bewijsmateriaal in procedures ter handhaving van de wettelijke en bestuursrechtelijke bepalingen inzake binnenkomst en immigratie en van de daarin vervatte bepalingen over de bescherming van de openbare orde (‚ordre public’) en nationale veiligheid, maar dat iedere verdere verwerking van die gegevens voor andere dan deze doeleinden, ingaat tegen de beginselen in artikel 6, lid 1, onder b), van richtlijn [95/46]. De lidstaten moeten voorzien in een stelsel van sancties in geval van gebruik dat in strijd is met het doel van onderhavige richtlijn.”

5        Artikel 1 van de API-richtlijn heeft als opschrift „Doel” en bepaalt:

„Deze richtlijn heeft tot doel de grenscontroles te verbeteren en de illegale immigratie te bestrijden door erin te voorzien dat de vervoerders de passagiersgegevens vooraf aan de bevoegde nationale autoriteiten verstrekken.”

6        Artikel 2 van deze richtlijn, met als opschrift „Definities”, bepaalt:

„In deze richtlijn wordt verstaan onder:

a)      ‚vervoerder’: een natuurlijke of rechtspersoon die het beroepsmatige vervoer van personen door de lucht verricht;

b)      ‚buitengrenzen’: de buitengrenzen van de lidstaten met derde landen;

c)      ‚grenscontrole’: de controle aan de grenzen welke, onafhankelijk van enige andere aanleiding, uitsluitend op grond van de beoogde grensoverschrijding wordt uitgeoefend;

d)      ‚grensdoorlaatpost’: een door de bevoegde autoriteiten voor grensoverschrijding aangewezen doorlaatpost aan de buitengrenzen;

e)      ‚persoonsgegevens’, ‚verwerking van persoonsgegevens’ en ‚bestand van persoonsgegevens’: de betekenis die eraan wordt gegeven in artikel 2 van richtlijn [95/46].”

7        Artikel 3 van deze richtlijn heeft als opschrift „Verstrekking van gegevens” en bepaalt in de leden 1 en 2:

„1.      De lidstaten nemen de nodige maatregelen om de vervoerders te verplichten aan de autoriteiten die belast zijn met de controle van personen aan de buitengrenzen, vóór het eind van de instapcontroles desgevraagd informatie te verstrekken over de passagiers die zij zullen vervoeren naar een aangewezen grensdoorlaatpost via welke deze personen het grondgebied van een lidstaat binnenkomen.

2.      De bovenbedoelde informatie bevat:

–        het nummer en de aard van het gebruikte reisdocument;

–        de nationaliteit;

–        de volledige naam;

–        de geboortedatum;

–        de grensdoorlaatpost van binnenkomst op het grondgebied van de lidstaten;

–        het vervoermiddel;

–        het tijdstip van vertrek en van aankomst van het vervoermiddel;

–        het totale aantal met dat vervoermiddel vervoerde passagiers;

–        het eerste instappunt.”

8        Artikel 6 van de API-richtlijn, „Verwerking van gegevens”, luidt als volgt:

„1.      De in artikel 3, lid 1, bedoelde persoonsgegevens worden verstrekt aan de autoriteiten die belast zijn met de controle van personen aan de buitengrenzen via welke de passagier het grondgebied van een lidstaat zal binnenkomen, zulks om de uitvoering van deze controle te vergemakkelijken met als doel de illegale immigratie doeltreffender te bestrijden.

De lidstaten zorgen ervoor dat deze gegevens door de vervoerders worden verzameld en langs elektronische weg of, wanneer dat middel niet voorhanden is, op enige andere geschikte wijze, worden verstrekt aan de autoriteiten die belast zijn met de grenscontroles aan de erkende doorlaatpost via welke de passagier het grondgebied van een lidstaat zal binnenkomen. De autoriteiten die belast zijn met de controle van de personen die de buitengrenzen overschrijden, bewaren de gegevens in een tijdelijk bestand.

Nadat de passagiers het grondgebied zijn binnengekomen, vernietigen deze autoriteiten de gegevens binnen 24 uur na de toezending ervan, tenzij deze later nodig zijn voor de uitoefening van de wettelijke taken van de autoriteiten die belast zijn met de controle van personen aan de buitengrenzen, overeenkomstig het nationale recht en de in richtlijn [95/46] vervatte bepalingen inzake gegevensbescherming.

De lidstaten nemen de nodige maatregelen om de vervoerders te verplichten binnen 24 uur na aankomst van het vervoermiddel overeenkomstig artikel 3, lid 1, de in het kader van deze richtlijn door hen verzamelde en aan de grensautoriteiten verstrekte persoonsgegevens te vernietigen.

Overeenkomstig hun nationale recht en de in richtlijn [95/46] vervatte bepalingen inzake gegevensbescherming kunnen de lidstaten de in artikel 3, lid 1, bedoelde persoonsgegevens ook voor wetshandhavingsdoeleinden gebruiken.

2.      De lidstaten nemen de nodige maatregelen om de vervoerders te verplichten aan de passagiers informatie te verstrekken overeenkomstig richtlijn [95/46]. Daaronder valt ook de informatie als bedoeld in artikel 10, onder c), en artikel 11, lid 1, onder c), van richtlijn [95/46].”

3.      Richtlijn 2010/65

9        Richtlijn 2010/65 wordt met ingang van 15 augustus 2025 ingetrokken overeenkomstig artikel 25 van verordening (EU) 2019/1239 van het Europees Parlement en de Raad van 20 juni 2019 tot instelling van een Europees maritiem éénloketsysteem en tot intrekking van richtlijn 2010/65 (PB 2019, L 198, blz. 64).

10      Overweging 2 van deze richtlijn luidt:

„Om het zeevervoer te vergemakkelijken en de administratieve lasten voor de scheepvaartmaatschappijen te verminderen, moeten de meldingsformaliteiten die in de rechtshandelingen van de Unie en de lidstaten worden voorgeschreven, zoveel mogelijk worden vereenvoudigd en geharmoniseerd. […]”

11      Artikel 1 van deze richtlijn, „Voorwerp en toepassingsgebied”, bepaalt in de leden 1 en 2:

„1.      Deze richtlijn heeft ten doel de administratieve procedures die van toepassing zijn op het zeevervoer te vereenvoudigen en te harmoniseren door de algemene invoering van de elektronische overdracht van gegevens en door rationalisering van de meldingsformaliteiten.

2.      Deze richtlijn is van toepassing op de meldingsformaliteiten betreffende het zeevervoer voor schepen die aankomen in en vertrekken uit havens van de lidstaten.”

12      Artikel 8 van deze richtlijn heeft als opschrift „Vertrouwelijkheid” en luidt:

„1.      De lidstaten nemen overeenkomstig de toepasselijke rechtshandelingen van de Unie of het nationale recht de nodige maatregelen om de vertrouwelijkheid van de overeenkomstig deze richtlijn uitgewisselde commerciële en andere vertrouwelijke informatie te waarborgen.

2.      De lidstaten dragen er in het bijzonder zorg voor dat commerciële gegevens die uit hoofde van deze richtlijn worden verzameld worden beschermd. Waar het gaat om persoonsgegevens zien de lidstaten erop toe dat wordt voldaan aan richtlijn [95/46]. De instellingen en organen van de [Europese] Unie zien erop toe dat wordt voldaan aan verordening (EG) nr. 45/2001 [van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB 2001, L 8, blz. 1)].”

4.      AVG

13      Overweging 19 AVG luidt als volgt:

„De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en het vrije verkeer van die gegevens wordt geregeld in een specifieke rechtshandeling van de Unie. Deze verordening mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Persoonsgegevens die door overheidsinstanties in het kader van deze verordening worden verwerkt moeten echter, wanneer ze voor die doeleinden worden gebruikt, vallen onder een meer specifieke rechtshandeling van de Unie, namelijk richtlijn (EU) 2016/680 van het Europees Parlement en de Raad [van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89)]. De lidstaten kunnen bevoegde autoriteiten in de zin van [richtlijn 2016/680] taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebied van deze verordening valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt.

[…]”

14      Artikel 2 van deze verordening heeft als opschrift „Materieel toepassingsgebied” en bepaalt in de leden 1 en 2:

„1.      Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

2.      Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:

a)      in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;

b)      door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen;

[…]

d)      door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.”

15      Artikel 4 van deze verordening, „Definities”, bepaalt:

„Voor de toepassing van deze verordening wordt verstaan onder:

1)      ‚persoonsgegevens’: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon […];

2)      ‚verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

[…]”

16      Artikel 23 AVG, „Beperkingen”, bepaalt:

„1.      De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 voor zover de bepalingen van dat artikel overeenkomen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 20, kan door middel van een Unierechtelijke of lidstaatrechtelijke wetgevingsmaatregel die op de verwerkingsverantwoordelijke of de verwerker van toepassing is worden beperkt, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:

a)      de nationale veiligheid;

b)      landsverdediging;

c)      de openbare veiligheid;

d)      de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

[…]

h)      een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a) tot en met e) en punt g) bedoelde gevallen;

2.      De in lid 1 bedoelde wetgevingsmaatregel bevat met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste:

a)      de doeleinden van de verwerking of van de categorieën van verwerking,

b)      de categorieën van persoonsgegeven,

c)      het toepassingsgebied van de ingevoerde beperkingen,

d)      de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte,

e)      de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken,

f)      de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking,

g)      de risico’s voor de rechten en vrijheden van de betrokkenen, en

h)      het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.”

17      Artikel 94 van die verordening heeft als opschrift „Intrekking van richtlijn [95/46]” en bepaalt:

„1.      Richtlijn [95/46] wordt met ingang van 25 mei 2018 ingetrokken.

2.      Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen naar de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van richtlijn [95/46] is opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte Europees Comité voor gegevensbescherming.”

5.      Richtlijn 2016/680

18      Richtlijn 2016/680 heeft overeenkomstig artikel 59 ervan kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PB 2008, L 350, blz. 60) met ingang van 6 mei 2018 ingetrokken en vervangen.

19      De overwegingen 9 tot en met 11 van richtlijn 2016/680 luiden als volgt:

„(9)      Op die basis worden bij [de AVG] algemene regels vastgesteld om de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens in de Unie te waarborgen.

(10)      In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken.

(11)      Derhalve is het aangewezen dat die gebieden worden behandeld in een richtlijn waarin specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, daarbij rekening houdend met de specifieke aard van die activiteiten. Die bevoegde autoriteiten kunnen niet alleen overheidsinstanties zoals de rechterlijke autoriteiten, de politie of andere rechtshandhavingsautoriteiten omvatten, maar ook ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen voor de doeleinden van deze richtlijn. Wanneer dat orgaan of die entiteit persoonsgegevens verwerkt voor andere doeleinden dan die van deze richtlijn, is [de AVG] van toepassing. [De AVG] is dan ook van toepassing in gevallen waarin een orgaan of entiteit persoonsgegevens verzamelt voor andere doeleinden en die persoonsgegevens verder verwerkt met het oog op nakoming van een wettelijke verplichting waaraan het orgaan of de entiteit is onderworpen. Zo bewaren financiële instellingen met het oog op onderzoek, opsporing of vervolging van strafbare feiten bepaalde persoonsgegevens die door hen worden verwerkt, en verstrekken zij die persoonsgegevens uitsluitend in specifieke gevallen en overeenkomstig het lidstatelijke recht aan de bevoegde nationale autoriteiten. Een orgaan dat of entiteit die namens die autoriteiten persoonsgegevens verwerkt binnen het toepassingsgebied van deze richtlijn, dient gebonden te zijn door een overeenkomst of een andere rechtshandeling en door de ingevolge deze richtlijn op verwerkers toepasselijke bepalingen, terwijl [de AVG] onverminderd van toepassing blijft op de verwerking van persoonsgegevens door de verwerker die buiten het toepassingsgebied van deze richtlijn valt.”

20      Artikel 1 van deze richtlijn, „Onderwerp en doelstellingen”, dat in wezen overeenkomt met artikel 1 van kaderbesluit 2008/977, bepaalt in lid 1:

„Bij deze richtlijn worden de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.”

21      Artikel 3 van deze richtlijn, „Definities”, luidt:

„Voor de toepassing van deze richtlijn wordt verstaan onder:

[…]

7.      ‚bevoegde autoriteit’:

a)      iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of

b)      ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

[…]”

6.      PNR-richtlijn

22      De overwegingen 4 tot en met 12, 15, 19, 20, 22, 25, 27, 28, 33, 36 en 37 van de PNR-richtlijn luiden als volgt:

„(4)      [De API-richtlijn] regelt de verstrekking vooraf van passagiersgegevens (advance passenger information data – API-gegevens) door luchtvaartmaatschappijen aan de bevoegde nationale instanties, ter verbetering van de grenscontroles en ter bestrijding van illegale immigratie.

(5)      Doelstellingen van deze richtlijn zijn onder meer de veiligheid te waarborgen, het leven en de veiligheid van personen te beschermen, en een wettelijk kader te scheppen voor de bescherming van PNR-gegevens bij de verwerking door bevoegde autoriteiten.

(6)      Een doeltreffend gebruik van PNR-gegevens, onder meer door PNR-gegevens te vergelijken met diverse databanken van gezochte personen en voorwerpen, is noodzakelijk om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen en zo de interne veiligheid te bevorderen, databanken om bewijsmateriaal te verzamelen en in voorkomend geval medeplichtigen van criminelen op te sporen en criminele netwerken op te rollen.

(7)      Dankzij de analyse van PNR-gegevens kunnen personen worden geïdentificeerd die, voordat een dergelijke analyse werd verricht, niet van terroristische misdrijven of ernstige criminaliteit verdacht werden, en naar wie de bevoegde instanties nader onderzoek moeten verrichten. Door PNR-gegevens te gebruiken kan het gevaar van terroristische misdrijven en ernstige criminaliteit vanuit een andere invalshoek worden aangepakt dan bij de verwerking van andere categorieën persoonsgegevens het geval is. Om echter ervoor te zorgen dat de verwerking van PNR-gegevens beperkt blijft tot het noodzakelijke, dient de vaststelling en toepassing van beoordelingscriteria te worden beperkt tot terroristische misdrijven en ernstige criminaliteit waarvoor het gebruik van dergelijke criteria relevant is. Bovendien moeten de beoordelingscriteria zo worden opgesteld dat het systeem zo weinig mogelijk onschuldige personen aanduidt.

(8)      Luchtvaartmaatschappijen verzamelen en verwerken PNR-gegevens van hun passagiers reeds voor hun eigen commerciële doeleinden. Deze richtlijn mag niet voorschrijven dat de luchtvaartmaatschappijen ertoe worden verplicht aanvullende gegevens bij passagiers te verzamelen of deze te bewaren, en evenmin dat passagiers ertoe worden verplicht nog meer gegevens aan de luchtvaartmaatschappijen te verstrekken dan thans het geval is.

(9)      Sommige luchtvaartmaatschappijen bewaren de API-gegevens die zij verzamelen als onderdeel van de PNR-gegevens, andere niet. Het gecombineerde gebruik van PNR- en API-gegevens biedt meerwaarde doordat het de lidstaten helpt bij de identiteitscontrole van personen, waardoor uit het oogpunt van rechtshandhaving dat resultaat aan waarde wint, en het risico wordt beperkt dat onschuldige personen het voorwerp uitmaken van controle en onderzoek. Daarom moet er beslist voor worden gezorgd dat luchtvaartmaatschappijen die API-gegevens verzamelen, deze doorgeven, ongeacht of zij API-gegevens bewaren door middel van andere technische middelen dan voor PNR-gegevens.

(10)      Om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen is het van essentieel belang dat alle lidstaten voorschriften vaststellen waarbij luchtvaartmaatschappijen die vluchten van of naar derde landen uitvoeren worden verplicht PNR-gegevens, met inbegrip van API-gegevens, die zij verzamelen, door te geven. De lidstaten moeten ook de mogelijkheid hebben deze verplichting uit te breiden naar luchtvaartmaatschappijen die vluchten binnen de Unie uitvoeren. Deze voorschriften laten [de API-richtlijn] onverlet.

(11)      De verwerking van persoonsgegevens moet evenredig zijn aan de specifieke veiligheidsdoelen die met deze richtlijn worden nagestreefd.

(12)      In deze richtlijn moet het begrip terroristische misdrijven worden gedefinieerd zoals in kaderbesluit 2002/475/JBZ van de Raad [van 13 juni 2002 inzake terrorismebestrijding (PB 2002, L 164, blz. 3)]. De definitie van ernstige criminaliteit dient de categorieën misdrijven die zijn vermeld in bijlage II bij deze richtlijn te omvatten.

[…]

(15)      Een lijst van de PNR-gegevens die door een [aangewezen passagiersinformatie-eenheid (PIE)] worden verkregen, dient zo te worden opgesteld dat wordt tegemoetgekomen aan de legitieme behoeften van de overheid in verband met het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en dat aldus de interne veiligheid van de EU wordt bevorderd, en dient anderzijds de bescherming van de grondrechten, en met name het recht op eerbiediging van de persoonlijke levenssfeer en op bescherming van persoonsgegevens, te waarborgen. Daartoe moeten hoge normen worden toegepast in overeenstemming met het [Handvest], het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (‚Verdrag nr. 108’) en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden[, ondertekend te Rome op 4 november 1950 (EVRM)]. Dergelijke lijst mag niet uitgaan van ras of etnische oorsprong, godsdienstige of levensbeschouwelijke overtuiging, politieke of andere opvattingen, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid. De PNR-gegevens dienen uitsluitend details over de reserveringen en de reisroutes van de passagier te bevatten die de bevoegde instanties in staat stellen te bepalen welke vliegtuigpassagiers een risico voor de interne veiligheid vormen.

[…]

(19)      Iedere lidstaat dient zelf de mogelijke dreigingen op het gebied van terroristische misdrijven en ernstige criminaliteit te beoordelen.

(20)      Gelet op het recht op bescherming van persoonsgegevens en het discriminatieverbod mag een beslissing die voor de betrokkene nadelige rechtsgevolgen of andere ingrijpende gevolgen heeft, niet uitsluitend berusten op automatisch verwerkte PNR-gegevens. Gelet op de artikelen 8 en 21 van het Handvest mag een dergelijke beslissing bovendien geen enkele vorm van discriminatie inhouden, zoals op grond van geslacht, ras, huidskleur, etnische of sociale afkomst, genetische kenmerken, taal, godsdienst of overtuiging, politieke of andere opvattingen, het behoren tot een nationale minderheid, vermogen, geboorte, een handicap, leeftijd of seksuele geaardheid. De [Europese] Commissie moet deze beginselen ook in aanmerking nemen wanneer zij de toepassing van deze richtlijn evalueert.

[…]

(22)      Gelet op de in recente relevante rechtspraak van het Hof van Justitie van de Europese Unie uiteengezette beginselen moet bij de toepassing van deze richtlijn worden gezorgd voor volledige eerbiediging van de grondrechten, het recht op bescherming van de persoonlijke levenssfeer en het evenredigheidsbeginsel. Tevens moet erop worden toegezien dat de maatregelen werkelijk noodzakelijk en proportioneel zijn met het oog op het door de Unie erkende algemeen belang en noodzakelijk zijn om de rechten en vrijheden van anderen bij de bestrijding van terroristische misdrijven en ernstige criminaliteit te beschermen. De toepassing van deze richtlijn moet naar behoren worden gemotiveerd en er moet worden voorzien in de nodige waarborgen om de rechtmatigheid van de opslag, analyse, doorgifte of het gebruik van de PNR-gegevens te garanderen.

[…]

(25)      De bewaartermijn voor PNR-gegevens dient zo lang te zijn als noodzakelijk is voor en evenredig te zijn aan de doelstellingen, namelijk het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Gezien de aard van de gegevens en het gebruik ervan dienen de PNR-gegevens lang genoeg te worden bewaard om er een analyse mee te kunnen uitvoeren en ze bij onderzoek te kunnen gebruiken. Ter voorkoming van onevenredig gebruik dienen de gegevens na de initiële bewaartermijn door afscherming van gegevenselementen te worden gedepersonaliseerd. Om te zorgen voor het hoogste niveau van gegevensbescherming, dient toegang tot de volledige PNR-gegevens, waarmee de betrokkene rechtstreeks kan worden geïdentificeerd, uitsluitend onder zeer strikte en restrictieve voorwaarden te worden toegestaan na die initiële bewaartermijn.

[…]

(27)      Voor de verwerking van PNR-gegevens in elke lidstaat door de PIE en de bevoegde instanties dient een nationaalrechtelijke norm voor persoonsgegevensbescherming te gelden die in overeenstemming is met kaderbesluit [2008/977], en de specifieke gegevensbeschermingsvoorschriften van deze richtlijn. Verwijzingen naar kaderbesluit [2008/977] dienen te worden gelezen als verwijzingen naar de momenteel geldende wetgeving en naar mogelijke toekomstige vervangende wetgeving daarvoor.

(28)      Gelet op het recht op de bescherming van persoonsgegevens, dienen de rechten van de betrokkenen wat betreft de verwerking van hun PNR-gegevens, zoals het recht op toegang, rectificatie en wissen, het recht van beperking, het recht op schadevergoeding en het recht op het aanwenden van rechtsmiddelen, in lijn te zijn met kaderbesluit [2008/977], en met het hoge niveau van bescherming dat geboden wordt door het Handvest en het EVRM.

[…]

(33)      Deze richtlijn laat onverlet dat de lidstaten krachtens hun nationaal recht een systeem kunnen opzetten voor het verzamelen en verwerken van PNR-gegevens van marktdeelnemers die geen luchtvaartmaatschappij zijn, zoals reisbureaus en touroperators die diensten in verband met reizen aanbieden, met inbegrip van het boeken van vluchten, waarvoor zij PNR-gegevens verzamelen en verwerken, of van andere vervoerders dan de in deze richtlijn bepaalde, mits dit nationale recht in overeenstemming is met het recht van de Unie.

[…]

(36)      Deze richtlijn is in overeenstemming met de grondrechten en beginselen uit het Handvest, in het bijzonder het recht op bescherming van persoonsgegevens, het recht op eerbiediging van het privéleven en het recht op non-discriminatie, zoals deze worden beschermd door de artikelen 7, 8 en 21 ervan; zij dient dan ook dienovereenkomstig te worden uitgevoerd. Deze richtlijn is verenigbaar met de beginselen inzake gegevensbescherming en de bepalingen ervan zijn in overeenstemming met kaderbesluit [2008/977]. Om voorts te voldoen aan het evenredigheidsbeginsel voorziet deze richtlijn op bepaalde punten in strengere gegevensbeschermingsregels dan kaderbesluit [2008/977].

(37)      Het toepassingsgebied van deze richtlijn is zo beperkt mogelijk, aangezien zij bepaalt dat de PNR-gegevens in de PIE’s niet langer dan vijf jaar mogen worden bewaard, waarna zij moeten worden gewist; dat gegevens na een initiële termijn van zes maanden door afscherming van gegevenselementen dienen te worden gedepersonaliseerd; en dat het verboden is gevoelige gegevens te verzamelen en gebruiken. Om efficiëntie en een hoog niveau van gegevensbescherming te waarborgen, dienen de lidstaten een onafhankelijke, nationale toezichthoudende autoriteit, alsmede in het bijzonder een functionaris voor gegevensbescherming, te belasten met het adviseren over en het toezicht op de wijze van verwerking van PNR-gegevens. Iedere verwerking van PNR-gegevens dient te worden geregistreerd of gedocumenteerd, zodat de rechtmatigheid ervan kan worden gecontroleerd, interne controle kan worden uitgeoefend en de integriteit van de gegevens en een beveiligde verwerking kunnen worden gewaarborgd. De lidstaten moeten er ook zorg voor dragen dat passagiers duidelijk en nauwkeurig worden geïnformeerd over het verzamelen van PNR-gegevens en over hun rechten.”

23      Artikel 1 van de PNR-richtlijn heeft als opschrift „Onderwerp en toepassingsgebied” en bepaalt:

„1.      Bij deze richtlijn worden voorschriften vastgesteld inzake:

a)      de doorgifte door luchtvaartmaatschappijen van persoonsgegevens van passagiers (Passenger Name Record – PNR) van vluchten naar of vanuit derde landen;

b)      de verwerking van de onder a) bedoelde gegevens, met inbegrip van het verzamelen, gebruiken, bewaren en onderling uitwisselen daarvan door lidstaten.

2.      Overeenkomstig deze richtlijn verzamelde PNR-gegevens mogen uitsluitend worden verwerkt om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen overeenkomstig artikel 6, lid 2, onder a), b) en c).”

24      Artikel 2 van deze richtlijn, met als opschrift „Toepassing van deze richtlijn op vluchten binnen de EU”, luidt als volgt:

„1.      Indien een lidstaat het besluit neemt deze richtlijn toe te passen op vluchten binnen de EU, brengt hij dit schriftelijk ter kennis van de Commissie. Een lidstaat kan een dergelijke kennisgeving te allen tijde doen of intrekken. De Commissie maakt deze kennisgeving en een eventuele intrekking ervan bekend in het Publicatieblad van de Europese Unie.

2.      Wanneer een in lid 1 bedoelde kennisgeving is gedaan, zijn alle bepalingen van deze richtlijn van toepassing op vluchten binnen de EU alsof het om vluchten naar of vanuit derde landen gaat, en op de PNR-gegevens van vluchten binnen de EU alsof het om PNR-gegevens gaat van vluchten naar of vanuit derde landen.

3.      Een lidstaat kan besluiten de bepalingen van deze richtlijn uitsluitend op geselecteerde vluchten binnen de EU toe te passen. De lidstaat duidt daarbij aan welke vluchten hij met het oog op het nastreven van de doelstellingen van deze richtlijn noodzakelijk acht. De lidstaat kan te allen tijde besluiten de geselecteerde vluchten binnen de EU te wijzigen.”

25      Artikel 3 van deze richtlijn heeft als opschrift „Definities” en bepaalt:

„In deze richtlijn wordt verstaan onder:

1.      ‚luchtvaartmaatschappij’, een luchtvervoersonderneming met een geldige exploitatievergunning of een equivalent daarvan voor het luchtvervoer van passagiers;

2.      ‚vlucht naar of vanuit derde landen’, iedere geregelde of niet-geregelde vlucht door een luchtvaartmaatschappij die, volgens plan, vanuit een derde land zal aankomen op het grondgebied van een lidstaat of zal vertrekken vanaf het grondgebied van een lidstaat en volgens plan zal aankomen op het grondgebied van een derde land; in beide gevallen zijn hieronder begrepen de vluchten met tussenlandingen op het grondgebied van lidstaten of derde landen;

3.      ‚vlucht binnen de EU’, iedere geregelde of niet-geregelde vlucht door een luchtvaartmaatschappij die vanaf het grondgebied van een lidstaat volgens plan zal aankomen op het grondgebied van een of meer andere lidstaten, zonder tussenlandingen op het grondgebied van een derde land;

4.      ‚passagier’, iedere persoon, met inbegrip van de transferpassagiers en transitpassagiers en met uitsluiting van de bemanningsleden, die met toestemming van de luchtvaartmaatschappij in een luchtvaartuig wordt vervoerd of zal worden vervoerd, en waarbij die toestemming blijkt uit de vermelding van die persoon op de passagierslijst;

5.      ‚Passenger Name Record’ of ‚PNR’, een bestand met de reisgegevens van iedere passagier, dat informatie bevat die de boekende en de deelnemende luchtvaartmaatschappijen nodig hebben om reserveringen te kunnen verwerken en controleren bij elke reis die door of namens iemand wordt geboekt; dit bestand kan zich bevinden in een reserveringssysteem, een vertrekcontrolesysteem dat wordt gebruikt bij het inchecken van passagiers op vluchten, of een soortgelijk systeem dat dezelfde functies vervult;

6.      ‚reserveringssysteem’, het interne systeem van de luchtvaartmaatschappij, waarin PNR-gegevens worden verzameld voor het verwerken van reserveringen;

7.      ‚push-methode’, de methode waarbij de luchtvaartmaatschappij in bijlage I opgesomde PNR‑gegevens doorgeeft aan de databank van de instantie die om de gegevens verzoekt;

8.      ‚terroristische misdrijven’, de in de artikelen 1 tot en met 4 van kaderbesluit [2002/475] bedoelde, volgens nationaal recht strafbare feiten;

9.      ‚ernstige criminaliteit’, de in bijlage II bedoelde strafbare feiten, waarop in het nationale recht van een lidstaat een vrijheidsbenemende straf of een tot detentie strekkende maatregel met een maximumduur van ten minste drie jaar staat;

10.      ‚depersonaliseren door afscherming van gegevenselementen’, het voor een gebruiker onzichtbaar maken van die gegevenselementen waaruit de identiteit van de betrokkenen rechtstreeks zou kunnen worden afgeleid.”

26      Artikel 4 van de PNR-richtlijn heeft als opschrift „Passagiersinformatie-eenheid” en bepaalt in de leden 1 tot en met 3:

„1.      Elke lidstaat richt een instantie op of wijst een bestaande instantie aan die bevoegd is terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen, of wijst een afdeling van een dergelijke instantie aan, om op te treden als zijn passagiersinformatie-eenheid (‚PIE’).

2.      De PIE heeft tot taak:

a)      de PNR-gegevens van de luchtvaartmaatschappijen te verzamelen, op te slaan en te verwerken, en die gegevens of het resultaat van de verwerking ervan aan de in artikel 7 bedoelde bevoegde instanties door te geven;

b)      zowel de PNR-gegevens als het resultaat van de verwerking ervan met de PIE’s van andere lidstaten en met Europol uit te wisselen, overeenkomstig de artikelen 9 en 10.

3.      Het personeel van een PIE kan uit bevoegde instanties worden gedetacheerd. De lidstaten verschaffen de PIE’s toereikende middelen om hun taken te vervullen.”

27      Artikel 5 van deze richtlijn, „Functionaris voor gegevensbescherming binnen de PIE”, luidt als volgt:

„1.      De PIE benoemt een functionaris voor gegevensbescherming die belast is met het toezicht op de verwerking van PNR-gegevens en met de uitvoering van desbetreffende waarborgen.

2.      De lidstaten bieden de functionarissen voor gegevensbescherming de middelen die zij nodig hebben om de in dit artikel genoemde taken effectief en onafhankelijk uit te voeren.

3.      De lidstaten zorgen ervoor dat een betrokkene het recht heeft zich te wenden tot de functionaris voor gegevensbescherming, die fungeert als enig aanspreekpunt, voor alle aangelegenheden in verband met de verwerking van de PNR-gegevens van die betrokkene.”

28      Artikel 6 van deze richtlijn, „Verwerking van PNR-gegevens”, luidt als volgt:

„1.      De door de luchtvaartmaatschappij doorgegeven PNR-gegevens worden door de PIE van de betrokken lidstaat verzameld overeenkomstig artikel 8. Indien de door de luchtvaartmaatschappij doorgegeven PNR-gegevens andere dan de in bijlage I vermelde PNR-gegevens bevatten, worden zij door de PIE onmiddellijk na ontvangst definitief gewist.

2.      De PIE verwerkt de PNR-gegevens uitsluitend voor de volgende doeleinden:

a)      het beoordelen van de passagiers vóór hun geplande aankomst in of gepland vertrek uit de lidstaat, om te bepalen welke personen moeten worden onderworpen aan een nader onderzoek door de in artikel 7 bedoelde bevoegde instanties, en, in voorkomend geval, door Europol overeenkomstig artikel 10, omdat zij betrokken zouden kunnen zijn bij een terroristisch misdrijf of bij ernstige criminaliteit;

b)      het per geval inwilligen van een op afdoende gronden gebaseerd, gemotiveerd verzoek van de bevoegde instanties om in bepaalde gevallen PNR-gegevens te verstrekken en te verwerken voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit, en de resultaten van deze verwerking aan die instanties of, in voorkomend geval, aan Europol mee te delen; en

c)      het analyseren van PNR-gegevens voor het bijstellen van bestaande of het formuleren van nieuwe criteria die moeten worden gebruikt bij de beoordelingen die worden verricht op grond van lid 3, onder b), om te bepalen welke personen betrokken zouden kunnen zijn bij een terroristisch misdrijf of bij ernstige criminaliteit.

3.      Bij de verrichting van de in lid 2, onder a), bedoelde beoordeling kan de PIE:

a)      de PNR-gegevens vergelijken met databanken die relevant zijn voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, met name databanken in verband met gezochte of gesignaleerde personen of voorwerpen, in overeenstemming met de op zulke databanken van toepassing zijnde Unie-, internationale en nationale voorschriften; of

b)      de PNR-gegevens verwerken overeenkomstig vooraf bepaalde criteria.

4.      Het beoordelen van passagiers vóór hun geplande aankomst in of gepland vertrek uit de lidstaat op grond van lid 3, onder b), volgens vooraf bepaalde criteria wordt op niet-discriminerende wijze verricht. Deze vooraf bepaalde criteria moeten doelgericht, evenredig en specifiek zijn. De lidstaten zorgen ervoor dat deze criteria door de PIE worden vastgesteld en regelmatig worden getoetst, in samenwerking met de in artikel 7 bedoelde bevoegde instanties. Deze criteria mogen onder geen beding gebaseerd zijn op ras, etnische afstamming, religieuze, levensbeschouwelijke of politieke overtuiging, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid van de betrokken.

5.      De lidstaten zorgen ervoor dat elke positieve overeenkomst die voortvloeit uit het automatisch verwerkingsproces van de PNR-gegevens dat wordt uitgevoerd op grond van lid 2, onder a), per geval wordt gecontroleerd op een niet-geautomatiseerde wijze om te bepalen of de in artikel 7 bedoelde bevoegde instantie maatregelen moet treffen overeenkomstig het nationale recht.

6.      De PNR-gegevens van de overeenkomstig lid 2, onder a), aangemerkte personen of het verwerkingsresultaat van die gegevens worden door de PIE van een lidstaat voor nader onderzoek aan de in artikel 7 bedoelde bevoegde instanties van diezelfde lidstaat doorgezonden. Tot die doorgifte kan alleen per geval worden besloten en, in geval van geautomatiseerde verwerking van PNR-gegevens, na een afzonderlijke niet-geautomatiseerde controle.

7.      De lidstaten zorgen ervoor dat de functionaris voor gegevensbescherming toegang heeft tot alle gegevens die door de PIE worden verwerkt. Indien de functionaris voor gegevensbescherming oordeelt dat een verwerking van gegevens niet rechtmatig was, kan hij de zaak naar de nationale toezichthoudende autoriteit verwijzen.

[…]

9.      Het resultaat van de in lid 2, onder a), van dit artikel bedoelde beoordeling laat onverlet het in richtlijn 2004/38/EG van het Europees Parlement en de Raad [van 29 april 2004 betreffende het recht van vrij verkeer en verblijf op het grondgebied van de lidstaten voor de burgers van de Unie en hun familieleden, tot wijziging van verordening (EEG) nr. 1612/68 en tot intrekking van richtlijnen 64/221/EEG, 68/360/EEG, 72/194/EEG, 73/148/EEG, 75/34/EEG, 75/35/EEG, 90/364/EEG, 90/365/EEG en 93/96/EEG (PB 2004, L 158, blz. 77)] neergelegde recht van personen die het Unierecht van vrij verkeer genieten, om het grondgebied van de betrokken lidstaat te betreden. Bovendien moeten de gevolgen van die beoordeling, indien verricht met betrekking tot vluchten binnen de EU tussen lidstaten waarop verordening (EG) nr. 562/2006 van het Europees Parlement en de Raad [van 15 maart 2006 tot vaststelling van een communautaire code betreffende de overschrijding van de grenzen door personen (Schengengrenscode) (PB 2006, L 105, blz. 1)] van toepassing is, in overeenstemming zijn met die verordening.”

29      Artikel 7 van de PNR-richtlijn, „Bevoegde instanties”, bepaalt:

„1.      Elke lidstaat stelt een lijst op van de instanties die bevoegd zijn de PIE om PNR-gegevens of het verwerkingsresultaat van die gegevens te verzoeken of PNR-gegevens of het verwerkingsresultaat van die gegevens te ontvangen, teneinde deze informatie nader te onderzoeken of de nodige maatregelen te treffen voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit.

2.      De in lid 1 bedoelde instanties zijn instanties die bevoegd zijn om terroristische misdrijven of ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen.

[…]

4.      De PNR-gegevens en het verwerkingsresultaat van die gegevens die van de PIE zijn ontvangen, mogen door de bevoegde instanties van de lidstaten uitsluitend met als specifieke doelstellingen het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit verder worden verwerkt.

5.      Lid 4 laat, indien in het kader van handhavingsmaatregelen die naar aanleiding van de verwerking worden getroffen, andere strafbare feiten of aanwijzingen daarvoor aan het licht komen, de nationale justitiële en rechtshandhavingsbevoegdheden onverlet.

6.      De bevoegde instanties nemen geen besluiten, uitsluitend op grond van de geautomatiseerde verwerking van de PNR-gegevens, die voor de betrokkene nadelige juridische of andere ingrijpende gevolgen hebben. Deze besluiten mogen niet gebaseerd zijn op de raciale of etnische afkomst, de godsdienstige of levensbeschouwelijke overtuiging, de politieke opvattingen, het lidmaatschap van een vakvereniging, de gezondheid, het seksleven of de seksuele geaardheid van de betrokkene.”

30      Artikel 8 van deze richtlijn, met als opschrift „Verplichtingen van luchtvaartmaatschappijen betreffende de doorgifte van gegevens”, bepaalt in de leden 1 tot en met 3:

„1.      De lidstaten treffen de nodige maatregelen om ervoor te zorgen dat luchtvaartmaatschappijen, door middel van de ‚push’-methode, de in bijlage I vermelde PNR-gegevens, voor zover zij deze gegevens in het kader van hun normale bedrijfsvoering reeds hebben verzameld, versturen naar de databank van de PIE van de lidstaat waar de vlucht zal aankomen en/of vertrekken. Bij een internationale vlucht die een code-sharingvlucht van twee of meer luchtvaartmaatschappijen is, rust de verplichting om de PNR-gegevens van alle passagiers door te geven op de maatschappij die de vlucht uitvoert. Omvat een vlucht naar of vanuit derde landen een of meer tussenlandingen op luchthavens van de lidstaten, dan geven de luchtvaartmaatschappijen de PNR-gegevens van alle passagiers door aan de PIE’s van de betrokken lidstaten. Dit geldt eveneens in het geval van een vlucht binnen de EU met een of meer tussenlandingen op luchthavens van verschillende lidstaten, maar dan uitsluitend met betrekking tot lidstaten die PNR-gegevens van vluchten binnen de EU verzamelen.

2.      In het geval dat de luchtvaartmaatschappijen [API-gegevens] in de zin van punt 18 van bijlage I hebben verzameld, maar deze gegevens niet bewaren door middel van dezelfde technische middelen als voor andere PNR-gegevens, nemen de lidstaten de nodige maatregelen om ervoor te zorgen dat de luchtvaartmaatschappijen deze gegevens tevens doorgeven, door middel van de ‚push’-methode, aan de PIE van de in lid 1 bedoelde lidstaten. In geval van een dergelijke doorgifte zijn alle bepalingen van deze richtlijn op die API-gegevens van toepassing.

3.      De PNR-gegevens worden door de luchtvaartmaatschappijen langs elektronische weg verstrekt, waarbij zij gebruikmaken van de gemeenschappelijke protocollen en de ondersteunde dataformaten die volgens de onderzoeksprocedure bedoeld in artikel 17, lid 2, worden vastgesteld, of, in geval van technische storing, van andere passende middelen die een passend niveau van gegevensbeveiliging garanderen:

a)      24 tot 48 uur vóór de geplande vertrektijd van de vlucht; en

b)      onmiddellijk na de beëindiging van het inchecken, dat wil zeggen wanneer de passagiers aan boord zijn gegaan van het vliegtuig dat klaar staat voor vertrek en er geen passagiers meer aan of van boord kunnen gaan.”

31      Artikel 12 van deze richtlijn, „Bewaartermijn van de gegevens en anonimisering”, luidt:

„1.      De lidstaten zorgen ervoor dat de door de luchtvaartmaatschappijen aan de PIE verstrekte PNR-gegevens bij die PIE in een databank worden bewaard gedurende een termijn van vijf jaar nadat de gegevens zijn doorgegeven aan de PIE van de lidstaat waar de vlucht aankomt of vertrekt.

2.      Wanneer een termijn van zes maanden is verstreken nadat de PNR-gegevens overeenkomstig lid 1 zijn doorgegeven, worden de PNR-gegevens gedepersonaliseerd door afscherming van de volgende gegevenselementen waaruit de identiteit van de passagier op wie de PNR-gegevens betrekking hebben, rechtstreeks zou kunnen worden afgeleid:

a)      naam/namen, waaronder de namen van andere passagiers in het PNR en het aantal reizigers in het PNR dat samen reist;

b)      adres en contactgegevens;

c)      alle betalingsinformatie, met inbegrip van het factuuradres, voor zover daarin informatie is vervat waaruit de identiteit van de passagier op wie het PNR betrekking heeft of van andere personen rechtstreeks zou kunnen worden afgeleid;

d)      informatie betreffende reizigers die gebruikmaken van een loyaliteitsprogramma voor frequent reizen;

e)      algemene opmerkingen, voor zover deze informatie bevatten waaruit rechtstreeks de identiteit zou kunnen worden afgeleid van de passagier op wie het PNR betrekking heeft; en

f)      verzamelde API-gegevens.

3.      Wanneer de in lid 2 bedoelde termijn van zes maanden is verstreken, wordt mededeling van de volledige PNR-gegevens uitsluitend toegestaan als:

a)      er redelijkerwijze wordt aangenomen dat zulks noodzakelijk is voor de in artikel 6, lid 2, onder b), bedoelde doeleinden en

b)      [dit is] goedgekeurd door:

i)      een gerechtelijke instantie, of

ii)      een andere nationale instantie die volgens het nationale recht bevoegd is om na te gaan of aan de voorwaarden voor mededeling is voldaan, onder voorbehoud van kennisgeving aan, en controle achteraf door, de functionaris voor gegevensbescherming van de PIE.

4.      De lidstaten zorgen ervoor dat de PNR-gegevens na het verstrijken van de in lid 1 bedoelde termijn definitief worden gewist. Deze verplichting geldt niet indien bepaalde PNR-gegevens zijn doorgegeven aan een bevoegde instantie en worden gebruikt in het kader van een specifieke zaak met het oog op het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit; in dat geval beheerst het nationale recht het bewaren van de gegevens door de bevoegde instantie.

5.      De PIE bewaart het resultaat van de in artikel 6, lid 2, onder a), bedoelde verwerking niet langer dan noodzakelijk is om een overeenstemming te kunnen melden aan de bevoegde instanties en, overeenkomstig artikel 9, lid 1, aan de PIE’s van andere lidstaten. Indien het resultaat van geautomatiseerde verwerking na een afzonderlijke niet-geautomatiseerde controle als bedoeld in artikel 6, lid 5, negatief blijkt te zijn, kan dit niettemin worden opgeslagen om ‚valse’ overeenkomsten in de toekomst te voorkomen, voor zover de onderliggende gegevens niet op grond van lid 4 van dit artikel worden gewist.”

32      Artikel 13 van de PNR-richtlijn, met als opschrift „Bescherming van persoonsgegevens”, bepaalt in de leden 1 tot en met 5:

„1.      Iedere lidstaat zorgt ervoor dat iedere passagier ten aanzien van elke verwerking van persoonsgegevens krachtens deze richtlijn hetzelfde recht heeft inzake bescherming van [zijn] persoonsgegevens, alsook het recht op toegang, rectificatie en wissen, het recht van beperking, het recht op schadevergoeding en het recht op het aanwenden van rechtsmiddelen, als zijn vastgelegd in nationaal recht en Unierecht en in de bepalingen ter uitvoering van de artikelen 17, 18, 19 en 20 van kaderbesluit [2008/977]. Deze artikelen zijn derhalve van toepassing.

2.      Iedere lidstaat zorgt ervoor dat de bepalingen die ter uitvoering van de artikelen 21 en 22 van kaderbesluit [2008/977] betreffende de vertrouwelijkheid van de verwerking en de beveiliging van gegevens in het nationale recht zijn vastgesteld, ook van toepassing zijn op elke verwerking van persoonsgegevens krachtens deze richtlijn.

3.      Deze richtlijn doet geen afbreuk aan de toepasselijkheid van richtlijn [95/46] op de verwerking van persoonsgegevens door luchtvaartmaatschappijen, en met name hun verplichtingen om passende technische en organisatorische maatregelen te treffen met het oog op de bescherming van de veiligheid en vertrouwelijkheid van persoonsgegevens.

4.      De lidstaten verbieden dat uit de verwerking van PNR-gegevens ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, vakbondslidmaatschap, gezondheid of seksuele geaardheid van de betrokkene blijkt. Indien de PIE PNR-gegevens ontvangt waaruit dergelijke informatie blijkt, worden deze onmiddellijk gewist.

5.      De lidstaten zorgen ervoor dat de PIE documentatie bijhoudt inzake alle verwerkingssystemen en -procedures die onder haar verantwoordelijkheid vallen. Deze documentatie omvat ten minste:

a)      de naam en contactgegevens van de organisatie en het personeel van de PIE belast met de verwerking van PNR-gegevens en de verschillende niveaus van toegangsbevoegdheid;

b)      de verzoeken van bevoegde instanties en PIE’s van andere lidstaten;

c)      alle verzoeken om PNR-gegevens van en doorgiften van PNR-gegevens aan een derde land.

De PIE stelt op verzoek alle documentatie ter beschikking aan de nationale toezichthoudende autoriteit.”

33      Artikel 15 van deze richtlijn, „Nationale toezichthoudende autoriteit”, luidt:

„1.      Elke lidstaat bepaalt dat de in artikel 25 van kaderbesluit [2008/977] bedoelde nationale toezichthoudende autoriteit ook is belast met advisering en toezicht met betrekking tot de toepassing op zijn grondgebied van de krachtens deze richtlijn door de lidstaten vastgestelde bepalingen. Artikel 25 van kaderbesluit [2008/977] is van toepassing.

2.      Deze nationale toezichthoudende autoriteiten verrichten activiteiten uit hoofde van lid 1 met het oog op de bescherming van de grondrechten in verband met de verwerking van persoonsgegevens.

3.      Elke nationale toezichthoudende autoriteit:

a)      behandelt klachten die door betrokkenen zijn ingediend, onderzoekt de zaak en informeert hen binnen een redelijke termijn over de voortgang en het resultaat van de behandeling van hun klachten;

b)      controleert de rechtmatigheid van de gegevensverwerking, verricht onderzoek, inspecties en controles in het kader van toezicht overeenkomstig nationaal recht, hetzij op eigen initiatief, hetzij op basis van een klacht als bedoeld onder a).

4.      Elke nationale toezichthoudende autoriteit adviseert op verzoek elke betrokkene over de uitoefening van zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde bepalingen.”

34      Artikel 19 van deze richtlijn heeft als opschrift „Evaluatie” en bepaalt:

„1.      Op basis van de door de lidstaten verstrekte informatie, waaronder de in artikel 20, lid 2, bedoelde statistische gegevens, evalueert de Commissie uiterlijk op 25 mei 2020 alle elementen van deze richtlijn en dient zij bij het Europees Parlement en bij de Raad [van de Europese Unie] een verslag in en licht zij dit toe.

2.      Bij deze evaluatie besteedt de Commissie bijzondere aandacht aan:

a)      de naleving van de geldende normen voor de bescherming van persoonsgegevens,

b)      de noodzakelijkheid en evenredigheid van het verzamelen en het verwerken van PNR-gegevens voor elk van de in deze richtlijn genoemde doelen,

c)      de lengte van de bewaartermijn,

d)      de doeltreffendheid van de gegevensuitwisseling tussen de lidstaten, en

e)      de kwaliteit van de beoordelingen, onder meer met betrekking tot de krachtens artikel 20 verzamelde statistische gegevens.

3.      Het in lid 1 bedoelde verslag bevat ook een evaluatie van de noodzakelijkheid, evenredigheid en doeltreffendheid van het in het toepassingsgebied van deze richtlijn opnemen van het verplicht verzamelen en doorgeven van PNR-gegevens inzake alle of een aantal uitgekozen vluchten binnen de EU. De Commissie houdt rekening met de ervaring die in de lidstaten is opgedaan, en met name in de lidstaten die deze richtlijn toepassen op vluchten binnen de EU overeenkomstig artikel 2. In het verslag wordt ook aandacht besteed aan de noodzaak om marktdeelnemers die geen luchtvaartmaatschappij zijn, zoals reisbureaus en touroperators die diensten in verband met reizen aanbieden, met inbegrip van het boeken van vluchten, in het toepassingsgebied van deze richtlijn op te nemen.

4.      De Commissie stelt, indien nodig in het licht van de op grond van dit artikel gevoerde evaluatie, een wetgevingsvoorstel op voor het Europees Parlement en voor de Raad met het oog op de wijziging van deze richtlijn.”

35      Artikel 21 van deze richtlijn, „Verhouding tot andere instrumenten”, bepaalt in lid 2:

„Deze richtlijn doet geen afbreuk aan de toepasselijkheid van richtlijn [95/46] op de verwerking van persoonsgegevens door luchtvaartmaatschappijen.”

36      Bijlage I bij de PNR-richtlijn heeft als opschrift „PNR-gegevens verzameld door luchtvaartmaatschappijen” en luidt als volgt:

„1.      PNR-bestandslocatie

2.      Datum van reservering/afgifte van het biljet

3.      Geplande reisdatum (-data)

4.      Naam/namen

5.      Adres en contactgegevens (telefoonnummer, e-mailadres)

6.      Alle betalingsinformatie, met inbegrip van het factuuradres

7.      Volledige reisroute voor dit specifieke PNR

8.      Informatie betreffende reizigers die gebruikmaken van een loyaliteitsprogramma voor frequent reizen

9.      Reisbureau/reisagent

10.      Reisstatus van de passagier, met inbegrip van bevestigingen, check-in-status en ‚no-show’ of ‚go-show’-informatie

11.      Opgesplitste/opgedeelde PNR-informatie

12.      Algemene opmerkingen (met inbegrip van alle beschikbare informatie over niet-begeleide minderjarigen jonger dan 18 jaar, zoals naam en geslacht van de minderjarige, leeftijd, talen die de minderjarige spreekt, naam en contactgegevens van de persoon die de minderjarige begeleidt naar het vertrek en de aard van de relatie van deze persoon met de minderjarige, naam en contactgegevens van de persoon die de minderjarige afhaalt bij aankomst en de aard van de relatie van deze persoon met de minderjarige, functionaris voor vertrek en aankomst)

13.      Informatie uit de biljetuitgifte (‚ticketing field’-informatie), waaronder het biljetnummer, de uitgiftedatum van het reisbiljet, biljetten voor enkele reizen en geautomatiseerde prijsnotering van reisbiljetten

14.      Zitplaatsinformatie, waaronder het zitplaatsnummer

15.      Informatie over gemeenschappelijke vluchtnummers

16.      Alle bagage-informatie

17.      Aantal en namen van de andere reizigers in het PNR

18.      Alle verzamelde API-gegevens (Advance Passenger Information) (onder meer soort, nummer, land van afgifte en geldigheidsdatum van een identiteitsdocument, nationaliteit, familienaam, voornaam, geslacht, geboortedatum, luchtvaartmaatschappij, vluchtnummer, datum van vertrek, datum van aankomst, luchthaven van vertrek, luchthaven van aankomst, tijdstip van vertrek, tijdstip van aankomst)

19.      Alle vroegere wijzigingen in de onder de punten 1 tot en met 18 genoemde PNR-gegevens.”

37      Bijlage II bij deze richtlijn, „Lijst van de in artikel 3, punt 9, bedoelde strafbare feiten”, luidt als volgt:

„1.      deelneming aan een criminele organisatie,

2.      mensenhandel,

3.      seksuele uitbuiting van kinderen en kinderpornografie,

4.      illegale handel in verdovende middelen en psychotrope stoffen,

5.      illegale handel in wapens, munitie en explosieven,

6.      corruptie,

7.      fraude, met inbegrip van fraude ten nadele van de financiële belangen van de Unie,

8.      witwassen van opbrengsten van criminaliteit en valsemunterij, met inbegrip van namaak van de euro,

9.      computercriminaliteit/cybercriminaliteit,

10.      milieumisdrijven, met inbegrip van de illegale handel in bedreigde diersoorten en de illegale handel in bedreigde planten- en boomsoorten,

11.      hulp bij illegale binnenkomst en illegaal verblijf,

12.      moord, zware mishandeling,

13.      illegale handel in menselijke organen en weefsels,

14.      ontvoering, wederrechtelijke vrijheidsberoving en gijzeling,

15.      georganiseerde en gewapende diefstal,

16.      illegale handel in cultuurgoederen, waaronder antiquiteiten en kunstvoorwerpen,

17.      namaak van producten en productpiraterij,

18.      vervalsing van administratieve documenten en handel in valse documenten,

19.      illegale handel in hormonale stoffen en andere groeibevorderaars,

20.      illegale handel in nucleaire of radioactieve stoffen,

21.      verkrachting,

22.      misdrijven die onder de rechtsmacht van het Internationaal Strafhof vallen,

23.      kaping van vliegtuigen/schepen,

24.      sabotage,

25.      handel in gestolen voertuigen,

26.      industriële spionage.”

7.      Kaderbesluit 2002/475

38      Artikel 1 van kaderbesluit 2002/475 definieerde het begrip „terroristisch misdrijf” aan de hand van een reeks in de punten a) tot en met i) van dit artikel opgesomde opzettelijke gedragingen die worden gepleegd om „een bevolking ernstig vrees aan te jagen”, „de overheid of een internationale organisatie op onrechtmatige wijze te dwingen tot het verrichten of het zich onthouden van een handeling” of „de politieke, constitutionele, economische of sociale basisstructuren van een land of een internationale organisatie ernstig te ontwrichten of te vernietigen”. In de artikelen 2 en 3 van dit kaderbesluit werden de begrippen „strafbare feiten met betrekking tot een terroristische groep” respectievelijk „strafbare feiten in verband met terroristische activiteiten” gedefinieerd. Artikel 4 had betrekking op de strafbaarstelling van uitlokking van, medeplichtigheid aan en poging tot het plegen van deze strafbare feiten.

39      Dit kaderbesluit is ingetrokken bij richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van kaderbesluit 2002/475 en tot wijziging van besluit 2005/671/JBZ van de Raad (PB 2017, L 88, blz. 6), waarvan de artikelen 3 tot en met 14 vergelijkbare definities bevatten.

B.      Belgisch recht

1.      Grondwet

40      Artikel 22 van de Grondwet bepaalt:

„Ieder heeft recht op eerbiediging van zijn privé-leven en zijn gezinsleven, behoudens in de gevallen en onder de voorwaarden door de wet bepaald.

De wet, het decreet of de in artikel 134 bedoelde regel waarborgen de bescherming van dat recht.”

2.      Wet van 25 december 2016

41      Artikel 2 van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens (Belgisch Staatsblad,  25 januari 2017, blz. 12905; hierna: „wet van 25 december 2016”) luidt als volgt:

„Deze wet en de koninklijke besluiten die in uitvoering van deze wet zullen genomen worden, zetten de [API-richtlijn] en de [PNR-richtlijn] volledig om. Deze wet, alsook het daaropvolgend koninklijk besluit betreffende de maritieme sector, zetten gedeeltelijk richtlijn [2010/65] om.”

42      Artikel 3 van deze wet luidt:

„§ l.      Deze wet bepaalt de verplichtingen van de vervoerders en de reisoperatoren inzake de doorgifte van gegevens van passagiers van, naar en op doorreis over het nationaal grondgebied.

§ 2.      De Koning bepaalt bij een in Ministerraad overlegd besluit, per vervoerssector en voor de reisoperatoren, de passagiersgegevens die moeten worden doorgestuurd en de nadere regels voor het doorsturen, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.”

43      Artikel 4 van deze wet bepaalt:

„Voor de toepassing van deze wet en de uitvoeringsbesluiten ervan wordt verstaan onder:

[…]

8°      ‚de bevoegde diensten’: de diensten bedoeld in artikel 14, § 1, 2°;

9°      ‚PNR’: het bestand met de reisgegevens van iedere passagier, dat de in artikel 9 bedoelde informatie bevat, die de boekende en de deelnemende vervoerders en reisoperatoren nodig hebben om reserveringen te kunnen verwerken en controleren bij elke reis die door of namens iemand wordt geboekt; dit bestand kan zich bevinden in een reserveringssysteem, een vertrekcontrolesysteem (voor de controle van vertrekkende passagiers) of een soortgelijk systeem dat dezelfde functies vervult;

10°      ‚passagier’: iedere persoon, met inbegrip van de transferpassagiers en transitpassagiers en met uitsluiting van de bemanningsleden, die wordt vervoerd of moet worden vervoerd door een vervoerder, met de toestemming van deze laatste, wat zich vertaalt door de inschrijving van deze persoon op de passagierslijst;

[…]”

44      Artikel 8 van de wet van 25 december 2016 bepaalt:

„§ l.      De passagiersgegevens worden verwerkt met het oog op:

1°      het opsporen en vervolgen, met inbegrip van de uitvoering van straffen of vrijheidsbeperkende maatregelen, met betrekking tot misdrijven bedoeld in artikel 90ter, § 2, […] 7°, […] 8°, […] 11°, […] 14°, […] 17°, 18°, 19° en § 3, van het Wetboek van strafvordering;

2°      het opsporen en vervolgen, met inbegrip van de uitvoering van straffen of vrijheidsbeperkende maatregelen, met betrekking tot misdrijven bedoeld in de artikelen 196, voor wat betreft valsheid in authentieke en openbare geschriften, 198, 199, 199bis, 207, 213, 375 en 505 van het Strafwetboek;

[…]

4°      het toezien op activiteiten bedoeld in de artikelen 7, 1° en 3°/1, en 11, § 1, 1° tot 3° en 5°, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst;

5°      het opsporen en vervolgen met betrekking tot de misdrijven bedoeld in artikel 220, § 2, van de algemene wet van 18 juli 1977 inzake douane en accijnzen en artikel 45, derde lid, van de wet van 22 december 2009 betreffende de algemene regeling inzake accijnzen […]

§ 2.      Onder de voorwaarden bepaald in hoofdstuk 11, worden de passagiersgegevens eveneens verwerkt ter verbetering van de controles van personen aan de buitengrenzen en ter bestrijding van illegale immigratie.”

45      Artikel 14, § 1, van deze wet bepaalt:

„De PIE is samengesteld uit:

[…]

2°      uit de volgende bevoegde diensten gedetacheerde leden:

a)      de politiediensten, bedoeld in de wet van 7 december 1998 tot organisatie van een geïntegreerde politiedienst, gestructureerd op twee niveaus;

b)      de Veiligheid van de Staat, bedoeld in de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst;

c)      de Algemene Inlichtingen- en Veiligheidsdienst, bedoeld in de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst;

[…]”

46      Artikel 24 van deze wet is opgenomen in afdeling 1, „De verwerking van passagiersgegevens in het kader van de voorafgaande beoordeling van de passagiers”, van hoofdstuk 10, betreffende gegevensverwerking, en luidt als volgt:

„§ 1.      De passagiersgegevens worden verwerkt met het oog op het uitvoeren van een voorafgaande beoordeling van de passagiers vóór hun geplande aankomst in, vertrek uit of doorreis over het nationaal grondgebied om te bepalen welke personen moeten worden onderworpen aan een nader onderzoek.

§ 2.      In het kader van de doelen beoogd in artikel 8, § 1, 1°, 4° en 5°, of met betrekking tot de bedreigingen vermeld in de artikelen 8, 1°, a), b), c), d), f), g), en 11, § 2, van de wet van 30 november 1998 houdende regeling van de inlichtingen- en veiligheidsdienst, berust de voorafgaande beoordeling van de passagiers op een positieve overeenstemming, voortvloeiende uit een correlatie van de passagiersgegevens met:

1°      de gegevensbanken die door de bevoegde diensten worden beheerd of die voor hen rechtstreeks beschikbaar of toegankelijk zijn in het kader van hun opdrachten of met lijsten van personen die worden opgesteld door de bevoegde diensten in het kader van hun opdrachten.

2°      de door de PIE vooraf bepaalde beoordelingscriteria, bedoeld in artikel 25.

§ 3.      In het kader van de doeleinden beoogd in artikel 8, § 1, 3°, berust de voorafgaande beoordeling van de passagiers op een positieve overeenstemming, voortvloeiende uit een correlatie van de passagiersgegevens met de gegevensbanken bedoeld in § 2, 1°.

§ 4.      De positieve overeenstemming wordt gevalideerd door de PIE binnen de vierentwintig uur na ontvangst van het geautomatiseerd bericht van de positieve overeenstemming.

§ 5.      Vanaf het moment van validatie geeft de bevoegde dienst die aan de basis ligt van de positieve overeenstemming een nuttig gevolg binnen de kortst mogelijke termijn.”

47      Hoofdstuk 11 van de wet van 25 december 2016 heeft als opschrift „De verwerking van de passagiersgegevens ter verbetering van de grenscontroles en ter bestrijding van de illegale immigratie” en bestaat uit de artikelen 28 tot en met 31.

48      Artikel 28 bepaalt:

„§ 1.      Dit hoofdstuk is van toepassing op de verwerking van de passagiersgegevens door de politiediensten belast met de grenscontroles en door de Dienst Vreemdelingenzaken, met het oog op de verbetering van de controles van personen aan de buitengrenzen en met het oog op de bestrijding van de illegale immigratie.

§ 2.      Dit hoofdstuk is van toepassing onverminderd de verplichtingen van de politiediensten belast met de grenscontroles en van de Dienst Vreemdelingenzaken om persoonsgegevens of inlichtingen door te geven krachtens wettelijke of reglementaire bepalingen.”

49      Artikel 29 luidt:

„§ 1.      Met het oog op de in artikel 28, § 1, beoogde doelen worden de passagiersgegevens doorgegeven aan de politiediensten belast met de grenscontroles en aan de Dienst Vreemdelingenzaken, om hen in staat te stellen hun wettelijke opdrachten te vervullen, binnen de in dit artikel bepaalde grenzen.

§ 2.      Enkel de passagiersgegevens bedoeld in artikel 9, § 1, 18°, worden doorgegeven voor de volgende categorieën van passagiers:

1°      de passagiers die van plan zijn om het grondgebied via de buitengrenzen van België te betreden of het grondgebied via de buitengrenzen van België betreden hebben;

2°      de passagiers die van plan zijn om het grondgebied via de buitengrenzen van België te verlaten of het grondgebied via de buitengrenzen van België verlaten hebben;

3°      de passagiers die van plan zijn om via een in België gelegen internationale transitzone te passeren, die zich in een in België gelegen internationale transitzone bevinden of die via een in België gelegen transitzone gepasseerd zijn.

§ 3.      De passagiersgegevens bedoeld in § 2 worden onmiddellijk na hun registratie in de passagiersgegevensbank doorgestuurd naar de politiediensten die belast zijn met de controle aan de buitengrenzen van België. Deze bewaren de gegevens in een tijdelijk bestand en vernietigen ze binnen de vierentwintig uur na doorsturing.

§ 4.      Wanneer de Dienst Vreemdelingenzaken de gegevens nodig heeft voor de vervulling van zijn wettelijke opdrachten, worden de passagiersgegevens bedoeld in § 2 onmiddellijk na hun registratie in de passagiersgegevensbank doorgestuurd. De Dienst Vreemdelingenzaken bewaart deze gegevens in een tijdelijk bestand en vernietigt ze binnen de vierentwintig uur na doorsturing.

Indien, na het verstrijken van deze termijn, de toegang tot de passagiersgegevens bedoeld in § 2 voor de Dienst Vreemdelingenzaken noodzakelijk is in het kader van de uitvoering van zijn wettelijke opdrachten, richt hij hiertoe een afdoende gemotiveerde aanvraag tot de PIE.

[…]”

50      De wet van 25 december 2016 vindt toepassing op luchtvaartmaatschappijen, op vervoerders die internationale reizigersvervoersdiensten verlenen (HST-vervoerders) en reisbemiddelaars die een contract hebben met deze vervoerders (HST-ticketverdelers) alsook op busvervoerders krachtens, respectievelijk, het koninklijk besluit van 18 juli 2017 ter uitvoering van de wet van 25 december 2016 betreffende de verwerking van de passagiersgegevens, houdende de verplichtingen opgelegd aan de luchtvaartmaatschappijen (Belgisch Staatsblad, 28 juli 2017, blz. 75934), het koninklijk besluit van 3 februari 2019 ter uitvoering van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens, houdende de verplichtingen opgelegd aan de HST-vervoerders en de HST-ticketverdelers (Belgisch Staatsblad, 12 februari 2019, blz. 13018) en het koninklijk besluit van 3 februari 2019 ter uitvoering van de wet van 25 december 2016 betreffende de verwerking van passagiersgegevens, houdende de verplichtingen opgelegd aan de busvervoerders (Belgisch Staatsblad, 12 februari 2019, blz. 13023).

II.    Hoofdgeding en prejudiciële vragen

51      Bij verzoekschrift van 24 juli 2017 heeft de Ligue des droits humains bij het Grondwettelijk Hof (België) beroep tot gehele of gedeeltelijke vernietiging van de wet van 25 december 2016 ingesteld.

52      De verwijzende rechter zet uiteen dat deze wet de PNR-richtlijn, de API-richtlijn en een deel van richtlijn 2010/65 in het interne recht omzet. Blijkens de voorbereidende werkzaamheden van deze wet heeft deze tot doel „een wettelijk kader te scheppen om de vervoerders van passagiers in verschillende internationale transportsectoren (luchtvervoer, treinverkeer, internationaal wegvervoer en maritiem transport), alsook reisoperatoren, te verplichten de gegevens van hun passagiers door te sturen naar een gegevensbank, beheerd door de [Federale Overheidsdienst Binnenlandse Zaken (België)]”. De nationale wetgever heeft verduidelijkt dat de doelstellingen van de wet van 25 december 2016 in drie categorieën kunnen worden ondergebracht: 1) het voorkomen, opsporen, onderzoeken en vervolgen van strafbare feiten of het uitvoeren van straffen; 2) de opdrachten van inlichtingen- en veiligheidsdiensten, en 3) de verbetering van de controles aan de buitengrenzen en de strijd tegen illegale immigratie.

53      De Ligue des droits humains voert ter ondersteuning van haar beroep twee middelen aan: schending van artikel 22 van de Grondwet, gelezen in samenhang met artikel 23 AVG, de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest en artikel 8 EVRM, en subsidiair schending van artikel 22 van de Grondwet, gelezen in samenhang met artikel 3, lid 2, VEU en artikel 45 van het Handvest.

54      Met haar eerste middel betoogt de Ligue des droits humains in wezen dat die wet een inmenging in het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens veroorzaakt die in strijd is met artikel 52, lid 1, van het Handvest en in het bijzonder het evenredigheidsbeginsel. De werkingssfeer van die wet is immers te breed, en de te verzamelen gegevens – die gevoelige informatie kunnen onthullen – zijn te ruim gedefinieerd. Ook maakt het begrip „passagier” in die wet een systematische, niet-gerichte automatische verwerking van de gegevens van alle passagiers mogelijk. Voorts is onvoldoende duidelijk bepaald wat de pre-screening-methode is en hoe ze werkt, en met welke databanken de gegevens na doorgifte ervan worden vergeleken. Verder streeft de wet van 25 december 2016 andere doelstellingen na dan de PNR-richtlijn. Tot slot is de vijfjarige termijn die deze wet voor de bewaring van die gegevens voorschrijft, buitenmaats.

55      Met haar tweede middel, dat gericht is tegen artikel 3, § 1, artikel 8, § 2, en de artikelen 28 tot en met 31 van de wet van 25 december 2016, betoogt de Ligue des droits humains dat deze bepalingen het bij de PNR-richtlijn ingevoerde systeem uitbreiden naar vervoer binnen de EU, waardoor indirect interne grenscontroles worden heringevoerd, die in strijd zijn met het vrije verkeer van personen. Gegevens worden immers automatisch verzameld zodra de betrokkenen zich op het Belgische grondgebied bevinden, of dit nu bij aankomst, bij vertrek of bij een tussenstop is.

56      De Ministerraad betwist dit betoog. Hij is met name van mening dat het eerste middel niet-ontvankelijk is voor zover het de AVG betreft, die niet van toepassing is op de wet van 25 december 2016. Bovendien is de gegevensverwerking die deze wet overeenkomstig de PNR-richtlijn voorschrijft, een essentieel instrument om met name terrorisme en zware criminaliteit te bestrijden, en zijn de maatregelen waarin deze wet voorziet evenredig aan de nagestreefde doelstellingen en noodzakelijk om deze te bereiken.

57      Wat het eerste middel betreft, vraagt de verwijzende rechter zich om te beginnen af of de door de AVG geboden bescherming wel geldt voor de gegevensverwerking waarin de wet van 25 december 2016 voorziet, die hoofdzakelijk de PNR-richtlijn omzet. Vervolgens signaleert die rechter onder verwijzing naar de rechtspraak die voortvloeit uit advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017 (EU:C:2017:592), dat de definitie van PNR-gegevens die is opgenomen in artikel 3, punt 5, van deze richtlijn en in bijlage I daarbij, mogelijk onvoldoende duidelijk en nauwkeurig is, aangezien sommige van deze gegevens daarin op niet-uitputtende wijze worden omschreven, en indirect tot gevolg zou kunnen hebben dat gevoelige informatie wordt onthuld. Bovendien zou de definitie van het begrip „passagier” in artikel 3, punt 4, van deze richtlijn kunnen impliceren dat het verzamelen, doorgeven, verwerken en bewaren van PNR-gegevens algemene en ongedifferentieerde verplichtingen vormen die gelden ten aanzien van elke persoon die wordt of moet worden vervoerd en die op de passagierslijst staat, ongeacht of er ernstige redenen zijn om aan te nemen dat de betrokkene een strafbaar feit heeft gepleegd of op het punt staat een strafbaar feit te plegen, of aan een strafbaar feit schuldig is bevonden.

58      Die rechter merkt ook op dat PNR-gegevens volgens de PNR-richtlijn altijd op voorhand moeten worden beoordeeld, en daarbij worden vergeleken met databanken of vooraf bepaalde criteria om overeenstemmingen te vinden. De Adviescommissie inzake Verdrag nr. 108 van de Raad van Europa heeft er in haar advies van 19 augustus 2016, over de gevolgen op het gebied van gegevensbescherming van de verwerking van passagiersgegevens [T‑PD(2016)18rev], echter op gewezen dat van álle passagiers persoonsgegevens worden verwerkt, niet enkel van individuen die ervan verdacht worden bij een strafbaar feit betrokken te zijn of een onmiddellijke dreiging te vormen voor de nationale veiligheid of de openbare orde, en dat PNR-gegevens niet alleen kunnen worden vergeleken (data matching) met databanken maar ook kunnen worden verwerkt via datamining aan de hand van selectietermen of voorspellende algoritmen, om op die manier personen te identificeren die criminele activiteiten zouden kunnen plegen of daarbij betrokken zouden kunnen zijn. Volgens die commissie kan dit soort beoordeling van passagiers vragen oproepen rond voorspelbaarheid, vooral wanneer voorspellende algoritmen worden gebruikt die met dynamische criteria werken die dankzij hun zelflerend vermogen voortdurend kunnen evolueren. De verwijzende rechter merkt in deze context op dat vooraf bepaalde criteria om risicoprofielen te creëren volgens advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017 (EU:C:2017:592) weliswaar specifiek, betrouwbaar en niet-discriminerend moeten zijn, maar dat het technisch onmogelijk lijkt om deze criteria nader te definiëren.

59      Wat de vijfjarige bewaartermijn en de gegevenstoegang betreft (artikel 12 van de PNR-richtlijn), merkt die rechter op dat de Commissie voor de bescherming van de persoonlijke levenssfeer (België) in haar advies uit eigen beweging nr. 01/2010 van 13 januari 2010 betreffende het wetsontwerp houdende instemming met de PNR-Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika het standpunt heeft ingenomen dat wanneer de gegevens lang worden bewaard en massaal worden opgeslagen, het risico op profilering van de betrokkenen toeneemt, net als het risico dat de gegevens worden gebruikt voor andere doelen dan aanvankelijk is overeengekomen. Voorts blijkt uit het advies van de Adviescommissie inzake Verdrag nr. 108 van de Raad van Europa van 19 augustus 2016 dat afgeschermde gegevens het nog steeds mogelijk maken personen te identificeren en dus persoonsgegevens blijven, en dat de bewaring ervan in de tijd zou moeten worden beperkt om een veralgemeend permanent toezicht te voorkomen.

60      In het licht van de rechtspraak die is ontwikkeld in advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017 (EU:C:2017:592), vraagt de verwijzende rechter zich bijgevolg af of het door de PNR-richtlijn ingestelde systeem van verzameling, doorgifte, verwerking en bewaring van PNR-gegevens wel kan worden geacht tot het strikt noodzakelijke te zijn beperkt. Volgens hem moet ook worden uitgemaakt of deze richtlijn zich verzet tegen nationale wetgeving op grond waarvan PNR-gegevens mogen worden verwerkt voor een ander doel dan die welke in deze richtlijn worden genoemd, en of een nationale autoriteit als de bij de wet van 25 december 2016 opgerichte PIE wel kan toestaan dat de volledige PNR-gegevens na anonimisering ervan nog worden meegedeeld als bedoeld in artikel 12 van die richtlijn.

61      Met betrekking tot het tweede middel zet de verwijzende rechter uiteen dat artikel 3, § 1, van deze wet de verplichtingen van de vervoerders en de reisoperatoren inzake de doorgifte van gegevens van passagiers „van, naar en op doorreis over het nationaal grondgebied” bepaalt. Hij voegt daar in verband met de werkingssfeer van deze wet aan toe dat de nationale wetgever heeft gekozen voor een „inclusie intra-EU in de verzameling van gegevens” om „een vollediger beeld te krijgen van de verplaatsingen van passagiers die een potentiële bedreiging vormen voor de intracommunautaire en nationale veiligheid”, een mogelijkheid waarin artikel 2 van de PNR-richtlijn juncto overweging 10 ervan voor vluchten binnen de Unie voorziet. Hij preciseert daarbij dat de Commissie voor de bescherming van de persoonlijke levenssfeer zich in haar advies nr. 55/2015 van 16 december 2015 over het voorontwerp van wet dat heeft geleid tot de wet van 25 december 2016, afvroeg of het Belgische PNR-systeem wel verenigbaar is met het beginsel van het vrije verkeer van personen, voor zover dit systeem ook geldt voor vervoer binnen de Unie.

62      In die omstandigheden heeft het Grondwettelijk Hof de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1)      Dient artikel 23 [AVG], in samenhang gelezen met artikel 2, lid 2, d), van die verordening, in die zin te worden geïnterpreteerd dat het van toepassing is op een nationale wetgeving zoals de [wet van 25 december 2016], die niet enkel de [PNR-richtlijn] omzet, alsook de [API-richtlijn] en [richtlijn 2010/65]?

2)      Is bijlage I van de [PNR-richtlijn] bestaanbaar met de artikelen 7, 8 en 52, lid 1, van het [Handvest], in die zin dat de erin opgesomde gegevens zeer ruim zijn – onder meer de gegevens die worden beoogd in punt 18 van bijlage I van [deze richtlijn], die verder gaan dan de gegevens beoogd in artikel 3, lid 2, van de [API-richtlijn] – en doordat die gegevens, in hun geheel beschouwd, gevoelige gegevens zouden kunnen onthullen, en aldus de grenzen van het ‚strikt noodzakelijke’ zou kunnen overschrijden?

3)      Zijn de punten 12 en 18 van bijlage I bij de [PNR-richtlijn] bestaanbaar met de artikelen 7, 8 en 52, lid 1, van het [Handvest], in zoverre, rekening houdend met de bewoordingen ‚onder meer’ en ‚met inbegrip van’, de erin beoogde gegevens bij wijze van voorbeeld en niet exhaustief worden vermeld, zodat de vereiste van nauwkeurigheid en duidelijkheid van de regels die leiden tot een inmenging in het recht op eerbiediging van het privéleven en in het recht op bescherming van de persoonsgegevens niet in acht zou zijn genomen?

4)      Zijn artikel 3, punt 4, van de [PNR-richtlijn] en bijlage I bij dezelfde richtlijn bestaanbaar met de artikelen 7, 8 en 52, lid 1, van het [Handvest], in zoverre het systeem van het algemeen verzamelen, doorgeven en verwerken van passagiersgegevens dat die bepalingen instellen, iedere persoon beoogt die het desbetreffende vervoersmiddel gebruikt, los van elk objectief element dat het mogelijk maakt ervan uit te gaan dat die persoon een risico voor de openbare veiligheid kan vormen?

5)      Dient artikel 6 van de [PNR-richtlijn], in samenhang gelezen met de artikelen 7, 8 en 52, lid 1, van het [Handvest], aldus te worden uitgelegd dat het zich verzet tegen een nationale wetgeving zoals de bestreden wet, die, als doel van de ‚PNR-gegevensverwerking’, het toezien op door de inlichtingen- en veiligheidsdiensten beoogde activiteiten aanvaardt, waarbij het dat doel aldus opneemt in het voorkomen, het opsporen, het onderzoeken en het vervolgen van terroristische misdrijven en ernstige criminaliteit?

6)      Is artikel 6 van de [PNR-richtlijn] bestaanbaar met de artikelen 7, 8 en 52, lid 1, van het [Handvest], in zoverre de voorafgaande beoordeling die daarin wordt geregeld, door een correlatie met de gegevensbanken en de vooraf bepaalde criteria, stelselmatig en op algemene wijze van toepassing is op de passagiersgegevens, los van elk objectief element dat toelaat ervan uit te gaan dat die passagiers een risico kunnen vormen voor de openbare veiligheid?

7)      Kan het begrip ‚andere bevoegde nationale instantie’ bepaald in artikel 12, lid 3, van de [PNR-richtlijn] zo worden geïnterpreteerd dat het de PIE beoogt die bij de wet van 25 december 2016 is opgericht en die derhalve de toegang tot de ‚PNR-gegevens’, na een termijn van zes maanden, in het kader van de gerichte opzoekingen zou kunnen toestaan?

8)      Dient artikel 12 van de [PNR-richtlijn], in samenhang gelezen met de artikelen 7, 8 en 52, lid 1, van het [Handvest], zo te worden geïnterpreteerd dat het zich verzet tegen een nationale wetgeving zoals de bestreden wet die voorziet in een algemene bewaartermijn van de gegevens van vijf jaar, zonder onderscheid of de betrokken passagiers, in het kader van de voorafgaande beoordeling, al dan niet een risico kunnen vormen voor de openbare veiligheid?

9)      a)      Is de [API-richtlijn] bestaanbaar met artikel 3, lid 2, [VEU] en met artikel 45 van het [Handvest], in zoverre de daarbij ingevoerde verplichtingen van toepassing zijn op de vluchten binnen de Europese Unie?

b)      Dient de [API-richtlijn], in samenhang gelezen met artikel 3, lid 2, [VEU] en met artikel 45 van het [Handvest], zo te worden geïnterpreteerd dat zij zich verzet tegen een nationale wetgeving zoals de bestreden wet die, met het oog op de strijd tegen illegale immigratie en het verbeteren van de grenscontroles, een systeem toestaat voor de verzameling en verwerking van de passagiersgegevens ‚van, naar en op doorreis over het nationaal grondgebied’, hetgeen indirect een herinvoering van de controles aan de binnengrenzen zou kunnen impliceren?

10)      Zou het Grondwettelijk Hof, indien het op grond van de antwoorden op de hiervoor weergegeven prejudiciële vragen, tot de conclusie zou komen dat de bestreden wet, die met name de [PNR-richtlijn] omzet, één of meer van de uit de in die vragen vermelde bepalingen voortvloeiende verplichtingen schendt, de gevolgen van de [wet van 25 december 2016] tijdelijk kunnen handhaven teneinde rechtsonzekerheid te voorkomen en het mogelijk te maken dat de voorheen verzamelde en bewaarde gegevens alsnog kunnen worden gebruikt voor de door de wet beoogde doelstellingen?”

III. Beantwoording van de prejudiciële vragen

A.      Eerste vraag

63      Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 2, lid 2, onder d), en artikel 23 AVG aldus moeten worden uitgelegd dat deze verordening van toepassing is op de verwerking van persoonsgegevens waarin nationale wetgeving die tegelijkertijd de PNR-richtlijn, de API-richtlijn en richtlijn 2010/65 in nationaal recht beoogt om te zetten voorziet, en met name op de doorgifte, de bewaring en de verwerking van PNR-gegevens.

64      Blijkens artikel 2, lid 1, AVG is deze verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen. Het begrip „verwerking” wordt in artikel 4, punt 2, van deze verordening ruim gedefinieerd als onder meer het verzamelen, vastleggen, opslaan, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of wissen van (een geheel van) persoonsgegevens.

65      De Belgische regering betoogt evenwel dat het doorgeven van PNR-gegevens door marktdeelnemers aan de PIE met het oog op het voorkomen en opsporen van strafbare feiten, zoals bedoeld in artikel 1, lid 1, onder a), artikel 1, lid 2, en artikel 8 van de PNR-richtlijn, een „verwerking” van persoonsgegevens vormt in de zin van artikel 4, punt 2, AVG, net als het voorafgaand verzamelen ervan, en volgens artikel 2, lid 2, onder d), van deze verordening buiten de werkingssfeer van deze verordening valt, aangezien de uit het arrest van 30 mei 2006, Parlement/Raad en Commissie, C‑317/04 en C‑318/04, EU:C:2006:346, punten 57‑59), voortvloeiende rechtspraak over artikel 3, lid 2, eerste streepje, van richtlijn 95/46 ook geldt voor deze bepaling van deze verordening.

66      Zoals het Hof reeds heeft geconstateerd, sloot artikel 3, lid 2, eerste streepje, van richtlijn 95/46, die met ingang van 25 mei 2018 is ingetrokken en vervangen door de AVG, „verwerkingen die betrekking hebben op de openbare veiligheid, defensie[ en] de veiligheid van de staat” in het algemeen van haar werkingssfeer uit, zonder onderscheid te maken naar de persoon die de gegevensverwerkingshandeling uitvoerde. Aldus kon verwerking door particuliere marktdeelnemers die het gevolg was van door de overheid opgelegde verplichtingen in voorkomend geval onder die uitzondering vallen, aangezien die volgens haar formulering zag op elke verwerking die betrekking had op de openbare veiligheid, de defensie of de veiligheid van de staat, ongeacht de persoon die de handeling uitvoerde (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 101).

67      Artikel 2, lid 2, onder d), AVG maakt dit onderscheid echter wel. Zoals de advocaat-generaal in de punten 41 en 46 van zijn conclusie heeft opgemerkt, blijkt uit de tekst van deze bepaling immers duidelijk dat aan twee voorwaarden moet zijn voldaan opdat gegevensverwerking onder de daarin genoemde uitzondering valt. De eerste voorwaarde betreft de doeleinden van de verwerking, die moet plaatsvinden met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. De tweede voorwaarde betreft de auteur van deze verwerking, waarbij het moet gaan om een „bevoegde autoriteit” in de zin van die bepaling.

68      Zoals het Hof tevens heeft vastgesteld, blijkt uit artikel 23, lid 1, onder d) en h), AVG dat verwerkingen van persoonsgegevens die voor de in artikel 2, lid 2, onder d), van deze verordening genoemde doeleinden worden verricht door particulieren, binnen de werkingssfeer ervan vallen (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 102).

69      Bijgevolg geldt de rechtspraak die is ontwikkeld in het arrest van 30 mei 2006, Parlement/Raad en Commissie (C‑317/04 en C‑318/04, EU:C:2006:346), waarop de Belgische regering zich beroept, niet voor de uitzondering op de werkingssfeer van de AVG als bedoeld in artikel 2, lid 2, onder d), ervan.

70      Verder dient deze uitzondering, net als de andere in artikel 2, lid 2, AVG genoemde uitzonderingen op de werkingssfeer van deze verordening, strikt te worden uitgelegd.

71      Blijkens overweging 19 van deze verordening is deze uitzondering ingegeven door de omstandigheid dat de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op onder meer de voorkoming en de opsporing van strafbare feiten, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, onder een specifiekere handeling van de Unie valt, te weten richtlijn 2016/680, die is vastgesteld op dezelfde dag als de AVG [arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 69].

72      Zoals de overwegingen 9 tot en met 11 van richtlijn 2016/680 trouwens verduidelijken, zijn in deze richtlijn specifieke regels voor de bescherming van natuurlijke personen in verband met die verwerkingen vastgesteld, daarbij rekening houdend met de specifieke aard van deze activiteiten die onder de justitiële samenwerking in strafzaken en de politiële samenwerking vallen, terwijl in de AVG algemene regels voor de bescherming van die personen zijn vastgesteld die voor die verwerkingen gelden wanneer de specifiekere handeling – richtlijn 2016/680 – niet van toepassing is. Zo staat in overweging 11 van deze richtlijn dat de AVG van toepassing is op de verwerking van persoonsgegevens die door een „bevoegde autoriteit” in de zin van artikel 3, punt 7, van deze richtlijn wordt verricht voor andere doeleinden dan die welke worden genoemd in deze richtlijn [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 70].

73      Wat de eerste van de in punt 67 van het onderhavige arrest genoemde voorwaarden betreft, namelijk de doeleinden van de verwerking van persoonsgegevens in de zin van de PNR-richtlijn, zij eraan herinnerd dat PNR-gegevens volgens artikel 1, lid 2, van deze richtlijn uitsluitend mogen worden verwerkt om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen. Deze doelstellingen vallen onder die welke in artikel 2, lid 2, onder d), AVG en artikel 1, lid 1, van richtlijn 2016/680 worden genoemd, zodat die verwerking onder de uitzondering van artikel 2, lid 2, onder d), van deze verordening en dus binnen de werkingssfeer van deze richtlijn kan vallen.

74      Dit is daarentegen niet het geval voor de verwerking waarin de API-richtlijn en richtlijn 2010/65 voorzien, die andere doeleinden hebben dan die welke in artikel 2, lid 2, onder d), AVG en artikel 1, lid 1, van richtlijn 2016/680 worden genoemd.

75      Zoals uit de overwegingen 1, 7 en 9 en artikel 1 van de API-richtlijn blijkt, beoogt deze immers grenscontroles te verbeteren en illegale immigratie te bestrijden, door te verlangen dat vervoerders vooraf passagiersgegevens verstrekken aan de bevoegde nationale autoriteiten. Verschillende overwegingen en bepalingen van de API-richtlijn maken trouwens duidelijk dat de hierin voorgeschreven gegevensverwerking binnen de werkingssfeer van de AVG valt. Zo luidt het in overweging 12 van deze richtlijn dat „richtlijn [95/46] van toepassing [is] op de verwerking van persoonsgegevens door de autoriteiten van de lidstaten”, en wordt in artikel 6, lid 1, vijfde alinea, ervan verduidelijkt dat de lidstaten de API-gegevens ook kunnen gebruiken voor wetshandhavingsdoeleinden „overeenkomstig […] de in [richtlijn 95/46] vervatte bepalingen inzake gegevensbescherming”, een uitdrukking die ook voorkomt in de derde alinea van deze bepaling. Evenzo staat onder meer in overweging 9 „zonder afbreuk te doen aan [richtlijn 95/46]”. Tot slot heet het in artikel 6, lid 2, van de API-richtlijn dat de vervoerders informatie moeten verstrekken aan de passagiers „overeenkomstig [richtlijn 95/46]”.

76      Richtlijn 2010/65 heeft dan weer tot doel, zoals uit overweging 2 en artikel 1, lid 1, ervan blijkt, de administratieve procedures die van toepassing zijn op het zeevervoer te vereenvoudigen en te harmoniseren door een algemene invoering van de elektronische overdracht van gegevens en door rationalisering van de meldingsformaliteiten. Artikel 8, lid 2, van deze richtlijn bevestigt dat de hierin geregelde gegevensverwerking binnen de werkingssfeer van de AVG valt, aangezien deze bepaling de lidstaten verplicht om er wat persoonsgegevens betreft op toe te zien dat wordt voldaan aan richtlijn 95/46.

77      Bijgevolg valt gegevensverwerking die wordt voorgeschreven in nationale wetgeving die de API-richtlijn en richtlijn 2010/65 in nationaal recht omzet, binnen de werkingssfeer van de AVG. Gegevensverwerking die wordt voorgeschreven in nationale wetgeving die de PNR-richtlijn omzet, valt daarentegen op grond van de uitzondering in artikel 2, lid 2, onder d), AVG buiten de werkingssfeer van deze verordening, mits de tweede in punt 67 van dit arrest aangehaalde voorwaarde is vervuld, namelijk dat de verwerking gebeurt door een bevoegde autoriteit in de zin van laatstgenoemde bepaling.

78      In verband met deze tweede voorwaarde heeft het Hof geoordeeld dat de in artikel 3, punt 7, van richtlijn 2016/680 gegeven definitie van „bevoegde autoriteit” naar analogie behoort te gelden voor artikel 2, lid 2, onder d), AVG [zie in die zin arrest van 22 juni 2021, Latvijas Republikas Saeima (Strafpunten), C‑439/19, EU:C:2021:504, punt 69].

79      Volgens de artikelen 4 en 7 van de PNR-richtlijn moet elke lidstaat een instantie aanwijzen die als PIE bevoegd is om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen, alsook een lijst opstellen van de instanties die de PIE om PNR-gegevens of het verwerkingsresultaat van deze gegevens mogen verzoeken of dergelijke gegevens of het verwerkingsresultaat ervan van de PIE mogen ontvangen. Artikel 7, lid 2, van deze richtlijn verduidelijkt dat ook deze instanties bevoegd moeten zijn om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen.

80      Bijgevolg voldoet de door de PIE en de door deze bevoegde instanties voor deze doeleinden verrichte PNR-gegevensverwerking aan de twee voorwaarden van punt 67 van dit arrest en valt deze verwerking dus niet alleen onder de PNR-richtlijn zelf maar ook onder richtlijn 2016/680, en niet onder de AVG, wat overweging 27 van de PNR-richtlijn overigens bevestigt.

81      Marktdeelnemers, zoals luchtvaartmaatschappijen, worden daarentegen niet door deze richtlijn gemachtigd om openbaar gezag of openbare bevoegdheden uit te oefenen en kunnen dus, ondanks hun juridische verplichting om PNR-gegevens door te geven, niet beschouwd worden als bevoegde autoriteiten in de zin van artikel 3, lid 7, van richtlijn 2016/680 en artikel 2, lid 2, onder d), AVG, zodat het verzamelen van deze gegevens door luchtvaartmaatschappijen en het doorgeven ervan aan de PIE onder deze verordening vallen. Hetzelfde geldt in een situatie als die waarin de wet van 25 december 2016 voorziet, waarin het verzamelen en doorgeven gebeurt door andere vervoerders of door reisoperatoren.

82      Tot slot vraagt de verwijzende rechter zich af wat de mogelijke gevolgen zijn van het feit dat nationale wetgeving tegelijkertijd de PNR-richtlijn, de API-richtlijn en richtlijn 2010/65 beoogt om te zetten, zoals het geval is bij de wet van 25 december 2016. In dit verband zij eraan herinnerd dat, zoals uit de punten 72 en 75 tot en met 77 van dit arrest blijkt, de gegevensverwerking die bij deze twee laatste richtlijnen wordt voorgeschreven, binnen de werkingssfeer van de AVG valt, die algemene regels bepaalt voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

83      Gegevensverwerking die op basis van die wetgeving gebeurt en die onder de API-richtlijn en/of richtlijn 2010/65 valt, is dus onderworpen aan de AVG. Hetzelfde geldt voor gegevensverwerking die op diezelfde basis gebeurt en die, wegens de doelstelling ervan, niet alleen onder de PNR-richtlijn maar ook onder de API-richtlijn en/of richtlijn 2010/65 valt. Wanneer gegevensverwerking die op die basis gebeurt tot slot wegens de doelstelling ervan enkel onder de PNR-richtlijn valt, is de AVG van toepassing voor zover het de verzameling en doorgifte van PNR-gegevens aan de PIE door de luchtvaartmaatschappijen betreft. Gebeurt deze verwerking daarentegen door de PIE of door de bevoegde autoriteiten voor de in artikel 1, lid 2, van de PNR-richtlijn genoemde doeleinden, dan valt die onder het nationale recht en onder richtlijn 2016/680.

84      Gelet op de voorgaande overwegingen dient op de eerste vraag te worden geantwoord dat artikel 2, lid 2, onder d), en artikel 23 AVG aldus moeten worden uitgelegd dat de AVG van toepassing is op de verwerking van persoonsgegevens die wordt voorgeschreven in nationale wetgeving die tegelijkertijd de API-richtlijn, richtlijn 2010/65 en de PNR-richtlijn in nationaal recht beoogt om te zetten, wanneer de verwerking door particuliere marktdeelnemers gebeurt of wanneer zij door overheidsinstanties wordt verricht en enkel of ook onder de API-richtlijn of richtlijn 2010/65 valt. Die verordening is daarentegen niet van toepassing op door dergelijke wetgeving voorgeschreven gegevensverwerking die enkel onder de PNR-richtlijn valt, die de PIE of de bevoegde autoriteiten verrichten voor de doeleinden die worden genoemd in artikel 1, lid 2, van deze richtlijn.

B.      Tweede tot en met vierde en zesde vraag

85      Met de tweede tot en met de vierde en de zesde vraag, die samen moeten worden onderzocht, wenst de verwijzende rechter in essentie van het Hof te vernemen of de PNR-richtlijn geldig is in het licht van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest. Die vragen hebben met name betrekking op:

–        bijlage I bij deze richtlijn en de gegevens die in deze bijlage en meer bepaald in de punten 12 en 18 ervan worden opgesomd, in het licht van de vereisten van duidelijkheid en nauwkeurigheid (tweede en derde vraag);

–        artikel 3, punt 4, van deze richtlijn en bijlage I daarbij, voor zover het systeem van het algemeen verzamelen, doorgeven en verwerken van PNR-gegevens dat deze bepalingen instellen, kan worden toegepast op elke persoon die een vlucht neemt die onder deze richtlijn valt (vierde vraag), en

–        artikel 6 van de PNR-richtlijn, voor zover het voorziet in een voorafgaande beoordeling waarbij de PNR-gegevens worden vergeleken met databanken en/of worden verwerkt aan de hand van vooraf bepaalde criteria, die systematisch en op algemene wijze dient te worden verricht, ongeacht of er objectieve redenen zijn om aan te nemen dat de passagiers in kwestie een risico kunnen vormen voor de openbare veiligheid (zesde vraag).

86      Vooraf zij eraan herinnerd dat een Uniehandeling volgens een algemeen uitleggingsbeginsel zo veel mogelijk aldus moet worden uitgelegd dat geen afbreuk wordt gedaan aan de geldigheid ervan en dat het gehele primaire recht, waaronder met name de bepalingen van het Handvest, in acht wordt genomen. Wanneer een bepaling van afgeleid Unierecht voor meer dan één uitlegging vatbaar is, verdient de uitlegging die ervoor zorgt dat de bepaling in overeenstemming is met het primaire recht dan ook de voorkeur boven de uitlegging die met zich meebrengt dat zij in strijd is met dat recht (arrest van 2 februari 2021, Consob, C‑481/19, EU:C:2021:84, punt 50 en aldaar aangehaalde rechtspraak).

87      Ook is het vaste rechtspraak dat wanneer de bepalingen van een richtlijn de lidstaten een beoordelingsmarge laten om uitvoeringsmaatregelen vast te stellen die aangepast zijn aan de verschillende denkbare situaties, zij bij de tenuitvoerlegging van die maatregelen niet alleen hun nationale recht conform deze richtlijn moeten uitleggen, maar er ook op moeten toezien dat zij zich niet baseren op een uitlegging van deze richtlijn die in conflict zou komen met de door de rechtsorde van de Unie beschermde grondrechten of de andere algemene beginselen die in deze rechtsorde worden erkend [zie in die zin arresten van 15 februari 2016, N., C‑601/15 PPU, EU:C:2016:84, punt 60 en aldaar aangehaalde rechtspraak, en 16 juli 2020, Belgische Staat (Gezinshereniging – Minderjarig kind), C‑133/19, C‑136/19 en C‑137/19, EU:C:2020:577, punt 33 en aldaar aangehaalde rechtspraak].

88      Wat de PNR-richtlijn betreft, moet worden opgemerkt dat met name in de overwegingen 15, 20, 22, 25, 36 en 37 met de verwijzing naar een hoog niveau van gegevensbescherming wordt benadrukt hoeveel belang de Uniewetgever hecht aan de volledige eerbiediging van de in de artikelen 7, 8 en 21 van het Handvest neergelegde grondrechten en van het evenredigheidsbeginsel. Deze richtlijn moet dan ook, zoals staat aangegeven in overweging 36 ervan, „dienovereenkomstig […] worden uitgevoerd”.

89      In het bijzonder wordt in overweging 22 van de PNR-richtlijn benadrukt dat „gelet op de in recente relevante rechtspraak van het [Hof] uiteengezette beginselen[,] […] bij de toepassing van deze richtlijn [moet] worden gezorgd voor volledige eerbiediging van de grondrechten, het recht op bescherming van de persoonlijke levenssfeer en het evenredigheidsbeginsel” en „erop [moet] worden toegezien dat de maatregelen werkelijk noodzakelijk en proportioneel zijn met het oog op het door de Unie erkende algemeen belang en noodzakelijk zijn om de rechten en vrijheden van anderen bij de bestrijding van terroristische misdrijven en ernstige criminaliteit te beschermen”. Deze overweging vermeldt verder dat de toepassing van deze richtlijn „naar behoren [moet] worden gemotiveerd” en dat „er moet worden voorzien in de nodige waarborgen om de rechtmatigheid van de opslag, analyse, doorgifte of het gebruik van de PNR-gegevens te garanderen”.

90      Ook legt artikel 19, lid 2, van de PNR-richtlijn de Commissie de verplichting op om bij de evaluatie van deze richtlijn bijzondere aandacht te besteden aan „de naleving van de geldende normen voor de bescherming van persoonsgegevens”, „de noodzakelijkheid en evenredigheid van het verzamelen en het verwerken van PNR-gegevens voor elk van de in deze richtlijn genoemde doelen” en „de lengte van de bewaartermijn”.

91      Er moet dus worden nagegaan of de PNR-richtlijn, overeenkomstig de vereisten in met name de overwegingen en bepalingen ervan die in de punten 88 tot en met 90 van dit arrest worden genoemd, zo kan worden uitgelegd dat de volledige eerbiediging van de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten en van het in artikel 52, lid 1, ervan neergelegde evenredigheidsbeginsel wordt verzekerd.

1.      Door de PNR-richtlijn veroorzaakte inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten

92      Artikel 7 van het Handvest waarborgt eenieder het recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Artikel 8, lid 1, ervan biedt eenieder uitdrukkelijk het recht op bescherming van zijn persoonsgegevens.

93      Zoals uit artikel 3, punt 5, van de PNR-richtlijn en de opsomming in bijlage I daarbij blijkt, omvatten de PNR-gegevens die in deze richtlijn worden bedoeld, naast de naam van de vliegtuigpassagier(s), onder meer gegevens die nodig zijn voor de reservering, zoals de geplande reisdata en de reisroute, informatie over de reisbiljetten, de groepen van personen die onder hetzelfde boekingsnummer geregistreerd zijn, de contactgegevens van de passagier(s), informatie over de betaalmethode of de facturatie, bagage-informatie en algemene opmerkingen over de passagier(s).

94      Aangezien PNR-gegevens informatie bevatten over geïdentificeerde natuurlijke personen, te weten de betrokken luchtreizigers, raken de verschillende vormen van verwerking die deze gegevens kunnen ondergaan dus aan het door artikel 7 van het Handvest gewaarborgde grondrecht op bescherming van het privéleven [zie in die zin advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punten 121 en 122 en aldaar aangehaalde rechtspraak].

95      De in de PNR-richtlijn bedoelde verwerkingen van PNR-gegevens vallen voorts ook onder artikel 8 van het Handvest doordat zij verwerkingen van persoonsgegevens in de zin van dit artikel vormen, en moeten derhalve noodzakelijkerwijs voldoen aan de in dit artikel gestelde vereisten inzake gegevensbescherming [zie in die zin advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 123 en aldaar aangehaalde rechtspraak].

96      Volgens vaste rechtspraak vormt de mededeling van persoonsgegevens aan een derde, zoals een openbare instantie, een inmenging in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten, ongeacht het latere gebruik van de aldus meegedeelde gegevens. Dit geldt ook voor het bewaren van persoonsgegevens en voor de toegang tot die gegevens met het oog op het gebruik ervan door openbare instanties. In dit verband is het van weinig belang of de gegevens betreffende het privéleven al dan niet gevoelig zijn en of de betrokkenen door die inmenging enig nadeel hebben ondervonden [advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punten 124 en 126 en aldaar aangehaalde rechtspraak].

97      Aldus vormt zowel de doorgifte van de PNR-gegevens door de luchtvaartmaatschappijen aan de PIE van de betrokken lidstaat [artikel 1, lid 1, onder a), juncto artikel 8 van de PNR-richtlijn] als de afbakening van de voorwaarden inzake de bewaring en het gebruik van deze gegevens en de eventuele latere doorgifte ervan aan de bevoegde autoriteiten van deze lidstaat, de PIE’s en de bevoegde autoriteiten van andere lidstaten, Europol of autoriteiten van derde landen – zoals toegestaan door met name de artikelen 6, 7, 9 en 10 tot en met 12 van deze richtlijn – een inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten.

98      Wat de ernst van deze inmenging betreft, zij er ten eerste op gewezen dat de PNR-richtlijn volgens artikel 1, lid 1, onder a), juncto artikel 8 ervan voorziet in een stelselmatige, continue doorgifte aan de PIE’s van de PNR-gegevens van iedereen die een vlucht naar of vanuit een derde land in de zin van artikel 3, punt 2, ervan neemt, dat wil zeggen tussen een derde land en de Unie. Zoals de advocaat-generaal in punt 73 van zijn conclusie heeft opgemerkt, betekent dit dat de PIE’s algemene toegang hebben tot alle meegedeelde PNR-gegevens van alle personen die een vlucht nemen, ongeacht welk gebruik daar later van wordt gemaakt.

99      Ten tweede bepaalt artikel 2 van de PNR-richtlijn in lid 1 dat de lidstaten kunnen beslissen om deze richtlijn toe te passen op vluchten binnen de EU in de zin van artikel 3, punt 3, ervan, en in lid 2 dat in dit geval alle bepalingen van deze richtlijn „van toepassing [zijn] op vluchten binnen de EU alsof het om vluchten naar of vanuit derde landen gaat, en op de PNR-gegevens van vluchten binnen de EU alsof het om PNR-gegevens gaat van vluchten naar of vanuit derde landen”.

100    Ten derde lijken bepaalde van de in bijlage I bij de PNR-richtlijn opgesomde PNR-gegevens – die worden samengevat in punt 93 van dit arrest – op zichzelf beschouwd weliswaar geen nauwkeurige informatie te kunnen verschaffen over het privéleven van de betrokkenen, maar kunnen zij samen beschouwd onder meer een volledige reisroute blootleggen, inzicht geven in reisgewoontes en relaties tussen twee of meer personen, inlichtingen verschaffen over de financiële situatie van luchtreizigers, hun voedingsgewoonten of hun gezondheidstoestand, en zelfs gevoelige gegevens over deze passagiers onthullen [zie in die zin advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 128].

101    Ten vierde is het volgens artikel 6, lid 2, onder a) en b), van de PNR-richtlijn de bedoeling dat de door de luchtvaartmaatschappijen doorgegeven gegevens niet alleen op voorhand worden beoordeeld, vóór de geplande aankomst of het geplande vertrek van de passagiers, maar ook achteraf.

102    Uit artikel 6, lid 2, onder a), en lid 3, van de PNR-richtlijn blijkt dat de PIE’s van de lidstaten de voorafgaande beoordeling systematisch en met geautomatiseerde middelen verrichten, dat wil zeggen continu en ongeacht of er aanwijzingen zijn dat de personen in kwestie mogelijkerwijs betrokken zijn bij terrorisme of ernstige criminaliteit, en dat de PNR‑gegevens daarbij kunnen worden vergeleken met „databanken die relevant zijn” en kunnen worden verwerkt aan de hand van „vooraf bepaalde criteria”.

103    In dit verband zij eraan herinnerd dat het Hof reeds heeft geoordeeld dat de mate waarin de geautomatiseerde verwerking van de PNR-gegevens een inmenging oplevert in de rechten die in de artikelen 7 en 8 zijn verankerd, hoofdzakelijk afhangt van de vooraf vastgestelde modellen en criteria en de databanken waarop dit type van gegevensverwerking is gebaseerd [advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 172].

104    Zoals de advocaat-generaal in punt 78 van zijn conclusie heeft opgemerkt, kunnen met de verwerking die in artikel 6, lid 3, onder a), van de PNR-richtlijn wordt voorgeschreven – het vergelijken van de PNR-gegevens met „databanken die relevant zijn” – aanvullende gegevens over het privéleven van de luchtreizigers worden verkregen en daar zeer precieze conclusies over worden getrokken.

105    Wat de verwerking van PNR-gegevens aan de hand van „vooraf bepaalde criteria” betreft [artikel 6, lid 3, onder b), van de PNR-richtlijn], vereist artikel 6, lid 4, van deze richtlijn dat de beoordeling van passagiers op basis van dergelijke criteria op niet-discriminerende wijze gebeurt en met name zonder dat wordt gekeken naar een reeks in de laatste volzin van dit lid 4 genoemde kenmerken. De gekozen criteria moeten bovendien doelgericht, evenredig en specifiek zijn.

106    Het Hof heeft evenwel reeds geoordeeld dat geautomatiseerde analyses van PNR-gegevens, aangezien zij worden uitgevoerd op basis van niet-geverifieerde persoonsgegevens en gebaseerd zijn op vooraf vastgestelde modellen en criteria, noodzakelijkerwijs een zekere foutenmarge vertonen [zie naar analogie advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 169]. Zoals de advocaat-generaal in punt 78 van zijn conclusie in wezen heeft aangegeven, blijkt met name uit het werkdocument van de Commissie [SWD(2020) 128 final] dat als bijlage bij haar verslag van 24 juli 2020 over de evaluatie van de PNR-richtlijn is gevoegd, dat het aantal positieve overeenkomsten dat geautomatiseerde verwerking als bedoeld in artikel 6, lid 3, onder a) en b), van deze richtlijn oplevert en dat na een afzonderlijke niet-geautomatiseerde controle onjuist blijkt te zijn, vrij aanzienlijk is en in 2018 en 2019 minstens vijf op de zes geïdentificeerde personen bedroeg. Die verwerking draait dus uit op een uitgebreide analyse van de PNR-gegevens van deze personen.

107    Wat betreft de beoordeling achteraf van PNR-gegevens als bedoeld in artikel 6, lid 2, onder b), van de PNR-richtlijn, blijkt uit deze bepaling dat de PIE gedurende de in artikel 12, lid 2, van deze richtlijn genoemde termijn van zes maanden na de doorgifte van die gegevens verplicht is om deze in bepaalde gevallen op verzoek van de bevoegde instanties te verstrekken en te verwerken voor het bestrijden van terroristische misdrijven of ernstige criminaliteit.

108    Zelfs nadat de PNR-gegevens na het verstrijken van die termijn van zes maanden zijn gedepersonaliseerd – door bepaalde elementen ervan af te schermen – kan de PIE overeenkomstig artikel 12, lid 3, van de PNR-richtlijn gehouden zijn de bevoegde instanties op verzoek de volledige PNR-gegevens mee te delen in een vorm die het mogelijk maakt de betrokkene te identificeren, mits er redelijkerwijs kan worden aangenomen dat dit noodzakelijk is voor de in artikel 6, lid 2, onder b), van deze richtlijn genoemde doelstellingen en hiervoor goedkeuring is gegeven door een gerechtelijke instantie of een „andere nationale instantie die […] bevoegd is”.

109    Ten vijfde bepaalt artikel 12, lid 1, van de PNR-richtlijn zonder verdere precisering dat PNR-gegevens in een databank worden bewaard gedurende een termijn van vijf jaar nadat zij zijn doorgegeven aan de PIE van de lidstaat waar de vlucht aankomt of vertrekt. Aangezien de gegevens – ondanks de depersonalisering ervan na de initiële termijn van zes maanden, door afscherming van bepaalde elementen – nog integraal kunnen worden meegedeeld in het in het vorige punt genoemde geval, is het dus mogelijk om gedurende een periode die het Hof in zijn advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017 (EU:C:2017:592, punt 132) erg lang heeft genoemd, te beschikken over informatie over het privéleven van de luchtreizigers.

110    Aangezien er regelmatig vliegtuigreizen worden gemaakt, impliceert een dergelijke bewaartermijn dat voor een zeer groot deel van de Uniebevolking herhaaldelijk PNR-gegevens worden bewaard in het kader van het door de PNR-richtlijn ingestelde systeem, en dus gedurende lange tijd – en zelfs onbepaalde tijd bij personen die meer dan eens in de vijf jaar het vliegtuig nemen – beschikbaar zijn om door de PIE en de bevoegde autoriteiten te worden geanalyseerd bij de beoordelingen vooraf en achteraf.

111    Gelet op een en ander moet worden geoordeeld dat de PNR-richtlijn inmengingen van een zekere ernst in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten met zich brengt, met name voor zover deze richtlijn een systeem van permanente, niet-gerichte en systematische controle beoogt in te voeren waarbij de persoonsgegevens van iedereen die luchtvervoerdiensten gebruikt automatisch worden beoordeeld.

2.      Rechtvaardiging van de door de PNR-richtlijn veroorzaakte inmenging 

112    Er zij aan herinnerd dat de in de artikelen 7 en 8 van het Handvest verankerde grondrechten geen absolute gelding hebben, maar in relatie tot hun sociale functie moeten worden beschouwd [advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 136 en aldaar aangehaalde rechtspraak, en arrest van 6 oktober 2020, Privacy International, C‑623/17, EU:C:2020:790, punt 63 en aldaar aangehaalde rechtspraak].

113    Volgens artikel 52, lid 1, eerste volzin, van het Handvest moeten beperkingen op de uitoefening van de in dit Handvest erkende rechten en vrijheden bij wet worden gesteld en de wezenlijke inhoud van die rechten en vrijheden eerbiedigen. Artikel 52, lid 1, tweede volzin, ervan bepaalt dat, met inachtneming van het evenredigheidsbeginsel, dergelijke beperkingen slechts kunnen worden gesteld indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen. Artikel 8, lid 2, van het Handvest preciseert in dit verband dat persoonsgegevens onder meer „voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet” moeten worden verwerkt.

114    Hieraan moet worden toegevoegd dat het vereiste dat elke beperking op de uitoefening van grondrechten bij wet wordt gesteld, inhoudt dat de rechtsgrond die de inmenging in die rechten toestaat zelf de reikwijdte van de beperking op de uitoefening van het betrokken recht moet bepalen, met dien verstande, ten eerste, dat dit vereiste zich er niet tegen verzet dat de betrokken beperking in voldoende open bewoordingen is geformuleerd om te kunnen worden toegepast op verschillende gevallen en aangepast aan veranderende omstandigheden (zie in die zin arrest van 26 april 2022, Polen/Parlement en Raad, C‑401/19, EU:C:2022:297, punten 64 en 74 en aldaar aangehaalde rechtspraak) en, ten tweede, dat het Hof in voorkomend geval via uitlegging de concrete reikwijdte van de beperking kan verduidelijken aan de hand van de bewoordingen zelf van de betrokken Uniewetgeving alsook de algemene opzet en de doelstellingen van die wetgeving, zoals uitgelegd tegen de achtergrond van de door het Handvest gewaarborgde grondrechten.

115    Wat de inachtneming van het evenredigheidsbeginsel betreft, vereist de bescherming van het grondrecht op eerbiediging van het privéleven op het niveau van de Unie volgens vaste rechtspraak van het Hof dat de uitzonderingen op de bescherming van de persoonsgegevens en de beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven. Bovendien kan een doelstelling van algemeen belang niet worden nagestreefd zonder rekening te houden met het feit dat deze doelstelling moet worden verzoend met de door de maatregel aangetaste grondrechten, zulks via een evenwichtige afweging tussen de doelstelling en de op het spel staande rechten [advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 140, en arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 52 en aldaar aangehaalde rechtspraak].

116    Meer bepaald moet bij de beoordeling of de lidstaten een beperking van de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten kunnen rechtvaardigen, worden bepaald wat de ernst is van de inmenging die een dergelijke beperking meebrengt, en worden nagegaan of het belang van de met die beperking nagestreefde doelstelling van algemeen belang in verhouding staat tot die ernst (zie in die zin arresten van 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punt 55 en aldaar aangehaalde rechtspraak, en 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 53 en aldaar aangehaalde rechtspraak).

117    De betrokken regeling die de inmenging bevat, voldoet slechts aan het evenredigheidsvereiste indien zij duidelijke en nauwkeurige regels over de reikwijdte en de toepassing van de daarin bepaalde maatregelen bevat die minimale eisen opleggen, zodat degenen van wie de gegevens zijn doorgegeven over voldoende garanties beschikken dat hun persoonsgegevens doeltreffend worden beschermd tegen het risico van misbruik. Zij moet in het bijzonder aangeven in welke omstandigheden en onder welke voorwaarden een maatregel die voorziet in de verwerking van dergelijke gegevens kan worden genomen, en aldus waarborgen dat de inmenging tot het strikt noodzakelijke wordt beperkt. De noodzaak om over dergelijke garanties te beschikken is des te groter wanneer de persoonsgegevens geautomatiseerd worden verwerkt. Deze overwegingen gelden inzonderheid wanneer de PNR-gegevens gevoelige informatie over de passagiers kunnen onthullen [advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 141, en arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 132 en aldaar aangehaalde rechtspraak].

118    Een regeling die voorziet in de bewaring van persoonsgegevens moet derhalve steeds beantwoorden aan objectieve criteria die een verband leggen tussen de te bewaren gegevens en het nagestreefde doel [zie in die zin advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 191 en aldaar aangehaalde rechtspraak, en arresten van 3 oktober 2019, A e.a., C‑70/18, EU:C:2019:823, punt 63, en 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 133].

a)      Eerbiediging van het wettigheidsbeginsel en van de wezenlijke inhoud van de betrokken grondrechten 

119    De beperking op de uitoefening van de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten die voortvloeit uit het systeem van de PNR-richtlijn, is ingevoerd bij een wetgevingshandeling van de Unie. Wat betreft de vraag of deze richtlijn, als Uniehandeling die de inmenging in deze rechten toestaat, in overeenstemming met de in punt 114 van dit arrest aangehaalde rechtspraak zelf de reikwijdte van de beperking op de uitoefening van deze rechten bepaalt, moet worden vastgesteld dat deze richtlijn en de bijlagen I en II daarbij een opsomming van de PNR-gegevens bevatten alsook een kader voor de verwerking ervan met onder meer de doelstellingen van en de nadere regels voor die verwerking. Deze vraag valt voor de rest grotendeels samen met de vraag of is voldaan aan het in punt 117 van het onderhavige arrest aangehaalde evenredigheidsvereiste (zie in die zin arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 180), en zal hierna worden onderzocht in de punten 125 e.v.

120    Wat de eerbiediging van de wezenlijke inhoud van de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten betreft, moet worden erkend dat PNR-gegevens in voorkomend geval zeer precieze informatie over het privéleven van een persoon kunnen onthullen. Toch kan niet met de in deze richtlijn bedoelde gegevens alleen een compleet beeld van iemands privéleven worden gegeven, ten eerste omdat deze gegevens slechts bepaalde aspecten van het privéleven betreffen, die met name met vliegtuigreizen te maken hebben, en ten tweede omdat artikel 13, lid 4, van de PNR-richtlijn de verwerking van gevoelige gegevens in de zin van artikel 9, lid 1, AVG uitdrukkelijk verbiedt. Bovendien worden in artikel 1, lid 2, juncto artikel 3, punten 8 en 9, van deze richtlijn en bijlage II daarbij de doeleinden van de verwerking van deze gegevens afgebakend. Ten slotte bevatten de artikelen 4 tot en met 15 van deze richtlijn regels voor de doorgifte, de verwerking en de bewaring van deze gegevens en regels om met name de beveiliging, de vertrouwelijkheid en de integriteit van deze gegevens te verzekeren en om ze te beschermen tegen illegale toegang en verwerking. Bijgevolg doen de inmengingen die de PNR-richtlijn met zich brengt, geen afbreuk aan de wezenlijke inhoud van de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten.

b)      Doelstelling van algemeen belang en geschiktheid van de PNR-gegevensverwerking daarvoor

121    Wat betreft de vraag of het bij de PNR-richtlijn ingestelde systeem een doelstelling van algemeen belang nastreeft, blijkt uit de overwegingen 5, 6 en 15 ervan dat deze richtlijn tot doel heeft de interne veiligheid van de EU te garanderen en zodoende het leven en de veiligheid van personen te beschermen, en een juridisch kader te creëren dat garandeert dat wanneer PNR-gegevens door de bevoegde autoriteiten worden verwerkt, de grondrechten van de passagiers – en met name het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens – in hoge mate worden beschermd.

122    Hiertoe bepaalt artikel 1, lid 2, van de PNR-richtlijn dat overeenkomstig deze richtlijn verzamelde PNR-gegevens uitsluitend mogen worden verwerkt als bedoeld in artikel 6, lid 2, onder a) tot en met c), ervan om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen. Deze doelstellingen vormen duidelijk doelstellingen van algemeen belang van de Unie die – zelfs zware – inmengingen in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten kunnen rechtvaardigen [zie in die zin arrest van 8 april 2014, Digital Rights Ireland e.a., C‑293/12 en C‑594/12, EU:C:2014:238, punt 42, en advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punten 148 en 149].

123    Wat betreft de geschiktheid van het door de PNR-richtlijn ingestelde systeem om de beoogde doelstellingen te bereiken, moet worden geconstateerd dat de kans op „vals negatieve” resultaten en het feit dat de bij deze richtlijn voorgeschreven geautomatiseerde verwerking, zoals in punt 106 van het onderhavige arrest is aangegeven, in 2018 en 2019 een vrij groot aantal „vals‑positieve” resultaten heeft opgeleverd, dit systeem minder geschikt kunnen maken. Toch is dit systeem daarom nog niet ongeschikt om de doelstelling van bestrijding van terroristische misdrijven en ernstige criminaliteit te helpen bereiken. Zoals uit het in punt 106 van dit arrest vermelde werkdocument van de Commissie blijkt, zijn dankzij de geautomatiseerde verwerking die op grond van deze richtlijn wordt uitgevoerd, immers al daadwerkelijk vliegtuigpassagiers geïdentificeerd die een risico vormden in termen van terroristische misdrijven en ernstige criminaliteit.

124    Gelet op de foutenmarge die inherent is aan de geautomatiseerde verwerking van PNR-gegevens en met name op het vrij groot aantal „vals‑positieve” resultaten, hangt de geschiktheid van het bij de PNR-richtlijn ingestelde systeem bovendien voornamelijk af van de goede werking van de daaropvolgende controle – met niet-geautomatiseerde middelen – van de verwerkingsresultaten, wat volgens deze richtlijn een taak van de PIE is. De bepalingen die met het oog daarop in deze richtlijn zijn opgenomen, dragen dus bij aan de verwezenlijking van die doelstellingen.

c)      Noodzakelijkheid van de door de PNR-richtlijn veroorzaakte inmenging

125    Volgens de rechtspraak die is aangehaald in de punten 115 tot en met 118 van dit arrest moet worden nagegaan of de uit de PNR-richtlijn resulterende inmenging tot het strikt noodzakelijke beperkt is en, in het bijzonder, of deze richtlijn duidelijke en nauwkeurige regels over de reikwijdte en de toepassing van de daarin bepaalde maatregelen bevat en of het systeem van deze richtlijn steeds beantwoordt aan objectieve criteria die een verband leggen tussen de PNR-gegevens, die nauw samenhangen met het reserveren en maken van vliegreizen, en de doelstellingen van deze richtlijn, namelijk het bestrijden van terroristische misdrijven en ernstige criminaliteit.

1)      In de PNR-richtlijn bedoelde passagiersgegevens

126    Beoordeeld moet worden of de rubrieken in bijlage I bij de PNR-richtlijn duidelijk en nauwkeurig aangeven welke PNR-gegevens een luchtvaartmaatschappij aan de PIE dient te verstrekken.

127    Om te beginnen zij eraan herinnerd dat de Uniewetgever blijkens overweging 15 van de PNR-richtlijn heeft gewild dat de lijst van aan een PIE door te geven PNR-gegevens „zo [wordt] opgesteld dat wordt tegemoetgekomen aan de legitieme behoeften van de overheid in verband met het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en dat aldus de interne veiligheid van de EU wordt bevorderd, en [dat] anderzijds de bescherming van de grondrechten, en met name het recht op eerbiediging van de persoonlijke levenssfeer en op bescherming van persoonsgegevens [wordt gewaarborgd]”. Volgens diezelfde overweging dienen PNR-gegevens met name „uitsluitend details over de reserveringen en de reisroutes van de passagier te bevatten die de bevoegde instanties in staat stellen te bepalen welke vliegtuigpassagiers een risico voor de interne veiligheid vormen”. Verder verbiedt de PNR-richtlijn in artikel 13, lid 4, eerste volzin „dat uit de verwerking van PNR-gegevens ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, vakbondslidmaatschap, gezondheid of seksuele geaardheid van de betrokkene blijkt”.

128    De in bijlage I bij de PNR-richtlijn genoemde gegevens die worden verzameld en meegedeeld, moeten dus rechtstreeks verband houden met de betrokken vlucht en passagier en moeten zodanig worden beperkt dat uitsluitend wordt tegemoetgekomen aan legitieme behoeften van de overheid op het gebied van het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en dat gevoelige gegevens worden uitgesloten.

129    De rubrieken 1 tot en met 4, 7, 9, 11, 15, 17 en 19 van bijlage I bij de PNR-richtlijn voldoen aan deze vereisten alsook aan die van duidelijkheid en nauwkeurigheid, aangezien het makkelijk te identificeren en duidelijk afgebakende informatie betreft die rechtstreeks verband houdt met de betrokken vlucht en passagier. Hetzelfde geldt, ondanks de open formulering ervan, voor de rubrieken 10, 13, 14 en 16, zoals de advocaat-generaal in punt 165 van zijn conclusie heeft opgemerkt.

130    Wat de uitlegging van de rubrieken 5, 6, 8, 12 en 18 betreft, moet daarentegen het een en ander worden verduidelijkt.

131    Rubriek 5, „Adres en contactgegevens (telefoonnummer, e-mailadres)”, geeft niet uitdrukkelijk aan of enkel het adres en de contactgegevens van de vliegtuigpassagier worden bedoeld of ook het adres en de contactgegevens van derden die de vlucht voor hem hebben gereserveerd, derden bij wie hij kan worden bereikt of derden die moeten worden ingelicht in geval van nood. Gelet op de vereisten van duidelijkheid en nauwkeurigheid kan deze rubriek echter, zoals de advocaat-generaal in punt 162 van zijn conclusie in wezen heeft aangegeven, niet aldus worden uitgelegd dat het impliciet is toegestaan om ook persoonsgegevens van deze derden te verzamelen en door te geven. Zij moet dus in die zin worden uitgelegd dat het enkel gaat om het postadres en de contactgegevens (telefoonnummer en e-mailadres) van de passagier op naam van wie de vlucht is gereserveerd.

132    Rubriek 6, „Alle betalingsinformatie, met inbegrip van het factuuradres”, moet ten behoeve van de vereisten van duidelijkheid en nauwkeurigheid aldus worden uitgelegd dat het enkel gaat om informatie over de betalingswijzen en de facturatie van het vliegticket, niet om andere informatie die geen rechtstreeks verband houdt met de vlucht [zie naar analogie advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 159].

133    Rubriek 8, „Informatie betreffende reizigers die gebruikmaken van een loyaliteitsprogramma voor frequent reizen”, moet, zoals de advocaat-generaal in punt 164 van zijn conclusie heeft aangegeven, aldus worden uitgelegd dat het enkel gaat om de status die een passagier heeft in een frequent-flyerprogramma van een bepaalde (groep) luchtvaartmaatschappij(en) en om het nummer waarmee hij als „frequent flyer” wordt geïdentificeerd. Met rubriek 8 kan dus geen informatie worden verzameld over de transacties waardoor die status is verkregen.

134    Rubriek 12 betreft algemene opmerkingen (met inbegrip van alle beschikbare informatie over niet-begeleide minderjarigen jonger dan 18 jaar, zoals naam en geslacht van de minderjarige, leeftijd, talen die de minderjarige spreekt, naam en contactgegevens van de persoon die de minderjarige begeleidt naar het vertrek en de aard van de relatie van deze persoon met de minderjarige, naam en contactgegevens van de persoon die de minderjarige afhaalt bij aankomst en de aard van de relatie van deze persoon met de minderjarige, functionaris voor vertrek en aankomst).

135    Hierbij zij er meteen op gewezen dat de woorden „algemene opmerkingen” niet voldoen aan de vereisten van duidelijkheid en nauwkeurigheid, omdat zij op zichzelf genomen geenszins de aard en omvang beperken van de informatie die krachtens rubriek 12 kan worden verzameld en meegedeeld aan een PIE [zie in die zin advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 160]. De opsomming tussen haakjes voldoet daarentegen wel aan deze vereisten.

136    Teneinde rubriek 12 overeenkomstig de in punt 86 van het onderhavige arrest aangehaalde rechtspraak de uitlegging te geven die ervoor zorgt dat zij in overeenstemming is met de vereisten van duidelijkheid en nauwkeurigheid en meer algemeen met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, moet bijgevolg worden geoordeeld dat enkel de gegevens die in deze rubriek uitdrukkelijk worden genoemd, mogen worden verzameld en verstrekt, te weten de naam en het geslacht van de minderjarige vliegtuigpassagier, zijn leeftijd, de taal of talen die hij spreekt, de naam en contactgegevens van de persoon die hem begeleidt naar het vertrek en de aard van de relatie van deze persoon met de minderjarige, de naam en contactgegevens van de persoon die de minderjarige afhaalt bij aankomst en de aard van de relatie van deze persoon met de minderjarige, en de functionaris voor vertrek en aankomst.

137    Tot slot is er rubriek 18, „Alle verzamelde API-gegevens (Advance Passenger Information) (onder meer soort, nummer, land van afgifte en geldigheidsdatum van een identiteitsdocument, nationaliteit, familienaam, voornaam, geslacht, geboortedatum, luchtvaartmaatschappij, vluchtnummer, datum van vertrek, datum van aankomst, luchthaven van vertrek, luchthaven van aankomst, tijdstip van vertrek, tijdstip van aankomst)”.

138    Zoals de advocaat-generaal in de punten 156 tot en met 160 van zijn conclusie in wezen heeft aangegeven, blijkt uit rubriek 18, gelezen in samenhang met de overwegingen 4 en 9 van de PNR-richtlijn, dat de daarin bedoelde inlichtingen uitsluitend de API-gegevens zijn die in die rubriek en in artikel 3, lid 2, van de API-richtlijn worden genoemd.

139    Rubriek 18 kan dan ook, voor zover zij aldus begrepen wordt dat zij uitsluitend de daarin en de in artikel 3, lid 2, van de API-richtlijn uitdrukkelijk bedoelde inlichtingen omvat, geacht worden aan de vereisten van duidelijkheid en nauwkeurigheid te voldoen [zie naar analogie advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 161].

140    Bijgevolg moet worden geconstateerd dat bijlage I bij de PNR-richtlijn, indien die wordt uitgelegd in overeenstemming met hetgeen met name in de punten 130 tot en met 139 van het onderhavige arrest is overwogen, in haar geheel voldoende duidelijk en nauwkeurig is en dus de omvang afbakent van de inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten.

2)      Doeleinden van PNR-gegevensverwerking

141    Blijkens artikel 1, lid 2, van de PNR-richtlijn heeft het verwerken van de overeenkomstig deze richtlijn verzamelde PNR-gegevens tot doel „terroristische misdrijven” en „ernstige criminaliteit” te bestrijden.

142    Wat betreft de vraag of de PNR-richtlijn ter zake duidelijke en nauwkeurige regels bevat die de toepassing van het systeem van deze richtlijn beperken tot het strikt noodzakelijke, moet ten eerste worden opgemerkt dat „terroristische misdrijven” in artikel 3, punt 8, van deze richtlijn worden gedefinieerd als „de in de artikelen 1 tot en met 4 van [kaderbesluit 2002/475] bedoelde, volgens nationaal recht strafbare feiten”.

143    Dit kaderbesluit definieerde in de artikelen 1 tot en met 3 duidelijk en nauwkeurig „terroristische misdrijven”, „strafbare feiten met betrekking tot een terroristische groep” en „strafbare feiten in verband met terroristische activiteiten”, die de lidstaten ingevolge dit kaderbesluit strafbaar moesten stellen. Ook richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van kaderbesluit 2002/475 en tot wijziging van besluit 2005/671/JBZ van de Raad (PB 2017, L 88, blz. 6) definieert diezelfde strafbare feiten in de artikelen 3 tot en met 14 op duidelijke en nauwkeurige wijze.

144    Ten tweede wordt „ernstige criminaliteit” in artikel 3, punt 9, van de PNR-richtlijn gedefinieerd als „de in bijlage II [bij deze richtlijn] bedoelde strafbare feiten, waarop in het nationale recht van een lidstaat een vrijheidsbenemende straf of een tot detentie strekkende maatregel met een maximumduur van ten minste drie jaar staat”.

145    Om te beginnen somt deze bijlage de verschillende categorieën strafbare feiten die „ernstige criminaliteit” in de zin van artikel 3, punt 9, van de PNR-richtlijn kunnen uitmaken uitputtend op.

146    Voorts hadden de strafrechtsystemen van de lidstaten ten tijde van de vaststelling van deze richtlijn, bij gebreke van harmonisatie van de daarin bedoelde strafbare feiten, hun eigen kenmerken, en mocht de Uniewetgever dus gewoon categorieën strafbare feiten bepalen zonder de bestanddelen daarvan te specificeren, te meer daar deze bestanddelen in theorie noodzakelijkerwijs zijn vastgesteld in het nationale recht, waarnaar artikel 3, punt 9, van de PNR-richtlijn verwijst, aangezien de lidstaten het legaliteitsbeginsel inzake delicten en straffen dienen na te leven, dat een onderdeel is van de met de Unie gedeelde gemeenschappelijke waarde van de rechtsstaat, neergelegd in artikel 2 VEU (zie naar analogie arrest van 16 februari 2022, Hongarije/Parlement en Raad, C‑156/21, EU:C:2022:97, punten 136, 160 en 234). Het legaliteitsbeginsel inzake delicten en straffen is overigens neergelegd in artikel 49, lid 1, van het Handvest, dat de lidstaten moeten naleven bij de tenuitvoerlegging van een Uniehandeling als de PNR-richtlijn (zie in die zin arrest van 10 november 2011, QB, C‑405/10, EU:C:2011:722, punt 48 en aldaar aangehaalde rechtspraak). Bijgevolg moet, mede gelet op de gebruikelijke betekenis van de in bijlage II gebruikte bewoordingen, worden geoordeeld dat daarin voldoende duidelijk en nauwkeurig wordt aangegeven welke strafbare feiten ernstige criminaliteit kunnen vormen.

147    De punten 7, 8, 10 en 16 van bijlage II betreffen weliswaar zeer algemene categorieën van strafbare feiten (fraude, witwassen van opbrengsten van criminaliteit en valsemunterij, milieumisdrijven en illegale handel in cultuurgoederen), maar er wordt niettemin ook in verwezen naar specifieke strafbare feiten die onder deze algemene categorieën vallen. Om voldoende nauwkeurigheid te kunnen garanderen, wat ook artikel 49 van het Handvest vereist, moeten die punten zo worden uitgelegd dat zij verwijzen naar deze strafbare feiten, zoals gespecificeerd in het nationale recht en/of het Unierecht ter zake. Aldus uitgelegd kunnen die punten worden geacht te voldoen aan de vereisten van duidelijkheid en nauwkeurigheid.

148    Tot slot zij er nog aan herinnerd dat de bestrijding van zware criminaliteit volgens het evenredigheidsbeginsel weliswaar een rechtvaardiging kan vormen voor de ernstige inmenging die de PNR-richtlijn in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten veroorzaakt, maar dat dit niet het geval is voor de bestrijding van criminaliteit in het algemeen. Deze laatste doelstelling kan enkel niet-ernstige inmengingen rechtvaardigen (zie naar analogie arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 59 en aldaar aangehaalde rechtspraak). Deze richtlijn moet dan ook middels duidelijke en nauwkeurige regels verzekeren dat het daarbij ingevoerde systeem enkel geldt voor strafbare feiten die zware criminaliteit uitmaken en dus niet voor die welke gewone criminaliteit vormen.

149    Zoals de advocaat-generaal in punt 121 van zijn conclusie heeft opgemerkt, zijn een groot aantal van de in bijlage II bij de PNR-richtlijn genoemde strafbare feiten – zoals mensenhandel, seksuele uitbuiting van kinderen en kinderpornografie, illegale handel in wapens, munitie en explosieven, witwassen, computercriminaliteit/cybercriminaliteit, illegale handel in menselijke organen en weefsels, illegale handel in verdovende middelen en psychotrope stoffen, illegale handel in nucleaire of radioactieve stoffen, kaping van vliegtuigen of schepen, misdrijven die onder de rechtsmacht van het Internationaal Strafhof vallen, moord, verkrachting, ontvoering, wederrechtelijke vrijheidsberoving en gijzeling – naar hun aard ontegensprekelijk zeer ernstig.

150    Andere in die bijlage genoemde strafbare feiten worden weliswaar op het eerste gezicht minder snel met ernstige criminaliteit geassocieerd, maar uit de bewoordingen van artikel 3, punt 9, van de PNR-richtlijn blijkt dat deze strafbare feiten slechts als ernstige criminaliteit kunnen worden beschouwd indien er in het nationale recht van de betrokken lidstaat een vrijheidsbenemende straf of een tot detentie strekkende maatregel met een maximumduur van minstens drie jaar op staat. Met deze vereisten, die betrekking hebben op de aard en de ernst van de toepasselijke straf, kan de toepassing van het systeem van deze richtlijn in principe worden beperkt tot strafbare feiten die voldoende ernstig zijn om de inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten die dit systeem creëert, te rechtvaardigen.

151    Aangezien artikel 3, punt 9, van de PNR-richtlijn het niet over de toepasselijke minimumstraf maar over de toepasselijke maximumstraf heeft, valt evenwel niet uit te sluiten dat er PNR-gegevens worden verwerkt om strafbare feiten te bestrijden die weliswaar aan het ernstcriterium in deze bepaling voldoen maar die, gelet op de bijzonderheden van het nationale strafrechtsysteem, geen ernstige criminaliteit maar gewone criminaliteit uitmaken.

152    Het staat dus aan de lidstaten om ervoor te zorgen dat het bij de PNR-richtlijn ingevoerde systeem daadwerkelijk enkel wordt toegepast in de strijd tegen ernstige criminaliteit en niet wordt uitgebreid naar strafbare feiten die gewone criminaliteit vormen.

3)      Verband tussen PNR-gegevens en de doeleinden van de verwerking ervan

153    Zoals de advocaat-generaal in wezen heeft opgemerkt in punt 119 van zijn conclusie, bevat artikel 3, punten 8 en 9, van de PNR-richtlijn, gelezen in samenhang met bijlage II daarbij, geen uitdrukkelijk criterium dat de werkingssfeer van deze richtlijn beperkt tot strafbare feiten die naar hun aard op zijn minst indirect een objectief verband kunnen vertonen met vliegreizen en dus met de categorieën gegevens die ter uitvoering van deze richtlijn worden doorgegeven, verwerkt en bewaard.

154    Toch kunnen bepaalde van de in bijlage II bij de PNR-richtlijn genoemde strafbare feiten, zoals mensenhandel, illegale handel in verdovende middelen of in wapens, hulp bij illegale binnenkomst en illegaal verblijf en vliegtuigkaping, zoals de advocaat-generaal in punt 121 van zijn conclusie heeft aangegeven, reeds naar hun aard rechtstreeks verband houden met het luchtvervoer van passagiers. Hetzelfde geldt voor bepaalde terroristische misdrijven, zoals het veroorzaken van grootschalige vernieling van vervoersystemen of infrastructurele voorzieningen of het kapen van een luchtvaartuig, die vermeld stonden in artikel 1, lid 1, onder d) en e), van kaderbesluit 2002/475, waarnaar artikel 3, punt 8, van de PNR-richtlijn verwijst, en voor reizen met een terroristisch oogmerk en het organiseren of faciliteren van dergelijke reizen, die in de artikelen 9 en 10 van richtlijn 2017/541 worden vermeld.

155    In deze context zij er ook aan herinnerd dat de Commissie haar voorstel voor een richtlijn van het Europees Parlement en de Raad over het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit van 2 februari 2011 [COM(2011) 32 final], dat aan de PNR-richtlijn ten grondslag ligt, heeft gemotiveerd door het feit dat „de terroristische aanslagen in de Verenigde Staten in 2001, de mislukte terroristische aanslag in 2006, waarbij een aantal vliegtuigen onderweg van het Verenigd Koninkrijk en de Verenigde Staten had moeten worden opgeblazen, en de verijdelde terreuraanslag op een vlucht van Amsterdam naar Detroit in december 2009 [duidelijk hebben gemaakt] dat terroristen in welk land dan ook kunnen toeslaan op internationale vluchten” en dat „de meeste terroristische activiteiten […] transnationaal van aard [zijn] en […] gepaard [gaan] met internationaal verkeer, onder meer naar trainingskampen buiten de EU”. Ook heeft de Commissie, ter rechtvaardiging van de noodzaak om in de strijd tegen ernstige criminaliteit PNR-gegevens te analyseren, het voorbeeld aangehaald van een groep mensensmokkelaars die valse documenten hadden gebruikt om in te checken voor een vlucht, en van een netwerk van mensen‑ en drugshandelaars dat, om drugs in te voeren in verschillende delen van Europa, gebruikmaakte van personen die zelf het slachtoffer waren van mensenhandel, en de vliegtuigtickets van deze personen aankocht met gestolen kredietkaarten. In al deze gevallen hielden de strafbare feiten rechtstreeks verband met het luchtvervoer van passagiers: het luchtvervoer was het doelwit of het strafbare feit werd tijdens of door middel van een vliegreis gepleegd.

156    Bovendien moet worden geconstateerd dat ook strafbare feiten die niet rechtstreeks verband houden met het luchtvervoer van passagiers, daar afhankelijk van de omstandigheden een indirect verband mee kunnen vertonen. Dit is met name het geval wanneer luchtvervoer het middel is om dergelijke strafbare feiten voor te bereiden of om strafvervolging te ontlopen nadat ze zijn gepleegd. Strafbare feiten die geen enkel – ook maar indirect – objectief verband vertonen met het luchtvervoer van passagiers, kunnen daarentegen geen rechtvaardiging zijn om het systeem van de PNR-richtlijn toe te passen.

157    In die omstandigheden verlangt artikel 3, punten 8 en 9, van deze richtlijn, gelezen in samenhang met bijlage II daarbij en in het licht van de vereisten die voortvloeien uit de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, dat de lidstaten er met name tijdens de afzonderlijke niet-geautomatiseerde controle als bedoeld in artikel 6, lid 5, van deze richtlijn op toezien dat het systeem van deze richtlijn enkel wordt toegepast voor terroristische misdrijven en ernstige vormen van criminaliteit die, minstens indirect, een objectief verband vertonen met het luchtvervoer van passagiers.

4)      Betrokken luchtreizigers en vluchten

158    Het bij de PNR-richtlijn ingevoerde systeem bestrijkt de PNR-gegevens van eenieder die „passagier” is in de zin van artikel 3, punt 4, van deze richtlijn en die een vlucht neemt die binnen de werkingssfeer van deze richtlijn valt.

159    Volgens artikel 8, lid 1, van de PNR-richtlijn moeten deze gegevens worden doorgegeven aan de PIE van de lidstaat waar de vlucht moet aankomen of vertrekken, ongeacht of er een objectieve reden is om aan te nemen dat de passagier mogelijk betrokken is bij terroristische misdrijven of ernstige criminaliteit. Na deze doorgifte worden de gegevens echter onder meer automatisch verwerkt tijdens de voorafgaande beoordeling die wordt verricht op grond van artikel 6, lid 2, onder a), en lid 3, van deze richtlijn. Zoals uit overweging 7 blijkt, heeft deze beoordeling tot doel personen te identificeren die vooralsnog niet van terroristische misdrijven of ernstige criminaliteit werden verdacht maar naar wie de bevoegde instanties nader onderzoek moeten verrichten.

160    Blijkens artikel 1, lid 1, onder a), en artikel 2 van de PNR-richtlijn wordt in het bijzonder een onderscheid gemaakt tussen passagiers van vluchten naar of vanuit derde landen en passagiers van vluchten binnen de EU.

161    Wat passagiers van vluchten naar of vanuit derde landen betreft, zij eraan herinnerd dat het Hof in verband met passagiers van vluchten tussen de Unie en Canada reeds heeft geoordeeld dat de geautomatiseerde verwerking van hun PNR-gegevens vóór hun aankomst in Canada ervoor zorgt dat de veiligheidscontroles, met name aan de grens, veel soepeler en sneller verlopen. Bovendien zou de uitsluiting van bepaalde categorieën personen of bepaalde gebieden van herkomst in de weg staan aan de verwezenlijking van de doelstelling van de geautomatiseerde verwerking van de PNR-gegevens – te weten door middel van een verificatie van deze gegevens die luchtreizigers identificeren die een risico zouden kunnen opleveren voor de openbare veiligheid – en het mogelijk maken om aan deze verificatie te ontsnappen [zie in die zin advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 187].

162    Deze overwegingen gelden mutatis mutandis voor passagiers van vluchten tussen de Unie en om het even welk derde land, waarvoor de lidstaten volgens artikel 1, lid 1, onder a), juncto artikel 3, punten 2 en 4, van de PNR-richtlijn verplicht zijn het systeem van deze richtlijn toe te passen. Het doorgeven en vooraf beoordelen van PNR-gegevens van luchtreizigers die de Unie binnenkomen en verlaten kan immers niet enkel voor een welbepaalde kring van luchtreizigers gebeuren, gelet op de aard zelf van de dreiging voor de openbare veiligheid die kan worden veroorzaakt door terroristische misdrijven en ernstige vormen van criminaliteit die, op zijn minst indirect, een objectief verband vertonen met het luchtvervoer van passagiers tussen de Unie en derde landen. Aldus moet worden geoordeeld dat er een noodzakelijk verband bestaat tussen deze gegevens en de doelstelling dergelijke strafbare feiten te bestrijden, en dat de PNR-richtlijn dus niet verder dan het strikt noodzakelijke gaat enkel omdat zij de lidstaten verplicht de PNR-gegevens van al die passagiers systematisch op voorhand door te geven en te beoordelen.

163    Wat passagiers van vluchten tussen lidstaten van de Unie betreft, biedt artikel 2, lid 1, juncto overweging 10 van de PNR-richtlijn de lidstaten louter de mogelijkheid om het systeem van de PNR-richtlijn uit te breiden naar vluchten binnen de EU.

164    De Uniewetgever heeft de lidstaten dus niet willen verplichten dit systeem ook op vluchten binnen de EU toe te passen, maar heeft, zoals uit artikel 19, lid 3, van deze richtlijn blijkt, het recht voorbehouden om over een dergelijke uitbreiding te beslissen na een grondige evaluatie van de juridische gevolgen daarvan met name voor de grondrechten van de betrokkenen.

165    In dit verband zij opgemerkt dat artikel 19, lid 3, van de PNR-richtlijn bepaalt dat het in lid 1 van dit artikel bedoelde evaluatieverslag van de Commissie „ook een evaluatie [bevat] van de noodzakelijkheid, evenredigheid en doeltreffendheid van het in het toepassingsgebied van deze richtlijn opnemen van het verplicht verzamelen en doorgeven van PNR-gegevens inzake alle of een aantal uitgekozen vluchten binnen de EU” en dat zij daarbij rekening moet houden met „de ervaring die in de lidstaten is opgedaan, en met name in de lidstaten die deze richtlijn toepassen op vluchten binnen de EU overeenkomstig artikel 2”. De Uniewetgever acht het dus duidelijk niet noodzakelijk het systeem van de PNR-richtlijn uit te breiden naar alle vluchten binnen de EU.

166    In diezelfde lijn bepaalt artikel 2, lid 3, van de PNR-richtlijn dat de lidstaten kunnen besluiten de bepalingen van deze richtlijn uitsluitend op geselecteerde vluchten binnen de EU toe te passen indien zij dat ter bereiking van de doelstellingen van deze richtlijn noodzakelijk achten, in welk geval zij te allen tijde kunnen besluiten de geselecteerde vluchten te wijzigen.

167    Hoe dan ook moet de keuzemogelijkheid van de lidstaten om het systeem van de PNR-richtlijn uit te breiden naar vluchten binnen de EU worden uitgeoefend met volledige eerbiediging van de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten, zoals uit overweging 22 van deze richtlijn blijkt. Het staat volgens overweging 19 weliswaar aan de lidstaten zelf om dreigingen op het gebied van terroristische misdrijven en ernstige criminaliteit te beoordelen, maar dit neemt niet weg dat zij, om de voormelde keuze te kunnen maken, bij die beoordeling het bestaan van een dergelijke dreiging moeten vaststellen die kan rechtvaardigen dat deze richtlijn ook op vluchten binnen de EU wordt toegepast.

168    Derhalve moet een lidstaat die gebruik wenst te maken van de in artikel 2 van de PNR-richtlijn geboden mogelijkheid – of dit nu is voor alle vluchten binnen de EU (artikel 2, lid 2) dan wel enkel voor bepaalde vluchten binnen de EU (artikel 2, lid 3) – steeds nagaan of die uitbreiding naar alle of een deel van de vluchten binnen de EU werkelijk noodzakelijk is voor en evenredig is aan de doelstelling van artikel 1, lid 2, ervan.

169    Zo moet een dergelijke lidstaat, gelet op de overwegingen 5 tot en met 7, 10 en 22 van de PNR-richtlijn, nagaan of de in deze richtlijn bedoelde verwerking van PNR-gegevens van passagiers die (bepaalde) vluchten binnen de EU nemen, gezien de ernst van de inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten, wel strikt noodzakelijk is om de interne veiligheid van de Unie of minstens die lidstaat te verzekeren en het leven en de veiligheid van personen te beschermen.

170    Wat terroristische dreigingen in het bijzonder betreft, blijkt uit de rechtspraak van het Hof dat terroristische activiteiten behoren tot de activiteiten die de fundamentele constitutionele, politieke, economische of sociale structuren van een land ernstig kunnen destabiliseren en, met name, een rechtstreekse bedreiging kunnen vormen voor de samenleving, de bevolking of de staat als zodanig, en dat elke lidstaat er groot belang bij heeft deze activiteiten te voorkomen en te bestrijden teneinde de essentiële staatsfuncties en de fundamentele belangen van de samenleving te beschermen en dus de nationale veiligheid te waarborgen. Dergelijke bedreigingen verschillen door hun aard, hun bijzondere ernst en het bijzondere karakter van de omstandigheden waarin zij zich voordoen, van het algemene, permanente risico op ernstige strafbare feiten (zie in die zin arresten van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 135 en 136, en 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punten 61 en 62).

171    In de situatie waarin een lidstaat bij de door hem gemaakte beoordeling voldoende concrete redenen vaststelt om aan te nemen dat hij te maken heeft met een terroristische dreiging die reëel en actueel of voorzienbaar is, lijkt het feit dat deze lidstaat de PNR-richtlijn krachtens artikel 2, lid 1, ervan voor een beperkte duur wil toepassen op alle vluchten binnen de EU van of naar deze lidstaat, dus niet verder te gaan dan strikt noodzakelijk is. Het bestaan van een dergelijke bedreiging toont immers op zichzelf een verband aan tussen de doorgifte en verwerking van de betrokken gegevens enerzijds en de bestrijding van terrorisme anderzijds (zie naar analogie arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 137).

172    De beslissing om tot die toepassing over te gaan, moet effectief kunnen worden getoetst door een rechterlijke instantie of onafhankelijke bestuurlijke autoriteit waarvan de beslissing bindend is, waarbij het doel van die toetsing is om na te gaan of de voormelde situatie zich voordoet en of is voldaan aan de voorwaarden en waarborgen waarin moet worden voorzien. De duur van de toepassing moet ook worden beperkt tot het strikt noodzakelijke, maar kan worden verlengd indien de dreiging voortduurt (zie naar analogie arresten van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 168, en 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 58).

173    Wordt de betrokken lidstaat niet met een werkelijke en actuele of voorzienbare terroristische dreiging geconfronteerd, dan kan daarentegen niet worden geoordeeld dat het ongedifferentieerd toepassen van het systeem van de PNR-richtlijn – én op vluchten naar of vanuit derde landen én op vluchten binnen de EU – beperkt is tot het strikt noodzakelijke.

174    In een dergelijke situatie moet het bij de PNR-richtlijn ingevoerde systeem worden beperkt tot bepaalde vluchten binnen de EU en meer bepaald tot de doorgifte en verwerking van PNR-gegevens voor vluchten die met name verband houden met bepaalde verbindingen, reisroutes of luchthavens waarvoor er aanwijzingen bestaan dat deze toepassing gerechtvaardigd is. De betrokken lidstaat dient dan de vluchten binnen de EU te selecteren op basis van de resultaten van de beoordeling die hij in overeenstemming met de in de punten 163 tot en met 169 van het onderhavige arrest uiteengezette vereisten moet verrichten, en die regelmatig te herzien in het licht van wijzigingen in de omstandigheden die de selectie rechtvaardigden, om te verzekeren dat het bij deze richtlijn ingevoerde systeem steeds in de mate van het strikte noodzakelijke wordt toegepast op vluchten binnen de EU.

175    Uit het voorgaande volgt dat de uitlegging die aldus in het licht van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest is gegeven aan artikel 2 en artikel 3, punt 4, van de PNR-richtlijn, kan verzekeren dat deze bepalingen de grenzen van het strikt noodzakelijke respecteren.

5)      Voorafgaande beoordeling van PNR-gegevens via geautomatiseerde verwerking

176    Volgens artikel 6, lid 2, onder a), van de PNR-richtlijn strekt de daarin opgelegde voorafgaande beoordeling ertoe te bepalen welke personen nader moeten worden onderzocht door met name de in artikel 7 van deze richtlijn bedoelde bevoegde instanties, wegens hun mogelijke betrokkenheid bij een terroristisch misdrijf of bij ernstige criminaliteit.

177    De voorafgaande beoordeling verloopt in twee fasen. Eerst verwerkt de PIE van de betrokken lidstaat de PNR-gegevens op automatische wijze door ze te vergelijken met databanken of te verwerken aan de hand van vooraf bepaalde criteria (artikel 6, lid 3, van de PNR-richtlijn). Indien de geautomatiseerde verwerking een positieve overeenkomst (hit) oplevert, voert de PIE vervolgens op niet-geautomatiseerde wijze een controle uit om te bepalen of de in artikel 7 van deze richtlijn bedoelde bevoegde instanties maatregelen moeten treffen overeenkomstig het nationale recht (artikel 6, lid 5) (match).

178    Zoals in punt 106 van dit arrest in herinnering is gebracht, hebben geautomatiseerde verwerkingen noodzakelijkerwijs een vrij grote foutenmarge, aangezien zij verricht worden met niet-geverifieerde persoonsgegevens en steunen op vooraf bepaalde criteria.

179    In die omstandigheden en gelet op de noodzaak om, zoals in de vierde overweging van de preambule van het Handvest wordt benadrukt, de bescherming van de grondrechten te versterken in het licht van onder meer de wetenschappelijke en technologische ontwikkelingen, moet er overeenkomstig overweging 20 en artikel 7, lid 6, van de PNR-richtlijn voor worden gezorgd dat de bevoegde instanties niet uitsluitend op grond van automatisch verwerkte PNR-gegevens een besluit nemen dat voor de betrokkene nadelige juridische of andere ingrijpende gevolgen heeft. Artikel 6, lid 6, van deze richtlijn bepaalt ook dat de PIE de PNR-gegevens pas aan die instanties mag doorgeven na een afzonderlijke niet-geautomatiseerde controle. Naast deze controles die de PIE en de bevoegde instanties zelf verrichten, moet de rechtmatigheid van elke geautomatiseerde verwerking ten slotte kunnen worden gecontroleerd door de functionaris voor gegevensbescherming en de nationale toezichthoudende autoriteit [artikel 6, lid 7, respectievelijk artikel 15, lid 3, onder b), van deze richtlijn] alsook door de nationale rechterlijke instanties in het kader van de rechtsmiddelen als bedoeld in artikel 13, lid 1, ervan.

180    Zoals de advocaat-generaal in punt 207 van zijn conclusie in wezen heeft opgemerkt, moeten aan de nationale toezichthoudende autoriteit, de functionaris voor gegevensbescherming en de PIE de nodige materiële en personele middelen ter beschikking worden gesteld om het hun door de PNR-richtlijn opgedragen toezicht uit te oefenen. Ook is het van belang dat de nationale regeling waarbij deze richtlijn in nationaal recht wordt omgezet en waarbij toestemming wordt verleend voor de daarin voorgeschreven geautomatiseerde verwerking, duidelijke en nauwkeurige regels bevat voor de aanduiding van de databanken en de te hanteren beoordelingscriteria, en dat bij de voorafgaande beoordeling geen andere methoden kunnen worden gebruikt dan die welke uitdrukkelijk worden genoemd in artikel 6, lid 2, van die richtlijn.

181    Voorts blijkt uit artikel 6, lid 9, van de PNR-richtlijn dat het resultaat van de op grond van artikel 6, lid 2, onder a), ervan verrichte voorafgaande beoordeling niet afdoet aan het in richtlijn 2004/38 neergelegde recht van personen die het recht van vrij verkeer genieten, om het grondgebied van de betrokken lidstaat te betreden, en bovendien in overeenstemming moet zijn met verordening nr. 562/2006. Het bij de PNR-richtlijn ingevoerde systeem staat de bevoegde autoriteiten dus niet toe dit recht verder te beperken dan in richtlijn 2004/38 en verordening nr. 562/2006 is bepaald.

i)      Vergelijking van PNR-gegevens met databanken

182    Volgens artikel 6, lid 3, onder a), van de PNR-richtlijn „kan” de PIE tijdens de in artikel 6, lid 2, onder a), bedoelde beoordeling de PNR-gegevens vergelijken met „databanken die relevant zijn” voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, „met name databanken in verband met gezochte of gesignaleerde personen of voorwerpen, in overeenstemming met de op zulke databanken van toepassing zijnde Unie-, internationale en nationale voorschriften”.

183    Uit de tekst van artikel 6, lid 3, onder a), van de PNR-richtlijn en meer bepaald de woorden „met name” blijkt meteen dat databanken voor gezochte of gesignaleerde personen of voorwerpen relevante databanken zijn in de zin van deze bepaling. Verder wordt evenwel niet aangegeven welke andere databanken er nog „relevant” zouden kunnen zijn met het oog op de doelstellingen van deze richtlijn. Zoals de advocaat-generaal in punt 217 van zijn conclusie heeft opgemerkt, wordt de aard van de gegevens die deze databanken kunnen bevatten en hun verband met die doelstellingen niet in die bepaling gepreciseerd, en wordt daarin evenmin gezegd of PNR-gegevens enkel mogen worden vergeleken met door overheidsinstanties beheerde databanken of ook met databanken die door particulieren worden beheerd.

184    Artikel 6, lid 3, onder a), van de PNR-richtlijn zou dan ook op het eerste gezicht zo kunnen worden uitgelegd dat PNR-gegevens eenvoudigweg als zoekcriteria kunnen worden gebruikt en bij de beoordeling kunnen worden ingegeven in diverse databanken, ook databanken die de veiligheids- en inlichtingendiensten van lidstaten beheren en gebruiken voor andere dan de in deze richtlijn genoemde doelstellingen, en dat een dergelijke beoordeling een informatievergaring kan worden (data mining). De gedachte dat beoordelingen op deze manier verlopen en dat PNR-gegevens kunnen worden vergeleken met dergelijke databanken, zou luchtreizigers echter het gevoel kunnen geven dat hun privéleven onder toezicht staat. Artikel 6, lid 3, onder a), van de PNR-richtlijn kan dus niet op deze manier worden uitgelegd, ook al vertrekt de in deze bepaling bedoelde voorafgaande beoordeling vanuit een relatief beperkt aantal gegevens – de PNR-gegevens. Deze uitlegging zou immers in een overmatig gebruik van deze gegevens kunnen resulteren en de mogelijkheid laten om een precies profiel op te stellen van eenieder die gewoon de intentie heeft een vliegtuig te nemen.

185    Artikel 6, lid 3, onder a), van de PNR-richtlijn moet dan ook overeenkomstig de in de punten 86 en 87 van dit arrest aangehaalde rechtspraak zo worden uitgelegd dat de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten volledig worden geëerbiedigd.

186    Dienaangaande blijkt uit de overwegingen 7 en 15 van de PNR-richtlijn dat de geautomatiseerde verwerking in de zin van artikel 6, lid 3, onder a), van deze richtlijn beperkt moet zijn tot wat strikt noodzakelijk is om terroristische misdrijven en ernstige criminaliteit te bestrijden, en dat een hoog niveau van bescherming van de voormelde grondrechten moet worden verzekerd.

187    Zoals de Commissie in wezen heeft aangegeven in antwoord op een vraag van het Hof, bieden de bewoordingen van deze bepaling – namelijk dat de PIE de PNR-gegevens „kan” vergelijken met de daarin bedoelde databanken – de PIE bovendien de mogelijkheid om een verwerkingsmethode te kiezen die beperkt is tot wat in de concrete situatie strikt noodzakelijk is. Aangezien moet worden voldaan aan de vereisten van duidelijkheid en nauwkeurigheid om de bescherming van de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten te verzekeren, is de PIE verplicht om de geautomatiseerde verwerking van artikel 6, lid 3, onder a), van de PNR-richtlijn te beperken tot databanken die op basis van deze bepaling kunnen worden aangewezen. In dit verband moet worden vastgesteld dat de verwijzing in deze bepaling naar „databanken die relevant zijn” moeilijk valt uit te leggen op een wijze waarbij voldoende duidelijk en nauwkeurig blijkt welke databanken daarmee bedoeld worden. Dit ligt evenwel anders voor de verwijzing naar „databanken in verband met gezochte of gesignaleerde personen of voorwerpen, in overeenstemming met de op zulke databanken van toepassing zijnde Unie-, internationale en nationale voorschriften”.

188    Bijgevolg moet artikel 6, lid 3, onder a), van de PNR-richtlijn in het licht van die grondrechten aldus worden uitgelegd dat laatstgenoemde databanken de enige databanken zijn waarmee de PIE de PNR-gegevens mag vergelijken, zoals ook de advocaat-generaal in punt 219 van zijn conclusie in essentie heeft aangegeven.

189    In termen van vereisten waaraan deze databanken moeten voldoen, zij opgemerkt dat artikel 6, lid 4, van de PNR-richtlijn bepaalt dat een voorafgaande beoordeling aan de hand van vooraf bepaalde criteria [artikel 6, lid 3, onder b), van deze richtlijn] op niet-discriminerende wijzen moet gebeuren, dat deze criteria doelgericht, evenredig en specifiek moeten zijn en dat de PIE deze criteria moet vaststellen en regelmatig moet toetsen in samenwerking met de in artikel 7 van deze richtlijn bedoelde bevoegde instanties. Artikel 6, lid 4, spreekt, gelet op de verwijzing daarin naar artikel 6, lid 3, onder b), enkel over het verwerken van PNR-gegevens aan de hand van vooraf bepaalde criteria, doch moet in het licht van de artikelen 7, 8 en 21 van het Handvest in die zin worden uitgelegd dat de daarin gestelde vereisten mutatis mutandis gelden voor het vergelijken van PNR-gegevens met de in het vorige punt van dit arrest bedoelde databanken, te meer daar deze vereisten in wezen overeenkomen met die welke voor het vergelijken van PNR-gegevens met databanken zijn aangenomen in de rechtspraak die voortvloeit uit advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017 (EU:C:2017:592, punt 172).

190    In dit verband moet worden verduidelijkt dat het vereiste dat die databanken niet-discriminatoir zijn met name impliceert dat de opname in de databanken voor gezochte of gesignaleerde personen gebaseerd moet zijn op objectieve en niet-discriminerende elementen die zijn vastgesteld bij de op zulke databanken van toepassing zijnde Unie-, internationale en nationale voorschriften (zie naar analogie arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 78).

191    Bovendien moeten de in punt 188 van het onderhavige arrest bedoelde databanken, om te voldoen aan het vereiste dat vooraf bepaalde criteria doelgericht, evenredig en specifiek zijn, worden gebruikt om terroristische misdrijven en ernstige vormen van criminaliteit te bestrijden die minstens indirect verband houden met het luchtvervoer van passagiers.

192    Voorts moeten de databanken die krachtens artikel 6, lid 3, onder a), van de PNR-richtlijn worden ingezet, gelet op de overwegingen in de punten 183 en 184 van het onderhavige arrest, worden beheerd door de in artikel 7 van deze richtlijn bedoelde bevoegde instanties of, in geval van Uniedatabanken of internationale databanken, worden gebruikt in het kader van hun taak terroristische misdrijven en ernstige criminaliteit te bestrijden. Dit is het geval voor databanken in verband met gezochte of gesignaleerde personen of voorwerpen, in overeenstemming met de op zulke databanken toepasselijke Unie-, internationale en nationale voorschriften.

ii)    Verwerking van PNR-gegevens aan de hand van vooraf bepaalde criteria

193    Volgens artikel 6, lid 3, onder b), van de PNR-richtlijn kan de PIE de PNR-gegevens ook verwerken aan de hand van vooraf bepaalde criteria. Blijkens artikel 6, lid 2, onder a), van deze richtlijn strekt het voorafgaandelijk beoordelen en dus het verwerken van PNR-gegevens met vooraf bepaalde criteria er in hoofdzaak toe personen te identificeren die betrokken zouden kunnen zijn bij een terroristisch misdrijf of bij ernstige criminaliteit.

194    Wat betreft de criteria die de PIE hiervoor kan gebruiken, zij er om te beginnen op gewezen dat de bewoordingen zelf van artikel 6, lid 3, onder b), van de PNR-richtlijn aangeven dat het om „vooraf bepaalde” criteria moet gaan. Zoals de advocaat-generaal in punt 228 van zijn conclusie heeft opgemerkt, betekent dit dat geen kunstmatige-intelligentietechnologieën zoals machinaal leren (machine learning) mogen worden gebruikt, aangezien die zonder menselijke tussenkomst of controle aanpassingen kunnen doorvoeren in het beoordelingsproces en met name in de beoordelingscriteria waarop de resultaten gebaseerd zijn, en in de weging van deze criteria.

195    Dergelijke technologieën dreigen trouwens de afzonderlijke controle van de positieve overeenstemmingen en de rechtmatigheidscontrole die door de PNR-richtlijn worden vereist, hun nuttig effect te ontnemen. Zoals de advocaat-generaal in punt 228 van zijn conclusie in wezen heeft opgemerkt, kan de opaciteit van de werking van kunstmatige-intelligentietechnologieën het immers onmogelijk maken te begrijpen waarom een bepaald programma een positieve overeenstemming heeft opgeleverd. Bijgevolg zouden deze technologieën de betrokkenen ook het hun door artikel 47 van het Handvest gewaarborgd recht op een doeltreffende voorziening in rechte kunnen ontnemen, dat de PNR-richtlijn volgens overweging 28 ervan op hoog niveau wil waarborgen, en dat zij met name zouden kunnen aanwenden wanneer zij de verkregen resultaten discriminerend achten.

196    Wat vervolgens de vereisten in artikel 6, lid 4, van de PNR-richtlijn betreft, luidt de eerste volzin dat de voorafgaande beoordeling volgens vooraf bepaalde criteria op niet-discriminerende wijze dient te gebeuren, en verduidelijkt de vierde volzin dat deze criteria onder geen beding mogen gebaseerd zijn op ras, etnische afstamming, religieuze, levensbeschouwelijke of politieke overtuiging, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid.

197    De lidstaten mogen als vooraf bepaalde criteria dus geen criteria nemen die steunen op de in het vorige punt van dit arrest genoemde kenmerken, waarvan het gebruik kan resulteren in discriminatie. In dit verband blijkt uit de bewoordingen van artikel 6, lid 4, vierde volzin, van de PNR-richtlijn – namelijk dat de vooraf bepaalde criteria „onder geen beding” op deze kenmerken mogen gebaseerd zijn – dat zowel directe als indirecte discriminatie wordt bedoeld. Deze uitlegging vindt steun in artikel 21, lid 1, van het Handvest, in het licht waarvan die bepaling moet worden gelezen en dat bepaalt dat „iedere” discriminatie op grond van deze kenmerken verboden is. Bijgevolg moeten vooraf bepaalde criteria zo worden gekozen dat zij, zelfs indien zij neutraal zijn geformuleerd, in de praktijk niet in het bijzonder nadelig kunnen zijn voor personen met de beschermde kenmerken.

198    Uit de vereisten van doelgerichtheid, evenredigheid en specificiteit van de vooraf bepaalde criteria die zijn vervat in artikel 6, lid 4, tweede volzin, van de PNR-richtlijn, volgt dat de criteria voor de voorafgaande beoordeling zodanig moeten worden gekozen dat zij specifiek gericht zijn op personen van wie redelijkerwijs kan worden vermoed dat zij betrokken zijn bij terroristische misdrijven of ernstige criminaliteit als bedoeld in deze richtlijn. Deze lezing vindt steun in de bewoordingen van artikel 6, lid 2, onder a), ervan, die de nadruk leggen op het feit betrokken te „kunnen” zijn bij „een” terroristisch misdrijf of bij ernstige criminaliteit. In dezelfde geest wordt in overweging 7 van deze richtlijn gepreciseerd dat beoordelingscriteria enkel mogen worden vastgesteld en toegepast voor terroristische misdrijven en ernstige criminaliteit „waarvoor het gebruik van dergelijke criteria relevant is”.

199    Gezien het gevaar voor discriminatie dat uitgaat van criteria die steunen op de in artikel 6, lid 4, vierde volzin, van de PNR-richtlijn genoemde kenmerken, mogen de PIE en de bevoegde autoriteiten zich bij het uitfilteren van die personen dus in principe niet op deze kenmerken baseren. Zoals de Duitse regering ter terechtzitting heeft aangegeven, mogen zij daarentegen wel onder meer rekening houden met bijzonderheden in de manier waarop personen zich feitelijk gedragen bij het voorbereiden en maken van vliegtuigreizen, omdat uit de vaststellingen en de ervaring van de bevoegde autoriteiten zou kunnen blijken dat personen die zich op een bepaalde manier gedragen betrokken kunnen zijn bij terroristische misdrijven of ernstige criminaliteit.

200    Zoals de Commissie in deze context heeft aangegeven in antwoord op een vraag van het Hof moeten vooraf bepaalde criteria zodanig worden gekozen dat zowel „belastende” als „ontlastende” elementen in aanmerking worden genomen. Dit vereiste kan de criteria betrouwbaarder maken en kan met name verzekeren dat zij evenredig zijn in de zin van artikel 6, lid 4, tweede volzin, van de PNR-richtlijn.

201    Tot slot moeten vooraf bepaalde criteria volgens artikel 6, lid 4, derde volzin, van deze richtlijn regelmatig worden getoetst. Ze moeten worden aangepast indien de omstandigheden die de initiële selectie ervan voor de voorafgaande beoordeling rechtvaardigden, wijzigen, zodat met name kan worden ingespeeld op veranderingen in de strijd tegen de in punt 157 van het onderhavige arrest bedoelde terroristische misdrijven en ernstige criminaliteit [zie naar analogie arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 82]. Bij die toetsing moet vooral rekening worden gehouden met de ervaring die bij het toepassen van de vooraf bepaalde criteria is opgedaan, om het aantal „vals‑positieve” resultaten zo veel mogelijk te beperken en er zo voor te zorgen dat de toepassing van deze criteria strikt noodzakelijk is.

iii) Waarborgen voor de geautomatiseerde verwerking van PNR-gegevens

202    De vereisten die artikel 6, lid 4, van de PNR-richtlijn stelt aan het geautomatiseerd verwerken van PNR-gegevens gelden niet slechts bij het aanwijzen en het toetsen van de databanken en de in deze bepaling bedoelde vooraf bepaalde criteria maar, zoals de advocaat-generaal in punt 230 van zijn conclusie heeft opgemerkt, gedurende het gehele verwerkingsproces van de gegevens.

203    Wat meer in het bijzonder de vooraf bepaalde criteria betreft, moet om te beginnen worden verduidelijkt dat de PIE volgens overweging 7 van de PNR-richtlijn de beoordelingscriteria weliswaar zo moet kiezen dat het door deze richtlijn ingestelde systeem zo weinig mogelijk onschuldige personen aanwijst, maar volgens artikel 6, leden 5 en 6, ervan toch elke positieve overeenkomst afzonderlijk op niet-geautomatiseerde wijze moet controleren om zo veel mogelijk „vals‑positieve” resultaten te vermijden. Ook neemt het feit dat de PIE de beoordelingscriteria op niet-discriminerende wijze moet vaststellen niet weg dat zij een dergelijke controle moet uitvoeren om eventuele discriminerende resultaten uit te sluiten. Dezelfde controleverplichting geldt wanneer zij PNR-gegevens met databanken vergelijkt.

204    Zo mag de PIE de resultaten van deze geautomatiseerde verwerkingen, gelet op hetgeen is overwogen in punt 198 van dit arrest, niet doorgeven aan de in artikel 7 van de PNR-richtlijn bedoelde bevoegde instanties wanneer die controle niet rechtens genoegzaam een redelijk vermoeden kan vestigen dat de via de geautomatiseerde verwerking geïdentificeerde personen betrokken zijn bij terroristische misdrijven of ernstige criminaliteit, of wanneer er aanwijzingen zijn dat die verwerkingen discriminerende resultaten geven.

205    In termen van verificaties die de PIE daartoe moet uitvoeren, volgt uit artikel 6, leden 5 en 6, juncto de overwegingen 20 en 22 van de PNR-richtlijn dat de lidstaten duidelijke en nauwkeurige richtsnoeren moeten vaststellen voor de personeelsleden die met de afzonderlijke controle zijn belast, om een volledige eerbiediging van de grondrechten van de artikelen 7, 8 en 21 van het Handvest te garanderen en, in het bijzonder, een coherente administratieve praktijk binnen de PIE die het non-discriminatiebeginsel eerbiedigt.

206    Gelet op het vrij groot aantal „vals‑positieve” resultaten, waarover in punt 106 van dit arrest wordt gesproken, moeten de lidstaten erop toezien dat de PIE duidelijk en nauwkeurig objectieve controlecriteria vastlegt waarmee haar personeelsleden kunnen nagaan of en in hoeverre een positieve overeenkomst (hit) daadwerkelijk iemand betreft die mogelijk betrokken is bij de in punt 157 van dit arrest bedoelde terroristische misdrijven of ernstige criminaliteit en naar wie de bevoegde instanties als bedoeld in artikel 7 van die richtlijn bijgevolg nader onderzoek moeten verrichten, en of de automatische verwerkingen die op grond van die richtlijn worden uitgevoerd en met name de vooraf bepaalde criteria en de gehanteerde databanken niet-discriminerend zijn.

207    In deze context dienen de lidstaten ervoor te zorgen dat de PIE overeenkomstig artikel 13, lid 5, juncto overweging 37 van de PNR-richtlijn elke verwerking documenteert die tijdens de voorafgaande beoordeling, inclusief de afzonderlijke niet-geautomatiseerde controle, wordt verricht, zodat de rechtmatigheid ervan kan worden gecontroleerd en interne controle kan worden uitgeoefend.

208    Voorts mogen de bevoegde instanties volgens artikel 7, lid 6, eerste volzin, van de PNR-richtlijn niet uitsluitend op grond van automatisch verwerkte PNR-gegevens besluiten nemen die voor de betrokkenen nadelige juridische of andere ingrijpende gevolgen hebben, wat in het kader van de voorafgaande beoordeling impliceert dat zij rekening moeten houden met het resultaat van de afzonderlijke niet-geautomatiseerde controle van de PIE en in voorkomend geval dit resultaat moeten laten primeren op dat van de geautomatiseerde verwerking. Volgens de tweede volzin van artikel 7, lid 6, moeten dergelijke besluiten niet‑discriminerend zijn.

209    De bevoegde instanties moeten zich daarbij vergewissen van de rechtmatigheid van zowel de geautomatiseerde verwerking – met name van het niet-discriminerende karakter ervan – als de afzonderlijke controle.

210    Zij moeten er inzonderheid op toezien dat de belanghebbende – zonder dat hij tijdens de administratieve procedure per se kennis moet kunnen hebben van de vooraf bepaalde beoordelingscriteria en van de programma’s die met deze criteria werken – kan begrijpen hoe deze criteria en programma’s functioneren, zodat hij met volledige kennis van zaken kan beslissen of hij al dan niet zijn door artikel 13, lid 1, van de PNR-richtlijn gewaarborgd recht op het aanwenden van rechtsmiddelen wenst uit te oefenen om in voorkomend geval het onrechtmatige en met name discriminerende karakter van die criteria aan te vechten (zie naar analogie arrest van 24 november 2020, Minister van Buitenlandse Zaken, C‑225/19 en C‑226/19, EU:C:2020:951, punt 43 en aldaar aangehaalde rechtspraak). Hetzelfde dient te gelden voor de controlecriteria als bedoeld in punt 206 van het onderhavige arrest.

211    Bij een krachtens artikel 13, lid 1, van de PNR-richtlijn ingesteld beroep moeten, ten slotte, de rechter die belast is met de wettigheidscontrole van de door de bevoegde instanties genomen beslissing en, behalve bij bedreigingen voor de staatsveiligheid, de betrokkene zelf kennis kunnen nemen van alle motieven en van de bewijzen op basis waarvan die beslissing is genomen (zie naar analogie arrest van 4 juni 2013, ZZ, C‑300/11, EU:C:2013:363, punten 54‑59), inclusief de vooraf bepaalde beoordelingscriteria en de werking van de programma’s die deze criteria gebruiken.

212    Voorts moeten de functionaris voor gegevensbescherming en de nationale toezichthoudende autoriteit er overeenkomstig artikel 6, lid 7, respectievelijk artikel 15, lid 3, onder b), van de PNR-richtlijn op toezien dat de door de PIE tijdens de voorafgaande beoordeling uitgevoerde geautomatiseerde verwerkingen rechtmatig en met name niet-discriminerend zijn. Waar de functionaris voor gegevensbescherming volgens die eerste bepaling toegang heeft tot de gegevens die de PIE heeft verwerkt, strekt deze toegang zich noodzakelijkerwijs ook uit tot de vooraf bepaalde criteria en de databanken die de PIE heeft gebruikt, zodat hij efficiëntie en een hoog niveau van gegevensbescherming kan waarborgen, zoals overweging 37 van deze richtlijn vereist. Ook de onderzoeken, inspecties en controles die de nationale toezichthoudende autoriteit krachtens die tweede bepaling uitvoert, kunnen betrekking hebben op die vooraf bepaalde criteria en databanken.

213    Uit alle voorgaande overwegingen volgt dat aan de bepalingen van de PNR-richtlijn die de in artikel 6, lid 2, onder a), van deze richtlijn bedoelde voorafgaande beoordeling regelen, een uitlegging kan worden gegeven die in overeenstemming is met de artikelen 7, 8 en 21 van het Handvest, waarbij de grenzen van het strikt noodzakelijke worden gerespecteerd.

6)      Achteraf verstrekken en beoordelen van PNR-gegevens

214    Volgens artikel 6, lid 2, onder b), van de PNR-richtlijn kunnen PNR-gegevens ook, op verzoek van de bevoegde instanties, worden verstrekt en beoordeeld ná de geplande aankomst in of het geplande vertrek uit de lidstaat.

215    Wat de voorwaarden voor een dergelijke verstrekking en beoordeling betreft, blijkt uit de tekst van deze bepaling dat de PIE „per geval” een „op afdoende gronden gebaseerd, gemotiveerd verzoek” van de bevoegde instanties kan inwilligen om „in bepaalde gevallen” PNR-gegevens te verstrekken en te verwerken „voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit”. Voor het geval dat het verzoek wordt ingediend meer dan zes maanden nadat de PIE de PNR-gegevens heeft ontvangen – na welke termijn de PNR-gegevens overeenkomstig artikel 12, lid 2, van deze richtlijn worden gedepersonaliseerd doordat bepaalde gegevenselementen ervan worden afgeschermd – bepaalt artikel 12, lid 3, van deze richtlijn dat de volledige PNR-gegevens – dus inclusief de niet-gedepersonaliseerde versie ervan – uitsluitend mogen worden meegedeeld op de dubbele voorwaarde dat redelijkerwijs kan worden aangenomen dat dit noodzakelijk is voor de in artikel 6, lid 2, onder b), van deze richtlijn genoemde doeleinden en wordt goedgekeurd door een gerechtelijke instantie of een andere volgens het nationale recht bevoegde nationale instantie.

216    In dit verband blijkt reeds uit de tekst van artikel 6, lid 2, onder b), van de PNR-richtlijn dat de PIE niet systematisch de PNR-gegevens van alle luchtreizigers achteraf kan verstrekken en beoordelen, maar louter „per geval” „in bepaalde gevallen” verzoeken daartoe kan inwilligen. Toch is het niet omdat van „bepaalde gevallen” wordt gesproken dat noodzakelijkerwijs slechts PNR-gegevens van één vliegtuigpassagier mogen worden verwerkt. Zoals de Commissie in antwoord op een vraag van het Hof heeft aangegeven, kan het ook om meerdere personen gaan mits zij een bepaald aantal kenmerken gemeen hebben waardoor zij samen kunnen worden geacht een „bepaald geval” te vormen voor de gevraagde mededeling en beoordeling.

217    Wat vervolgens de materiële voorwaarden betreft om PNR-gegevens van luchtreizigers achteraf te verstrekken en beoordelen, wordt in artikel 6, lid 2, onder b), en artikel 12, lid 3, onder a), van de PNR-richtlijn gesproken van „afdoende gronden” respectievelijk „redelijkerwijze”, maar wordt niet gepreciseerd om wat soort gronden het moet gaan. Niettemin blijkt uit de tekst van eerstgenoemde bepaling, die verwijst naar de doeleinden in artikel 1, lid 2, van deze richtlijn, dat PNR-gegevens alleen achteraf mogen worden verstrekt en beoordeeld om na te gaan of er aanwijzingen zijn dat personen mogelijkerwijs betrokken zijn bij terroristische misdrijven of ernstige vormen van criminaliteit die, zoals uit punt 157 van dit arrest blijkt, op zijn minst indirect objectief verband houden met het luchtvervoer van passagiers.

218    Volgens het door de PNR-richtlijn ingestelde systeem zijn de PNR-gegevens die krachtens artikel 6, lid 2, onder b), van deze richtlijn worden verstrekt en verwerkt, gegevens van personen die reeds vóór hun geplande aankomst in of gepland vertrek uit de betrokken lidstaat zijn beoordeeld. Een verzoek om een beoordeling achteraf kan trouwens met name betrekking hebben op personen wier PNR-gegevens na de voorafgaande beoordeling niet aan de bevoegde autoriteiten werden doorgegeven, omdat er toen geen aanwijzingen waren dat zij betrokken konden zijn bij terroristische misdrijven of ernstige vormen van criminaliteit die op zijn minst indirect objectief verband hielden met het luchtvervoer van passagiers. Derhalve moet het verstrekken en verwerken van die gegevens voor een beoordeling achteraf gebaseerd zijn op nieuwe omstandigheden die dit gebruik rechtvaardigen [zie in die zin advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 200 en aldaar aangehaalde rechtspraak].

219    In termen van het soort omstandigheden dat kan rechtvaardigen dat PNR-gegevens achteraf worden verstrekt en verwerkt om te worden beoordeeld, is het vaste rechtspraak dat een algemene toegang tot alle bewaarde gegevens los van enig – zelfs ook maar indirect – verband met het nagestreefde doel niet kan worden geacht tot het strikt noodzakelijke te zijn beperkt, zodat de betrokken regeling, of dit nu de Unieregeling dan wel een nationale regeling ter omzetting daarvan is, aan de hand van objectieve criteria moet bepalen in welke omstandigheden en onder welke voorwaarden aan de bevoegde instanties toegang tot de betrokken gegevens moet worden verleend. In dit verband kan in beginsel voor het doel van bestrijding van criminaliteit slechts toegang worden verleend tot de gegevens van personen die ervan worden verdacht een ernstig strafbaar feit te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn bij een dergelijk strafbaar feit. In bijzondere situaties, zoals die waarin vitale belangen van nationale veiligheid, landsverdediging of openbare veiligheid door terroristische activiteiten worden bedreigd, kan echter ook toegang tot de gegevens van andere personen worden verleend, wanneer op grond van objectieve elementen kan worden geoordeeld dat deze gegevens in het concrete geval een daadwerkelijke bijdrage tot de bestrijding van dergelijke activiteiten zouden kunnen leveren [arresten van 2 maart 2021, Prokuratuur (Voorwaarden voor toegang tot elektronische-communicatiegegevens), C‑746/18, EU:C:2021:152, punt 50 en aldaar aangehaalde rechtspraak, en 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 105].

220    De termen „afdoende gronden” en „redelijkerwijze” in artikel 6, lid 2, onder b), respectievelijk artikel 12, lid 3, onder a), van de PNR-richtlijn moeten dan ook in het licht van de artikelen 7 en 8 van het Handvest in die zin worden uitgelegd dat zij verwijzen naar objectieve elementen die redelijkerwijs het vermoeden kunnen wekken dat iemand op een of andere manier betrokken is bij ernstige criminaliteit die minstens indirect een objectief verband vertoont met het luchtvervoer van passagiers. Voor terroristische misdrijven met een dergelijk verband is aan deze voorwaarde voldaan wanneer op grond van objectieve elementen kan worden geoordeeld dat de PNR-gegevens in een concreet geval een daadwerkelijke bijdrage tot de bestrijding van die misdrijven zouden kunnen leveren.

221    Wat tot slot de procedurele voorwaarden betreft voor het achteraf verstrekken en verwerken van PNR-gegevens voor een beoordeling, is het zo dat ingeval het verzoek wordt ingediend meer dan zes maanden nadat de gegevens aan de PIE zijn doorgegeven – en deze dus overeenkomstig artikel 12, lid 2, van de PNR-richtlijn reeds zijn gedepersonaliseerd door afscherming van de in dit lid genoemde elementen – artikel 12, lid 3, onder b), van deze richtlijn vereist dat een mededeling van de volledige PNR-gegevens – dat wil zeggen inclusief een niet-gedepersonaliseerde versie ervan – wordt goedgekeurd door een gerechtelijke instantie of een andere nationale instantie die volgens het nationale recht bevoegd is. Deze instanties dienen daarbij na te gaan of het verzoek gegrond is en meer bepaald of de ter ondersteuning van dit verzoek aangevoerde elementen kunnen aantonen dat voldaan is aan de in het vorige punt van dit arrest genoemde materiële voorwaarde dat er „afdoende gronden” bestaan.

222    Artikel 6, lid 2, onder b), van de PNR-richtlijn stelt deze procedurele voorwaarde niet uitdrukkelijk voor het geval dat een verzoek om PNR-gegevens achteraf mee te delen en te beoordelen wordt ingediend vóórdat de termijn van zes maanden na doorgifte ervan verstrijkt. Toch moet bij de uitlegging van deze bepaling rekening worden gehouden met overweging 25 van deze richtlijn, waaruit blijkt dat de Uniewetgever met die procedurele voorwaarde „het hoogste niveau van gegevensbescherming” heeft willen verzekeren bij toegang tot PNR-gegevens in een vorm waarmee de betrokkene rechtstreeks kan worden geïdentificeerd. Elk verzoek om mededeling en beoordeling achteraf impliceert een dergelijke toegang, ongeacht of het verzoek vóór dan wel ná het verstrijken van de periode van zes maanden na doorgifte van de PNR-gegevens aan de PIE wordt ingediend.

223    Om in de praktijk te garanderen dat de grondrechten en met name de voorwaarden in de punten 218 en 219 van dit arrest volledig worden geëerbiedigd in het door de PNR-richtlijn ingestelde systeem, is het van essentieel belang dat het achteraf ter beoordeling meedelen van PNR-gegevens in beginsel – behalve in naar behoren gerechtvaardigde dringende gevallen – wordt onderworpen aan een voorafgaande controle door hetzij een rechterlijke instantie, hetzij een onafhankelijke bestuurlijke entiteit, en dat de beslissing van deze rechterlijke instantie of deze entiteit wordt gegeven naar aanleiding van een gemotiveerd verzoek dat de bevoegde autoriteiten met name in het kader van een procedure ter voorkoming, opsporing of vervolging van strafbare feiten hebben ingediend. In naar behoren gemotiveerde urgente gevallen dient die controle op korte termijn plaats te vinden [zie naar analogie advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 202 en aldaar aangehaalde rechtspraak, en arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 110].

224    Derhalve moet het vereiste van een voorafgaande controle waarin artikel 12, lid 3, onder b), van de PNR-richtlijn voorziet voor verzoeken om mededeling van PNR-gegevens ná het verstrijken van de termijn van zes maanden na doorgifte ervan aan de PIE, mutatis mutandis ook gelden voor het geval waarin dat verzoek vóór het verstrijken van deze termijn wordt gedaan.

225    Artikel 12, lid 3, onder b), van de PNR-richtlijn preciseert niet uitdrukkelijk aan welke vereisten de met de voorafgaande toetsing belaste instantie moet voldoen. Het is evenwel vaste rechtspraak dat die instantie, om te verzekeren dat de uit de toegang tot de persoonsgegevens voortvloeiende inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten beperkt blijft tot het strikt noodzakelijke, over alle bevoegdheden moet beschikken en alle noodzakelijke waarborgen moet bieden om ervoor te zorgen dat de verschillende betrokken belangen en rechten met elkaar in overeenstemming worden gebracht. In het specifieke geval van een strafrechtelijk onderzoek vereist een dergelijke toetsing dat die instantie in staat is een juist evenwicht te verzekeren tussen, enerzijds, de legitieme belangen die verband houden met de behoeften van het onderzoek in het kader van de bestrijding van criminaliteit, en, anderzijds, de fundamentele rechten op eerbiediging van de persoonlijke levenssfeer en op bescherming van de persoonsgegevens van de personen op wier gegevens de toegang betrekking heeft (arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 107 en aldaar aangehaalde rechtspraak).

226    Daartoe moet die instantie een zodanige status hebben dat zij bij de uitoefening van haar taken objectief en onpartijdig kan handelen, en moet zij vrij zijn van elke invloed van buitenaf. Dit vereiste van onafhankelijkheid impliceert dat zij de hoedanigheid van derde moet hebben ten opzichte van de instantie die om toegang tot de gegevens verzoekt, zodat zij de toetsing zonder beïnvloeding van buitenaf kan verrichten. In het bijzonder impliceert het vereiste van onafhankelijkheid op strafrechtelijk gebied dat die instantie enerzijds niet betrokken mag zijn bij de uitvoering van het betrokken strafrechtelijk onderzoek en anderzijds neutraal moet zijn ten opzichte van de partijen in de strafprocedure (zie in die zin arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 108 en aldaar aangehaalde rechtspraak).

227    Bijgevolg kan aan de bepalingen van de PNR-richtlijn die de verstrekking en beoordeling achteraf van PNR-gegevens als bedoeld in artikel 6, lid 2, onder b), van deze richtlijn regelen, een met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest conforme uitlegging worden gegeven, waarbij zij binnen de grenzen van het strikt noodzakelijke blijven.

228    Gelet op alle voorgaande overwegingen garandeert een uitlegging van de PNR-richtlijn in het licht van de artikelen 7, 8 en 21 en artikel 52, lid 1, van het Handvest dat deze richtlijn in overeenstemming is met deze artikelen van het Handvest, en is bij het onderzoek van de tweede tot en met de vierde vraag en de zesde vraag dus niet gebleken van feiten of omstandigheden die de geldigheid van deze richtlijn kunnen aantasten.

C.      Vijfde vraag

229    Met zijn vijfde vraag wenst de verwijzende rechter te vernemen of artikel 6 van de PNR-richtlijn, gelezen in het licht van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen nationale wetgeving die toestaat dat overeenkomstig deze richtlijn verzamelde PNR-gegevens worden verwerkt zodat de inlichtingen- en veiligheidsdienst toezicht kan uitoefenen op activiteiten.

230    Uit het verzoek om een prejudiciële beslissing blijkt dat de verwijzende rechter met deze vraag meer in het bijzonder doelt op de activiteiten van de Veiligheid van de Staat (België) en de Algemene Inlichtingen- en Veiligheidsdienst (België) in het kader van hun respectieve taken op het gebied van de bescherming van de nationale veiligheid.

231    De Uniewetgever heeft ter eerbiediging van de beginselen van wettigheid en evenredigheid, waarop artikel 52, lid 1, van het Handvest met name ziet, duidelijke en nauwkeurige regels vastgesteld rond de doeleinden van de maatregelen van de PNR-richtlijn die inmengingen veroorzaken in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten.

232    Artikel 1, lid 2, van de PNR-richtlijn bepaalt namelijk uitdrukkelijk dat overeenkomstig deze richtlijn verzamelde PNR-gegevens uitsluitend mogen worden verwerkt „om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen overeenkomstig artikel 6, lid 2, onder a), b) en c)[, van deze richtlijn]”. Laatstgenoemde bepaling bevestigt het principe van artikel 1, lid 2, en hanteert systematisch de begrippen „terroristisch misdrijf” en „ernstige criminaliteit”.

233    Uit de bewoordingen van deze bepalingen blijkt dus duidelijk dat de daarin gegeven opsomming van de doelstellingen die met de verwerking van PNR-gegevens krachtens de PNR-richtlijn worden nagestreefd, exhaustief is.

234    Deze uitlegging vindt onder meer steun in overweging 11 van de PNR-richtlijn, volgens welke de verwerking van PNR-gegevens evenredig moet zijn aan „de specifieke veiligheidsdoelen” die met deze richtlijn worden nagestreefd, en in artikel 7, lid 4, ervan, dat luidt dat PNR-gegevens en het verwerkingsresultaat daarvan die van de PIE zijn ontvangen, uitsluitend verder mogen worden verwerkt „met als specifieke doelstellingen het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit”.

235    Het exhaustieve karakter van de doelstellingen in artikel 1, lid 2, van de PNR-richtlijn impliceert voorts ook dat PNR-gegevens niet mogen worden bewaard in één databank die zowel voor deze als voor andere doeleinden kan worden geraadpleegd. Dit zou immers het risico inhouden dat de gegevens worden gebruikt voor andere doeleinden dan de in artikel 1, lid 2, genoemde.

236    Voor zover volgens de in het hoofdgeding aan de orde zijnde nationale wetgeving „toezien op activiteiten van de inlichtingen‑ en veiligheidsdienst” een doelstelling van het verwerken van PNR-gegevens is, en deze doelstelling dus mee wordt begrepen in het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, zoals de verwijzende rechter meent, gaat deze wetgeving mogelijkerwijs voorbij aan het uitputtend karakter van de lijst van doeleinden die de verwerking van PNR-gegevens bij de PNR-richtlijn nastreeft. Het staat aan de verwijzende rechter om dit te verifiëren.

237    Bijgevolg dient op de vijfde vraag te worden geantwoord dat artikel 6 van de PNR-richtlijn, gelezen in het licht van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen nationale wetgeving die toestaat dat overeenkomstig deze richtlijn verzamelde PNR-gegevens worden verwerkt voor andere doeleinden dan die welke uitdrukkelijk worden genoemd in artikel 1, lid 2, van deze richtlijn.

D.      Zevende vraag

238    Met zijn zevende vraag wenst de verwijzende rechter in essentie te vernemen of artikel 12, lid 3, onder b), van de PNR-richtlijn aldus moet worden uitgelegd dat het zich verzet tegen nationale wetgeving waarbij de instantie die wordt opgericht om als PIE op te treden ook de hoedanigheid heeft van nationale instantie die bevoegd is om de mededeling van PNR-gegevens na het verstrijken van de periode van zes maanden na doorgifte ervan aan de PIE goed te keuren.

239    Om te beginnen zij opgemerkt dat de Belgische regering betwijfelt of het Hof wel bevoegd is om deze vraag, zoals deze door de verwijzende rechter is geformuleerd, te beantwoorden, aangezien enkel deze laatste bevoegd is om nationale bepalingen uit te leggen en met name de uit de uit de wet van 25 december 2016 voortvloeiende vereisten te toetsen aan artikel 12, lid 3, onder b), van de PNR-richtlijn.

240    In dit verband volstaat het erop te wijzen dat de verwijzende rechter met deze vraag verzoekt om uitlegging van een bepaling van Unierecht. Bovendien is het in een krachtens artikel 267 VWEU ingeleide procedure weliswaar de taak van de rechterlijke instanties van de lidstaten en niet van het Hof om uitlegging te geven aan de nationale bepalingen en staat het niet aan het Hof om uitspraak te doen over de verenigbaarheid van nationale normen met de bepalingen van Unierecht, maar is het Hof wel bevoegd om de nationale rechter alle uitleggingselementen van Unierecht te geven die hem in staat stellen te beoordelen of de nationale normen verenigbaar zijn met de Unieregeling (arrest van 30 april 2020, CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, punt 28 en aldaar aangehaalde rechtspraak). Bijgevolg is het Hof bevoegd om de zevende vraag te beantwoorden.

241    Ten gronde zij erop gewezen dat artikel 12, lid 3, onder b), van de PNR-richtlijn, waarin in de punten i) en ii) wordt gesproken van „een gerechtelijke instantie” respectievelijk „een andere nationale instantie die volgens het nationale recht bevoegd is om na te gaan of aan de voorwaarden voor mededeling is voldaan”, deze twee instanties op hetzelfde niveau plaatst, zoals blijkt uit het voegwoord „of” tussen punt i) en punt ii). Uit deze bewoordingen blijkt dus dat de „andere” bevoegde nationale instantie die hier wordt bedoeld, een alternatief is voor de gerechtelijke instantie en derhalve een vergelijkbaar niveau van onafhankelijkheid en onpartijdigheid moet hebben.

242    Deze analyse vindt steun in de in overweging 25 van de PNR-richtlijn genoemde doelstelling van deze richtlijn om het hoogste niveau van gegevensbescherming te waarborgen wanneer toegang tot de volledige PNR-gegevens wordt verleend en de betrokkene dus rechtstreeks kan worden geïdentificeerd. In diezelfde overweging wordt trouwens verduidelijkt dat ná de termijn van zes maanden na de doorgifte van de PNR-gegevens aan de PIE, een dergelijke volledige toegang slechts onder zeer strikte voorwaarden kan worden verleend.

243    Deze analyse wordt ook bevestigd door de ontstaansgeschiedenis van de PNR-richtlijn. Terwijl het in punt 155 van dit arrest vermelde voorstel van richtlijn, dat aan de PNR-richtlijn ten grondslag ligt, louter bepaalde dat „toegang tot de volledige PNR-gegevens enkel kan worden verleend door de verantwoordelijke van de passagiersinformatie-eenheid”, worden in de versie van artikel 12, lid 3, onder b), van deze richtlijn waarvoor de Uniewetgever uiteindelijk heeft gekozen enerzijds de gerechtelijke instanties aangewezen en anderzijds „andere nationale [instanties]” die bevoegd zijn om na te gaan of de voorwaarden voor mededeling van de integrale PNR-gegevens zijn vervuld en om deze mededeling toe te staan, waarbij deze twee soorten instanties op hetzelfde niveau worden geplaatst.

244    Voorts is het overeenkomstig de in de punten 223, 225 en 226 van dit arrest aangehaalde rechtspraak vooral essentieel dat de toegang van de bevoegde autoriteiten tot de bewaarde gegevens wordt onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit, en dat deze rechterlijke instantie of deze entiteit haar beslissing geeft op een met redenen omkleed verzoek van die autoriteiten dat met name wordt ingediend in het kader van procedures ter voorkoming, opsporing of vervolging van strafbare feiten. Het vereiste van onafhankelijkheid voor de instantie die de voorafgaande toetsing moet verrichten, impliceert ook dat zij de hoedanigheid van derde moet hebben ten opzichte van de autoriteit die om toegang tot de gegevens verzoekt, zodat zij de toetsing objectief en onpartijdig en zonder beïnvloeding van buitenaf kan verrichten. In het bijzonder impliceert het vereiste van onafhankelijkheid op strafrechtelijk gebied dat de instantie die belast is met die voorafgaande toetsing enerzijds niet betrokken mag zijn bij de uitvoering van het betrokken strafrechtelijk onderzoek en anderzijds neutraal moet zijn ten opzichte van de partijen in de strafprocedure.

245    Zoals de advocaat-generaal in punt 271 van zijn conclusie heeft opgemerkt, bepaalt artikel 4 van de PNR-richtlijn in de leden 1 en 3 dat de PIE die in elke lidstaat wordt opgericht of aangewezen een instantie moet zijn die bevoegd is om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen, en dat het personeel van de PIE kan worden gedetacheerd uit de in artikel 7 van deze richtlijn bedoelde bevoegde instanties. De PIE lijkt dan ook noodzakelijkerwijs verbonden te zijn aan deze instanties. De PIE kan volgens artikel 6, lid 2, onder b), van deze richtlijn ook PNR-gegevens verwerken en het resultaat daarvan aan hen doorgeven. Bijgevolg kan de PIE niet worden geacht de hoedanigheid van derde ten aanzien van die instanties te hebben en dus over de nodige onafhankelijkheid en onpartijdigheid te beschikken om de in het vorige punt van dit arrest genoemde voorafgaande toetsing te verrichten en na te gaan of voldaan is aan de voorwaarden om de volledige PNR-gegevens mee te delen als bedoeld in artikel 12, lid 3, onder b), ervan.

246    Hieraan wordt niet afgedaan door het feit dat laatstgenoemde bepaling in punt ii) vereist dat wanneer de mededeling van de volledige PNR-gegevens wordt goedgekeurd door een „andere nationale instantie”, de functionaris voor gegevensbescherming van de PIE hiervan in kennis wordt gesteld en een controle achteraf verricht, terwijl dit niet wordt vereist wanneer een gerechtelijke instantie die goedkeuring verleent. Volgens vaste rechtspraak kan met een latere controle – zoals die welke de functionaris voor gegevensbescherming verricht – immers niet worden tegemoetgekomen aan het doel van een voorafgaande toetsing, dat erin bestaat te verhinderen dat tot de betrokken gegevens een toegang wordt verleend die verder gaat dan strikt noodzakelijk is (zie in die zin arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 110 en aldaar aangehaalde rechtspraak).

247    Gelet op al deze overwegingen dient op de zevende vraag te worden geantwoord dat artikel 12, lid 3, onder b), van de PNR-richtlijn aldus moet worden uitgelegd dat het zich verzet tegen nationale wetgeving waarbij de instantie die wordt opgericht om als PIE op te treden ook de hoedanigheid heeft van nationale instantie die bevoegd is om de mededeling van PNR-gegevens na het verstrijken van de periode van zes maanden na doorgifte ervan aan de PIE goed te keuren.

E.      Achtste vraag

248    Met de achtste vraag wenst de verwijzende rechter in wezen te vernemen of artikel 12 van de PNR-richtlijn, gelezen in samenhang met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen nationale wetgeving die voor PNR-gegevens een algemene bewaartermijn van vijf jaar voorschrijft, zonder onderscheid naargelang de betrokken passagiers wel of geen risico op het gebied van terroristische misdrijven of ernstige criminaliteit vormen.

249    Er zij aan herinnerd dat volgens artikel 12, leden 1 en 4, van deze richtlijn de PIE van de lidstaat waar de betrokken vlucht aankomt of vertrekt, de door de luchtvaartmaatschappijen doorgegeven PNR-gegevens gedurende vijf jaar na doorgifte bewaart in een databank, en daarna definitief wist.

250    Zoals in overweging 25 van de PNR-richtlijn in herinnering wordt gebracht, dient „de bewaartermijn voor PNR-gegevens […] zo lang te zijn als noodzakelijk is voor en evenredig te zijn aan de doelstellingen, namelijk het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit”.

251    Bijgevolg kan het krachtens artikel 12, lid 1, van de PNR-richtlijn bewaren van PNR-gegevens niet worden gerechtvaardigd indien er geen objectief verband is tussen de bewaring en de met deze richtlijn nagestreefde doelstellingen, namelijk het bestrijden van terroristische misdrijven en ernstige vormen van criminaliteit die minstens indirect een objectief verband vertonen met het luchtvervoer van passagiers.

252    Blijkens overweging 25 van de PNR-richtlijn moet een onderscheid worden gemaakt tussen de initiële bewaartermijn van zes maanden, zoals bedoeld in artikel 12, lid 2, van deze richtlijn, en de periode daarna, zoals bedoeld in artikel 12, lid 3.

253    Bij de uitlegging van artikel 12, lid 1, van de PNR-richtlijn moet rekening worden gehouden met de leden 2 en 3 van dit artikel, die de bewaring van en toegang tot PNR-gegevens na de initiële bewaartermijn van zes maanden regelen. Zoals uit overweging 25 van deze richtlijn volgt, geven deze bepalingen enerzijds het belang weer dat PNR-gegevens „lang genoeg […] worden bewaard om er een analyse mee te kunnen uitvoeren en ze bij onderzoek te kunnen gebruiken”, wat reeds tijdens de initiële bewaartermijn van zes maanden kan, en anderzijds de noodzaak om „onevenredig gebruik” te voorkomen, door deze gegevens af te schermen, en „te zorgen voor het hoogste niveau van gegevensbescherming” door toegang in een vorm waardoor de betrokkene rechtstreeks kan worden geïdentificeerd, „uitsluitend onder zeer strikte en restrictieve voorwaarden [toe te staan] na die initiële bewaartermijn” en er aldus rekening mee te houden dat hoe langer de PNR-gegevens worden bewaard, hoe ernstiger de inmenging is.

254    Het onderscheid tussen de initiële bewaartermijn van zes maanden, (artikel 12, lid 2, van de PNR-richtlijn) en de periode daarna (artikel 12, lid 3, ervan) moet worden doorgetrokken naar het in punt 251 van dit arrest genoemde vereiste.

255    Gelet op de doelstellingen van de PNR-richtlijn en de noden die bestaan bij het onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, moet dan ook worden geoordeeld dat het gedurende de initiële termijn van zes maanden bewaren van PNR-gegevens van alle luchtreizigers die onder het systeem van deze richtlijn vallen, ook zonder enige aanwijzing dat zij betrokken zijn bij terroristische misdrijven of ernstige criminaliteit, in beginsel niet verder lijkt te gaan dan strikt noodzakelijk is, aangezien op die manier de nodige opzoekingen kunnen worden gedaan teneinde personen te identificeren die nog niet van terroristische misdrijven of ernstige criminaliteit worden verdacht.

256    Wat de periode daarna betreft daarentegen (artikel 12, lid 3, van de PNR-richtlijn), houdt het bewaren van PNR-gegevens van alle luchtreizigers die onder het systeem van deze richtlijn vallen niet alleen – gezien de aanzienlijke hoeveelheid gegevens die continu kunnen worden bewaard – inherente risico’s van onevenredig gebruik en misbruik in (zie naar analogie arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 119), maar druist het ook in tegen het vereiste van overweging 25 van deze richtlijn, namelijk dat de gegevens niet langer worden bewaard dan noodzakelijk is voor en evenredig is aan de nagestreefde doelstellingen. De Uniewetgever heeft immers het hoogste niveau van gegevensbescherming willen invoeren voor PNR-gegevens waarmee de betrokkenen rechtstreeks kunnen worden geïdentificeerd.

257    Wat luchtreizigers betreft waarvoor noch uit de voorafgaande beoordeling [artikel 6, lid 2, onder a), van de PNR-richtlijn] noch uit eventuele controles in de periode van zes maanden (artikel 12, lid 2, van deze richtlijn) noch uit andere omstandigheden is gebleken dat er objectieve aanwijzingen bestaan dat zij een gevaar vormen op het gebied van terroristische misdrijven of ernstige criminaliteit met een minstens indirect objectief verband met de door hen genomen vlucht, lijkt er tussen hun PNR-gegevens en de doelstelling van deze richtlijn immers geen verband – zelfs geen indirect verband – te bestaan dat de bewaring van deze gegevens rechtvaardigt [zie naar analogie advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punten 204 en 205].

258    De duurzame opslag van de PNR-gegevens van alle reizigers na de initiële periode van zes maanden is dus niet beperkt tot wat strikt noodzakelijk is [zie naar analogie advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 206].

259    Wanneer in specifieke gevallen op basis van objectieve elementen, zoals PNR-gegevens die een geverifieerde positieve overeenkomst opleveren, kan worden aangenomen dat bepaalde reizigers een risico kunnen vormen op het gebied van terrorisme of ernstige criminaliteit, lijkt het echter wel toelaatbaar hun PNR-gegevens langer dan die initiële periode op te slaan [zie naar analogie advies 1/15 (PNR-Overeenkomst EU-Canada) van 26 juli 2017, EU:C:2017:592, punt 207 en aldaar aangehaalde rechtspraak].

260    Deze objectieve elementen leggen immers een verband met de doeleinden die de PNR-richtlijn met de verwerking nastreeft, zodat het gerechtvaardigd is de PNR-gegevens van die passagiers te bewaren gedurende de door deze richtlijn toegestane maximumtermijn, te weten vijf jaar.

261    Aangezien de wetgeving in het hoofdgeding lijkt te voorzien in een algemene bewaartermijn voor PNR-gegevens van vijf jaar die zonder onderscheid geldt voor alle passagiers, ook passagiers waarvoor noch uit de voorafgaande beoordeling [artikel 6, lid 2, onder a), van de PNR-richtlijn] noch uit eventuele controles tijdens de initiële periode van zes maanden noch uit andere omstandigheden is gebleken dat er objectieve aanwijzingen bestaan dat zij een gevaar vormen op het gebied van terroristische misdrijven of ernstige criminaliteit, is die wetgeving mogelijkerwijs in strijd met artikel 12, lid 1, van deze richtlijn, gelezen in het licht van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, tenzij daaraan een met deze bepalingen conforme uitlegging kan worden gegeven, wat de verwijzende rechter dient na te gaan.

262    Gelet op het voorgaande dient op de achtste vraag te worden geantwoord dat artikel 12, lid 1, van de PNR-richtlijn, gelezen in samenhang met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen nationale wetgeving die voor PNR-gegevens een algemene bewaartermijn van vijf jaar voorschrijft die zonder onderscheid geldt voor alle luchtreizigers, ook luchtreizigers van wie noch uit de voorafgaande beoordeling [artikel 6, lid 2, onder a), van deze richtlijn], noch uit eventuele controles tijdens de periode van zes maanden (artikel 12, lid 2, van deze richtlijn), noch uit andere omstandigheden is gebleken dat er objectieve aanwijzingen bestaan dat zij een gevaar vormen op het gebied van terroristische misdrijven of ernstige criminaliteit met een minstens indirect objectief verband met het luchtvervoer van passagiers.

F.      Negende vraag, onder a)

263    Met zijn negende vraag, onder a), wenst de verwijzende rechter in wezen te vernemen of de API-richtlijn geldig is in het licht van artikel 3, lid 2, VEU en artikel 45 van het Handvest, er daarbij van uitgaande dat de bij deze richtlijn opgelegde verplichtingen gelden voor vluchten binnen de EU.

264    Zoals de advocaat-generaal in punt 277 van zijn conclusie heeft aangegeven en de Raad, de Commissie en verschillende regeringen hebben opgemerkt, is deze premisse echter onjuist.

265    Artikel 3, lid 1, van de API-richtlijn bepaalt namelijk dat de lidstaten de nodige maatregelen moeten nemen om vervoerders te verplichten aan de autoriteiten die belast zijn met de controle van personen aan de buitengrenzen, vóór het eind van de instapcontroles desgevraagd informatie te verstrekken over de passagiers die zij zullen vervoeren naar een aangewezen grensdoorlaatpost via welke deze personen het grondgebied van een lidstaat binnenkomen. Deze gegevens worden volgens artikel 6, lid 1, van deze richtlijn verstrekt aan de autoriteiten die belast zijn met de controle aan de buitengrenzen via welke de passagier dit grondgebied zal binnenkomen, en worden onder de in deze bepaling genoemde voorwaarden verwerkt.

266    Uit deze bepalingen, gelezen in het licht van artikel 2, onder a), b) en d), van de API-richtlijn, waarin de begrippen „vervoerder”, „buitengrenzen” en „grensdoorlaatpost” worden gedefinieerd, blijkt duidelijk dat deze richtlijn luchtvaartmaatschappijen enkel verplicht de in artikel 3, lid 2, ervan bedoelde gegevens door te geven aan de met de controle van de buitengrenzen belaste autoriteiten indien passagiers worden gevlogen naar een aangewezen doorlaatpost aan de buitengrenzen van een lidstaat met een derde land, en dat enkel voor deze vluchten gegevens worden verwerkt.

267    Deze richtlijn legt geen enkele verplichting op voor gegevens van passagiers die enkel over interne grenzen van de lidstaten vliegen.

268    Hieraan moet worden toegevoegd dat de PNR-richtlijn, zoals uit overweging 9 en artikel 8, lid 2, ervan blijkt, de in artikel 3, lid 2, van de API-richtlijn genoemde gegevens die overeenkomstig deze richtlijn worden verzameld en door bepaalde luchtvaartmaatschappijen worden bewaard, tot PNR-gegevens rekent, en de lidstaten de mogelijkheid biedt om de PNR-richtlijn op grond van artikel 2 ervan toe te passen op door hen aan te wijzen vluchten binnen de EU. De PNR-richtlijn heeft dus niets veranderd aan de draagwijdte van de bepalingen van de API-richtlijn of aan de uit deze richtlijn voortvloeiende beperkingen.

269    Gelet op het voorgaande dient op de negende vraag, onder a), te worden geantwoord dat de API-richtlijn aldus moet worden uitgelegd dat zij niet van toepassing is op vluchten binnen de EU.

G.      Negende vraag, onder b)

270    De verwijzende rechter spreekt in zijn negende vraag, onder b), weliswaar van de API-richtlijn, gelezen in samenhang met artikel 3, lid 2, VEU en artikel 45 van het Handvest, maar uit het verzoek om een prejudiciële beslissing blijkt dat hij zich afvraagt of het bij de wet van 25 december 2016 ingevoerde systeem van doorgifte en verwerking van passagiersgegevens wel verenigbaar is met het vrije personenverkeer en de afschaffing van controles aan de binnengrenzen als bedoeld in het Unierecht, voor zover dat systeem niet alleen op luchtvervoer van toepassing is maar ook op vervoer over het spoor, over de weg en over het water van of naar België, binnen de Unie, zonder dat er dus een buitengrens met een derde land wordt overgestoken.

271    Zoals uit de punten 265 tot en met 269 van dit arrest blijkt, is de API-richtlijn niet relevant voor het antwoord op deze vraag, aangezien zij niet van toepassing is op vluchten binnen de EU en geen doorgifte‑ en verwerkingsverplichting oplegt voor gegevens van passagiers die per vliegtuig of met enig ander vervoersmiddel binnen de Unie reizen en dus geen buitengrenzen met derde landen overschrijden.

272    Artikel 2 van de PNR-richtlijn daarentegen, waarop de Belgische wetgever zich – zo blijkt uit het verzoek om een prejudiciële beslissing – heeft gebaseerd bij de vaststelling van de in het hoofdgeding aan de orde zijnde wet van 25 december 2016, staat de lidstaten toe deze richtlijn toe te passen op vluchten binnen de EU, en dit niettegenstaande dat artikel 67, lid 2, VWEU bepaalt dat de Unie ervoor zorgt dat aan de binnengrenzen geen personencontroles worden verricht.

273    Teneinde de verwijzende rechter een nuttig antwoord te kunnen geven, moet de negende vraag, onder b), dan ook worden geherformuleerd in de zin dat hij daarmee in wezen wenst te vernemen of het Unierecht en met name artikel 2 van de PNR-richtlijn, gelezen in het licht van artikel 3, lid 2, VEU, artikel 67, lid 2, VWEU en artikel 45 van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen nationale wetgeving die een systeem invoert van doorgifte door vervoerders en reisoperatoren en verwerking door de bevoegde autoriteiten van PNR-gegevens voor vluchten en andere soorten vervoer binnen de Unie vanuit, naar of door de lidstaat die deze wetgeving heeft vastgesteld.

274    Om te beginnen voorziet artikel 45 van het Handvest in het vrije verkeer van personen, dat overigens een van de fundamentele vrijheden binnen de interne markt is [zie in die zin arrest van 22 juni 2021, Ordre des barreaux francophones et germanophone e.a. (Preventieve maatregelen met het oog op verwijdering), C‑718/19, EU:C:2021:505, punt 54].

275    Lid 1 van dit artikel garandeert elke burger van de Unie het recht om zich vrij op het grondgebied van de lidstaten te verplaatsen en er vrij te verblijven. Dit recht stemt volgens de toelichtingen bij het Handvest voor de grondrechten (PB 2007, C 303, blz. 17) overeen met het recht dat door artikel 20, lid 2, eerste alinea, onder a), VWEU wordt gewaarborgd, en vindt overeenkomstig artikel 20, lid 2, tweede alinea, VWEU en artikel 52, lid 2, van het Handvest toepassing onder de voorwaarden en binnen de grenzen die in de Verdragen en de maatregelen ter uitvoering daarvan zijn vastgesteld.

276    Voorts biedt de Unie haar burgers overeenkomstig artikel 3, lid 2, VEU een ruimte van vrijheid, veiligheid en recht zonder binnengrenzen, waarin het vrije verkeer van personen gewaarborgd is in combinatie met passende maatregelen met betrekking tot onder meer controles aan de buitengrenzen en voorkoming en bestrijding van criminaliteit. Evenzo zorgt de Unie er overeenkomstig artikel 67, lid 2, VWEU voor dat aan de binnengrenzen geen personencontroles worden verricht en ontwikkelt zij een gemeenschappelijk beleid op het gebied van onder meer controle aan de buitengrenzen.

277    Volgens vaste rechtspraak van het Hof vormt een nationale wettelijke regeling die bepaalde nationale onderdanen benadeelt louter omdat zij hun recht om in een andere lidstaat vrij te reizen en te verblijven hebben uitgeoefend, een beperking van de vrijheden die elke burger van de Unie op grond van artikel 45, lid 1, van het Handvest geniet (zie in die zin voor artikel 21, lid 1, VWEU, arresten van 8 juni 2017, Freitag, C‑541/15, EU:C:2017:432, punt 35 en aldaar aangehaalde rechtspraak, en 19 november 2020, ZW, C‑454/19, EU:C:2020:947, punt 30).

278    Nationale wetgeving als die in het hoofdgeding, waarbij het systeem van de PNR-richtlijn niet alleen op vluchten naar of vanuit derde landen wordt toegepast maar ook, op grond van artikel 2, lid 1, van deze richtlijn, op vluchten binnen de EU alsook – en daarbij verdergaand dan deze bepaling – op andere soorten vervoer binnen de Unie, resulteert in een systematische en continue doorgifte en verwerking van PNR-gegevens van elke passagier die zijn vrijheid van verkeer uitoefent door zich met deze vervoersmiddelen te verplaatsen binnen de Unie.

279    Zoals in de punten 98 tot en met 111 van het onderhavige arrest is vastgesteld, veroorzaakt het doorgeven en verwerken van passagiersgegevens van vluchten naar of vanuit derde landen en vluchten binnen de EU volgens het systeem van de PNR-richtlijn, een inmenging van een zekere ernst in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten van de betrokkenen. Deze inmenging is des te ernstiger wanneer dit systeem bij uitbreiding wordt toegepast op andere soorten vervoer binnen de Unie. Om dezelfde redenen als die in de voormelde punten kunnen dergelijke inmengingen ook onderdanen van lidstaten met dergelijke wetgeving en, in het algemeen, Unieburgers die zich met deze transportmiddelen binnen de Unie verplaatsen van en naar dergelijke lidstaten, benadelen en dus ontmoedigen om hun vrijheid van verkeer uit te oefenen in de zin van artikel 45 van het Handvest. Dergelijke wetgeving houdt dan ook een beperking op deze fundamentele vrijheid in.

280    Volgens vaste rechtspraak kan een belemmering van het vrije verkeer van personen enkel worden gerechtvaardigd indien zij gebaseerd is op objectieve overwegingen en evenredig is aan het door het nationale recht rechtmatig nagestreefde doel. Een maatregel is evenredig wanneer hij geschikt is om het nagestreefde doel te verwezenlijken en niet verder gaat dan nodig is om dat doel te bereiken (zie in die zin arrest van 5 juni 2018, Coman e.a., C‑673/16, EU:C:2018:385, punt 41 en aldaar aangehaalde rechtspraak).

281    Hieraan dient te worden toegevoegd dat een nationale maatregel die de uitoefening van het vrije verkeer van personen kan belemmeren, slechts kan worden gerechtvaardigd indien deze maatregel in overeenstemming is met de door het Handvest gewaarborgde grondrechten waarvan het Hof de eerbiediging verzekert (arrest van 14 december 2021, Stolichna obshtina, rayon „Pancharevo”, C‑490/20, EU:C:2021:1008, punt 58 en aldaar aangehaalde rechtspraak).

282    Volgens de in de punten 115 en 116 van het onderhavige arrest aangehaalde rechtspraak kan een doelstelling van algemeen belang niet worden nagestreefd zonder rekening te houden met het feit dat deze doelstelling moet worden verzoend met de door de maatregel aangetaste grondrechten, zulks via een evenwichtige afweging tussen de doelstelling en de op het spel staande rechten. Bij de beoordeling of lidstaten een beperking op het door artikel 45, lid 1, van het Handvest gewaarborgde grondrecht kunnen rechtvaardigen, moet worden bepaald wat de ernst is van de inmenging die een dergelijke beperking meebrengt, en worden nagegaan of het belang van de met die beperking nagestreefde doelstelling van algemeen belang in verhouding staat tot die ernst.

283    Zoals in punt 122 van dit arrest in herinnering is gebracht, is de met de PNR-richtlijn nagestreefde doelstelling van bestrijding van terroristische misdrijven en ernstige criminaliteit beslist een doelstelling van algemeen belang van de Unie.

284    Wat betreft de vraag of nationale wetgeving die is vastgesteld ter omzetting van de PNR-richtlijn en die het systeem van deze richtlijn uitbreidt naar vluchten binnen de EU en ook naar andere soorten vervoer binnen de Unie, geschikt is om het nagestreefde doel te bereiken, blijkt uit de informatie uit het dossier waarover het Hof beschikt dat dankzij PNR-gegevens personen kunnen worden geïdentificeerd die nog niet van terroristische misdrijven of ernstige criminaliteit werden verdacht maar die nader moeten worden onderzocht. Dergelijke nationale wetgeving lijkt dan ook geschikt om het beoogde doel van bestrijding van terroristische misdrijven en ernstige criminaliteit te bereiken.

285    Wat de vraag naar de noodzakelijkheid van dergelijke wetgeving betreft, zij erop gewezen dat de lidstaten de hun door artikel 2, lid 1, van de PNR-richtlijn, gelezen in het licht van de artikelen 7 en 8 van het Handvest, geboden mogelijkheid slechts mogen uitoefenen in de mate van wat strikt noodzakelijk is om dat doel te bereiken, gelet op de vereisten genoemd in de punten 163 tot en met 174 van dit arrest.

286    Deze vereisten gelden des te meer wanneer het systeem van de PNR-richtlijn wordt toegepast op andere vervoersmiddelen binnen de Unie.

287    Uit de in het verzoek om een prejudiciële beslissing verstrekte informatie blijkt bovendien dat met de nationale wetgeving in het hoofdgeding de PNR-richtlijn, de API-richtlijn en een deel van richtlijn 2010/65 bij een en dezelfde handeling worden omgezet. Het systeem van de PNR-richtlijn wordt daarbij toegepast op alle vluchten binnen de EU en alle vervoer over het spoor, over de weg en over het water binnen de Unie van, naar en door België, alsook op reisoperatoren, en er worden ook andere doelstellingen dan enkel het bestrijden van terroristische misdrijven en ernstige criminaliteit nagestreefd. Volgens diezelfde informatie lijkt het erop dat alle gegevens die met het bij die nationale wetgeving ingevoerde systeem worden verzameld, door de PIE worden bewaard in één databank met daarin de PNR-gegevens en de in artikel 3, lid 2, van de API-richtlijn bedoelde gegevens van alle onder die wetgeving vallende passagiers.

288    Voor zover de verwijzende rechter in zijn negende vraag, onder b), verwijst naar de doelstelling grenscontroles te verbeteren en illegale immigratie te bestrijden, wat de doelstelling van de API-richtlijn is, zij eraan herinnerd dat, zoals uit de punten 233, 234 en 237 van dit arrest blijkt, de lijst van doelstellingen die de PNR-richtlijn met de verwerking van PNR-gegevens nastreeft, limitatief is. Nationale wetgeving waarbij overeenkomstig deze richtlijn verzamelde PNR-gegevens kunnen worden verwerkt voor andere dan de in deze richtlijn genoemde doeleinden, zoals het verbeteren van grenscontroles en het bestrijden van illegale immigratie, is in strijd met artikel 6 van deze richtlijn, gelezen in het licht van het Handvest.

289    Zoals uit punt 235 van dit arrest blijkt, kunnen lidstaten evenmin één enkele databank oprichten met daarin én krachtens de PNR-richtlijn verzamelde PNR-gegevens voor vluchten naar of vanuit derde landen en vluchten binnen de EU én gegevens van passagiers die andere vervoersmiddelen nemen én de in artikel 3, lid 2, van de API-richtlijn bedoelde gegevens, zeker wanneer die databank kan geraadpleegd worden voor andere dan de in artikel 1, lid 2, van de PNR-richtlijn genoemde doeleinden.

290    Tot slot kunnen de artikelen 28 tot en met 31 van de wet van 25 december 2016, zoals de advocaat-generaal in punt 281 van zijn conclusie heeft aangegeven, hoe dan ook slechts verenigbaar zijn met het Unierecht en met artikel 67, lid 2, VWEU in het bijzonder indien zij zo worden uitgelegd en toegepast dat enkel API-gegevens van passagiers die de buitengrenzen van België met derde landen overschrijden, worden doorgegeven en verwerkt. Een maatregel waarmee een lidstaat, om grenscontroles te verbeteren en illegale immigratie te bestrijden, de API-richtlijn en met name de verplichting om passagiersgegevens door te geven (artikel 3, lid 1) zou uitbreiden naar vluchten binnen de EU en zelfs naar andere transportmiddelen waarmee passagiers uit, vanuit of door die lidstaat binnen de Unie reizen, zou er immers op neerkomen dat de bevoegde autoriteiten bij overschrijding van de binnengrenzen van die lidstaat systematisch kunnen nagaan of die passagiers het grondgebied mogen binnenkomen dan wel verlaten, en zou dus een gelijke werking hebben als een controle aan de buitengrenzen met derde landen.

291    Gelet op al het voorgaande dient op de negende vraag, onder b), te worden geantwoord dat het Unierecht en met name artikel 2 van de PNR-richtlijn, gelezen in het licht van artikel 3, lid 2, VEU, artikel 67, lid 2, VWEU en artikel 45 van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen:

–        nationale wetgeving die ter bestrijding van terroristische misdrijven en ernstige criminaliteit een systeem invoert van doorgifte door luchtvaartmaatschappijen en reisoperatoren en verwerking door de bevoegde autoriteiten van PNR-gegevens voor alle vluchten binnen de EU en andere soorten vervoer binnen de Unie vanuit, naar of door de betrokken lidstaat, indien deze lidstaat niet met een werkelijke en actuele of voorzienbare terroristische dreiging wordt geconfronteerd. In een dergelijke situatie moet het systeem van de PNR-richtlijn worden beperkt tot het doorgeven en verwerken van PNR-gegevens voor vluchten en/of transportmiddelen die met name verband houden met bepaalde verbindingen, reisroutes of luchthavens, treinstations of zeehavens waarvoor er aanwijzingen bestaan dat deze toepassing gerechtvaardigd is. De betrokken lidstaat moet dan selecteren voor welke vluchten binnen de EU en/of andere soorten vervoer binnen de Unie er dergelijke aanwijzingen bestaan, en die toepassing regelmatig herzien in het licht van wijzigingen in de omstandigheden die die selectie rechtvaardigden, om te verzekeren dat dat systeem steeds in de mate van het strikt noodzakelijke op die vluchten en/of dat vervoer wordt toegepast, en

–        nationale wetgeving die een dergelijk systeem van doorgifte en verwerking van die gegevens invoert om controles aan de buitengrenzen te verbeteren en illegale immigratie te bestrijden.

H.      Tiende vraag

292    Met zijn tiende vraag wenst de verwijzende rechter in wezen te vernemen of het Unierecht aldus moet worden uitgelegd dat een nationale rechter de werking in de tijd mag beperken van de ongeldigverklaring, die hij op grond van het nationale recht dient uit te spreken, van nationale wetgeving die luchtvaartmaatschappijen, spoorwegvervoerders, wegvervoerders en reisoperatoren verplicht om PNR-gegevens door te geven en die een verwerking en bewaring van deze gegevens voorschrijft die onverenigbaar is met de bepalingen van de PNR-richtlijn, gelezen in het licht van artikel 3, lid 2, VEU, artikel 67, lid 2, VWEU en de artikelen 7, 8 en 45 en artikel 52, lid 1, van het Handvest.

293    Het beginsel van voorrang van het Unierecht houdt in dat dit recht voorrang heeft op het recht van de lidstaten. Dit beginsel verplicht dus alle instanties van de lidstaten om volle werking te verlenen aan de verschillende bepalingen van het Unierecht, aangezien het recht van de lidstaten niet kan afdoen aan de werking die op het grondgebied van die staten aan deze bepalingen is verleend. Dit beginsel brengt mee dat, indien nationale wetgeving niet in overeenstemming met de vereisten van het Unierecht kan worden uitgelegd, de nationale rechter die in het kader van zijn bevoegdheid is belast met de toepassing van de bepalingen van het Unierecht, verplicht is de volle werking van deze bepalingen te verzekeren en daarbij zo nodig, op eigen gezag, elke, zelfs latere, strijdige bepaling van de nationale wetgeving buiten toepassing te laten, zonder dat hij de voorafgaande opheffing hiervan via de wetgeving of enige andere constitutionele procedure hoeft te vragen of af te wachten (arresten van 15 juli 1964, Costa, 6/64, EU:C:1964:66, blz. 1159 en 1160; 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 214 en 215, en 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 118).

294    Enkel het Hof kan, bij wijze van uitzondering en om dwingende redenen van rechtszekerheid, een voorlopige opschorting toestaan van het effect dat een regel van het Unierecht op het daarmee strijdige nationale recht heeft, namelijk de terzijdestelling daarvan. Een dergelijke beperking in de tijd van de werking van de door het Hof aan het Unierecht gegeven uitlegging kan slechts worden vastgesteld in het arrest waarin de gevraagde uitlegging wordt gegeven. Aan de voorrang en de uniforme toepassing van het Unierecht zou afbreuk worden gedaan indien de nationale rechterlijke instanties bevoegd waren om, al was het maar tijdelijk, aan nationale bepalingen voorrang te geven boven het Unierecht waarmee deze bepalingen in strijd zijn (arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 119 en aldaar aangehaalde rechtspraak).

295    Anders dan de niet-nakoming van een procedurele verplichting als de voorafgaande beoordeling van de gevolgen van een project voor het milieu, waarover het ging in de zaak die heeft geleid tot het arrest van 29 juli 2019, Inter-Environnement Wallonie en Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622, punten 175, 176, 179 en 181), en waarin het Hof een voorlopige opschorting heeft toegestaan van voormeld effect van terzijdestelling, kan een schending van de bepalingen van de PNR-richtlijn, gelezen in het licht van de artikelen 7, 8 en 45 en artikel 52, lid 1, van het Handvest, niet worden geregulariseerd via een procedure die vergelijkbaar is met die welke in die zaak werd aanvaard. Handhaving van de gevolgen van nationale wetgeving als de wet van 25 december 2016 zou immers betekenen dat die regeling luchtvaartmaatschappijen, andere vervoerders en reisoperatoren verplichtingen blijft opleggen die in strijd zijn met het Unierecht en die leiden tot ernstige inmengingen in de grondrechten van de personen van wie de gegevens zijn doorgegeven, bewaard en verwerkt en tot beperkingen op hun vrijheid van verkeer die verder gaan dan noodzakelijk is (zie naar analogie arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 122 en aldaar aangehaalde rechtspraak).

296    Bijgevolg mag de verwijzende rechter niet de werking in de tijd beperken van een door hem op grond van het nationale recht uit te spreken ongeldigverklaring van de in het hoofdgeding aan de orde zijnde nationale wetgeving (zie naar analogie arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 123 en aldaar aangehaalde rechtspraak).

297    Voor zover de verwijzende rechter zich tot slot afvraagt wat de gevolgen zijn van de vaststelling van een eventuele onverenigbaarheid van de wet van 25 december 2016 met de PNR-richtlijn, gelezen in het licht van het Handvest, voor de ontvankelijkheid en het gebruik in strafprocedures van de bewijzen en inlichtingen die via de door de vervoerders en reisoperatoren doorgegeven gegevens zijn verkregen, volstaat het te verwijzen naar de rechtspraak van het Hof hierover en met name naar de beginselen in de punten 41 tot en met 44 van het arrest van 2 maart 2021, Prokuratuur (Voorwaarden voor toegang tot elektronische-communicatiegegevens) (C‑746/18, EU:C:2021:152), waaruit blijkt dat die ontvankelijkheidskwestie overeenkomstig het beginsel van de procedurele autonomie van de lidstaten onder het nationale recht valt, op voorwaarde dat met name de beginselen van gelijkwaardigheid en doeltreffendheid worden geëerbiedigd (zie naar analogie arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 127).

298    Gelet op de voorgaande overwegingen dient op de tiende vraag te worden geantwoord dat het Unierecht aldus moet worden uitgelegd dat het zich ertegen verzet dat een nationale rechter de werking in de tijd beperkt van de ongeldigverklaring, die hij op grond van het nationale recht dient uit te spreken, van nationale wetgeving die luchtvaartmaatschappijen, spoorwegvervoerders, wegvervoerders en reisoperatoren verplicht om PNR-gegevens door te geven en die een verwerking en bewaring van deze gegevens voorschrijft die onverenigbaar is met de bepalingen van de PNR-richtlijn, gelezen in het licht van artikel 3, lid 2, VEU, artikel 67, lid 2, VWEU en de artikelen 7, 8 en 45 en artikel 52, lid 1, van het Handvest. De ontvankelijkheid van de op deze manier verkregen bewijzen is een kwestie die overeenkomstig het beginsel van de procedurele autonomie van de lidstaten onder het nationale recht valt, op voorwaarde dat met name de beginselen van gelijkwaardigheid en doeltreffendheid worden geëerbiedigd.

IV.    Kosten

299    Ten aanzien van de partijen in het hoofdgeding is de procedure te beschouwen als een aldaar gerezen incident, zodat de verwijzende rechter over de kosten heeft te beslissen. De door anderen wegens indiening van hun opmerkingen bij het Hof gemaakte kosten komen niet voor vergoeding in aanmerking.

Het Hof (Grote kamer) verklaart voor recht:

1)      Artikel 2, lid 2, onder d), en artikel 23 van verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) moeten aldus worden uitgelegd dat deze verordening van toepassing is op de verwerking van persoonsgegevens die wordt voorgeschreven in nationale wetgeving die tegelijkertijd richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven, richtlijn 2010/65/EU van het Europees Parlement en de Raad van 20 oktober 2010 betreffende meldingsformaliteiten voor schepen die aankomen in en/of vertrekken uit havens van de lidstaten en tot intrekking van richtlijn 2002/6/EG, en richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, in nationaal recht beoogt om te zetten, wanneer de verwerking door particuliere marktdeelnemers gebeurt of wanneer zij door overheidsinstanties wordt verricht en enkel of ook onder richtlijn 2004/82 of richtlijn 2010/65 valt. Die verordening is daarentegen niet van toepassing op door dergelijke wetgeving voorgeschreven gegevensverwerking die enkel onder richtlijn 2016/681 valt, die de passagiersinformatie-eenheid (PIE) of de bevoegde autoriteiten verrichten voor de doeleinden die worden genoemd in artikel 1, lid 2, van deze richtlijn.

2)      Een uitlegging van richtlijn 2016/681 in het licht van de artikelen 7, 8 en 21 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie garandeert dat deze richtlijn in overeenstemming is met deze artikelen van het Handvest van de grondrechten. Bij het onderzoek van de tweede tot en met de vierde prejudiciële vraag en de zesde prejudiciële vraag is dus niet gebleken van feiten of omstandigheden die de geldigheid van deze richtlijn kunnen aantasten.

3)      Artikel 6 van richtlijn 2016/681, gelezen in het licht van de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest van de grondrechten, moet aldus worden uitgelegd dat het zich verzet tegen nationale wetgeving die toestaat dat overeenkomstig deze richtlijn verzamelde persoonsgegevens van passagiers (PNR-gegevens) worden verwerkt voor andere doeleinden dan die welke uitdrukkelijk worden genoemd in artikel 1, lid 2, van deze richtlijn.

4)      Artikel 12, lid 3, onder b), van richtlijn 2016/681 moet aldus worden uitgelegd dat het zich verzet tegen nationale wetgeving waarbij de instantie die wordt opgericht om als passagiersinformatie-eenheid (PIE) op te treden ook de hoedanigheid heeft van nationale instantie die bevoegd is om de mededeling van PNR-gegevens na het verstrijken van de periode van zes maanden na doorgifte ervan aan de PIE goed te keuren.

5)      Artikel 12, lid 1, van richtlijn 2016/681, gelezen in samenhang met de artikelen 7 en 8 en artikel 52, lid 1, van het Handvest van de grondrechten, moet aldus worden uitgelegd dat het zich verzet tegen nationale wetgeving die voor PNR-gegevens een algemene bewaartermijn van vijf jaar voorschrijft die zonder onderscheid geldt voor alle luchtreizigers, ook luchtreizigers van wie noch uit de voorafgaande beoordeling [artikel 6, lid 2, onder a), van deze richtlijn], noch uit eventuele controles tijdens de periode van zes maanden (artikel 12, lid 2, van deze richtlijn), noch uit andere omstandigheden is gebleken dat er objectieve aanwijzingen bestaan dat zij een gevaar vormen op het gebied van terroristische misdrijven of ernstige criminaliteit met een minstens indirect objectief verband met het luchtvervoer van passagiers.

6)      Richtlijn 2004/82 moet aldus worden uitgelegd dat zij niet van toepassing is op geregelde of niet-geregelde vluchten door een luchtvaartmaatschappij die vanaf het grondgebied van een lidstaat volgens plan zullen aankomen op het grondgebied van een of meer andere lidstaten, zonder tussenlandingen op het grondgebied van een derde land (vluchten binnen de EU).

7)      Het Unierecht en met name artikel 2 van richtlijn 2016/681, gelezen in het licht van artikel 3, lid 2, VEU, artikel 67, lid 2, VWEU en artikel 45 van het Handvest van de grondrechten, moet aldus worden uitgelegd dat het zich verzet tegen:

–        nationale wetgeving die ter bestrijding van terroristische misdrijven en ernstige criminaliteit een systeem invoert van doorgifte door luchtvaartmaatschappijen en reisoperatoren en verwerking door de bevoegde autoriteiten van PNR-gegevens voor alle vluchten binnen de EU en andere soorten vervoer binnen de Unie vanuit, naar of door de betrokken lidstaat, indien deze lidstaat niet met een werkelijke en actuele of voorzienbare terroristische dreiging wordt geconfronteerd. In een dergelijke situatie moet het systeem van richtlijn 2016/681 worden beperkt tot het doorgeven en verwerken van PNR-gegevens voor vluchten en/of transportmiddelen die met name verband houden met bepaalde verbindingen, reisroutes of luchthavens, treinstations of zeehavens waarvoor er aanwijzingen bestaan dat deze toepassing gerechtvaardigd is. De betrokken lidstaat moet dan selecteren voor welke vluchten binnen de EU en/of andere soorten vervoer binnen de Unie er dergelijke aanwijzingen bestaan, en die toepassing regelmatig herzien in het licht van wijzigingen in de omstandigheden die die selectie rechtvaardigden, om te verzekeren dat dat systeem steeds in de mate van het strikt noodzakelijke op die vluchten en/of dat vervoer wordt toegepast, en

–        nationale wetgeving die een dergelijk systeem van doorgifte en verwerking van die gegevens invoert om controles aan de buitengrenzen te verbeteren en illegale immigratie te bestrijden.

8)      Het Unierecht moet aldus worden uitgelegd dat het zich ertegen verzet dat een nationale rechter de werking in de tijd beperkt van de ongeldigverklaring, die hij op grond van het nationale recht dient uit te spreken, van nationale wetgeving die luchtvaartmaatschappijen, spoorwegvervoerders, wegvervoerders en reisoperatoren verplicht om PNR-gegevens door te geven en die een verwerking en bewaring van deze gegevens voorschrijft die onverenigbaar is met de bepalingen van richtlijn 2016/681, gelezen in het licht van artikel 3, lid 2, VEU, artikel 67, lid 2, VWEU en de artikelen 7, 8 en 45 en artikel 52, lid 1, van het Handvest van de grondrechten. De ontvankelijkheid van de op deze manier verkregen bewijzen is een kwestie die overeenkomstig het beginsel van de procedurele autonomie van de lidstaten onder het nationale recht valt, op voorwaarde dat met name de beginselen van gelijkwaardigheid en doeltreffendheid worden geëerbiedigd.

ondertekeningen


*      Procestaal: Frans.