FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
GIOVANNI PITRUZZELLA
föredraget den 27 januari 2022(1)
Mål C‑817/19
Ligue des droits humains
mot
Conseil des ministres
(begäran om förhandsavgörande från Cour constitutionnelle (Författningsdomstolen, Belgien))
”Begäran om förhandsavgörande – Skydd av personuppgifter – Behandling av passageraruppgiftssamlingar (PNR-uppgifter) – Förordning (EU) 2016/679 – Tillämpningsområde – Direktiv (EU) 2016/681 – Giltighet – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8 och 52.1”
Innehållsförteckning
I. Inledning
II. Tillämpliga bestämmelser
A. Unionsrätt
1. Stadgan
2. Dataskyddsförordningen
3. PNR-direktivet
4. Andra relevanta rättsakter i unionsrätten
B. Belgisk rätt
C. Målet vid den nationella domstolen, tolknings- och giltighetsfrågorna samt förfarandet vid EU-domstolen
III. Bedömning
A. Den första frågan
B. Den andra, den tredje, den fjärde, den sjätte och den åttonde frågan
1. De grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan
2. Ingreppet i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan
3. Huruvida det ingrepp som följer av PNR-direktivet är motiverat
a) Iakttagandet av kravet att varje begränsning i utövandet av en grundläggande rättighet som föreskrivs i stadgan ska vara föreskriven i lag
b) Förenligheten med det väsentliga innehållet i de rättigheter som anges i artiklarna 7 och 8 i stadgan
c) Iakttagandet av kravet att ingreppet ska svara mot ett mål av allmänt samhällsintresse
d) Iakttagandet av proportionalitetsprincipen
1) Huruvida de behandlingar av PNR-uppgifter som avses i PNR-direktivet är ägnade att uppnå det mål som eftersträvas
2) Huruvida ingreppet är strängt nödvändigt
i) Avgränsningen av syftena med behandlingen av PNR-uppgifter
ii) De kategorier av PNR-uppgifter som avses i PNR-direktivet (den andra och den tredje frågan)
– Huruvida punkterna 12 och 18 i bilaga I är tillräckliga klara och precisa (den tredje frågan)
– Omfattningen av de uppgifter som anges i bilaga I (den andra frågan)
– Känsliga uppgifter
iii) Begreppet passagerare (den fjärde frågan)
iv) Huruvida förhandsbedömningen av passagerare är tillräckligt klar och precis och begränsad till vad som är strängt nödvändigt (den sjätte frågan)
– Jämförelsen med uppgifter i databaser, enligt artikel 6.3 a i PNR-direktivet
– Behandlingen av PNR-uppgifter i förhållande till på förhand fastställda kriterier
– De skyddsregler som omger den automatiska behandlingen av PNR-uppgifter
– Slutsats vad beträffar den sjätte frågan
v) Lagringen av PNR-uppgifter (den åttonde frågan)
4. Slutsatser beträffande den andra, den tredje, den fjärde, den sjätte och den åttonde frågan
C. Den femte frågan
D. Den sjunde frågan
E. Den nionde frågan
F. Den tionde frågan
IV. Förslag till avgörande
I. Inledning
1. Genom förevarande begäran om förhandsavgörande har Cour constitutionnelle (Författningsdomstolen, Belgien) ställt tio frågor till EU-domstolen avseende tolkningen av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (nedan kallad dataskyddsförordningen),(2) och avseende giltigheten och tolkningen av Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (nedan kallat PNR-direktivet)(3) och rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (nedan kallat API‑direktivet).(4) Dessa frågor har uppkommit i samband med en talan som väckts av den ideella föreningen Ligue des droits humains (LDH) med yrkande om att loi du 25 décembre 2016 relative au traitement des données des passagers (lag av den 25 december 2016 om behandling av passageraruppgifter) (nedan kallad PNR-lagen),(5) genom vilken PNR-direktivet och API‑direktivet har införlivats med belgisk rätt, helt eller delvis ska upphävas.
2. De frågor som EU-domstolen ska ta ställning till i förevarande mål hör till ett av de största dilemmana inom den samtida liberal-demokratiska konstitutionalismen: hur ska en avvägning mellan individen och kollektivet göras i dataåldern, då digital teknik har gjort det möjligt att samla in, lagra, behandla och analysera enorma mängder personuppgifter i prediktivt syfte? Algoritmer, storskalig dataanalys och artificiell intelligens som nyttjas av myndigheterna kan användas för att främja och skydda samhällets grundläggande intressen, med en effektivitet som tidigare var otänkbar: från folkhälsoskydd till miljömässig hållbarhet, från bekämpande av terrorism till förebyggande av brottslighet, i synnerhet grov brottslighet. Samtidigt kan den odifferentierade insamlingen av personuppgifter och användningen av digital teknik från statsmakternas sida ge upphov till ett digitalt panoptikon, det vill säga en statsmakt som ser allt utan att synas. En allvetande makt som kan kontrollera och förutse alla och envars beteenden och vidta de åtgärder som krävs, ända till det paradoxala resultatet, som Steven Spielberg föreställde sig i filmen Minority Report, att i förebyggande syfte frihetsberöva gärningsmannen till ett brott som ännu inte har begåtts. I vissa länder har som bekant samhället företräde framför individen och användningen av personuppgifter gör det möjligt att legitimt genomföra en effektiv massövervakning i syfte att skydda offentliga intressen som anses som grundläggande. Den europeiska konstitutionalismen – på nationell och överstatlig nivå – med den centrala plats som individen och dennes friheter har getts, uppställer däremot ett viktigt hinder för framväxten av ett massövervakningssamhälle, framför allt efter erkännandet av den grundläggande rätten till skydd för privatlivet och till skydd av personuppgifter. I vilken utsträckning kan dock detta hinder uppställas utan att allvarligt kränka vissa grundläggande samhällsintressen – såsom dem som tidigare har nämnts som exempel – vilka dock kan ha konstitutionella band? Detta är själva kärnan i frågan om förhållandet mellan individen och kollektivet i det digitala samhället. En fråga som kräver dels att man efterforskar och gör delikata avvägningar mellan kollektivets intressen och individernas rättigheter, med utgångspunkt i den absoluta betydelse som individernas rättigheter har i det europeiska konstitutionella arvet, dels att det införs skyddsregler mot missbruk. Även här är det fråga om en samtida version av ett klassiskt tema inom konstitutionalismen, eftersom – såsom kortfattat hävdades i The Federalist – människor inte är änglar och det är skälet till att juridiska mekanismer krävs för att begränsa och kontrollera statsmakten.
3. Detta är de allmänna frågor som uppkommer inom ramen för förevarande förslag till avgörande, vilket endast kan begränsas till en tolkning av unionsrätten, mot bakgrund av EU-domstolens tidigare praxis, med användning av väletablerade tekniker, däribland tekniken med unionskonform tolkning. Det är en teknik som jag ofta kommer att tillämpa, när det framstår som juridiskt möjligt, i förevarande förslag till avgörande i syfte att hitta den nödvändiga jämvikten, ur konstitutionell synvinkel, mellan de offentliga syften som ligger till grund för systemet för överföring, insamling och behandling av passageraruppgiftssamlingar (nedan kallade PNR-uppgifter), och de rättigheter som föreskrivs i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan).
II. Tillämpliga bestämmelser
A. Unionsrätt
1. Stadgan
4. I artikel 7 i stadgan föreskrivs att ”[v]ar och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer”.
5. Artikel 8 i stadgan har följande lydelse:
”1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
2. Dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
3. En oberoende myndighet ska kontrollera att dessa regler efterlevs.”
6. Av artikel 52.1 i stadgan framgår att ”[v]arje begränsning i utövandet av de rättigheter och friheter som erkänns i denna stadga ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.”
2. Dataskyddsförordningen
7. Genom artikel 2.2 d i dataskyddsförordningen utesluts från förordningens tillämpningsområde behandling av personuppgifter som ”behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten”.
8. Artikel 23.1 d i dataskyddsförordningen har följande lydelse:
”Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa
…
d) förebyggande, förhindrande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten …”
3. PNR-direktivet
9. Jag kommer nedan att endast ge en kort översikt över hur det system som har införts genom PNR-direktivet fungerar. Fler detaljer om innehållet i bestämmelserna i PNR-direktivet, som är relevant för att besvara tolknings- och giltighetsfrågorna, kommer att ges i samband med den rättsliga bedömningen.
10. Enligt artikel 1 i PNR-direktivet, vilket antogs med stöd av artiklarna 82.1 d FEUF och 87.2 a FEUF, inrättas genom direktivet ett system, på unionsnivå, för lufttrafikföretags överföring av PNR-uppgifter om flygningar utanför EU,(6) samt insamling, behandling och lagring av sådana uppgifter av de behöriga myndigheterna i medlemsstaterna för att bekämpa terrorism och grov brottslighet.
11. Enligt artikel 3 led 5 i direktivet avses med passageraruppgiftssamling eller PNR-uppgifter ”en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare som gör det möjligt för det lufttrafikföretag som sköter bokningen och andra deltagande lufttrafikföretag att behandla och kontrollera reservationen för varje resa som bokas av en person eller för en persons räkning, oavsett om uppgifterna finns i reservationssystemet, det avgångskontrollsystem som används för att checka in passagerare på flygningar eller likvärdiga system med motsvarande uppgift”.
12. I bilaga I till PNR-direktivet (nedan kallad bilaga I) förtecknas de PNR-uppgifter som samlas in av lufttrafikföretag, vilka överförs i den mening och på det sätt som föreskrivs i artikel 8 i direktivet.
13. Bilaga II till PNR-direktivet (nedan kallad bilaga II) innehåller en förteckning över brott som utgör ”grov brottslighet” i den mening som avses i artikel 3 led 9 i direktivet.
14. I artikel 2 i PNR-direktivet föreskrivs en möjlighet för medlemsstaterna att besluta att tillämpa detta direktiv även på ”flygningar inom EU”(7) eller på valda flygningar inom EU, som anses ”vara nödvändiga” för att efterfölja målen för detta direktiv.
15. I artikel 4.1 i PNR-direktivet föreskrivs att ”[v]arje medlemsstat ska inrätta eller utse en myndighet med behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet eller en avdelning inom en sådan myndighet, vilken ska fungera som medlemsstatens enhet för passagerarinformation”. Enligt artikel 4.2 a ska enheten för passagerarinformation bland annat ansvara för att samla in PNR-uppgifter från lufttrafikföretagen, lagra och behandla dessa uppgifter och överföra dessa uppgifter eller resultatet av behandlingen av dem till de behöriga myndigheter som avses i artikel 7 i PNR-direktivet. I artikel 7.2 föreskrivs att dessa myndigheter ska vara ”myndigheter som är behöriga att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet”.(8)
16. I artikel 6.1 andra meningen i PNR-direktivet föreskrivs att ”[o]m PNR-uppgifter som överförs av lufttrafikföretag omfattar andra uppgifter än dem som anges i bilaga I, ska enheten för passagerarinformation omedelbart och slutgiltigt radera dessa vid mottagandet”. Artikel 6.2 har följande lydelse:
”2. Enheten för passagerarinformation ska enbart behandla PNR-uppgifterna för följande ändamål:
a) Göra en bedömning av passagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten, för att identifiera personer som de behöriga myndigheterna enligt artikel 7 och i förekommande fall Europol enligt artikel 10 behöver utreda ytterligare, på grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet.
b) I enskilda fall, besvara en vederbörligen motiverad förfrågan som bygger på tillräckliga skäl från de behöriga myndigheterna om att tillhandahålla och behandla PNR-uppgifter i specifika fall i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet och tillhandahålla de behöriga myndigheterna eller, när så är lämpligt, Europol resultaten av sådan behandling.
c) Analysera PNR-uppgifter för att uppdatera och skapa nya kriterier som ska användas vid de bedömningar som genomförs enligt punkt 3 b, i syfte att identifiera personer som kan vara delaktiga i terroristbrott eller grov brottslighet.”
17. Artikel 12 i PNR-direktivet innehåller bestämmelser om lagring av PNR-uppgifter.
18. I artikel 5 i PNR-direktivet föreskrivs att varje enhet för passagerarinformation ska utse ett dataskyddsombud, som ska ansvara för övervakningen av behandlingen av PNR-uppgifter och för genomförandet av relevanta skyddsåtgärder. Vidare är varje medlemsstat skyldig, enligt artikel 15 i direktivet, att ge den nationella tillsynsmyndighet som avses i artikel 25 i rambeslut 2008/977/RIF,(9) vilket har ersatts av Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan kallat polisdirektivet),(10) i uppdrag att inom sitt territorium ansvara för att övervaka tillämpningen av de bestämmelser som antas i enlighet med detta direktiv. Denna myndighet, som ska utföra sina uppgifter i syfte att skydda grundläggande rättigheter i samband med behandling av personuppgifter,(11) ska bland annat ansvara för att hantera klagomål från en registrerad, undersöka ärendet och inom rimlig tid informera den registrerade om förloppet för och resultatet av dennes klagomål, och för att kontrollera att uppgiftsbehandlingen är laglig, genomföra utredningar, inspektioner och revision i enlighet med nationell rätt, antingen på eget initiativ eller på grundval av ett klagomål.(12)
4. Andra relevanta rättsakter i unionsrätten
19. De tillämpliga bestämmelserna i förevarande mål kompletteras av API‑direktivet och polisdirektivet. För läsbarhetens skull kommer jag i detta förslag till avgörande att redogöra för innehållet i de relevanta bestämmelserna i dessa rättsakter i den mån det är nödvändigt för att behandla de frågor som avser dessa bestämmelser eller mer allmänt för den rättsliga bedömningen.
B. Belgisk rätt
20. I artikel 22 i den belgiska konstitutionen föreskrivs att ”[v]ar och en har rätt till respekt för sitt privatliv och familjeliv, utom i de fall och på de villkor som föreskrivs i lag”.
21. Enligt artikel 2 i PNR-lagen har API‑direktivet och PNR-direktivet samt delar av direktiv 2010/65/EU införlivats genom PNR-lagen.(13)
22. Det föreskrivs i artikel 3 § 1 i PNR-lagen att genom denna lag ”fastställs skyldigheter för transportörer och researrangörer avseende överföring av uppgifter om passagerare som reser till eller från Belgien eller som befinner sig där i transit”. Enligt artikel 4 leden 1 och 2 i PNR-lagen avses med transportör ”varje fysisk eller juridisk person som yrkesmässigt bedriver persontransport inom luftfart, sjöfart, järnväg eller vägtrafik” och med researrangör avses ”alla som arrangerar eller förmedlar resor, i den mening som avses i loi du 16 février 1994 régissant le contrat d’organisation de voyages et le contrat d’intermédiaire de voyages (lag av den 16 februari 1994 om avtal om paketresor och avtal med researrangör)”.
23. I artikel 8 i PNR-lagen föreskrivs följande:
”§ 1 Passageraruppgifter ska behandlas för
1) utredning och lagföring, inklusive verkställighet av straff eller andra frihetsberövande åtgärder avseende de brott som anges i artikel 90 ter § 2, … leden 7, … 8, … 11, … 14, … 17, 18 och 19 samt artikel 90 ter § 3 i Code d’instruction criminelle (förundersökningslagen),
2) utredning och lagföring, inklusive verkställighet av straff eller andra frihetsberövande åtgärder avseende de brott som anges i artikel 196, vad beträffar urkundsförfalskning, samt artiklarna 198, 199, 199 bis, 207, 213, 375 och 505 i Code pénal (strafflagen),
3) förebyggande av allvarliga störningar i den allmänna säkerheten inom ramen för våldsinriktad radikalisering genom uppföljning av rörelser och grupperingar i enlighet med artikel 44/5 § 1 leden 2 och 3 och artikel 44/5 § 2 i loi du 5 août 1992 sur la fonction de police (lag av den 5 augusti 1992 om polisens uppgifter),
4) övervakning av de verksamheter som avses i artikel 7 led 1 och led 3/l, och artikel 11 § 1 leden 1–3 och 5 i loi du 30 novembre 1998 organique des services de renseignement et de sécurité (lag av den 30 november 1998 om underrättelse- och säkerhetstjänsten),(14)
5) utredning och lagföring av de brott som avses i artikel 220 § 2 i loi générale sur les douanes et accises du 18 juillet 1977 (den allmänna tull- och punktskattelagen av den 18 juli 1977) och artikel 45 tredje stycket i loi du 22 décembre 2009 relative au régime général d’accise (lag av den 22 december 2009 om allmänna regler för punktskatt) …
§ 2 Under de förutsättningar som anges i kapitel 11 ska passageraruppgifter också behandlas för att förbättra personkontroller vid de yttre gränserna och för att bekämpa olaglig invandring.”
24. Artikel 9 i PNR-lagen innehåller förteckningen över de uppgifter som ska överföras. Dessa uppgifter motsvarar de uppgifter som förtecknas i bilaga I.
25. I artikel 18 i PNR-lagen föreskrivs att ”passageraruppgifterna ska bevaras i PNR-databasen under högst fem år räknat från tidpunkten för registreringen. Vid utgången av denna period ska de förstöras.”
26. I artikel 19 i lagen föreskrivs att ”[v]id utgången av en period på sex månader, från och med registreringen av passageraruppgifter i passageraruppgiftsdatabasen, ska alla passageraruppgifter avidentifieras genom maskering av uppgifter.”
27. I artikel 24 i PNR-lagen föreskrivs följande:
”§ 1 Passageraruppgifterna ska behandlas för att göra en förhandsbedömning av passagerare före deras beräknade ankomst till, avresa från eller transitering genom det nationella territoriet i syfte att fastställa vilka personer som ska bli föremål för en mer ingående undersökning.
§ 2 Inom ramen för de syften som avses i artikel 8 § 1 leden 1, 4 och 5, eller avseende de hot som nämns i artikel 8 led 1 a, b, c, d, f, g och artikel 11 § 2 i lagen av den 30 november 1998 om underrättelse- och säkerhetstjänsten, ska förhandsbedömningen av passagerare grunda sig på en träff, som följer av att passageraruppgifterna jämförs med
1) databaser som förvaltas av de behöriga myndigheterna eller som är direkt tillgängliga eller åtkomliga för myndigheterna inom ramen för deras uppdrag, eller med förteckningar över personer som har utarbetats av de behöriga myndigheterna inom ramen för deras uppdrag,
2) de bedömningskriterier som på förhand har fastställts av enheten för passagerarinformation, och som avses i artikel 25.
§ 3 Inom ramen för de syften som avses i artikel 8 § 1 led 3, ska förhandsbedömningen av passagerare grunda sig på en träff, som följer av att passageraruppgifterna jämförs med de databaser som avses i § 2 led 1 ….”
28. Artikel 25 i PNR-lagen återger innehållet i artikel 6.4 i PNR-direktivet.
29. Kapitel 11 i PNR-lagen innehåller de bestämmelser som reglerar behandlingen av passageraruppgifter för att förbättra gränskontrollen och för att bekämpa olaglig invandring. API‑direktivet har införlivats med belgisk rätt genom dessa bestämmelser.
30. I artikel 44 i PNR-lagen förskrivs att enheten för passagerarinformation ska utse ett dataskyddsombud vid inrikesministeriet. Tillsyn över tillämpningen av bestämmelserna i PNR-lagen utövas av Commission de la protection de la vie privée (kommittén för skydd av privatlivet).
31. Genom artikel 51 i PNR-lagen har lagen av den 30 november 1998 om underrättelse- och säkerhetstjänsten ändrats, genom att artikel 16/3 har införts med följande lydelse:
”§ 1 Underrättelse- och säkerhetstjänsten får, för att utföra sina uppgifter, på ett vederbörligen motiverat sätt besluta att få tillgång till sådana passageraruppgifter som avses i artikel 7 i [PNR-]lagen.
§ 2 Det beslut som avses i 1 § ska fattas av myndighetschefen och skriftligen översändas till den enhet för passagerarinformation som avses i kapitel 7 i ovannämnda lag. Beslutet ska meddelas Ständiga kommittén R tillsammans med beslutets motivering.
Ständiga kommittén R ska förbjuda underrättelse- och säkerhetstjänsten att använda uppgifter som har samlats in under omständigheter som inte uppfyller de lagstadgade villkoren.
Beslutet kan avse en uppsättning av uppgifter avseende en specifik underrättelseutredning. I sådant fall ska en förteckning över de passageraruppgifter som konsulterats översändas till Ständiga kommittén R en gång per månad.”
C. Målet vid den nationella domstolen, tolknings- och giltighetsfrågorna samt förfarandet vid EU-domstolen
32. Genom ansökan riktad till Cour constitutionnelle (Författningsdomstolen) den 24 juli 2017, väckte LDH talan med yrkande om att PNR-lagen helt eller delvis ska upphävas. LDH åberopade två grunder till stöd för sin talan.
33. Som första grund, vilken har åberopats i första hand och avser åsidosättande av artikel 22 i Belgiens konstitution, jämförd med artikel 23 i dataskyddsförordningen, artiklarna 7, 8 och 52.1 i stadgan samt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950 (nedan kallad Europakonventionen), anser LDH att den angripna lagen inte är förenlig med proportionalitetsprincipen vad beträffar dess tillämpningsområde och de kategorier av uppgifter som avses, den behandling av uppgifter som införs genom lagen, dess syften och uppgifternas lagringstid. I synnerhet har LDH hävdat att definitionen av PNR-uppgifter är alltför omfattande och kan leda till att känsliga uppgifter röjs, och att definitionen av begreppet passagerare, som finns i denna lag, möjliggör en icke-riktad och systematisk behandling av uppgifter rörande samtliga berörda passagerare. Vidare anser LDH att beskaffenheten av pre-screening-metoden i databaser över passagerare och hur denna går till samt de kriterier som tjänar som ”hotindikatorer” inte definieras tillräckligt tydligt i PNR-lagen. Slutligen anser LDH att PNR-lagen går utöver vad som är strängt nödvändigt, i den meningen att lagen eftersträvar syften med behandlingen av PNR-uppgifter som är mer vidsträckta än de syften som PNR-direktivet tillåter och att femårsperioden för lagring av PNR-uppgifter är oproportionerlig. Som andra grund, vilken har åberopats i andra hand och avser åsidosättande av artikel 22 i Belgiens konstitution, jämförd med artikel 3.2 FEU och artikel 45 i stadgan, har LDH angripit bestämmelserna i kapitel 11 i PNR-lagen, varigenom API‑direktivet har införlivats.
34. Konungariket Belgiens Conseil des ministres (ministerråd), i egenskap av intervenient i målet vid Cour constitutionnelle (Författningsdomstolen), har bestritt LDH:s talan, genom att ifrågasätta både att talan kan tas upp till prövning och att det finns fog för de två grunder som har åberopats till stöd för talan.
35. Cour constitutionnelle (Författningsdomstolen) har för sin del anfört följande.
36. Vad beträffar den första grunden, vill den hänskjutande domstolen först få klarhet i huruvida definitionen av PNR-uppgifter, som finns i bilaga I, är tillräckligt klar och precis. Beskrivningen av vissa av dessa uppgifter är exemplifierande och inte uttömmande. Vidare har nämnda domstol påpekat att definitionen av begreppet passagerare i artikel 3 led 4 i PNR-direktivet medför insamling, överföring, behandling och lagring av PNR-uppgifter om alla personer som transporteras eller ska transporteras och som står med på passagerarförteckningen, oberoende av om det finns tungt vägande skäl att anta att den berörda personen har begått ett brott, är på väg att begå ett brott eller har befunnits skyldig till ett brott. Vad beträffar behandlingen av PNR-uppgifter, har den hänskjutande domstolen påpekat att dessa systematiskt är föremål för en förhandsbedömning som innebär att PNR-uppgifterna om alla passagerare samkörs med databaser eller på förhand fastställa kriterier, för att hitta träffar. Cour constitutionnelle (Författningsdomstolen) har dock angett att även om dessa kriterier ska vara specifika, tillförlitliga och icke-diskriminerande, anser den att det är tekniskt omöjligt att närmare definiera de på förhand fastställda kriterier som ska tillämpas för att fastställa riskprofiler. Vad beträffar lagringstiden för PNR-uppgifter som föreskrivs i artikel 12.1 i PNR-direktivet, enligt vilken sådana uppgifter får lagras under en period på fem år, anser den hänskjutande domstolen att PNR-uppgifterna ska lagras utan beaktande av huruvida de berörda passagerarna, vid förhandsbedömningen, kan utgöra en risk för den allmänna säkerheten. Mot denna bakgrund vill den hänskjutande domstolen få klarhet i huruvida det system för insamling, överföring, behandling och lagring av PNR-uppgifter som har införts genom PNR-direktivet kan anses inte gå utöver vad som är strängt nödvändigt, med hänsyn till den rättspraxis som följer av bland annat domen av den 21 december 2016, Tele2 Sverige och Watson m.fl.,(15) och yttrande 1/15 (Avtal om passageraruppgifter mellan EU och Kanada) av den 26 juli 2017(16). I det sammanhanget vill denna domstol även få klarhet i huruvida PNR-direktivet utgör hinder för en sådan nationell lagstiftning som den som följer av artikel 8 § 1 led 4 i PNR-lagen, som tillåter behandling av PNR-uppgifter för ett annat syfte än dem som föreskrivs i direktivet. Slutligen vill den hänskjutande domstolen få klarhet i huruvida enheten för passagerarinformation kan betraktas som en ”annan nationell myndighet” som enligt artikel 12.3 b ii i PNR-direktivet kan tillåta att fullständiga PNR-uppgifter lämnas ut efter en frist på sex månader. Vad beträffar den andra grunden har den hänskjutande domstolen påpekat att den är riktad mot artiklarna 3.1, 8.2 och 28–31 i PNR-lagen som reglerar insamling och behandling av passageraruppgifter för att bekämpa olaglig invandring och för att förbättra gränskontrollerna. Den hänskjutande domstolen har erinrat om att denna lag, enligt den förstnämnda av dessa bestämmelser, omfattar flygningar till, från och via Belgien, och har uppgett att den nationella lagstiftaren inkluderade flygningar ”inom EU” i lagens tillämpningsområde för att få ”en mer fullständig bild över de passagerare som utgör ett potentiellt hot mot säkerheten [inom unionen] och i Belgien”, genom att stödja sig på den möjlighet som föreskrivs i artikel 2 i PNR-direktivet, jämförd med skäl 10 i direktivet.
37. Mot denna bakgrund beslutade Cour constitutionnelle (Författningsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:
”1) Ska artikel 23 i [dataskyddsförordningen], jämförd med artikel 2.2 d i samma förordning, tolkas så, att den är tillämplig på en sådan nationell lagstiftning som [PNR-lagen], som införlivar [PNR-direktivet] och [API‑direktivet] samt … direktiv 2010/65 …?
2) Är bilaga I … förenlig med artiklarna 7, 8 och 52.1 i [stadgan], såtillvida som de uppgifter som anges i bilagan är mycket omfattande – särskilt de uppgifter som avses i punkt 18 i bilaga I … vilka går utöver de uppgifter som avses i artikel 3.2 i [API‑direktivet] – och såtillvida som uppgifterna sammantagna skulle kunna röja känsliga uppgifter, och därigenom gå utöver vad som är ’strängt nödvändigt’?
3) Är punkterna 12 och 18 i bilaga I … förenliga med artiklarna 7, 8 och 52.1 i [stadgan], såtillvida som de uppgifter som avses i dessa punkter, med hänsyn till ordet ’inklusive’, anges som exempel och inte på ett uttömmande sätt, med följden att kravet på precision och klarhet i regler som innebär ett ingrepp i rätten till respekt för privatlivet och i rätten till skydd av personuppgifter inte iakttas?
4) Är artikel 3 led 4 i [PNR-direktivet] och bilaga I … förenliga med artiklarna 7, 8 och 52.1 i [stadgan], såtillvida som det system för generell insamling, överföring och behandling av passageraruppgifter som införs genom dessa bestämmelser avser varje person som använder det berörda transportmedlet, oberoende av objektiva omständigheter som ger anledning att anse att denna person kan utgöra en risk för den allmänna säkerheten?
5) Ska artikel 6 i [PNR-direktivet], jämförd med artiklarna 7, 8 och 52.1 i [stadgan], tolkas så, att den utgör hinder för en sådan nationell lagstiftning som den angripna lagen, enligt vilken ett av syftena med behandlingen av PNR-uppgifter kan vara underrättelse- och säkerhetstjänstens övervakning av sådan verksamhet som omfattas av dess befogenheter, varigenom detta syfte inordnas under förebyggande, förhindrande, upptäckt, utredning och lagföring av terroristbrott och grov brottslighet?
6) Är artikel 6 i [PNR-direktivet] förenlig med artiklarna 7, 8 och 52.1 i [stadgan], såtillvida som den förhandsbedömning, som införs genom den artikeln och som vidtas genom en jämförelse mellan passageraruppgifter och databaser och på förhand fastställda kriterier, systematiskt och generellt ska tillämpas på sådana uppgifter, oberoende av objektiva omständigheter som ger anledning att anse att berörda passagerare kan utgöra en risk för den allmänna säkerheten?
7) Kan begreppet ’annan nationell myndighet som … är behörig’ enligt artikel 12.3 i [PNR-direktivet] tolkas så, att det avser den enhet för passagerarinformation som har inrättats genom [PNR‑lagen], och som således skulle kunna ge tillstånd till tillgång till PNR-uppgifter, efter utgången av en sexmånadersfrist, i samband med punktvisa efterforskningar?
8) Ska artikel 12 i [PNR-direktivet] jämförd med artiklarna 7, 8 och 52.1 i [stadgan] tolkas så, att den utgör hinder för en sådan nationell lagstiftning som den angripna lagen, i vilken det föreskrivs en allmän lagringstid på fem år för uppgifterna, varvid det inte görs någon åtskillnad beroende på om det vid förhandsbedömningen framkommit att de berörda passagerarna kan utgöra en risk för den allmänna säkerheten eller ej?
9) a) Är [API‑direktivet] förenligt med artikel 3.2 [FEU] och med artikel 45 i [stadgan], såtillvida som de skyldigheter som införs genom direktivet är tillämpliga på flygningar inom … unionen?
b) Ska [API‑direktivet] jämfört med artikel 3.2 [FEU] och artikel 45 i [stadgan] tolkas så, att det utgör hinder för en sådan nationell lagstiftning som den angripna lagen, vilken, i syfte att bekämpa olaglig invandring och förbättra gränskontrollerna, tillåter ett system för insamling och behandling av uppgifter om passagerare ’som reser till eller från Belgien eller som befinner sig där i transit’, vilket indirekt skulle kunna innebära ett återinförande av kontrollerna vid de inre gränserna?
10) Om Cour constitutionnelle (Författningsdomstolen), på grundval av svaren på de föregående frågorna, kommer fram till att den angripna lagen, som bland annat införlivar [PNR-direktivet], åsidosätter en eller flera av de skyldigheter som följer av de bestämmelser som anges i dessa frågor, kan den då tillfälligt låta rättsverkningarna av [PNR-lagen] bestå för att undvika rättslig osäkerhet och för att möjliggöra att de uppgifter som redan samlats in och lagrats fortfarande kan användas för de syften som anges i lagen?”
38. LDH, den belgiska, den tjeckiska, den danska, den tyska, den estniska, den irländska, den spanska, den franska, den cypriotiska, den lettiska, den nederländska, den österrikiska, den polska och den finländska regeringen samt Europaparlamentet, Europeiska unionens råd och Europeiska kommissionen har inkommit med skriftliga yttranden, enligt artikel 23 i stadgan för Europeiska unionens domstol. I enlighet med artikel 24 i stadgan för Europeiska unionens domstol anmodades kommissionen, Europeiska datatillsynsmannen och Europeiska unionens byrå för grundläggande rättigheter (FRA) att skriftligen besvara domstolens frågor. En förhandling hölls den 13 juli 2021.
III. Bedömning
A. Den första frågan
39. Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 2.2 d i dataskyddsförordningen ska tolkas så, att denna förordning, och särskilt artikel 23.1 i denna, enligt vilken det ska vara möjligt att i unionsrätten eller i medlemsstaternas nationella rätt införa en lagstiftningsåtgärd som – av de skäl som uttömmande anges – begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i förordningen, är tillämplig på behandlingen av uppgifter som sker på grundval av en sådan nationell lagstiftning som PNR-lagen, varigenom PNR-direktivet och API‑direktivet samt direktiv 2010/65 har införlivats med nationell rätt.
40. I artikel 2.2 i dataskyddsförordningen föreskrivs undantag från förordningens tillämpningsområde, såsom detta – mycket vidsträckt(17) – har definierats i artikel 2.1 i förordningen.(18) I egenskap av undantag från tillämpningen av bestämmelser om behandling av personuppgifter som kan kränka de grundläggande friheterna, ska dessa undantag tolkas restriktivt.(19)
41. Artikel 2.2 d i dataskyddsförordningen innehåller bland annat en undantagsklausul, enligt vilken förordningen inte ska tillämpas på behandling av personuppgifter som ”behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten”. Denna undantagsklausul grundar sig på ett dubbelt subjektivt och objektivt kriterium. Behandling av uppgifter som utförs, för det första, av ”behöriga myndigheter” och, för det andra, för de ändamål som räknas upp i denna bestämmelse är således undantagna från förordningens tillämpningsområde. De olika typerna av behandling av uppgifter som omfattas av PNR-lagen ska således bedömas mot bakgrund av detta dubbla kriterium.
42. Vad, för det första, beträffar behandling av uppgifter som utförs av transportörer (inom luftfart, järnväg, vägtrafik och sjöfart) åt enheten för passagerarinformation eller av researrangörer i syfte att tillhandahålla tjänster eller i kommersiellt syfte, i den mån sådan behandling avses i nämnda lag, regleras sådan behandling alltjämt av dataskyddsförordningen, eftersom varken den subjektiva delen eller den objektiva delen av undantagskriteriet i artikel 2.2 d i nämnda förordning är uppfylld.
43. Vad, för det andra, beträffar överföringen av PNR-uppgifter från transportörer eller researrangörer till enheten för passagerarinformation, vilket i sig utgör en ”behandling” i den mening som avses i artikel 4 led 2 i dataskyddsförordningen,(20) är det mindre uppenbart att den omfattas av förordningens tillämpningsområde.
44. En sådan överföring utförs inte av en ”behörig myndighet” i den mening som avses i artikel 3 led 7 i polisdirektivet, till vilken det analogt ska hänvisas i avsaknad av en definition av detta begrepp i dataskyddsförordningen.(21) En ekonomisk aktör, såsom ett transportföretag eller en resebyrå, som enbart har en rättslig förpliktelse att överföra personuppgifter och som inte har anförtrotts någon myndighetsutövning,(22) kan inte anses utgöra ett sådant organ eller en sådan enhet som avses i artikel 3 led 7 b.(23)
45. Överföringen av PNR-uppgifter från transportföretag och resebyråer utförs för att fullgöra den skyldighet som uppställs i lagen i syfte att göra det möjligt att uppnå de syften som anges i artikel 2.2 d i dataskyddsförordningen.
46. Enligt min mening framgår det klart av lydelsen i denna bestämmelse att endast behandling som uppfyller både den subjektiva delen och den objektiva delen av undantagskriteriet som anges i bestämmelsen faller utanför dataskyddsförordningens tillämpningsområde. Den överföring av PNR-uppgifter till enheten för passagerarinformation som PNR-lagen ålägger transportföretag och researrangörer omfattas således av denna förordning.
47. Vad gäller de bestämmelser i PNR-lagen varigenom PNR-direktivet har införlivats, bekräftas denna slutsats av artikel 21.2 i nämnda direktiv, där det föreskrivs att direktivet ”påverkar inte tillämpligheten av direktiv 95/46/EG(24) på lufttrafikföretags behandling av personuppgifter”. Den tolkning av denna bestämmelse som bland annat den franska regeringen har föreslagit, enligt vilken det i denna bestämmelse endast föreskrivs att transportörerna fortsätter att omfattas av de skyldigheter som fastställs i dataskyddsförordningen vad gäller sådan behandling av uppgifter som inte föreskrivs i PNR-direktivet, kan enligt min mening inte godtas. Med hänsyn till ordalydelsen är räckvidden av detta ”förbehåll” omfattande och definieras endast med hänvisning till den som behandlar uppgifterna, eftersom syftet med behandlingen eller den ram inom vilken behandlingen sker inte omnämns och det inte heller nämns huruvida behandlingen sker vid utövandet av lufttrafikföretagets kommersiella verksamhet eller för att fullgöra en rättslig förpliktelse. Jag noterar dessutom att det finns en klausul med samma innebörd i artikel 13.3 i PNR-direktivet, som särskilt hänvisar till lufttrafikföretagens skyldigheter enligt dataskyddsförordningen ”att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifters säkerhet och konfidentialitet”. Denna bestämmelse hör till dem som reglerar skyddet av personuppgifter som behandlas i enlighet med PNR-direktivet och överensstämmer med artikel 13.1 i direktivet, som allmänt föreskriver att all behandling av personuppgifter i enlighet med direktivet ska omfattas av de bestämmelser i rambeslut 2008/977 som nämns däri. I motsats till vad den franska regeringen har hävdat, gör ett sådant normativt arrangemang det möjligt dels att tolka nämnda artikel 13.3 som en klausul som medför att enbart behandlingen av uppgifter som föreskrivs i PNR-direktivet, och som inte utförs av ”behöriga myndigheter” i den mening som avses i polisdirektivet, omfattas av dataskyddsförordningen, dels att förstå hänvisningen till iakttagandet av de skyldigheter som uppställs i nämnda förordning vad gäller uppgifters säkerhet och konfidentialitet som en påminnelse om de skyddsregler som ovillkorligen måste omgärda överföringen av PNR-uppgifter från transportörerna till enheterna för passagerarinformation.
48. Slutsatsen i punkt 46 ovan påverkas inte av skäl 19 i dataskyddsförordningen och skäl 11 i polisdirektivet, som bland annat den tyska, den irländska och den franska regeringen har hänvisat till för att hävda att PNR-direktivet har karaktär av lex specialis. Det är visserligen riktigt att det genom nämnda direktiv införs, för sådan behandling av personuppgifter som direktivet avser, en skyddsram för dessa uppgifter som är fristående i förhållande till dataskyddsförordningen. Denna särskilda ram är dock tillämplig enbart på behandling av PNR-uppgifter som utförs av ”behöriga myndigheter”, i den mening som avses i artikel 3 led 7 i polisdirektivet, till vilka bland annat enheterna för passagerarinformation hör, medan överföring av PNR-uppgifter till enheterna för passagerarinformation fortsätter att omfattas av de allmänna bestämmelser som har fastställts i dataskyddsförordningen med tillämpning av bland annat det ”förbehåll” som föreskrivs i artikel 21.2 i PNR-direktivet.
49. Till stöd för ståndpunkten att dataskyddsförordningen inte är tillämplig på överföringen av PNR-uppgifter till enheterna för passagerarinformation av transportörer och researrangörer, har den belgiska, den irländska, den franska och den cypriotiska regeringen hänvisat till domen av den 30 maj 2006, parlamentet/rådet och kommissionen.(25) I nämnda dom slog EU-domstolen fast att överföringen av PNR-uppgifter från gemenskapens lufttrafikföretag till myndigheterna i Amerikas förenta stater, inom ramen för ett avtal som förhandlats fram mellan Amerikas förenta stater och Europeiska gemenskapen, utgjorde behandling av personuppgifter i den mening som avses i artikel 3.2 första strecksatsen i direktiv 95/46(26) och omfattades därför inte av tillämpningsområdet för nämnda direktiv. För att komma fram till denna slutsats beaktade domstolen syftet med överföringen och den omständigheten att överföringen ”skedde inom en ram som inrättats av statsmakterna”, trots att uppgifterna samlades in och överfördes av privata operatörer.(27)
50. I det avseendet räcker det att påpeka att domstolen, i domen av den 6 oktober 2020, La Quadrature du Net m.fl.,(28) i huvudsak fann att domen parlamentet/rådet inte kunde överföras till området för dataskyddsförordningen.(29)
51. I punkt 102 i domen La Quadrature du Net(30) slog domstolen fast, utifrån en analog tillämpning av det resonemang som fördes i domen Tele2 Sverige och domen av den 2 oktober 2018, Ministerio Fiscal,(31)att ”[ä]ven om det i artikel 2.2 d i [dataskyddsförordningen] anges att den inte ska tillämpas på behandling som utförs av ’behöriga myndigheter’ i syfte att bland annat förebygga och avslöja brott, i vilket även ingår att förhindra hot mot allmän säkerhet och förebygga sådana hot, framgår det av artikel 23.1 d och h i samma förordning att förordningen är tillämplig på behandling av personuppgifter som utförs av enskilda för samma ändamål”.(32)
52. Av de skäl som redan har angetts är jag övertygad om att slutsatsen att överföringen av PNR-uppgifter från transportföretagen och researrangörerna till enheterna för passagerarinformation omfattas av dataskyddsförordningen framgår klart redan av ordalydelsen i artikel 2.2 d i dataskyddsförordningen, som endast hänvisar till behandling som ”behöriga myndigheter” utför, utan att det är nödvändigt att hänvisa till begränsningsklausulen i artikel 23.1 i nämnda förordning.(33) Konstaterandet i punkt 102 i domen La Quadrature du Net utgör dock ett tydligt ställningstagande av EU-domstolen till förmån för en sådan slutsats.
53. Eftersom överföringen av PNR-uppgifter av transportföretag och researrangörer omfattas av dataskyddsförordningens tillämpningsområde, utgör en sådan nationell lagstiftning som PNR-lagen, vilken ålägger dessa företag och arrangörer att göra en sådan överföring, en ”lagstiftningsåtgärd” enligt artikel 23.1 d i dataskyddsförordningen och ska följaktligen uppfylla de villkor som föreskrivs i denna bestämmelse.(34)
54. Vad, för det tredje, beträffar behandling av PNR-uppgifter som enheten för passagerarinformation och de nationella behöriga myndigheterna utför, är dataskyddsförordningens tillämplighet, såsom framgår av ovanstående resonemang, avhängig av de syften som eftersträvas genom behandlingen.
55. Behandling av PNR-uppgifter som enheten för passagerarinformation och de nationella behöriga myndigheterna utför för de syften som anges i artikel 8 § 1 leden 1–3 och 5 i PNR-lagen(35) omfattas inte av dataskyddsförordningens tillämpningsområde, i den mån som – vilket tycks vara fallet – dessa syften hör till de som omfattas av undantagsklausulen i artikel 2.2 d i dataskyddsförordningen. Skyddet av uppgifter för de personer som berörs av denna behandling omfattas av nationell rätt, med förbehåll för tillämpningen av polisdirektivet(36) och, inom dess tillämpningsområde, PNR-direktivet.
56. Samma sak gäller dessutom behandling av PNR-uppgifter som enheten för passagerarinformation och säkerhets- och underrättelsetjänsten utför i samband med övervakning av de verksamheter som avses i de bestämmelser i lagen om underrättelse- och säkerhetstjänsten som räknas upp i artikel 8 § 1 led 4 i PNR-lagen, i den mån som de uppfyller de syften som anges i artikel 2.2 d i dataskyddsförordningen, vilket det ankommer på den hänskjutande domstolen att bedöma.
57. Den belgiska regeringen har hävdat att behandling som utförs enligt artikel 8 § 1 led 4 i PNR-lagen under alla omständigheter omfattas av den undantagsklausul som föreskrivs i artikel 2.2 a i dataskyddsförordningen, och av den som föreskrivs i artikel 2.3 a i polisdirektivet, eftersom säkerhets- och underrättelsetjänstens verksamhet inte omfattas av unionsrättens tillämpningsområde.
58. Jag vill i det avseendet understryka att EU-domstolen inte har att ta ställning till en fråga som avser tolkningen av dessa bestämmelser, och till att börja med påpeka att EU-domstolen redan har slagit fast att en nationell lagstiftning som ålägger privata operatörer en skyldighet att behandla uppgifter omfattas av unionsrättens bestämmelser om skydd av personuppgifter, även om lagstiftningen syftar till att skydda nationell säkerhet.(37) Härav följer att den överföring av PNR-uppgifter som PNR-lagen ålägger transportörer och researrangörer i princip omfattas av dataskyddsförordningen även när överföringen utförs för de syften som avses i artikel 8 § 1 led 4 i lagen.
59. Vidare vill jag påpeka att även om det i skäl 16 i dataskyddsförordningen anges att denna förordning inte är tillämplig på ”verksamhet rörande nationell säkerhet” och det i skäl 14 i polisdirektivet anges att ”verksamhet som rör nationell säkerhet, verksamhet som utförs av byråer och organ som hanterar nationella säkerhetsfrågor … inte [bör] betraktas som verksamhet som omfattas av detta direktivs tillämpningsområde”, grundar sig de kriterier på grundval av vilka en behandling av personuppgifter som utförs av en myndighet, ett organ eller en byrå i en medlemsstat antingen omfattas av tillämpningsområdet för den ena eller den andra unionsrättsakten som reglerar skyddet för de berörda personerna i fråga om sådan behandling eller faller utanför unionsrättens tillämpningsområde, på en logik som har samband med såväl det uppdrag som denna myndighet, detta organ eller denna byrå har getts som syftena med denna behandling. Domstolen har slagit fast att artikel 2.2 a i dataskyddsförordningen, jämförd med skäl 16 i förordningen, ”ska anses ha som enda syfte att från förordningens tillämpningsområde undanta behandling av personuppgifter som statliga myndigheter utför som ett led i en verksamhet som syftar till att upprätthålla nationell säkerhet eller en verksamhet som kan placeras i samma kategori. Det innebär att enbart den omständigheten att en verksamhet endast kan bedrivas av staten eller av en offentlig myndighet inte räcker för att detta undantag automatiskt ska vara tillämpligt på en sådan verksamhet …”.(38) Domstolen har även angett att ”[v]erksamhet som syftar till att upprätthålla den nationella säkerheten i den mening som avses i artikel 2.2 a i dataskyddsförordningen omfattar [särskilt] … verksamhet som syftar till att skydda statens grundfunktioner och samhällets grundläggande intressen”.(39) Härav följer att om en medlemsstat ger sin säkerhets- och underrättelsetjänst i uppdrag att utföra uppgifter på de områden som räknas upp i artikel 3 led 7 a i polisdirektivet, omfattas den behandling av uppgifter som säkerhets- och underrättelsetjänsten utför för att fullgöra sina uppgifter av tillämpningsområdet för detta direktiv och, i förekommande fall, PNR-direktivet. Mer allmänt vill jag påpeka att domstolen upprepade gånger har slagit fast, vid tolkningen av artikel 4.2 FEU som bland annat den belgiska regeringen stöder sig på, att enbart den omständigheten att en nationell åtgärd har vidtagits för att skydda nationell säkerhet inte kan leda till att unionsrätten inte är tillämplig och befria medlemsstaterna från skyldigheten att iaktta unionsrätten.(40) Domstolen har således visat sig vara tveksam till att automatiskt och utan urskillning utesluta medlemsstaternas verksamheter som har anknytning till skyddet av nationell säkerhet från unionsrättens tillämpningsområde.
60. I enlighet med uppfattningen hos alla berörda parter som har ingett yttranden, med undantag av den franska regeringen, ska det vidare anses att den behandling av PNR-uppgifter som utförs av de behöriga belgiska myndigheterna för de syften som anges i artikel 8 § 2 i PNR-lagen, det vill säga för att ”förbättra personkontroller vid de yttre gränserna och för att bekämpa olaglig invandring”,(41) inte omfattas av undantagsklausulen i artikel 2.2 d i dataskyddsförordningen, eller av någon annan undantagsklausul som föreskrivs i denna artikel och omfattas följaktligen av tillämpningsområdet för denna förordning. I motsats till vad den franska regeringen har hävdat, kan sådan behandling inte regleras av PNR-direktivet, där det i artikel 1.2 föreskrivs att ”PNR-uppgifter som samlas in i enlighet med detta direktiv får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet”, och i princip inte heller av polisdirektivet, som enligt artikel 1.1 i direktivet endast är tillämpligt på behandling av personuppgifter som utförs av behöriga myndigheter ”i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten”. Som framgår av beslutet om hänskjutande har artikel 8 § 2 i PNR-lagen och kapitel 11 i nämnda lag, som innehåller bestämmelser om behandling av PNR-uppgifter för att förbättra kontrollen vid gränserna och för att bekämpa olaglig invandring och som för det syftet föreskriver att dessa uppgifter ska överföras till enheten för passagerarinformation av bland annat gränspolisen, till syfte att införliva API‑direktivet och direktiv 2010/65 med belgisk rätt. Dessa båda direktiv ålägger dock de behöriga myndigheterna, i fråga om de behandlingar som föreskrivs däri, att följa bestämmelserna i direktiv 95/46.(42) I motsats till vad den franska regeringen har hävdat, ska hänvisningen till skyddsreglerna i nämnda direktiv förstås så, att den omfattar all behandling av personuppgifter som utförs på grundval av API‑direktivet och direktiv 2010/65. Den omständigheten att API‑direktivet antogs innan rambeslut 2008/977 trädde i kraft är inte relevant i det avseendet, eftersom detta rambeslut, och polisdirektivet som har ersatt detta, endast rör sådan behandling av personuppgifter som avses i artikel 3.1 i API‑direktivet, som utförs av de behöriga myndigheterna i brottsbekämpande syfte.(43)
61. Mot bakgrund av det ovan anförda föreslår jag att domstolen ska besvara den första frågan på följande sätt. Artikel 23 i dataskyddsförordningen, jämförd med artikel 2.2 d i samma förordning, ska tolkas så,
– att den är tillämplig på en nationell lagstiftning som införlivar PNR-direktivet, i den mån som denna lagstiftning reglerar behandling av PNR-uppgifter som utförs av transportörer och andra ekonomiska aktörer, inbegripet överföring av PNR-uppgifter till enheterna för passagerarinformation, som föreskrivs i artikel 8 i nämnda direktiv,
– att den inte är tillämplig på en nationell lagstiftning som införlivar PNR-direktivet, i den mån som denna lagstiftning reglerar behandling av uppgifter som utförs för de syften som föreskrivs i artikel 1.2 i direktivet av de behöriga nationella myndigheterna, däribland enheterna för passagerarinformation och, i förekommande fall, säkerhets- och underrättelsetjänsten i den berörda medlemsstaten, och
– att den är tillämplig på en nationell lagstiftning som införlivar API‑direktivet och direktiv 2010/65 för att förbättra personkontroller vid de yttre gränserna och för att bekämpa olaglig invandring.
B. Den andra, den tredje, den fjärde, den sjätte och den åttonde frågan
62. Cour constitutionnelle (Författningsdomstolen) har ställt den andra, den tredje, den fjärde och den sjätte frågan för att EU-domstolen ska ta ställning till huruvida PNR-direktivet är giltigt i förhållande till artiklarna 7, 8 och 52.1 i stadgan. Trots att den åttonde frågan har avfattats som en tolkningsfråga, syftar även den i huvudsak till att domstolen ska ta ställning till direktivets giltighet.
63. Dessa frågor avser de olika delarna av det system för behandling av PNR-uppgifter som har inrättats genom PNR-direktivet och kräver, i förhållande till var och en av dessa delar, en bedömning av huruvida villkoren för att de införda begränsningarna av utövandet av de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan ska vara lagenliga har iakttagits. Den andra och den tredje frågan avser således förteckningen över PNR-uppgifter i bilaga I, den fjärde frågan avser definitionen av begreppet passagerare i artikel 3 led 4 i PNR-direktivet, den sjätte frågan avser användningen av PNR-uppgifter med avseende på förhandsbedömningen enligt artikel 6 i direktivet och den åttonde frågan avser den lagringstid för PNR-uppgifter som föreskrivs i artikel 12.1 i direktivet.
1. De grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan
64. Artikel 7 i stadgan garanterar var och en rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. I artikel 8.1 i stadgan erkänns uttryckligen att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Det följer av fast rättspraxis att dessa rättigheter, vilka omfattar all information som avser en identifierad eller identifierbar fysisk person, har ett nära samband, eftersom åtkomst till en fysisk persons personuppgifter för lagring eller användning påverkar denna persons rätt till respekt för privatlivet.(44)
65. De rättigheter som slås fast i artiklarna 7 och 8 i stadgan är dock inte några absoluta rättigheter, utan måste bedömas utifrån deras funktion i samhället.(45) Artikel 8.2 i stadgan tillåter således behandling av personuppgifter om vissa villkor är uppfyllda. I denna bestämmelse föreskrivs att personuppgifter ska behandlas ”lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund”.
66. Varje begränsning av rätten till skydd av personuppgifter och rätten till privatliv ska dessutom uppfylla kraven i artikel 52.1 i stadgan. En sådan begränsning ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och ska, med beaktande av proportionalitetsprincipen, vara nödvändig och faktiskt svara mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
67. Bedömningen av en åtgärd som begränsar dessa rättigheter ska även ta hänsyn till betydelsen av de rättigheter som slås fast i artiklarna 3, 4, 6 och 7 i stadgan och till den betydelse som målen att skydda nationell säkerhet och bekämpa grov brottslighet har för att bidra till skyddet för andra människors rättigheter och friheter.(46) I artikel 6 i stadgan anges att var och en har rätt till frihet, men också till personlig säkerhet.(47)
68. Artikel 52.3 i stadgan syftar vidare till att trygga den nödvändiga koherensen mellan rättigheterna i stadgan och motsvarande rättigheter i Europakonventionen, vilka ska beaktas såsom lägsta tillåtna skyddsnivå.(48) Rätten till respekt för privatlivet och familjelivet, som slås fast i artikel 7 i stadgan, motsvarar den rättighet som garanteras i artikel 8 i Europakonventionen och ska följaktligen ges samma innebörd och räckvidd.(49) Det framgår av rättspraxis från Europeiska domstolen för de mänskliga rättigheterna (nedan kallad Europadomstolen) att ett ingrepp i de rättigheter som garanteras i denna artikel endast kan vara motiverat enligt artikel 8.2 om det har stöd i lag, avser ett eller flera av de legitima mål som anges i nämnda bestämmelse och är nödvändigt i ett demokratiskt samhälle för att detta eller dessa mål ska kunna uppnås.(50) Åtgärden ska även vara förenlig med den grundläggande rättsuppfattningen, som uttryckligen omnämns i ingressen till Europakonventionen och som är en del av syftet och målet med artikel 8 i Europakonventionen.(51)
69. Det är mot bakgrund av dessa principer som jag kommer att pröva de giltighetsfrågor som Cour constitutionnelle (Författningsdomstolen) har ställt.
2. Ingreppet i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan
70. Domstolen har redan slagit fast att bestämmelser som föreskriver eller tillåter utlämnande av personuppgifter om fysiska personer till tredje man, såsom en offentlig myndighet, ska – om dessa fysiska personer inte har lämnat sitt samtycke och oavsett hur uppgifterna i fråga senare används – anses utgöra intrång i privatlivet och följaktligen en begränsning av den grundläggande rättighet som garanteras i artikel 7 i stadgan, utan att detta påverkar frågan om de eventuellt kan anses berättigade.(52) Så är fallet även i avsaknad av omständigheter som kan kvalificera ett sådant ingrepp som ”allvarligt” och oavsett om upplysningarna om de berördas privatliv är av känslig art och om de berörda har fått utstå olägenheter på grund av ingreppet.(53) Myndigheters tillgång till sådana upplysningar utgör även ett ingrepp i den grundläggande rätten till skydd av personuppgifter som garanteras i artikel 8 i stadgan, eftersom det utgör behandling av personuppgifter.(54) På samma sätt utgör lagring, under en viss tid, av uppgifter avseende en persons privatliv ett ingrepp i de rättigheter som garanteras i artiklarna 7 och 8 i stadgan.(55)
71. Domstolen har även slagit fast att PNR-uppgifterna, såsom de som räknas upp i bilaga I, innehåller uppgifter om identifierade fysiska personer, det vill säga berörda flygpassagerare, och de olika behandlingar som uppgifterna kan bli föremål för påverkar därför den grundläggande rätten till respekt för privatlivet, vilken är garanterad i artikel 7 i stadgan. Dessa behandlingar omfattas även av artikel 8 i stadgan och de måste därför uppfylla de krav på skydd av uppgifter som följer av den artikeln.(56)
72. De behandlingar av PNR-uppgifter som PNR-direktivet tillåter och särskilt, såvitt är av intresse i förevarande mål, lufttrafikföretagens överföring av dessa uppgifter till enheterna för passagerarinformation, deras användning av dessa enheter, deras vidare överföring till behöriga nationella myndigheter i den mening som avses i artikel 7 i direktivet, samt lagring av dessa uppgifter utgör lika mycket ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan.
73. När det gäller hur allvarliga dessa ingrepp är, ska det, för det första, påpekas att det i PNR-direktivet föreskrivs en systematisk och fortlöpande överföring av PNR-uppgifter till enheterna för passagerarinformation om alla flygpassagerare, såsom detta begrepp definieras i artikel 3 led 4 i direktivet, på en flygning ”utanför EU” i den mening som avses i artikel 3 led 2 i direktivet. En sådan överföring innebär en allmän åtkomst för enheterna för passagerarinformation till samtliga PNR-uppgifter som lämnats ut.(57) Detta konstaterande påverkas inte, i motsats till vad vissa medlemsstater har gjort gällande i förevarande mål, av den omständigheten att enheterna för passagerarinformation endast får konkret tillgång till uppgifter som vid en analys har lett till ett positivt resultat, eftersom dessa uppgifter genomgår en automatisk behandling. En sådan omständighet har hittills inte hindrat domstolen från att, i samband med liknande system för automatisk behandling av personuppgifter som samlas in eller lagras ”huller om buller”, anse att de berörda myndigheternas åtkomst till sådana uppgifter är generell. Enbart den omständigheten att personuppgifter ställs till myndigheters förfogande för att dessa myndigheter ska behandla och lagra uppgifterna medför i princip en generell och fullständig tillgång till sådana uppgifter för myndigheterna och ett ingrepp i den grundläggande rätten till respekt för privatlivet och till skydd av personuppgifter.
74. För det andra får medlemsstaterna, enligt artikel 2.1 i PNR-direktivet, besluta att tillämpa detta direktiv på flygningar ”inom EU”, i den mening som avses i artikel 3.3 i direktivet. I det avseendet vill jag påpeka att PNR-direktivet inte enbart föreskriver en möjlighet för medlemsstaterna att utvidga direktivets tillämpning till att omfatta flygningar inom EU, utan i direktivet fastställs även både de formella och de materiella villkoren för att utnyttja denna möjlighet(58) och det anges däri att när denna möjlighet utnyttjas endast i fråga om valda flygningar inom EU, ska valet av dessa flygningar ske med beaktande av de mål som eftersträvas genom direktivet.(59) I PNR-direktivet fastställs vidare konsekvenserna av att en sådan möjlighet har utnyttjats, då det i artikel 2.2 i direktivet föreskrivs att när en medlemsstat beslutar att tillämpa detta direktiv på flygningar inom EU, ska alla bestämmelser i direktivet ”gälla för flygningar inom EU som om de vore flygningar utanför EU och för PNR-uppgifter från flygningar inom EU som om de vore PNR-uppgifter från flygningar utanför EU”.
75. Under dessa omständigheter anser jag, i motsats till vad som har gjorts gällande av ett visst antal regeringar som har avgett yttranden i förevarande mål, att även om tillämpningen av PNR-direktivet på flygningar inom EU är avhängig av medlemsstaternas val, utgör PNR-direktivet den rättsliga grunden för ingreppen i rätten till respekt för privatlivet och rätten till skydd av personuppgifter som har samband med överföringen, behandlingen och lagringen av PNR-uppgifter avseende dessa flygningar, när ett sådant val har gjorts.
76. Bortsett från Konungariket Danmark, som inte omfattas av direktivet,(60) tillämpar nästan alla medlemsstater den ordning som har inrättats genom direktivet på flygningar ”inom EU”.(61) Härav följer att denna ordning är tillämplig på alla flygningar till och från unionen samt på nästan alla flygningar som sker inom unionen.
77. Vad, för det tredje, beträffar PNR-uppgifter som ska överföras, anges 19 kategorier i bilaga I som avser biografiska uppgifter,(62) detaljer om flygresan(63) och andra uppgifter som samlats in i samband med ett avtal om lufttransport, såsom telefonnummer eller e-postadress, betalningsinformation, resebyrå eller resebyråtjänsteman, bagageinformation och allmänna anmärkningar.(64) Såsom domstolen angav i punkt 128 i yttrande 1/15, då den tog ställning till kategorierna i bilagan till förslaget till avtal mellan Kanada och Europeiska unionen om överföring och behandling av passageraruppgifter (nedan kallat förslaget till PNR-avtal mellan Kanada och EU), vilka i stor utsträckning var utformade på ett liknande sätt som kategorierna i bilaga I, ”[ä]ven om vissa PNR-uppgifter sedda separata inte förefaller kunna lämna några viktiga upplysningar om de berörda personernas privatliv, är det icke desto mindre så, att uppgifterna sammantagna kan lämna upplysningar om bland annat en fullständig res[r]utt, resvanor, förhållandena mellan två eller flera personer, upplysningar om flygpassagerarnas ekonomiska situation, upplysningar om deras matvanor eller hälsotillstånd och till och med skulle kunna lämna känsliga upplysningar om dessa flygpassagerare”.
78. För det fjärde framgår det av lydelsen i artikel 6 i PNR-direktivet att uppgifter som överförs av lufttrafikföretag är avsedda att analyseras av enheterna för passagerarinformation med automatiska metoder och på ett systematiskt sätt, det vill säga oberoende av huruvida det finns minsta tecken på att de berörda personerna riskerar att vara inblandade i terroristbrott eller grov brottslighet. Vid den förhandsbedömning av passagerare som föreskrivs i artikel 6.2 a i direktivet och i enlighet med artikel 6.3, kan närmare bestämt dessa uppgifter kontrolleras genom samkörning med uppgifter i databaser ”som är relevanta” (artikel 6. 3 a) och behandlas i enlighet med på förhand fastställda kriterier (artikel 6.3 b). Den första typen av behandling kan ge ytterligare upplysningar om de berörda personernas privatliv(65) och, med hänsyn till de databaser som används vid samkörningen, till och med göra det möjligt att skapa en exakt profil för dessa personer. Under dessa omständigheter kan det inte anses att den invändning som har framställts av flera regeringar, nämligen att PNR-direktivet endast ger tillgång till en relativt begränsad uppsättning av personuppgifter, på ett lämpligt sätt avspeglar den potentiella omfattningen av de ingrepp som detta direktiv innebär i de grundläggande rättigheter som skyddas i artiklarna 7 och 8 i stadgan, mot bakgrund av omfattningen av de uppgifter som direktivet kan möjliggöra tillgång till. Vad beträffar den andra typen av behandling av uppgifter, som föreskrivs i artikel 6.3 b i PNR-direktivet, vill jag erinra om att domstolen, i punkterna 169 och 172 i yttrande 1/15, framhöll att det ligger i sakens natur att varje analys som grundar sig på förhandsbestämda kriterier innehåller en viss felmarginal, och särskilt ett antal ”felaktiga positiva” resultat. Enligt de sifferuppgifter som finns i arbetsdokumentet från kommissionens avdelningar(66) (nedan kallat arbetsdokumentet från år 2020), vilket bifogades kommissionens rapport från år 2020, är antalet träffar som, efter en sådan individuell granskning som föreskrivs i artikel 6.5 i PNR-direktivet, visar sig vara felaktiga ganska konsekvent och uppgick under åren 2018 och 2019 till åtminstone fem av sex identifierade personer.(67)
79. För det femte, i enlighet med artikel 12.1 i PNR-direktivet, lagras PNR-uppgifterna i en databas under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick. PNR-direktivet gör det följaktligen möjligt att förfoga över information om flygpassagerares privatliv under en särskilt lång tid.(68) Eftersom överföringen av PNR-uppgifter berör nästan samtliga flygningar till och från unionen samt inom unionen, och flyg har blivit ett ganska vanligt transportmedel, skulle en betydande andel av flygpassagerarna kunna få sina personuppgifter lagrade praktiskt taget permanent, enbart på grund av att de förflyttar sig med flyg minst två gånger vart femte år.
80. På ett mer allmänt plan föreskrivs det slutligen i PNR-direktivet åtgärder som, vid en sammantagen bedömning, syftar till att på unionsnivå inrätta ett system för övervakning som är ”icke-riktad”, det vill säga som inte aktiveras av en misstanke mot en eller flera specifika personer, som är ”massiv” genom att den avser personuppgifter om ett stort antal individer,(69) täcker en personkategori i dess helhet(70) och är ”proaktiv”, eftersom den inte bara syftar till att utreda kända hot, utan även till att hitta eller identifiera hittills okända faror.(71) Sådana åtgärder ger, till sin natur, upphov till allvarliga ingrepp i de grundläggande rättigheter som skyddas av artiklarna 7 och 8 i stadgan,(72) som har samband bland annat med deras förebyggande och prediktiva syfte, vilket kräver en bedömning av personuppgifter avseende stora segment av befolkningen, då målet är att ”identifiera” de personer som utifrån resultatet av denna bedömning bör undersökas närmare av de behöriga myndigheterna.(73) Den allt vanligare användningen, i syfte att förebygga och förhindra viss grov brottslighet, av behandling av stora mängder personuppgifter av olika slag som har samlats in ”huller om buller”, och att de jämförs med varandra och behandlas tillsammans, medför en ”kumulativ effekt” som ökar allvaret i inskränkningarna av den grundläggande rätten till respekt för privatlivet och till skydd av personuppgifter och riskerar att främja en process med en gradvis glidning mot ett ”övervakningssamhälle”.(74)
81. Mot bakgrund av det ovan anförda anser jag att det ingrepp som PNR-direktivet innebär i de grundläggande rättigheter som skyddas i artiklarna 7 och 8 i stadgan åtminstone ska betecknas som ”allvarligt”.
82. Det är, såsom särskilt kommissionen har hävdat, riktigt att samtliga de skyddsregler och skyddsåtgärder som föreskrivs i PNR-direktivet, särskilt för att undvika missbruk av PNR-uppgifter, kan minska ingreppens intensitet eller allvar. Det är icke desto mindre så, att varje ordning som föreskriver tillgång och behandling av personuppgifter från myndigheternas sida har en viss allvarlighetsgrad, sett utifrån skyddet för de grundläggande rättigheter som påverkas, vilken följer av dess objektiva egenskaper. Denna allvarlighetsgrad ska, enlig min mening, fastställas innan det, i samband med proportionalitetsbedömningen av nämnda ingrepp, görs en bedömning av huruvida de skyddsregler som föreskrivs i denna ordning är tillräckliga och lämpliga. Det är så domstolen enligt min mening hittills har gått till väga.
83. För att vara förenliga med stadgan måste de ingrepp som PNR-direktivet innebär i den grundläggande rätten till respekt för privatlivet och till skydd av personuppgifter uppfylla villkoren som anges i punkterna 65 och 66 i detta förslag till avgörande, vilket kommer att prövas nedan såvitt beträffar de aspekter som den hänskjutande domstolen har underställt EU-domstolens prövning.
3. Huruvida det ingrepp som följer av PNR-direktivet är motiverat
84. Den tredje frågan avser iakttagandet av villkoret i artikel 52.1 första meningen i stadgan, enligt vilket varje ingrepp i en grundläggande rättighet ska vara ”föreskrive[t] i lag”, medan den andra, den fjärde, den sjätte och den åttonde frågan syftar till att EU-domstolen bland annat ska ta ställning till huruvida proportionalitetsprincipen har iakttagits, vilken avses i den andra meningen i nämnda bestämmelse.
a) Iakttagandet av kravet att varje begränsning i utövandet av en grundläggande rättighet som föreskrivs i stadgan ska vara föreskriven i lag
85. Det följer av EU-domstolens fasta praxis,(75) som inspirerats av Europadomstolens praxis,(76) att kravet på att varje begränsning i utövandet av en grundläggande rättighet ska vara ”föreskriven i lag” inte enbart avser ingreppets ”rättsliga” ursprung – som inte är i fråga i förevarande mål – utan innebär även att den rättsliga grund som tillåter ett sådant ingrepp på ett klart och precist sätt ska definiera omfattningen av ingreppet. Denna andra del, vilken avser ”lagens egenskaper” och således den aktuella åtgärdens tillgänglighet och förutsebarhet,(77) och omfattar uttrycken ”föreskriven i lag”, ”lagenlig” och ”med stöd av lag” i den mening som avses i artikel 52.1 stadgan, artikel 8.2 i stadgan respektive artikel 8 i Europakonventionen, syftar inte bara till att säkerställa iakttagandet av legalitetsprincipen och ett adekvat skydd mot godtycke,(78) utan uppfyller även ett krav på rättssäkerhet. Detta krav har även gjorts gällande i yttrandet av den 19 augusti 2016 från den rådgivande kommittén för konvention 108(79) om konsekvenserna i fråga om dataskydd av behandling av passageraruppgifter (nedan kallat yttrandet av den 19 augusti 2016).(80)
86. Genom att anta PNR-direktivet, införde unionslagstiftaren själv en begränsning av de rättigheter som stadgas i artiklarna 7 och 8 i stadgan. De ingrepp i dessa rättigheter som är tillåtna enligt detta direktiv ska således inte anses vara en följd av medlemsstaternas val,(81) trots det utrymme för skönsmässig bedömning som medlemsstaterna har kunnat åtnjuta vid införlivandet av direktivet med nationell rätt, utan de har sin rättsliga grund i själva PNR-direktivet. Under dessa omständigheter ankom det på unionslagstiftaren – för att rätta sig efter den rättspraxis som det har erinrats om i punkt 85 ovan och de ”höga standarder” i fråga om skydd av grundläggande rättigheter som finns bland annat i stadgan och i Europakonventionen, vilka det hänvisas till i skäl 15 i PNR-direktivet – att föreskriva klara och precisa bestämmelser som definierar både räckvidden och tillämpningen av de åtgärder som medför dessa ingrepp.
87. Även om den hänskjutande domstolen genom den tredje frågan specifikt vill få klarhet i huruvida denna skyldighet har iakttagits i förhållande till punkterna 12 och 18 i bilaga I, kommer prövningen av den andra, den fjärde och den sjätte frågan, genom vilka nämnda domstol har uttryckt tvivel om huruvida de ingrepp som PNR-direktivet medför i de grundläggande rättigheter som anges i artiklarna 7 och 8 i stadgan är nödvändiga, även att kräva att domstolen tar ställning till huruvida de ifrågasätta bestämmelserna i PNR-direktivet är tillräckligt klara och precisa.
88. Trots att denna bedömning, såsom jag har angett i punkt 85 ovan, avser ingreppets lagenlighet enligt artikel 52.1 första meningen i stadgan, kommer jag att göra denna i samband med prövningen av huruvida ingreppet är proportionerligt, vilket avses i den andra meningen i nämnda bestämmelse, i enlighet med det synsätt som har tillämpats både av EU-domstolen och av Europadomstolen i de mål som rör åtgärder som avser behandlingen av personuppgifter.(82)
b) Förenligheten med det väsentliga innehållet i de rättigheter som anges i artiklarna 7 och 8 i stadgan
89. Enligt artikel 52.1 första meningen i stadgan ska varje begränsning i utövandet av de grundläggande rättigheterna inte bara ha en tillräckligt precis rättslig grund, utan ska även vara förenlig med det väsentliga innehållet i dessa rättigheter.
90. Som jag har angett i punkt 66 ovan, har detta krav – som har införlivats med olika medlemsstaters konstitutioner,(83) och som även om det inte uttryckligen har erkänts i Europakonventionen, likväl är fast förankrat i Europadomstolens praxis(84) – slagits fast i artikel 52.1 i stadgan.(85) Ett sådant krav erkändes av EU-domstolen långt innan det kodifierades,(86) och har ständigt bekräftats i unionsdomstolarnas praxis, även efter ikraftträdandet av Lissabonfördraget.
91. Det framgår bland annat av domen av den 6 oktober 2015, Schrems,(87) att om en unionsrättsakt inte är förenlig med det väsentliga innehållet i en grundläggande rättighet medför detta automatiskt att rättsakten utgör en nullitet eller är ogiltig, utan att det är nödvändigt att göra en avvägning mellan de intressen som står på spel. Domstolen har således erkänt att varje grundläggande rättighet har en ”hård kärna”, som garanterar alla och envar en sfär av frihet som är skyddad mot varje ingrepp från statsmakternas sida och som inte får begränsas,(88) då den demokratiska principen, rättsstatsprincipen och principen om respekt för människans värdighet som ligger till grund för skyddet för de grundläggande rättigheterna i annat fall skulle ifrågasättas. Det framgår dessutom av såväl lydelsen i artikel 52.1 i stadgan som av EU-domstolens praxis, särskilt av domen Schrems I, att bedömningen av huruvida det föreligger ett ingrepp i det väsentliga innehållet i den aktuella grundläggande rättigheten ska göras före och oberoende av bedömningen av huruvida den ifrågasatta åtgärden är proportionerlig. Det är med andra ord fråga om ett helt fristående test.
92. Att bestämma vad som utgör det ”väsentliga innehållet”, och som följaktligen är oangripbart, i en grundläggande rättighet vars utövande kan begränsas är ett oerhört komplext förfarande. Även om detta begrepp, för att fylla sin funktion, bör kunna definieras i absoluta ordalag, med hänsyn till den aktuella grundläggande rättighetens väsentliga kännetecken, de subjektiva och objektiva intressen som den syftar till att skydda och, mer allmänt, dess funktion i ett demokratiskt samhälle grundat på respekten för människans värdighet,(89) är ett sådant förfarande i praktiken nästan omöjligt, i vart fall utan att beakta de kriterier som vanligtvis används vid proportionalitetsbedömningen av ingreppet i den aktuella rättigheten, såsom ingreppets allvar, dess omfattning eller tidsaspekt och följaktligen utan att beakta de särskilda omständigheterna i varje enskilt fall.
93. Vad särskilt beträffar den grundläggande rätten till respekt för privatlivet, ska hänsyn inte bara tas till den betydelse som den omständigheten att man förfogar över en privat sfär för att utveckla sitt personliga inre har för varje individs psykiska och fysiska hälsa, välmående, autonomi, personliga utveckling, förmåga att skapa och utveckla sociala relationer, utan även till den roll som denna rättighet har för att bevara andra rättigheter och friheter, såsom bland annat tankefrihet, samvetsfrihet, religionsfrihet, yttrande- och informationsfrihet, vilka för att kunna utnyttjas till fullo förutsätter erkännandet av en intimsfär. Mer allmänt ska hänsyn tas till den funktion som respekten för rätten till privatliv fyller i ett demokratiskt samhälle.(90) EU-domstolen tycks bedöma huruvida det föreligger en kränkning av det väsentliga innehållet i denna rättighet genom att beakta såväl ingreppets intensitet som omfattning, vilket ger vid handen att en sådan kränkning definieras kvantitativt snarare än kvalitativt. I domen Digital Rights ansåg domstolen i huvudsak att skyldigheten att lagra uppgifter som föreskrivs i direktiv 2006/24/EG(91) inte var av en sådan allvarlighetsgrad att den påverkade det väsentliga innehållet i rätten till respekt för privatlivet, eftersom det inte var tillåtet att ”skaffa sig kännedom om själva innehållet i de elektroniska kommunikationerna”.(92) I yttrande 1/15 fann domstolen att en begränsning som enbart avsåg vissa aspekter av de berörda personernas privatliv inte kunde ge upphov till ett ingrepp i det väsentliga innehållet i denna grundläggande rätt.(93)
94. Vad beträffar den grundläggande rätten till skydd av personuppgifter, tycks domstolen anse att det väsentliga innehållet i denna rätt bevaras när den åtgärd som medför ingreppet avgränsar syftena med behandlingen och föreskriver regler som säkerställer skydd för uppgifter, bland annat mot oavsiktlig eller olaglig förstöring och mot oavsiktlig förlust eller oavsiktlig ändring av uppgifterna.(94)
95. I förevarande mål har den hänskjutande domstolen visserligen inte uttryckligen nämnt kravet på förenlighet med det väsentliga innehållet i de rättigheter som anges i artiklarna 7 och 8 i stadgan, men jag anser att frågan om förenligheten med detta krav ligger till grund för den fjärde och den sjätte frågan. Detta är anledningen till att jag föreslår att EU-domstolen ska behandla denna fråga.
96. Jag vill i det avseendet erinra om att EU-domstolen i punkt 150 i yttrande 1/15 medgav att PNR-uppgifter ”i förekommande fall kan avslöja mycket precisa uppgifter om en persons privatliv”,(95) och att denna information, direkt eller indirekt, kan avslöja känsliga uppgifter om den berörda personen,(96) men den drog ändå slutsatsen, beträffande förslaget till PNR-avtal mellan Kanada och EU, att eftersom ”dessa uppgifter [var] begränsade till vissa aspekter av privatlivet, särskilt flygresorna mellan Kanada och unionen”, kunde kränkningen av den grundläggande rätten till respekt för privatlivet inte påverka det väsentliga innehållet i denna rätt.
97. Bortsett från den omständigheten att de PNR-uppgifter som avsågs i förslaget till PNR-avtal mellan Kanada och EU skulle överföras till en tredjestat och att den senare behandlingen av dessa uppgifter skulle utföras av myndigheterna i denna tredjestat på dess territorium, är de ingrepp i den grundläggande rätten till respekt för privatlivet som följer av nämnda förslag till avtal och de ingrepp som föreskrivs i PNR-direktivet i stor utsträckning sammanfallande till sin art. Detta gäller särskilt de PNR-uppgifter som avses, den systematiska och generella överföringen och behandlingen av dessa uppgifter, behandlingens automatiska art samt lagringen av dessa uppgifter. Vad som däremot skiljer de båda målen åt är, så att säga, ingreppens ”geografiska omfattning”. Som jag har angett i punkt 77 ovan, är behandlingen av de uppgifter som är aktuella i förevarande mål inte begränsad till flygförbindelser med ett enda tredjeland, vilket var fallet i yttrande 1/15, utan avser nästan alla flygningar till och från unionen, och som sker inom unionen. Härav följer att PNR-direktivet, jämfört med förslaget till PNR-avtal mellan Kanada och EU, föreskriver en systematisk behandling av ett betydligt större antal flygpassagerare, som förflyttar sig med flyg inom och utanför unionen. Med hänsyn till ökningen av volymen behandlade uppgifter och hur ofta de samlas in, är det sannolikt att behandlingen av dessa uppgifter dessutom kan ge information som är både mer exakt och mer omfattande om de berörda personernas privatliv (resvanor, personliga relationer, ekonomisk situation etcetera).
98. Faktum kvarstår dock, såsom var fallet i yttrande 1/15, att denna information, betraktad för sig, endast avser vissa aspekter av privatlivet, som har samband med flygresor. Med hänsyn till att det är nödvändigt att definiera begreppet ”väsentligt innehåll” i grundläggande rättigheter på ett restriktivt sätt, för att detta ska behålla sin funktion som bastion mot angrepp på själva kärnan i dessa rättigheter, anser jag att den slutsats som domstolen kom fram till i punkt 150 i yttrande 1/15 kan tillämpas i förevarande mål.
99. I yttrande 1/15 uteslöt domstolen även ett angrepp på det väsentliga innehållet i rätten till skydd av personuppgifter.(97) Denna slutsats kan enligt min mening även tillämpas på omständigheterna i förevarande mål. Precis som var fallet med förslaget till PNR-avtal mellan Kanada och EU, avgränsas i artikel 1.2 i PNR-direktivet de ändamål för vilka behandlingen av PNR-uppgifter får ske. Dessutom innehåller detta direktiv samt de andra unionsrättsakter som direktivet hänvisar till, bland annat dataskyddsförordningen och polisdirektivet, särskilda bestämmelser som är avsedda att säkerställa i synnerhet säkerheten och sekretessen för PNR-uppgifterna samt deras integritet, och att skydda dem från olaglig åtkomst eller olaglig behandling. Även om det inte kan anses att sådana bestämmelser som dem som föreskrivs i PNR-direktivet avser det väsentliga innehållet i de grundläggande rättigheter som skyddas av artiklarna 7 och 8 i stadgan, är det icke desto mindre så, att bestämmelserna ska genomgå en strikt och rigorös kontroll av huruvida de är proportionerliga.
c) Iakttagandet av kravet att ingreppet ska svara mot ett mål av allmänt samhällsintresse
100. PNR-direktivet syftar bland annat till att trygga unionens inre säkerhet och att skydda personers liv och säkerhet genom överföring av PNR-uppgifter till medlemsstaternas behöriga myndigheter för att de ska användas i kampen mot terrorism och grov brottslighet.(98)
101. Närmare bestämt framgår det av artikel 1.2 i PNR-direktivet, jämförd med skälen 6 och 7 i direktivet, samt av kommissionens förslag som ledde till antagandet av detta direktiv (nedan kallat förslaget till PNR-direktiv),(99) att PNR-uppgifterna, inom ramen för ett sådant syfte, används av de brottsbekämpande myndigheterna(100) på olika sätt. För det första används dessa uppgifter för att identifiera personer som är inblandade eller misstänks vara inblandade i terroristbrott och grov brottslighet som redan har begåtts, för att samla in bevisning och i förekommande fall hitta medbrottslingar och upplösa kriminella nätverk (”reaktiv” användning). För det andra kan PNR-uppgifterna bedömas före passagerarnas ankomst eller avresa för att förhindra att ett brott begås och för att identifiera personer som tidigare inte har varit misstänkta för delaktighet i terroristbrott eller grov brottslighet och som, på grundval av resultatet av denna bedömning, bör undersökas närmare av de brottsbekämpande myndigheterna (användning ”i realtid”). Slutligen används PNR-uppgifterna för att skapa bedömningskriterier som sedan kan användas vid riskbedömningen av passagerare före ankomst eller avresa (”proaktiv” användning). Genom en sådan proaktiv användning av PNR-uppgifter borde det vara möjligt för de brottsbekämpande myndigheterna att möta hotet från grov brottslighet och terrorism från en annan utgångspunkt än vad som är möjligt vid behandling av andra kategorier av personuppgifter.(101)
102. Det framgår av domstolens praxis att målet att skydda den allmänna säkerheten, som bland annat omfattar att förebygga, förhindra, undersöka, upptäcka och lagföra såväl terroristbrott som andra brott som hör till grov brottslighet, utgör ett mål av allmänt samhällsintresse i unionen, i den mening som avses i artikel 52.1 i stadgan, som kan motivera ingrepp, även allvarliga sådana, i de grundläggande rättigheter som anges i artiklarna 7 och 8 i stadgan.(102)
103. Domstolen har även medgett att målen att skydda allmän säkerhet och bekämpa grov brottslighet bidrar till skyddet för andra människors fri- och rättigheter.(103) Vad beträffar den balanserade avvägningen mellan dessa mål och de grundläggande rättigheter som stadgas i artiklarna 7 och 8 i stadgan,(104) ska det även tas hänsyn till betydelsen av de rättigheter som stadgas i artiklarna 3, 4, 6 och 7 i stadgan. I domen La Quadrature du Net fann domstolen i det avseendet att artikel 6 i stadgan ”inte [kan] tolkas så, att den ålägger statsmakten en skyldighet att vidta specifika åtgärder för att beivra vissa brott”.(105) Vad däremot särskilt gäller den effektiva bekämpningen av brott som bland annat underåriga och andra utsatta personer utsätts för, underströk domstolen att det av artikel 7 i stadgan kan följa positiva skyldigheter för statsmakten att vidta rättsliga åtgärder som syftar till att skydda privatlivet och familjelivet, och att sådana skyldigheter även kan följa av artiklarna 3 och 4 i stadgan vad gäller skyddet av personers fysiska och mentala integritet och förbudet mot tortyr och omänsklig och förnedrande behandling.(106)
104. Slutligen ansåg domstolen att betydelsen av målet att skydda nationell säkerhet är mer omfattande än betydelsen av målen att bekämpa brottslighet i allmänhet, även grov sådan, och att skydda allmän säkerhet, och att målet följaktligen kan motivera åtgärder som innebär mer långtgående ingrepp i de grundläggande rättigheterna än dem som dessa övriga mål skulle kunna motivera.(107) Eftersom terrorverksamhet kan utgöra hot mot medlemsstaternas nationella säkerhet, utgör det system som har införts genom PNR-direktivet en del av syftet att skydda medlemsstaternas nationella säkerhet, eftersom systemet utgör ett instrument för att bekämpa sådan verksamhet.
d) Iakttagandet av proportionalitetsprincipen
105. Enligt artikel 52.1 andra meningen i stadgan får begränsningar i utövandet av en grundläggande rättighet som erkänns i stadgan, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
106. Enligt domstolens fasta praxis kräver proportionalitetsprincipen att unionsinstitutionernas åtgärder ska vara ägnade att uppnå de legitima mål som eftersträvas med bestämmelserna i fråga och att de inte går utöver vad som är lämpligt och nödvändigt för att uppnå dessa mål.(108)
107. Enligt domstolens fasta praxis kräver skyddet för den grundläggande rätten till respekt för privatlivet inom unionen att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt. Uppnåendet av ett mål av allmänt samhällsintresse kan dessutom inte ske utan att det beaktas att detta mål måste vara förenligt med de grundläggande rättigheter som berörs av åtgärden, varvid en balanserad avvägning ska göras mellan, å ena sidan, målet av allmänt samhällsintresse, och, å andra sidan, rättigheterna i fråga.(109) Närmare bestämt ska frågan huruvida en begränsning av de rättigheter som stadgas i artiklarna 7 och 8 i stadgan är proportionerlig bedömas med hänsyn till hur allvarligt det ingrepp är som en sådan begränsning medför. Det ska också kontrolleras att betydelsen av det mål av allmänt samhällsintresse som eftersträvas med denna begränsning står i proportion till hur allvarligt ingreppet är.(110)
108. Det framgår av domstolens praxis att för att uppfylla kravet på proportionalitet måste PNR-direktivet, i egenskap av rättslig grund som innebär ingrepp i de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan, vilka ingrepp har beskrivits i punkterna 70–83 ovan till avgörande, föreskriva klara och precisa bestämmelser som reglerar räckvidden och tillämpningen av åtgärder som innebär sådana ingrepp, och slå fast minimikrav, så att de personer vilkas uppgifter har överförts har tillräckliga garantier som möjliggör ett effektivt skydd av deras personuppgifter mot riskerna för missbruk och otillåten åtkomst eller användning av dessa uppgifter.(111) Nödvändigheten av sådana garantier är av än större betydelse när personuppgifterna, såsom i förevarande fall, är föremål för automatisk behandling och när det är fråga om skyddet av den särskilda kategori av personuppgifter som utgörs av känsliga uppgifter.(112)
109. Vad beträffar omfattningen av domstolsprövningen av huruvida de krav som följer av proportionalitetsprincipen är uppfyllda, är unionslagstiftarens utrymme för skönsmässig bedömning begränsat med hänsyn till den stora betydelse som skyddet för personuppgifter har för den grundläggande rätten till respekt för privatlivet och med hänsyn till det ingrepp i denna rätt som PNR-direktivet innebär. Det ska därför göras en strikt prövning.(113)
1) Huruvida de behandlingar av PNR-uppgifter som avses i PNR-direktivet är ägnade att uppnå det mål som eftersträvas
110. I punkt 153 i yttrande 1/15 slog domstolen, beträffande förslaget till PNR-avtal mellan Kanada och EU, fast att överföringen av PNR-uppgifter till Kanada och den senare behandlingen av uppgifterna kan anses vara ägnade att säkerställa uppnåendet av målet att skydda den allmänna säkerheten. Konstaterandet att de är ägnade för detta, vilket sedan länge har erkänts både på unionsnivå och på global nivå,(114) kan enligt min mening inte ifrågasättas beträffande insamlingen och den senare behandlingen av PNR-uppgifter vad gäller både flygningar utanför EU och flygningar inom EU.(115)
111. Effektiviteten i det system för behandling av PNR-uppgifter som har inrättats genom direktivet kan endast bedömas i ett konkret fall, genom att bedöma resultaten av dess tillämpning.(116) Ur denna synvinkel är det mycket viktigt att systemets effektivitet blir föremål för en kontinuerlig bedömning på grundval av statistiska uppgifter som är så exakta och tillförlitliga som möjligt.(117) I det avseendet bör kommissionen regelbundet göra en översyn som motsvarar den som redan föreskrivs i artikel 19 i PNR-direktivet.
2) Huruvida ingreppet är strängt nödvändigt
112. Trots att Cour constitutionnelle (Författningsdomstolen) inte uttryckligen har framfört tvivel om huruvida PNR-direktivet innehåller bestämmelser som är klara, precisa och begränsade till vad som är strängt nödvändigt vad gäller avgränsningen av syftena med behandlingen av PNR-uppgifter,(118) kan denna fråga enligt min mening inte förbigås vid den proportionalitetsbedömning av det i direktivet föreskrivna systemet som den hänskjutande domstolen har begärt.(119)
i) Avgränsningen av syftena med behandlingen av PNR-uppgifter
113. En klar avgränsning av de syften för vilka de behöriga myndigheterna kan få tillgång till personuppgifter och för vilka uppgifterna senare får användas av myndigheterna utgör ett väsentligt krav i varje system för behandling av uppgifter särskilt i brottsbekämpande syfte. Det krävs dessutom att detta krav är uppfyllt för att möjliggöra för domstolen att bedöma huruvida de aktuella åtgärderna är proportionerliga, genom att tillämpa det kriterium som avser hur allvarligt ingreppet är i förhållande till betydelsen av det eftersträvade målet, vilket har fastställts i domstolens praxis.(120)
114. Domstolen har framhållit betydelsen av en klar avgränsning av syftena med de åtgärder som medför begränsningar av den grundläggande rätten till respekt för privatlivet och till skydd av personuppgifter, bland annat i domen Digital Rights, där domstolen slog fast att direktiv 2006/24 var ogiltigt. I punkt 60 i den domen påpekade domstolen att det i direktivet inte föreskrevs ”något objektivt kriterium för att avgränsa behöriga nationella myndigheters tillgång till uppgifterna och deras senare användning för utredning, avslöjande och åtal av brott, vilka med hänsyn till det omfattande och allvarliga ingreppet i de grundläggande rättigheterna i artiklarna 7 och 8 i stadgan, kan anses tillräckligt allvarliga för att motivera ett sådant ingrepp” och att direktivet i stället inskränkte sig till ”att i artikel 1.1 göra en allmänt hållen hänvisning till allvarliga brott såsom de definieras i varje medlemsstats nationella lagstiftning”.
115. I artikel 1.2 i PNR-direktivet anges ett allmänt kriterium för att begränsa syftena. Enligt detta kriterium ”[får] PNR-uppgifter som samlas in i enlighet med detta direktiv … endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet”. I motsats till direktiv 2006/24, begränsar sig dock inte PNR-direktivet till ett sådant uttalande, utan i artikel 3 leden 8 och 9 i själva PNR-direktivet definieras såväl begreppet ”terroristbrott” som begreppet ”grov brottslighet”. Det förstnämnda begreppet definieras genom hänvisning till artiklarna 1–4 i rådets rambeslut 2002/475/RIF av den 13 juni 2002 om bekämpande av terrorism (EGT L 164, 2002, s. 3) (vilket har ersatts av direktiv (EU) 2017/541),(121) och det andra begreppet definieras dels genom att de kategorier av brott som motsvarar detta begrepp förtecknas i bilaga II, dels genom att det fastställs en tröskel för brottets allvar genom det strängaste fängelsestraff eller annan frihetsberövande åtgärd som kan utdömas för sådana brott.
116. Även om hänvisningen till de relevanta bestämmelserna i direktiv 2017/541 gör det möjligt att tillräckligt klart och precist beskriva de handlingar som kan betecknas som terroristbrott enligt artikel 3 led 8 i PNR-direktivet och att bedöma deras allvar för att göra en avvägning mellan betydelsen av målet att skydda den allmänna säkerheten som eftersträvas genom detta direktiv och allvaret i det ingrepp som direktivet medför i de grundläggande rättigheterna i artiklarna 7 och 8 i stadgan, är samma slutsats inte lika uppenbar i fråga om alla de brott som förtecknas i bilaga II.
117. I punkt 177 i yttrande 1/15 fann domstolen att i förslaget till PNR-avtal mellan Kanada och EU definierades på ett tydligt och precist sätt svårhetsgraden på de brott som begreppet ”allvarlig gränsöverskridande brottslighet” avsåg, genom att det angavs att dessa brott ska vara ”belagda med fängelse i minst fyra år eller en strängare påföljd”, genom att det hänvisades till ”brott som är definierade i kanadensisk rätt” och genom att ”de olika fall i vilka ett brott kan anses vara gränsöverskridande” angavs.
118. Jämfört med den lagstiftning som bedömdes av domstolen i nämnda yttrande, ska det påpekas att PNR-direktivet, för det första, inte tar hänsyn till brottens gränsöverskridande karaktär i definitionen av de brott som avses, för det andra, föreskriver en uttömmande förteckning över brott som till sin art ska anses utgöra grov brottslighet, under förutsättning att det lägsta maximistraff som föreskrivs i artikel 3 led 9 i direktivet uppnås, för det tredje, i princip sänker tröskeln för brottets allvar genom att anta ett kriterium som grundar sig på maximistraffets nivå och genom att fastställa denna tröskel till tre år.
119. Vad, för det första, beträffar avsaknaden av ett begränsande kriterium som grundar sig på den gränsöverskridande karaktären, är det visserligen riktigt att en avgränsning av PNR-direktivets materiella tillämpningsområde till att enbart omfatta ”gränsöverskridande” brottslighet skulle ha gjort det möjligt att inrikta sig på de brott som till sin art kan ha, åtminstone potentiellt sett, ett objektivt samband med flygresor och följaktligen med de kategorier av uppgifter som samlas in och behandlas med tillämpning av PNR-direktivet.(122) Jag delar dock i princip kommissionens uppfattning att det är mindre uppenbart att ett sådant kriterium är relevant och nödvändigt när det gäller en ordning för att bekämpa kriminalitet vars mål är att skydda unionens inre säkerhet, till skillnad från när det gäller ett internationellt avtal. Som kommissionen alltjämt har gjort gällande är avsaknaden av gränsöverskridande inslag inte i sig ett indicium som gör att det kan uteslutas att ett brott är allvarligt.
120. Vad, för det andra, beträffar kriteriet som fastställer tröskeln för de aktuella brottens allvar – vilket, för att möjliggöra en bedömning på förhand av allvaret, ska tolkas så, att det syftar på det strängaste fängelsestraff eller annan frihetsberövande åtgärd som föreskrivs i lagen och inte på det fängelsestraff eller annan frihetsberövande åtgärd som konkret kan komma att utdömas i ett enskilt fall – är detta kriterium, fastän det grundar sig på det lägsta maximistraffet och inte på det lägsta minimistraffet, inte i sig olämpligt för att identifiera en tillräcklig svårhetsgrad som kan motivera ingreppet i de grundläggande rättigheterna i artiklarna 7 och 8 i stadgan som de behandlingar av uppgifter som föreskrivs i PNR-direktivet medför. Jag anser dock att det ska tolkas som ett kriterium som identifierar en ”lägsta” svårhetsgrad. Även om ett sådant kriterium förbjuder medlemsstaterna att betrakta de brott som avses i bilaga II, och som enligt nationell straffrätt bestraffas med fängelse eller annan frihetsberövande åtgärd i mindre än tre år, som ”grov brottslighet”, tvingar kriteriet däremot inte medlemsstaterna att automatiskt erkänna en sådan kvalificering av alla brott som kan innefattas i bilaga II och som kan leda till ett straff som når upp till den tröskel som föreskrivs i artikel 3 led 9 i PNR-direktivet, när ett sådant erkännande – med hänsyn till särdragen i medlemsstaternas straffrättsliga system – skulle leda till att de bestämmelser som föreskrivs i PNR-direktivet används för att förebygga, förhindra, upptäcka, utreda och lagföra vanlig brottslighet, i strid med de syften som eftersträvas genom direktivet.
121. Vad, för det tredje, beträffar förteckningen i bilaga II, ska det först påpekas att den omständigheten att det i PNR-direktivet uttömmande anges vilka brott som omfattas av definitionen av ”grov brottslighet” utgör en formell och materiell grundläggande skyddsregel för att säkerställa lagenligheten av det system som har inrättats genom PNR-direktivet och passagerarnas rättssäkerhet. Det ska dock konstateras att denna förteckning innefattar både brott som till sin art obestridligen är av hög svårhetsgrad – som till exempel människohandel, sexuellt utnyttjande av barn samt barnpornografi, olaglig handel med vapen, olaglig handel med nukleära eller radioaktiva ämnen, kapning av flygplan eller fartyg, brott som omfattas av den internationella brottmålsdomstolens behörighet, mord, våldtäkt, människorov, olaga frihetsberövande och tagande av gisslan(123) – och brott i fråga om vilka det är mindre uppenbart att de är av en sådan svårhetsgrad, såsom bedrägeri, varumärkesförfalskning och piratkopiering, förfalskning av administrativa dokument och handel med sådana förfalskningar samt handel med stulna fordon.(124) Bland de brott som tas upp i bilaga II, kan vissa i större utsträckning än andra vara gränsöverskridande på grund av sin art, såsom människohandel, olaglig handel med narkotika eller vapen, sexuellt utnyttjande av barn, hjälp till olovlig inresa och olovlig vistelse, kapning av flygplan, och även ha ett samband med passagerarflygtrafik.
122. När det gäller frågan huruvida kategorierna i bilaga II är tillräckligt klara och precisera, är även i det avseendet nivån mycket skiftande. Trots att den förteckning som finns i denna bilaga ska anses vara uttömmande, har flera av förteckningens kategorier en ”allmänt hållen” karaktär(125) och andra hänvisar till generiska begrepp, som kan innefatta ett mycket stort antal brott av varierande svårhetsgrad, om än alltid inom den övre gräns som föreskrivs i artikel 3 led 9 i PNR-direktivet.(126)
123. Jag vill i det avseendet påpeka att de direktiv om harmonisering som har antagits på de områden som avses i artikel 83.1 FEUF, vilka omnämns i fotnot 123 ovan, ger relevanta uppgifter som gör det möjligt att identifiera åtminstone vissa allvarliga brott som kan omfattas av de motsvarande kategorierna i bilaga II. Särskilt i artiklarna 3–8 i direktiv 2013/40 definieras olika brott som omfattas av begreppet ”it-brottslighet/cyberbrottslighet” i punkt 9 i bilaga II, och i varje enskilt fall har man varit noga med att utesluta gärningar som utgör ”fall som är ringa”.(127) På samma sätt definieras i direktiv 2019/713 vissa typer av bedrägeribrott, och i direktiv 2017/1371 definieras brottsrekvisiten för ett ”bedrägeri som riktar sig mot unionens finansiella intressen”. I det sammanhanget ska även direktiv 2008/99/EG om skydd för miljön genom straffrättsliga bestämmelser(128) nämnas, vilket antogs på grundval av artikel 175.1 EG. I artikel 3 i direktiv 2008/99 definieras en rad allvarliga miljöbrott, som kan innefattas i kategori 10 i bilaga II, däribland gärningar som kan kvalificeras som ”olaglig handel med hotade djurarter och hotade växtarter och växtsorter”, och alla ageranden som har en försumbar inverkan på det skyddade intresset undantas. Jag vill slutligen erinra om direktiv 2002/90/EG,(129) som definierar hjälp till olaglig inresa, transitering och vistelse, och rambeslut 2002/946/RIF,(130) vilket syftar till att förstärka den straffrättsliga ramen för att förhindra dessa brott, rambeslut 2003/568/RIF,(131) som definierar de brott som kvalificeras som ”aktiv och passiv korruption inom den privata sektorn”, och rambeslut 2008/841/RIF,(132) som definierar brott som rör deltagande i en kriminell organisation.
124. Vidare vill jag, i likhet med kommissionen, påpeka att i avsaknad av en fullständig harmonisering av den materiella straffrätten kan unionslagstiftaren inte klandras för att den inte närmare har preciserat de brott som avses i bilaga II. Till skillnad från vad som kommer att påpekas nedan i förevarande förslag till avgörande beträffande förteckningen över PNR-uppgifter som finns i bilaga I, kräver införlivandet av förteckningen över brott i bilaga II med nationell rätt med nödvändighet att medlemsstaterna, utifrån särdragen i deras nationella straffrättsliga system, definierar de brott som kan komma att avses. Detta förfarande ska dock utföras med fullständigt iakttagande av kriteriet att varje ingrepp i de grundläggande rättigheter som anges i artiklarna 7 och 8 i stadgan ska begränsas till vad som är strängt nödvändigt. Till exempel är det enligt min mening inte uteslutet för medlemsstaterna att föreskriva att användningen av PNR-uppgifter är begränsad, i fråga om vissa brott, som till exempel de brott som avses i punkterna 7, 16, 17, 18 och 25 i bilaga II, till de fall då dessa brott är gränsöverskridande, eller begås inom ramen för en kriminell organisation, eller då det föreligger vissa försvårande omständigheter. Det ankommer på medlemsstaternas domstolar, under EU-domstolens överinseende, att tolka de nationella bestämmelser varigenom denna förteckning har införlivats med nationell rätt på ett sätt som är förenligt både med PNR-direktivet och med stadgan, så att behandlingen av PNR-uppgifter, i fråga om varje kategori, fortsätter att vara begränsad till de brott som når upp till den höga svårhetsgrad som krävs enligt direktivet och till de brott i fråga om vilka en sådan behandling framstår som relevant.(133)
125. Med förbehåll för de preciseringar som har gjorts i punkterna 120 och 124 ovan, anser jag att artikel 3 led 9 i PNR-direktivet och den förteckning över brott som finns i bilaga II till direktivet uppfyller kraven på klarhet och precision, och inte går utöver vad som är strängt nödvändigt.
126. Det ska dock medges att den lösning som har illustrerats i punkt 124 ovan inte är helt tillfredsställande. Den ger nämligen medlemsstaterna ett stort utrymme för skönsmässig bedömning, så att det materiella tillämpningsområdet för behandlingen av PNR-uppgifter kan variera avsevärt från en medlemsstat till en annan, och därigenom äventyra det harmoniseringsmål som unionslagstiftaren eftersträvar.(134) Vidare förutsätter den att proportionalitetsprövningen av ett väsentligt inslag i systemet, såsom begränsningen av syftena med denna behandling, sker i efterhand och avser de nationella införlivandeåtgärderna, snarare än på förhand avseende själva PNR-direktivet. För det fall domstolen – som jag har föreslagit att den ska göra – beslutar att det ska anses att artikel 3 led 9 i PNR-direktivet och förteckningen över brott som finns i bilaga II till direktivet är förenliga med artiklarna 7, 8, och 51.2 i stadgan, vore det följaktligen önskvärt att domstolen uppmärksammar unionslagstiftaren på att en sådan bedömning endast är preliminär och att den förutsätter att unionslagstiftaren, mot bakgrund av medlemsstaternas införlivande av denna bestämmelse och förteckningen samt på grundval av de statistiska uppgifter som avses i artikel 20 i PNR-direktivet, undersöker behovet av i) att närmare precisera de kategorier av brott som avses i nämnda förteckning, genom att inskränka deras omfattning, ii) att från förteckningen ta bort de brott i fråga om vilka behandlingen av PNR-uppgifter framstår som oproportionerlig, irrelevant eller ineffektiv, och iii) att framhålla svårhetsgraden för de brott som avses i artikel 3 led 9 i PNR‑direktivet.(135) I det avseendet vill jag påpeka att även om artikel 19.2 b i PNR-direktivet ålägger kommissionen att göra en översyn av samtliga delar av detta direktiv, genom att lägga särskild vikt vid ”nödvändigheten och proportionaliteten i insamlingen och behandlingen av PNR-uppgifter för vart och ett av de syften som fastställs” i direktivet, innehåller varken kommissionens rapport från år 2020 eller arbetsdokumentet från år 2020 som åtföljer rapporten, enligt min mening, en tillfredsställande bedömning av denna fråga.
ii) De kategorier av PNR-uppgifter som avses i PNR-direktivet (den andra och den tredje frågan)
127. I PNR-direktivet föreskrivs att 19 kategorier av PNR-uppgifter som samlas in av lufttrafikföretagen vid bokning av flygningar ska överföras till enheterna för passagerarinformation. Dessa kategorier förtecknas i bilaga I och motsvarar de kategorier som finns i flygbolagens reservationssystem och de som förtecknas i bilaga I till riktlinjerna för passageraruppgiftssamlingar som antagits av Internationella civila luftfartsorganisationen (Icao) år 2010(136) (nedan kallade Icaos riktlinjer).
128. Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida bilaga I är giltig, mot bakgrund av artiklarna 7, 8 och 52.1 i stadgan, med hänsyn dels till omfattningen av de personuppgifter som anges i denna bilaga, och särskilt de API‑uppgifter som avses i punkt 18 i bilagan, i den mån de går utöver de uppgifter som anges i artikel 3.2 i API‑direktivet – dels till möjligheten att dessa uppgifter sammantagna röjer känsliga uppgifter och därigenom går utöver vad som är ”strängt nödvändigt”. Genom sin tredje fråga – vilken, som jag redan har haft tillfälle att framhålla, avser iakttagandet av det första av de tre villkor som avses i artikel 52.1 i stadgan, enligt vilket varje ingrepp i en grundläggande rättighet ska ”vara föreskrivet i lag” – vill däremot Cour constitutionnelle (Författningsdomstolen) att EU‑domstolen ska klargöra huruvida punkterna 12 och 18 i bilaga I är giltiga, med hänsyn bland annat till deras ”allmänt hållna” karaktär.
129. Eftersom den prövning som ska göras i samband med den andra frågan förutsätter en bedömning av huruvida de kategorier av personuppgifter som avses i bilaga I är tillräckligt klara och precisa, kommer jag först att pröva den tredje frågan.
– Huruvida punkterna 12 och 18 i bilaga I är tillräckliga klara och precisa (den tredje frågan)
130. Det ska inledningsvis påpekas att hur långtgående och allvarligt ett ingrepp i de grundläggande rättigheter som föreskrivs i artiklarna 7 och 8 i stadgan är, vilket följer av en bestämmelse varigenom det införs begränsningar i utövandet av dessa rättigheter, beror framför allt på omfattningen och arten av de personuppgifter som behandlingen avser. Identifieringen av dessa uppgifter utgör således en väsentlig åtgärd, som obligatoriskt ska vidtas på ett så klart och precist sätt som möjligt i varje rättslig grund varigenom en sådan bestämmelse införs.
131. Detta krav har erkänts, vad beträffar behandlingen av PNR-uppgifter, genom yttrande 1/15. När EU-domstolen tog ställning till kategorierna i bilagan till förslaget till PNR-avtal mellan Kanada och EU, som innehöll uppräkningen av de PNR-uppgifter som det planerade avtalet avsåg, ansåg den, i detta yttrande, bland annat att användningen av allmänna kategorier av uppgifter, som inte innebär en tillräcklig bestämning av omfattningen av de uppgifter som ska överföras, och användningen av förteckningar över exempel på uppgifter, i vilka det inte fastställs någon begränsning av beskaffenheten eller omfattningen av de uppgifter som kan ingå i den aktuella kategorin, inte uppfyllde kraven på klarhet och precision.
132. Det är mot bakgrund av dessa principer som den tredje frågan ska prövas.
133. Punkt 12 i bilaga I har följande lydelse:
”Allmänna anmärkningar (inklusive alla tillgängliga uppgifter om ensamkommande barn under 18 år, såsom namn och kön, ålder, språkkunskaper, namn och kontaktuppgifter för den person som följer barnet till incheckning för avresan och denna persons förhållande till barnet, namn och kontaktuppgifter för den person som hämtar barnet vid ankomsten och denna persons förhållande till barnet, flygplatsanställd som ledsagar barnet vid avresan respektive ankomsten).”
134. Eftersom denna punkt avser ”allmänna anmärkningar”, utgör den – i likhet med kategori 17 i bilagan till förslaget till PNR-avtal mellan Kanada och EU – en så kallad fritextkategori, vilken kan innefatta all information som samlas in av lufttrafikföretagen i samband med deras verksamhet att tillhandahålla tjänster, utöver den information som uttryckligen räknas upp i de andra punkterna i bilaga I. Det ska dock konstateras, såsom domstolen gjorde i punkt 160 i yttrande 1/15, att i beskrivningen av en kategori av denna typ ”lämnas det ingen upplysning om beskaffenheten och omfattningen av den information som ska överföras och det förefaller till och med som om den kan inbegripa information som saknar samband med syftet med överföringen av PNR-uppgifterna”. Eftersom den precisering inom parentes som anges i punkt 12 i bilaga I, som avser uppgifter om ensamkommande barn, endast anges som exempel, vilket användningen av ordet ”inklusive” visar, fastställs det i denna punkt inte någon begränsning av beskaffenheten eller omfattningen av den information som kan ingå däri.(137)
135. Under dessa omständigheter kan punkt 12 i bilaga I inte anses vara avgränsad med tillräcklig klarhet och precision.
136. Även om kommissionen och parlamentet tycks instämma i denna slutsats, har de medlemsstater som avgett yttranden avseende den tredje frågan samt rådet motsatt sig denna slutsats, med stöd av argument som i stor utsträckning överlappar varandra.
137. En första uppsättning argument syftar, för det första, allmänt till att ifrågasätta att de slutsatser som EU-domstolen kom fram till i yttrande 1/15 kan tillämpas i förevarande mål.
138. Jag är medveten om den skillnad i kontext som kännetecknar de båda målen, och jag inskränker mig här till att påpeka att den slutsats som domstolen kom fram till i punkt 160 i yttrande 1/15 beträffande kategori 17 i bilagan till förslaget till PNR-avtal mellan Kanada och EU grundade sig på en uteslutande semantisk och strukturell tolkning av denna kategori. En sådan tolkning kan utan vidare tillämpas på punkt 12 i bilaga I, vars lydelse, såvitt avser den del som inte är exemplifierande, är identisk med nämnda kategori och har en motsvarande struktur. Som kommer att framgå mer i detalj nedan, ingår de båda bestämmelserna dessutom i samma multilaterala regelverk, som består bland annat av Icaos riktlinjer, vilka domstolen för övrigt uttryckligen hänvisade till i punkt 156 i yttrande 1/15. Under dessa omständigheter finns det inget som hindrar att man, i fråga om punkt 12 i bilaga I, använder samma tolkning som domstolen valde i punkt 160 i yttrande 1/15 avseende kategori 17 i bilagan till förslaget till PNR-avtal mellan Kanada och EU, och framför allt finns det inget som motiverar att man frångår denna tolkning.
139. För det andra har ett stort antal medlemsstater framhållit att de olika punkterna i bilaga I, däribland punkt 12, motsvarar kategorierna i bilaga I till Icaos riktlinjer, som lufttrafikföretagen väl känner till och som de är fullt kapabla att ge ett exakt innehåll. Punkt 12 motsvarar särskilt de två sista kategorierna i nämnda bilaga, med rubriken ”allmänna anmärkningar” respektive ”Fritext/kodfält i OSI (Other Supplementary Information), SSR (Special Service Request), SSI (Special Service Information), Anmärkningar/historik” och avser ”ytterligare upplysningar” eller upplysningar ”avseende begärda tjänster”.(138)
140. I det avseendet vill jag först påpeka att överensstämmelsen mellan, å ena sidan, kategorierna i bilaga I till förslaget till PNR-avtal mellan Kanada och EU och, å andra sidan, kategorierna i bilaga I till Icaos riktlinjer hindrade inte att EU-domstol slog fast, i yttrande 1/15, att vissa av kategorierna i bilaga I till nämnda förslag till avtal inte uppfyllde de krav på klarhet och precision som en åtgärd som begränsar utövandet av grundläggande rättigheter måste överensstämma med. Vidare vill jag påpeka att en hänvisning, som dessutom inte är uttrycklig,(139) till Icaos riktlinjer inte gör det möjligt, i motsats till vad vissa medlemsstater tycks anse, att närmare precisera beskaffenheten och omfattningen av de uppgifter som kan avses i punkt 12 i bilaga I. En genomläsning av dessa riktlinjer bekräftar tvärtom slutsatsen att en ”fritextkategori”, såsom nämnda punkt 12, innefattar ett obestämt antal upplysningar av annan beskaffenhet utöver dem som automatiskt finns med i PNR-uppgifterna.(140)
141. För det tredje har vissa regeringar hävdat att det ankommer på medlemsstaterna, med hjälp av interna lagstiftningsåtgärder och med iakttagande av de begränsningar som följer av artiklarna 7, 8 och 52.1 i stadgan, att precisera de uppgifter som kan ingå i punkt 12 i bilaga I. Ett direktiv är nämligen till sin natur sådant att det ger medlemsstaterna ett utrymme för skönsmässig bedömning vad gäller nödvändiga medel för att genomföra de bestämmelser som föreskrivs i direktivet.
142. Som jag redan har angett i punkt 86 ovan, anser jag att när åtgärder som medför ingrepp i de grundläggande rättigheter som fastställs i stadgan har sin grund i en unionslagstiftningsakt, ankommer det på unionslagstiftaren att, med beaktande av de ovannämnda kraven på klarhet och precision samt proportionalitetsprincipen, fastställa den exakta räckvidden av dessa ingrepp. Härav följer att när det instrument som unionslagstiftaren har valt är ett direktiv, kan det enligt min mening inte delegeras till medlemsstaterna att, vid införlivandet av direktivet med deras nationella rätt, fastställa väsentliga delar som definierar ingreppets räckvidd, såsom, vad beträffar begränsningar av de grundläggande rättigheter som anges i artiklarna 7 och 8 i stadgan, beskaffenheten och omfattningen av de personuppgifter som ska genomgå behandling.
143. För det fjärde har vissa medlemsstater påpekat att punkt 12 i bilaga I ska förstås så, att den endast avser uppgifter som har samband med transporttjänsten. Tolkad på detta sätt, är denna punkt förenlig med artiklarna 7, 8 och 52.1 i stadgan.
144. Inte heller detta argument finner jag övertygande. De uppgifter som kan ingå i kategorin ”allmänna anmärkningar” och under koderna OSI, SSI och SSR är till sin art mycket olikartade (medicinsk vård, specialkost eller önskemål om särskild mat, varje begäran om assistans, uppgifter som avser barn som reser ensamma etcetera)(141) och samtliga har ett samband med transporttjänsten, eftersom de bland annat syftar till att möjliggöra för lufttrafikföretaget att anpassa denna tjänst till varje passagerares krav. Ett tolkningskriterium grundat på uppgiftens relevans i förhållande till transporttjänsten gör det således inte möjligt att närmare precisera räckvidden av punkt 12. Vidare vill jag påpeka att även om domstolen i punkt 159 i yttrande 1/15 använde detta kriterium för att tolka en annan kategori i bilagan till förslaget till PNR-avtal mellan Kanada och EU i enlighet med kraven på klarhet och precision, uteslöt dock domstolen att den kunde gå tillväga på detta sätt i fråga om kategori 17 i nämnda bilaga, vilken motsvarar punkt 12 i bilaga I.
145. För det femte har några medlemsstater betonat att de upplysningar som kan avses i punkt 12 i bilaga I frivilligt tillhandahålls lufttrafikföretagen av passagerarna själva, vilka informeras i vederbörlig ordning om att dessa uppgifter senare överförs till myndigheterna. Den tanke som ligger till grund för ett sådant argument tycks vara att det föreligger ett slags underförstått samtycke från den berörda passagerarens sida till att de uppgifter som passageraren lämnar till flygbolagen senare överförs till myndigheterna.
146. I det avseendet har domstolen redan haft tillfälle att precisera att det inte kan vara fråga om ”samtycke” när den berörda personen inte fritt kan välja att motsätta sig behandlingen av sina personuppgifter.(142) I fråga om en stor del av de upplysningar som kan ingå i punkt 12 i bilaga I, har den berörda passageraren inte något verkligt val, utan vederbörande är skyldig att lämna dessa uppgifter för att kunna utnyttja transporttjänsten. Så är fallet bland annat för personer med funktionsnedsättning eller nedsatt rörlighet, personer som behöver medicinsk vård eller ensamkommande barn. Jag vill även erinra om att domstolen, i punkterna 142 och 143 i yttrande 1/15, klart slog fast att eftersom myndigheternas behandling av PNR-uppgifter eftersträvar ett annat syfte än det syfte för vilket uppgifterna samlas in av lufttrafikföretagen, kan en sådan behandling inte anses grunda sig på ett samtycke som flygpassagerarna lämnat till insamlingen av dessa uppgifter.
147. Slutligen har de flesta medlemsstater gjort gällande att den behandling av uppgifter som föreskrivs i PNR-direktivet omgärdas av flera skyddsregler, däribland – vad beträffar överföringen av uppgifter till enheterna för passagerarinformation – skyldigheten för dessa enheter att radera de uppgifter som inte finns med i bilaga I samt de uppgifter som kan avslöja en persons ras eller etniska ursprung, politiska åskådning, religion eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning.
148. Jag vill inledningsvis påpeka att jag anser att bedömningen av huruvida de regler som definierar omfattningen och beskaffenheten av de uppgifter som kan bli föremål för en överföring till myndigheterna är tillräckligt klara och precisa, i den mån bedömningen syftar till att säkerställa att en åtgärd som medför ingrepp i de grundläggande rättigheter som anges i artiklarna 7 och 8 i stadgan iakttar legalitetsprincipen och rättssäkerhetsprincipen, ska utföras utan beaktande av de skyddsregler som omgärdar den behandling av dessa uppgifter som myndigheterna ska utföra, eftersom dessa skyddsregler kommer in i bilden först vid bedömningen av huruvida den aktuella åtgärden är proportionerlig. Det är för övrigt på detta sätt som domstolen har gått tillväga, i punkterna 155–163 i yttrande 1/15, vid sin bedömning av kategorierna i förslaget till PNR-avtal mellan Kanada och EU. Jag vill mer allmänt tillägga att det bör fästas särskild uppmärksamhet vid behovet av att göra en tydlig åtskillnad mellan de olika stegen i bedömningen av en åtgärd som medför ingrepp i de grundläggande rättigheterna, då en sammanslagning av dessa olika steg enligt min mening alltid är till nackdel för ett effektivt skydd av dessa rättigheter.
149. Jag nöjer mig med att här påpeka att den skyldighet som åligger enheterna för passagerarinformation, enligt artikel 6.1 i PNR-direktivet, att radera andra uppgifter än dem som anges i bilaga I, endast är till nytta om denna bilaga innehåller en tydlig och fast förteckning över uppgifter som ska överföras. Samma sak gäller den skyldighet som enheterna för passagerarinformation har enligt artikel 13.4 i PNR-direktivet att radera så kallade känsliga uppgifter.(143) En alltför vag, obestämd eller allmänt hållen definition av de upplysningar som ska översändas ökar både sannolikheten för att sådana uppgifter indirekt blir föremål för en överföring och risken för att de inte omedelbart identifieras och raderas. Med andra ord kan de ovannämnda skyddsreglerna fylla sin funktion på ett ändamålsenligt sätt endast om de regler som definierar beskaffenheten och omfattningen av de PNR-uppgifter som lufttrafikföretagen ska överföra till enheterna för passagerarinformation är tillräckligt klara och precisa och om förteckningen över dessa uppgifter är fast och uttömmande.
150. Mot bakgrund av det ovan anförda, och som jag redan har antytt i punkt 135 i detta förslag till avgörande, anser jag att punkt 12 i bilaga I, i den del den innefattar ”allmänna anmärkningar” bland de uppgifter som lufttrafikföretagen är skyldiga att överföra till enheterna för passagerarinformation enligt PNR-direktivet, inte uppfyller de krav på klarhet och precision som krävs enligt artikel 52.1 i stadgan, såsom denna artikel har tolkats av domstolen,(144) och att den därför, i denna utsträckning, ska förklaras ogiltig.
151. Kommissionen och parlamentet har i sina skriftliga yttranden föreslagit domstolen att det snarare ska göras en ”unionskonform tolkning” av punkt 12 i bilaga I, genom att förstå punkten så, att den endast avser de upplysningar om barn som uttryckligen nämns däri inom parentes. Jag medger att jag har vissa svårigheter att anse att en sådan tolkning håller sig inom gränserna för en ren unionskonform tolkning. Det är visserligen riktigt att det följer av en allmän tolkningsprincip att en unionsrättsakt, så långt det är möjligt, ska tolkas på ett sätt som inte påverkar dess giltighet och som överensstämmer med primärrätten i dess helhet, särskilt med bestämmelserna i stadgan.(145) Det är också riktigt, vad beträffar PNR-direktivet, att möjligheten att göra en sådan tolkning tycks främjas av att det bland annat i ett stort antal skäl i nämnda direktiv framhålls att de grundläggande rättigheterna, rätten till respekt för privatlivet och proportionalitetsprincipen ska respekteras fullt ut.(146) Det följer dock även av fast rättspraxis att en unionskonform tolkning endast är tillåten när ordalydelsen i en bestämmelse i unionens sekundärrätt kan tolkas på flera sätt, och det följaktligen är möjligt att ge företräde åt den tolkning som medför att bestämmelsen överensstämmer med primärrätten snarare än åt den tolkning som leder till att bestämmelsen anses vara oförenlig med primärrätten.(147)
152. Enligt min mening kan dock punkt 12 i bilaga I inte tolkas på det sätt som kommissionen och parlamentet har förslagit, med mindre än att den tolkas ”contra legem”. Som jag har angett ovan avser denna punkt nämligen en omfattande kategori av uppgifter av olika art, som inte går att identifiera på förhand, och i förhållande till vilken uppgifterna om barn endast utgör en underkategori. Att tolka denna punkt så, att den endast avser denna underkategori skulle inte bara innebära att en del av dess ordalydelse inte beaktas, utan skulle även kasta om den logiska ordningen i den formulering som denna punkt innehåller. Ett sådant förfarande, som i huvudsak består i att ta bort den del av ordalydelsen i punkt 12 i bilaga I som inte anses vara förenlig med kraven på klarhet och precision, kan enligt min mening endast utföras genom att besluta om en delvis ogiltigförklaring.
153. Vad beträffar den återstående delen av punkt 12 i bilaga I, där det räknas upp en rad uppgifter om ensamkommande barn, anser jag att den uppfyller kraven på klarhet och precision under förutsättning att den tolkas så, att den omfattar endast de upplysningar om ensamkommande barn som har ett direkt samband med flygningen och som uttryckligen avses i denna punkt.
154. Punkt 18 i bilaga I har följande lydelse:
”Eventuell förhandsinformation (API) som samlats in (inklusive typ av identitetshandling, identitetshandlingens nummer, utfärdandeland och sista giltighetsdag, nationalitet, efternamn, förnamn, kön, födelsedatum, lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avresehamn, ankomsthamn, avresetid och ankomsttid).”
155. Denna punkt har en motsvarande struktur som punkt 12 i bilaga I. I punkten omnämns även en allmän kategori av uppgifter, nämligen förhandsinformation om passagerare (Advance Passenger Information – API), åtföljd, inom parentes, av en förteckning över uppgifter som anses omfattas av denna allmänna kategori, vilken har angetts enbart som exempel, vilket användningen av uttrycket ”inklusive” visar.
156. Till skillnad från punkt 12 i bilaga I, hänvisar dock punkt 18 i nämnda bilaga till en kategori av uppgifter som lättare går att identifiera vad beträffar både deras beskaffenhet och deras omfattning. Det framgår nämligen av skäl 4 i PNR-direktivet att när direktivet hänvisar till denna kategori av uppgifter, syftar det på information som enligt API‑direktivet, till vilket det uttryckligen hänvisas i detta skäl, ska översändas av lufttrafikföretagen till behöriga nationella myndigheter i syfte att förbättra gränskontrollerna och bekämpa olaglig invandring. Dessa uppgifter anges i artikel 3.2 i API‑direktivet.
157. Vidare framgår det av skäl 9(148) i PNR-direktivet samt av artikel 3.2 i API‑direktivet och den exemplifierande förteckningen i punkt 18 i bilaga I att de API‑uppgifter som avses i nämnda punkt utgör dels biografiska uppgifter som gör det möjligt att kontrollera flygpassagerarens identitet, dels uppgifter om den bokade flygningen. Vad mer specifikt beträffar den första kategorin, det vill säga kategorin biografiska uppgifter, omfattar den information som räknas upp i artikel 3.2 i API‑direktivet och i punkt 18 i bilaga I uppgifter som genereras vid incheckningen och som kan hämtas från passets (eller annan resehandlings) maskinläsbara del.(149)
158. I punkt 18 i bilaga I, tolkad mot bakgrund av skälen 4 och 9 i PNR-direktivet, identifieras i princip med tillräcklig klarhet och precision åtminstone beskaffenheten av de uppgifter som punkten avser.
159. Vad gäller uppgifternas omfattning, ska det konstateras att även artikel 3.2 i API‑direktivet är avfattad på ett ”allmänt hållet” sätt, då förteckningen över de uppgifter som anges däri föregås av uttrycket ”[d]en information som avses ovan skall innehålla uppgift om”,(150) och att i kategorin API‑uppgifter, såsom den har definierats i de multilaterala harmoniseringsinstrumenten på området, finns även andra uppgifter än dem som avses i API‑direktivet och i punkt 18 i bilaga I.(151)
160. Under dessa omständigheter, för att punkt 18 i bilaga I ska uppfylla de krav på klarhet och precision som ställs på de rättsliga grunder som medför ingrepp i artiklarna 7 och 8 i stadgan, ska punkten tolkas så, att den endast omfattar de API‑uppgifter som uttryckligen anges i denna punkt och i artikel 3.2 i API‑direktivet och som har samlats in av lufttrafikföretagen som en del av deras normala affärsverksamhet.(152)
161. I detta skede är det lämpligt att kortfattat gå igenom de övriga punkterna i bilaga I som, med hänsyn till deras lydelse, också har en ”allmänt hållen” karaktär eller som inte är tillräckliga precisa, trots att den hänskjutande domstolen inte uttryckligen har bett EU-domstolen att undersöka dessa.(153)
162. Vad först beträffar punkt 5 i bilaga I, där ”[a]dress och kontaktuppgifter (telefonnummer och e-postadress)” omnämns, ska det påpekas att även om denna punkt ska anses avse enbart de kontaktuppgifter som uttryckligen nämns inom parentes och därför är uttömmande, preciseras det inte däri, såsom var fallet med den motsvarande kategorin i förslaget till PNR-avtal mellan Kanada och EU,(154) huruvida dessa kontaktuppgifter endast syftar på flygpassageraren eller på utomstående som har bokat flygpassagerarens flygning, utomstående genom vilka flygpassageraren kan kontaktas eller utomstående vilka ska underrättas i nödfall.(155) Med hänsyn till att en tolkning av punkt 5 i bilaga I med innebörden att den även avser de kategorier av utomstående som har nämnts ovan skulle utvidga det ingrepp som PNR-direktivet innebär till att omfatta andra rättssubjekt än flygpassagerare i den mening som avses i artikel 3 led 4 i PNR-direktivet, föreslår jag att domstolen – i avsaknad av exakta uppgifter som gör det möjligt att anse att en systematisk och generell insamling av kontaktuppgifter till dessa utomstående utgör en strängt nödvändig del för att det system för behandling av PNR-uppgifter som har inrättats genom detta direktiv ska vara effektivt – ska tolka denna punkt så, att den endast avser de kontaktuppgifter som uttryckligen omnämns däri och som avser den flygpassagerare i vars namn bokningen har gjorts. PNR-direktivet utesluter visserligen inte att även personuppgifter om andra än flygpassageraren kan bli föremål för överföring till enheterna för passagerarinformation.(156) Det är dock viktigt att de fall då detta är möjligt anges klart och uttryckligen, såsom är fallet med resebyråtjänstemän, som omnämns i punkt 9 i bilaga I, eller personer som följer ensamresande barn till incheckning för avresan eller som hämtar barnet vid ankomsten, som avses i punkt 12 i samma bilaga. Endast om detta villkor är uppfyllt kan det anses att beslutet att låta dessa uppgifter ingå bland de uppgifter som ska överföras till enheterna för passagerarinformation har varit föremål för en avvägning mellan de olika intressen som är i fråga, i den mening som avses i skäl 15 i PNR-direktivet, och att berörda utomstående kan underrättas på lämpligt sätt om behandlingen av deras personuppgifter.
163. Vad vidare beträffar punkt 6 i bilaga I, som avser ”[a]lla former av betalningsinformation, inbegripet faktureringsadress”, ska denna punkt – i likhet med vad domstolen slog fast i punkt 159 i yttrande 1/15, beträffande den motsvarande kategorin i bilagan till förslaget till PNR-avtal mellan Kanada och EU – för att uppfylla kraven på klarhet och precision, tolkas så, att den ”endast … avse[r] information om betalningssätten och faktureringen av flygbiljetten, och inte annan information som saknar direkt samband med flygningen”. Denna information kan följaktligen inte innehålla till exempel uppgifter om betalningssättet för andra tjänster som inte har en direkt koppling till flygresan, såsom att en hyrbil har bokats vid ankomsten.(157)
164. Punkt 8 avser ”[u]ppgifter om bonusprogram” och definieras i Icaos standarder så, att den avser kontonumret och ställningen som ansluten till bonusprogram.(158) Tolkad på detta sätt, uppfyller denna punkt kraven på klarhet och precision.
165. Punkt 10 i bilaga I avser ”[p]assagerarens resestatus, inbegripet resebekräftelser, incheckningsstatus, no show (passagerare som inte infinner sig) eller go show (passagerare utan bokning)”, och punkt 13 i bilagan avser ”[b]iljettinformation, inbegripet biljettnummer, datum för utfärdande av biljetten, enkelbiljetter och automatisk biljettprisuppgift”. Trots deras allmänt hållna lydelse, avser dessa punkter endast mycket exakt och klart identifierbar information, som har direkt samband med flygningen. Detta gäller även punkt 14 i bilaga I, som avser ”[p]latsnummer och annan platsinformation”, och punkt 16 i bilagan, som avser ”[a]ll bagageinformation”.
– Omfattningen av de uppgifter som anges i bilaga I (den andra frågan)
166. En av de omständigheter som domstolen beaktar för att bedöma huruvida en åtgärd som innebär ingrepp i de rättigheter som stadgas i artiklarna 7 och 8 i stadgan är proportionerlig är att de personuppgifter som behandlas är adekvata, relevanta och inte för omfattande (principen om ”uppgiftsminimering”).(159) Samma kriterium tillämpas i Europadomstolens praxis(160) och förordas i konvention 108.(161)
167. Det följer av skäl 15 i PNR-direktivet att förteckningen över PNR-uppgifter som ska överföras till enheterna för passagerarinformation har utformats i syfte att både återspegla de offentliga myndigheternas legitima krav på att bekämpa terrorism och grov brottslighet, och skydda den grundläggande rätten till respekt för privatlivet och till skydd av personuppgifter, genom att tillämpa ”höga standarder”, i enlighet med stadgan, konvention 108 och Europakonventionen. I samma skäl anges att PNR-uppgifterna bör särskilt endast omfatta sådan information om passagerarens bokning och resrutt som gör det möjligt för de behöriga myndigheterna att identifiera flygpassagerare som utgör ett hot mot den inre säkerheten.
168. Vad först beträffar huruvida de PNR-uppgifter som anges i bilaga I är adekvata och relevanta, avser de olika punkterna i denna bilaga, däribland punkterna 5, 6, 8 och 18, såsom jag föreslår att de ska tolkas,(162) samt punkt 12, med undantag av den del som jag föreslår ska ogiltigförklaras,(163) endast uppgifter som ger information som direkt har anknytning till flygresor som omfattas av PNR-direktivets tillämpningsområde. Dessa uppgifter har dessutom ett objektivt samband med de syften som eftersträvas genom detta direktiv. Närmare bestämt kan API‑uppgifter användas bland annat ”reaktivt”, för att identifiera en person som redan är känd av de brottsbekämpande myndigheterna, till exempel på grund av att personen misstänks vara inblandad i terroristbrott eller grov brottslighet som redan har begåtts, eller står i begrepp att begå ett sådant brott, medan PNR-uppgifter snarare kan användas ”i realtid eller proaktivt”, för att identifiera hoten från personer som ännu inte är kända av de brottsbekämpande myndigheterna.
169. Vad vidare beträffar omfattningen av de PNR-uppgifter som anges i bilaga I, tycks dessa uppgifter, inklusive de uppgifter som finns i punkterna 5, 6, 8 12 och 18 i nämnda bilaga, såsom jag har föreslagit att dessa ska tolkas i punkterna 134–164 ovan, inte vara för omfattande, med hänsyn till dels betydelsen av det mål avseende den allmänna säkerheten som eftersträvas med PNR-direktivet, dels den omständigheten att de regler som har införts genom detta direktiv är ägnade att eftersträva ett sådant mål.
170. Vad beträffar API‑uppgifter, vilka särskilt är föremål för den hänskjutande domstolens frågor, vill jag påpeka att sådana uppgifter, vilka är biografiska och avser resrutten, i allmänhet endast gör det möjligt att få begränsad information om de berörda passagerarnas privatliv. Det är visserligen riktigt att punkt 18 i bilaga I avser uppgifter som inte finns med bland de uppgifter som uttryckligen omnämns i artikel 3.2 i API‑direktivet, men dessa uppgifter, avseende flygpassagerarens identitet (kön), den resehandling som används (utfärdandeland, sista giltighetsdag för identitetshandlingen) eller vilken flygning som tagits (lufttrafikföretag, flygnummer, utresedatum, ankomstdatum, avresehamn och ankomsthamn), överlappar varandra delvis eller kan hämtas från PNR-uppgifter som finns i andra punkter i bilaga I, till exempel punkterna 3, 7 och 13. Eftersom de avser biografiska uppgifter eller uppgifter om de resehandlingar som används, kan dessa uppgifter hjälpa de brottsbekämpande myndigheterna att kontrollera en individs identitet och minskar på så sätt, såsom påpekas i skäl 9 i PNR-direktivet, risken för att man obefogat kontrollerar och utreder oskyldiga människor. Det ska slutligen framhållas att enbart den omständigheten att punkt 18 i bilaga I innefattar ytterligare uppgifter jämfört med dem som anges i artikel 3.2 i API‑direktivet inte kan automatiskt leda till slutsatsen att dessa uppgifter är för omfattande, eftersom API‑direktivet och PNR-direktivet har olika syften.
171. När det gäller uppgifterna om ensamkommande barn, vilka räknas upp i punkt 12 i bilaga I, avser de en sårbar kategori av personer som åtnjuter ett särskilt skydd, inbegripet vad gäller respekten för deras privatliv och skyddet för deras personuppgifter.(164) Icke desto mindre kan en inskränkning av dessa rättigheter visa sig vara nödvändig, bland annat för att skydda barn mot grov brottslighet som de kan vara offer för, såsom barnhandel och sexuellt utnyttjande av barn eller bortförande av barn. Det kan således i princip inte anses att punkt 12 i bilaga I går utöver vad som är strängt nödvändigt, genom att den kräver överföring av ett större antal personuppgifter vad gäller ensamkommande barn.
172. Även om de personuppgifter som lufttrafikföretagen är skyldiga att översända till enheterna för passagerarinformation i enlighet med PNR-direktivet enligt min mening uppfyller kraven på adekvans och relevans, och även om deras omfattning inte går utöver vad som är strängt nödvändigt för att den ordning som har inrättats genom direktivet ska fungera, avser en sådan överföring likväl ett betydande antal personuppgifter av varierande beskaffenhet om varje berörd passagerare samt ett ytterst stort antal sådana uppgifter i absoluta tal. Under sådana omständigheter är det mycket viktigt att en sådan överföring omgärdas av tillräckliga skyddsregler som syftar dels till att se till att endast de uppgifter som uttryckligen avses överförs, dels till att säkerställa de överförda uppgifternas säkerhet och konfidentialitet.
173. I det avseendet ska det påpekas att unionslagstiftaren först föreskrev en rad skyddsregler som gör det möjligt att begränsa de kategorier av PNR-uppgifter som görs tillgängliga för de brottsbekämpande myndigheterna och säkerställa att denna tillgång förblir begränsad till enbart de uppgifter vilkas behandling anses som nödvändig för att uppnå de syften som eftersträvas med PNR-direktivet. För det första anges i detta direktiv, med förbehåll för de överväganden som utvecklas i samband med svaret på den tredje frågan, på ett uttömmande och exakt sätt de uppgifter som kan överföras till enheterna för passagerarinformation. För det andra anges det uttryckligen i PNR-direktivet att endast de uppgifter som finns i denna förteckning, vilken följer av en avvägning mellan de olika intressen och krav som nämns i skäl 15 i direktivet, kan bli föremål för överföring till enheterna för passagerarinformation (artikel 6.1 i PNR-direktivet). För det tredje anges det i detta direktiv att om PNR-uppgifter som överförs omfattar andra uppgifter än dem som anges i bilaga I, ska enheten för passagerarinformation ”omedelbart och slutgiltigt radera dessa vid mottagandet” (artikel 6.1 i PNR-direktivet). För det fjärde föreskrivs det i direktivet att de PNR-uppgifter som avses i bilaga I kan bli föremål för överföring endast förutsatt att lufttrafikföretagen redan har samlat in sådana uppgifter som en del av sin normala affärsverksamhet (artikel 8.1 och skäl 8 i PNR-direktivet), vilket innebär att samtliga uppgifter som anges i bilaga I inte är systematiskt tillgängliga för enheterna för passagerarinformation, utan att endast de uppgifter som finns i den berörda operatörens reservationssystem är tillgängliga. För det femte ålägger artikel 8.1 i PNR-direktivet lufttrafikföretagen att använda sändmetoden för att överföra PNR-uppgifterna till enheterna för passagerarinformation. Denna metod, vilken rekommenderas i Icaos riktlinjer,(165) innebär att lufttrafikföretagen själva överför PNR-uppgifterna till databaserna vid enheterna för passagerarinformation. Jämfört med direktåtkomstmetoden, som gör det möjligt för de behöriga myndigheterna att få direkt åtkomst till företagens system för att hämta en kopia av de uppgifter som behövs från deras databaser, ger sändmetoden fler garantier, eftersom den ger det berörda lufttrafikföretaget rollen som väktare och granskare av PNR-uppgifter. Genom att anpassa sig till Icaos riktlinjer och principen om prövning vid en enda instans,(166) föreskrivs det i PNR-direktivet att överföringen av PNR-uppgifter ska ske genom ett enda organ, enheten för passagerarinformation, som handlar under överinseende av det dataskyddsombud som avses i artikel 5 i direktivet och, framför allt, under överinseende av den nationella tillsynsmyndighet som avses i artikel 15 i direktivet.
174. I PNR-direktivet föreskrivs vidare ett visst antal skyddsregler som syftar till att bevara PNR-uppgifternas säkerhet. Jag hänvisar i det avseendet till artikel 13.2 i direktivet, vilken medför att artiklarna 28 och 29 i polisdirektivet om konfidentiell behandling och datasäkerhet är tillämpliga på all behandling av personuppgifter i enlighet med direktivet, och till artikel 13.3 i direktivet som, vad beträffar lufttrafikföretagens behandling av PNR-uppgifter, erinrar om de skyldigheter som åligger lufttrafikföretagen enligt dataskyddsförordningen, särskilt vad gäller lämpliga tekniska och organisatoriska åtgärder som ska vidtas för att skydda dessa uppgifters säkerhet och konfidentialitet.(167)
175. Slutligen ska det framhållas att i skälen 29 och 37 i PNR-direktivet erkänns passagerares rätt att få ”korrekt, lättåtkomlig och lättbegriplig information” bland annat om insamlingen av PNR-uppgifter, och medlemsstaterna anmodas att se till att denna rätt respekteras. Även om detta erkännande inte yttrar sig, i ordalydelsen i PNR-direktivet, som en bestämmelse som är bindande, vill jag erinra om att, såsom jag angav vid prövningen av den första frågan, bestämmelserna i dataskyddsförordningen är tillämpliga på överföringen av PNR-uppgifter till enheterna för passagerarinformation. Lufttrafikföretagen är således skyldiga, i samband med denna överföring, att följa bland annat artiklarna 13 och 14 i dataskyddsförordningen, vari föreskrivs rätten till information för de personer som berörs av en behandling av personuppgifter. Även om det, i samband med införlivandet av PNR-direktivet, är nödvändigt att medlemsstaterna uttryckligen föreskriver rätten till information för flygpassagerare, såsom den har erkänts i skälen 29 och 37 i direktivet, är det under alla omständigheter uteslutet för dem att begränsa räckvidden av artiklarna 13 och 14 i dataskyddsförordningen med tillämpning av artikel 23.1 i nämnda förordning, eftersom det skulle strida mot direktivets anda. För att vara effektiv ska en sådan rätt även avse de kategorier av PNR-uppgifter som är föremål för överföring.
176. Mot bakgrund av det ovan anförda anser jag att de PNR-uppgifter som ska behandlas i enlighet med PNR-direktivet, med förbehåll för de föreslagna begränsningarna och de preciseringar som har gjorts inom ramen för den tredje frågan, är relevanta, adekvata och inte för omfattande med hänsyn till de syften som eftersträvas genom direktivet, och att deras omfattning inte går utöver vad som är strängt nödvändigt för att uppnå dessa syften.
– Känsliga uppgifter
177. I PNR-direktivet förbjuds allmänt all behandling av ”känsliga uppgifter”.(168)
178. Även om direktivet inte innehåller någon definition av begreppet ”känsliga uppgifter”, framgår det av artikel 13.4 i direktivet att begreppet i varje fall omfattar ”PNR-uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religion eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning”.(169) I punkt 165 i yttrande 1/15 angav domstolen att varje åtgärd som grundar sig på premissen att en eller flera av dessa egenskaper ”i sig själv och oberoende av den berörda resenärens individuella uppträdande skulle vara relevant med avseende på syftet med behandlingen av PNR-uppgifter … kränker de rättigheter som garanteras i artiklarna 7 och 8 i stadgan, jämförda med artikel 21 i stadgan”. Genom att förbjuda all behandling av sådana uppgifter som avses i artikel 13.4 i PNR-direktivet, respekterar således direktivet de begränsningar som domstolen har uppställt för användningen av dessa kategorier av uppgifter inom ramen för ett system för behandling av PNR-uppgifter, oavsett om det omfattas av nationell rätt, unionsrätten eller ett internationellt avtal som unionen har ingått.
179. Det allmänna förbudet mot behandling av känsliga uppgifter som föreskrivs i PNR-direktivet omfattar även insamling av sådana uppgifter. Som uttryckligen anges i skäl 15 i direktivet, grundar sig de 19 kategorier som förtecknas i bilaga I inte på sådana PNR-uppgifter som avses i artikel 13.4 i direktivet.
180. Ingen av dessa kategorier avser uttryckligen sådana uppgifter, men de skulle trots detta kunna omfattas särskilt av kategorin ”Allmänna anmärkningar” i punkt 12 i bilaga I, som utgör ett ”allmänt hållet fält” som – såsom jag redan har haft tillfälle att påpeka i samband med prövningen av den tredje frågan – kan omfatta ett obestämt antal upplysningar av olika beskaffenhet. Det finns nämligen en konkret risk, vilket domstolen för övrigt påpekade i punkt 164 i yttrande 1/15, att uppgifter som hör till denna kategori, och som avser exempelvis önskemål om specialmat, begäran om assistans, paketpris för vissa kategorier av personer eller sammanslutningar, direkt hör till känsliga uppgifter i den mening som avses i artikel 13.4 i PNR-direktivet, avseende bland annat de berörda passagerarnas religiösa övertygelse, deras hälsotillstånd eller deras fackförenings- eller partitillhörighet.
181. Eftersom en behandling av dessa uppgifter hursomhelst är utesluten enligt PNR-direktivet, går lufttrafikföretagens överföring av dessa uppgifter inte bara uppenbart utöver vad som är strängt nödvändigt, utan saknar även helt mening. Det ska i det avseendet framhållas att den omständigheten att enheterna för passagerarinformation under alla omständigheter är skyldiga, enligt artikel 13.4 andra meningen i PNR-direktivet, att omedelbart radera PNR-uppgifter som avslöjar en av de uppgifter som anges i artikel 13.4 första meningen gör det inte möjligt att tillåta eller motivera en överföring av dessa uppgifter,(170) då det förbud mot behandling av dessa uppgifter som föreskrivs i direktivet ska gälla från och med det första steget i behandling av PNR-uppgifter. Skyldigheten att radera känsliga uppgifter utgör således endast en ytterligare skyddsregel som föreskrivs i detta direktiv för det fall att sådana uppgifter, undantagsvis, överförs till enheterna för passagerarinformation av misstag.
182. Jag vill även framhålla, såsom generaladvokaten Mengozzi påpekade i punkt 222 i sitt förslag till avgörande i förfarandet för yttrande 1/15,(171) att eftersom det är fakultativt för passagerarna att lämna de uppgifter som hör till ”fritextkategorierna”, såsom kategorin ”Allmänna anmärkningar” i punkt 12 i bilaga I, och som kan innehålla känsliga uppgifter i den mening som avses i artikel 13.4 i PNR-direktivet, är det föga troligt att personer som är inblandade i terroristbrott eller delaktiga i grov brottslighet lämnar sådana uppgifter frivilligt, vilket gör att den systematiska överföringen av dessa uppgifter sannolikt avser i de flesta fall endast personer som har beställt ytterligare service och som i själva verket inte är av något intresse för de brottsbekämpande myndigheterna.(172)
183. Vid prövningen av den tredje frågan har jag kommit fram till slutsatsen att punkt 12 i bilaga I, såvitt den avser kategorin ”Allmänna anmärkningar”, inte uppfyller de krav på klarhet och precision som ställs i artikel 52.1 i första meningen i stadgan. Av de skäl som jag nyss har redogjort för anser jag att inkluderandet av denna kategori bland de kategorier av uppgifter som är föremål för en systematisk överföring till enheterna för passagerarinformation, utan att det preciseras vilken information som den kan avse, inte heller uppfyller kravet på nödvändighet som föreskrivs i artikel 52.1 andra meningen i stadgan, såsom den har tolkats av domstolen.(173)
184. Att utesluta så kallade fritextkategorier från förteckningen över PNR-uppgifter som ska överföras till de statliga myndigheterna inom ramen för ett system för behandling av PNR-uppgifter räcker inte för att undanröja risken för att känsliga uppgifter ändå ställs till myndigheternas förfogande. Sådana uppgifter kan nämligen inte bara direkt utläsas av information som hör till sådana kategorier, utan kan även indirekt avslöjas eller presumeras utifrån information som finns i ”kodade” kategorier. För att ge ett exempel kan flygpassagerarens namn ge uppgifter om, eller i vart fall göra det möjligt att lägga fram hypoteser om, passagerarens etniska ursprung eller religiösa tillhörighet. Samma sak gäller nationalitet. Dessa uppgifter lämpar sig i princip inte för att uteslutas från förteckningen över PNR-uppgifter som ska överföras, eller för att raderas av de myndigheter som är bemyndigade att ta emot dessa. För att undvika risken för stigmatisering, på grundval av skyddade särdrag, av ett stort antal personer som dock inte är misstänkta för något brott, är det således viktigt att det i ett system för behandling av PNR-uppgifter föreskrivs tillräckliga skyddsregler som gör det möjligt, i varje skede av behandlingen av insamlade uppgifter, att utesluta att det vid denna behandling direkt eller indirekt kan tas hänsyn till sådana särdrag, till exempel genom att vid den automatiska analysen tillämpa urvalskriterier som grundar sig på dessa särdrag. Jag kommer att återkomma till detta längre fram i min bedömning.
185. Mot bakgrund av det ovan anförda anser jag, med förbehåll för den slutsats som jag har kommit fram till i punkt 183 ovan, att det i PNR-direktivet föreskrivs tillräckliga skyddsregler för att skydda känsliga uppgifter vid överföringen av PNR-uppgifter till enheterna för passagerarinformation.
iii) Begreppet passagerare (den fjärde frågan)
186. Den hänskjutande domstolen har ställt den fjärde frågan för att få klarhet i huruvida det system som har införts genom PNR-direktivet är förenligt med artiklarna 7, 8 och 52.1 i stadgan, i den mån som det tillåter generell överföring och behandling av PNR-uppgifter avseende varje person som motsvarar begreppet ”passagerare” i den mening som avses i artikel 3 led 4 i direktivet, oberoende av objektiva omständigheter som ger anledning att anse att den berörda personen kan utgöra en risk för den allmänna säkerheten. Den hänskjutande domstolen vill särskilt få klarhet i huruvida EU-domstolens praxis i fråga om lagring och tillgång till uppgifter inom sektorn för elektronisk kommunikation kan överföras på det system för behandling av personuppgifter som har införts genom PNR-direktivet.
187. I denna praxis, såvitt är av intresse i förevarande mål, har domstolen slagit fast att lagstiftning som, i syfte att bekämpa grov brottslighet, i förebyggande syfte föreskriver generell och odifferentierad lagring av trafikuppgifter som har anknytning till elektronisk kommunikation och lokaliseringsuppgifter,(174) för att ge de brottsbekämpande myndigheterna tillgång till uppgifter, utan att det görs några åtskillnader, inskränkningar eller undantag utifrån det eftersträvade målet, i princip inte kan anses vara motiverad i ett demokratiskt samhälle.(175) Domstolen kom fram till samma slutsats vad beträffar en nationell lagstiftning som, i syfte att bekämpa terrorism, föreskrev en automatiserad analys av samtliga dessa uppgifter genom en filtrering som utfördes av leverantörer av elektroniska kommunikationstjänster på begäran av behöriga nationella myndigheter och med tillämpning av de parametrar som fastställts av dessa myndigheter.(176) Enligt domstolen kan sådana åtgärder vara motiverade endast i situationer där den berörda medlemsstaten står inför ett allvarligt hot mot nationell säkerhet beträffande vilket det är visat att hotet är verkligt och aktuellt eller förutsebart, och när det beslut som föreskriver att åtgärderna ska genomföras är föremål för en effektiv kontroll, antingen av en domstol eller av en oberoende myndighet.(177) Användningen av dessa åtgärder i sådana situationer måste dessutom, enligt domstolen, vara tidsmässigt begränsad till vad som är strängt nödvändigt och får i vilket fall som helst inte vara systematisk.(178)
188. Jag vill även påpeka att även om domstolen i denna praxis inte har gått så långt att den uttryckligen har slagit fast, såsom i domen Schrems I, att det föreligger en kränkning av det väsentliga innehållet i rätten till respekt för privatlivet, har den likväl slagit fast att de aktuella åtgärderna innebar ett sådant allvarligt ingrepp att de, förutom i det begränsade fallet med särskilda hot mot en medlemsstats nationella säkerhet, helt enkelt inte kunde anses vara begränsade till vad som är strängt nödvändigt och därmed förenliga med stadgan,(179) oberoende av eventuella skyddsregler som föreskrivs mot riskerna för missbruk och otillåten åtkomst till de aktuella uppgifterna.(180)
189. Jag har redan haft tillfälle att framhålla att en sådan lagstiftning som den som föreskrivs i PNR-direktivet har, tillsammans med åtgärder av det slag som domstolen prövade i den praxis som det har erinrats om i de föregående punkterna i detta förslag till avgörande, vissa gemensamma inslag, som gör den särskilt inkräktande. Genom detta direktiv införs ett generellt och odifferentierat system för insamling och automatisk analys av personuppgifter avseende en betydande andel av befolkningen, som på ett övergripande sätt är tillämpligt på samtliga personer som omfattas av begreppet ”passagerare” i artikel 3 led 4 i direktivet och följaktligen även på personer beträffande vilka det inte finns något indicium som ger anledning att tro att deras beteende ens kan ha ett indirekt eller avlägset samband med terroristverksamhet eller utgöra grov brottslighet. Det är mot den bakgrunden som den hänskjutande domstolen har ställt frågan huruvida denna rättspraxis kan tillämpas på ett sådant system för behandling av PNR-uppgifter som det som har införts genom PNR-direktivet.
190. I det avseendet vill jag påpeka att domstolen i yttrande 1/15, när den i punkterna 186–189 i nämnda yttrande undersökte den personkrets på vilken förslaget till PNR-avtal mellan Kanada och EU är tillämpligt (ratione personae), undvek att dra paralleller mellan, å ena sidan, de åtgärder som avser lagring samt generell och odifferentierad tillgång till innehållet i elektriska kommunikationer, till trafikuppgifter och lokaliseringsuppgifter och, å andra sidan, överföringen av PNR-uppgifter och den automatiska behandlingen av dessa i samband med den förhandsbedömning av passagerare som avses i nämnda avtal. Det fanns emellertid redan, vid den tidpunkt då detta yttrande avgavs, fast rättspraxis – som bara några månader innan yttrandet avgavs bekräftades genom domen Tele2 Sverige, som den hänskjutande domstolen har hänvisat till – i vilken sådana åtgärder, förutom i specifika och enstaka situationer,(181) bedömdes vara oförenliga med stadgan.(182) Domstolens senaste domar på detta område, särskilt domen La Quadrature du Net, följer i denna rättspraxis kölvatten, genom att precisera och i vissa aspekter nyansera denna rättspraxis.
191. I nämnda punkter i yttrande 1/15 slog domstolen uttryckligen fast att PNR-avtalet mellan Kanada och EU inte gick utöver vad som var strängt nödvändigt, i den mån som det gjorde det möjligt att överföra och automatiskt behandla PNR-uppgifter för samtliga flygpassagerare till Kanada, i syfte att göra en förhandsbedömning av dessa, och detta trots att en sådan överföring och en sådan behandling ansågs ske ”oberoende av huruvida det föreligger någon objektiv omständighet som gör det möjligt att anse att passagerarna kan utgöra en risk för den allmänna säkerheten i Kanada”.(183) I punkt 187 i yttrandet gick domstolen så långt som till att hävda följande: ”Att utesluta vissa personer eller vissa ursprungsområden skulle kunna utgöra hinder för uppnåendet av ändamålet med den automatiska behandlingen av PNR-uppgifter, nämligen identifieringen bland samtliga flygpassagerare av de personer som kan utgöra en risk för den allmänna säkerheten genom en kontroll av dessa uppgifter, och skulle kunna göra det möjligt att kringgå kontrollen.”(184)
192. I vart fall vad gäller en generell och odifferentierad överföring av PNR-uppgifter, har domstolen frångått det striktare synsätt som intagits i fråga om lagring och tillgång till metadata.
193. Även om domstolen i sitt resonemang onekligen beaktade, såsom framgår bland annat av punkterna 152 och 188 i yttrande 1/15, dels konstaterandet att automatisk behandling av PNR-uppgifter underlättar säkerhetskontrollerna, särskilt vid gränserna, dels den omständigheten att enligt Chicagokonventionen är flygpassagerare som önskar resa in i en stat som är part i konventionen skyldiga att underkasta sig kontroller och iaktta de villkor för in- och utresa som föreskrivs av denna stat, inbegripet kontroller av deras PNR-uppgifter, anser jag att andra skäl talar för en sådan skillnad i synsätt, och bland dessa finns, för det första, de behandlade uppgifternas art.
194. Domstolen har upprepade gånger framhållit att inte bara innehållet i elektroniska kommunikationer, utan även metadata kan avslöja information om ”ett stort antal aspekter av de berörda personernas privatliv, inbegripet känslig information, såsom sexuell läggning, politisk åskådning, religiös, filosofisk eller annan övertygelse, samhällsåskådning samt hälsotillstånd”, att dessa uppgifter sammantagna kan ”göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats, såsom deras vanor i vardagslivet, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i” och att dessa uppgifter i synnerhet gör det möjligt att ”kartlägga de berörda personerna på ett sätt som är lika känsligt med avseende på rätten till respekt för privatlivet som själva innehållet i kommunikationerna”.(185) Jag vill även påpeka att de lagstiftningar som domstolen hittills har prövat, inbegripet regleringen i direktiv 2006/24, inte föreskrev något undantag och var tillämpliga även på kommunikationer till eller från inrättningar av social eller religiös karaktär eller yrkesgrupper som har tystnadsplikt. Domstolen fastställde inte att det hade skett en kränkning av det väsentliga innehållet i rätten till respekt för privatlivet, men slog ändå fast att ”[m]ed hänsyn till att den information som kan framkomma genom trafik- och lokaliseringsuppgifter kan vara av känslig art, är det … av grundläggande betydelse för rätten till respekt för privatlivet att dessa uppgifter är konfidentiella”.(186)
195. Även om det, såsom jag har påpekat i punkterna 77 och 98 ovan, är riktigt att domstolen medgav i yttrande 1/15 att PNR-uppgifter i förekommande fall kan avslöja mycket precisa uppgifter om en persons privatliv,(187) har domstolen däremot uttalat att dessa uppgifter är begränsade till vissa aspekter av privatlivet,(188) vilket gör tillgången till sådana uppgifter mindre inkräktande än tillgången till innehållet i elektriska kommunikationer och till trafik- och lokaliseringsuppgifter.
196. För det andra är det inte bara PNR-uppgifternas art som skiljer sig från trafik- och lokaliseringsuppgifternas art, utan även antalet och typen av upplysningar som kan avslöjas genom dessa olika kategorier av uppgifter skiljer sig åt, då de upplysningar som finns i PNR-uppgifterna är mer begränsade både i kvantitativt och kvalitativt hänseende. Detta beror inte bara på att systemen för generell och odifferentierad behandling av uppgifter avseende elektroniska kommunikationer kan avse nästan hela den aktuella befolkningen, medan systemen för behandling av PNR-uppgifter är tillämpliga på en mer begränsad, om än numerärt betydande, krets av individer, utan även på användningsfrekvensen av elektroniska kommunikationsmedel och deras stora antal. I PNR-direktivet föreskrivs dessutom insamling och behandling av ett begränsat antal och uttömmande fastställda PNR-uppgifter, med undantag av uppgifter som hör till de kategorier som anges i artikel 13.4 i direktivet, vilket gör att om inte mängden, så i vart fall hur känslig informationen om de berörda personernas privatliv som kan utläsas därav är, delvis kan bedömas på förhand.(189) En sådan begränsning av den typ av uppgifter som avses, vilken gör det möjligt att utesluta en stor del av de uppgifter som kan innehålla känslig information, är endast delvis möjlig i fråga om trafik- och lokaliseringsuppgifter, med hänsyn till antalet berörda användare och kommunikationsmedel.(190)
197. För det tredje kan varje behandling av metadata från elektronisk kommunikation inte bara avse intimsfären för nästan hela befolkningen, utan även inkräkta på utövandet av andra friheter varigenom varje individs deltagande i samhällslivet och det demokratiska livet i ett land kommer till uttryck,(191) och riskerar bland annat att ha en avhållande inverkan på yttrandefriheten för användarna av elektroniska kommunikationsmedel,(192) vilken utgör ”en av grundvalarna för ett demokratiskt och pluralistiskt samhälle” och ingår i de värden som unionen bygger på.(193) Denna aspekt ligger till grund för de åtgärder som avser dessa kategorier av personuppgifter och avser i princip inte systemen för behandling av PNR-uppgifter.
198. För det fjärde finns det, huvudsakligen på grund av antalet och typen av känsliga uppgifter som kan hämtas från innehållet i elektronisk kommunikation samt trafik- och lokaliseringsuppgifter, en risk för godtycke i samband med behandlingen av dessa uppgifter som är betydligt större än vad beträffar systemen för behandling av PNR-uppgifter.
199. Av samtliga skäl som jag nyss har redogjort för, anser jag att det striktare synsätt som domstolen har intagit på området för elektronisk kommunikation inte som sådant kan tillämpas på systemen för behandling av PNR-uppgifter. Domstolen har redan, i vart fall underförstått, gett uttryck för detta i yttrande 1/15, i samband med ett internationellt avtal varigenom ett sådant system infördes för att skydda säkerheten i ett tredjeland. Samma ståndpunkt är enligt min mening än mer motiverad när det gäller PNR-direktivet, vars syfte är att skydda unionens inre säkerhet.
200. Det ska påpekas, såsom generaladvokaten Mengozzi har gjort i punkt 216 i sitt förslag till avgörande i förfarandet för yttrande 1/15,(194) att själva intresset av systemen för behandling av PNR-uppgifter, oberoende av om de antas unilateralt eller är föremål för ett internationellt avtal, just är att de garanterar massöverföring av uppgifter som möjliggör för de behöriga myndigheterna att, med hjälp av verktyg för automatisk databehandling och i förväg fastställda scenarier eller utvärderingskriterier, identifiera individer som hittills inte varit kända för de brottsbekämpande myndigheterna, men som är av ”intresse” eller utgör en risk för den allmänna säkerheten och som därför senare kan komma att underställas en mer långtgående individuell kontroll. Kravet på ”skälig misstanke”, som har bekräftats i Europadomstolens praxis avseende riktad avlyssning i samband med en brottsutredning(195) och i EU-domstolens praxis avseende lagring av metadata,(196) är följaktligen mindre relevant i samband med sådan överföring och en sådan behandling.(197) Det mål att bland annat förebygga och förhindra brott som eftersträvas med sådana system kan inte heller uppnås om tillämpningsområdet för dessa system begränsas till att omfatta en viss kategori av individer, vilket domstolen för övrigt har slagit fast i de punkter i yttrande 1/15 som det har erinrats om i punkt 191 ovan, vilket gör att räckvidden av PNR-direktivet förefaller säkerställa att detta mål genomförs på ett effektivt sätt.(198)
201. Det ska även understrykas att den strategiska betydelsen av behandlingen av PNR-uppgifter som ett viktigt instrument för unionens gemensamma svar på terrorism och grov brottslighet och som en viktig del av säkerhetsunionen har flera gånger framhållits av kommissionen.(199) Inom ramen för en ”övergripande strategi” för att bekämpa terrorism, har den roll som systemen för behandling av PNR-uppgifter fyller även erkänts av Förenta nationernas säkerhetsråd, som i resolution 2396 (2017)(200) har ålagt Förenta nationernas medlemsstater att ”utveckla sin kapacitet att samla in, behandla och analysera PNR-uppgifter, inom ramen för Icaos standarder och rekommenderad praxis, och se till att dessa uppgifter översänds till och används av alla behöriga nationella myndigheter, med full respekt för de mänskliga rättigheterna och de grundläggande friheterna, i syfte att förebygga, förhindra, upptäcka och utreda terroristbrott och därmed relaterat resande”.(201) Denna skyldighet upprepades i resolution 2482/2019 om terrorism och grov gränsöverskridande brottslighet.(202)
202. Antagandet av ett system för behandling av PNR-uppgifter som har harmoniserats på unionsnivå, vad beträffar såväl flygningar utanför EU som – för de stater som har använt sig av artikel 2 i PNR-direktivet – flygningar inom EU, gör det i det sammanhanget möjligt att säkerställa att behandlingen av dessa uppgifter sker med iakttagande av den höga skyddsnivå som har fastställts i direktivet för de rättigheter som stadgas i artiklarna 7 och 8 i stadgan och tillhandahåller ett rättsligt system som referens vid förhandlingen av internationella avtal om behandling och överföring av PNR-uppgifter.(203)
203. Även om det är riktigt att det system som har införts genom PNR-direktivet utan åtskillnad avser samtliga flygpassagerare, såsom bland annat parlamentet korrekt har understrukit i sitt skriftliga yttrande och såsom även Förenta nationernas säkerhetsråd har framhållit i resolution 2396 (2017), där det erinras om den konkreta risken för att civil luftfart används för terroriständamål både som transportmedel och som måltavla,(204) finns det ett objektivt samband mellan lufttransport och de hot mot den allmänna säkerheten som är kopplade till bland annat terrorism och, i vart fall, till viss grov brottslighet, såsom i synnerhet olaglig handel med droger eller människohandel, som för övrigt har ett starkt gränsöverskridande inslag.
204. Det ska slutligen understrykas, såsom parlamentet, rådet och flera medlemsstater som har ingett skriftliga yttranden har gjort gällande, att flygpassagerare är skyldiga att genomgå säkerhetskontroller vid inresa i eller utresa från unionen.(205) Överföringen och behandlingen av PNR-uppgifter före deras ankomst eller före deras avresa underlättar och påskyndar dessa kontroller, vilket domstolen också påpekade i yttrande 1/15, genom att de brottsbekämpande myndigheterna kan koncentrera sig på de passagerare som enligt ett faktaunderlag verkligen skulle kunna utgöra en säkerhetsrisk.(206)
205. Vad slutligen särskilt beträffar en utvidgning av systemet i PNR-direktivet till att omfatta flygningar inom EU, anser jag, även om det inte på förhand går att utesluta all inverkan på unionsmedborgarnas rörelsefrihet, som stadgas bland annat i artikel 45 i stadgan, att det ingrepp i privatlivet som PNR-direktivet medför, även om det är allvarligt, inte är sådant att det i sig har en avskräckande inverkan på utövandet av denna frihet. Behandlingen av PNR-uppgifter kan till och med uppfattas av allmänheten som en nödvändig åtgärd för att säkerställa att flygresor är säkra.(207) Faktum kvarstår dock att möjligheten att en sådan avskräckande inverkan kan uppstå ska bli föremål för en kontinuerlig bedömning och övervakning.
206. För att följa den rättspraxis som jag har erinrat om i punkterna 107 och 108 i detta förslag till avgörande, kan emellertid PNR-direktivet inte vara begränsat till att kräva att åtkomsten till och den automatiska behandlingen av PNR-uppgifter om samtliga flygpassagerare svarar mot det eftersträvade syftet, utan direktivet måste även fastställa, på ett klart och tydligt sätt, de materiella och formella villkor som gäller för sådan åtkomst och behandling samt den senare användningen av dessa uppgifter,(208) och föreskriva lämpliga skyddsregler i varje steg av detta förfarande. Jag har redan, vid prövningen av den andra frågan, nämnt de skyddsregler som omgärdar överföringen av PNR-uppgifter till enheterna för passagerarinformation. Jag kommer att vid prövningen av den sjätte frågan att gå igenom i detalj de skyddsregler som mer specifikt åtföljer den automatiska behandlingen av dessa uppgifter och, i samband med prövningen av den åttonde frågan, de skyddsregler som är knutna till lagringen av dessa uppgifter.
207. Innan jag fortsätter denna prövning, vill jag framhålla den grundläggande betydelse som den tillsyn som utövas av den oberoende myndighet som avses i artikel 15 i PNR-direktivet har inom ramen för det system med skyddsregler som har inrättats genom direktivet. Enligt nämnda artikel ska all behandling av uppgifter som föreskrivs i direktivet övervakas av en oberoende tillsynsmyndighet, som har befogenhet att kontrollera att behandlingen är laglig, genomföra utredningar, inspektioner och revision samt hantera klagomål från en registrerad. En sådan tillsyn, vilken utövas av ett utomstående organ som ansvarar för att tillvarata intressen som potentiellt står i strid med de intressen som eftersträvas av de som utför behandlingen av PNR-uppgifter, och som har tilldelats uppgiften att se till att samtliga begränsningar och skyddsåtgärder som omgärdar behandlingarna iakttas, utgör en väsentlig skyddsregel, som uttryckligen anges i artikel 8.3 i stadgan, vars effektivitet, vad gäller skyddet för de aktuella grundläggande rättigheterna, till och med är större än det system med rättsmedel som har ställts till enskildas förfogande. Det är därför enligt min mening väsentligt att domstolen gör en extensiv tolkning av omfattningen av de tillsynsbefogenheter som föreskrivs i artikel 15 i PNR-direktivet och att medlemsstaterna, vid införlivandet av direktivet med nationell rätt, tillerkänner sin nationella tillsynsmyndighet den fulla omfattningen av dessa befogenheter genom att förse myndigheten med de materiella resurser och personalresurser som krävs för att den ska kunna fullgöra sitt uppdrag.
208. Mot bakgrund av det ovan anförda anser jag att PNR-direktivet inte går utöver vad som är strängt nödvändigt i den mån som det tillåter överföring och automatisk behandling av uppgifter avseende varje person som motsvarar begreppet ”passagerare” i den mening som avses i artikel 3 led 4 i direktivet.
iv) Huruvida förhandsbedömningen av passagerare är tillräckligt klar och precis och begränsad till vad som är strängt nödvändigt (den sjätte frågan)
209. Den hänskjutande domstolen har ställt den sjätte frågan för att få klarhet i huruvida den förhandsbedömning som avses i artikel 6 i PNR-direktivet är förenlig med artiklarna 7, 8 och 52.1 i stadgan. Även om frågans lydelse är inriktad på den systematiska och generella karaktären på den automatiska behandlingen av PNR-uppgifter om alla flygpassagerare som denna förhandsbedömning innebär, framgår det av skälen i beslutet om hänskjutande att Cour constitutionnelle (Författningsdomstolen) har bett EU-domstolen att göra en mer övergripande bedömning av huruvida kraven på lagenlighet och proportionalitet iakttas i samband med en sådan bedömning. Jag kommer nedan att göra denna bedömning, och samtidigt hänvisa till den bedömning som har gjorts vid prövningen av den fjärde frågan vad beträffar den automatiska behandlingens icke-riktade karaktär.
210. I artikel 6.2 a i PNR-direktivet föreskrivs att enheterna för passagerarinformation ska göra en förhandsbedömning av flygpassagerare före deras beräknade ankomst till eller avresa från den berörda medlemsstaten. Denna bedömning syftar till att identifiera personer som de behöriga myndigheterna behöver utreda ytterligare, ”på grund av att dessa personer kan vara inblandade i terroristbrott eller grov brottslighet”. Enligt artikel 6.6 i PNR-direktivet ska enheten för passagerarinformation i en medlemsstat översända PNR-uppgifterna beträffande personer som har identifierats vid denna bedömning eller resultaten av behandlingen av dessa uppgifter till de behöriga myndigheter som avses i artikel 7 i direktivet i samma medlemsstat för ”vidare granskning”.
211. Enligt artikel 6.3 i PNR-direktivet ska den förhandsbedömning som görs enligt artikel 6.2 a utföras genom att jämföra PNR-uppgifter med uppgifter i databaser ”som är relevanta” (artikel 6.3 a) eller genom att behandla PNR-uppgifter i enlighet med fastställda kriterier (artikel 6.3 b).
212. Innan jag går in på bedömningen av var och en av dessa båda typer av behandling av uppgifter, vill jag påpeka att det inte klart framgår av lydelsen i ovannämnda artikel 6.3 huruvida medlemsstaterna är skyldiga att föreskriva att förhandsbedömningen av passagerare ska ske genom att systematiskt och i samtliga fall utföra båda de automatiska analyserna, eller huruvida medlemsstaterna – vilket användningen av verbet ”får” och den disjunktiva konjunktionen ”eller” tycks bekräfta – har rätt att organisera sina system på ett sådant sätt att till exempel den bedömning som föreskrivs i artikel 6.3 b förbehålls specifika fall. Det ska i detta avseende preciseras att det i förslaget till PNR-direktiv föreskrevs att denna bedömning endast skulle utföras i samband med bekämpande av grov gränsöverskridande brottslighet.(209)
213. I likhet med kommissionen anser jag att det framgår bland annat av systematiken i PNR-direktivet att medlemsstaterna är skyldiga att föreskriva de två typerna av automatisk behandling, av skäl som även avser kravet på att säkerställa en så enhetlig tillämpning som möjligt av systemet för behandling av PNR-uppgifter i unionen. Detta betyder emellertid inte att medlemsstaterna inte är berättigade – och till och med skyldiga, för att säkerställa att den behandling av uppgifter som förhandsbedömningen enligt artikel 6.2 a i PNR-direktivet innebär begränsas till vad som är strängt nödvändigt – att avgränsa analysen, enligt artikel 6.3 b i PNR-direktivet, utifrån dess resultat i effektivitetshänseende i fråga om vart och ett av de brott som avses i direktivet, och i förekommande fall låta en sådan analys vara förbehållen endast vissa av dessa brott. Skäl 7 i PNR-direktivet ger stöd för en sådan tolkning, där det anges att ”[f]ör att säkerställa att behandlingen av PNR-uppgifter begränsas till vad som är nödvändigt, bör … utformning och tillämpning av bedömningskriterierna begränsas till att endast omfatta terroristbrott och grov brottslighet för vilka användningen av sådana kriterier är relevant”.
– Jämförelsen med uppgifter i databaser, enligt artikel 6.3 a i PNR-direktivet
214. Den första delen av den förhandsbedömning som enheterna för passagerarinformation ska utföra enligt artikel 6.2 a i PNR-direktivet innebär, enligt artikel 6.3 a, att de ska jämföra PNR-uppgifter (”data matching”) med uppgifter i databaser, för att söka efter eventuella träffar (”hits”). Dessa träffar är avsedda att verifieras av enheterna för passagerarinformation, i enlighet med artikel 6.5 i PNR-direktivet, och i förekommande fall tolkas som en ”matchning” innan de översänds till de behöriga myndigheterna.
215. Som domstolen medgav i punkt 172 i yttrande 1/15 är omfattningen av det ingrepp i de rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan som dessa typer av automatisk analys medför, väsentligen beroende av de databaser som analyserna grundar sig på. Det är följaktligen viktigt att de bestämmelser som föreskriver sådan behandling av uppgifter på ett tillräckligt klart och precist sätt identifierar de databaser som får användas vid samkörning med de uppgifter som ska behandlas.
216. Enligt artikel 6.3 a i PNR-direktivet ska enheterna för passagerarinformation jämföra PNR-uppgifter med ”uppgifter i databaser som är relevanta”(210) med hänsyn till de mål som eftersträvas genom detta direktiv. I denna bestämmelse omnämns även en särskild kategori av databaser, nämligen databaser över ”personer eller föremål som är eftersökta eller finns uppförda på spärrlista”, vilka unionslagstiftaren således avsåg att uttryckligen beteckna som ”relevanta” i den mening som avses i denna bestämmelse.
217. Förutom denna precisering har begreppet ”databaser som är relevanta” inte närmare förtydligats. Det har bland annat inte angetts huruvida de databaser som används för en samkörning med PNR-uppgifter ska, för att anses vara ”relevanta”, förvaltas av brottsbekämpande myndigheter eller mer allmänt av alla myndigheter, eller om de enbart ska vara direkt eller indirekt tillgängliga för myndigheterna. Arten på de uppgifter som sådana databaser kan innehålla och deras förhållande med de mål som eftersträvas genom PNR-direktivet har inte heller preciserats.(211) Det framgår även av ordalydelsen i artikel 6.3 a i PNR-direktivet att såväl nationella databaser och unionens databaser som internationella databaser kan kvalificeras som ”databaser som är relevanta”, vilket ytterligare utökar förteckningen över de databaser som potentiellt sett avses och ökar begreppets allmänt hållna karaktär.(212)
218. Mot denna bakgrund, och med tillämpning av den allmänna tolkningsprincip som jag erinrat om i punkt 151 ovan, ankommer det på domstolen att så långt det är möjligt tolka artikel 6.3 a i PNR-direktivet, och särskilt begreppet ”databaser som är relevanta”, på ett sätt som överensstämmer med de krav på klarhet och precision som uppställs i stadgan. Eftersom det i denna bestämmelse föreskrivs ett ingrepp i de grundläggande rättigheter som stadgas i artiklarna 7 och 8 i stadgan, ska den tolkas restriktivt och med beaktande av kravet att säkerställa en hög skyddsnivå för dessa grundläggande rättigheter, såsom detta krav har angetts bland annat i skäl 15 i PNR-direktivet. Bestämmelsen ska dessutom tolkas mot bakgrund av principen om begränsning av de syften för vilka PNR-uppgifter får behandlas, vilken anges i artikel 1.2 i PNR-direktivet.
219. Med beaktande av dessa kriterier anser jag att begreppet ”databaser som är relevanta” ska tolkas så, att det endast avser de nationella databaser som förvaltas av de behöriga myndigheterna enligt artikel 7.1 i PNR-direktivet, samt unionens databaser och internationella databaser som direkt används av dessa myndigheter i samband med deras uppdrag. Databaserna ska dessutom ha ett direkt och nära samband med de syften att bekämpa terrorism och grov brottslighet som eftersträvas genom direktivet, vilket förutsätter att de har utvecklats för dessa syften. Enligt denna tolkning avser detta begrepp huvudsakligen, om än inte uteslutande, databaser över personer eller föremål som är eftersökta eller finns uppförda på spärrlista, vilka uttryckligen omnämns i artikel 6.3 a i PNR-direktivet.
220. Databaser som förvaltas eller används av medlemsstaternas underrättelsetjänster är i allmänhet uteslutna från begreppet ”databaser som är relevanta”, såvida de inte strikt uppfyller villkoret att ha ett nära samband med de syften som eftersträvas genom PNR-direktivet, och den aktuella medlemsstaten ger sin underrättelsetjänst särskilda befogenheter på brottsbekämpningsområdet.(213)
221. Den tolkning som har föreslagits ovan överensstämmer med de rekommendationer som domstolen formulerade i punkt 172 i yttrande 1/15.
222. Även tolkad på detta sätt, gör emellertid artikel 6.3 a i PNR-direktivet det inte möjligt att tillräckligt exakt identifiera de databaser som kommer att användas av medlemsstaterna i samband med samkörningen med PNR-uppgifter och den kan inte anses uppfylla de krav som följer av artikel 52.1 i stadgan, såsom den har tolkats av domstolen. Denna bestämmelse ska därför tolkas så, att den ålägger medlemsstaterna, vid införlivandet av PNR-direktivet med nationell rätt, att offentliggöra en förteckning över dessa databaser och hålla denna uppdaterad. Det vore dessutom önskvärt att en förteckning över databaser ”som är relevanta”, i den mening som avses i artikel 6.3 a i PNR-direktivet, och som förvaltas av unionen i samarbete med medlemsstaterna samt internationella databaser upprättas på unionsnivå för att medlemsstaternas praxis ska bli enhetlig i det avseendet.
– Behandlingen av PNR-uppgifter i förhållande till på förhand fastställda kriterier
223. Den andra delen av förhandsbedömningen enligt artikel 6.2 a i PNR-direktivet består i en automatisk analys i enlighet med på förhand fastställda kriterier. I samband med denna analys behandlas PNR-uppgifter, huvudsakligen i prognossyfte, genom tillämpning av algoritmer som anses göra det möjligt att ”identifiera” passagerare som skulle kunna vara inblandade i terroristbrott eller grov brottslighet. I det sammanhanget ska enheten för passagerarinformation i huvudsak göra en profilering.(214) Eftersom en sådan behandling kan få betydande konsekvenser för enskilda som identifieras av algoritmen,(215) kräver den noga angivna ramar både vad gäller de närmare villkoren för att genomföra behandlingen och de skyddsregler som ska omgärda den. Som domstolen påpekade i punkt 172 i yttrande 1/15, är omfattningen av det ingrepp i de rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan som dessa typer av analyser medför, väsentligen beroende av de förhandsbestämda modeller och kriterier som tillämpas.
224. Jag vill i det avseendet, för det första, påpeka att det i artikel 6.4 andra meningen i PNR-direktivet anges att de på förhand fastställda kriterierna, i enlighet med vilka den förhandsbedömning som föreskrivs i artikel 6.3 b i direktivet utförs, måste vara ”riktade, proportionella och specifika”. Det första av dessa krav syftar på målet med den förhandsbedömning som föreskrivs i artikel 6.2 a, nämligen att identifiera personer som de behöriga myndigheterna behöver utreda ytterligare, och uppfyller således behovet, som domstolen framhöll i yttrande 1/15, av att de kriterier som används lyckas ”peka ut” enskilda mot vilka det kan föreligga en ”skälig misstanke” om delaktighet i terroristbrott eller allvarlig brottslighet-(216) Ett sådant ”utpekande” förutsätter en tillämpning av abstrakta bedömningskriterier eller – för att använda ett uttryck som förekommer i 2021 års rekommendation om profilering – ”profiler”(217) med hjälp av vilka PNR-uppgifterna ”filtreras” för att lokalisera de passagerare som uppfyller kriterierna och som följaktligen skulle kunna behöva genomgå en närmare kontroll. PNR-direktivet tillåter däremot inte en individuell profilering av alla flygpassagerare vilkas uppgifter analyseras, till exempel genom att koppla samman var och en av dessa med en riskkategori på en på förhand fastställd skala. I annat fall åsidosätts såväl artikel 6.4 i direktivet som de begränsningar som domstolen har uppställt för den automatiska behandlingen av PNR-uppgifter i yttrande 1/15.
225. Enligt artikel 6.4 andra meningen ska de på förhand fastställda kriterier som avses i artikel 6.3 b i PNR-direktivet dessutom vara ”specifika”,(218) det vill säga anpassade till det mål som eftersträvas och relevanta i förhållande till målet, samt ”proportionella”,(219) det vill säga inte gå utöver gränserna för detta mål. För att uppfylla dessa krav, och särskilt ”[f]ör att säkerställa att behandlingen av PNR-uppgifter begränsas till vad som är nödvändigt”, anges det i skäl 7 i PNR-direktivet, såsom jag redan har framhållit, att ”utformning och tillämpning av bedömningskriterierna [bör] begränsas till att endast omfatta terroristbrott och grov brottslighet för vilka användningen av sådana kriterier är relevant”.
226. Det framgår slutligen både av ingressen och bestämmelserna i PNR-direktivet och av de krav som domstolen angav i yttrande 1/15, att de på förhand fastställda kriterier som avses i artikel 6.3 b i PNR-direktivet även ska vara ”tillförlitliga”,(220) vilket betyder dels att de ska utformas för att minimera risken för fel,(221) dels att de ska vara ”aktuella”.(222) I det avseendet är medlemsstaterna enligt artikel 6.4 tredje meningen i PNR-direktivet skyldiga att se till att kriterierna ”fastställs och regelbundet ses över av enheterna för passagerarinformation i samarbete med de behöriga myndigheter som avses i artikel 7”.(223) För att säkerställa att dessa kriterier är tillförlitliga och i möjligaste mån begränsa felaktiga positiva resultat, är det vidare nödvändigt – vilket kommissionen medgav som svar på en skriftlig fråga från domstolen – att kriterierna utformas på ett sådant sätt att både omständigheter som är till personens fördel och omständigheter som är till personens nackdel beaktas.
227. För det andra förbjuder PNR-direktivet uttryckligen diskriminerande profilering. I artikel 6.4 första meningen i direktivet föreskrivs att en förhandsbedömning i enlighet med på förhand fastställda kriterier enligt artikel 6.3 b ”ska utföras på ett icke-diskriminerande sätt”. Det ska i det avseendet preciseras att även om det i artikel 6.4 tredje meningen anges att dessa kriterier ”får under inga omständigheter vara baserade på en persons ras, etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning”, ska det generella förbudet mot diskriminerande profilering förstås så, att det omfattar alla diskrimineringsgrunder som nämns i artikel 21 i stadgan, även de som inte nämns uttryckligen.(224)
228. För det tredje framgår det både av lydelsen i artikel 6.3 b i PNR-direktivet och av det system med skyddsregler som omger den automatiska behandlingen av PNR-uppgifter som föreskrivs i PNR-direktivet att funktionssättet för de algoritmer som används vid den analys som föreskrivs i denna bestämmelse ska vara transparent och resultatet av deras tillämpning ska vara spårbart. Detta krav på transparens innebär naturligtvis inte att de ”profiler” som används ska offentliggöras. Däremot krävs det att det säkerställs att beslutsfattande som baseras på algoritmer går att identifiera. Kravet att de kriterier i förhållande till vilka denna analys ska utföras ska vara ”på förhand fastställda” utesluter att dessa kan ändras utan mänskligt ingripande och utgör således hinder för användning av tekniker för artificiell intelligens som så kallad maskininlärning,(225) vilka även om de kan uppvisa en högre grad av precision, kan vara svårtolkade, även för de operatörer som har utfört den automatiska behandlingen.(226) Den skyddsregel som anges i artikel 6.5 och 6.6 i PNR-direktivet, enligt vilken eventuella träffar i samband med automatisk behandling av PNR-uppgifter enligt artikel 6.2 a ska granskas individuellt med icke-automatiska metoder, kräver för att vara effektiv – vad beträffar den analys som avses i artikel 6.3 b i PNR-direktivet – att det är möjligt att förstå skälet till varför programmet har kommit fram till en sådan träff, vilket inte kan säkerställas bland annat när system för självinlärning används. Samma sak gäller kontrollen av att denna analys är lagenlig, inbegripet att de resultat som har erhållits inte är diskriminerande, som dataskyddsombudet och den nationella tillsynsmyndigheten har i uppdrag att utföra enligt artikel 6.7 respektive artikel 15.3 b i PNR-direktivet. Insyn i hur de använda algoritmerna fungerar utgör även ett nödvändigt villkor för att göra det möjligt för de berörda att utöva sin rätt att begära omprövning och sin rätt till ett effektivt rättsmedel.
– De skyddsregler som omger den automatiska behandlingen av PNR-uppgifter
229. Jag har redan haft anledning att nämna vissa av de skyddsregler som åtföljer den automatiska behandlingen av PNR-uppgifter i samband med förhandsbedömningen enligt artikel 6.2 a i PNR-direktivet, och som uppfyller de krav som domstolen angav i yttrande 1/15, det vill säga förbudet mot behandling på grundval av på förhand fastställda kriterier som är diskriminerande (artikel 6.4 första och fjärde meningen i PNR-direktivet; yttrande 1/15, punkt 172), regelbunden aktualisering av de på förhand fastställda kriterierna i enlighet med vilka den förhandsbedömning som avses i artikel 6.3 b i direktivet ska utföras (artikel 6.4 tredje meningen i PNR-direktivet; yttrande 1/15, punkt 174), granskning med icke-automatiska metoder av eventuella träffar i samband med automatisk behandling av PNR-uppgifter (artikel 6.5 och 6.6 i PNR-direktivet; yttrande 1/15, punkt 173) och den kontroll av behandlingens lagenlighet som utförs av dataskyddsombudet och av den nationella tillsynsmyndigheten (artiklarna 6.7 och 15.3 b i PNR-direktivet). Det är i det sammanhanget mycket viktigt att den kontroll som utförs av en oberoende myndighet, såsom den myndighet som avses i artikel 15 i PNR-direktivet, kan avse varje aspekt som utgör en del av den automatiska behandlingen av PNR-uppgifter, inbegripet identifieringen av de databaser som används vid jämförelsen enligt artikel 6.3 a i direktivet och utarbetandet av de på förhand fastställda kriterier som tillämpas vid analysen enligt artikel 6.3 b i direktivet, och att denna kontroll kan utövas både på förhand och i efterhand.
230. Det ska understrykas att de ovannämnda skyddsreglerna ska anses vara tillämpliga på ett tvärgående sätt på de två typer av analyser som avses i artikel 6.3 i PNR-direktivet, och detta trots hur dessa har formulerats. Även om det i artikel 6.4 första meningen i direktivet erinras om kravet på att icke-diskrimineringsprincipen ska iakttas enbart i förhållande till den förhandsbedömning som görs i enlighet med på förhand fastställda kriterier, gäller detta krav i varje steg av förfarandet för behandling av PNR-uppgifter och således även när dessa uppgifter jämförs med uppgifter i databaser som är relevanta i samband med förhandsbedömningen enligt artikel 6.3 a i direktivet. Samma sak gäller kravet att de på förhand fastställda kriterierna som används vid den analys som avses i artikel 6.3 b i PNR-direktivet ska vara tillförlitliga och aktualiserade, vilket ska förstås så, att det även omfattar de uppgifter som finns i de databaser som används vid den jämförelse som föreskrivs i artikel 6.3 a i direktivet. Jag vill i det avseendet mer allmänt påpeka att alla de skyddsregler som är tillämpliga vid automatisk behandling av personuppgifter som föreskrivs i polisdirektivet även är tillämpliga inom ramen för PNR-direktivet, eftersom de automatiska analyser som utförs inom ramen för nämnda direktiv ska anses omfattas av polisdirektivets tillämpningsområde.
231. Utöver de skyddsregler som har angetts i punkt 229 ovan tillkommer den skyddsregel som föreskrivs i artikel 7.6 i PNR-direktivet och som ska komplettera dels förbudet mot att basera en beslutsprocess enbart på resultaten av den automatiska behandlingen av PNR-uppgifter, dels förbudet mot diskriminering vid behandling och användning av dessa uppgifter. I denna bestämmelse föreskrivs att ”[d]e behöriga myndigheterna får inte fatta några beslut som har negativa rättsliga konsekvenser för en person eller på annat sätt allvarligt påverkar en person endast på grund av den automatiska behandlingen av PNR-uppgifter” och att besluten ”får inte grunda sig på en persons ras eller etniska ursprung, politiska åskådning, religiösa eller filosofiska övertygelse, fackföreningstillhörighet, hälsotillstånd, sexualliv eller sexuella läggning”. I likhet med vad jag har angett i punkt 227 ovan beträffande artikel 6.4 fjärde meningen i PNR-direktivet, ska denna förteckning över diskrimineringsgrunder kompletteras genom att lägga till de grunder som anges i artikel 21 i stadgan och som inte uttryckligen nämns.
232. Vad beträffar PNR-uppgifternas säkerhet föreskrivs det i artikel 6.8 i PNR-direktivet att lagring, behandling och analys av sådana uppgifter vid enheten för passagerarinformation ska uteslutande utföras på en eller flera säkra platser på en medlemsstats territorium
– Slutsats vad beträffar den sjätte frågan
233. Mot bakgrund av det ovan anförda och med förbehåll för de tolkningar som har föreslagits särskilt i punkterna 213, 219, 220, 222, 227, 228, 230 och 231 ovan, anser jag att den automatiska behandlingen av PNR-uppgifter i samband med den förhandsbedömning som avses i artikel 6.2 a i PNR-direktivet iakttar kraven på klarhet och precision och är begränsad till vad som är strängt nödvändigt.
v) Lagringen av PNR-uppgifter (den åttonde frågan)
234. Den hänskjutande domstolen har genom den åttonde frågan hemställt att EU-domstolen klargör huruvida artikel 12 i PNR-direktivet jämförd med artiklarna 7, 8 och 52.1 i stadgan ska tolkas så, att den utgör hinder för en nationell lagstiftning, i vilken det föreskrivs en allmän lagringstid på fem år för PNR-uppgifterna, varvid det inte görs någon åtskillnad beroende på om det vid förhandsbedömningen framkommit att de berörda passagerarna kan utgöra en risk för den allmänna säkerheten eller ej.
235. I artikel 12.1 i PNR-direktivet föreskrivs att PNR-uppgifter ska lagras i en databas vid enheten ”under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick”. I enlighet med artikel 12.2 i direktivet ska vid utgången av en ”inledande lagringsperiod”(227) på sex månader PNR-uppgifterna avidentifieras genom maskering av vissa uppgifter som kan användas för att omedelbart identifiera den berörda personen. I artikel 12.3 föreskrivs att vid utgången av denna sexmånadersperiod ska utlämnande av de fullständiga PNR-uppgifterna, inbegripet de maskerade delarna, tillåtas endast om det ”rimligen” kan antas vara nödvändigt för de ändamål som avses i artikel 6.2 b i PNR-direktivet, och efter tillstånd från en rättslig myndighet, eller en annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda. Slutligen föreskrivs det i artikel 12.4 att PNR-uppgifterna ska slutgiltigt raderas vid utgången av den period på fem år som avses i punkt 1.
236. Det framgår av det ovan anförda att i själva PNR-direktivet fastställs reglerna för lagring av PNR-uppgifter, inbegripet lagringstiden, genom att den fastställs till fem år,(228) vilket gör att medlemsstaterna i princip inte har något utrymme för skönsmässig bedömning i det avseendet, vilket även har bekräftats av kommissionen. Under dessa omständigheter har domstolen, som jag redan har haft tillfälle att påpeka, genom den åttonde frågan, trots att den har formulerats som en tolkningsfråga, i själva verket ombetts att ta ställning till huruvida dessa regler är förenliga med stadgan.
237. Det utgör en allmän princip i fråga om skydd av personuppgifter att dessa uppgifter inte får förvaras i en form som, direkt eller indirekt, möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de behandlas.(229) Det följer dessutom av fast rättspraxis att lagstiftning som föreskriver lagring av personuppgifter alltid måste uppfylla objektiva kriterier, som fastställer ett samband mellan de personuppgifter som ska lagras och det eftersträvade målet.(230)
238. I yttrande 1/15 fann domstolen, beträffande uppgifter som samlas in vid inresan i Kanada, att det nödvändiga sambandet mellan PNR-uppgifterna och det mål som eftersträvas med förslaget till PNR-avtal mellan Kanada och EU hade visats i fråga om alla flygpassagerare, så länge som dessa befann sig i detta tredjeland.(231) Vad däremot beträffar flygpassagerare som hade lämnat Kanada och för vilka det inte hade fastställts någon risk med avseende på terrorism eller allvarlig gränsöverskridande brottslighet vid deras ankomst till detta tredjeland och fram till och med deras avresa från detta tredjeland, fann domstolen att det inte förelåg ens något indirekt samband som skulle kunna motivera lagringen av deras PNR-uppgifter.(232) Domstolen slog dock fast att en sådan lagring kunde vara tillåten ”[i] den utsträckning som det i enskilda fall emellertid kunnat fastställas att det föreligger objektiva omständigheter som gör det möjligt att anse att vissa flygpassagerare, även efter deras avresa från Kanada, skulle kunna utgöra en risk med avseende på bekämpningen av terrorism och allvarlig gränsöverskridande brottslighet”.(233)
239. Om de principer som domstolen fastslog i yttrande 1/15 tillämpas på området för PNR-direktivet, skulle det innebära att PNR-uppgifter om flygningar utanför EU som har samlats in vid inresan till unionen och PNR-uppgifter om flygningar inom EU som har samlats in vid inresan till den berörda medlemsstaten kan, efter förhandsanalysen av dessa enligt artikel 6.2 a i PNR-direktivet, lagras endast så länge som de berörda passagerarna stannar kvar i unionen eller i denna medlemsstat. Vad beträffar PNR-uppgifter om flygningar utanför EU som har samlats in vid utresan från unionen och PNR-uppgifter om flygningar inom EU som har samlats in vid utresan från den berörda medlemsstaten, får dessa i princip, efter nämnda förhandsbedömning, lagras endast när det är fråga om passagerare beträffande vilka det finns objektiva omständigheter som gör det möjligt att visa att det föreligger en risk med avseende på bekämpningen av terrorism och grov brottslighet.(234)
240. De regeringar och institutioner som har avgett yttranden vid domstolen har allmänt motsatt sig att de principer som slogs fast i yttrande 1/15 i fråga om lagring av PNR-uppgifter överförs på förevarande mål. Det är visserligen inte uteslutet att domstolens användning av ett kriterium knutet till den berörda personens vistelse i Kanada kunde ha påverkats av den omständigheten att domstolen skulle ta ställning till lagring av personuppgifter i ett tredjeland. Det är precis lika möjligt att tillämpningen av ett sådant kriterium inom ramen för PNR-direktivet kan konkret yttra sig i ett ingrepp i rätten till respekt för privatlivet och rätten till skydd av personuppgifter som potentiellt sett är större för vissa kategorier av personer, bland annat de som är permanent bosatta i unionen och som förflyttar sig inom unionen eller som kommer tillbaka efter en vistelse i utlandet. Det är slutligen riktigt att detta kriterium skulle kunna visa sig vara svårt att genomföra i praktiken, åtminstone vad gäller flygningar inom EU, såsom vissa medlemsstater och rådet har framhållit.
241. Det är icke desto mindre så, att även om man vill bortse från det kriterium som domstolen använde sig av i yttrande 1/15, är en lagring av samtliga PNR-uppgifter om alla flygpassagerare, oberoende av resultatet av den förhandsbedömning som avses i artikel 6.2 a i PNR-direktivet och utan att det görs någon åtskillnad med hänsyn till risken för terrorism eller grov brottslighet på grundval av objektiva och verifierbara kriterier, inte förenlig med domstolens fasta praxis som det har erinrats om i punkt 237 ovan, och som domstolen avsåg att tillämpa i nämnda yttrande. Även om de överväganden som det har redogjorts för i punkterna 201–203 ovan i samband med prövningen av den fjärde frågan enligt min mening kan motivera en generell och odifferentierad överföring av PNR-uppgifter, och en automatisk behandling av sådana uppgifter i samband med den förhandsbedömning som föreskrivs i artikel 6.2 a i PNR-direktivet, anser jag att de inte i sig kan motivera ett generellt och odifferentierat kvarhållande av dessa uppgifter, även efter en sådan bedömning.
242. Jag vill även påpeka att samma lagringstid på fem år tillämpas oavsett om det är fråga om bekämpning av terrorism eller bekämpning av grov brottslighet och, inom ramen för det sistnämnda syftet, i fråga om alla brott som avses i bilaga II utan undantag. Såsom framgår av övervägandena i punkt 121 ovan, är denna förteckning särskilt vidsträckt och omfattar brott av olika typer och svårhetsgrad. I det avseendet ska det påpekas att den motivering som har anförts av praktiskt taget alla de medlemsstater och institutioner som har avgett yttranden i förevarande mål, avseende tidsåtgången för utredningar och deras komplexitet, har konkret åberopats endast vad beträffar terroristbrott och vissa brott som i högsta grad är av gränsöverskridande karaktär, såsom människohandel eller olaglig handel med narkotika samt, mer allmänt, vissa former av organiserad brottslighet. Jag vill vidare erinra om att domstolen i yttrande 1/15 godtog en liknande motivering enbart vad beträffar lagring av PNR-uppgifter om flygpassagerare i fråga om vilka det föreligger en objektiv risk med avseende på bekämpningen av terrorism eller allvarlig gränsöverskridande brottslighet, och i fråga om vilka en lagring av uppgifter under fem år inte ansågs överskrida gränserna för vad som är strängt nödvändigt.(235) Denna motivering ansågs däremot inte kunna tillåta ”en fortlöpande lagring av samtliga flygpassagerares PNR-uppgifter … i syfte att eventuellt ha åtkomst till dessa uppgifter, oberoende av något samband med bekämpningen av terrorism och allvarlig gränsöverskridande brottslighet”.(236)
243. Såsom rådet, parlamentet och kommissionen samt alla de regeringar som har avgett yttranden avseende den åttonde frågan har framhållit, är det visserligen riktigt att det i PNR-direktivet föreskrivs särskilda skyddsregler både vad gäller lagring av PNR-uppgifter, vilka delvis maskeras efter en inledande lagringstid på sex månader, och vad gäller deras användning under perioden för kvarhållande, vilken är underkastad stränga villkor. För det första vill jag dock påpeka att det i förslaget till PNR-avtal mellan Kanada och EU också föreskrevs ett system för att anonymisera PNR-uppgifter genom maskering(237) och att även om en sådan anonymisering, såsom bland annat den rådgivande kommittén för konvention 108 har framhållit,(238) kan minska de risker som uppstår vid en långvarig lagringstid för uppgifter, såsom otillbörlig tillgång, gör dock de maskerade uppgifterna det fortfarande möjligt att identifiera personerna och de förblir av den anledningen personuppgifter, och lagringen av dessa uppgifter bör också vara begränsad i tiden för att förhindra en generell och ständig övervakning. I det avseendet vill jag påpeka att en lagringstid på fem år får till följd att ett stort antal passagerare, bland annat de som förflyttar sig inom unionen, kan vara registrerade nästan permanent. Vad, för det andra, beträffar begränsningar av användningen av uppgifter, vill jag påpeka att lagringen av personuppgifter och tillgången till sådana uppgifter utgör olika ingrepp i den grundläggande rätten till respekt för privatlivet och till skydd av personuppgifter, vilket kräver att de motiveras på ett självständigt sätt. Även om förekomsten av strikta skyddsregler i fråga om tillgång till lagrade uppgifter gör det möjligt att göra en helhetsbedömning av inverkan av en övervakningsåtgärd på nämnda grundläggande rättigheter, kvarstår det faktum att skyddsreglerna inte gör det möjligt att undanröja de ingrepp som hänger samman med en generell långvarig lagring.
244. När det gäller kommissionens argument att det är nödvändigt att lagra PNR-uppgifter om alla flygpassagerare för att möjliggöra för enheterna för passagerarinformation att fullgöra uppdraget, som avses i artikel 6.2 c i PNR-direktivet, att uppdatera och skapa nya kriterier som ska användas vid de bedömningar som genomförs enligt artikel 6.3 b, medger jag att precisionen i dessa kriterier delvis är avhängig en jämförelse mellan dessa kriterier och ”normala” beteenden, såsom kommissionen har hävdat, men jag vill påpeka att utarbetandet av dessa kriterier likväl ska göras på grundval av ”brottsliga” beteenden. Ett sådant argument, vilket för övrigt endast har anförts av ett begränsat antal medlemsstater, kan enligt min mening inte ha den avgörande betydelse som kommissionen tycks tillmäta det och i sig motivera en generell lagring av PNR-uppgifter om alla flygpassagerare, i en icke-anonymiserad form.
245. Mot bakgrund av det ovan anförda och för att säkerställa en tolkning av artikel 12.1 i PNR-direktivet som är förenlig med artiklarna 7, 8 och 52.1 i stadgan, anser jag att denna bestämmelse ska tolkas så, att lagringen av PNR-uppgifter som lämnas av lufttrafikföretag till enheten för passagerarinformation i en databas under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick är, efter det att förhandsbedömningen enligt artikel 6.2 a i direktivet har gjorts, tillåten endast i den mån det på grundval av objektiva kriterier har fastställts ett samband mellan dessa uppgifter och kampen mot terrorism eller grov brottslighet. En generell och odifferentierad lagring av PNR-uppgifter i en icke-anonymiserad form kan endast vara motiverad, i analogi med vad domstolen har slagit fast i samma rättspraxis, för att bemöta ett allvarligt hot mot medlemsstaternas säkerhet som är verkligt och faktiskt eller förutsebart och som har anknytning till exempelvis terroristverksamhet, och under förutsättning att lagringstiden är begränsad till vad som är strängt nödvändigt.
246. Avgränsningen av den åtgärd för lagring som föreskrivs i artikel 12.1 i PNR-direktivet kan exempelvis grunda sig på en riskbedömning eller de behöriga nationella myndigheternas erfarenhet, som gör det möjligt att ta sikte på vissa flygförbindelser, resplaner, resebyråer genom vilka bokningarna görs eller bestämda kategorier av personer eller geografiska områden, som identifieras på grundval av objektiva och icke-diskriminerande faktorer, i likhet med vad domstolen slog fast i sin praxis i fråga om lagring av metadata från elektronisk kommunikation.(239) I analogi med yttrande 1/15 ska dessutom det nödvändiga sambandet mellan PNR-uppgifter och det mål som eftersträvas genom PNR-direktivet anses vara styrkt så länge som flygpassagerarna befinner sig i unionen (eller i den berörda medlemsstaten) eller ska avresa från unionen. Samma sak gäller passageraruppgifter som har gett upphov till en verifierad träff.
247. Slutligen vill jag angående den åttonde frågan göra några påpekanden beträffande de bestämmelser som reglerar tillgången till PNR-uppgifter och användningen av dessa efter det att den förhandsbedömning som avses i artikel 6.2 a i PNR-direktivet har utförts och innan uppgifterna anonymeras vid utgången av den inledande lagringsperioden på sex månader som föreskrivs i artikel 12.2 i PNR-direktivet.
248. Det framgår av artikel 6.2 b jämförd med artikel 12.3 i PNR-direktivet att under denna inledande period kan PNR-uppgifter som inte har anonymiserats eller resultatet av behandlingen av uppgifterna lämnas ut till de behöriga myndigheterna i enlighet med den förstnämnda bestämmelsen, utan att villkoren i artikel 12.3 a och b har iakttagits.(240) I artikel 6.2 b i PNR-direktivet föreskrivs nämligen endast att förfrågan från de behöriga myndigheterna med avseende på en sådan behandling och ett sådant utlämnande ska vara ”vederbörligen motiverad” och ”bygg[a] på tillräckliga skäl”.
249. Enligt fast rättspraxis, som domstolen erinrade om i yttrande 1/15, räcker det inte att en unionslagstiftning kräver att en myndighets åtkomst till personuppgifter som lagrats lagligen ska svara mot ett av lagstiftningens syften, utan lagstiftningen måste även ange de materiella och formella villkoren som reglerar användningen,(241) i syfte att bland annat skydda uppgifterna från riskerna för missbruk.(242) I nämnda yttrande slog domstolen fast att användningen av PNR-uppgifter, efter kontroll av dessa uppgifter vid flygpassagerarnas ankomst till Kanada och under deras vistelse i landet, måste grunda sig på nya omständigheter, vilka motiverar användningen.(243) Domstolen preciserade att ”[n]är det föreligger objektiva omständigheter som gör det möjligt att anse att en eller flera flygpassagerares PNR-uppgifter faktiskt skulle kunna bidra till bekämpningen av terroristbrott och allvarlig gränsöverskridande brottslighet går användningen av dessa uppgifter inte utöver vad som är strängt nödvändigt”.(244) Genom att hänvisa analogt till punkt 120 i domen Tele2 Sverige, slog domstolen fast att för att säkerställa att dessa villkor uppfylls fullt ut i praktiken, ”är det väsentligt att användningen av lagrade PNR-uppgifter under flygpassagerarnas vistelse i Kanada i princip, utom i vederbörligen motiverade brådskande fall, är underkastad förhandskontroll av en domstol eller en oberoende myndighet och att domstolen meddelar sitt avgörande eller myndigheten fattar sitt beslut efter det att behöriga myndigheter framställt en motiverad ansökan, vilket särskilt kan ske inom ramen för ett förfarande för förebyggande, avslöjande eller lagföring av brott”.(245) Domstolen har följaktligen uppställt ett dubbelt villkor för möjligheten att använda lagrade PNR-uppgifter efter det att de har kontrollerats i samband med flygresan, vilket är både materiellt – det vill säga förekomsten av objektiva skäl som motiverar en sådan användning – och formellt – det vill säga kontrollen av en domstol eller en oberoende förvaltningsmyndighet. Den tolkning som domstolen valde är långtifrån ”kontextuell”, utan utgör en tillämpning av den rättspraxis som följer bland annat av domen Digital Rights och domen Tele2 Sverige på området för PNR-uppgifter.
250. De regler som införts genom PNR-direktivet avseende de sex första månaderna av lagring av PNR-uppgifter, vilka, efter den förhandsbedömning som avses i artikel 6.2 a i direktivet, tillåter utlämnande och behandling, eventuellt upprepade gånger, av PNR-uppgifter i avsaknad av lämpliga processrättsliga skyddsregler och materiella bestämmelser som är tillräckligt klara och precisa och som definierar syftet med och formerna för dessa olika ingrepp, uppfyller inte de krav som domstolen uppställde i yttrande 1/15. De tycks inte heller uppfylla kravet att en användning av PNR-uppgifter ska begränsas till vad som är strängt nödvändigt.
251. Jag föreslår därför att domstolen ska tolka artikel 6.2 b i PNR-direktivet så, att behandling av uppgifter enligt denna bestämmelse som sker under den inledande perioden på sex månader som föreskrivs i artikel 12.2 i direktivet uppfyller de krav som domstolen uppställde i yttrande 1/15.
252. Vad beträffar det första villkoret, som är materiellt, och som domstolen har uppställt för den senare användningen av PNR-uppgifter, anser jag att begreppet ”rimligen” i den mening som avses i artikel 12.3 a i PNR-direktivet och begreppet ”tillräckliga skäl” i artikel 6.2 b i direktivet utan svårighet kan tolkas så, att de förfrågningar från behöriga myndigheter som avses i dessa bestämmelser ska hänvisa till ”objektiva omständigheter som gör det möjligt att anse att en eller flera flygpassagerares PNR-uppgifter faktiskt skulle kunna bidra till bekämpningen av terroristbrott och allvarlig … brottslighet”.(246)
253. Vad beträffar det andra villkoret, som är formellt, ska artikel 6.2 b i PNR-direktivet, jämförd med artikel 12.3 i direktivet samt artiklarna 7, 8, och 52.1 i stadgan, enligt min mening tolkas så, att kravet på förhandstillstånd från en rättslig myndighet eller en oberoende förvaltningsmyndighet som föreskrivs i artikel 12.3 b i direktivet är tillämpligt på all behandling av PNR-uppgifter som utförs med tillämpning av nämnda artikel 6.2 b.
4. Slutsatser beträffande den andra, den tredje, den fjärde, den sjätte och den åttonde frågan
254. Mot bakgrund av det ovan anförda föreslår jag att domstolen ska ogiltigförklara punkt 12 i bilaga I i den mån som den omfattar ”allmänna anmärkningar” bland de kategorier av PNR-uppgifter som lufttrafikföretagen är skyldiga, enligt artikel 8 i PNR-direktivet, att överföra till enheterna för passagerarinformation och slå fast att det vid prövningen av den andra, den tredje, den fjärde, den sjätte och den åttonde frågan inte har framkommit någon annan omständighet som kan påverka direktivets giltighet, med förbehåll för de tolkningar av direktivets bestämmelser som har föreslagits i punkterna 153, 160, 161–164, 219, 228, 239 och 251 ovan.
255. Mot bakgrund av det svar som jag har föreslagit på de frågor som avser PNR-direktivets giltighet, kan det yrkande som har framställts särskilt av rådet, i syfte att PNR-direktivets rättsverkningar ska bestå för det fall domstolen beslutar att helt eller delvis ogiltigförklara PNR-direktivet i sin helhet, med bortseende från alla andra överväganden, inte bifallas.
C. Den femte frågan
256. Den hänskjutande domstolen har ställt den femte frågan för att få klarhet i huruvida artikel 6 i PNR-direktivet, jämförd med artiklarna 7, 8 och 52.1 i stadgan, ska tolkas så, att den utgör hinder för en nationell lagstiftning, enligt vilken ett av syftena med behandlingen av PNR-uppgifter kan vara ”underrättelse- och säkerhetstjänstens övervakning av vissa verksamheter”. Det framgår av beslutet om hänskjutande att dessa verksamheter utförs av statens säkerhetstjänst och centrala säkerhets- och underrättelsetjänsten inom ramen för deras uppdrag som avser skydd av den nationella säkerheten.
257. Som jag har angett i punkterna 113 och 114 ovan, utgör begränsningen av syftena med behandlingen av personuppgifter en väsentlig skyddsregel som ska iakttas för att ingreppen i de grundläggande rättigheter som stadgas i artiklarna 7 och 8 i stadgan inte ska gå utöver vad som är nödvändigt i den mening som avses i domstolens praxis. Jag har även redan preciserat, i fråga om ingreppen i dessa grundläggande rättigheter som föreskrivs i PNR-direktivet, att det ankom på unionslagstiftaren att föreskriva tydliga och precisa bestämmelser som reglerar räckvidden och tillämpningen av åtgärder som innebär sådana ingrepp, för att iaktta legalitetsprincipen och proportionalitetsprincipen som föreskrivs bland annat i artikel 52.1 i stadgan.
258. I artikel 1.2 i PNR–direktivet anges att PNR-uppgifter som samlas in i enlighet med direktivet ”får endast behandlas i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet i enlighet med artikel 6.2 a, b och c” i detta direktiv. Enligt nämnda bestämmelse ska enheterna för passagerarinformation enbart behandla PNR-uppgifterna i syfte att göra en förhandsbedömning av flygpassagerare (artikel 6.2 a), besvara enstaka förfrågningar från de behöriga myndigheterna (artikel 6.2 b), samt uppdatera och skapa nya kriterier som ska användas vid de bedömningar som utförs enligt artikel 6.3 b (artikel 6.2 a). I de tre fallen upprepas uttryckligen de syften som anges i artikel 1.2 i PNR-direktivet vad gäller kampen mot terrorism och grov brottslighet.
259. Vidare anges det i artikel 7.4 i detta direktiv att inte bara behandlingen av PNR-uppgifter som föreskrivs i artikel 6 i direktivet, utan även vidarebehandlingen av dessa uppgifter och av resultaten av denna behandling av de behöriga myndigheterna i medlemsstaterna ska begränsas till de fall då ”det specifika syftet är att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet”.
260. Att fastställandet av de mål som eftersträvas genom PNR-direktivet är uttömmande framgår klart av ordalydelsen i artikel 1.2 i direktivet, och bekräftas inte bara av de redan nämnda artiklarna 6.2 och 7.4 i direktivet, utan även av flera artiklar och skäl i detta direktiv som systematiskt knyter varje steg i förfarandet för tillgång, behandling, lagring och delning av PNR-uppgifter till enbart dessa specifika mål.(247)
261. Det framgår både av ordalydelsen i artikel 1.2 i PNR-direktivet och av dess tolkning mot bakgrund av legalitetsprincipen och proportionalitetsprincipen, vilka kräver en uttömmande begränsning av syftena med de åtgärder som innebär ingrepp i den grundläggande rätten till respekt för privatlivet och till skydd av personuppgifter, att varje vidgning av syftena med behandling av PNR-uppgifter utöver de säkerhetsmål som uttryckligen nämns i denna bestämmelse strider mot PNR-direktivet.
262. Detta förbud mot att vidga de mål som eftersträvas genom direktivet gäller enligt min mening särskilt för verksamhet som utförs av medlemsstaternas säkerhets- och underrättelsetjänster, däribland på grund av den brist på insyn som kännetecknar deras arbetsmetoder. På den punkten sammanfaller min uppfattning med kommissionens, det vill säga att säkerhets- och underrättelsetjänsterna i regel inte bör ha direkt tillgång till PNR-uppgifter. I det sammanhanget anser jag att det redan i sig kan kritiseras att det bland medarbetarna vid de nationella enheterna för passagerarinformation kan, såsom är fallet med den belgiska enheten för passagerarinformation, finnas tjänstemän som avdelats från säkerhetstjänsten.(248)
263. På grundval av det ovan anförda anser jag att den femte frågan ska besvaras på så sätt att PNR-direktivet, och särskilt artiklarna 1.2 och 6 i direktivet, ska tolkas så, att det utgör hinder för en nationell lagstiftning, enligt vilken ett av syftena med behandlingen av PNR-uppgifter kan vara underrättelse- och säkerhetstjänstens övervakning av vissa verksamheter, eftersom den nationella enheten för passagerarinformation, inom ramen för ett sådant syfte, kan se sig föranledd att behandla dessa uppgifter och/eller överföra dessa eller resultatet av behandlingen av uppgifterna till underrättelse- och säkerhetstjänsten för andra syften än dem som uttömmande anges i artikel 1.2 i direktivet, vilket det ankommer på den nationella domstolen att kontrollerna.
D. Den sjunde frågan
264. Den hänskjutande domstolen har ställt den sjunde frågan för att få klarhet i huruvida artikel 12.3 b i PNR-direktivet ska tolkas så, att enheten för passagerarinformation utgör en ”nationell myndighet som … är behörig” i den mening som avses i denna bestämmelse och som kan ge tillstånd till utlämnande av de fullständiga PNR-uppgifterna vid utgången av den inledande perioden på sex månader efter överföringen av dessa uppgifter.
265. Jag vill erinra om att det i artikel 12.2 i PNR-direktivet föreskrivs att vid utgången av en period på sex månader ska PNR-uppgifterna avidentifieras genom maskering av vissa uppgifter, som kan användas för att omedelbart identifiera de passagerare som uppgifterna avser. Efter denna period ska utlämnande av de fullständiga PNR-uppgifterna tillåtas endast på de villkor som föreskrivs i artikel 12.3, och särskilt efter föregående tillstånd från en ”rättslig myndighet” (artikel 12.3 b i), eller en ”annan nationell myndighet som i enlighet med nationell rätt är behörig att kontrollera om villkoren för tillgång är uppfyllda, under förutsättning att dataskyddsombudet vid enheten för passagerarinformation informeras och att denne genomför en efterhandsutvärdering” (artikel 12.3 b ii).
266. De flesta av de regeringar som har inkommit med skriftliga yttranden i förevarande mål har inte uttalat sig angående den sjunde frågan. Den tjeckiska regeringen anser, i likhet med kommissionen, att artikel 12.3 i PNR-direktivet inte kan tolkas så, att en enhet för passagerarinformation kan utgöra en ”nationell myndighet som … är behörig”. Den belgiska,(249) den irländska, den spanska, den franska och den cypriotiska regeringen har däremot motsatt sig en sådan tolkning. De anser i huvudsak att det inte finns någon bestämmelse i PNR-direktivet eller i unionsrätten som utgör hinder för att enheten för passagerarinformation utses bland de nationella myndigheter som är behöriga i den mening som avses i artikel 12.2 b ii i direktivet och att enheten för passagerarinformation till sin art är en tillräckligt oberoende myndighet för att kunna bevilja tillstånd till behandlingen av PNR-uppgifter.
267. För egen del vill jag, för det första, påpeka att det framgår av lydelsen i artikel 12.3 b i PNR-direktivet, och särskilt av användningen av konjunktionen ”eller”, som binder samman de två fall som anges i leden i och ii i denna bestämmelse, att unionslagstiftaren har haft för avsikt att likställa den kontroll som utövas av den nationella myndighet som avses i led ii med den kontroll som utövas av den rättsliga myndighet som avses i led i. Härav följer att den nationella myndigheten ska vara så oberoende och opartisk att den kontroll som den utövar kan anses som ett alternativ som är jämförbart med den kontroll som kan utövas av en rättslig myndighet.(250)
268. För det andra framgår det av förarbetena till PNR-direktivet att unionslagstiftaren dels inte antog kommissionens förslag att ge chefen för enheten för passagerarinformation i uppdrag att tillåta utlämnande av de fullständiga PNR-uppgifterna,(251) dels utökade den ursprungliga perioden för kvarhållande av dessa uppgifter som denna institution hade föreslagit och som uppgick till 30 dagar, genom att förlänga den till 6 månader. Det är till detta sammanhang – vilket kännetecknas av en strävan efter jämvikt mellan längden på perioden av kvarhållande innan PNR-uppgifter avidentifieras och villkoren som gäller för maskering av uppgifterna i slutet av denna period – som unionslagstiftarens beslut att uppställa strängare formella villkor för fullständig tillgång till PNR-uppgifter än de som kommissionen ursprungligen föreskrev, och att ge en oberoende myndighet i uppdrag att kontrollera att villkoren för utlämnande är uppfyllda, hänför sig.
269. För det tredje framgår det, såsom kommissionen korrekt har påpekat, av systematiken i PNR-direktivet att det tillståndsförfarande som föreskrivs i artikel 12.3 i PNR-direktivet har sin grund i att en utomstående och opartisk enhet har fått i uppdrag att i varje enskilt fall göra en avvägning mellan de berörda personernas rättigheter och det brottsbekämpande syfte som eftersträvas genom detta direktiv.
270. För det fjärde följer det av domstolens praxis att det organ som ska utföra den förhandskontroll som krävs för att ge behöriga nationella myndigheter tillgång till personuppgifter som lagligen lagrats ska ha alla befogenheter och lämna alla nödvändiga garantier för att kunna göra en vederbörlig avvägning mellan de olika intressen och rättigheter som är i fråga. Domstolen har även angett att detta organ måste ha en ställning som innebär att det kan fullgöra sitt uppdrag på ett objektivt och opartiskt sätt, och det måste därför vara fritt från all yttre påverkan.(252) Med hänsyn till kravet på nödvändigt oberoende, framför allt på det straffrättsliga området, måste myndigheten med ansvar för förhandskontrollen vara fristående i förhållande till den som begär tillgång till uppgifterna, så att myndigheten inte är involverad i en brottsutredning och har en neutral ställning i förhållande till parterna i det straffrättsliga förfarandet.(253)
271. Det ska konstateras att enheten för passagerarinformation inte lämnar alla de garantier för oberoende och opartiskhet som den myndighet med ansvar för förhandskontrollen som anges i artikel 12.3 i PNR-direktivet ska uppfylla. Enheterna för passagerarinformation är nämligen direkt knutna till de myndigheter som har behörighet att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. I enlighet med artikel 4.1 i PNR-direktivet är enheten för passagerarinformation själv en sådan myndighet eller en avdelning inom en sådan myndighet. Vidare föreskrivs det i artikel 4.3 att personal vid enheten för passagerarinformation kan utgöras av tjänstemän som avdelats från behöriga myndigheter. Så är bland annat fallet med den belgiska enheten för passagerarinformation, som enligt artikel 14 i PNR-lagen består bland annat av medarbetare som har avdelats från polisen, statens säkerhetstjänst, centrala säkerhets- och underrättelsetjänsten samt tullmyndigheten.
272. I allmänhet ska visserligen medarbetarna vid enheten för passagerarinformation lämna alla garantier för integritet, behörighet, öppenhet och oberoende, och det ankommer på medlemsstaterna, med hänsyn till de band som medarbetarna har till de yrkeskårer som de tillhör, att i förekommande fall se till att dessa garantier konkret kan iakttas, bland annat för att undvika att de behöriga myndigheterna, i vars organisation dessa medarbetare ursprungligen ingår, får direkt tillgång till databasen med PNR-uppgifter, och inte endast till resultaten av de datainsamlingar som enheterna för passagerarinformation har gjort. Faktum kvarstår dock att de medarbetare vid enheterna för passagerarinformation som har avdelats från behöriga myndigheter i den mening som avses i artikel 7.2 i PNR-direktivet oundvikligen har kvar ett band till sina ursprungsmyndigheter under den period som de uppehåller en annan tjänst, genom att de behåller sin ställning även om de i funktionellt och hierarkiskt hänseende lyder under den tjänsteman som leder enheten för passagerarinformation.
273. Slutsatsen att enheten för passagerarinformation inte är en nationell myndighet i den mening som avses i artikel 12.3 b ii i PNR-direktivet bekräftas även av den omständigheten att dataskyddsombudet vid den aktuella enheten för passagerarinformation enligt denna bestämmelse ska ”informeras” om begäran om utlämnande och att denne genomför en ”efterhandsutvärdering”. Om enheten för passagerarinformation var behörig, i egenskap av ”annan nationell myndighet”, att godkänna en begäran om utlämnande enligt artikel 12.3 i PNR-direktivet, skulle dataskyddsombudet, som i enlighet med artikel 5.1 i direktivet bland annat ansvarar för genomförandet av relevanta skyddsåtgärder som omger behandlingen av PNR-uppgifter, informeras om begäran om tillgång när denna inges och dataskyddsombudets kontroll med nödvändighet ske på förhand.(254)
274. Mot bakgrund av det ovan anförda föreslår jag att domstolen ska besvara den sjunde frågan på följande sätt. Artikel 12.3 b i PNR-direktivet ska tolkas så, att enheten för passagerarinformation inte utgör en ”annan nationell myndighet som … är behörig” i den mening som avses i denna bestämmelse.
E. Den nionde frågan
275. Den hänskjutande domstolen har ställt den nionde frågan för att få klarhet i dels huruvida API‑direktivet är förenligt med artikel 3.2 FEU och med artikel 45 i stadgan, såtillvida som direktivet är tillämpligt på flygningar inom unionen, dels huruvida API‑direktivet, jämfört med artikel 3.2 FEU och artikel 45 i stadgan, ska tolkas så, att det utgör hinder för en nationell lagstiftning, vilken, i syfte att bekämpa olaglig invandring och förbättra gränskontrollerna, tillåter ett system för insamling och behandling av uppgifter om passagerare, vilket indirekt skulle kunna innebära ett återinförande av kontrollerna vid de inre gränserna.
276. Det framgår av beslutet om hänskjutande att denna fråga ingår i samma sammanhang som prövningen av den andra grunden för talan, vilken har anförts av LDH alternativt. Denna grund, vilken avser åsidosättande av artikel 22 i Belgiens konstitution, jämförd med artikel 3.2 FEU och artikel 45 i stadgan, är riktad mot artikel 3 § 1 och artikel 8 § 2 samt kapitel 11, särskilt artiklarna 28–31, i PNR-lagen. I den förstnämnda av dessa artiklar anges, i allmänna ordalag, syftet med denna lag, då det preciseras att genom denna lag ”fastställs skyldigheter för transportörer och researrangörer avseende överföring av uppgifter om passagerare som reser till eller från Belgien eller som befinner sig där i transit”, medan det i artikel 8 § 2 i nämnda lag föreskrivs att ”[u]nder de förutsättningar som anges i kapitel 11 [i lagen] ska passageraruppgifter också behandlas för att förbättra personkontroller vid de yttre gränserna och för att bekämpa olaglig invandring”. Inom ramen för detta syfte ska, enligt artikel 29 § 1 i PNR-lagen, endast de ”passageraruppgifter” som avses i artikel 9 § 1 led 18 i lagen (det vill säga de API‑uppgifter som omnämns i led 18 i PNR-lagen) rörande tre kategorier av passagerare överföras till gränspolisen och till Office des étrangers (Utlänningsmyndigheten) (Belgien). Det rör sig om ”passagerare som avser att resa in eller som har rest in i Belgien via landets yttre gränser”, ”passagerare som avser att lämna eller har lämnat Belgien via landets yttre gränser” och ”passagerare som avser att passera, som befinner sig i eller har passerat ett internationellt transitområde beläget i Belgien”.(255) Det framgår av artikel 29 § 3 i PNR-lagen att dessa uppgifter ska vidarebefordras av enheten för passagerarinformation till gränspolisen och till Utlänningsmyndigheten ”omedelbart efter det att de registrerats i PNR-databasen” och att de ska förstöras 24 timmar efter överföringen. Enligt denna bestämmelse kan Utlänningsmyndigheten, efter utgången av denna frist, även skicka en motiverad begäran till enheten för passagerarinformation för att få tillgång till samma uppgifter om det visar sig nödvändigt i samband med dess lagstadgade uppdrag. Den rättsliga ram som den nionde frågan ingår i faller således utanför den rättsliga ramen för PNR-direktivet, med hänsyn till det syfte som eftersträvas genom behandlingen av uppgifter som avses i artiklarna 28 och 29 i PNR-lagen, och ingår i stället i den rättsliga ramen för API‑direktivet. Vidare framgår det bland annat av de handlingar som har ingetts till domstolens kansli att LDH:s andra grund baserar sig på en tolkning av bestämmelserna i kapitel 11 i PNR-lagen, enligt vilken dessa bestämmelser är tillämpliga även när Belgiens inre gränser passeras.
277. Den första delen av den nionde frågan grundar sig på ett felaktigt antagande och behöver enligt min mening inte besvaras av EU-domstolen. Det framgår nämligen tydligt av artikel 3.1 i API‑direktivet, jämförd med artikel 2 b och d i samma direktiv, att det i direktivet föreskrivs en skyldighet för lufttrafikföretagen att översända API‑uppgifter till de myndigheter som ansvarar för personkontrollen vid de yttre gränserna endast i fråga om de flygningar som befordrar passagerare till ett godkänt gränsövergångsställe för passerandet av medlemsstaternas yttre gränser till tredjeländer. Likaså föreskrivs det i artikel 6.1 i nämnda direktivet att behandlingen av API‑uppgifter endast ska avse dessa flygningar. Även om det är riktigt att det i PNR-direktivet föreskrivs en möjlighet för medlemsstaterna att utsträcka skyldigheten att överföra API‑uppgifter som samlas in till att även omfatta lufttrafikföretag som tillhandahåller flygförbindelser inom EU, bör en sådan utvidgning inte påverka API‑direktivet.(256) Inom ramen för PNR-direktivet ska överförda API‑uppgifter behandlas endast inom ramen för de brottsbekämpande syften som föreskrivs i detta direktiv. Omvänt anges det i skäl 34 i PNR-direktivet att detta direktiv inte påverkar gällande unionsbestämmelser om formerna för utförande av gränskontroller eller unionsbestämmelser om in- och utresa från unionens territorium, och i artikel 6.9 andra meningen i direktivet förskrivs att när bedömningarna enligt artikel 6.2 sker i samband med flygningar inom EU mellan medlemsstater för vilka kodexen om Schengengränserna(257) är tillämplig, ska konsekvenserna av sådana bedömningar vara förenliga med den förordningen.
278. Att omformulera denna del av den nionde frågan, såsom kommissionen har föreslagit i andra hand, så att den inte avser huruvida API‑direktivet, utan huruvida PNR-direktivet, och särskilt artikel 2 däri, är förenligt med bestämmelserna i fördraget och i stadgan, skulle inte bara medföra en ändring av den rättsakt som den hänskjutande domstolen har begärt att bedömningen av giltigheten ska avse, utan skulle även innebära att man går utanför den rättsliga ram som denna fråga ingår i. Som jag har förklarat har nämligen API‑direktivet, och inte PNR-direktivet, införlivats genom bestämmelserna i kapitel 11 i PNR-lagen, som den andra grunden för talan avser.
279. För det fall domstolen skulle göra en sådan omformulering, begränsar jag mig till de anmärkningar som anges nedan vad beträffar bland annat frågan huruvida den förhandsbedömning som medlemsstaterna får göra av PNR-uppgifter om passagerare på flygningar inom EU, i enlighet med den möjlighet som de har enligt artikel 2 i PNR-direktivet, kan anses motsvara ”in- och utresekontroller” i den mening som avses i artikel 23 a i kodexen om Schengengränserna.(258) För det första, om förhandsbedömningen av PNR-uppgifter inte äger rum ”vid gränsövergångsstället” eller ”när gränsen passeras”, utan före denna tidpunkt, har den ändå utförts ”på grund av” det nära förestående passerandet av gränserna. För det andra får medlemsstaterna, enligt artikel 2 i PNR-direktivet, utsträcka förhandsbedömningen av PNR-uppgifter som föreskrivs i artikel 6.2 a i PNR-direktivet till att omfatta passagerarna på samtliga flygningar inom EU, oberoende av de berörda personernas uppträdande och omständigheter som innebär en risk för den allmänna säkerheten. Denna förhandsbedömning är dessutom systematisk. Varken den ena eller den andra av dessa omständigheter tycks dock motsvara de indicier som avses i artikel 23 a andra meningen ii, iii och iv i kodexen om Schengengränserna.(259) Vad, för det tredje, beträffar de indicier som avses i artikel 23 a andra meningen i och iii, undrar jag om förhandsbedömningen enligt artikel 6.2 a i PNR-direktivet, åtminstone delvis, inte överensstämmer med syftet med de in- och utresekontroller som görs med tillämpning av artikel 8.2 b, 8.3 a led vi och 8.3 g led iii i kodexen om Schengengränserna, i dess lydelse enligt förordning 2017/458, och framför allt huruvida den skiljer sig klart, vad beträffar dess närmare föreskrifter, från dessa systematiska kontroller.(260) I det avseendet vill jag påpeka att det i artikel 8.2e och 8.3 ia i denna kodex anges att dessa kontroller ”får göras i förväg på grundval av passageraruppgifter som mottagits i enlighet med [API‑direktivet] eller i enlighet med annan unionsrätt eller nationell rätt”. Det är riktigt att syftet med PNR-direktivet inte är att ”säkerställa att personer kan tillåtas att resa in på medlemsstatens territorium eller att lämna det” eller ”att hindra personer från att kringgå dessa kontroller”, som domstolen har erkänt vara syftena med ”gränskontroll” enligt kodexen om Schengengränserna,(261) utan detta direktiv har uteslutande ett brottsbekämpande syfte. Vidare föreskrivs det uttryckligen i artikel 23 a andra meningen ii i kodexen att utövandet av polisiära befogenheter inte får anses motsvara in- och utresekontroller när kontrollerna särskilt syftar till att bekämpa gränsöverskridande brottslighet.(262) Slutligen ska domstolen vid sin bedömning även beakta den omständigheten, vilken har framhållits bland annat av kommissionen, att artikel 2 i PNR-direktivet endast tillåter att medlemsstaterna ålägger lufttrafikföretagen att överföra PNR-uppgifter som de har samlat in som en del av sin normala affärsverksamhet och däri föreskrivs följaktligen inte någon motsvarande skyldighet som den som föreskrivs i API‑direktivet för passerande av de yttre gränserna.
280. Vad beträffar den andra delen av den nionde frågan anser jag, i likhet med kommissionen, att den ska anses avse passerandet av de inre gränserna och syfta till att domstolen ska göra ett klargörande som gör det möjligt för den hänskjutande domstolen att bedöma huruvida bestämmelserna i kapitel 11 i PNR-lagen är förenliga med avskaffandet av kontroller vid medlemsstaternas inre gränser i Schengenområdet.
281. Med hänsyn till de fåtal uppgifter som domstolen har tillgång till, inskränker jag mig till att påpeka att bestämmelserna i kapitel 11 i PNR-lagen endast kan vara förenliga med unionsrätten, och särskilt med artikel 67.2 FEUF, om de tolkas så, att de endast avser överföring och behandling av API‑uppgifter om passagerare som passerar Belgiens yttre gränser till tredjeländer.
282. I den mån som domstolen beslutar att omformulera den andra delen av den nionde frågan så, att den avser tolkningen av PNR-direktivet i förhållande till bestämmelserna i kapitel 11 i PNR-lagen, inskränker jag mig till att påpeka att behandlingen av API‑uppgifter som föreskrivs i artiklarna 28 och 29 i nämnda lag hör till det system som den belgiska lagstiftaren har infört för att införliva PNR-direktivet. De API‑uppgifter som är föremål för behandling är, för det första, de som räknas upp i punkt 12 i bilaga I till direktivet och inte enbart de som finns i förteckningen i artikel 3.2 i API‑direktivet. För det andra ska dessa uppgifter, enligt artikel 29 § 1 i PNR-lagen, överföras till gränspolisen och till Utlänningsmyndigheten av enheten för passagerarinformation – som ansvarar för att samla in och behandla PNR-uppgifter inom ramen endast för de syften som eftersträvas genom PNR-direktivet – och inte, såsom föreskrivs i API‑direktivet, direkt av lufttrafikföretagen. Denna överföring gäller dessutom även uppgifter om passagerare som avser att lämna eller har lämnat Belgien och är inte bara riktad till de myndigheter som ansvarar för gränskontroller, utan även Utlänningsmyndigheten, vilken ansvarar för hanteringen av migranter och kampen mot olaglig invandring. För det tredje tycks Utlänningsmyndigheten, enligt 29 § 4 andra stycket i PNR-lagen, vara behörig att skicka ansökningar om tillgång till API‑uppgifter till enheten för passagerarinformation även efter behandlingen av dessa uppgifter i samband med att de berörda passagerarna passerar gränserna. I den meningen är Utlänningsmyndigheten i praktiken likställd med en behörig myndighet enligt artikel 7 i PNR-direktivet, trots att den inte är av sådan art och inte finns med i förteckningen över dessa myndigheter som Belgien har översänt till kommissionen. En sådan sammanblandning av de system som föreskrivs i API‑direktivet och i PNR-direktivet kan enligt min mening inte godtas, eftersom den strider mot principen om begränsning av syftena som föreskrivs i artikel 1.2 i PNR-direktivet.(263)
283. Mot bakgrund av det ovan anförda föreslår jag att domstolen ska besvara den nionde frågan på följande sätt. Artikel 3.1 i API‑direktivet, enligt vilken medlemsstaterna ska vidta de åtgärder som är nödvändiga för att ålägga lufttrafikföretagen att, på begäran av de myndigheter som ansvarar för personkontrollen vid de yttre gränserna, senast vid slutet av incheckningen översända information om de passagerare som avses i artikel 3.2, jämförd med artikel 2 b och d i samma direktiv, avser endast de passagerare som befordras till ett godkänt gränsövergångsställe för passerandet av medlemsstaternas yttre gränser till tredjeländer. En nationell lagstiftning som, enbart i syfte att förbättra gränskontrollerna och bekämpa olaglig invandring, utsträcker denna skyldighet till att omfatta uppgifter om personer som passerar den berörda medlemsstatens inre gränser med flyg eller andra transportmedel, skulle strida mot artikel 67.2 FEUF och artikel 22 i kodexen om Schengengränserna.
F. Den tionde frågan
284. Den hänskjutande domstolen har ställt den tionde frågan för att få klarhet i huruvida den, om den kommer fram till att PNR-lagen strider mot artiklarna 7, 8 och 52.1 i stadgan, då kan tillfälligt låta rättsverkningarna av lagen bestå för att undvika rättslig osäkerhet och för att möjliggöra att de uppgifter som redan samlats in och lagrats fortfarande kan användas för de syften som anges i PNR-lagen.
285. EU-domstolen besvarade en fråga med samma innehåll i domen La Quadrature du Net avseende lagring av metadata från elektronisk kommunikation, vilken avkunnades efter det att förevarande begäran om förhandsavgörande hade ingetts. I den domen erinrade domstolen först om sin praxis, av vilken det följer att om de nationella domstolarna hade kunnat ge nationella bestämmelser som strider mot unionsrätten, ens tillfälligt, företräde, skulle det äventyra unionsrättens företräde och den enhetliga tillämpningen av unionsrätten. Domstolen erinrade därefter om att i domen av den 29 juli 2019, Inter-Environnement Wallonie och Bond Beter Leefmilieu Vlaanderen,(264) där det var fråga om lagenligheten av åtgärder som vidtagits i strid med den skyldighet som föreskrivs i unionsrätten att göra en förhandsbedömning av ett projekts konsekvenser för miljön och för ett skyddat område, godtog den att en nationell domstol, om detta är tillåtet enligt nationell rätt, undantagsvis får låta verkningarna av sådana åtgärder bestå när detta är motiverat av tvingande skäl hänförliga till nödvändigheten av att undanröja ett verkligt och allvarligt hot om avbrott i den berörda medlemsstatens elförsörjning för den tid som är strängt nödvändig för att avhjälpa rättsstridigheten. Domstolen drog dock slutsatsen att till skillnad från en underlåtenhet att uppfylla en formell skyldighet såsom att på miljöskyddsområdet göra en förhandsbedömning av ett projekts konsekvenser, kan ett åsidosättande av de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan inte legaliseras genom ett förfarande som är jämförbart med det som avses i den ovannämnda domen.(265) Den tionde frågan i förevarande mål ska enligt min mening besvaras på samma sätt.
286. Eftersom såväl den hänskjutande domstolen som den belgiska regeringen, kommissionen och rådet vill få klarhet i huruvida unionsrätten utgör hinder för att, inom ramen för ett brottmålsförfarande, använda upplysningar eller bevisning som erhållits genom att använda de PNR-uppgifter som har samlats in, behandlats och/eller lagrats på ett sätt som inte förenligt med unionsrätten, vill jag erinra om att domstolen, i punkt 222 i domen La Quadrature du Net, angav att på unionsrättens nuvarande stadium bestäms reglerna om tillåtlighet och värdering – i ett brottmålsförfarande mot personer som är misstänkta för grova brott – av information och bevisning som erhållits genom en lagring av uppgifter i strid med unionsrätten, i princip uteslutande i nationell rätt, under förutsättning att likvärdighetsprincipen och effektivitetsprincipen iakttas. Vad beträffar effektivitetsprincipen slog domstolen fast att denna princip kräver att en nationell brottmålsdomstol – inom ramen för ett brottmålsförfarande mot personer som är misstänkta för brott – bortser från information och bevisning som erhållits genom en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter som inte är förenlig med unionsrätten, om dessa personer inte bereds tillfälle att på ett effektivt sätt yttra sig över informationen och bevisningen, vilka hänför sig till ett område som domarna saknar sakkunskap om och som kan påverka bedömningen av omständigheterna på ett avgörande sätt. Dessa principer kan även med nödvändiga ändringar tillämpas på omständigheterna i målet vid den nationella domstolen.
IV. Förslag till avgörande
287. Mot bakgrund av det ovan anförda föreslår jag att EU-domstolen besvarar de tolknings- och giltighetsfrågor som har ställts av Cour constitutionnelle (Författningsdomstolen, Belgien) på följande sätt:
1) Artikel 23 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), jämförd med artikel 2.2 d i samma förordning, ska tolkas så,
– att den är tillämplig på en nationell lagstiftning som införlivar Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, i den mån som denna lagstiftning reglerar behandling av PNR-uppgifter som utförs av lufttrafikföretag och andra ekonomiska aktörer, inbegripet överföring av PNR-uppgifter till de enheter för passagerarinformation som avses i artikel 4 i direktivet, vilket föreskrivs i artikel 8 i nämnda direktiv;
– att den inte är tillämplig på en nationell lagstiftning som införlivar direktiv 2016/681, i den mån som denna lagstiftning reglerar behandling av uppgifter som utförs för de syften som föreskrivs i artikel 1.2 i direktivet av de behöriga nationella myndigheterna, däribland enheterna för passagerarinformation och, i förekommande fall, säkerhets- och underrättelsetjänsten i den berörda medlemsstaten, och
– att den är tillämplig på en nationell lagstiftning som införlivar rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare och Europaparlamentets och rådets direktiv 2010/65/EU av den 20 oktober 2010 om rapporteringsformaliteter för fartyg som ankommer till och/eller avgår från hamnar i medlemsstaterna och om upphävande av direktiv 2002/6/EG, för att förbättra personkontroller vid de yttre gränserna och för att bekämpa olaglig invandring.
2) Punkt 12 i bilaga I till direktiv 2016/681 är ogiltig, i den mån den innefattar ”allmänna anmärkningar” bland de kategorier av uppgifter som lufttrafikföretagen är skyldiga att överföra till enheterna för passagerarinformation enligt artikel 8 i detta direktiv.
3) Vid prövningen av den andra, den tredje, den fjärde, den sjätte och den åttonde frågan har det inte framkommit någon annan omständighet som kan påverka giltigheten av direktiv 2016/681.
4) Punkt 12 i bilaga I till direktiv 2016/681 ska, i den del som inte har förklarats ogiltig, tolkas så, att den omfattar endast de upplysningar om barn som uttryckligen nämns däri och som har ett direkt samband med flygningen.
5) Punkt 18 i bilaga I till direktiv 2016/681 ska tolkas så, att den endast omfattar förhandsinformation om passagerare som uttryckligen anges i denna punkt och i artikel 3.2 i direktiv 2004/82 och som har samlats in av lufttrafikföretagen som en del av deras normala affärsverksamhet.
6) Begreppet ”databaser som är relevanta” i artikel 6.3 a i direktiv 2016/681 ska tolkas så, att det endast avser de nationella databaser som förvaltas av de behöriga myndigheterna enligt artikel 7.1 i direktivet, samt unionens databaser och internationella databaser som direkt används av dessa myndigheter i samband med deras uppdrag. Databaserna ska ha ett direkt och nära samband med de syften att bekämpa terrorism och grov brottslighet som eftersträvas genom direktivet, vilket förutsätter att de har utvecklats för dessa syften. Vid införlivandet av direktiv 2016/681 med nationell rätt är medlemsstaterna skyldiga att offentliggöra en förteckning över dessa databaser och hålla denna förteckning uppdaterad.
7) Artikel 6.3 b i direktiv 2016/681 ska tolkas så, att den utgör hinder för att, i samband med den automatiska behandling som föreskrivs i denna bestämmelse, använda algoritmsystem som kan leda till en ändring, utan mänskligt ingripande, av på förhand fastställda kriterier på grundval av vilka denna behandling har utförts och som inte gör det möjligt att på ett klart och öppet sätt identifiera de skäl som har lett till en träff efter denna behandling.
8) Artikel 12.1 i direktiv 2016/681, jämförd med artiklarna 7, 8 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, ska tolkas så, att lagring av de PNR-uppgifter som lufttrafikföretagen har tillhandahållit enheten för passagerarinformation i en databas under en period på fem år efter överföringen till enheten för passagerarinformation i den medlemsstat på vars territorium flygningen ankom eller avgick är, efter det att förhandsbedömningen enligt artikel 6.2 a i direktivet har utförts, tillåten endast i den mån som det på grundval av objektiva kriterier har fastställts ett samband mellan dessa uppgifter och kampen mot terrorism eller grov brottslighet. En generell och odifferentierad lagring av dessa PNR-uppgifter i en icke-anonymiserad form kan endast vara motiverad för att bemöta ett allvarligt hot mot medlemsstaternas säkerhet som är verkligt och faktiskt eller förutsebart och som har anknytning till exempelvis terroristverksamhet, och under förutsättning att lagringstiden är begränsad till vad som är strängt nödvändigt.
9) Artikel 6.2 b i direktiv 2016/681 ska tolkas så, att utlämnandet av PNR-uppgifter eller resultatet av behandlingen av dessa uppgifter enligt denna bestämmelse som sker under den inledande perioden på sex månader som föreskrivs i artikel 12.2 i direktivet ska uppfylla villkoren i artikel 12.3 b i direktivet.
10) Direktiv 2016/681, och särskilt artiklarna 1.2 och 6 i direktivet, ska tolkas så, att det utgör hinder för en nationell lagstiftning, enligt vilken ett av syftena med behandlingen av PNR-uppgifter kan vara underrättelse- och säkerhetstjänstens övervakning av vissa verksamheter, eftersom den nationella enheten för passagerarinformation, inom ramen för ett sådant syfte, kan se sig föranledd att behandla dessa uppgifter och/eller överföra dessa eller resultatet av behandlingen av uppgifterna till underrättelse- och säkerhetstjänsten för andra syften än dem som uttömmande anges i artikel 1.2 i direktivet, vilket det ankommer på den nationella domstolen att kontrollerna.
11) Artikel 12.3 b i direktiv 2016/681 ska tolkas så, att enheten för passagerarinformation inte utgör en ”annan nationell myndighet som … är behörig” i den mening som avses i denna bestämmelse.
12) Artikel 3.1 i direktiv 2004/82, enligt vilken medlemsstaterna ska vidta de åtgärder som är nödvändiga för att ålägga lufttrafikföretagen att, på begäran av de myndigheter som ansvarar för personkontrollen vid de yttre gränserna, senast vid slutet av incheckningen översända information om de passagerare som avses i artikel 3.2, jämförd med artikel 2 b och d i samma direktiv, avser endast de passagerare som befordras till ett godkänt gränsövergångsställe för passerandet av medlemsstaternas yttre gränser till tredjeländer. En nationell lagstiftning som, enbart i syfte att förbättra gränskontrollerna och bekämpa olaglig invandring, utsträcker denna skyldighet till att omfatta uppgifter om personer som passerar den berörda medlemsstatens inre gränser med flyg eller andra transportmedel, skulle strida mot artikel 67.2 FEUF och artikel 22 i Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna).
13) En nationell domstol får inte tillämpa en bestämmelse i nationell rätt som ger den behörighet att tidsmässigt begränsa verkningarna av en förklaring om rättsstridighet som den domstolen är skyldig att meddela enligt nationell rätt med avseende på nationell lagstiftning, enligt vilken transportörer inom luftfart, vägtrafik och sjöfart samt researrangörer åläggs en skyldighet att – i syfte att bekämpa terrorism och grov brottslighet – överföra PNR-uppgifter och i vilken det föreskrivs en generell och odifferentierad behandling och lagring av sådana uppgifter som är oförenlig med artiklarna 7, 8 och 52.1 i stadgan om de grundläggande rättigheterna. Med tillämpning av effektivitetsprincipen är en nationell brottmålsdomstol skyldig att – inom ramen för ett brottmålsförfarande mot personer som är misstänkta för terrorism eller grov brottslighet – bortse från information och bevisning som erhållits med tillämpning av en sådan lagstiftning som inte är förenlig med unionsrätten, om dessa personer inte bereds tillfälle att på ett effektivt sätt yttra sig över informationen och bevisningen, vilka hänför sig till ett område som domarna saknar sakkunskap om och vilka kan påverka bedömningen av omständigheterna på ett avgörande sätt.