FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

G. PITRUZZELLA

fremsat den 27. januar 2022 (1)

Sag C-817/19

Ligue des droits humains

mod

Conseil des ministres

(anmodning om præjudiciel afgørelse indgivet af Cour constitutionnelle (forfatningsdomstol, Belgien))

»Præjudiciel forelæggelse – beskyttelse af personoplysninger – behandling af passagerlisteoplysninger (PNR-oplysninger) – forordning (EU) 2016/679 – anvendelsesområde – direktiv (EU) 2016/681 – gyldighed – Den Europæiske Unions charter om grundlæggende rettigheder – artikel 7 og 8 samt artikel 52, stk. 1«

Indhold

I.      Indledning

1.        Med denne anmodning om præjudiciel afgørelse har Cour constitutionnelle (forfatningsdomstol, Belgien) forelagt Domstolen ti præjudicielle spørgsmål om fortolkningen af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (herefter »databeskyttelsesforordningen«) (2) samt om gyldigheden og fortolkningen af Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (herefter »PNR-direktivet«) (3) og af Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (herefter »API-direktivet«) (4). Disse spørgsmål er blevet rejst i forbindelse med et søgsmål, der er anlagt af nonprofitorganisationen Ligue des droits humains (LDH) med påstand om hel eller delvis annullation af loi du 25 décembre 2016 relative au traitement des données des passagers (lov af 25.12.2016 om behandling af passageroplysninger, herefter »PNR-loven«) (5), som gennemfører PNR-direktivet og API-direktivet i belgisk ret.

2.        De spørgsmål, som Domstolen skal tage stilling til i den foreliggende sag, afspejler et af de største dilemmaer inden for nutidens liberaldemokratiske konstitutionalisme: Hvilken balance bør der være mellem individet og fællesskabet i informationsalderen, når de digitale teknologier har gjort det muligt at indsamle, opbevare, behandle og analysere kolossale mængder af personoplysninger til prædiktive formål? Offentlige myndigheders brug af algoritmer, analyse af big data og kunstig intelligens kan bidrage til at fremme og beskytte grundlæggende samfundsinteresser mere effektivt end nogensinde før, hvad enten der er tale om beskyttelse af folkesundheden, miljømæssig bæredygtighed, bekæmpelse af terrorisme eller forebyggelse af kriminalitet og navnlig grov kriminalitet. Offentlige myndigheders udifferentierede indsamling af personoplysninger og anvendelse af digitale teknologier kan samtidig resultere i et digitalt panoptikon, dvs. en offentlig magt, der ser alt uden selv at blive set. En sådan alvidende magt vil være i stand til at kontrollere og forudsige enhver adfærd og træffe de nødvendige foranstaltninger og paradoksalt nok, som Steven Spielberg forestillede sig i filmen Minority Report, indskrænke potentielle lovovertræderes frihed for at forebygge kriminalitet. I visse lande er det som bekendt samfundet, der er vigtigere end individet, og lovligt at anvende personoplysninger til effektiv masseovervågning for at beskytte offentlige interesser, der anses for grundlæggende. Den europæiske – nationale og overnationale – konstitutionalisme, hvor den enkelte og dennes frihedsrettigheder er i centrum, udgør en væsentlig barriere for udviklingen af et masseovervågningssamfund, især efter at den grundlæggende ret til beskyttelse af privatlivet og til beskyttelse af personoplysninger er blevet anerkendt. I hvilken udstrækning er det muligt at opstille en sådan barriere uden at gribe alvorligt ind i visse grundlæggende samfundsinteresser – såsom de ovenfor nævnte – selv om de kan have forfatningsmæssige bånd? Dette er kernen i spørgsmålet om det forhold, der er mellem individet og fællesskabet i det digitale samfund. Dette spørgsmål kræver for det første, at der søges og skabes en fin balance mellem fællesskabets interesser og individers rettigheder med udgangspunkt i den afgørende betydning, som de sidstnævnte rettigheder har i den europæiske forfatningsret, og for det andet, at der fastsættes garantier mod misbrug. Der er også her tale om en nutidig version af et klassisk tema i konstitutionalismen, eftersom mennesker, som det lakonisk bemærkedes i The Federalist, ikke er engle, hvilket er grunden til, at der kræves retlige mekanismer for at begrænse og kontrollere den offentlige magt.

3.        Det er disse generelle spørgsmål, der rejses i dette forslag til afgørelse, og som nødvendigvis må begrænses til en fortolkning af EU-retten i lyset af Domstolens tidligere praksis ved anvendelse af veletablerede teknikker, herunder princippet om overensstemmende fortolkning. Denne teknik vil, når dette er juridisk muligt, blive anvendt hyppigt i dette forslag til afgørelse med henblik på at finde den nødvendige balance i forfatningsmæssig henseende mellem de offentlige målsætninger, der ligger til grund for systemet for overførsel, indsamling og behandling af passagerlisteoplysninger (herefter »PNR-oplysninger«), og de rettigheder, der er sikret i artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«).

II.    Retsforskrifter

A.      EU-retten

1.      Chartret

4.        I henhold til chartrets artikel 7 har »[e]nhver […] ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation«.

5.        Chartrets artikel 8 har følgende ordlyd:

»1.      Enhver har ret til beskyttelse af personoplysninger, der vedrører den pågældende.

2.      Disse oplysninger skal behandles rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag. Enhver har ret til adgang til indsamlede oplysninger, der vedrører den pågældende, og til berigtigelse heraf.

3.      Overholdelsen af disse regler er underlagt en uafhængig myndigheds kontrol.«

6.        Det fremgår af chartrets artikel 52, stk. 1, at »[e]nhver begrænsning i udøvelsen af de rettigheder og friheder, der anerkendes ved dette charter, skal være fastlagt i lovgivningen og skal respektere disse rettigheders og friheders væsentligste indhold. Under iagttagelse af proportionalitetsprincippet kan der kun indføres begrænsninger, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder«.

2.      Databeskyttelsesforordningen

7.        Ifølge databeskyttelsesforordningens artikel 2, stk. 2, litra d), er behandling af personoplysninger, »som foretages af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed«, udelukket fra denne forordnings anvendelsesområde.

8.        Databeskyttelsesforordningens artikel 23, stk. 1, litra d), har følgende ordlyd:

»EU-ret eller medlemsstaternes nationale ret, som den dataansvarlige eller databehandleren er underlagt, kan ved lovgivningsmæssige foranstaltninger begrænse rækkevidden af de forpligtelser og rettigheder, der er omhandlet i artikel 12-22 og 34 samt artikel 5, for så vidt bestemmelserne heri svarer til rettighederne og forpligtelserne i artikel 12-22, når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund af hensyn til:

[…]

d)      forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed.«

3.      PNR-direktivet

9.        Jeg vil nu i korte træk beskrive, hvordan det system, der er indført ved PNR-direktivet, fungerer. Indholdet af de bestemmelser i PNR-direktivet, som er relevant for besvarelsen af de præjudicielle spørgsmål, gennemgås mere detaljeret i forbindelse med den retlige bedømmelse.

10.      I henhold til artikel 1 i PNR-direktivet, som blev vedtaget på grundlag af artikel 82, stk. 1, litra d), TEUF og artikel 87, stk. 2, litra a), TEUF, er der på EU-plan indført et system for luftfartsselskabers videregivelse af PNR-oplysninger om passagerer på flyvninger uden for EU (6) samt om medlemsstaternes kompetente myndigheders indsamling, behandling og opbevaring af disse oplysninger med henblik på at bekæmpe terrorisme og grov kriminalitet.

11.      Det fremgår af dette direktivs artikel 3, nr. 5), at en »passagerliste« eller »PNR« er »en liste over den enkelte passagers rejse, som omfatter alle nødvendige oplysninger til, at reservationer kan behandles og kontrolleres af de luftfartsselskaber, der foretager reservationen, og de deltagende luftfartsselskaber for hver rejse, der reserveres af eller på vegne af enhver person, uanset om listen findes i reservationssystemer, afgangskontrolsystemer (der anvendes til kontrol af passagerer ved ombordstigning på luftfartøjer) eller tilsvarende systemer, der omfatter de samme funktionaliteter«.

12.      Bilag I til PNR-direktivet (herefter »bilag I«) opregner de passagerlisteoplysninger, der indsamles af luftfartsselskaber, og som videregives som omhandlet og nærmere angivet i dette direktivs artikel 8.

13.      Bilag II til PNR-direktivet (herefter »bilag II«) indeholder en liste over de overtrædelser, der anses for »grov kriminalitet« som omhandlet i dette direktivs artikel 3, nr. 9).

14.      Medlemsstaterne kan i henhold til PNR-direktivets artikel 2 beslutte også at anvende dette direktiv på »flyvninger inden på EU« (7) eller på udvalgte flyvninger inden for EU, som den finder nødvendige med henblik på at nå målene i det nævnte direktiv.

15.      Det fremgår af PNR-direktivets artikel 4, stk. 1, at »[h]ver medlemsstat opretter eller udpeger en myndighed med kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet eller en afdeling i en sådan myndighed, der skal fungere som »passageroplysningsenhed««. I henhold til artikel 4, stk. 2, litra a), er passageroplysningsenheden bl.a. ansvarlig for at indsamle PNR-oplysninger fra luftfartsselskaber, at lagre og behandle disse oplysninger og at videregive disse oplysninger eller resultatet af behandlingen af dem til de i PNR-direktivets artikel 7 omhandlede kompetente myndigheder. Det fremgår af artikel 7, stk. 2, at disse myndigheder skal være »myndigheder, der har kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet« (8).

16.      Det fremgår af PNR-direktivets artikel 6, stk. 1, at »[h]vis de PNR-oplysninger, som luftfartsselskaberne videregiver, indeholder andre oplysninger end dem, der er opført på listen i bilag I, skal passageroplysningsenheden straks og permanent ved modtagelsen slette sådanne oplysninger«. Denne artikels stk. 2 er affattet således:

»2.      Passageroplysningsenheden må kun behandle PNR-oplysninger med henblik på følgende:

a)      at foretage en vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten for at identificere personer, som det kræves, at de i artikel 7 omhandlede kompetente myndigheder og, hvis det er relevant, Europol i overensstemmelse med artikel 10 undersøger nærmere, idet sådanne personer kan være involveret i en terrorhandling eller grov kriminalitet

b)      fra sag til sag at reagere på en behørigt begrundet anmodning baseret på tilstrækkelige grunde fra de kompetente myndigheder om at videregive og behandle PNR-oplysninger i konkrete sager med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet og at forelægge resultaterne af denne behandling for de kompetente myndigheder eller, hvis det er relevant, for Europol, og

c)      at analysere PNR-oplysninger med henblik på at ajourføre eller fastsætte nye kriterier, der skal anvendes i forbindelse med vurderingerne, der foretages i medfør af stk. 3, litra b), med henblik på at identificere personer, der kan være involveret i en terrorhandling eller grov kriminalitet.«

17.      PNR-direktivets artikel 12 indeholder bestemmelser om opbevaring af PNR-oplysninger.

18.      PNR-direktivets artikel 5 fastsætter, at hver passageroplysningsenhed udpeger en databeskyttelsesansvarlig, der er ansvarlig for at føre tilsyn med behandlingen af PNR-oplysninger og at gennemføre relevante beskyttelsesforanstaltninger. Hver medlemsstat skal desuden i overensstemmelse med dette direktivs artikel 15 gøre den nationale tilsynsmyndighed, der er omhandlet i artikel 25 i rammeafgørelse 2008/977/RIA (9), som er blevet erstattet af Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (herefter »politidirektivet«) (10), ansvarlig for at føre tilsyn med anvendelsen på dens område af de bestemmelser, der er vedtaget i medfør af det nævnte direktiv. Denne myndighed, der udfører sine opgaver med henblik på at beskytte grundlæggende rettigheder i forbindelse med behandlingen af personoplysninger (11), er bl.a. ansvarlig for dels at behandle klager, der indgives af registrerede, undersøge sagen og underrette de registrerede om forløbet og resultatet af deres klager inden for en rimelig frist, dels at kontrollere lovligheden af databehandlingen, gennemføre undersøgelser, inspektioner og revisioner i overensstemmelse med national ret enten af egen drift eller på grundlag af en klage (12).

4.      Andre relevante EU-retsakter

19.      Retsforskrifterne i den foreliggende sag omfatter desuden API-direktivet og politidirektivet. For at gøre det lettere at læse dette forslag til afgørelse vil jeg beskrive indholdet af de relevante bestemmelser i disse retsakter, i det omfang det er nødvendigt for behandlingen af de spørgsmål, der vedrører disse bestemmelser, eller mere generelt af hensyn til den retlige bedømmelse.

B.      Belgisk ret

20.      I henhold til belgiske forfatning artikel 22 har »[e]nhver […] ret til respekt for sit privatliv og familieliv med forbehold af de tilfælde og betingelser, der er fastsat i lovgivningen«.

21.      Det fremgår af PNR-lovens artikel 2, at den gennemfører API-direktivet og PNR-direktivet samt til dels direktiv 2010/65/EU (13).

22.      PNR-loven fastsætter i henhold til artikel 3, stk. 1, »transportvirksomheders og rejseselskabers forpligtelser i forbindelse med videregivelse af oplysninger om passagerer på vej til, fra og gennem det nationale område«. Det fremgår af denne lovs artikel 4, nr. 1) og 2), at der ved »transportvirksomhed« forstås »en fysisk eller juridisk person, der i erhvervsmæssigt øjemed udfører personbefordring ad luft-, sø-, jernbane- eller landvejen«, og at der ved »rejseselskab« forstås »en rejsearrangør eller et rejsebureau som omhandlet i loi du 16 février 1994 régissant le contrat d’organisation de voyages et le contrat d’intermédiaire de voyages [lov af 16.2.1994 om kontrakter om arrangerede rejser og rejsebureauaftaler]«.

23.      PNR-lovens artikel 8 bestemmer:

»Stk. l.      Passageroplysninger behandles med henblik på:

1)      efterforskning og retsforfølgning, herunder fuldbyrdelse af straffe eller frihedsberøvende foranstaltninger, vedrørende de overtrædelser, der er omhandlet i artikel 90b, stk. 2, artikel 90b, stk. 2, nr. 7), 8), 11), 14), 17), 18) og 19), samt artikel 90b, stk. 3, i Code d’instruction criminelle [strafferetsplejeloven]

2)      efterforskning og retsforfølgning, herunder fuldbyrdelse af straffe eller frihedsberøvende foranstaltninger, vedrørende de overtrædelser, der er omhandlet i artikel 196 for så vidt angår forfalskning af officielt bekræftede og offentlige dokumenter samt artikel 198, 199, 199a, 207, 213, 375 og 505 i Code pénal [straffeloven]

3)      forebyggelse af alvorlige forstyrrelser af den offentlige sikkerhed i forbindelse med voldelig radikalisering ved overvågning af fænomener og grupperinger i overensstemmelse med artikel 44/5, stk. 1, nr. 2) og 3), og stk. 2, i loi du 5 août 1992 sur la fonction de police [lov af 5. august 1992 om politistyrken]

4)      overvågning af de aktiviteter, der er omhandlet i artikel 7, nr. 1) og 3/1), samt artikel 11, stk. 1, nr. 1)-3) og nr. 5), i loi du 30 novembre 1998 organique des services de renseignement et de sécurité [styringslov af 30. november 1998 om efterretnings- og sikkerhedstjenesterne] (14)

5)      efterforskning og retsforfølgning af de overtrædelser, der er omhandlet i artikel 220, stk. 2, i loi générale sur les douanes et accises du 18 juillet 1977 [almindelig lov af 18. juli 1977 om told- og punktafgifter] og artikel 45, stk. 3, i loi du 22 décembre 2009 relative au régime général d’accise [lov af 22. december 2009 om den generelle ordning for punktafgifter] […]

Stk. 2.      På de betingelser, der er fastsat i kapitel 11, behandles passageroplysninger ligeledes med henblik på at forbedre personkontrollen ved de ydre grænser og med henblik på at bekæmpe ulovlig indvandring.«

24.      PNR-lovens artikel 9 indeholder listen over de oplysninger, der videregives. Disse oplysninger svarer til dem, der er opført på listen i bilag I.

25.      I henhold til PNR-lovens artikel 18 opbevares »[p]assageroplysninger […] i passagerdatabasen i en periode på højst fem år, efter at de er blevet registreret. Efter udløbet af denne periode slettes de«.

26.      Denne lovs artikel 19 bestemmer, at »[v]ed udløbet af en periode på seks måneder regnet fra passageroplysningernes registrering i passagerdatabasen anonymiseres alle passageroplysninger ved hjælp af maskering af dataelementer«.

27.      PNR-lovens artikel 24 fastsætter:

»Stk. 1.      Passageroplysninger behandles med henblik på at foretage en vurdering af passagerer forud for deres planlagte ankomst til, afrejse fra eller transit gennem det nationale område for at afgøre, hvilke personer der skal underkastes en nærmere undersøgelse.

Stk. 2.      I forbindelse med de formål, som er omhandlet i artikel 8, stk. 1, nr. 1), 4) og 5), eller som vedrører de trusler, der er nævnt i artikel 8, nr. 1), litra a), b), c), d), f) og g), og artikel 11, stk. 2, i styringslov af 30. november 1998 om efterretnings- og sikkerhedstjenesterne, baseres den forudgående vurdering af passagerer på et hit, der følger af passageroplysningernes korrelation med:

1)      de databaser, der forvaltes af de kompetente tjenester eller er direkte tilgængelige eller til rådighed for dem i forbindelse med deres arbejde, eller de personlister, som de kompetent tjenester har udarbejdet i forbindelse med deres arbejde

2)      de vurderingskriterier, som passageroplysningsenheden har fastsat på forhånd, som omhandlet i artikel 25.

Stk. 3.      I forbindelse med de formål, der er omhandlet i artikel 8, stk. 1, nr. 3), baseres den forudgående vurdering af passagerer på et hit, der følger af passageroplysningernes korrelation med de i stk. 2, nr. 1), omhandlede databaser. […]«

28.      PNR-lovens artikel 25 gengiver indholdet af PNR-direktivets artikel 6, stk. 4.

29.      PNR-lovens kapitel 11 indeholder bestemmelser om behandling af passageroplysninger med henblik på forbedring af grænsekontrollen og bekæmpelse af ulovlig indvandring. Disse bestemmelser gennemfører API-direktivet i belgisk ret.

30.      Det fremgår af PNR-lovens artikel 44, at passageroplysningsenheden skal udpege en databeskyttelsesansvarlig inden for rammerne af Service public fédéral intérieur (forbundsindenrigsministeriet). Commission de la protection de la vie privée (kommissionen for beskyttelse af privatlivets fred) fører tilsyn med anvendelsen af PNR-lovens bestemmelser.

31.      PNR-lovens artikel 51 har ændret styringslov af 30. november 1998 om efterretnings- og sikkerhedstjenesterne ved indsætning af artikel 16/3 med følgende ordlyd:

»Stk. 1.      Efterretnings- og sikkerhedstjenesterne kan af hensyn til udførelsen af deres opgaver træffe en behørigt begrundet afgørelse om at få adgang til de passageroplysninger, der er omhandlet i artikel 7 i [PNR-loven].

Stk. 2.      Den i stk. 1 nævnte afgørelse træffes af tjenestens chef og meddeles skriftligt til den passageroplysningsenhed, der er omhandlet i den nævnte lovs kapitel 7. Comité permanent R underrettes om afgørelsen og dens begrundelse.

Comité permanent R forbyder efterretnings- og sikkerhedstjenesterne at anvende de indsamlede oplysninger på en måde, der ikke er forenelig med de retlige betingelser.

Afgørelsen kan omfatte et datasæt i forbindelse med en specifik indsamling af oplysninger. Listen over søgninger efter passageroplysninger fremlægges i så fald for Comité permanent R en gang om måneden.«

C.      Tvisten i hovedsagen, de præjudicielle spørgsmål og retsforhandlingerne for Domstolen

32.      Ved stævning indleveret til Cour constitutionnelle (forfatningsdomstol) den 24. juli 2017 har LDH anlagt et søgsmål med påstand om hel eller delvis annullation af PNR-loven. LDH har fremsat to anbringender til støtte for søgsmålet.

33.      Med det første anbringende, der er fremsat principalt og vedrører en tilsidesættelse af artikel 22 i den belgiske forfatning, sammenholdt med databeskyttelsesforordningens artikel 23, chartrets artikel 7 og 8 og artikel 52, stk. 1, samt artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, undertegnet i Rom den 4. november 1950 (herefter »EMRK«), har LDH gjort gældende, at den anfægtede lov ikke overholder proportionalitetsprincippet for så vidt angår dens anvendelsesområde og de omfattede kategorier af oplysninger, den indførte behandling af oplysninger, dens formål og opbevaringsperioden. Organisationen har navnlig anført, at definitionen af PNR-oplysninger er for bred og kan føre til afsløring af følsomme oplysninger, og at definitionen af begrebet »passager« i denne lov gør det muligt at foretage systematisk og ikke-målrettet behandling af oplysninger vedrørende alle de berørte passagerer. LDH har desuden påpeget, at PNR-loven ikke tilstrækkelig klart fastsætter karakteren af og de nærmere bestemmelser om metoden til forhåndskontrol af passagerdatabaser og de kriterier, der tjener som »trusselsindikatorer«. Det er endelig dens opfattelse, at PNR-loven overskrider grænserne for det strengt nødvendige, eftersom de formål, som den forfølger med behandlingen af PNR-oplysninger, er mere vidtrækkende end dem, der er fastsat i PNR-direktivet, og den femårige periode for opbevaring af PNR-oplysninger er uforholdsmæssig. Med det andet anbringende, der er fremsat subsidiært og vedrører en tilsidesættelse af artikel 22 i den belgiske forfatning, sammenholdt med artikel 3, stk. 2, TEU og chartrets artikel 45, har LDH anfægtet bestemmelserne i PNR-lovens kapitel 11, der gennemfører API-direktivet.

34.      Conseil des ministres du Royaume de Belgique (det belgiske ministerråd) har som intervenient under sagen ved Cour constitutionnelle (forfatningsdomstol) anført, at LDH ikke kan gives medhold i søgsmålet, eftersom de to anbringender, som denne har fremsat til støtte herfor, hverken kan antages til realitetsbehandling eller tages til følge.

35.      Cour constitutionnelle (forfatningsdomstol) har fremført følgende betragtninger.

36.      Med hensyn til det første anbringende har den forelæggende ret indledningsvis udtrykt tvivl om, hvorvidt definitionen af PNR-oplysninger i bilag I er tilstrækkeligt klar og præcis. Beskrivelsen af nogle af disse oplysninger er illustrativ og ikke udtømmende. Den nævnte ret har desuden anført, at definitionen af begrebet »passager« i PNR-direktivets artikel 3, nr. 4), fører til indsamling, overførsel, behandling og opbevaring af PNR-oplysninger vedrørende alle personer, der befordres eller skal befordres og er registreret i passagerlisten, uanset om der er væsentlig grund til at tro, at den registrerede har begået eller vil begå en overtrædelse, eller at vedkommende er blevet dømt for en overtrædelse. Med hensyn til behandling af PNR-oplysninger har retten påpeget, at disse oplysninger systematisk vurderes på forhånd ved at krydstjekke PNR-oplysninger for alle passagerer ud fra databaser eller forud fastsatte kriterier for at finde hit. Cour constitutionnelle (forfatningsdomstol) har præciseret, at selv om kriterierne skal være specifikke, pålidelige og ikke-diskriminerende, anser den det ikke for teknisk muligt at definere de forud fastsatte kriterier, der anvendes til afdækning af risikoprofiler, mere præcist. Hvad angår den opbevaringsperiode for PNR-oplysninger, der er angivet i PNR-direktivets artikel 12, stk. 1, hvorefter de nævnte oplysninger kan opbevares i en periode på fem år, har den forelæggende ret anført, at PNR-oplysningerne opbevares uden hensyntagen til, om den forudgående vurdering har vist, at de pågældende passagerer kan frembyde en risiko for den offentlige sikkerhed eller ej. Den forelæggende ret ønsker under disse omstændigheder oplyst, om det system for indsamling, overførsel, behandling og opbevaring af PNR-oplysninger, der er indført ved PNR-direktivet, henset til den retspraksis, der bl.a. følger af dom af 21. december 2016, Tele2 Sverige og Watson m.fl. (15), og af udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26. juli 2017 (16), kan anses for ikke at overskride grænserne for det strengt nødvendige. I denne sammenhæng ønsker den forelæggende ret ligeledes oplyst, om PNR-direktivet er til hinder for en national lovgivning som den, der er fastsat i PNR-lovens artikel 8, stk. 1, nr. 4), som giver ret til behandling af PNR-oplysninger til et andet formål end dem, der er fastsat i dette direktiv. Den er endelig i tvivl om, hvorvidt passageroplysningsenheden kan betragtes som en »anden national myndighed«, der i henhold til PNR-direktivets artikel 12, stk. 3, litra b), nr. ii), kan tillade videregivelse af de fuldstændige PNR-oplysninger efter en periode på seks måneder. Med hensyn til det andet anbringende har den forelæggende ret anført, at dette er rettet mod PNR-lovens artikel 3, stk. 1, artikel 8, stk. 2, og artikel 28-31, der vedrører indsamling og behandling af passageroplysninger med henblik på at bekæmpe ulovlig indvandring og at forbedre grænsekontrollen. Denne ret har med henvisning til, at denne lov ifølge den første af disse bestemmelser omfatter flyvninger på vej til, fra og gennem det nationale område, præciseret, at den nationale lovgiver medtog flyvninger »inden for EU« i den nævnte lovs anvendelsesområde for at opstille »en mere fuldstændig tabel vedrørende passagerer, der udgør en potentiel trussel for sikkerheden [i EU] og nationalt« baseret på den mulighed, der er fastsat i PNR-direktivets artikel 2, sammenholdt med tiende betragtning hertil.

37.      Cour constitutionnelle (forfatningsdomstol) har på denne baggrund besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1)      Skal [databeskyttelsesforordningens] artikel 23 […], sammenholdt med denne forordnings artikel 2, stk. 2, litra d), fortolkes således, at den finder anvendelse på en national lovgivning såsom [PNR-loven], som gennemfører [PNR-direktivet] samt [API-direktivet] og [direktiv 2010/65]?

2)      Er bilag I […] foreneligt med [chartrets] artikel 7 [og] 8 [samt] artikel 52, stk. 1, […], for så vidt som de deri opregnede oplysninger er meget omfattende – bl.a. hvad angår de oplysninger, som er omhandlet i punkt 18 i [dette bilag I], og som er mere vidtrækkende end de oplysninger, der er omhandlet i [API-direktivets] artikel 3, stk. 2, […] – og for så vidt som de samlet set kan afsløre følsomme oplysninger og dermed overskride grænserne for det strengt nødvendige?

3)      Er punkt 12 og 18 i bilag I […] forenelige med [chartrets] artikel 7 [og] 8 [samt] artikel 52, stk. 1, […], for så vidt som de deri omhandlede oplysninger, henset til udtrykket »herunder«, er angivet illustrativt og ikke udtømmende, hvilket indebærer, at kravet om, at regler, der gør indgreb i retten til respekt for privatlivet og i retten til beskyttelse af personoplysninger, skal være præcise og klare, ikke er opfyldt?

4)      Er [PNR-direktivets] artikel 3, nr. 4), […] og bilag I […] forenelige med [chartrets] artikel 7 [og] 8 [samt] artikel 52, stk. 1, […], for så vidt som det system for generel indsamling, overførsel og behandling af passageroplysninger, der er indført ved disse bestemmelser, omfatter enhver person, der anvender det pågældende transportmiddel, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at denne person kan frembyde en risiko for den offentlige sikkerhed?

5)      Skal [PNR-direktivets] artikel 6 […], sammenholdt med [chartrets] artikel 7 [og] 8 [samt] artikel 52, stk. 1, […], fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvorefter et af formålene med behandlingen af PNR-oplysninger kan være efterretnings- og sikkerhedstjenesternes overvågning af de omfattede aktiviteter, og dette formål dermed indgår i forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet?

6)      Er [PNR-direktivets] artikel 6 […] forenelig med [chartrets] artikel 7 [og] 8 samt artikel 52, stk. 1, […], for så vidt som den deri omhandlede forudgående vurdering ved korrelation med databaser og forud fastsatte kriterier finder systematisk og generel anvendelse på oplysninger om passagerer, uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at disse passagerer kan frembyde en risiko for den offentlige sikkerhed?

7)      Kan begrebet »anden [kompetent] national myndighed« i [PNR-direktivets] artikel 12, stk. 3, […] fortolkes således, at det omfatter den passageroplysningsenhed, som er oprettet ved [PNR-loven], og som derfor kan give adgang til PNR-oplysninger efter en periode på seks måneder i forbindelse med ad hoc-efterforskninger?

8)      Skal [PNR-direktivets] artikel 12 […], sammenholdt med [chartrets] artikel 7 [og] 8 [samt] artikel 52, stk. 1, […], fortolkes således, at den er til hinder for en national lovgivning såsom den anfægtede lov, hvori der er fastsat en generel dataopbevaringsperiode på fem år, uden at der sondres mellem, hvorvidt den forudgående vurdering har vist, at de pågældende passagerer kan udgøre en risiko for den offentlige sikkerhed eller ej?

9)      a)      Er [API-direktivet] foreneligt med artikel 3, stk. 2, [TEU] og med [chartrets] artikel 45 […], for så vidt som de deri fastsatte forpligtelser finder anvendelse på flyvninger inden for EU?

b)      Skal [API-direktivet], sammenholdt med artikel 3, stk. 2, [TEU] og med [chartrets] artikel 45 […], fortolkes således, at det er til hinder for en national lovgivning såsom den anfægtede lov, der med henblik på at bekæmpe ulovlig indvandring og at forbedre grænsekontrollen gør det muligt at indføre et system til indsamling og behandling af oplysninger om passagerer »på vej til, fra og gennem det nationale område«, hvilket indirekte kan føre til genindførelse af kontrollen ved de indre grænser?

10)      Såfremt Cour constitutionnelle (forfatningsdomstol) på grundlag af besvarelserne af de foregående præjudicielle spørgsmål konkluderer, at den anfægtede lov, der bl.a. gennemfører [PNR-direktivet], er i strid med en eller flere af de forpligtelser, der følger af de i disse spørgsmål nævnte bestemmelser, kan Cour constitutionnelle (forfatningsdomstol) da midlertidigt opretholde [PNR-lovens virkninger] med henblik på at undgå retsusikkerhed og muliggøre, at oplysninger, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i [denne lov]?«

38.      Der er i henhold til artikel 23 i statutten for Den Europæiske Unions Domstol indgivet skriftlige indlæg af LDH, den belgiske, tjekkiske, danske, tyske og estiske regering, Irland, den spanske, franske, cypriotiske, lettiske, nederlandske, østrigske, polske og finske regering samt af Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-Kommissionen. Kommissionen, Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) og Den Europæiske Unions Agentur for Grundlæggende Rettigheder (FRA) er i overensstemmelse med artikel 24 i statutten for Den Europæiske Unions Domstol blevet anmodet om at afgive skriftlige svar på en række spørgsmål fra Domstolen. Der blev afholdt retsmøde den 13. juli 2021.

III. Bedømmelse

A.      Det første præjudicielle spørgsmål

39.      Med det første præjudicielle spørgsmål har den forelæggende ret nærmere bestemt anmodet Domstolen om at oplyse, om databeskyttelsesforordningens artikel 2, stk. 2, litra d), skal fortolkes således, at denne forordning og navnlig dens artikel 23, stk. 1, hvorefter EU-ret eller medlemsstaternes nationale ret ved lovgivningsmæssige foranstaltninger og af de udtømmende opregnede grunde kan begrænse rækkevidden af de forpligtelser og rettigheder, der er fastsat i den nævnte forordning, finder anvendelse på behandling af oplysninger, der foretages på grundlag af en national lovgivning såsom PNR-loven, som gennemfører PNR-direktivet, API-direktivet og direktiv 2010/65 i national ret.

40.      Der er i databeskyttelsesforordningens artikel 2, stk. 2, fastsat undtagelser fra denne forordnings anvendelsesområde, som er defineret meget vidt (17) i dens artikel 2, stk. 1 (18). Da der er tale om undtagelser fra anvendelsen af bestemmelser om behandling af personoplysninger, som kan krænke de grundlæggende frihedsrettigheder, skal disse undtagelser fortolkes strengt (19).

41.      Databeskyttelsesforordningens artikel 2, stk. 2, litra d), indeholder bl.a. en udelukkelsesklausul, hvorefter denne forordning ikke gælder for behandling af personoplysninger, som foretages »af kompetente myndigheder med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed«. Denne udelukkelsesklausul er baseret på et dobbelt subjektivt og objektivt kriterium. Behandling af oplysninger, som foretages dels af »kompetente myndigheder«, dels til de formål, der er nævnt i denne bestemmelse, er således udelukket fra den nævnte forordnings anvendelsesområde. Det skal derfor undersøges, hvilke former for behandling af oplysninger, der, henset til dette dobbelte kriterium, er omfattet af PNR-loven.

42.      Hvad i første række angår behandling af oplysninger, som foretages af transportvirksomheder (inden for luftfart, jernbanetransport, vejtransport og søtransport) via passageroplysningsenheden eller af rejseselskaber til service- eller erhvervsformål, og som er omfattet af den nævnte lov, er denne fortsat omfattet af databeskyttelsesforordningen, eftersom hverken den subjektive eller den objektive del af udelukkelseskriteriet i denne forordnings artikel 2, stk. 2, litra d), er opfyldt.

43.      Hvad i anden række angår transportvirksomheders og rejseselskabers overførsel af PNR-oplysninger til passageroplysningsenheden, som i sig selv udgør en »behandling« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 2) (20), er det mindre klart, om denne indgår i denne forordnings anvendelsesområde.

44.      Denne overførsel foretages nemlig ikke af en »kompetent myndighed« som omhandlet i politidirektivets artikel 3, nr. 7), hvortil der henvises analogt, eftersom dette begreb ikke er defineret i databeskyttelsesforordningen (21). En erhvervsdrivende såsom et transportfirma eller et rejsebureau, der alene er underlagt en retlig forpligtelse til at overføre personoplysninger og ikke udøver offentlige beføjelser (22), kan ikke betragtes som et organ eller en enhed som omhandlet i den nævnte artikel 3, nr. 7), litra b) (23).

45.      Transportfirmaer og rejseselskaber overfører desuden personoplysninger for at overholde en lovbestemt forpligtelse, som skal gøre det muligt at forfølge de formål, der er angivet i databeskyttelsesforordningens artikel 2, stk. 2, litra d).

46.      Efter min opfattelse fremgår det imidlertid klart af denne bestemmelses ordlyd, at det kun er behandlinger, som både opfylder den subjektive del og den objektive del af det indeholdte udelukkelseskriterium, der ligger uden for databeskyttelsesforordningens anvendelsesområde. Transportfirmaers og rejseselskabers overførsel af PNR-oplysninger til passageroplysningsenheden, som kræves i PNR-loven, er derfor omfattet af denne forordning.

47.      Med hensyn til de bestemmelser i PNR-loven, der gennemfører PNR-direktivet, understøttes denne konklusion af dette direktivs artikel 21, stk. 2, som bestemmer, at dette »[ikke] berører […] anvendelsen af direktiv 95/46/EF (24), for så vidt angår luftfartsselskabers behandling af personoplysninger«. Den fortolkning af denne bestemmelse, som navnlig foreslås af den franske regering, og hvorefter det alene fremgår, at transportvirksomhederne stadig er underlagt de forpligtelser, der er fastsat i databeskyttelsesforordningen, i forbindelse med behandling af oplysninger, som ikke er fastsat i PNR-direktivet, skal efter min opfattelse forkastes. Henset til dens ordlyd har denne »forbeholdsklausul« nemlig en bred rækkevidde og defineres udelukkende med henvisning til den, der foretager behandlingen, uden angivelse af behandlingens formål eller den sammenhæng, hvori den indgår, og om den finder sted i forbindelse med luftfartsselskabets erhvervsvirksomhed eller i medfør af en retlig forpligtelse. Det bør desuden fremhæves, at der findes en tilsvarende klausul i PNR-direktivets artikel 13, stk. 3, hvori der henvises specifikt til luftfartsselskabers forpligtelser i henhold til databeskyttelsesforordningen til at »træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningers sikkerhed og fortrolighed«. Denne bestemmelse optræder imidlertid blandt bestemmelserne om beskyttelsen af de personoplysninger, der behandles i henhold til PNR-direktivet, og følger dette direktivs artikel 13, stk. 1, som generelt bestemmer, at al behandling af oplysninger i medfør af dette direktiv er underlagt de heri nævnte bestemmelser i rammeafgørelse 2008/977. I modsætning til det af den franske regering anførte gør en sådan normativ konstruktion det muligt dels at fortolke den nævnte artikel 13, stk. 3, således, at databeskyttelsesforordningen kun omfatter behandling af oplysninger, som er fastsat i PNR-direktivet, og som ikke foretages af »kompetente myndigheder« i politidirektivets forstand, dels at forstå henvisningen til overholdelsen af de forpligtelser, der er fastsat i den nævnte forordning med hensyn til oplysningernes sikkerhed og fortrolighed, som en påmindelse om de garantier, der kræves i forbindelse med transportvirksomhedernes overførsel af PNR-oplysninger til passageroplysningsenhederne.

48.      Konklusionen i punkt 46 i dette forslag til afgørelse berøres ikke af 19. betragtning til databeskyttelsesforordningen og af 11. betragtning til politidirektivet, hvorpå bl.a. den tyske regering, Irland og den franske regering har støttet deres argument om, at PNR-direktivet har karakter af lex specialis. Det er i denne henseende korrekt, at dette direktiv med hensyn til den omfattede behandling af personoplysninger har indført en ramme for beskyttelse af disse oplysninger, som er uafhængig af databeskyttelsesforordningen. Denne særlige ramme finder imidlertid kun anvendelse på behandling af PNR-oplysninger, der udføres af de »kompetente myndigheder« som omhandlet i politidirektivets artikel 3, nr. 7), heriblandt passageroplysningsenhederne, hvorimod overførslen af PNR-oplysninger til passageroplysningsenhederne stadig er omfattet af den generelle ramme, der er fastlagt ved databeskyttelsesforordningen, bl.a. i medfør af »forbeholdsklausulen« i PNR-direktivets artikel 21, stk. 2.

49.      Til støtte for antagelsen om, at databeskyttelsesforordningen ikke finder anvendelse på transportvirksomheders og rejseselskabers overførsel af PNR-oplysninger til passageroplysningsenheder, har den belgiske regering, Irland, den franske og den cypriotiske regering henvist til dom af 30. maj 2006, Parlamentet mod Rådet og Kommissionen (25), hvori Domstolen fastslog, at overførsel af PNR-oplysninger fra EF-luftfartsselskaber til myndigheder i Amerikas Forenede Stater som led i en aftale, der var indgået mellem disse og Det Europæiske Fællesskab, udgjorde behandling af personoplysninger som omhandlet i artikel 3, stk. 2, første led, i direktiv 95/46 (26) og derfor ikke var omfattet af dette direktivs anvendelsesområde. Domstolen drog denne konklusion på grundlag af overførslens formål og den omstændighed, at den »[skete] […] inden for rammer, der [var] indført af de statslige myndigheder«, selv om oplysningerne blev indsamlet og videregivet af private erhvervsdrivende (27).

50.      Det skal herved blot påpeges, at Domstolen i dom af 6. oktober 2020, La Quadrature du Net m.fl. (28), i det væsentlige fastslog, at dommen i sagen Parlamentet mod Rådet ikke kunne overføres på databeskyttelsesforordningens kontekst (29).

51.      I præmis 102 i dommen i sagen La Quadrature du Net m.fl. (30) bemærkede Domstolen i øvrigt ved analog anvendelse af ræsonnementet i Tele2 Sverige-dommen og dom af 2. oktober 2018, Ministerio Fiscal (31), at »[s]elv om det af [databeskyttelsesforordningens] artikel 2, stk. 2, litra d), fremgår, at denne forordning ikke gælder for behandlinger, som foretages af »kompetente myndigheder« med henblik på bl.a. at forebygge og afsløre strafbare handlinger, herunder beskytte og forebygge trusler mod den offentlige sikkerhed, fremgår det af samme forordnings artikel 23, stk. 1, litra d) og h), at behandling af personoplysninger, der af privatpersoner foretages med henblik på de samme formål, er omfattet af forordningens anvendelsesområde« (32).

52.      Jeg er af de nævnte grunde overbevist om, at konklusionen om, at transportfirmaers og rejseselskabers overførsel af PNR-oplysninger til passageroplysningsenhederne er omfattet af databeskyttelsesforordningen, allerede fremgår klart af ordlyden af databeskyttelsesforordningens artikel 2, stk. 2, litra d), hvori der henvises til behandlinger, som foretages af »kompetente myndigheder«, uden at det er nødvendigt at henvise til begrænsningsklausulen i den nævnte forordnings artikel 23, stk. 1 (33). Bemærkningen i præmis 102 i dommen i sagen La Quadrature du Net m.fl. tilkendegiver ikke desto mindre klart, at Domstolen går ind for en sådan konklusion.

53.      Eftersom transportfirmaers og rejseselskabers overførsel af PNR-oplysninger falder ind under databeskyttelsesforordningens anvendelsesområde, udgør en national lovgivning såsom PNR-loven, der forpligter disse firmaer og selskaber til at foretage en sådan overførsel, en »lovgivningsmæssig foranstaltning« i henhold til databeskyttelsesforordningens artikel 23, stk. 1, litra d), og den skal derfor opfylde de betingelser, der er fastsat i denne bestemmelse (34).

54.      Hvad i tredje række angår behandling af PNR-oplysninger, som foretages af passageroplysningsenheden og de kompetente nationale myndigheder, afhænger databeskyttelsesforordningens anvendelse, som det fremgår af det ovenfor anførte, af de formål, der forfølges med disse behandlinger.

55.      For det første er behandling af PNR-oplysninger, som foretages af passageroplysningsenheden og af de kompetente nationale myndigheder, til de formål, der er nævnt i PNR-lovens artikel 8, stk. 1, nr. 1)-3) og nr. 5) (35), således udelukket fra databeskyttelsesforordningens anvendelsesområde, for så vidt som disse formål synes at høre til dem, der er omfattet af udelukkelsesklausulen i databeskyttelsesforordningens artikel 2, stk. 2, litra d). Beskyttelsen af de personoplysninger, der er genstand for denne behandling, henhører under national ret, dog med forbehold af anvendelsen af politidirektivet (36) og – inden for dets anvendelsesområde – PNR-direktivet.

56.      Det samme gælder for det andet for behandling af PNR-oplysninger, som foretages af passageroplysningsenheden og af sikkerheds- og efterretningstjenesterne som led i overvågningen af de aktiviteter, der er omhandlet i de bestemmelser i styringsloven om efterretnings- og sikkerhedstjenesterne, som er nævnt i PNR-lovens artikel 8, stk. 1, nr. 4), for så vidt som de opfylder de formål, der er fastsat i databeskyttelsesforordningens artikel 2, stk. 2, litra d), hvilket det påhviler den forelæggende ret at vurdere.

57.      Den belgiske regering har anført, at behandlinger, der foretages i henhold til PNR-lovens artikel 8, stk. 1, nr. 4), under alle omstændigheder falder ind under udelukkelsesklausulen i databeskyttelsesforordningens artikel 2, stk. 2, litra a), og den tilsvarende klausul i politidirektivets artikel 2, stk. 3, litra a), eftersom sikkerheds- og efterretningstjenesternes aktiviteter ikke er omfattet af EU-rettens anvendelsesområde.

58.      I denne forbindelse vil jeg indledningsvis, uanset at Domstolen ikke er blevet forelagt noget spørgsmål om fortolkningen af disse bestemmelser, påpege, at Domstolen allerede har udtalt, at en national lovgivning, som pålægger private erhvervsdrivende behandlingsforpligtelser, henhører under de EU-retlige bestemmelser om beskyttelse af personoplysninger, selv om den vedrører beskyttelsen af statens sikkerhed (37). Det følger heraf, at transportvirksomheders og rejseselskabers overførsel af PNR-oplysninger, som kræves i PNR-loven, i princippet henhører under databeskyttelsesforordningen, selv om den foretages med henblik på denne lovs artikel 8, stk. 1, nr. 4).

59.      Det skal dernæst fremhæves, at selv om det fremgår af 16. betragtning til databeskyttelsesforordningen, at den ikke finder anvendelse på »aktiviteter vedrørende statens sikkerhed«, og det i 14. betragtning til politidirektivet præciseres, at »aktiviteter vedrørende statens sikkerhed, aktiviteter udført af agenturer eller enheder, der beskæftiger sig med spørgsmål om statens sikkerhed […], ikke [bør] anses for at være aktiviteter, der falder inden for dette direktivs anvendelsesområde«, afspejler kriterierne for, hvorvidt en behandling af personoplysninger, som foretages af en offentlig myndighed eller tjeneste eller et offentligt agentur i en medlemsstat, falder ind under anvendelsesområdet for en bestemt EU-retsakt vedrørende beskyttelsen af de registrerede mod en sådan behandling eller ligger uden for EU-rettens anvendelsesområde, en logik, der både er knyttet til de funktioner, som denne myndighed, denne tjeneste eller dette agentur er tillagt, og til formålene med den nævnte behandling. Domstolen har således fastslået, at databeskyttelsesforordningens artikel 2, stk. 2, litra a), sammenholdt med 16. betragtning til denne forordning, »skal anses for alene at have til formål at udelukke statslige myndigheders behandling af personoplysninger under udøvelse af en aktivitet, som tilsigter at beskytte statens sikkerhed, eller en aktivitet, som kan henføres til samme kategori, fra anvendelsesområdet for nævnte forordning, hvorfor den omstændighed alene, at en aktivitet er statens eller en offentlig myndigheds, ikke er tilstrækkelig til, at denne undtagelse automatisk finder anvendelse på en sådan aktivitet« (38). Domstolen har ligeledes præciseret, at »de aktiviteter, som har til formål at beskytte den nationale sikkerhed, og som er omhandlet i databeskyttelsesforordningens artikel 2, stk. 2, litra a), omfatter navnlig […] de aktiviteter, hvis formål er at beskytte centrale statslige funktioner og samfundets grundlæggende interesser« (39). Det følger heraf, at såfremt en medlemsstat pålægger sikkerheds- og efterretningstjenesterne opgaver på de områder, der er angivet i politidirektivets artikel 3, nr. 7), litra a), falder den behandling af oplysninger, som disse tjenester foretager for at udføre disse opgaver, ind under dette direktivs og i givet fald PNR-direktivets anvendelsesområde. Det bør mere generelt påpeges, at Domstolen i forbindelse med fortolkningen af artikel 4, stk. 2, TEU, som bl.a. den belgiske regering har støttet sig på, flere gange har fastslået, at alene den omstændighed, at en national foranstaltning er blevet truffet med henblik på at beskytte den nationale sikkerhed, ikke kan medføre, at EU-retten ikke finder anvendelse, og fritage medlemsstaterne fra at sikre den nødvendige overholdelse af denne ret (40), og at den således har været utilbøjelig til automatisk og kategorisk at udelukke medlemsstaternes aktiviteter i forbindelse med beskyttelse af statens sikkerhed fra EU-rettens anvendelsesområde.

60.      For det tredje må det som anført af samtlige berørte parter, der har afgivet indlæg, med undtagelse af den franske regering fastslås, at de kompetente belgiske myndigheders behandlinger af PNR-oplysninger til de formål, der er omhandlet i PNR-lovens artikel 8, stk. 2, nemlig »at forbedre personkontrollen ved de ydre grænser og […] at bekæmpe ulovlig indvandring« (41), ikke er omfattet af udelukkelsesklausulen i databeskyttelsesforordningens artikel 2, stk. 2, litra d), eller af en anden udelukkelsesgrund i denne artikel og derfor falder uden for denne forordnings anvendelsesområde. I modsætning til det af den franske regering anførte kan de nævnte behandlinger ikke reguleres ved PNR-direktivet, som i artikel 1, stk. 2, fastsætter, at »PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, må kun behandles med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet«, og principielt heller ikke af politidirektivet, der i overensstemmelse med dets artikel 1, stk. 1, kun finder anvendelse på kompetente myndigheders behandling af personoplysninger »med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod eller forebygge trusler mod den offentlige sikkerhed«. Som det fremgår af forelæggelsesafgørelsen, sigter PNR-lovens artikel 8, stk. 2, og denne lovs kapitel 11, som indeholder bestemmelser om behandling af PNR-oplysninger med henblik på forbedring af grænsekontrol og bekæmpelse af ulovlig indvandring, og som til dette formål bestemmer, at passageroplysningsenheden bl.a. skal overføre disse oplysninger til de politimyndigheder, der er ansvarlige for grænsekontrollen, mod at gennemføre API-direktivet og direktiv 2010/65 i belgisk ret. Disse to direktiver forpligter imidlertid de kompetente myndigheder til at overholde bestemmelserne i direktiv 95/46 i forbindelse med de omhandlede behandlinger (42). I modsætning til det af den franske regering anførte skal henvisningen til beskyttelsesreglerne i dette direktiv forstås således, at de omfatter enhver behandling af personoplysninger, som foretages på grundlag af API-direktivet og direktiv 2010/65. Den omstændighed, at API-direktivet var gældende, før rammeafgørelse 2008/977 trådte i kraft, er ikke relevant i denne forbindelse, eftersom denne rammeafgørelse og politidirektivet, der erstattede det, kun vedrører de behandlinger af personoplysninger, der er omhandlet i API-direktivets artikel 3, stk. 1, og som de kompetente myndigheder foretager til retshåndhævende formål (43).

61.      Jeg foreslår på grundlag af samtlige ovenstående betragtninger, at Domstolen besvarer det første præjudicielle spørgsmål med, at databeskyttelsesforordningens artikel 23, sammenholdt med denne forordnings artikel 2, stk. 2, litra d), skal fortolkes således, at

–        den finder anvendelse på en national lovgivning, der gennemfører PNR-direktivet, for så vidt som denne lovgivning regulerer behandling af PNR-oplysninger, som foretages af transportvirksomheder og af andre erhvervsdrivende, herunder overførsel af PNR-oplysninger til passageroplysningsenhederne, jf. det nævnte direktivs artikel 8

–        den ikke finder anvendelse på en national lovgivning, der gennemfører PNR-direktivet, for så vidt som denne lovgivning regulerer behandling af oplysninger, som de kompetente nationale myndigheder, herunder passageroplysningsenhederne og i givet fald sikkerheds- og efterretningstjenesterne i den pågældende medlemsstat, foretager til de formål, der er omhandlet i dette direktivs artikel 1, stk. 2

–        den finder anvendelse på en national lovgivning, der gennemfører API-direktivet og direktiv 2010/65 med henblik på at forbedre personkontrollen ved de ydre grænser og med henblik på at bekæmpe ulovlig indvandring.

B.      Det andet, det tredje, det fjerde, det sjette og det ottende præjudicielle spørgsmål

62.      Med det andet, det tredje, det fjerde, det sjette og det ottende præjudicielle spørgsmål har Cour constitutionnelle (forfatningsdomstol) anmodet Domstolen om at oplyse, om PNR-direktivet er gyldigt, henset til chartrets artikel 7 og 8 samt artikel 52, stk. 1. Selv om det ottende præjudicielle spørgsmål er formuleret som et fortolkningsspørgsmål, sigter det også i det væsentlige mod at få Domstolen til at tage stilling til dette direktivs gyldighed.

63.      Disse spørgsmål vedrører forskellige elementer i det system til behandling af PNR-oplysninger, der er indført ved PNR-direktivet, og kræver, at det for hvert af disse elementer vurderes, om betingelserne for lovligheden af de begrænsninger, der er indført for udøvelsen af de grundlæggende rettigheder i chartrets artikel 7 og 8, er opfyldt. Det andet og det tredje præjudicielle spørgsmål omhandler således det katalog over PNR-oplysninger, der er indeholdt i bilag I, det fjerde spørgsmål vedrører definitionen af begrebet »passager« i PNR-direktivets artikel 3, nr. 4), det sjette spørgsmål vedrører PNR-oplysningers anvendelse til forudgående vurdering i medfør af dette direktivs artikel 6, og det ottende spørgsmål vedrører den periode for opbevaring af PNR-oplysninger, der er angivet i det nævnte direktivs artikel 12, stk. 1.

1.      De grundlæggende rettigheder, der er omhandlet i chartrets artikel 7 og 8

64.      Chartrets artikel 7 fastsætter, at enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation. Med hensyn til chartrets artikel 8, stk. 1, tillægger denne bestemmelse udtrykkeligt enhver person ret til beskyttelse af personoplysninger, der vedrører den pågældende. Ifølge fast retspraksis er disse rettigheder, der vedrører enhver form for information om en identificeret eller identificerbar person, nært beslægtet med hinanden, da adgangen til personoplysninger vedrørende en fysisk person med henblik på opbevaring eller brug griber ind i denne persons ret til respekt for privatlivet (44).

65.      De rettigheder, der er sikret ved chartrets artikel 7 og 8, er imidlertid ikke absolutte rettigheder, men skal ses i sammenhæng med deres funktion i samfundet (45). Chartrets artikel 8, stk. 2, tillader således behandling af personoplysninger, såfremt visse betingelser er opfyldt. Det fremgår af denne bestemmelse, at personoplysninger skal behandles »rimeligt, til udtrykkeligt angivne formål og på grundlag af de berørte personers samtykke eller på et andet berettiget ved lov fastsat grundlag«.

66.      Enhver begrænsning af retten til beskyttelse af personoplysninger og af retten til privatliv skal desuden overholde bestemmelserne i chartrets artikel 52, stk. 1. En sådan begrænsning skal således være fastlagt i lovgivningen, respektere disse rettigheders væsentligste indhold og under iagttagelse af proportionalitetsprincippet være nødvendige og faktisk svare til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

67.      Ved vurderingen af en foranstaltning, der begrænser de nævnte rettigheder, skal der også tages hensyn til betydningen af de rettigheder, der er sikret ved chartrets artikel 3, 4, 6 og 7, og den betydning, som formålene om beskyttelse af den nationale sikkerhed og om bekæmpelse af grov kriminalitet har som følge af, at de bidrager til beskyttelsen af andres rettigheder og friheder (46). Chartrets artikel 6 fastsætter i denne henseende ikke blot retten for enhver til frihed, men også til personlig sikkerhed (47).

68.      Chartrets artikel 52, stk. 3, har i øvrigt til formål at sikre den nødvendige sammenhæng mellem de i chartret omhandlede rettigheder og de tilsvarende ved EMRK sikrede rettigheder, hvortil der skal tages hensyn som tærskel for minimumsbeskyttelse (48). Retten til respekt for privatliv og familieliv, der er fastslået i chartrets artikel 7, svarer til den ret, der er sikret ved EMRK’s artikel 8, og skal derfor tillægges samme betydning og omfang (49). Det fremgår af Den Europæiske Menneskerettighedsdomstols (herefter »Menneskerettighedsdomstolen«) praksis, at et indgreb i de rettigheder, der er sikret ved denne artikel, kun er begrundet i henhold til den nævnte artikels stk. 2, såfremt det er i overensstemmelse med loven, omhandler et eller flere af de legitime formål, der er opregnet i dette stykke, og er nødvendigt i et demokratisk samfund for at nå dette eller disse mål (50). Foranstaltningen skal også være forenelig med lovens suverænitet, som er nævnt udtrykkeligt i præamblen til EMRK og knyttet til genstanden for og formålet med dennes artikel 8 (51).

69.      Det er i lyset af disse principper, at Cour constitutionnelles (forfatningsdomstol) spørgsmål om gyldigheden skal besvares.

2.      Indgrebet i de grundlæggende rettigheder, der er omhandlet i chartrets artikel 7 og 8

70.      Domstolen har allerede fastslået, at bestemmelser, der pålægger eller tillader videregivelse af personoplysninger om fysiske personer til en tredjepart såsom en offentlig myndighed, i mangel af disse fysiske personers samtykke og uanset den efterfølgende anvendelse af de omhandlede oplysninger, skal kvalificeres som et indgreb i deres privatliv og dermed som en begrænsning af den grundlæggende ret, der er sikret ved chartrets artikel 7, med forbehold af deres eventuelle begrundelse (52). Det samme gør sig gældende, selv om der ikke foreligger omstændigheder, der gør det muligt at kvalificere et sådant indgreb som »alvorligt«, og uden at det har betydning, om de videregivne oplysninger er følsomme oplysninger, eller om det nævnte indgreb har medført eventuelle ubehageligheder for de berørte (53). Offentlige myndigheders adgang til sådanne oplysninger indebærer ligeledes et indgreb i den grundlæggende ret til beskyttelse af personoplysninger, som er sikret i chartrets artikel 8, eftersom den udgør en behandling af personoplysninger (54). Når der lagres data vedrørende en persons privatliv i et nærmere bestemt tidsrum, er der endvidere i sig selv tale om et indgreb i de rettigheder, som er sikret ved chartrets artikel 7 og 8 (55).

71.      Domstolen har ligeledes allerede fastslået, at PNR-oplysninger som de i bilag I nævnte indeholder oplysninger om identificerede fysiske personer, nemlig de pågældende flypassager, og at de forskellige behandlinger, som disse oplysninger kan undergives, derfor berører den grundlæggende ret til respekt for privatliv, der er sikret ved chartrets artikel 7. Disse behandlinger er tillige omfattet af chartrets artikel 8 og skal derfor nødvendigvis opfylde de i denne artikel fastsatte krav vedrørende beskyttelse af oplysninger (56).

72.      De behandlinger af PNR-oplysninger, der tillades i PNR-direktivet, og navnlig – for så vidt som det er relevant for den foreliggende sag – luftfartsselskabernes overførsel af disse oplysninger til passageroplysningsenhederne, disse enheders anvendelse af dem, deres videreoverførsel til de kompetente nationale myndigheder som omhandlet i dette direktivs artikel 7 samt deres opbevaring udgør ligeledes indgreb i de grundlæggende rettigheder, der er sikret i chartrets artikel 7 og 8.

73.      Med hensyn til alvoren af disse indgreb skal det for det første påpeges, at PNR-direktivet omhandler systematisk og fortsat overførsel af PNR-oplysninger til passageroplysningsenhederne om enhver flypassager som defineret i dette direktivs artikel 3, nr. 4), som benytter en flyvning »uden for EU« som omhandlet i artikel 3, nr. 2), heri. En sådan overførsel indebærer, at passageroplysningsenhederne får generel adgang til alle PNR-oplysninger, der videregives (57). Denne konstatering berøres, i modsætning til hvad visse medlemsstater har gjort gældende i den foreliggende sag, ikke af den omstændighed, at disse oplysninger undergives automatisk behandling, og at passageroplysningsenhederne derfor kun får konkret adgang til oplysningerne, hvis analysen har givet et positivt resultat. Denne omstændighed har nemlig endnu ikke været til hinder for, at Domstolen i forbindelse med lignende systemer til systematisk behandling af personoplysninger, der indsamles eller opbevares »i bulk«, har anset de pågældende offentlige myndigheders adgang til sådanne oplysninger for at være af generel karakter. Når der stilles personoplysninger til rådighed for offentlige myndigheder med henblik på behandling og opbevaring, indebærer dette desuden i sig selv en umiddelbart generel og fuldstændig adgang til sådanne oplysninger og et indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger.

74.      For det andet kan medlemsstaterne i overensstemmelse med PNR-direktivets artikel 2, stk. 1, beslutte at anvende dette direktiv på flyvninger »inden for EU« som omhandlet i artikel 3, nr. 3), heri. Det bør i denne henseende påpeges, at PNR-direktivet ikke blot giver medlemsstaterne mulighed for at bestemme, at det også gælder for flyvninger inden for EU, men ligeledes fastsætter både formelle og materielle betingelser for udnyttelsen af denne mulighed (58) og præciserer, at når den kun udnyttes for udvalgte flyvninger inden for EU, skal disse flyvninger vælges under hensyntagen til de mål, der forfølges med det nævnte direktiv (59). PNR-direktivet fastlægger desuden konsekvenserne, at denne mulighed udnyttes, idet det fremgår af artikel 2, stk. 2, at når en medlemsstat beslutter at anvende dette direktiv på flyvninger inden for EU, finder alle direktivets bestemmelser »anvendelse for flyvninger inden for EU, som var de flyvninger uden for EU, og for PNR-oplysninger fra flyvninger inden for EU, som var de PNR-oplysninger fra flyvninger uden for EU«.

75.      Det er under disse omstændigheder – i modsætning til hvad en række regeringer, der har afgivet indlæg i den foreliggende sag, har gjort gældende – min opfattelse, at selv om PNR-direktivets anvendelse på flyvninger inden for EU beror på medlemsstaternes valg, er det PNR-direktivet, der udgør retsgrundlaget for indgrebene i retten til respekt for privatlivet og retten til beskyttelse af personoplysninger i forbindelse med overførsel, behandling og opbevaring af PNR-oplysninger vedrørende disse flyvninger, når der foretages et sådant valg.

76.      Bortset fra Kongeriget Danmark, der ikke er omfattet af dette direktiv (60), anvender næsten alle medlemsstater imidlertid den heri fastsatte ordning for flyvninger »inden for EU« (61). Denne ordning finder som følge heraf anvendelse på alle flyvninger ind i og ud af EU og på næsten alle flyvninger, der finder sted inden for EU.

77.      Hvad for det tredje angår de PNR-oplysninger, der skal overføres, indeholder bilag I 19 rubrikker vedrørende biografiske oplysninger (62), nærmere oplysninger om flyrejsen (63) og andre oplysninger, der indsamledes i forbindelse med lufttransportaftalen, såsom telefonnummer, e-mailadresse, betalingsformer, rejsebureau eller rejseagent, baggageoplysninger og generelle bemærkninger (64). I præmis 128 i udtalelse 1/15 bemærkede Domstolen imidlertid med hensyn til rubrikkerne i bilaget til udkastet til aftalen mellem Canada og Den Europæiske Union om overførsel og behandling af passagerlisteoplysninger (herefter »udkastet til PNR-aftalen mellem Canada og EU«), som er affattet på næsten samme måde som rubrikkerne i bilag I, at »selv om visse af PNR-oplysningerne isoleret set ikke synes at kunne afsløre vigtige oplysninger om de pågældende personers privatliv, forholder det sig ikke desto mindre således, at oplysningerne samlet set bl.a. kan afsløre den fuldstændige rejserute, rejsevanerne, eksisterende forhold mellem to eller flere personer og oplysninger om flypassagerernes økonomiske situation, madvaner eller helbredstilstand, og de kan sågar give følsomme oplysninger om disse passagerer«.

78.      For det fjerde skal de oplysninger, som luftfartsselskaberne videregiver, i henhold til PNR-direktivets artikel 6 analyseres af passageroplysningsenhederne ved hjælp af automatiserede midler og på systematisk vis, dvs. uanset om der findes noget som helst indicium for, at de registrerede kan være involveret i terrorhandlinger eller grov kriminalitet. I forbindelse med den forudgående vurdering af passagerer, der er omhandlet i dette direktivs artikel 6, stk. 2, litra a), og i overensstemmelse med denne artikels stk. 3 kan de nævnte oplysninger nærmere bestemt kontrolleres, ved at de sammenholdes med »relevante« databaser [artikel 6, stk. 3, litra a)] og behandles efter forud fastsatte kriterier [artikel 6, stk. 3, litra b)]. Den første type behandling kan imidlertid afsløre yderligere oplysninger om de registreredes privatliv (65) og afhængig af de databaser, der benyttes ved sammenholdningen, endda gøre det muligt at tegne en præcis profil af disse personer. Den indsigelse, som flere regeringer har fremført, nemlig at PNR-direktivet kun giver adgang til en ret begrænset mængde personoplysninger, afspejler under disse omstændigheder ikke i tilstrækkelig grad det potentielle omfang af de indgreb, som dette direktiv indebærer i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, henset til omfanget af de oplysninger, som det kan give adgang til. Med hensyn til den anden type behandling af oplysninger, der er fastsat i PNR-direktivets artikel 6, stk. 3, litra b), bør det påpeges, at Domstolen i præmis 169 og 172 i udtalelse 1/15 fremhævede, at enhver form for analyse, der er baseret på forudfastsatte kriterier, nødvendigvis kan medføre en vis fejlmargen og navnlig en vis mængde »falsk positive« resultater. Ifølge de tal, der er angivet i et arbejdsdokument fra Kommissionens tjenestegrene (66) (herefter »arbejdsdokumentet fra 2020«), som er knyttet som bilag til Kommissionens rapport fra 2020, er antallet af hit, der efter individuel gennemgang i medfør af PNR-direktivets artikel 6, stk. 5, viste sig at være fejlagtige, ret stabilt, idet der i årene 2018 og 2019 var tale om mindst fem ud af seks identificerede personer (67).

79.      For det femte opbevares PNR-oplysninger i overensstemmelse med PNR-direktivets artikel 12, stk. 1, i en database i en periode på fem år efter videregivelsen til passageroplysningsenheden i den medlemsstat, på hvis område luftfartøjet lander eller afgår. PNR-direktivet gør det derfor muligt at råde over oplysninger om flypassagerernes privatliv i usædvanligt lang tid (68). Eftersom der overføres PNR-oplysninger i forbindelse med næsten alle flyvninger, der foretages fra og til EU samt inden for EU, og fly er blevet et ret almindeligt transportmiddel, vil det i øvrigt være muligt at opbevare personoplysninger vedrørende et stort antal flypassagerer næsten konstant, alene fordi de rejser med fly mindst to gange i løbet af en femårig periode.

80.      På et mere generelt plan indeholder PNR-direktivet endelig en række foranstaltninger, hvis overordnede formål er at indføre et system for overvågning på EU-plan, som er »ikke-målrettet«, dvs. ikke indledes som følge af en mistanke mod en eller flere specifikke personer, »massiv«, eftersom den omfatter personoplysninger vedrørende et stort antal personer (69) og vedrører den samme kategori af personer i dens helhed (70), og »proaktiv«, eftersom den ikke kun har til formål at undersøge kendte trusler, men også at opdage eller påvise hidtil ukendte farer (71). Sådanne foranstaltninger giver efter deres karakter anledning til alvorlige indgreb i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8 (72), bl.a. som følge af deres forebyggende og prædiktive formål, som kræver vurdering af personoplysninger vedrørende store segmenter af befolkningen med henblik på at »identificere« personer, der som følge af resultatet af denne vurdering bør undersøges nærmere af de kompetente myndigheder (73). Den stigende behandling af store mængder personoplysninger af forskellig art, som indsamles »i bulk« for at forebygge visse former for grov kriminalitet, samt sammenstillingen og den kombinerede behandling af disse oplysninger har i øvrigt en »kumulativ virkning«, der fører til mere omfattende begrænsninger af den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, og risikerer at fremme en gradvis overgang til et »overvågningssamfund« (74).

81.      Det er på grundlag af samtlige ovenstående betragtninger min opfattelse, at det indgreb, som PNR-direktivet indebærer i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, som minimum skal kvalificeres som »alvorligt«.

82.      Det er, som navnlig Kommissionen har anført, korrekt, at alle de garantier og beskyttelsesforanstaltninger, der er fastsat i PNR-direktivet, bl.a. for at undgå misbrug af PNR-oplysninger, kan mindske intensiteten eller alvoren af disse indgreb. Det ændrer dog ikke på det forhold, at enhver ordning, der gør det muligt for offentlige myndigheder at få adgang til og behandle personoplysninger, med hensyn til beskyttelsen af de berørte grundlæggende rettigheder er af alvorlig karakter som følge af dens objektive kendetegn. Denne alvorlige karakter skal efter min opfattelse fastlægges, før det i forbindelse med undersøgelsen af de nævnte indgrebs forholdsmæssighed vurderes, om de garantier, der er knyttet til denne ordning, er tilstrækkelige og hensigtsmæssige. Det synes at være den fremgangsmåde, som Domstolen har fulgt indtil nu.

83.      De indgreb, som PNR-direktivet indebærer i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, skal opfylde de betingelser, der er angivet i punkt 65 og 66 i dette forslag til afgørelse, for at være forenelige med chartret, hvilket jeg vil undersøge i det følgende ud fra de aspekter, som den forelæggende ret har henledt Domstolens opmærksomhed på.

3.      Begrundelsen for det indgreb, der følger af PNR-direktivet

84.      Det tredje præjudicielle spørgsmål vedrører den i chartrets artikel 52, stk. 1, første sætning, indeholdte betingelse om, at ethvert indgreb i en grundlæggende rettighed skal være »fastlagt i lovgivningen«, mens Domstolen med det andet, det fjerde, det sjette og det ottende præjudicielle spørgsmål bl.a. anmodes om at tage stilling til iagttagelsen af proportionalitetsprincippet, som er nævnt i denne bestemmelses andet punktum.

a)      Overholdelsen af kravet om, at enhver begrænsning i udøvelsen af en grundlæggende rettighed, der er fastsat ved chartret, skal være fastlagt i lovgivningen

85.      Kravet om, at enhver begrænsning i udøvelsen af en grundlæggende rettighed skal være »fastlagt i lovgivningen«, sigter ifølge Domstolens faste praksis (75), der tager udgangspunkt i Menneskerettighedsdomstolens praksis (76), ikke udelukkende til indgrebets oprindelse i »lovgivningen« – som ikke er omhandlet i den foreliggende sag – men indebærer også, at det retsgrundlag, som tillader dette indgreb, selv skal fastsætte dets rækkevidde klart og præcist. Denne anden del, der vedrører »lovgivningens kvalitet« og således den pågældende foranstaltnings tilgængelighed og forudsigelighed (77), og som omfatter udtrykket »fastlagt i lovgivningen« som omhandlet i chartrets artikel 52, stk. 1, og artikel 8, stk. 2, samt i EMRK’s artikel 8, har ikke blot til formål at sikre overholdelsen af legalitetsprincippet og princippet om en passende beskyttelse mod vilkårlige indgreb (78), men indebærer også et krav om retssikkerhed. Dette krav bekræftes også i en udtalelse af 19. august 2016 fra Den Rådgivende Komité for Konvention nr. 108 (79) om de konsekvenser, som behandlingen af passagerlister har for databeskyttelsen (herefter »udtalelsen af 19. august 2016«) (80).

86.      EU-lovgiver har med vedtagelsen af PNR-direktivet selv begrænset de rettigheder, der er sikret ved chartrets artikel 7 og 8. De indgreb i de nævnte rettigheder, som dette direktiv tillader, kan derfor ikke betragtes som en konsekvens af medlemsstaternes valg (81) til trods for den skønsbeføjelse, som disse medlemsstater måtte have på tidspunktet for dets gennemførelse i national ret, idet retsgrundlaget for disse indgreb er selve PNR-direktivet. Under disse omstændigheder påhvilede det EU-lovgiver med henblik på at overholde den retspraksis, der er nævnt i punkt 85 i dette forslag til afgørelse, og de »høje standarder« for beskyttelse af de grundlæggende rettigheder, der bl.a. er indeholdt i chartret og i EMRK, hvortil der henvises i 15. betragtning til PNR-direktivet, at udstede klare og præcise regler, der fastsætter såvel rækkevidden som anvendelsen af de foranstaltninger, der medfører de nævnte indgreb.

87.      Med det tredje præjudicielle spørgsmål ønsker den forelæggende ret specifikt oplyst, om denne forpligtelse er opfyldt med hensyn til punkt 12 og 18 i bilag I, men undersøgelsen af det andet, det fjerde og det sjette præjudicielle spørgsmål, hvorved denne ret har rejst tvivl om, hvorvidt PNR-direktivets indgreb i de grundlæggende rettigheder, der er omhandlet i chartrets artikel 7 og 8, kræver ligeledes, at der tages stilling til, om de omtvistede bestemmelser i PNR-direktivet er tilstrækkeligt klare og præcise.

88.      Selv om denne vurdering, som jeg har forklaret i punkt 85 i dette forslag til afgørelse, vedrører indgrebets lovlighed som omhandlet i chartrets artikel 52, stk. 1, første punktum, vil den indgå i min undersøgelse af dette indgrebs forholdsmæssighed som omhandlet i denne bestemmelses andet punktum, hvilket er den tilgang, som både Domstolen og Menneskerettighedsdomstolen har valgt i sager om foranstaltninger, der omhandler behandling af personoplysninger (82).

b)      Respekten for det væsentligste indhold af de rettigheder, der er omhandlet i chartrets artikel 7 og 8

89.      Ifølge chartrets artikel 52, stk. 1, første afsnit, skal enhver begrænsning i udøvelsen af de grundlæggende rettigheder ikke blot hvile på et tilstrækkeligt præcist retsgrundlag, men også respektere disse rettigheders væsentligste indhold.

90.      Som jeg har nævnt i punkt 66 i dette forslag til afgørelse, indgår dette krav – der er indarbejdet i de forskellige medlemsstaters forfatninger (83) og ganske vist ikke anerkendes udtrykkeligt i EMRK, men er fast forankret i Menneskerettighedsdomstolens praksis (84) – i chartrets artikel 52, stk. 1 (85). Dette krav, som Domstolen anerkendte længe inden kodificeringen (86), er løbende blevet bekræftet i Unionens retsinstansers praksis, også efter at Lissabontraktaten trådte i kraft.

91.      Det fremgår bl.a. af dom af 6. oktober 2015, Schrems (87), at en EU-retsakt, som ikke respekterer det væsentligste indhold af en grundlæggende rettighed, automatisk mister sin gyldighed, uden at det er nødvendigt at foretage en afvejning af de berørte interesser. Domstolen har således anerkendt, at enhver grundlæggende rettighed udgør en »hård kerne«, der sikrer alle et frihedsrum, som er beskyttet mod ethvert indgreb fra offentlige myndigheder og ikke kan underkastes begrænsninger (88), uden at det rejser tvivl om principperne om demokrati, retsstaten og respekten for den menneskelige værdighed, som danner grundlag for beskyttelsen af de grundlæggende rettigheder. Det fremgår i øvrigt såvel af ordlyden af chartrets artikel 52, stk. 1, som af Domstolens praksis og navnlig af Schrems I-dommen, at vurderingen af, om der er sket indgreb i den pågældende grundlæggende rets væsentligste indhold, skal ske inden og uafhængigt af vurderingen af den omtvistede foranstaltnings proportionalitet. Der er med andre ord tale om en test med sin egen autonomi.

92.      Det er ikke desto mindre yderst vanskeligt at afgøre, hvad der udgør det »væsentligste indhold«, som ikke kan indskrænkes, af en grundlæggende rettighed, hvis udøvelse kan begrænses. Selv om det af hensyn til den pågældende grundlæggende rettigheds funktion er nødvendigt at definere dette begreb i absolutte vendinger, henset til denne rettigheds væsentlige kendetegn, de subjektive og objektive interesser, som den har til formål at beskytte, og mere generelt dens funktion i et demokratisk samfund, der er baseret på respekten for den menneskelige værdighed (89), er det næsten umuligt at gøre det i praksis, i hvert fald uden at tage hensyn til de kriterier, der normalt anvendes ved undersøgelsen af, om indgrebet i den pågældende rettighed er forholdsmæssigt, såsom indgrebets alvor, dets omfang eller dets tidsmæssige udstrækning, og dermed uden at tage hensyn til de særlige omstændigheder i det enkelte tilfælde.

93.      Hvad navnlig angår den grundlæggende ret til respekt for privatlivet skal der ikke blot tages hensyn til den betydning, som sikringen af en privatsfære, hvori den enkelte kan udfolde sit indre liv, har for dennes fysiske og psykiske sundhed, trivsel, selvstændighed, personlige udvikling og evne til at skabe og pleje sociale relationer, men også til den rolle, som denne ret spiller for bevaringen af andre rettigheder og friheder såsom tanke-, samvittigheds-, religions-, ytrings- og informationsfriheden, som ikke kan udnyttes fuldt ud, uden at der anerkendes en intimsfære. Der skal som helhed tages hensyn til den funktion, som respekten for retten til privatliv har i et demokratisk samfund (90). Domstolen synes at vurdere, om der foreligger en krænkelse af det væsentligste indhold af denne ret, på grundlag af både intensiteten og omfanget af dette indgreb, hvilket indikerer, at en sådan krænkelse snarere defineres kvantitativt end kvalitativt. I Digital Rights-dommen fastslog Domstolen således i det væsentlige, at den pligt til lagring af data, der var foreskrevet i direktiv 2006/24/EF (91), ikke var så alvorlig, at den påvirkede det væsentligste indhold af retten til respekt for privatlivet, eftersom dette direktiv ikke gav adgang til at »gøre sig bekendt med selve indholdet af de elektroniske kommunikationer« (92).
I udtalelse 1/15 fastslog Domstolen desuden i det væsentlige, at en begrænsning, der kun omfatter visse aspekter af de registreredes privatliv, ikke kan medføre et indgreb i det væsentligste indhold af denne grundlæggende ret (93).

94.      Med hensyn til den grundlæggende ret til beskyttelse af personoplysninger synes Domstolen at antage, at det væsentligste indhold af denne ret er sikret, når den foranstaltning, der medfører indgrebet, afgrænser formålene med behandlingen og fastsætter regler, som beskytter de pågældende oplysningers sikkerhed, bl.a. i forhold til hændelig eller ulovlig tilintetgørelse eller hændeligt tab eller forringelse (94).

95.      I den foreliggende sag har den forelæggende ret ganske vist ikke henvist udtrykkeligt til kravet om, at det væsentligste indhold af de rettigheder, der er omhandlet i chartrets artikel 7 og 8, skal respekteres, men spørgsmålet om overholdelsen af dette krav ligger efter min opfattelse i det fjerde og det sjette præjudicielle spørgsmål. Jeg vil derfor foreslå, at Domstolen besvarer det.

96.      Det bør herved påpeges, at Domstolen i præmis 150 i udtalelse 1/15, hvori den erkendte, at PNR-oplysninger »i givet fald kan afsløre meget præcise oplysninger om en persons privatliv« (95), og at disse oplysninger direkte eller indirekte kan bestå af følsomme oplysninger om den registrerede (96), ikke desto mindre med hensyn til udkastet til PNR-aftalen mellem Canada og EU, konkluderede, at eftersom »arten af disse oplysninger [var] begrænset til visse aspekter af dette privatliv vedrørende navnlig flypassagerer mellem Canada og Unionen«, kunne krænkelsen af den grundlæggende ret til respekt for privatlivet ikke berøre det væsentligste indhold af denne ret.

97.      Bortset fra at de PNR-oplysninger, der var omhandlet i udkastet til PNR-aftalen mellem Canada og EU, skulle overføres til et tredjeland, og at deres viderebehandling skulle foretages af myndighederne i dette tredjeland og på dets område, er de indgreb i den grundlæggende ret til respekt for privatlivet, der fulgte af det nævnte aftaleudkast, og dem, der er fastsat i PNR-direktivet, imidlertid stort set ens. Dette gælder navnlig for de omhandlede PNR-oplysninger, den systematiske og generelle karakter af disse oplysningers overførsel og behandling, dens automatiske karakter og opbevaringen af de nævnte oplysninger. Det, der adskiller de to sager fra hinanden, er derimod på sin vis disse indgrebs »geografiske udstrækning«. Som jeg har anført i punkt 77 i dette forslag til afgørelse, er de behandlinger af oplysninger, der er omhandlet i den foreliggende sag, nemlig ikke begrænset til flyforbindelser til et enkelt tredjeland, som det var tilfældet i udtalelse 1/15, men vedrører næsten alle flyvninger til og fra EU samt inden for EU. Det følger heraf, at PNR-direktivet set i forhold til udkastet til PNR-aftalen mellem Canada og EU kræver systematisk behandling af et langt større antal flypassagerer, som rejser med fly inden for og uden for EU. I betragtning af det øgede antal oplysninger, der behandles, og den øgede hyppighed, hvormed de indsamles, er det desuden sandsynligt, at deres behandling kan tilvejebringe oplysninger, der både er mere præcise og mere omfattende, om de registreredes privatliv (deres rejsevaner, personlige relationer, økonomiske situation osv.).

98.      Som det også var tilfældet i udtalelse 1/15, vedrører disse oplysninger ikke desto mindre isoleret set kun visse aspekter af privatlivet, som er knyttet til flyrejser. Da det er nødvendigt at definere begrebet »det væsentligste indhold« af de grundlæggende rettigheder snævert, for at fortsat kan fungere som en bastion mod angreb på disse rettigheders egentlige indhold, er det imidlertid min opfattelse, at den konklusion, som Domstolen drog i præmis 150 i udtalelse 1/15, kan overføres på den foreliggende sag.

99.      I udtalelse 1/15 afviste Domstolen også, at der forelå en krænkelse af det væsentligste indhold af retten til beskyttelse af personoplysninger (97). Denne konklusion kan efter min opfattelse ligeledes overføres på omstændighederne i den foreliggende sag. PNR-direktivets artikel 1, stk. 2, afgrænser nemlig – i lighed med udkastet til PNR-aftalen mellem Canada og EU – formålene med behandlingen af PNR-oplysninger. Dette direktiv og de andre EU-retsakter, hvortil det henviser, herunder databeskyttelsesforordningen og politidirektivet, indeholder i øvrigt specifikke bestemmelser, som navnlig tilsigter at beskytte disse oplysningers sikkerhed, fortrolighed og integritet og at beskytte dem mod ulovlig adgang og behandling. Selv om det ikke kan fastslås, at en lovgivning som den i PNR-direktivet indeholdte berører det væsentligste indhold af de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, skal den ikke desto mindre underkastes en streng og grundig proportionalitetskontrol.

c)      Overholdelsen af kravet om, at indgrebet skal svare til et mål af almen interesse

100. PNR-direktivet har navnlig til formål at garantere den indre sikkerhed i EU og at beskytte personers liv og sikkerhed ved overførsel af PNR-oplysninger til medlemsstaternes kompetente myndigheder, således at de kan anvende dem i forbindelse med bekæmpelse af terrorisme og grov kriminalitet (98).

101. Det fremgår nærmere bestemt af PNR-direktivets artikel 1, stk. 2, sammenholdt med sjette og syvende betragtning hertil, og af det forslag fra Kommissionen, der førte til vedtagelsen af dette direktiv (herefter »forslaget til PNR-direktivet«) (99), at de retshåndhævende myndigheder (100) anvender PNR-oplysninger på flere måder til dette formål. For det første anvendes disse oplysninger til at identificere personer, der er eller mistænkes for at være involveret i terrorhandlinger og grov kriminalitet, som allerede er begået, at indsamle bevismateriale og, hvor det er relevant, at finde kriminelles medskyldige og optrævle kriminelle netværk (»reaktiv« anvendelse). For det andet kan PNR-oplysninger vurderes forud for passagerernes ankomst eller afrejse for at forhindre en forbrydelse og identificere personer, der ikke tidligere har været mistænkt for at være involveret i terrorhandlinger eller grov kriminalitet, og som de retshåndhævende myndigheder bør undersøge nærmere ud fra resultatet af denne vurdering (anvendelse »i realtid«). PNR-oplysninger anvendes endelig til udformning af vurderingskriterier, der kan anvendes efterfølgende til at undersøge den risiko, som passagerer udgør, forud for deres ankomst eller afrejse (»proaktiv« anvendelse). En sådan proaktiv anvendelse af PNR-oplysninger bør gøre det muligt for de retshåndhævende myndigheder at imødegå den trussel, som grov kriminalitet og terrorisme udgør, fra et andet perspektiv end ved behandling af andre kategorier af personoplysninger (101).

102. Det fremgår af Domstolens praksis, at formålet om at beskytte den offentlige sikkerhed, der bl.a. omfatter forebyggelse, efterforskning, afsløring og retsforfølgning af såvel terrorhandlinger som strafbare handlinger, der betragtes som grov kriminalitet, udgør et mål af almen interesse for EU, der kan begrunde endog alvorlige indgreb i de grundlæggende rettigheder, som er sikret ved chartrets artikel 7 og 8 (102).

103. Domstolen har ligeledes anerkendt, at formålene om beskyttelse af den offentlige sikkerhed og om bekæmpelse af grov kriminalitet bidrager til beskyttelsen af andres rettigheder og friheder (103). For at kunne foretage en rimelig afvejning mellem disse formål og de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8 (104), skal der således også tages hensyn til betydningen af de rettigheder, der er sikret ved chartrets artikel 3, 4, 6 og 7. Selv om Domstolen i denne henseende i dommen i sagen La Quadrature du Net m.fl. fastslog, at chartrets artikel 6 »ikke [kan] fortolkes således, at den pålægger de offentlige myndigheder en pligt til at vedtage specifikke foranstaltninger med henblik på at retsforfølge visse strafbare handlinger« (105), fremhævede den imidlertid hvad navnlig angår den effektive bekæmpelse af strafbare handlinger, som navnlig mindreårige og andre sårbare personer er ofre for, at der kan påhvile de offentlige myndigheder positive forpligtelser til at vedtage retlige foranstaltninger, der har til formål at beskytte privatlivet og familielivet, i medfør af chartrets artikel 7 og i medfør af dets artikel 3 og 4 med hensyn til beskyttelsen af en persons fysiske og psykiske integritet og af forbuddet mod tortur og umenneskelig og nedværdigende behandling (106).

104. Domstolen fandt endelig, at formålet om beskyttelse af den nationale sikkerhed vejer tungere end formålet om bekæmpelse af kriminalitet i almindelighed, herunder også grov kriminalitet, og formålet om beskyttelse af den offentlige sikkerhed, og at det derfor kan begrunde foranstaltninger, der indebærer indgreb i de grundlæggende rettigheder, som er mere alvorlige end dem, som disse andre formål kan begrunde (107). Eftersom terrorhandlinger kan udgøre trusler mod medlemsstaternes nationale sikkerhed, bidrager det system, der er indført ved PNR-direktivet, for så vidt som det er et instrument til bekæmpelse af sådanne handlinger, til formålet om at beskytte medlemsstaternes nationale sikkerhed.

d)      Overholdelsen af proportionalitetsprincippet

105. I henhold til chartrets artikel 52, stk. 1, andet punktum, kan der under iagttagelse af proportionalitetsprincippet kun indføres begrænsninger i udøvelsen af en grundlæggende rettighed, der er anerkendt i chartret, såfremt disse er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

106. Der skal i denne henseende henvises til, at proportionalitetsprincippet ifølge Domstolens faste praksis indebærer et krav om, at EU-institutionernes retsakter skal være egnede til at gennemføre de lovlige mål, som forfølges med den omhandlede lovgivning, og ikke går videre, end hvad der er nødvendigt og passende for gennemførelsen af disse mål (108).

107. Det fremgår af Domstolens faste praksis, at beskyttelsen af den grundlæggende ret til respekt for privatlivet på EU-plan kræver, at undtagelserne til og begrænsningerne af beskyttelsen af personoplysninger holdes inden for det strengt nødvendige. Desuden kan et mål af almen interesse ikke forfølges uden hensyntagen til den omstændighed, at dette mål skal forenes med de grundlæggende rettigheder, der er berørt af foranstaltningen, ved at foretage en rimelig afvejning mellem målet af almen interesse og de pågældende rettigheder (109). Proportionaliteten af en begrænsning af de rettigheder, der er sikret ved chartrets artikel 7 og 8, skal nærmere bestemt vurderes ved at bedømme alvoren af det indgreb, som en sådan begrænsning indebærer, og ved at kontrollere, at betydningen af det mål af almen interesse, der forfølges med denne begrænsning, står i forhold til denne alvor (110).

108. Det fremgår af Domstolens praksis, at for at opfylde kravet om proportionalitet skal PNR-direktivet, som er det retsgrundlag, der indebærer de indgreb i de ved chartrets artikel 7 og 8 sikrede grundlæggende rettigheder, der er beskrevet i punkt 70-83 i dette forslag til afgørelse, fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af de foranstaltninger, der indebærer sådanne indgreb, og opstille en række mindstekrav, således at de personer, hvis oplysninger er blevet videregivet, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte deres personoplysninger mod risikoen for misbrug og mod ulovlig adgang til og anvendelse af disse oplysninger (111). Nødvendigheden af at råde over sådanne garantier er så meget desto større, når personoplysningerne er undergivet en automatiseret behandling, og når der er tale om beskyttelse af den særlige kategori af personoplysninger, som følsomme oplysninger udgør (112).

109. Med hensyn til omfanget af den retslige prøvelse af overholdelsen af de krav, der følger af proportionalitetsprincippet, er EU-lovgivers skønsbeføjelse, henset til dels den betydelige rolle, som beskyttelsen af personoplysninger spiller i forhold til den grundlæggende ret til respekt for privatlivet, dels det indgreb i denne ret, som PNR-direktivet indebærer, begrænset, hvorfor der kræves en streng prøvelse (113).

1)      Spørgsmålet om, hvorvidt den behandling af PNR-oplysninger, der er omhandlet i PNR-direktivet, er egnet, henset til det formål, der forfølges

110. I præmis 153 i udtalelse 1/15 fastslog Domstolen med hensyn til udkastet til PNR-aftalen mellem Canada og EU, at overførslen af PNR-oplysninger til Canada og den efterfølgende behandling heraf kan anses for at være egnet til at opfylde formålet vedrørende beskyttelse af den offentlige sikkerhed. Denne egnethed, der har været anerkendt længe såvel på EU-plan som på verdensplan (114), kan der efter min opfattelse ikke være nogen tvivl om for så vidt angår indsamlingen og den efterfølgende behandling af PNR-oplysninger både for flyvninger uden for EU og for flyvninger inden for EU (115).

111. Effektiviteten af det system til behandling af PNR-oplysninger, der er indført ved direktivet, kan dog kun vurderes konkret ud fra resultaterne af dets anvendelse (116). Det er ud fra dette synspunkt afgørende, at denne effektivitet vurderes løbende på grundlag af statistiske oplysninger, der er så præcise og pålidelige som muligt (117). Kommissionen bør i denne forbindelse med jævne mellemrum foretage en revision svarende til den, der allerede kræves i PNR-direktivets artikel 19.

2)      Indgrebets strengt nødvendige karakter

112. Selv om Cour constitutionnelle (forfatningsdomstol) ikke direkte har rejst tvivl om, at PNR-direktivet indeholder klare og præcise regler, der er begrænset til det strengt nødvendige, for så vidt angår afgrænsningen af formålene med behandlingen af PNR-oplysninger (118), kan det efter min opfattelse ikke undlades at besvare dette spørgsmål i forbindelse med den af den forelæggende ret ønskede undersøgelse af, om det system, der er fastsat ved dette direktiv, er forholdsmæssigt (119).

i)      Afgrænsningen af formålene med behandlingen af PNR-oplysninger

113. En klar afgrænsning af de formål, som gør det muligt for de kompetente myndigheder at få adgang til personoplysninger og at anvende dem efterfølgende, udgør et væsentligt krav i forbindelse med ethvert system til behandling af personoplysninger, navnlig til retshåndhævende formål. Det er i øvrigt nødvendigt at opfylde dette krav, for at Domstolen kan vurdere, om de pågældende foranstaltninger er forholdsmæssige, ved brug af den test af indgrebets alvor set i forhold til betydningen af det tilsigtede mål, som er fastsat i dens praksis (120).

114. Domstolen har fremhævet betydningen af en klar afgrænsning af formålene med de foranstaltninger, der indebærer begrænsninger af den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, bl.a. i Digital Rights-dommen, hvori den erklærede direktiv 2006/24 ugyldig. I denne doms præmis 60 bemærkede Domstolen, at dette direktiv ikke fastsatte »noget objektivt kriterium, som gør det muligt at afgrænse de kompetente nationale myndigheders adgang til dataene og den efterfølgende anvendelse heraf med henblik på forebyggelse, afsløring eller strafferetlig forfølgning vedrørende kriminalitet, der, henset til rækkevidden og alvoren af indgrebet i de rettigheder, som er fastslået i chartrets artikel 7 og 8, kan anses for tilstrækkeligt grov til at begrunde et sådant indgreb«, og at det derimod begrænsede sig til »i artikel 1, stk. 1, at henvise generelt til grov kriminalitet som defineret af de enkelte medlemsstater i deres nationale lovgivning«.

115. I PNR-direktivets artikel 1, stk. 2, angives et generelt kriterium om formålsbegrænsning, hvorefter »PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, [kun] må […] behandles med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet«. I modsætning til direktiv 2006/24 indeholder PNR-direktivet imidlertid ikke kun en sådan angivelse, men definerer selv i artikel 3, nr. 8) og 9), både begrebet »terrorhandlinger« og begrebet »grov kriminalitet«, det første med henvisning til artikel 1-4 i Rådets rammeafgørelse 2002/475/RIA af 13. juni 2002 om bekæmpelse af terrorisme (EFT 2002, L 164, s. 3) (erstattet af direktiv (EU) 2017/541) (121) og det andet ved opregning i bilag II af de kategorier af straffelovsovertrædelser, der falder ind under dette begreb, og ved fastsættelse af en grovhedstærskel baseret på den maksimale varighed af den frihedsstraf eller anden frihedsberøvende foranstaltning, der kan idømmes for disse overtrædelser.

116. Selv om henvisningen til de relevante bestemmelser i direktiv 2017/541 gør det muligt at angive tilstrækkeligt klart og præcist, hvilke handlinger der kan kvalificeres som terrorhandlinger i medfør af PNR-direktivets artikel 3, nr. 8), og at vurdere deres alvor med henblik på afvejningen mellem betydningen af det formål vedrørende beskyttelse af den offentlige sikkerhed, der forfølges med dette direktiv, og alvoren af det indgreb, som det medfører i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, er det mindre indlysende, at det samme kan konkluderes for alle de overtrædelser, der er opregnet i bilag II.

117. Domstolen fastslog i præmis 177 i udtalelse 1/15, at udkastet til PNR-aftalen mellem Canada og EU definerede grovheden af de lovovertrædelser, der er omfattet af begrebet »grov, grænseoverskridende kriminalitet«, klart og præcist, idet det fremgik, at der for disse overtrædelser kunne »idømmes en maksimumsstraf på mindst fire års frihedsberøvelse eller en hårdere straf«, der henvistes til »de i canadisk ret definerede lovovertrædelser«, og der blev peget på »de forskellige tilfælde, hvor en lovovertrædelse skal anses for at være af grænseoverskridende karakter«.

118. Til forskel fra den lovgivning, som Domstolen undersøgte i denne udtalelse, skal det for det første fremhæves, at der i PNR-direktivets definition af de omhandlede overtrædelser ikke tages hensyn til deres grænseoverskridende karakter, for det andet, at dette direktiv indeholder et udtømmende katalog over overtrædelser, der efter deres karakter betragtes som grov kriminalitet, såfremt de udløser den laveste maksimale straf, der er fastsat i dets artikel 3, nr. 9), og for det tredje, at det principielt sænker grovhedstærsklen ved at opstille et kriterium, der er baseret på niveauet for den maksimale straf, og ved at fastsætte denne tærskel til tre år.

119. Hvad for det første angår det manglende begrænsningskriterium baseret på den grænseoverskridende karakter er det korrekt, at en afgrænsning af PNR-direktivets materielle anvendelsesområde alene til grov, »grænseoverskridende« kriminalitet ville have gjort det muligt at sigte mod overtrædelser, som efter deres karakter i hvert fald potentielt kunne have været objektivt forbundet med haft en objektiv forbindelse til flyrejser og dermed til de kategorier af oplysninger, der indsamles og behandles i medfør af PNR-direktivet (122). Med hensyn til dette princip deler jeg imidlertid Kommissionens holdning om, at et sådant kriteriums relevans og nødvendighed er mindre indlysende i forbindelse med en mekanisme til bekæmpelse af kriminalitet, som har til formål at beskytte den indre sikkerhed i EU, end i forbindelse med en international aftale. Som Kommissionen også har anført, udgør de manglende grænseoverskridende elementer i øvrigt ikke i sig selv noget indicium for, at der ikke foreligger en grov overtrædelse.

120. Hvad for det andet angår kriteriet om fastsættelse af en tærskel for de omhandlede overtrædelsers grovhed – som med henblik på forudgående vurdering af denne grovhed skal fortolkes således, at det sigter til den maksimale varighed af den frihedsstraf eller anden frihedsberøvende foranstaltning, der er fastlagt i lovgivningen, og ikke af den straf, der konkret kan idømmes i et specifikt tilfælde – er dette kriterium, selv om det er baseret på den laveste maksimale straf og ikke på den laveste minimale straf, ikke i sig selv uegnet til at identificere en tilstrækkelig grad af grovhed, der kan begrunde det indgreb i de ved chartrets artikel 7 og 8 sikrede grundlæggende rettigheder, som følger af den behandling af oplysninger, der er fastsat i PNR-direktivet. Efter min opfattelse skal det imidlertid fortolkes som et kriterium, der identificerer en »minimal« grad af grovhed. Selv om et sådant kriterium forbyder medlemsstaterne at betragte de overtrædelser, der er omhandlet i bilag II, og for hvilke der i deres nationale strafferet er fastsat en frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindre end tre år, som »grov kriminalitet«, forpligter det dem derimod ikke til automatisk at foretage en sådan kvalificering af alle overtrædelser, der vil kunne omfattes af det nævnte bilag II, og for hvilke der kan idømmes en straf, som når den tærskel, der er fastsat i PNR-direktivets artikel 3, nr. 9), når en sådan anerkendelse, henset til de særlige kendetegn ved deres strafferetlige system, vil føre til anvendelse af den ordning, der er indført ved PNR-direktivet for i fællesskab at forebygge, opdage, efterforske og retsforfølge kriminalitet, i strid med de formål, der forfølges med dette direktiv.

121. Hvad for det tredje angår kataloget i bilag II skal det indledningsvis påpeges, at den udtømmende opregning i PNR-direktivet af de overtrædelser, der falder ind under definitionen af »grov kriminalitet«, udgør en grundlæggende formel og materiel garanti, som skal sikre lovligheden af det system, der er indført ved PNR-direktivet, og passagerernes retssikkerhed. Det må imidlertid konstateres, at det nævnte katalog både omfatter overtrædelser, der uomtvisteligt er meget grove, henset til deres karakter – som f.eks. menneskehandel, seksuel udnyttelse af børn og børnepornografi, ulovlig handel med våben eller med nukleare eller radioaktive materialer, skibs- eller flykapring, strafbare handlinger omfattet af Den Internationale Straffedomstols straffemyndighed, forsætligt manddrab, voldtægt, bortførelse, frihedsberøvelse og gidseltagning (123) – og overtrædelser, hvor graden af grovhed er mindre indlysende, såsom svig, efterligninger og fremstilling af piratudgaver af produkter, forfalskning af officielle dokumenter og ulovlig handel med falske dokumenter samt handel med stjålne motorkøretøjer (124). Nogle af de overtrædelser, der er nævnt i bilag II, kan i øvrigt i højere grad end andre efter deres karakter være grænseoverskridende, herunder menneskehandel, ulovlig handel med narkotika eller våben, seksuel udnyttelse af børn, menneskesmugling og flykapring, og kan også være forbundet med luftbefordring af passagerer.

122. Der er stor forskel på, om rubrikkerne i bilag II er tilstrækkeligt klare og præcise. Selv om listen i dette bilag skal betragtes som udtømmende, er flere af rubrikkerne således af »åben« karakter (125), og andre henviser til generelle begreber, der kan omfatte et meget stort antal overtrædelser af forskellig grovhed, om end de ikke overskrider maksimumstærsklen i PNR-direktivets artikel 3, nr. 9) (126).

123. Det bør herved for det første påpeges, at de harmoniseringsdirektiver, som er vedtaget på de i artikel 83, stk. 1, TEUF omhandlede områder, og som er nævnt i fodnote 123 til dette forslag til afgørelse, indeholder relevante oplysninger, som gør det muligt at identificere i hvert fald nogle af de alvorlige strafbare handlinger, der kan henføres til de tilsvarende rubrikker i bilag II. Artikel 3-8 i direktiv 2013/40 indeholder således definitioner af forskellige strafbare handlinger, som er omfattet af begrebet »IT-kriminalitet/cyberkriminalitet« i punkt 9 i dette bilag II, idet der i hvert enkelt tilfælde ses bort fra handlinger, som udgør »[mindre grove] tilfælde« (127). Direktiv 2019/713 definerer endvidere visse former for svigagtige handlinger, og direktiv 2017/1371 definerer de enkelte elementer i »svig til skade for Unionens finansielle interesser«. Der skal i denne sammenhæng ligeledes henvises til direktiv 2008/99/EF om strafferetlig beskyttelse af miljøet (128), som blev vedtaget på grundlag af artikel 175, stk. 1, EF, og som i artikel 3 definerer en række alvorlige miljøovertrædelser, der kan henføres til rubrik 10 i bilag II, herunder adfærd, der anses for »ulovlig handel med truede dyrearter og ulovlig handel med truede plantearter og træsorter«, medmindre den pågældende handling har en ubetydelig indvirkning på det, der beskyttes. Det skal endelig henvises til direktiv 2002/90/EF (129), der definerer hjælp til ulovlig indrejse og transit samt ulovligt ophold, rammeafgørelse 2002/946/RIA (130), der styrker de strafferetlige rammer med henblik på at bekæmpe disse overtrædelser, rammeafgørelse 2003/568/RIA (131), der definerer strafbare handlinger, som anses for »aktiv og passiv bestikkelse i den private sektor«, og rammeafgørelse 2008/841/RIA (132), der definerer strafbare handlinger med forbindelse til deltagelse i en kriminel organisation.

124. Det bør for det andet, som Kommissionen med rette har anført, fremhæves, at det i mangel af en fuldstændig harmonisering af den materielle strafferet ikke kan foreholdes EU-lovgiver, at denne ikke har præciseret overtrædelserne i bilag II nærmere. Til forskel fra det nedenfor nævnte vedrørende den i bilag I indeholdte liste over PNR-oplysninger indebærer gennemførelsen af kataloget over overtrædelser i bilag II i national ret således nødvendigvis, at medlemsstaterne definerer de overtrædelser, der kan være omfattet, ud fra de særlige kendetegn ved deres nationale strafferetlige systemer. Dette skal imidlertid ske i fuld overensstemmelse med kriteriet om, at ethvert indgreb i de grundlæggende rettigheder, der er omhandlet i chartrets artikel 7 og 8, skal begrænses til det strengt nødvendige. Efter min opfattelse er medlemsstaterne eksempelvis ikke afskåret fra at bestemme, at anvendelsen af PNR-oplysninger for visse overtrædelser som f.eks. de i punkt 7, 16, 17, 18 og 25 i bilag II nævnte skal begrænses til tilfælde, hvor disse overtrædelser er af grænseoverskridende karakter, er begået inden for rammerne af en kriminel organisation eller er forbundet med visse skærpende omstændigheder. Det påhviler medlemsstaternes retsinstanser under Domstolens kontrol at fortolke de nationale bestemmelser, der gennemfører det nævnte katalog i national ret, i overensstemmelse med såvel PNR-direktivet som chartret, således at behandlingen af PNR-oplysninger for hver rubrik begrænses til overtrædelser, som udviser den høje grad af grovhed, der kræves i dette direktiv, og overtrædelser, for hvilke en sådan behandling anses for relevant (133).

125. Med forbehold af præciseringerne i punkt 120 og 124 i dette forslag til afgørelse er det min opfattelse, at PNR-direktivets artikel 3, nr. 9), og kataloget over overtrædelser i bilag II hertil opfylder kravene om klarhed og præcision og ikke overskrider grænserne for det strengt nødvendige.

126. Det må imidlertid erkendes, at den løsning, der skitseres i punkt 124 i dette forslag til afgørelse, ikke er helt tilfredsstillende. Den overlader nemlig medlemsstaterne et vidt skøn, således at det materielle anvendelsesområde for behandlingen af PNR-oplysninger kan variere betydeligt fra medlemsstat til medlemsstat, hvilket strider mod det harmoniseringsmål, som EU-lovgiver forfølger (134). Den indebærer desuden, at proportionalitetskontrollen af et væsentligt element i systemet, nemlig begrænsningen af formålene med denne behandling, foretages efterfølgende baseret på de nationale gennemførelsesforanstaltninger og ikke på forhånd baseret på selve PNR-direktivet. Det vil derfor være ønskeligt, at Domstolen, såfremt den følger mit forslag og fastslår, at PNR-direktivets artikel 3, nr. 9), og kataloget over overtrædelser i bilag II hertil er forenelige med chartrets artikel 7 og 8 samt artikel 52, stk. 1, gør EU-lovgiver opmærksom på, at en sådan vurdering kun er foreløbig, og at den kræver, at lovgiver i lyset af medlemsstaternes gennemførelse af denne bestemmelse og af dette katalog og på grundlag af de i PNR-direktivets artikel 20 omhandlede statistiske oplysninger undersøger, om det er nødvendigt i) at præcisere nærmere, hvilke kategorier af overtrædelser der er omfattet af det nævnte katalog, og at begrænse dets rækkevidde, ii) at fjerne overtrædelser fra listen, hvis behandlingen af PNR-oplysninger viser sig at være uforholdsmæssig, irrelevant eller ineffektiv, og iii) at hæve grovhedstærsklen for de overtrædelser, der er omhandlet i PNR-direktivets artikel 3, nr. 9) (135). Det bør herved påpeges, at selv om PNR-direktivets artikel 19, stk. 2, litra b), pålægger Kommissionen at foretage en revision af alle elementerne i dette direktiv med særlig fokus på »nødvendigheden og proportionaliteten af at indsamle og behandle PNR-oplysninger for hvert af de mål, der er fastsat« heri, synes hverken Kommissionens rapport fra 2020 eller det ledsagende arbejdsdokument fra 2020 at indeholde en tilfredsstillende undersøgelse af dette spørgsmål.

ii)    De kategorier af PNR-oplysninger, der er omhandlet i PNR-direktivet (det andet og det tredje præjudicielle spørgsmål)

127. Det fremgår af PNR-direktivet, at luftfartsselskaberne skal overføre 19 kategorier af PNR-oplysninger, som de indsamler i forbindelse med reservation af flybilletter, til passageroplysningsenhederne. Disse kategorier, der er opregnet i bilag I, svarer til dem, der anvendes i luftfartsselskabernes reservationssystemer, og dem, der er opregnet i bilag I til de retningslinjer om passagerlisteoplysninger, som Organisationen for Civil Luftfart (ICAO) vedtog i 2010 (136) (herefter »ICAO’s retningslinjer«).

128. Med det andet præjudicielle spørgsmål ønsker den forelæggende ret oplyst, om bilag I er gyldigt, henset til chartrets artikel 7 og 8 samt artikel 52, stk. 1, under hensyntagen til dels rækkevidden af de personoplysninger, der opregnes i dette bilag – bl.a. hvad angår de API-oplysninger, der er omhandlet i punkt 18 heri, for så vidt som de er mere vidtrækkende end de oplysninger, der opregnes i API-direktivets artikel 3, stk. 2 – dels muligheden for, at disse oplysninger samlet set afslører følsomme oplysninger og dermed overskrider grænserne for det »strengt nødvendige«. Med det tredje præjudicielle spørgsmål – der som tidligere nævnt vedrører overholdelsen af den første af de tre betingelser i chartrets artikel 52, stk. 1, hvorefter ethvert indgreb i en grundlæggende ret skal være »fastlagt i lovgivningen« – har Cour constitutionnelle (forfatningsdomstol) derimod anmodet Domstolen om at tage stilling til gyldigheden af punkt 12 og 18 i bilag I, bl.a. under hensyntagen til deres »åbne« karakter.

129. Eftersom den undersøgelse, der skal foretages i forbindelse med det andet præjudicielle spørgsmål, kræver, at det undersøges, om de kategorier af personoplysninger, der er omhandlet i bilag I, er tilstrækkeligt klare og præcise, vil jeg behandle det tredje præjudicielle spørgsmål først.

–       Den tilstrækkeligt klare og præcise karakter af punkt 12 og 18 i bilag I (det tredje præjudicielle spørgsmål)

130. Det skal indledningsvis påpeges, at rækkevidden og alvoren af det indgreb i de i chartrets artikel 7 og 8 omhandlede grundlæggende rettigheder, som følger af en foranstaltning, der medfører begrænsninger i udøvelsen af disse rettigheder, først og fremmest afhænger af omfanget og arten af de personoplysninger, der er genstand for behandling. Identificeringen af disse oplysninger udgør derfor en væsentlig handling, som nødvendigvis skal foretages så klart og præcist som muligt i forbindelse med ethvert retsgrundlag, der indfører en sådan foranstaltning.

131. Dette krav er for så vidt angår behandling af PNR-oplysninger blevet anerkendt i udtalelse 1/15. Med hensyn til de rubrikker i bilaget til udkastet til PNR-aftalen mellem Canada og EU, hvori de PNR-oplysninger, der er omfattet af den påtænkte aftale, opregnes, bemærkede Domstolen i denne udtalelse bl.a., at anvendelsen af generelle kategorier af oplysninger, som ikke fastlægger omfanget af de oplysninger, der skal overføres, i tilstrækkelig grad, og anvendelsen af illustrative lister over oplysninger, som ikke fastsætter nogen afgrænsning med hensyn til arten og omfanget af de oplysninger, der kan indgå i den pågældende rubrik, ikke opfyldte betingelserne om klarhed og præcision.

132. Det er i lyset af disse principper, at det tredje præjudicielle spørgsmål skal undersøges.

133. Hvad angår punkt 12 i bilag I er dette affattet således:

»[g]enerelle bemærkninger (herunder alle tilgængelige oplysninger om uledsagede mindreårige under 18 år, såsom den mindreåriges navn og køn, alder og talt(e) sprog, navnet på og kontaktoplysninger for den ansvarlige person ved afrejsen og dennes forhold til den mindreårige, navnet på og kontaktoplysninger for den ansvarlige person ved ankomsten og dennes forhold til barnet, lufthavnsmedarbejder ved afgang og ankomst)«.

134. For så vidt som dette punkt vedrører »generelle bemærkninger«, udgør det i lighed med rubrik 17 i bilaget til udkastet til PNR-aftalen mellem Canada og EU et »fritekstfelt«, der har til formål at omfatte alle oplysninger, som luftfartsselskaberne indsamler i forbindelse med deres servicevirksomhed, ud over dem, der udtrykkeligt er opregnet i de øvrige punkter i bilag I. Det må imidlertid konstateres, hvilket Domstolen gjorde i præmis 160 i udtalelse 1/15, at en rubrik af denne type »[ikke giver nogen] indikation af arten og omfanget af de oplysninger, som skal overføres og […] endda [synes] at kunne omfatte oplysninger, der ikke har nogen som helst forbindelse med formålet med overførslen af PNR-oplysninger«. Eftersom den præciserende parentes i punkt 12 i bilag I, der vedrører oplysninger om uledsagede mindreårige, kun er angivet som eksempel, hvilket brugen af ordet »herunder« vidner om, fastsætter dette punkt desuden ingen afgrænsning med hensyn til arten og omfanget af de oplysninger, som kan være omfattet heraf (137).

135. Punkt 12 i bilag I kan på denne baggrund ikke anses for at være afgrænset tilstrækkeligt klart og præcist.

136. Selv om Kommissionen og Parlamentet synes at være enig i denne konklusion, har de medlemsstater, der har fremsat bemærkninger til det tredje præjudicielle spørgsmål, og Rådet anfægtet den med støtte i argumenter, der i det store og hele er sammenfaldende.

137. For det første har de fremført en række argumenter for generelt at rejse tvivl om, hvorvidt det er muligt at overføre de konklusioner, som Domstolen nåede frem til i udtalelse 1/15, på den foreliggende sag.

138. Selv om jeg er bevidst om, at der er forskel på konteksten i de to sager, vil jeg hertil blot anføre, at den konklusion, som Domstolen nåede frem til i præmis 160 i udtalelse 1/15 vedrørende rubrik 17 i bilaget til udkastet til PNR-aftalen mellem Canada og EU, var baseret på en rent semantisk og strukturel fortolkning af denne rubrik. En sådan fortolkning kan imidlertid uden problemer overføres på punkt 12 i bilag I, hvis ordlyd for den ikke-illustrative dels vedkommende er identisk med den nævnte rubriks ordlyd og har en tilsvarende struktur. Som jeg vil forklare nærmere i det følgende, indgår de pågældende to regler i øvrigt i den samme multilaterale retlige kontekst, der bl.a. omfatter ICAO’s retningslinjer, hvortil Domstolen desuden henviste udtrykkeligt i præmis 156 i udtalelse 1/15. Der er under disse omstændigheder intet til hinder for at følge den fortolkning af punkt 12 i bilag I som Domstolen i præmis 160 i udtalelse 1/15 anlagde af rubrik 17 i bilaget til udkastet til PNR-aftalen mellem Canada og EU, og der er frem for alt ingen grund til at afvige herfra.

139. For det andet har flere medlemsstater fremhævet, at de forskellige punkter i bilag I, herunder punkt 12, svarer til rubrikkerne i bilag I til ICAO’s retningslinjer, som luftfartsselskaberne har et godt kendskab til, og som de fuldt ud er i stand til at tillægge et præcist indhold. Dette punkt 12 svarer bl.a. til de to sidste rubrikker i det nævnte bilag, som bærer overskrifterne »Generelle bemærkninger« og »Fritekst/kodefelter i OSI [Other Supplementary Information], SSR [Special Service Request], SSI [Special Service Request], bemærkninger/historie« og omhandler »yderligere oplysninger« eller »oplysninger om ønskede ydelser« (138).

140. Det skal herved indledningsvis anføres, at overensstemmelsen mellem rubrikkerne i bilaget til udkastet til PNR-aftalen mellem Canada og EU på den ene side og rubrikkerne i bilag I til ICAO’s retningslinjer på den anden side ikke var til hinder for, at Domstolen i udtalelse 1/15 udtalte, at visse af rubrikkerne i bilag I til det nævnte udkast til aftale ikke opfyldte de krav om klarhed og præcision, der stilles til en foranstaltning, som begrænser udøvelsen af grundlæggende rettigheder. Det bør endvidere fremhæves, at en – i øvrigt indirekte – henvisning (139) til ICAO’s retningslinjer ikke, som visse medlemsstater synes at antage, fører til nærmere præcisering af arten og omfanget af de oplysninger, der kan være omfattet af punkt 12 i bilag I. En gennemlæsning af disse retningslinjer bekræfter tværtimod konklusionen om, at et »fritekstfelt« som det nævnte punkt 12 omfatter et ubestemt antal oplysninger af forskellig art ud over dem, der automatisk indgår i PNR-oplysninger (140).

141. For det tredje har visse regeringer anført, at det påhviler medlemsstaterne at præcisere, hvilke oplysninger der kan indgå i punkt 12 i bilag I, ved hjælp af nationale lovforanstaltninger og under overholdelse af de grænser, der er fastsat i chartrets artikel 7 og 8 samt artikel 52, stk. 1. Det ligger nemlig i et direktivs natur, at medlemsstaterne har en skønsmargen i forhold til de midler, der er nødvendige for at gennemføre de bestemmelser, som det fastsætter.

142. Det bør herved som nævnt i punkt 86 i dette forslag til afgørelse anføres, at når foranstaltninger, der indebærer indgreb i de grundlæggende rettigheder, der er fastsat i chartret, udspringer af en EU-retsakt, påhviler det EU-lovgiver at fastlægge den nøjagtige rækkevidde af disse indgreb under overholdelse af ovennævnte kriterier om klarhed og præcision samt proportionalitetsprincippet. Det følger heraf, at når det instrument, som denne lovgiver har valgt, er et direktiv, kan det efter min opfattelse ikke bestemmes, at medlemsstaterne i forbindelse med dets gennemførelse i national ret skal fastlægge de væsentlige elementer, der definere indgrebets rækkevidde, såsom – med hensyn til begrænsningerne af de grundlæggende rettigheder, der er omhandlet i chartrets artikel 7 og 8 – arten og omfanget af de personoplysninger, der skal behandles.

143. For det fjerde har visse medlemsstater fremhævet, at punkt 12 i bilag I skal forstås således, at det alene omfatter oplysninger, der er forbundet med transportydelsen. Hvis dette punkt fortolkes således, vil det være foreneligt med chartrets artikel 7 og 8 samt artikel 52, stk. 1.

144. Dette argument finder jeg heller ikke overbevisende. De oplysninger, der kan indgå i rubrikken »generelle bemærkninger« og henføres til koderne OSI, SSI og SSR, er nemlig meget forskelligartede (helbredsmæssige behov, særlig kost eller kostpræferencer, enhver anmodning om assistance, oplysninger om uledsagede mindreårige osv.) (141), og de er alle forbundet med transportydelsen, for så vidt som de navnlig skal gøre det muligt for luftfartsselskabet at afpasse denne ydelse efter den enkelte passagers krav. Et fortolkningskriterium, der er baseret på oplysningernes relevans i forhold til transportydelsen, gør det derfor ikke muligt at præcisere rækkevidden af dette punkt 12 nærmere. Jeg vil desuden påpege, at selv om Domstolen i præmis 159 i udtalelse 1/15 anvendte dette kriterium for at fortolke en anden rubrik i bilaget til udkastet til PNR-aftalen mellem Canada og EU i overensstemmelse med kravene om klarhed og præcision, afviste den alligevel, at den kunne gøre det samme for rubrik 17 i dette bilag, der svarer til punkt 12 i bilag I.

145. For det femte har visse medlemsstater pointeret, at de oplysninger, der kan omfattes af punkt 12 i bilag I, videregives frivilligt til luftfartsselskaberne af passagererne selv, som informeres behørigt om disse oplysningers senere overførsel de offentlige myndigheder. Den grundlæggende idé med et sådant argument synes at være, at passageren giver en form for stiltiende samtykke til, at de oplysninger, som vedkommende videregiver til luftfartsselskaberne, efterfølgende overføres til de offentlige myndigheder.

146. Domstolen har i denne forbindelse allerede præciseret, at der ikke kan være tale om noget »samtykke«, når den registrerede ikke frit kan modsætte sig behandlingen af sine personoplysninger (142). For de fleste af de oplysninger, der kan indgå i punkt 12 i bilag I, har den pågældende passager imidlertid ikke noget egentligt valg, men er nødt til at videregive disse oplysninger for at få adgang til en transportydelse. Dette gælder navnlig for personer med handicap eller nedsat bevægelighed, plejekrævende personer eller uledsagede mindreårige. Det bør i øvrigt påpeges, at Domstolen i præmis 142 og 143 i udtalelse 1/15 gjorde det klart, at offentlige myndigheders behandling af PNR-oplysninger, som forfølger et andet formål end det, hvormed luftfartsselskaberne indsamler disse oplysninger, ikke kan anses for at være baseret på noget som helst samtykke til denne indsamling fra passagerernes side.

147. De fleste medlemsstater har endelig gjort gældende, at den i PNR-direktivet omhandlede behandling af oplysninger er omfattet af en lang række garantier, heriblandt passageroplysningsenhedernes forpligtelse til i forbindelse med overførsel af oplysninger til dem at slette oplysninger, der ikke indgår i bilag I, samt oplysninger, der kan afsløre en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuelle orientering.

148. Jeg vil herved indledningsvis anføre, at vurderingen af, om de regler, der fastlægger omfanget og arten af de oplysninger, som vil kunne overføres til de offentlige myndigheder, er tilstrækkeligt klare og præcise, for så vidt som den skal sikre, at en foranstaltning, der medfører indgreb i de grundlæggende rettigheder, der er omhandlet i chartrets artikel 7 og 8, overholder legalitetsprincippet og retssikkerhedsprincippet, skal foretages uden hensyntagen til de garantier, som de nævnte myndigheders behandling af disse oplysninger er omfattet af, da disse garantier kun tages i betragtning ved undersøgelsen af den pågældende foranstaltnings proportionalitet. Domstolen benyttede sig i øvrigt af denne fremgangsmåde i præmis 155-163 i udtalelse 1/15, hvori den vurderede rubrikkerne i udkastet til PNR-aftalen mellem Canada og EU. Det skal mere generelt tilføjes, at der bør tages særligt hensyn til behovet for at bevare en klar sondring mellem de forskellige faser i undersøgelsen af en foranstaltning, der medfører indgreb i de grundlæggende rettigheder, da det efter min opfattelse altid vil gøre det vanskeligt at beskytte disse rettigheder effektivt, hvis der sker en sammenblanding af disse faser.

149. Hertil vil jeg imidlertid blot påpege, at passageroplysningsenhedernes forpligtelse i henhold til PNR-direktivets artikel 6, stk. 1, til at slette andre oplysninger end dem, der er opført på listen i bilag I, kun giver mening, hvis dette bilag indeholder et klart og lukket katalog over de oplysninger, der skal overføres. Det samme gælder for den forpligtelse, som passageroplysningsenhederne i henhold til PNR-direktivets artikel 13, stk. 4, har til at slette »følsomme« oplysninger (143). En for vag, upræcis eller åben definition af de oplysninger, der skal overføres, øger nemlig både sandsynligheden for, at disse oplysninger indirekte gøres til genstand for overførsel, og risikoen for, at de ikke identificeres og slettes med det samme. De ovennævnte garantier kan med andre ord kun udføre deres funktion efter hensigten, hvis de regler, der fastlægger arten og omfanget af de PNR-oplysninger, som luftfartsselskaberne skal overføre til passageroplysningsenhederne, er tilstrækkeligt klare og præcise, og hvis listen over disse oplysninger er lukket og udtømmende.

150. Det er på grundlag af samtlige ovenstående betragtninger, og som jeg allerede nævnte i punkt 135 i dette forslag til afgørelse, min opfattelse, at punkt 12 i bilag I, for så vidt angår den del, hvori det henfører »generelle bemærkninger« til de oplysninger, som luftfartsselskaberne skal overføre til passageroplysningsenhederne i overensstemmelse med PNR-direktivet, ikke opfylder de krav om klarhed og præcision, der er fastsat i chartrets artikel 52, stk. 1, som fortolket af Domstolen (144), og at det derfor i denne henseende bør erklæres ugyldig.

151. Kommissionen og Parlamentet har i deres skriftlige indlæg foreslået, at Domstolen i stedet anvender en »overensstemmende fortolkning« af punkt 12 i bilag I, som bør forstås således, at det kun omhandler de oplysninger om mindreårige, som er nævnt udtrykkeligt i parentesen i dette punkt. Jeg må indrømme, at jeg har vanskeligt ved at se, at en sådan fortolkning overholder grænserne for en simpel overensstemmende fortolkning. Det er korrekt, at en EU-retsakt ifølge et almindeligt fortolkningsprincip i videst muligt omfang skal fortolkes således, at dens gyldighed ikke drages i tvivl, og i overensstemmelse med hele den primære ret og navnlig med bestemmelserne i chartret (145). Det er også korrekt, at PNR-direktivet synes at pege i retning af en sådan fortolkning, idet der navnlig i en lang række betragtninger til dette direktiv lægges vægt på, at de grundlæggende rettigheder, retten til respekt for privatlivet og proportionalitetsprincippet respekteres fuldt ud (146). Det fremgår imidlertid af fast retspraksis, at der kun kan anlægges en overensstemmende fortolkning, når en bestemmelse i den afledte EU-ret kan fortolkes på flere måder, og det derfor er muligt at lægge den fortolkning, der bringer bestemmelsen i overensstemmelse med den primære ret, til grund frem for den, som medfører, at bestemmelsen må anses for uforenelig med denne (147).

152. Efter min opfattelse kan punkt 12 i bilag I imidlertid ikke fortolkes således, som Kommissionen og Parlamentet har foreslået, eftersom det i så fald vil blive fortolket »contra legem«. Dette punkt omhandler, som jeg har forklaret ovenfor, en bred kategori af oplysninger af forskellig art, som ikke umiddelbart kan identificeres, og hvor oplysningerne om mindreårige kun udgør en underkategori. Hvis dette punkt forstås således, at det kun omfatter denne ene underkategori, vil det ikke bare svare til at se bort fra en del af dens ordlyd, men også forstyrre logikken i indholdet af dette punkt. En sådan manøvre, som i det væsentlige går ud på at fjerne den del af ordlyden af punkt 12 i bilag I, der anses for at være uforenelig med kravene om klarhed og præcision, kan efter min opfattelse kun finde sted, ved at dette punkt annulleres delvist.

153. Den resterende del af punkt 12 i bilag I, hvori der henvises til oplysninger om uledsagede mindreårige, opfylder efter min opfattelse kravene om klarhed og præcision, såfremt den fortolkes således, at den kun omfatter oplysninger om uledsagede mindreårige, som er direkte forbundet med flyvningen, og som udtrykkeligt er omhandlet i dette punkt.

154. Hvad angår punkt 18 i bilag I er dette affattet således:

»[e]ventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger) (herunder typen, nummeret, udstedelseslandet og udløbsdatoen for ethvert identitetsdokument, nationalitet, efternavn, fornavn, køn, fødselsdato, luftfartsselskab, rutenummer, afgangsdato, ankomstdato, afgangslufthavn, ankomstlufthavn, afgangstidspunkt og ankomsttidspunkt)«.

155. Dette punkt er struktureret på samme måde som punkt 12 i bilag I. Der henvises også til en generel kategori af oplysninger, nemlig forhåndsoplysninger om passagerer (Advance Passenger Information – API), efterfulgt i parentes af en liste over oplysninger, som anses for at være omfattet af denne generelle kategori, og som skal betragtes som eksempler, hvilket ses af brugen af ordet »herunder«.

156. I modsætning til punkt 12 i bilag I henvises der imidlertid til en kategori af oplysninger, der er lettere at identificere, både med hensyn til deres art og deres omfang, i punkt 18 i dette bilag. Det fremgår nemlig af fjerde betragtning til PNR-direktivet, at når der i dette direktiv henvises til denne kategori af oplysninger, er der tale om de oplysninger, som luftfartsselskaberne i overensstemmelse med API-direktivet, hvori der henvises udtrykkeligt i denne betragtning, videregiver til de kompetente nationale myndigheder med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring. Disse oplysninger er opregnet i det sidstnævnte direktivs artikel 3, stk. 2.

157. Det fremgår desuden af niende betragtning (148) til PNR-direktivet samt af API-direktivets artikel 3, stk. 2, og af den illustrative liste i punkt 18 i bilag I, at de API-oplysninger, der er omhandlet i det nævnte punkt, består af dels biografiske oplysninger, der gør det muligt at kontrollere flypassagerens identitet, dels oplysninger om den flyrejse, der er reserveret. Hvad nærmere angår den førstnævnte kategori, der omfatter biografiske oplysninger, består de oplysninger, der er opregnet i API-direktivets artikel 3, stk. 2, og i punkt 18 i bilag I, af oplysninger, som genereres ved registreringen, og som stammer fra den maskinlæsbare del af passet (eller af et andet rejsedokument) (149).

158. Punkt 18 i bilag I, fortolket i lyset af fjerde og niende betragtning til PNR-direktivet, identificerer således i princippet i hvert fald arten af de oplysninger, som det omfatter, med tilstrækkelig klarhed og præcision.

159. Med hensyn til deres omfang må det konstateres dels, at API-direktivets artikel 3, stk. 2, også er formuleret »åbent«, da den indeholdte liste over oplysninger indledes med udtrykket »[o]vennævnte oplysninger skal omfatte« (150), dels at der i kategorien af API-oplysninger, således som denne er defineret i de multilaterale harmoniseringsinstrumenter på området, ligeledes indgår andre oplysninger end dem, der er omhandlet i API-direktivet og i punkt 18 i bilag I (151).

160. Under disse omstændigheder skal punkt 18 i bilag I for at opfylde de krav om klarhed og præcision, der gælder for retsgrundlag, som medfører indgreb i chartrets artikel 7 og 8, fortolkes således, at det kun omfatter de API-oplysninger, som udtrykkeligt er opregnet i dette punkt og i API-direktivets artikel 3, stk. 2, og som luftfartsselskaberne har indsamlet som led i deres normale forretningsaktiviteter (152).

161. Jeg vil nu kort gennemgå de øvrige punkter i bilag I, der, henset til deres ordlyd, ligeledes er af »åben« karakter eller ikke er tilstrækkeligt præcise, selv om den forelæggende ret ikke udtrykkeligt har anmodet Domstolen om at tage stilling hertil (153).

162. Det må indledningsvis fastslås, at punkt 5 i bilag I, hvori der henvises til »[a]dresse og kontaktoplysninger (telefonnummer, e-mailadresse)«, ganske vist kun omfatter de kontaktoplysninger, der udtrykkeligt er nævnt i parentesen, og derfor har udtømmende karakter, men det præciserer ikke, som det var tilfældet for den tilsvarende rubrik i udkastet til PNR-aftalen mellem Canada og EU (154), om disse kontaktoplysninger alene vedrører den rejsende eller omfatter tredjemænd, der har foretaget flyreservationen for flypassageren, tredjemænd, gennem hvilke en flypassager kan kontaktes, eller tredjemænd, som skal underrettes i nødsituationer (155). Eftersom en fortolkning af punkt 5 i bilag I, hvorefter dette punkt også vedrører de nævnte kategorier af tredjemænd, vil udvide det indgreb, der følger af PNR-direktivet, til at omfatte andre personer end flypassagerer som omhandlet i PNR-direktivets artikel 3, nr. 4), foreslår jeg, at Domstolen – i mangel af præcise oplysninger, som gør det muligt at antage, at det er strengt nødvendigt for effektiviteten af det system til behandling af PNR-oplysninger, der er indført ved dette direktiv, at der systematisk og generelt tilvejebringes kontaktoplysninger om disse tredjemænd – fortolker det nævnte punkt således, at det kun omfatter de kontaktoplysninger, der udtrykkeligt er nævnt heri, og som vedrører den flypassager, i hvis navn reservationen er foretaget. PNR-direktivet er ikke til hinder for, at der videregives personoplysninger vedrørende andre personer end flypassagerer til passageroplysningsenhederne (156). Det er imidlertid vigtigt, at det angives klart og udtrykkeligt, hvornår dette er muligt, således som det er tilfældet for rejseagenter, der er nævnt i punkt 9 i bilag I, eller for personer, som er ansvarlige for mindreårige, der rejser alene, og som er omhandlet i punkt 12 i dette bilag. Denne betingelse skal nemlig være opfyldt, for at det kan fastslås, at beslutningen om, at disse oplysninger hører til dem, der skal videregives til passageroplysningsenhederne, har været genstand for en afvejning af de forskellige berørte interesser som omhandlet i 15. betragtning til PNR-direktivet, og at de pågældende tredjemænd kan informeres behørigt om behandlingen af deres personoplysninger.

163. Hvad dernæst angår punkt 6 i bilag I, der vedrører »[a]lle former for oplysninger om betalingsformer, herunder faktureringsadresse«, skal dette punkt, som Domstolen fastslog i præmis 159 i udtalelse 1/15 vedrørende den tilsvarende rubrik i bilaget til udkastet til PNR-aftalen mellem Canada og EU, med henblik på at opfylde kravene om klarhed og præcision fortolkes således, at det »anses for kun at omhandle oplysninger om betalingsmetoden og debiteringen af flybilletten, hvorved enhver anden oplysning, der ikke har nogen direkte forbindelse med flyvningen, er udelukket«. Derfor må disse oplysninger eksempelvis ikke omfatte oplysninger om betaling for andre tjenesteydelser, der ikke direkte vedrører flyrejsen, såsom at passageren lejer et køretøj ved ankomsten (157).

164. Med hensyn til punkt 8, der vedrører »[o]plysninger om bonusprogrammer«, omhandler det ifølge ICAO’s normer kontonummeret og passagerens status som frequent flyer (158). Når dette punkt fortolkes således, opfylder det kravene om klarhed og præcision.

165. Med hensyn til punkt 10 i bilag I, der vedrører »[r]ejsestatus for passagerer, herunder bekræftelser, indtjekningsstatus, oplysninger om »no-show« og »go-show««, og punkt 13 i dette bilag, der vedrører »[o]plysninger i billetrubrikken, herunder billetnummer, dato for udstedelse af billetten og enkeltbilletter, automatisk billetprisangivelse (»automated ticket fare quote«)«, omhandler disse punkter til trods for deres åbne ordlyd kun meget præcise og klart identificerbare oplysninger, som er direkte forbundet med flyvningen. Det samme gælder for punkt 14 i bilag I, der vedrører »[p]ladsnummer og andre pladsoplysninger«, og for punkt 16 i dette bilag, der vedrører »[a]lle bagageoplysninger«.

–       Omfanget af de oplysninger, der er opregnet i bilag I (det andet præjudicielle spørgsmål)

166. Når Domstolen vurderer proportionaliteten af en foranstaltning, som medfører indgreb i de rettigheder, der er sikret ved chartrets artikel 7 og 8, tager den bl.a. hensyn til, om de behandlede personoplysninger er tilstrækkelige, relevante og forholdsmæssige (princippet om »dataminimering«) (159). Den samme undersøgelse kræves i Menneskerettighedsdomstolens praksis (160) og anbefales i konvention nr. 108 (161).

167. Det fremgår af 15. betragtning til PNR-direktivet, at hensigten med at udarbejde listen over de PNR-oplysninger, som passageroplysningsenhederne skulle have, både var at afspejle de offentlige myndigheders berettigede krav med henblik på at bekæmpe terrorisme og grov kriminalitet og at beskytte de grundlæggende rettigheder til respekt for privatlivets fred og til beskyttelse af personoplysninger ved anvendelse af »høje standarder« i overensstemmelse med chartret, konvention nr. 108 og EMRK. I samme betragtning præciseres det navnlig, at PNR-oplysningerne udelukkende bør indeholde nærmere oplysninger om passagerers reservationer og rejseplaner, der sætter de kompetente myndigheder i stand til at finde frem til, hvilke flypassagerer der udgør en trussel mod den indre sikkerhed.

168. Hvad i første række angår spørgsmålet om, hvorvidt de PNR-oplysninger, der er omhandlet i bilag I, er tilstrækkelige og relevante, omfatter de forskellige punkter i dette bilag, herunder punkt 5, 6, 8 og 18, således som jeg foreslår, at de fortolkes (162), og punkt 12 med undtagelse af den del, der efter min opfattelse bør erklæres ugyldig (163), kun oplysninger, hvis indhold er direkte forbundet med de flyrejser, der falder ind under PNR-direktivets anvendelsesområde. Disse oplysninger har desuden en objektiv forbindelse med de formål, der forfølges med dette direktiv. Ser man mere specifikt på API-oplysninger, kan de bl.a. anvendes »reaktivt« for at identificere en person, der allerede er kendt af de retshåndhævende myndigheder, f.eks. fordi den pågældende mistænkes for at være involveret i terrorhandlinger eller grov kriminalitet, som allerede er begået, eller mistænkes for at ville begå en sådan overtrædelse, hvorimod PNR-oplysninger snarere vil blive anvendt »i realtid eller proaktivt« for at identificere trusler fra personer, der endnu ikke er kendt af de retshåndhævende myndigheder.

169. Hvad i anden række angår omfanget af de PNR-oplysninger, der er opregnet i bilag I, synes disse oplysninger, herunder dem, der er omhandlet i punkt 5, 6, 8 12 og 18 i dette bilag, således som jeg foreslår, at de fortolkes, i punkt 134-164 i dette forslag til afgørelse, ikke at være uforholdsmæssige i forhold til dels betydningen af det formål om offentlig sikkerhed, der forfølges med PNR-direktivet, dels den ved dette direktiv indførte ordnings egnethed til at forfølge et sådant formål.

170. Hvad navnlig angår de API-oplysninger, som den forelæggende ret især har henvist til, bør det påpeges, at disse oplysninger, der er af biografisk karakter og vedrører rejseruten, som regel kun rummer begrænset information om de pågældende passagerers privatliv. Selv om punkt 18 i bilag I omhandler oplysninger ud over dem, der udtrykkeligt er nævnt i API-direktivets artikel 3, stk. 2, er disse oplysninger, der vedrører flypassagerens identitet (køn), den anvendte rejselegitimation (udstedelseslandet og udløbsdatoen for ethvert identitetsdokument) og den valgte flyrejse (luftfartsselskab, rutenummer, afgangs- og ankomstdato samt afgangs- og ankomstlufthavn), delvist sammenfaldende, eller de kan udledes af de PNR-oplysninger, der er nævnt i andre punkter i bilag I, f.eks. punkt 3, 7 og 13. For så vidt som de nævnte oplysninger består af biografiske oplysninger eller oplysninger om den anvendte rejselegitimation, kan de desuden hjælpe de retshåndhævende myndigheder med at kontrollere en persons identitet og dermed som nævnt i niende betragtning til PNR-direktivet mindske risikoen for, at uskyldige personer kontrolleres og efterforskes. Det skal endelig fremhæves, at den ene omstændighed, at punkt 18 i bilag I omfatter oplysninger ud over dem, der er nævnt i API-direktivets artikel 3, stk. 2, ikke automatisk indebærer, at disse oplysninger er uforholdsmæssige, eftersom dette direktiv og PNR-direktivet forfølger forskellige mål.

171. Med hensyn til de oplysninger om uledsagede mindreårige, der er angivet i punkt 12 i bilag I, vedrører de en sårbar persongruppe, der kræver særlig beskyttelse, bl.a. med hensyn til respekten for deres privatliv og beskyttelsen af deres personoplysninger (164). Det kan ikke desto mindre være nødvendigt at begrænse disse rettigheder, bl.a. for at beskytte børn mod den grove kriminalitet, som de kan blive udsat for, såsom handel med og seksuel udnyttelse af børn eller børnebortførelse. Det kan derfor ikke uden videre antages, at punkt 12 i bilag I går videre end, hvad der er strengt nødvendigt, for så vidt som det kræver overførsel af et større antal personoplysninger for uledsagede mindreårige.

172. Selv om de personoplysninger, som luftfartsselskaberne er forpligtet til at videregive til passageroplysningsenhederne i henhold til PNR-direktivet, efter min opfattelse opfylder kravene om tilstrækkelighed og relevans, og de ikke omfatter mere end, hvad der er strengt nødvendigt for, at den ordning, der er indført ved dette direktiv, kan fungere, er der ikke desto mindre tale om videregivelse af et betydeligt antal personoplysninger af forskellig art vedrørende de enkelte passagerer og et meget stort antal oplysninger udtrykt i absolutte tal. Det er under disse omstændigheder afgørende, at en sådan overførsel er omfattet af tilstrækkelige garantier, for dels at sikre, at det kun er de udtrykkeligt omfattede oplysninger, der overføres, dels at garantere sikkerheden og fortroligheden af de overførte oplysninger.

173. Det skal i denne forbindelse påpeges, at EU-lovgiver indledningsvis fastsatte en række garantier for at gøre det muligt at begrænse de kategorier af PNR-oplysninger, hvortil de retshåndhævende myndigheder har adgang, og sikre, at denne adgang indskrænkes til oplysninger, hvis behandling anses for nødvendig henset til de formål, der forfølges med PNR-direktivet. For det første indeholder dette direktiv således en udtømmende og præcis opregning af de oplysninger, der kan overføres til passageroplysningsenhederne, jf. dog de betragtninger, jeg har fremført i forbindelse med besvarelsen af det tredje præjudicielle spørgsmål. For det andet fremgår det udtrykkeligt af PNR-direktivet, at det kun er oplysningerne på denne liste, som er resultatet af en afvejning af de forskellige i 15. betragtning til dette direktiv nævnte interesser og krav, der vil kunne overføres til passageroplysningsenhederne (PNR-direktivets artikel 6, stk. 1). For det tredje præciseres det i dette direktiv, at hvis de overførte PNR-oplysninger indeholder andre oplysninger end dem, der er opført på listen i bilag I, skal passageroplysningsenheden »straks og permanent ved modtagelsen slette sådanne oplysninger« (PNR-direktivets artikel 6, stk. 1). For det fjerde bestemmer det nævnte direktiv, at de PNR-oplysninger, der er omhandlet i bilag I, kun kan videregives, i det omfang luftfartsselskaberne allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter (PNR-direktivets artikel 8, stk. 1, og ottende betragtning hertil), hvilket indebærer, at passageroplysningsenhederne kun får adgang til de oplysninger, der findes i den pågældende operatørs reservationssystem, og ikke systematisk får adgang til alle de oplysninger, der er nævnt i bilag I. For det femte forpligter PNR-direktivets artikel 8, stk. 1, luftfartsselskaberne til at anvende »push«-metoden til at videregive PNR-oplysninger til passageroplysningsenhederne. Denne metode, der anbefales i ICAO’s retningslinjer (165), indebærer, at de nævnte transportvirksomheder selv videregiver PNR-oplysningerne til passageroplysningsenhedernes databaser. Sammenlignet med »pull«-metoden, hvor de kompetente myndigheder får adgang til operatørernes systemer og udtrækker en kopi af de krævede oplysninger fra deres databaser, frembyder »push«-metoden flere garantier, eftersom den tillægger det pågældende luftfartsselskab rollen som PNR-oplysningernes vogter og kontrollant. PNR-direktivet bestemmer endelig i overensstemmelse med ICAO’s retningslinjer og »one-stop-shop«-princippet (166), at PNR-oplysningerne overføres via et enkelt organ, passageroplysningsenheden, som er underlagt den databeskyttelsesansvarlige, der er omhandlet i dette direktivs artikel 5, og navnlig er underlagt den nationale tilsynsmyndighed, der er omhandlet i det nævnte direktivs artikel 15.

174. PNR-direktivet indeholder desuden et vist antal garantier, som skal beskytte PNR-oplysningers sikkerhed. Der bør herved henvises til dette direktivs artikel 13, stk. 2, hvorefter politidirektivets artikel 28 og 29 vedrørende fortrolighed i forbindelse med databehandling og datasikkerhed finder anvendelse på al behandling af personoplysninger i medfør af dette direktiv, og til denne artikels stk. 3, hvori der med hensyn til luftfartsselskabers behandling af PNR-oplysninger peges på de forpligtelser, der påhviler dem i henhold til databeskyttelsesforordningen, herunder pligten til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte disse oplysningers sikkerhed og fortrolighed (167).

175. Det skal endelig fremhæves, at passagerernes ret til at modtage »korrekte oplysninger, der er lettilgængelige og letforståelige«, bl.a. om indsamlingen af PNR-oplysninger, anerkendes i 29. og 37. betragtning til PNR-direktivet, og at medlemsstaterne opfordres til at sikre, at denne ret respekteres. Selv om dette ikke er blevet udmøntet i en bindende bestemmelse i PNR-direktivet, skal det påpeges, at databeskyttelsesforordningens bestemmelser, som jeg nævnte i forbindelse med undersøgelsen af det første præjudicielle spørgsmål, finder anvendelse på overførslen af PNR-oplysninger til passageroplysningsenhederne. Luftfartsselskaberne er derfor forpligtet til at overholde bl.a. databeskyttelsesforordningens artikel 13 og 14, hvorefter personer, der er berørt af en behandling af personoplysninger, har ret til information, i forbindelse med denne overførsel. Selv om medlemsstaterne i forbindelse med PNR-direktivets gennemførelse er nødt til udtrykkeligt at give flypassagerer ret til information, som anerkendt i 29. og 37. betragtning til dette direktiv, må de under ingen omstændigheder begrænse rækkevidden af databeskyttelsesforordningens artikel 13 og 14 i medfør af denne forordnings artikel 23, stk. 1, eftersom dette vil være i strid med direktivets ånd. For at en sådan ret kan være effektiv, skal den imidlertid ligeledes gælde for de kategorier af PNR-oplysninger, der videregives.

176. Det er henset til samtlige ovenstående betragtninger min opfattelse, at de PNR-oplysninger, der skal behandles i henhold til PNR-direktivet, med forbehold af de foreslåede begrænsninger og de præciseringer, der er foretaget i forbindelse med det tredje præjudicielle spørgsmål, er relevante, tilstrækkelige og forholdsmæssige henset til de formål, der forfølges med dette direktiv, og at de ikke omfatter mere end, hvad der er strengt nødvendigt for at opfylde disse formål.

–       Følsomme oplysninger

177. PNR-direktivet forbyder generelt enhver behandling af »følsomme oplysninger« (168).

178. Selv om dette direktiv ikke indeholder nogen definition af begrebet »følsomme oplysninger«, fremgår det af dets artikel 13, stk. 4, at dette begreb som minimum omfatter »PNR-oplysninger, der angiver en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuelle orientering« (169). Domstolen præciserede i præmis 165 i udtalelse 1/15, at enhver foranstaltning, der er baseret på postulatet om, at et eller flere af disse karakteristika »i sig selv og uafhængigt af den pågældende rejsendes adfærd kan være relevante i forhold til formålet med behandlingen af PNR-oplysninger […], ville tilsidesætte de rettigheder, der er sikret ved chartrets artikel 7 og 8, sammenholdt med chartrets artikel 21«. Ved at forbyde enhver behandling af de oplysninger, der er omhandlet i artikel 13, stk. 4, overholder PNR-direktivet således de begrænsninger, som Domstolen har fastsat for anvendelsen af disse kategorier af oplysninger i forbindelse med et system til behandling af PNR-oplysninger, uanset om det henhører under national ret, EU-retten eller en international aftale indgået af Unionen.

179. Det generelle forbud mod behandling af følsomme oplysninger, der er fastsat i PNR-direktivet, gælder også for indsamling af disse oplysninger. Som det udtrykkeligt fremgår af 15. betragtning til dette direktiv, er de 19 rubrikker i bilag I ikke baseret på de PNR-oplysninger, der er omhandlet i dets artikel 13, stk. 4.

180. Selv om ingen af disse rubrikker udtrykkeligt omhandler sådanne oplysninger, kan de imidlertid indgå i rubrikken »Generelle bemærkninger« i punkt 12 i bilag I, som er et »åbent felt«, der – som jeg allerede har nævnt i forbindelse med undersøgelsen af det tredje præjudicielle spørgsmål – kan omfatte et ubestemt antal oplysninger af forskellig art. Som Domstolen i øvrigt bemærkede i præmis 164 i udtalelse 1/15, er der nemlig en konkret risiko for, at oplysninger i den nævnte rubrik, f.eks. om kostpræferencer, anmodninger om assistance og pakkepriser for visse kategorier af personer eller sammenslutninger, direkte afslører følsomme oplysninger som omhandlet i PNR-direktivets artikel 13, stk. 4, bl.a. om de pågældende passagerers religiøse overbevisning, helbredstilstand eller tilhørsforhold til en fagforening eller et politisk parti.

181. Eftersom PNR-direktivet under alle omstændigheder udelukker behandling af disse oplysninger, overskrider luftfartsselskabernes overførsel af disse oplysninger åbenbart, hvad der er strengt nødvendigt, og tjener heller ikke noget formål. Det skal herved fremhæves, at det forhold, at passageroplysningsenhederne ifølge PNR-direktivets artikel 13, stk. 4, andet punktum, i alle tilfælde er forpligtet til straks at slette PNR-oplysninger, som afslører en af de oplysninger, der er opregnet i stk. 4, første punktum, ikke gør det muligt at tillade eller at begrunde en overførsel af disse oplysninger (170), da det forbud mod behandling af disse oplysninger, der er fastsat i det nævnte direktiv, gælder fra det første trin i PNR-oplysningernes behandling. Forpligtelsen til at slette følsomme oplysninger udgør således kun en yderligere garanti, som dette direktiv giver i tilfælde af, at sådanne oplysninger undtagelsesvis overføres til passageroplysningsenhederne ved en fejl.

182. Det bør i øvrigt, som generaladvokat Mengozzi anførte i punkt 222 i sit forslag til afgørelse vedrørende udtalelse 1/15 (171), påpeges, at eftersom de oplysninger, der henhører under »fritekstfelter« såsom rubrikken »Generelle bemærkninger« i punkt 12 i bilag I, og som kan indeholde følsomme oplysninger som omhandlet i PNR-direktivets artikel 13, stk. 4, kun videregives på frivillig basis af passagererne, er det ikke sandsynligt, at personer, der er involveret i terrorhandlinger eller grov kriminalitet, foretager en sådan spontan videregivelse, hvilket betyder, at den systematiske overførsel af disse oplysninger i det fleste tilfælde kun vil vedrøre personer, der har anmodet om en tillægsydelse, som reelt ikke har nogen interesse for de retshåndhævende myndigheder (172).

183. Jeg har i forbindelse med undersøgelsen af det tredje præjudicielle spørgsmål konkluderet, at punkt 12 i bilag I for så vidt angår rubrikken »Generelle bemærkninger« ikke opfylder de krav om klarhed og præcision, der er fastsat i chartrets artikel 52, stk. 1, første sætning. Det er af de netop anførte grunde min opfattelse, at den omstændighed, at denne rubrik indgår i de kategorier af oplysninger, der systematisk overføres til passageroplysningsenhederne, uden at det præciseres, hvilke oplysninger den kan omfatte, heller ikke opfylder kriteriet om nødvendighed i chartrets artikel 52, stk. 1, andet punktum, som fortolket af Domstolen (173).

184. Selv om de såkaldte fritekstfelter fjernes fra listen over de PNR-oplysninger, der skal overføres til de statslige myndigheder i forbindelse med et system til behandling af PNR-oplysninger, er det imidlertid ikke tilstrækkeligt til at undgå risikoen for, at disse myndigheder alligevel får adgang til følsomme oplysninger. Disse oplysninger kan nemlig udledes direkte af de oplysninger, der indgår i sådanne rubrikker, men de kan også afsløres indirekte eller gættes ud fra de oplysninger, der findes i de »kodede« rubrikker. En flypassagers navn kan f.eks. indeholde indikationer eller i hvert fald gøre det muligt at opstille hypoteser om den pågældende etniske oprindelse eller religiøse tilhørsforhold. Det samme gælder for flypassagerens nationalitet. Disse oplysninger kan principielt ikke fjernes fra listen over de PNR-oplysninger, der skal overføres, eller slettes af de myndigheder, der er berettigede til at modtage dem. For ikke at risikere, at et stort antal personer, som ikke er under mistanke for at have begået en overtrædelse, stigmatiseres på grundlag af beskyttede karakteristika, er det derfor vigtigt, at et system til behandling af PNR-oplysninger frembyder tilstrækkelige garantier, som gør det muligt på hvert enkelt trin i behandlingen af de indsamlede oplysninger at udelukke, at der i forbindelse med denne behandling direkte eller indirekte tages hensyn til sådanne karakteristika, f.eks. ved at der anvendes selektorer baseret på disse karakteristika i forbindelse med den automatiserede analyse. Jeg vender tilbage til dette spørgsmål i det følgende.

185. Jeg fastslår på grundlag af samtlige ovenstående betragtninger og med forbehold af konklusionen i punkt 183 ovenfor, at PNR-direktivet for så vidt angår det trin, hvor PNR-oplysningerne overføres til passageroplysningsenhederne, frembyder tilstrækkelige garantier med henblik på at beskytte følsomme oplysninger.

iii) Begrebet »passager« (det fjerde præjudicielle spørgsmål)

186. Med det fjerde præjudicielle spørgsmål har den forelæggende ret nærmere bestemt anmodet Domstolen om at oplyse, om det system, der er indført ved PNR-direktivet, for så vidt som det tillader generel overførsel og behandling af PNR-oplysninger vedrørende enhver person, der falder ind under definitionen af en »passager« i dette direktivs artikel 3, nr. 4), uanset om der foreligger noget objektivt forhold, som gør det muligt at antage, at den pågældende person kan frembyde en risiko for den offentlige sikkerhed, er foreneligt med chartrets artikel 7 og 8 samt artikel 52, stk. 1. Den ønsker bl.a. oplyst, om det er muligt at overføre Domstolens praksis vedrørende lagring af og adgang til data i den elektroniske kommunikationssektor på det system til behandling af personoplysninger, der er indført ved PNR-direktivet.

187. Domstolen har i denne praksis, for så vidt som det er relevant for den foreliggende sag, konkluderet, at en lovgivning, der for at bekæmpe grov kriminalitet foreskriver forebyggende generel og udifferentieret lagring af trafikdata vedrørende elektronisk kommunikation og lokaliseringsdata (174) med henblik på de retshåndhævende myndigheders adgang uden nogen form for differentiering, begrænsning eller undtagelse under hensyn til det forfulgte mål, principielt ikke kan anses for at være begrundet i et demokratisk samfund (175). Domstolen har fastslået det samme vedrørende en national lovgivning, der for at bekæmpe terrorisme foreskriver automatiseret analyse af alle de nævnte oplysninger ved hjælp af filtrering, som foretages af udbydere af elektroniske kommunikationstjenester på anmodning af de kompetente nationale myndigheder og under anvendelse af de parametre, som disse har fastsat (176). Ifølge Domstolen kan sådanne foranstaltninger kun være begrundet i situationer, hvor den berørte medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, og såfremt den afgørelse, hvorved de gennemføres, kan gøres til genstand for en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed (177). Domstolen har desuden bemærket. at anvendelsen af disse foranstaltninger tidsmæssigt skal begrænses til det strengt nødvendige og under ingen omstændigheder må være af systematisk karakter (178).

188. Det skal i øvrigt fremhæves, at selv om Domstolen ikke i denne praksis – til forskel fra Schrems I-dommen – udtrykkeligt fastslog, at der var tale om en krænkelse af det væsentligste indhold af retten til respekt for privatlivet, fastslog den ikke desto mindre, at de pågældende foranstaltninger medførte et så alvorligt indgreb, at de ikke, bortset fra de få tilfælde, hvor der forelå specifikke trusler mod en medlemsstats nationale sikkerhed, uden videre kunne anses for at være begrænset til det strengt nødvendige og dermed for at være forenelige med chartret (179) uafhængigt af de garantier, der måtte være fastsat for at modvirke risikoen for misbrug og ulovlig adgang til de omhandlede oplysninger (180).

189. Jeg har tidligere haft lejlighed til at fremhæve, at en lovgivning som den, der er fastlagt ved PNR-direktivet, har en række lighedspunkter med de foranstaltninger, som Domstolen undersøgte i den praksis, der er nævnt i de foregående punkter i dette forslag til afgørelse, hvilket gør den særligt indgribende. Dette direktiv indfører således et generelt og udifferentieret system til indsamling og automatiseret analyse af personoplysninger vedrørende en betydelig andel af befolkningen, som generelt finder anvendelse på alle personer, der falder ind under definitionen af en »passager« i det nævnte direktivs artikel 3, nr. 4), og dermed også finder anvendelse på personer, for hvis vedkommende der ikke findes noget som helst indicium for, at deres adfærd kan have en – selv indirekte eller fjern – sammenhæng med terrorvirksomhed eller grov kriminalitet. Det er på denne baggrund, at den forelæggende ret ønsker oplyst, om denne retspraksis kan overføres på et system til behandling af PNR-oplysninger som det, der er indført ved PNR-direktivet.

190. Der bør herved henvises til, at Domstolen i præmis 186-189 i udtalelse 1/15, hvori den undersøgte det personelle anvendelsesområde for udkastet til PNR-aftalen mellem Canada og EU, undlod at drage paralleller mellem på den ene side foranstaltningerne vedrørende opbevaring og generel og udifferentieret adgang til indholdet af elektronisk kommunikation, til trafikdata og til lokaliseringsdata og på den anden side overførslen af PNR-oplysninger og deres automatiske behandling i forbindelse med den forudgående vurdering af passagerer, som er omhandlet i den nævnte aftale. På det tidspunkt, hvor denne udtalelse blev afgivet, fandtes der dog allerede en fast retspraksis – der bare få måneder forinden var blevet bekræftet i Tele2 Sverige-dommen, hvortil den forelæggende ret har henvist – hvori de nævnte foranstaltninger med særlige og enkelte undtagelser (181) var blevet anset for uforenelige med chartret (182). Domstolens seneste domme på dette område, navnlig dommen i sagen La Quadrature du Net m.fl., ligger i kølvandet på denne praksis, som de præciserer og i visse henseender nuancerer.

191. I de nævnte præmisser i udtalelse 1/15 fastslog Domstolen udtrykkeligt, at det ikke fremgik, at PNR-aftalen mellem Canada og EU overskred grænserne for det strengt nødvendige, for så vidt som den tillod overførsel og automatisk behandling med henblik på forudgående vurdering af PNR-oplysninger vedrørende samtlige flypassagerer til Canada, selv om en sådan overførsel og en sådan behandling angiveligt finder sted »uafhængigt af, om der foreligger noget objektivt forhold, som gør det muligt at antage, at passagererne kan frembyde en risiko for den offentlige sikkerhed i Canada« (183). I denne udtalelses præmis 187 bemærkede Domstolen tilmed, at »udelukkelsen af bestemte personkategorier eller af bestemte oprindelsesområder dels [kan] være til hinder for gennemførelsen af formålet med den automatiserede behandling af PNR-oplysningerne, nemlig identifikationen, gennem en kontrol af disse oplysninger, af de personer blandt samtlige flypassagerer, der kan frembyde en risiko for den offentlige sikkerhed, dels [kan] gøre det muligt at omgå denne kontrol« (184).

192. Domstolen har således – i hvert fald for så vidt angår generel og udifferentieret overførsel af PNR-oplysninger – taget afstand fra den strengere tilgang, der er valgt for lagring af og adgang til metadata.

193. Selv om det ikke kan nægtes, at Domstolen i sin argumentation, hvilket bl.a. ses af præmis 152 og 188 i udtalelse 1/15, har taget hensyn til dels, at den automatiske behandling af PNR-oplysninger medfører, at sikkerhedskontrollen, navnlig ved grænserne, bliver lettere, dels at flypassagerer, der ønsker at indrejse i en stat, der er part i Chicagokonvention, i overensstemmelse med denne konvention er forpligtet til at lade sig kontrollere og til at overholde de indrejse- og udrejsebetingelser, der er fastsat af denne stat, bl.a. med hensyn til kontrol af deres PNR-oplysninger, er der efter min opfattelse andre grunde, der taler for en sådan forskellig tilgang, og der er for det første tale om de behandlede oplysningers art.

194. Domstolen har ofte fremhævet, at det ikke kun er indholdet af elektronisk kommunikation, men også metadata, der kan afsløre oplysninger om »en lang række forhold, der vedrører de berørte personers privatliv, herunder følsomme oplysninger, såsom oplysninger om seksuel orientering, politiske anskuelser, samfundsmæssige, filosofiske, religiøse og andre overbevisninger samt oplysninger om helbredstilstand«, at disse oplysninger tilsammen vil »kunne gøre det muligt at drage meget præcise slutninger vedrørende privatlivet for de personer, hvis data er blevet lagret, såsom vaner i dagligdagen, midlertidige eller varige opholdssteder, daglige eller andre rejser, hvilke aktiviteter der udøves, disse personers sociale relationer og de sociale miljøer, de frekventerer«, og at disse data særligt gør det muligt at lave »en profil af de berørte personer, hvilken oplysning, henset til retten for respekt af privatlivet, er lige så følsom som selve indholdet af kommunikationen« (185). Det skal i øvrigt påpeges, at de bestemmelser, som Domstolen allerede har undersøgt, herunder bestemmelserne i direktiv 2006/24, ikke indeholdt nogen undtagelse og ligeledes fandt anvendelse på kommunikation med tjenester af social eller religiøs karakter eller med erhvervsdrivende, der er underlagt tavshedspligt. Domstolen har således, dog uden at fastslå en tilsidesættelse af det væsentligste indhold af retten til respekt for privatlivet, bemærket, at »[h]enset til den følsomme karakter af de oplysninger, som trafikdata og lokaliseringsdata kan give adgang til, er det […] af afgørende betydning for retten til respekt for privatlivet, at disse data behandles med fortrolighed« (186).

195. Selv om Domstolen – som nævnt i punkt 77 og 98 i dette forslag til afgørelse – i udtalelse 1/15 erkendte, at PNR-oplysninger i givet fald kan afsløre meget præcise oplysninger om en persons privatliv (187), bemærkede den imidlertid, at arten af disse oplysninger er begrænset til visse aspekter af dette privatliv (188), hvilket gør adgangen til sådanne oplysninger mindre indgribende end adgangen til indholdet af elektronisk kommunikation samt til trafikdata og lokaliseringsdata.

196. For det andet er der ikke bare forskel på PNR-oplysningers og trafik- og lokaliseringsdatas art, men også på antallet og typen af oplysninger, der kan afsløres gennem de forskellige kategorier af oplysninger, eftersom de oplysninger, der er indeholdt i PNR-oplysningerne, både kvantitativt og kvalitativt er mere begrænsede. Dette skyldes ikke kun, at systemer til generel og udifferentieret behandling af data vedrørende elektronisk kommunikation kan omfatte næsten hele den pågældende befolkning, hvorimod systemer til behandling af PNR-oplysninger finder anvendelse på en mere begrænset, men nominelt signifikant, persongruppe, men også, at elektroniske kommunikationsmidler anvendes hyppigt og i stort antal. PNR-direktivet omhandler i øvrigt indsamling og behandling af et begrænset antal PNR-oplysninger, der angives udtømmende, bortset fra oplysningerne i de kategorier, der er opregnet i dette direktivs artikel 13, stk. 4, hvilket gør, at om ikke mængden, så i hvert fald følsomheden af de oplysninger vedrørende de registreredes privatliv, der kan udledes heraf, til dels vil kunne vurderes på forhånd (189). En sådan begrænsning af de omhandlede typer af oplysninger, som gør det muligt at udelukke mange af de oplysninger, der kan indeholde følsomme oplysninger, er imidlertid kun i et vist omfang mulig, når der er tale om trafikdata og lokaliseringsdata, henset til antallet af brugere og berørte kommunikationsmidler (190).

197. Det skal for det tredje påpeges, at enhver behandling af metadata fra elektronisk kommunikation kan berøre intimsfæren for næsten hele befolkningen, men også gribe ind i udøvelsen af andre friheder, som gør det muligt for en person at deltage i samfundslivet og det demokratiske liv i et land (191), og navnlig risikerer at afholde brugere af elektroniske kommunikationsmidler fra at udøve deres ret til ytringsfrihed (192), som udgør »et af de væsentlige grundlag for et demokratisk og pluralistisk samfund«, idet den er en del af de værdier, som Unionen er støttet på (193). Dette aspekt er knyttet til de foranstaltninger, der vedrører disse kategorier af personoplysninger, og angår i princippet ikke systemer til behandling af PNR-oplysninger.

198. For det fjerde er der, især på grund af antallet og typen af følsomme oplysninger, der kan udledes af indholdet af elektronisk kommunikation samt af trafikdata og lokaliseringsdata, en langt større risiko for vilkårlighed i forbindelse med behandlingen af disse data end i forbindelse med systemer til behandling af PNR-oplysninger.

199. Det er af alle de ovenfor anførte grunde min opfattelse, at den strengere tilgang, som Domstolen har anvendt i forbindelse med elektronisk kommunikation, ikke som sådan kan overføres på systemer til behandling af PNR-oplysninger. Domstolen har allerede – i hvert fald implicit – fastslået dette i udtalelse 1/15 i sammenhæng med en international aftale, hvorved der blev indført et sådant system for at beskytte et tredjelands sikkerhed. Det samme gælder efter min opfattelse så meget desto mere i forbindelse med PNR-direktivet, hvis formål er at beskytte den indre sikkerhed i EU.

200. Det skal imidlertid, som generaladvokat Mengozzi gjorde i punkt 216 i sit forslag til afgørelse vedrørende udtalelse 1/15 (194), påpeges, at selve interessen for systemerne til behandling af PNR-oplysninger, uanset om de vedtages ensidigt eller er genstand for en international aftale, skyldes, at de netop sikrer en masseoverførsel af oplysninger, der giver de kompetente myndigheder mulighed for ved hjælp af elektroniske behandlingsredskaber og på forhånd fastsatte scenarier og vurderingskriterier at identificere personer, der ikke er kendte af de retshåndhævende myndigheder, men som synes at påkalde sig »opmærksomhed« eller at udgøre en risiko for den offentlige sikkerhed, og som derfor efterfølgende kan gøres til genstand for en mere grundig individuel kontrol. Kravet om en »rimelig mistanke«, der går igen i Menneskerettighedsdomstolens praksis vedrørende målrettet aflytning som led i en strafferetlig efterforskning (195) og i Domstolens praksis vedrørende lagring af metadata (196), er derfor mindre relevant i forbindelse med en sådan overførsel og en sådan behandling (197). Det forebyggende formål, der navnlig forfølges med sådanne ordninger, kan heller ikke realiseres ved at indskrænke deres anvendelse til en bestemt kategori af personer, hvilket Domstolen i øvrigt bekræftede i de præmisser i udtalelse 1/15, der er nævnt i punkt 191 i dette forslag til afgørelse, hvorfor PNR-direktivets rækkevidde synes at sikre, at dette formål gennemføres effektivt (198).

201. Det skal ligeledes fremhæves, at Kommissionen gentagne gange har peget på den strategiske betydning af behandlingen af PNR-oplysninger som et centralt instrument for Unionens fælles indsats over for terrorisme og grov kriminalitet og som et væsentligt element i sikkerhedsunionen (199). Som led i en »overordnet tilgang« til bekæmpelse af terrorisme er den rolle, som systemer til behandling af PNR-oplysninger spiller, ligeledes blevet anerkendt af FN’s Sikkerhedsråd, der i resolution 2396 (2017) (200) pålagde FN’s medlemsstater følgende: »develop the capability to collect, process and analyse, in furtherance of ICAO standards and recommended practices, [PNR] data and to ensure PNR data is used by and shared with all their competent national authorities, with full respect for human rights and fundamental freedoms for the purpose of preventing, detecting and investigating terrorist offenses and related travel« (201). Denne forpligtelse blev bekræftet i resolution 2482/2019 om terrorisme og grov grænseoverskridende kriminalitet (202).

202. Indførelsen af et system til behandling af PNR-oplysninger, som er harmoniseret på EU-plan, med hensyn til såvel flyvninger uden for EU som flyvninger inden for EU for så vidt angår de stater, der har gjort brug af muligheden i PNR-direktivets artikel 2, gør det i denne sammenhæng muligt at sikre, at behandlingen af disse oplysninger sker under overholdelse af det i dette direktiv fastsatte høje niveau for beskyttelse af de rettigheder, der er sikret ved chartrets artikel 7 og 8, og tilvejebringer et retligt referencesystem for forhandling af internationale aftaler om behandling og overførsel af PNR-oplysninger (203).

203. Selv om det system, der er indført ved PNR-direktivet, uden forskel omfatter alle flypassagerer, således som bl.a. Parlamentet med rette har fremhævet i sit skriftlige indlæg, og FN’s Sikkerhedsråd ligeledes har pointeret i resolution 2396 (2017), hvori der henvises til den konkrete risiko for, at civil luftfart anvendes af terrorister som transportmiddel eller som terrormål (204), er der i øvrigt en objektiv forbindelse mellem luftfarten og de trusler om den offentlige sikkerhed, der navnlig er knyttet til terrorisme og i hvert fald til visse former for grov kriminalitet såsom bl.a. narkotikahandel eller menneskehandel, der i øvrigt har et klart grænseoverskridende islæt.

204. Som Parlamentet, Rådet og flere medlemsstater, der har indgivet skriftlige indlæg, har gjort gældende, skal det endelig fremhæves, at flypassagerer, der rejser ind eller ud af EU, har pligt til at gennemgå en sikkerhedskontrol (205). Overførsel og behandling af PNR-oplysningerne forud for deres ankomst eller afrejse gør det lettere og hurtigere at foretage denne kontrol, hvilket Domstolen ligeledes bemærkede i udtalelse 1/15, og gør det muligt for de retshåndhævende myndigheder at koncentrere sig om de passagerer, for hvilke der er en faktuel grund til at formode, at de kan udgøre en reel risiko for sikkerheden (206).

205. Hvad navnlig angår udvidelsen af systemet i PNR-direktivet til også at omfatte flyvninger inden for EU skal det endelig påpeges, at det ganske vist ikke umiddelbart kan afvises, at en sådan udvidelse kan få betydning for unionsborgernes ret til fri bevægelighed, som bl.a. er sikret i chartrets artikel 45, men at det indgreb i privatlivet, som PNR-direktivet medfører, selv om det er alvorligt, ikke er af en sådan art, at det i sig selv vil få en afskrækkende virkning for udøvelsen af denne ret, og at borgerne endda vil kunne opfatte behandlingen af PNR-oplysninger som en foranstaltning, der er nødvendig for at garantere sikkerheden i forbindelse med flyrejser (207). Der er behov for løbende vurdering og overvågning af, om der forekommer en sådan afskrækkende virkning.

206. PNR-direktivet kan imidlertid ikke i betragtning af den retspraksis, der er nævnt i præmis 107 og 108 i dette forslag til afgørelse, begrænse sig til at opstille et krav om, at adgangen til og den automatiske behandling af PNR-oplysninger vedrørende samtlige flypassagerer skal opfylde det forfulgte formål, men skal tillige og på en klar og præcis måde fastsætte de materielle og processuelle betingelser for denne adgang og denne behandling samt for den efterfølgende anvendelse af disse oplysninger (208) og indeholde passende garantier for hvert trin i denne proces. Jeg har allerede ved undersøgelsen af det andet præjudicielle spørgsmål henvist til de garantier, der gælder for overførslen af PNR-oplysninger til passageroplysningsenhederne. Jeg vil i forbindelse med undersøgelsen af det sjette præjudicielle spørgsmål gennemgå de garantier, der mere specifikt er forbundet med den automatiske behandling af disse oplysninger, og i forbindelse med undersøgelsen af det ottende præjudicielle spørgsmål de garantier, der er knyttet til deres opbevaring.

207. Før jeg tager fat på denne undersøgelse, vil jeg gerne fremhæve den grundlæggende betydning af den kontrol, der inden for rammerne af det ved PNR-direktivet indførte garantisystem skal føres af en uafhængig myndighed som omhandlet i PNR-direktivets artikel 15. Enhver behandling af oplysninger, der foretages i henhold til det nævnte direktiv, er ifølge denne artikel underlagt tilsyn af en uafhængig tilsynsmyndighed, der har kompetence til at kontrollere lovligheden af denne behandling, at gennemføre undersøgelser, inspektioner og revisioner og at behandle klager, der indgives af de registrerede. En sådan kontrol, som udføres af en ekstern myndighed, der har til opgave at forsvare interesser, som kan være i strid med de interesser, der forfølges af dem, der står for behandlingen af PNR-oplysninger, og at sørge for, at alle begrænsninger og beskyttelsesforanstaltninger i forbindelse med den nævnte behandling respekteres, udgør en væsentlig garanti, som udtrykkeligt er nævnt i chartrets artikel 8, stk. 3, og som endda er mere effektiv i forhold til at beskytte de pågældende grundlæggende rettigheder end de retsmidler, som borgerne råder over. Det er derfor efter min opfattelse afgørende, at Domstolen fortolker rækkevidden af de tilsynsbeføjelser, der er fastsat i PNR-direktivets artikel 15, udvidende, og at medlemsstaterne i forbindelse med gennemførelsen af dette direktiv i national ret sikrer, at deres nationale tilsynsmyndighed kan udøve disse beføjelser fuldt ud, ved at give denne myndighed de materielle og personalemæssige ressourcer, der er nødvendige for at varetage denne opgave.

208. Det er på grundlag af samtlige ovenstående betragtninger min opfattelse, at PNR-direktivet ikke overskrider grænserne for det strengt nødvendige, for så vidt som det tillader overførsel og automatisk behandling af oplysninger vedrørende enhver person, der falder ind under begrebet »passager« i dette direktivs artikel 3, nr. 4).

iv)    Spørgsmålet om, hvorvidt den forudgående vurdering af passagerer er tilstrækkeligt klar og præcis og begrænset til det strengt nødvendige (det sjette præjudicielle spørgsmål)

209. Med det sjette præjudicielle spørgsmål har den forelæggende ret nærmere bestemt anmodet Domstolen om at oplyse, om den forudgående vurdering, der er omhandlet i PNR-direktivets artikel 6, er forenelig med chartrets artikel 7 og 8 samt artikel 52, stk. 1. Selv om der i dette spørgsmåls ordlyd fokuseres på, at den automatiske behandling af PNR-oplysninger om alle flypassagerer, der foretages som led i denne forudgående vurdering, er af systematisk og generel karakter, fremgår det af forelæggelsesafgørelsens begrundelse, at Cour constitutionnelle (forfatningsdomstol) har anmodet Domstolen om en mere overordnet vurdering af, om kravene om lovlighed og proportionalitet overholdes i forbindelse med en sådan behandling. Jeg vil foretage en sådan vurdering i det følgende og samtidig henvise til min undersøgelse af det fjerde præjudicielle spørgsmål, hvor jeg så på den nævnte automatiske behandlings ikke-målrettede karakter.

210. Det fremgår af PNR-direktivets artikel 6, stk. 2, litra a), at passageroplysningsenheden foretager en vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten. Formålet med denne vurdering er at identificere personer, som det kræves, at de kompetente myndigheder undersøger nærmere, »idet sådanne personer kan være involveret i en terrorhandling eller grov kriminalitet«. I henhold til PNR-direktivets artikel 6, stk. 6, videregiver en medlemsstats passageroplysningsenhed de i forbindelse med denne vurdering identificerede personers PNR-oplysninger eller resultaterne af behandling af disse oplysninger til de i dette direktivs artikel 7 omhandlede kompetente myndigheder i den samme medlemsstat med henblik på »nærmere undersøgelse«.

211. Det fremgår af PNR-direktivets artikel 6, stk. 3, at den forudgående vurdering, der foretages i henhold til denne artikels stk. 2, litra a), sker ved at sammenholde PNR-oplysninger med oplysninger i databaser, der er »relevante« [artikel 6, stk. 3, litra a)], eller ved at behandle dem efter forud fastsatte kriterier [artikel 6, stk. 3, litra b)].

212. Inden jeg undersøger disse to former for behandling af oplysninger, skal det påpeges, at det ikke fremgår klart af ordlyden af det nævnte direktivs artikel 6, stk. 3, om medlemsstaterne har pligt til at bestemme, at den forudgående vurdering af passagerer skal ske systematisk og i alle tilfælde i forbindelse med begge automatiserede analyser, eller om de, som det synes at fremgå af brugen af verbet »kunne« og den disjunktive konjunktion »eller«, kan tilrettelægge deres systemer på en sådan måde, at den undersøgelse, der er omhandlet i artikel 6, stk. 3, litra b), kun foretages i særlige tilfælde. Det skal herved præciseres, at det fremgik af forslaget til PNR-direktivet, at denne undersøgelse kun skulle ske i forbindelse med bekæmpelse af grove grænseoverskridende overtrædelser (209).

213. Jeg er enig med Kommissionen i, at det bl.a. følger af PNR-direktivets opbygning, at medlemsstaterne har pligt til at indføre to former for automatisk behandling, bl.a. som følge af behovet for at sikre, at EU-systemet til behandling af PNR-oplysninger anvendes så ensartet som muligt. Dette indebærer imidlertid ikke, at medlemsstaterne ikke har ret – og endog pligt med henblik på at sikre, at behandlingen af oplysninger som led i den forudgående vurdering, der foretages i overensstemmelse med PNR-direktivets artikel 6, stk. 2, litra a), begrænses til det strengt nødvendige – til at afgrænse den analyse, der er omhandlet i PNR-direktivets artikel 6, stk. 3, litra b), ud fra dens resultater i forhold til effektivitet for hver af de overtrædelser, der er omhandlet i dette direktiv, og til i givet fald kun at foretage denne analyse for nogle af disse overtrædelser. Dette understøttes af syvende betragtning til PNR-direktivet, hvoraf det fremgår, at »[f]or at sikre at behandlingen af PNR-oplysninger fortsat begrænses i nødvendigt omfang, bør fastsættelsen og anvendelsen af vurderingskriterier […] begrænses til terrorhandlinger og grov kriminalitet, for hvilke anvendelsen af sådanne kriterier er relevant«.

–       Sammenholdningen med oplysninger i databaser som omhandlet i PNR-direktivets artikel 6, stk. 3, litra a)

214. Det første led i den forudgående vurdering, som passageroplysningsenhederne foretager i henhold til PNR-direktivets artikel 6, stk. 2, litra a), går ifølge denne artikels stk. 3, litra a), ud på at sammenholde PNR-oplysninger (»data matching«) med oplysninger i databaser for at finde eventuelle »hit«. Disse hit skal kontrolleres af passageroplysningsenhederne i overensstemmelse med PNR-direktivets artikel 6, stk. 5, og i givet fald konverteres til et »match«, før de videregives til de kompetente myndigheder.

215. Som Domstolen bemærkede i præmis 172 i udtalelse 1/15, afhænger omfanget af det indgreb i de i chartrets artikel 7 og 8 sikrede rettigheder, som disse former for automatiserede analyser indebærer, i det væsentlige af de databaser, som disse analyser er baseret på. Det er som følge heraf vigtigt, at de bestemmelser, der kræver en sådan behandling af oplysninger, tilstrækkeligt klart og præcist identificerer, hvilke databaser de oplysninger, der skal behandles, må samkøres med.

216. Det fremgår af PNR-direktivets artikel 6, stk. 3, litra a), at passageroplysningsenhederne kan sammenholde PNR-oplysninger med oplysninger i »databaser, der er relevante« (210) i lyset af de formål, der forfølges med dette direktiv. Der henvises i denne bestemmelse ligeledes til en særlig kategori af databaser, nemlig databaser vedrørende »personer eller genstande, der eftersøges eller er indberettet«, som EU-lovgiver således valgte udtrykkeligt at kvalificere som »relevante« i denne bestemmelses forstand.

217. Ud over denne præcisering forklares begrebet »databaser, der er relevante«, ikke nærmere. Det fremgår bl.a. ikke, om de databaser, der anvendes til samkøring af PNR-oplysninger, skal forvaltes af retshåndhævende myndigheder eller mere generelt af en offentlig myndighed for at være »relevante«, eller om de blot skal være direkte eller indirekte tilgængelige for disse myndigheder. Arten af de oplysninger, som disse databaser kan indeholde, og deres forbindelse med de formål, der forfølges med PNR-direktivet, præciseres heller ikke (211). Det fremgår i øvrigt af ordlyden af PNR-direktivets artikel 6, stk. 3, litra a), at nationale databaser, databaser i EU og internationale databaser kan kvalificeres som »databaser, der er relevante«, hvilket også udvider listen over potentielt berørte databaser og gør dette begreb mere åbent (212).

218. Det tilkommer under disse omstændigheder og i medfør af det almindelige fortolkningsprincip, der er nævnt i punkt 151 i dette forslag til afgørelse, Domstolen i videst muligt omfang at fortolke PNR-direktivets artikel 6, stk. 3, litra a), og navnlig begrebet »databaser, der er relevante«, i overensstemmelse med de krav om klarhed og præcision, der fremgår af chartret. Eftersom denne bestemmelse indebærer et indgreb i de grundlæggende rettigheder, der er omhandlet i chartrets artikel 7 og 8, skal den endvidere fortolkes indskrænkende og under hensyntagen til kravet om, at der skal sikres et højt beskyttelsesniveau for disse grundlæggende rettigheder, hvilket bl.a. fremgår af 15. betragtning til PNR-direktivet. Den skal desuden fortolkes i lyset af princippet om begrænsning af de formål, hvortil PNR-oplysninger må behandles, som omhandlet i PNR-direktivets artikel 1, stk. 2.

219. Henset til disse kriterier skal begrebet »databaser, der er relevante«, efter min opfattelse fortolkes således, at det kun omfatter nationale databaser, som forvaltes af de kompetente myndigheder i medfør af PNR-direktivets artikel 7, stk. 1, samt EU-databaser og internationale databaser, som disse myndigheder anvender direkte som led i deres arbejde. De nævnte databaser skal desuden have en direkte og tæt forbindelse med de formål om bekæmpelse af terrorisme og grov kriminalitet, der forfølges med PNR-direktivet, hvilket indebærer, at de er udviklet til disse formål. Ifølge denne fortolkning omfatter dette begreb primært, men ikke udelukkende, databaser vedrørende personer eller genstande, der eftersøges eller er indberettet, som udtrykkeligt nævnt i PNR-direktivets artikel 6, stk. 3, litra a).

220. Databaser, der forvaltes eller anvendes af medlemsstaternes efterretningstjenester, er som hovedregel ikke omfattet af begrebet »databaser, der er relevante«, medmindre de til fulde opfylder betingelsen om at være tæt forbundet med de formål, der forfølges med PNR-direktivet, og den pågældende medlemsstat har tildelt sine efterretningstjenester særlige beføjelser på retshåndhævelsesområdet (213).

221. Den fortolkning, der foreslås ovenfor, er i overensstemmelse med de anbefalinger, som Domstolen formulerede i præmis 172 i udtalelse 1/15.

222. Selv om PNR-direktivets artikel 6, stk. 3, litra a), fortolkes på denne måde, gør denne bestemmelse det imidlertid ikke muligt at identificere de databaser, som medlemsstaterne vil benytte i forbindelse med samkøringen med PNR-oplysninger, tilstrækkeligt præcist, og den kan ikke anses for at opfylde de krav, der følger af chartrets artikel 52, stk. 1, som fortolket af Domstolen. Denne bestemmelse skal derfor fortolkes således, at den forpligter medlemsstaterne til at offentliggøre en liste over de nævnte databaser i forbindelse med PNR-direktivets gennemførelse i national ret og at ajourføre denne liste. Det vil i øvrigt være ønskeligt, at der på EU-plan udarbejdes en liste over databaser, der er »relevante« som omhandlet i PNR-direktivets artikel 6, stk. 3, litra a), og som forvaltes af Unionen i samarbejde med medlemsstaterne, og internationale databaser for at gøre medlemsstaternes praksis ensartet i denne henseende.

–       Behandlingen af PNR-oplysninger efter forud fastsatte kriterier

223. Det andet led i den forudgående vurdering i medfør af PNR-direktivets artikel 6, stk. 2, litra a), består i en automatiseret analyse efter forud fastsatte kriterier. I forbindelse med denne analyse behandles PNR-oplysninger, først og fremmest til prædiktive formål, ved anvendelse af algoritmer, som skal gøre det muligt at »identificere« passagerer, der kan være involveret i terrorhandlinger eller grov kriminalitet. I denne sammenhæng udøver passageroplysningsenheden i det væsentlige en profileringsaktivitet (214). Da en sådan behandling kan få store konsekvenser for de personer, der identificeres af algoritmen (215), kræves der præcise rammer både for den måde, hvorpå den udføres, og for de garantier, der skal knyttes til den. Som Domstolen bemærkede i præmis 172 i udtalelse 1/15, afhænger omfanget af det indgreb i de i chartrets artikel 7 og 8 sikrede rettigheder, som disse former for analyse indebærer, nemlig i det væsentlige af de forudfastsatte modeller og kriterier, der anvendes.

224. Det skal herved for det første påpeges, at PNR-direktivets artikel 6, stk. 4, andet punktum, præciserer, at de forud fastsatte kriterier, som anvendes ved den forudgående vurdering, der er omhandlet i dette direktivs artikel 6, stk. 3, litra b), skal »være målrettede, stå i rimeligt forhold til målet og være konkrete«. Det første af disse krav vedrører formålet med den forudgående vurdering, der er omhandlet i denne artikels stk. 2, litra a), nemlig at identificere personer, som det kræves, at de kompetente myndigheder undersøger nærmere, og det tilgodeser således, som Domstolen fremhævede i udtalelse 1/15, behovet for ved hjælp af de anvendte kriterier at »indkredse« de personer, om hvilke der kan foreligge en »rimelig mistanke« om, at de deltager i terrorhandlinger eller grov kriminalitet (216). En sådan »indkredsning« kræver, at der anvendes abstrakte vurderingskriterier eller for at anvende et udtryk, der optræder i henstillingen fra 2021 om profilering, »profiler« (217), som gør det muligt at »filtrere« PNR-oplysninger for at finde frem til passagerer, som opfylder disse kriterier, og som skal kontrolleres nærmere. PNR-direktivet giver derimod ikke ret til individuel profilering af alle flypassagerer, hvis oplysninger analyseres, f.eks. ved at de hver især placeres i en risikokategori ud fra en forud fastsat skala, da dette ville være i strid både med dette direktivs artikel 6, stk. 4, og med de begrænsninger for automatisk behandling af PNR-oplysninger, som Domstolen har fastsat i udtalelse 1/15.

225. I henhold til PNR-direktivets artikel 6, stk. 4, andet punktum, skal de forud fastsatte kriterier, der er omhandlet i dette direktivs artikel 6, stk. 3, litra b), desuden være »konkrete« (218), dvs. være egnede til det formål, der forfølges, og relevante herfor, og »stå i rimeligt forhold til målet« (219), dvs. ligge inden for rammerne af dette formål. For at opfylde disse krav og navnlig »[f]or at sikre at behandlingen af PNR-oplysninger fortsat begrænses i nødvendigt omfang«, angives det, som jeg tidligere har nævnt, i syvende betragtning til PNR-direktivet, at »fastsættelsen og anvendelsen af vurderingskriterier [bør] begrænses til terrorhandlinger og grov kriminalitet, for hvilke anvendelsen af sådanne kriterier er relevant«.

226. Det fremgår endelig både af præamblen til PNR-direktivet og bestemmelserne heri og af de krav, som Domstolen fastsatte i udtalelse 1/15, at de forud fastsatte kriterier, der er omhandlet i PNR-direktivets artikel 6, stk. 3, litra b), ligeledes skal være »pålidelige« (220), hvilket indebærer dels, at de skal være udformet med henblik på at minimere risikoen for, at der begås fejl (221), dels at de skal være »aktuelle« (222). I denne henseende skal medlemsstaterne i henhold til PNR-direktivets artikel 6, stk. 4, tredje punktum, sikre, at disse kriterier »fastsættes og regelmæssigt evalueres af passageroplysningsenheden i samarbejde med de i artikel 7 omhandlede kompetente myndigheder« (223). For at sikre, at disse kriterier er pålidelige, og begrænse mængden af falsk positive resultater mest muligt, er det, som Kommissionen erkendte i svaret på et skriftligt spørgsmål fra Domstolen, også nødvendigt, at de udformes på en sådan måde, at der både tages hensyn til inkriminerende og diskulperende omstændigheder.

227. For det andet indeholder PNR-direktivet et udtrykkeligt forbud mod diskriminerende profilering. Det bestemmes således i dette direktivs artikel 6, stk. 4, første punktum, at enhver forudgående vurdering, der foretages efter forud fastsatte kriterier i medfør af denne artikels stk. 3, litra b), skal »udføres på en ikkediskriminerende måde«. Det skal herved præciseres, at det ganske vist fremgår af det nævnte direktivs artikel 6, stk. 4, [tredje] punktum, at de nævnte kriterier »under ingen omstændigheder [må] være baseret på en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller [seksuelle] orientering«, men at det generelle forbud mod diskriminerende profilering skal forstås således, at det omfatter alle de grunde til forskelsbehandling, der er nævnt i chartrets artikel 21, foruden de grunde, der ikke udtrykkeligt er nævnt (224).

228. For det tredje fremgår det både af ordlyden af PNR-direktivets artikel 6, stk. 3, litra b), og af det i PNR-direktivet omhandlede garantisystem, der er knyttet til den automatiske behandling af PNR-oplysninger, at funktionsmåden for de algoritmer, der anvendes i forbindelse med den analyse, der er nævnt i denne bestemmelse, skal være gennemsigtig, og at resultatet af deres anvendelse skal være sporbart. Dette krav om gennemsigtighed indebærer selvfølgelig ikke, at de anvendte »profiler« skal offentliggøres. Det skal til gengæld være muligt at identificere beslutninger, der træffes på grundlag af algoritmer. Kravet om at de kriterier, der skal benyttes ved denne analyse, skal være »forud fastsatte«, udelukker nemlig, at de ændres uden menneskelig indgriben, og er derfor til hinder for, at der anvendes teknologier inden for kunstig intelligens i form af maskinlæring (»machine learning«) (225), som ganske vist kan føre til øget præcision, men er vanskelige at fortolke, selv for dem, der har foretaget den automatiske behandling (226). Den garanti, der er omhandlet i PNR-direktivets artikel 6, stk. 5 og 6, hvorefter alle hit som følge af den automatiske behandling af PNR-oplysninger, der foretages i medfør af denne artikels stk. 2, litra a), gennemgås individuelt og manuelt, kræver desuden for at være effektiv – for så vidt angår den analyse, der er omhandlet i PNR-direktivets artikel 6, stk. 3, litra b) – at det er muligt at få kendskab til årsagen til, at programmet er nået frem til et sådant hit, hvilket bl.a. ikke kan sikres, når der anvendes selvlærende systemer. Det samme gælder for kontrollen af denne analyses lovlighed og de opnåede resultaters ikke-diskriminerende karakter, som den databeskyttelsesansvarlige og den nationale tilsynsmyndighed er ansvarlige for i henhold til henholdsvis PNR-direktivets artikel 6, stk. 7, og dette direktivs artikel 15, stk. 3, litra b). De anvendte algoritmers funktionsmåde skal desuden være gennemsigtig, for at de berørte personer kan udøve deres ret til at indgive klage og deres ret til en effektiv domstolsprøvelse.

–       Garantierne i tilknytning til den automatiske behandling af PNR-oplysninger

229. Jeg har allerede nævnt nogle af de garantier, som er forbundet med automatisk behandling af PNR-oplysninger som led i den forudgående vurdering i medfør af PNR-direktivets artikel 6, stk. 2, litra a), og som opfylder de krav, som Domstolen fastsatte i udtalelse 1/15, nemlig forbuddet mod behandling på grundlag af diskriminerende forud fastsatte kriterier (PNR-direktivets artikel 6, stk. 4, første og fjerde punktum; udtalelse 1/15, præmis 172), regelmæssig ajourføring af de forud fastsatte kriterier, der skal anvendes ved den forudgående vurdering, som er omhandlet i dette direktivs artikel 6, stk. 3, litra b) (PNR-direktivets artikel 6, stk. 4, tredje punktum; udtalelse 1/15, præmis 174), manuel gennemgang af alle hit som følge af den automatiske behandling af PNR-oplysninger (PNR-direktivets artikel 6, stk. 5 og 6; udtalelse 1/15, præmis 173) og den databeskyttelsesansvarliges og den nationale tilsynsmyndigheds kontrol af denne behandlings lovlighed [PNR-direktivets artikel 6, stk. 7, og artikel 15, stk. 3, litra b)]. Det er i denne sammenhæng afgørende, at den kontrol, der foretages af en uafhængig myndighed såsom den myndighed, der er omhandlet i PNR-direktivets artikel 15, kan omfatte ethvert aspekt af den automatiske behandling af PNR-oplysninger, herunder identificeringen af de databaser, der anvendes i forbindelse med sammenholdningen som omhandlet i dette direktivs artikel 6, stk. 3, litra a), og udarbejdelsen af de forud fastsatte kriterier, der anvendes i forbindelse med analysen i medfør af det nævnte direktivs artikel 6, stk. 3, litra b), og at den kan udføres både før og efter den pågældende behandling.

230. Det skal fremhæves, at de ovennævnte garantier skal anses for at finde tværgående anvendelse på de to former for analyse, der er omhandlet i PNR-direktivets artikel 6, stk. 3, uanset hvordan de er formuleret. Selv om der i dette direktivs artikel 6, stk. 4, første punktum, kun henvises til kravet om overholdelse af princippet om forbud mod forskelsbehandling i forbindelse med den forudgående vurdering, der foretages efter forud fastsatte kriterier, gælder dette krav således på hvert trin i den proces, hvorved PNR-oplysningerne behandles, og dermed også, når disse oplysninger sammenholdes med oplysninger i relevante databaser i forbindelse med den forudgående vurdering som omhandlet i dette direktivs artikel 6, stk. 3, litra a). Det samme gælder for kravet om, at de forud fastsatte kriterier, der anvendes i forbindelse med analysen i henhold til PNR-direktivets artikel 6, stk. 3, litra b), skal være pålidelige og ajourførte, hvilket skal forstås således, at dette også gælder for oplysningerne i de databaser, der anvendes ved den sammenholdning, som er omhandlet i dette direktivs artikel 6, stk. 3, litra a). Det skal herved mere generelt påpeges, at alle de garantier, der finder anvendelse på den automatiske behandling af personoplysninger, som er omhandlet i politidirektivet, ligeledes finder anvendelse i forbindelse med PNR-direktivet, eftersom de automatiserede analyser, der foretages som led i dette direktiv, skal anses for at være omfattet af politidirektivets anvendelsesområde.

231. Ud over de garantier, der er angivet i punkt 229 ovenfor, indeholder PNR-direktivets artikel 7, stk. 6, en garanti, som supplerer dels forbuddet mod, at der træffes afgørelser udelukkende på grundlag af resultater af automatisk behandling af PNR-oplysninger, dels forbuddet mod forskelsbehandling i forbindelse med behandlingen og anvendelsen af disse oplysninger. Det fremgår således af denne bestemmelse, at »[d]e kompetente myndigheder [ikke] må […] træffe afgørelser, som har byrdefulde retsvirkninger for en person eller i væsentlig grad påvirker en person, udelukkende som følge af automatisk behandling af PNR-oplysninger«, og at sådanne afgørelser »ikke [må] træffes på grundlag af en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller [seksuelle] orientering«. Som jeg har nævnt i punkt 227 i dette forslag til afgørelse i forbindelse med PNR-direktivets artikel 6, stk. 4, fjerde punktum, skal denne liste over grunde til forskelsbehandling suppleres ved tilføjelse af de grunde, som er anført i chartrets artikel 21, og som ikke udtrykkeligt er nævnt.

232. Med hensyn til PNR-oplysningers sikkerhed bestemmes det i PNR-direktivets artikel 6, stk. 8, at passageroplysningsenhedens lagring, behandling og analyse af disse oplysninger udelukkende må finde sted på et sikkert sted eller sikre steder på medlemsstaternes område.

–       Forslag til besvarelse af det sjette præjudicielle spørgsmål

233. Det er på grundlag af samtlige ovenstående betragtninger og med forbehold af de fortolkninger, der bl.a. foreslås i punkt 213, 219, 220, 222, 227, 228, 230 og 231 i dette forslag til afgørelse, min opfattelse, at automatisk behandling af PNR-oplysninger som led i den forudgående vurdering, der er omhandlet i PNR-direktivets artikel 6, stk. 2, litra a), opfylder kravene om klarhed og præcision og er begrænset til det strengt nødvendige.

v)      Opbevaringen af PNR-oplysninger (det ottende præjudicielle spørgsmål)

234. Med det ottende præjudicielle spørgsmål har den forelæggende ret anmodet Domstolen om at oplyse, om PNR-direktivets artikel 12, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1, skal fortolkes således, at den er til hinder for en national lovgivning, hvori der er fastsat en generel periode for opbevaring af PNR-oplysninger på fem år, uden at der sondres mellem, hvorvidt den forudgående vurdering har vist, at de pågældende passagerer kan udgøre en risiko for den offentlige sikkerhed eller ej.

235. PNR-direktivets artikel 12, stk. 1, bestemmer, at PNR-oplysninger opbevares i en database »i en periode på fem år efter videregivelsen til passageroplysningsenheden i den medlemsstat, på hvis område luftfartøjet lander eller afgår«. PNR-oplysningerne anonymiseres i overensstemmelse med denne artikels stk. 2 ved udløbet af en »indledende periode« (227) på seks måneder ved hjælp af maskering af visse oplysninger, der kan tjene til direkte at identificere den registrerede. Det fremgår af den nævnte artikels stk. 3, at videregivelse af de fuldstændige PNR-oplysninger, herunder de maskerede dataelementer, ved udløbet af denne seksmånedersperiode kun må tillades, når det er antaget med »rimelig grund«, at det er nødvendigt med henblik på de i PNR-direktivets artikel 6, stk. 2, litra b), omhandlede formål og godkendt af en judiciel myndighed eller en anden national myndighed, der i henhold til national ret er kompetent til at kontrollere, om betingelserne for videregivelse er opfyldt. Samme artikels stk. 4 bestemmer endelig, at PNR-oplysningerne slettes permanent efter udløbet af den i stk. 1 omhandlede periode på fem år.

236. Det fremgår heraf, at PNR-direktivet selv fastlægger ordningen for opbevaring af PNR-oplysninger, herunder opbevaringens varighed, der fastsættes til fem år (228), og at medlemsstaterne derfor i princippet ikke har nogen skønsmargen i denne henseende, hvilket Kommissionen i øvrigt har bekræftet. Som jeg tidligere har nævnt, sigter det ottende præjudicielle spørgsmål under disse omstændigheder, selv om det er formuleret som et fortolkningsspørgsmål, reelt mod at få Domstolen til at tage stilling til, om den nævnte ordning er forenelig med chartret.

237. Det er et almindeligt princip i forbindelse med beskyttelse af personoplysninger, at disse oplysninger ikke må opbevares på en sådan måde, at det er muligt at identificere de registrerede direkte eller indirekte i et længere tidsrum end det, der er nødvendigt til de formål, hvortil oplysningerne behandles (229). Det fremgår i øvrigt af fast retspraksis, at en lovgivning, der omhandler opbevaring af personoplysninger, altid skal opfylde objektive kriterier, som fastlægger et forhold mellem de oplysninger, der skal opbevares, og det forfulgte mål (230).

238. I udtalelse 1/15 fastslog Domstolen med hensyn til de oplysninger, der indsamles i forbindelse med indrejse i Canada, at den nødvendige forbindelse mellem PNR-oplysningerne og det med udkastet til PNR-aftalen mellem Canada og EU forfulgte formål forelå for samtlige flypassagerer, så længe de opholdt sig på dette tredjelands område (231). Hvad derimod angår de flypassagerer, der havde forladt Canada, og med hensyn til hvilke der ikke var blevet konstateret nogen risiko i forhold til terrorisme eller grov, grænseoverskridende kriminalitet fra deres ankomst til Canada frem til deres udrejse fra dette tredjeland, fastslog Domstolen, at der ikke syntes at foreligge en sådan forbindelse, selv indirekte, som kunne begrunde en opbevaring af deres PNR-oplysninger (232). Den bemærkede imidlertid, at en sådan opbevaring kunne være tilladelig, »[n]år det imidlertid i konkrete sager fastslås, at der foreligger objektive forhold, som gør det muligt at antage, at visse af flypassagererne selv efter deres afgang fra Canada ville kunne frembyde en risiko i forbindelse med bekæmpelsen af terrorisme og grov, grænseoverskridende kriminalitet« (233).

239. Hvis de principper, som Domstolen fastsatte i udtalelse 1/15, overføres på PNR-direktivets område, indebærer det, at PNR-oplysninger vedrørende flyvninger uden for EU, der indsamles ved indrejse i EU, og PNR-oplysninger vedrørende flyvninger inden for EU, der indsamles ved indrejse i den berørte medlemsstat, efter den forudgående analyse af disse oplysninger, der er omhandlet i PNR-direktivets artikel 6, stk. 2, litra a), kun kan opbevares, så længe de pågældende passagerer opholder sig på EU’s område eller på denne medlemsstats område. Med hensyn til PNR-oplysninger vedrørende flyvninger uden for EU, der indsamles ved udrejse fra EU, og PNR-oplysninger vedrørende flyvninger inden for EU, der indsamles ved udrejse fra den berørte medlemsstat, kan disse oplysninger efter den nævnte forudgående vurdering principielt kun opbevares for passagerer, hvor objektive forhold gør det muligt at vise, at der foreligger en risiko i forbindelse med bekæmpelsen af terrorisme og grov kriminalitet (234).

240. De regeringer og institutioner, der har afgivet indlæg for Domstolen, har generelt taget afstand fra, at principperne i udtalelse 1/15 vedrørende opbevaring af PNR-oplysninger overføres på den foreliggende sag. Det kan i denne henseende ikke udelukkes, at det påvirkede Domstolens valg af et kriterium, der var forbundet med den registreredes ophold på canadisk område, at den skulle tage stilling til opbevaring af personoplysninger på et tredjelands område. Det er også muligt, at anvendelsen af et sådant kriterium i forbindelse med PNR-direktivet rent konkret kan føre til et indgreb i retten til respekt for privatlivet og retten til beskyttelse af personoplysninger, som potentielt er større for visse kategorier af personer, bl.a. personer, som har fast bopæl i EU, og som rejser inden for EU eller vender tilbage efter et ophold i udlandet. Det nævnte kriterium kan endelig være vanskeligt at anvende i praksis, i hvert fald for flyvninger inden for EU, hvilket visse medlemsstater og Rådet har fremhævet.

241. Selv om der ses bort fra det kriterium, som Domstolen anvendte i udtalelse 1/15, vil det ikke desto mindre være i strid med Domstolens faste praksis, som er nævnt i punkt 237 i dette forslag til afgørelse, og som Domstolen havde til hensigt at anvende i den nævnte udtalelse, at opbevare samtlige PNR-oplysninger vedrørende alle flypassagerer uafhængigt af resultatet af den forudgående vurdering, der er omhandlet i PNR-direktivets artikel 6, stk. 2, litra a), og uden at der foretages nogen sondring med hensyn til risikoen i forbindelse med terrorisme eller grov kriminalitet baseret på objektive kriterier, der kan efterprøves. De betragtninger, som jeg har fremført i punkt 201-203 i dette forslag til afgørelse i forbindelse med undersøgelsen af det fjerde præjudicielle spørgsmål, kan ganske vist i mine øjne begrunde den generelle og udifferentierede overførsel af PNR-oplysninger og den automatiske behandling af disse oplysninger som led i den forudgående vurdering, der er omhandlet i PNR-direktivets artikel 6, stk. 2, litra a), men er efter min opfattelse ikke tilstrækkelige til at begrunde en generel og udifferentieret opbevaring af disse oplysninger selv efter en sådan vurdering.

242. Det skal i øvrigt påpeges, at der gælder den samme opbevaringsperiode på fem år, uanset om der er tale om bekæmpelse af terrorisme eller bekæmpelse af grov kriminalitet, og med hensyn til det sidstnævnte formål for alle de overtrædelser, der er anført i bilag II, uden undtagelse. Som det fremgår af betragtningerne i punkt 121 i dette forslag til afgørelse, er denne liste imidlertid meget vidtrækkende og omfatter overtrædelser af forskellig art og grovhed. Det bør i denne henseende fremhæves, at den begrundelse, der angives af næsten alle de medlemsstater og institutioner, som har afgivet indlæg i den foreliggende sag, vedrørende efterforskningens varighed og kompleksitet, rent faktisk kun vedrører terrorhandlinger og visse overtrædelser, der i høj grad er grænseoverskridende, såsom menneskehandel eller ulovlig handel med narkotika samt mere generelt visse former for organiseret kriminalitet. Det skal i øvrigt påpeges, at Domstolen i udtalelse 1/15 kun godtog en lignende begrundelse for så vidt angik opbevaring af PNR-oplysninger vedrørende flypassagerer, for hvilke der foreligger en objektiv risiko i forbindelse med bekæmpelsen af terrorisme og grov, grænseoverskridende kriminalitet, og for hvilke det ikke synes at overskride grænserne for det, der er strengt nødvendigt, at opbevare oplysningerne i fem år (235). Domstolen fandt derimod, at det ikke med denne begrundelse kan tillades, »at PNR-oplysningerne for samtlige flypassagerer fortsat opbevares […] med henblik på en eventuel adgang til oplysningerne, uafhængigt af, om der foreligger nogen forbindelse til bekæmpelsen af terrorisme og grov, grænseoverskridende kriminalitet« (236).

243. Som det fremhæves af Rådet, Parlamentet og Kommissionen samt af alle de regeringer, der har fremsat bemærkninger til det ottende præjudicielle spørgsmål, indeholder PNR-direktivet ganske vist specifikke garantier både med hensyn til opbevaringen af PNR-oplysninger, der maskeres delvist efter en indledende periode på seks måneder, og med hensyn til deres anvendelse i opbevaringsperioden, som er underlagt strenge betingelser. Jeg vil imidlertid for det første påpege dels, at der også i udkastet til PNR-aftalen mellem Canada og EU var fastsat et system til anonymisering af PNR-oplysninger ved hjælp af maskering (237), dels at selv om en sådan anonymisering, som bl.a. Den Rådgivende Komité for konvention nr. 108 har fremhævet (238), kan afbøde de risici, der er forbundet med langvarig opbevaring af oplysninger, såsom ulovlig adgang, er det stadig muligt at identificere personer ud fra de maskerede oplysninger, og der er derfor stadig tale om personoplysninger, hvis opbevaring også skal begrænses tidsmæssigt for at forhindre generel og permanent overvågning. Det skal herved påpeges, at en opbevaringsperiode på fem år vil resultere i, at et stort antal passagerer, bl.a. dem, der rejser inden for EU, kan være registreret næsten permanent. Hvad for det andet angår begrænsninger af oplysningernes anvendelse skal der gøres opmærksom på, at opbevaringen af personoplysninger og adgangen til sådanne oplysninger udgør særskilte indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, som skal begrundes på selvstændig vis. Selv om det, når der er fastlagt strenge garantier i forbindelse med adgangen til de lagrede data, er muligt at foretage en overordnet vurdering af, hvordan en overvågningsforanstaltning påvirker de nævnte grundlæggende rettigheder, gør disse garantier det alligevel ikke muligt at fjerne de indgreb, der er forbundet med en generel langvarig opbevaring.

244. Med hensyn til Kommissionens argument om, at det er nødvendigt at opbevare PNR-oplysninger for alle flypassagerer, for at passageroplysningsenheden kan udføre den opgave, der er omhandlet i PNR-direktivets artikel 6, stk. 2, litra c), dvs. for at den kan ajourføre eller fastsætte nye kriterier, der skal anvendes i forbindelse med de vurderinger, der foretages i medfør af denne artikels stk. 3, litra b), skal det påpeges, at selv om disse kriteriers præcision til dels afhænger af, om de sammenholdes med en »normal« adfærd, således som Kommissionen har anført, skal de ikke desto mindre udarbejdes på grundlag af en »kriminel« adfærd. Dette argument, der i øvrigt kun er fremført af et begrænset antal medlemsstater, kan efter min opfattelse ikke tillægges den store betydning, som Kommissionen synes at gøre, og det kan ikke i sig selv begrunde en generel opbevaring af PNR-oplysninger om alle flypassagerer i ikke-anonymiseret form.

245. Henset til det ovenfor anførte skal PNR-direktivets artikel 12, stk. 1, efter min opfattelse for at sikre en fortolkning af denne bestemmelse, der er forenelig med chartrets artikel 7 og 8 samt artikel 52, stk. 1, fortolkes således, at opbevaring af de PNR-oplysninger, som luftfartsselskaberne videregiver til passageroplysningsenheden, i en database i en periode på fem år efter videregivelsen til passageroplysningsenheden i den medlemsstat, på hvis område luftfartøjet lander eller afgår, kun er tilladt, efter at der er foretaget en forudgående vurdering i medfør af dette direktivs artikel 6, stk. 2, litra a), for så vidt som det på grundlag af objektive kriterier er godtgjort, at der består en forbindelse mellem disse oplysninger og bekæmpelsen af terrorisme eller grov kriminalitet. Generel og udifferentieret opbevaring af PNR-oplysninger i ikke-anonymiseret form er i analogi med, hvad Domstolen har fastslået i den samme praksis, kun begrundet, hvis der foreligger en alvorlig trussel mod medlemsstaternes sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, og som f.eks. har en forbindelse til terrorvirksomhed, samt under forudsætning af, at denne opbevarings varighed er begrænset til det strengt nødvendige.

246. Afgrænsningen af den opbevaringsforanstaltning, der er omhandlet i PNR-direktivets artikel 12, stk. 1, kan f.eks. baseres på en risikovurdering eller på de kompetente nationale myndigheders erfaring og gør det muligt at fokusere målrettet på visse flyforbindelser, rejseruter, de bureauer, hvorigennem reservationerne foretages, eller bestemte personkategorier eller geografiske områder, der identificeres på grundlag af objektive og ikke-diskriminerende forhold, således som Domstolen har fastslået i sin praksis vedrørende lagring af metadata fra elektronisk kommunikation (239). I analogi med udtalelse 1/15 skal det i øvrigt fastslås, at den nødvendige forbindelse mellem PNR-oplysningerne og det formål, der forfølges med PNR-direktivet, foreligger, så længe flypassagererne opholder sig i EU (eller i den berørte medlemsstat) eller er ved at forlade EU. Det samme gælder for de passageroplysninger, der har udløst et verificeret hit.

247. Hvad angår det ottende præjudicielle spørgsmål vil jeg afslutningsvis fremsætte en række bemærkninger om de regler, der gælder for adgangen til PNR-oplysninger og deres anvendelse, efter at der er foretaget en forudgående vurdering i medfør af PNR-direktivets artikel 6, stk. 2, litra a), og før de anonymiseres ved udløbet af den indledende opbevaringsperiode på seks måneder, der er fastsat i PNR-direktivets artikel 12, stk. 2.

248. Det fremgår af PNR-direktivets artikel 6, stk. 2, litra b), sammenholdt med dette direktivs artikel 12, stk. 3, at ikke-anonymiserede PNR-oplysninger eller resultatet af deres behandling i denne indledende periode kan videregives til de kompetente myndigheder i overensstemmelse med den første af disse bestemmelser, uden at de betingelser, der er fastsat i litra a) og b) i den anden af de nævnte bestemmelser, er opfyldt (240). Det fremgår nemlig blot af PNR-direktivets artikel 6, stk. 2, litra b), at de kompetente myndigheders anmodninger vedrørende en sådan behandling eller en sådan videregivelse skal være »behørigt begrundet« og »baseret på tilstrækkelige grunde«.

249. Ifølge den faste retspraksis, som Domstolen gennemgik i udtalelse 1/15, kan en EU-lovgivning ikke begrænse sig til at opstille et krav om, at en myndigheds adgang til lovligt opbevarede personoplysninger opfylder et af formålene med denne lovgivning, men skal tillige fastsætte de materielle og processuelle betingelser for denne brug (241) med henblik på bl.a. at sikre de nævnte oplysninger mod risikoen for misbrug (242). Domstolen fastslog i denne udtalelse, at brugen af PNR-oplysninger, efter at de er blevet kontrolleret i forbindelse med flypassagerernes ankomst til Canada, og under disse passagerers ophold i dette land skal være baseret på nye omstændigheder, der begrunder denne brug (243), idet den præciserede, at »når der foreligger objektive forhold, som gør det muligt at antage, at en eller flere flypassagerers PNR-oplysninger kan bidrage effektivt til formålet om bekæmpelse af terrorhandlinger og grov, grænseoverskridende kriminalitet, synes brugen af disse oplysninger ikke at gå ud over det strengt nødvendige« (244). Med analog henvisning til præmis 120 i Tele2 Sverige-dommen fastslog Domstolen, at det med henblik på i praksis at sikre fuld iagttagelse af disse betingelser er »afgørende, at brugen af de opbevarede PNR-oplysninger under flypassagerernes ophold i Canada i princippet, undtagen i behørigt begrundede hastende tilfælde, er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, og at denne domstols eller denne enheds afgørelse træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af disse kompetente myndigheder inden for rammerne af procedurer med henblik på forebyggelse, opdagelse eller strafferetlig forfølgning« (245). Domstolen har således fastsat to betingelser for, at det er muligt at bruge opbevarede PNR-oplysninger, efter at de er blevet kontrolleret i forbindelse med flyrejsen, nemlig en materiel betingelse – dvs. forekomsten af objektive forhold, som begrunder en sådan brug – og en processuel betingelse – dvs. den kontrol, der foretages af en domstol eller en uafhængig administrativ myndighed. Domstolens fortolkning, som på ingen måde er »kontekstuel«, udgør anvendelse af den praksis, der bl.a. følger af Digital Rights-dommen og Tele2 Sverige-dommen, i forbindelse med PNR-oplysninger.

250. Den ved PNR-direktivet indførte ordning vedrørende de seks første måneders opbevaring af PNR-oplysninger, som efter den forudgående vurdering, der er omhandlet i dette direktivs artikel 6, stk. 2, litra a), tillader videregivelse og behandling – potentielt flere gange – af PNR-oplysninger, uden at der foreligger passende processuelle garantier og tilstrækkeligt klare og præcise materielle regler, som angiver formålet med og vilkårene for disse forskellige indgreb, opfylder imidlertid ikke de krav, som Domstolen opstillede i udtalelse 1/15. Den synes heller ikke at opfylde kravet om, at anvendelse af PNR-oplysninger skal begrænses til det strengt nødvendige.

251. Jeg foreslår derfor, at Domstolen fortolker PNR-direktivets artikel 6, stk. 2, litra b), på en sådan måde, at behandling af oplysninger i medfør af denne bestemmelse, som finder sted i den indledende seksmånedersperiode, der er fastsat i dette direktivs artikel 12, stk. 2, opfylder de krav, som Domstolen fastsatte i udtalelse 1/15.

252. Med hensyn til den første betingelse, som er af materiel karakter, og som Domstolen har fastsat for den efterfølgende anvendelse af PNR-oplysninger, kan begrebet »rimelig grund« i PNR-direktivets artikel 12, stk. 3, litra a), og begrebet »tilstrækkelige grunde« i dette direktivs artikel 6, stk. 2, litra b), efter min opfattelse uden videre fortolkes således, at der i de anmodninger fra kompetente myndigheder, som er omhandlet i disse bestemmelser, skal henvises til »objektive forhold, som gør det muligt at antage, at en eller flere flypassagerers PNR-oplysninger kan bidrage effektivt til formålet om bekæmpelse af terrorhandlinger og grov […] kriminalitet« (246).

253. Med hensyn til den anden betingelse, som er af processuel karakter, skal PNR-direktivets artikel 6, stk. 2, litra b), sammenholdt med dette direktivs artikel 12, stk. 3, og i lyset af chartrets artikel 7 og 8 samt artikel 52, stk. 1, efter min opfattelse fortolkes således, at kravet i dette direktivs artikel 12, stk. 3, litra b), om forudgående godkendelse fra en judiciel myndighed eller en uafhængig administrativ myndighed gælder for enhver behandling af PNR-oplysninger, der foretages i medfør af den nævnte artikel 6, stk. 2, litra b).

4.      Forslag til besvarelse af det andet, det tredje, det fjerde, det sjette og det ottende præjudicielle spørgsmål

254. Jeg foreslår på grundlag af samtlige ovenstående betragtninger, at Domstolen kender punkt 12 i bilag I ugyldigt, for så vidt som det henfører »generelle bemærkninger« til de kategorier af oplysninger, som luftfartsselskaberne skal overføre til passageroplysningsenhederne i overensstemmelse med PNR-direktivets artikel 8, og at den udtaler, at gennemgangen af det andet, det tredje, det fjerde, det sjette og det ottende præjudicielle spørgsmål ikke har frembragt andre forhold, der kan rejse tvivl om dette direktivs gyldighed, jf. dog de fortolkninger af bestemmelserne heri, der foreslås i punkt 153, 160, 161-164, 219, 228, 239 og 251 i dette forslag til afgørelse.

255. I lyset af den foreslåede besvarelse af de præjudicielle spørgsmål, der vedrører PNR-direktivets gyldighed, kan den anmodning, der bl.a. er fremsat af Rådet med henblik på at opretholde PNR-direktivets virkninger, hvis Domstolen beslutter helt eller delvist at kende PNR-direktivet som helhed ugyldigt, uafhængigt af andre hensyn ikke tages til følge.

C.      Det femte præjudicielle spørgsmål

256. Med det femte præjudicielle spørgsmål har den forelæggende ret nærmere bestemt anmodet Domstolen om at oplyse, om PNR-direktivets artikel 6, sammenholdt med chartrets artikel 7 og 8 samt artikel 52, stk. 1, skal fortolkes således, at den er til hinder for en national lovgivning, hvorefter et af formålene med behandlingen af PNR-oplysninger kan være efterretnings- og sikkerhedstjenesternes overvågning af visse aktiviteter. Det fremgår af forelæggelsesafgørelsen, at der er tale om de aktiviteter, som Sûreté de l’État (den statslige sikkerhedstjeneste) og Service Général du Renseignement et de la Sécurité (den generelle efterretnings- og sikkerhedstjeneste) udøver som led i deres opgaver i forbindelse med beskyttelsen af den nationale sikkerhed.

257. Som jeg har anført i punkt 113 og 114 i dette forslag til afgørelse, er begrænsningen af formålene med behandlingen af personoplysninger en garanti, som det er vigtigt at respektere, for at indgreb i de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, ikke går ud over, hvad der er nødvendigt, som omhandlet i Domstolens praksis. Jeg har også præciseret, at det for så vidt angår de indgreb i disse grundlæggende rettigheder, der er omhandlet i PNR-direktivet, påhviler EU-lovgiver at fastsætte klare og præcise regler, som regulerer rækkevidden og anvendelsen af de foranstaltninger, der indebærer sådanne indgreb, for at overholde legalitetsprincippet og proportionalitetsprincippet, der bl.a. er fastlagt i chartrets artikel 52, stk. 1.

258. PNR-direktivets artikel 1, stk. 2, præciserer imidlertid, at PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, »kun [må] behandles med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, jf. [dette direktivs] artikel 6, stk. 2, litra a), b) og c)«. Passageroplysningsenhederne behandler i overensstemmelse med denne bestemmelse kun PNR-oplysninger med henblik på at foretage en forudgående vurdering af flypassagerer [artikel 6, stk. 2, litra a)], at reagere på konkrete anmodninger fra de kompetente myndigheder [artikel 6, stk. 2, litra b)] og at ajourføre eller fastsætte nye kriterier, der skal anvendes i forbindelse med vurderingerne, der foretages i medfør af den nævnte artikel 6, stk. 3, litra b) [artikel 6, stk. 2, litra [a])]. I disse tre tilfælde henvises der udtrykkeligt til de formål, der er angivet i PNR-direktivets artikel 1, stk. 2, i forbindelse med bekæmpelse af terrorisme og grov kriminalitet.

259. Det præciseres i øvrigt i dette direktivs artikel 7, stk. 4, at såvel den i artikel 6 omhandlede behandling af PNR-oplysninger som den yderligere behandling af disse oplysninger og resultatet af denne behandling, der foretages af medlemsstaternes kompetente myndigheder, skal begrænses til »det specifikke formål at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet«.

260. Det fremgår klart af ordlyden af PNR-direktivets artikel 1, stk. 2, at de formål, der forfølges med dette direktiv, er fastlagt udtømmende, hvilket understøttes ikke bare af dets artikel 6, stk. 2, og artikel 7, stk. 4, som allerede nævnt, men af en række artikler i og betragtninger til dette direktiv, hvori disse specifikke formål systematisk angives for hvert trin i processen for adgang, behandling, opbevaring og udveksling af PNR-oplysninger (247).

261. Det følger både af ordlyden af PNR-direktivets artikel 1, stk. 2, og af denne bestemmelses fortolkning i lyset af legalitetsprincippet og proportionalitetsprincippet, hvorefter der kræves en udtømmende begrænsning af formålene med foranstaltninger, der indebærer indgreb i den grundlæggende ret til respekt for privatlivet og til beskyttelse af personoplysninger, at enhver udvidelse af formålene med behandlingen af PNR-oplysninger ud over de sikkerhedsmål, der udtrykkeligt er nævnt i denne bestemmelse, vil være i strid med PNR-direktivet.

262. Dette forbud mod at udvide de formål, der forfølges med direktivet, gælder efter min opfattelse i særdeleshed for medlemsstaternes sikkerheds- og efterretningstjenesters aktiviteter, bl.a. på grund af den manglende gennemsigtighed, der kendetegner deres modus operandi. Jeg er i denne henseende enig med Kommissionen i, at disse tjenester som hovedregel ikke bør have direkte adgang til PNR-oplysninger. I denne sammenhæng anser jeg det allerede for kritisabelt i sig selv, at personalet ved de nationale passageroplysningsenheder, heriblandt den belgiske, kan omfatte tjenestemænd, der er udstationeret fra sikkerhedstjenesterne (248).

263. Det er på grundlag af det ovenfor anførte min opfattelse, at det femte præjudicielle spørgsmål skal besvares med, at PNR-direktivet og navnlig artikel 1, stk. 2, og artikel 6 heri skal fortolkes således, at det ikke er til hinder for en national lovgivning, hvorefter et af formålene med behandling af PNR-oplysninger kan være efterretnings- og sikkerhedstjenesternes overvågning af visse aktiviteter, for så vidt som den nationale passageroplysningsenhed som led i et sådant formål er nødt til at behandle de nævnte oplysninger og/eller videregive disse eller resultatet af deres behandling til de nævnte tjenester til andre formål end dem, der udtrykkeligt er angivet i dette direktivs artikel 1, stk. 2, hvilket det påhviler den nationale ret at efterprøve.

D.      Det syvende præjudicielle spørgsmål

264. Med det syvende spørgsmål har den forelæggende ret nærmere bestemt anmodet Domstolen om at oplyse, om PNR-direktivets artikel 12, stk. 3, litra b), skal fortolkes således, at passageroplysningsenheden udgør en »anden kompetent national myndighed« i denne bestemmelses forstand, som kan tillade videregivelse af de fuldstændige PNR-oplysninger ved udløbet af den indledende periode på seks måneder efter overførslen af disse oplysninger.

265. Det skal påpeges, at det fremgår af PNR-direktivets artikel 12, stk. 2, at PNR-oplysningerne ved udløbet af en periode på seks måneder anonymiseres ved hjælp af maskering af visse dataelementer, der kan tjene til direkte at identificere den passager, som de vedrører. Efter denne periode må videregivelse af de nævnte fuldstændige oplysninger kun tillades på de betingelser, der er fastsat i dette direktivs artikel 12, stk. 3, bl.a. når denne videregivelse på forhånd er godkendt af en »judiciel myndighed« [artikel 12, stk. 3, litra b), nr. i)] eller en »anden national myndighed, der i henhold til national ret er kompetent til at kontrollere, om betingelserne for videregivelse er opfyldt, på betingelse af at passageroplysningsenhedens databeskyttelsesansvarlige underrettes, og at denne databeskyttelsesansvarlige foretager en efterfølgende kontrol« [artikel 12, stk. 3, litra b), nr. ii)].

266. De fleste regeringer, der har afgivet skriftlige indlæg i den foreliggende sag, har ikke taget stilling til det syvende præjudicielle spørgsmål. Den tjekkiske regering har i lighed med Kommissionen anført, at PNR-direktivets artikel 12, stk. 3, ikke kan fortolkes således, at passageroplysningsenheden kan udgøre en »anden national myndighed«. Den belgiske regering (249), Irland, den spanske, den franske og den cypriotiske regering har derimod modsat sig sådan fortolkning. De har i det væsentlige anført, at ingen bestemmelse i PNR-direktivet eller i EU-retten er til hinder for, at passageroplysningsenheden udpeges som kompetent national myndighed som omhandlet i det nævnte direktivs artikel 12, stk. 2, litra b), nr. ii), og at passageroplysningsenheden i sagens natur er en myndighed, der er tilstrækkeligt uafhængig til at kunne godkende behandlingen af PNR-oplysninger.

267. Jeg vil for det første fremhæve, at det fremgår af ordlyden af PNR-direktivets artikel 12, stk. 3, litra b), og navnlig af brugen af bindeordet »eller«, som forbinder de to tilfælde, der er angivet i denne bestemmelses nr. i) og ii), at EU-lovgiver ønskede at sidestille den kontrol, som udføres af den nationale myndighed, der er omhandlet i nr. ii), med den kontrol, som foretages af den judicielle myndighed, der er omhandlet i nr. i). Den nævnte nationale myndighed skal som følge heraf have en sådan grad af uafhængighed og upartiskhed, at den kontrol, som den udfører, kan anses for at udgøre et sammenligneligt alternativ til den kontrol, der kan foretages af en judiciel myndighed (250).

268. For det andet fremgår det af forarbejderne til PNR-direktivet, at EU-lovgiver ikke fulgte Kommissionens forslag om at gøre passageroplysningsenhedens leder ansvarlig for at tillade videregivelse af fuldstændige PNR-oplysninger (251), og at lovgiver desuden forlængede den indledende opbevaringsperiode på 30 dage for disse oplysninger, som Kommissionen havde foreslået, til seks måneder. Det var i denne sammenhæng, hvor der skulle findes en balance mellem varigheden af opbevaringsperioden, før PNR-oplysningerne anonymiseres, og de betingelser, der gælder for maskeringen efter denne periode, at EU-lovgiver besluttede at fastsætte strengere betingelser for den fuldstændige adgang til PNR-oplysninger end dem, som Kommissionen oprindeligt havde fastsat, og at give en uafhængig myndighed til opgave at kontrollere, at betingelserne for videregivelsen er opfyldt.

269. For det tredje følger det, som Kommissionen med rette har anført, af PNR-direktivets opbygning, at tanken med godkendelsesproceduren i PNR-direktivets artikel 12, stk. 3, var give en upartisk tredjepart til opgave i hvert enkelt tilfælde at foretage en afvejning af de registreredes rettigheder og det retshåndhævende formål, der forfølges med dette direktiv.

270. For det fjerde følger det af Domstolens praksis, at en enhed, som har til opgave at foretage den forudgående kontrol, der kræves for at give de kompetente nationale myndigheder adgang til lovligt opbevarede personoplysninger, skal have alle de beføjelser og frembyde alle de garantier, der er nødvendige for at sikre en afvejning af de forskellige berørte interesser og rettigheder. Domstolen har ligeledes præciseret, at denne enhed skal have en status, der gør det muligt for den at udføre sine opgaver på en objektiv og upartisk måde og i denne forbindelse at handle uden udefrakommende indflydelse (252). Kravet om den fornødne uafhængighed, især inden for det strafferetlige område, indebærer navnlig, at den myndighed, der har til opgave at foretage den forudgående kontrol, skal være udenforstående i forhold til den myndighed, der anmoder om adgang til dataene, og derfor ikke må være involveret i en strafferetlig efterforskning og skal optræde neutralt i forhold til parterne i straffesagen (253).

271. Det må imidlertid konstateres, at passageroplysningsenheden ikke frembyder alle de garantier for uafhængighed og partiskhed, som kræves af den myndighed med ansvar for den forudgående kontrol, der er omhandlet i PNR-direktivets artikel 12, stk. 3. Passageroplysningsenhederne er nemlig direkte knyttet til de myndigheder, der har kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet. Passageroplysningsenheden er ifølge PNR-direktivets artikel 4, stk. 1, selv en sådan myndighed eller en afdeling af denne myndighed. Det fremgår i øvrigt af denne artikels stk. 3, at passageroplysningsenhedens personale kan være udstationeret fra kompetente myndigheder. Dette gælder bl.a. for den belgiske passageroplysningsenhed, der i henhold til PNR-lovens artikel 14 bl.a. består af udstationerede medarbejdere fra politimyndighederne, den statslige sikkerhedstjeneste, den generelle efterretnings- og sikkerhedstjeneste og toldvæsenet.

272. Passageroplysningsenhedens personale skal ganske vist i almindelighed frembyde enhver garanti med hensyn til integritet, kompetence, gennemsigtighed og uafhængighed, og medlemsstaterne skal, henset til de forbindelser, som medarbejderne har til deres faste arbejdsplads, i givet fald sørge for, at det i praksis er muligt at respektere disse garantier, bl.a. for at sikre, at de kompetente myndigheder i den organisation, som disse medarbejdere oprindeligt tilhører, får direkte adgang til databasen med PNR-oplysninger, og ikke blot til resultaterne af de registreringer, som passageroplysningsenhederne har foretaget. Det kan imidlertid ikke undgås, at personale i passageroplysningsenheden, der er udstationeret fra kompetente myndigheder som omhandlet i PNR-direktivets artikel 7, stk. 2, bevarer en forbindelse til deres oprindelige organisation, mens de er udstationeret, idet de bevarer deres status, selv om de i driftsmæssig og hierarkisk henseende er underlagt den embedsmand, der leder passageroplysningsenheden.

273. Konklusionen om, at passageroplysningsenheden ikke er en national myndighed som omhandlet i PNR-direktivets artikel 12, stk. 3, litra b), nr. ii), understøttes i øvrigt af den omstændighed, at den pågældende passageroplysningsenheds databeskyttelsesansvarlige skal »underrettes« om anmodningen om videregivelse og foretager en »efterfølgende kontrol«. Såfremt passageroplysningsenheden i egenskab af »anden national myndighed« havde ret til at godkende en anmodning om videregivelse i henhold til PNR-direktivets artikel 12, stk. 3, ville den databeskyttelsesansvarlige, der i overensstemmelse med dette direktivs artikel 5, stk. 1, bl.a. er ansvarlig for at gennemføre relevante beskyttelsesforanstaltninger vedrørende behandling af PNR-oplysninger, nemlig blive underrettet om anmodningen om adgang, så snart den blev modtaget, og nødvendigvis skulle foretage sin kontrol på forhånd (254).

274. Jeg foreslår i lyset af ovenstående betragtninger, at Domstolen besvarer det syvende præjudicielle spørgsmål med, at PNR-direktivets artikel 12, stk. 3, litra b), skal fortolkes således, at passageroplysningsenheden ikke udgør en »anden kompetent national myndighed« i denne bestemmelses forstand.

E.      Det niende præjudicielle spørgsmål

275. Med det niende præjudicielle spørgsmål har den forelæggende ret nærmere bestemt anmodet Domstolen om at oplyse dels, om API-direktivet er foreneligt med artikel 3, stk. 2, TEU og med chartrets artikel 45, for så vidt som det finder anvendelse på flyvninger inden for EU, dels om dette direktiv, sammenholdt med artikel 3, stk. 2, TEU og med chartrets artikel 45, skal fortolkes således, at det er til hinder for en national lovgivning, der med henblik på at bekæmpe ulovlig indvandring og at forbedre grænsekontrollen gør det muligt at indføre et system til indsamling og behandling af passageroplysninger, hvilket indirekte kan føre til genindførelse af kontrollen ved de indre grænser.

276. Det fremgår af forelæggelsesafgørelsen, at dette præjudicielle spørgsmål indgår i undersøgelsen af det andet anbringende, som LDH har fremsat subsidiært. Dette anbringende, der vedrører en tilsidesættelse af artikel 22 i den belgiske forfatning, sammenholdt med artikel 3, stk. 2, TEU og med chartrets artikel 45, er rettet mod PNR-lovens artikel 3, stk. 1, artikel 8, stk. 2, og kapitel 11, herunder artikel 28-31. Selv om formålet med denne lov beskrives i generelle vendinger i den første af disse artikler, idet det præciseres, at den »fastsætter transportvirksomheders og rejseselskabers forpligtelser i forbindelse med videregivelse af oplysninger om passagerer på vej til, fra og gennem det nationale område«, fremgår det af den nævnte lovs artikel 8, stk. 2, at »[p]å de betingelser, der er fastsat i [denne lovs] kapitel 11, behandles passageroplysninger ligeledes med henblik på at forbedre personkontrollen ved de ydre grænser og med henblik på at bekæmpe ulovlig indvandring«. Som led i dette formål er det i henhold til PNR-lovens artikel 29, stk. 1, kun de i denne lovs artikel 9, stk. 1, nr. 18), omhandlede »passageroplysninger« [dvs. de API-oplysninger, der er nævnt i nr. 18) i PNR-loven] vedrørende tre kategorier af passagerer, der videregives til de politimyndigheder, der er ansvarlige for grænsekontrollen, og til Office des étrangers (udlændingekontoret, Belgien). Det drejer sig om »passagerer, der påtænker at indrejse eller er indrejst på området via Belgiens ydre grænser«, »passagerer, der påtænker at forlade eller har forladt området via Belgiens ydre grænser«, og »passagerer, der påtænker at passere, befinder sig i eller har passeret et internationalt transitområde i Belgien« (255). Det fremgår af PNR-lovens artikel 29, stk. 3, at passageroplysningsenheden fremsender de nævnte oplysninger til de politimyndigheder, der er ansvarlige for grænsekontrollen, og til udlændingekontoret, »umiddelbart efter at de er registreret i passagerdatabasen«, og at de sletter dem inden for 24 timer efter fremsendelsen. Ifølge denne bestemmelse kan udlændingekontoret også efter udløbet af denne frist sende passageroplysningsenheden en begrundet anmodning med henblik på at få adgang til disse oplysninger, når dette er nødvendigt i forbindelse med dets lovbestemte opgave. Den retlige ramme, hvori det niende præjudicielle spørgsmål indgår, falder således uden for den retlige ramme for PNR-direktivet, henset til det formål, der forfølges med den behandling af oplysninger, der er omhandlet i PNR-lovens artikel 28 og 29, og indgår i stedet i den retlige ramme for API-direktivet. Det fremgår i øvrigt navnlig af de sagsakter, der er indleveret til Domstolens Justitskontor, at LDH’s andet anbringende er støttet på en fortolkning af bestemmelserne i PNR-lovens kapitel 11, hvorefter de ligeledes finder anvendelse ved passage af Belgiens indre grænser.

277. Det niende præjudicielle spørgsmåls første led er baseret på en fejlagtig forudsætning og skal efter min opfattelse ikke besvares af Domstolen. Det fremgår nemlig tydeligt af API-direktivets artikel 3, stk. 1, sammenholdt med artikel 2, litra b) og d), heri, at luftfartsselskaberne i henhold til dette direktiv kun er forpligtet til at fremsende API-oplysninger til de myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, i forbindelse med flyvninger, hvor passagerer befordres til et godkendt overgangssted for passage af medlemsstaternes ydre grænser til tredjelande. Det nævnte direktivs artikel 6, stk. 1, vedrører tilsvarende kun behandling af API-oplysninger vedrørende disse flyvninger. Selv om medlemsstaterne ifølge PNR-direktivet kan udvide forpligtelsen til at videregive indsamlede API-oplysninger til at omfatte luftfartsselskaber, der foretager flyvninger inden for EU, bør denne udvidelse i øvrigt ikke berøre API-direktivet (256). I forbindelse med PNR-direktivet behandles de overførte API-oplysninger kun til de retshåndhævende formål, der er fastsat i dette direktiv. Omvendt fremgår det af 34. betragtning til PNR-direktivet, at det ikke berører de gældende EU-regler for, hvordan grænsekontrollen udføres, eller EU-reglerne vedrørende indrejse på og udrejse fra Unionens område, og det bestemmes i dette direktivs artikel 6, stk. 9, andet punktum, at konsekvenserne af vurderinger i medfør af denne artikels stk. 2, når disse vurderinger foretages i forbindelse med flyvninger inden for EU mellem medlemsstater, som er underlagt Schengengrænsekodeksen (257), skal være i overensstemmelse med nævnte forordning.

278. Hvis dette led i det niende præjudicielle spørgsmål omformuleres, hvilket Kommissionen subsidiært har foreslået, således at det ikke vedrører spørgsmålet om, hvorvidt API-direktivet er foreneligt med bestemmelserne i traktaten og chartret, men hvorvidt PNR-direktivet og navnlig artikel 2 heri er det, vil dette ikke bare svare til at ændre den retsakt, hvis gyldighed den forelæggende ret ønsker klarlagt, men også falde uden for den retlige ramme, hvori dette præjudicielle spørgsmål indgår. Som jeg har forklaret, gennemfører bestemmelserne i PNR-lovens kapitel 11, som det andet anbringende er rettet mod, nemlig API-direktivet og ikke PNR-direktivet.

279. Såfremt Domstolen foretager en sådan omformulering, vil jeg blot fremsætte nedenstående bemærkninger, bl.a. vedrørende spørgsmålet om, hvorvidt den forudgående vurdering, som medlemsstaterne kan foretage vedrørende PNR-oplysninger om passagerer på flyvninger inden for EU, i lighed med den mulighed, som de har i medfør af PNR-direktivets artikel 2, kan ligestilles med »ind- og udrejsekontrol« som omhandlet i Schengengrænsekodeksens artikel 23, litra a) (258). Det bør for det første påpeges, at selv om den forudgående vurdering af PNR-oplysninger ikke finder sted »ved grænseovergangsstedet« eller »på tidspunktet for grænsepassagen«, men før dette tidspunkt, foretages den ikke desto mindre »på grund af« en snarlig passage af grænserne. For det andet fremgår det af PNR-direktivets artikel 2, at medlemsstaterne kan udvide den forudgående vurdering af PNR-oplysninger, der er omhandlet i PNR-direktivets artikel 6, stk. 2, litra a), til at omfatte passagerer på alle flyvninger inden for EU uafhængigt af de registreredes adfærd og af omstændigheder, der indebærer en risiko for krænkelse af den offentlige sikkerhed. Denne forudgående vurdering er desuden af systematisk karakter. Ingen af disse forhold synes dog at svare til de indicier, der er omhandlet i Schengengrænsekodeksens artikel 23, litra a), andet punktum, nr. ii), iii) og iv) (259). Hvad for det tredje angår de indicier, der er nævnt i denne artikels litra a), andet punktum, nr. i) og iii), kan jeg være usikker på, om den forudgående vurdering i medfør af PNR-direktivets artikel 6, stk. 2, litra a), i hvert fald i et vist omfang svarer til formålet med den ind- og udrejsekontrol, der foretages i medfør af Schengengrænsekodeksens artikel 8, stk. 2, litra b), og artikel 8, stk. 3, litra a), nr. vi) og artikel 8, stk. 3, litra g), nr. iii), som ændret ved forordning 2017/458, og navnlig om den adskiller sig klart fra denne systematiske kontrol med hensyn til den måde, hvorpå den udføres (260). Det skal herved påpeges, at det i denne kodeks’ artikel 8, stk. 2e, og artikel 8, stk. 3, nr. ia), præciseres, at den nævnte kontrol »kan udføres på forhånd på grundlag af passageroplysninger modtaget i overensstemmelse med [API-direktivet] eller i henhold til anden EU-lovgivning eller national ret«. Når dette er sagt, er formålet med PNR-direktivet dog ikke at »sikre, at personer, herunder deres transportmidler og genstande i deres besiddelse, kan få lov til at rejse ind i eller ud af medlemsstaternes område«, eller at »forhindre personer i at omgå ind- og udrejsekontrollen«, hvilket ifølge Domstolen er målsætningerne for »grænsekontrollen« i medfør af Schengengrænsekodeksen (261), idet dette direktiv udelukkende har et retshåndhævende formål. Det fremgår desuden udtrykkeligt af den nævnte kodeks’ artikel 23, litra a), andet punktum, nr. ii), at udøvelsen af politimæssige beføjelser ikke kan ligestilles med ind- og udrejsekontrol, når kontrollen navnlig tager sigte på at bekæmpe grænseoverskridende kriminalitet (262). Domstolen bør endelig i forbindelse med sin vurdering også tage hensyn til den omstændighed, som Kommissionen bl.a. har fremhævet, at PNR-direktivets artikel 2 kun giver medlemsstaterne ret til at pålægge luftfartsselskaberne at videregive de PNR-oplysninger, som de har indsamlet som led i deres normale forretningsaktiviteter, og således ikke indeholder en forpligtelse svarende til den, der er fastsat i API-direktivet vedrørende passage af de ydre grænser.

280. Med hensyn til det niende præjudicielle spørgsmåls andet led er jeg enig med Kommissionen i, at det skal forstås således, at det vedrører passage af de indre grænser, og at den forelæggende ret har anmodet Domstolen om præciseringer, som gør det muligt for den at vurdere, om bestemmelserne i PNR-lovens kapitel 11 er forenelige med afskaffelsen af kontrollen ved medlemsstaternes indre grænser i Schengenområdet.

281. I betragtning af de sparsomme oplysninger, som Domstolen er i besiddelse af, skal det herved blot påpeges, at bestemmelserne i PNR-lovens kapitel 11 kun kan være forenelige med EU-retten og navnlig med artikel 67, stk. 2, TEUF, hvis de fortolkes således, at de kun vedrører overførsel og behandling af API-oplysninger vedrørende passagerer, der passerer Belgiens ydre grænser til tredjelande.

282. For så vidt som Domstolen beslutter at omformulere det niende præjudicielle spørgsmåls andet led således, at det vedrører PNR-direktivets fortolkning i forhold til bestemmelserne i PNR-lovens kapitel 11, skal det blot fremhæves, at den behandling af API-oplysninger, der er omhandlet i denne lovs artikel 28 og 29, er støttet på det system, som den belgiske lovgiver har fastlagt for at gennemføre PNR-direktivet. For det første er de API-oplysninger, der gøres til genstand for behandling, dem, der er opregnet i punkt 12 i bilag I til dette direktiv, og ikke kun dem, der er opført på listen i API-direktivets artikel 3, stk. 2. For det andet skal disse oplysninger i overensstemmelse med PNR-lovens artikel 29, stk. 1, videregives til de politimyndigheder, der er ansvarlige for grænsekontrollen, og til udlændingekontoret af passageroplysningsenheden – som alene er ansvarlig for at indsamle og behandle PNR-oplysninger til de formål, der forfølges med PNR-direktivet – og ikke direkte af luftfartsselskaberne som fastsat i API-direktivet. Denne videregivelse omfatter i øvrigt også oplysninger om passagerer, der påtænker at forlade eller har forladt det belgiske område, og er ikke kun rettet til de myndigheder, der er ansvarlige for grænsekontrollen, men også til udlændingekontoret, der er ansvarligt for håndtering af indvandrere og bekæmpelse af ulovlig indvandring. For det tredje synes udlændingekontoret i medfør af PNR-lovens artikel 29, stk. 4, andet afsnit, at have beføjelse til at sende anmodninger om adgang til API-oplysninger til passageroplysningsenheder, selv efter at disse oplysninger er blevet behandlet i forbindelse med de pågældende passagerers grænsepassage. Dette kontor kan i denne retning reelt sidestilles med en kompetent myndighed i medfør af PNR-direktivets artikel 7, selv om det ikke har en sådan karakter og ikke optræder på den liste over disse myndigheder, som Belgien har sendt til Kommissionen. Det bør imidlertid påpeges, at en sådan sammenblanding af de systemer, der er fastlagt ved API-direktivet og PNR-direktivet, ikke er tilladt, for så vidt som den tilsidesætter princippet om formålsbegrænsning, der er fastsat i PNR-direktivets artikel 1, stk. 2 (263).

283. Jeg foreslår på grundlag af samtlige ovenstående betragtninger, at Domstolen besvarer det niende præjudicielle spørgsmål med, at API-direktivets artikel 3, stk. 1, hvorefter medlemsstaterne træffer de nødvendige foranstaltninger til at gøre det obligatorisk for transportvirksomheder, på anmodning af myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, efter indtjekning at fremsende oplysninger om de passagerer, der er omhandlet i denne artikels stk. 2, sammenholdt med dette direktivs artikel 2, litra b) og d), kun omfatter passagerer, der befordres til et godkendt overgangssted for passage af medlemsstaternes indre grænser til tredjelande. En national lovgivning, der med det ene formål at forbedre grænsekontrollen og at bekæmpe ulovlig indvandring udvider denne forpligtelse til at omfatte oplysninger om personer, der passerer den pågældende medlemsstats indre grænser med fly eller andre transportmidler, strider mod artikel 67, stk. 2, TEUF og Schengengrænsekodeksens artikel 22.

F.      Det tiende præjudicielle spørgsmål

284. Med det tiende præjudicielle spørgsmål har den forelæggende ret nærmere bestemt anmodet Domstolen om at oplyse, om denne ret, såfremt Domstolen konkluderer, at PNR-loven tilsidesætter chartrets artikel 7 og 8 samt artikel 52, stk. 1, midlertidigt kan opretholde denne lovs virkninger med henblik på at undgå retsusikkerhed og muliggøre, at oplysninger, der forinden er blevet indsamlet og lagret, stadig kan anvendes til de formål, der er omhandlet i PNR-loven.

285. Domstolen besvarede et tilsvarende spørgsmål i dommen i sagen La Quadrature du Net m.fl., som vedrørte lagring af metadata fra elektronisk kommunikation, og som blev afsagt, efter at den foreliggende præjudicielle anmodning var blevet fremsat. I denne dom henviste Domstolen først til sin praksis, hvorefter det ville være til skade for EU-rettens forrang og ensartede anvendelse, hvis de nationale retsinstanser havde beføjelse til at give nationale bestemmelser forrang for EU-retten, som disse bestemmelser strider mod, også selv om det blot er midlertidigt. Domstolen henviste dernæst til, at den i dom af 29. juli 2019 i sagen Inter-Environnement Wallonie og Bond Beter Leefmilieu Vlaanderen (264), der omhandlede spørgsmålet om, hvorvidt foranstaltninger, der var vedtaget i strid med den forpligtelse, som er fastsat i EU-retten, til at foretage en forudgående vurdering af et projekts indvirkning på miljøet og på en beskyttet lokalitet, havde fastslået, at en national domstol, hvis dens nationale ret tillader det, undtagelsesvis kan opretholde virkningerne af sådanne foranstaltninger, hvis denne opretholdelse er begrundet ved tvingende hensyn knyttet til nødvendigheden af at fjerne en reel og alvorlig trussel om afbrydelse af forsyningen med elektricitet i den pågældende medlemsstat, i den tidsperiode, som er strengt nødvendig for at afhjælpe denne ulovlighed. Den konkluderede imidlertid, at en tilsidesættelse af de grundlæggende rettigheder, der er sikret ved chartrets artikel 7 og 8, i modsætning til tilsidesættelsen af en proceduremæssig forpligtelse, såsom den forudgående vurdering af virkningerne af et projekt inden for det særlige område for miljøbeskyttelse, ikke kan afhjælpes ved en procedure, som kan sammenlignes med den, der er omhandlet i den nævnte dom (265). Det tiende præjudicielle spørgsmål i den foreliggende sag skal efter min opfattelse besvares på samme måde.

286. For så vidt som såvel den forelæggende ret og den belgiske regering som Kommissionen og Rådet er i tvivl om, hvorvidt EU-retten er til hinder for, at der i forbindelse med en straffesag anvendes oplysninger eller beviser, som er opnået ved brug af PNR-oplysninger, der er indsamlet, behandlet og/eller opbevaret i strid med EU-retten, skal det påpeges, at Domstolen i præmis 222 i dommen i sagen La Quadrature du Net m.fl. præciserede, at det på EU-rettens nuværende udviklingstrin principielt er overladt alene til den nationale lovgivning at fastsætte de regler, der inden for rammerne af en straffesag, der er indledt mod personer, som er mistænkt for at have begået grov kriminalitet, gælder for antagelse og bedømmelse af oplysninger og beviser, som er opnået ved lagring af data i strid med EU-retten, forudsat at ækvivalensprincippet og effektivitetsprincippet overholdes. Med hensyn til det sidstnævnte princip fastslog Domstolen, at det pålægger den nationale ret i straffesager at se bort fra de oplysninger og de beviser, der er opnået ved hjælp af en generel og udifferentieret lagring af trafikdata og lokaliseringsdata, som er uforenelig med EU-retten, inden for rammerne af en straffesag, der er indledt mod personer, som er mistænkt for at have begået kriminelle handlinger, hvis disse personer ikke er i stand til effektivt at udtale sig om disse oplysninger og disse beviser, som henhører under et område, der ligger uden for rettens sagkundskab, og som kan have afgørende indflydelse på vurderingen af de faktiske omstændigheder. Disse principper kan ligeledes overføres tilsvarende på omstændighederne i hovedsagen.

IV.    Forslag til afgørelse

287. Jeg foreslår på grundlag af samtlige ovenstående betragtninger, at Domstolen besvarer de præjudicielle spørgsmål, der er forelagt af Cour constitutionnelle (forfatningsdomstol, Belgien), således:

»1)      Artikel 23 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse), sammenholdt med denne forordnings artikel 2, stk. 2, litra d), skal fortolkes således, at

–        den finder anvendelse på en national lovgivning, der gennemfører Europa-Parlamentets og Rådets direktiv (EU) 2016/681 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, for så vidt som denne lovgivning regulerer behandling af PNR-oplysninger, som foretages af luftfartsselskaber og af andre erhvervsdrivende, herunder overførsel af PNR-oplysninger til de i dette direktivs artikel 4 omhandlede passageroplysningsenheder, jf. artikel 8 heri

–        den ikke finder anvendelse på en national lovgivning, der gennemfører direktiv 2016/681, for så vidt som denne lovgivning regulerer behandling af oplysninger, som de kompetente nationale myndigheder, herunder passageroplysningsenhederne og i givet fald sikkerheds- og efterretningstjenesterne i den pågældende medlemsstat, foretager til de formål, der er omhandlet i dette direktivs artikel 1, stk. 2

–        den finder anvendelse på en national lovgivning, der gennemfører Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer og Europa-Parlamentets og Rådets direktiv 2010/65/EU af 20. oktober 2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF med henblik på at forbedre personkontrollen ved de ydre grænser og med henblik på at bekæmpe ulovlig indvandring.

2)      Punkt 12 i bilag I til direktiv 2016/681 er ugyldigt, for så vidt som det henfører »generelle bemærkninger« til de kategorier af oplysninger, som luftfartsselskaberne skal overføre til passageroplysningsenhederne i overensstemmelse med dette direktivs artikel 8.

3)      Gennemgangen af det andet, det tredje, det fjerde, det sjette og det ottende spørgsmål har ikke frembragt andre forhold, der kan rejse tvivl om gyldigheden af direktiv 2016/681.

4)      Punkt 12 i bilag I til direktiv 2016/681 skal for så vidt angår den del, der ikke erklæres ugyldig, fortolkes således, at det kun omfatter de oplysninger om mindreårige, som udtrykkeligt er nævnt i dette punkt, og som er direkte forbundet med flyvningen.

5)      Punkt 18 i bilag I til direktiv 2016/681 skal fortolkes således, at det kun omfatter de forhåndsoplysninger om passagerer, som udtrykkeligt er opregnet i dette punkt og i artikel 3, stk. 2, i direktiv 2004/82, og som luftfartsselskaberne har indsamlet som led i deres normale forretningsaktiviteter.

6)      Begrebet »databaser, der er relevante«, i artikel 6, stk. 3, litra a), i direktiv 2016/681 skal forstås således, at det kun omfatter nationale databaser, som forvaltes af de kompetente myndigheder i medfør af dette direktivs artikel 7, stk. 1, samt EU-databaser og internationale databaser, som disse myndigheder anvender direkte som led i deres arbejde. De nævnte databaser skal have en direkte og tæt forbindelse med de formål om bekæmpelse af terrorisme og grov kriminalitet, der forfølges med det nævnte direktiv, hvilket indebærer, at de er udviklet til disse formål. Medlemsstaterne har pligt til at offentliggøre en liste over de nævnte databaser i forbindelse med gennemførelsen af direktiv 2016/681 i national ret og til at ajourføre denne liste.

7)      Artikel 6, stk. 3, litra b), i direktiv 2016/681 skal fortolkes således, at denne bestemmelse er til hinder for, at der i forbindelse med den heri omhandlede automatiske behandling anvendes algoritmesystemer, som uden menneskelig indgriben kan medføre en ændring af de forud fastsatte kriterier, der anvendes i forbindelse med denne behandling, og som ikke gør det muligt på en klar og gennemsigtig måde at identificere de grunde, der har ført til et hit efter den nævnte behandling.

8)      Artikel 12, stk. 1, i direktiv 2016/681, sammenholdt med artikel 7 og 8 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, skal fortolkes således, at opbevaring af de PNR-oplysninger, som luftfartsselskaberne videregiver til passageroplysningsenheden, i en database i en periode på fem år efter videregivelsen til passageroplysningsenheden i den medlemsstat, på hvis område luftfartøjet lander eller afgår, kun er tilladt, efter at der er foretaget en forudgående vurdering i medfør af dette direktivs artikel 6, stk. 2, litra a), for så vidt som det på grundlag af objektive kriterier er godtgjort, at der består en forbindelse mellem disse oplysninger og bekæmpelsen af terrorisme eller grov kriminalitet. Generel og udifferentieret opbevaring af disse PNR-oplysninger i ikke-anonymiseret form er kun begrundet, hvis der foreligger en alvorlig trussel mod medlemsstaternes sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, og som f.eks. har en forbindelse til terrorvirksomhed, samt under forudsætning af, at denne opbevarings varighed er begrænset til det strengt nødvendige.

9)      Artikel 6, stk. 2, litra b), i direktiv 2016/681 skal fortolkes således, at videregivelse af PNR-oplysninger eller resultatet af behandlingen af disse oplysninger i medfør af denne bestemmelse, som finder sted i den indledende seksmånedersperiode, der er fastsat i dette direktivs artikel 12, stk. 2, skal opfylde de betingelser, der er fastsat i det nævnte direktivs artikel 12, stk. 3, litra b).

10)      Direktiv 2016/681 og navnlig artikel 1, stk. 2 og artikel 6 heri skal fortolkes således, at det ikke er til hinder for en national lovgivning, hvorefter et af formålene med behandling af PNR-oplysninger kan være efterretnings- og sikkerhedstjenesternes overvågning af visse aktiviteter, for så vidt som den nationale passageroplysningsenhed som led i et sådant formål er nødt til at behandle de nævnte oplysninger og/eller videregive disse eller resultatet af deres behandling til de nævnte tjenester til andre formål end det, der udtrykkeligt er angivet i det nævnte direktivs artikel 1, stk. 2, hvilket det påhviler den nationale ret at efterprøve.

11)      Artikel 12, stk. 3, litra b), i direktiv 2016/681 skal fortolkes således, at passageroplysningsenheden ikke udgør en »anden kompetent national myndighed« i denne bestemmelses forstand.

12)      Artikel 3, stk. 1, i direktiv 2004/82, hvorefter medlemsstaterne træffer de nødvendige foranstaltninger til at gøre det obligatorisk for transportvirksomheder, på anmodning af myndigheder, der er ansvarlige for personkontrollen ved de ydre grænser, efter indtjekning at fremsende oplysninger om de passagerer, der er omhandlet i denne artikels stk. 2, sammenholdt med dette direktivs artikel 2, litra b) og d), omfatter kun passagerer, der befordres til et godkendt overgangssted for passage af medlemsstaternes indre grænser til tredjelande. En national lovgivning, der med det ene formål at forbedre grænsekontrollen og at bekæmpe ulovlig indvandring udvider denne forpligtelse til at omfatte oplysninger om personer, der passerer den pågældende medlemsstats indre grænser med fly eller andre transportmidler, strider mod artikel 67, stk. 2, TEUF og artikel 22 i Europa-Parlamentets og Rådets forordning (EU) 2016/399 af 9. marts 2016 om en EU-kodeks for personers grænsepassage (Schengengrænsekodeks).

13)      En national ret kan ikke anvende en bestemmelse i den nationale lovgivning, som giver den bemyndigelse til tidsmæssigt at begrænse virkningerne af en afgørelse om ulovlighed, som det i medfør af denne lovgivning påhviler denne ret at træffe, med hensyn til en national lovgivning, der med henblik på at bekæmpe terrorisme og grov kriminalitet forpligter transportvirksomheder inden for luftfart, vejtransport og søtransport samt rejseselskaber til overførsel af PNR-oplysninger og foreskriver generel og udifferentieret behandling og opbevaring af disse oplysninger i strid med artikel 7 og 8 samt artikel 52, stk. 1, i chartret om grundlæggende rettigheder. Den nationale ret i straffesager har i medfør af effektivitetsprincippet pligt til at se bort fra de oplysninger og de beviser, der er opnået i medfør af en sådan lovgivning, som er uforenelig med EU-retten, inden for rammerne af en straffesag, der er indledt mod personer, som er mistænkt for at have begået terrorhandlinger eller grov kriminalitet, hvis disse personer ikke er i stand til effektivt at udtale sig om disse oplysninger og disse beviser, som henhører under et område, der ligger uden for rettens sagkundskab, og som kan have afgørende indflydelse på vurderingen af de faktiske omstændigheder.«

---

1 –      Originalsprog: fransk.

---

2 –      EUT 2016, L 119, s. 1.

---

3 –      EUT 2016, L 119, s. 132.

---

4 –      EUT 2004, L 261, s. 24.

---

5 –      Moniteur belge af 25.1.2017, s. 12905.

---

6 –      Det fremgår af PNR-direktivets artikel 3, nr. 2), at en »flyvning uden for EU« er »enhver ruteflyvning eller ikkeruteflyvning, der foretages af et luftfartsselskab, som flyver fra et tredjeland og med planlagt landing på en medlemsstats område, eller som flyver fra en medlemsstats område og med planlagt landing i et tredjeland, herunder i begge tilfælde flyvninger med mellemlandinger på medlemsstaters eller tredjelandes område«.

---

7 –      Ifølge PNR-direktivets artikel 3, nr. 3), skal der ved »flyvning inden for EU« forstås »enhver ruteflyvning eller ikkeruteflyvning, som foretages af et luftfartsselskab, som flyver fra en medlemsstats område og med planlagt landing på en eller flere andre medlemsstaters område og uden mellemlandinger på et tredjelands område«.

---

8 –      PNR-direktivets artikel 7, stk. 1, fastsætter, at hver medlemsstat vedtager en liste over kompetente myndigheder, der er berettigede til at anmode om eller modtage PNR-oplysninger eller resultatet af behandling af disse oplysninger fra passageroplysningsenhederne for at undersøge disse oplysninger nærmere eller iværksætte passende tiltag for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet. Kommissionen offentliggjorde denne liste i 2018 (EUT 2018, C 194, s. 1, berigtiget i EUT 2020, C 366, s. 55).

---

9 –      Rådets rammeafgørelse af 27.11.2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT 2008, L 350, s. 60).

---

10 –      EUT 2016, L 119, s. 89. Artikel 25 i rammeafgørelse 2008/977/RIA er blevet erstattet af politidirektivets artikel 41.

---

11 –      Jf. PNR-direktivets artikel 15, stk. 2.

---

12 –      Jf. PNR-direktivets artikel 15, stk. 3, litra a) og b).

---

13 –      Europa-Parlamentets og Rådets direktiv af 20.10.2010 om meldeformaliteter for skibe, der ankommer til eller afgår fra havne i medlemsstaterne, og om ophævelse af direktiv 2002/6/EF (EUT 2010, L 283, s. 1).

---

14 –      Moniteur belge af 18.12.1998, s. 40312.

---

15 –      C-203/15 og C-698/15 (herefter »Tele2 Sverige-dommen«) (EU:C:2016:970).

---

16 –      Herefter »udtalelse 1/15« (EU:C:2017:592).

---

17 –      Jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 61).

---

18 –      Det fremgår af databeskyttelsesforordningens artikel 2, stk. 1, at »[d]enne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register«.

---

19 –      Jf. dom af 16.7.2020, Facebook Ireland og Schrems (C-311/18, EU:C:2020:559, præmis 84), og af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 62).

---

20 –      Jf. i denne retning dom af 6.10.2020, Privacy International (C-623/17, herefter »Privacy International-dommen«, EU:C:2020:790, præmis 41 og den deri nævnte retspraksis). Ifølge databeskyttelsesforordningens artikel 4, nr. 2), skal der ved »behandling« forstås »enhver aktivitet […] som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. […] videregivelse ved transmission«.

---

21 –      Jf. i denne retning dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 69). I henhold til politidirektivets artikel 3, nr. 7), litra a) og b), skal der ved »kompetent myndighed« forstås »a) enhver offentlig myndighed, der er kompetent med hensyn til at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed, eller b) ethvert andet organ eller enhver anden enhed, som i henhold til medlemsstaternes nationale ret udøver offentlig myndighed og offentlige beføjelser« med de samme formål for øje.

---

22 –      Forelæggelsesafgørelsen indeholder ingen oplysninger herom.

---

23 –      En sådan erhvervsdrivende kan heller ikke kvalificeres som »databehandler« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 8), eller politidirektivets artikel 3, nr. 9), da der snarere er tale om en »dataansvarlig« som omhandlet i databeskyttelsesforordningens artikel 4, nr. 7), andet punktum. Det fremgår af databeskyttelsesforordningens artikel 4, nr. 8), og politidirektivets artikel 3, nr. 9), som er affattet ens, at en »databehandler« er en »fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne«. I henhold til databeskyttelsesforordningens artikel 4, nr. 7), første punktum, skal der ved »dataansvarlig« forstås »en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der […] afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger«, og det præciseres i denne bestemmelses andet punktum, at »hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret«.

---

24 –      Europa-Parlamentets og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31). Databeskyttelsesforordningen har ophævet og erstattet dette direktiv, jf. denne forordnings artikel 94.

---

25 –      C-317/04 og C-318/04 (herefter »dommen i sagen Parlamentet mod Rådet«) (EU:C:2006:346). I de sager, der gav anledning til denne dom, havde Parlamentet nedlagt påstand om dels annullation af Rådets afgørelse 2004/496/EF af 17.5.2004 om indgåelse af en aftale mellem Det Europæiske Fællesskab og Amerikas Forenede Stater om luftfartsselskabers behandling og overførsel af PNR-oplysninger til United States Department of Homeland Security, Bureau of Customs and Border Protection (EUT 2004, L 183, s. 83, berigtiget i EUT 2005, L 255, s. 168), dels annullation af Kommissionens beslutning 2004/535/EF af 14.5.2004 om tilstrækkelig beskyttelse af personoplysninger, der er indeholdt i registre over flypassagerer, og som videregives til Amerikas Forenede Staters told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) (EUT 2004, L 235, s. 11).

---

26 –      I henhold til artikel 3, stk. 2, første led, i direktiv 95/46 gjaldt dette direktiv ikke for sådan behandling af personoplysninger, »som iværksættes med henblik på udøvelse af aktiviteter, der ikke er omfattet af fællesskabsretten, som f.eks. de aktiviteter, der er fastsat i afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område« (min fremhævelse).

---

27 –      Jf. vedrørende Domstolens »teleologiske« og »kontekstuelle fremgangsmåde« i dommen i sagen Parlamentet mod Rådet generaladvokat Campos Sánchez-Bordonas forslag til afgørelse La Quadrature du Net m.fl. (C-511/18 og C-512/18, EU:C:2020:6, punkt 47 og 62).

---

28 –      C-511/18, C-512/18 og C-520/18 (herefter »dommen i sagen La Quadrature du Net m.fl.«) (EU:C:2020:791).

---

29 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 100-102.

---

30 –      Jf. i samme retning Privacy International-dommen, præmis 47.

---

31 –      C-207/16 (herefter »Ministerio Fiscal-dommen«) (EU:C:2018:788, præmis 34).

---

32 –      Jf. analogt Tele2 Sverige-dommen, præmis 72-74, og Ministerio Fiscal-dommen, præmis 34. Disse domme vedrørte fortolkningen af artikel 15, stk. 1, første sætning, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), hvori der er fastsat en begrænsningsklausul svarende til den, der er indeholdt i databeskyttelsesforordningens artikel 23, stk. 1, litra a)-d).

---

33 –      En henvisning til artikel 15, stk. 1, i direktiv 2002/58 var begrundet i forbindelse med dette direktiv, henset til ordlyden af udelukkelsesklausulen i dets artikel 1, stk. 3, hvori der generelt henvises til »statens aktiviteter på det strafferetlige område«.

---

34 –      Jf. analogt Privacy International-dommen, præmis 38 og 39.

---

35 –      Denne behandling reguleres ved PNR-lovens kapitel 7-10 og 12.

---

36 –      Jf. i denne retning dommen i sagen La Quadrature du Net m.fl., præmis 103, og Privacy International-dommen, præmis 48.

---

37 –      Jf. navnlig dommen i sagen La Quadrature du Net m.fl.

---

38 –      Jf. dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504, præmis 66).

---

39 –      Jf. dom af 22.6.2021, Latvijas Republikas Saeima (Strafpoint) (C-439/19, EU:C:2021:504).

---

40 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 99 og den deri nævnte retspraksis.

---

41 –      Betingelserne for disse behandlinger af oplysninger er fastsat i PNR-lovens kapitel 11.

---

42 –      Jf. 8., 9. og 12. betragtning til API-direktivet og artikel 6 heri samt artikel 8, stk. 2, i direktiv 2010/65.

---

43 –      Det fremgår udtrykkeligt af API-direktivets artikel 6, stk. 1, sidste afsnit, at de retshåndhævende myndigheder kan anvende forhåndsoplysninger om passagererne (herefter »API-oplysninger«).

---

44 –      Jf. i denne retning dom af 16.7.2020, Facebook Ireland og Schrems (C-311/18, EU:C:2020:559, præmis 170 og den deri nævnte retspraksis).

---

45 –      Jf. navnlig dom af 16.7.2020, Facebook Ireland og Schrems (C-311/18, EU:C:2020:559, præmis 172 og den deri nævnte retspraksis).

---

46 –      Jf. i denne retning dommen i sagen La Quadrature du Net m.fl., præmis 122.

---

47 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 123.

---

48 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 124 og den deri nævnte retspraksis.

---

49 –      Jf. dom af 18.6.2020, Kommissionen mod Ungarn (Foreningers gennemsigtighed) (C-78/18, EU:C:2020:476, præmis 122 og den deri nævnte retspraksis).

---

50 –      Jf. navnlig Menneskerettighedsdomstolens dom af 4.12.2015, Roman Zakharov mod Rusland (CE:ECHR:2015:1204JUD004714306, § 227), af 18.5.2010, Kennedy mod Det Forenede Kongerige (CE:ECHR:2010:0518JUD002683905, § 130), og af 25.5.2021, Centrum för Rättvisa mod Sverige (CE:ECHR:2021:0525JUD003525208, § 246).

---

51 –      Jf. Menneskerettighedsdomstolens dom af 4.12.2015, Roman Zakharov mod Rusland (CE:ECHR:2015:1204JUD004714306, § 228), af 4.5.2000, Rotaru mod Rumænien (CE:ECHR:2000:0504JUD002834195, § 52), af 4.12.2008, S. og Marper mod Det Forenede Kongerige (CE:ECHR:2008:1204JUD003056204, § 95), af 18.5.2021, Kennedy mod Det Forenede Kongerige (CE:ECHR:2010:0518JUD002683905, § 151), og af 25.5.2021, Centrüm för Rättvisa mod Sverige (CE:ECHR:2021:0525JUD003525208, § 246).

---

52 –      Jf. bl.a. dom af 18.6.2020, Kommissionen mod Ungarn (C-78/18, EU:C:2020:476, præmis 124 og 126 og den deri nævnte retspraksis); jf. ligeledes Menneskerettighedsdomstolens dom af 4.5.2000, Rotaru mod Rumænien (CE:ECHR:2000:0504JUD002834195, § 48), af 26.3.1987, Leander mod Sverige (CE:ECHR:1987:0326JUD000924881, § 46), og af 29.6.2006, Weber og Saravia mod Tyskland (CE:ECHR:2006:0629DEC005493400, § 79).

---

53 –      Jf. bl.a. Ministerio Fiscal-dommen, præmis 51 og den deri nævnte retspraksis.

---

54 –      Jf. bl.a. dom af 18.6.2020, Kommissionen mod Ungarn (C-78/18, EU:C:2020:476, præmis 126), samt Ministerio Fiscal-dommen, præmis 51 og den deri nævnte retspraksis.

---

55 –      Jf. Dom af 8.4.2014, Digital Rights Ireland m.fl., (C-293/12 og C-594/12, herefter »Digital Rights-dommen«, EU:C:2014:238, præmis 34).

---

56 –      Jf. udtalelse 1/15, præmis 121-123.

---

57 –      Jf. analogt Privacy International-dommen, præmis 79 og 80 og den deri nævnte retspraksis.

---

58 –      Jf. PNR-direktivets artikel 2, stk. 1-3.

---

59 –      Jf. PNR-direktivets artikel 2, stk. 3.

---

60 –      Det bestemmes i artikel 1 og 2 i protokol (nr. 22) om Danmarks stilling, at PNR-direktivet, da denne medlemsstat ikke deltager i vedtagelsen af dette direktiv, ikke er bindende for og ikke finder anvendelse i Danmark (jf. 40. betragtning til dette direktiv). Det fremgår imidlertid af den danske regerings skriftlige indlæg, at Kongeriget Danmark i 2018 vedtog en lov om indsamling, anvendelse og opbevaring af oplysninger om flypassagerer, der i vid udstrækning svarer til bestemmelserne i PNR-direktivet. Med hensyn til Irland fremgår det af 39. betragtning til PNR-direktivet, at denne medlemsstat i medfør af artikel 3 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til EU- og EUF-traktaten, har meddelt, at den ønsker at deltage i vedtagelsen og anvendelsen af dette direktiv.

---

61 –      Kommissionen har offentliggjort en ajourført liste over de medlemsstater, der har besluttet at anvende direktivet om passagerlister på flyvninger inden for EU som omhandlet i [PNR-direktivets] artikel 2 (EUT 2020, C 358, s. 7), berigtiget i september 2021 med henblik på at tilføje Slovenien og at lade henvisningen til Det Forenede Kongerige udgå (EUT 2021, C 360, s. 8). Irland og Østrig er ikke opført på denne liste. Det fremgår af Kommissionens rapport af 24.7.2020 til Europa-Parlamentet og Rådet om revisionen af [PNR-direktivet] (COM(2020) 305 final, s. [11] (herefter »Kommissionens rapport fra 2020«)), at alle medlemsstater med undtagelse af én har udvidet indsamlingen af PNR-oplysninger til at omfatte flyvninger inden for EU.

---

62 –      Jf. navnlig punkt 4) og 18) i bilag I vedrørende passagerens navn, køn, fødselsdato, nationalitet og identitetsdokumenter.

---

63 –      Jf. navnlig punkt 2), 3), 7), 13) og 18) i bilag I til PNR-direktivet, der bl.a. omhandler rutenummer, afgangs- og ankomstlufthavn samt afgangsdato og -tidspunkt og ankomstdato og ‑tidspunkt.

---

64 –      Jf. punkt 5), 6), 9), 12) og 16) i bilag I.

---

65 –      Jf. i denne retning udtalelse 1/15, præmis 131.

---

66 –      SWD(2020) 128 final.

---

67 –      Arbejdsdokumentet fra 2020 (s. 28 og fodnote 55) angiver en hitfrekvens på 0,59% for 2019, hvoraf kun 0,11% blev videregivet til de kompetente myndigheder. For 2018 lå de tilsvarende procentsatser på henholdsvis 0,25 og 0,04.

---

68 –      Jf. udtalelse 1/15, præmis 132.

---

69 –      Det system, der er indført ved PNR-direktivet, kunne før sundhedskrisen dække op til 1 mia. passagerer om året, jf. oplysningerne på https://ec.europa.eu/eurostat/databrowser/view/ttr00012/default/table?lang=en

---

70 –      Dvs. enhver person, der betragtes som en »passager« som defineret i PNR-direktivets artikel 3, nr. 4), og som foretager en »flyvning uden for EU« og de facto en »flyvning inden for EU«.

---

71 –      I en undersøgelsesrapport, som Den Europæiske Kommission for Demokrati gennem Ret (Venedigkommissionen) vedtog i 2015, anses sådanne foranstaltninger for at falde ind under begrebet »strategisk overvågning« og for at afspejle en »generel tendens« til at anvende »proaktiv overvågning« af befolkningen; jf. undersøgelsen Update of the 2007 Report on the Democratic Oversight of the Security Services and Report on Democratic Oversight of Signals Intelligence Agencies, vedtaget af Venedigkommissionen på dens 102. plenarmøde (Venedig, 20. og 21.3.2015), https://www.venice.coe.int/webforms/documents/?pdf=CDL-AD(2015)006-e, punkt 61.

---

72 –      Jf. vedrørende EMRK’s artikel 8 Menneskerettighedsdomstolens dom af 25.5.2021, Big Brother Watch m.fl. mod Det Forenede Kongerige (CE:ECHR:2021:0525JUD005817013, § 325, herefter »dommen i sagen Big Brother Watch«), der vedrørte masseaflytningsforanstaltninger, og hvori Menneskerettighedsdomstolen udtalte, at omfanget af disse foranstaltningers indgreb i udøvelsen af retten til respekt for privatlivet øges i takt med de forskellige trin i processen, dvs. aflytningen og den indledende opbevaring af kommunikation og tilhørende oplysninger, automatisk behandling ved brug af selektorer, undersøgelse foretaget af analytikere og efterfølgende opbevaring af oplysninger og anvendelse af »slutproduktet«.

---

73 –      Jf. i denne retning sjette og syvende betragtning til PNR-direktivet; jf. den indgående analyse af formålet og af konsekvenserne for beskyttelse af privatliv og personoplysninger, rapporten med titlen Passenger Name Records (PNR), data mining and data protection: the need for strong safeguards, udarbejdet af D. Korff med assistance af M. Georges, https://rm.coe.int/16806a601b (herefter »Korff-rapporten«).

---

74 –      Som det fremgår af Korff-rapporten, er »PNR […] ikke et enkeltstående problem, men et nyt symptom på en langt mere udbredt sygdom«.

---

75 –      Jf. bl.a. dom af 16.7.2020, Facebook Ireland og Schrems (C-311/18, EU:C:2020:559, præmis 175), og af 8.9.2020, Recorded Artists Actors Performers (C-265/19, EU:C:2020:677, præmis 86 og den deri nævnte retspraksis), samt Privacy international-dommen, præmis 65.

---

76–      Jf. bl.a. Menneskerettighedsdomstolens dom af 8.6.2006, Lupsa mod Rumænien, (CE:ECHR:2006:0608JUD001033704, §§ 32 og 33), og af 15.12.2020, Pişkìn mod Tyrkiet (CE:ECHR:2020:1215JUD003339918, § 206); jf. ligeledes dommen i sagen Big Brother Watch, § 333. Jf. vedrørende behovet for at fortolke udtrykket »fastlagt i lovgivningen« i chartrets artikel 52, stk. 1, på samme måde som Menneskerettighedsdomstolen, generaladvokat Wathelets forslag til afgørelse WebMindLicenses (C-419/14, EU:C:2015:606, punkt 134-143).

---

77 –      Jf. senest dommen i sagen Big Brother Watch, § 333.

---

78 –      Jf. dom af 17.12.2015, WebMindLicenses (C-419/14, EU:C:2015:832, præmis 81); jf. ligeledes Menneskerettighedsdomstolens dom af 1.7.2008, Liberty m.fl. mod Det Forenede Kongerige (CE:ECHR:2008:0701JUD005824300, § 69), og dommen i sagen Big Brother Watch, § 333.

---

79 –      Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger, vedtaget i Strasbourg den 28.1.1981 og ratificeret af alle medlemsstater, bedre kendt som »konvention nr. 108«. Der blev i 2018 udarbejdet en ændringsprotokol til denne konvention for at modernisere den. Medlemsstaterne blev ved Rådets afgørelse (EU) 2019/682 af 9.4.2019 (EUT 2019, L 115, s. 7) bemyndiget til i Unionens interesse at ratificere den nævnte ændringsprotokol, for så vidt som bestemmelserne heri falder inden for Unionens enekompetence. Jeg vil i den følgende del af dette forslag til afgørelse ligeledes henvise til den moderniserede konvention nr. 108, som – selv om den endnu ikke er blevet ratificeret af alle medlemsstater og endnu ikke er trådt i kraft – ifølge afgørelse 2019/682 indeholder garantier, der er baseret på de samme principper som dem, der er fastlagt i databeskyttelsesforordningen og i politidirektivet.

---

80 –      https://rm.coe.int/t-pd-2016-18rev-avis-pnr-fr/16807b6c09, s. 3 og 5. I den forklarende rapport, der ledsager ændringsprotokollen til konvention nr. 108 (herefter »den forklarende rapport til den moderniserede konvention nr. 108«), lægges der også vægt på kravet om, at den foranstaltning, der gør indgreb i retten til respekt for privatlivet og til beskyttelse af personoplysninger, er »tilgængelig«, »forudsigelig«, »tilstrækkeligt detaljeret« og »klart formuleret«; jf. punkt 91 i denne forklarende rapport, https://rm.coe.int/convention-108-convention-pour-la-protection-des-personnes-a-l-egard-d/16808b3726

---

81 –      Jf. modsætningsvis dom af 3.12.2019, Den Tjekkiske Republik mod Parlamentet og Rådet (C-482/17, EU:C:2019:1035, præmis 135).

---

82 –      Jf. bl.a. dommen i sagen La Quadrature du Net m.fl., præmis 132 og den deri nævnte retspraksis; jf. ligeledes Menneskerettighedsdomstolens dom i sagen Big Brother Watch, § 334.

---

83 –      Jf. herved T. Tridimas og G. Gentile »The essence of Rights: an unreliable Boundary?«, German Law Journal, 2019, s. 796, og K. Lenaerts, »Limits on limitations: The Essence of Fundamental Rights in the EU«, German Law Journal, 2019, 20, s. 779 ff.

---

84 –      Lige siden Menneskerettighedsdomstolens dom af 24.10.1979, Winterwerp mod Nederlandene, (CE:ECHR:1979:1024JUD000630173, § 60).

---

85 –      Jf. forklaringerne til chartret om grundlæggende rettigheder (EUT 2007, C 303, s. 17, navnlig »Forklaring ad artikel 52«, s. 32, herefter »forklaringerne til chartret«).

---

86 –      Jf. i denne retning allerede og navnlig dom af 14.5.1974, Nold mod Kommissionen (4/73, EU:C:1974:51, præmis 14), og af 13.12.1979, Hauer (44/79, EU:C:1979:290, præmis 23).

---

87 –      C-362/14 (herefter »Schrems I-dommen«) (EU:C:2015:650, præmis 94-98).

---

88 –      Jf. K. Lenaerts, op.cit., s. 781, samt T. Tridimas og G. Gentile, op.cit., s. 803.

---

89 –      Det fremgår udtrykkeligt af forklaringerne til chartret, at »den menneskelige værdighed hører til substansen af de rettigheder, der er fastlagt i [chartret]«, og at »[d]en […] derfor heller ikke [kan] krænkes ved begrænsning af en rettighed«.

---

90 –      Jeg henviser i denne forbindelse til betragtningerne i det delvist samstemmende fælles votum fra dommerne Lemmens, Vehabović og Bošniak i dommen i sagen Big Brother Watch, §§ 3-10.

---

91 –      Europa-Parlamentets og Rådets direktiv af 15.3.2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF (EUT 2006, L 105, s. 54).

---

92 –      Jf. Digital Rights-dommen, præmis 39; jf. med hensyn til direktiv 2002/58 ligeledes Tele2 Sverige-dommen, præmis 101.

---

93 –      Jf. udtalelse 1/15, præmis 150.

---

94 –      Jf. i denne retning Digital Rights-dommen, præmis 40.

---

95 –      Jf. i samme retning udtalelse 1/15, præmis 128.

---

96 –      Jf. udtalelse 1/15, præmis 164 og 165.

---

97 –      Jf. udtalelse 1/15, præmis 150.

---

98 –      Jf. navnlig 5., 6., 15. og 22. betragtning til PNR-direktivet.

---

99 –      Kommissionens forslag af 2.2.2011 om anvendelse af passagerlisteoplysninger til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (KOM(2011) 32 endelig, s. 4).

---

100 –      For nemheds skyld vil jeg i dette forslag til afgørelse anvende udtrykket »retshåndhævende myndigheder« generelt om enhver myndighed, der har beføjelser til at opdage, forebygge, retsforfølge eller efterforske terrorisme eller alvorlig kriminalitet som omhandlet i PNR-direktivet.

---

101 –      Jf. syvende betragtning til PNR-direktivet. Jf. ligeledes forslaget til PNR-direktivet, s. 5.

---

102 –      Jf. i denne retning udtalelse 1/15 og dom af 2.3.2021, Prokuratuur (Betingelser for adgang til data vedrørende elektronisk kommunikation) (C-746/18, herefter »Prokuratuur-dommen«, EU:C:2021:152, præmis 33 og den deri nævnte retspraksis).

---

103 –      Jf. i denne retning udtalelse 1/15, præmis 149 og den deri nævnte retspraksis, samt dommen i sagen La Quadrature du Net m.fl.

---

104 –      Jf. nedenstående vurdering af indgrebets proportionalitet.

---

105 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 125.

---

106 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 126 og den deri nævnte retspraksis.

---

107 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 136.

---

108 –      Jf. Digital Rights-dommen, præmis 46 og den deri nævnte retspraksis.

---

109 –      Jf. udtalelse 1/15, præmis 140, samt dommen i sagen La Quadrature du Net m.fl., præmis 130 og den deri nævnte retspraksis. Kravet om, at en behandling af personoplysninger på hvert trin skal afspejle en »passende ligevægt mellem de alle berørte interesser, uanset om de er offentlige eller private, og de pågældende rettigheder og friheder«, fremgår ligeledes af artikel 5 i konvention nr. 108.

---

110 –      Jf. i denne retning dom af 2.10.2018, Ministerio Fiscal (C-207/16, EU:C:2018:788, præmis 55 og den deri nævnte retspraksis), samt dommen i sagen La Quadrature du Net m.fl., præmis 131, og Prokuratuur-dommen, præmis 32.

---

111 –      Jf. i denne retning Digital Rights-dommen, præmis 54, Schrems I-dommen, præmis 91, og udtalelse 1/15, præmis 141.

---

112 –      Jf. udtalelse 1/15, præmis 141 og den deri nævnte retspraksis.

---

113 –      Jf. i denne retning Digital Rights-dommen, præmis 48.

---

114 –      Jf. i denne retning punkt 201-203 i dette forslag til afgørelse.

---

115 –      Jeg henviser i denne forbindelse til de oplysninger, der er indeholdt i arbejdsdokumentet fra 2020.

---

116 –      Jf. i denne retning udtalelsen af 19.8.2016, s. 5.

---

117 –      Jf. vedrørende statistikkers betydning for vurderingen af effektiviteten af det system, der er indført ved PNR-direktivet, navnlig udtalelse 1/2011 af 14.6.2011 om forslaget til PNR-direktivet, https://fra.europa.eu/sites/default/files/fra_uploads/1786-FRA-PNR-Opinion-2011_EN.pdf, point 2.1.2.1 (herefter »FRA’s udtalelse 1/2011«).

---

118 –      Verwaltungsgericht Wiesbaden (forvaltningsdomstolen i Wiesbaden, Tyskland) har til gengæld stillet et klart spørgsmål herom i den verserende sag C-215/20.

---

119 –      Kommissionen er blevet opfordret til at fremsætte bemærkninger hertil i forbindelse med et spørgsmål til skriftlig besvarelse. De øvrige berørte parter har haft mulighed for at give deres mening til kende i retsmødet.

---

120 –      Jf. punkt 107, in fine, i dette forslag til afgørelse.

---

121 –      Europa-Parlamentets og Rådets direktiv af 15.3.2017 om bekæmpelse af terrorisme og om erstatning af Rådets rammeafgørelse 2002/475/RIA og ændring af Rådets afgørelse 2005/671/RIA (EUT 2017, L 88, s. 6).

---

122 –      Der bør herved henvises til, at begrebet »lovovertrædelse af grænseoverskridende karakter« ifølge definitionen i f.eks. udkastet til PNR-aftalen mellem Canada og EU var tilstrækkeligt bredt til også at omfatte overtrædelser begået i ét land, hvor lovovertræderen »opholder sig i eller agter at rejse til et andet land«; jf. artikel 3, stk. 3, litra e), i udkastet til aftalen mellem Canada og EU, hvis ordlyd er gengivet i præmis 30 i udtalelse 1/15. Jeg vil ligeledes påpege, at FRA i sin udtalelse 1/2011 (punkt 2.2.3.1 og 3.7) havde foreslået, at Unionens PNR-system kun skulle omfatte grove grænseoverskridende lovovertrædelser. Forslaget til PNR-direktivet indeholdt derimod bestemmelser om udifferentieret automatisk behandling for grænseoverskridende overtrædelser og overtrædelser, der ikke er grænseoverskridende [jf. dette forslags artikel 4, stk. 2, litra a)].

---

123 –      Der bør i øvrigt fremhæves, at en del af de overtrædelser, der er omhandlet i bilag II, tilhører områder med kriminalitet, der kvalificeres som »særlig grov« i artikel 83, stk. 1, første afsnit, TEUF og opregnes i stk. 1, andet afsnit. Det drejer sig bl.a. om menneskehandel, seksuel udnyttelse af børn, ulovlig narkotikahandel, ulovlig våbenhandel, hvidvaskning af penge, korruption, forfalskning af betalingsmidler, edb-kriminalitet og organiseret kriminalitet. På flere af disse områder har EU-lovgiver på grundlag af artikel 83, stk. 1, TEUF vedtaget direktiver, der indeholder »minimumsregler for, hvad der skal anses for strafbare handlinger, samt for straffene herfor«; jf. navnlig Europa-Parlamentets og Rådets direktiv 2011/36/EU af 5.4.2011 om forebyggelse og bekæmpelse af menneskehandel og beskyttelse af ofrene herfor og om erstatning af Rådets rammeafgørelse 2002/629/RIA (EUT 2011, L 101, s. 1), Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13.12.2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT 2011, L 335, s. 1), Europa-Parlamentets og Rådets direktiv 2013/40/EU af 12.8.2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA (EUT 2013, L 218, s. 8), Europa-Parlamentets og Rådets direktiv (EU) 2019/713 af 17. april 2019 om bekæmpelse af svig og forfalskning i forbindelse med andre betalingsmidler end kontanter og om erstatning af Rådets rammeafgørelse 2001/413/RIA (EUT 2019, L 123, s. 18), Europa-Parlamentets og Rådets direktiv (EU) 2017/1371 af 5.7.2017 om strafferetlig bekæmpelse af svig rettet mod Den Europæiske Unions finansielle interesser (EUT 2017, L 198, s. 29) og Europa-Parlamentets og Rådets direktiv (EU) 2018/1673 af 23.10.2018 om strafferetlig bekæmpelse af hvidvask af penge (EUT 2018, L 284, s. 22).

---

124 –      Det bør imidlertid påpeges, at samtlige overtrædelser i bilag I med undtagelse af »industrispionage« er nævnt i artikel 2, stk. 2, i Rådets rammeafgørelse 2002/584/RIA af 13.6.2002 om den europæiske arrestordre og om procedurerne for overgivelse mellem medlemsstaterne (EFT 2002, L 190, s. 1). Selv om de ikke udtrykkeligt kvalificeres som grove, fører de imidlertid til overgivelse på grundlag af en europæisk arrestordre, såfremt de når samme tærskel for frihedsstraf som i PNR-direktivets artikel 3, nr. 9), uden kontrol af dobbelt strafbarhed. Næsten alle de nævnte overtrædelser med undtagelse af »sabotage«, »flykapring« og »industrispionage« er ligeledes nævnt i bilag I til Europa-Parlamentets og Rådets forordning (EU) 2018/1727 af 14.11.2018 om Den Europæiske Unions Agentur for Strafferetligt Samarbejde (Eurojust), og om erstatning og ophævelse af Rådets afgørelse 2002/187/RIA (EUT 2018, L 295, s. 138), som indeholder en liste over de »former for grov kriminalitet«, der henhører under Eurojusts kompetence.

---

125 –      Der er navnlig tale om punkt 7, 8, 10 og 16.

---

126 –      Dette gælder f.eks. for »svig« (punkt 7), »korruption« (punkt 6), »IT-kriminalitet/cyberkriminalitet« (punkt 9) og »miljøkriminalitet« (punkt 10). Det er navnlig svigagtige handlinger, der er genstand for Verwaltungsgericht Wiesbadens (forvaltningsdomstolen i Wiesbaden) spørgsmål i den verserende sag C-215/20.

---

127 –      Det præciseres i øvrigt i dette direktivs artikel 9, hvilken maksimal fængselsstraf der som minimum skal idømmes for de nævnte overtrædelser, idet denne tærskel kun under visse omstændigheder udgør tre år.

---

128 –      Europa-Parlamentets og Rådets direktiv af 19.11.2008 (EUT 2008, L 328, s. 28).

---

129 –      Rådets direktiv af 28.11.2002 om definition af hjælp til ulovlig indrejse og transit samt ulovligt ophold (EFT 2002, L 328, s. 17).

---

130 –      Rådets rammeafgørelse af 28.11.2002 om styrkelse af de strafferetlige rammer med henblik på bekæmpelse af hjælp til ulovlig indrejse og transit samt ulovligt ophold (EFT 2002, L 328, s. 1).

---

131 –      Rådets rammeafgørelse af 22.7.2003 om bekæmpelse af bestikkelse i den private sektor (EUT 2003, L 192, s. 54).

---

132 –      Rådets rammeafgørelse af 24.10.2008 om bekæmpelse af organiseret kriminalitet (EUT 2008, L 300, s. 42).

---

133 –      Jf. navnlig 7. og 22. betragtning til PNR-direktivet.

---

134 –      Jf. 35. betragtning til PNR-direktivet.

---

135 –      Jf. analogt dom af 16.12.2008, Arcelor Atlantique et Lorraine m.fl. (C-127/07, EU:C:2008:728, præmis 61 og 62), og af 17.10.2013, Schaible (C-101/12, EU:C:2013:661, præmis 91 og 94).

---

136 –      Jf. dok. 9944, der er godkendt af ICAO’s generalsekretær og offentliggjort under dennes ansvar. Den engelske version af dette dokument er tilgængelig på webstedet https://www.icao.int/Security/FAL/ANNEX9/Documents/9944_cons_en.pdf. Ifølge punkt 9.22 i bilag 9 (Lettelse) til konventionen angående international civil luftfart, undertegnet i Chicago den 7.12.1944 (herefter »Chicagokonventionen«), er de kontraherende stater i forbindelse med denne konvention, som stiller krav om PNR-oplysninger, forpligtet til at afstemme deres behov for oplysninger og behandling af disse oplysninger i forhold til bl.a. disse retningslinjer.

---

137 –      Jf. i samme retning udtalelse 1/15, præmis 160.

---

138 –      Jf. punkt 2.1.2 og 2.1.5 i ICAO’s retningslinjer.

---

139 –      Den eneste henvisning til ICAO’s retningslinjer findes i 17. betragtning til PNR-direktivet og vedrører kun »de understøttede dataformater for luftfartsselskabernes videregivelse af PNR-oplysninger til medlemsstaterne«.

---

140 –      I punkt 2.1.5 i de nævnte retningslinjer henvises der således til »yderligere oplysninger« eller »oplysninger om ønskede ydelser«, som kan vedrøre »særlige kost- eller helbredsmæssige behov, en »uledsaget mindreårig«, anmodninger om assistance osv.«. Punkt 2.1.6 præciserer, at »feltet »generelle bemærkninger«« ligeledes kan indeholde »visse oplysninger såsom den interne dialog eller kommunikation mellem luftfartsselskabernes personale og bookingmedarbejdere«.

---

141 –      Jf. punkt 2.1.5 og 2.1.6 i ICAO’s retningslinjer.

---

142 –      Jf. dom af 17.10.2013, Schwarz (C-291/12, EU:C:2013:670, præmis 32), som vedrørte en pasansøger, der var forpligtet til at afgive fingeraftryk for at få udleveret et dokument, der gjorde det muligt for ham at rejse til et tredjeland.

---

143 –      Jeg vender tilbage til denne kategori af oplysninger senere i dette forslag til afgørelse.

---

144 –      FRA gav udtryk for den samme holdning i sin udtalelse 1/2011, s. 13. Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) foreslog i sin udtalelse af 25.3.2011 om forslaget til PNR-direktivet (https://edps.europa.eu/sites/edp/files/publication/11-03-25_pnr_da.pdf, punkt 47) (herefter »den tilsynsførendes udtalelse af 25. marts 2011«), at rubrikken »Generelle bemærkninger« blev fjernet fra listen i bilag I.

---

145 –      Jf. navnlig dom af 19.11.2009, Sturgeon m.fl. (C-402/07 og C-432/07, EU:C:2009:716, præmis 47 og den deri nævnte retspraksis), af 19.9.2013, fornyet prøvelse Kommissionen mod Strack (C-579/12 RX-II, EU:C:2013:570, præmis 40), og af 14.5.2019, M m.fl. (Tilbagekaldelse af flygtningestatus) (C-391/16, C-77/17 og C-78/17, EU:C:2019:403, præmis 77 og den deri nævnte retspraksis).

---

146 –      Jf. navnlig 5., 7., 11., 15., 16., 20., 22., 23., 25., 27., 28., 31., 36. og 37. betragtning til PNR-direktivet.

---

147 –      Jf. dom af 26.6.2007, Ordre des barreaux francophones et germanophone m.fl. (C-305/05, EU:C:2007:383, præmis 28), og af 14.5.2019, M m.fl. (Tilbagekaldelse af flygtningestatus) (C-391/16, C-77/17 og C-78/17, EU:C:2019:403, præmis 77).

---

148 –      For så vidt som det er relevant her, fremgår det af niende betragtning, at »[a]nvendelsen af PNR-oplysninger sammen med API-oplysninger tilføjer en merværdi, når det drejer sig om at bistå medlemsstaterne med at kontrollere en persons identitet, og styrker derved den retshåndhævelsesmæssige værdi af dette resultat og minimerer risikoen for, at uskyldige personer kontrolleres og efterforskes«.

---

149 –      Jf. i denne retning ligeledes forslaget til PNR-direktivet, afsnit 1, s. 7. Disse oplysninger betegnes i de retningslinjer for forhåndsoplysninger om passagerer (API-oplysninger), der er udarbejdet af Verdenstoldorganisationen (WCO), Den Internationale Luftfartssammenslutning (IATA) og ICAO, http://www.wcoomd.org/~/media/wco/public/global/pdf/topics/facilitation/instruments-and-tools/tools/api-guidelines-and-pnr-doc/apiguidelines_eng.pdf?db=web) [(herefter »API-retningslinjerne«), punkt 8.1.5, litra a)], som »kernedataelementer, der kan findes i det officielle rejsedokuments maskinlæsbare del«.

---

150 –      API-direktivets artikel 3, stk. 2, har følgende ordlyd: »Ovennævnte oplysninger skal omfatte: den anvendte rejselegitimations nummer og type, nationalitet, fulde navn, fødselsdato, det grænseovergangssted, der vil blive benyttet med henblik på indrejse på en medlemsstats område, transportkode, afgangs- og ankomsttidspunkt for transporten, samlet antal passagerer, der befordres med den pågældende transport, første ombordstigningssted.« Det bør fremhæves, at Kommissionen i sit arbejdsprogram for 2022, COM(2021) 645 final, s. 9, har oplyst, at den har til hensigt at ajourføre API-direktivet. I september 2020 offentliggjorde den en evaluering af dette direktiv, som skal danne grundlag for den kommende revision, SWD(2020) 174 final (herefter »arbejdsdokumentet fra 2020 om API-direktivet«). I det nævnte dokument påpeger Kommissionen bl.a., at listen over oplysninger i API-direktivets artikel 3, stk. 2, ikke er i overensstemmelse med de internationale standarder for API-oplysninger, navnlig fordi den ikke omfatter alle de oplysninger, der findes i identitetsdokumenters maskinlæsbare del (jf. navnlig s. 48).

---

151 –      Jf. API-retningslinjerne, punkt 8.1.5, litra b) og c).

---

152 –      En analog fortolkning af den tilsvarende rubrik i udkastet til PNR-aftalen mellem Canada og EU findes i præmis 161 i udtalelse 1/15.

---

153 –      Jeg gør opmærksom på, at Domstolen er i færd med at behandle en række præjudicielle spørgsmål, som specifikt omhandler den tilstrækkeligt præcise karakter af en række punkter i bilag I og navnlig af punkt 4, 8, 12 og 18 (jf. den verserende sag C-215/20).

---

154 –      Jf. udtalelse 1/15, præmis 158.

---

155 –      Det skal påpeges, at oplysningerne om rejsebureauet eller -agenten allerede indgår i punkt [5] i bilag I.

---

156 –      Jf. definitionen af PNR-oplysninger i PNR-direktivets artikel 3, nr. 5).

---

157 –      Jf. i denne retning ligeledes generaladvokat Mengozzis forslag til afgørelse, udtalelse 1/15, ((PNR-aftalen mellem EU og Canada), EU:C:2016:656), punkt 218.

---

158 –      Jf. den tilsvarende rubrik i appendiks I til ICAO’s retningslinjer.

---

159 –      Jf. i denne retning navnlig Digital Rights-dommen, præmis 57. Jf. vedrørende kravet om, at de kategorier af oplysninger, der er omfattet af en foranstaltning om adgang, skal begrænses til, hvad der er strengt nødvendigt for at nå det mål, der forfølges, senest Prokuratuur-dommen, præmis 38. Princippet om dataminimering er bl.a. fastsat i databeskyttelsesforordningens artikel 5, stk. 1, litra c), og i politidirektivets artikel 4, stk. 1, litra c).

---

160 –      Jf. navnlig Menneskerettighedsdomstolens dom af 18.4.2013, M.K. mod Frankrig (CE:ECHR:2013:0418JUD001952209, § 35).

---

161 –      Jf. den forklarende rapport fra 1981 til konvention nr. 108 (https://rm.coe.int/16800ca471), artikel 5, punkt 40, og den forklarende rapport til den moderniserede konvention nr. 108, artikel 5, punkt 51.

---

162 –      Jf. punkt 154-158 og 162-164 i dette forslag til afgørelse.

---

163 –      Jf. punkt 133-153 i dette forslag til afgørelse.

---

164 –      Barnets ret til respekt for sit privatliv er bl.a. sikret i artikel 16 i New Yorkkonventionen om barnets rettigheder, der blev vedtaget den 20.11.1989 og trådte i kraft den 2.9.1990.

---

165 –      Jf. punkt 2.7.3 i ICAO’s retningslinjer.

---

166 –      Jf. punkt 2.7.4 i ICAO’s retningslinjer.

---

167 –      Kravet om, at oplysningerne skal overføres på sikker og pålidelig vis til passageroplysningsenhederne, gentages i øvrigt i PNR-direktivets artikel 16, stk. 1, som vedrører de elektroniske midler, der anvendes til denne overførsel, og det var et af de kriterier, som Kommissionen anvendte i forbindelse med vedtagelsen i henhold til denne artikels stk. 3 af de fælles protokoller og dataformater, som luftfartsselskaberne skal benytte ved den nævnte overførsel; jf. Kommissionens gennemførelsesafgørelse (EU) 2017/759 af 28.4.2017 om de fælles protokoller og dataformater, som luftfartsselskaberne skal benytte ved videregivelse af passagerlisteoplysninger (PNR-oplysninger) til passageroplysningsenhederne (EUT 2017, L 113, s. 48).

---

168 –      Jf. 37. betragtning til PNR-direktivet.

---

169 –      Alle de kategorier af personoplysninger, der er opregnet i PNR-direktivets artikel 13, stk. 4, falder ind under begrebet »særlige kategorier af personoplysninger« i databeskyttelsesforordningens artikel 9, stk. 1.

---

170 –      En række medlemsstater, der har fremsat bemærkninger til det andet præjudicielle spørgsmål, har i denne forbindelse argumenteret for, at der findes tekniske midler, som gør det let at slette følsomme oplysninger, der videregives af luftfartsselskaberne, hvilket efter min opfattelse ikke er relevant.

---

171 –      Generaladvokat Mengozzis forslag til afgørelse, udtalelse 1/15 (PNR-aftalen mellem EU og Canada), EU:C:2016:656.

---

172 –      Der henvises til, at det også i ICAO’s retningslinjer, som ikke udelukker, at de følsomme oplysninger, der kan udledes af »fritekstfelter«, kan være nyttige for vurderingen af den risiko, som en passager kan frembyde, anbefales de kontraherende parter at sørge for, at disse oplysninger kun tages i betragtning, hvis der er konkrete grunde til at anvende dem til de formål, der forfølges med deres PNR-ordninger.

---

173 –      Det skal påpeges, at det allerede blev foreslået at fjerne dette felt i den tilsynsførende udtalelse af 25.3.2011, punkt 47.

---

174 –      Der er tale om data, der kan tilvejebringe oplysninger om den kommunikation, som en bruger af et elektronisk kommunikationsmiddel har foretage, eller om placeringen af det terminaludstyr, som den pågældende gør brug af.

---

175 –      Jf. i denne retning dommen i sagen La Quadrature du Net m.fl., præmis 141-145, og Tele2 Sverige-dommen, præmis 105 og 106, som vedrørte fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, og Digital Rights-dommen, præmis 57 og 58, hvori Domstolen erklærede direktiv 2006/24 ugyldigt.

---

176 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 177.

---

177 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 134-139 og 177. Domstolen har bemærket, at medlemsstaternes ansvar for den nationale sikkerhed »svarer til den primære interesse i at beskytte statens væsentlige funktioner og grundlæggende samfundsinteresser og omfatter forebyggelse og bekæmpelse af aktiviteter, der alvorligt kan destabilisere et lands grundlæggende forfatningsmæssige, politiske, økonomiske eller sociale strukturer og navnlig direkte true samfundet, befolkningen eller staten som sådan, såsom bl.a. terrorvirksomhed«; jf. dommen i sagen La Quadrature du Net m.fl., præmis 135, og Privacy International-dommen, præmis 74.

---

178 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 138 og 178.

---

179 –      Jf. navnlig dommen i sagen La Quadrature du Net m.fl., præmis 141-145.

---

180 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 115 og 116; jf. ligeledes generaladvokat Campos Sanchéz-Bordonas forslag til afgørelse SpaceNet og Telekom Deutschland (C-793/19 og C-794/19, EU:C:2021:939, punkt 74 og 75).

---

181 –      Jf. Tele2 Sverige-dommen, præmis 119.

---

182 –      Jf. i denne retning Tele2 Sverige-dommen, præmis 103-107 og 119 samt den deri nævnte retspraksis.

---

183 –      Jf. udtalelse 1/15, præmis 186 og 187.

---

184 –      Ifølge Digital Rights-dommen, præmis 59, og Tele2 Sverige-dommen, præmis 111, og i den senere retspraksis (jf. navnlig dommen i sagen La Quadrature du Net m.fl., præmis 143-150) gør det netop den omhandlede lovgivning uforholdsmæssig, at den ikke er baseret på »objektive forhold« i lighed med dem, som Domstolen nævnte i præmis 187 i udtalelse 1/15, der gør det muligt at fokusere målrettet på en personkreds, hvis data kan afsløre en forbindelse, i det mindste direkte, til grov kriminalitet.

---

185 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 117 og den deri nævnte retspraksis; jf. ligeledes Prokuratuur-dommen, præmis 36.

---

186 –      Dommen i sagen La Quadrature du Net m.fl., præmis 142.

---

187 –      Jf. udtalelse 1/15, præmis 128 og 150.

---

188 –      Jf. udtalelse 1/15, præmis 150.

---

189 –      Jf. vedrørende problemerne med en sådan vurdering i forbindelse med metadata Prokuratuur-dommen, præmis 40.

---

190 –      Den tyske lovgiver gjorde et sådant forsøg i den lovgivning, der var genstand for de forenede sager C-793/19 og C-794/19, SpaceNet og Telekom Deutschland, hvori generaladvokat Campos Sánchez-Bordona fremsatte forslag til afgørelse (EU:C:2021:939, punkt 60 og 61).

---

191 –      Jeg henviser i denne forbindelse til punkt 93 i dette forslag til afgørelse.

---

192 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 118 og den deri nævnte retspraksis.

---

193 –      Jf. Tele2 Sverige-dommen, præmis 93.

---

194 –      Generaladvokat Mengozzis forslag til afgørelse, udtalelse 1/15 ((PNR-aftalen mellem EU og Canada), EU:C:2016:656).

---

195 –      Jf. navnlig Menneskerettighedsdomstolens dom af 4.12.2015, Roman Zakharov mod Rusland (CE:ECHR:2015:1204JUD004714306, § 260).

---

196 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 146-151, og Tele2 Sverige-dommen, præmis 119.

---

197 –      Jf. i denne retning vedrørende masseaflytningsforanstaltninger dommen i sagen Big Brother Watch, § 348.

---

198 –      Jf. analogt dom af 3.10.2019, A m.fl. (C-70/18, EU:C:2019:823, præmis 61).

---

199 –      Jf. senest Kommissionens meddelelse om strategien for EU’s sikkerhedsunion (COM(2020) 605 final, s. 28) og Kommissionens meddelelse om en dagsorden for bekæmpelse af terrorisme i EU: foregribe, forebygge, beskytte, reagere (COM(2020) 795 final, s. 15 ff.).

---

200 –      Resolution af 21.12.2017 (herefter »resolution 2396 (2017«)), https://documents-dds-ny.un.org/doc/UNDOC/GEN/N17/460/25/PDF/N1746025.pdf?OpenElement

---

201 –      Jf. resolution 2396 (2017), punkt 12; i samme punkt 12 anførte FN’s Sikkerhedsråd følgende: »urges ICAO to work with its Member States to establish a standard for the collection, use, processing and protection of PNR data«. I forlængelse af denne opfordring vedtog ICAO den 23.6.2020 ændring nr. 28 af bilag 9 til Chicagokonventionen, der som tidligere nævnt fastsætter internationale normer vedrørende lettelse, og hvis kapitel 9, afsnit D, specifikt omhandler PNR-oplysninger. Den 12.1.2021 vedtog Kommissionen et forslag til Rådets afgørelse om den holdning, der skal indtages på Den Europæiske Unions vegne i [ICAO] vedrørende [denne ændring] (COM(2021) 16 final).

---

202 –      Resolution af 19.7.2019, punkt 15, litra c), https://documents-dds-ny.un.org/doc/UNDOC/GEN/N19/224/98/PDF/N1922498.pdf?OpenElement

---

203 –      Unionen har allerede indgået to internationale aftaler med henholdsvis Australien (aftale mellem Den Europæiske Union og Australien om luftfartsselskabers behandling og overførsel af [PNR-oplysninger] til de australske told- og grænsekontrolmyndigheder (EUT 2012, L 186, s. 4)) og Amerikas Forenede Stater (aftale mellem Amerikas Forenede Stater og Den Europæiske Union om anvendelse og overførsel af [PNR-oplysninger] til United States Department of Homeland Security (EUT 2012, L 215, s. 5)). Der er iværksat en samlet evaluering af disse to aftaler med henblik på indgåelse af nye aftaler. Den 18.2.2020 bemyndigede Rådet desuden Kommissionen til at indlede forhandlinger med Japan.

---

204 –      Jf. resolution 2396 (2017), s. 4.

---

205 –      Dette gælder også for personer, der har ret til fri bevægelighed i henhold til EU-retten; jf. Europa-Parlamentets og Rådets forordning (EU) 2017/458 af 15.3.2017 om ændring af forordning (EU) 2016/399, for så vidt angår en styrkelse af kontrollen i relevante databaser ved de ydre grænser (EUT 2017, L 74, s. 7).

---

206 –      Jf. i denne retning ligeledes udtalelse 1/15, præmis 187. Jf. ligeledes Kommissionens meddelelse om den globale tilgang til overførsel af [PNR-oplysninger] til tredjelande (KOM(2010) 492 endelig, afsnit 2.2, s. [6]).

---

207 –      Det er på sin vis det, der antydes af Kommissionen i dens forslag til PNR-direktivet, s. 3.

---

208 –      Jf. i denne retning Prokuratuur-dommen, præmis 49 og den deri nævnte retspraksis.

---

209 –      Jf. artikel 4, stk. 2, litra a), i forslaget til PNR-direktivet.

---

210 –      Hvor der i den franske sprogversion af artikel 6, stk. 3, litra a), henvises til »bases de données utiles« [o.a.: databaser, der er hensigtsmæssige], omhandler denne bestemmelse i de fleste andre sprogversioner »databaser, der er relevante«; jf. navnlig versionerne på spansk (»pertinentes«), tysk (»massgeblich«), engelsk (»relevant«), italiensk (»pertinenti«), nederlandsk (»relevant«) og portugisisk (»relevantes«).

---

211 –      PNR-direktivets artikel 6, stk. 3, litra a), synes efter sin ordlyd at tillade analyser i form af dataudvinding baseret på samkøring med meget forskellige oplysninger, forudsat at denne udvinding er rettet mod de formål, der forfølges med dette direktiv. Jf. vedrørende risiciene ved »data mining« i forbindelse med PNR-oplysninger Korff-rapporten, s. 77. Den Europæiske Tilsynsførende for Databeskyttelse hæftede sig især ved, at det ikke er muligt at forudsige, hvilke databaser PNR-oplysninger kan sammenholdes med, i sin udtalelse af 25.3.2011, punkt 18.

---

212 –      Den vage og åbne formulering af PNR-direktivets artikel 6, stk. 3, litra a), har resulteret i en meget forskellig gennemførelse i national ret, som spænder fra en streng fortolkning af begrebet »databaser, der er relevante«, hvor analysen begrænses til en sammenholdning med de databaser, der udtrykkeligt er nævnt i denne bestemmelse (dette er tilfældet i Forbundsrepublikken Tyskland, jf. den tyske regerings indlæg til Domstolen) til en mere bred fortolkning, som omfatter enhver database, der er tilgængelig eller til rådighed for de kompetente myndigheder i forbindelse med deres arbejde [PNR-lovens artikel 24, stk. 1, nr. 1), er bl.a. formuleret på denne måde].

---

213 –      Efter min opfattelse kan en medlemsstat i hvert fald ikke være forpligtet i medfør af PNR-direktivets artikel 6, stk. 3, litra a), til at bemyndige sin passageroplysningsenhed til systematisk at sammenholde PNR-oplysninger med de i denne bestemmelse omhandlede »databaser, der er relevante«, og som forvaltes af dens efterretningstjenester.

---

214 –      I politidirektivets artikel 3, nr. 4), defineres »profilering« som »enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk[e] position eller bevægelser«. Den samme definition findes i databeskyttelsesforordningens artikel 4, nr. 4), og i punkt 1, litra c), i bilaget til Europarådets Ministerkomités henstilling CM/Rec(2021)8 af 3.11.2021 om beskyttelse af det enkelte menneske i forbindelse med elektronisk behandling af personoplysninger hvad angår profilering, https://search.coe.int/cm/pages/result_details.aspx?ObjectId=0900001680a46148 (herefter »henstillingen fra 2021 om profilering«).

---

215 –      I punkt 1, litra j, nr. i), i henstillingen fra 2021 om profilering defineres højrisikoprofilering som bl.a. »profilering, der kan udløse retsvirkninger eller have væsentlig indvirkning på den registrerede eller på den persongruppe, der identificeres ved den nævnte profilering«.

---

216 –      Jf. udtalelse 1/15, præmis [272].

---

217 –      Ifølge punkt 1.1, litra d), i bilaget til henstillingen fra 2021 om profilering skal der ved ordet »profil« forstås »et datasæt vedrørende person, som kendetegner en kategori af personer eller skal anvendes på en person«. Som det forklares i en rapport om udviklingen af situationen efter vedtagelsen af henstilling (2010)13 om profilering (https://rm.coe.int/t-pd-2019-07fin-fr-rapport-profilage-2770-2878-8993-1-final-clean-2755/1680a0925b, s. 21), der blev udarbejdet forud for vedtagelsen af henstillingen fra 2021 om profilering, er begrebet »profil« også relevant i systemer, der i lighed med PNR-direktivet sondrer mellem foranstaltninger til oprettelse af profiler [jf. navnlig dette direktivs artikel 6, stk. 2, litra b)] og de foranstaltninger, hvorved profilerne anvendes, og det gør det muligt at fastsætte »gennemsigtige kriterier, som anvendes efterfølgende i forbindelse med profileringsforanstaltningen«.

---

218 –      Jf. PNR-direktivets artikel 6, stk. 4, og udtalelse 1/15, præmis 172.

---

219 –      Jf. PNR-direktivets artikel 6, stk. 4.

---

220 –      Jf. udtalelse 1/15, præmis 172.

---

221 –      Jf. syvende betragtning til PNR-direktivet.

---

222 –      Jf. udtalelse 1/15, præmis 174.

---

223 –      Det samme krav fremgår af præmis 174 i udtalelse 1/15.

---

224 –      Der gøres opmærksom på, at de grunde til forskelsbehandling, der er anført i chartrets artikel 21, gengives i 20. betragtning til PNR-direktivet. FRA anførte, at der burde ske en tilpasning i forhold til listen over forbudte grunde til forskelsbehandling i artikel 21, i sin udtalelse 1/2011, s. 8.

---

225 –      Ifølge punkt 1.1, litra g), i bilaget til henstillingen fra 2021 om profilering skal der ved udtrykket »machine learning« forstås »behandling, der anvender særlige metoder inden for kunstig intelligens baseret på statistiske værktøjer for at gøre det muligt for computere at »lære« ud fra data, dvs. at forbedre deres evne til at løse opgaver uden direkte at være programmeret hertil«.

---

226 –      Jf. vedrørende ugennemsigtige algoritmesystemers konsekvenser for muligheden for at gennemføre manuel kontrol med henblik på at forebygge disse systemers skadelige virkninger og deres negative indvirkning på menneskerettighederne Europarådets Ministerkomités henstilling CM/Rec(2020)1 om algoritmesystemers indvirkning på menneskerettighederne.

---

227 –      Denne definition findes i 25. betragtning til PNR-direktivet.

---

228 –      Affattelsen af 37. betragtning til PNR-direktivet, hvorefter »PNR-oplysninger i passageroplysningsenhederne skal opbevares i en periode på højst fem år, hvorefter oplysningerne bør slettes« (min fremhævelse), kan efter min opfattelse ikke rejse tvivl om den klare ordlyd af dette direktivs artikel 12, stk. 1.

---

229 –      Jf. vedrørende behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre og retsforfølge strafbare handlinger politidirektivets artikel 4, litra e), og 26. betragtning hertil. Jf. mere generelt databeskyttelsesforordningens artikel 5, stk. 1, litra e), og artikel 5, stk. 4, litra e), i den moderniserede konvention nr. 108.

---

230 –      Jf. Schrems I-dommen, præmis 93, Tele2 Sverige-dommen, præmis 110, udtalelse 1/15, præmis 191, og dommen i sagen La Quadrature du Net m.fl., præmis 133.

---

231 –      Jf. udtalelse 1/15, præmis 197.

---

232 –      Jf. udtalelse 1/15, præmis 205.

---

233 –      Jf. udtalelse 1/15, præmis 207.

---

234 –      Der er tale om en analog anvendelse af præmis 187 ff. i udtalelse 1/15, eftersom denne udtalelse kun drejede sig om PNR-oplysninger indsamlet i forbindelse med indrejse på canadisk område.

---

235 –      Jf. udtalelse 1/15, præmis 209.

---

236 –      Jf. udtalelse 1/15, præmis 205.

---

237 –      Der skulle ifølge udkastet til PNR-aftalen mellem Canada og EU foretages maskering af alle passagerers navne 30 dage efter, at Canada havde modtaget oplysningerne, og maskering af andre udtrykkeligt nævnte oplysninger to år efter, at de var modtaget: jf. artikel 16, stk. 3, i det af Domstolen undersøgte udkast til PNR-aftalen mellem Canada og EU og Domstolens udtalelse 1/15, præmis 30.

---

238 –      Jf. udtalelsen af 19.8.2016, s. 9.

---

239 –      Jf. navnlig dommen i sagen La Quadrature du Net m.fl., præmis 148 og 149.

---

240 –      Det samme gælder for anmodninger om PNR-oplysninger, der fremsættes af andre medlemsstaters passageroplysningsenheder i medfør af PNR-direktivets artikel 9, stk. 2.

---

241 –      Jf. udtalelse 1/15, præmis 192 og den deri nævnte retspraksis. Jf. senest Privacy international-dommen, præmis 77, og analogt Prokuratuur-dommen, præmis 49 og den deri nævnte retspraksis.

---

242 –      Jf. udtalelse 1/15, præmis 200.

---

243 –      Jf. udtalelse 1/15, præmis 200.

---

244 –      Jf. udtalelse 1/15, præmis 201.

---

245 –      Jf. udtalelse 1/15, præmis 202.

---

246 –      Jf. i denne retning udtalelse 1/15, præmis 201.

---

247 –      Jf. navnlig PNR-direktivets artikel 4, artikel 7, stk. 1 og 2, artikel 9, stk. 2, artikel 10, stk. 2, og artikel 12, stk. 4; jf. navnlig 6., 9., 10., 11., 15., 23., 25., 35. og 38. betragtning til dette direktiv. Det skal i øvrigt påpeges, at det i 28. betragtning til forslaget til PNR-direktivet var præciseret, at »[d]ette direktiv [ikke] påvirker […] medlemsstaternes mulighed for […] at indføre et system i national ret til indsamling og behandling af PNR-oplysninger til andre formål end dem, der er specificeret i dette direktiv«. Denne præcisering kom imidlertid ikke med i PNR-direktivets endelige tekst.

---

248 –      Denne mulighed fremgår imidlertid af PNR-direktivets artikel 4, stk. 3, hvorefter »[p]assageroplysningsenhedens personale kan være udstationeret fra kompetente myndigheder«, i hvert fald i det omfang den pågældende medlemsstats efterretnings- og sikkerhedstjenester kan kvalificeres som »kompetente myndigheder« som omhandlet i dette direktivs artikel 7, stk. 2.

---

249 –      Hvad angår den belgiske regerings betænkelighed ved Domstolens kompetence til at besvare det syvende præjudicielle spørgsmål skal det påpeges, at den forelæggende ret ifølge dette spørgsmåls ordlyd har anmodet Domstolen om at oplyse, hvordan PNR-direktivets artikel 12, stk. 3, skal fortolkes, og ikke hvorvidt den nationale lovgivning er forenelig med denne bestemmelse. Det fremgår under alle omstændigheder af fast retspraksis, at Domstolen kan forsyne de nationale domstole med oplysninger, som gør det muligt for dem at vurdere denne forenelighed (jf. navnlig dom af 7.9.2016, ANODE, C-121/15, EU:C:2016:637, præmis 54 og den deri nævnte retspraksis).

---

250 –      Jf. herved dom af 5.11.2019, Kommissionen mod Polen (De almindelige domstoles uafhængighed) (C-192/18, EU:C:2019:924, præmis 108-110).

---

251 –      Artikel 9, stk. 2, fjerde punktum, i forslaget til PNR-direktivet bestemte, at »[t]illadelse til at få adgang til de fuldstændige PNR-oplysninger meddeles af PNR-kontorets leder«.

---

252 –      Prokuratuur-dommen, præmis 52 og 53.

---

253 –      Prokuratuur-dommen, præmis 53 og 54. Jf. i samme retning dommen i sagen Big Brother Watch, §§ 349-352.

---

254 –      Artikel 9, stk. 2, fjerde punktum, i forslaget til PNR-direktivet bestemte, at »[t]illadelse til at få adgang til de fuldstændige PNR-oplysninger meddeles af PNR-kontorets leder«.

---

255 –      PNR-loven, artikel 29, stk. 1 og 2.

---

256 –      Jf. tiende betragtning til PNR-direktivet.

---

257 –      Europa-Parlamentets og Rådets forordning (EU) 2016/399 af 9.3.2016 om en EU-kodeks for personers grænsepassage (Schengengrænsekodeks) (EUT 2016, L 77, s. 1, herefter »Schengengrænsekodeksen«).

---

258 –      Schengengrænsekodeksens artikel 23, litra a), bestemmer, at udøvelse af politimæssige beføjelser ikke kan sidestilles med ind- og udrejsekontrol, når de politimæssige foranstaltninger »i) ikke har grænsekontrol som formål, ii) bygger på generelle politioplysninger og ‑erfaringer med hensyn til eventuelle trusler mod den offentlige sikkerhed og navnlig tager sigte på at bekæmpe grænseoverskridende kriminalitet, iii) er udformet og udføres på en måde, der klart adskiller sig fra systematisk ind- og udrejsekontrol af personer ved de ydre grænser, og iv) udføres som stikprøvekontrol«.

---

259 –      Jf. analogt dom af 13.12.2018, Touring Tours und Travel og Sociedad de transportes (C-412/17 og C-474/17, EU:C:2018:1005, præmis 61 og den deri nævnte retspraksis), og kendelse af 4.6.2020, FU (C-554/19, ikke trykt i Sml., EU:C:2020:439, præmis 49-56).

---

260 –      Det skal herved påpeges, at Domstolen i præmis 188 i udtalelse 1/15 bemærkede, at »identifikation af de passagerer, der kan frembyde en risiko for den offentlige sikkerhed, udgør […] en del af grænsekontrollen«.

---

261 –      Jf. dom af 13.12.2018, Touring Tours und Travel og Sociedad de transportes (C-412/17 og C-474/17, EU:C:2018:1005, præmis 55 og den deri nævnte retspraksis).

---

262 –      Jf. i denne retning navnlig kendelse af 4.6.2020, FU (C-554/19, ikke trykt i Sml., EU:C:2020:439, præmis 46).

---

263 –      I arbejdsdokumentet fra 2020 om API-direktivet (s. 20) har Kommissionen ligeledes peget på problematikken med overlappende nationale systemer til behandling af PNR- og API-oplysninger.

---

264 –      C-411/17, EU:C:2019:622, præmis 175, 176, 179 og 181.

---

265 –      Jf. dommen i sagen La Quadrature du Net m.fl., præmis 217-219.