Indholdsfortegnelse
(Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet)
1. Ved dette direktiv fastsættes bestemmelser om:
a) luftfartsselskabers videregivelse af passagerlisteoplysninger (PNR-oplysninger) om passagerer på flyvninger uden for EU
b) behandlingen af de i litra a) omhandlede oplysninger, herunder medlemsstaters indsamling, anvendelse og opbevaring heraf samt medlemsstaters indbyrdes udveksling heraf.
2. PNR-oplysninger, der indsamles i overensstemmelse med dette direktiv, må kun behandles med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, jf. artikel 6, stk. 2, litra a), b) og c).
1. Hvis en medlemsstat beslutter at anvende dette direktiv på flyvninger inden for EU, giver den Kommissionen skriftlig meddelelse herom. En medlemsstat kan når som helst give eller tilbagekalde en sådan meddelelse. Kommissionen offentliggør meddelelsen og en eventuel tilbagekaldelse af den i Den Europæiske Unions Tidende.
2. Når en meddelelse omhandlet i stk. 1 er givet, finder alle direktivets bestemmelser anvendelse for flyvninger inden for EU, som var de flyvninger uden for EU, og for PNR-oplysninger fra flyvninger inden for EU, som var de PNR-oplysninger fra flyvninger uden for EU.
3. En medlemsstat kan beslutte at anvende dette direktiv udelukkende på udvalgte flyvninger inden for EU. Når medlemsstaten træffer en sådan beslutning, vælger den samtidig de flyvninger, som den finder nødvendige med henblik på at nå målene i dette direktiv. Medlemsstaten kan når som helst beslutte at ændre udvælgelsen af flyvninger inden for EU.
I dette direktiv forstås ved:
»luftfartsselskab«: en lufttransportvirksomhed med en gyldig licens eller lignende, der tillader det at udføre luftbefordring af passagerer
»flyvning uden for EU«: enhver ruteflyvning eller ikkeruteflyvning, der foretages af et luftfartsselskab, som flyver fra et tredjeland og med planlagt landing på en medlemsstats område, eller som flyver fra en medlemsstats område og med planlagt landing i et tredjeland, herunder i begge tilfælde flyvninger med mellemlandinger på medlemsstaters eller tredjelandes område
»flyvning inden for EU«: enhver ruteflyvning eller ikkeruteflyvning, som foretages af et luftfartsselskab, som flyver fra en medlemsstats område og med planlagt landing på en eller flere andre medlemsstaters område og uden mellemlandinger på et tredjelands område
»passager«: enhver person, herunder personer i transfer eller transit, undtagen besætningsmedlemmer, der med luftfartsselskabets samtykke befordres eller skal befordres i et luftfartøj, idet et sådant samtykke anskueliggøres ved, at denne person er registreret i passagerlisten
»passagerliste« eller »PNR«: en liste over den enkelte passagers rejse, som omfatter alle nødvendige oplysninger til, at reservationer kan behandles og kontrolleres af de luftfartsselskaber, der foretager reservationen, og de deltagende luftfartsselskaber for hver rejse, der reserveres af eller på vegne af enhver person, uanset om listen findes i reservationssystemer, afgangskontrolsystemer (der anvendes til kontrol af passagerer ved ombordstigning på luftfartøjer) eller tilsvarende systemer, der omfatter de samme funktionaliteter
»reservationssystem«: luftfartsselskabets interne system, hvori PNR-oplysninger indsamles med henblik på behandling af reservationer
»»push«-metoden«: den metode, hvorved luftfartsselskaber videregiver de PNR-oplysninger, der er opført på listen i bilag I, til den anmodende myndigheds database
»terrorhandlinger«: de overtrædelser i henhold til national ret, der er omhandlet i artikel 1-4 i rammeafgørelse 2002/475/RIA
»grov kriminalitet«: de overtrædelser, der er opført på listen i bilag II, og som kan straffes med frihedsstraf eller en anden frihedsberøvende foranstaltning af en maksimal varighed på mindst tre år i henhold til en medlemsstats nationale ret
»at anonymisere ved hjælp af maskering af dataelementer«: at gøre de dataelementer, der kan tjene til direkte at identificere den registrerede, utilgængelige for en bruger.
1. Hver medlemsstat opretter eller udpeger en myndighed med kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger og grov kriminalitet eller en afdeling i en sådan myndighed, der skal fungere som »passageroplysningsenhed«.
2. Passageroplysningsenheden er ansvarlig for:
a) at indsamle PNR-oplysninger fra luftfartsselskaber, at lagre og behandle disse oplysninger og at videregive disse oplysninger eller resultatet af behandlingen af dem til de i artikel 7 omhandlede kompetente myndigheder
b) at udveksle både PNR-oplysninger og resultatet af behandlingen af disse oplysninger med andre medlemsstaters passageroplysningsenheder og med Europol, jf. artikel 9 og 10.
3. Passageroplysningsenhedens personale kan være udstationeret fra kompetente myndigheder. Medlemsstaterne tildeler passageroplysningsenhederne tilstrækkelige ressourcer til, at de kan udføre deres opgaver.
4. To eller flere medlemsstater (de deltagende medlemsstater) kan oprette eller udpege en enkelt myndighed til at fungere som deres passageroplysningsenhed. En sådan passageroplysningsenhed oprettes i en af de deltagende medlemsstater og anses for at være den nationale passageroplysningsenhed for alle de deltagende medlemsstater. De deltagende medlemsstater vedtager i fællesskab de nærmere regler for driften af passageroplysningsenheden og overholder de krav, der er fastsat i dette direktiv.
5. Inden for én måned fra oprettelsen af dens passageroplysningsenhed giver hver medlemsstat Kommissionen meddelelse herom og medlemsstaten kan på et hvilket som helst tidspunkt ændre sin meddelelse. Kommissionen offentliggør meddelelsen og eventuelle ændringer heraf i Den Europæiske Unions Tidende.
1. Passageroplysningsenheden udpeger en databeskyttelsesansvarlig, der er ansvarlig for at føre tilsyn med behandlingen af PNR-oplysninger og at gennemføre relevante beskyttelsesforanstaltninger.
2. Medlemsstaterne tildeler databeskyttelsesansvarlige de midler, der er nødvendige for, at de på effektiv og uafhængig vis kan udføre deres hverv i overensstemmelse med denne artikel.
3. Medlemsstaterne sikrer, at en registreret har ret til at kontakte den databeskyttelsesansvarlige som et enkelt kontaktpunkt om alle spørgsmål i tilknytning til behandlingen af denne registreredes PNR-oplysninger.
1. De PNR-oplysninger, som luftfartsselskaberne videregiver, indsamles af passageroplysningsenheden i den relevante medlemsstat, jf. artikel 8. Hvis de PNR-oplysninger, som luftfartsselskaberne videregiver, indeholder andre oplysninger end dem, der er opført på listen i bilag I, skal passageroplysningsenheden straks og permanent ved modtagelsen slette sådanne oplysninger.
2. Passageroplysningsenheden må kun behandle PNR-oplysninger med henblik på følgende:
a) at foretage en vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten for at identificere personer, som det kræves, at de i artikel 7 omhandlede kompetente myndigheder og, hvis det er relevant, Europol i overensstemmelse med artikel 10 undersøger nærmere, idet sådanne personer kan være involveret i en terrorhandling eller grov kriminalitet.
b) fra sag til sag at reagere på en behørigt begrundet anmodning baseret på tilstrækkelige grunde fra de kompetente myndigheder om at videregive og behandle PNR-oplysninger i konkrete sager med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet og at forelægge resultaterne af denne behandling for de kompetente myndigheder eller, hvis det er relevant, for Europol, og
c) at analysere PNR-oplysninger med henblik på at ajourføre eller fastsætte nye kriterier, der skal anvendes i forbindelse med vurderingerne, der foretages i medfør af stk. 3, litra b), med henblik på at identificere personer, der kan være involveret i en terrorhandling eller grov kriminalitet.
3. Når den i stk. 2, litra a), omhandlede vurdering foretages, kan passageroplysningsenheden:
a) sammenholde PNR-oplysninger med oplysninger i databaser, der er relevante med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, herunder databaser vedrørende personer eller genstande, der eftersøges eller er indberettet, i overensstemmelse med de EU-regler og internationale eller nationale regler, som finder anvendelse på sådanne databaser, eller
b) behandle PNR-oplysninger efter forud fastsatte kriterier.
4. Enhver vurdering af passagerer forud for deres planlagte ankomst til eller afrejse fra medlemsstaten, der foretages i medfør af stk. 3, litra b), efter forud fastsatte kriterier, udføres på en ikkediskriminerende måde. Disse forud fastsatte kriterier skal være målrettede, stå i rimeligt forhold til målet og være konkrete. Medlemsstaterne sikrer, at disse kriterier fastsættes og regelmæssigt evalueres af passageroplysningsenheden i samarbejde med de i artikel 7 omhandlede kompetente myndigheder. Kriterierne må under ingen omstændigheder være baseret på en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuel orientering.
5. Medlemsstaterne sikrer, at alle hit som følge af den automatiske behandling af PNR-oplysninger, der foretages i medfør af stk. 2, litra a), gennemgås individuelt og manuelt for at kontrollere, om de i artikel 7 omhandlede kompetente myndigheder skal iværksætte tiltag i henhold til national ret.
6. En medlemsstats passageroplysningsenhed videregiver de i overensstemmelse med stk. 2, litra a), identificerede personers PNR-oplysninger eller resultaterne af behandling af disse oplysninger til de i artikel 7 omhandlede kompetente myndigheder i den samme medlemsstat med henblik på nærmere undersøgelse. Sådanne videregivelser af oplysninger må kun ske fra sag til sag og, i tilfælde af automatisk behandling af PNR-oplysninger, efter en individuel og manuel gennemgang.
7. Medlemsstaterne sikrer, at den databeskyttelsesansvarlige har adgang til alle de oplysninger, som passageroplysningsenheden behandler. Hvis den databeskyttelsesansvarlige finder, at behandlingen af enhver form for oplysninger ikke er sket lovligt, kan den databeskyttelsesansvarlige forelægge spørgsmålet for den nationale tilsynsmyndighed.
8. Passageroplysningsenhedens lagring, behandling og analyse af PNR-oplysninger finder udelukkende sted på et sikkert sted eller sikre steder på medlemsstaternes område.
9. Konsekvenserne af vurderingerne af passagerer, jf. denne artikels stk. 2, litra a), må ikke anfægte retten til indrejse på den pågældende medlemsstats område for personer, der har ret til fri bevægelighed i henhold til EU-retten, jf. Europa-Parlamentets og Rådets direktiv 2004/38/EF . Endvidere skal konsekvenserne af sådanne vurderinger, når vurderingerne foretages i forbindelse med flyvninger inden for EU mellem medlemsstater, som er underlagt Europa-Parlamentets og Rådets forordning (EF) nr. 562/2006 , være i overensstemmelse med nævnte forordning.
1. Hver medlemsstat vedtager en liste over kompetente myndigheder, der er berettigede til at anmode om eller modtage PNR-oplysninger eller resultatet af behandling af disse oplysninger fra passageroplysningsenhederne for at undersøge disse oplysninger nærmere eller iværksætte passende tiltag for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger eller grov kriminalitet.
2. De i stk. 1 omhandlede myndigheder skal være myndigheder, der har kompetence til at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet.
3. Med henblik på artikel 9, stk. 3, meddeler hver medlemsstat Kommissionen listen over sine kompetente myndigheder senest den 25. maj 2017 og medlemsstaten kan når som helst ændre sin meddelelse. Kommissionen offentliggør meddelelsen og eventuelle ændringer heraf i Den Europæiske Unions Tidende.
4. Medlemsstaternes kompetente myndigheder må kun foretage yderligere behandling af PNR-oplysninger og resultatet af behandling af PNR-oplysninger, der modtages fra passageroplysningsenheden, med henblik på det specifikke formål at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet.
5. Stk. 4 berører ikke de nationale retshåndhævende eller retlige myndigheders beføjelser, når der opdages andre overtrædelser eller tegn herpå under en retshåndhævende aktion foranlediget af en sådan databehandling.
6. De kompetente myndigheder må ikke træffe afgørelser, som har byrdefulde retsvirkninger for en person eller i væsentlig grad påvirker en person, udelukkende som følge af automatisk behandling af PNR-oplysninger. Sådanne afgørelser må ikke træffes på grundlag af en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuel orientering.
1. Medlemsstaterne vedtager alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber ved hjælp af »push«-metoden videregiver de PNR-oplysninger, som er opført på listen i bilag I, i det omfang de allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter, til databasen for passageroplysningsenheden i den medlemsstat, på hvis område flyet lander, eller fra hvis område det afgår. Hvis der for en flyvning er fælles rutenummer (»code sharing«) mellem et eller flere luftfartsselskaber, er det luftfartsselskab, der står for flyvningen, forpligtet til at videregive PNR-oplysninger om alle passagerer. Hvis der under en flyvning uden for EU mellemlandes en eller flere gange i medlemsstaternes lufthavne, videregiver luftfartsselskabet PNR-oplysningerne om alle passagerer til passageroplysningsenhederne i alle de berørte medlemsstater. Dette gælder også, når der under en flyvning inden for EU mellemlandes en eller flere gange i forskellige medlemsstaters lufthavne, men kun i forbindelse med medlemsstater, som indsamler PNR-oplysninger fra flyvninger inden for EU.
2. Hvis luftfartsselskaberne har indsamlet forhåndsoplysninger om passagererne (API-oplysninger), jf. bilag I, punkt 18, men ikke opbevarer disse oplysninger ved hjælp af de samme tekniske midler som andre PNR-oplysninger, vedtager medlemsstaterne de nødvendige foranstaltninger for at sikre, at luftfartsselskaberne ved hjælp af »push«-metoden også videregiver disse oplysninger til passageroplysningsenheden i de i stk. 1 omhandlede medlemsstater. Ved en sådan videregivelse finder alle bestemmelserne i dette direktiv anvendelse for disse API-oplysninger.
3. Luftfartsselskaberne videregiver PNR-oplysninger elektronisk ved brug af de fælles protokoller og understøttede dataformater, der vedtages efter undersøgelsesproceduren i artikel 17, stk. 2, eller, i tilfælde af tekniske problemer, ved brug af et hvilket som helst andet hensigtsmæssigt middel, der sikrer et passende datasikkerhedsniveau:
a) 24-48 timer før den planlagte flyafgang, og
b) straks efter, at luftfartøjets døre er blevet lukket, dvs. når passagerne er gået om bord i luftfartøjet med henblik på afrejse, og det ikke længere er muligt for passagerer at gå om bord i luftfartøjet eller forlade det.
4. Medlemsstaterne tillader, at luftfartsselskaberne kun videregiver de i stk. 3, litra b), omhandlede oplysninger, når de i nævnte stykkes litra a) omhandlede videregivelser ajourføres.
5. Når det er nødvendigt at få adgang til PNR-oplysninger for at reagere på en konkret og reel trussel i forbindelse med terrorhandlinger eller grov kriminalitet, videregiver luftfartsselskaberne fra sag til sag PNR-oplysninger på andre tidspunkter end de, der er nævnt i stk. 3, på anmodning af en passageroplysningsenhed i henhold til national ret.
1. Hvad angår personer, der identificeres af en passageroplysningsenhed, jf. artikel 6, stk. 2, sikrer medlemsstaterne, at alle relevante og nødvendige PNR-oplysninger eller resultatet af behandling af disse oplysninger videregives af denne passageroplysningsenhed til de tilsvarende passageroplysningsenheder i de andre medlemsstater. De modtagende medlemsstaters passageroplysningsenheder videregiver i overensstemmelse med artikel 6, stk. 6, de oplysninger, de har modtaget, til deres kompetente myndigheder.
2. En medlemsstats passageroplysningsenhed har ret til om nødvendigt at anmode en hvilken som helst anden medlemsstats passageroplysningsenhed om PNR-oplysninger, der opbevares i sidstnævntes database, og som endnu ikke er blevet anonymiseret ved hjælp af maskering af dataelementer, jf. artikel 12, stk. 2, og om nødvendigt også om resultatet af enhver behandling af disse oplysninger, hvis den allerede foreligger, jf. artikel 6, stk. 2, litra a). En sådan anmodning skal være behørigt begrundet. Den kan baseres på et dataelement eller en kombination af sådanne elementer afhængigt af, hvad den anmodende passageroplysningsenhed anser for nødvendigt med henblik på i en konkret sag at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet. Passageroplysningsenhederne fremlægger de oplysninger, der anmodes om, så hurtigt som praktisk muligt. I tilfælde af at de oplysninger, der anmodes om, er blevet anonymiseret ved hjælp af maskering af dataelementer, jf. artikel 12, stk. 2, fremlægger passageroplysningsenheden kun de fuldstændige PNR-oplysninger, hvis der er rimelig grund til at tro, at det er nødvendigt med henblik på det i artikel 6, stk. 2, litra b), omhandlede formål, og kun hvis den har fået tilladelse hertil af en i artikel 12, stk. 3, litra b), omhandlet kompetent myndighed.
3. En medlemsstats kompetente myndigheder må kun direkte anmode en anden medlemsstats passageroplysningsenhed om PNR-oplysninger, der opbevares i sidstnævntes database, hvis det er nødvendigt i hastende tilfælde og på de betingelser, der er fastsat i stk. 2. De kompetente myndigheders anmodninger skal begrundes. En kopi af anmodningen skal altid sendes til den anmodende medlemsstats passageroplysningsenhed. I alle andre tilfælde lader de kompetente myndigheder deres anmodninger gå via deres egen medlemsstats passageroplysningsenhed.
4. Når det er nødvendigt at få adgang til PNR-oplysninger for at reagere på en konkret og reel trussel i forbindelse med terrorhandlinger eller grov kriminalitet, har en medlemsstats passageroplysningsenhed undtagelsesvis ret til at anmode en anden medlemsstats passageroplysningsenhed om at indhente PNR-oplysninger i overensstemmelse med artikel 8, stk. 5, og fremlægge dem for den anmodende passageroplysningsenhed.
5. Udveksling af oplysninger i medfør af denne artikel kan finde sted ved brug af alle eksisterende kanaler til brug for samarbejde mellem de kompetente myndigheder i medlemsstaterne. Det sprog, der anvendes i anmodningen eller ved udvekslingen af oplysninger, skal være det, der kræves i forbindelse med den anvendte kanal. Når medlemsstaterne giver Kommissionen meddelelse, jf. artikel 4, stk. 5, underretter de den også om de nærmere oplysninger vedrørende de kontaktpunkter, hvortil der kan sendes anmodninger i hastende tilfælde. Kommissionen underretter medlemsstaterne om sådanne nærmere oplysninger.
1. Europol er inden for rammerne af sine kompetencer og med henblik på at udføre sine opgaver berettiget til at anmode om PNR-oplysninger eller resultatet af behandling af PNR-oplysninger fra medlemsstaters passageroplysningsenheder.
2. Europol kan fra sag til sag fremsende en behørigt begrundet elektronisk anmodning til passageroplysningsenheden i enhver medlemsstat gennem den nationale Europolenhed om videregivelse af konkrete PNR-oplysninger eller resultatet af behandling af disse oplysninger. Europol kan fremsende en sådan anmodning, når det er strengt nødvendigt for at støtte og styrke medlemsstaternes tiltag med henblik på at forebygge, opdage eller efterforske en konkret terrorhandling eller grov kriminalitet, for så vidt den pågældende handling eller kriminalitet er omfattet af Europols kompetence i henhold til afgørelse 2009/371/RIA. Den nævnte anmodning skal indeholde rimelige grunde, på baggrund af hvilke Europol finder, at videregivelsen af PNR-oplysninger eller resultatet af behandling af PNR-oplysninger i væsentlig grad vil bidrage til at forebygge, opdage eller efterforske den pågældende strafbare handling.
3. Europol underretter den databeskyttelsesansvarlige, som er udpeget i overensstemmelse med artikel 28 i afgørelse 2009/371/RIA, om alle udvekslinger af oplysninger i medfør af denne artikel.
4. Udvekslingen af oplysninger i medfør af denne artikel finder sted ved brug af SIENA og i overensstemmelse med afgørelse 2009/371/RIA. Det sprog, der anvendes i anmodningen og ved udvekslingen af oplysninger, skal være det, der kræves i forbindelse med SIENA.
1. En medlemsstat må kun videregive PNR-oplysninger og resultatet af behandling af sådanne oplysninger, der er lagret af passageroplysningsenheden i overensstemmelse med artikel 12, til et tredjeland fra sag til sag, og hvis:
a) betingelserne i artikel 13 i rammeafgørelse 2008/977/RIA er opfyldt
b) videregivelsen er nødvendig med henblik på de i artikel 1, stk. 2, omhandlede formål med dette direktiv
c) tredjelandet accepterer kun at videregive oplysningerne til et andet tredjeland, hvis det er strengt nødvendigt med henblik på de i artikel 1, stk. 2, omhandlede formål med dette direktiv, og udelukkende med denne medlemsstats udtrykkelige samtykke, og
d) de samme betingelser som dem, der er fastsat i artikel 9, stk. 2, er opfyldt.
2. Uanset artikel 13, stk. 2, i rammeafgørelse 2008/977/RIA tillades videregivelse af PNR-oplysninger uden forudgående samtykke fra den medlemsstat, fra hvem oplysningerne blev indhentet, under ekstraordinære omstændigheder, og forudsat at:
a) en sådan videregivelse er afgørende for at kunne reagere på en konkret og reel trussel i forbindelse med terrorhandlinger eller grov kriminalitet i en medlemsstat eller et tredjeland, og
b) forudgående samtykke ikke kan indhentes i tide.
Den myndighed, der er ansvarlig for at give sit samtykke, underrettes hurtigst muligt, og videregivelsen registreres behørigt og underkastes eventuelt en efterfølgende kontrol.
3. Medlemsstaterne må kun videregive PNR-oplysninger til kompetente myndigheder i tredjelande, hvis det sker på betingelser, der er forenelige med dette direktiv, og kun efter at have forvisset sig om, at modtagerne har til hensigt at anvende PNR-oplysningerne til formål, der er forenelige med disse betingelser og beskyttelsesforanstaltninger.
4. Den databeskyttelsesansvarlige i passageroplysningsenheden i den medlemsstat, som har videregivet PNR-oplysningerne, underrettes hver gang medlemsstaten videregiver PNR-oplysninger i medfør af denne artikel.
1. Medlemsstaterne sikrer, at PNR-oplysninger, som luftfartsselskaberne videregiver til passageroplysningsenheden, opbevares i en database hos passageroplysningsenheden i en periode på fem år efter videregivelsen til passageroplysningsenheden i den medlemsstat, på hvis område luftfartøjet lander eller afgår.
2. Ved udløbet af den i stk. 1 omhandlede seksmånedersperiode fra videregivelsen af PNR-oplysningerne, anonymiseres alle PNR-oplysninger ved hjælp af maskering af følgende dataelementer, der kan tjene til direkte at identificere de passagerer, som PNR-oplysningerne vedrører:
a) navn(e), herunder andre passagerers navne på passagerlisten og antal rejsende på passagerlisten, der rejser sammen
b) adresse og kontaktoplysninger
c) alle former for betalingsoplysninger, herunder faktureringsadresse, for så vidt de indeholder enhver form for oplysning, der kan tjene til direkte at identificere de passagerer, som passagerlisten vedrører, eller alle andre personer
d) oplysninger om bonusprogrammer
e) generelle bemærkninger, for så vidt de indeholder enhver form for oplysning, der kan tjene til direkte at identificere de passagerer, som passagerlisten vedrører, og
f) eventuelle API-oplysninger, der er blevet indsamlet.
3. Ved udløbet af den i stk. 2 omhandlede seksmånedersperiode må videregivelse af de fuldstændige PNR-oplysninger kun tillades, når det er:
a) antaget med rimelig grund, at det er nødvendigt med henblik på de i artikel 6, stk. 2, litra b), omhandlede formål, og
b) godkendt af:
i) en judiciel myndighed, eller
ii) en anden national myndighed, der i henhold til national ret er kompetent til at kontrollere, om betingelserne for videregivelse er opfyldt, på betingelse af at passageroplysningsenhedens databeskyttelsesansvarlige underrettes, og at denne databeskyttelsesansvarlige foretager en efterfølgende kontrol.
4. Medlemsstaterne sikrer, at PNR-oplysningerne slettes permanent efter udløbet af den i stk. 1 omhandlede periode. Denne forpligtelse berører ikke tilfælde, hvor der er videregivet konkrete PNR-oplysninger til en kompetent myndighed, og de anvendes i forbindelse med en konkret sag med henblik på at forebygge, opdage, efterforske eller retsforfølge terrorhandlinger eller grov kriminalitet, i hvilket tilfælde de kompetente myndigheders opbevaring af sådanne oplysninger reguleres af national ret.
5. Passageroplysningsenheden opbevarer kun det i artikel 6, stk. 2, litra a), omhandlede resultat af behandlingen, så længe det er nødvendigt for at underrette de kompetente myndigheder og, jf. artikel 9, stk. 1, andre medlemsstaters passageroplysningsenheder om et hit. Hvis resultatet af automatisk behandling efter en individuel og manuel gennemgang, jf. artikel 6, stk. 5, har vist sig ikke at give noget hit, kan det dog lagres for at undgå fremtidige »falske« hit, så længe de bagvedliggende oplysninger ikke er slettet i medfør af denne artikels stk. 4.
1. Hvad angår al behandling af personoplysninger i medfør af dette direktiv sørger hver medlemsstat for, at alle passagerer har den samme ret til beskyttelse af deres personoplysninger, ret til indsigt, berigtigelse, sletning og begrænsning samt ret til erstatning og klageadgang som fastsat i EU-retten og national ret samt i forbindelse med gennemførelsen af artikel 17, 18, 19 og 20 i rammeafgørelse 2008/977/RIA. De nævnte artikler finder derfor anvendelse.
2. Hver medlemsstat sørger for, at de bestemmelser i national ret, der er vedtaget med henblik på gennemførelsen af artikel 21 og 22 i rammeafgørelse 2008/977/RIA, om fortrolighed i forbindelse med databehandling og datasikkerhed også finder anvendelse på al behandling af personoplysninger i medfør af dette direktiv.
3. Dette direktiv berører ikke anvendelsen af Europa-Parlamentets og Rådets direktiv 95/46/EF med hensyn til luftfartsselskabers behandling af personoplysninger, navnlig deres pligt til at træffe passende tekniske og organisatoriske foranstaltninger for at beskytte personoplysningers sikkerhed og fortrolighed.
4. Medlemsstaterne forbyder behandling af PNR-oplysninger, der angiver en persons race eller etniske oprindelse, politiske anskuelser, religiøse eller filosofiske overbevisning, medlemskab af en fagforening, sundhed, seksualitet eller seksuelle orientering. Såfremt passageroplysningsenheden modtager PNR-oplysninger, der indeholder oplysninger herom, skal de straks slettes.
5. Medlemsstaterne sikrer, at passageroplysningsenhederne opbevarer dokumentation vedrørende alle behandlingssystemer og -procedurer, der anvendes under deres ansvar. Denne dokumentation skal mindst omfatte:
a) navn og kontaktoplysninger på organisationen og personalet i den passageroplysningsenhed, som behandler PNR-oplysningerne, og de forskellige niveauer af adgangstilladelse
b) anmodningerne indgivet af kompetente myndigheder og andre medlemsstaters passageroplysningsenheder
c) alle anmodninger om og videregivelser af PNR-oplysninger til et tredjeland.
Passageroplysningsenheden stiller efter anmodning al dokumentation til rådighed for den nationale tilsynsmyndighed.
6. Medlemsstaterne sikrer, at passageroplysningsenheden som minimum registrerer følgende behandlingsaktiviteter: indsamling, søgning, videregivelse og sletning. Ved registrering af søgning og videregivelse skal navnlig formålet med samt datoen og tidspunktet for sådanne aktiviteter og i videst muligt omfang identiteten af den person, som har søgt eller videregivet PNR-oplysninger, samt identiteten af modtagerne af disse oplysninger, fremgå af registreringen. Registreringerne må udelukkende anvendes til kontrol og egenkontrol, til at sikre dataintegriteten og datasikkerheden samt til revision. Passageroplysningsenheden stiller efter anmodning registrene til rådighed for den nationale tilsynsmyndighed.
Disse registreringer opbevares i en periode på fem år.
7. Medlemsstaterne sikrer, at deres passageroplysningsenhed gennemfører passende tekniske og organisatoriske foranstaltninger og procedurer for at sikre et højt sikkerhedsniveau i forhold til de risici, som behandlingen og arten af PNR-oplysningerne indebærer.
8. Medlemsstaterne sikrer, at hvis et brud på persondatasikkerheden kan forventes at medføre en høj risiko, for så vidt angår beskyttelsen af personoplysninger, eller negativt påvirke privatlivets fred for den registrerede, underretter passageroplysningsenheden den registrerede og den nationale tilsynsmyndighed om dette brud uden unødigt ophold.
Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af de nationale regler, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger for at sikre, at de gennemføres.
Medlemsstaterne fastsætter navnlig regler om sanktioner, herunder bødestraf, over for luftfartsselskaber, som ikke videregiver oplysninger som omhandlet i artikel 8 eller ikke gør det i det krævede format.
Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
1. Hver medlemsstat sørger for, at den nationale tilsynsmyndighed, der er omhandlet i artikel 25 i rammeafgørelse 2008/977/RIA, gøres ansvarlig for at rådgive om og føre tilsyn med anvendelsen på dens område af de bestemmelser, som medlemsstaterne har vedtaget i medfør af dette direktiv. Artikel 25 i rammeafgørelse 2008/977/RIA finder anvendelse.
2. Disse nationale tilsynsmyndigheder udfører deres aktiviteter, jf. stk. 1, med henblik på at beskytte grundlæggende rettigheder i forbindelse med behandlingen af personoplysninger.
3. Hver national tilsynsmyndighed:
a) behandler klager, der indgives af registrerede, undersøger sagen og underretter de registrerede om forløbet og resultatet af deres klager inden for en rimelig frist
b) kontrollerer lovligheden af databehandlingen, gennemfører undersøgelser, inspektioner og revisioner i overensstemmelse med national ret enten af egen drift eller på grundlag af en i litra a) omhandlet klage.
4. Hver nationale tilsynsmyndighed rådgiver efter anmodning alle registrerede om udøvelsen af de rettigheder, som fastsættes i bestemmelser, der vedtages i medfør af dette direktiv.
1. Luftfartsselskabernes videregivelse af PNR-oplysninger til passageroplysningsenheder med henblik på dette direktiv skal foregå ved brug af elektroniske midler, som giver tilstrækkelige garantier med hensyn til de tekniske sikkerhedsforanstaltninger og organisatoriske foranstaltninger, der regulerer den behandling, der skal udføres. I tilfælde af et teknisk problem kan PNR-oplysninger videregives ved brug af et hvilket som helst andet hensigtsmæssigt middel, forudsat at det samme sikkerhedsniveau opretholdes og EU-retten vedrørende databeskyttelse fuldt ud overholdes.
2. Fra ét år efter den dato, hvor Kommissionen første gang vedtager fælles protokoller og understøttede dataformater i overensstemmelse med stk. 3, skal al videregivelse af PNR-oplysninger fra luftfartsselskaberne til passageroplysningsenhederne med henblik på dette direktiv foregå elektronisk ved brug af sikre metoder, der er i overensstemmelse med disse fælles protokoller. Sådanne protokoller skal være fælles for alle videregivelser for at sikre sikkerheden for PNR-oplysningerne under videregivelsen. PNR-oplysningerne skal videregives i et understøttet dataformat for at sikre, at alle involverede parter kan læse dem. Alle luftfartsselskaber er forpligtede til at vælge og over for passageroplysningsenheden identificere den fælles protokol og det fælles dataformat, som de har til hensigt at anvende til deres videregivelser.
3. Der udarbejdes en liste over fælles protokoller og understøttede dataformater, som om nødvendigt tilpasses af Kommissionen ved hjælp af gennemførelsesretsakter. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren i artikel 17, stk. 2.
4. Stk. 1 anvendes, så længe de fælles protokoller og understøttede dataformater, jf. stk. 2 og 3, ikke foreligger.
5. Inden et år efter datoen for vedtagelsen af de i stk. 2 omhandlede fælles protokoller og understøttede dataformater sikrer hver medlemsstat, at de nødvendige tekniske foranstaltninger træffes, så disse fælles protokoller og dataformater kan anvendes.
1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse.
Afgiver udvalget ikke nogen udtalelse, vedtager Kommissionen ikke udkastet til gennemførelsesretsakt, og artikel 5, stk. 4, tredje afsnit, i forordning (EU) nr. 182/2011 finder anvendelse.
1. Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest den 25. maj 2018. De underretter straks Kommissionen herom.
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. Medlemsstaterne fastsætter de nærmere regler for henvisningen.
2. Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.
1. På grundlag af de oplysninger, som medlemsstaterne fremlægger, herunder de i artikel 20, stk. 2, omhandlede statistiske oplysninger, foretager Kommissionen senest den 25. maj 2020 en revision af alle elementerne af dette direktiv og forelægger og præsenterer en rapport for Europa-Parlamentet og for Rådet.
2. I sin revision skal Kommissionen have særlig fokus på:
a) overholdelse af de gældende standarder for beskyttelse af personoplysninger
b) nødvendigheden og proportionaliteten af at indsamle og behandle PNR-oplysninger for hvert af de mål, der er fastsat i dette direktiv
c) længden af dataopbevaringsperioden
d) effektiviteten af udveksling af oplysninger mellem medlemsstaterne, og
e) kvaliteten af vurderingerne, herunder med hensyn til de statistiske oplysninger, der indsamles i medfør af artikel 20.
3. Den i stk. 1 omhandlede rapport skal også indeholde en revision af nødvendigheden, proportionaliteten og effektiviteten af at inkludere den obligatoriske indsamling og videregivelse af PNR-oplysninger vedrørende alle eller udvalgte flyvninger inden for EU inden for dette direktivs anvendelsesområde. Kommissionen tager hensyn til erfaringerne i medlemsstaterne, særlig de medlemsstater, der anvender dette direktiv på flyvninger inden for EU i overensstemmelse med artikel 2. I rapporten behandles også nødvendigheden af at inkludere erhvervsdrivende, der ikke er luftfartsselskaber, f.eks. rejsebureauer og rejsearrangører, der leverer rejserelaterede tjenester, herunder reservation af flyvninger, inden for dette direktivs anvendelsesområde.
4. I lyset af den revision, der er gennemført i medfør af denne artikel, forelægger Kommissionen, hvis det er relevant, Europa-Parlamentet og Rådet et forslag til en lovgivningsmæssig retsakt med henblik på ændring af dette direktiv.
1. Medlemsstaterne forelægger årligt Kommissionen et sæt statistiske data om de PNR-oplysninger, der er sendt til passageroplysningsenhederne. Disse statistikker må ikke indeholde nogen personoplysninger.
2. Statistikkerne skal som minimum indeholde:
a) det samlede antal passagerer, hvis PNR-oplysninger er blevet indsamlet og udvekslet
b) antallet af passagerer, der er udpeget til yderligere undersøgelse.
1. Medlemsstaterne kan fortsat anvende bilaterale og multilaterale aftaler eller indbyrdes ordninger om udveksling af oplysninger mellem kompetente myndigheder, der er gældende den 24. maj 2016, for så vidt disse aftaler eller ordninger er forenelige med direktivet.
2. Dette direktiv berører ikke anvendelsen af direktiv 95/46/EF, for så vidt angår luftfartsselskabers behandling af personoplysninger.
3. Dette direktiv berører ikke medlemsstaternes eller Unionens forpligtelser og tilsagn i henhold til bilaterale eller multilaterale aftaler med tredjelande.
Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Dette direktiv er rettet til medlemsstaterne i overensstemmelse med traktaterne.
Udfærdiget i Bruxelles, den 27. april 2016.
EUT C 218 af 23.7.2011, s. 107.
Europa-Parlamentets holdning af 14.4.2016 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 21.4.2016.
Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (EUT L 261 af 6.8.2004, s. 24).
Rådets rammeafgørelse 2002/475/RIA af 13. juni 2002 om bekæmpelse af terrorisme (EFT L 164 af 22.6.2002, s. 3).
Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
Rådets afgørelse 2009/371/RIA af 6. april 2009 om oprettelse af Den Europæiske Politienhed (Europol) (EUT L 121 af 15.5.2009, s. 37).
Rådets rammeafgørelse 2006/960/RIA af 18. december 2006 om forenkling af udvekslingen af oplysninger og efterretninger mellem medlemsstaternes retshåndhævende myndigheder (EUT L 386 af 29.12.2006, s. 89).
Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT L 350 af 30.12.2008, s. 60).
Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8 af 12.1.2001, s. 1).
Europa-Parlamentets og Rådets direktiv 2004/38/EF af 29. april 2004 om unionsborgeres og deres familiemedlemmers ret til at færdes og opholde sig frit på medlemsstaternes område, om ændring af forordning (EØF) nr. 1612/68 og om ophævelse af direktiv 64/221/EØF, 68/360/EØF, 72/194/EØF, 73/148/EØF, 75/34/EØF, 75/35/EØF, 90/364/EØF, 90/365/EØF og 93/96/EØF (EUT L 158 af 30.4.2004, s. 77).
Europa-Parlamentets og Rådets forordning (EF) nr. 562/2006 af 15. marts 2006 om indførelse af en fællesskabskodeks for personers grænsepassage (Schengen-grænsekodeks) (EUT L 105 af 13.4.2006, s. 1).
Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31).
1. PNR-nummer
2. Dato for reservation/udstedelse af billet
3. Planlagt(e) rejsedato(er)
4. Navn(e)
5. Adresse og kontaktoplysninger (telefonnummer, e-mailadresse)
6. Alle former for oplysninger om betalingsformer, herunder faktureringsadresse
7. Fuldstændig rejseplan for en konkret passagerliste
8. Oplysninger om bonusprogrammer
9. Rejsebureau/rejseagent
10. Rejsestatus for passagerer, herunder bekræftelser, indtjekningsstatus, oplysninger om »no-show« og »go-show«
11. Opsplittede/opdelte PNR-oplysninger
12. Generelle bemærkninger (herunder alle tilgængelige oplysninger om uledsagede mindreårige under 18 år, såsom den mindreåriges navn og køn, alder og talt(e) sprog, navnet på og kontaktoplysninger for den ansvarlige person ved afrejsen og dennes forhold til den mindreårige, navnet på og kontaktoplysninger for den ansvarlige person ved ankomsten og dennes forhold til barnet, lufthavnsmedarbejder ved afgang og ankomst)
13. Oplysninger i billetrubrikken, herunder billetnummer, dato for udstedelse af billetten og enkeltbilletter, automatisk billetprisangivelse (»automated ticket fare quote«)
14. Pladsnummer og andre pladsoplysninger
15. Oplysninger om fælles rutenummer (»code sharing«)
16. Alle bagageoplysninger
17. Antal medrejsende og disses navne på passagerlisten
18. Eventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger) (herunder typen, nummeret, udstedelseslandet og udløbsdatoen for ethvert identitetsdokument, nationalitet, efternavn, fornavn, køn, fødselsdato, luftfartsselskab, rutenummer, afgangsdato, ankomstdato, afgangslufthavn, ankomstlufthavn, afgangstidspunkt og ankomsttidspunkt)
19. Alle historiske ændringer af passagerlisten vedrørende punkt 1-18.
1. Deltagelse i en kriminel organisation
2. Menneskehandel
3. Seksuel udnyttelse af børn og børnepornografi
4. Ulovlig handel med narkotika og psykotrope stoffer
5. Ulovlig handel med våben, ammunition og sprængstoffer
6. Bestikkelse
7. Svig, herunder rettet mod Unionens finansielle interesser
8. Hvidvaskning af udbyttet fra strafbart forhold og falskmøntneri, herunder forfalskning af euroen
9. IT-kriminalitet/cyberkriminalitet
10. Miljøkriminalitet, herunder ulovlig handel med truede dyrearter og ulovlig handel med truede plantearter og træsorter
11. Menneskesmugling
12. Forsætlig manddrab, grov legemsbeskadigelse
13. Ulovlig handel med menneskeorganer og -væv
14. Bortførelse, frihedsberøvelse og gidseltagning
15. Organiseret eller væbnet røveri
16. Ulovlig handel med kulturgoder, herunder antikviteter og kunstgenstande
17. Efterligninger og fremstilling af piratudgaver af produkter
18. Forfalskning af officielle dokumenter og ulovlig handel med falske dokumenter
19. Ulovlig handel med hormonpræparater og andre vækstfremmende stoffer
20. Ulovlig handel med nukleare eller radioaktive materialer
21. Voldtægt
22. Strafbare handlinger omfattet af Den Internationale Straffedomstols straffemyndighed
23. Skibs- eller flykapring
24. Sabotage
25. Handel med stjålne motorkøretøjer
26. Industrispionage.