Aanhef

Op 6 november 2007 keurde de Commissie een voorstel goed voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor rechtshandhavingsdoeleinden. Door de inwerkingtreding van het Verdrag van Lissabon op 1 december 2009 is het voorstel van de Commissie, dat op dat moment nog niet door de Raad was goedgekeurd, evenwel achterhaald.

In ‘Het programma van Stockholm — Een open en veilig Europa ten dienste en ter bescherming van de burger’ (3) wordt de Commissie opgeroepen een maatregel betreffende het gebruik van PNR-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terrorisme en ernstige criminaliteit voor te stellen.

In haar mededeling van 21 september 2010 over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record — PNR) aan derde landen heeft de Commissie een aantal kernelementen van een Uniebeleid op dit gebied uiteengezet.

Richtlijn 2004/82/EG van de Raad (4) regelt de verstrekking vooraf van passagiersgegevens (advance passenger information data — API-gegevens) door luchtvaartmaatschappijen aan de bevoegde nationale instanties, ter verbetering van de grenscontroles en ter bestrijding van illegale immigratie.

Doelstellingen van deze richtlijn zijn onder meer de veiligheid te waarborgen, het leven en de veiligheid van personen te beschermen, en een wettelijk kader te scheppen voor de bescherming van PNR-gegevens bij de verwerking door bevoegde autoriteiten.

Een doeltreffend gebruik van PNR-gegevens, onder meer door PNR-gegevens te vergelijken met diverse databanken van gezochte personen en voorwerpen, is noodzakelijk om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen en zo de interne veiligheid te bevorderen, databanken om bewijsmateriaal te verzamelen en in voorkomend geval medeplichtigen van criminelen op te sporen en criminele netwerken op te rollen.

Dankzij de analyse van PNR-gegevens kunnen personen worden geïdentificeerd die, voordat een dergelijke analyse werd verricht, niet van terroristische misdrijven of ernstige criminaliteit verdacht werden, en naar wie de bevoegde instanties nader onderzoek moeten verrichten. Door PNR-gegevens te gebruiken kan het gevaar van terroristische misdrijven en ernstige criminaliteit vanuit een andere invalshoek worden aangepakt dan bij de verwerking van andere categorieën persoonsgegevens het geval is. Om echter ervoor te zorgen dat de verwerking van PNR-gegevens beperkt blijft tot het noodzakelijke, dient de vaststelling en toepassing van beoordelingscriteria te worden beperkt tot terroristische misdrijven en ernstige criminaliteit waarvoor het gebruik van dergelijke criteria relevant is. Bovendien moeten de beoordelingscriteria zo worden opgesteld dat het systeem zo weinig mogelijk onschuldige personen aanduidt.

Luchtvaartmaatschappijen verzamelen en verwerken PNR-gegevens van hun passagiers reeds voor hun eigen commerciële doeleinden. Deze richtlijn mag niet voorschrijven dat de luchtvaartmaatschappijen ertoe worden verplicht aanvullende gegevens bij passagiers te verzamelen of deze te bewaren, en evenmin dat passagiers ertoe worden verplicht nog meer gegevens aan de luchtvaartmaatschappijen te verstrekken dan thans het geval is.

Sommige luchtvaartmaatschappijen bewaren de API-gegevens die zij verzamelen als onderdeel van de PNR-gegevens, andere niet. Het gecombineerde gebruik van PNR- en API-gegevens biedt meerwaarde doordat het de lidstaten helpt bij de identiteitscontrole van personen, waardoor uit het oogpunt van rechtshandhaving dat resultaat aan waarde wint, en het risico wordt beperkt dat onschuldige personen het voorwerp uitmaken van controle en onderzoek. Daarom moet er beslist voor worden gezorgd dat luchtvaartmaatschappijen die API-gegevens verzamelen, deze doorgeven, ongeacht of zij API-gegevens bewaren door middel van andere technische middelen dan voor PNR-gegevens.

Om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen is het is van essentieel belang dat alle lidstaten voorschriften vaststellen waarbij luchtvaartmaatschappijen die vluchten van of naar derde landen uitvoeren worden verplicht PNR-gegevens, met inbegrip van API-gegevens, die zij verzamelen, door te geven. De lidstaten moeten ook de mogelijkheid hebben deze verplichting uit te breiden naar luchtvaartmaatschappijen die vluchten binnen de Unie uitvoeren. Deze voorschriften laten Richtlijn 2004/82/EG onverlet.

De verwerking van persoonsgegevens moet evenredig zijn aan de specifieke veiligheidsdoelen die met deze richtlijn worden nagestreefd.

In deze richtlijn moet het begrip terroristische misdrijven worden gedefinieerd zoals in Kaderbesluit 2002/475/JBZ van de Raad (5). De definitie van ernstige criminaliteit dient de categorieën misdrijven die zijn vermeld in bijlage II bij deze richtlijn te omvatten.

De PNR-gegevens dienen te worden doorgegeven aan één enkele aangewezen passagiersinformatie-eenheid (‘PIE’) in de betrokken lidstaat, ter wille van de duidelijkheid en omdat dit minder kosten meebrengt voor de luchtvaartmaatschappijen. De PIE kan in een lidstaat op verschillende plaatsen gevestigd zijn, en ook mogen lidstaten gezamenlijk één PIE oprichten. De lidstaten moeten de informatie via geëigende informatie-uitwisselingsnetwerken met elkaar delen om informatie-uitwisseling en interoperabiliteit te faciliteren.

De kosten voor het gebruiken, bewaren en uitwisselen van PNR-gegevens dienen gedragen te worden door de lidstaten.

Een lijst van de PNR-gegevens die door een PIE worden verkregen, dient zo te worden opgesteld dat wordt tegemoetgekomen aan de legitieme behoeften van de overheid in verband met het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en dat aldus de interne veiligheid van de EU wordt bevorderd, en dient anderzijds de bescherming van de grondrechten, en met name het recht op eerbiediging van de persoonlijke levenssfeer en op bescherming van persoonsgegevens, te waarborgen. Daartoe moeten hoge normen worden toegepast in overeenstemming met het Handvest van de grondrechten van de Europese Unie (het ‘Handvest’), het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (‘Verdrag nr. 108’) en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (‘EVRM’). Dergelijke lijst mag niet uitgaan van ras of etnische oorsprong, godsdienstige of levensbeschouwelijke overtuiging, politieke of andere opvattingen, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid. De PNR-gegevens dienen uitsluitend details over de reserveringen en de reisroutes van de passagier te bevatten die de bevoegde instanties in staat stellen te bepalen welke vliegtuigpassagiers een risico voor de interne veiligheid vormen.

Er zijn momenteel twee mogelijke methoden voor gegevensdoorgifte beschikbaar: de ‘pull-methode’, waarbij de bevoegde instanties van de lidstaat die de PNR-gegevens opvraagt, toegang krijgen tot het reserveringssysteem van de luchtvaartmaatschappij en uit het systeem een kopie van de benodigde PNR-gegevens kunnen halen (‘pull’), en de ‘push-methode’, waarbij de luchtvaartmaatschappijen de benodigde PNR-gegevens aan de verzoekende instantie doorgeven (‘push’) en de luchtvaartmaatschappijen dus controle behouden over de gegevens die worden verstrekt. De algemene opvatting is dat de ‘push-methode’ een hogere mate van gegevensbescherming biedt, en deze methode dient dan ook voor alle luchtvaartmaatschappijen verplicht te worden gesteld.

De Commissie steunt de richtsnoeren inzake PNR-gegevens van de Internationale Burgerluchtvaartorganisatie (ICAO). Deze richtsnoeren dienen dan ook de grondslag te zijn bij het vaststellen van de ondersteunde dataformaten voor de doorgifte van PNR-gegevens door luchtvaartmaatschappijen aan de lidstaten. Om eenvormige voorwaarden te waarborgen voor de invoering van ondersteunde dataformaten en van relevante protocollen voor de doorgifte van gegevens van luchtvaartmaatschappijen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (6).

De lidstaten dienen alle nodige maatregelen te nemen om luchtvaartmaatschappijen in staat te stellen hun uit deze richtlijn voortvloeiende verplichtingen na te komen. Ten aanzien van luchtvaartmaatschappijen die niet voldoen aan hun verplichtingen inzake de doorgifte van PNR-gegevens dienen de lidstaten te voorzien in doeltreffende, evenredige en afschrikkende sancties, met inbegrip van geldboetes.

Iedere lidstaat dient zelf de mogelijke dreigingen op het gebied van terroristische misdrijven en ernstige criminaliteit te beoordelen.

Gelet op het recht op bescherming van persoonsgegevens en het discriminatieverbod mag een beslissing die voor de betrokkene nadelige rechtsgevolgen of andere ingrijpende gevolgen heeft, niet uitsluitend berusten op automatisch verwerkte PNR-gegevens. Gelet op de artikelen 8 en 21 van het Handvest mag een dergelijke beslissing bovendien geen enkele vorm van discriminatie inhouden, zoals op grond van geslacht, ras, huidskleur, etnische of sociale afkomst, genetische kenmerken, taal, godsdienst of overtuiging, politieke of andere opvattingen, het behoren tot een nationale minderheid, vermogen, geboorte, een handicap, leeftijd of seksuele geaardheid. De Commissie moet deze beginselen ook in aanmerking nemen wanneer zij de toepassing van deze richtlijn evalueert.

Het verwerkingsresultaat van PNR-gegevens mag in geen geval door de lidstaten worden aangewend als reden om hun internationale verplichtingen uit hoofde van het Verdrag van 28 juli 1951 betreffende de status van vluchtelingen als gewijzigd bij het protocol van 31 januari 1967 te omzeilen, noch mag het worden gebruikt om asielzoekers die hun recht op internationale bescherming willen uitoefenen, de toegang tot veilige en doeltreffende legale wegen naar het grondgebied van de Unie te ontzeggen.

Gelet op de in recente relevante rechtspraak van het Hof van Justitie van de Europese Unie uiteengezette beginselen moet bij de toepassing van deze richtlijn worden gezorgd voor volledige eerbiediging van de grondrechten, het recht op bescherming van de persoonlijke levenssfeer en het evenredigheidsbeginsel. Tevens moet erop worden toegezien dat de maatregelen werkelijk noodzakelijk en proportioneel zijn met het oog op het door de Unie erkende algemeen belang en noodzakelijk zijn om de rechten en vrijheden van anderen bij de bestrijding van terroristische misdrijven en ernstige criminaliteit te beschermen. De toepassing van deze richtlijn moet naar behoren worden gemotiveerd en er moet worden voorzien in de nodige waarborgen om de rechtmatigheid van de opslag, analyse, doorgifte of het gebruik van de PNR-gegevens te garanderen.

De lidstaten dienen de PNR-gegevens die zij ontvangen met elkaar en met Europol uit te wisselen, indien dat nodig wordt geacht voor het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit. De PIE's dienen het verwerkingsresultaat van PNR-gegevens in voorkomend geval onverwijld voor nader onderzoek aan de PIE's van andere lidstaten door te zenden. De bepalingen van deze richtlijn mogen geen afbreuk doen aan andere instrumenten van de Unie betreffende informatie-uitwisseling tussen politiële en andere rechtshandhavingsinstanties en justitiële autoriteiten, zoals Besluit 2009/371/JBZ van de Raad (7) en Kaderbesluit 2006/960/JBZ van de Raad (8). Voor deze uitwisseling van PNR-gegevens dienen de voorschriften inzake justitiële en politiële samenwerking te gelden en deze uitwisseling mag het hoge niveau van bescherming van het privéleven en van persoonsgegevens dat wordt voorgeschreven door het Handvest, Verdrag nr. 108 en het EVRM niet ondermijnen.

Er moet worden gezorgd voor een veilige uitwisseling tussen de lidstaten van informatie aangaande PNR-gegevens door gebruik te maken van de bestaande kanalen voor samenwerking tussen de bevoegde instanties van de lidstaten, en met name met Europol via de applicatie voor veilige informatie-uitwisseling (Secure Information Exchange Network Application — SIENA) van Europol.

De bewaartermijn voor PNR-gegevens dient zo lang te zijn als noodzakelijk is voor en evenredig te zijn aan de doelstellingen, namelijk het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Gezien de aard van de gegevens en het gebruik ervan dienen de PNR-gegevens lang genoeg te worden bewaard om er een analyse mee te kunnen uitvoeren en ze bij onderzoek te kunnen gebruiken. Ter voorkoming van onevenredig gebruik dienen de gegevens na de initiële bewaartermijn door afscherming van gegevenselementen te worden gedepersonaliseerd. Om te zorgen voor het hoogste niveau van gegevensbescherming, dient toegang tot de volledige PNR-gegevens, waarmee de betrokkene rechtstreeks kan worden geïdentificeerd, uitsluitend onder zeer strikte en restrictieve voorwaarden te worden toegestaan na die initiële bewaartermijn.

Het bewaren door de bevoegde instantie van specifieke PNR-gegevens die haar zijn doorgegeven en in het kader van strafrechtelijk onderzoek of strafvervolging worden gebruikt, dient te worden geregeld bij het nationale recht, ongeacht de in deze richtlijn vastgestelde gegevensbewaartermijnen.

Voor de verwerking van PNR-gegevens in elke lidstaat door de PIE en de bevoegde instanties dient een nationaalrechtelijke norm voor persoonsgegevensbescherming te gelden die in overeenstemming is met Kaderbesluit 2008/977/JBZ van de Raad (9), en de specifieke gegevensbeschermingsvoorschriften van deze richtlijn. Verwijzingen naar Kaderbesluit 2008/977/JHA dienen te worden gelezen als verwijzingen naar de momenteel geldende wetgeving en naar mogelijke toekomstige vervangende wetgeving daarvoor.

Gelet op het recht op de bescherming van persoonsgegevens, dienen de rechten van de betrokkenen wat betreft de verwerking van hun PNR-gegevens, zoals het recht op toegang, rectificatie en wissen, het recht van beperking, het recht op schadevergoeding en het recht op het aanwenden van rechtsmiddelen, in lijn te zijn met Kaderbesluit 2008/977/JBZ, en met het hoge niveau van bescherming dat geboden wordt door het Handvest en het EVRM.

Aangezien passagiers het recht hebben te worden geïnformeerd over de verwerking van hun persoonsgegevens, dienen de lidstaten ervoor te zorgen dat passagiers juiste, gemakkelijk toegankelijke en begrijpelijke informatie wordt verstrekt over de verzameling van PNR-gegevens, de doorgifte daarvan aan de PIE en over hun rechten als betrokkene.

Deze richtlijn laat het Unierecht en het nationale recht inzake het beginsel van de toegang van het publiek tot officiële documenten onverlet.

Doorgifte van PNR-gegevens door een lidstaat aan een derde land dient uitsluitend per geval te worden toegestaan, met volledige inachtneming van de door de lidstaten overeenkomstig Kaderbesluit 2008/977/JBZ vastgestelde bepalingen. Om de bescherming van persoonsgegevens te waarborgen, dient een dergelijke doorgifte onderworpen te zijn aan aanvullende voorwaarden betreffende het doel van de doorgifte. Deze doorgifte dient ook onderworpen te zijn aan de beginselen van noodzakelijkheid en evenredigheid en het hoge niveau van bescherming dat wordt geboden door het Handvest en door het EVRM.

De nationale toezichthoudende autoriteit die is opgericht krachtens Kaderbesluit 2008/977/JBZ dient er tevens mee te worden belast advies te geven over en toezicht te houden op de toepassing van de bepalingen die door de lidstaten in overeenstemming met deze richtlijn worden vastgesteld.

Deze richtlijn laat onverlet dat de lidstaten krachtens hun nationaal recht een systeem kunnen opzetten voor het verzamelen en verwerken van PNR-gegevens van marktdeelnemers die geen luchtvaartmaatschappij zijn, zoals reisbureaus en touroperators die diensten in verband met reizen aanbieden, met inbegrip van het boeken van vluchten, waarvoor zij PNR-gegevens verzamelen en verwerken, of van andere vervoerders dan de in deze richtlijn bepaalde, mits dit nationale recht in overeenstemming is met het recht van de Unie.

Deze richtlijn laat bestaande Unieregels betreffende de uitvoering van grenscontroles, evenals Unieregels betreffende binnenkomst in en vertrek van het grondgebied van de Unie, onverlet.

Als gevolg van de juridische en technische verschillen tussen de nationale bepalingen inzake de verwerking van persoonsgegevens, met inbegrip van PNR-gegevens, hebben de luchtvaartmaatschappijen te maken met verschillende eisen ten aanzien van de te verstrekken soorten informatie, evenals met verschillende voorwaarden waaronder deze informatie aan de bevoegde nationale instanties moet worden verstrekt. Die verschillen kunnen een belemmering zijn voor de effectieve samenwerking tussen de bevoegde nationale instanties voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit. Het is derhalve noodzakelijk op het niveau van de Unie een gemeenschappelijk rechtskader vast te stellen voor de doorgifte en de verwerking van PNR-gegevens.

Deze richtlijn is in overeenstemming met de grondrechten en beginselen uit het Handvest, in het bijzonder het recht op bescherming van persoonsgegevens, het recht op eerbiediging van het privéleven en het recht op non-discriminatie, zoals deze worden beschermd door de artikelen 7, 8 en 21 ervan; zij dient dan ook dienovereenkomstig te worden uitgevoerd. Deze richtlijn is verenigbaar met de beginselen inzake gegevensbescherming en de bepalingen ervan zijn in overeenstemming met Kaderbesluit 2008/977/JBZ. Om voorts te voldoen aan het evenredigheidsbeginsel voorziet deze richtlijn op bepaalde punten in strengere gegevensbeschermingsregels dan Kaderbesluit 2008/977/JBZ.

Het toepassingsgebied van deze richtlijn is zo beperkt mogelijk, aangezien zij bepaalt dat de PNR-gegevens in de PIE's niet langer dan vijf jaar mogen worden bewaard, waarna zij moeten worden gewist; dat gegevens na een initiële termijn van zes maanden door afscherming van gegevenselementen dienen te worden gedepersonaliseerd; en dat het verboden is gevoelige gegevens te verzamelen en gebruiken. Om efficiëntie en een hoog niveau van gegevensbescherming te waarborgen, dienen de lidstaten een onafhankelijke, nationale toezichthoudende autoriteit, alsmede in het bijzonder een functionaris voor gegevensbescherming, te belasten met het adviseren over en het toezicht op de wijze van verwerking van PNR-gegevens. Iedere verwerking van PNR-gegevens dient te worden geregistreerd of gedocumenteerd, zodat de rechtmatigheid ervan kan worden gecontroleerd, interne controle kan worden uitgeoefend en de integriteit van de gegevens en een beveiligde verwerking kunnen worden gewaarborgd. De lidstaten moeten er ook zorg voor dragen dat passagiers duidelijk en nauwkeurig worden geïnformeerd over het verzamelen van PNR-gegevens en over hun rechten.

Aangezien de doelstellingen van deze richtlijn, namelijk de doorgifte door luchtvaartmaatschappijen van PNR-gegevens en de verwerking daarvan voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar beter kunnen worden verwezenlijkt op het niveau van de Unie, kan de Unie maatregelen nemen, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel. Overeenkomstig het in dat artikel 5 neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om deze doelstellingen te verwezenlijken.

Overeenkomstig artikel 3 van het Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, hebben deze lidstaten kennis gegeven van hun wens deel te nemen aan de vaststelling en toepassing van deze richtlijn.

Overeenkomstig de artikelen 1 en 2 van het Protocol nr. 22 betreffende de positie van Denemarken, dat is gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, neemt Denemarken niet deel aan de vaststelling van deze richtlijn en is het hierdoor niet gebonden, noch onderworpen aan de toepassing ervan.

Overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (10) is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 25 maart 2011 heeft hij een advies uitgebracht,