lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Giovanni Pitruzzella föredraget den 27 januari 2022

CELEX
62019CC0817
Typ
EU-domstolen

Källa

1 Originalspråk: franska.

2 EUT L 119, 2016, s. 1.

3 EUT L 119, 2016, s. 132, och rättelse i EUT L 313, 2016, s. 59.

4 EUT L 261, 2004, s. 24.

5 Moniteur belge av den 25 januari 2017, s. 12905.

6 Enligt artikel 3 led 2 i PNR-direktivet avses med flygning utanför EU varje reguljär eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från ett tredjeland och planerad landning på en medlemsstats territorium eller flygning från en medlemsstats territorium med planerad landning i ett tredjeland, i båda fallen inklusive eventuella mellanlandningar på territorier i medlemsstater eller tredjeländer.

7 Enligt artikel 3 led 3 i PNR-direktivet avses med en flygning inom EU varje reguljär eller icke-reguljär flygning som utförs av ett lufttrafikföretag, med avgång från en medlemsstats territorium och planerad landning på en eller flera andra medlemsstaters territorium, utan eventuella mellanlandningar på tredjeländers territorier.

8 I artikel 7.1 i PNR-direktivet föreskrivs att varje medlemsstat ska fastställa en förteckning över de behöriga myndigheter som har befogenhet att begära eller motta PNR-uppgifter eller resultat av behandlingen av dessa uppgifter från enheten för passagerarinformation för vidare granskning av informationen eller för att vidta lämpliga åtgärder för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott eller grov brottslighet. Denna förteckning offentliggjordes av kommissionen år 2018 (EUT C 194, 2018, s. 1, och rättelse i EUT C 366, 2020, s. 55).

9 Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 2008, s. 60).

10 EUT L 119, 2016, s. 89. Artikel 25 i rambeslut 2008/977/RIF har ersatts av artikel 41 i polisdirektivet.

11 Se artikel 15.2 i PNR-direktivet.

12 Se artikel 15.3 a och b i PNR-direktivet.

13 Europaparlamentets och rådets direktiv 2010/65/EU av den 20 oktober 2010 om rapporteringsformaliteter för fartyg som ankommer till och/eller avgår från hamnar i medlemsstaterna och om upphävande av direktiv 2002/6/EG (EUT L 283, 2010, s. 1).

14 Moniteur belge av den 18 december 1998, s. 40312.

15 C‑203/15 och C‑698/15, nedan kallad domen Tele2 Sverige, EU:C:2016:970.

16 Nedan kallat yttrande 1/15, EU:C:2017:592.

17 Se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 61).

18 I artikel 2.1 i dataskyddsförordningen föreskrivs att [d]enna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

19 Se dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkt 84), och dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 62).

20 Se, för ett liknande resonemang, dom av den 6 oktober 2020, Privacy International (C‑623/17, nedan kallad domen Privacy International, EU:C:2020:790, punkt 41 och där angiven rättspraxis). Enligt artikel 4 led 2 i dataskyddsförordningen avses med behandling en åtgärd … beträffande personuppgifter eller uppsättningar av personuppgifter … såsom … utlämning genom överföring ….

21 Se, för ett liknande resonemang, dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 69). Enligt artikel 3 led 7 a och b i polisdirektivet avses med behörig myndighet a) en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten, eller b) annat organ eller annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för samma syften.

22 Det finns inte något som tyder på detta i beslutet om hänskjutande.

23 En sådan aktör kan inte heller betecknas som personuppgiftsbiträde i den mening som avses i artikel 4 led 8 i dataskyddsförordningen eller artikel 3 led 9 i polisdirektivet, då det snarare är fråga om personuppgiftsansvarig i den mening som avses i artikel 4 led 7 andra meningen i dataskyddsförordningen. Enligt artikel 4 led 8 i dataskyddsförordningen och artikel 3 led 9 i polisdirektivet, vilka har samma lydelse, avses med personuppgiftsbiträde en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Enligt artikel 4 led 7 första meningen i dataskyddsförordningen avses med personuppgiftsansvarig en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som … bestämmer ändamålen och medlen för behandlingen av personuppgifter. I den andra meningen av denna bestämmelse anges att om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt.

24 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31). Det direktivet har upphävts och ersatts av dataskyddsförordningen, se artikel 94 i förordningen.

25 C‑317/04 och C‑318/04, nedan kallad domen parlamentet/rådet, EU:C:2006:346. I de mål som avgjordes genom den domen hade parlamentet yrkat att domstolen skulle dels ogiltigförklara rådets beslut 2004/496/EG av den 17 maj 2004 om ingående av ett avtal mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security (EUT L 183, 2004, s. 83, och rättelse i EUT L 255, 2005, s. 168), dels ogiltigförklara kommissionens beslut 2004/535/EG av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet (EUT L 235, 2004, s. 11).

26 Enligt artikel 3.2 första strecksatsen i direktiv 95/46 gällde detta direktiv inte för sådan behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område (min kursivering).

27 Beträffande domstolens teleologiska tolkning och kontextuella tolkning i domen parlamentet/rådet, se förslag till avgörande av generaladvokaten Campos Sánchez-Bordona i de förenade målen La Quadrature du Net m.fl. ( C‑511/18 och C‑512/18, EU:C:2020:6, punkterna 47 och 62).

28 C‑511/18, C‑512/18 och C‑520/18, nedan kallad domen La Quadrature du Net, EU:C:2020:791.

29 Se domen La Quadrature du Net, punkterna 100–102.

30 Se, för ett liknande resonemang, domen Privacy International, punkt 47.

31 C‑207/16, nedan kallad domen Ministerio Fiscal, EU:C:2018:788, punkt 34.

32 Se, analogt, domen Tele2 Sverige, punkterna 72–74, och domen Ministerio fiscal, punkt 34. Dessa domar avsåg tolkningen av artikel 15.1 första meningen i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), som föreskriver en motsvarande begränsningsklausul som den som finns i artikel 23.1 a–d i dataskyddsförordningen.

33 En hänvisning till artikel 15.1 i direktiv 2002/58 var motiverad såvitt gäller detta direktiv, med hänsyn till lydelsen i den undantagsklausul som föreskrivs i artikel 1.3 i direktivet, som allmänt hänvisar till statens verksamhet på straffrättens område.

34 Se, analogt, domen Privacy International, punkterna 38 och 39.

35 Det rör sig om sådan behandling som regleras av kapitlen 7–10 och 12 i PNR-lagen.

36 Se, för ett liknande resonemang, domen La Quadrature du Net, punkt 103, och domen Privacy International, punkt 48.

37 Se, bland annat, domen La Quadrature du Net.

38 Se dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504, punkt 66).

39 Se dom av den 22 juni 2021, Latvijas Republikas Saeima (Prickning) ( C‑439/19, EU:C:2021:504).

40 Se domen La Quadrature du Net, punkt 99 och där angiven rättspraxis.

41 Villkoren för denna behandling av uppgifter föreskrivs i kapital 11 i PNR-lagen.

42 Se skälen 8, 9 och 12 samt artikel 6 i API-direktivet, och artikel 8.2 i direktiv 2010/65.

43 Användningen av förhandsuppgifter om passagerarare (nedan kallade API-uppgifter) från de brottsbekämpande myndigheternas sida föreskrivs uttryckligen i artikel 6.1 sista stycket i API-direktivet.

44 Se, för ett liknande resonemang, bland annat dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkt 170 och där angiven rättspraxis).

45 Se, bland annat, dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkt 172 och där angiven rättspraxis).

46 Se, för ett liknande resonemang, domen La Quadrature du Net, punkt 122.

47 Se domen La Quadrature du Net, punkt 123.

48 Se domen La Quadrature du Net, punkt 124 och där angiven rättspraxis.

49 Se dom av den 18 juni 2020, kommissionen/Ungern (Insyn i föreningar) ( C‑78/18, EU:C:2020:476, punkt 122 och där angiven rättspraxis).

50 Se, bland annat, Europadomstolen, 4 december 2015, Roman Zakharov mot Ryssland (CE:ECHR:2015:1204JUD004714306, § 227), Europadomstolen, 18 maj 2010, Kennedy mot Förenade kungariket (CE:ECHR:2010:0518JUD002683905, § 130), och Europadomstolen, 25 maj 2021, Centrum för Rättvisa mot Sverige (CE:ECHR:2021:0525JUD003525208, § 246).

51 Se Europadomstolen, 4 december 2015, Roman Zakharov mot Ryssland (CE:ECHR:2015:1204JUD004714306, § 228), Europadomstolen, 4 maj 2000, Rotaru mot Rumänien (CE:ECHR:2000:0504JUD002834195, § 52), Europadomstolen, 4 december 2008, S. och Marper mot Förenade kungariket (CE:ECHR:2008:1204JUD003056204, § 95), Europadomstolen, 18 maj 2021, Kennedy mot Förenade kungariket (CE:ECHR:2010:0518JUD002683905, § 151), och Europadomstolen, 25 maj 2021, Centrum för Rättvisa mot Sverige (CE:ECHR:2021:0525JUD003525208, § 246).

52 Se, bland annat, dom av den 18 juni 2020, kommissionen/Ungern ( C‑78/18, EU:C:2020:476, punkterna 124 och 126 samt där angiven rättspraxis); se även Europadomstolen, 4 maj 2000, Rotaru mot Rumänien (CE:ECHR:2000:0504JUD002834195, § 48), Europadomstolen, 26 mars 1987, Leander mot Sverige (CE:ECHR:1987:0326JUD000924881, § 46), och Europadomstolen, 29 juni 2006, Weber och Saravia mot Tyskland (CE:ECHR:2006:0629DEC005493400, § 79).

53 Se, bland annat, domen Ministerio Fiscal, punkt 51 och där angiven rättspraxis.

54 Se, bland annat, dom av den 18 juni 2020, kommissionen/Ungern ( C‑78/18, EU:C:2020:476, punkt 126), och domen Ministerio Fiscal, punkt 51 och där angiven rättspraxis.

55 Se dom av den 8 april 2014, Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, nedan kallad domen Digital Right, EU:C:2014:238, punkt 34).

56 Se yttrande 1/15, punkterna 121–123.

57 Se, analogt, domen Privacy International, punkterna 79 och 80 samt där angiven rättspraxis.

58 Se artikel 2.1–2.3 i PNR-direktivet.

59 Se artikel 2.3 i PNR-direktivet.

60 I enlighet med artiklarna 1 och 2 i protokoll (nr 22) om Danmarks ställning, har denna medlemsstat inte deltagit i antagandet av PNR-direktivet, vilket därför inte är bindande för eller tillämpligt på Danmark (se skäl 40 i direktivet). Det framgår dock av den danska regeringens skriftliga yttrande att Konungariket Danmark år 2018 antog en lag om insamling, användning och lagring av PNR-uppgifter, vars bestämmelser till stor del överensstämmer med bestämmelserna i PNR-direktivet. Vad beträffar Irland, framgår det av skäl 39 i PNR-direktivet att denna medlemsstat har, i enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till FEU och FEUF, meddelat att det önskar delta i antagandet och tillämpningen av detta direktiv.

61 Kommissionen har offentliggjort en uppdaterad förteckning över medlemsstater som har beslutat att tillämpa PNR-direktivet på flygningar inom EU enligt artikel 2 i [PNR-]direktivet (EUT C 358, 2020, s. 7), vilken rättades i september 2021 genom att Slovenien lades till och hänvisningen till Förenade kungariket utgick (EUT C 360, 2021, s. 8). Irland och Österrike finns inte med i denna förteckning. I rapporten från kommissionen till Europaparlamentet och rådet om översynen av [PNR-direktivet] av den 24 juli 2020 (COM(2020) 305 final, s. 11) (nedan kallad kommissionens rapport från år 2020) nämns att samtliga medlemsstater, förutom en, har utvidgat insamlingen av PNR-uppgifter till flygningar inom EU.

62 Se, bland annat, punkterna 4 och 18 i bilaga I avseende passagerarens namn, kön, födelsedatum, nationalitet och identitetshandlingar.

63 Se, bland annat, punkterna 2, 3, 7, 13 och 18 i bilaga I till PNR-direktivet, vari omnämns bland annat flygnummer, avresehamn, ankomsthamn, utresedatum, ankomstdatum, avresetid och ankomsttid.

64 Se punkterna 5, 6, 9, 12 och 16 i bilaga I.

65 Se, i det avseendet, yttrande 1/15, punkt 131.

66 SWD(2020)128 final.

67 I arbetsdokumentet från år 2020 (s. 28 och fotnot 55) nämns en procentandel träffar på 0,59 procent år 2019, av vilka endast 0,11 procent överfördes till de behöriga myndigheterna. År 2018 uppgick motsvarande procentandelar till 0,25 procent respektive 0,04 procent.

68 Se yttrande 1/15, punkt 132.

69 Det system som har inrättats genom PNR-direktivet kunde, före hälsokrisen, omfatta upp till en miljard passagerare per år, uppgifter som finns tillgängliga på https://ec.europa.eu/eurostat/databrowser/view/ttr00012/default/table ?lang=fr.

70 Det vill säga varje person som omfattas av begreppet passagerare, såsom det definieras i artikel 3 led 4 i PNR-direktivet, på en flygning utanför EU och, i praktiken, en flygning inom EU.

71 I en studie som antogs av Europeiska kommissionen för demokrati genom lag (Venedigkommissionen) år 2015, anses sådana åtgärder omfattas av begreppet strategisk övervakning och följa en allmän tendens att använda proaktiv övervakning av befolkningen; se studien Mise à jour du rapport de 2007 sur le contrôle démocratique des services de sécurité et rapport sur le contrôle démocratique des agences de collecte de renseignements d’origine électromagnétique, som antogs av Venedigkommissionen vid dess 102:a plenarsammanträde (Venedig, den 20 och 21 mars 2015), https://www.venice.coe.int/webforms/documents/?pdf=CDL-AD(2015)006-f, punkt 61.

72 Beträffande artikel 8 i Europakonventionen, se dom av Europadomstolen, 25 maj 2021, Big Brother Watch m.fl. mot Förenade kungariket (CE:ECHR:2021:0525JUD005817013, § 325) (nedan kallad domen Big Brother Watch), avseende åtgärder för massavlyssning, där Europadomstolen har slagit fast att graden av ingrepp i utövandet av rätten till respekt för privatlivet till följd av dessa åtgärder ökar allteftersom de olika stegen i förfarandet tas, nämligen avlyssning och inledande lagring av kommunikationer och därmed relaterade data, automatisk behandling genom tillämpning av urvalstermer, bedömning av analytiker och efterföljande lagring av uppgifter samt användning av slutprodukten.

73 Se, för ett liknande resonemang, skälen 6 och 7 i PNR-direktivet; se, för en fördjupad analys av syftet och följderna för skyddet för privatlivet och personuppgifter, rapporten med titeln Passenger Name Records (PNR), data mining and data protection: the need for strong safeguards, utarbetad av Korff, D., med bidrag av Georges, M., http://rm.coe.int/16806a601b (nedan kallad Korff-rapporten).

74 Som anges i Korff-rapporten, PNR is not an isolated issue, but a new symptom of a much wider disease.

75 Se, bland annat, dom av den 16 juli 2020, Facebook Ireland och Schrems ( C‑311/18, EU:C:2020:559, punkt 175), dom av den 8 september 2020, Recorded Artists Actors Performers ( C‑265/19, EU:C:2020:677, punkt 86 och där angiven rättspraxis), och domen Privacy international, punkt 65.

76 Se, bland annat, Europadomstolen dom av den 8 juni 2006, Lupsa mot Rumänien, (CE:ECHR:2006:0608JUD001033704, §§ 32 och 33), och dom av den 15 december 2020, Pişkìn mot Turkiet (CE:ECHR:2020:1215JUD003339918, § 206); se även domen Big Brother Watch, § 333. Beträffande huruvida det är nödvändigt att ge uttrycket föreskriven i lag i artikel 52.1 i stadgan samma tolkning som Europadomstolen använde, se förslag till avgörande av generaladvokaten Wathelet i målet WebMindLicenses ( C‑419/14, EU:C:2015:606, punkterna 134–143).

77 Se, senast, domen Big Brother Watch, § 333.

78 Se dom av den 17 december 2015, WebMindLicenses ( C‑419/14, EU:C:2015:832, punkt 81); se även Europadomstolen, 1 juli 2008, Liberty m.fl. mot Förenade kungariket (CE:ECHR:2008:0701JUD005824300, § 69), och domen Big Brother Watch, § 333.

79 Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, vilken antogs i Strasbourg den 28 januari 1981 och ratificerades av samtliga medlemsstater, mer känd som konvention 108. Ett protokoll om ändring av denna konvention utarbetades år 2018 för att uppdatera konventionen. Genom rådets beslut (EU) 2019/682 av den 9 april 2019 (EUT L 115, 2019, s. 7), har medlemsstaterna bemyndigats att i unionens intresse ratificera protokollet om ändring i den mån dess bestämmelser omfattas av unionens exklusiva befogenhet. Nedan i detta förslag till avgörande kommer jag även att hänvisa till texten i konvention 108 i dess uppdaterade lydelse som, även om den ännu inte har ratificerats av samtliga medlemsstater och ännu inte har trätt i kraft, innehåller, såsom framgår av beslut 2019/682, skyddsåtgärder som grundar sig på samma principer som dem som anges i dataskyddsförordningen och i polisdirektivet.

80 https://rm.coe.int/t-pd-2016-18rev-avis-pnr-fr/16807b6c09, s. 3 och 5. I den förklarande rapport som åtföljer protokollet om ändring av konvention 108 (nedan kallad den förklarande rapporten om konvention 108 i dess uppdaterade lydelse) betonas även kravet att den bestämmelse som föreskriver ingrepp i rätten till respekt för privatlivet och rätten till skydd av personuppgifter är tillgänglig, förutsebar, tillräckligt detaljerad och klart formulerad; se punkt 91 i den förklarande rapporten, https://rm.coe.int/convention-108-convention-pour-la-protection-des-personnes-a-l-egard-d/16808b3726.

81 Se, e contrario, dom av den 3 december 2019, Republiken Tjeckien/parlamentet och rådet ( C‑482/17, EU:C:2019:1035, punkt 135).

82 Se, bland annat, domen La Quadrature du Net, punkt 132 och där angiven rättspraxis; se även Europadomstolen, domen Big Brother Watch, § 334.

83 Se, i det avseendet, Tridimas, T., Gentile, G. The essence of Rights: an unreliable Boundary?, German Law Journal, 2019, s. 796; Lenaerts, K., Limits on limitations: The Essence of Fundamental Rights in the EU, German Law Journal, 2019, 20, s. 779 och följande.

84 Från och med Europadomstolens dom av den 24 oktober 1979, Winterwerp mot Nederländerna (CE:ECHR:1979:1024JUD000630173, § 60).

85 Se Förklaringar avseende stadgan om de grundläggande rättigheterna (EUT C 303, 2007, s. 17, särskilt Förklaring till artikel 52, s. 32) (nedan kallade förklaringarna avseende stadgan).

86 Se, för ett tidigare liknande resonemang, bland annat dom av den 14 maj 1974, Nold/kommissionen ( 4/73, EU:C:1974:51, punkt 14), och dom av den 13 december 1979, Hauer ( 44/79, EU:C:1979:290, punkt 23).

87 C‑362/14, nedan kallad domen Schrems I, EU:C:2015:650, punkterna 94–98.

88 Se Lenaerts, K., a.a., s. 781; Tridimas, T., Gentile, G., a.a., s. 803.

89 I förklaringarna avseende stadgan erkänns uttryckligen att människans värdighet är en central aspekt av rättigheterna i … stadga[n]” och [d]en får därför inte kränkas ens i fall av begränsning av en rättighet.

90 Jag hänvisar i det avseendet till resonemangen i domarna Lemmens, Vehabovićs och Bošniaks delvis samstämmiga mening i domen Big Brother Watch, §§ 3–10.

91 Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54).

92 Se domen Digital Rights, punkt 39; se även, beträffande direktiv 2002/58, domen Tele2 Sverige, punkt 101.

93 Se yttrande 1/15, punkt 150.

94 Se, för ett liknande resonemang, bland annat domen Digital Rights, punkt 40.

95 Se, för ett liknande resonemang, yttrande 1/15, punkt 128.

96 Se yttrande 1/15, punkterna 164 och 165.

97 Se yttrande 1/15, punkt 150.

98 Se, bland annat, skälen 5, 6, 15 och 22 i PNR-direktivet.

99 Kommissionens förslag av den 2 februari 2011 om användning av PNR-uppgifter för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (KOM(2011) 32 slutlig, s. 4).

100 För enkelhetens skull kommer jag i detta förslag till avgörande att använda uttrycket brottsbekämpande myndigheter för att allmänt åsyfta varje myndighet som har behörighet på de områden som avser att upptäcka, förebygga, förhindra, lagföra eller utreda terrorism eller grov brottslighet, vilka omfattas av PNR-direktivet.

101 Se skäl 7 i PNR-direktivet. Se även förslaget till PNR-direktiv, s. 5.

102 Se, för ett liknande resonemang, yttrande 1/15, och dom av den 2 mars 2021, Prokuratuur (Villkor för att ge tillgång till uppgifter avseende elektronisk kommunikation) (C‑746/18, nedan kallad domen Prokuratuur, EU:C:2021:152, punkt 33 och där angiven rättspraxis).

103 Se, för ett likande resonemang, yttrande 1/15, punkt 149 och där angiven rättspraxis, och domen La Quadrature du Net.

104 Se, nedan, bedömningen av huruvida ingreppet är proportionerligt.

105 Se domen La Quadrature du Net, punkt 125.

106 Se domen La Quadrature du Net, punkt 126 och där angiven rättspraxis.

107 Se domen La Quadrature du Net, punkt 136.

108 Se domen Digital Rights, punkt 46 och där angiven rättspraxis.

109 Se yttrande 1/15, punkt 140, och domen La Quadrature du Net, punkt 130 och där angiven rättspraxis. Kravet att behandlingen av personuppgifter i varje skede ska avspegla en korrekt avvägning mellan alla berörda intressen, oavsett om de är offentliga eller privata, och de rättigheter och friheter som står på spel anges även i artikel 5 i konvention 108.

110 Se, för ett liknande resonemang, dom av den 2 oktober 2018, Ministerio Fiscal ( C‑207/16, EU:C:2018:788, punkt 55 och där angiven rättspraxis), samt domen La Quadrature du Net, punkt 131, och domen Prokuratuur, punkt 32.

111 Se, för ett liknande resonemang, domen Digital Rights, punkt 54, och domen Schrems I, punkt 91, samt yttrande 1/15, punkt 141.

112 Se yttrande 1/15, punkt 141 och där angiven rättspraxis.

113 Se, för ett liknande resonemang, domen Digital Rights, punkt 48.

114 Se, för ett liknande resonemang, punkterna 201–203 nedan.

115 Jag hänvisar i det avseendet till de uppgifter som finns i arbetsdokumentet från år 2020.

116 Se, för ett liknande resonemang, yttrande av den 19 augusti 2016, s. 5.

117 Beträffande betydelsen av statistik för att bedöma effektiviteten i det system som har inrättats genom PNR-direktivet, se, bland annat, yttrande 1/2011 av den 14 juni 2011 avseende förslaget till PNR-direktiv, https://fra.europa.eu/sites/default/files/fra_uploads/1786-FRA-PNR-Opinion-2011_FR.pdf, punkt 2.1.2.1 (nedan kallat FRA:s yttrande 1/2011).

118 Denna fråga har däremot klart ställts av Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden, Tyskland) i det pågående målet C‑215/20.

119 Kommissionen anmodades att yttra sig i det avseendet i samband med en fråga som skulle besvaras skriftligen. Övriga berörda parter kunde ta ställning till detta vid förhandlingen.

120 Se punkt 107 in fine ovan.

121 Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF (EUT L 88, 2017, s. 6).

122 Jag vill i det avseendet påpeka att begreppet gränsöverskridande brottslighet, såsom det definieras i exempelvis förslaget till PNR-avtal mellan Kanada och EU var tillräckligt omfattande för att även innefatta brott som begås i ett land och där gärningsmannen befinner sig i eller avser att resa till ett annat land; se artikel 3.3 e i förslaget till PNR-avtal mellan Kanada och EU, vars lydelse återges i punkt 30 i yttrande 1/15. Jag noterar även att FRA, i sitt yttrande 1/2011 (punkterna 2.2.3.1 och 3.7), hade föreslagit att unionens PNR-system skulle begränsas till att enbart avse allvarliga gränsöverskridande brott. I förslaget till PNR-direktiv planerades däremot att den automatiska behandlingen skulle vara olika för gränsöverskridande brott och för brott som inte är av sådan karaktär (se artikel 4.2 a i förslaget).

123 Jag vill även påpeka att en del av de brott som avses i bilaga II hör till de områden med särskilt allvarlig brottslighet som avses i artikel 83.1 första stycket FEUF och som förtecknas i artikel 83.1 andra stycket FEUF. Det rör sig bland annat om människohandel, sexuellt utnyttjande av barn, olaglig narkotikahandel, olaglig handel med vapen, penningtvätt, korruption, förfalskning av betalningsmedel, it-brottslighet och organiserad brottslighet. På flera av dessa områden har unionslagstiftaren, med stöd av artikel 83.1 FEUF, antagit direktiv som fastställer minimiregler om fastställande av brottsrekvisit och påföljder; se, bland annat, Europaparlamentets och rådets direktiv 2011/36/EU av den 5 april 2011 om förebyggande och bekämpande av människohandel, om skydd av dess offer och om ersättande av rådets rambeslut 2002/629/RIF (EUT L 101, 2011, s. 1), Europaparlamentets och rådets direktiv 2011/93/EU av den 13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut 2004/68/RIF (EUT L 335, 2011, s. 1, och rättelse i EUT L 18, 2012, s. 7), Europaparlamentets och rådets direktiv 2013/40/EU av den 12 augusti 2013 om angrepp mot informationssystem och om ersättande av rådets rambeslut 2005/222/RIF (EUT L 218, 2013, s. 8), Europaparlamentets och rådets direktiv (EU) 2019/713 av den 17 april 2019 om bekämpande av bedrägeri och förfalskning som rör andra betalningsmedel än kontanter och om ersättande av rådets rambeslut 2001/413/RIF (EUT L 123, 2019, s. 18), Europaparlamentets och rådets direktiv (EU) 2017/1371 av den 5 juli 2017 om bekämpande genom straffrättsliga bestämmelser av bedrägeri som riktar sig mot unionens finansiella intressen (EUT L 198, 2017, s. 29), och Europaparlamentets och rådets direktiv (EU) 2018/1673 av den 23 oktober 2018 om bekämpande av penningtvätt genom straffrättsliga bestämmelser (EUT L 284, 2018, s. 22).

124 Jag vill dock påpeka att samtliga brott som avses i bilaga II, med undantag av industrispionage, finns med i artikel 2.2 i rådets rambeslut 2002/584/RIF av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna (EGT L 190, 2002, s. 1). Även om de inte uttryckligen kvalificeras som grova, medför de likväl, när de når upp till samma tröskel för fängelsestraff som föreskrivs i artikel 3 led 9 i PNR-direktivet, överlämnande på grundval av en europeisk arresteringsorder, utan kontroll av om det föreligger dubbel straffbarhet för gärningen. Nästan samtliga av dessa brott, med undantag av sabotage, kapning av flygplan och industrispionage, finns även med i bilaga I till Europaparlamentets och rådets förordning (EU) 2018/1727 av den 14 november 2018 om Europeiska unionens byrå för straffrättsligt samarbete (Eurojust), och om ersättning och upphävande av rådets beslut 2002/187/RIF (EUT L 295, 2018, s. 138), vari anges förteckningen över typer av grov brottslighet som Eurojust har behörighet att hantera.

125 Det rör sig bland annat om punkterna 7, 8, 10 och 16.

126 Detta gäller exempelvis bedrägeri (punkt 7), korruption (punkt 6), it-brottslighet/cyberbrottslighet (punkt 9) och miljöbrott (punkt 10). Det är särskilt bedrägeribrott som Verwaltungsgericht Wiesbaden (Förvaltningsdomstolen i Wiesbaden) vill ha närmare upplysningar om i det pågående målet C‑215/20.

127 I artikel 9 i detta direktiv anges för övrigt det lägsta maximala fängelsestraffet för dessa brott, en tröskel som endast under vissa omständigheter uppgår till tre år.

128 Europaparlamentets och rådets direktiv 2008/99/EG av den 19 november 2008 (EUT L 328, 2008, s. 28).

129 Rådets direktiv 2002/90/EG av den 28 november 2002 om definition av hjälp till olaglig inresa, transitering och vistelse (EGT L 328, 2002, s. 17).

130 Rådets rambeslut 2002/946/RIF av den 28 november 2002 om förstärkning av den straffrättsliga ramen för att förhindra hjälp till olaglig inresa, transitering och vistelse (EGT L 328, 2002, s. 1).

131 Rådets rambeslut 2003/568/RIF av den 22 juli 2003 om kampen mot korruption inom den privata sektorn (EUT L 192, 2003, s. 54).

132 Rådets rambeslut 2008/841/RIF av den 24 oktober 2008 om kampen mot organiserad brottslighet (EUT L 300, 2008, s. 42).

133 Se, bland annat, skälen 7 och 22 i PNR-direktivet.

134 Se skäl 35 i PNR-direktivet.

135 Se, analogt, dom av den 16 december 2008, Arcelor Atlantique och Lorraine m.fl. ( C‑127/07, EU:C:2008:728, punkterna 61 och 62), och dom av den 17 oktober 2013, Schaible ( C‑101/12, EU:C:2013:661, punkterna 91 och 94).

136 Se dokument 9944, vilket har godkänts av Icaos generalsekreterare och har offentliggjorts med dennes bemyndigande. Den franska språkversionen av dokumentet finns på följande webbplats: https://www.icao.int/Security/FAL/ANNEX9/Documents/9944_cons_fr.pdf. Enligt punkt 9.22 i bilaga 9 (Underlättande) till konventionen angående internationell civil luftfart, som undertecknades i Chicago den 7 december 1944 (nedan kallad Chicagokonventionen), är konventionens avtalsslutande stater som begär PNR-uppgifter skyldiga att anpassa sina behov vad gäller uppgifter och behandling av dessa uppgifter till bland annat dessa riktlinjer.

137 Se, för ett liknande resonemang, yttrande 1/15, punkt 160.

138 Se punkterna 2.1.2 och 2.1.5 i Icaos riktlinjer.

139 Den enda hänvisningen till Icaos riktlinjer i PNR-direktivet finns i skäl 17 i direktivet och avser endast understödda dataformat för överföring av PNR-uppgifter från lufttrafikföretag till medlemsstater.

140 I punkt 2.1.5 i riktlinjerna omnämns ytterligare upplysningar eller upplysningar avseende begärda tjänster, vilka kan avse begäran om medicinsk vård eller särskild kost, barn som reser ensamma, begäran om assistans etcetera. I punkt 2.1.6 anges att fältet allmänna anmärkningar även kan innehålla vissa upplysningar, såsom intern skriftväxling eller kommunikation mellan flygbolagsanställda och bokningsagenter.

141 Se punkterna 2.1.5 och 2.1.6 i Icaos riktlinjer.

142 Se dom av den 17 oktober 2013, Schwarz ( C‑291/12, EU:C:2013:670, punkt 32), beträffande fallet med en passökande som är tvungen att finna sig i att få sina fingeravtryck tagna för att kunna få en handling som gör det möjligt för vederbörande att kunna resa till tredjeland.

143 Jag kommer att återkomma till denna kategori av uppgifter längre fram i förevarande förslag till avgörande.

144 FRA har uttryckt sig på detta sätt i sitt yttrande 1/2011, s. 13. Europeiska datatillsynsmannen har i sitt yttrande av den 25 mars 2011 över förslaget till PNR-direktiv (https://edps.europa.eu/sites/edp/files/publication/11-03-25_pnr_en.pdf, punkt 47) (nedan kallat Europeiska datatillsynsmannens yttrande av den 25 mars 2011) föreslagit att kategorin Allmänna anmärkningar ska tas bort från förteckningen i bilaga I.

145 Se, bland annat, dom av den 19 november 2009, Sturgeon m.fl. ( C‑402/07 och C‑432/07, EU:C:2009:716, punkt 47 och där angiven rättspraxis), dom av den 19 september 2013, Omprövning kommissionen/Strack ( C‑579/12 RX-II, EU:C:2013:570, punkt 40), och dom av den 14 maj 2019, M m.fl. (Återkallande av flyktingstatus) ( C‑391/16, C‑77/17 och C‑78/17, EU:C:2019:403, punkt 77 och där angiven rättspraxis).

146 Se, bland annat, skälen 5, 7, 11, 15, 16, 20, 22, 23, 25, 27, 28, 31, 36 och 37 i PNR-direktivet.

147 Se dom av den 26 juni 2007, Ordre des barreaux francophones et germanophone m.fl. ( C‑305/05, EU:C:2007:383, punkt 28), och dom av den 14 maj 2019, M m.fl. (Återkallande av flyktingstatus) ( C‑391/16, C‑77/17 och C‑78/17, EU:C:2019:403, punkt 77).

148 Såvitt är av relevans här, föreskrivs följande i skäl 9: Att använda PNR-uppgifter tillsammans med API-uppgifter tillför ett mervärde, genom att det hjälper medlemsstaterna att kontrollera en individs identitet, vilket ökar PNR-uppgifternas betydelse för brottsbekämpningen och minimerar risken för att man kontrollerar och utreder oskyldiga människor.

149 Se, för ett liknade resonemang, även förslaget till PNR-direktiv, s. 7, punkt 1. Samma uppgifter finns med i de direktiv om förhandsinformation om passagerare (API) som har utarbetats av Världstullorganisationen (WCO), Internationella lufttransportorganisationen (Iata) och Icao, http://www.wcoomd.org/~/media/wco/public/fr/pdf/topics/facilitation/instruments-and-tools/tools/api-guidelines-and-pnr-doc/api-guidelines-_f.pdf) (nedan kallade API-direktiven) (punkt 8.1.5 a), som grundläggande data som kan finnas i den maskinläsbara delen av officiella resehandlingar.

150 Artikel 3.2 i API-direktivet har följande lydelse: Den information som avses ovan skall innehålla uppgift om nummer på och typ av resehandling som används, nationalitet, fullständigt namn, födelsedatum, gränsövergångsstället för inresa till medlemsstaternas territorium, transportkod, avgångs- och ankomsttid för transporten, det totala antalet passagerare vid den transporten, ursprunglig ort för ombordstigning. Det ska framhållas att kommissionen, i sitt arbetsprogram 2022, COM(2021) 645 final, s. 9, har planerat en uppdatering av API-direktivet. I september 2020 offentliggjorde kommissionen en utvärdering av detta direktiv som ligger till grund för dess framtida översyn, SWD(2020), 174 final (nedan kallat arbetsdokumentet från år 2020 om API-direktivet). I nämnda handling har kommissionen bland annat framhållit den omständigheten att förteckningen över uppgifter i artikel 3.2 i API-direktivet inte är förenlig med de internationella standarderna om API-uppgifter, bland annat genom att den inte omfattar alla uppgifter som finns i den maskinläsbara delen av identitetshandlingar (se, bland annat, s. 48).

151 Se API-direktiven, punkterna 8.1.5 b och c.

152 En liknande tolkning av den motsvarande kategorin i förslaget till PNR-avtal mellan Kanada och EU finns i punkt 161 i yttrande 1/15.

153 Jag vill påpeka att EU-domstolen för närvarande har att ta ställning till en rad frågor som specifikt avser huruvida flera punkter i bilaga I, särskilt punkterna 4, 8, 12, 18, är tillräckligt precisa (se det pågående målet C‑215/20).

154 Se yttrande 1/15, punkt 158.

155 Jag vill påpeka att uppgifterna om resebyrån eller resebyråtjänstemannen redan avses i punkt 5 i bilaga I.

156 Se definitionen av PNR-uppgifter i artikel 3 led 5 i PNR-direktivet.

157 Se, för ett liknade resonemang, även förslag till avgörande av generaladvokaten Mengozzi i förfarandet för yttrande 1/15 ((PNR-avtal mellan Kanada och EU), EU:C:2016:656), punkt 218.

158 Se den motsvarande kategorin i tillägg I till Icaos riktlinjer.

159 Se, för ett liknande resonemang, bland annat domen Digital Rights, punkt 57. Beträffande kravet att de kategorier av uppgifter som en åtgärd för tillgång avser ska begränsas till vad som är strängt nödvändigt med hänsyn till det eftersträvade målet, se senast domen Prokuratuur, punkt 38. Principen om uppgiftsminimering föreskrivs bland annat i artikel 5.1 c i dataskyddsförordningen och i artikel 4.1 c i polisdirektivet.

160 Se, bland annat, Europadomstolen, 18 april 2013, M.K. mot Frankrike (CE:ECHR:2013:0418JUD001952209, § 35).

161 Se den förklarande rapporten om konvention 108 från år 1981 (https://rm.coe.int/16800ca471), artikel 5 led 40, och den förklarande rapporten om konvention 108 i dess uppdaterade lydelse, artikel 5 led 51.

162 Se punkterna 154–158 och 162–164 ovan.

163 Se punkterna 133–153 ovan.

164 Barnets rätt till respekt för sitt privatliv stadgas bland annat i artikel 16 i New York-konventionen om barnets rättigheter, vilken antogs den 20 november 1989 och trädde i kraft den 2 september 1990.

165 Se punkt 2.7.3 i Icaos riktlinjer.

166 Se punkt 2.7.4 i Icaos riktlinjer.

167 Kravet på att garantera säkerheten och tillförlitligheten vid överföring av uppgifter till enheterna för passagerarinformation upprepas för övrigt i artikel 16.1 i PNR-direktivet beträffande de elektroniska medel som ska användas vid denna överföring, och detta krav har varit ett av de kriterier som kommissionen rättade sig efter vid antagandet, som krävs enligt artikel 16.3, av de gemensamma protokoll och dataformat som ska användas av lufttrafikföretagen vid denna överföring; se kommissionens genomförandebeslut (EU) 2017/759 av den 28 april 2017 om gemensamma protokoll och dataformat som ska användas av lufttrafikföretag när PNR-uppgifter överförs till enheterna för passagerarinformation (EUT L 113, 2017, s. 48).

168 Se skäl 37 i PNR-direktivet.

169 Alla de kategorier av personuppgifter som räknas upp i artikel 13.4 i PNR-direktivet innefattas i de kategorier som motsvarar begreppet särskilda kategorier av personuppgifter som avses i artikel 9.1 i dataskyddsförordningen.

170 Jag anser i det avseendet att de påståenden som har framförts av flera medlemsstater som har avgett yttranden avseende den andra frågan, påståenden som avser att det finns tekniska metoder som gör det möjligt att enkelt radera känsliga uppgifter som lufttrafikföretagen har översänt, saknar relevans.

171 Förslag till avgörande av generaladvokaten Mengozzi i förfarandet för yttrande 1/15 ((PNR-avtal mellan Kanada och EU), EU:C:2016:656).

172 Jag vill påpeka att också Icaos riktlinjer, även om de inte utesluter att de känsliga uppgifter som kan hämtas från fritextkategorierna kan vara användbara vid bedömningen av den risk som en passagerare kan utgöra, likväl rekommenderar att de avtalsslutande staterna ska se till att de beaktas endast om det finns konkreta indikationer på att de måste användas för de syften som eftersträvas genom deras PNR-ordningar.

173 Det ska erinras om att en sådan uteslutning redan hade föreslagits av Europeiska datatillsynsmannen i dess yttrande av den 25 mars 2011, punkt 47.

174 Det rör sig om uppgifter som kan ge information om de kommunikationer som en användare av ett elektroniskt kommunikationsmedel har haft eller om lokaliseringen av den terminalutrustning som denne använder.

175 Se, för ett liknande resonemang, domen La Quadrature du Net, punkterna 141–145, och domen Tele2 Sverige, punkterna 105 och 106, vilka meddelades i samband med tolkningen av artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan, samt domen Digital Rights, punkterna 57 och 58, där domstolen ogiltigförklarade direktiv 2006/24.

176 Se domen La Quadrature du Net, punkt 177.

177 Se domen La Quadrature du Net, punkterna 134–139 och 177. Domstolen anser att det ansvar som åligger medlemsstaterna i fråga om nationell säkerhet motsvarar det grundläggande intresset av att skydda statens väsentliga funktioner och samhällets grundläggande intressen och inbegriper förebyggande och beivrande av verksamhet som allvarligt kan störa de grundläggande konstitutionella, politiska, ekonomiska eller sociala strukturerna i ett land och i synnerhet direkt hota samhället, befolkningen eller staten som sådan, såsom bland annat terrorverksamhet; se domen La Quadrature du Net, punkt 135, och domen Privacy International, punkt 74.

178 Se domen La Quadrature du Net, punkterna 138 och 178.

179 Se, bland annat, domen La Quadrature du Net, punkterna 141–145.

180 Se domen La Quadrature du Net, punkterna 115 och 116; se även förslag till avgörande av generaladvokaten Campos Sanchéz-Bordona i de förenade målen SpaceNet och Telekom Deutschland ( C‑793/19 och C‑794/19, EU:C:2021:939, punkterna 74 och 75).

181 Se domen Tele2 Sverige, punkt 119.

182 Se, för ett liknande resonemang, domen Tele2 Sverige, punkterna 103–107 och 119 samt där angiven rättspraxis.

183 Se yttrande 1/15, punkterna 186 och 187.

184 I domen Digital Rights (punkt 59) och domen Tele2 Sverige (punkt 111), liksom i senare rättspraxis (se, bland annat, domen La Quadrature du Net, punkterna 143–150), är det just den omständigheten att den aktuella lagstiftningen inte grundade sig på objektiva omständigheter av det slag som domstolen nämnde i punkt 187 i yttrande 1/15, som gör det möjligt att ta sikte på en personkrets vars uppgifter kan avslöja en, åtminstone indirekt, koppling till grov brottslighet, som medför att lagstiftningen inte är proportionerlig.

185 Se domen La Quadrature du Net (punkt 117 och där angiven rättspraxis); se även domen Prokuratuur (punkt 36).

186 Domen La Quadrature du Net, punkt 142.

187 Se yttrande 1/15, punkterna 128 och 150.

188 Se yttrande 1/15, punkt 150.

189 Beträffande svårigheten att göra en sådan bedömning i fråga om metadata, se domen Prokuratuur, punkt 40.

190 En sådan ansträngning gjordes av den tyska lagstiftaren i den lagstiftning som var i fråga i de förenade målen C‑793/19 och C‑794/19, SpaceNet och Telekom Deutschland, i vilka generaladvokaten Campos Sánchez-Bordona föredrog sitt förslag till avgörande ( EU:C:2021:939, punkterna 60 och 61).

191 Jag hänvisar i det avseendet till punkt 93 ovan.

192 Se domen La Quadrature du Net, punkt 118 och där angiven rättspraxis.

193 Se domen Tele2 Sverige, punkt 93.

194 Förslag till avgörande av generaladvokaten Mengozzi i förfarandet för yttrande 1/15 ((PNR-avtal mellan Kanada och EU), EU:C:2016:656).

195 Se, bland annat, Europadomstolen, 4 december 2015, Roman Zakharov mot Ryssland (CE:ECHR:2015:1204JUD004714306, § 260).

196 Se domen La Quadrature du Net (punkterna 146–151), och domen Tele2 Sverige (punkt 119).

197 Se, för ett liknande resonemang vad beträffar åtgärder för massavlysning, domen Big Brother Watch, § 348.

198 Se, analogt, dom av den 3 oktober 2019, A m.fl. ( C‑70/18, EU:C:2019:823, punkt 61).

199 Se, nyligen, meddelande från kommissionen om strategi för EU:s säkerhetsunion (COM(2020) 605 final, s. 28), och meddelande från kommissionen: En agenda för terrorismbekämpning för EU: förutse, förhindra, skydda, reagera (COM(2020) 795 final, s. 15 och följande sidor).

200 Resolution av den 21 december 2017 (nedan kallad resolution 2396 (2017)), https://undocs.org/fr/S/RES/2396(2017).

201 Se resolution 2396 (2017), punkt 12. I samma punkt 12 anges att Förenta nationernas säkerhetsråd uppmanar Icao att arbeta med sina medlemsstater för att fastställa en standard för insamling, användning, behandling och skydd för PNR-uppgifter. Till följd av en sådan anmodan antog Icao den 23 juni 2020 ändring nr 28 av bilaga 9 till Chicagokonventionen, i vilken – såsom redan har angetts – det fastställs internationella standarder för underlättande, och avsnitt D i kapitel 9 i ändringen avser särskilt PNR-uppgifter. Den 12 januari 2021 antog kommissionen ett förslag till rådets beslut om den ståndpunkt som på Europeiska unionens vägnar ska intas i [Icao] i fråga om denna ändring (COM(2021) 16 final).

202 Resolution av den 19 juli 2019, punkt 15 c, https://undocs.org/fr/S/RES/2482(2019).

203 Det finns för närvarande två internationella avtal som unionen har ingått med Australien (avtal mellan Europeiska unionen och Australien om lufttrafikföretags behandling av [PNR-uppgifter] och överföring av dessa till den australiska tull- och gränsbevakningsmyndigheten (EUT L 186, 2012, s. 4)) respektive Amerikas förenta stater (avtal mellan Amerikas förenta stater och Europeiska unionen om användning och överföring av [PNR-uppgifter] till Förenta staternas Department of Homeland Security (EUT L 215, 2012, s. 5)). En gemensam bedömning av dessa två avtal pågår i syfte att ingå nya avtal. Den 18 februari 2020 bemyndigade rådet dessutom kommissionen att inleda förhandlingar med Japan.

204 Se resolution 2396 (2017), s. 4.

205 Däribland personer som åtnjuter rätten till fri rörlighet enligt unionsrätten; se Europaparlamentets och rådets förordning (EU) 2017/458 av den 15 mars 2017 om ändring av förordning (EU) 2016/399 vad gäller stärkandet av kontroller mot relevanta databaser vid de yttre gränserna (EUT L 74, 2017, s. 7).

206 Se, för ett liknade resonemang, även yttrande 1/15, punkt 187. Se även meddelande från kommissionen om en övergripande strategi när det gäller överföring av passageraruppgifter (PNR-uppgifter) till tredjeländer (KOM(2010) 492 slutlig, s. 6, punkt 2.2).

207 Detta är på sätt och vis vad kommissionen förutsätter i sitt förslag till PNR-direktiv, s. 3.

208 Se, för ett liknande resonemang, domen Prokuratuur, punkt 49 och där angiven rättspraxis.

209 Se artikel 4.2 a i förslaget till PNR-direktiv.

210 Även om den franska språkversionen av artikel 6.3 a nämner databaser som är användbara (bases de données utiles), avser denna bestämmelse i de flesta andra språkversioner snarare databaser som är relevanta: se, bland annat, den spanska (pertinentes), den tyska (massgeblich), den engelska (relevant), den italienska (pertinenti), den nederländska (relevant) och den portugisiska (relevantes) språkversionen.

211 Såsom artikel 6.3 a i PNR-direktivet är avfattad tycks den tillåta analyser i form av datautvinning genom samkörning med mycket varierande uppgifter, under förutsättning att datautvinningen är inriktad på att eftersträva de mål som detta direktiv avser. Vad beträffar riskerna med data mining när det gäller PNR-uppgifter, se Korff-rapporten, s. 77. Europeiska datatillsynsmannen har med emfas framhållit bristen på precision och förutsebarhet vid identifieringen av de databaser som PNR-uppgifter kan komma att jämföras med i sitt yttrande av den 25 mars 2011, punkt 18.

212 Den vaga och allmänt hållna ordalydelsen i artikel 6.3 a i PNR-direktivet har tagit sig uttryck i ett mycket varierande införlivande med nationell rätt, som sträcker sig från en restriktiv tolkning av begreppet databaser som är relevanta, som begränsar den föreskrivna analysen till enbart en jämförelse med de databaser som uttryckligen omnämns i denna bestämmelse (så är fallet med Förbundsrepubliken Tyskland, vilket framgår av de yttranden som har ingetts till domstolen av den tyska regeringen), till en vidare tolkning som omfattar alla databaser som är tillgängliga eller åtkomliga för de behöriga myndigheterna inom ramen för deras uppdrag (bland annat artikel 24 § 1 led 1 i PNR-lagen är avfattad på detta sätt).

213 Enligt min mening ska en medlemsstat på intet sätt anse sig vara tvungen, på grundval av artikel 6.3 a i PNR-direktivet, att tillåta sin enhet för passagerarinformation att systematiskt jämföra PNR-uppgifter med databaser som är relevanta, i den mening som avses i denna bestämmelse, och som förvaltas av medlemsstatens underrättelsetjänst.

214 I artikel 3 led 4 i polisdirektivet definieras profilering som varje form av automatiserad behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga aspekter rörande denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. Samma definition finns i artikel 4 led 4 i dataskyddsförordningen och i punkt 1 c i bilagan till Europarådets ministerkommittés rekommendation CM/Rec(2021)8 av den 3 november 2021 om skydd för enskilda vid automatisk databehandling av personuppgifter i samband med profilering, https://search.coe.int/cm/pages/result_details.aspx ?ObjectId=0900001680a46148 (nedan kallad 2021 års rekommendation om profilering).

215 I punkt 1 j i) i 2021 års rekommendation om profilering definieras profileringsåtgärder som får rättsverkningar eller som har en betydande inverkan på den berörda personen eller på den grupp av personer som identifieras genom profileringen som högriskprofilering.

216 Se yttrande 1/15, punkt 272.

217 Enligt punkt 1.1 d i bilagan till 2021 års rekommendation om profilering avses med profil en uppsättning uppgifter som är hänförliga till en person, som kännetecknar en grupp av personer eller som är avsedd att tillämpas på en person. Såsom förklaras i rapporten om utvecklingen av situationen efter antagandet av rekommendation (2010)13 om profilering (https://rm.coe.int/t-pd-2019-07fin-fr-rapport-profilage-2770-2878-8993-1-final-clean-2755/1680a0925b, s. 21), vilken föregick antagandet av 2021 års rekommendation om profilering, behåller begreppet profil sin innebörd i de system som, i likhet med PNR-direktivet, gör åtskillnad mellan åtgärder för att skapa profiler (se bland annat artikel 6.2 b i direktivet) och de åtgärder varigenom profilen tillämpas och som möjliggör transparenta kriterier som därefter tillämpas genom profileringsåtgärden.

218 Se artikel 6.4 i PNR-direktivet, samt yttrande 1/15, punkt 172.

219 Se artikel 6.4 i PNR-direktivet.

220 Se yttrande 1/15, punkt 172.

221 Se skäl 7 i PNR-direktivet.

222 Se yttrande 1/15, punkt 174.

223 Samma krav förekommer i punkt 174 i yttrande 1/15.

224 Jag vill påpeka att samtliga diskrimineringsgrunder som anges i artikel 21 i stadgan återges i skäl 20 i PNR-direktivet. En anpassning till den förteckning över förbjudna diskrimineringsgrunder som avses i artikel 21 i stadgan hade föreslagits av FRA i dess yttrande 1/2011, s. 8.

225 Enligt punkt 1.1 g i bilagan till 2021 års rekommendation om profilering avser uttrycket maskininlärning behandling med användning av särskilda metoder för artificiell intelligens grundad på statistiska tillvägagångssätt för att ge datorer förmågan att lära sig av data, det vill säga förbättra deras prestanda när det gäller att lösa uppgifter utan att uttryckligen programmeras för varje uppgift.

226 Beträffande vilken inverkan bristen på insyn i algoritmsystemen har på möjligheten till mänsklig kontroll i syfte att förhindra de skadliga effekterna av dessa system och deras negativa inverkan på de mänskliga rättigheterna, se Europarådets ministerkommittés rekommendation CM/Rec(2020)1 till medlemsstaterna om algoritmsystemens inverkan på de mänskliga rättigheterna.

227 Denna definition finns i skäl 25 i PNR-direktivet.

228 Formuleringen i skäl 37 i PNR-direktivet, enligt vilken PNR-uppgifter får lagras i enheter för passagerarinformation i högst fem år, varefter de bör raderas (min kursivering), gör det enligt min mening inte möjligt att ifrågasätta den klara ordalydelsen i artikel 12.1 i direktivet.

229 Se, vad beträffar behandling av personuppgifter för att avslöja, förebygga, förhindra, lagföra och utreda brott, artikel 4.1 e och skäl 26 i polisdirektivet. Se, mer allmänt, artikel 5.1 e i dataskyddsförordningen och artikel 5.4 e i konvention 108 i dess uppdaterade lydelse.

230 Se domen Schrems I (punkt 93), domen Tele2 Sverige (punkt 110), yttrande 1/15 (punkt 191), och domen La Quadrature du Net (punkt 133).

231 Se yttrande 1/15, punkt 197.

232 Se yttrande 1/15, punkt 205.

233 Se yttrande 1/15, punkt 207.

234 Det skulle i det fallet vara fråga om en analog tillämpning av punkt 187 och följande punkter i yttrande 1/15, eftersom nämnda yttrande endast avsåg fallet med PNR-uppgifter som samlats in vid inresan till Kanada.

235 Se yttrande 1/15, punkt 209.

236 Se yttrande 1/15, punkt 205.

237 I förslaget till PNR-avtal mellan Kanada och EU föreskrevs att namnen på alla passagerare skulle maskeras 30 dagar efter det att Kanada mottagit PNR-uppgifterna, och att andra uppgifter som uttryckligen räknades upp skulle maskeras två år efter mottagandet: se artikel 16.3 i förslaget till PNR-avtal mellan Kanada och EU som domstolen granskade, och yttrande 1/15, punkt 30.

238 Se yttrande av den 19 augusti 2016, s. 9.

239 Se, bland annat, domen La Quadrature du Net, punkterna 148 och 149.

240 Samma sak gäller en begäran om utlämnande av PNR-uppgifter som har framställts av enheterna för passagerarinformation i andra medlemsstater enligt artikel 9.2 i PNR-direktivet.

241 Se yttrande 1/15, punkt 192 och där angiven rättspraxis. Mer nyligen, se domen Privacy international, punkt 77, och, analogt, domen Prokuratuur, punkt 49 och där angiven rättspraxis.

242 Se yttrande 1/15, punkt 200.

243 Se yttrande 1/15, punkt 200.

244 Se yttrande 1/15, punkt 201.

245 Se yttrande 1/15, punkt 202.

246 Se, för ett liknande resonemang, yttrande 1/15, punkt 201.

247 Se, bland annat, artiklarna 4, 7.1, 7.2, 9.2, 10.2, och 12.4 i PNR-direktivet; se, bland annat, skälen 6, 9, 10, 11, 15, 23, 25, 35 och 38 i direktivet. Jag vill dessutom erinra om att det i skäl 28 i förslaget till PNR-direktiv preciserades att [d]etta direktiv påverkar inte medlemsstaternas möjligheter att i enlighet med sin nationella lagstiftning tillhandahålla ett system för insamling och behandling av PNR-uppgifter för andra ändamål än dem som anges i direktivet. Denna precisering finns dock inte med i den slutliga lydelsen av PNR-direktivet.

248 Denna möjlighet är dock tillåten enligt artikel 4.3 i PNR-direktivet, där det föreskrivs att [p]ersonal vid enheten för passagerarinformation kan utgöras av tjänstemän som avdelats från behöriga myndigheter, i vart fall i den mån som underrättelse- och säkerhetstjänsten i den berörda medlemsstaten kan betecknas som behöriga myndigheter i den mening som avses i artikel 7.2 i direktivet.

249 Vad beträffar de tvivel som den belgiska regeringen har gett uttryck för beträffande EU-domstolens behörighet att besvara den sjunde frågan, ska det noteras att den hänskjutande domstolen, enligt lydelsen i denna fråga, har bett EU-domstolen att ta ställning till tolkningen av artikel 12.3 i PNR-direktivet, och inte till den nationella lagstiftningens förenlighet med denna bestämmelse. Under alla omständigheter följer det av fast rättspraxis att domstolen kan ge de nationella domstolarna de upplysningar som gör det möjligt för dem att bedöma förenligheten (se. bland annat, dom av den 7 september 2016, ANODE, C‑121/15, EU:C:2016:637, punkt 54 och där angiven rättspraxis).

250 Se, i det avseendet, dom av den 5 november 2019, kommissionen/Polen (Allmänna domstolars oavhängighet) ( C‑192/18, EU:C:2019:924, punkterna 108–110).

251 I artikel 9.2 fjärde meningen i förslaget till PNR-direktiv föreskrevs att [f]ull tillgång till PNR-uppgifterna kan endast beviljas av chefen för enheten för passagerarinformation.

252 Domen Prokuratuur, punkterna 52 och 53.

253 Domen Prokuratuur, punkterna 53 och 54. Se, för ett liknande resonemang, domen Big Brother Watch, § 349–352.

254 I artikel 9.2 fjärde meningen i förslaget till PNR-direktiv föreskrevs att [f]ull tillgång till PNR-uppgifterna kan endast beviljas av chefen för enheten för passagerarinformation.

255 Artikel 29 § 1 och § 2 i PNR-lagen.

256 Se skäl 10 i PNR-direktivet.

257 Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna) (EUT L 77, 2016, s. 1) (nedan kallad kodexen om Schengengränserna).

258 I artikel 23 a i kodexen om Schengengränserna föreskrivs att utövandet av polisiära befogenheter får inte anses motsvara in- och utresekontroller när de polisiära åtgärderna i) inte syftar till gränskontroll, ii) bygger på allmän polisinformation och poliserfarenhet när det gäller eventuella hot mot den allmänna säkerheten och särskilt syftar till att bekämpa gränsöverskridande brottslighet, iii) utformas och utförs på ett sätt som klart skiljer sig från systematiska personkontroller vid de yttre gränserna, iv) utförs som stickprovskontroller.

259 Se, analogt, dom av den 13 december 2018, Touring Tours und Travel och Sociedad de transportes ( C‑412/17 och C‑474/17, EU:C:2018:1005, punkt 61 och där angiven rättspraxis), och beslut av den 4 juni 2020, FU ( C‑554/19, ej publicerat, EU:C:2020:439, punkterna 49–56).

260 I det avseendet vill jag påpeka att domstolen, i punkt 188 i yttrande 1/15, slog fast att identifieringen med hjälp av PNR-uppgifter av de passagerare som kan utgöra en risk för den allmänna säkerheten [ingår] i gränskontrollerna.

261 Se dom av den 13 december 2018, Touring Tours und Travel och Sociedad de transportes ( C‑412/17 och C‑474/17, EU:C:2018:1005, punkt 55 och där angiven rättspraxis).

262 Se, för ett liknande resonemang, bland annat beslut av den 4 juni 2020, FU ( C‑554/19, ej publicerat, EU:C:2020:439, punkt 46).

263 I arbetsdokumentet från år 2020 om API-direktivet (s. 20) har kommissionen även framhållit det problematiska i att systemen för behandling av PNR-uppgifter och API-uppgifter staplas på varandra på nationell nivå.

264 C‑411/17, EU:C:2019:622, punkterna 175, 176, 179 och 181.

265 Se dom La Quadrature du Net, punkterna 217–219.