L_2016119HR.01013201.xml

4.5.2016

Službeni list Europske unije

L 119/132

DIREKTIVA (EU) 2016/681 EUROPSKOG PARLAMENTA I VIJEĆA

od 27. travnja 2016.

o uporabi podataka iz evidencije podataka o putnicima (PNR) u svrhu sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma i teških kaznenih djela

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 82. stavak 1. točku (d) te članak 87. stavak 2. točku (a),

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1),

nakon savjetovanja s Odborom regija,

u skladu s redovnim zakonodavnim postupkom (2),

budući da:

(1)	Komisija je 6. studenoga 2007. donijela Prijedlog okvirne odluke Vijeća o uporabi podataka iz evidencije podataka o putnicima (PNR) u svrhu izvršavanja zakona. Budući da Vijeće nije usvojilo prijedlog Komisije do 1. prosinca 2009., kada je na snagu stupio Lisabonski ugovor, on je zastario.

(2)	„Stockholmskim programom – otvorena i sigurna Europa koja služi svojim građanima i štiti ih” (3) Komisiju se poziva na podnošenje prijedloga za uporabu podataka iz PNR-a u svrhu sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma i teških kaznenih djela.

(3)	U svojoj Komunikaciji od 21. rujna 2010. pod nazivom „O općem pristupu prijenosima podataka iz evidencije podataka o putnicima (PNR) trećim zemljama” Komisija je iznijela niz ključnih elemenata politike Unije za to područje.

(4)	Direktivom Vijeća 2004/82/EZ (4) propisuje se da zračni prijevoznici nadležnim nacionalnim tijelima prenose informacije o putnicima koje će prevoziti (API podaci) s ciljem poboljšanja graničnih kontrola i sprečavanja nezakonitog useljavanja.

(5)	Ciljevi su ove Direktive, među ostalim, zajamčiti sigurnost, zaštititi živote i sigurnost osoba te uspostaviti pravni okvir za zaštitu podataka iz PNR-a u pogledu njihove obrade koju provode nadležna tijela.

(6)

Učinkovita uporaba podataka iz PNR-a, primjerice uspoređivanjem podataka iz PNR-a s raznim bazama podataka o traženim osobama i predmetima, potrebna je za sprečavanje, otkrivanje, istragu i kazneni progon kaznenih djela terorizma i teških kaznenih djela, čime se jača unutarnja sigurnost, za prikupljanje dokaza te prema potrebi za pronalazak pomagača počinitelja kaznenih djela i razotkrivanje kriminalnih mreža.

(7)

Procjena podataka iz PNR-a omogućuje identifikaciju osoba koje nisu bile osumnjičene za sudjelovanje u kaznenim djelima terorizma ili teškim kaznenim djelima prije takve procjene i koje bi nadležna tijela trebale dodatno ispitati. Upotrebom podataka iz PNR-a omogućuje se sagledavanje prijetnje koja proizlazi iz kaznenih djela terorizma i teških kaznenih djela na drugačiji način u usporedbi s obradom ostalih kategorija osobnih podataka. Ipak, kako bi se osiguralo da obrada podataka iz PNR-a ostane ograničena na ono što je potrebno, uspostava i primjena kriterija procjene trebale bi biti ograničene na kaznena djela terorizma i teška kaznena djela za koje je uporaba takvih kriterija relevantna. Nadalje, kriteriji procjene trebali bi se odrediti na način kojim se broj nedužnih osoba koje sustav pogrešno identificira svodi na najmanju moguću mjeru.

(8)

Zračni prijevoznici već u vlastite komercijalne svrhe prikupljaju i obrađuju podatke iz PNR-a o svojim putnicima. Ovom Direktivom ne bi trebalo obvezivati zračne prijevoznike na prikupljanje ili čuvanje dodatnih podataka o putnicima, kao ni obvezivati putnike na davanje dodatnih podataka povrh onih koje već dostavljaju zračnim prijevoznicima.

(9)

Neki zračni prijevoznici čuvaju, kao dio podataka iz PNR-a, API podatke koje prikupe dok drugi to ne čine. Uporaba podataka iz PNR-a zajedno s API podacima dodatno pomaže državama članicama u vezi s potvrdom identiteta pojedinca, čime se dodaje vrijednost rezultatu izvršavanja zakonodavstva i na najmanju moguću mjeru smanjuje rizik od provođenja provjera i istraga nedužnih osoba. Stoga je važno osigurati da zračni prijevoznici prenose API podatke koje prikupe, bez obzira na to čuvaju li oni API podatke putem različitih tehničkih sredstava kao druge podatke iz PNR-a.

(10)

Radi sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma i teških kaznenih djela ključno je da sve države članice uvedu odredbe kojima se utvrđuju obveze prijenosa svih prikupljenih podataka iz PNR-a, uključujući i API podatke za zračne prijevoznike koji obavljaju letove između EU-a i trećih zemalja. Države članice trebale bi imati mogućnost proširiti ovu obvezu i na zračne prijevoznike koji obavljaju letove unutar EU-a. Tim se odredbama ne bi trebala dovoditi u pitanje Direktiva 2004/82/EZ.

(11)	Obrada osobnih podataka trebala bi biti proporcionalna posebnim sigurnosnim ciljevima koji se nastoje ostvariti ovom Direktivom.

(12)	Definicija kaznenih djela terorizma koja se primjenjuje u ovoj Direktivi trebala bi biti istovjetna definiciji iz Okvirne odluke Vijeća 2002/475/PUP (5). Definicija teških kaznenih djela trebala bi obuhvatiti kategorije kaznenih djela navedene u Prilogu II. ovoj Direktivi.

(13)

Podatke iz PNR-a trebalo bi prosljeđivati jednom odjelu za informacije o putnicima (PIU) koji je za to određen u dotičnoj državi članici kako bi se zajamčila jasnoća i smanjili troškovi koje snose zračni prijevoznici. PIU može imati različite ogranke u jednoj državi članici, a države članice mogu i zajednički osnovati jedan PIU. Države članice trebale bi međusobno razmjenjivati informacije putem relevantnih mreža za razmjenu informacija kako bi se olakšala razmjena informacija i osigurala interoperabilnost između država članica.

(14)	Države članice trebale bi snositi troškove uporabe, čuvanja i razmjene podataka iz PNR-a.

(15)

Popis podataka iz PNR-a koji se dostavlja PIU-u trebalo bi sastaviti s ciljem odražavanja legitimnih zahtjeva tijela javnih vlasti za sprečavanje, otkrivanje, istragu i kazneni progon kaznenih djela terorizma ili teških kaznenih djela, čime se povećava unutarnja sigurnost u Uniji i štite temeljna prava, osobito pravo na privatnost i zaštitu osobnih podataka. U tu svrhu trebali bi se primjenjivati visoki standardi u skladu s Poveljom o temeljnim pravima Europske unije („Povelja”), Konvencija za zaštitu osoba glede automatizirane obrade osobnih podataka („Konvencija br. 108”) i Europskom konvencijom za zaštitu ljudskih prava i temeljnih sloboda („EKLJP”). Takvi se popisi ne bi trebali temeljiti na rasi osobe ili njezinom etničkom podrijetlu, vjeri ili uvjerenju, političkom ili bilo kojem drugom mišljenju, članstvu u sindikatu, zdravstvenom stanju, seksualnom životu ili spolnoj orijentaciji. Podaci iz PNR-a trebali bi sadržavati samo informacije o rezervaciji i planu puta putnika kako bi nadležna tijela mogla identificirati zračne putnike koji predstavljaju opasnost unutarnjoj sigurnosti.

(16)

Trenutno se podaci mogu prenositi putem dvije metode: metoda „povlačenja” kojom nadležna tijela države članice koja traže podatke iz PNR-a mogu pristupiti sustavu rezervacija zračnog prijevoznika i izvući („povući”) kopiju traženih podataka iz PNR-a; i metoda „unošenja”, kojom zračni prijevoznici tražene podatke iz PNR-a prenose („unose”) nadležnom tijelu koje ih zahtijeva, što zračnim prijevoznicima omogućuje zadržavanje kontrole nad prenesenim podacima. Smatra se da se metodom „unošenja” pruža viša razina zaštite podataka te bi ona trebala biti obvezna za sve zračne prijevoznike.

(17)

Komisija podržava smjernice Međunarodne organizacije za civilno zrakoplovstvo (ICAO) o PNR-u. Te bi smjernice stoga trebale biti osnova za donošenje podržanih formata podataka za prijenos podataka iz PNR-a državama članicama koji obavljaju zračni prijevoznici. Kako bi se osigurali jednaki uvjeti za provedbu podržanih formata podataka i odgovarajućih protokola koji se odnose na prijenos podataka koji dolaze od zračnih prijevoznika, Komisiji bi trebalo dodijeliti provedbene ovlasti. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (6).

(18)

Države članice trebale bi poduzeti sve potrebne mjere kako bi omogućile zračnim prijevoznicima da ispune svoje obveze koje proizlaze iz ove Direktive. Države članice trebale bi propisati učinkovite, proporcionalne i odvraćajuće sankcije, uključujući financijske, za one zračne prijevoznike koji ne ispunjavaju svoje obveze u pogledu prijenosa podataka iz PNR-a.

(19)	Svaka država članica trebala bi biti odgovorna za procjenu potencijalnih prijetnji povezanih s kaznenim djelima terorizma i teškim kaznenim djelima.

(20)

Kako bi se u potpunosti poštovalo pravo na zaštitu osobnih podataka i pravo na nediskriminaciju, ne bi trebalo donositi odluke koje bi proizvele štetan pravni učinak za osobu ili bi značajno na nju utjecale isključivo na temelju automatizirane obrade podataka iz PNR-a. Nadalje, u skladu s člancima 8. i 21. Povelje ni jedna takva odluka ne bi smjela diskriminirati osobu, na temelju njezina spola, rase, boje kože, etničkog ili socijalnog podrijetla, genetskih osobina, jezika, vjere ili uvjerenja, političkog ili bilo kakvog drugog mišljenja, pripadnosti nacionalnoj manjini, imovine, rođenja, invalidnosti, dobi ili spolne orijentacije. Kada Komisija preispituje primjenu ove Direktive, trebala bi uzeti u obzir i ta načela.

(21)

Države članice ni u kojem slučaju ne bi smjele upotrebljavati rezultat obrade podataka iz PNR-a kao osnovu za zaobilaženje svojih međunarodnih obveza prema Konvenciji o statusu izbjeglica od 28. srpnja 1951. kako je izmijenjena Protokolom od 31. siječnja 1967. niti bi se taj rezultat smio upotrebljavati na način da se tražiteljima azila uskrate sigurne i učinkovite pravne mogućnosti na području Unije za ostvarivanje njihova prava na međunarodnu zaštitu.

(22)

Uzimajući u potpunosti u obzir načela istaknuta u nedavnoj relevantnoj sudskoj praksi Suda Europske unije, primjenom ove Direktive trebalo bi se osigurati potpuno poštovanje temeljnih prava, prava na privatnost te načela proporcionalnosti. Također bi se u potpunosti trebalo voditi računa o tome što je potrebno i proporcionalno za ostvarenje općih interesa koje Unija prepoznaje te o potrebi za zaštitom tuđih prava i sloboda u borbi protiv kaznenih djela terorizma i teških kaznenih djela. Primjena ove Direktive trebala bi biti opravdana te bi trebalo poduzeti sve potrebne zaštitne mjere kako bi se osigurala zakonitost svake pohrane, analize, prijenosa ili uporabe podataka iz PNR-a.

(23)

Države članice trebale bi međusobno i s Europolom razmjenjivati zaprimljene podatke iz PNR-a ako se to smatra potrebnim u svrhu sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma ili teških kaznenih djela. PIU-ovi bi, prema potrebi i bez odlaganja, trebali prenijeti rezultat obrade podataka iz PNR-a PIU-ovima u drugim državama članicama za potrebe daljnje istrage. Odredbama ove Direktive ne bi se smjeli dovesti u pitanje drugi pravni instrumenti Unije o razmjeni informacija između policijskih tijela i tijela za izvršavanje zakonodavstva i pravosudnih tijela, uključujući Odluku Vijeća 2009/371/PUP (7) i Okvirnu odluku Vijeća 2006/960/PUP (8). Takva razmjena podataka iz PNR-a trebala bi se voditi pravilima o policijskoj i pravosudnoj suradnji te ne bi trebala ugroziti visoku razinu zaštite privatnosti i osobnih podataka koja se zahtijeva Poveljom, Konvencijom br. 108 i EKLJP-om.

(24)	Sigurna razmjena informacija u vezi s podacima iz PNR-a između država članica trebala bi se osigurati putem svih postojećih kanala za suradnju između nadležnih tijela država članica te s Europolom, posebno putem Europolove mrežne aplikacije za sigurnu razmjenu informacija (SIENA).

(25)

Razdoblje tijekom kojeg je potrebno čuvati podatke iz PNR-a trebalo bi biti ono koje je potrebno za svrhe sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma i teških kaznenih djela te proporcionalno tim svrhama. Zbog prirode tih podataka i njihovih uporaba, potrebno je da se podaci iz PNR-a čuvaju dovoljno dugo za provedbu analize i uporabu u istragama. Kako bi se izbjegla nerazmjerna uporaba, nakon početnog razdoblja čuvanja, podatke iz PNR-a trebalo bi depersonalizirati skrivanjem elemenata podataka. Radi osiguravanja najviše razine zaštite podataka pristup potpunim podacima iz PNR-a, kojim se omogućuje izravna identifikacija ispitanika, trebao bi se odobriti samo pod vrlo strogim i ograničenim uvjetima nakon tog početnog razdoblja.

(26)

Ako su određeni podaci iz PNR-a preneseni nadležnom tijelu i upotrebljavaju se u okviru određenih kriminalističkih istraživanja ili kaznenih progona, čuvanje takvih podataka od strane nadležnog tijela trebalo bi biti uređeno nacionalnim pravom, bez obzira na razdoblje čuvanja podataka utvrđeno u ovoj Direktivi.

(27)

Za obradu podataka iz PNR-a u svakoj državi članici obavlja PIU i nadležna tijela trebao bi se primjenjivati standard za zaštitu osobnih podataka u okviru nacionalnog prava koji je u skladu s Okvirnom odlukom Vijeća 2008/977/PUP (9) i posebnim zahtjevima o zaštiti podataka navedenima u ovoj Direktivi. Upućivanja na Okvirnu odluku Vijeća 2008/977/PUP trebala bi se shvatiti kao upućivanja na zakonodavstvo koje je trenutačno na snazi, ali i na zakonodavstvo koje će ga zamijeniti.

(28)

Uzimajući u obzir pravo na zaštitu osobnih podataka, prava ispitanika koja se odnose na obradu njihovih podataka iz PNR-a, poput prava na pristup, na ispravljanje, brisanje ili ograničavanje te pravâ na naknadu i na pravno sredstvo, trebala bi biti u skladu s Okvirnom odlukom Vijeća 2008/977/PUP i visokom razinom zaštite utvrđenom u Povelji i EKLJP-u.

(29)	Uzimajući u obzir pravo putnika da budu obaviješteni o obradi svojih osobnih podataka, države članice trebale bi putnicima osigurati točne, lako dostupne i razumljive informacije o prikupljanju podataka iz PNR-a i o njihovu prijenosu u PIU te o pravima koja im pripadaju u svojstvu ispitanika.

(30)	Ovom Direktivom ne dovodi se u pitanje pravo Unije i nacionalno pravo o načelu javnog pristupa službenim dokumentima.

(31)

Državama članicama trebao bi biti dopušten prijenos podataka iz PNR-a trećim zemljama samo za svaki slučaj posebno te uz potpuno poštovanje odredbi koje su države članice utvrdile na temelju Okvirne odluke 2008/977/PUP. Kako bi se osigurala zaštita osobnih podataka, provođenje takvih prijenosa trebalo bi biti u skladu s dodatnim zahtjevima povezanima sa svrhom prijenosa. Također bi trebali biti u skladu s načelom nužnosti i proporcionalnosti te visokom razinom zaštite utvrđenom u Povelji i EKLJP-u.

(32)	Nacionalno nadzorno tijelo koje je osnovano provedbom Okvirne odluke 2008/977/PUP ujedno bi trebalo biti odgovorno za savjetovanje o primjeni odredaba koje su donijele države članice u skladu s ovom Direktivom te za njihovo praćenje.

(33)

Ovom Direktivom ne utječe se na mogućnost država članica da u okviru svojeg nacionalnog prava predvide sustav prikupljanja i obrade podataka iz PNR-a gospodarskih subjekata koji nisu prijevoznici, kao što su putničke agencije i organizatori turističkih putovanja koji pružaju usluge povezane s putovanjima, uključujući rezervacije letova za koje prikupljaju i obrađuju podatke iz PNR-a, ili prijevoznika koji nisu obuhvaćeni ovom Direktivom, pod uvjetom da takvo nacionalno pravo bude u skladu s pravnom stečevinom Unije.

(34)	Ovom Direktivom ne dovode se u pitanje postojeća pravila Unije o načinu provođenja graničnih kontrola ili pravila Unije kojima se uređuje ulazak na područje Unije i izlazak iz njega.

(35)

Budući da postoje pravne i tehničke razlike između nacionalnih odredaba koje se odnose na obradu osobnih podataka, uključujući podatke iz PNR-a, zračni prijevoznici suočeni su i bit će suočeni s različitim zahtjevima u pogledu vrsta informacija koje se prenose te uvjeta pod kojima se one trebaju dostaviti nadležnim nacionalnim tijelima. Te razlike mogu štetiti učinkovitoj suradnji među nadležnim nacionalnim tijelima u sprečavanju, otkrivanju, istrazi i kaznenom progonu kaznenih djela terorizma ili teških kaznenih djela. Stoga je na razini Unije potrebno uspostaviti zajednički pravni okvir za prijenos i obradu podataka iz PNR-a.

(36)

Ovom Direktivom poštuju se temeljna prava i načela Povelje, osobito pravo na zaštitu osobnih podataka, pravo na privatnost i pravo na nediskriminaciju, koja su zaštićena njezinim člancima 8., 7., i 21. te bi je stoga trebalo na odgovarajući način provesti. Ova je Direktiva u skladu s načelima zaštite podataka, a njezine odredbe u skladu su s Okvirnom odlukom 2008/977/PUP. Nadalje, radi poštovanja načela proporcionalnosti, ova će Direktiva za određena pitanja imati stroža pravila o zaštiti podataka nego Okvirna odluka 2008/977/PUP.

(37)

Područje primjene ove Direktive ograničeno je u najvećoj mogućoj mjeri budući da dopušta čuvanje podataka iz PNR-a u PIU-ovima u razdoblju od najviše pet godina, nakon čega bi se ti podaci trebali izbrisati; predviđa da se podaci depersonaliziraju skrivanjem elemenata podataka nakon početnog razdoblja od šest mjeseci te zabranjuje prikupljanje i uporabu osjetljivih podataka. Kako bi se osigurala učinkovitost i visoka razina zaštite podataka, države članice trebaju osigurati da neovisno nacionalno nadzorno tijelo, a posebno službenik za zaštitu podataka, budu nadležni za savjetovanje i praćenje načina obrade podataka iz PNR-a. Svaku obradu podataka iz PNR-a trebalo bi evidentirati ili dokumentirati u svrhu provjere njezine zakonitosti, samonadzora i osiguravanja pravilne nepovredivosti podataka i sigurne obrade. Države članice ujedno bi trebale putnicima osigurati jasne i precizne informacije o prikupljanju podataka iz PNR-a i njihovim pravima.

(38)

S obzirom na to da ciljeve ove Direktive, a to su prijenos podataka iz PNR-a od strane zračnih prijevoznika i njihova obrada za potrebe sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma i teških kaznenih djela, ne mogu dostatno ostvariti države članice, nego se oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti, utvrđenim u tom članku, ova Direktiva ne prelazi se ono što je potrebno za ostvarivanje tih ciljeva.

(39)

U skladu s člankom 3. Protokola br. 21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područje slobode, sigurnosti i pravde, priloženog Ugovoru o Europskoj uniji i Ugovoru o funkcioniranju Europske unije, te su države članice obavijestile da žele sudjelovati u donošenju i primjeni ove Direktive.

(40)	U skladu s člancima 1. i 2. Protokola br. 22. o stajalištu Danske priloženog Ugovoru o Europskoj uniji i Ugovoru o funkcioniranju Europske unije, Danska ne sudjeluje u donošenju ove Direktive te ona za nju nije obvezujuća niti se na nju primjenjuje.

(41)	Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 Europskog parlamenta i Vijeća (10), koji je dao mišljenje 25. ožujka 2011.,

DONIJELI SU OVU DIREKTIVU:

POGLAVLJE I.

Opće odredbe

Članak 1.

Predmet i područje primjene

1. Ovom Direktivom propisuju se:

(a)	prijenos podataka iz evidencije podataka o putnicima (PNR) koji provode zračni prijevoznici o putnicima na letovima između EU-a i trećih zemalja,

(b)	obrada podataka iz točke i., uključujući njihovo prikupljanje, uporabu i čuvanje u državama članicama te njihovu razmjenu između država članica.

2. Podaci iz PNR-a prikupljeni u skladu s ovom Direktivom mogu se obrađivati samo u svrhu sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma i teških kaznenih djela, kako je predviđeno člankom 6. stavkom 2. točkama (a), (b) i (c).

Članak 2.

Primjena ove Direktive na letove unutar EU-a

1. Ako država članica odluči primijeniti ovu Direktivu na letove unutar EU-a, u pisanom obliku obavješćuje Komisiju. Država članica može dostaviti ili povući obavijest u bilo kojem trenutku. Komisija objavljuje tu obavijest i njezino povlačenje u Službenom listu Europske unije.

2. Ako je obavijest iz stavka 1. dostavljena, sve odredbe ove Direktive primjenjuju se na letove unutar EU-a kao da se radi o letovima između EU-a i trećih zemalja te na podatke iz PNR-a dobivene na temelju letova unutar EU-a kao da se radi o podacima iz PNR-a dobivenima na temelju letova između EU-a i trećih zemalja.

3. Država članica može odlučiti primijeniti ovu Direktivu samo na odabrane letove unutar EU-a. Pri donošenju takve odluke država članica odabire letove koje smatra potrebnima kako bi ostvarila ciljeve ove Direktive. Država članica može odlučiti promijeniti svoj odabir letova unutar EU-a u bilo kojem trenutku.

Članak 3.

Definicije

Za potrebe ove Direktive primjenjuju se sljedeće definicije:

1.	„zračni prijevoznik” znači poduzeće za zračni prijevoz s važećom dozvolom za obavljanje djelatnosti ili jednakovrijednom dozvolom za obavljanje prijevoza putnika zrakom;

„let između EU-a i trećih zemalja” znači svaki redoviti ili izvanredni let zračnog prijevoznika čije se polazište nalazi u trećoj zemlji, a odredište na državnom području države članice ili čije se polazište nalazi na državnom području države članice, a odredište u trećoj zemlji, uključujući u oba slučaja letove sa zaustavljanjima na državnom području država članica ili trećih zemalja;

3.	„let unutar EU-a” znači svaki redoviti ili izvanredni let zračnog prijevoznika čije se polazište nalazi na državnom području države članice, a odredište na državnom području jedne države članice ili više njih, bez zaustavljanja na državnom području ili u zračnim lukama treće zemlje;

4.	„putnik” znači svaka osoba, uključujući transferne ili tranzitne putnike, izuzev članova posade, koja se prevozi ili će se prevesti u zrakoplovu uz pristanak zračnog prijevoznika, vidljivog iz upisa osoba na popis putnika;

„evidencija podataka o putnicima” ili „PNR” znači evidencija zahtjeva u vezi s putovanjem svakog putnika koja sadrži informacije potrebne za obradu i kontrolu rezervacija od strane uključenih zračnih prijevoznika i onih koji obavljaju rezervacije za svako putovanje rezervirano od strane neke osobe ili u njezino ime, neovisno o tome čini li sastavni dio sustava rezervacija, Sustava kontrole odlazaka, koji služi prijavi putnika na letove ili jednakovrijednog sustava s istim funkcijama;

6.	„sustav rezervacija” znači unutarnji sustav zračnog prijevoznika u kojem se prikupljaju podaci iz PNR-a za upravljanje rezervacijama;

7.	„metoda unošenja” znači metoda kojom zračni prijevoznici prenose podatke iz PNR-a navedene u Prilogu I. u bazu podataka tijela koje ih zahtijeva;

8.	„kaznena djela terorizma” znači kaznena djela u skladu s nacionalnim pravom iz članaka od 1. do 4. Okvirne odluke Vijeća 2002/475/PUP;

9.	„teška kaznena djela” znači kaznena djela navedena u Prilogu II. koja su kažnjiva kaznom zatvora ili mjerom oduzimanja slobode od najmanje tri godine u skladu s nacionalnim pravom države članice;

10.	„depersonalizirati skrivanjem elemenata podataka” znači učiniti nevidljivim za korisnika određene elemente podataka iz kojih bi se izravno mogao identificirati ispitanik.

POGLAVLJE II.

Odgovornosti država članica

Članak 4.

Odjel za informacije o putnicima

1. Svaka država članica osniva ili određuje tijelo nadležno za sprečavanje, otkrivanje, istragu ili kazneni progon kaznenih djela terorizma i teških kaznenih djela ili ogranak takvog tijela, da djeluje kao njezin odjel za informacije o putnicima (PIU).

2. PIU je nadležan za:

(a)	prikupljanje podataka iz PNR-a od zračnih prijevoznika, pohranu i obradu tih podataka te za prijenos tih podataka ili rezultata njihove obrade nadležnim tijelima iz članka 7.;

(b)	razmjenu podataka iz PNR-a i rezultata obrade tih podataka s PIU-ovima drugih država članica i Europolom u skladu s člancima 9. i 10.

3. Osoblje PIU-a može biti upućeno iz nadležnih tijela. Države članice osiguravaju PIU-ovima dovoljno sredstava za ispunjavanje njihovih zadaća.

4. Dvije države članice ili više njih (uključene države članice) mogu uspostaviti ili odrediti jedinstveno tijelo koje će djelovati kao njihov PIU. Takav PIU uspostavlja se u jednoj od uključenih država članica i smatra se nacionalnim PIU-om svih uključenih država članica. Uključene države članice zajednički dogovaraju detaljna pravila za djelovanje PIU-a i poštuju zahtjeve iz ove Direktive.

5. U roku mjesec dana od uspostave svojeg PIU-a, svaka država članica o tome obavješćuje Komisiju te može u svakom trenutku izmijeniti svoju obavijest. Komisija tu obavijest objavljuje, uključujući sve eventualne izmjene, u Službenom listu Europske unije.

Članak 5.

Službenik za zaštitu podataka u PIU-u

1. PIU imenuje službenika za zaštitu podataka zaduženog za praćenje obrade podataka iz PNR-a i provedbu odgovarajućih zaštitnih mjera.

2. Države članice osiguravaju službenicima za zaštitu podataka sva potrebna sredstva za učinkovito i neovisno obavljanje njihovih dužnosti i zadaća u skladu s ovim člankom.

3. Države članice osiguravaju da ispitanik ima pravo na kontaktiranje sa službenikom za zaštitu podataka, kao jedinstvenom kontaktnom točkom, u pogledu svih pitanja povezanih s obradom njegovih podataka iz PNR-a.

Članak 6.

Obrada podataka iz PNR-a

1. PIU dotične države članice prikuplja podatke iz PNR-a koje zračni prijevoznici prenose, kako je predviđeno člankom 8. Ako podaci iz PNR-a koje zračni prijevoznici prenose sadrže podatke koji nisu navedeni u Prilogu I., PIU odmah po primitku trajno briše takve podatke.

2. PIU obrađuje podatke iz PNR-a samo za sljedeće namjene:

(a)

provođenje procjene putnika prije njihova planiranog dolaska u državu članicu ili odlaska iz nje kako bi se identificirale osobe za koje je potrebno dodatno ispitivanje od strane nadležnih tijela iz članka 7. te prema potrebi Europola, u skladu s člankom 10., s obzirom da to da bi takve osobe mogle biti uključene u kazneno djelo terorizma ili teško kazneno djelo;

(b)

odgovaranje, za svaki slučaj pojedinačno, na propisno obrazložen zahtjev podnesen na temelju dovoljno dokaza od strane nadležnih tijela za dostavu i obradu podataka iz PNR-a u određenim slučajevima u svrhe sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma ili teških kaznenih djela, teza dostavu rezultata takve obrade nadležnim tijelima ili, prema potrebi, Europolu; i

(c)	analiziranje podataka iz PNR-a u svrhu ažuriranja ili određivanja novih kriterija za provođenje procjena koje se provode na temelju stavka 3. točke (b) kako bi se identificirale sve osobe koje bi mogle biti uključene u kazneno djelo terorizma ili teško kazneno djelo.

3. Pri provođenju procjene iz stavka 2. točke (a) PIU može:

(a)

uspoređivati podatke iz PNR-a s bazama podataka relevantnima za svrhe sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma i teških kaznenih djela, što uključuje baze podataka o osobama ili predmetima koji se traže ili za koje postoji upozorenje, u skladu s pravilima Unije te međunarodnim i nacionalnim pravilima koja se primjenjuju na takve baze podataka; ili

(b)	obrađivati podatke iz PNR-a u skladu s prethodno utvrđenim kriterijima.

4. Svaka procjena putnika prije njihova planiranog dolaska u državu članicu ili odlaska iz nje provedeno na temelju stavka 3. točke (b) u skladu s prethodno određenim kriterijima mora se provesti na nediskriminirajući način. Ti prethodno utvrđeni kriteriji procjene moraju biti usmjereni, proporcionalni i određeni. Države članice osiguravaju da PIU-ovi odrede te kriterije te da ih oni redovito preispituju u suradnji s nadležnim tijelima iz članka 7. Ti kriteriji ne smiju se ni u kojem slučaju temeljiti na rasnom ili etničkom podrijetlu osobe, njezinim političkim mišljenjima, vjeri ili filozofskim uvjerenjima, članstvu u sindikatu, zdravstvenom stanju, seksualnom životu ili spolnoj orijentaciji.

5. Države članice osiguravaju da se svaki pozitivni rezultat nastao automatiziranom obradom podataka iz PNR-a koja se provodi na temelju stavka 2. točke (a) pojedinačno provjeri na neautomatizirani način radi utvrđivanja treba li nadležno tijelo iz članka 7. poduzeti mjere na temelju nacionalnog prava.

6. PIU određene države članice prenosi podatke iz PNR-a za osobe koje su identificirane u skladu sa stavkom 2. točkom (a) ili rezultate njihove obrade nadležnim tijelima iz članka 7. iste države članice za daljnje ispitivanje. Takvi se prijenosi obavljaju samo za svaki slučaj pojedinačno i u slučaju automatizirane obrade podataka iz PNR-a nakon pojedinačne neautomatizirane provjere.

7. Države članice osiguravaju da službenik za zaštitu podataka ima pristup svim podacima koje obrađuje PIU. Ako službenik za zaštitu podataka smatra da obrada bilo kojih podataka nije bila zakonita, on može uputiti predmet nacionalnom nadzornom tijelu.

8. PIU provodi pohranu, obradu i analizu podataka iz PNR-a isključivo na sigurnoj lokaciji ili lokacijama unutar državnog područja država članica.

9. Posljedice procjena putnika iz stavka 2. točke (a) ovog članka ne dovode u pitanje pravo ulaska osoba koje uživaju pravo Unije na slobodno kretanje na državno područje dotične države članice kako je to utvrđeno Direktivom 2004/38/EZ Europskog parlamenta i Vijeća (11). Osim toga, ako se procjene provode u odnosu na letove unutar EU-a između država članica na koje se primjenjuje Uredba (EZ) br. 562/2006 Europskog parlamenta i Vijeća (12), posljedice takvih procjena moraju biti u skladu s tom Uredbom.

Članak 7.

Nadležna tijela

1. Svaka država članica donosi popis nadležnih tijela koja su ovlaštena za traženje ili primanje podataka iz PNR-a ili rezultata obrade tih podataka od strane PIU-a radi daljnjeg ispitivanja tih informacija ili poduzimanja odgovarajućih mjera u svrhe sprečavanja, otkrivanja, istrage i kaznenog progona kaznenih djela terorizma i teških kaznenih djela.

2. Tijela iz stavka 1. jesu tijela nadležna su za sprečavanje, otkrivanje, istragu ili kazneni progon kaznenih djela terorizma i teških kaznenih djela.

3. Za potrebe članka 9. stavka 3. svaka država članica obavješćuje Komisiju o popisu svojih nadležnih tijela do 25. svibnja 2017. i može u svakom trenutku izmijeniti svoju obavijest. Komisija tu obavijest i sve njezine izmjene objavljuje u Službenom listu Europske unije.

4. Nadležna tijela država članica podatke iz PNR-a i rezultat obrade tih podataka koje je zaprimio PIU mogu dodatno obrađivati samo u posebnu svrhu sprečavanja, otkrivanja, istrage ili kaznenog progona kaznenih djela terorizma ili teških kaznenih djela.

5. Stavak 4. ne dovodi u pitanje izvršavanje zakonodavstva ni pravosudne ovlasti na nacionalnoj razini kada se druga kaznena djela ili sumnja na njihovo postojanje otkriju tijekom aktivnosti progona koja proizlazi iz takve obrade.

6. Nadležna tijela ne smiju donijeti nikakvu odluku koja bi proizvela štetni pravni učinak na osobu ili bi značajno na nju utjecala isključivo na temelju automatizirane obrade podataka iz PNR-a. Takve odluke ne smiju se temeljiti na rasi ili etničkom podrijetlu osobe, njezinim političkim mišljenjima, vjeri ili filozofskim uvjerenjima, članstvu u sindikatu, zdravstvenom stanju, seksualnom životu ili spolnoj orijentaciji.

Članak 8.

Obveze za zračne prijevoznike u pogledu prijenosa podataka

1. Države članice donose potrebne mjere kako bi osigurale da zračni prijevoznici podatke iz PNR-a navedene u Prilogu I., u mjeri u kojoj su takve podatke već prikupili tijekom svojeg redovitog poslovanja, prenose („metodom unošenja”) u bazu podataka PIU-a države članice na čijem se državnom području nalazi polazište ili odredište leta. Kada se radi o zajedničkim letovima (code-sharing) jednog zračnog prijevoznika ili više njih, zračni prijevoznik koji obavlja let odgovoran je za prijenos podatka iz PNR-a svih putnika na letu. Kada let između EU-a i trećih zemalja ima jedno zaustavljanje ili više njih u zračnim lukama država članica, zračni prijevoznici prenose podatke iz PNR-a u pogledu svih putnika PIU-ovima svih uključenih država članica. To se također primjenjuje kada let unutar EU-a ima jedno zaustavljanje ili više njih u zračnim lukama različitih država članica, ali samo u odnosu na države članice koje prikupljaju podatke iz PNR-a dobivene na temelju letova unutar EU-a.

2. U slučaju da zračni prijevoznici prikupljaju bilo kakve API podatke navedene u točki 18. Priloga I., ali te podatke ne zadržavaju putem istih tehničkih sredstava kao druge podatke iz PNR-a, države članice donose potrebne mjere kako bi se osiguralo da zračni prijevoznici te podatke također prenose („metodom unošenja”) PIU-u države članice iz stavka 1. U slučaju prijenosa sve odredbe ove Direktive primjenjuju se na te API podatke.

3. Zračni prijevoznici podatke iz PNR-a prenose elektroničkim putem upotrebljavajući zajedničke protokole i podržane formate za prijenos podataka koji se donose u skladu s postupkom ispitivanja iz članka 17. stavka 2. ili, u slučaju tehničke neispravnosti, nekim drugim odgovarajućim načinom koji jamči odgovarajuću razinu sigurnosti podataka, pod sljedećim uvjetima:

(a)	24 do 48 sati prije zakazanog vremena polaska zrakoplova; te

(b)	odmah po zatvaranju leta, tj. kada su se putnici ukrcali u zrakoplov koji se sprema za polazak i kada se putnici više ne mogu ukrcati ni iskrcati.

4. Države članice zračnim prijevoznicima dopuštaju da se prijenos iz stavka 3. točke (b) ograniči na ažuriranje prijenosa iz točke (a) tog stavka.

5. Ako je pristup podacima iz PNR-a potreban kako bi se odgovorilo na konkretnu i stvarnu prijetnju povezanu s kaznenim djelima terorizma ili teškim kaznenim djelima, zračni prijevoznici, za svaki slučaj pojedinačno,na zahtjev prenose podatke iz PNR-a i u drugim prilikama osim onih iz stavka 3., na zahtjev PIU-a koji je u skladu s nacionalnim pravom.

Članak 9.

Razmjena informacija među državama članicama

1. Države članice osiguravaju da PIU, u pogledu osoba koje je PIU identificirao u skladu s člankom 6. stavkom 2., sve relevantne i potrebne podatke iz PNR-a ili rezultat obrade tih podataka prenese odgovarajućim PIU-ovima drugih država članica. U skladu s člankom 6. stavkom 6. PIU-ovi država članica primateljica prenose zaprimljene podatke svojim nadležnim tijelima.

2. PIU pojedine države članice može zahtijevati, prema potrebi, od PIU-a bilo koje druge države članice dostavu podataka iz PNR-a koji se nalaze u njihovoj bazi podataka, a koji još nisu depersonalizirani skrivanjem elemenata podataka na temelju članka 12. stavka 2., te, također, prema potrebi, rezultat bilo kakve obrade tih podataka, ako je ona već izvršena na temelju članka 6. stavka 2. točke (a). Takav se zahtjev propisano obrazlaže. Može se temeljiti na bilo kojem elementu podataka ili kombinaciji takvih elemenata koje PIU koji podnosi taj zahtjev smatra potrebnim za konkretan slučaj sprečavanja, otkrivanja, istrage ili kaznenog progona kaznenih djela terorizma ili teških kaznenih djela. PIU dostavlja tražene podatke čim to bude moguće. U slučaju da su zatraženi podaci depersonalizirani skrivanjem elemenata podataka na temelju članka 12. stavka 2., PIU potpune podatke iz PNR-a dostavlja samo ako se opravdano smatra da je to potrebno u svrhu iz članka 6. stavka 2. točke (b) i to samo kada to odobri tijelo iz članka 12. stavka 3. točke (b).

3. Nadležna tijela države članice mogu samo kada je to potrebno u hitnim slučajevima te pod uvjetima utvrđenima u stavku 2. od PIU-a bilo koje druge države članice izravno zatražiti dostavu podatka iz PNR-a iz njihove baze podataka. Zahtjevi nadležnih tijela obrazlažu se. Preslika zahtjeva uvijek se šalje PIU-u države članice koja je podnijela zahtjev. U svim drugim slučajevima nadležna tijela svoje zahtjeve upućuju preko PIU-a vlastite države članice.

4. U iznimnim slučajevima, ako je za odgovor na konkretnu i stvarnu prijetnju povezanu s kaznenim djelima terorizma ili teškim kaznenim djelima potreban pristup podacima iz PNR-a, PIU države članice može u svakom trenutku zahtijevati da PIU-a druge države članice dobije podatke iz PNR-a u skladu s člankom 8. stavkom 5. i da ih dostavi PIU-u koji je podnio zahtjev.

5. Razmjena informacija u skladu s ovim člankom može se obavljati kroz postojeće kanale za suradnju između nadležnih tijela država članica. Jezik koji se upotrebljava za podnošenje molbe i razmjenu informacija jest jezik koji se upotrebljava u kanalu kojim se služi. Države članice, kod davanja obavijesti u skladu s člankom 4. stavkom 5., također Komisiji dostavljaju pojedinosti o kontaktnim točkama kojima se u hitnim slučajevima mogu uputiti zahtjevi. Komisija državama članicama dostavlja takve pojedinosti.

Članak 10.

Uvjeti za pristup Europola podacima iz PNR-a

1. Europol ima pravo u okviru svojih ovlasti i za potrebe obavljanja svojih zadaća od PIU-ova država članica zatražiti podatke iz PNR-a ili rezultat njihove obrade.

2. Europol može, za svaki slučaj posebno, preko Europolove nacionalne jedinice podnijeti elektronički i propisno obrazložen zahtjev PIU-u bilo koje države članice za prijenos posebnih podataka iz PNR-a ili za rezultat obrade tih podataka. Europol može podnijeti takav zahtjev kada je to nužno radi podržavanja i jačanja djelovanja država članica u svrhu sprečavanja, otkrivanja ili istrage konkretnog kaznenog djela terorizma ili teškog kaznenog djela, ako je to kazneno djelo u nadležnosti Europola u skladu s Odlukom 2009/371/PUP. U tom zahtjevu navode se utemeljeni razlozi na osnovi kojih Europol smatra da će se prijenosom podataka iz PNR-a ili rezultata obrade podataka iz PNR-a znatno doprinijeti sprečavanju, otkrivanju, istrazi navedenog kaznenog djela.

3. Europol obavješćuje službenika za zaštitu podataka, imenovanoga u skladu s člankom 28. Odluke 2009/371/PUP, o svakoj razmjeni informacija na temelju ovog članka.

4. Razmjena informacija na temelju ovog članka odvija se putem SIENA-e te u skladu s Odlukom 2009/371/PUP. Jezik koji se upotrebljava za podnošenje molbe i razmjenu informacija jest jezik koji se upotrebljava u SIENA-i.

Članak 11.

Prijenos podataka trećim zemljama

1. Država članica može trećoj zemlji prenositi podatke iz PNR-a, i rezultat obrade takvih podataka koje PIU pohranjuje u skladu s člankom 12. samo za svaki slučaj posebno i:

(a)	ako su ispunjeni uvjeti iz članka 13. Okvirne odluke Vijeća 2008/977/PUP;

(b)	ako je takav prijenos potreban u svrhe ove Direktive iz članka 1. stavka 2.;

(c)	ako je treća zemlja suglasna prenijeti podatke drugoj trećoj zemlji samo ako je to nužno u svrhe ove Direktive iz članka 1. stavka 2. i samo uz izričito odobrenje te države članice; i

(d)	ako su ispunjeni isti uvjeti kao oni utvrđeni u članku 9. stavku 2.

2. Neovisno o članku 13. stavku 2. Okvirne odluke 2008/977/PUP, prijenosi podataka iz PNR-a bez prethodne suglasnosti države članice iz koje su podaci dobiveni, dopušteni su u iznimnim okolnostima i samo ako:

(a)	takvi prijenosi ključni su da bi se odgovorilo na konkretnu i stvarnu prijetnju povezanu s kaznenim djelima terorizma ili teškim kaznenim djelima u državi članici ili trećoj zemlji, i

(b)	prethodna se suglasnost ne može pravodobno dobiti.

Tijelo nadležno za davanje odobrenja obavješćuje se bez odgode, a prijenos se propisno bilježi te podliježe naknadnoj provjeri.

3. Države članice nadležnim tijelima trećih zemalja prenose podatke iz PNR-a samo pod uvjetima koji su u skladu s ovom Direktivom i tek nakon što utvrde da primatelji imaju namjeru koristiti se podacima iz PNR-a u skladu s tim uvjetima i zaštitnim mjerama.

4. Službenika za zaštitu podataka PIU-a države članice koja je prenijela podatke iz PNR-a obavješćuje se svaki put kada država članica prenese podatke iz PNR-a na temelju ovog članka.

Članak 12.

Razdoblje čuvanja i depersonalizacije podataka

1. Države članice osiguravaju da se podaci iz PNR-a koje zračni prijevoznici dostavljaju PIU-u čuvaju u bazi podataka PIU-a u razdoblju od pet godina od njihova prijenosa PIU-u države članice na čijem se državnom području nalazi polazište ili odredište leta.

2. Nakon isteka razdoblja od šest mjeseci nakon prijenosa podataka iz PNR-a iz stavka 1., svi podaci iz PNR-a depersonaliziraju se skrivanjem sljedećih elemenata podataka koji bi mogli poslužiti za izravnu identifikaciju putnika na kojeg se ti podaci iz PNR-a odnose:

(a)	ime(na), uključujući imena drugih putnika u PNR-u i broj putnika u PNR-u koji putuju zajedno;

(b)	adresa i kontaktni podaci;

(c)	svi podaci o načinu plaćanja, uključujući adresu za slanje računa, u mjeri u kojoj oni sadrže bilo kakve informacije koje bi mogle poslužiti za izravnu identifikaciju putnika na kojeg se ti podaci iz PNR-a odnose ili bilo koje druge osobe;

(d)	podaci o programima vjernosti;

(e)	opće opaske u mjeri u kojoj sadrže bilo kakve informacije koje bi mogle poslužiti za izravnu identifikaciju putnika na kojeg se odnosi PNR; te

(f)	svi prikupljeni API podaci.

3. Nakon isteka razdoblja od šest mjeseci iz stavka 2., otkrivanje potpunih podataka iz PNR-a dopušteno je samo ako se:

(a)	opravdano smatra da je to potrebno u svrhu iz članka 6. stavka 2. točke (b); i

(b)

ako je odobri:

i.	pravosudno tijelo; ili

ii.	drugo nacionalno tijelo koje je prema nacionalnom pravu nadležno provjeriti jesu li ispunjeni uvjeti za objavu, pod uvjetom da se o tome obavijesti službenik za zaštitu podataka u PIU-u i da to podliježe njegovoj naknadnoj provjeri.

4. Države članice osiguravaju trajno brisanje podataka iz PNR-a po isteku razdoblja iz stavka 1. Tom obvezom ne dovode se u pitanje slučajevi u kojima su određeni podaci iz PNR-a preneseni nadležnom tijelu i upotrebljavaju se u okviru određenog slučaja u svrhe sprečavanja, otkrivanja, istrage ili kaznenog progona kaznenih djela terorizma i teških kaznenih djela te je u tom slučaju čuvanje takvih podataka od strane nadležnog tijela uređeno nacionalnim pravom.

5. Rezultat obrade iz članka 6. stavka 2. točke (a) čuva se u PIU-u samo toliko dugo koliko je potrebno da se o pozitivnom rezultatu obavijeste nadležna tijela i, u skladu s člankom 9. stavkom 1., PIU-ovi drugih država članica. U slučaju kad se rezultat automatizirane obrade, i to nakon pojedinačne neautomatizirane provjere iz članka 6. stavka 5., pokaže negativan, on se svejedno može čuvati kako bi se izbjegli budući „lažni” pozitivni rezultati dokle god osnovni podaci nisu izbrisani na temelju stavka 4. ovoga članka.

Članak 13.

Zaštita osobnih podataka

1. Svaka država članica osigurava da u pogledu obrade svih osobnih podataka na temelju ove Direktive svaki putnik ima jednako pravo na zaštitu svojih osobnih podataka, pravâ pristupa, ispravljanja, brisanja i ograničavanja te pravâ na naknadu i na pravno sredstvo kako je utvrđeno pravom Unije i nacionalnim pravom te u skladu s provedbom članaka 17., 18., 19. i 20. Okvirne odluke Vijeća 2008/977/PUP. Stoga se primjenjuju ti članci.

2. Svaka država članica osigurava da se odredbe donesene u skladu s nacionalnim pravom za provedbu članaka 21. i 22. Okvirne odluke Vijeća 2008/977/PUP o povjerljivosti obrade i sigurnosti podataka također primjenjuju na svaku obradu osobnih podataka na temelju ove Direktive.

3. Ovom Direktivom ne dovodi se u pitanje primjenjivost Direktive 95/46/EZ Europskog parlamenta i Vijeća (13) na obradu osobnih podataka od strane zračnih prijevoznika, posebno njihove obveze da poduzmu odgovarajuće tehničke i organizacijske mjere za zaštitu sigurnosti i povjerljivosti osobnih podataka.

4. Države članice zabranjuju obradu podataka iz PNR-a kojima se otkrivaju rasa ili etničko podrijetlo osobe, njezini politički stavovi, vjera ili filozofska uvjerenja, članstvo u sindikatu, zdravstveno stanje ili seksualni život ili spolna orijentacija. Ako PIU zaprimi podatke iz PNR-a kojima se otkrivaju takve informacije, odmah ih briše.

5. Države članice osiguravaju da PIU vodi dokumentaciju o svim sustavima i postupcima obrade u svojoj nadležnosti. Ta dokumentacija mora sadržavati najmanje sljedeće:

(a)	ime i kontaktne podatke organizacije i osoblja u PIU-u kojem je povjerena obrada podataka iz PNR-a te različite razine ovlaštenja za pristup;

(b)	zahtjeve nadležnih tijela i PIU-ova drugih država članica;

(c)	sve zahtjeve i prijenose podataka iz PNR-a u treću zemlju.

PIU na zahtjev stavlja na raspolaganje svu dokumentaciju nacionalnom nadzornom tijelu.

6. Države članice osiguravaju da PIU vodi evidenciju najmanje o sljedećim postupcima obrade: prikupljanju, obavljanju uvida, otkrivanju ili brisanju. Evidencija o obavljanju uvida i otkrivanju mora prikazivati osobito svrhu, datum i vrijeme takvih postupaka te, u mjeri u kojoj je to moguće, identitet osobe koja je obavila uvid ili otkrila podatke iz PNR-a te identitet primatelja tih podataka. Evidencija se upotrebljava isključivo u svrhe provjere samonadzora, osiguravanja cjelovitosti i sigurnosti podataka te revizije. PIU na zahtjev stavlja evidenciju na raspolaganje nacionalnom nadzornom tijelu.

Ta se evidencija čuva pet godina.

7. Države članice osiguravaju da njihov PIU provodi odgovarajuće tehničke i organizacijske mjere i postupke kako bi se osigurala visoka razina sigurnosti koja odgovara rizicima obrade i prirodi podataka iz PNR-a.

8. Države članice osiguravaju da u slučaju kad je vjerojatno da će kršenje tajnosti osobnih podataka dovesti do visokog rizika za zaštitu osobnih podataka ili štetno utjecati na privatnost ispitanika, PIU bez nepotrebnog odlaganja o tom kršenju obavješćuje ispitanika i nacionalno nadzorno tijelo.

Članak 14.

Sankcije

Države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja nacionalnih odredaba donesenih na temelju ove Direktive te poduzimaju sve potrebne mjere kako bi osigurale njihovu provedbu.

Osobito, države članice utvrđuju pravila o sankcijama, uključujući financijske sankcije, za zračne prijevoznike koji ne prenose podatke kako je predviđeno člankom 8. ili ih ne prenose u propisanom formatu.

Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.

Članak 15.

Nacionalna nadzorna tijela

1. Svaka država članica osigurava da je nacionalno nadzorno tijelo iz članka 25. Okvirne odluke 2008/977/PUP odgovorno unutar svog državnog područja za savjetovanje o primjeni odredaba koje je donijela država članica na temelju ove Direktive i njezino praćenje. Primjenjuje se članak 25. Okvirne odluke 2008/977/PUP.

2. Ta nacionalna nadzorna tijela svoje aktivnosti obavljaju na temelju stavka 1. s ciljem zaštite temeljnih prava u vezi s obradom osobnih podataka.

3. Svako nacionalno nadzorno tijelo:

(a)	postupa po pritužbama koje podnese bilo koji ispitanik, istražuje predmet i obavješćuje ispitanike o tijeku i ishodu njihovih pritužbi u razumnom roku;

(b)	provjerava zakonitost obrade podataka, provodi istrage, preglede i revizije u skladu s nacionalnim pravom bilo na vlastitu inicijativu bilo na temelju pritužbe iz točke (a).

4. Svako nacionalno nadzorno tijelo na zahtjev savjetuje svakog ispitanika o ostvarivanju prava utvrđenih odredbama donesenima na temelju ove Direktive.

POGLAVLJE III.

Provedbene mjere

Članak 16.

Zajednički protokoli i podržani formati podataka

1. Svi prijenosi podataka iz PNR-a koje zračni prijevoznici izvrše PIU-ovima u svrhe ove Direktive obavljaju se elektroničkim putem, koji pruža dovoljna jamstva u pogledu tehničkih mjera sigurnosti i organizacijskih mjera koje se odnose na provođenje obrade. U slučaju tehničkog kvara podaci iz PNR-a mogu se prenositi bilo kojim drugim odgovarajućim sredstvima, pod pretpostavkom da pritom zadrže jednaku razinu sigurnosti i budu u potpunosti u skladu s pravom Unije o zaštiti podataka.

2. Godinu dana nakon datuma na koji Komisija prvi put donese zajedničke protokole i podržane formate podataka u skladu sa stavkom 3.,svaki put kada zračni prijevoznici prenose podatke iz PNR-a PIU-ovima za svrhe ove Direktive, čine to elektroničkim putem upotrebljavajući sigurne metode usklađene s tim zajedničkim protokolima. Takvi su protokoli jednaki za sve prijenose radi osiguravanja sigurnosti podataka iz PNR-a tijekom prijenosa. Podaci iz PNR-a prenose se u podržanom formatu podataka kako bi se osigurala njihova čitljivost svim uključenim stranama. Od svih zračnih prijevoznika zahtijeva se da izaberu zajednički protokol i format podataka koje namjeravaju upotrebljavati za prenošenje podataka i o tome obavijeste PIU.

3. Komisija provedbenim aktima sastavlja i prema potrebi prilagođava popis zajedničkih protokola i podržanih formata podataka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 17. stavka 2.

4. Dok god nisu dostupni zajednički protokoli i podržani formati podataka iz stavaka 2. i 3., primjenjuje se stavak 1.

5. U roku godine dana od donošenja tih zajedničkih protokola i podržanih formata podataka iz stavka 2. svaka država članica osigurava da se donesu potrebne tehničke mjere kako bi se omogućila njihova uporaba.

Članak 17.

Odborski postupak

1. Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2. Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Ako odbor ne izda nikakvo mišljenje, Komisija ne donosi nacrt provedbenog akta i primjenjuje se članak 5. stavak 4. treći podstavak Uredbe (EU) br. 182/2011.

POGLAVLJE IV.

Završne odredbe

Članak 18.

Prenošenje

1. Države članice stavljaju na snagu zakone i druge propise koji su potrebni radi usklađivanja s ovom Direktivom do 25. svibnja 2018. One o tome odmah obavješćuju Komisiju.

Kad države članice donose te odredbe, one sadržavaju upućivanje na ovu Direktivu ili se na nju upućuje prilikom njihove službene objave. Načine tog upućivanja određuju države članice.

2. Države članice Komisiji šalju tekst glavnih odredaba nacionalnog prava koje donesu u području na koje se odnosi ova Direktiva.

Članak 19.

Preispitivanje

1. Na temelju informacija država članica, uključujući statističke informacije iz članka 20. stavka 2., Komisija do 25. svibnja 2020. provodi preispitivanje svih elemenata ove Direktive te podnosi i predstavlja izvješće Europskom parlamentu i Vijeću.

2. Pri provedbi tog preispitivanja, Komisija posebno vodi računa o:

(a)	pridržavanju primjenjivih standarda zaštite osobnih podataka;

(b)	potrebi i proporcionalnosti prikupljanja i obrade podataka iz PNR-a za svaku svrhu utvrđenu u ovoj Direktivi;

(c)	duljini razdoblja čuvanja podataka;

(d)	učinkovitosti razmjene podataka između država članica, te

(e)	kvaliteti procjena, između ostalog u odnosu na statističke informacije prikupljene na temelju članka 20.

3. Izvješće iz stavka 1. također uključuje preispitivanje potrebe, proporcionalnosti i učinkovitosti obveznog prikupljanja i prijenosa podataka iz PNR-a o svim ili odabranim letovima unutar EU-a obuhvaćenim područjem primjene ove Direktive., Komisija uzima u obzir stečeno iskustvo država članica, osobito onih država članica koje ovu Direktivu primjenjuju na letove unutar EU-a u skladu s člankom 2. Izvješće također uzima u obzir potrebu uključivanja gospodarskih subjekata koji nisu prijevoznici, kao što su putničke agencije i organizatori turističkih putovanja koji pružaju usluge povezane s putovanjima, uključujući rezervacije letova, u područje primjene ove Direktive.

4. Prema potrebi, s obzirom na preispitivanje provedeno u skladu s ovim člankom, Komisija podnosi zakonodavni prijedlog Europskom parlamentu i Vijeću s ciljem izmjene ove Direktive.

Članak 20.

Statistički podaci

1. Države članice na godišnjoj razini Komisiji dostavljaju niz statističkih informacija o podacima iz PNR-a dostavljenima PIU-ovima. Ti statistički podaci ne smiju uključivati nikakve osobne podatke.

2. Statistikom se obuhvaća najmanje:

(a)	ukupan broj putnika čiji su podaci iz PNR-a prikupljeni i razmijenjeni;

(b)	broj putnika određenih za daljnje ispitivanje.

Članak 21.

Odnos s ostalim instrumentima

1. Države članice mogu i dalje primjenjivati međusobne bilateralne ili multilateralne sporazume ili dogovore o razmjeni informacija između nadležnih tijela koji su na snazi od 24. svibnja 2016., ako su ti sporazumi ili dogovori usklađeni s ovom Direktivom.

2. Ovom Direktivom ne dovodi se u pitanje primjenjivost Direktive 95/46/EZ na obradu osobnih podataka od strane zračnih prijevoznika.

3. Ovom Direktivom ne dovodi se u pitanje nijedna dužnost ni obaveza država članica ili Unije koje proizlaze iz bilateralnih ili multilateralnih sporazuma s trećim zemljama.

Članak 22.

Stupanje na snagu

Ova Direktiva stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Direktiva upućena državama članicama u skladu s Ugovorima.

Sastavljeno u Bruxellesu 27. travnja 2016.

Za Europski parlament

Predsjednik

M. SCHULZ

Za Vijeće

Predsjednica

J.A. HENNIS-PLASSCHAERT

(1) SL C 218, 23.7.2011., str. 107.

(2) Stajalište Europskog parlamenta od 14. travnja 2016. (još nije objavljeno u Službenom listu) i odluka Vijeća od 21. travnja 2016.

(3) SL C 115, 4.5.2010., str. 1.

(4) Direktiva Vijeća 2004/82/EZ od 29. travnja 2004. o obvezi prijevoznika na dostavljanje podataka o putnicima (SL L 261, 6.8.2004., str. 24.).

(5) Okvirna odluka Vijeća 2002/475/PUP od 13. lipnja 2002. o suzbijanju terorizma (SL L 164, 22.6.2002., str. 3.).

(6) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(7) Odluka Vijeća 2009/371/PUP od 6. travnja 2009. o osnivanju Europskog policijskog ureda (Europol) (SL L 121, 15.5.2009., str. 37.).

(8) Okvirna odluka Vijeća 2006/960/PUP od 18. prosinca 2006. o pojednostavljenju razmjene informacija i obavještajnih podataka između tijela zaduženih za izvršavanje zakona u državama članicama Europske unije (SL L 386, 29.12.2006., str. 89.).

(9) Okvirna odluka Vijeća 2008/977/PUP od 27. studenoga 2008. o zaštiti osobnih podataka obrađenih u okviru policijske i pravosudne suradnje u kaznenim stvarima (SL L 350, 30.12.2008., str. 60.).

(10) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).

(11) Direktiva 2004/38/EZ Europskog parlamenta i Vijeća od 29. travnja 2004. o pravu građana Unije i članova njihovih obitelji na slobodno kretanje i boravište na području države članice, kojom se izmjenjuje Uredba (EEZ) br. 1612/68 i stavljaju izvan snage direktive 64/221/EEZ, 68/360/EEZ, 72/194/EEZ, 73/148/EEZ, 75/34/EEZ, 75/35/EEZ, 90/364/EEZ, 90/365/EEZ i 93/96/EEZ (SL L 158, 30.4.2004., str. 77.).

(12) Uredba (EZ) br. 562/2006 Europskog parlamenta i Vijeća od 15. ožujka 2006. o Zakoniku Zajednice o pravilima kojima se uređuje kretanje osoba preko granica (Zakonik o schengenskim granicama) (SL L 105, 13.4.2006., str. 1.).

(13) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).

PRILOG I.

Podaci iz evidencije podataka o putnicima kako ih prikupljaju zračni prijevoznici

1.	Kd evidencije PNR-a

2.	Datum rezervacije/izdavanja karte

3.	Predviđen(i) datum(i) putovanja

Ime(na)

5.	Adresa i kontaktni podaci (telefonski broj, adresa e-pošte)

6.	Svi podaci o načinu plaćanja, uključujući adresu za slanje računa

7.	Cjeloviti plan puta za konkretni PNR

8.	Podaci o programima vjernosti

9.	Putnička agencija/putnički agent

10.	Status putnika, uključujući informacije o potvrdi, prijavi na let, neprijavljivanju na let ili prijavi u posljednjem trenutku bez rezervacije

11.	Razdijeljene/podijeljene informacije iz PNR-a

12.

Opće primjedbe (uključujući sve dostupne informacije o maloljetnim putnicima bez pratnje mlađima od 18 godina, kao što su ime i spol maloljetnika, dob, jezik/jezici koje govori, ime i kontaktni podaci pratitelja na polasku i kako je povezan s maloljetnikom, ime i kontaktni podaci pratitelja na dolasku i kako je povezan s maloljetnikom, agent na polasku i dolasku)

13.	Informacije s putne karte, uključujući broj karte, datum izdavanja karte, jednosmjerne karte, polja elektronskih karata koja se odnose na cijenu (Automated Ticket Fare Quote)

14.	Broj sjedala i ostale informacije o sjedalu

15.	Informacije o zajedničkom letu

16.	Sve informacije koje se odnose na prtljagu

17.	Broj i imena drugih putnika iz PNR-a

18.

Sve informacije o putnicima koje će prevoziti (API) (uključujući vrstu, broj, zemlju izdavanja i datum isteka roka važenja bilo kojeg osobnog dokumenta, državljanstvo, prezime, ime, spol, datum rođenja, zračnog prijevoznika, broj leta, datum polaska, datum dolaska, zračnu luku polaska, zračnu luku dolaska, vrijeme polaska i vrijeme dolaska)

19.	Sve kronološke izmjene podataka iz PNR-a navedene u točkama od 1. do 18.

PRILOG II.

Popis kaznenih djela iz članka 3. točke 9.

1.	pripadanje zločinačkoj organizaciji,

2.	trgovanje ljudima,

3.	spolno iskorištavanje djece i dječja pornografija,

4.	nedopušteno trgovanje opojnim drogama i psihotropnim tvarima,

5.	nedopuštena trgovina oružjem, streljivom i eksplozivima,

6.	korupcija,

7.	prijevara, uključujući i prijevaru koja ugrožava financijske interese Unije,

8.	pranje prihoda stečenog kaznenim djelom i krivotvorenje novca, uključujući euro,

9.	računalni kriminal/kiberkriminalitet,

10.	kaznena djela protiv okoliša, uključujući i nedopuštenu trgovinu ugroženim životinjskim vrstama te ugroženim biljnim vrstama i sortama,

11.	omogućavanje neovlaštenog ulaska i boravka,

12.	ubojstvo, teška tjelesna ozljeda,

13.	nezakonita trgovina ljudskim organima i tkivima,

14.	otmica, protupravno oduzimanje slobode i držanje talaca,

15.	organizirana i oružana pljačka,

16.	nedopuštena trgovina kulturnim dobrima, uključujući starine i umjetnička djela,

17.	krivotvorenje i piratstvo proizvoda,

18.	krivotvorenje administrativnih isprava i trgovina njima,

19.	nezakonita trgovina hormonskim tvarima i drugim poticateljima rasta,

20.	nedopuštena trgovina nuklearnim ili radioaktivnim materijalima,

21.	silovanje,

22.	kaznena djela iz nadležnosti Međunarodnog kaznenog suda,

23.	protupravno oduzimanje zrakoplova ili brodova,

24.

sabotaža,

25.	trgovina ukradenim vozilima,

26.	industrijska špijunaža.