2.1
Om PNR-avtalet mellan EU och Norge
PNR-avtalet mellan EU och Norge ska förutom skapa den rättsliga grunden även beakta EU:s rättsliga ramar för skyddet av personuppgifter och PNR-uppgifter, det vill säga den allmänna dataskyddsförordningen (EU) 2016/679, det så kallade dataskyddsdirektivet för brottsbekämpning (EU) 2016/680 och PNR-direktivet (EU) 2016/681. I förhandlingarna har kommissionen beaktat förutom unionens sekundärrätt även Europeiska unionens fördrag och stadgan om de grundläggande rättigheterna såsom dessa tolkats av unionens domstol i rättspraxis som rör PNR-ärenden, särskilt domstolens yttrande 1/15, som gäller PNR-avtalet mellan EU och Kanada. Även EU-domstolens tolkning av PNR-direktivet i juni 2022 (mål C-817/19, nedan PNR-domen) har beaktats. I avtalsförhandlingarna har man dessutom beaktat de standarder och den rekommenderade praxis om PNR-uppgifter som Internationella civila luftfartsorganisationen ICAO har antagit och som fastställer skyddsåtgärder på en hög nivå för dataskyddet och främjar skyddsnivån på internationell nivå.
Norge är ett EES-land, och eftersom den allmänna dataskyddsförordningen med anpassningar har inkluderats i en bilaga till EES-avtalet tillämpas den allmänna dataskyddsförordningen med anpassningar även i Norge. Norge är dessutom part i Schengenkonventionen och har som en del av genomförandet av Schengenregelverket antagit och genomfört även dataskyddsdirektivet för brottsbekämpning (EU) 2016/680. Denna genomförandereglering tillämpas på de brottsbekämpande myndigheternas behandling av personuppgifter i syfte att förebygga, förhindra, utreda, avslöja och lagföra brott eller verkställa straffrättsliga påföljder. Regleringen tillämpas även på den behandling av personuppgifter som avses i det avtal som nu håller på att förhandlas fram.
Eftersom PNR-direktivet inte är bindande för Norge måste avtalet beakta PNR-direktivets ramvillkor avseende internationella dataöverföringar. Genom avtalet måste man således se till att Norge säkerställer en sådan skyddsnivå för personuppgifter som i huvudsak motsvarar den skyddsnivå som säkerställs inom unionen. Skyddsnivån säkerställs genom att man i avtalet inkluderar lämpliga skyddsåtgärder för behandlingen av PNR-uppgifter, så att parterna lagligen kan ta emot och behandla PNR-uppgifter på ett sätt som säkerställer både säkerheten för individer som rör sig inom det gemensamma området utan inre gränskontroller och skyddet av dessa individers personuppgifter.
2.2
Om innehållet i utkastet till avtal
Kommissionen har förhandlat fram ett utkast till PNR-avtal mellan EU och Norge på grundval av ett rådsbeslut och de förhandlingsdirektiv som bifogats detta beslut (ST/5388/2024/INIT, ST 5388 2024 ADD 1).
Enligt utkastet ska kapitel I (Allmänna bestämmelser) i avtalet fastställa avtalets syfte och tillämpningsområde (artikel 1) samt definitioner (artikel 2). Enligt utkastet är syftet med avtalet att möjliggöra överföring av lufttrafikföretagens passageraruppgiftssamlingar (PNR-uppgifter) från unionen till Norge och att fastställa regler för och villkor under vilka Norge kan behandla PNR-uppgifter. Syftet är också att förbättra det polisiära och rättsliga samarbetet mellan unionen och Norge när det gäller PNR-uppgifterna. Enligt utkastet omfattar avtalets tillämpningsområde lufttrafikföretag som utför passagerarflygningar mellan unionen och Norge, lufttrafikföretag som är registrerade i unionen eller lagrar uppgifter där och lufttrafikföretag som utför flygningar till eller från Norge. Artikel 2 fastställer viktiga definitioner som motsvarar dem som anges i artikel 3 i PNR-direktivet.
Kapitel II i avtalsutkastet innehåller bestämmelser om överföring av PNR-uppgifter. Artikel 3 gäller metoden och takten för överföringar av PNR-uppgifter. Artikeln kräver att Norge säkerställer att lufttrafikföretagen överför PNR-uppgifterna till Norges enhet för passagerarinformation (nedan Norges PIU) så att de krävda PNR-uppgifterna överförs till databasen hos den myndighet som begärt uppgifterna uteslutande med sändmetoden (push method), vilket innebär att lufttrafikföretagen själva överför PNR-uppgifterna till den behöriga myndigheten i tredjelandet i enlighet med PNR-avtalet (jämfört med direktåtkomstmetoden, pull method, där myndigheten i tredjelandet ges tillgång till lufttrafikföretagets bokningssystem för att den ska få uppgifterna). I artikeln föreskrivs närmare om att Norge inte får kräva att lufttrafikföretag utlämnar överflödiga PNR-uppgifter och om att alla eventuella överflödiga uppgifter som lämnats av lufttrafikföretaget ska raderas. I artikeln föreskrivs också exakt om hur och inom vilken tidsfrist lufttrafikföretagen måste tillhandahålla PNR-uppgifterna samt om det undantag som kan medges på grund av en särskild omständighet när det är fråga om att bekämpa ett särskilt hot. I avtalet föreskrivs dessutom om ett eventuellt idrifttagande av en API-PNR-router (artikel 4) och om villkoren för användningen av denna. Enligt avtalet kan Norge ta i drift en API-PNR-router i enlighet med Europaparlamentets och rådets förordning (EU) 2025/13 (nedan API för brottsbekämpning). Norge har uttryckt intresse för att använda routern.
Kapitel III i avtalsutkastet innehåller bestämmelser om behandlingen av PNR-uppgifter och om skyddsåtgärder i samband med behandlingen. Bestämmelser om de syften som PNR-uppgifterna får användas för (artikel 5) utgör en väsentlig del av avtalet. Enligt utkastet får PNR-uppgifter behandlas endast i syfte att förebygga, förhindra, avslöja, utreda och lagföra terroristbrott eller grov brottslighet. Artikel 6 i avtalsutkastet innehåller närmare bestämmelser om villkoren för behandlingen av PNR-uppgifter. Enligt dessa får Norges PIU behandla PNR-uppgifter endast när den bedömer passagerare före deras planerade ankomst till eller avresa från Norge för att identifiera personer som kräver ytterligare utredning (realtidsbedömning), när den gör sökningar i PNR-registret för att svara på förfrågningar om uppgifter från behöriga myndigheter och när den analyserar PNR-uppgifter för att uppdatera, testa eller skapa de bedömningskriterier som avses i artikel 7. Artikel 7 föreskriver närmare om villkoren för realtidsbedömningen. Enligt artikeln får PNR-uppgifter jämföras endast med databaser som har uppgifter om personer eller föremål som eftersöks eller är föremål för en varning, och i enlighet med fördefinierade kriterier. Norge ska se till att de databaser som det hänvisas till i artikeln och de fördefinierade kriterierna är icke-diskriminerande, tillförlitliga och uppdaterade. Norge ska se till att träffar i samband med behandling av PNR-uppgifter ska granskas individuellt med icke-automatiska metoder. De villkor som inkluderats i avtalsutkastet motsvarar det som föreskrivs i PNR-direktivet om behandling av PNR-uppgifter och det som EU-domstolen har krävt som lämpliga skyddsåtgärder i PNR-avtal.
Artikel 8 i avtalsutkastet förbjuder, i enlighet med EU-domstolens krav, uttryckligen behandling av uppgifter som hör till särskilda kategorier av personuppgifter. Med uppgifter som hör till särskilda kategorier av personuppgifter avses personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Artikeln föreskriver vidare att till den del som PNR-uppgifter som mottagits av Norges PIU enligt detta avtal innehåller ovannämnda uppgifter som kan anses känsliga ska Norges PIU radera dessa uppgifter omedelbart.
Det avtalsutkast som distribuerats av kommissionen innehåller också bestämmelser om säkerheten och integriteten vid behandling av PNR-uppgifter (artikel 9). Artikeln innehåller diverse krav relaterade till datasäkerhet och integritet och bestämmelser om skyldigheten för Norges PIU att rapportera personuppgiftsincidenter till den nationella dataskyddsmyndigheten. Vidare innehåller avtalet bestämmelser om loggföring och dokumentationsskyldighet i fråga om loggar (artikel 10).
Kapitel IV i avtalsutkastet innehåller exakta bestämmelser om lagring och utlämnande av PNR-uppgifter. Avtalets bestämmelser om lagring och maskering av PNR-uppgifter är i linje med PNR-direktivet och beaktar EU-domstolens krav. Enligt artikel 11 i avtalet ska Norge säkerställa att PNR-uppgifterna lagras endast om det finns en direkt eller indirekt objektiv koppling mellan de lagrade PNR-uppgifterna och minst ett av de användningsändamål som avses i artikel 5. Sådana uppgifter får lagras i högst fem år. Artikeln föreskriver vidare att Norges PIU får lagra PNR-uppgifterna för alla flygpassagerare under en period som anges i den nationella lagstiftningen men perioden får inte vara längre än vad som är absolut nödvändigt. Efter denna period får Norges PIU lagra PNR-uppgifter endast för sådana passagerare för vilka det finns objektiva bevis på att det föreligger risk för terroristbrott eller grov brottslighet. PNR-uppgifterna måste raderas eller anonymiseras efter att de lagringsperioder som nämns ovan har löpt ut. Avtalet möjliggör att PNR-uppgifter lagras en längre tid än den femårsperiod som nämns i artikeln, om PNR-uppgifterna behövs för översyn, utredning, verkställighetsåtgärder, rättegång, åtal eller verkställighet av påföljder. Artikel 12 föreskriver om avidentifiering av PNR-uppgifter genom maskering av sådana uppgifter som kan användas för att omedelbart identifiera de passagerare som PNR-uppgifterna gäller. Enligt avtalsutkastet får Norges PIU lämna ut uppgifterna i fråga endast för de användningsändamål som anges i avtalet (artikel 5) och i enlighet med villkoren för utlämnande av uppgifterna (artikel 13 och 14).
Utkastet innehåller bestämmelser om utlämnande av PNR-uppgifter i Norge (artikel 13) samt till länder utanför Norge och EU (artikel 14). Bestämmelserna om utlämnande av PNR-uppgifter uppfyller kraven i PNR-direktivet. Norges PIU får lämna ut PNR-uppgifter till nationella behöriga myndigheter endast om utlämnandet är nödvändigt för att förebygga, förhindra, avslöja, utreda eller lagföra terroristbrott eller grov brottslighet, och endast minsta möjliga mängd PNR-uppgifter får utlämnas (minimeringsprincipen). Uppgifter får lämnas till behöriga myndigheter endast i enskilda fall. Avtalsutkastet kräver vidare att den mottagande behöriga myndigheten säkerställer en skyddsnivå som motsvarar den som krävs i detta avtal. För utlämnande av uppgifter krävs dessutom alltid ett förhandstillstånd från antingen en rättslig myndighet eller ett annat oberoende organ. Norges PIU får dock i motiverade brådskande situationer lämna ut PNR-uppgifter utan förhandstillstånd. I sådana situationer måste Norge dock skyndsamt göra en efterhandsbedömning av om PNR-uppgifterna har lämnats ut i enlighet med minimeringsprincipen. Genom avtalet säkerställs också att den behöriga myndighet som tagit emot uppgifter inte kan lämna ut uppgifterna till en annan myndighet utan uttryckligt tillstånd från Norges PIU. Ovannämnda ramvillkor gäller även när uppgifter utlämnas till länder utanför Norge och EU, med den skillnaden att det mottagande tredjelandet till vars behöriga myndighet PNR-uppgifterna utlämnas ska säkerställa en sådan adekvat dataskyddsnivå som avses i EU-lagstiftningen. Enligt avtalet kan Norges PIU dock utlämna PNR-uppgifter till ett sådant annat land, om den anser att det är nödvändig för att bekämpa eller utreda ett allvarligt och omedelbart hot mot den allmänna säkerheten och om detta land ger en skriftlig försäkran, genom ett arrangemang, ett avtal eller ett annat arrangemang, om att uppgifterna kommer att skyddas i enlighet med de garantier som anges i detta avtal. Artikel 15 innehåller även bestämmelser om utbyte av PNR-uppgifter, resultat av behandling av sådana uppgifter och analysdata baserad på PNR-uppgifter mellan Norges PIU och passagerarinformationsenheterna i EU:s medlemsstater, Europol och Eurojust, på eget initiativ eller på begäran.
Kapitel V i avtalsutkastet föreskriver om skydd av personuppgifter och tillhörande skyddsåtgärder i enlighet med vad som krävs av EU-domstolen. Artikel 16 kräver att samma rättigheter och skyldigheter som de som anges i dataskyddsdirektivet för brottsbekämpning ska tillämpas på behandling av PNR-uppgifter. Artikeln kräver också att behandlingen av personuppgifter vid Norges PIU övervakas av den nationella behöriga myndighet (dataskyddsmyndigheten) som avses i dataskyddsdirektivet för brottsbekämpning. I artikel 17 föreskrivs om öppenhet och information till passagerare. Enligt artikeln ska Norge se till att dess behöriga myndighet på sin webbplats tillhandahåller information om hur PNR-uppgifter behandlas och på vad behandlingen grundar sig, på ett sätt som överensstämmer med PNR-direktivet. Enligt avtalet ska Norge också samarbeta till exempel med flygresebranschen för att främja öppenhet, särskilt när det gäller passagerarnas rätt att få information om behandlingen av PNR-uppgifter, att begära rättelse av uppgifter och att begära omprövning.
Kapitel VI i avtalsutkastet innehåller slutbestämmelser, bland annat om anmälningsskyldighet (artikel 18), avtalets ikraftträdande (artikel 19), tvistlösning och upphävande av tillämpningen av avtalet (artikel 20), uppsägning av avtalet (artikel 21), eventuella ändringar av avtalet (artikel 22), översyn och utvärdering av avtalet och avtalets territoriella tillämpningsområde (artikel 24). Avtalet ska upprättas på EU:s alla officiella språk, och alla språkversioner ska vara lika giltiga. Vid eventuella skillnader mellan språkversionerna ska den engelska versionen vara giltig.
Bilagan till avtalet ska innehålla en förteckning över de PNR-uppgifter som avses i avtalet. Bilagans innehåll är helt identiskt med innehållet i bilaga I till PNR-direktivet.