27. januar kom EUs generaladvokat med et forslag til avgjørelse (sak C-817/19, «Ligue des droits humains») om rekkevidden av PNR-direktivet vurdert opp mot EUs Charter om grunnleggende rettigheter. I avgjørelsen, som i fulltekst enn så lenge kun er tilgjengelig på fransk, uttaler generaladvokaten at flyselskapers videreformidling av passasjerdata etter direktivet ikke krenker personvernet. Det å oppbevare passasjeropplysninger i en ikke-anonymisert form i fem år er kun rettferdiggjort i tilfeller av alvorlig trussel mot medlemslandenes sikkerhet, og kun i tilfeller hvor varigheten av slik bevaring er begrenset til det som er strengt nødvendig.

Uttalelsen kommer etter at den belgiske rettighetsgruppen Ligue des droits humains («LDH») via nasjonale domstoler har søkt å annullere Belgias innføring av PNR-direktivet. De hevder blant annet at direktivet krenker EUs personvern- og databeskyttelsesrettigheter. Den belgiske forfatningsdomstolen har i sin tur henvist til EU-domstolen en del spørsmål knyttet til tolkningen av PNR-direktivet.

PNR står for Passenger Name Records. Direktivet ble vedtatt i 2016, og pålegger flyselskap å gi tilgang til passasjerdata som eksempelvis reiserute, billettinformasjon, kontaktinformasjon, betalingsmåte og bagasjeinformasjon. Direktivets hovednedslagsfelt er flyvninger inn og ut av EU, men det kan også benyttes til flyvninger innad i EU. Opplysningene skal lagres i fem år, og det skal opprettes en nasjonal passasjerinformasjonsenhet for å behandle dataene. Bakgrunnen for regelverket er beskyttelse mot terror og grensekryssende kriminalitet. For mer bakgrunn om PNR-direktivet, se EU/EØS-nytt 5. februar 2020.

Sakens spørsmål dreier seg blant annet om hvorvidt direktivet krenker de grunnleggende rettighetene til privatliv og beskyttelse av personopplysninger nedfelt i EUs charter om grunnleggende rettigheter artikkel 7 (respekt for privatliv og familieliv), 8 (beskyttelse av personopplysninger) og 52 (1) (enhver begrensning i de grunnleggende rettighetene skal være lovbestemt, skal respektere rettighetenes vesentlige innhold og være proporsjonalt hensett et aktverdig og anerkjent formål). LDH kritiserer det brede omfanget av PNR-dataene som skal samles inn, samt den generelle karakteren av innsamlingen, overføringen og behandlingen av disse dataene. Etter LDHs oppfatning bryter loven også med fri bevegelighet av personer ved å utvide PNR-systemet til å omfatte flyvninger innad i EU.

Generaladvokaten slår først fast at de opplysningene som skal samles inn, må være definert så klart og presist som mulig. Disse kravene oppfylles ikke av direktivets bilag 1 punkt 12, som fremstår som en sekkebestemmelse for opplysninger som ikke fanges opp av de øvrige punktene. Bestemmelsen foreskriver at «generelle opplysninger» også skal inngå i passasjerlisteopplysningene flyselskapene skal innsamle, inkludert «alle tilgjengelige opplysninger» om uledsagede mindreårige under 18 år.

Hva gjelder de opplysninger flyselskapene etter direktivet er forpliktet til å overføre til passasjerinformasjonsenheten, er disse etter generaladvokatens syn relevante, akseptable og går ikke utover det som er rimelig hensett de formål direktivet skal vareta, jf. også charteret artikkel 52. Omfanget går heller ikke utover det strengt nødvendige. Han anser videre at overføringen av opplysningene er omgitt av sikkerhetsforanstaltninger egnet til å sikre at kun PNR-relevante opplysninger viderebringes. PNR-direktivet inneholder også et generelt forbud mot innsamling og behandling av sensitive personopplysninger.

Også charterets artikkel 7 og 8 er varetatt gjennom den udifferensierte arten av overføring av PNR-data, ifølge generaladvokaten. Han er av den oppfatning at domstolens rettspraksis knyttet til datalagring og tilgang til elektroniske kommunikasjonstjenester ikke er overførbart til det systemet PNR-direktivet etablerer.

De avgjørelsene det henvises til, er trolig EU-domstolens dom i Digital Rights Ireland (sak C-293/12) hvor domstolen fant at datalagringsdirektivet stred mot Charterets artikkel 7 og 8 og således var ugyldig, Tele2 Sverige (sak C-203/15), hvor domstolen fant at generell lagring av all datatrafikk stred mot kommunikasjonsverndirektivet sett i lys av de samme artiklene i Charteret, samt flere lignende avgjørelser de senere årene.

I motsetning til nevnte avgjørelser, uttaler generaladvokaten at PNR-direktivets beskyttelsesnivå for behandling av personopplysninger tilfredsstiller charterets vilkår. Samtidig fremhever han viktigheten av å etablere en uavhengig tilsynsmyndighet som kan verifisere lovligheten av datahåndteringen gjennom inspeksjoner, revisjoner og klagebehandling.

Når det gjelder PNR-direktivets bestemmelse i artikkel 6 (3), hvoretter den nasjonale passasjeropplysningsenheten kan sammenligne PNR-opplysninger med «relevante databaser» for å etterforske eller forebygge terrorhandlinger eller alvorlig kriminalitet, uttales at dette begrepet må tolkes i samsvar med charterets klarhets- og presisjonskrav. Derfor faller kun nasjonale og internasjonale databaser hvis formål er å bekjempe terror og alvorlig kriminalitet og som er administrert av kompetente myndigheter innunder bestemmelsen.

Ad spørsmålet om automatisert behandling av PNR-opplysninger i lys av forhåndsetablerte kriterier, uttaler generaladvokaten at slik behandling ikke kan skje gjennom kunstig intelligenssystemer, da slike systemer ikke gjør det mulig å fastslå årsakene som førte til en algoritme som etablerte en positiv match.

Generaladvokaten tar så stilling til spørsmålet om EU-retten er til hinder for nasjonal lovgivning som tillater en generell oppbevaringsperiode på fem år for PNR-opplysninger, uten å differensiere mellom passasjerer som blir ansett for å utgjøre en sikkerhetsrisiko og de som ikke gjør det. Hans konklusjon er at oppbevaring av PNR-opplysninger i fem år er tillatt i den grad det er etablert en objektiv forbindelse mellom opplysningene og kampen mot terrorisme eller alvorlig kriminalitet. En generell oppbevaring av ikke-anonymisert data er også kun rettferdiggjort i tilfeller av en reell og alvorlig trussel mot sikkerheten til medlemslandene, og kun i den utstrekning det er strengt nødvendig.

Generaladvokatens positive innstilling til bulkinnsamling og –lagring av data etter PNR-direktivet er interessant, ikke minst sett i lys av at Det Europeiske Databeskyttelsesrådet (European Data Protection Board) i et brev til Europakommisjonen 22. januar 2021 advarte mot at en innsamling av opplysninger som forespeilet i direktivet ikke er i samsvar med EU-retten. Det er især nødvendigheten og proporsjonaliteten av opplysningsinnsamlingen man uttrykker bekymring overfor. Andre ankerpunkt man kan peke på er at i) alle passasjerer, uten unntak, blir utsatt for automatisert behandling av sine personopplysninger, ii) personopplysningene blir aktivt overført fra flyselskapene til en egen enhet kontrollert av myndighetene og lagret der, iii) de innsamlede dataene kan samlet sett avsløre svært mye om en persons reisevaner, relasjoner, økonomiske situasjon og helsetilstand, jf. EU-domstolens uttalelse 1/15 vedrørende forslag til PNR-avtale mellom EU og Canada.

PNR-direktivet er ikke EØS- eller Schengen-relevant, men Norge har lenge ønsket å få en tilknytning til EUs PNR-system parallelt med at det har pågått et arbeid for å utvikle et nasjonalt PNR-system. For tiden ligger en lovproposisjon fra Justisdepartementet, «Endringer i grenseloven, utlendingsloven og politiregisterloven (etablering av systemer for inn- og utreise, fremreise og passasjerlisteopplysninger mv.)», på justiskomiteens bord. Frist for å avgi innstilling er 15. februar.  Det fremgår av proposisjonens punkt 4 at departementet foreslår å legge til en ny bestemmelse i grenseloven § 16 a som etablerer en nasjonal løsning for innsamling og bruk av PNR-opplysninger. I og med at alle EU-land og Storbritannia har implementert PNR-direktivet, uttrykkes det bekymring for at reisende fra utenfor Schengen vil kunne unngå registrering i systemet ved å reise til eller via Norge og videre inn i EU over indre Schengengrense, dersom Norge ikke etablerer et tilsvarende system. Norske myndigheter har derfor anmodet Europakommisjonen om at det startes forhandlinger mellom Norge og EU om en norsk tilknytning til PNR-direktivet. Kommisjonen har stilt seg positive til nærmere dialog.

EU-domstolens avgjørelse i PNR-saken er omtalt i proposisjonen. Flere høringsinstanser har bemerket at PNR-direktivets forhold til EUs charter om grunnleggende rettigheter er til behandling i EU-domstolen, og at departementet bør avklare hvordan Norges eventuelle tilknytning til PNR-systemet vil påvirkes dersom EU-domstolen fastslår at direktivet strider mot charteret. Til dette skriver departementet at «Dersom utfallet av EU-domstolens avgjørelse blir negativt, legger vi til grunn at dette vil bli fulgt opp av EU. Norge vil i så fall måtte vurdere tilsvarende endringer i regelverket som EU. Inntil videre forholder departementet seg til at Kommisjonen og Rådets vurdering er at direktivet overholder de krav som følger av EUs charter om grunnleggende rettigheter».

Generaladvokatens uttalelse er uforpliktende for EU-domstolen, men utformet for å veilede domstolen i dens endelige begrunnelse. Det blir høyst interessant å se om domstolen følger generaladvokatens linje i denne saken.