Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62019CJ0817

Euroopa Kohtu otsus (suurkoda), 21.6.2022.
Ligue des droits humains ASBL versus Conseil des ministres.
Eelotsusetaotlus, mille on esitanud Cour constitutionnelle (Belgia).
Eelotsusetaotlus – Isikuandmete töötlemine – Broneeringuinfo – Määrus (EL) 2016/679 – Artikli 2 lõike 2 punkt d – Kohaldamisala – Direktiiv (EL) 2016/681 – Euroopa Liidu ja kolmandate riikide vahel toimuvate lendude reisijate broneeringuinfo kasutamine – Võimalus hõlmata liidusiseste lendude reisijate andmed – Nende andmete automaattöötlus – Säilitamistähtaeg – Terroriaktide ja raskete kuritegude vastane võitlus – Kehtivus – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 21 ning artikli 52 lõige 1 – Liikmesriigi õigusnormid, mis laiendavad broneeringuinfo süsteemi muudele liidusisestele transpordiviisidele – Õigus liidus vabalt liikuda – Põhiõiguste harta – Artikkel 45.
Kohtuasi C-817/19.

Court reports – general – 'Information on unpublished decisions' section

ECLI identifier: ECLI:EU:C:2022:491

 EUROOPA KOHTU OTSUS (suurkoda)

21. juuni 2022 ( *1 )

Sisukord

 

I. Õiguslik raamistik

 

A. Liidu õigus

 

1. Direktiiv 95/46/EÜ

 

2. Reisijaid käsitleva eelteabe direktiiv

 

3. Direktiiv 2010/65

 

4. Isikuandmete kaitse üldmäärus

 

5. Direktiiv 2016/680

 

6. Broneeringuinfo direktiiv

 

7. Raamotsus 2002/475

 

B. Belgia õigus

 

1. Põhiseadus

 

2. 25. detsembri 2016. aasta seadus

 

II. Põhikohtuasi ja eelotsuse küsimused

 

III. Eelotsuse küsimuste analüüs

 

A. Esimene küsimus

 

B. Teine kuni neljas ja kuues küsimus

 

1. Broneeringuinfo direktiivist tulenevad harta artiklitega 7 ja 8 tagatud põhiõiguste riived

 

2. Broneeringuinfo direktiivist tulenevate riivete põhjendatus

 

a) Seaduslikkuse põhimõtte ja asjaomaste põhiõiguste olemuse austamine

 

b) Üldist huvi pakkuv eesmärk ja broneeringuinfo töötlemise sobivus selle eesmärgi seisukohast

 

c) Broneeringuinfo direktiivist tulenevate riivete vajalikkus

 

1) Broneeringuinfo direktiiviga hõlmatud lennureisijate andmed

 

2) Broneeringuinfo töötlemise eesmärgid

 

3) Seos broneeringuinfo ja selle töötlemise eesmärkide vahel

 

4) Lennureisijad ja asjasse puutuvad lennud

 

5) Broneeringuinfo eelhindamine automaattöötluse teel

 

i) Broneeringuinfo võrdlemine andmetega andmebaasides

 

ii) Broneeringuinfo töötlemine eelnevalt kindlaksmääratud kriteeriumide alusel

 

iii) Broneeringuinfo automaattöötluse tagatised

 

6) Broneeringuinfo tagantjärele edastamine ja hindamine

 

C. Viies küsimus

 

D. Seitsmes küsimus

 

E. Kaheksas küsimus

 

F. Üheksanda küsimuse punkt a

 

G. Üheksanda küsimuse punkt b

 

H. Kümnes küsimus

 

IV. Kohtukulud

Eelotsusetaotlus – Isikuandmete töötlemine – Broneeringuinfo – Määrus (EL) 2016/679 – Artikli 2 lõike 2 punkt d – Kohaldamisala – Direktiiv (EL) 2016/681 – Euroopa Liidu ja kolmandate riikide vahel toimuvate lendude reisijate broneeringuinfo kasutamine – Võimalus hõlmata liidusiseste lendude reisijate andmed – Nende andmete automaattöötlus – Säilitamistähtaeg – Terroriaktide ja raskete kuritegude vastane võitlus – Kehtivus – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 21 ning artikli 52 lõige 1 – Liikmesriigi õigusnormid, mis laiendavad broneeringuinfo süsteemi muudele liidusisestele transpordiviisidele – Õigus liidus vabalt liikuda – Põhiõiguste harta – Artikkel 45

Kohtuasjas C‑817/19,

mille ese on ELTL artikli 267 alusel Cour constitutionnelle’i (Belgia konstitutsioonikohus) 17. oktoobri 2019. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 31. oktoobril 2019, menetluses

Ligue des droits humains

versus

Conseil des ministres,

EUROOPA KOHUS (suurkoda),

koosseisus: president K. Lenaerts, kodade presidendid A. Arabadjiev, S. Rodin, I. Jarukaitis ja N. Jääskinen ning kohtunikud T. von Danwitz (ettekandja), M. Safjan, F. Biltgen, P. G. Xuereb, N. Piçarra, L. S. Rossi, A. Kumin ja N. Wahl,

kohtujurist: G. Pitruzzella,

kohtusekretär: ametnik M. Krausenböck,

arvestades kirjalikku menetlust ja 13. juuli 2021. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

Ligue des droits humains, esindaja: avocate C. Forget,

Belgia valitsus, esindajad: P. Cottin, J.‑C. Halleux, C. Pochet ja M. Van Regemorter, keda abistasid advocaat C. Caillet, avocat E. Jacubowitz ning G. Ceuppens, V. Dethy ja D. Vertongen,

Tšehhi valitsus, esindajad: T. Machovičová, O. Serdula, M. Smolek ja J. Vláčil,

Taani valitsus, esindajad: M. Jespersen, J. Nymann-Lindegren, V. Pasternak Jørgensen ja M. Søndahl Wolff,

Saksamaa valitsus, esindajad: D. Klebs ja J. Möller,

Eesti valitsus, esindaja: N. Grünberg,

Iirimaa, esindajad: M. Browne, A. Joyce ja J. Quaney, keda abistas D. Fennelly, BL,

Hispaania valitsus, esindaja: L. Aguilera Ruiz,

Prantsuse valitsus, esindajad: D. Dubois, E. de Moustier ja T. Stehelin,

Küprose valitsus, esindaja: E. Neofytou,

Läti valitsus, esindajad: E. Bārdiņš, K. Pommere ja V. Soņeca,

Madalmaade valitsus, esindajad: M. K. Bulterman, A. Hanje, M. J. Langer ja C. S. Schillemans,

Austria valitsus, esindajad: G. Kunnert, A. Posch ja J. Schmoll,

Poola valitsus, esindaja: B. Majczyna,

Slovakkia valitsus, esindaja: B. Ricziová,

Soome valitsus, esindajad: A. Laine ja H. Leppo,

Euroopa Parlament, esindajad: O. Hrstková Šolcová ja P. López-Carceller,

Euroopa Liidu Nõukogu, esindajad: J. Lotarski, N. Rouam, E. Sitbon ja C. Zadra,

Euroopa Komisjon, esindajad: D. Nardi ja M. Wasmeier,

Euroopa Andmekaitseinspektor, esindajad: P. Angelov, A. Buchta, F. Coudert ja C.‑A. Marnier,

Euroopa Liidu Põhiõiguste Amet, esindajad: L. López, T. Molnar, M. Nespor ja M. O’Flaherty,

olles 27. jaanuari 2022. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1

Eelotsusetaotlus puudutab sisuliselt:

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1; edaspidi „isikuandmete kaitse üldmäärus“) artikli 2 lõike 2 punkti d ja artikli 23 tõlgendamist; nõukogu 29. aprilli 2004. aasta direktiivi 2004/82/EÜ veoettevõtjate kohustuse kohta edastada reisijaid käsitlevaid andmeid (ELT 2004, L 261, lk 24; ELT eriväljaanne 19/07, lk 74; edaspidi „reisijaid käsitleva eelteabe direktiiv“) ning Euroopa Parlamendi ja nõukogu 20. oktoobri 2010. aasta direktiivi 2010/65/EL, milles käsitletakse liikmesriikide sadamatesse sisenevate ja neist väljuvate laevade teavitusformaalsusi ning millega tunnistatakse kehtetuks direktiiv 2002/6/EÜ (ELT 2010, L 283, lk 1), tõlgendamist;

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/681, mis käsitleb broneeringuinfo kasutamist terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks (ELT 2016, L 119, lk 132; edaspidi „broneeringuinfo direktiiv“), artikli 3 punkti 4, artiklite 6 ja 12 ning I lisa tõlgendamist ja kehtivust lähtuvalt Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artiklitest 7 ja 8 ning artikli 52 lõikest 1 ning

reisijaid käsitleva eelteabe direktiivi tõlgendamist ja kehtivust ELL artikli 3 lõike 2 ja harta artikli 45 seisukohast.

2

Taotlus esitati Ligue des droits humains’i ja Conseil des ministres’i (ministrite nõukogu) vahelises kohtuvaidluses reisijaandmete töötlemist reguleeriva 25. detsembri 2016. aasta seaduse (loi du 25 décembre 2016, relative au traitement des données des passagers) seaduslikkuse üle.

I. Õiguslik raamistik

A. Liidu õigus

1.   Direktiiv 95/46/EÜ

3

Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) tunnistati isikuandmete kaitse üldmäärusega kehtetuks alates 25. maist 2018. Direktiivi artikli 3 lõikes 2 oli sätestatud:

„Käesolevat direktiivi ei kohaldata isikuandmete töötlemise suhtes:

kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra [mõiste „avalik kord“ asemel on edaspidi kasutatud täpsemat vastet „avalik julgeolek“], riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas,

kui seda teeb füüsiline isik isiklikel või kodustel eesmärkidel.“

2.   Reisijaid käsitleva eelteabe direktiiv

4

Reisijaid käsitleva eelteabe direktiivi põhjendustes 1, 7, 9 ja 12 on märgitud:

„(1)

Tõhusaks ebaseadusliku sisserändega võitlemiseks ja piirikontrolli parandamiseks on oluline, et liikmesriigid kehtestaksid sätted reisijaid liikmesriikide territooriumile vedavate lennuettevõtjate kohustuste kohta. Lisaks on nimetatud eesmärgi tõhusamaks saavutamiseks vaja võimalikult suures ulatuses ühtlustada liikmesriikides praegu sätestatud rahalisi karistusi veoettevõtjatele, kes oma kohutusi ei täida, võttes seejuures arvesse liikmesriikide õigussüsteemide ja tavade erinevusi.

[…]

(7)

Käesolevast direktiivist tulenevalt veoettevõtjate suhtes rakendatavad kohustused täiendavad 14. juuni 1985. aasta Schengeni kokkuleppe rakendamise 1990. aasta Schengeni konventsiooni (mida on täiendatud nõukogu [28. juuni 2001. aasta] direktiiviga 2001/51/EÜ[, millega täiendatakse 14. juuni 1985. aasta Schengeni lepingu rakendamise konventsiooni artikli 26 sätteid (EÜT 2001, L 187, lk 45; ELT eriväljaanne 19/04, lk 160)]) artikli 26 sätete alusel kehtestatud kohustusi, kusjuures need kaks kohustuste liiki teenivad sama migratsioonivoogude ohjeldamise ja ebaseadusliku sisserände vastu võitlemise eesmärki.

[…]

(9)

Tõhusamaks võitlemiseks ebaseadusliku sisserände vastu ja selle eesmärgi suurema efektiivsuse tagamiseks on tähtis võtta esimesel võimalusel arvesse, ilma et see piiraks direktiivi [95/46] sätete kohaldamist, võimalikke tehnoloogilisi uuendusi, eriti seoses biomeetriliste elementide integreerimise ja kasutamisega veoettevõtjate poolt edastatavas teabes.

[…]

(12)

Direktiivi [95/46] kohaldatakse isikuandmete töötlemise suhtes liikmesriikide asutuste poolt. See tähendab, et kuigi piirikontrolli tegemiseks edastatud reisijate andmete töötlemine oleks õigustatud ka selleks, et võimaldada nende kasutamist tõendusmaterjalina menetlustes, mille eesmärgiks on rakendada sissesõitu ja sisserändu reguleerivaid õigusnorme, sealhulgas nende avaliku korra (ordre public) ja riigi julgeoleku kaitset käsitlevaid sätteid, oleks edasine töötlemine neile otstarvetele mittevastaval viisil vastuolus direktiivi [95/46] artikli 6 lõike 1 punktis b sätestatud põhimõttega. Liikmesriigid peaksid ette nägema sanktsioonide süsteemi kohaldamiseks muul kui käesolevast direktiivist tuleneval otstarbel kasutamise suhtes.“

5

Reisijaid käsitleva eelteabe direktiivi artiklis 1 „Eesmärk“ on ette nähtud:

„Käesoleva direktiivi eesmärk on parandada piirikontrolli ja võidelda ebaseadusliku sisserände vastu reisijate eelandmete edastamisega veoettevõtjate poolt pädevatele siseriiklikele asutustele.“

6

Direktiivi artiklis 2 „Mõisted“ on sätestatud:

„Käesolevas direktiivis kasutatakse järgmisi mõisteid:

a)

veoettevõtja – füüsiline või juriidiline isik, kelle tööks on reisijate vedu õhu, mere või maismaa kaudu;

b)

välispiirid – liikmesriikide välispiirid kolmandate riikidega;

c)

piirikontroll – piiril toimuv kontroll, mis igast muust põhjusest sõltumata leiab aset ainult piiriületamise kavatsuse korral;

d)

piiripunkt – koht, mille kaudu pädevad asutused on lubanud ületada välispiiri;

e)

isikuandmed, isikuandmete töötlemine ja isikuandmete kataloog – tähendus on sätestatud direktiivi [95/46] artiklis 2.“

7

Direktiivi artikli 3 „Andmete edastamine“ lõigetes 1 ja 2 on sätestatud:

„1.   Liikmesriigid võtavad vajalikud meetmed, et kehtestada veoettevõtjate kohustus edastada isikute välispiiridel kontrollimise eest vastutavate asutuste taotluse korral registreerimise lõpuks teave nende veetavate reisijate kohta volitatud piiripunkti, mille kaudu need isikud sisenevad liikmesriigi territooriumile.

2.   Eespool osutatud teave hõlmab järgmist:

kasutatud reisidokumendi number ja liik,

kodakondsus,

täisnimed,

sünniaeg,

liikmesriikide territooriumile sisenemise piiripunkt,

transpordikoodeks,

transpordivahendi väljumis- ja saabumisaeg,

transpordivahendil veetavate reisijate koguarv,

algne pealemineku koht.“

8

Reisijaid käsitleva eelteabe direktiivi artiklis 6 „Andmetöötlus“ on kirjas:

„1.   Artikli 3 lõikes 1 osutatud isikuandmed edastatakse asutustele, kes vastutavad isikute kontrollimise eest välispiiridel, mille kaudu reisija siseneb liikmesriigi territooriumile, et hõlbustada kõnealuse kontrolli teostamist eesmärgiga võidelda tõhusamalt ebaseadusliku sisserände vastu.

Liikmesriigid tagavad, et veoettevõtjad koguvad kõnealuseid andmeid ja edastavad need elektroonilisel teel või rikke korral mõnel muul asjakohasel viisil asutustele, kes vastutavad piirikontrolli eest volitatud piiripunktis, mille kaudu reisija siseneb liikmesriigi territooriumile. Isikute välispiiridel kontrollimise eest vastutavad asutused salvestavad andmed ajutisse faili.

Pärast reisijate sisenemist kustutavad asutused andmed 24 tunni jooksul pärast edastamist, kui andmeid ei ole hiljem vaja välispiiridel isikute kontrollimise eest vastutavate asutuste põhiseaduslike funktsioonide täitmiseks vastavalt siseriiklikule õigusele ja arvestades direktiivi [95/46] andmekaitsesätteid.

Liikmesriigid võtavad vajalikud meetmed, et kohustada veoettevõtjaid kustutama nende poolt käesoleva direktiivi kohaldamisel kogutud ja piirivalveasutustele edastatud isikuandmed 24 tunni jooksul pärast transpordivahendi saabumist vastavalt artikli 3 lõikele 1.

Kooskõlas oma siseriikliku õigusega ja arvestades direktiivist [95/46] tulenevaid andmekaitsesätteid, võivad liikmesriigid kasutada artikli 3 lõikes 1 osutatud isikuandmeid ka õiguskaitse eesmärgil.

2.   Liikmesriigid võtavad vajalikud meetmed, et kohustada veoettevõtjaid teavitama reisijaid kooskõlas direktiivi [95/46] sätetega. Ühtlasi kujutab see endast direktiivi [95/46] artikli 10 punktis c ja artikli 11 lõike 1 punktis c osutatud teavet.“

3.   Direktiiv 2010/65

9

Euroopa Parlamendi ja nõukogu 20. juuni 2019. aasta määruse (EL) 2019/1239, millega luuakse Euroopa merenduse ühtsete kontaktpunktide keskkond ja tunnistatakse kehtetuks direktiiv 2010/65/EL (ELT 2019, L 198, lk 64), artikliga 25 tunnistatakse direktiiv 2010/65 kehtetuks alates 15. augustist 2025.

10

Direktiivi põhjenduses 2 on ette nähtud:

„Meretranspordi hõlbustamiseks ja laevandusettevõtjate halduskoormuse vähendamiseks on vaja liidu õigusaktide järgi ja liikmesriikide poolt nõutavaid teavitusformaalsusi võimalikult palju lihtsustada ja ühtlustada. […]“.

11

Direktiivi artikli 1 „Sisu ja reguleerimisala“ lõigetes 1 ja 2 on sätestatud:

„1.   Käesoleva direktiivi eesmärk on lihtsustada ja ühtlustada meretranspordile kohaldatavat haldusmenetlust, muutes elektroonilise teabeedastuse standardiks ja teavitusformaalsused selgemaks.

2.   Käesolevat direktiivi kohaldatakse meretranspordi valdkonnas liikmesriikide sadamatesse sisenevate ja neist väljuvate laevade teavitusformaalsuste suhtes.“

12

Direktiivi artikli 8 „Ametisaladuse hoidmise kohustus“ kohaselt:

„1.   Liikmesriigid võtavad kooskõlas liidu kohaldatavate õigusaktide ja siseriiklike õigusaktidega vajalikke meetmeid, et tagada vastavalt käesolevale direktiivile vahetatava ärialase ja muu konfidentsiaalse teabe konfidentsiaalsus.

2.   Liikmesriigid pööravad erilist tähelepanu käesoleva direktiivi alusel kogutava ärialase teabe kaitsele. Isikuandmete puhul tagavad liikmesriigid direktiivi [95/46] täitmise. Liidu institutsioonid ja organid tagavad [Euroopa Parlamendi ja nõukogu 18. detsembri 2000. aasta] määruse (EÜ) nr 45/2001 [üksikisikute kaitse kohta isikuandmete töötlemisel ühenduse institutsioonides ja asutustes ning selliste andmete vaba liikumise kohta (EÜT 2001, L 8, lk 1; ELT eriväljaanne 13/26, lk 102)] täitmise.“

4.   Isikuandmete kaitse üldmäärus

13

Isikuandmete kaitse üldmääruse põhjenduses 19 on märgitud:

„Füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil ning selliste andmete vaba liikumist käsitletakse eraldiseisvas liidu tasandi õigusaktis. Seetõttu ei tuleks käesolevat määrust kohaldada nimetatud eesmärkidel teostatavate isikuandmete töötlemise toimingute suhtes. Avaliku sektori asutuste poolt käesoleva määruse alusel töödeldavaid andmeid, kui neid kasutatakse kõnealustel eesmärkidel, tuleks aga reguleerida konkreetsema liidu tasandi õigusaktiga[, milleks on] Euroopa Parlamendi ja nõukogu [27. aprilli 2016. aasta] direktiiv (EL) 2016/680[, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89; parandus ELT 2018, L 127, lk 8)]. Liikmesriigid võivad anda pädevatele asutustele [direktiivi 2016/680] tähenduses muid ülesandeid, mida ei täideta tingimata süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja ennetamise eesmärgil, ning nii kuulub neil muudel eesmärkidel toimuv isikuandmete töötlemine niivõrd, kuivõrd see on liidu õiguse kohaldamisalas, käesoleva määruse kohaldamisalasse.

[…]“.

14

Määruse artikli 2 „Sisuline kohaldamisala“ lõigetes 1 ja 2 on ette nähtud:

„1.   Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

2.   Käesolevat määrust ei kohaldata, kui:

a)

isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;

b)

liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;

[…]

d)

isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.“

15

Määruse artiklis 4 „Mõisted“ on sätestatud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1)

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku […] kohta;

2)

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]“.

16

Isikuandmete kaitse üldmääruse artiklis 23 „Piirangud“ on sätestatud:

„1.   Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja ‑vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada:

a)

riigi julgeolek;

b)

riigikaitse;

c)

avalik julgeolek;

d)

süütegude tõkestamine, uurimine, avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;

[…]

h)

jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on kas või juhtumipõhiselt seotud avaliku võimu teostamisega punktides a–e ja g osutatud juhtudel;

2.   Eelkõige peab lõikes 1 osutatud seadusandlik meede sisaldama asjakohasel juhul konkreetseid sätteid vähemalt järgmise kohta:

a)

töötlemise või selle kategooriate eesmärgid;

b)

isikuandmete liigid;

c)

kehtestatud piirangute ulatus;

d)

kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist tõkestavad kaitsemeetmed;

e)

vastutava töötleja või vastutavate töötlejate kategooriate määratlus;

f)

säilitamise ajavahemikud ja kohaldatavad kaitsemeetmed, võttes arvesse töötlemise või selle kategooriate laadi, ulatust ja eesmärki;

g)

andmesubjektide õigusi ja vabadusi ähvardavad ohud ning

h)

andmesubjektide õigus olla piirangust teavitatud, välja arvatud juhul, kui see võib mõjutada piirangu eesmärki.“

17

Selle määruse artiklis 94 „Direktiivi [95/46] kehtetuks tunnistamine“ on ette nähtud:

„1.   Direktiiv [95/46] tunnistatakse kehtetuks alates 25. maist 2018.

2.   Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele. Viiteid direktiivi [95/46] artikli 29 alusel loodud töörühmale üksikisikute kaitseks seoses isikuandmete töötlemisega käsitatakse viidetena käesoleva määrusega loodud Euroopa Andmekaitsenõukogule.“

5.   Direktiiv 2016/680

18

Direktiiviga 2016/680 tunnistati vastavalt selle artiklile 59 kehtetuks ja asendati alates 6. maist 2018 nõukogu 27. novembri 2008. aasta raamotsus 2008/977/JSK kriminaalasjades tehtava politsei- ja õigusalase koostöö raames töödeldavate isikuandmete kaitse kohta (ELT 2008, L 350, lk 60).

19

Direktiivi 2016/680 põhjendustes 9–11 on märgitud:

„(9)

Sellest lähtudes sätestab [isikuandmete kaitse üldmäärus] üldised normid füüsiliste isikute kaitseks isikuandmete töötlemisel ning isikuandmete vaba liikumise tagamiseks liidus.

(10)

Lissaboni lepingu vastu võtnud valitsustevahelise konverentsi lõppaktile lisatud deklaratsioonis nr 21 (isikuandmete kaitse kohta kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkonnas) tunnistas konverents, et kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö eripära tõttu võib tekkida vajadus [ELTL] artiklil 16 põhinevate erinormide järele seoses isikuandmete kaitse ja isikuandmete vaba liikumisega kõnealustes valdkondades.

(11)

Seetõttu on asjakohane reguleerida kõnealuseid valdkondi direktiiviga, mis sätestab erinormid, mis käsitlevad füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil, võttes arvesse kõnealuste tegevuste eripära. Sellised pädevad asutused võivad olla mitte üksnes avaliku sektori asutused nagu õigusasutused, politsei ja teised õiguskaitseasutused, vaid ka kõik muud asutused või üksused, kes teostavad liikmesriigi õiguse kohaselt avalikku võimu käesoleva direktiivi kohaldamisel. Kui selline asutus või üksus töötleb isikuandmeid muul eesmärgil kui käesoleva direktiivi kohaldamine, kohaldatakse [isikuandmete kaitse üldmäärust]. Seepärast kohaldatakse [isikuandmete kaitse üldmäärust] juhul, kui asutus või üksus kogub isikuandmeid muul eesmärgil ja täiendavalt töötleb kõnealuseid isikuandmeid oma juriidilise kohustuse täitmiseks. Näiteks finantsasutused säilitavad süütegude uurimiseks või avastamiseks või nende eest vastutusele võtmiseks teatavaid nende poolt töödeldavaid isikuandmeid ning nad teevad need isikuandmed kättesaadavaks ainult pädevatele riigiasutustele erijuhtudel ja kooskõlas liikmesriigi õigusega. Asutus või üksus, kes töötleb isikuandmeid nende asutuste nimel käesoleva direktiivi kohaldamisala piires, peaks olema seotud lepingu või õigusaktiga ning tema suhtes tuleks kohaldada käesolevast direktiivist tulenevaid vastutavate töötlejate suhtes kohaldatavaid sätteid, kusjuures ei mõjutata [isikuandmete kaitse üldmääruse] kohaldamist vastutava töötleja poolt isikuandmete töötlemisele väljaspool käesoleva direktiivi kohaldamisala.“

20

Selle direktiivi artikli 1 „Reguleerimisese ja eesmärgid“, mis sisuliselt vastab raamotsuse 2008/977 artiklile 1, lõikes 1 on ette nähtud:

„Käesolevas direktiivis sätestatakse õigusnormid, mis käsitlevad füüsiliste isikute kaitset isikuandmete töötlemisel pädevate asutuste poolt süütegude tõkestamiseks, uurimiseks, avastamiseks, nende eest vastutusele võtmiseks või kriminaalkaristuste täitmisele pööramiseks, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks.“

21

Nimetatud direktiivi artiklis 3 „Mõisted“ on sätestatud:

„Käesolevas direktiivis kasutatakse järgmisi mõisteid:

[…]

7) „pädev asutus“ –

a)

avaliku sektori asutus, kes on pädev süütegusid tõkestama, uurima, avastama või nende eest vastutusele võtma või kriminaalkaristusi täitmisele pöörama, sealhulgas kaitsma avalikku julgeolekut ähvardavate ohtude eest ja neid ohte ennetama, või

b)

muu asutus või üksus, kes teostab liikmesriigi õiguse kohaselt avalikku võimu süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil;

[…]“.

6.   Broneeringuinfo direktiiv

22

Broneeringuinfo direktiivi põhjendustes 4–12, 15, 19, 20, 22, 25, 27, 28, 33, 36 ja 37 on märgitud:

„(4)

[Reisijaid käsitleva eelteabe direktiiviga] reguleeritakse reisijaid käsitleva eelteabe (API andmed) edastamist lennuettevõtjate poolt riigi pädevatele asutustele piirikontrolli parandamise ja ebaseadusliku sisserände vastu võitlemise eesmärgil.

(5)

Käesoleva direktiivi eesmärgid on muu hulgas tagada julgeolek, kaitsta isikute elu ja turvalisust ning luua õigusraamistik broneeringuinfo kaitseks selle töötlemisel pädevate asutuste poolt.

(6)

Broneeringuinfo tõhus kasutamine (näiteks võrreldes broneeringuinfot andmetega erinevates tagaotsitavate isikute ja esemete andmeid sisaldavates andmebaasides) on vajalik, et terroriakte ja raskeid kuritegusid ennetada, avastada, uurida ja nende eest vastutusele võtta ning parandada sellega sisejulgeolekut, et koguda tõendeid ning et vajaduse korral tuvastada kurjategijate kaasosalisi ja paljastada kuritegelikke võrgustikke.

(7)

Broneeringuinfo hindamine võimaldab tuvastada isikud, keda enne sellist hindamist ei kahtlustatud seotuses terroriaktide või raskete kuritegudega ja keda pädevad asutused peaksid täiendavalt uurima. Broneeringuinfot kasutades on terroriaktide ja raskete kuritegude ohuga võimalik võidelda teisest perspektiivist kui muude isikuandmete kategooriate töötlemise kaudu. Ent selle tagamiseks, et broneeringuinfot töödeldaks nii piiratud ulatuses kui vajalik, tuleks hindamiskriteeriumite loomisel ja kohaldamisel piirduda terroriaktide ja raskete kuritegudega, mille puhul on selliste kriteeriumite kasutamine asjakohane. Lisaks tuleks hindamiskriteeriumid kindlaks määrata viisil, mis tagab, et süsteem tuvastaks ekslikult võimalikult vähe süütuid isikuid.

(8)

Lennuettevõtjad juba koguvad ja töötlevad oma reisijate broneeringuinfot ärilistel eesmärkidel. Käesolev direktiiv ei tohiks panna lennuettevõtjatele kohustust koguda reisijatelt täiendavaid andmeid või neid säilitada ega panna reisijatele kohustust esitada täiendavaid andmeid lisaks neile, mis lennuettevõtjaile juba niigi esitatakse.

(9)

Mõned lennuettevõtjad säilitavad nende poolt kogutud broneeringuinfo osana reisijaid käsitlevat eelteavet, teised aga mitte. Broneeringuinfo kasutamine koos reisijaid käsitleva eelteabega loob lisaväärtust, sest see aitab liikmesriikidel tuvastada isikusamasust ja suurendada seeläbi selle tulemuse väärtust õiguskaitse seisukohast ning vähendada riski, et kontrollitakse ja uuritakse süütuid isikuid. Seetõttu on oluline tagada, et juhul kui lennuettevõtjad koguvad reisijaid käsitlevat eelteavet, edastaksid nad selle sõltumata sellest, kas nad säilitavad nimetatud eelteavet muust broneeringuinfost tehniliselt erineval viisil.

(10)

Terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks on oluline, et kõik liikmesriigid kehtestaksid sätted, millega nähakse ELi-väliseid lende korraldavatele lennuettevõtjatele ette kohustus edastada kogutud broneeringuinfo, sealhulgas reisijaid käsitlev eelteave. Liikmesriikidel peaks olema ka võimalus laiendada nimetatud kohustust ELi-siseseid lende korraldavatele lennuettevõtjatele. Kõnealused sätted ei tohiks piirata [reisijaid käsitleva eelteabe direktiivi] kohaldamist.

(11)

Isikuandmete töötlemine peaks olema proportsionaalne käesoleva direktiivi konkreetsete julgeolekueesmärkidega.

(12)

Käesolevas direktiivis tuleks kohaldada sama terroriaktide määratlust kui nõukogu [13. juuni 2002. aasta] raamotsuses 2002/475/JSK [terrorismivastase võitluse kohta (EÜT 2002, L 164, lk 3; ELT eriväljaanne 19/06, lk 18)]. Raske kuriteo määratlus peaks hõlmama käesoleva direktiivi II lisas loetletud kuriteokategooriaid.

[…]

(15)

Broneeringuinfo üksusele esitatava broneeringuinfo loetelu koostamisel tuleks võtta arvesse riigiasutuste õiguspärast nõuet ennetada, avastada, uurida terroriakte ja raskeid kuritegusid ning nende eest vastutusele võtta, parandades sellega liidu sisejulgeolekut ning kaitstes põhiõigusi, eelkõige õigust eraelu puutumatusele ja isikuandmete kaitsele. Sel eesmärgil tuleks kohaldada kõrgeid standardeid kooskõlas [harta], konventsiooniga üksikisikute kaitse kohta isikuandmete automatiseeritud töötlemisel („konventsioon nr 108“) ning [4. novembril 1950 Roomas allkirjastatud] Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga [(EIÕK)]. Selline loetelu ei tohiks põhineda isiku rassil või etnilisel päritolul, usutunnistusel või veendumusel, poliitilisel või muul seisukohal, ametiühingusse kuuluvusel, terviseseisundil, seksuaalelul või seksuaalsel sättumusel. Broneeringuinfo peaks sisaldama üksnes reisijate broneeringuid ja marsruute käsitlevaid üksikasju, mis võimaldavad pädevatel asutustel tuvastada sisejulgeolekut ohustada võivaid lennureisijaid.

[…]

(19)

Iga liikmesriik peaks vastutama terroriaktide ja raskete kuritegudega seonduvate võimalike ohtude hindamise eest.

(20)

Võttes täielikult arvesse õigust isikuandmete kaitsele ja mittediskrimineerimisele, ei tohiks üksnes automaatselt töödeldud broneeringuinfo põhjal teha otsust, millel on isikule negatiivsed õiguslikud tagajärjed või mis teda oluliselt mõjutab. Peale selle ei tohiks harta artiklite 8 ja 21 kohaselt ükski selline otsus diskrimineerida mis tahes alusel, näiteks isiku soo, rassi, nahavärvi, etnilise või sotsiaalse päritolu, geneetiliste omaduste, keele, usutunnistuse või veendumuste, poliitiliste või muude seisukohtade, rahvusvähemusse kuulumise, varalise seisundi, sünnipära, puude, vanuse või seksuaalse sättumuse tõttu. Kui [Euroopa K]omisjon vaatab läbi käesoleva direktiivi kohaldamise, peaks ta nimetatud põhimõtteid arvesse võtma.

[…]

(22)

Võttes täielikult arvesse Euroopa Liidu Kohtu hiljutisest kohtupraktikast tulenevaid põhimõtteid, peaks käesoleva direktiivi kohaldamisel tagama põhiõiguste, eraelu puutumatuse ja proportsionaalsuse põhimõtte austamise. Käesoleva direktiivi kohaldamisel tuleks samuti täita vajalikkuse ja proportsionaalsuse eesmärke, et saavutada liidu tunnustatud üldised huvid ning võtta arvesse vajadust kaitsta teiste inimeste õigusi ja vabadusi terroriaktide ja raskete kuritegude vastu võitlemisel. Käesoleva direktiivi kohaldamine peaks olema asjakohaselt põhjendatud ja kasutada tuleks vajalikke kaitsemeetmeid, et tagada broneeringuinfo säilitamise, analüüsi, edastamise ja kasutamise õiguspärasus.

[…]

(25)

Tähtaeg, mille vältel broneeringuinfot säilitatakse, peaks olema terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise eesmärkide saavutamiseks nii pikk kui vajalik ja proportsionaalne nimetatud eesmärkide saavutamisega. Broneeringuinfo laadi ja kasutusviiside tõttu on vajalik seda säilitada piisavalt kaua, et seda uurimisel analüüsida ja kasutada. Broneeringuinfo algse säilitamistähtaja möödumisel tuleks broneeringuinfo ebaproportsionaalse kasutamise ärahoidmiseks muuta andmeväljad varjamise teel anonüümseks. Et tagada andmekaitse kõrgeim tase, tuleks juurdepääsu täielikule broneeringuinfole, mis võimaldab andmesubjekti otseselt tuvastada, pärast kõnealuse algse säilitamistähtaja möödumist võimaldada ainult väga rangetel ja piiratud tingimustel.

[…]

(27)

Broneeringuinfo üksuse ja pädevate asutuste poolt broneeringuinfo töötlemise suhtes tuleks kohaldada liikmesriigi õiguse kohast isikuandmete kaitse standardit kooskõlas nõukogu raamotsusega [2008/977] ning käesolevas direktiivis kehtestatud konkreetsete andmekaitsenõuetega. Viiteid raamotsusele [2008/977] tuleks käsitada viidetena kehtivatele õigusaktidele ja samuti seda asendavatele edaspidi vastu võetavatele õigusaktidele.

(28)

Võttes arvesse õigust isikuandmete kaitsele, peaksid andmesubjektide õigused seoses neid käsitleva broneeringuinfo töötlemisega, näiteks õigus andmetega tutvuda, neid parandada, kustutada ja nende töötlemist piirata ning õigus saada hüvitist ja kasutada õiguskaitsevahendeid, olema kooskõlas nii raamotsusega [2008/977] kui ka harta ja [EIÕKga] tagatud kaitse kõrge tasemega.

[…]

(33)

Käesolev direktiiv ei piira liikmesriikide võimalust näha oma siseriikliku õiguse alusel ette süsteem sellise broneeringuinfo kogumiseks ja töötlemiseks, mis on saadud muudelt kui lende korraldavatelt ettevõtjatelt, nagu reisibürood ja reisikorraldajad, kes pakuvad reisimisega seotud teenuseid, sealhulgas teevad broneeringuid lendudele, milleks kogutakse ja töödeldakse reisijate broneeringuinfot, või muudelt kui käesolevas direktiivis sätestatud veoettevõtjatelt, tingimusel et selline siseriiklik õigus on kooskõlas liidu õigusega.

[…]

(36)

Käesolevas direktiivis austatakse põhiõigusi ja hartas kajastatud põhimõtteid, eelkõige õigust isikuandmete kaitsele, eraelu puutumatusele ja mittediskrimineerimisele, mis on sätestatud harta artiklites 8, 7 ja 21, seega tuleks seda vastavalt rakendada. Käesolev direktiiv on kooskõlas andmekaitsepõhimõtetega ja selle sätted on kooskõlas raamotsusega [2008/977]. Lisaks, et täita proportsionaalsuse põhimõtet, sätestab käesolev direktiiv teatud küsimustes rangemad andmekaitsenormid kui raamotsus [2008/977].

(37)

Käesoleva direktiivi kohaldamisala on võimalikult suures ulatuses piiratud, nähes ette broneeringuinfo üksustes broneeringuinfo säilitamise tähtajaks kõige rohkem viis aastat, mille möödumisel tuleks andmed kustutada, nähes ette andmeväljade varjamise teel anonüümseks muutmise pärast algse kuuekuulise tähtaja möödumist ning keelates delikaatsete andmete kogumise ja kasutamise. Tõhususe ja kõrgetasemelise andmekaitse tagamiseks peavad liikmesriigid tagama, et broneeringuinfo töötlemise viisiga seonduva nõustamise ja järelevalve eest vastutaks liikmesriigi sõltumatu järelevalveasutus, eelkõige andmekaitseametnik. Broneeringuinfo igasugune töötlemine tuleks registreerida või dokumenteerida, et kontrollida selle õiguspärasust, viia läbi sisekontrolli ning tagada andmete nõuetekohane terviklus ja turvaline töötlemine. Liikmesriigid peaksid tagama ka selle, et reisijaid teavitatakse selgelt ja täpselt broneeringuinfo kogumisest ja nende õigustest.“

23

Broneeringuinfo direktiivi artiklis 1 „Reguleerimisese ja kohaldamisala“ on sätestatud:

„1.   Käesolevas direktiivis sätestatakse

a)

ELi-väliste lendude reisijate broneeringuinfo edastamine lennuettevõtjate poolt;

b)

punktis a osutatud info töötlemine, sealhulgas selle kogumine, kasutamine ja säilitamine liikmesriikides ning selle vahetamine liikmesriikide vahel.

2.   Käesoleva direktiivi kohaselt kogutud broneeringuinfot võib töödelda üksnes terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise eesmärgil, nagu on sätestatud artikli 6 lõike 2 punktides a, b ja c.“

24

Direktiivi artikkel 2 „Käesoleva direktiivi kohaldamine ELi‑siseste lendude suhtes“ on sõnastatud järgmiselt:

„1.   Kui liikmesriik otsustab käesolevat direktiivi kohaldada ELi-siseste lendude suhtes, teavitab ta sellest kirjalikult komisjoni. Liikmesriik võib sellise teate esitada või tagasi võtta igal ajal. Komisjon avaldab kõnealuse teate ja selle tagasivõtmise Euroopa Liidu Teatajas.

2.   Kui esitatakse lõikes 1 osutatud teade, kohaldatakse käesoleva direktiivi kõiki sätteid ELi-siseste lendude suhtes nii, nagu need oleksid ELi-välised lennud, ning ELi-siseste lendude broneeringuinfo suhtes nii, nagu see oleks ELi-väliste lendude broneeringuinfo.

3.   Liikmesriik võib otsustada kohaldada käesolevat direktiivi ainult valitud ELi-siseste lendude suhtes. Sellise otsuse tegemisel valib liikmesriik välja lennud, mida ta peab vajalikuks käesoleva direktiivi eesmärkide taotlemiseks. Liikmesriik võib igal ajal teha otsuse muuta ELi-siseste lendude valikut.“

25

Nimetatud direktiivi artiklis 3 „Mõisted“ on kirjas:

„Käesolevas direktiivis kasutatakse järgmisi mõisteid:

1)

„lennuettevõtja“ – õhuveoettevõtja, kellel on kehtiv lennutegevusluba või samaväärne luba, mis lubab tal teostada reisijate õhuvedu;

2)

„ELi-väline lend“ – lennuettevõtja regulaar- või mitteregulaarlend, mis on väljunud kolmandast riigist ja kavandatud saabuma liikmesriigi territooriumile, või lend, mis väljub liikmesriigi territooriumilt ja on kavandatud saabuma kolmandasse riiki, sealhulgas mõlemal juhul liikmesriikide või kolmandate riikide territooriumil vahepeatusi tegevad lennud;

3)

„ELi-sisene lend“ – lennuettevõtja regulaar- või mitteregulaarlend, mis on väljunud ühe liikmesriigi territooriumilt ja kavandatud saabuma ühe või mitme teise liikmesriigi territooriumile ilma kolmanda riigi territooriumil vahepeatusi tegemata;

4)

„reisija“ – isik, sealhulgas transfeer- või transiitreisija, v.a meeskonnaliige, keda lennuettevõtja nõusolekul veetakse või hakatakse vedama õhusõidukis, kusjuures sellisest nõusolekust annab tunnistust kõnealuse isiku kandmine reisijate nimekirja;

5)

„broneeringuinfo“ (PNR andmed) – iga reisija reisiinfo, milles sisalduvad andmed võimaldavad broneeringut tegevatel ja osalevatel lennuettevõtjatel töödelda ja kontrollida iga reisi puhul isiku enda poolt või tema eest tehtud broneeringut; info võib asuda broneerimissüsteemides, maapealse teenindamise süsteemides, mida kasutatakse reisijate registreerimiseks lennule, või samade funktsioonidega samaväärsetes süsteemides;

6)

„broneerimissüsteem“ – lennuettevõtja siseandmebaas, millesse kogutakse broneeringuinfot broneeringute käitlemiseks;

7)

„tõukemeetod“ – meetod, mille kohaselt lennuettevõtjad edastavad I lisas loetletud broneeringuinfo seda taotleva pädeva asutuse andmebaasi;

8)

„terroriaktid“ raamotsuse [2002/475] artiklites 1–4 osutatud süüteod liikmesriigi õiguse tähenduses;

9)

„raske kuritegu“ – II lisas loetletud süütegu, mis on liikmesriigi õiguse kohaselt karistatav vabadusekaotuse või vabadust piirava julgeolekumeetmega, mille maksimaalne pikkus on vähemalt kolm aastat;

10)

„andmeväljade varjamise teel anonüümseks muutmine“ – nende andmeväljade kasutaja jaoks nähtamatuks tegemine, mis võiksid otseselt tuvastada andmesubjekti.“

26

Broneeringuinfo direktiivi artikli 4 „Broneeringuinfo üksus“ lõigetes 1–3 on sätestatud:

„1.   Iga liikmesriik asutab või nimetab terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks pädeva asutuse või sellise asutuse allasutuse, kes tegutseb liikmesriigi broneeringuinfo üksusena.

2.   Broneeringuinfo üksus vastutab

a)

lennuettevõtjatelt broneeringuinfo kogumise, broneeringuinfo säilitamise ja töötlemise ning kõnealuse info või selle töötlemise tulemuste edastamise eest artiklis 7 osutatud pädevatele asutustele;

b)

broneeringuinfo ja selle töötlemise tulemuste vahetamise eest teiste liikmesriikide broneeringuinfo üksustega ja Europoliga kooskõlas artiklitega 9 ja 10.

3.   Broneeringuinfo üksuse töötajateks võib lähetada pädevate asutuste töötajaid. Liikmesriigid annavad broneeringuinfo üksustele nende ülesannete täitmiseks piisavad vahendid.“

27

Selle direktiivi artikkel 5 „Broneeringuinfo üksuse andmekaitseametnik“ on sõnastatud järgmiselt:

„1.   Broneeringuinfo üksus nimetab ametisse andmekaitseametniku, kes vastutab broneeringuinfo töötlemise ja asjakohaste kaitsemeetmete rakendamise järelevalve eest.

2.   Liikmesriigid annavad andmekaitseametnikule vahendid, millega ta saab täita oma käesoleva artikli kohaseid ülesandeid tulemuslikult ja sõltumatult.

3.   Liikmesriigid tagavad andmesubjektile õiguse kontakteeruda andmekaitseametniku kui ühtse kontaktpunktiga kõigis küsimustes, mis on seotud kõnealuse andmesubjekti broneeringuinfo töötlemisega.“

28

Direktiivi artiklis 6 „Broneeringuinfo töötlemine“ on sätestatud:

„1.   Artikli 8 kohaselt kogub lennuettevõtjate poolt edastatavat broneeringuinfot asjaomase liikmesriigi broneeringuinfo üksus. Kui lennuettevõtjate poolt edastatav broneeringuinfo sisaldab muid andmeid, kui on loetletud I lisas, kustutab broneeringuinfo üksus need andmed kohe ja jäädavalt pärast kättesaamist.

2.   Broneeringuinfo üksus töötleb broneeringuinfot üksnes järgmistel eesmärkidel:

a)

reisijate hindamine enne nende graafikujärgset saabumist liikmesriiki või väljumist liikmesriigist, et tuvastada isikud, keda artiklis 7 osutatud pädevad asutused ja vajaduse korral artikli 10 kohaselt Europol peavad täiendavalt uurima, võttes arvesse asjaolu, et sellised isikud võivad olla seotud terroriakti või raske kuriteoga;

b)

reageerimine igal üksikjuhul eraldi pädeva asutuse piisavale teabele tuginevale asjakohaselt põhjendatud taotlusele esitada broneeringuinfo ja seda töödelda konkreetsetel juhtudel terroriakti või raske kuriteo ennetamiseks, avastamiseks, uurimiseks ja selle eest vastutusele võtmiseks ning esitada sellise töötlemise tulemused pädevatele asutustele või asjakohasel juhul Europolile, ning

c)

broneeringuinfo analüüsimine lõike 3 punkti b alusel toimuva hindamise käigus kasutatavate kriteeriumite ajakohastamiseks või uute kriteeriumite loomiseks, mida kasutatakse nende isikute tuvastamiseks, kes võivad olla seotud terroriakti või raske kuriteoga.

3.   Lõike 2 punktis a osutatud hindamise käigus võib broneeringuinfo üksus

a)

võrrelda broneeringuinfot andmetega terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise seisukohast asjassepuutuvates andmebaasides, sealhulgas otsitavate või hoiatusteate alusel tagaotsitavate isikute ja esemete andmebaasides, kooskõlas selliste andmebaaside suhtes kohaldatavate liidu, rahvusvaheliste ja liikmesriikide normidega, või

b)

töödelda broneeringuinfot eelnevalt kindlaksmääratud kriteeriumide alusel.

4.   Reisijaid hinnatakse lõike 3 punktis b osutatud eelnevalt kindlaksmääratud kriteeriumide alusel enne nende graafikujärgset saabumist liikmesriiki või väljumist liikmesriigist mittediskrimineerival viisil. Kõnealused eelnevalt kindlaksmääratud kriteeriumid peavad olema sihipärased, proportsionaalsed ja konkreetsed. Liikmesriigid tagavad, et broneeringuinfo üksused kehtestavad kõnealused kriteeriumid ja vaatavad need korrapäraselt läbi koostöös artiklis 7 osutatud pädevate asutustega. Kõnealused kriteeriumid ei tohi mitte mingil juhul põhineda inimese rassil või etnilisel päritolul, poliitilisel seisukohal, usutunnistusel või filosoofilisel veendumusel, ametiühingusse kuuluvusel, terviseseisundil, seksuaalelul või seksuaalsel sättumusel.

5.   Liikmesriigid tagavad, et kõik lõike 2 punkti a kohasel broneeringuinfo automaatsel töötlemisel saadavad positiivsed tulemused vaadatakse ükshaaval mitteautomaatselt läbi, et kontrollida, kas artiklis 7 osutatud pädev asutus peab võtma meetmeid vastavalt liikmesriigi õigusele.

6.   Liikmesriigi broneeringuinfo üksus edastab lõike 2 punkti a kohaselt tuvastatud isikute broneeringuinfo või kõnealuse info töötlemise tulemused täiendavaks uurimiseks artiklis 7 osutatud sama liikmesriigi pädevatele asutustele. Selline edastamine toimub igal konkreetsel juhul eraldi ja broneeringuinfo automaatse töötlemise korral pärast üksikjuhtumi mitteautomaatset läbivaatamist.

7.   Liikmesriigid tagavad, et andmekaitseametnikul on juurdepääs kõikidele broneeringuinfo üksuse poolt töödeldud andmetele. Kui andmekaitseametnik leiab, et andmete töötlemine ei olnud õiguspärane, võib ta suunata küsimuse riiklikule järelevalveasutusele.

[…]

9.   Käesoleva artikli lõike 2 punktis a osutatud reisijate hindamise tagajärjed ei tohi seada ohtu liidus vaba liikumise õigust omavate isikute õigust siseneda asjaomase liikmesriigi territooriumile, nagu on sätestatud Euroopa Parlamendi ja nõukogu [29. aprilli 2004. aasta] direktiivis 2004/38/EÜ[, mis käsitleb Euroopa Liidu kodanike ja nende pereliikmete õigust liikuda ja elada vabalt liikmesriikide territooriumil ning millega muudetakse määrust (EMÜ) nr 1612/68 ja tunnistatakse kehtetuks direktiivid 64/221/EMÜ, 68/360/EMÜ, 72/194/EMÜ, 73/148/EMÜ, 75/34/EMÜ, 75/35/EMÜ, 90/364/EMÜ, 90/365/EMÜ ja 93/96/EMÜ (ELT 2004, L 158, lk 77; ELT eriväljaanne 05/05, lk 46)]. Lisaks peavad juhul, kui hindamine toimub seoses liikmesriikide vaheliste ELi‑siseste lendudega, mille suhtes kohaldatakse Euroopa Parlamendi ja nõukogu [15. märtsi 2006. aasta] määrust (EÜ) nr 562/2006[, millega kehtestatakse isikute üle piiri liikumist reguleerivad ühenduse eeskirjad (Schengeni piirieeskirjad) (ELT 2006, L 105, lk 1),] sellise hindamise tagajärjed olema kooskõlas nimetatud määrusega.“

29

Broneeringuinfo direktiivi artiklis 7 „Pädevad asutused“ on sätestatud:

„1.   Iga liikmesriik võtab vastu selliste pädevate asutuste nimekirja, kes on volitatud broneeringuinfo üksuselt taotlema või saama broneeringuinfot või selle töötlemise tulemusi nimetatud info täiendavaks uurimiseks või asjakohaste meetmete võtmiseks, et ennetada, avastada ja uurida terroriakte ja raskeid kuritegusid ning nende eest vastutusele võtta.

2.   Lõikes 1 osutatud asutused on asutused, kel on pädevus ennetada, avastada ja uurida terroriakte või raskeid rahvusvahelisi kuritegusid või nende eest vastutusele võtta.

[…]

4.   Broneeringuinfo üksuselt saadud broneeringuinfot ja selle töötlemise tulemusi võivad liikmesriikide pädevad asutused täiendavalt töödelda üksnes terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise konkreetsel eesmärgil.

5.   Lõige 4 ei piira liikmesriikide õiguskaitse- ja kohtuasutuste volitusi juhul, kui andmete töötlemisele järgnevate jõustamismeetmete käigus avastatakse muid rikkumisi või neile osundavaid tõendeid.

6.   Pädevad asutused ei tohi teha ühtki otsust, mille õiguslik mõju isikule on negatiivne või mis teda oluliselt mõjutab, üksnes automaatselt töödeldud broneeringuinfo põhjal. Selliseid otsuseid ei tehta inimese rassi või etnilise päritolu, poliitiliste seisukohtade, usutunnistuse või filosoofiliste veendumuste, ametiühingusse kuuluvuse, terviseseisundi, seksuaalelu või seksuaalse sättumuse põhjal.“

30

Direktiivi artikli 8 „Lennuettevõtjate kohustused seoses andmete edastamisega“ lõigetes 1–3 on ette nähtud:

„1.   Liikmesriigid võtavad vastu vajalikud meetmed selle tagamiseks, et lennuettevõtjad edastaksid tõukemeetodil I lisas loetletud broneeringuinfo ulatuses, milles nad sellist infot oma tavapärase äritegevuse käigus on juba kogunud, selle liikmesriigi broneeringuinfo üksuse andmebaasi, mille territooriumile lend saabub või mille territooriumilt lend väljub. Kui lennu puhul on kood jagatud ühe või mitme lennuettevõtja vahel, vastutab kõigi reisijate broneeringuinfo edastamise eest see lennuettevõtja, kes lendu teostab. Kui ELi-välisel lennul on üks või mitu vahepeatust liikmesriikide lennujaamades, edastavad lennuettevõtjad kõigi reisijate broneeringuinfo kõigi asjaomaste liikmesriikide broneeringuinfo üksustele. Sama kehtib ka juhul, kui ELi-sisesel lennul on üks või mitu vahepeatust erinevate liikmesriikide lennujaamades, kuid ainult ELi-siseste lendude kohta broneeringuinfot koguvate liikmesriikide puhul.

2.   Juhul kui lennuettevõtjad on kogunud reisijaid käsitlevat eelteavet, mis on loetletud I lisa punktis 18, kuid ei säilita kõnealust eelteavet tehniliselt samal viisil kui muud broneeringuinfot, võtavad liikmesriigid vajalikud meetmed selle tagamiseks, et lennuettevõtjad edastaksid tõukemeetodil ka kõnealuse eelteabe lõikes 1 osutatud liikmesriigi broneeringuinfo üksusele. Sellise edastamise korral kohaldatakse kõiki käesoleva direktiivi sätteid kõnealusele eelteabele.

3.   Lennuettevõtjad edastavad broneeringuinfo elektrooniliselt, kasutades ühiseid protokolle ja toetatavaid andmevorminguid, mis võetakse vastu vastavalt artikli 17 lõikes 2 osutatud kontrollimenetlusele, või tehnilise rikke korral mõnel muul asjakohasel viisil, millega tagatakse piisav andmeturbe tase, tehes seda

a)

24–48 tundi enne lennu kavandatud väljumisaega ning

b)

kohe pärast pardalemineku lõppemist, st pärast seda, kui reisijad on läinud väljumiseks valmistuva õhusõiduki pardale ja reisijatel ei lubata enam pardale minna ega pardalt lahkuda.“

31

Direktiivi artiklis 12 „Andmete säilitamise ja anonüümseks muutmise tähtaeg“ on sätestatud:

„1.   Liikmesriigid tagavad, et lennuettevõtjate poolt broneeringuinfo üksusele edastatud broneeringuinfot säilitatakse broneeringuinfo üksuse andmebaasis viis aastat pärast seda, kui see on edastatud selle liikmesriigi broneeringuinfo üksusele, kelle territooriumile lend saabub või kelle territooriumilt lend väljub.

2.   Pärast kuue kuu möödumist lõikes 1 nimetatud broneeringuinfo edastamisest muudetakse kogu broneeringuinfo anonüümseks, varjates järgmised andmeväljad, mis võiksid otseselt tuvastada reisija, keda broneeringuinfo käsitleb:

a)

nimi (nimed), sealhulgas broneeringuinfos sisalduvad teiste reisijate nimed ja koos reisivate reisijate arv;

b)

aadress ja kontaktandmed;

c)

kogu makseviise käsitlev teave, sealhulgas arve saatmise aadress, mis sisaldab teavet, mis võiks otseselt tuvastada reisija, keda broneeringuinfo käsitleb, või mõne teise isiku;

d)

püsikliendi staatust käsitlev teave;

e)

üldised märkused selles ulatuses, mil nad sisaldavad teavet, mis võiks otseselt tuvastada reisija, keda broneeringuinfo käsitleb, ning

f)

reisijaid käsitlev eelteave, mida on kogutud.

3.   Pärast lõikes 2 osutatud kuuekuulise tähtaja möödumist on täieliku broneeringuinfo avaldamine lubatud üksnes juhul, kui on

a)

alust arvata, et see on vajalik artikli 6 lõike 2 punktis b osutatud eesmärkidel, ning

b)

loa on andnud

i)

õigusasutus või

ii)

muu riigiasutus, kes on liikmesriigi õiguse alusel pädev kontrollima, kas avaldamise tingimused on täidetud, tingimusel et broneeringuinfo üksuse andmekaitseametnikku on sellest teavitatud ja kõnealune andmekaitseametnik teostab tagantjärele läbivaatamise.

4.   Liikmesriigid tagavad, et lõikes 1 osutatud tähtaja möödumisel kustutatakse broneeringuinfo jäädavalt. Kõnealune kohustus ei mõjuta juhtumeid, mil konkreetne broneeringuinfo on edastatud pädevale asutusele ning seda kasutatakse konkreetse juhtumi puhul terroriakti või raske kuriteo ennetamiseks, avastamiseks, uurimiseks või selle eest vastutusele võtmiseks, millisel juhul reguleerib pädeva asutuse poolt selliste andmete säilitamist liikmesriigi õigus.

5.   Broneeringuinfo üksus säilitab artikli 6 lõike 2 punktis a osutatud töötlemise tulemusi üksnes niikaua, kui see on vajalik, et teavitada pädevaid asutusi ja teiste liikmesriikide broneeringuinfo üksusi positiivsest tulemusest kooskõlas artikli 9 lõikega 1. Kui automaatse töötlemise tulemused osutuvad artikli 6 lõikes 5 osutatud üksikjuhtumi mitteautomaatse läbivaatamise järel negatiivseks, võib tulemusi siiski säilitada „valepositiivsete“ tulemuste vältimiseks tulevikus, kui alusandmeid ei ole käesoleva artikli lõike 4 kohaselt kustutatud.“

32

Broneeringuinfo direktiivi artikli 13 „Isikuandmete kaitse“ lõigetes 1–5 on sätestatud:

„1.   Iga liikmesriik tagab, et käesoleva direktiivi kohasel isikuandmete töötlemisel on igal reisijal samaväärne õigus oma isikuandmete kaitsele, õigus andmetega tutvuda, neid parandada, kustutada ja nende töötlemist piirata ning õigus saada hüvitist ja kasutada õiguskaitsevahendeid, nagu on sätestatud liidu ja liikmesriigi õiguses ning nagu see on vajalik raamotsuse [2008/977] artiklite 17, 18, 19 ja 20 rakendamiseks. Seega kohaldatakse nimetatud artikleid.

2.   Iga liikmesriik näeb ette, et liikmesriikide õigusaktide sätteid, mis võetakse vastu raamotsuse [2008/977] töötlemise konfidentsiaalsust ja andmete turvalisust käsitlevate artiklite 21 ja 22 rakendamiseks, kohaldatakse ka käesoleva direktiivi kohase isikuandmete töötlemise suhtes.

3.   Käesolev direktiiv ei piira Euroopa Parlamendi ja nõukogu direktiivi [95/46] kohaldamist lennuettevõtjate poolse isikuandmete töötlemise suhtes, eelkõige mis puudutab nende kohustust võtta asjakohaseid tehnilisi ja korralduslikke meetmeid isikuandmete turvalisuse ja konfidentsiaalsuse kaitsmiseks.

4.   Liikmesriigid keelavad broneeringuinfo töötlemise, mis paljastab isiku rassi või etnilise päritolu, poliitilised seisukohad, usutunnistuse või filosoofilised veendumused, ametiühingusse kuulumise, terviseseisundi, seksuaalelu või seksuaalse sättumuse. Sellist teavet paljastava broneeringuinfo saamisel kustutab broneeringuinfo üksus selle viivitamata.

5.   Liikmesriigid tagavad, et broneeringuinfo üksus dokumenteerib kõik oma vastutusalasse kuuluvad töötlemise süsteemid ja menetlused. Nendes dokumentides on välja toodud vähemalt

a)

broneeringuinfo üksuses broneeringuinfo töötlemise eest vastutava üksuse ja töötajate nimed ja kontaktandmed ning juurdepääsulubade eri tasemed;

b)

teiste liikmesriikide pädevate asutuste ja broneeringuinfo üksuste tehtud taotlused;

c)

kõik kolmandate riikide esitatud taotlused ja broneeringuinfo edastused kolmandatele riikidele.

Broneeringuinfo üksus esitab kõik olemasolevad dokumendid taotluse korral riiklikule järelevalveasutusele.“

33

Direktiivi artiklis 15 „Riiklik järelevalveasutus“ on sätestatud:

„1.   Iga liikmesriik sätestab, et raamotsuse [2008/977] artiklis 25 osutatud riiklik järelevalveasutus vastutab tema territooriumil käesoleva direktiivi kohaselt liikmesriikide poolt vastu võetud õigusnormide kohaldamisega seonduva nõustamise ja kohaldamise järelevalve eest. Kohaldatakse raamotsuse [2008/977] artiklit 25.

2.   Kõnealused riiklikud järelevalveasutused täidavad lõike 1 kohaseid ülesandeid, et kaitsta isikuandmete töötlemisel põhiõigusi.

3.   Iga riiklik järelevalveasutus

a)

tegeleb andmesubjektide esitatud kaebustega, uurib kaebuste sisu ja teavitab andmesubjekte mõistliku aja jooksul uurimise käigust ja tulemusest;

b)

kontrollib andmetöötluse õiguspärasust, toimetab kooskõlas liikmesriigi õigusega uurimisi, inspekteerimisi ja auditeid kas omal algatusel või punktis a osutatud kaebuse alusel.

4.   Iga riiklik järelevalveasutus annab andmesubjektile tema taotluse korral nõu käesoleva direktiivi kohaselt vastu võetud õigusnormidest tulenevate õiguste kasutamise kohta.“

34

Direktiivi artikkel 19 „Läbivaatamine“ näeb ette:

„1.   Liikmesriikide antud teabe, sealhulgas artikli 20 lõikes 2 osutatud statistiliste andmete põhjal, vaatab komisjon hiljemalt 25. maiks 2020 kõigi käesoleva direktiivi elementide toimimise läbi ning edastab ja esitab Euroopa Parlamendile ja [Euroopa Liidu N]õukogule aruande.

2.   Läbivaatamise käigus pöörab komisjon erilist tähelepanu

a)

kohaldatavate isikuandmete kaitse standardite järgimisele;

b)

broneeringuinfo kogumise ja töötlemise vajalikkusele ja proportsionaalsusele iga käesolevas direktiivis sätestatud eesmärgi puhul;

c)

andmete säilitamise tähtaja pikkusele;

d)

liikmesriikidevahelise teabevahetuse tõhususele ning

e)

hinnangute kvaliteedile, muu hulgas seoses artikli 20 kohaselt kogutud statistikaga.

3.   Lõikes 1 osutatud aruandes vaadatakse ka läbi vajadus lisada käesoleva direktiivi kohaldamisalasse kõigi või valitud ELi-siseste lendude broneeringuinfo kohustuslik kogumine ja edastamine ning selle proportsionaalsus ja tõhusus. Komisjon võtab arvesse liikmesriikide kogemusi, eelkõige nende liikmesriikide kogemusi, kes kohaldavad käesolevat direktiivi ELi-sisestele lendudele kooskõlas artikliga 2. Samuti analüüsitakse aruandes vajadust lisada käesoleva direktiivi kohaldamisalasse ka muud kui lende korraldavad ettevõtjad, nagu reisibürood ja reisikorraldajad, kes pakuvad reisimisega seotud teenuseid, sealhulgas teevad lendudele broneeringuid.

4.   Käesoleva artikli kohase läbivaatamise tulemusi arvestades esitab komisjon asjakohasel juhul Euroopa Parlamendile ja nõukogule seadusandliku ettepaneku käesoleva direktiivi muutmiseks.“

35

Sama direktiivi artikli 21 „Seos muude õigusaktidega“ lõikes 2 on sätestatud:

„Käesolev direktiiv ei piira direktiivi [95/46] kohaldamist isikuandmete töötlemisele lennuettevõtjate poolt.“

36

Broneeringuinfo direktiivi I lisas „Lennuettevõtjate poolt kogutav broneeringuinfo“ on muu hulgas märgitud:

„1.

Broneeringu number

2.

Broneeringu kuupäev/pileti väljastamise kuupäev

3.

Kavandatav(ad) reisikuupäev(ad)

4.

Nimi (nimed)

5.

Aadress ja kontaktandmed (telefoninumber, e-posti aadress)

6.

Kõikvõimalikke makseviise käsitlev teave, sealhulgas arve saatmise aadress

7.

Konkreetse broneeringu täielik marsruut

8.

Püsikliendi staatust käsitlev teave

9.

Reisibüroo/reisiagent

10.

Reisija staatus, sealhulgas kinnitused ja lennule registreerimine, teave kinnitamata kohaga reisijate või lennule mitteilmujate kohta

11.

Jagatud broneeringuinfo

12.

Üldised märkused (sealhulgas kogu kättesaadav teave ilma saatjata reisiva alla 18-aastase alaealise kohta, nagu alaealise nimi ja sugu, vanus, kasutatav(ad) keel(ed), lähtepunktis oleva hooldaja nimi ja kontaktandmed ning seos alaealisega, sihtpunktis oleva eestkostja nimi ja kontaktandmed ning seos alaealisega, saatev ja vastuvõttev lennujaama töötaja)

13.

Piletiandmed, kaasa arvatud pileti number, pileti väljastamise kuupäev ja ühe suuna piletid, automaatse hinnastamise andmed

14.

Istekoha number ja muu teave istekoha kohta

15.

Teave lennukoodi jagamise kohta

16.

Kõik pagasiandmed

17.

Kaasreisijate arv ja nende nimed konkreetse broneeringu raames

18.

Kogutud reisijaid käsitlev eelteave (API andmed) (muu hulgas isikut tõendava dokumendi liik, dokumendi number, dokumendi väljastanud riik, dokumendi kehtivuse lõpp, kodakondsus, perekonnanimi, eesnimi, sugu, sünnikuupäev, lennuettevõtja, lennu number, väljumiskuupäev, saabumiskuupäev, väljumislennujaam, saabumislennujaam, väljumis- ja saabumisaeg)

19.

Kõik punktides 1–18 nimetatud broneeringuinfos tehtud varasemad muudatused.“

37

Direktiivi II lisa „Artikli 3 punktis 9 osutatud kuritegude loetelu“ on sõnastatud järgmiselt:

„1.

kuritegelikus organisatsioonis osalemine

2.

inimkaubandus

3.

laste seksuaalne ärakasutamine ja lapsporno

4.

ebaseaduslik kauplemine narkootiliste ja psühhotroopsete ainetega

5.

ebaseaduslik kauplemine relvade, laskemoona ja lõhkeainetega

6.

korruptsioon

7.

kelmus, sealhulgas liidu finantshuve kahjustav kelmus

8.

kriminaaltulu rahapesu ning raha, sealhulgas euro võltsimine

9.

arvuti-/küberkuriteod

10.

keskkonnakuriteod, sealhulgas ebaseaduslik kauplemine ohustatud looma- ja taimeliikide ning taimesortidega

11.

ebaseaduslikule piiriületamisele ja riigis elamisele kaasaaitamine

12.

tahtlik tapmine, raskete kehavigastuste tekitamine

13.

ebaseaduslik kauplemine inimorganite ja -kudedega

14.

inimrööv, ebaseaduslik vabadusevõtmine ja pantvangi võtmine

15.

organiseeritud või relvastatud röövimine

16.

ebaseaduslik kauplemine kultuuriväärtuste, sealhulgas antiik- ja kunstiesemetega

17.

toodete võltsimine ja piraatkoopiate valmistamine

18.

haldusdokumentide võltsimine ja nendega kauplemine

19.

ebaseaduslik kauplemine hormoonpreparaatide ja muude kasvukiirendajatega

20.

ebaseaduslik kauplemine tuumamaterjalide ja radioaktiivsete ainetega

21.

vägistamine

22.

rahvusvahelise kriminaalkohtu pädevusse kuuluvad kuriteod

23.

õhusõiduki/laeva kaaperdamine

24.

sabotaaž

25.

varastatud sõidukitega kauplemine

26.

tööstusspionaaž.“

7.   Raamotsus 2002/475

38

Raamotsuse 2002/475 artiklis 1 oli mõiste „terroriakt“ määratlemiseks sama artikli punktides a–i loetletud rida tahtlikke tegusid, mis pannakse toime eesmärgiga „tõsiselt hirmutada elanikkonda“ või „sundida valitsust või rahvusvahelist organisatsiooni põhjendamatult mõnda tegu toime panema või sellest hoiduma“ või „tõsiselt tasakaalust välja viia või hävitada mõne riigi või rahvusvahelise organisatsiooni poliitiline, põhiseaduslik, majanduslik või ühiskondlik kord“. Raamotsuse artiklid 2 ja 3 määratlesid mõisted „terrorirühmitusega seotud õigusrikkumised“ ja „terroristliku tegevusega seotud rikkumised“. Raamotsuse artikkel 4 käsitles õigusrikkumisele üleskutsumist, sellele kaasaaitamist või sellele kihutamist ning selliste tegude katseid.

39

Raamotsus 2002/475 tunnistati kehtetuks Euroopa Parlamendi ja nõukogu 15. märtsi 2017. aasta direktiiviga (EL) 2017/541 terrorismivastase võitluse kohta, millega asendatakse nõukogu raamotsus 2002/475/JSK ning muudetakse nõukogu otsust 2005/671/JSK (ELT 2017, L 88, lk 6), mille artiklid 3–14 sisaldavad analoogseid määratlusi.

B. Belgia õigus

1.   Põhiseadus

40

Põhiseaduse artiklis 22 on sätestatud:

„Igaühel on õigus sellele, et austataks tema era- ja perekonnaelu, välja arvatud seaduses sätestatud juhtudel ja tingimustel.

Seadus, dekreet või artiklis 134 nimetatud õigusnorm tagavad selle õiguse kaitse.“

2.   25. detsembri 2016. aasta seadus

41

25. detsembri 2016. aasta broneeringuinfo töötlemise seaduse (loi du 25 décembre 2016, relative au traitement des données des passagers; Moniteur belge, 25.1.2017, lk 12905; edaspidi „25. detsembri 2016. aasta seadus“) artikkel 2 on sõnastatud järgmiselt:

„Käesolev seadus ja kuninga määrused, mis võetakse vastu käesoleva seaduse rakendamiseks, võtavad üle [reisijaid käsitleva eelteabe direktiivi] ja [broneeringuinfo direktiivi]. Käesolev seadus ja merendussektorit käsitlev kuninga määrus võtavad osaliselt üle [direktiivi 2010/65].“

42

Selle seaduse artiklis 3 on sätestatud:

„§ l.   Käesolevas seaduses määratakse kindlaks veoettevõtjate ja reisikorraldajate kohustused, mis on seotud riigi territooriumile saabuvaid, sealt väljuvaid ja seal läbisõidul olevaid reisijaid käsitlevate andmete edastamisega.

§ 2.   Kuningas määrab ministrite nõukogus arutatud määrusega ning pärast eraelu kaitse komisjoni arvamuse saamist eri transpordisektorite ja reisikorraldajate jaoks kindlaks, millist broneeringuinfot edastatakse ja milline on selle info edastamise kord.“

43

Kõnealuse seaduse artiklis 4 on ette nähtud:

„Käesolevas seaduses ja selle rakendusmäärustes kasutatakse järgmisi mõisteid:

[…]

„pädevad asutused“: artikli 14 lõike 1 punktis 2 osutatud asutused;

„broneeringuinfo“: iga reisija reisiinfo, mis sisaldab artiklis 9 nimetatud andmeid, mis võimaldavad broneeringut tegevatel ja osalevatel veoettevõtjatel ja reisikorraldajatel töödelda ja kontrollida iga reisi puhul isiku enda poolt või tema eest tehtud broneeringut; info võib asuda broneerimissüsteemides, maapealse teenindamise süsteemides, mida kasutatakse reisijate registreerimiseks pardaleminekul, või samade funktsioonidega samaväärsetes süsteemides;

10°

„reisija“: iga isik, sealhulgas transfeer- või transiitreisija, v.a meeskonnaliige, keda veoettevõtja nõusolekul veetakse või hakatakse sama ettevõtja poolt vedama, kusjuures sellisest nõusolekust annab tunnistust kõnealuse isiku kandmine reisijate nimekirja;

[…]“.

44

25. detsembri 2016. aasta seaduse artiklis 8 on ette nähtud:

„§ l.   Broneeringuinfot töödeldakse järgmistel eesmärkidel:

selliste süütegude uurimiseks ja nende eest vastutusele võtmiseks, sealhulgas nende eest mõistetud karistuste või vabadust piiravate meetmete täitmisele pööramiseks, mida on mainitud kriminaalmenetluse seadustiku (Code d’instruction criminelle) artikli 90ter lõike 2 […] punktis 7, […] punktis 8, […] punktis 11, […] punktis 14, […] punktides 17, 18, 19 ja lõikes 3;

karistusseadustiku (Code pénal) artiklis 196 seoses ametlike dokumentide võltsimisega ning artiklites 198, 199, 199bis, 207, 213, 375 ja 505 nimetatud süütegude uurimiseks ja nende eest vastutusele võtmiseks, sealhulgas nende eest mõistetud karistuste või vabadust piiravate meetmete täitmisele pööramiseks;

[…]

30. novembri 1998. aasta konstitutsioonilise seaduse luure- ja julgeolekuteenistuste kohta (loi organique des services de renseignement et de sécurité) artikli 7 punktides 1 ja 3/1 ning artikli 11 lõike 1 punktides 1–3 ja 5 nimetatud tegevuste jälgimiseks;

18. juuli 1977. aasta tollimaksude ja aktsiiside üldseaduse (loi générale sur les douanes et accises) artikli 220 lõikes 2 ja 22. detsembri 2009. aasta aktsiisi üldist korda käsitleva seaduse (loi relative au régime général d’accise) artikli 45 kolmandas lõigus nimetatud süütegude uurimiseks ja nende eest vastutusele võtmiseks […].

§ 2.   11. peatükis ette nähtud tingimustel töödeldakse broneeringuinfot ka selleks, et parandada isikukontrolli välispiiridel ja võidelda ebaseadusliku sisserände vastu.“

45

Seaduse artiklis 14 lõikes 1 on sätestatud:

„Broneeringuinfo üksus koosneb:

[…]

2° töötajatest, kelle on lähetanud järgmised pädevad asutused:

a)

7. detsembri 1998. aasta ühtse kahetasandilise politseiasutuse korralduse seaduses (loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux) nimetatud politseiasutused;

b)

30. novembri 1998. aasta konstitutsioonilises seaduses luure- ja julgeolekuteenistuste kohta nimetatud riiklik julgeolekuamet (Sûreté de l’État);

c)

30. novembri 1998. aasta konstitutsioonilises seaduses luure- ja julgeolekuteenistuste kohta nimetatud üldine luure- ja julgeolekuteenistus (Service général de Renseignement et de Sécurité);

[…]“.

46

Selle seaduse 10. peatüki, mis käsitleb andmetöötlust, 1. jaos „Broneeringuinfo töötlemine reisijate eelhindamisel“ asuv artikkel 24 on sõnastatud järgmiselt:

„§ 1.   Broneeringuinfot töödeldakse reisijate eelkontrolli eesmärgil enne nende graafikujärgset saabumist Belgia territooriumile, nende lahkumist sellelt territooriumilt või läbisõitu sellest territooriumist, et tuvastada isikud, keda tuleb täiendavalt kontrollida.

§ 2.   30. novembri 1998. aasta konstitutsioonilise seaduse luure- ja julgeolekuteenistuste kohta artikli 8 lõike 1 punktides 1, 4, ja 5 osutatud eesmärkidel või seoses artikli 8 punkti 1 alapunktides a, b, c, d, f, g ja artikli 11 lõikes 2 nimetatud ohtudega põhineb reisijate eelhindamine positiivsel tulemusel, mis tuleneb broneeringuinfo kokkulangemisest:

pädevate asutuste hallatavate andmebaaside või nimetatud asutustele oma ülesannete täitmisel vahetult kättesaadavate või juurdepääsetavate andmebaaside või pädevate asutuste poolt oma ülesannete täitmisel koostatud isikute nimekirjadega;

broneeringuinfo üksuse poolt eelnevalt kindlaksmääratud hindamiskriteeriumidega, mida on nimetatud artiklis 25.

§ 3.   Artikli 8 lõike 1 punktis 3 nimetatud eesmärke arvestades põhineb reisijate eelhindamine positiivsel tulemusel, mis tuleneb broneeringuinfo kokkulangemisest andmetega § 2 punktis 1 nimetatud andmebaasides.

§ 4.   Broneeringuinfo üksus kinnitab positiivset tulemust 24 tunni jooksul pärast positiivse tulemuse kohta automaatse teate saamist.

§ 5.   Alates kinnituse saamisest võtab pädev asutus, kes positiivse tulemuse tuvastas, võimalikult kiiresti asjakohased meetmed.“

47

25. detsembri 2016. aasta seaduse 11. peatükk „Broneeringuinfo töötlemine piirikontrolli tõhustamiseks ja ebaseadusliku sisserände vastu võitlemiseks“ hõlmab seaduse artikleid 28–31.

48

Selle seaduse artiklis 28 on sätestatud:

„§ 1.   Käesolevat peatükki kohaldatakse sellise broneeringuinfo töötlemise suhtes, millega piiripolitsei ja välismaalaste amet (Office des étrangers) tegelevad selleks, et parandada isikukontrolli välispiiridel ja võidelda ebaseadusliku sisserände vastu.

§ 2.   See ei piira piirikontrolli eest vastutavate politseiasutuste ja välismaalaste ameti kohustusi edastada isikuandmeid või teavet vastavalt õigusnormidele.“

49

Nimetatud seaduse artiklis 29 on kirjas:

„§ 1.   Artikli 28 lõikes 1 nimetatud eesmärkidel edastatakse broneeringuinfot piirikontrolli eest vastutavatele politseiasutustele ja välismaalaste ametile, et võimaldada neil täita seadusest tulenevaid ülesandeid käesolevas artiklis ette nähtud piirides.

§ 2.   Edastatakse ainult sellist artikli 9 lõike 1 punktis 18 osutatud broneeringuinfot, mis puudutab järgmisi reisijakategooriaid:

reisijad, kes kavatsevad Belgia välispiiride kaudu territooriumile siseneda või on sinna sealtkaudu sisenenud;

reisijad, kes kavatsevad Belgia välispiiride kaudu territooriumilt lahkuda või on sealt sealtkaudu lahkunud;

reisijad, kes kavatsevad Belgias asuvat rahvusvahelise transiidi ala läbida, asuvad seal või on selle läbinud.

§ 3.   Lõikes 2 osutatud broneeringuinfo edastatakse Belgia välispiiride kontrolli eest vastutavatele politseiasutustele kohe pärast selle info kandmist broneeringuinfo andmebaasi. Need asutused säilitavad seda infot ajutises failis ja hävitavad selle kahekümne nelja tunni jooksul pärast edastamist.

§ 4.   Kui seda on vaja välismaalaste ametile seadusega pandud ülesannete täitmiseks, edastatakse lõikes 2 nimetatud broneeringuinfo talle kohe pärast selle kandmist broneeringuinfo andmebaasi. See asutus säilitab seda infot ajutises failis ja hävitab selle 24 tunni jooksul pärast edastamist.

Kui selle tähtaja möödumisel on välismaalaste ametile seadusega pandud ülesannete täitmiseks vaja tutvuda lõikes 2 nimetatud broneeringuinfoga, saadab ta broneeringuinfo üksusele nõuetekohaselt põhjendatud taotluse.

[…]“.

50

25. detsembri 2016. aasta seadus muudeti lennuettevõtjate, rahvusvahelist reisijateveoteenust osutavate veoettevõtjate ja nende vedajatega lepingu sõlminud reisivahendajate suhtes ning samuti bussiettevõtjate suhtes kohaldatavaks vastavalt 18. juuli 2017. aasta kuninga määrusega 25. detsembri 2016. aasta seaduse rakendamise kohta, mis puudutab lennuettevõtjate kohustusi (Moniteur belge, 28.7.2017, lk 75934), 3. veebruari 2019. aasta kuninga määrusega 25. detsembri 2016. aasta seaduse rakendamise kohta, mis puudutab rahvusvahelist reisijateveoteenust osutavaid veoettevõtjaid ja reisivahendajaid (Moniteur belge, 12.2.2019, lk 13018), ning 3. veebruari 2019. aasta kuninga määrusega 25. detsembri 2016. aasta seaduse rakendamise kohta, mis puudutab bussiettevõtjate kohustusi (Moniteur belge, 12.2.2019, lk 13023).

II. Põhikohtuasi ja eelotsuse küsimused

51

Ligue des droits humains esitas 24. juulil 2017 Cour constitutionnelle’ile (Belgia konstitutsioonikohus) kaebuse 25. detsembri 2016. aasta seaduse täielikuks või osaliseks tühistamiseks.

52

Eelotsusetaotluse esitanud kohus selgitab, et selle seadusega võetakse liikmesriigi õigusesse üle broneeringuinfo direktiiv ja reisijaid käsitleva eelteabe direktiiv ning osaliselt direktiiv 2010/65. Selle seaduse ettevalmistavatest materjalidest ilmneb, et nimetatud seaduse eesmärk on „luua õiguslik raamistik, et kehtestada mitme erineva rahvusvahelise reisijaveo (rahvusvahelise õhu-, raudtee-, maantee- ja mereveo) sektori ja reisikorraldajate jaoks kohustus edastada oma reisijate andmed andmebaasi, mida haldab Service public fédéral intérieur (Belgia siseministeerium)“. Liikmesriigi seadusandja on ka täpsustanud, et 25. detsembri 2016. aasta seaduse eesmärgid jagunevad kolme kategooriasse, nimelt esiteks kuritegude ennetamine, avastamine, uurimine ja nende eest vastutusele võtmine või kriminaalkaristuste täideviimine, teiseks luure- ja julgeolekuteenistuste ülesanded ning kolmandaks välispiirikontrolli tõhustamine ja võitlus ebaseadusliku sisserände vastu.

53

Kaebuse põhjendamiseks esitas Ligue des droits humains kaks väidet, millest esimese kohaselt on rikutud põhiseaduse artiklit 22 koostoimes isikuandmete kaitse üldmääruse artikliga 23, harta artiklitega 7 ja 8 ning artikli 52 lõikega 1 ja EIÕK artikliga 8, ja teise võimalusena esitatud teise väite kohaselt on rikutud nimetatud põhiseaduse artiklit 22 koostoimes ELL artikli 3 lõikega 2 ja harta artikliga 45.

54

Oma esimeses väites kinnitab Ligue des droits humains sisuliselt, et vaidlusalune seadus riivab õigust eraelu austamisele ja õigust isikuandmete kaitsele, see aga ei ole kooskõlas harta artikli 52 lõikega 1 ja täpsemalt proportsionaalsuse põhimõttega. Nimelt on selle seaduse kohaldamisala ja tundlikku teavet paljastada võivate kogutavate andmete määratlus liiga lai. Samamoodi võimaldab mõiste „reisija“ sama seaduse tähenduses kõigi reisijate andmete süstemaatilist ja automatiseeritud sihitamata töötlemist. Lisaks ei ole piisavalt selgelt kindlaks määratud eelhindamise (prescreening) meetodi sisu ja korda ega andmebaase, millega neid andmeid pärast edastamist võrreldakse. Peale selle on 25. detsembri 2016. aasta seadusel muud eesmärgid kui broneeringuinfo direktiivil. Lõpuks on selles seaduses kõnealuste andmete säilitamiseks ette nähtud viieaastane tähtaeg ebaproportsionaalne.

55

Teise väitega, mis puudutab 25. detsembri 2016. aasta seaduse artikli 3 lõiget 1, artikli 8 lõiget 2 ja artikleid 28–31, väidab Ligue des droits humains, et kuna need sätted laiendavad broneeringuinfo direktiiviga ette nähtud süsteemi ELi-sisesele transpordile, taastatakse nende tagajärjel kaudselt piirikontroll sisepiiridel, mis on aga vastuolus isikute vaba liikumisega. Niipea, kui isik viibib Belgia territooriumil, olgu siis sinna saabumise, sealt lahkumise või seal toimuva vahepeatuse tõttu, kogutakse automaatselt tema andmeid.

56

Ministrite nõukogu vaidleb nendele argumentidele vastu. Ta leiab eelkõige, et esimene väide on vastuvõetamatu osas, milles see puudutab isikuandmete kaitse üldmäärust, mis ei ole 25. detsembri 2016. aasta seaduse suhtes kohaldatav. Lisaks on selles seaduses ette nähtud andmetöötlus vastavalt broneeringuinfo direktiivile oluline vahend eelkõige terrorismi ja raskete kuritegude vastases võitluses ning sellest seadusest tulenevad meetmed on taotletavate eesmärkide saavutamiseks vajalikud ja proportsionaalsed.

57

Seoses esimese väitega soovib eelotsusetaotluse esitanud kohus kõigepealt teada, kas isikuandmete kaitse üldmääruses ette nähtud kaitse on kohaldatav 25. detsembri 2016. aasta seaduses sätestatud andmetöötlusele, mille peamine eesmärk on võtta üle broneeringuinfo direktiiv. Nimetatud kohus märgib seejärel 26. juuli 2017. aasta arvamusest 1/15 (ELi-Kanada broneeringuinfo leping) (EU:C:2017:592) tulenevale kohtupraktikale viidates, et selle direktiivi artikli 3 punktis 5 ja I lisas esitatud mõiste „broneeringuinfo“ määratlus ei pruugi ühest küljest olla piisavalt selge ja täpne, kuna nendes sätetes sisalduv teatavate andmete kirjeldus ei ole ammendav, ning teisest küljest võib see kaudselt kaasa tuua tundlike andmete paljastamise. Lisaks võib selle direktiivi artikli 3 punktis 4 toodud mõiste „reisija“ määratlus tuua kaasa selle, et broneeringuinfo kogumine, edastamine, töötlemine ja säilitamine kujutavad endast üldisi ja vahettegematuid kohustusi, mis kehtivad iga isiku suhtes, keda veetakse või hakatakse vedama ja kes on kantud reisijate nimekirja, sõltumata sellest, kas on tõsiseid põhjusi arvata, et see isik on toime pannud või kavatseb toime panna kuriteo või on kuriteos süüdi mõistetud.

58

Lisaks märgib nimetatud kohus, et broneeringuinfo direktiivi sätete kohaselt viiakse broneeringuinfo suhtes süstemaatiliselt läbi eelhindamine, mis hõlmab ristkontrolli andmebaaside või eelnevalt kindlaksmääratud kriteeriumide põhjal, et teha kindlaks, kas esineb kokkulangevusi. Euroopa Nõukogu konventsiooni nr 108 nõuandekomitee märkis aga oma 19. augusti 2016. aasta arvamuses broneeringuinfo töötlemise mõju kohta andmekaitsele [T‑PD(2016)18rev], et isikuandmete töötlemine puudutab kõiki reisijaid, mitte ainult sihtrühma kuuluvaid isikuid, keda kahtlustatakse süüteos osalemises või selles, et nad kujutavad endast riigi julgeolekule või avalikule korrale vahetut ohtu, ja et broneeringuinfot võib mitte ainult võrrelda (data matching) andmetega andmebaasides, vaid ka töödelda andmekaeve (data mining) teel filtrite või prognoosivate algoritmide abil, eesmärgiga tuvastada kõik, kes võivad olla toime pannud või kavandada kuritegusid, kuna selline reisijate hindamine andmete võrdlemise teel võib tekitada ennustatavuse küsimusi, eriti kui seda tehakse prognoosivate algoritmide põhjal, mis kasutavad dünaamilisi kriteeriume, mis võivad olenevalt masinõppe võimest pidevalt areneda. Selles kontekstis leiab eelotsusetaotluse esitanud kohus, et kuigi vastavalt 26. juuli 2017. aasta arvamusele 1/15 (ELi-Kanada broneeringuinfo leping) (EU:C:2017:592) peavad eelnevalt kindlaksmääratud kriteeriumid riskiprofiilide tuvastamiseks olema konkreetsed, usaldusväärsed ja mittediskrimineerivad, näib olevat tehniliselt võimatu neid kriteeriume täpsemalt määratleda.

59

Mis puudutab broneeringuinfo direktiivi artiklis 12 sätestatud viieaastast info säilitamise tähtaega ja infole juurdepääsu tähtaega, siis märgib kohus, et Belgia eraelu puutumatuse kaitse komisjon leidis oma 13. jaanuari 2010. aasta omaalgatuslikus arvamuses nr 01/2010 ELi-USA vahelise lepingu ratifitseerimise seaduse eelnõu kohta, et kui säilitamisperiood on pikk ja andmeid säilitatakse massiliselt, suureneb asjaomaste isikute profileerimise oht, nagu ka oht, et neid andmeid kasutatakse vääralt muudel eesmärkidel kui algul ette nähtud. Lisaks nähtub Euroopa Nõukogu konventsiooni nr 108 nõuandekomitee 19. augusti 2016. aasta arvamusest, et varjatud andmete abil saaks ikkagi isikuid identifitseerida ning seetõttu jäävad need isikuandmeteks ning nende säilitamine peaks olema ajaliselt piiratud, et vältida üldist alalist jälgimist.

60

Neil asjaoludel on eelotsusetaotluse esitanud kohtul eelkõige 26. juuli 2017. aasta arvamusest 1/15 (ELi-Kanada broneeringuinfo leping) (EU:C:2017:592) tulenevat kohtupraktikat arvesse võttes tekkinud küsimus, kas broneeringuinfo kogumise, edastamise, töötlemise ja säilitamise süsteemi saab käsitada nii, et see jääb rangelt vajaliku piiresse. See kohus leiab, et ühtlasi tuleb kindlaks teha, kas selle direktiiviga on vastuolus liikmesriigi õigusnormid, mis lubavad broneeringuinfo töötlemist muul kui selles direktiivis ette nähtud eesmärgil, ning kas täieliku broneeringuinfo edastamise pärast selle anonüümseks muutmist võib sama direktiivi artikli 12 kohaselt heaks kiita selline liikmesriigi asutus nagu 25. detsembri 2016. aasta seadusega loodud broneeringuinfo üksus.

61

Teise väite kohta märgib eelotsusetaotluse esitanud kohus, et selle seaduse artikli 3 lõikes 1 on kindlaks määratud veoettevõtjate ja reisikorraldajate kohustused, mis on seotud „riigi territooriumile saabuvaid, sealt väljuvaid ja seal läbisõidul olevaid“ reisijaid käsitlevate andmete edastamisega. Nimetatud kohus lisab selle seaduse kohaldamisala kohta, et liikmesriigi seadusandja otsustas, et „andmekogumine hõlmab ka ELi-sisest liiklust“, et „saada täielikum pilt selliste reisijate liikumisest, kes kujutavad endast potentsiaalset ohtu ühendusesisesele ja riiklikule julgeolekule“, nagu liidusiseste lendude puhul võimaldab broneeringuinfo direktiivi artikkel 2 koostoimes direktiivi põhjendusega 10. See kohus täpsustab veel, et oma 16. detsembri 2015. aasta arvamuses nr 55/2015 tõstatas eraelu puutumatuse kaitse komisjon 25. detsembri 2016. aasta seaduse eelnõu esialgse teksti kohta küsimuse, kas Belgia broneeringuinfo süsteem võib olla vastuolus isikute vaba liikumise põhimõttega, kuivõrd see süsteem hõlmab liidusiseseid vedusid.

62

Neil asjaoludel otsustas Cour constitutionnelle (Belgia konstitutsioonikohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Kas [isikuandmete kaitse üldmääruse] artiklit 23 koostoimes selle määruse artikli 2 lõike 2 punktiga d tuleb tõlgendada nii, et see on kohaldatav selliste liikmesriigi õigusnormide suhtes nagu [25. detsembri 2016. aasta seadus], millega on võetud üle [broneeringuinfo direktiiv], [reisijaid käsitleva eelteabe direktiiv] ja direktiiv [2010/65]?

2.

Kas [broneeringuinfo direktiivi] I lisa on kooskõlas [harta] artiklitega 7 ja 8 ning artikli 52 lõikega 1, pidades silmas, et seal loetletud andmed on väga ulatuslikud – eriti [broneeringuinfo direktiivi] I lisa punktis 18 osutatud andmed, mis ei piirdu [reisijaid käsitleva eelteabe direktiivi] artikli 3 lõikes 2 osutatud andmetega – ning et selle info põhjal tervikuna on võimalik teada saada delikaatseid andmeid, mistõttu võib see väljuda „rangelt vajaliku“ piiridest?

3.

Kas [broneeringuinfo direktiivi] I lisa punktid 12 ja 18 on kooskõlas [harta] artiklitega 7 ja 8 ning artikli 52 lõikega 1, pidades silmas, et väljendeid „sealhulgas“ ja „muu hulgas“ arvesse võttes on seal osutatud andmed loetletud näitlikult, mitte ammendavalt, ja sellega rikutakse nõuet, et õiguse eraelu puutumatusele ning õiguse isikuandmete kaitsele riivet kehtestavad eeskirjad oleksid täpsed ja selged?

4.

Kas [broneeringuinfo direktiivi] artikli 3 punkt 4 ja sama direktiivi I lisa on kooskõlas [harta] artiklitega 7 ja 8 ning artikli 52 lõikega 1, pidades silmas, et broneeringuinfo üldise kogumise, edastamise ja töötlemise süsteem, mis on nende sätetega kehtestatud, hõlmab kõiki asjaomase transpordivahendi kasutajaid, olenemata sellest, kas mõni objektiivne asjaolu annab alust arvata, et see isik võib endast kujutada ohtu avalikule julgeolekule?

5.

Kas [broneeringuinfo direktiivi] artiklit 6 tuleb lähtuvalt [harta] artiklitest 7 ja 8 ning artikli 52 lõikest 1 tõlgendada nii, et nimetatud artikliga on vastuolus selline liikmesriigi õigusakt nagu vaidlustatud seadus, mis aktsepteerib broneeringuinfo töötlemise eesmärgina luureteenistuste tähelepanu all olevate tegevuste jälgimist, arvates sellise eesmärgi niiviisi terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise hulka?

6.

Kas [broneeringuinfo direktiivi] artikkel 6 on kooskõlas [harta] artiklitega 7 ja 8 ning artikli 52 lõikega 1, pidades silmas, et selle artikliga reguleeritavat eelhindamist, mis seisneb andmete võrdlemises andmebaaside ja ette kindlaksmääratud kriteeriumide põhjal, kohaldatakse reisijate broneeringuinfo suhtes süstemaatiliselt ja üldiselt, olenemata sellest, kas mõni objektiivne asjaolu annab alust arvata, et need reisijad võivad endast kujutada ohtu avalikule julgeolekule?

7.

Kas [broneeringuinfo direktiivi] artikli 12 lõikes 3 kasutatud mõistet „muu pädev riigiasutus“ võib tõlgendada nii, et see hõlmab [25. detsembri 2016. aasta seadusega] loodud broneeringuinfo üksust, kes võib seega anda pärast kuue kuu pikkuse tähtaja möödumist loa broneeringuinfoga tutvumiseks ad hoc päringute raames?

8.

Kas [broneeringuinfo direktiivi] artiklit 12 tuleb lähtuvalt [harta] artiklitest 7 ja 8 ning artikli 52 lõikest 1 tõlgendada nii, et nimetatud artikliga on vastuolus selline liikmesriigi õigusakt nagu vaidlustatud seadus, kus on andmete säilitamiseks ette nähtud üldine viieaastane tähtaeg, tegemata vahet, kas asjaomaste reisijate eelhindamise käigus on selgunud, et nad võivad endast kujutada ohtu avalikule julgeolekule või mitte?

9.

a)

Kas [reisijaid käsitleva eelteabe direktiiv] on kooskõlas [ELL] artikli 3 lõikega 2 ja [harta] artikliga 45, pidades silmas, et selle direktiiviga kehtestatud kohustusi kohaldatakse Euroopa Liidu siselendude suhtes?

b)

Kas [reisijaid käsitleva eelteabe direktiivi] tuleb lähtuvalt [ELL] artikli 3 lõikest 2 ja [harta] artiklist 45 tõlgendada nii, et selle direktiiviga on vastuolus selline liikmesriigi õigusakt nagu vaidlustatud seadus, mis lubab ebaseadusliku sisserändega võitlemiseks ja piirikontrolli parandamiseks kasutada „riigi territooriumile saabuvate, sealt väljuvate ja seal läbisõidul olevate“ reisijate andmete kogumise ja töötlemise süsteemi, millega võib kaudselt kaasneda kontrolli taastamine sisepiiridel?

10.

Kui Cour constitutionnelle (Belgia konstitutsioonikohus) peaks jõudma eelmistele eelotsuse küsimustele antud vastuste põhjal järeldusele, et vaidlustatud seadus, millega on muu hulgas üle võetud [broneeringuinfo direktiiv], eirab ühte või mitut nendes küsimustes viidatud õigusnormidest tulenevat kohustust, siis kas ta võib [25. detsembri 2016. aasta seaduse] õigusliku mõju ajutiselt kehtima jätta, et vältida õiguslikku ebakindlust ja võimaldada seda, et varem kogutud ja säilitatud andmeid saaks veel seaduses osutatud eesmärkidel kasutada?“

III. Eelotsuse küsimuste analüüs

A. Esimene küsimus

63

Esimese küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti d ja artiklit 23 tuleb tõlgendada nii, et see määrus on kohaldatav sellise isikuandmete töötlemise ja täpsemalt broneeringuinfo edastamise, säilitamise ja töötlemise suhtes, mis on ette nähtud riigisiseste õigusnormidega, mille eesmärk on võtta liikmesriigi õigusesse üle nii broneeringuinfo direktiivi, reisijaid käsitleva eelteabe direktiivi kui ka direktiivi 2010/65 sätted.

64

Isikuandmete kaitse üldmääruse artikli 2 lõike 1 kohaselt kohaldatakse seda määrust isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda. Mõiste „isikuandmete töötlemine“ on nimetatud määruse artikli 4 punktis 2 määratletud laialt, hõlmates muu hulgas isikuandmete või nende kogumite kogumist, dokumenteerimist, säilitamist, lugemist, kasutamist, edastamist, levitamist või muul moel kättesaadavaks tegemise teel avalikustamist, ühitamist või kustutamist.

65

Belgia valitsus väidab siiski, et broneeringuinfo edastamine ettevõtjate poolt broneeringuinfo üksusele kuritegude ennetamise ja avastamise eesmärgil, nagu on sätestatud broneeringuinfo direktiivi artikli 1 lõike 1 punktis a, artikli 1 lõikes 2 ja artiklis 8, ning mis kujutab endast „isikuandmete töötlemist“ isikuandmete kaitse üldmääruse artikli 4 punkti 2 tähenduses ei kuulu, samuti nagu nende eelnev kogumine, nimetatud määruse artikli 2 lõike 2 punkti d kohaselt selle määruse kohaldamisalasse, kuna 30. mai 2006. aasta kohtuotsusest parlament vs. nõukogu ja komisjon (C‑317/04 ja C‑318/04, EU:C:2006:346, punktid 5759) tulenev kohtupraktika, mis käsitleb direktiivi 95/46 artikli 3 lõike 2 esimest taanet, on ülekantav ka nimetatud määruse sellele sättele.

66

Sellega seoses peab tõesti paika, et nagu Euroopa Kohus on juba tõdenud, ei olnud isikuandmete kaitse üldmäärusega alates 25. maist 2018 kehtetuks tunnistatud ja asendatud direktiivi 95/46 artikli 3 lõike 2 esimene taane üldiselt kohaldatav „töötlemise suhtes, mis on seotud avaliku [julgeoleku], riigikaitse [ja] riigi julgeoleku[ga]“, tegemata vahet sellel, kes andmetöötluse läbi viib. Seega võis töötlemine, mille viivad läbi eraõiguslikud teenusepakkujad neile avaliku võimu asutuste poolt pandud ülesannete täitmiseks, olenevalt asjaoludest kuuluda selles sättes ette nähtud erandi kohaldamisalasse, võttes arvesse, et selle sätte sõnastus hõlmas olenemata töötluse läbiviijast mis tahes töötlemist, mille eesmärk on tagada avalik julgeolek, riigikaitse või riigi julgeolek (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 101).

67

Isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis d sellist vahet siiski tehakse, kuna – nagu märkis kohtujurist oma ettepaneku punktides 41 ja 46 – selle sätte sõnastus näitab selgelt, et andmetöötluse kuulumiseks selles sättes ette nähtud erandi alla on nõutavad kaks tingimust. Kui esimene neist tingimustest on seotud töötlemise eesmärkidega, milleks on süütegude tõkestamine, avastamine ja uurimine ning nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas kaitse avalikku julgeolekut ähvardavate ohtude eest ja selliste ohtude ennetamine, siis teine tingimus puudutab andmetöötluse läbiviijat ehk „pädevat asutust“ selle sätte tähenduses.

68

Nagu ka Euroopa Kohus on tõdenud, nähtub isikuandmete kaitse üldmääruse artikli 23 lõike 1 punktidest d ja h, et kui isikuandmeid töötlevad selle määruse artikli 2 lõike 2 punktis d nimetatud eesmärkidel eraõiguslikud isikud, kuulub see töötlemine nimetatud määruse kohaldamisalasse (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 102).

69

Sellest järeldub, et Belgia valitsuse viidatud 30. mai 2006. aasta kohtuotsusest parlament vs. nõukogu ja komisjon (C‑317/04 ja C‑318/04, EU:C:2006:346) tulenev kohtupraktika ei ole ülekantav sellele isikuandmete kaitse üldmääruse kohaldamisala puudutavale erandile, mis on sätestatud selle määruse artikli 2 lõike 2 punktis d.

70

Lisaks tuleb seda erandit sama moodi nagu muid isikuandmete kaitse üldmääruse kohaldamisala erandeid, mis on ette nähtud selle määruse artikli 2 lõikes 2, tõlgendada kitsalt.

71

Nagu selgub selle määruse põhjendusest 19, on kõnealune erand põhjendatud asjaoluga, et isikuandmete töötlemist pädevate asutuste poolt eeskätt süütegude tõkestamise ja avastamise ning sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil reguleerib eraldiseisev liidu õigusakt, nimelt direktiiv 2016/680, mis võeti vastu samal päeval kui isikuandmete kaitse üldmäärus (22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 69).

72

Nagu on muu hulgas täpsustatud direktiivi 2016/680 põhjendustes 9–11, on direktiivis kehtestatud füüsiliste isikute kaitse erinormid seoses sellise töötlemisega, võttes arvesse nende tegevuste eripära, mis kuuluvad kriminaalasjades tehtava õigusalase koostöö ja politseikoostöö valdkondadesse, samas kui isikuandmete kaitse üldmääruses on sätestatud füüsiliste isikute kaitse üldnormid, mis on mõeldud kohaldamiseks nimetatud töötlemise suhtes juhul, kui eraldiseisev õigusakt ehk direktiiv 2016/680 ei ole kohaldatav. Täpsemalt ilmneb selle direktiivi põhjendusest 11, et isikuandmete kaitse üldmäärust kohaldatakse isikuandmete töötlemise suhtes, mida teostab „pädev asutus“ selle direktiivi artikli 3 lõike 7 tähenduses, kuid muudel eesmärkidel kui need, mis on ette nähtud selles direktiivis (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 70).

73

Mis puudutab käesoleva kohtuotsuse punktis 67 nimetatud esimest tingimust ja konkreetsemalt broneeringuinfo direktiivis ette nähtud isikuandmete töötlemisega taotletavaid eesmärke, siis tuleb meenutada, et vastavalt selle direktiivi artikli 1 lõikele 2 võib broneeringuinfot töödelda üksnes terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise eesmärgil. Need eesmärgid kuuluvad isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis d ja direktiivi 2016/680 artikli 1 lõikes 1 osutatud eesmärkide hulka, mistõttu võib selline töötlemine kuuluda selle määruse artikli 2 lõike 2 punktis d sätestatud erandi alla ja seega kuuluda selle direktiivi kohaldamisalasse.

74

Seevastu ei ole see nii reisijaid käsitleva eelteabe direktiivis ja direktiivis 2010/65 ette nähtud töötlemise puhul, mille eesmärgid erinevad isikuandmete kaitse üldmääruse artikli 2 lõike 2 punktis d ja direktiivi 2016/680 artikli 1 lõikes 1 silmas peetud eesmärkidest.

75

Nagu nähtub reisijaid käsitleva eelteabe direktiivi põhjendustest 1, 7 ja 9 ning artiklist 1, on selle direktiivi eesmärk nimelt parandada piirikontrolli ja võidelda ebaseadusliku sisserändega sel teel, et veoettevõtjad edastavad enne reisijate andmed pädevatele liikmesriigi asutusele. Lisaks nähtub mitmest selle direktiivi põhjendusest ja sättest, et selle direktiivi alusel toimuv andmetöötlus kuulub isikuandmete kaitse üldmääruse kohaldamisalasse. Nõnda on selle direktiivi põhjenduses 12 märgitud, et „[d]irektiivi [95/46] kohaldatakse isikuandmete töötlemise suhtes liikmesriikide asutuste poolt“. Lisaks on reisijaid käsitleva eelteabe direktiivi artikli 6 lõike 1 viiendas lõigus täpsustatud, et liikmesriigid võivad õiguskaitseasutuste vajaduste rahuldamiseks kasutada ka API andmeid, „arvestades direktiivist [95/46] tulenevaid andmekaitsesätteid“, kusjuures seda väljendit on kasutatud ka sama sätte kolmandas lõigus. Samuti on reisijaid käsitleva eelteabe direktiivis, täpsemalt selle põhjenduses 9, kasutatud väljendit „ilma et see piiraks direktiivi [95/46] sätete kohaldamist“. Viimaks, reisijaid käsitleva eelteabe direktiivi artikli 6 lõikes 2 on ette nähtud, et veoettevõtjad peavad reisijaid teavitama „kooskõlas direktiivi [95/46] sätetega“.

76

Mis puudutab direktiivi 2010/65, siis selle põhjendusest 2 ja artikli 1 lõikest 1 nähtub, et selle direktiivi eesmärk on lihtsustada ja ühtlustada meretranspordile kohaldatavat haldusmenetlust, muutes elektroonilise teabeedastuse standardiks ja teavitusformaalsused selgemaks, selleks et hõlbustada meretransporti ja vähendada laevandusettevõtjate halduskoormust. Direktiivi artikli 8 lõige 2 kinnitab aga, et selles direktiivis ette nähtud andmetöötlus kuulub isikuandmete kaitse üldmääruse kohaldamisalasse, kuna see säte kohustab nimelt liikmesriike tagama isikuandmete puhul direktiivi 95/46 järgimise.

77

Sellest järeldub, et andmetöötlus, mis on ette nähtud liikmesriigi õigusnormides, millega võetakse riigisisesesse õigusesse üle reisijaid käsitleva eelteabe direktiivi ja direktiivi 2010/65 sätted, kuulub isikuandmete kaitse üldmääruse kohaldamisalasse. Seevastu broneeringuinfo direktiivi üle võtvates riigisisestes õigusnormides ette nähtud andmetöötlus võib vastavalt selle määruse artikli 2 lõike 2 punktis d sätestatud erandile määruse kohaldamisalast välja jääda, tingimusel et järgitakse käesoleva kohtuotsuse punktis 67 meenutatud teist tingimust, nimelt et töötlemise läbiviija on pädev asutus viimati nimetatud sätte tähenduses.

78

Mainitud teise tingimuse kohta on Euroopa Kohus otsustanud, et kuna direktiivi 2016/680 artikli 3 lõikes 7 on määratletud „pädeva asutuse“ mõiste, tuleb sellist määratlust analoogia alusel kohaldada ka isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti d suhtes (vt selle kohta 22. juuni 2021. aasta kohtuotsus Latvijas Republikas Saeima (karistuspunktid), C‑439/19, EU:C:2021:504, punkt 69).

79

Broneeringuinfo direktiivi artiklite 4 ja 7 kohaselt peab aga iga liikmesriik nimetama terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks ja uurimiseks ning nende eest vastutusele võtmiseks pädeva asutuse, kes tegutseb broneeringuinfo üksusena, ning koostama selliste pädevate asutuste nimekirja, kes on volitatud broneeringuinfo üksuselt taotlema või saama broneeringuinfot või selle info töötlemise tulemusi, kusjuures viimati nimetatud asutused on samuti selle valdkonna pädevad asutused, nagu on täpsustatud nimetatud direktiivi artikli 7 lõikes 2.

80

Nendest asjaoludest nähtub, et neil eesmärkidel broneeringuinfo töötlemine, mida teevad broneeringuinfo üksus ja nimetatud pädevad asutused, vastab kahele käesoleva kohtuotsuse punktis 67 nimetatud tingimusele, mistõttu kuulub selline töötlemine lisaks broneeringuinfo direktiivi enese sätetele ka direktiivi 2016/680, aga mitte isikuandmete kaitse üldmääruse kohaldamisalasse – seda kinnitab ka broneeringuinfo direktiivi põhjendus 27.

81

Kuna aga sellistele ettevõtjatele nagu lennuettevõtjad ei ole isegi juhul, kui neil on seadusest tulenev kohustus edastada broneeringuinfot, nimetatud direktiiviga tehtud ülesandeks teostada avalikku võimu ega antud avaliku võimu eesõigusi, ei saa neid ettevõtjaid pidada pädevateks asutusteks direktiivi 2016/680 artikli 3 lõike 7 ja isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti d tähenduses, mistõttu kuulub niisuguste andmete lennuettevõtjatepoolne kogumine ja broneeringuinfo üksusele edastamine nimetatud määruse kohaldamisalasse. Sama järeldus tuleb teha 25. detsembri 2016. aasta seadusega ette nähtud olukorra puhul, kus neid andmeid koguvad ja edastavad teised vedajad või reisikorraldajad.

82

Viimaseks soovib eelotsusetaotluse esitanud kohus teada, millist mõju võib avaldada selliste riigisiseste õigusnormide vastuvõtmine, millega sama moodi nagu 25. detsembri 2016. aasta seadusega võetakse üle nii broneeringuinfo direktiivi, reisijaid käsitleva eelteabe direktiivi kui ka direktiivi 2010/65 sätted. Sellega seoses tuleb meenutada, et nagu nähtub käesoleva kohtuotsuse punktidest 72 ja 75–77, kuulub nendes kahes viimases direktiivis ette nähtud isikuandmete töötlemine isikuandmete kaitse üldmääruse kohaldamisalasse, mis sisaldab üldnorme füüsiliste isikute kaitse kohta isikuandmete töötlemisel.

83

Seega, kui nende õigusnormide alusel toimuv andmetöötlus kuulub reisijaid käsitleva eelteabe direktiivi ja/või direktiivi 2010/65 kohaldamisalasse, on isikuandmete kaitse üldmäärus selle töötlemise suhtes kohaldatav. Sama kehtib ka samade õigusnormide alusel toimuva andmetöötluse kohta, mis oma eesmärgi poolest kuulub lisaks broneeringuinfo direktiivile reisijaid käsitleva eelteabe direktiivi ja/või direktiivi 2010/65 kohaldamisalasse. Viimaks, kui samade õigusnormide alusel toimuv andmetöötlus kuulub oma eesmärgi poolest ainult broneeringuinfo direktiivi kohaldamisalasse, on isikuandmete kaitse üldmäärus kohaldatav juhul, kui tegemist on broneeringuinfo kogumisega lennuettevõtjate poolt ja broneeringuinfo üksusele edastamisega. Seevastu juhul, kui sellise töötlemise viib läbi broneeringuinfo üksus või pädev asutus broneeringuinfo direktiivi artikli 1 lõikes 2 nimetatud eesmärkidel, kuulub see töötlemine lisaks riigisisesele õigusele ka direktiivi 2016/680 kohaldamisalasse.

84

Eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et isikuandmete kaitse üldmääruse artikli 2 lõike 2 punkti d ja artiklit 23 tuleb tõlgendada nii, et see määrus on kohaldatav sellise isikuandmete töötlemise suhtes, mis on ette nähtud riigisiseste õigusnormidega, mille eesmärk on võtta liikmesriigi õigusesse üle nii reisijaid käsitleva eelteabe direktiivi, direktiivi 2010/65 kui ka broneeringuinfo direktiivi sätted, osas, mis puudutab esiteks eraõiguslike teenusepakkujate läbi viidavat andmetöötlust ning teiseks avaliku võimu asutuste läbi viidavat andmetöötlust, mis kuulub ainult või ühtlasi ka reisijaid käsitleva eelteabe direktiivi või direktiivi 2010/65 kohaldamisalasse. Nimetatud määrus ei ole seevastu kohaldatav mainitud õigusnormide alusel toimuva andmetöötluse suhtes, mis kuulub ainult broneeringuinfo direktiivi kohaldamisalasse ja mille viib läbi broneeringuinfo üksus või pädev asutus selle direktiivi artikli 1 lõikes 2 osutatud eesmärkidel.

B. Teine kuni neljas ja kuues küsimus

85

Teise kuni neljanda ja kuuenda küsimusega, mida tuleb analüüsida koos, palub eelotsusetaotluse esitanud kohus Euroopa Kohtul sisuliselt selgitada, kas broneeringuinfo direktiiv on harta artikleid 7 ja 8 ning artikli 52 lõiget 1 arvestades kehtiv. Need küsimused puudutavad eelkõige järgmist:

selle direktiivi I lisa ja selles lisas loetletud andmeid, eelkõige neid, mis on loetletud selle punktides 12 ja 18, arvestades selguse ja täpsuse nõudeid (teine ja kolmas küsimus);

direktiivi artikli 3 punkti 4 ja I lisa osas, milles nende sätetega kehtestatud broneeringuinfo üldise kogumise, edastamise ja töötlemise süsteem on kohaldatav kõikide isikute suhtes, kes reisivad selle direktiivi kohaldamisalasse kuuluval lennul (neljas küsimus);

broneeringuinfo direktiivi artiklit 6 osas, milles selles on ette nähtud eelhindamine, mis toimub broneeringuinfo võrdlemise teel andmetega andmebaasides ja/või selle info töötlemisel eelnevalt kindlaksmääratud kriteeriumide alusel, mida kohaldatakse selle info suhtes süstemaatiliselt ja üldiselt, olenemata mis tahes objektiivsetest asjaoludest, mis võimaldaks arvata, et asjaomased reisijad võivad kujutada endast ohtu avalikule julgeolekule (kuues küsimus).

86

Kõigepealt tuleb meelde tuletada, et tõlgendamise üldpõhimõtte kohaselt tuleb liidu õigusakti tõlgendada võimaluste piires viisil, mis ei mõjuta selle kehtivust, ning kooskõlas kogu esmase õiguse ja eelkõige harta sätetega. Seega, kui liidu teisest õigust on võimalik tõlgendada mitut moodi, tuleb eelistada tõlgendust, mille kohaselt on õigusnorm esmase õigusega kooskõlas, mitte tõlgendust, mille tagajärjel tuleks tuvastada, et see on esmase õigusega vastuolus (2. veebruari 2021. aasta kohtuotsus Consob, C‑481/19, EU:C:2021:84, punkt 50 ja seal viidatud kohtupraktika).

87

Väljakujunenud kohtupraktikast tuleneb veel, et kui direktiivi sätted annavad liikmesriikidele kaalutlusruumi erinevate mõeldavate olukordade jaoks sobivate ülevõtmismeetmete kindlaksmääramisel, peavad nad neid meetmeid rakendades mitte ainult tõlgendama oma riigisisest õigust kooskõlas asjasse puutuva direktiiviga, vaid ka jälgima, et nad ei tõlgendaks seda direktiivi viisil, mis läheb vastuollu liidu õiguskorras kaitstavate põhiõigustega või muude selles õiguskorras tunnustatud üldpõhimõtetega (vt selle kohta 15. veebruari 2016. aasta kohtuotsus N., C‑601/15 PPU, EU:C:2016:84, punkt 60 ja seal viidatud kohtupraktika, ning 16. juuli 2020. aasta kohtuotsus État belge (perekonna taasühinemine – alaealine), C‑133/19, C‑136/19 ja C‑137/19, EU:C:2020:577, punkt 33 ja seal viidatud kohtupraktika).

88

Broneeringuinfo direktiivi kohta tuleb märkida, et eelkõige selle põhjendustes 15, 20, 22, 25, 36 ja 37 rõhutatakse tähtsust, mille liidu seadusandja, kes viitab kõrgetasemelisele andmekaitsele, omistab harta artiklites 7, 8 ja 21 tunnustatud põhiõiguste ning proportsionaalsuse põhimõtte täielikule järgimisele, mistõttu – nagu on märgitud direktiivi põhjenduses 36 – „tuleks seda [direktiivi] vastavalt rakendada“.

89

Täpsemalt on broneeringuinfo direktiivi põhjenduses 22 rõhutatud, et „[v]õttes täielikult arvesse [Euroopa Kohtu] hiljutisest kohtupraktikast tulenevaid põhimõtteid, peaks [selle] direktiivi kohaldamisel tagama põhiõiguste, eraelu puutumatuse ja proportsionaalsuse põhimõtte austamise“ ning „[tõeliselt täitma] vajalikkuse ja proportsionaalsuse eesmärke, et saavutada liidu tunnustatud üldised huvid ning [võtma] arvesse vajadust kaitsta teiste inimeste õigusi ja vabadusi terroriaktide ja raskete kuritegude vastu võitlemisel“. Viidatud põhjenduses on lisatud, et see kohaldamine „peaks olema asjakohaselt põhjendatud ja kasutada tuleks vajalikke kaitsemeetmeid, et tagada broneeringuinfo säilitamise, analüüsi, edastamise ja kasutamise õiguspärasus“.

90

Lisaks kohustab broneeringuinfo direktiivi artikli 19 lõige 2 komisjoni selle direktiivi läbivaatamisel pöörama erilist tähelepanu „kohaldatavate isikuandmete kaitse standardite järgimisele“, „broneeringuinfo kogumise ja töötlemise vajalikkusele ja proportsionaalsusele iga käesolevas direktiivis sätestatud eesmärgi puhul“ ning „andmete säilitamise tähtaja pikkusele“.

91

Seega tuleb kontrollida, kas broneeringuinfo direktiivi saab kooskõlas sellega, mida nõuavad eelkõige selle põhjendused ja käesoleva kohtuotsuse punktides 88–90 viidatud sätted, tõlgendada viisil, mis tagab harta artiklitega 7 ja 8 tagatud põhiõiguste ning harta artikli 52 lõikega 1 kaitstud proportsionaalsuse põhimõtte täieliku järgimise.

1.   Broneeringuinfo direktiivist tulenevad harta artiklitega 7 ja 8 tagatud põhiõiguste riived

92

Harta artikkel 7 tagab igaühele õiguse sellele, et austataks tema era- ja perekonnaelu, kodu ja edastatavate sõnumite saladust, samas kui harta artikli 8 lõige 1 tunnustab sõnaselgelt igaühe õigust tema isikuandmete kaitsele.

93

Nagu ilmneb broneeringuinfo direktiivi artikli 3 punktist 5 ja direktiivi I lisas olevast loetelust, hõlmab selles direktiivis nimetatud broneeringuinfo lisaks lennureisija või lennureisijate nimele broneerimiseks vajalikku teavet, nagu kavandatud reisi kuupäevad ja reisiteekond, piletitega seotud teavet, teavet sama broneerimisnumbri all registreeritud isikute rühmade kohta, reisija või reisijate kontaktandmeid, teavet maksevahendite või arve kohta, pagasiandmeid ning üldmärkusi reisijate kohta.

94

Kuna broneeringuinfo sisaldab seega teavet tuvastatud füüsiliste isikute, st asjaomaste lennureisijate kohta, riivab mitmesugune töötlemine, mis võib selle infoga toimuda, harta artikliga 7 tagatud põhiõigust eraelu puutumatusele (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 121 ja 122 ning seal viidatud kohtupraktika).

95

Broneeringuinfo selline töötlemine, nagu on sätestatud broneeringuinfo direktiivis, kuulub lisaks ka harta artikli 8 kohaldamisalasse, kuna tegemist on isikuandmete töötlemisega selle artikli tähenduses, mistõttu peab see tingimata vastama kõnealuses artiklis ette nähtud andmekaitsenõuetele (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 123 ja seal viidatud kohtupraktika).

96

Väljakujunenud kohtupraktikast tuleneb aga, et isikuandmete edastamine kolmandale isikule, näiteks ametiasutusele, kujutab endast harta artiklitega 7 ja 8 tagatud põhiõiguste riivet, olenemata sellest, kuidas edastatud teavet hiljem kasutatakse. Sama kehtib isikuandmete säilitamise ning isikuandmetele juurdepääsu suhtes, mis antakse ametiasutustele, et nad saaksid andmeid kasutada. Sellega seoses ei ole oluline, kas asjasse puutuvad eraelulised andmed on delikaatsed või mitte või kas puudutatud isikud on selle riive tõttu pidanud taluma mingeid ebamugavusi või mitte (26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 124 ja 126 ning seal viidatud kohtupraktika).

97

Seega kujutavad nii broneeringuinfo edastamine lennuettevõtjate poolt asjaomase liikmesriigi broneeringuinfo üksusele, mis on ette nähtud broneeringuinfo direktiivi artikli 1 lõike 1 punktis a koostoimes selle direktiivi artikliga 8, kui ka nende tingimuste piiritlemine, mis on seotud andmete säilitamise, kasutamise ja võimaliku hilisema edastamisega selle liikmesriigi pädevatele asutustele, teiste liikmesriikide broneeringuinfo üksustele ja pädevatele asutustele, Europolile või ka kolmandate riikide asutustele, nagu seda lubavad muu hulgas kõnealuse direktiivi artiklid 6, 7, 9 ja 10–12, endast harta artiklitega 7 ja 8 tagatud õiguste riiveid.

98

Mis puudutab nende riivete raskust, siis tuleb esiteks märkida, et broneeringuinfo direktiivi artikli 1 lõike 1 punktis a on koostoimes artikliga 8 ette nähtud, et broneeringuinfo üksusele edastatakse süstemaatiliselt ja pidevalt iga sellise reisija broneeringuinfo, kes reisib kolmanda riigi ja liidu vahel ELi-välise lennuga selle direktiivi artikli 3 punkti 2 tähenduses. Nagu märkis kohtujurist oma ettepaneku punktis 73, tähendab selline edastamine broneeringuinfo üksustele üldise juurdepääsu andmist kogu edastatud broneeringuinfole, mis puudutab kõiki lennutransporditeenuseid kasutavaid isikuid, sõltumata nende andmete edasisest kasutamisest.

99

Teiseks on broneeringuinfo direktiivi artikli 2 lõikes 1 ette nähtud, et liikmesriigid võivad otsustada kohaldada seda direktiivi „ELi‑siseste“ lendude suhtes direktiivi artikli 3 punkti 3 tähenduses, ning sama artikli lõikes 2 on täpsustatud, et sellisel juhul kohaldatakse nimetatud direktiivi kõiki sätteid „ELi-siseste lendude suhtes nii, nagu need oleksid ELi-välised lennud, ning ELi-siseste lendude broneeringuinfo suhtes nii, nagu see oleks ELi-väliste lendude broneeringuinfo“.

100

Kolmandaks, isegi kui mõned broneeringuinfo direktiivi I lisas loetletud broneeringuinfo hulka kuuluvad andmed, mis on kokkuvõtlikult esitatud käesoleva kohtuotsuse punktis 93, ei näi eraldi võetuna andvat täpset teavet asjaomaste isikute eraelu kohta, võib see info tervikuna siiski paljastada muu hulgas täieliku reisiteekonna, reisiharjumused, kahe või enama isiku vahelised suhted ning teabe lennureisijate rahalise olukorra, toitumisharjumuste või tervisliku seisundi kohta ning neist võib ilmneda isegi delikaatset teavet reisijate kohta (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 128).

101

Neljandaks on broneeringuinfo direktiivi artikli 6 lõike 2 punktide a ja b kohaselt lennuettevõtjate edastatavad andmed mõeldud mitte ainult eelhindamise läbiviimiseks, mis toimub enne reisijate graafikujärgset saabumist või väljumist, vaid ka võimalikuks tagantjärele hindamiseks.

102

Mis puudutab eelhindamist, siis ilmneb broneeringuinfo direktiivi artikli 6 lõike 2 punktist a ja lõikest 3, et liikmesriikide broneeringuinfo üksused viivad selle hindamise läbi süstemaatiliselt ja automatiseeritud vahenditega, st pidevalt ja sõltumata sellest, kas on vähimatki viidet ohule, et asjaomased isikud osalevad terroriaktides või rasketes kuritegudes. Selleks on nendes sätetes ette nähtud, et broneeringuinfot võib võrrelda andmetega „asjasse puutuvates andmebaasides“ ja töödelda „eelnevalt kindlaksmääratud kriteeriumide“ alusel.

103

Selles kontekstis tuleb meenutada, et Euroopa Kohus on juba otsustanud, et see, millise ulatusega on harta artiklites 7 ja 8 tunnustatud õiguste riive, mis kaasneb broneeringuinfo automatiseeritud analüüsimisega, sõltub peamiselt ette kindlaksmääratud mudelitest ja kriteeriumidest ning andmebaasidest, millel sedalaadi andmetöötlus põhineb (26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 172).

104

Nagu aga märkis kohtujurist oma ettepaneku punktis 78, võib broneeringuinfo direktiivi artikli 6 lõike 3 punktis a ette nähtud töötlemine, see tähendab broneeringuinfo võrdlemine andmetega „asjasse puutuvates andmebaasides“, anda täiendavat teavet lennureisijate eraelu kohta ja võimaldada selle kohta väga täpsete järelduste tegemist.

105

Mis puudutab broneeringuinfo töötlemist „eelnevalt kindlaksmääratud kriteeriumide“ alusel, mis on ette nähtud broneeringuinfo direktiivi artikli 6 lõike 3 punktis b, siis on tõsi, et selle direktiivi artikli 6 lõige 4 nõuab, et reisijate hindamine nende kriteeriumide alusel toimuks mittediskrimineerival viisil ja eelkõige ei tohi see põhineda real omadustel, millele on osutatud selle lõike 4 viimases lauses. Lisaks peavad need väljavalitud kriteeriumid olema sihipärased, proportsionaalsed ja konkreetsed.

106

Samas on Euroopa Kohus juba otsustanud, et kuna broneeringuinfo automatiseeritud analüüsimisel lähtutakse kontrollimata isikuandmetest ning tuginetakse ette kindlaksmääratud mudelitele ja kriteeriumidele, kaasneb sellise analüüsimisega tingimata teatav veamäär (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 169). Nagu sisuliselt märkis kohtujurist oma ettepaneku punktis 78, nähtub komisjoni töödokumendist (SWD(2020)128 (final)), mis on lisatud tema 24. juuli 2020. aasta aruandele broneeringuinfo direktiivi läbivaatamise kohta, et selle direktiivi artikli 6 lõike 3 punktides a ja b ette nähtud automaattöötluse tulemusel saadud positiivsete vastete arv, mis on üksikjuhtumi automatiseerimata läbivaatamisel osutunud ekslikuks, on üsna märkimisväärne ning ulatus 2018. ja 2019. aasta jooksul vähemalt viie isikuni kuuest tuvastatud isikust. Selline töötlemine viib seega nende isikute broneeringuinfo põhjaliku analüüsini.

107

Mis puudutab broneeringuinfo tagantjärele hindamist, mis on ette nähtud broneeringuinfo direktiivi artikli 6 lõike 2 punktis b, siis sellest sättest tuleneb, et broneeringuinfo üksus on kõnealuse direktiivi artikli 12 lõikes 2 osutatud kuuekuulise ajavahemiku jooksul kohustatud pädeva asutuse taotlusel edastama viimasele konkreetsetel juhtudel broneeringuinfot ja seda töötlema, et võidelda terroriaktide või raskete kuritegude vastu.

108

Lisaks sellele võidakse broneeringuinfo üksuselt isegi juhul, kui pärast mainitud kuuekuulise ajavahemiku möödumist on broneeringuinfo teatavate andmeväljade varjamise teel anonüümseks muudetud, broneeringuinfo direktiivi artikli 12 lõike 3 alusel nõuda, et ta esitaks pärast sellise taotluse saamist pädevale asutusele kogu broneeringuinfo, mis võimaldab andmesubjekti tuvastada, kui on alust arvata, et see on vajalik kõnealuse direktiivi artikli 6 lõike 2 punktis b osutatud eesmärkidel, olgugi et selliseks edastamiseks on vaja õigusasutuse või muu pädeva riigiasutuse luba.

109

Viiendaks, see, et broneeringuinfo direktiivi artikli 12 lõikes 1 on ilma muid täpsustusi lisamata ette nähtud, et broneeringuinfot säilitatakse andmebaasis viis aastat pärast seda, kui see on edastatud selle liikmesriigi broneeringuinfo üksusele, kelle territooriumile lend saabub või kelle territooriumilt lend väljub, tähendab – võttes arvesse asjaolu, et hoolimata broneeringuinfo anonüümseks muutmisest teatavate andmeväljade varjamise teel esialgse kuuekuulise ajavahemiku möödumisel on eelmises punktis kirjeldatud olukorras endiselt võimalik edastada täielik broneeringuinfo –, et broneeringuinfo direktiiv võimaldab omada teavet lennureisijate eraelu kohta ajavahemiku jooksul, mida Euroopa Kohus on oma 26. juuli 2017. aasta arvamuses 1/15 ((ELi-Kanada broneeringuinfo leping) EU:C:2017:592, punkt 132) juba lugenud eriti pikaks.

110

Arvestades lennutranspordi kasutamise tavapärasust tähendab selline säilitamise tähtaeg, et väga suure osa liidu elanikkonna broneeringuinfot säilitatakse broneeringuinfo direktiiviga kehtestatud süsteemi raames tõenäoliselt korduvalt ning seetõttu on isikute puhul, kes reisivad lennukiga rohkem kui üks kord viie aasta jooksul, see info broneeringuinfo üksuse ja pädevate asutuste eel- ja tagantjärele hindamiste tarbeks analüüsimiseks kättesaadav märkimisväärse või lausa määramata aja jooksul.

111

Kõiki eelnevaid kaalutlusi arvestades tuleb asuda seisukohale, et broneeringuinfo direktiiv toob kaasa harta artiklitega 7 ja 8 tagatud õiguste ilmselgelt raske riive, eelkõige osas, milles selle eesmärk on kehtestada pideva, sihitamata ja süstemaatilise jälgimise kord, mis hõlmab kõikide lennutransporditeenuseid kasutavate isikute isikuandmete automatiseeritud hindamist.

2.   Broneeringuinfo direktiivist tulenevate riivete põhjendatus

112

Olgu märgitud, et harta artiklites 7 ja 8 sätestatud põhiõigused ei ole absoluutsed eelisõigused, vaid neid tuleb arvesse võtta kooskõlas nende ülesandega ühiskonnas (26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 136 ja seal viidatud kohtupraktika, ning 6. oktoobri 2020. aasta kohtuotsus Privacy International, C‑623/17, EU:C:2020:790, punkt 63 ja seal viidatud kohtupraktika).

113

Harta artikli 52 lõike 1 esimese lause kohaselt tohib hartaga tunnustatud õiguste ja vabaduste teostamist piirata ainult seadusega ja nende olemust arvestades. Vastavalt harta artikli 52 lõike 1 teisele lausele võib proportsionaalsuse põhimõtte kohaselt neile õigustele ja vabadustele piiranguid seada üksnes juhul, kui need on vajalikud ning vastavad tegelikult liidu tunnustatud üldist huvi pakkuvatele eesmärkidele või kui on vaja kaitsta teiste isikute õigusi ja vabadusi. Selle kohta on harta artikli 8 lõikes 2 täpsustatud, et isikuandmeid tuleb muu hulgas töödelda „kindlaksmääratud eesmärkidel ja asjaomase isiku nõusolekul või muul seaduses ettenähtud õiguslikul alusel“.

114

Olgu lisatud, et nõue, mille kohaselt peab põhiõiguste teostamise igasugune piiramine olema sätestatud seaduses, tähendab, et õiguslik alus, mis võimaldab nendesse õigustesse sekkuda, peab ise määrama kindlaks, kui ulatuslikult tohib asjaomase õiguse teostamist piirata, kusjuures tuleb täpsustada, et esiteks ei välista see nõue seda, et sellist piirangut sisaldav regulatsioon võib olla sõnastatud piisavalt lahtiselt, et see saaks kohaneda erinevate juhtumite ja muutuvate asjaoludega (vt selle kohta 26. aprilli 2022. aasta kohtuotsus Poola vs. parlament ja nõukogu, C‑401/19, EU:C:2022:297, punkti 64 ja 74 ning seal viidatud kohtupraktika), ja teiseks võib Euroopa Kohus olenevalt olukorrast tõlgendamise teel täpsustada piirangu konkreetset ulatust, arvestades nii kõnealuse liidu õigusakti sõnastust kui ka selle üldist ülesehitust ja sellega taotletavaid eesmärke, tõlgendatuna lähtuvalt hartaga tagatud põhiõigustest.

115

Mis puudutab proportsionaalsuse põhimõtte järgimist, siis nõuab eraelu puutumatuse põhiõiguse kaitsmine liidu tasandil vastavalt Euroopa Kohtu väljakujunenud praktikale, et isikuandmete kaitsest tehtavad erandid ja selle piirangud piirduksid rangelt vajalikuga. Lisaks ei saa üldist huvi pakkuvat eesmärki taotledes jätta arvesse võtmata, et see peab olema kooskõlas põhiõigustega, mida meede puudutab, ning selleks tuleb saavutada tasakaal nimetatud üldist huvi pakkuva eesmärgi ja asjasse puutuvate õiguste vahel (26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 140, ning 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 52 ja seal viidatud kohtupraktika).

116

Täpsemalt tuleb liikmesriikide võimalust põhjendada harta artiklitega 7 ja 8 tagatud õiguste piiramist hinnata, kaaludes sellise piiranguga kaasneva riive raskust ja kontrollides, et piiranguga taotletava üldist huvi pakkuva eesmärgi olulisus oleks selle raskusastmega vastavuses (vt selle kohta 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 55 ja seal viidatud kohtupraktika, ning 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 53 ja seal viidatud kohtupraktika).

117

Proportsionaalsuse nõude järgimiseks peavad riivet sisaldavas õigusaktis olema sätestatud selged ja täpsed reeglid, mis reguleerivad õigusaktiga ette nähtud meetmete ulatust ja kohaldamist ning millega on kehtestatud miinimumnõuded, millest tulenevalt on isikutel, kelle andmed on edastatud, piisavad garantiid, mis võimaldavad tõhusalt kaitsta nende isikuandmeid kuritarvitamise ohu eest. Täpsemalt peab õigusaktis olema märgitud, millistel asjaoludel ja tingimustel võib nende andmete töötlemist hõlmava meetme võtta, tagades seeläbi, et riive piirdub rangelt vajalikuga. Niisuguste garantiide olemasolu on veel vajalikum siis, kui isikuandmeid töödeldakse automatiseeritult. Need kaalutlused kehtivad iseäranis juhul, kui broneeringuinfo võib avaldada tundlikku teavet reisijate kohta (26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 141, ning 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 132 ja seal viidatud kohtupraktika).

118

Seega peab liikmesriigi õigusakt, mis näeb ette isikuandmete säilitamise, alati vastama objektiivsetele kriteeriumidele, mis loovad seose säilitatavate isikuandmete ja taotletava eesmärgi vahel (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 191 ja seal viidatud kohtupraktika; 3. oktoobri 2019. aasta kohtuotsus A jt, C‑70/18, EU:C:2019:823, punkt 63, ning 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 133).

a)   Seaduslikkuse põhimõtte ja asjaomaste põhiõiguste olemuse austamine

119

Harta artiklitega 7 ja 8 tagatud põhiõiguste teostamise piirang, mis tuleneb broneeringuinfo direktiiviga loodud süsteemist, on ette nähtud liidu seadusandliku aktiga. Mis puudutab küsimust, kas vastavalt käesoleva kohtuotsuse punktis 114 viidatud kohtupraktikale määrab see direktiiv kui neid õigusi riivata lubav liidu õigusakt ise kindlaks nende õiguste teostamise piirangu ulatuse, siis tuleb märkida, et selle direktiivi sätted ning I ja II lisa sisaldavad esiteks broneeringuinfo loetelu ja teiseks selle info töötlemise raamistikku, eelkõige määrates kindlaks sellise töötlemise eesmärgid ja korra. Muus osas langeb see küsimus suuresti kokku käesoleva kohtuotsuse punktis 117 mainitud proportsionaalsuse nõude järgimise küsimusega (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 180), mida analüüsitakse käesoleva kohtuotsuse punktis 125 ja sellele järgnevates punktides.

120

Mis puudutab harta artiklitega 7 ja 8 kaitstud põhiõiguste olemuse austamist, siis peab tõesti paika, et broneeringuinfo võib teatud juhtudel paljastada väga täpset teavet isiku eraelu kohta. Kuid kuna esiteks on see teave piiratud eraelu teatavate aspektidega, mis puudutavad eelkõige selle isiku lennureise, ja teiseks keelab broneeringuinfo direktiivi artikli 13 lõige 4 sõnaselgelt selliste andmete töötlemise, mis isikuandmete kaitse üldmääruse artikli 9 lõike 1 tähenduses kujutavad endast delikaatseid isikuandmeid, ei anna ainuüksi selles direktiivis nimetatud andmed täielikku ülevaadet isiku eraelu kohta. Lisaks on selle direktiivi artikli 1 lõikes 2 koostoimes artikli 3 punktidega 8 ja 9 ning II lisaga piiritletud nende andmete töötlemise eesmärgid. Viimaks, sama direktiivi artiklites 4–15 on kehtestatud normid, mis reguleerivad nende andmete edastamist, töötlemist ja säilitamist, ning samuti normid, mille eesmärk on eelkõige tagada kõnealuste andmete turvalisus, konfidentsiaalsus ja terviklikkus ning kaitsta neid ebaseadusliku juurdepääsu ja töötlemise eest. Neil asjaoludel ei kahjusta broneeringuinfo direktiivist tulenevad riived harta artiklitega 7 ja 8 kaitstud põhiõiguste olemust.

b)   Üldist huvi pakkuv eesmärk ja broneeringuinfo töötlemise sobivus selle eesmärgi seisukohast

121

Mis puudutab küsimust, kas broneeringuinfo direktiiviga loodud süsteem järgib üldist huvi pakkuvat eesmärki, siis direktiivi põhjendustest 5, 6 ja 15 nähtub, et selle direktiivi eesmärk on tagada liidu sisejulgeolek ja seega kaitsta isikute elu ja turvalisust, luues samal ajal õigusliku raamistiku, mis tagab reisijate põhiõiguste, eelkõige nende õiguse eraelu puutumatusele ja isikuandmete kaitsele kõrgetasemelise kaitse broneeringuinfo töötlemisel pädevate asutuste poolt.

122

Selleks on broneeringuinfo direktiivi artikli 1 lõikes 2 sätestatud, et kõnealuse direktiivi kohaselt kogutud broneeringuinfot võib töödelda vastavalt direktiivi artikli 6 lõike 2 punktidele a–c üksnes terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise eesmärgil. See eesmärk kujutab aga endast liidu üldist huvi pakkuvat eesmärki, mis võib põhjendada harta artiklitega 7 ja 8 tunnustatud põhiõiguste riiveid, isegi kui need on rasked (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights Ireland jt, C‑293/12 ja C‑594/12, EU:C:2014:238, punkt 42, ning 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 148 ja 149).

123

Mis puudutab broneeringuinfo direktiiviga loodud süsteemi sobivust taotletavate eesmärkide saavutamiseks, siis tuleb tõdeda, et kuigi käesoleva kohtuotsuse punktis 106 välja toodud „valenegatiivsete“ tulemuste võimalus ja üsna märkimisväärne arv „valepositiivseid“ tulemusi, mis 2018. ja 2019. aasta jooksul nimetatud direktiivis sätestatud automaattöötluse tulemusel saadi, võivad piirata selle süsteemi sobivust, ei muuda need seda süsteemi siiski sobimatuks, et aidata kaasa eesmärgi võidelda terroriaktide ja raskete kuritegude vastu saavutamisele. Nimelt, nagu nähtub käesoleva kohtuotsuse punktis 106 viidatud komisjoni töödokumendist, on selle direktiivi alusel toimuv automaattöötlus tõepoolest võimaldanud tuvastada lennureisijaid, kes kujutavad endast ohtu terroriaktide ja raskete kuritegude vastases võitluses.

124

Lisaks, võttes arvesse broneeringuinfo automaattöötluse paratamatut veamäära ja eelkõige üsna märkimisväärset arvu „valepositiivseid“ tulemusi, sõltub selle direktiiviga loodud süsteemi sobivus peamiselt sellest, kas töötlemise käigus saadud tulemuste hilisem automatiseerimata kontroll, mille läbiviimine on broneeringuinfo direktiivi kohaselt broneeringuinfo üksuse ülesanne, toimub nõuetekohaselt. Seega aitavad nimetatud direktiiviga selleks ette nähtud sätted kaasa nende eesmärkide saavutamisele.

c)   Broneeringuinfo direktiivist tulenevate riivete vajalikkus

125

Vastavalt käesoleva kohtuotsuse punktides 115–118 meenutatud kohtupraktikale tuleb kontrollida, kas broneeringuinfo direktiivist tulenevad riived piirduvad rangelt vajalikuga, ning eelkõige, kas selles direktiivis on sätestatud selged ja täpsed normid, mis reguleerivad direktiivis ette nähtud meetmete ulatust ja kohaldamist, ning kas direktiiviga loodud süsteem on alati vastavuses objektiivsete kriteeriumidega, mis loovad seose lennureiside broneerimise ja teostamisega tihedalt seotud broneeringuinfo ning sama direktiivi eesmärkide – nimelt terrorismi ja raskete kuritegude vastase võitluse – vahel.

1) Broneeringuinfo direktiiviga hõlmatud lennureisijate andmed

126

Tuleb hinnata, kas broneeringuinfo direktiivi I lisas toodud andmete rubriigid määratlevad selgelt ja täpselt broneeringuinfo, mille lennuettevõtja peab broneeringuinfo üksusele esitama.

127

Kõigepealt tuleb meenutada, et nagu ilmneb broneeringuinfo direktiivi põhjendusest 15, soovis liidu seadusandja, et broneeringuinfo üksusele esitatava broneeringuinfo loetelu koostamisel võetaks arvesse „riigiasutuste õiguspärast nõuet ennetada, avastada, uurida terroriakte ja raskeid kuritegusid ning nende eest vastutusele võtta, parandades sellega liidu sisejulgeolekut ning kaitstes põhiõigusi, eelkõige õigust eraelu puutumatusele ja isikuandmete kaitsele“. Täpsemalt peaksid sellised andmed sama põhjenduse kohaselt „sisaldama üksnes reisijate broneeringuid ja marsruute käsitlevaid üksikasju, mis võimaldavad pädevatel asutustel tuvastada sisejulgeolekut ohustada võivaid lennureisijaid“. Lisaks keelab broneeringuinfo direktiiv artikli 13 lõike 4 esimese lausega sellise „broneeringuinfo töötlemise, mis paljastab isiku rassi või etnilise päritolu, poliitilised seisukohad, usutunnistuse või filosoofilised veendumused, ametiühingusse kuulumise, terviseseisundi, seksuaalelu või seksuaalse sättumuse“.

128

Järelikult peab broneeringuinfo, mis on kogutud ja edastatud vastavalt broneeringuinfo direktiivi I lisale, olema otseselt seotud teostatud lennu ja asjaomase reisijaga ning see peab olema piiratud ühelt poolt nii, et see vastaks üksnes riigiasutuste õiguspärastele nõuetele seoses terroriaktide või raskete kuritegude ennetamise, avastamise ning uurimise ja nende eest vastutusele võtmisega, ning teiselt poolt nii, et see ei hõlmaks delikaatseid andmeid.

129

Broneeringuinfo direktiivi I lisa rubriigid 1–4, 7, 9, 11, 15, 17 ja 19 vastavadki nendele nõuetele ning samuti selguse ja täpsuse nõuetele, kuna need puudutavad selgelt tuvastatavat ja piiritletud teavet, mis on otseselt seotud teostatud lennu ja asjaomase reisijaga. Nagu märkis kohtujurist oma ettepaneku punktis 165, siis hoolimata nende avatud sõnastusest on see nii ka rubriikide 10, 13, 14 ja 16 puhul.

130

Seevastu rubriikide 5, 6, 8, 12 ja 18 tõlgendamiseks on vaja teha täpsustusi.

131

Rubriigis 5 „Aadress ja kontaktandmed (telefoninumber, e-posti aadress)“ ei ole sõnaselgelt kirjas, kas aadress ja kontaktandmed viitavad üksnes lennureisijale või ka kolmandatele isikutele, kes on lennureisija jaoks lennu broneerinud, kolmandatele isikutele, kelle vahendusel saab lennureisijaga ühendust võtta, või kolmandatele isikutele, keda tuleb hädaolukorras teavitada. Kuid nagu sisuliselt märkis kohtujurist oma ettepaneku punktis 162, ei tohiks selguse ja täpsuse nõudeid arvestades seda rubriiki tõlgendada nii, et see võimaldab kaudselt ka selliste kolmandate isikute isikuandmete kogumist ja edastamist. Järelikult tuleb nimetatud rubriiki tõlgendada nii, et see hõlmab üksnes selle lennureisija postiaadressi ja kontaktandmeid, st telefoninumbrit ja e-posti aadressi, kelle nimel broneering tehti.

132

Mis puudutab rubriiki 6, milles on märgitud „[k]õikvõimalikke makseviise käsitlev teave, sealhulgas arve saatmise aadress“, siis seda rubriiki tuleb selguse ja täpsuse nõuetele vastamiseks tõlgendada nii, et selles peetakse silmas üksnes lennupileti eest maksmise viisi ja arve esitamisega seotud teavet, kuid see ei puuduta mingit muud teavet, millel puudub lennuga otsene seos (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 159).

133

Mis puudutab rubriiki 8, milles on nimetatud „[p]üsikliendi staatust käsitlev teave“, siis nagu märkis kohtujurist oma ettepaneku punktis 164, tuleb seda tõlgendada nii, et selles on silmas peetud üksnes andmeid asjaomase reisija staatuse kohta lennuettevõtja või lennuettevõtjate rühma püsikliendiprogrammis ja numbrit, mis identifitseerib selle reisija kui püsikliendi. Rubriik 8 ei võimalda seega koguda teavet tehingute kohta, millega see staatus omandati.

134

Mis puudutab rubriiki 12, siis selles on kirjas „[ü]ldised märkused (sealhulgas kogu kättesaadav teave ilma saatjata reisiva alla 18‑aastase alaealise kohta, nagu alaealise nimi ja sugu, vanus, kasutatav(ad) keel(ed), lähtepunktis oleva hooldaja nimi ja kontaktandmed ning seos alaealisega, sihtpunktis oleva eestkostja nimi ja kontaktandmed ning seos alaealisega, saatev ja vastuvõttev lennujaama töötaja)“.

135

Sellega seoses tuleb kõigepealt märkida, et kuigi sõnad „üldised märkused“ ei vasta selguse ja täpsuse nõuetele, sest need ei sea iseenesest mingeid piiranguid selle teabe laadile ja ulatusele, mida võib rubriigi 12 alusel koguda ja broneeringuinfo üksusele edastada (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 160), vastab neile nõuetele sulgudes olev loetelu.

136

Järelikult tuleb selleks, et tõlgendada rubriiki 12 nii, et see oleks vastavalt käesoleva kohtuotsuse punktis 86 meenutatud kohtupraktikale kooskõlas selguse ja täpsuse nõuetega ning laiemalt harta artiklitega 7 ja 8 ning artikli 52 lõikega 1, asuda seisukohale, et lubatud on ainult selles rubriigis sõnaselgelt loetletud teabe kogumine ja edastamine, nimelt alaealise lennureisija nimi ja sugu, tema vanus, kasutatav(ad) keel(ed), lähtepunktis oleva hooldaja nimi ja kontaktandmed ning seos alaealisega, sihtpunktis oleva eestkostja nimi ja kontaktandmed ning seos alaealisega, samuti saatev ja vastuvõttev lennujaama töötaja.

137

Mis viimaseks puudutab rubriiki 18, siis selles seisab „[k]ogutud reisijaid käsitlev eelteave (API andmed) (muu hulgas isikut tõendava dokumendi liik, dokumendi number, dokumendi väljastanud riik, dokumendi kehtivuse lõpp, kodakondsus, perekonnanimi, eesnimi, sugu, sünnikuupäev, lennuettevõtja, lennu number, väljumiskuupäev, saabumiskuupäev, väljumislennujaam, saabumislennujaam, väljumis- ja saabumisaeg)“.

138

Nagu sisuliselt märkis kohtujurist oma ettepaneku punktides 156–160, siis nähtub rubriigist 18 koostoimes broneeringuinfo direktiivi põhjendustega 4 ja 9, et teave, millele selles rubriigis viidatakse, on üksnes API andmed, mis on loetletud selles rubriigis ja reisijaid käsitleva eelteabe direktiivi artikli 3 lõikes 2.

139

Seega võib rubriiki 18 tingimusel, et seda tõlgendatakse nii, et see hõlmab üksnes selles rubriigis ja reisijaid käsitleva eelteabe direktiivi artikli 3 lõikes 2 sõnaselgelt nimetatud teavet, pidada selguse ja täpsuse nõuetele vastavaks (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 161).

140

Järelikult tuleb tõdeda, et tõlgendatuna kooskõlas eelkõige käesoleva kohtuotsuse punktides 130–139 esitatud kaalutlustega, on broneeringuinfo direktiivi I lisa tervikuna piisavalt selge ja täpne ning piiritleb seega harta artiklitega 7 ja 8 kaitstud põhiõiguste riive ulatuse.

2) Broneeringuinfo töötlemise eesmärgid

141

Nagu ilmneb broneeringuinfo direktiivi artikli 1 lõikest 2, on selle direktiivi kohaselt kogutud broneeringuinfo töötlemise eesmärk võidelda „terroriaktide“ ja „raskete kuritegude“ vastu.

142

Seoses küsimusega, kas broneeringuinfo direktiiv näeb selles valdkonnas ette selged ja täpsed normid, mis piiravad selle direktiiviga loodud süsteemi kohaldamise selle eesmärgi seisukohalt rangelt vajalikuga, tuleb esiteks märkida, et mõiste „terroriaktid“ on broneeringuinfo direktiivi artikli 3 lõikes 8 määratletud kui „raamotsuse [2002/475] artiklites 1–4 osutatud süüteod liikmesriigi õiguse tähenduses“.

143

Lisaks sellele, et viidatud raamotsuse artiklites 1–3 olid selgelt ja täpselt määratletud „terroriaktid“, „terrorirühmitusega seotud õigusrikkumised“ ja „terroristliku tegevusega seotud õigusrikkumised“, mille liikmesriigid pidid kõnealuse raamotsuse alusel kriminaalkorras karistatavateks tegudeks tunnistama, on ka Euroopa Parlamendi ja nõukogu 15. märtsi 2017. aasta direktiivi (EL) 2017/541 terrorismivastase võitluse kohta, millega asendatakse nõukogu raamotsus 2002/475 ning muudetakse nõukogu otsust 2005/671/JSK (ELT 2017, L 88, lk 6), artiklites 3–14 selgelt ja täpselt määratletud samad süüteod.

144

Teiseks, mõiste „raske kuritegu“ on broneeringuinfo direktiivi artikli 3 punktis 9 määratletud kui „[selle direktiivi] II lisas loetletud süütegu, mis on liikmesriigi õiguse kohaselt karistatav vabadusekaotuse või vabadust piirava julgeolekumeetmega, mille maksimaalne pikkus on vähemalt kolm aastat“.

145

Kõigepealt tuleb aga märkida, et selles lisas on ammendavalt loetletud erinevad kuriteoliigid, mis võivad kuuluda broneeringuinfo direktiivi artikli 3 punktis 9 nimetatud „raskete kuritegude“ hulka.

146

Järgmiseks, liidu seadusandja sai – arvestades liikmesriikide karistusõigussüsteemide eripära selle direktiivi vastuvõtmise ajal, kuna osutatud kuritegusid ei olnud ühtlustatud – üksnes piirduda kuriteoliikide nimetamisega, määratlemata nende koosseisutunnuseid, seda enam et need tunnused on eelduslikult tingimata määratletud liikmesriigi õiguses, millele viitab broneeringuinfo direktiivi artikli 3 punkt 9, kuivõrd liikmesriigid peavad järgima kuritegude ja karistuste seaduses sätestatuse põhimõtet kui ELL artiklis 2 nimetatud õigusriigi kui liidu ühise väärtuse hulka kuuluvat põhimõtet (vt analoogia alusel 16. veebruari 2022. aasta kohtuotsus Ungari vs. parlament ja nõukogu, C‑156/21, EU:C:2022:97, punktid 136, 160 ja 234), mis on tunnustatud ka harta artikli 49 lõikes 1, mida liikmesriigid peavad järgima sellise liidu õigusakti nagu broneeringuinfo direktiivi kohaldamise korral (vt selle kohta 10. novembri 2011. aasta kohtuotsus QB, C‑405/10, EU:C:2011:722, punkt 48 ja seal viidatud kohtupraktika). Seega, võttes arvesse ka samas lisas kasutatud sõnade tavatähendust, tuleb asuda seisukohale, et selles on piisavalt selgelt ja täpselt kindlaks määratud süüteod, mis võivad endast kujutada raskeid kuritegusid.

147

On küll tõsi, et II lisa punktides 7, 8, 10 ja 16 on nimetatud väga üldisi kuriteoliike (kelmus, kriminaaltulu rahapesu ning raha võltsimine, keskkonnakuriteod, ebaseaduslik kauplemine kultuuriväärtustega), viidates seejuures siiski neisse üldistesse liikidesse kuuluvatele konkreetsetele kuritegudele. Selleks et tagada piisav täpsus, mida nõuab ka harta artikkel 49, tuleb neid punkte tõlgendada nii, et need viitavad nimetatud kuritegudele, nii nagu need on määratletud liikmesriigi ja/või liidu selle valdkonna õiguses. Nii tõlgendatuna võib neid punkte pidada selguse ja täpsuse nõuetele vastavateks.

148

Lõpuks tuleb veel meenutada, et kuigi proportsionaalsuse põhimõtte kohaselt saab eesmärgiga võidelda raskete kuritegude vastu põhjendada broneeringuinfo direktiivist tingitud ja harta artiklitega 7 ja 8 tagatud põhiõiguste rasket riivet, ei kehti see võitluse kohta kuritegevuse vastu üldiselt, sest viimati nimetatud eesmärgiga saab põhjendada üksnes selliseid põhiõiguste riiveid, mis ei ole rasked (vt analoogia alusel 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 59 ja seal viidatud kohtupraktika). Seega peab see direktiiv selgete ja täpsete eeskirjade abil tagama, et direktiiviga loodud süsteemi kohaldamine piirduks ainult süütegudega, mis kuuluvad raskete kuritegude hulka, ja välistaks seetõttu süüteod, mis on käsitatavad tavalise kuritegevusena.

149

Selle kohta tuleb tõdeda, et nagu märkis kohtujurist oma ettepaneku punktis 121, on suur hulk broneeringuinfo direktiivi II lisas nimetatud kuritegusid – näiteks inimkaubandus, laste seksuaalne ärakasutamine ja lapsporno, ebaseaduslik kauplemine relvade, laskemoona ja lõhkeainetega, rahapesu, küberkuriteod, ebaseaduslik kauplemine inimorganite ja -kudedega, ebaseaduslik kauplemine narkootiliste ja psühhotroopsete ainetega, ebaseaduslik kauplemine tuumamaterjalide ja radioaktiivsete ainetega, õhusõiduki või laeva kaaperdamine, rahvusvahelise kriminaalkohtu pädevusse kuuluvad kuriteod, tahtlik tapmine, vägistamine, inimrööv, ebaseaduslik vabadusevõtmine ja pantvangi võtmine – oma olemuselt vaieldamatult rasked.

150

Lisaks, kuigi muid kuritegusid, mis on samuti loetletud II lisas, ei ole a priori nii lihtne raskete kuritegudega seostada, ilmneb siiski juba broneeringuinfo direktiivi artikli 3 punkti 9 sõnastusest, et neid saab käsitada raskete kuritegudena üksnes juhul, kui need on asjaomase liikmesriigi õiguse kohaselt karistatavad vabadusekaotuse või vabadust piirava julgeolekumeetmega, mille maksimaalne pikkus on vähemalt kolm aastat. Sellest sättest tulenevad nõuded, mis puudutavad kohaldatava karistuse liiki ja määra, võimaldavad põhimõtteliselt piirata kõnealuse direktiiviga loodud süsteemi kohaldamist kuritegudega, mille raskusaste on piisav, et põhjendada harta artiklitega 7 ja 8 kaitstud põhiõiguste riivet, mis tuleneb sama direktiiviga ette nähtud süsteemist.

151

Kuna aga broneeringuinfo direktiivi artikli 3 punkt 9 ei viita mitte kohaldatava karistuse miinimummäärale, vaid kohaldatava karistuse maksimummäärale, siis ei ole siiski välistatud, et broneeringuinfot võidakse töödelda selliste kuritegude vastu võitlemise eesmärgil, mille puhul vaatamata sellele, et need vastavad selles sättes ette nähtud raskusastet puudutavale kriteeriumile, ei ole liikmesriigi karistusõiguse süsteemi eripärasid arvestades tegemist mitte raskete kuritegude, vaid tavalise kuritegevusega.

152

Liikmesriigid peavad seega tagama, et broneeringuinfo direktiiviga loodud süsteemi kohaldamine piirduks tõesti võitlusega raskete kuritegude vastu ja et seda süsteemi ei laiendataks kuritegudele, mis kuuluvad tavalise kuritegevuse hulka.

3) Seos broneeringuinfo ja selle töötlemise eesmärkide vahel

153

On tõsi – nagu sisuliselt märkis kohtujurist oma ettepaneku punktis 119 –, et broneeringuinfo direktiivi artikli 3 punkti 8 ja artikli 3 punkti 9 sõnastuses koostoimes selle direktiivi II lisaga ei ole sõnaselgelt viidatud kriteeriumile, mis piiraks selle direktiivi kohaldamisala ainult kuritegudega, millel võib nende olemuse tõttu vähemalt kaudselt olla objektiivne seos lennureisidega ja seega ka andmeliikidega, mida nimetatud direktiivi alusel edastatakse, töödeldakse ja säilitatakse.

154

Nagu aga märkis kohtujurist oma ettepaneku punktis 121, võib broneeringuinfo direktiivi II lisas loetletud teatud kuritegudel, nagu inimkaubandus, ebaseaduslik kauplemine narkootiliste ainete või relvadega, ebaseaduslikule piiriületamisele ja riigis elamisele kaasaaitamine või õhusõiduki kaaperdamine, siiski juba nende olemuse tõttu olla otsene seos reisijate lennutranspordiga. Sama kehtib ka teatavate terroriaktide kohta, nagu veosüsteemi või infrastruktuuri tõsine kahjustamine või õhusõiduki ebaseaduslik hõivamine, mis olid raamotsuse 2002/475 artikli 1 lõike 1 punktides d ja e osutatud kuriteod, millele on viidatud broneeringuinfo direktiivi artikli 3 punktis 8, või ka terroristlikel eesmärkidel reisimine ja selliste reiside korraldamine või muul viisil hõlbustamine, mis on direktiivi 2017/541 artiklites 9 ja 10 osutatud kuriteod.

155

Selles kontekstis tuleb samuti meenutada, et komisjon põhjendas broneeringuinfo direktiivi aluseks olnud 2. veebruari 2011. aasta ettepanekut võtta vastu Euroopa Parlamendi ja nõukogu direktiiv, mis käsitleb broneeringuinfo kasutamist terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks (KOM(2011) 32 (lõplik)), rõhutades asjaolu, et „USA 2001. aasta terrorirünnakud, 2006. aasta augustis peatatud terrorirünnak, mille eesmärk oli õhkida mitu Ühendkuningriigist USAsse suunduvat lennukit, ning 2009. aasta detsembris toimunud terrorirünnakukatse Amsterdamist Detroiti teel olnud lennuki pardal näitasid terroristide võimet korraldada rahvusvaheliste lendude vastaseid rünnakuid mis tahes riigis“, ja et „[s]uurem osa terrorismiilminguid on loomult rahvusvahelised, hõlmates rahvusvahelist reisimist muu hulgas väljaspool ELi asuvatesse väljaõppelaagritesse“. Lisaks viitas komisjon selleks, et põhjendada vajadust analüüsida broneeringuinfot raskete kuritegude vastu võitlemiseks, näitena juhtumile, kus broneeringuinfo analüüsimisel paljastati rühm inimkaubitsejaid, kes kasutasid inimkaubanduse eesmärgil lennule registreerumiseks valedokumente, ning samuti juhtumile, kus inim- ja uimastikaubanduse võrgustik kasutas paljudesse Euroopa sihtkohtadesse uimastite importimiseks inimkaubanduse ohvreid, olles neile ostnud lennupiletid varastatud krediitkaartidega. Kõik need juhtumid puudutasid aga süütegusid, millel on otsene seos reisijate lennutranspordiga, kuna tegemist on kuritegudega, mis kasutavad ära reisijate lennutransporti, toimuvad lennureisi käigus või selle abil.

156

Lisaks tuleb tõdeda, et isegi kuritegudel, millel puudub selline otsene seos reisijate lennutranspordiga, võib olenevalt asjaoludest olla kaudne seos reisijate lennutranspordiga. Nii on see eelkõige siis, kui lennutransport on vahend selliste kuritegude ettevalmistamiseks või kriminaalvastutusele võtmisest hoidumiseks pärast nende toimepanemist. Seevastu kuriteod, millel puudub mis tahes objektiivne, isegi kaudne seos reisijate lennutranspordiga, ei saa põhjendada broneeringuinfo direktiiviga loodud süsteemi kohaldamist.

157

Neil asjaoludel nõuavad selle direktiivi artikli 3 punktid 8 ja 9 koostoimes selle direktiivi II lisaga ning arvestades harta artiklitest 7 ja 8 ning artikli 52 lõikest 1 tulenevaid nõudeid, et liikmesriigid tagaksid eelkõige automatiseerimata vahenditega toimuva ükshaaval läbivaatamise abil, mis on ette nähtud selle direktiivi artikli 6 lõikes 5, et direktiiviga loodud süsteemi kohaldamine piirduks terroriaktide ja ainult raskete kuritegudega, millel vähemalt kaudselt on objektiivne seos reisijate lennutranspordiga.

4) Lennureisijad ja asjasse puutuvad lennud

158

Broneeringuinfo direktiiviga loodud süsteem hõlmab kõikide selliste isikute broneeringuinfot, kes vastavad mõistele „reisija“ direktiivi artikli 3 punkti 4 tähenduses ja kes kasutavad selle direktiivi kohaldamisalasse kuuluvaid lende.

159

Direktiivi artikli 8 lõike 1 kohaselt edastatakse need andmed selle liikmesriigi broneeringuinfo üksusele, mille territooriumile lend saabub või mille territooriumilt lend väljub, olenemata sellest, kas mõni objektiivne asjaolu annab alust arvata, et nende reisijate puhul võib esineda oht olla seotud terroriaktide või raskete kuritegudega. Nõnda edastatud andmeid töödeldakse siiski eelkõige automatiseeritult broneeringuinfo direktiivi artikli 6 lõike 2 punkti a ja lõike 3 kohase eelhindamise raames, mille eesmärk nähtuvalt kõnealuse direktiivi põhjendusest 7 on tuvastada isikud, keda enne sellist hindamist ei kahtlustatud seotuses terroriaktide või raskete kuritegudega ja keda pädevad asutused peaksid täiendavalt uurima.

160

Täpsemalt ilmneb broneeringuinfo direktiivi artikli 1 lõike 1 punktist a ja artiklist 2, et selles eristatakse liidu ja kolmandate riikide vahel toimuvate ELi‑väliste lendude reisijaid ja erinevate liikmesriikide vahel toimuvate ELi‑siseste lendude reisijaid.

161

Mis puudutab ELi‑väliste lendude reisijaid, siis tuleb meenutada, et liidu ja Kanada vahelisel marsruudil sõitvate reisijate kohta on Euroopa Kohus juba otsustanud, et nende broneeringuinfo automatiseeritud töötlemine enne nende Kanadasse saabumist hõlbustab ja kiirendab turvakontrolli eelkõige piiril. Lisaks takistaks teatud liiki isikute või päritolupiirkondade väljajätmine saavutamast broneeringuinfo automaattöötluse eesmärki, milleks on selle info kontrollimise teel avalikule julgeolekule ohtu kujutada võivate isikute tuvastamine kõikide lennureisijate hulgast, ja võimaldaks kontrolli vältida (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 187).

162

Need kaalutlused saab mutatis mutandis üle kanda nende reisijate olukorrale, kes kasutavad liidu ja kõikide selliste kolmandate riikide vahelisi lende, kelle suhtes on liikmesriigid kohustatud kohaldama broneeringuinfo direktiiviga kehtestatud süsteemi vastavalt kõnealuse direktiivi artikli 1 lõike 1 punktile a koostoimes selle direktiivi artikli 3 punktidega 2 ja 4. Liitu saabuvate või sealt lahkuvate lendude reisijate broneeringuinfo edastamine ja eelhindamine ei saa nimelt olla piiratud teatava lennureisijate ringiga, arvestades seda, millist ohtu avalikule julgeolekule võivad endast kujutada terroriaktid ja rasked kuriteod, millel vähemalt kaudselt on objektiivne seos reisijate lennutranspordiga liidu ja kolmandate riikide vahel. Seega tuleb asuda seisukohale, et vajalik seos selle info ja eesmärgi võidelda selliste kuritegude vastu vahel on olemas, mistõttu ei välju broneeringuinfo direktiiv rangelt vajaliku piiridest pelgalt seetõttu, et see paneb liikmesriikidele kohustuse süstemaatiliselt edastada ja eelhinnata kõigi nende reisijate broneeringuinfot.

163

Mis puudutab reisijaid, kes kasutavad lende liidu eri liikmesriikide vahel, siis on broneeringuinfo direktiivi artikli 2 lõikes 1 koostoimes selle põhjendusega 10 liikmesriikidele antud üksnes võimalus laiendada selle direktiiviga loodud süsteemi kohaldamist ELi-sisestele lendudele.

164

Liidu seadusandja ei soovinud seega panna liikmesriikidele kohustust laiendada broneeringuinfo direktiiviga loodud süsteemi kohaldamist ELi-sisestele lendudele, vaid – nagu nähtub selle direktiivi artikli 19 lõikest 3 – jättis sellise laiendamise kohta otsuse tegemise edaspidiseks, olles samas seisukohal, et sellele peaks eelnema üksikasjalik hinnang selle õiguslikule mõjule ja eelkõige mõjule andmesubjektide põhiõigustele.

165

Sellega seoses tuleb märkida, et broneeringuinfo direktiivi artikli 19 lõige 3, milles on ette nähtud, et selle direktiivi artikli 19 lõikes 1 osutatud komisjoni läbivaatamisaruandes „vaadatakse ka läbi vajadus lisada käesoleva direktiivi kohaldamisalasse kõigi või valitud ELi-siseste lendude broneeringuinfo kohustuslik kogumine ja edastamine ning selle proportsionaalsus ja tõhusus“, ning et komisjon peab sellega seoses arvesse võtma „liikmesriikide kogemusi, eelkõige nende liikmesriikide kogemusi, kes kohaldavad käesolevat direktiivi ELi‑sisestele lendudele kooskõlas artikliga 2“, toob ilmsiks, et liidu seadusandja hinnangul ei pea broneeringuinfo direktiiviga loodud süsteemi tingimata laiendama kõikidele ELi-sisestele lendudele.

166

Samamoodi on broneeringuinfo direktiivi artikli 2 lõikes 3 sätestatud, et liikmesriigid võivad otsustada kohaldada seda direktiivi üksnes teatavate ELi‑siseste lendude suhtes, kui nad peavad seda vajalikuks direktiivi eesmärkide saavutamiseks, kuid võivad lendude valikut siiski igal ajal muuta.

167

Igal juhul tuleb liikmesriikide õiguse laiendada selle direktiiviga loodud süsteemi kohaldamisala ELi-sisestele lendudele teostamisel nähtuvalt direktiivi põhjendusest 22 täielikult austada harta artiklitega 7 ja 8 tagatud põhiõigusi. Kuigi direktiivi põhjenduse 19 kohaselt on liikmesriikide ülesanne hinnata terroriaktide ja raskete kuritegudega seotud ohtusid, eeldab selle võimaluse kasutamine siiski, et liikmesriigid teevad hindamise käigus järelduse, et esineb selliste kuritegudega seotud oht, mis õigustab kõnealuse direktiivi kohaldamist ka ELi-siseste lendude suhtes.

168

Neil asjaoludel ei ole liikmesriik juhul, kui ta soovib kasutada broneeringuinfo direktiivi artiklis 2 ette nähtud võimalust kas kõigi ELi-siseste lendude suhtes vastavalt kõnealuse artikli lõikele 2 või neist ainult mõnede suhtes vastavalt kõnealuse artikli lõikele 3, vabastatud kohustusest kontrollida, kas selle direktiivi kohaldamise laiendamine kõikidele või mõnedele ELi-sisestele lendudele on tegelikult vajalik ja proportsionaalne direktiivi artikli 1 lõikes 2 osutatud eesmärgi saavutamiseks.

169

Võttes arvesse broneeringuinfo direktiivi põhjendusi 5–7, 10 ja 22, peab niisugune liikmesriik seega kontrollima, et kõigi või teatavate ELi-siseste lendude reisijate broneeringuinfo töötlemine vastavalt kõnealusele direktiivile on harta artiklitega 7 ja 8 kaitstud põhiõiguste riive raskust arvestades rangelt vajalik liidu sisejulgeoleku või vähemalt selle liikmesriigi sisejulgeoleku tagamiseks ning seega isikute elu ja turvalisuse kaitsmiseks.

170

Mis puudutab konkreetsemalt terroriaktidega seotud ohtusid, siis tuleneb Euroopa Kohtu praktikast, et terrorism kuulub sellise tegevuse hulka, mis võib tõsiselt destabiliseerida riigi põhilisi põhiseaduslikke, poliitilisi, majanduslikke või sotsiaalseid struktuure ja täpsemalt kujutada endast otsest ohtu ühiskonnale, elanikkonnale või riigile kui sellisele, ning iga riigi esmatähtis huvi on selliseid tegevusi ennetada ja maha suruda, et kaitsta riigi põhifunktsioone ja ühiskonna põhihuve, eesmärgiga tagada riigi julgeolek. Selline oht erineb oma olemuse, raskusastme ja seda moodustavate asjaolude erilisuse poolest üldisest ja püsivast raskete kuritegude toimepanemise ohust (vt selle kohta 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 135 ja 136, ning 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punktid 61 ja 62).

171

Seega olukorras, kus liikmesriigi läbi viidud hindamise põhjal tuvastatakse, et esinevad piisavalt konkreetsed asjaolud, mis võimaldavad asuda seisukohale, et liikmesriiki ähvardab tegelik ja vahetu või ettenähtav terrorismioht, ei näi asjaolu, et liikmesriik näeb broneeringuinfo direktiivi artikli 2 lõike 1 alusel ette selle direktiivi kohaldamise piiratud aja jooksul kõigi kõnealusest liikmesriigist saabuvate või sinna suunduvate ELi-siseste lendude suhtes, ületavat rangelt vajaliku piire. Sellise ohu olemasolu loob juba iseenesest seose ühelt poolt asjaomase info edastamise ja töötlemise ning teiselt poolt terrorismivastase võitluse vahel (vt analoogia alusel 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 137).

172

Otsust, millega selline kohaldamine ette nähakse, peab saama tõhusalt kontrollida kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et teha kindlaks, kas esineb selline olukord ning kas on järgitud tingimusi ja tagatisi, mis peavad olema ette nähtud. Kohaldamisaeg peab samuti olema ajaliselt piiratud rangelt vajalikuga, kuid ohu püsimise korral peab see olema pikendatav (vt analoogia alusel 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 168, ning 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 58).

173

Seevastu juhul, kui liikmesriiki ei ähvarda tegelik ja vahetu või ettenähtav terrorioht, ei saa broneeringuinfo direktiiviga loodud süsteemi vahet tegemata kohaldamist mitte ainult ELi-välistele, vaid ka kõikidele ELi-sisestele lendudele pidada piirduvaks rangelt vajalikuga.

174

Niisuguses olukorras peab broneeringuinfo direktiiviga kehtestatud süsteemi kohaldamine ELi-sisestele lendudele piirduma selliste lendude broneeringuinfo edastamise ja töötlemisega, mis on seotud eelkõige teatavate lennuliinide või reisimarsruutidega, või ka teatavate lennujaamadega, mille kohta on andmeid, mis võivad seda kohaldamist õigustada. Asjaomane liikmesriik peab sellises olukorras ELi-sisesed lennud välja valima vastavalt tulemustele, mille annab hindamine, mille liikmesriik peab läbi viima käesoleva kohtuotsuse punktides 163–169 välja toodud nõuete alusel, ning selle regulaarselt läbi vaatama vastavalt lendude valiku aluseks olnud tingimuste muutumisele, tagamaks, et nimetatud direktiiviga kehtestatud süsteemi kohaldamine ELi‑sisestele lendudele piirduks alati rangelt vajalikuga.

175

Eeltoodud kaalutlustest tuleneb, et broneeringuinfo direktiivi artikli 2 ja artikli 3 punkti 4 selline harta artiklitest 7 ja 8 ning artikli 52 lõikest 1 lähtuv tõlgendus tagab, et need sätted järgivad rangelt vajaliku piire.

5) Broneeringuinfo eelhindamine automaattöötluse teel

176

Broneeringuinfo direktiivi artikli 6 lõike 2 punkti a kohaselt on selles ette nähtud eelhindamise eesmärk tuvastada isikud, keda eelkõige sama direktiivi artiklis 7 osutatud pädevad asutused peavad täiendavalt uurima seetõttu, et sellised isikud võivad olla seotud terroriakti või raske kuriteoga.

177

See eelhindamine toimub kahes etapis. Esimeses etapis töötleb asjaomase liikmesriigi broneeringuinfo üksus vastavalt broneeringuinfo direktiivi artikli 6 lõikele 3 automatiseeritult broneeringuinfot, võrreldes seda andmetega andmebaasides või töödeldes seda eelnevalt kindlaksmääratud kriteeriumide alusel. Juhul kui automaattöötlus annab positiivse tulemuse (hit), vaatab broneeringuinfo üksus selle teises etapis direktiivi artikli 6 lõike 5 alusel automatiseerimata vahenditega eraldi läbi, et kontrollida, kas direktiivi artiklis 7 osutatud pädevad asutused peavad võtma meetmeid vastavalt liikmesriigi õigusele (match).

178

Ent nagu on meenutatud käesoleva kohtuotsuse punktis 106, on automaattöötlusel paratamatult üsna märkimisväärne veamäär, kuna see töötlus toimub kontrollimata isikuandmete alusel ja põhineb eelnevalt kindlaksmääratud kriteeriumidel.

179

Neil asjaoludel ja võttes arvesse harta preambuli neljandas põhjenduses rõhutatud vajadust tugevdada põhiõiguste kaitset eelkõige teaduse ja tehnika arengut silmas pidades, tuleb tagada – nagu on märgitud broneeringuinfo direktiivi põhjenduses 20 ja artikli 7 lõikes 6 –, et pädevad asutused ei teeks ühtki otsust, mille õiguslik mõju isikule on negatiivne või mis teda oluliselt mõjutab, üksnes broneeringuinfo automaattöötluse põhjal. Lisaks võib broneeringuinfo üksus ise selle direktiivi artikli 6 lõike 6 kohaselt edastada broneeringuinfot nendele asutustele alles pärast automatiseerimata vahenditega ükshaaval läbivaatamist. Viimaks, lisaks sellele kontrollile, mida peavad tegema broneeringuinfo üksus ja pädevad asutused ise, peavad kõigi automatiseeritud töötlemistoimingute seaduslikkust saama kontrollida andmekaitseametnik ja riiklik järelevalveasutus kõnealuse direktiivi artikli 6 lõike 7 ja artikli 15 lõike 3 punkti b alusel ning liikmesriigi kohtud selle direktiivi artikli 13 lõikes 1 sätestatud õiguskaitsevahendi kasutamise korral.

180

Nagu aga sisuliselt märkis kohtujurist oma ettepaneku punktis 207, tuleb riiklikule järelevalveasutusele, andmekaitseametnikule ja broneeringuinfo üksusele anda neilt broneeringuinfo direktiivi alusel nõutava järelevalve tegemiseks vajalikud materiaalsed vahendid ja personal. Lisaks on oluline, et liikmesriigi õigusnormid, millega direktiiv riigisisesesse õigusesse üle võetakse ja mis lubavad kasutada direktiivis ette nähtud automaattöötlust, sätestaksid selged ja täpsed reeglid andmebaaside ja kasutatavate analüüsikriteeriumide kindlaksmääramiseks, ilma et eelhindamiseks saaks kasutada muid meetodeid, mida ei ole selle direktiivi artikli 6 lõikes 2 sõnaselgelt ette nähtud.

181

Lisaks tuleneb broneeringuinfo direktiivi artikli 6 lõikest 9, et selle direktiivi artikli 6 lõike 2 punkti a kohase eelhindamise tagajärjed ei mõjuta liidus vaba liikumise õigust omavate isikute õigust siseneda asjaomase liikmesriigi territooriumile, nagu on sätestatud direktiivis 2004/38, ja lisaks peavad need olema kooskõlas määrusega nr 562/2006. Seega ei võimalda broneeringuinfo direktiiviga loodud süsteem pädevatel asutustel piirata seda õigust rohkem, kui on ette nähtud direktiivis 2004/38 ja määruses nr 562/2006.

i) Broneeringuinfo võrdlemine andmetega andmebaasides

182

Broneeringuinfo direktiivi artikli 6 lõike 3 punkti a kohaselt „võib“ broneeringuinfo üksus selle direktiivi artikli 6 lõike 2 punktis a nimetatud hindamise käigus võrrelda broneeringuinfot andmetega terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise seisukohast „asjasse puutuvates andmebaasides“, „sealhulgas otsitavate või hoiatusteate alusel tagaotsitavate isikute ja esemete andmebaasides, kooskõlas selliste andmebaaside suhtes kohaldatavate liidu, rahvusvaheliste ja liikmesriikide normidega“.

183

Kuigi juba broneeringuinfo direktiivi artikli 6 lõike 3 punkti a sõnastusest ja eelkõige sõnast „sealhulgas“ tuleneb, et otsitavate või hoiatusteate alusel tagaotsitavate isikute ja esemete andmebaasid kuuluvad selles sättes silmas peetud „asjasse puutuvate andmebaaside“ hulka, ei ole selles sättes seevastu täpsustatud, milliseid muid andmebaase võib samuti pidada selle direktiivi eesmärkide seisukohast „asjasse puutuvateks“. Nagu tõdes ka kohtujurist oma ettepaneku punktis 217, ei ole selles sättes nimelt sõnaselgelt täpsustatud ei nende andmete laadi, mida sellised andmebaasid võivad sisaldada, ega nende seost direktiivi eesmärkidega, ega ole ka märgitud, kas broneeringuinfot tuleb võrrelda üksnes ametiasutuste hallatavate andmebaasidega või võib seda võrrelda ka eraõiguslike isikute hallatavate andmebaasidega.

184

Neil asjaoludel näib esmapilgul, et broneeringuinfo direktiivi artikli 6 lõike 3 punkti a saab tõlgendada nii, et broneeringuinfot võib kasutada lihtsa otsingukriteeriumina, et viia läbi analüüse erinevate andmebaaside põhjal, sealhulgas selliste andmebaaside põhjal, mida liikmesriikide julgeoleku- ja luureasutused haldavad ja kasutavad muudel eesmärkidel kui need, mis on ette nähtud selles direktiivis, ning et sellised analüüsid võivad toimuda andmekaeve vormis (data mining). Reisijates võib aga võimalus, et niisuguseid analüüse tehakse ja broneeringuinfot sellistes andmebaasides olevate andmetega võrreldakse, tekitada tunde, et nende eraelu on teatava jälgimise all. Seega, kuigi kõnealuses sättes ette nähtud eelhindamine toimub suhteliselt piiratud andmekogumi, nimelt broneeringuinfo põhjal, ei saa artikli 6 lõike 3 punkti a selliselt tõlgendada, kuna see tooks tõenäoliselt kaasa selle info ebaproportsionaalse kasutamise, tehes võimalikuks andmesubjektide täpse profiili koostamise üksnes seetõttu, et need isikud kavatsevad lennukiga reisida.

185

Seetõttu tuleb broneeringuinfo direktiivi artikli 6 lõike 3 punkti a kooskõlas käesoleva kohtuotsuse punktides 86 ja 87 viidatud kohtupraktikaga tõlgendada nii, et oleks tagatud harta artiklites 7 ja 8 tunnustatud põhiõiguste täielik austamine.

186

Broneeringuinfo direktiivi põhjendustest 7 ja 15 nähtub sellega seoses, et direktiivi artikli 6 lõike 3 punktis a ette nähtud automaattöötlus peab piirduma sellega, mis on rangelt vajalik terroriaktide ja raskete kuritegude vastu võitlemiseks, tagades samas nende põhiõiguste kõrgetasemelise kaitse.

187

Lisaks, nagu sisuliselt märkis komisjon vastuseks Euroopa Kohtu küsimusele, võimaldab selle sätte sõnastus, mille kohaselt „võib“ broneeringuinfo üksus „võrrelda“ broneeringuinfot andmetega selles sättes osutatud andmebaasides, broneeringuinfo üksusel valida töötlemisviisi, mis sõltuvalt konkreetsest olukorrast piirdub rangelt vajalikuga. Arvestades aga harta artiklites 7 ja 8 tunnustatud põhiõiguste kaitse tagamiseks vajalike selguse ja täpsuse nõuete järgimist, on broneeringuinfo üksus kohustatud piirama broneeringuinfo direktiivi artikli 6 lõike 3 punktis a ette nähtud automaattöötlust üksnes andmebaasidega, mis vastavad sellele sättele. Selle kohta tuleb märkida, et kuigi viimati nimetatud sättes sisalduva viite „asjasse puutuvatele andmebaasidele“ põhjal ei saa anda selles silmas peetavate andmebaaside piisavalt selget ja täpset tõlgendust, on see teisiti viite puhul „otsitavate või hoiatusteate alusel tagaotsitavate isikute ja esemete andmebaasidele, kooskõlas selliste andmebaaside suhtes kohaldatavate liidu, rahvusvaheliste ja liikmesriikide normidega“.

188

Seega, nagu sisuliselt märkis kohtujurist oma ettepaneku punktis 219, tuleb broneeringuinfo direktiivi artikli 6 lõike 3 punkti a neid põhiõigusi arvestades tõlgendada nii, et viimati nimetatud andmebaasid on ainsad andmebaasid, milles olevate andmetega võib broneeringuinfo üksus broneeringuinfot võrrelda.

189

Mis puudutab nõudeid, millele need andmebaasid peavad vastama, siis tuleb märkida, et broneeringuinfo direktiivi artikli 6 lõike 4 kohaselt tuleb selle direktiivi artikli 6 lõike 3 punktis b osutatud, eelnevalt kindlaksmääratud kriteeriumide alusel toimuv eelhindamine läbi viia mittediskrimineerivalt, need kriteeriumid peavad olema sihipärased, proportsionaalsed ja konkreetsed ning broneeringuinfo üksused peavad need kehtestama ja korrapäraselt läbi vaatama koostöös nimetatud direktiivi artiklis 7 osutatud pädevate asutustega. Kuigi selle direktiivi artikli 6 lõike 4 sõnastus, mis viitab sama direktiivi artikli 6 lõike 3 punktile b, osutab üksnes broneeringuinfo töötlemisele eelnevalt kindlaksmääratud kriteeriumide alusel, tuleb viimati nimetatud sätet harta artiklitest 7, 8 ja 21 lähtudes tõlgendada nii, et selles ette nähtud nõudeid tuleb mutatis mutandis kohaldada selle info võrdlemisele käesoleva kohtuotsuse eelmises punktis viidatud andmebaasidega, seda enam, et need nõuded vastavad sisuliselt nõuetele, mis 26. juuli 2017. aasta arvamusest 1/15 (ELi-Kanada broneeringuinfo leping) EU:C:2017:592, punkt 172) tulenevas kohtupraktikas on välja kujundatud andmebaasides tehtava broneeringuinfo ristkontrolli jaoks.

190

Sellega seoses tuleb täpsustada, et nõue, et nimetatud andmebaasid peavad olema mittediskrimineerivad, tähendab eelkõige seda, et otsitavate või hoiatusteate alusel tagaotsitavate isikute kandmine andmebaasidesse peab põhinema objektiivsetel ja mittediskrimineerivatel asjaoludel, mis on kindlaks määratud selliste andmebaaside suhtes kohaldatavate liidu, rahvusvaheliste ja liikmesriikide normidega (vt analoogia alusel 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 78).

191

Selleks, et eelnevalt kindlaksmääratud kriteeriumid vastaksid sihipärasuse, proportsionaalsuse ja konkreetsuse nõudele, peavad käesoleva kohtuotsuse punktis 188 viidatud andmebaasid olema kasutuses võitluses selliste terroriaktide ja raskete kuritegude vastu, millel vähemalt kaudselt on objektiivne seos reisijate lennutranspordiga.

192

Lisaks peavad broneeringuinfo direktiivi artikli 6 lõike 3 punkti a alusel kasutatavaid andmebaase käesoleva kohtuotsuse punktides 183 ja 184 esitatud kaalutlusi arvesse võttes haldama nimetatud direktiivi artiklis 7 osutatud pädevad asutused või liidu andmebaaside ja rahvusvaheliste andmebaaside puhul need asutused neile seoses terroriaktide ja raskete kuritegude vastase võitlusega pandud ülesannete raames. Nii see just ongi otsitavate või hoiatusteate alusel tagaotsitavate isikute ja esemete andmebaaside puhul kooskõlas selliste andmebaaside suhtes kohaldatavate liidu, rahvusvaheliste ja liikmesriikide normidega.

ii) Broneeringuinfo töötlemine eelnevalt kindlaksmääratud kriteeriumide alusel

193

Broneeringuinfo direktiivi artikli 6 lõike 3 punktis b on ette nähtud, et broneeringuinfo üksus võib broneeringuinfot töödelda ka eelnevalt kindlaksmääratud kriteeriumide alusel. Kõnealuse direktiivi artikli 6 lõike 2 punktist a nähtub, et sisuliselt on broneeringuinfo eelhindamise ja seega ka selle töötlemise eesmärk tuvastada isikud, kes võivad olla seotud terroriaktide või raskete kuritegudega.

194

Mis puudutab kriteeriume, mida broneeringuinfo üksus võib selleks kasutada, siis tuleb kõigepealt märkida, et broneeringuinfo direktiivi artikli 6 lõike 3 punkti b sõnastuse kohaselt peavad need kriteeriumid olema „eelnevalt kindlaksmääratud“. Nagu märkis kohtujurist oma ettepaneku punktis 228, on selle nõudega vastuolus selliste iseõppivate tehisintellekti tehnoloogiate (machine learning) kasutamine, mis võivad ilma inimese sekkumise ja kontrollita muuta hindamisprotsessi ja eelkõige hindamiskriteeriume, millel põhinevad nii selle protsessi rakendamise tulemus kui ka nende kriteeriumide kaal.

195

Tuleb lisada, et niisuguste tehnoloogiate kasutamine võib võtta soovitava toime positiivsete tulemuste ükshaaval läbivaatamiselt ning seaduslikkuse kontrollilt, mida nõuavad broneeringuinfo direktiivi sätted. Nagu sisuliselt märkis kohtujurist oma ettepaneku punktis 228, võib nimelt tehisintellekti tehnoloogia toimimise läbipaistmatust arvestades osutuda võimatuks mõista põhjust, miks konkreetne programm leiab positiivse tulemuse. Neil asjaoludel võib selliste tehnoloogiate kasutamine jätta puudutatud isikud ilma ka nende õigusest tõhusale õiguskaitsevahendile, mida on tunnustatud harta artiklis 47 ja mille see direktiiv oma põhjenduse 28 kohaselt peab kõrgel tasemel tagama, eelkõige juhul, kui vaidlustatakse saadud tulemus, kuna see on diskrimineeriv.

196

Järgmiseks tuleb märkida seoses broneeringuinfo direktiivi artikli 6 lõikest 4 tulenevate nõuetega, et selle esimeses lauses on sätestatud, et eelnevalt kindlaksmääratud kriteeriumide alusel toimuv eelhindamine viiakse läbi mittediskrimineerival viisil, ning neljandas lauses on täpsustatud, et need kriteeriumid ei tohi mitte mingil juhul põhineda inimese rassil või etnilisel päritolul, poliitilisel seisukohal, usutunnistusel või filosoofilisel veendumusel, ametiühingusse kuuluvusel, terviseseisundil, seksuaalelul või seksuaalsel sättumusel.

197

Seega ei saa liikmesriigid eelnevalt kindlaksmääratud kriteeriumidena kasutada käesoleva kohtuotsuse eelmises punktis nimetatud tunnustel põhinevaid kriteeriume, mille kasutamine võib põhjustada diskrimineerimist. Broneeringuinfo direktiivi artikli 6 lõike 4 neljanda lause sõnastusest, mille kohaselt ei tohi eelnevalt kindlaksmääratud kriteeriumid „mitte mingil juhul“ põhineda sellistel tunnustel, tuleneb, et selles sättes peetakse silmas nii otsest kui ka kaudset diskrimineerimist. Seda tõlgendust kinnitab ka harta artikli 21 lõige 1, millest lähtudes tuleb seda sätet tõlgendada ja mis keelab „igasuguse“ diskrimineerimise nende tunnuste alusel. Neil asjaoludel tuleb eelnevalt kindlaksmääratud kriteeriumid koostada nii, et nende kohaldamine ei saaks olenemata nende neutraalsest sõnastusest seada ebasoodsasse olukorda just neid isikuid, kellel on nimetatud kaitstud omadused.

198

Mis puudutab broneeringuinfo direktiivi artikli 6 lõike 4 teises lauses ette nähtud eelnevalt kindlaksmääratud kriteeriumide sihipärasuse, proportsionaalsuse ja konkreetsuse nõudeid, siis nendest tuleneb, et eelhindamisel kasutatavad kriteeriumid tuleb kindlaks määrata nii, et need oleks sihitatud just nendele isikutele, kelle puhul võib mõistlikult kahtlustada osalemist kõnealuses direktiivis osutatud terroriaktides või rasketes kuritegudes. Seda tõlgendust toetab ka direktiivi artikli 6 lõike 2 punkti a sõnastus, milles rõhutatakse „asjaolu“, et need andmesubjektid „võivad“ olla seotud mõne terroriakti või raske kuriteoga. Samamoodi on direktiivi põhjenduses 7 täpsustatud, et hindamiskriteeriumide loomisel ja kohaldamisel tuleks piirduda terroriaktide ja raskete kuritegudega, „mille puhul on selliste kriteeriumite kasutamine asjakohane“.

199

Selleks, et nõnda määratletud isikuid niiviisi kindlaks teha, ja võttes arvesse diskrimineerimise ohtu, mida kujutavad endast kriteeriumid, mis põhinevad broneeringuinfo direktiivi artikli 6 lõike 4 neljandas lauses nimetatud tunnustel, ei tohi broneeringuinfo üksus ja pädevad asutused põhimõtteliselt nendele tunnustele tugineda. Seevastu, nagu märkis kohtuistungil Saksamaa valitsus, võivad nad muu hulgas arvesse võtta isikute selliseid faktilise käitumise eripärasid lennureiside ettevalmistamisel ja kasutamisel, mis vastavalt pädevate asutuste järeldustele ja kogemustele võivad viidata sellele, et sel viisil käituvad isikud võivad olla seotud terroriaktide või raskete kuritegudega.

200

Selles kontekstis tuleb – nagu märkis komisjon vastuseks Euroopa Kohtu küsimusele – eelnevalt kindlaksmääratud kriteeriumid koostada selliselt, et need võtaksid arvesse nii „süüstavaid“ kui ka „õigustavaid“ asjaolusid, kuna see nõue võib toetada nende kriteeriumide usaldusväärsust, ja eelkõige tagada, et need oleksid proportsionaalsed, nagu nõuab broneeringuinfo direktiivi artikli 6 lõike 4 teine lause.

201

Viimaks, selle direktiivi artikli 6 lõike 4 kolmanda lause kohaselt tuleb eelnevalt kindlaksmääratud kriteeriumid korrapäraselt läbi vaadata. Selle läbivaatamise käigus tuleb neid kriteeriume ajakohastada, võttes arvesse muutusi tingimustes, mis õigustasid nende eelhindamise tarbeks väljavalimist, võimaldades nii muu hulgas reageerida käesoleva kohtuotsuse punktis 157 nimetatud terroriaktide ja raskete kuritegude vastase võitluse arengule (vt analoogia alusel 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 82). Eelkõige peab uuesti läbivaatamisel arvesse võtma eelnevalt kindlaksmääratud kriteeriumide kohaldamisel omandatud kogemust, et nii palju kui võimalik vähendada „valepositiivsete“ tulemuste arvu ja seeläbi aidata kaasa sellele, et nende kriteeriumide kohaldamine piirduks rangelt vajalikuga.

iii) Broneeringuinfo automaattöötluse tagatised

202

Broneeringuinfo direktiivi artikli 6 lõikes 4 sätestatud nõudeid, mida broneeringuinfo automatiseeritud töötlemisel tuleb silmas pidada, ei pea järgima mitte ainult selles sättes ette nähtud andmebaaside ja eelnevalt kindlaksmääratud kriteeriumide kindlaksmääramisel ja läbivaatamisel, vaid ka kogu selle info töötlemise protsessi vältel, nagu märkis kohtujurist oma ettepaneku punktis 230.

203

Konkreetselt seoses eelnevalt kindlaksmääratud kriteeriumidega tuleb kõigepealt täpsustada, et kuigi broneeringuinfo üksus peab vastavalt broneeringuinfo direktiivi põhjenduses 7 märgitule määratlema hindamiskriteeriumid viisil, mis tagab, et direktiiviga loodud süsteem tuvastaks ekslikult võimalikult vähe süütuid isikuid, peab sama üksus iga positiivse tulemuse nimetatud direktiivi artikli 6 lõigete 5 ja 6 kohaselt vajaduse korral siiski mitteautomatiseeritud vahenditega ükshaaval läbi vaatama, et võimalikult paljud „valepositiivsed“ tulemused üles leida. Lisaks, vaatamata asjaolule, et broneeringuinfo üksus peab hindamiskriteeriumid koostama mittediskrimineerivalt, peab ta sellise läbivaatamise läbi viima, et välistada võimalikud diskrimineerivad tulemused. Sama uuesti läbivaatamise kohustust peab broneeringuinfo üksus järgima ka siis, kui broneeringuinfot võrreldakse andmetega andmebaasides.

204

Seega peab broneeringuinfo üksus hoiduma selliste automaattöötluse tulemuste edastamisest broneeringuinfo direktiivi artiklis 7 nimetatud pädevatele asutustele, kui tal ei ole käesoleva kohtuotsuse punktis 198 esitatud kaalutlusi arvesse võttes selle läbivaatamise tulemusena tõendeid, mis annaksid õiguslikult piisava aluse mõistlikuks kahtluseks, et sellise automaattöötluse abil tuvastatud isikud on seotud terroriaktide või raskete kuritegudega, või kui tal on andmeid, mis osutavad sellele, et taoline töötlemine viib diskrimineerivate tulemusteni.

205

Mis puudutab kontrolli, mida broneeringuinfo üksus peab selleks läbi viima, siis tuleneb broneeringuinfo direktiivi artikli 6 lõigetest 5 ja 6 koostoimes selle põhjendustega 20 ja 22, et liikmesriigid peavad sätestama selged ja täpsed normid tulemuste ükshaaval läbivaatamise eest vastutavate ametnike analüüsi juhtimiseks ja raamistamiseks, et tagada harta artiklites 7, 8 ja 21 sätestatud põhiõiguste täielik austamine ning eelkõige broneeringuinfo üksuse järjepidev, diskrimineerimiskeelu põhimõtet austav halduspraktika.

206

Täpsemalt, arvestades käesoleva kohtuotsuse punktis 106 osutatud üsna märkimisväärset arvu „valepositiivseid“ tulemusi, peavad liikmesriigid tagama, et broneeringuinfo üksus koostaks selgel ja täpsel viisil objektiivsed läbivaatamiskriteeriumid, mis võimaldavad tema ametnikel kontrollida ühest küljest, kas ja mil määral puudutab positiivne tulemus (hit) tegelikult isikut, kes võib olla seotud käesoleva kohtuotsuse punktis 157 osutatud terroriaktide või raskete kuritegudega ja keda kõnealuse direktiivi artiklis 7 osutatud pädevad asutused peavad seetõttu täiendavalt uurima, ning teisest küljest, et nimetatud direktiivis sätestatud automaattöötlus ning eelkõige eelnevalt kindlaksmääratud kriteeriumid ja kasutatavad andmebaasid ei oleks diskrimineerivad.

207

Selles kontekstis peavad liikmesriigid tagama, et broneeringuinfo üksus dokumenteeriks vastavalt broneeringuinfo direktiivi artikli 13 lõikele 5 koostoimes selle direktiivi põhjendusega 37 kõik broneeringuinfo töötlemistoimingud, mis on tehtud eelhindamise käigus, sealhulgas automatiseerimata vahenditega ükshaaval läbivaatamise käigus tehtud toimingud, et veenduda eelhindamise seaduslikkuses ja teha enesekontrolli.

208

Järgmiseks ei tohi pädevad asutused broneeringuinfo direktiivi artikli 7 lõike 6 esimese lause kohaselt teha üksnes automaatselt töödeldud broneeringuinfo põhjal ühtki otsust, mis avaldab isikule negatiivset õiguslikku mõju või mõjutab teda oluliselt, mis tähendab, et nad peavad eelhindamise raames võtma arvesse ja vajaduse korral eelistama broneeringuinfo üksuse poolt automatiseerimata vahenditega ükshaaval läbivaatamise tulemust automaattöötluse tulemusele. Viidatud artikli 7 lõike 6 teine lause täpsustab, et sellised otsused ei tohi olla diskrimineerivad.

209

Sellega seoses peavad pädevad asutused veenduma, et nii automaattöötlus – eelkõige selle mittediskrimineerivuse seisukohalt – kui ka ükshaaval läbivaatamine on seaduslikud.

210

Eelkõige peavad pädevad asutused veenduma, et puudutatud isikul on võimalik mõista eelnevalt kindlaksmääratud hindamiskriteeriumide ja neid kriteeriume kohaldavate programmide toimimist – võimaldamata tal haldusmenetluses tingimata nende kriteeriumide ja programmidega tutvuda –, et ta saaks kõiki asjaolusid teades otsustada, kas kasutada oma õigust kohtulikule kaitsele, mis on tagatud broneeringuinfo direktiivi artikli 13 lõikega 1, et vaidlustada vajaduse korral need kriteeriumid nende õigusvastasuse ja eelkõige diskrimineerivuse tõttu (vt analoogia alusel 24. novembri 2020. aasta kohtuotsus Minister van Buitenlandse Zaken, C‑225/19 ja C‑226/19, EU:C:2020:951, punkt 43 ja seal viidatud kohtupraktika). Sama peab kehtima ka käesoleva kohtuotsuse punktis 206 viidatud läbivaatamise kriteeriumide kohta.

211

Lõpuks, broneeringuinfo direktiivi artikli 13 lõike 1 alusel esitatud kaebuse puhul peab pädeva asutuse tehtud otsuse seaduslikkuse kontrolli teostaval kohtul ning – välja arvatud ohu korral riigi julgeolekule – ka puudutatud isikul endal olema võimalik tutvuda kõikide põhjenduste ja tõenditega, mille alusel see otsus tehti (vt analoogia alusel 4. juuni 2013. aasta kohtuotsus ZZ, C‑300/11, EU:C:2013:363, punktid 5459), sealhulgas eelnevalt kindlaksmääratud hindamiskriteeriumide ja neid kriteeriume kohaldavate programmide toimimisega.

212

Lisaks sellele on broneeringuinfo direktiivi artikli 6 lõike 7 ja artikli 15 lõike 3 punkti b kohaselt andmekaitseametnikul ja liikmesriigi järelevalveasutusel kohustus tagada broneeringuinfo üksuse poolt eelhindamise käigus teostatud automaattöötluse seaduslikkuse kontroll, mis hõlmab selle kontrollimist, et selline töötlemine ei ole diskrimineeriv. Kuigi esimesena nimetatud sättes on täpsustatud, et andmekaitseametnikul on juurdepääs kõikidele broneeringuinfo üksuse töödeldud andmetele, peab see juurdepääs tingimata hõlmama eelnevalt kindlaksmääratud kriteeriume ja selle üksuse kasutatavaid andmebaase, et tagada andmekaitse tõhusus ja kõrge tase, mille eest andmekaitseametnik vastavalt selle direktiivi põhjendusele 37 vastutab. Samuti võivad liikmesriigi järelevalveasutuse poolt nendest sätetest teise alusel läbiviidavad uurimised, kontrollid ja auditid puudutada ka neid eelnevalt kindlaksmääratud kriteeriume ja andmebaase.

213

Kõigist eeltoodud kaalutlustest tuleneb, et broneeringuinfo direktiivi sätteid, mis reguleerivad broneeringuinfo eelhindamist vastavalt kõnealuse direktiivi artikli 6 lõike 2 punktile a, on võimalik tõlgendada kooskõlas harta artiklitega 7, 8 ja 21, jäädes seejuures rangelt vajaliku piiridesse.

6) Broneeringuinfo tagantjärele edastamine ja hindamine

214

Vastavalt broneeringuinfo direktiivi artikli 6 lõike 2 punktile b võib broneeringuinfot pädevate asutuste taotlusel neile edastada ja hinnata ka tagantjärele pärast reisija graafikujärgset saabumist liikmesriiki või sealt väljumist.

215

Seoses tingimustega, mille korral tohib selline edastamine või hindamine toimuda, ilmneb selle sätte sõnastusest, et broneeringuinfo üksus võib broneeringuinfot töödelda, et reageerida „igal üksikjuhul eraldi“ pädeva asutuse „piisavale teabele tuginevale asjakohaselt põhjendatud taotlusele“ esitada neile broneeringuinfo ja seda töödelda „konkreetsetel juhtudel terroriakti või raske kuriteo ennetamiseks, avastamiseks, uurimiseks ja selle eest vastutusele võtmiseks“. Lisaks, juhuks kui taotlus on esitatud rohkem kui kuus kuud pärast broneeringuinfo edastamist broneeringuinfo üksusele ehk pärast ajavahemikku, mille möödumisel muudetakse broneeringuinfo vastavalt broneeringuinfo direktiivi artikli 12 lõikele 2 teatud andmeväljade varjamise teel anonüümseks, on selle direktiivi artikli 12 lõikes 3 sätestatud, et täieliku ja seega anonüümseks muutmata broneeringuinfo avaldamine on lubatud üksnes juhul, kui samal ajal on täidetud kaks tingimust: esiteks peab olema alust arvata, et see on vajalik direktiivi artikli 6 lõike 2 punktis b osutatud eesmärkidel, ja teiseks peab selleks olema loa andnud õigusasutus või liikmesriigi õiguse alusel pädev muu riigiasutus.

216

Sellega seoses ilmneb kõigepealt juba broneeringuinfo direktiivi artikli 6 lõike 2 punkti b sõnastusest, et broneeringuinfo üksus ei saa süstemaatiliselt tagantjärele edastada ja hinnata kõikide lennureisijate broneeringuinfot, vaid ta saab üksnes reageerida „igal üksikjuhul eraldi“ sellise töötlemise taotlustele „konkreetsetel juhtudel“. Samas, kuna selles sättes on viidatud „konkreetsetele juhtudele“, ei pea see töötlemine tingimata piirduma üheainsa lennureisija broneeringuinfoga, vaid see võib – nagu märkis komisjon vastuseks Euroopa Kohtu küsimusele – hõlmata ka paljusid isikuid, tingimusel et neil isikutel on teatavad tunnused, mis võimaldavad neid taotletud edastamise ja hindamise eesmärgil koos käsitada „konkreetse juhuna“.

217

Mis järgmiseks puudutab sisulisi tingimusi, mis on nõutavad selleks, et lennureisijate broneeringuinfot saaks tagantjärele edastada ja hinnata, siis tuleb märkida, et kuigi broneeringuinfo direktiivi artikli 6 lõike 2 punktis b ja artikli 12 lõike 3 punktis a on nimetatud vastavalt „piisavat teavet“ ja „alust arvata“, täpsustamata sõnaselgelt, mis laadi teabega on tegu, tuleneb juba esimesena nimetatud sätte sõnastusest, mis viitab kõnealuse direktiivi artikli 1 lõikes 2 osutatud eesmärkidele, et broneeringuinfo edastamine ja sellele järgnev hindamine võib toimuda üksnes selleks, et kontrollida selliste tõendite olemasolu, mis viitavad asjaomaste isikute võimalikule seotusele terroriaktide või raskete kuritegudega, millel vähemalt kaudselt on objektiivne seos reisijate lennutranspordiga, nagu nähtub käesoleva kohtu otsuse punktist 157.

218

Samas puudutab broneeringuinfo direktiiviga loodud süsteemis broneeringuinfo edastamine ja töötlemine kõnealuse direktiivi artikli 6 lõike 2 punkti b alusel nende isikute andmeid, keda on juba hinnatud enne nende graafikujärgset saabumist liikmesriiki või sealt väljumist. Lisaks võib tagantjärele esitatud hindamistaotlus muu hulgas hõlmata isikuid, kelle broneeringuinfot ei edastatud pädevatele ametiasutustele eelneva hindamise tulemusel, kuna hindamise käigus ei ilmnenud asjaolusid, mis näitaksid, et need isikud võivad olla seotud terroriaktide või raskete kuritegudega, mis on vähemalt kaudselt seotud reisijate lennutranspordiga. Sellises olukorras peab info edastamine ja töötlemine selle tagantjärele hindamiseks põhinema uutel asjaoludel, mis õigustavad selle info niisugust kasutamist (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 200 ja seal viidatud kohtupraktika).

219

Mis puudutab seda, millised asjaolud võivad õigustada broneeringuinfo edastamist ja töötlemist selle tagantjärele hindamiseks, siis tuleneb väljakujunenud kohtupraktikast, et kuna üldist juurdepääsu säilitatavatele andmetele, sõltumata sellest, kas neil on vähemalt kaudne seos taotletava eesmärgiga, ei saa pidada piirduvaks rangelt vajalikuga, peavad asjaomased õigusaktid, olgu tegemist liidu õigusaktiga või selle ülevõtmiseks mõeldud liikmesriigi normidega, põhinema objektiivsetel kriteeriumidel, mille alusel määratakse kindlaks asjaolud ja tingimused, mille põhjal tuleb pädevatele asutustele võimaldada juurdepääs kõnealustele andmetele. Selle kohta tuleb märkida, et põhimõtteliselt tohib kuritegevuse vastu võitlemise eesmärgil anda juurdepääsu ainult nende isikute andmetele, keda kahtlustatakse raske kuriteo kavandamises, toimepanemises või eelnevas toimepanemises või niisuguse kuriteoga ühel või teisel viisil seotud olemises. Teatavatel erijuhtudel, näiteks olukordades, kus terroristlik tegevus ohustab selliseid elutähtsaid huve nagu riigi julgeolek, riigikaitse või avalik julgeolek, võib anda juurdepääsu ka teiste isikute andmetele, juhul kui esineb objektiivseid asjaolusid, mis lubavad järeldada, et need andmed võimaldavad konkreetsel juhul tulemuslikult kaasa aidata niisuguse tegevuse vastu võitlemisele (2. märtsi 2021. aasta kohtuotsus Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks), C‑746/18, EU:C:2021:152, punkt 50 ja seal viidatud kohtupraktika, ning 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 105).

220

Seega tuleb broneeringuinfo direktiivi artikli 6 lõike 2 punktis b ja artikli 12 lõike 3 punktis a kasutatud mõisteid „piisav teave“ ja „alus arvata“ harta artiklitest 7 ja 8 lähtudes tõlgendada nii, et need viitavad objektiivsetele asjaoludele, mis annavad alust mõistlikuks kahtluseks, et asjaomane isik on ühel või teisel viisil seotud raskete kuritegudega, millel vähemalt kaudselt on objektiivne seos reisijate lennutranspordiga, samas kui terroriaktide puhul, millel on selline seos, on see nõue täidetud, kui esinevad objektiivsed asjaolud, mis võimaldavad arvata, et broneeringuinfo võib konkreetsel juhul tõhusalt kaasa aidata selliste kuritegude vastu võitlemisele.

221

Lõpuks, mis puudutab menetlusnõudeid broneeringuinfo edastamiseks ja töötlemiseks tagantjärele hindamise eesmärgil, siis on broneeringuinfo direktiivi artikli 12 lõike 3 punktis b sätestatud, et kui taotlus esitatakse rohkem kui kuus kuud pärast andmete edastamist broneeringuinfo üksusele, st pärast seda, kui andmed on vastavalt kõnealuse artikli lõikele 2 andmeväljade varjamise teel anonüümseks muudetud, on täieliku broneeringuinfo avaldamiseks ja seega selle anonüümseks muutmata versiooni edastamiseks nõutav õigusasutuse või liikmesriigi õiguse alusel pädeva muu riigiasutuse luba. Selles kontekstis on nende ametiasutuste ülesanne taotluse põhjendatust täies ulatuses kontrollida ja eelkõige kindlaks teha, kas taotluse põhjendamiseks esitatud asjaolud on sellised, mis kinnitavad, et käesoleva kohtuotsuse eelmises punktis nimetatud oluline tingimus ehk „piisava teabe“ olemasolu on täidetud.

222

On tõsi, et juhuks kui broneeringuinfo tagantjärele edastamise ja hindamise taotlus esitatakse enne nende andmete edastamisele järgneva kuuekuulise tähtaja möödumist, ei ole broneeringuinfo direktiivi artikli 6 lõike 2 punktis b sellist menetlusnõuet sõnaselgelt ette nähtud. Viimati nimetatud sätte tõlgendamisel tuleb aga arvesse võtta selle direktiivi põhjendust 25, millest nähtub, et nimetatud menetlusnõuet ette nähes soovis liidu seadusandja „tagada andmekaitse kõrgeima taseme“, kui tegemist on juurdepääsuga broneeringuinfole sellisel kujul, mis võimaldab andmesubjekti otseselt tuvastada. Iga tagantjärele edastamise ja hindamise taotlus eeldab aga niisugust juurdepääsu sellele infole, olenemata sellest, kas taotlus esitatakse enne või pärast broneeringuinfo üksusele edastamisele järgneva kuuekuulise tähtaja möödumist.

223

Selleks, et tagada praktikas põhiõiguste täielik austamine broneeringuinfo direktiiviga kehtestatud süsteemis ja eelkõige käesoleva kohtuotsuse punktides 218 ja 219 sätestatud tingimuste täitmine, on esmatähtis, et broneeringuinfo edastamisele tagantjärele hindamise eesmärgil eelneks üldjuhul – välja arvatud nõuetekohaselt põhjendatud kiireloomulistel juhtudel – kohtu või sõltumatu haldusasutuse kontroll ja et see kohus või haldusasutus teeks oma otsuse pädevate asutuste põhjendatud taotluse alusel, mis on esitatud eelkõige kuriteo ärahoidmise, avastamise või selle eest vastutusele võtmise menetluses. Nõuetekohaselt põhjendatud kiireloomulistel juhtudel peab see kontroll toimuma lühikese aja jooksul (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 202 ja seal viidatud kohtupraktika, ning 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 110).

224

Sellistel asjaoludel tuleb broneeringuinfo direktiivi artikli 12 lõike 3 punktis b sätestatud eelkontrolli nõuet, mis on ette nähtud broneeringuinfo avaldamise taotluste suhtes, mis esitatakse pärast kuue kuu möödumist nende andmete edastamisest broneeringuinfo üksusele, kohaldada mutatis mutandis ka juhul, kui edastamistaotlus esitatakse enne nimetatud tähtaja möödumist.

225

Lisaks, kuigi broneeringuinfo direktiivi artikli 12 lõike 3 punktis b ei ole sõnaselgelt täpsustatud nõudeid, millele eelkontrolli eest vastutav asutus peab vastama, tuleneb väljakujunenud kohtupraktikast, et selleks, et tagada, et isikuandmetele juurdepääsust tulenev harta artiklitega 7 ja 8 tagatud põhiõiguste riive piirduks rangelt vajalikuga, peavad kõnealusel asutusel olema kõik volitused ja tagatised, mida on tarvis erinevate asjaomaste huvide ja õiguste ühitamise tagamiseks. Mis puudutab konkreetsemalt kriminaaluurimist, siis eeldab selline kontroll, et see asutus suudaks tagada õiglase tasakaalu ühelt poolt huvide, mis on seotud kuritegevusevastase võitluse raames toimuva uurimise vajadustega, ning teiselt poolt nende isikute põhiõiguste vahel eraelu puutumatusele ja isikuandmete kaitsele, kelle andmetele juurdepääsu taotletakse (5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 107 ja seal viidatud kohtupraktika).

226

Selleks peab niisugusel asutusel olema staatus, mis võimaldab tal tegutseda oma ülesannete täitmisel objektiivselt ja erapooletult, ning seega peab ta olema kaitstud igasuguse välise mõju eest. See sõltumatuse nõue näeb ette, et kõnealune asutus oleks andmetega tutvumist taotleva isiku suhtes kolmas isik, mistõttu peab ta saama oma kontrolli läbi viia ilma igasuguste väliste mõjutajateta. Konkreetsemalt kriminaalõiguse valdkonnas tähendab sõltumatuse nõue, et nimetatud asutus ei oleks esiteks seotud kõnealuse kriminaaluurimise läbiviimisega ja oleks teiseks kriminaalmenetluse poolte suhtes neutraalsel positsioonil (vt selle kohta 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 108 ja seal viidatud kohtupraktika).

227

Seega on broneeringuinfo direktiivi sätteid, mis reguleerivad broneeringuinfo tagantjärele edastamist ja hindamist vastavalt kõnealuse direktiivi artikli 6 lõike 2 punktile b, võimalik tõlgendada kooskõlas harta artiklitega 7 ja 8 ning artikli 52 lõikega 1, jäädes seejuures rangelt vajaliku piiridesse.

228

Kõiki eeltoodud kaalutlusi arvestades tuleb tõdeda, et kuna broneeringuinfo direktiivi tõlgendamine harta artiklitest 7, 8 ja 21 ning artikli 52 lõikest 1 lähtudes tagab selle direktiivi kooskõla harta nende artiklitega, ei ilmnenud teise kuni neljanda ja kuuenda küsimuse analüüsimisel ühtegi asjaolu, mis võiks mõjutada selle direktiivi kehtivust.

C. Viies küsimus

229

Viienda küsimusega soovib eelotsusetaotluse esitanud kohus teada, kas broneeringuinfo direktiivi artiklit 6 tuleb harta artiklitest 7 ja 8 ning artikli 52 lõikest 1 lähtudes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis lubavad selle direktiivi kohaselt kogutud broneeringuinfot töödelda tegevuste jälgimiseks luure- ja julgeolekuteenistuste poolt.

230

Eelotsusetaotlusest nähtub, et selle küsimusega peab eelotsusetaotluse esitanud kohus konkreetsemalt silmas Sûreté de l’État’ (riikliku julgeolekuamet, Belgia) ning Service général du renseignement et de la sécurité (üldise luure- ja julgeolekuteenistuse, Belgia) jälgimise all olevaid tegevusi riigi julgeoleku kaitsmisega seotud ülesannete raames.

231

Selleks, et järgida eelkõige harta artikli 52 lõikes 1 osutatud seaduslikkuse ja proportsionaalsuse põhimõtet, on liidu seadusandja kehtestanud selged ja täpsed normid, mis reguleerivad broneeringuinfo direktiivis sätestatud meetmete eesmärki, millega kaasneb harta artiklitega 7 ja 8 tagatud põhiõiguste riive.

232

Broneeringuinfo direktiivi artikli 1 lõikes 2 on nimelt sõnaselgelt kirjas, et selle direktiivi kohaselt kogutud broneeringuinfot võib töödelda „üksnes terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise eesmärgil, nagu on sätestatud [selle direktiivi] artikli 6 lõike 2 punktides a, b ja c“. Viimati nimetatud säte kinnitab kõnealuse artikli 1 lõikes 2 sätestatud põhimõtet, viidates süstemaatiliselt mõistetele „terroriakt“ ja „rasked kuriteod“.

233

Nende sätete sõnastusest nähtub seega selgelt, et neis esitatud eesmärkide – milleks broneeringuinfot broneeringuinfo direktiivi alusel töödeldakse – loetelu on ammendav.

234

Seda tõlgendust kinnitab muu hulgas broneeringuinfo direktiivi põhjendus 11, mille kohaselt peab broneeringuinfo töötlemine olema proportsionaalne selle direktiiviga taotletavate „konkreetsete julgeolekueesmärkidega“, ja artikli 7 lõige 4, mille kohaselt võib broneeringuinfo üksuselt saadud broneeringuinfot ja selle töötlemise tulemusi täiendavalt töödelda „üksnes terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise konkreetsel eesmärgil“.

235

Lisaks tähendab asjaolu, et broneeringuinfo direktiivi artikli 1 lõikes 2 nimetatud eesmärgid on loetletud ammendavalt, ka seda, et broneeringuinfot ei tohi säilitada ühtses andmebaasis, millega saab tutvuda nii nendel kui ka muudel eesmärkidel. Nende andmete säilitamine sellises andmebaasis tooks nimelt kaasa ohu, et neid andmeid võidakse kasutada muudel kui viidatud artikli 1 lõikes 2 nimetatud eesmärkidel.

236

Käesoleval juhul tuleb märkida, et kuna eelotsusetaotluse esitanud kohtu sõnul on põhikohtuasjas kõne all olevates riigisisestes õigusnormides broneeringuinfo töötlemise eesmärgina lubatav luure- ja julgeolekuteenistuste tähelepanu all olevate tegevuste jälgimine, mis tähendab, et see eesmärk arvatakse terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise hulka, siis võib-olla eiravad need õigusnormid asjaolu, et broneeringuinfo direktiivi alusel toimuva broneeringuinfo töötlemise eesmärgid on loetletud ammendavalt – seda peab kontrollima eelotsusetaotluse esitanud kohus.

237

Järelikult tuleb viiendale küsimusele vastata, et broneeringuinfo direktiivi artiklit 6 tuleb harta artiklitest 7 ja 8 ning artikli 52 lõikest 1 lähtudes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis lubavad selle direktiivi kohaselt kogutud broneeringuinfot töödelda muudel kui kõnealuse direktiivi artikli 1 lõikes 2 sõnaselgelt nimetatud eesmärkidel.

D. Seitsmes küsimus

238

Seitsmenda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas broneeringuinfo direktiivi artikli 12 lõike 3 punkti b tuleb tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mille kohaselt on broneeringuinfo üksusena tegutsev asutus ühtlasi pädev riigiasutus, kes on volitatud lubama broneeringuinfo avaldamist pärast kuue kuu möödumist selle info broneeringuinfo üksusele edastamisest.

239

Kõigepealt tuleb märkida, et Belgia valitsus kahtleb, kas Euroopa Kohus on pädev vastama sellele küsimusele, nii nagu eelotsusetaotluse esitanud kohus on selle sõnastanud, kuna ainult viimati nimetatud kohus on pädev tõlgendama riigisiseseid õigusnorme ja eelkõige hindama 25. detsembri 2016. aasta seadusest tulenevaid nõudeid broneeringuinfo direktiivi artikli 12 lõike 3 punkti b arvestades.

240

Sellega seoses piisab, kui märkida, et selle küsimusega palub eelotsusetaotluse esitanud kohus tõlgendada liidu õigusnormi. Olgu lisatud, et kuigi ELTL artikli 267 alusel algatatud menetluses ei ole riigisiseste õigusnormide tõlgendamine mitte Euroopa Kohtu, vaid liikmesriikide kohtute ülesanne, ning kuigi Euroopa Kohus ei ole pädev otsustama, kas riigisisesed õigusnormid on liidu õigusnormidega kooskõlas, on Euroopa Kohus pädev andma liikmesriigi kohtule kõik liidu õiguse tõlgendamiseks vajalikud juhtnöörid, mis võimaldavad liikmesriigi kohtul hinnata selliste õigusnormide kooskõla liidu õigusega (30. aprilli 2020. aasta kohtuotsus CTT – Correios de Portugal, C‑661/18, EU:C:2020:335, punkt 28 ja seal viidatud kohtupraktika). Järelikult on Euroopa Kohus pädev seitsmendale küsimusele vastama.

241

Sisulisest küljest tuleb märkida, et broneeringuinfo direktiivi artikli 12 lõike 3 punkti b sõnastus, mis nimetab punktides i ja ii vastavalt „õigusasutust“ ja „muud riigiasutust, kes on liikmesriigi õiguse alusel pädev kontrollima, kas avaldamise tingimused on täidetud“, asetab need kaks asutust samale tasandile, nagu nähtub sidesõna „või“ kasutamisest punktide i ja ii vahel. Sellest sõnastusest nähtub seega, et „muu“ pädev riigiasutus kujutab endast alternatiivi õigusasutusele ja peab seega olema viimasega võrreldaval tasemel sõltumatu ja erapooletu.

242

Seda analüüsi toetab broneeringuinfo direktiivi põhjenduses 25 nimetatud eesmärk tagada andmekaitse kõrgeim tase osas, mis puudutab juurdepääsu täielikule broneeringuinfole, mis võimaldab andmesubjekti otseselt tuvastada. Samas põhjenduses on lisaks täpsustatud, et pärast kuue kuu möödumist nende andmete broneeringuinfo üksusele edastamisest võib sellise juurdepääsu anda üksnes väga rangetel tingimustel.

243

Seda analüüsi kinnitab ka broneeringuinfo direktiivi kujunemislugu. Nimelt, kui käesoleva kohtuotsuse punktis 155 mainitud direktiivi ettepanekus, mis oli broneeringuinfo direktiivi vastuvõtmise aluseks, oli pelgalt ette nähtud, et „[t]äieliku broneeringuinfoga on võimalik tutvuda üksnes broneeringuinfo üksuse juhataja loal“, siis selle direktiivi artikli 12 lõike 3 punkti b versioonis, mille juurde liidu seadusandja lõpuks jäi, on samale tasandile asetatutena nimetatud õigusasutust ja „muud riigiasutust“, kes on liikmesriigi õiguse alusel pädev kontrollima täieliku broneeringuinfo avaldamise tingimuste täidetust ja selle avaldamise heaks kiitma.

244

Peale selle ja ennekõike on nähtuvalt käesoleva kohtuotsuse punktides 223, 225 ja 226 viidatud kohtupraktikast esmatähtis, et riigi pädevate asutuste juurdepääs säilitatavatele andmetele oleks allutatud kohtu või sõltumatu haldusasutuse läbiviidavale eelkontrollile ja et see kohus või haldusasutus teeks oma otsuse juurdepääsu taotleva asutuse põhjendatud taotluse alusel, mis on ennekõike esitatud kuriteo ennetamise, avastamise või selle eest vastutusele võtmise raames. Seega eeldab sõltumatuse nõue, millele eelkontrolli tegev üksus peab vastama, ühtlasi, et see üksus oleks andmetele juurdepääsu taotleva asutuse suhtes kolmas isik, nii et esimene saaks teha kontrolli objektiivselt ja erapooletult, olles kaitstud igasuguse välise mõju eest. Täpsemalt eeldab sõltumatuse nõue karistusõiguse valdkonnas, et eelnevat kontrolli tegev asutus ei oleks esiteks seotud kõnealuse kriminaaluurimise läbiviimisega ja oleks teiseks kriminaalmenetluse poolte suhtes neutraalsel positsioonil.

245

Nagu aga märkis kohtujurist oma ettepaneku punktis 271, on broneeringuinfo direktiivi artikli 4 lõigetes 1 ja 3 ette nähtud, et igas liikmesriigis asutatud või nimetatud broneeringuinfo üksus on asutus, kellel on pädevus ennetada, avastada ja uurida terroriakte ja raskeid kuritegusid ja nende eest vastutusele võtta, ning et selle töötajad võivad olla nimetatud direktiivi artiklis 7 osutatud pädevate asutuste lähetatud ametnikud, nii et broneeringuinfo üksus näib olevat tingimata seotud nende asutustega. Broneeringuinfo üksus võib selle direktiivi artikli 6 lõike 2 punkti b alusel samuti töödelda broneeringuinfot, edastades töötlemise tulemuse nimetatud asutustele. Neid asjaolusid arvestades ei saa broneeringuinfo üksust pidada nende asutuste suhtes kolmandaks isikuks ja seega ei vasta ta ka sellistele sõltumatuse ja erapooletuse nõuetele, mida on vaja käesoleva kohtuotsuse eelmises punktis osutatud eelkontrolli tegemiseks ja kontrollimiseks, kas täieliku broneeringuinfo edastamise tingimused on täidetud, nagu on ette nähtud kõnealuse direktiivi artikli 12 lõike 3 punktis b.

246

Seda hinnangut ei sea kahtluse alla asjaolu, et viimati nimetatud sätte punkti ii kohaselt on juhul, kui täieliku broneeringuinfo edastamiseks annab loa „muu pädev riigiasutus“, nõutav, et broneeringuinfo üksuse andmekaitseametnikku „on sellest teavitatud ja kõnealune andmekaitseametnik teostab tagantjärele läbivaatamise“, samas kui sellist nõuet ei ole juhul, kui loa annab õigusasutus. Väljakujunenud kohtupraktika kohaselt ei täida selline hilisem kontroll, nagu seda teeb andmekaitseametnik, eelkontrolli eesmärki, milleks on vältida seda, et andmetele antakse juurdepääs, mis väljub rangelt vajaliku piiridest (vt selle kohta 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 110 ja seal viidatud kohtupraktika).

247

Kõiki neid kaalutlusi arvestades tuleb seitsmendale küsimusele vastata, et broneeringuinfo direktiivi artikli 12 lõike 3 punkti b tuleb tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mille kohaselt on broneeringuinfo üksusena tegutsev asutus ühtlasi pädev riigiasutus, kes on volitatud lubama broneeringuinfo avaldamist pärast kuue kuu möödumist selle info broneeringuinfo üksusele edastamisest.

E. Kaheksas küsimus

248

Kaheksanda küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas broneeringuinfo direktiivi artiklit 12 tuleb koostoimes harta artiklitega 7 ja 8 ning artikli 52 lõikega 1 tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis näevad ette broneeringuinfo üldise viieaastase säilitamisaja, tegemata vahet selle alusel, kas asjaomaste reisijate puhul esineb oht, et nad on seotud terroriakti või raske kuriteoga, või mitte.

249

Tuleb meenutada, et vastavalt kõnealuse direktiivi artikli 12 lõigetele 1 ja 4 säilitab selle liikmesriigi broneeringuinfo üksus, kelle territooriumile lend saabub või kelle territooriumilt lend väljub, lennuettevõtjate edastatud broneeringuinfot andmebaasis viis aastat pärast info talle edastamist ning kustutab selle info viieaastase tähtaja möödumisel jäädavalt.

250

Nagu on märgitud broneeringuinfo direktiivi põhjenduses 25, peaks „[t]ähtaeg, mille vältel broneeringuinfot säilitatakse, […] olema terroriaktide ja raskete kuritegude ennetamise, avastamise, uurimise ja nende eest vastutusele võtmise eesmärkide saavutamiseks nii pikk kui vajalik“.

251

Järelikult ei saa broneeringuinfo säilitamine broneeringuinfo direktiivi artikli 12 lõike 1 alusel olla õigustatud, kui puudub objektiivne seos säilitamise ja selle direktiiviga taotletavate eesmärkide vahel, milleks on võitlus terroriaktide ja raskete kuritegude vastu, millel vähemalt kaudselt on objektiivne seos reisijate lennutranspordiga.

252

Nagu ilmneb samast broneeringuinfo direktiivi põhjendusest 25, tuleb sellega seoses teha vahet direktiivi artikli 12 lõikes 2 nimetatud esialgse kuuekuulise säilitamistähtaja ja direktiivi artikli 12 lõikes 3 nimetatud hilisema ajavahemiku vahel.

253

Broneeringuinfo direktiivi artikli 12 lõike 1 tõlgendamisel tuleb arvesse võtta selle artikli lõigete 2 ja 3 sätteid, mis kehtestavad pärast esialgse kuuekuulise säilitamisaja möödumist säilitatava broneeringuinfo säilitamise ja juurdepääsu korra. Nagu ilmneb selle direktiivi põhjendusest 25, väljendavad need sätted ühelt poolt eesmärki tagada, et broneeringuinfot säilitatakse „piisavalt kaua, et seda uurimisel analüüsida ja kasutada“, kusjuures neid toiminguid võidakse teha juba esialgse kuue kuu pikkuse säilitamistähtaja jooksul. Teiselt poolt püüavad need sama põhjenduse 25 kohaselt andmeväljade varjamise teel „[ära hoida] broneeringuinfo ebaproportsionaalse kasutamise“ ja „tagada andmekaitse kõrgeim[a] tase[me]“, lubades juurdepääsu andmesubjekti otseselt tuvastada võimaldavale täielikule broneeringuinfole „pärast kõnealuse algse säilitamistähtaja möödumist […] ainult väga rangetel ja piiratud tingimustel“, võttes arvesse asjaolu, et mida kauem broneeringuinfot säilitatakse, seda raskem on sellest tulenev riive.

254

Erinevus broneeringuinfo direktiivi artikli 12 lõikes 2 osutatud esialgse kuuekuulise säilitamisaja ja sama direktiivi artikli 12 lõikes 3 osutatud hilisema ajavahemiku vahel kehtib ka vajaduse kohta järgida käesoleva kohtuotsuse punktis 251 osutatud nõuet.

255

Seega, võttes arvesse broneeringuinfo direktiivi eesmärke ning terroriaktide ja raskete kuritegude uurimise ja nende eest vastutusele võtmisega seotud vajadusi, tuleb asuda seisukohale, et kõigi selle direktiiviga loodud süsteemiga hõlmatud lennureisijate broneeringuinfo säilitamine esialgse kuuekuulise ajavahemiku jooksul ei tundu ka juhul, kui puuduvad vähimadki andmed nende seotuse kohta terroriaktide või raskete kuritegudega, põhimõtteliselt väljuvat rangelt vajaliku piiridest, kuna see võimaldab teha vajalikke otsinguid selliste isikute tuvastamiseks, keda ei ole kahtlustatud seotuses terroriaktide või raskete kuritegudega.

256

Mis puudutab aga broneeringuinfo direktiivi artikli 12 lõikes 3 nimetatud hilisemat ajavahemikku, siis kõigi selle direktiiviga loodud süsteemiga hõlmatud lennureisijate broneeringuinfo säilitamine läheb lisaks sellele, et pidevalt säilitatavate andmete suure hulga tõttu kaasneb sellega paratamatult ebaproportsionaalse kasutamise ja kuritarvitamise oht (vt analoogia alusel 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punkt 119), ka vastuollu selle direktiivi põhjenduses 25 toodud nõudega, mille kohaselt tuleb neid andmeid säilitada üksnes sellise aja jooksul, mis on taotletavate eesmärkide saavutamiseks vajalik ja nendega proportsionaalne, kuna liidu seadusandja soovis tagada andmesubjekte otseselt tuvastada võimaldava broneeringuinfo kaitse kõrgeima taseme.

257

Nende lennureisijate puhul, kelle kohta ei ole ei broneeringuinfo direktiivi artikli 6 lõike 2 punktis a osutatud eelhindamine ega kõnealuse direktiivi artikli 12 lõikes 2 osutatud kuuekuulise ajavahemiku jooksul läbiviidud kontrollid ega muud asjaolud näidanud, et esineb objektiivseid asjaolusid, mis võimaldavad tuvastada terroriaktide või raskete kuritegude ohu, mis vähemalt kaudselt on objektiivselt seotud nende reisijate tehtud lennureisidega, ei näi nimelt, et nende reisijate broneeringuinfo ja kõnealuse direktiiviga taotletava eesmärgi vahel oleks sellistel asjaoludel isegi kaudne seos, mis õigustaks selle info säilitamist (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 204 ja 205).

258

Kõikide lennureisijate broneeringuinfo pidev talletamine pärast esialgse kuuekuulise ajavahemiku möödumist ei piirdu seega rangelt vajalikuga (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 206).

259

Kui aga konkreetsetel juhtudel on tuvastatud objektiivsed asjaolud, näiteks reisijate broneeringuinfo, mis on andnud kontrollitud positiivse tulemuse, mis võimaldab asuda seisukohale, et teatud lennureisijad võivad kujutada endast ohtu seoses terroriaktide või raskete kuritegudega, näib nende broneeringuinfo säilitamine olevat lubatav ka pärast seda esialgset ajavahemikku (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 207 ja seal viidatud kohtupraktika).

260

Nende objektiivsete asjaolude tuvastamine loob nimelt seose broneeringuinfo direktiivi kohase töötlemise eesmärkidega, mistõttu on nende reisijate broneeringuinfo säilitamine direktiivis lubatud maksimaalse tähtaja ehk viie aasta jooksul põhjendatud.

261

Kuna käesolevas asjas näib, et põhikohtuasjas käsitletavad õigusnormid näevad ette üldise viieaastase broneeringuinfo säilitamise aja, mida kohaldatakse vahet tegemata kõigi reisijate suhtes, sealhulgas nende reisijate suhtes, kelle puhul ei ole ei broneeringuinfo direktiivi artikli 6 lõike 2 punktis a osutatud eelhindamise ega esialgse kuuekuulise ajavahemiku jooksul tehtavate kontrollide käigus ega ka muul moel ilmnenud objektiivseid asjaolusid, mis võimaldavad tuvastada ohu seoses terroriaktide või raskete kuritegudega, siis võivad need õigusnormid rikkuda selle direktiivi artikli 12 lõiget 1, tõlgendatuna harta artiklitest 7 ja 8 ning artikli 52 lõikest 1 lähtudes, välja arvatud juhul, kui neile saab anda osutatud sätetega kooskõlas oleva tõlgenduse – selle kontrollimine on eelotsusetaotluse esitanud kohtu ülesanne.

262

Eeltoodud kaalutlusi arvestades tuleb kaheksandale küsimusele vastata, et broneeringuinfo direktiivi artikli 12 lõiget 1 tuleb koostoimes harta artiklitega 7 ja 8 ning artikli 52 lõikega 1 tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, mis näevad ette broneeringuinfo üldise viieaastase säilitamisaja, mida kohaldatakse vahet tegemata kõigi lennureisijate suhtes, sealhulgas nende suhtes, kelle puhul ei ole ei broneeringuinfo direktiivi artikli 6 lõike 2 punktis a osutatud eelhindamise ega selle direktiivi artikli 12 lõikes 2 sätestatud esialgse kuuekuulise ajavahemiku jooksul tehtavate kontrollide käigus ega ka muul moel ilmnenud objektiivseid asjaolusid, mis võimaldavad tuvastada ohu seoses terroriaktide või raskete kuritegudega, millel vähemalt kaudselt on objektiivne seos reisijate lennutranspordiga.

F. Üheksanda küsimuse punkt a

263

Üheksanda küsimuse punktiga a soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas reisijaid käsitleva eelteabe direktiiv on ELL artikli 3 lõike 2 ja harta artikli 45 seisukohast kehtiv, lähtudes eeldusest, et selle direktiiviga kehtestatud kohustusi kohaldatakse ELi‑siseste lendude suhtes.

264

Nagu aga märkis kohtujurist oma ettepaneku punktis 277 ning nagu täheldasid nõukogu, komisjon ja mitu valitsust, on see eeldus väär.

265

Reisijaid käsitleva eelteabe direktiivi artikli 3 lõikes 1 on nimelt ette nähtud, et liikmesriigid peavad võtma vajalikud meetmed, et kehtestada veoettevõtjatele kohustus edastada teave nende veetavate reisijate kohta isikute välispiiridel kontrollimise eest vastutavate asutuste taotluse korral registreerimise lõpuks volitatud piiripunkti, mille kaudu need isikud sisenevad liikmesriigi territooriumile. Need andmed edastatakse selle direktiivi artikli 6 lõike 1 kohaselt asutustele, kes vastutavad isikute kontrollimise eest välispiiridel, mille kaudu reisija siseneb liikmesriigi territooriumile, ja neid töödeldakse viimati nimetatud sättes ette nähtud tingimustel.

266

Nendest sätetest koostoimes reisijaid käsitleva eelteabe direktiivi artikli 2 punktidega a, b ja d, kus on määratletud mõisted „veoettevõtja“, „välispiirid“ ja „piiripunkt“, nähtub aga selgelt, et selle direktiiviga kehtestatakse lennuettevõtjatele kohustus edastada artikli 3 lõikes 2 osutatud andmed välispiiride kontrollimise eest vastutavatele asutustele üksnes juhul, kui tegemist on lendudega, mis viivad reisijaid piiripunktidesse, kus on lubatud ületada liikmesriikide välispiire kolmandate riikidega, ning näeb ette ainult nende lendudega seotud andmete töötlemise.

267

Seevastu ei kehtesta see direktiiv mingeid kohustusi seoses nende reisijate andmetega, kes reisivad ainult liikmesriikidevahelisi sisepiire ületavatel lendudel.

268

Olgu lisatud, et kuna nähtuvalt broneeringuinfo direktiivi põhjendusest 9 ja artikli 8 lõikest 2 arvati broneeringuinfo hulka reisijaid käsitleva eelteabe direktiivi artikli 3 lõikes 2 nimetatud andmed, mida kogutakse vastavalt nimetatud direktiivile ja mida säilitavad teatavad lennuettevõtjad, ning kuna broneeringuinfo direktiiv annab oma artiklis 2 liikmesriikidele õiguse kohaldada seda direktiivi nende poolt määratletud ELi-siseste lendude suhtes, ei muutnud see direktiiv reisijaid käsitleva eelteabe direktiivi sätete kohaldamisala ega sellest direktiivist tulenevaid piiranguid.

269

Eeltoodut arvestades tuleb üheksanda küsimuse punktile a vastata, et reisijaid käsitleva eelteabe direktiivi tuleb tõlgendada nii, et see ei ole kohaldatav ELi‑sisestele lendudele.

G. Üheksanda küsimuse punkt b

270

Kuigi eelotsusetaotluse esitanud kohus viitab oma üheksanda küsimuse punktis b reisijaid käsitleva eelteabe direktiivile, tõlgendatuna lähtuvalt ELL artikli 3 lõikest 2 ja harta artiklist 45, nähtub eelotsusetaotlusest, et see kohus soovib teada, kas 25. detsembri 2016. aasta seadusega kehtestatud reisijate andmete edastamise ja töötlemise süsteem on kooskõlas isikute vaba liikumise ja liidu õigusega ette nähtud piirikontrolli kaotamisega sisepiiridel, kuna see süsteem ei kehti mitte ainult lennutranspordi, vaid ka Belgiast väljuva või Belgiasse saabuva raudtee-, maismaa- ja meretranspordi suhtes, mis toimub liidusiseselt ega ületa välispiire kolmandate riikidega.

271

Ent nagu nähtub käesoleva kohtuotsuse punktidest 265–269, ei ole reisijaid käsitleva eelteabe direktiiv, mida ei kohaldata ELi‑sisestele lendudele ja mis ei kehtesta kohustust edastada ja töödelda nende reisijate andmeid, kes reisivad lennu- või muud liiki transpordiga liidusiseselt, ületamata välispiire kolmandate riikidega, sellele küsimusele vastamisel asjakohane.

272

Seevastu – samas kui ELTL artikli 67 lõike 2 kohaselt tagab liit isikute kontrolli puudumise sisepiiridel – lubab broneeringuinfo direktiivi artikkel 2, millele Belgia seadusandja tugines põhikohtuasjas kõne all oleva 25. detsembri 2016. aasta seaduse vastuvõtmisel, nagu nähtub eelotsusetaotlusest, liikmesriikidel kohaldada seda direktiivi ELi‑sisestele lendudele.

273

Neil asjaoludel tuleb selleks, et anda eelotsusetaotluse esitanud kohtule tarvilik vastus, üheksanda küsimuse punkt b ümber sõnastada nii, et sisuliselt palutakse sellega selgitada, kas liidu õigust ja eelkõige broneeringuinfo direktiivi artiklit 2 tuleb ELL artikli 3 lõikest 2, ELTL artikli 67 lõikest 2 ja harta artiklist 45 lähtudes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis näevad ette süsteemi, mille kohaselt lennuettevõtjad ja reisikorraldajad edastavad ja pädevad asutused töötlevad broneeringuinfot, mis puudutab liidusiseste lennu- või muud liiki transpordivahenditega toimuvaid vedusid, mis väljuvad need õigusnormid vastu võtnud liikmesriigist, saabuvad sinna või läbivad selle liikmesriigi territooriumi.

274

Alustuseks olgu märgitud, et harta artikkel 45 tunnustab isikute vaba liikumist, mis on üks siseturu põhivabadustest (vt selle kohta 22. juuni 2021. aasta kohtuotsus Ordre des barreaux francophones et germanophone jt (ennetavad meetmed seoses väljasaatmisega), C‑718/19, EU:C:2021:505, punkt 54).

275

See artikkel tagab lõikes 1 kõikidele liidu kodanikele õiguse vabalt liikuda ja elada liikmesriikide territooriumil, mis vastavalt selgitustele põhiõiguste harta kohta (ELT 2007, C 303, lk 17) vastab ELTL artikli 20 lõike 2 esimese lõigu punktiga a tagatud õigusele ning mida ELTL artikli 20 lõike 2 teise lõigu ja harta artikli 52 lõike 2 kohaselt tuleb kasutada vastavalt tingimustele ja piirangutele, mis on kindlaks määratud aluslepingutega ning nende rakendamiseks vastuvõetud meetmetega.

276

Järgmiseks, ELL artikli 3 lõike 2 kohaselt moodustab liit oma kodanikele vabadusel, turvalisusel ja õigusel rajaneva sisepiirideta ala, kus isikute vaba liikumine on tagatud muu hulgas koos välispiirikontrolli ning kuritegevuse ennetamise ja selle vastu võitlemisega seotud asjakohaste meetmete rakendamisega. Samuti tagab liit ELTL artikli 67 lõike 2 kohaselt isikutele piirikontrolli puudumise sisepiiridel ning kujundab ühise poliitika muu hulgas välispiiril teostatava kontrolli valdkonnas.

277

Euroopa Kohtu väljakujunenud praktika kohaselt piirab liikmesriigi õigusnorm, mis seab ühe liikmesriigi teatavad kodanikud ebasoodsamasse olukorda pelgalt seetõttu, et nad on kasutanud oma vabadust liikuda ja elada teises liikmesriigis, ELTL artikli 45 lõikega 1 igale liidu kodanikule tagatud vabadusi (vt selle kohta seoses ELTL artikli 21 lõikega 1 8. juuni 2017. aasta kohtuotsus Freitag, C‑541/15, EU:C:2017:432, punkt 35 ja seal viidatud kohtupraktika, ning 19. novembri 2020. aasta kohtuotsus ZW, C‑454/19, EU:C:2020:947 punkt 30).

278

Niisuguste riigisiseste õigusnormide tagajärjel, nagu on kõne all põhikohtuasjas ja mis ei kohalda broneeringuinfo direktiivis sätestatud süsteemi mitte ainult ELi‑väliste lendude suhtes, vaid vastavalt selle direktiivi artikli 2 lõikele 1 ka ELi‑siseste lendude suhtes, ja selles sättes sätestatust laiemalt ka muude transpordivahenditega tehtavate liidusiseste vedude suhtes, edastatakse ja töödeldakse süstemaatiliselt ja pidevalt kõikide selliste reisijate broneeringuinfot, kes liidus nende vahenditega reisides oma liikumisvabadust kasutavad.

279

Nagu on tõdetud käesoleva kohtuotsuse punktides 98–111, toob broneeringuinfo direktiiviga loodud süsteemist tulenev ELi‑väliste ja ELi‑siseste lendude reisijate andmete edastamine ja töötlemine kaasa andmesubjektide harta artiklites 7 ja 8 tunnustatud põhiõiguste ilmselgelt raske riive. Selle riive raskus on veelgi suurem juhul, kui seda süsteemi kohaldatakse teistele liidusisestele transpordivahenditele. Taolised riived võivad samadel põhjustel, mis on välja toodud eespool nimetatud punktides, samuti seada sellised õigusnormid vastu võtnud liikmesriikide kodanikud ja üldiselt liidu kodanikud, kes reisivad nimetatud transpordivahenditega liidusiseselt nendesse liikmesriikidesse või nendest liikmesriikidest, ebasoodsamasse olukorda ja seega pärssida neid kasutamast oma liikumisvabadust harta artikli 45 tähenduses, mistõttu toovad need õigusnormid kaasa nimetatud põhivabaduse piirangu.

280

Väljakujunenud kohtupraktika kohaselt võib isikute vaba liikumise piirang olla õigustatud üksnes juhul, kui see põhineb objektiivsetel kaalutlustel ja on liikmesriigi õigusega taotletava õiguspärase eesmärgiga proportsionaalne. Meede on proportsionaalne, kui see on taotletava eesmärgi saavutamiseks sobiv ega ületa selle saavutamiseks vajalikku (vt selle kohta 5. juuni 2018. aasta kohtuotsus Coman jt, C‑673/16, EU:C:2018:385, punkt 41 ja seal viidatud kohtupraktika).

281

Tuleb lisada, et liikmesriigi meede, mis võib takistada isikute vaba liikumist, saab olla põhjendatud üksnes juhul, kui meede on kooskõlas hartas tunnustatud põhiõigustega, mille järgimise tagab Euroopa Kohus (14. detsembri 2021. aasta kohtuotsus Stolichna obshtina, rayonPancharevo, C‑490/20, EU:C:2021:1008, punkt 58 ja seal viidatud kohtupraktika).

282

Täpsemalt ei tohi vastavalt käesoleva kohtuotsuse punktides 115 ja 116 viidatud kohtupraktikale jätta üldist huvi pakkuvat eesmärki taotledes arvesse võtmata, et see peab olema kooskõlas põhiõigustega, mida meede puudutab, ning selleks tuleb saavutada tasakaal nimetatud üldist huvi pakkuva eesmärgi ja asjasse puutuvate õiguste vahel. Sellega seoses tuleb liikmesriikide võimalust põhjendada harta artikli 45 lõikega 1 tagatud põhiõiguse piiramist hinnata, kaaludes sellise piiranguga kaasneva riive raskust ja kontrollides, kas üldist huvi pakkuva eesmärgi olulisus on selle raskusastmega vastavuses.

283

Nagu on meenutatud käesoleva kohtuotsuse punktis 122, on broneeringuinfo direktiiviga taotletav eesmärk võidelda terroriaktide ja raskete kuritegude vastu kahtlemata liidu üldist huvi pakkuv eesmärk.

284

Mis puudutab küsimust, kas broneeringuinfo direktiivi ülevõtmiseks vastuvõetud liikmesriigi õigusnormid, mis laiendavad nimetatud direktiivis ette nähtud süsteemi ELi-sisestele lendudele ja muudele liidusisese transpordi liikidele, on sobivad taotletava eesmärgi saavutamiseks, siis ilmneb Euroopa Kohtu käsutuses olevas toimikus sisalduvast teabest, et broneeringuinfo kasutamine võimaldab tuvastada isikud, keda ei ole kahtlustatud terroriaktides või rasketes kuritegudes osalemises ja keda tuleks täiendavalt kontrollida, mistõttu näivad sellised õigusnormid olevat asjakohased, et saavutada eesmärk võidelda terroriaktide ja raskete kuritegude vastu.

285

Mis puudutab selliste õigusnormide vajalikkust, siis peavad liikmesriigid neile broneeringuinfo direktiivi artikli 2 lõikes 1, tõlgendatuna lähtuvalt harta artiklitest 7 ja 8, antud võimaluse kasutamisel piirduma sellega, mis on rangelt vajalik selle eesmärgi saavutamiseks, arvestades käesoleva kohtuotsuse punktides 163–174 nimetatud nõudeid.

286

Need nõuded kehtivad seda enam juhul, kui broneeringuinfo direktiiviga ette nähtud süsteemi kohaldatakse teistele liidusisestele transpordivahenditele.

287

Lisaks, eelotsusetaotluses esitatud teabe kohaselt võetakse põhikohtuasjas kõne all olevate riigisiseste õigusnormidega ühes ja samas õigusaktis üle broneeringuinfo direktiiv, reisijaid käsitleva eelteabe direktiiv ja osaliselt direktiiv 2010/65. Selleks on nende normidega ette nähtud broneeringuinfo direktiivis sätestatud süsteemi laiendamine kõikidele ELi-sisestele lendudele ning Belgiast väljuvale, Belgiasse saabuvale või Belgiat läbivale liidusisesele raudtee-, maismaa- ja meretranspordile ning need on kohaldatavad ka reisikorraldajatele, taotledes ühtaegu ka muid eesmärke kui üksnes võitlemine terroriaktide ja raskete kuritegude vastu. Sama teabe kohaselt näib, et broneeringuinfo üksus säilitab kõiki nimetatud riigisiseste õigusnormidega loodud süsteemi raames kogutud andmeid ühtses andmebaasis, mis hõlmab broneeringuinfot, sealhulgas reisijaid käsitleva eelteabe direktiivi artikli 3 lõikes 2 osutatud andmeid kõigi nimetatud õigusnormidega hõlmatud transpordivahenditega reisivate isikute kohta.

288

Sellega seoses tuleb märkida, et kuna eelotsusetaotluse esitanud kohus viitas üheksanda küsimuse punktis b eesmärgile parandada piirikontrolli ja võidelda ebaseadusliku sisserändega, mis on reisijaid käsitleva eelteabe direktiivi eesmärk, siis tuleb meenutada, et nagu nähtub käesoleva kohtuotsuse punktidest 233, 234 ja 237, on broneeringuinfo direktiivi alusel toimuva broneeringuinfo töötlemise eesmärkide loetelu ammendav, mistõttu on riigisisesed õigusnormid, mis lubavad selle direktiivi kohaselt kogutud broneeringuinfo töötlemist muudel kui selles sätestatud eesmärkidel, nimelt muu hulgas piirikontrolli tõhustamiseks ja ebaseadusliku sisserände vastu võitlemiseks, vastuolus selle direktiivi artikliga 6, tõlgendatuna hartast lähtudes.

289

Lisaks, nagu on märgitud käesoleva kohtuotsuse punktis 235, ei või liikmesriigid luua ühtset andmebaasi, mis sisaldab nii broneeringuinfo direktiivi alusel kogutud andmeid ELi‑väliste ja ELi‑siseste lendude kohta kui ka andmeid muude transpordivahenditega reisivate isikute kohta ning reisijaid käsitleva eelteabe direktiivi artikli 3 lõikes 2 osutatud andmeid, eelkõige kui sellises andmebaasis ei saa otsinguid teha mitte ainult broneeringuinfo direktiivi artikli 1 lõikes 2 osutatud eesmärkidel, vaid ka muudel eesmärkidel.

290

Lõpuks ja igal juhul tuleb märkida, et nagu tõdes kohtujurist oma ettepaneku punktis 281, on 25. detsembri 2016. aasta seaduse artiklid 28–31 liidu õigusega, eelkõige ELTL artikli 67 lõikega 2, kooskõlas üksnes tingimusel, et neid tõlgendatakse ja kohaldatakse nii, et nendega peetakse silmas üksnes Belgia ja kolmandate riikide vahelist välispiiri ületavate reisijate API andmete edastamist ja töötlemist. Meede, millega liikmesriik laiendab reisijaid käsitleva eelteabe direktiivi sätteid ja eelkõige selle artikli 3 lõikes 1 sätestatud reisijate andmete edastamise kohustust piirikontrolli tõhustamise ja ebaseadusliku sisserände vastu võitlemise eesmärgil ELi‑sisestele lendudele ja – veelgi enam – muudele transpordivahenditele, millega veetakse liidus reisijaid sellesse liikmesriiki või sellest välja või läbi, tähendaks nimelt seda, et pädevatel asutustel oleks lubatud selle liikmesriigi sisepiire ületavate reisijate kohta süstemaatiliselt kindlaks teha, kas neil on lubatud siseneda liikmesriigi territooriumile või sealt lahkuda, ja seega oleks sellel meetmel samaväärne mõju nagu kontrollidel, mis tehakse kolmandate riikidega piirnevatel välispiiridel.

291

Kõiki neid kaalutlusi arvestades tuleb üheksanda küsimuse punktile b vastata, et liidu õigust, eelkõige broneeringuinfo direktiivi artiklit 2, tuleb ELL artikli 3 lõikest 2, ELTL artikli 67 lõikest 2 ja harta artiklist 45 lähtudes tõlgendada nii, et sellega on vastuolus:

liikmesriigi õigusnormid, mis näevad olukorras, kus asjaomast liikmesriiki ei ähvarda tegelik ja vahetu või ettenähtav terrorioht, ette süsteemi, milles lennuettevõtjad ja reisikorraldajad peavad terroriaktide ja raskete kuritegude vastu võitlemise eesmärgil edastama ja pädevad asutused töötlema kõikide sellest liikmesriigist väljuvate, sinna saabuvate või seda läbivate ELi‑siseste lendude ja muude transpordivahenditega toimuvate liidusiseste vedude broneeringuinfot. Niisuguses olukorras peab broneeringuinfo direktiiviga kehtestatud süsteemi kohaldamine nimelt piirduma selliste lendude ja/või vedude broneeringuinfo edastamise ja töötlemisega, mis on seotud eelkõige teatavate lennuliinide või reisimarsruutidega, või ka teatavate lennujaamade, raudteejaamade või meresadamatega, mille kohta on teavet, mis võib seda kohaldamist õigustada. Asjaomase liikmesriigi ülesanne on valida välja ELi‑sisesed lennud ja/või muude transpordivahenditega toimuvad liidusisesed veod, mille puhul selline teave on olemas, ning vaadata selline kohaldamine valikut õigustanud tingimuste muutumist arvestades korrapäraselt läbi, et tagada, et selle süsteemi kohaldamine selliste lendude ja/või vedude suhtes piirduks alati ainult rangelt vajalikuga, ja

liikmesriigi õigusnormid, mis näevad sellise info edastamise ja töötlemise süsteemi ette piirikontrolli tõhustamise ja ebaseadusliku sisserände vastu võitlemise eesmärgil.

H. Kümnes küsimus

292

Kümnenda küsimusega soovib eelotsusetaotluse esitanud kohus sisuliselt teada, kas liidu õigust tuleb tõlgendada nii, et liikmesriigi kohus võib ajaliselt piirata mõju, mis on õigusvastaseks tunnistamise otsusel, mille ta peab riigisisese õiguse alusel tegema liikmesriigi õigusnormide suhtes, mis kohustavad lennu-, raudtee- ja autoveo ettevõtjaid ning reisikorraldajaid broneeringuinfot edastama ja mis näevad ette selle info töötlemise ja säilitamise viisil, mis ei ole kooskõlas broneeringuinfo direktiivi sätetega, tõlgendatuna ELL artikli 3 lõikest 2, ELTL artikli 67 lõikest 2 ning harta artiklitest 7, 8 ja 45 ning artikli 52 lõikest 1 lähtudes.

293

Liidu õiguse esimuse põhimõte kehtestab liidu õiguse esmajärjekorras kohaldatavuse liikmesriikide õiguse ees. See põhimõte paneb seega kõikidele liikmesriikide asutustele kohustuse tagada erinevate liidu õigusnormide täielik õigusmõju, kuna liikmesriikide õigus ei saa mõjutada nende õigusnormide mõju nimetatud riikide territooriumil. Selle põhimõtte kohaselt on liikmesriigi kohtul juhul, kui riigisiseseid õigusnorme ei saa tõlgendada kooskõlas liidu õiguse nõuetega, kohustus tagada liidu õigusnormide täielik õigusmõju, jättes vajaduse korral omal algatusel kohaldamata riigisisese õigusakti sätte, mis on vastuolus liidu õigusega, isegi kui see säte on vastu võetud hiljem, ja sel kohtul ei ole vaja taotleda või oodata niisuguse sätte eelnevat kõrvaldamist seadusandlike või muude põhiseaduslike vahenditega (15. juuli 1964. aasta kohtuotsus Costa, 6/64, EU:C:1964:66, lk 1159 ja 1160; 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, punktid 214 ja 215, ning 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 118).

294

Üksnes Euroopa Kohus võib erandlikel juhtudel ja õiguskindlusest tulenevatel ülekaalukatel põhjustel ajutiselt peatada välistava mõju, mis on liidu õigusnormil sellega vastuolus oleva riigisisese õiguse suhtes. Euroopa Kohtu poolt sellele õigusele antud tõlgenduse mõju võib sel viisil ajaliselt piirata üksnes selle sama kohtuotsusega, milles antakse taotletav tõlgendus. Kui liikmesriikide kohtutel oleks õigus kas või ainult ajutiselt anda riigisisestele sätetele esimus liidu õiguse ees, millega need sätted on vastuolus, kahjustaks see liidu õiguse esimust ja ühetaolist kohaldamist (5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 119 ja seal viidatud kohtupraktika).

295

Erinevalt niisuguse menetlusliku kohustuse täitmata jätmisest nagu projekti keskkonnamõju eelhindamine, mida käsitleti kohtuasjas, milles tehti 29. juuli 2019. aasta kohtuotsus Inter-Environnement Wallonie ja Bond Beter Leefmilieu Vlaanderen (C‑411/17, EU:C:2019:622 punktid 175, 176, 179 ja 181), milles Euroopa Kohus nõustus selle välistava mõju ajutise peatamisega, ei saa broneeringuinfo direktiivi sätete – tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 45 ning artikli 52 lõikest 1 – eiramist heastada menetluse abil, mis on võrreldav viidatud kohtuasjas heaks kiidetud menetlusega. Sellise riigisisese õigusakti nagu 25. detsembri 2016. aasta seaduse õigusmõju säilitamine tähendaks nimelt seda, et see õigusakt paneb lennuettevõtjatele, teistele veoettevõtjatele ja reisikorraldajatele jätkuvalt kohustused, mis on vastuolus liidu õigusega ja millega kaasnevad nende isikute põhiõiguste rasked riived, kelle andmeid edastatakse, säilitatakse ja töödeldakse, ning nende isikute liikumisvabaduse piirangud, mis lähevad vajalikust kaugemale (vt analoogia alusel 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 122 ja seal viidatud kohtupraktika).

296

Seega ei või eelotsusetaotluse esitanud kohus ajaliselt piirata mõju, mis on õigusvastaseks tunnistamise otsusel, mille ta peab riigisisese õiguse alusel põhikohtuasjas vaidluse all olevate liikmesriigi õigusnormide suhtes tegema (vt analoogia alusel 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 123 ja seal viidatud kohtupraktika).

297

Lõpuks, mis puudutab eelotsusetaotluse esitanud kohtu küsimust, kuidas mõjutab 25. detsembri 2016. aasta seaduse võimalik vastuolu broneeringuinfo direktiivi sätetega, tõlgendatuna hartast lähtudes, asjaomaste lennuettevõtjate ja reisikorraldajate poolt edastatud andmete abil saadud tõendite ja teabe lubatavust ja kasutamist kriminaalmenetluses, siis olgu märgitud, et sellega seoses piisab viitamisest Euroopa Kohtu asjakohasele praktikale, eelkõige 2. märtsi 2021. aasta kohtuotsuse Prokuratuur (tingimused elektroonilise side andmetele juurdepääsuks) (C‑746/18, EU:C:2021:152) punktides 41–44 osutatud põhimõtetele, millest tuleneb, et vastavalt liikmesriikide menetlusautonoomia põhimõttele kuulub see lubatavus riigisisese õiguse kohaldamisalasse, tingimusel et järgitakse eelkõige võrdväärsuse ja tõhususe põhimõtet (vt analoogia alusel 5. aprilli 2022. aasta kohtuotsus Commissioner of An Garda Síochána jt, C‑140/20, EU:C:2022:258, punkt 127).

298

Eeltoodud kaalutlusi arvestades tuleb kümnendale küsimusele vastata, et liidu õigust tuleb tõlgendada nii, et sellega on vastuolus see, kui liikmesriigi kohus piirab ajaliselt mõju, mis on õigusvastaseks tunnistamise otsusel, mille ta peab riigisisese õiguse alusel tegema liikmesriigi õigusnormide suhtes, mis kohustavad lennu-, raudtee- ja autoveo ettevõtjaid ning reisikorraldajaid broneeringuinfot edastama ja mis näevad ette selle info töötlemise ja säilitamise viisil, mis ei ole kooskõlas broneeringuinfo direktiivi sätetega, tõlgendatuna ELL artikli 3 lõikest 2, ELTL artikli 67 lõikest 2 ning harta artiklitest 7, 8 ja 45 ning artikli 52 lõikest 1 lähtudes. Niisugusel teel saadud tõendite lubatavus kuulub vastavalt liikmesriikide menetlusautonoomia põhimõttele riigisisese õiguse kohaldamisalasse, tingimusel et järgitakse eelkõige võrdväärsuse ja tõhususe põhimõtet.

IV. Kohtukulud

299

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

 

Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:

 

1.

Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määruse (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) artikli 2 lõike 2 punkti d ja artiklit 23 tuleb tõlgendada nii, et see määrus on kohaldatav sellise isikuandmete töötlemise suhtes, mis on ette nähtud riigisiseste õigusnormidega, mille eesmärk on võtta liikmesriigi õigusesse üle nii nõukogu 29. aprilli 2004. aasta direktiivi 2004/82/EÜ veoettevõtjate kohustuse kohta edastada reisijaid käsitlevaid andmeid, Euroopa Parlamendi ja nõukogu 20. oktoobri 2010. aasta direktiivi 2010/65/EL, milles käsitletakse liikmesriikide sadamatesse sisenevate ja neist väljuvate laevade teavitusformaalsusi ning millega tunnistatakse kehtetuks direktiiv 2002/6/EÜ, kui ka Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/681, mis käsitleb broneeringuinfo kasutamist terroriaktide ja raskete kuritegude ennetamiseks, avastamiseks, uurimiseks ja nende eest vastutusele võtmiseks, sätted, osas, mis puudutab esiteks eraõiguslike teenusepakkujate läbi viidavat andmetöötlust ning teiseks avaliku võimu asutuste läbi viidavat andmetöötlust, mis kuulub ainult või ühtlasi ka direktiivi 2004/82 või direktiivi 2010/65 kohaldamisalasse. Nimetatud määrus ei ole seevastu kohaldatav mainitud õigusnormide alusel toimuva andmetöötluse suhtes, mis kuulub ainult direktiivi 2016/681 kohaldamisalasse ja mille viib läbi broneeringuinfo üksus või pädev asutus selle direktiivi artikli 1 lõikes 2 osutatud eesmärkidel.

 

2.

Kuna direktiivi 2016/681 tõlgendamine lähtuvalt Euroopa Liidu põhiõiguste harta artiklitest 7, 8 ja 21 ning artikli 52 lõikest 1 tagab selle direktiivi kooskõla põhiõiguste harta nende artiklitega, ei ilmnenud teise kuni neljanda ja kuuenda küsimuse analüüsimisel ühtegi asjaolu, mis võiks mõjutada selle direktiivi kehtivust.

 

3.

Direktiivi 2016/681 artiklit 6 tuleb põhiõiguste harta artiklitest 7 ja 8 ning artikli 52 lõikest 1 lähtudes tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mis lubavad selle direktiivi kohaselt kogutud broneeringuinfot töödelda muudel kui kõnealuse direktiivi artikli 1 lõikes 2 sõnaselgelt nimetatud eesmärkidel.

 

4.

Direktiivi 2016/681 artikli 12 lõike 3 punkti b tuleb tõlgendada nii, et sellega on vastuolus liikmesriigi õigusnormid, mille kohaselt on broneeringuinfo üksusena tegutsev asutus ühtlasi pädev riigiasutus, kes on volitatud lubama broneeringuinfo avaldamist pärast kuue kuu möödumist selle info broneeringuinfo üksusele edastamisest.

 

5.

Direktiivi 2016/681 artikli 12 lõiget 1 tuleb koostoimes põhiõiguste harta artiklitega 7 ja 8 ning artikli 52 lõikega 1 tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, mis näevad ette broneeringuinfo üldise viieaastase säilitamisaja, mida kohaldatakse vahet tegemata kõigi lennureisijate suhtes, sealhulgas nende suhtes, kelle puhul ei ole ei direktiivi 2016/681 artikli 6 lõike 2 punktis a osutatud eelhindamise ega selle direktiivi artikli 12 lõikes 2 sätestatud esialgse kuuekuulise ajavahemiku jooksul tehtavate kontrollide käigus ega ka muul moel ilmnenud objektiivseid asjaolusid, mis võimaldavad tuvastada ohu seoses terroriaktide või raskete kuritegudega, millel vähemalt kaudselt on objektiivne seos reisijate lennutranspordiga.

 

6.

Direktiivi 2004/82 tuleb tõlgendada nii, et see ei ole kohaldatav lennuettevõtja regulaar- või mitteregulaarlendudele, mis väljuvad ühe liikmesriigi territooriumilt ja on kavandatud saabuma ühe või mitme teise liikmesriigi territooriumile ilma kolmanda riigi territooriumil vahepeatusi tegemata (ELi-sisesed lennud).

 

7.

Liidu õigust, eelkõige direktiivi 2016/681 artiklit 2, tuleb ELL artikli 3 lõikest 2, ELTL artikli 67 lõikest 2 ja põhiõiguste harta artiklist 45 lähtudes tõlgendada nii, et sellega on vastuolus:

liikmesriigi õigusnormid, mis näevad olukorras, kus asjaomast liikmesriiki ei ähvarda tegelik ja vahetu või ettenähtav terrorioht, ette süsteemi, milles lennuettevõtjad ja reisikorraldajad peavad terroriaktide ja raskete kuritegude vastu võitlemise eesmärgil edastama ja pädevad asutused töötlema kõikide sellest liikmesriigist väljuvate, sinna saabuvate või seda läbivate ELi‑siseste lendude ja muude transpordivahenditega toimuvate liidusiseste vedude broneeringuinfot. Niisuguses olukorras peab direktiiviga 2016/681 kehtestatud süsteemi kohaldamine nimelt piirduma selliste lendude ja/või vedude broneeringuinfo edastamise ja töötlemisega, mis on seotud eelkõige teatavate lennuliinide või reisimarsruutidega, või ka teatavate lennujaamade, raudteejaamade või meresadamatega, mille kohta on teavet, mis võib seda kohaldamist õigustada. Asjaomase liikmesriigi ülesanne on valida välja ELi‑sisesed lennud ja/või muude transpordivahenditega toimuvad liidusisesed veod, mille puhul selline teave on olemas, ning vaadata selline kohaldamine valikut õigustanud tingimuste muutumist arvestades korrapäraselt läbi, et tagada, et selle süsteemi kohaldamine selliste lendude ja/või vedude suhtes piirduks alati ainult rangelt vajalikuga, ja

liikmesriigi õigusnormid, mis näevad sellise info edastamise ja töötlemise süsteemi ette piirikontrolli tõhustamise ja ebaseadusliku sisserände vastu võitlemise eesmärgil.

 

8.

Liidu õigust tuleb tõlgendada nii, et sellega on vastuolus see, kui liikmesriigi kohus piirab ajaliselt mõju, mis on õigusvastaseks tunnistamise otsusel, mille ta peab riigisisese õiguse alusel tegema liikmesriigi õigusnormide suhtes, mis kohustavad lennu-, raudtee- ja autoveo ettevõtjaid ning reisikorraldajaid broneeringuinfot edastama ja mis näevad ette selle info töötlemise ja säilitamise viisil, mis ei ole kooskõlas direktiivi 2016/681 sätetega, tõlgendatuna ELL artikli 3 lõikest 2, ELTL artikli 67 lõikest 2 ning põhiõiguste harta artiklitest 7, 8 ja 45 ning artikli 52 lõikest 1 lähtudes. Niisugusel teel saadud tõendite lubatavus kuulub vastavalt liikmesriikide menetlusautonoomia põhimõttele riigisisese õiguse kohaldamisalasse, tingimusel et järgitakse eelkõige võrdväärsuse ja tõhususe põhimõtet.

 

Allkirjad


( *1 ) Kohtumenetluse keel: prantsuse.

Top