(До Розділу III: Юстиція, свобода та безпека)

ДИРЕКТИВА ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/681
від 27 квітня 2016 року
про використання даних запису реєстрації пасажирів (ЗРП) для запобігання, виявлення, розслідування та переслідування терористичних та тяжких злочинів

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про функціонування Європейського Союзу, зокрема пункт (d) його статті 82(1) та пункт (a) його статті 87(2),

Беручи до уваги пропозицію Європейської Комісії,

Після передачі проекту законодавчого акта національним парламентам,

Беручи до уваги висновок Європейського економічно-соціального комітету (-1),

Після консультацій із Комітетом регіонів,

Діючи згідно зі звичайною законодавчою процедурою (-2),

Оскільки:

(1) 06 листопада 2007 року Комісія ухвалила пропозицію щодо Рамкового рішення Ради про використання даних запису реєстрації пасажирів (ЗРП) для цілей правозастосування. Однак після набуття чинності 01 грудня 2009 року Лісабонського договору пропозиція Комісії, яку Рада не ухвалила до зазначеної дати, стала неактуальною.

(2) Стокгольмська програма - «Відкрита та безпечна Європа на благо та захист громадян» (-3) закликає Комісію внести пропозицію щодо використання даних ЗРП для запобігання, виявлення, розслідування та переслідування тероризму та тяжких злочинів.

(3) У своєму Повідомленні від 21 вересня 2010 року «Про глобальний підхід до передавання даних запису реєстрації пасажирів (ЗРП)», Комісія визначила низку ключових елементів політики Союзу в цій сфері.

(4) Директива Ради 2004/82/ЄС (-4) регулює передавання авіаперевізниками попередньої інформації про пасажирів (ПІП) компетентним національним органам з метою покращення прикордонного контролю та боротьби з незаконною імміграцією.

(5) Ця Директива має на меті, між іншим, гарантувати безпеку, захистити життя та безпеку осіб та створити правові рамки для захисту даних ЗРП у зв’язку з їх опрацюванням компетентними органами.

(6) Для запобігання, виявлення, розслідування та переслідування терористичних та тяжких злочинів та, таким чином, покращення внутрішньої безпеки, а також для збору доказів та, у відповідних випадках, віднайдення спільників злочинців і викриття злочинних мереж необхідно ефективно використовувати дані ЗРП, до прикладу, шляхом порівняння даних ЗРП з різними базами даних про об’єкти та осіб, які перебувають у розшуку.

(7) Оцінювання даних ЗРП дає змогу ідентифікувати осіб, яких не підозрювали у причетності до терористичних або тяжких злочинів до проведення такого оцінювання, та щодо яких компетентні органи повинні здійснити подальше вивчення. Використання даних ЗРП дає змогу підходити до питання боротьби із загрозою терористичних та тяжких злочинів інакше, аніж через опрацювання інших категорій персональних даних. Проте для того, щоб дані ЗРП й надалі опрацьовували лише в межах необхідності, створення та застосування критеріїв оцінки необхідно обмежувати лише випадками загрози терористичних та тяжких злочинів, для яких застосування таких критеріїв є доцільним. Окрім того, критерії оцінки необхідно визначати у спосіб, який би мінімізував кількість помилково виявлених системою невинуватих осіб.

(8) Авіаперевізники вже збирають та опрацьовують дані ЗРП своїх пасажирів у власних комерційних цілях. Ця Директива не повинна накладати на авіаперевізників жодних зобов’язань щодо збору чи зберігання будь-яких додаткових даних, або ж зобов’язувати пасажирів надавати будь-які дані, окрім тих, які вони вже надають авіаперевізникам.

(9) Деякі авіаперевізники зберігають дані ПІП, отримані ними у рамках збору даних ЗРП, а інші - ні. Використання даних ЗРП разом із даними ПІП надає державам-членам змогу ефективніше ідентифікувати приватних осіб, завдяки чому додана вартість такого результату з погляду правозастосування зростає, а ризики проведення перевірки щодо невинуватих осіб та здійснення розслідування щодо них зменшуються. Тому необхідно забезпечити у випадках, коли авіаперевізники збирають дані ПІП, передавання таких даних незалежно від того, чи зберігають авіаперевізники дані ПІП за допомогою різних технічних засобів, так само, як і у випадку з іншими даними ЗРП.

(10) Для запобігання, виявлення, розслідування та переслідування терористичних та тяжких злочинів необхідно, щоб усі держави-члени запровадили положення, які зобов’язували б авіаперевізників, які здійснюють перевезення поза межі ЄС, передавати зібрані дані ЗРП, включно з даними ПІП. Держави-члени також повинні мати змогу поширювати це зобов’язання на авіаперевізників, які здійснюють перевезення у межах ЄС. Такі положення не повинні обмежувати застосування Директиви 2004/82/ЄС.

(11) Опрацювання персональних даних повинне бути пропорційним до конкретних безпекових цілей, які переслідує ця Директива.

(12) Означення терористичних злочинів, яке застосовується в цій Директиві, повинне бути аналогічним визначенню, наведеному в Рамковому рішенні Ради 2002/475/ЮВС (-5). Визначення тяжкого злочину повинне охоплювати категорії злочинів, наведені у додатку II до цієї Директиви.

(13) Дані ЗРП необхідно передавати єдиному призначеному органу з інформації про пасажирів («ОІП») у відповідній державі-члені для забезпечення ясності та зменшення витрат для авіаперевізників. У кожній державі-члені ОІП може мати різні філії; окрім того, держави-члени можуть також заснувати один спільний ОІП. Держави-члени повинні обмінюватися між собою інформацією через мережі обміну релевантною інформацією для сприяння поширенню інформації та для забезпечення взаємодійності.

(14) Держави-члени повинні нести витрати, пов’язані з використанням, зберіганням даних ЗРП та обміном ними.

(15) Потрібно скласти перелік даних ЗРП, які повинен отримувати ОІП, який буде відображати легітимні вимоги органів публічної влади у зв’язку з необхідністю запобігання, виявлення, розслідування та переслідування терористичних або тяжких злочинів, що допоможе покращити внутрішню безпеку в межах Союзу та захистити фундаментальні права, зокрема право на приватність та захист персональних даних. Із цією метою необхідно застосовувати високі стандарти згідно із Хартією фундаментальних прав Європейського Союзу («Хартія»), Конвенцією про захист приватних осіб щодо автоматизованого опрацювання персональних даних («Конвенція № 108») та Європейською конвенцією про захист прав людини та фундаментальних свобод («Європейська конвенція з прав людини»). Такий перелік не повинен спиратися на расову чи етнічну приналежність особи, її релігію чи віросповідання, політичні чи будь-які інші переконання, належність до профспілок, стан здоров’я, сексуальне життя чи сексуальну орієнтацію. Дані ЗРП повинні містити лише інформацію щодо бронювання та маршрутів пасажирів, яка надає компетентним органам можливість виявляти авіапасажирів, що становлять загрозу для внутрішньої безпеки.

(16) Наразі існує два можливих методи передавання даних: метод «згори» (або «пулл»), за яким компетентні органи держави-члена, яким необхідні дані ЗРП, отримують доступ до системи бронювання авіаперевізника та самостійно формують витяг необхідних даних; та метод «знизу» (або «пуш»), за яким авіаперевізники самі передають необхідні дані органу, який здійснює на них запит, що дає їм змогу контролювати, які саме дані вони надають. Вважають, що другий метод забезпечує вищий рівень захисту даних, а отже, він повинен бути обов’язковим для всіх авіаперевізників.

(17) Комісія підтримує настанови Міжнародної організації цивільної авіації (ІКАО) щодо ЗРП. Таким чином, ці настанови повинні скласти основу для ухвалення підтримуваних форматів даних для передавання даних ЗРП авіаперевізниками державам-членам. Щоб забезпечити уніфіковані умови для впровадження підтримуваних форматів даних та відповідних протоколів, що застосовуються до передавання даних від авіаперевізників, необхідно наділити Комісію виконавчими повноваженнями. Згадані повноваження повинні здійснюватися відповідно до Регламенту Європейського Парламенту і Ради (ЄС) № 182/2011 (-6).

(18) Держави-члени повинні вживати усіх необхідних заходів для надання авіаперевізникам можливості виконувати їхні зобов’язання згідно з цією Директивою. Держави-члени повинні запровадити дієві, пропорційні і стримувальні санкції, зокрема фінансові, для тих авіаперевізників, які не виконують своїх зобов’язань стосовно передавання даних ЗРП.

(19) Кожна держава-член повинна бути відповідальною за оцінювання потенційних загроз, пов’язаних із терористичними та тяжкими злочинами.

(20) Повною мірою беручи до уваги право на захист персональних даних та право на недискримінацію, жодне рішення, яке має негативні правові наслідки для особи чи має значний вплив на таку особу, не повинне ухвалюватися лише на підставі автоматизованого опрацювання даних ЗРП. Окрім того, беручи до уваги статті 8 та 21 Хартії, жодне з таких рішень не повинне дискримінувати осіб за будь-якими ознаками, такими як стать, раса, колір шкіри, етнічне чи соціальне походження, генетичні особливості, мова, релігія чи віросповідання, політичні чи будь-які інші переконання, належність до національної меншини, майновий стан, місце народження, інвалідність, вік чи сексуальна орієнтація. Комісія також повинна брати до уваги ці принципи під час перегляду застосування цієї Директиви.

(21) Держави-члени за жодних обставин не повинні використовувати результати опрацювання даних ЗРП як підставу для ухилення від виконання своїх міжнародних зобов’язань відповідно до Конвенції 28 липня 1951 року про статус біженців зі змінами, внесеними Протоколом від 31 січня 1967 року; ці результати також не повинні використовуватися як підстави для відмови в наданні шукачам притулку безпечних та ефективних правових шляхів для в’їзду на територію Союзу з метою реалізації права на міжнародний захист.

(22) Враховуючи принципи, окреслені нещодавніми релевантними правовими прецедентами в Суді Європейського Союзу, процес застосування цієї Директиви повинен відбуватися без жодних порушень фундаментальних прав, права на приватність та принципу пропорційності. Цей процес також повинен цілковито відповідати цілям необхідності та пропорційності, щоб задовольнити загальні інтереси, визнані Союзом, а також необхідності захисту прав і свобод інших осіб у боротьбі з терористичними та тяжкими злочинами. Для застосування цієї Директиви необхідно мати належні підстави; крім того, для забезпечення законності будь-якого зберігання, аналізу, передавання чи використання даних ЗРП потрібно вживати необхідних запобіжних заходів.

(23) У разі необхідності держави-члени повинні обмінюватися отримуваними даними ЗРП між собою та з Європолом задля запобігання, виявлення, розслідування та переслідування терористичних або тяжких злочинів. У відповідних випадках ОІП повинні негайно передавати результати опрацювання даних ЗРП ОІП інших держав-членів для подальшого розслідування. Положення цієї Директиви не повинні обмежувати інших інструментів обміну інформацією між поліцією та іншими правоохоронними та судовими органами Союзу, як-от передбачені положеннями Рішення Ради 2009/371/ЮВС (-7) та Рамкове рішення Ради 2006/960/ЮВС (-8). Такий обмін даними ЗРП повинен відбуватися відповідно до правил поліцейської та судової співпраці та не повинен перешкоджати виконанню вимог щодо високого рівня захисту приватності та персональних даних, закріплених у Хартії, Конвенції № 108 та Європейській конвенції з прав людини.

(24) Безпечний обмін інформацією щодо даних ЗРП між державами-членами необхідно забезпечувати через будь-який із наявних каналів співпраці між компетентними органами держав-членів та зокрема з Європолом через застосунок Європолу «Secure Information Exchange Network Application» (SIENA).

(25) Строк зберігання даних ЗРП необхідно визначати відповідно до принципів необхідності та пропорційності щодо цілей запобігання, виявлення, розслідування та переслідування терористичних та тяжких злочинів. Беручи до уваги характер таких даних та їх використання, необхідно, щоб дані ЗРП зберігалися впродовж достатньо тривалого строку для проведення їх аналізу та використання їх у розслідуванні. Щоб запобігти непропорційному використанню, після завершення початкового строку зберігання дані ЗРП необхідно знеособлювати шляхом приховання елементів даних. Для забезпечення якнайвищого рівня захисту даних, після завершення такого початкового строку доступ до повних даних ЗРП, який уможливлює пряму ідентифікацію суб’єкта даних, необхідно надавати лише в обмеженій кількості випадків за дуже суворих умов.

(26)У випадках, коли конкретні дані ЗРП передали компетентному органу та використовують у контексті конкретних кримінальних розслідувань та переслідувань, зберігання таких даних компетентним органом повинне врегульовувати національне право, незалежно від строків зберігання даних, визначених у цій Директиві.

(27) Опрацювання даних ЗРП у кожній державі-члені органом з інформації про пасажирів та компетентними органами повинно підпорядковуватися стандартам захисту персональних даних відповідно до національного права та згідно з Рамковим рішенням Ради 2008/977/ЮВС (-9) та окремими вимогами щодо захисту даних, встановленими цією Директивою. Посилання на Рамкове рішення 2008/977/ЮВС необхідно тлумачити як посилання на чинне станом на поточний момент законодавство, а також на законодавство, яке замінить його в майбутньому.

(28) Враховуючи право на захист персональних даних, права суб’єктів даних на опрацювання їхніх даних ЗРП, такі як право на доступ, виправлення, видалення та обмеження, а також право на компенсацію та судове оскарження, повинні бути узгодженими як із Рамковим рішенням 2008/977/ ЮВС, так і з вимогами щодо високого рівня захисту, закріпленими в Хартії та Європейській конвенції з прав людини.

(29) Враховуючи право пасажирів на інформування про опрацювання їхніх персональних даних, держави-члени повинні забезпечувати надання пасажирам точної інформації, яка повинна були легкодоступною та легкозрозумілою, стосовно збору даних ЗРП, їх передавання ОІП та їхніх прав як суб’єктів даних.

(30) Ця Директива не обмежує права Союзу та національного права у частині принципів публічного доступу до офіційних документів.

(31) Передавання даних ЗРП державами-членами третім країнам необхідно дозволяти лише в окремих випадках та з повним дотриманням положень, встановлених державами-членами відповідно до Рамкового рішення 2008/977/ЮВС. Для забезпечення захисту персональних даних таке передавання повинне відповідати додатковим вимогам щодо його мети. Воно також повинне відповідати принципам необхідності та пропорційності та вимогам щодо високого рівня захисту, закріпленим у Хартії та Європейській конвенції з прав людини.

(32) Національний наглядовий орган, заснований на виконання Рамкового рішення 2008/977/ЮВС, повинен також відповідати за консультування та моніторинг щодо застосування положень, ухвалених державами-членами відповідно до цієї Директиви.

(33) Ця Директива не впливає на можливість держав-членів забезпечувати, відповідно до національного права, функціонування системи збору та опрацювання даних ЗРП від суб’єктів господарювання, які не є перевізниками, таких як туристичні агентства та туристичні оператори, які надають пов’язані з поїздками послуги - зокрема бронювання авіарейсів - задля яких вони збирають і опрацьовують дані ЗРП, або від надавачів транспортних послуг, не зазначених у цій Директиві, за умови, що таке національне право відповідає праву Союзу.

(34) Ця Директива не обмежує поточних правил Союзу щодо способів здійснення прикордонного контролю або інших правил Союзу, що регулюють в’їзд на територію Союзу та виїзд із неї.

(35) Внаслідок правових та технічних відмінностей між національними положеннями стосовно опрацювання персональних даних, включно з даними ЗРП, авіаперевізники зіткнуться з різними вимогами щодо типів інформації, які необхідно передавати, та умов, за яких інформацію необхідно надавати компетентним національним органам. Такі відмінності можуть створювати обмеження для ефективної співпраці між компетентними національними органами з метою запобігання, виявлення, розслідування та переслідування терористичних або тяжких злочинів. Таким чином, на рівні Союзу необхідно встановити спільні правові рамки для передавання та опрацювання даних ЗРП.

(36) Цю Директиву створено із дотриманням фундаментальних прав та принципів, визнаних Хартією, зокрема права на захист персональних даних, права на приватність та права на недискримінацію, закріплених у її статтях 8, 7 та 21; отже, її необхідно впроваджувати з урахуванням цих прав. Ця Директива сумісна з принципами захисту даних, а її положення узгоджуються з Рамковим рішенням 2008/977/ЮВС. Окрім того, задля відповідності принципу пропорційності ця Директива забезпечує суворіші, ніж у Рамковому рішенні 2008/977/ЮВС, правила захисту даних в окремих питаннях.

(37) Таким чином, сфера застосування цієї Директиви є настільки обмеженою, наскільки це можливо: вона забезпечує зберігання даних ЗРП в ОІП упродовж строку, не довшого, ніж п’ять років, після чого дані необхідно видаляти; забезпечує знеособлення цих даних шляхом приховання елементів даних після завершення початкового строку тривалістю у шість місяців; а також забороняє збір та використання чутливих даних. Для забезпечення ефективності та високого рівня захисту даних держави-члени повинні забезпечувати консультування та моніторинг способу опрацювання даних ЗРП незалежним національним наглядовим органом та, зокрема, старшим спеціалістом з питань захисту даних. Будь-яке опрацювання даних ЗРП необхідно документувати для підтвердження його законності, самомоніторингу та забезпечення належної захищеності даних та їх безпечного опрацювання. Держави-члени також повинні забезпечувати чітке та достовірне інформування пасажирів про збір даних ЗРП та їхні права.

(38) Враховуючи те, що ціль цієї Директиви, а саме передавання авіаперевізниками даних ЗРП та опрацювання цих даних з метою запобігання, виявлення, розслідування та переслідування терористичних та тяжких злочинів, не може бути досягнута державами-членами достатньою мірою, але має більшу ймовірність бути досягнутою на рівні Союзу, Союз може ухвалювати інструменти відповідно до принципу субсидіарності, визначеного у статті 5 Договору про Європейський Союз. Відповідно до принципу пропорційності, як визначено у згаданій статті, ця Директива не виходить за межі необхідного для досягнення зазначених цілей.

(39) Відповідно до статі 3 Протоколу № 21 про позицію Великої Британії та Ірландії щодо простору свободи, безпеки та правосуддя, що містяться в додатку до Договору про Європейський Союз і Договору про функціонування Європейського Союзу, ці держави-члени повідомили про своє бажання брати участь в ухваленні та застосуванні цієї Директиви.

(40) Відповідно до статей 1 і 2 Протоколу № 22 про позицію Данії, що містяться в додатку до Договору про Європейський Союз і Договору про функціонування Європейського Союзу, Данія не бере участі в ухваленні цієї Директиви, не зв’язана нею та не є суб’єктом її застосування.

(41) Згідно зі статтею 28(2) Регламенту Європейського Парламенту і Ради (ЄС) № 45/2001 (-10) було проведено консультації з Європейським інспектором із захисту даних, який надав висновок 25 березня 2011 року,

УХВАЛИЛИ ЦЮ ДИРЕКТИВУ:

ГЛАВА I
Загальні положення

Стаття 1
Предмет та сфера застосування

1. Ця директива забезпечує:

(a) передавання авіаперевізниками даних запису реєстрації пасажирів (ЗРП) стосовно пасажирів рейсів поза межі ЄС,

(b) опрацювання зазначених у пункті (a) даних, включно з їх збиранням, використанням та зберіганням державами-членами, а також обмін ними між державами-членами.

2. Дані ЗРП, зібрані згідно з цією Директивою, можна опрацьовувати лише з метою запобігання, виявлення, розслідування та переслідування терористичних та тяжких злочинів, як закріплено в пунктах (a), (b) і (c) статті 6(2).

Стаття 2
Застосування цієї Директиви до авіарейсів у межах ЄС

1. Якщо держава-член ухвалює рішення щодо застосування цієї Директиви до авіарейсів у межах ЄС, вона повинна повідомити про це Комісію письмово. Держава-член може надати чи відкликати таку нотифікацію в будь-який час. Комісія повинна публікувати такі нотифікації та їх відкликання в Офіційному віснику Європейського Союзу.

2. У випадках надання нотифікації, згаданої в параграфі 1, усі положення цієї Директиви необхідно застосовувати до авіарейсів у межах ЄС так само, як і до авіарейсів поза межі ЄС, а також до даних ЗРП щодо авіарейсів у межах ЄС так само, як і до даних ЗРП щодо авіарейсів поза межі ЄС.

3. Держава-член може ухвалити рішення щодо застосування цієї Директиви лише до вибраних авіарейсів у межах ЄС. Під час ухвалення такого рішення держава-член повинна обирати авіарейси, які вона вважає необхідними для досягнення цілей цієї Директиви. Держава-член може змінювати таку вибірку авіарейсів у межах ЄС у будь-який час.

Стаття 3
Терміни та означення

Для цілей цієї Директиви застосовують такі терміни та означення:

(1) «авіаперевізник» означає авіатранспортне підприємство, що має дійсну експлуатаційну ліцензію або її еквівалент, що дозволяє підприємству здійснювати авіаперевезення пасажирів;

(2) «авіарейс поза межі ЄС» означає будь-який запланований чи незапланований авіарейс, здійснюваний авіаперевізником із третьої країни на територію держави-члена або з території держави-члена у третю країну, у тому числі в обох випадках рейси з будь-якими проміжними зупинками на території держав-членів чи третіх країн;

(3) «авіарейс у межах ЄС» означає будь-який запланований чи незапланований авіарейс, здійснюваний авіаперевізником із території держави-члена на територію однієї чи декількох інших держав-членів без проміжних зупинок на території третіх країн;

(4) «пасажир» означає будь-яку особу, у тому числі під час трансферу чи транзиту, крім членів екіпажу, яку перевозить або перевозитиме повітряне судно зі згоди авіаперевізника, виявом якої є реєстрація такої особи в переліку пасажирів;

(5) «запис реєстрації пасажирів» (ЗРП) означає запис обов’язкових для перевезення даних кожного пасажира для кожного авіаперевезення, заброньованого будь-якою особою особисто або від її імені, який містить інформацію, необхідну для опрацювання причетними авіаперевізниками бронювання та контролю над ним, та міститься у системах бронювання, системах контролю відправлення, використовуваних для реєстрації пасажирів на авіарейси, або еквівалентних системах із такими самими функціями;

(6) «система бронювання» означає внутрішню систему авіаперевізника, у якій відбувається збір даних ЗРП для здійснення бронювання;

(7) «метод «знизу» («пуш»)» означає метод, з використанням якого авіаперевізники передають дані ЗРП, перелік яких подано в додатку I, у базу даних органу, який здійснює на них запит;

(8) «терористичні злочини» означає злочини відповідно до національного права, як зазначено у статтях 1-4 Рамкового рішення 2002/475/ЮВС;

(9) «тяжкі злочини» означає злочини, перелік яких подано в додатку II, за які відповідно до національного права держави-члена передбачене покарання у вигляді позбавлення волі або утримання під вартою на максимальний строк щонайменше у три роки;

(10) «знеособлення даних шляхом приховання їх елементів» означає приховання від користувачів елементів даних, які можуть слугувати для безпосередньої ідентифікації суб’єкта даних.

ГЛАВА II
Обов’язки держав-членів

Стаття 4
Орган з інформації про пасажирів

1. Кожна держава-член повинна заснувати або призначити компетентний орган із запобігання, виявлення, розслідування та переслідування терористичних та тяжких злочинів, або філію такого органу, що функціонуватиме як орган з інформації про пасажирів («ОІП»).

2. ОІП повинен мати такі обов’язки:

(a) збір даних ЗРП від авіаперевізників, їх зберігання й опрацювання, а також передавання таких даних або результатів їх опрацювання компетентним органам, зазначеним у статті 7;

(b) обмін даними ЗРП та результатами опрацювання таких даних із ОІП інших держав-членів та з Європолом відповідно до статей 9 та 10.

3. Працівники ОІП можуть бути відряджені з компетентних органів. Держави-члени повинні надавати ОІП відповідні ресурси для виконання їхніх завдань.

4. Дві або більше держави-члени (держави-члени, що беруть участь) можуть заснувати або призначити єдиний орган для виконання функцій ОІП. Такий ОІП повинен бути заснований в одній із держав-членів, що беруть участь, та повинен вважатися національним ОІП для всіх держав-членів, що беруть участь. Держави-члени, що беруть участь, повинні узгодити детальні правила функціонування ОІП та дотримуватися вимог, встановлених у цій Директиві.

5. Протягом одного місяця з дати заснування ОІП кожна держава-член повинна повідомити про це Комісію, і може вносити зміни до такого повідомлення в будь-який час. Комісія повинна публікувати такі повідомлення та будь-які зміни до них в Офіційному віснику Європейського Союзу.

Стаття 5
Старший спеціаліст з питань захисту даних в ОІП

1. ОІП повинен призначити старшого спеціаліста з питань захисту даних, відповідального за моніторинг та опрацювання даних ЗРП та впровадження релевантних запобіжних заходів.

2. Держави-члени повинні надавати старшим спеціалістам з питань захисту даних засоби для виконання їхніх обов’язків та завдань відповідно до цієї статті в ефективний та незалежний спосіб.

3. Держави-члени повинні забезпечити право суб’єкта даних контактувати зі старшим спеціалістом з питань захисту даних через єдиний контактний пункт щодо будь-яких питань, пов’язаних з опрацюванням даних ЗРП такого суб’єкта даних.

Стаття 6
Опрацювання даних ЗРП

1. Дані ЗРП, які передають авіаперевізники, повинні збирати ОІП релевантних держав-членів, як закріплено в статті 8. У випадках, коли дані ЗРП, які передають авіаперевізники, містять дані, що не входять до переліку, поданого в додатку I, ОІП повинен безповоротно видаляти такі дані негайно після отримання.

2. ОІП повинен опрацьовувати дані ЗРП лише для таких цілей:

(a) проведення оцінки пасажирів до їх запланованого прибуття до держави-члена чи відправлення з неї з метою виявлення осіб, що потребують подальшого розгляду компетентними органами, зазначеними в статті 7, та, у відповідних випадках, Європолом відповідно до статті 10, беручи до уваги, що такі особи можуть бути причетні до терористичного або тяжкого злочину;

(b) надання відповіді на належним чином обґрунтовані запити з достатніми підставами від компетентних органів щодо надання та опрацювання даних ЗРП в окремих випадках із метою запобігання, виявлення, розслідування та переслідування терористичних або тяжких злочинів та надання компетентним органам та, у відповідних випадках, Європолу результатів такого опрацювання; та

(c) аналіз даних ЗРП з метою оновлення або створення нових критеріїв, необхідних для використання в межах оцінки, здійснюваної відповідно до пункту (b) параграфа 3 з метою ідентифікації будь-яких осіб, які можуть бути причетними до терористичного або тяжкого злочину.

3. Під час проведення оцінки, згаданої в пункті (a) параграфа 2, ОІП можуть:

(a) порівнювати дані ЗРП із базами даних, релевантними для цілей запобігання, виявлення, розслідування та переслідування терористичних та тяжких злочинів, у тому числі базами даних про осіб та об’єкти, які перебувають у розшуку або оголошені небезпечними, відповідно до правил Союзу та міжнародних і національних правил, застосовних до таких баз даних; або

(b) опрацьовувати дані ЗРП згідно з попередньо визначеними критеріями.

4. Будь-яку оцінку пасажирів до їх запланованого прибуття до держави-члена або відправлення з неї, яку здійснюють відповідно до пункту (b) параграфа 3 на відповідність попередньо визначеним критеріям, необхідно здійснювати в недискримінаційний спосіб. Такі попередньо визначені критерії повинні бути цільовими, пропорційними та специфічними. Держави-члени повинні забезпечити визначення та регулярний перегляд таких критеріїв органами з інформації про пасажирів у співпраці з компетентними органами, згаданими у статті 7. Ці критерії за жодних обставин не повинні ґрунтуватися на расовій чи етнічній приналежності особи, її релігії чи філософських переконаннях, належності до профспілок, стані здоров’я, сексуальному житті чи сексуальній орієнтації.

5. Держави-члени повинні забезпечувати індивідуальний перегляд кожного збігу, виявленого внаслідок автоматизованого опрацювання даних ЗРП, яке здійснюється відповідно до пункту (a) параграфа 2, за допомогою неавтоматизованих засобів для підтвердження необхідності вжиття зазначеним у статті 7 компетентним органом заходів відповідно до національного права.

6. ОІП держави-члена повинен передавати дані ЗРП осіб, ідентифікованих відповідно до пункту (a) параграфа 2, або результати опрацювання цих даних для подальшого розгляду зазначеним у статті 7 компетентним органам цієї ж держави-члена. Таке передавання необхідно здійснювати лише в окремих випадках та, у разі автоматизованого опрацювання даних ЗРП, після індивідуального перегляду за допомогою неавтоматизованих засобів.

7. Держави-члени повинні забезпечити, щоб у старшого спеціаліста з питань захисту даних був доступ до всіх даних, які опрацьовує ОІП. Якщо старший спеціаліст з питань захисту даних вважає, що опрацювання будь-яких даних здійснили незаконно, він може передати питання національному наглядовому органу.

8. Зберігання, опрацювання та аналіз даних ЗРП органом з інформації про пасажирів повинні відбуватися лише в безпечному місці (місцях) розташування на території держав-членів.

9. Наслідки оцінки пасажирів, згаданої в пункті (a) параграфа 2 цієї статті, не повинні обмежувати прав осіб, які мають право Союзу на вільний в’їзд на територію відповідної держави-члена, передбаченого Директивою Європейського Парламенту і Ради 2004/38/ЄС (-11). Окрім того, у випадках, коли оцінка здійснюється щодо авіарейсів у межах ЄС між державами-членами, до яких застосовуються положення Регламенту Європейського Парламенту і Ради (ЄС) № 562/2006 (-12), наслідки такої оцінки повинні відповідати положенням зазначеного Регламенту.

Стаття 7
Компетентні органи

1. Кожна держава-член повинна ухвалити перелік компетентних органів, які мають право здійснювати запити на отримання даних ЗРП або результату опрацювання таких даних від ОІП та отримувати їх для подальшого вивчення інформації чи вжиття належних заходів із метою запобігання, виявлення, розслідування та переслідування терористичних або тяжких злочинів.

2. Органи, згадані в параграфі 1, повинні бути органами, компетентними з питань запобігання, виявлення, розслідування та переслідування терористичних або тяжких злочинів.

3. Для цілей статті 9(3) кожна держава-член повинна повідомити Комісію про перелік своїх компетентних органів до 25 травня 2017 року, та може вносити зміни до такого повідомлення в будь-який час. Комісія повинна публікувати такі повідомлення та будь-які зміни до них в Офіційному віснику Європейського Союзу.

4. Дані ЗРП та результати опрацювання таких даних, отриманих ОІП, надалі можуть опрацьовувати компетентні органи держав-членів лише для конкретних цілей запобігання, виявлення, розслідування та переслідування терористичних або тяжких злочинів.

5. Параграф 4 не повинен обмежувати застосування національного права чи судових повноважень у разі виявлення інших злочинів чи їх ознак у процесі вжиття заходів із правозастосування внаслідок такого опрацювання.

6. Жодне рішення компетентних органів, яке має негативні правові наслідки для особи чи має значний вплив на особу, не повинне ухвалюватися лише на підставі автоматизованого опрацювання даних ЗРП. Такі рішення не повинні ухвалюватися на основі расової чи етнічної приналежності особи, її релігії чи філософських переконань, належності до профспілок, стані здоров’я, сексуального життя чи сексуальної орієнтації.

Стаття 8
Зобов’язання для авіаперевізників щодо передавання даних

1. Держави-члени повинні ухвалити інструменти, необхідні для забезпечення передавання авіаперевізниками, відповідно до методу «знизу» («пуш»), даних ЗРП, перелік яких подано в додатку I, у мірі, до якої вони вже збирали такі дані в ході звичайного ведення діяльності, до бази даних ОІП держави-члена, на територію якої чи з території якої здійснюватиметься авіарейс. У випадках, коли авіарейс спільно використовують кілька авіаперевізників, передавати дані ЗРП про всіх пасажирів авіарейсу повинен авіаперевізник-оператор рейсу. Коли авіарейс поза межі ЄС має одну або більше проміжну зупинку в аеропортах держав-членів, авіаперевізники повинні передавати дані ЗРП всіх пасажирів до ОІП усіх відповідних держав-членів. Те саме стосується авіарейсів у межах ЄС з однією чи більше проміжною зупинкою в аеропортах держав-членів, але лише стосовно держав-членів, які збирають дані ЗРП щодо авіарейсів у межах ЄС.

2. У випадку, якщо авіаперевізник зібрав будь-які дані попередньої інформації про пасажирів (ПІП), перелік яких подано в пункті 18 додатка I, але не зберігає такі дані за допомогою тих самих технічних засобів, як і у випадку з іншими даними ЗРП, держави-члени повинні ухвалити необхідні інструменти для забезпечення передання авіаперевізниками, відповідно до методу «знизу» («пуш»), таких даних ОІП держав-членів, згаданих у параграфі 1. У разі такого передавання, усі положення цієї Директиви необхідно застосовувати стосовно таких даних ПІП.

3. Авіаперевізники повинні передавати дані ЗРП за допомогою електронних засобів зв’язку з використанням спільних протоколів та підтримуваних форматів даних, які необхідно ухвалити відповідно до експертної процедури, згаданої у статті 17(2), або, у разі технічного збою, за допомогою будь-яких інших відповідних засобів, які забезпечують належний рівень безпеки даних:

(a) за 24-48 годин до запланованого часу відправлення авіарейсу; та

(b) негайно після закриття реєстрації на авіарейс, коли пасажири перебувають на борту повітряного судна, яке готують до відправлення, і вже не можуть здійснити посадку чи висадку.

4. Держави-члени повинні надавати дозвіл авіаперевізникам на обмеження передавання даних, згаданого в пункті (b) параграфа 3, до оновлення даних, переданих відповідно до пункту (a) зазначеного параграфа.

5. У випадках, коли доступ до даних ЗРП необхідний для реагування на конкретну та нагальну загрозу, пов’язану з терористичними або тяжкими злочинами, авіаперевізники повинні в кожному конкретному випадку передавати дані ЗРП в інші моменти часу, окрім зазначених у параграфі 3, на вимогу ОІП відповідно до національного права.

Стаття 9
Обмін інформацією між державами-членами

1. Держави-члени повинні забезпечувати передавання всіх релевантних та необхідних даних ЗРП щодо осіб, виявлених ОІП відповідно до статті 6(2), або результату опрацювання таких даних таким ОІП до відповідних ОІП інших держав-членів. ОІП держави-члена, що отримує дані, повинен передати, відповідно до статті 6(6), отриману інформацію своїм компетентним органам.

2. ОІП кожної держави-члена повинен мати право, у разі необхідності, здійснювати запит на отримання від ОІП будь-якої іншої держави-члена даних ЗРП, які зберігають в базі даних останнього і які ще не були знеособлені шляхом приховання елементів даних відповідно до статті 12(2), а також, у разі необхідності, результатів будь-якого опрацювання таких даних, якщо таке опрацювання вже здійснили відповідно до пункту (a) статті 6(2). Такий запит повинен бути належним чином обґрунтований. Він може стосуватися будь-якого елемента даних або поєднання таких елементів, які ОІП, що здійснює запит, вважає необхідними для конкретного випадку запобігання, виявлення, розслідування або переслідування терористичних або тяжких злочинів. ОІП повинні надавати інформацію, щодо якої здійснюють запит, у якомога коротший строк. Якщо дані, щодо яких здійснюють запит, знеособили шляхом приховання елементів даних відповідно до статті 12(2), ОІП повинен надавати повні дані ЗРП лише у випадку, коли є підстави вважати, що це необхідно для цілей, згаданих у пункті (b) статті 6(2), та лише в разі отримання дозволу від органу, згаданого в пункті (b) статті 12(3).

3. Компетентні органи держав-членів можуть спрямовувати безпосередньо до ОІП будь-якої іншої держави-члена запити на надання інформації ЗРП, яка зберігається в базі даних останнього, лише у разі необхідності в надзвичайних випадках та за умов, встановлених у параграфі 2. Такі запити компетентних органів повинні бути обґрунтованими. Копію такого запиту необхідно завжди надсилати ОІП держави-члена, що подає запит. У решті випадків, компетентні органи повинні передавати запити через ОІП своєї держави-члена.

4. У виняткових випадках, коли доступ до даних ЗРП необхідний для реагування на конкретну та нагальну загрозу, пов’язану з терористичними або тяжкими злочинами, ОІП будь-якої держави-члена повинен мати право здійснити запит на отримання органом з інформації про пасажирів іншої держави даних ЗРП відповідно до статті 8(5) та надання їх ОІП, що здійснює запит.

5. Обмін інформацією відповідно до цієї статті може відбуватися із застосуванням будь-яких наявних каналів співпраці між компетентними органами держав-членів. Мовою запиту та обміну інформацією повинна бути мова, яку застосовують до використовуваного каналу. Держави-члени одночасно з наданням повідомлення відповідно до статті 4(5) також повинні інформувати Комісію про деталі щодо контактних пунктів, до яких у надзвичайних випадках можуть бути спрямовані запити. Комісія повинна повідомляти інші держави-члени про такі деталі.

Стаття 10
Умови доступу до даних ЗРП Європолу

1. Європол повинен мати право здійснювати запити на отримання даних ЗРП або результатів опрацювання таких даних від ОІП держав-членів у межах своїх повноважень та з метою виконання своїх завдань.

2. У кожному окремому випадку Європол може спрямовувати обґрунтований належним чином електронний запит на передавання конкретних даних ЗРП або результату опрацювання таких даних до ОІП будь-якої держави-члена через національний підрозділ Європолу. Європол може подавати такий запит, коли це суворо необхідно для підтримки та посилення дій держав-членів із метою запобігання, виявлення чи розслідування конкретного випадку терористичного або тяжкого злочину в разі, коли таке правопорушення чи злочин належить до сфери повноважень Європолу відповідно до Рішення 2009/371/ЮВС. Такий запит повинен мати достатнє обґрунтування щодо підстав, на яких Європол вважає, що передання даних ЗРП або результату опрацювання даних ЗРП матиме значну користь для запобігання, виявлення чи розслідування відповідного кримінального злочину.

3. Європол повинен інформувати старшого спеціаліста з питань захисту даних, призначеного відповідно до статті 28 Рішення 2009/371/ЮВС, про кожен випадок обміну інформацією відповідно до цієї статті.

4. Обмін інформацією відповідно до цієї статті повинен відбуватися через застосунок SIENA та відповідно до Рішення 2009/371/ЮВС. Мовою запиту та обміну інформацією повинна бути мова, яку застосовують до застосунку SIENA.

Стаття 11
Передавання даних третім країнам

1. Будь-яка держава-член може передавати дані ЗРП та результати опрацювання таких даних, які зберігає ОІП відповідно до статті 12, третій країні лише з урахуванням особливостей кожного окремого випадку та за умови:

(a) виконання умов, встановлених статтею 13 Рамкового рішення 2008/977/ЮВС;

(b) необхідності такого передавання даних для цілей цієї Директиви, зазначених у статті 1(2);

(c) згоди третьої країни передавати дані іншій третій країні лише за суворої необхідності для цілей цієї Директиви, зазначених у статті 1(2), та лише за умови чіткої авторизації відповідної держави-члена; та

(d) задоволення умов, які є еквівалентними встановленим у статті 9(2).

2. Незважаючи на положення статті 13(2) Рамкового рішення 2008/977/ЮВС, передавання даних ЗРП без попередньої згоди держави-члена, від якої були отримані дані, необхідно дозволяти лише за виняткових обставин та лише за умови:

(a) необхідності такого передавання інформації для реагування на конкретну та нагальну загрозу, пов’язану з терористичними або тяжкими злочинами в одній із держав-членів чи третій країні, та

(b) неможливості завчасного отримання попередньої згоди.

Орган, відповідальний за надання згоди, необхідно поінформувати негайно, а передання даних необхідно належним чином задокументувати та здійснити верифікацію ex-post.

3. Держави-члени повинні передавати дані ЗРП компетентним органам третіх країн лише у разі, якщо це відповідає вимогам цієї Директиви, та лише у разі запевнення, що мета, з якою отримувачі мають намір використовувати дані ЗРП, відповідає цим умовам та механізмам захисту.

4. Старшого спеціаліста з питань захисту даних ОІП держави-члена, що передає дані ЗРП, необхідно інформувати щоразу, коли держава-член передає дані ЗРП відповідно до цієї статті.

Стаття 12
Строк зберігання даних та їх знеособлення

1. Держави-члени повинні забезпечити зберігання даних ЗРП, наданих ОІП авіаперевізниками, у базі даних ОІП упродовж строку тривалістю у п’ять років після їх передання ОІП держави-члена, на територію або з території якої здійснено авіарейс.

2. Після закінчення строку тривалістю в шість місяців із дати передання ОІП даних, згаданих у параграфі 1, усі дані ЗРП повинні бути знеособлені шляхом приховання таких елементів даних, які можуть слугувати для безпосередньої ідентифікації пасажира, якого стосуються дані ЗРП:

(a) ім’я (імена), у тому числі імена інших пасажирів та дані щодо кількості пасажирів, що подорожують разом, у ЗРП;

(b) адреса та контактна інформація;

(c) будь-які форми платіжної інформації, у тому числі платіжна адреса, у мірі, до якої вони можуть слугувати для безпосередньої ідентифікації пасажира, якого стосуються дані ЗРП, або будь-яких інших осіб;

(d) інформація про постійних клієнтів авіаперевізника;

(e) загальна інформація у мірі, до якої вона містить будь-яку інформацію, яка може слугувати для безпосередньої ідентифікації пасажира, якого стосуються дані ЗРП; та

(f) будь-які інші дані ПІП, які було зібрано.

3. Після завершення строку тривалістю в шість місяців, згаданого в параграфі 2, розкриття повних даних ЗРП необхідно дозволяти лише за умови, якщо:

(a) існують підстави вважати, що це необхідно для цілей, згаданих у пункті (b) статті 6(2), та

(b) таке розкриття даних схвалено:

(i) судовим органом; або

(ii) іншим національним органом, який відповідно до національного права має повноваження верифікувати виконання умов для розкриття інформації, за умови інформування старшого спеціаліста з питань захисту даних ОІП та здійснення перегляду ex-post старшим спеціалістом з питань захисту даних.

4. Держави-члени повинні забезпечувати безповоротне видалення даних ЗРП після завершення строку, вказаного в параграфі 1. Це зобов’язання не повинне обмежувати випадків, коли конкретні дані ЗРП передали компетентному органу та використовують у контексті конкретних справ для цілей запобігання, виявлення, розслідування та переслідування терористичних або тяжких злочинів; у таких випадках зберігання даних компетентним органом повинне бути врегульовувано національним правом.

5. Результати опрацювання даних, згадані в пункті (a) статті 6(2), необхідно зберігати в ОІП лише впродовж періоду, необхідного для інформування компетентних органів та, відповідно до статті 9(1), інформування ОІП інших держав-членів про збіг. Тим не менш, у випадках, коли внаслідок подальшого індивідуального перегляду за допомогою неавтоматизованих засобів, як зазначено у статті 6(5), результат автоматизованого опрацювання даних виявився негативним, його можуть зберігати для уникнення подальших «хибних» збігів, доки відповідні дані не видалять відповідно до параграфа 4 цієї статті.

Стаття 13
Захист персональних даних

1. Кожна держава-член повинна забезпечувати кожному пасажиру рівні права на захист персональних даних, права на доступ, виправлення, видалення та обмеження, а також право на компенсацію та судове оскарження відповідно до права Союзу та національного права та статей 17, 18, 19 і 20 Рамкового рішення 2008/977/ЮВС стосовно будь-якого опрацювання персональних даних відповідно до цієї Директиви. Отже, такі статті необхідно застосовувати.

2. Кожна держава-член повинна забезпечити застосування положень, ухвалених відповідно до національного права щодо впровадження статей 21 і 22 Рамкового рішення 2008/977/ЮВС стосовно конфіденційності опрацювання даних та безпеки, до будь-якого опрацювання персональних даних відповідно до цієї Директиви.

3. Ця Директива не обмежує застосовності Директиви Європейського Парламенту і Ради 95/46/ЄС (-13) до опрацювання персональних даних авіаперевізниками, зокрема їх зобов’язаннями щодо вжиття належних технічних та організаційних заходів для захисту безпеки та конфіденційності персональних даних.

4. Держави-члени повинні заборонити опрацювання даних ЗРП, які розкривають інформацію щодо расової або етнічної приналежності особи, її релігії чи філософських переконань, належності до профспілок, стану здоров’я, сексуального життя чи сексуальної орієнтації. Якщо дані ЗРП, які розкривають таку інформацію, надійдуть до ОІП, такі дані повинні бути негайно видалені.

5. Держави-члени повинні забезпечити збереження в ОІП документації щодо будь-яких систем та процедур опрацювання інформації у сфері їх відповідальності. Перелік такої документації повинен містити щонайменше:

(a) назву та контактні деталі організації та персоналу в ОІП, яким довірено опрацьовувати дані ЗРП, та різні рівні авторизації доступу;

(b) запити, здійснені компетентними органами та ОІП інших держав-членів;

(c) усі запити на передавання даних ЗРП третім країнам та випадки такого передавання.

ОІП повинен на вимогу надавати усю документацію національному наглядовому органу.

6. Держави-члени повинні забезпечити ведення в ОІП обліку щонайменше таких операцій з опрацювання: збір, ознайомлення, розкриття та видалення. Облікові дані щодо ознайомлення та розкриття повинні містити, зокрема, інформацію щодо дати та часу таких операцій та, наскільки це можливо, ідентифікаційні дані особи, яка ознайомлювалася з даними ЗРП або розкривала їх, та отримувачів таких даних. Такими обліковими даними необхідно користуватися виключно в цілях верифікації, самомоніторингу, забезпечення захищеності та безпеки даних або аудиту. ОІП повинен на вимогу надавати такі облікові дані національному наглядовому органу.

Такі облікові дані необхідно зберігати упродовж п’яти років.

7. Держави-члени повинні забезпечити впровадження їхніми ОІП належних технічних та організаційних інструментів та процедур для забезпечення високого рівня безпеки, який відповідає ризикам, що виникають у зв’язку з опрацюванням даних ЗРП та їх характером.

8. Держави-члени повинні забезпечити негайне інформування ОІП суб’єктів даних та національного наглядового органу про будь-яке порушення захисту персональних даних, яке може призвести до виникнення високого ризику для захисту персональних даних або ж негативно вплинути на приватність суб’єкта даних.

Стаття 14
Санкції

Держави-члени повинні встановити правила щодо санкцій, застосовних до порушень національних положень, ухвалених відповідно до цієї Директиви, та вживати усіх заходів, необхідних для забезпечення виконання таких правил.

Зокрема, держави-члени повинні встановлювати правила щодо санкцій, у тому числі фінансових, щодо авіаперевізників, які не передають дані, як передбачено статтею 8, або не передають їх у передбаченому форматі.

Передбачені санкції повинні бути дієвими, пропорційними і стримувальними.

Стаття 15
Національний наглядовий орган

1. Кожна держава-член повинна забезпечити функціонування національного наглядового органу, згаданого у статті 25 Рамкового рішення 2008/977/ЮВС, відповідального за консультування та моніторинг щодо застосування на її території положень, ухвалених державами-членами відповідно до цієї Директиви. Застосовуються положення статті 25 Рамкового рішення 2008/977/ЮВС.

2. Такі національні наглядові органи повинні вести діяльність відповідно до параграфа 1 для захисту фундаментальних прав стосовно опрацювання персональних даних.

3. Кожен національний наглядовий орган повинен:

(a) опрацьовувати скарги будь-яких суб’єктів даних, розслідувати випадки та інформувати суб’єктів даних про стан і результати розгляду їхніх скарг упродовж обґрунтованого строку;

(b) підтверджувати законність опрацювання даних, проводити розслідування, інспектування та аудити відповідно до національного права з власної ініціативи або на підставі скарг, згаданих у пункті (a).

4. Кожен національний наглядовий орган повинен на вимогу консультувати усіх суб’єктів даних стосовно їхніх прав, встановлених положеннями, ухваленими відповідно до цієї Директиви.

ГЛАВА III
Імплементаційні інструменти

Стаття 16
Спільні протоколи та підтримувані формати даних

1. Будь-яке передавання даних ЗРП авіаперевізниками органам з інформації про пасажирів для цілей цієї Директиви здійснюють за допомогою електронних засобів, які надають достатні гарантії в рамках інструментів технічної безпеки та організаційних інструментів, які регулюють опрацювання інформації. У разі технічного збою дані ЗРП можуть бути передані за допомогою будь-яких інших відповідних засобів, за умови збереження ідентичного рівня безпеки та повного дотримання права Союзу у сфері захисту даних.

2. За один рік з дати ухвалення Комісією спільних протоколів та підтримуваних форматів даних відповідно до параграфа 3, будь-яке передавання даних ЗРП авіаперевізниками органам з інформації про пасажирів для цілей цієї Директиви необхідно здійснювати в електронний спосіб з використанням безпечних методів, що відповідають ухваленим спільним протоколам. Такі протоколи повинні бути спільними для будь-якого передавання даних для забезпечення безпеки даних ЗРП під час передання. Дані ЗРП необхідно передавати в підтримуваному форматі даних з метою забезпечення зручності прочитання для всіх залучених сторін. Кожен авіаперевізник повинен обрати спільний протокол та формат даних, який він має намір використовувати для передавання даних, та повідомити про це ОІП.

3. Комісія повинна скласти та, за необхідності, коригувати перелік спільних протоколів та підтримуваних форматів даних шляхом ухвалення імплементаційних актів. Такі імплементаційні акти необхідно ухвалювати згідно з експертною процедурою, зазначеною в статті 17(2).

4. Параграф 1 застосовується доти, доки не стануть доступними протоколи та підтримувані формати даних, згадані в параграфах 2 і 3.

5. Упродовж одного року з дати ухвалення спільних протоколів та підтримуваних форматів даних, згаданих у параграфі 2, кожна держава-член повинна забезпечити ухвалення необхідних технічних інструментів для уможливлення використання таких спільних протоколів та форматів даних.

Стаття 17
Процедура комітету

1. Комісії повинен надавати підтримку комітет. Такий Комітет повинен бути комітетом у розумінні Регламенту (ЄС) № 182/2011.

2. У разі покликання на цей параграф застосовують статтю 5 Регламенту (ЄС) № 182/2011.

Якщо комітет не надає жодного висновку, Комісія не ухвалює проект імплементаційного акта, і застосовується третій підпараграф статті 5(4) Регламенту (ЄС) № 182/2011.

ГЛАВА IV
Прикінцеві положення

Стаття 18
Транспозиція

1. Держави-члени повинні ввести в дію закони, підзаконні нормативно-правові акти та адміністративні положення, необхідні для дотримання вимог цієї Директиви, до 25 травня 2018 року. Вони негайно інформують про них Комісію.

Коли держави-члени ухвалюють такі інструменти, вони повинні містити покликання на цю Директиву або супроводжуватися таким покликанням у разі їх офіційної публікації. Методи здійснення такого покликання визначають держави-члени

2. Держави-члени передають Комісії текст основних положень національного права, ухваленого ними у сфері регулювання цієї Директиви.

Стаття 19
Перегляд

1. На підставі інформації, наданої державами-членами, у тому числі статистичної інформації, згаданої у статті 20(2), Комісія повинна до 25 травня 2020 року здійснити перегляд усіх елементів цієї Директиви та надати звіт Європейському Парламенту і Раді.

2. Здійснюючи перегляд, Комісія повинна приділяти особливу увагу:

(a) дотриманню застосовних стандартів захисту персональних даних,

(b) необхідності та пропорційності збору та опрацювання даних ЗРП для кожної з цілей, визначених у цій Директиві,

(c) тривалості строку зберігання даних,

(d) ефективності обміну інформацією між державами-членами, та

(e) якості оцінки, зокрема стосовно статистичної інформації, зібраної відповідно до статті 20.

3. До звіту, згаданого в параграфі 1, також повинен входити перегляд необхідності, пропорційності та ефективності включення до сфери застосування цієї Директиви обов’язкового збору та передавання даних ЗРП щодо всіх або вибраних авіарейсів у межах ЄС. Комісія повинна врахувати досвід, набутий державами-членами, особливо тими державами-членами, які застосують цю Директиву, до авіарейсів у межах ЄС відповідно до статті 2. У цьому звіті також необхідно розглянути необхідність включення суб’єктів господарювання, які не є перевізниками, таких як туристичні агентства та туристичні оператори, які надають пов’язані з поїздками послуги, зокрема бронювання авіарейсів, до сфери застосування цієї Директиви.

4. У контексті такого перегляду, проведеного відповідно до цієї статті, Комісія повинна подати, якщо це доцільно, законодавчу пропозицію Європейському Парламенту і Раді щодо внесення змін до цієї Директиви.

Стаття 20
Статистичні дані

1. Держави-члени повинні щорічно надавати Комісії набір статистичної інформації щодо даних ЗРП, наданих ОІП. Така статистика не повинна містити жодних персональних даних.

2. Такі статистичні данні повинні охоплювати щонайменше:

(a) загальну кількість пасажирів, щодо яких здійснювали збір даних ЗРП та обмін ними;

(b) кількість пасажирів, визначених для подальшого вивчення.

Стаття 21
Зв’язок із іншими інструментами

1. Держави-члени можуть і далі застосовувати дво- або багатосторонні угоди чи домовленості між собою щодо обміну інформацією між компетентними органами, чинні станом на 24 травня 2016 року, до міри, у якій такі угоди або домовленості сумісні з цією Директивою.

2. Ця Директива не обмежує застосовності Директиви 95/46/ЄС до опрацювання персональних даних авіаперевізниками.

3. Ця директива не обмежує жодних зобов’язань держав-членів Союзу відповідно до дво- або багатосторонніх угод із третіми країнами.

Стаття 22
Набуття чинності

Ця Директива набуває чинності на двадцятий день після її публікації в Офіційному віснику Європейського Союзу.

Цю Директиву адресовано державам-членам відповідно до Договорів.

Вчинено у Брюсселі 27 квітня 2016 року.

__________
(-1) OB С 218, 23.07.2011, с. 107.
(-2) Позиція Європейського Парламенту від 14 березня 2016 року (ще не опубліковано в Офіційному віснику) і рішення Ради від 21 квітня 2016 року.
(-3) OB С 115, 04.05.2010, с. 1.
(-4) Директива Ради 2004/82/ЄС від 29 квітня 2004 року про зобов’язання перевізників повідомляти дані пасажирів (OB L 261, 06.08.2004, с. 24).
(-5) Рамкове рішення Ради 2002/475/ЮВС від 13 червня 2002 року про боротьбу з тероризмом (OB L 164, 22.06.2002, с. 3).
(-6) Регламент Європейського Парламенту і Ради (ЄС) № 182/2011 від 16 лютого 2011 року про встановлення правил та загальних принципів стосовно механізмів контролю державами-членами здійснення Комісією виконавчих повноважень (OB L 55, 28.02.2011, с. 13).
(-7) Рішення Ради 2009/371/ЮВС від 06 квітня 2009 року про утворення Європейського поліцейського офісу (Європолу) (OB L 121, 15.05.2009, с. 37).
(-8) Рамкове рішення Ради 2006/960/ЮВС від 18 грудня 2006 року про спрощення обміну інформацією та оперативними даними між правоохоронними органами держав-членів Європейського Союзу (OB L 386, 29.12.2006, с. 89).
(-9) Рамкове Рішення Ради 2008/977/ЮВС від 27 листопада 2008 року про захист персональних даних, що їх опрацьовують у рамках поліцейської та судової співпраці в кримінальних справах (OB L 350, 30.12.2008, с. 60).
(-10) Регламент Європейського Парламенту і Ради (ЄС) № 45/2001 від 18 грудня 2000 року про захист осіб у зв’язку з опрацюванням персональних даних установами та органами Співтовариства і про вільний рух таких даних (OB L 8, 12.01.2001, с. 1).
(-11) Директива Європейського Парламенту і Ради 2004/38/ЄС від 29 квітня 2004 року про право громадян Союзу та членів їхніх сімей на вільний рух і проживання на території держав-членів, про внесення змін до Регламенту (ЄЕС) № 1612/68 та про скасування Директив 64/221/ЄЕС, 68/360/ЄЕС, 72/194/ЄЕС, 73/148/ЄЕС, 75/34/ЄЕС, 75/35/ЄЕС, 90/364/ЄЕС, 90/365/ЄЕС та 93/96/ ЄЕС (OB L 158, 30.04.2004, с. 77).
(-12) Регламент Європейського Парламенту і Ради (ЄС) № 562/2006 від 15 березня 2006 року стосовно встановлення Кодексу Співтовариства про правила переміщення осіб через кордони (Шенгенський кодекс про кордони) (OB L 105, 13.04.2006, с. 1).
(-13) Директива Європейського Парламенту і Ради 95/46/ЄС від 24 жовтня 1995 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних та про вільний рух таких даних (OB L 281, 23.11.1995, с. 31).

ДОДАТОК I

Дані запису реєстрації пасажирів, які збирають авіаперевізники

1. Локалізаційний (ідентифікаційний) запис ЗРП

2. Дата бронювання/видачі квитка

3. Дата (дати) запланованої поїздки

4. Ім’я (імена)

5. Адреса та контактна інформація (номер телефону, електронна адреса)

6. Будь-які види платіжної інформації, включно з платіжною адресою

7. Повний опис маршруту для окремих ЗРП

8. Інформація про постійних клієнтів авіаперевізника

9. Туристичне агентство/туристичний агент

10. Статус поїздки пасажира, у тому числі підтвердження, статус реєстрації, інформація про неприбуття пасажира в аеропорт або купівлю квитка незадовго до відправлення

11. Інформація про поділ/розділення інформації ЗРП

12. Загальна інформація (зокрема, вся наявна інформація про осіб, молодших за 18 років без супроводу, наприклад, ім’я та стать (ґендер) неповнолітньої особи, вік, мови, якими володіє особа, імена та контактні деталі опікуна під час відправлення, його/її зв’язок із неповнолітньою особою, ім’я та контактні деталі опікуна під час прибуття та його/її зв’язок із неповнолітньою особою, агент відправлення та прибуття)

13. Інформація, подана на квитку, зокрема номер квитка, дата видачі квитка, квитки в один бік та вартість квитка (ATFQ)

14. Номер місця та інша інформація про місце

15. Інформація про код-шер

16. Будь-яка інформація про багаж

17. Кількість пасажирів у ЗРП та імена інших пасажирів

18. Будь-яка зібрана попередня інформація про пасажирів (ПІП), у тому числі тип, номер, країна видачі та дата закінчення дії будь-якого документа, що посвідчує особу, громадянство, прізвище, ім’я, стать (ґендер), дата народження, номер авіарейсу, дата відправлення, дата прибуття, аеропорт відправлення, аеропорт прибуття, час відправлення, час прибуття

19. Будь-які історичні зміни у даних ЗРП, наведених у пунктах 1-18.

ДОДАТОК II

Перелік злочинів, згаданих у пункті (9) статті 3

1. участь у злочинній організації;

2. торгівля людьми;

3. сексуальна експлуатація дітей і дитяча порнографія;

4. незаконна торгівля наркотичними засобами та психотропними речовинами;

5. незаконна торгівля зброєю, боєприпасами та вибуховими речовинами;

6. корупція;

7. шахрайство, у тому числі проти фінансових інтересів Союзу;

8. відмивання доходів, одержаних злочинним шляхом, та підроблення грошей, у тому числі євро;

9. злочини, пов’язані з комп’ютерними технологіями/кіберзлочини;

10. екологічні злочини, у тому числі незаконна торгівля тваринами таких видів, що перебувають під загрозою вимирання, а також рослинами таких видів і сортів, що перебувають під загрозою зникнення;

11. сприяння незаконному в’їзду та проживанню;

12. вбивство, завдання тяжких тілесних ушкоджень;

13. незаконна торгівля органами та тканинами людини;

14. викрадення, незаконне позбавлення волі та захоплення заручників;

15. організоване або збройне пограбування;

16. незаконна торгівля культурними цінностями, у тому числі антикваріатом і витворами мистецтва;

17. виготовлення контрафактної та піратської продукції;

18. підроблення адміністративних документів та незаконна торгівля ними;

19. незаконна торгівля гормональними речовинами та іншими стимуляторами росту;

20. незаконна торгівля ядерними або радіоактивними матеріалами;

21. зґвалтування;

22. злочини, що підпадають під юрисдикцію Міжнародного кримінального суду;

23. незаконне захоплення повітряних/морських суден;

24. саботаж;

25. торгівля викраденими транспортними засобами;

26. промисловий шпіонаж.