1.   Bij deze richtlijn worden voorschriften vastgesteld inzake:

2.   Overeenkomstig deze richtlijn verzamelde PNR-gegevens mogen uitsluitend worden verwerkt om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen overeenkomstig artikel 6, lid 2, onder a), b) en c).

1.   Indien een lidstaat het besluit neemt deze richtlijn toe te passen op vluchten binnen de EU, brengt hij dit schriftelijk ter kennis van de Commissie. Een lidstaat kan een dergelijke kennisgeving te allen tijde doen of intrekken. De Commissie maakt deze kennisgeving en een eventuele intrekking ervan bekend in het Publicatieblad van de Europese Unie.

2.   Wanneer een in lid 1 bedoelde kennisgeving is gedaan, zijn alle bepalingen van deze richtlijn van toepassing op vluchten binnen de EU alsof het om vluchten naar of vanuit derde landen gaat, en op de PNR-gegevens van vluchten binnen de EU alsof het om PNR-gegevens gaat van vluchten naar of vanuit derde landen.

3.   Een lidstaat kan besluiten de bepalingen van deze richtlijn uitsluitend op geselecteerde vluchten binnen de EU toe te passen. De lidstaat duidt daarbij aan welke vluchten hij met het oog op het nastreven van de doelstellingen van deze richtlijn noodzakelijk acht. De lidstaat kan te allen tijde besluiten de geselecteerde vluchten binnen de EU te wijzigen.

1.   Elke lidstaat richt een instantie op of wijst een bestaande instantie aan die bevoegd is terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen, of wijst een afdeling van een dergelijke instantie aan, om op te treden als zijn passagiersinformatie-eenheid („PIE”).

2.   De PIE heeft tot taak:

3.   Het personeel van een PIE kan uit bevoegde instanties worden gedetacheerd. De lidstaten verschaffen de PIE's toereikende middelen om hun taken te vervullen.

4.   Twee of meer lidstaten (de deelnemende lidstaten) kunnen gezamenlijk een nieuwe instantie oprichten of een bestaande instantie aanwijzen als hun PIE. Deze PIE geldt als de nationale PIE van alle daarin deelnemende lidstaten en wordt in een ervan gevestigd. De deelnemende lidstaten maken gezamenlijk nadere afspraken over de werkwijze van de PIE en nemen daarbij de voorschriften van deze richtlijn in acht.

5.   Iedere lidstaat stelt binnen één maand na de oprichting van zijn PIE de Commissie hiervan in kennis en kan deze kennisgeving op elk moment wijzigen. De Commissie maakt de kennisgeving, alsmede alle wijzigingen ervan, bekend in het Publicatieblad van de Europese Unie.

1.   De PIE benoemt een functionaris voor gegevensbescherming die belast is met het toezicht op de verwerking van PNR-gegevens en met de uitvoering van desbetreffende waarborgen.

2.   De lidstaten bieden de functionarissen voor gegevensbescherming de middelen die zij nodig hebben om de in dit artikel genoemde taken effectief en onafhankelijk uit te voeren.

3.   De lidstaten zorgen ervoor dat een betrokkene het recht heeft zich te wenden tot de functionaris voor gegevensbescherming, die fungeert als enig aanspreekpunt, voor alle aangelegenheden in verband met de verwerking van de PNR-gegevens van die betrokkene.

1.   De door de luchtvaartmaatschappij doorgegeven PNR-gegevens worden door de PIE van de betrokken lidstaat verzameld overeenkomstig artikel 8. Indien de door de luchtvaartmaatschappij doorgegeven PNR-gegevens andere dan de in bijlage I vermelde PNR-gegevens bevatten, worden zij door de PIE onmiddellijk na ontvangst definitief gewist.

2.   De PIE verwerkt de PNR-gegevens uitsluitend voor de volgende doeleinden:

3.   Bij de verrichting van de in lid 2, onder a), bedoelde beoordeling kan de PIE:

4.   Het beoordelen van passagiers vóór hun geplande aankomst in of gepland vertrek uit de lidstaat op grond van lid 3, onder b), volgens vooraf bepaalde criteria wordt op niet-discriminerende wijze verricht. Deze vooraf bepaalde criteria moeten doelgericht, evenredig en specifiek zijn. De lidstaten zorgen ervoor dat deze criteria door de PIE worden vastgesteld en regelmatig worden getoetst, in samenwerking met de in artikel 7 bedoelde bevoegde instanties. Deze criteria mogen onder geen beding gebaseerd zijn op ras, etnische afstamming, religieuze, levensbeschouwelijke of politieke overtuiging, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid van de betrokkene.

5.   De lidstaten zorgen ervoor dat elke positieve overeenkomst die voortvloeit uit het automatisch verwerkingsproces van de PNR-gegevens dat wordt uitgevoerd op grond van lid 2, onder a), per geval wordt gecontroleerd op een niet-geautomatiseerde wijze om te bepalen of de in artikel 7 bedoelde bevoegde instantie maatregelen moet treffen overeenkomstig het nationale recht.

6.   De PNR-gegevens van de overeenkomstig lid 2, onder a), aangemerkte personen of het verwerkingsresultaat van die gegevens worden door de PIE van een lidstaat voor nader onderzoek aan de in artikel 7 bedoelde bevoegde instanties van diezelfde lidstaat doorgezonden. Tot die doorgifte kan alleen per geval worden besloten en, in geval van geautomatiseerde verwerking van PNR-gegevens, na een afzonderlijke niet-geautomatiseerde controle.

7.   De lidstaten zorgen ervoor dat de functionaris voor gegevensbescherming toegang heeft tot alle gegevens die door de PIE worden verwerkt. Indien de functionaris voor gegevensbescherming oordeelt dat een verwerking van gegevens niet rechtmatig was, kan hij de zaak naar de nationale toezichthoudende autoriteit verwijzen.

8.   Het opslaan, verwerken en analyseren van PNR-gegevens door de PIE geschiedt uitsluitend op een beveiligde locatie of beveiligde locaties op het grondgebied van de lidstaten.

9.   Het resultaat van de in lid 2, onder a), van dit artikel bedoelde beoordeling laat onverlet het in Richtlijn 2004/38/EG van het Europees Parlement en de Raad (11) neergelegde recht van personen die het Unierecht van vrij verkeer genieten, om het grondgebied van de betrokken lidstaat te betreden. Bovendien moeten de gevolgen van die beoordeling, indien verricht met betrekking tot vluchten binnen de EU tussen lidstaten waarop Verordening (EG) nr. 562/2006 van het Europees Parlement en de Raad (12) van toepassing is, in overeenstemming zijn met die verordening.

1.   Elke lidstaat stelt een lijst op van de instanties die bevoegd zijn de PIE om PNR-gegevens of het verwerkingsresultaat van die gegevens te verzoeken of PNR-gegevens of het verwerkingsresultaat van die gegevens te ontvangen, teneinde deze informatie nader te onderzoeken of de nodige maatregelen te treffen voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit.

2.   De in lid 1 bedoelde instanties zijn instanties die bevoegd zijn om terroristische misdrijven of ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen.

3.   Voor de toepassing van artikel 9, lid 3, stelt elke lidstaat de Commissie uiterlijk op 25 mei 2017 in kennis van de lijst van zijn bevoegde instanties, welke kennisgeving hij te allen tijde kan wijzigen. De Commissie maakt de kennisgeving en alle wijzigingen ervan bekend in het Publicatieblad van de Europese Unie.

4.   De PNR-gegevens en het verwerkingsresultaat van die gegevens die van de PIE zijn ontvangen, mogen door de bevoegde instanties van de lidstaten uitsluitend met als specifieke doelstellingen het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit verder worden verwerkt.

5.   Lid 4 laat, indien in het kader van handhavingsmaatregelen die naar aanleiding van de verwerking worden getroffen, andere strafbare feiten of aanwijzingen daarvoor aan het licht komen, de nationale justitiële en rechtshandhavingsbevoegdheden onverlet.

6.   De bevoegde instanties nemen geen besluiten, uitsluitend op grond van de geautomatiseerde verwerking van de PNR-gegevens, die voor de betrokkene nadelige juridische of andere ingrijpende gevolgen hebben. Deze besluiten mogen niet gebaseerd zijn op de raciale of etnische afkomst, de godsdienstige of levensbeschouwelijke overtuiging, de politieke opvattingen, het lidmaatschap van een vakvereniging, de gezondheid, het seksleven of de seksuele geaardheid van de betrokkene.

1.   De lidstaten treffen de nodige maatregelen om ervoor te zorgen dat luchtvaartmaatschappijen, door middel van de „push”-methode, de in bijlage I vermelde PNR-gegevens, voor zover zij deze gegevens in het kader van hun normale bedrijfsvoering reeds hebben verzameld, versturen naar de databank van de PIE van de lidstaat waar de vlucht zal aankomen en/of vertrekken. Bij een internationale vlucht die een code-sharingvlucht van twee of meer luchtvaartmaatschappijen is, rust de verplichting om de PNR-gegevens van alle passagiers door te geven op de maatschappij die de vlucht uitvoert. Omvat een vlucht naar of vanuit derde landen een of meer tussenlandingen op luchthavens van de lidstaten, dan geven de luchtvaartmaatschappijen de PNR-gegevens van alle passagiers door aan de PIE's van de betrokken lidstaten. Dit geldt eveneens in het geval van een vlucht binnen de EU met een of meer tussenlandingen op luchthavens van verschillende lidstaten, maar dan uitsluitend met betrekking tot lidstaten die PNR-gegevens van vluchten binnen de EU verzamelen.

2.   In het geval dat de luchtvaartmaatschappijen API-gegevens (advance passenger information) in de zin van punt 18 van bijlage I hebben verzameld, maar deze gegevens niet bewaren door middel van dezelfde technische middelen als voor andere PNR-gegevens, nemen de lidstaten de nodige maatregelen om ervoor te zorgen dat de luchtvaartmaatschappijen deze gegevens tevens doorgeven, door middel van de „push”-methode, aan de PIE van de in lid 1 bedoelde lidstaten. In geval van een dergelijke doorgifte zijn alle bepalingen van deze richtlijn op die API-gegevens van toepassing.

3.   De PNR-gegevens worden door de luchtvaartmaatschappijen langs elektronische weg verstrekt, waarbij zij gebruikmaken van de gemeenschappelijke protocollen en de ondersteunde dataformaten die volgens de onderzoeksprocedure bedoeld in artikel 17, lid 2, worden vastgesteld, of, in geval van technische storing, van andere passende middelen die een passend niveau van gegevensbeveiliging garanderen:

4.   De lidstaten staan de luchtvaartmaatschappijen toe om de in lid 3, onder b), bedoelde doorgifte te beperken tot wijzigingen van de in dat lid, onder a), bedoelde doorgiften.

5.   Indien toegang tot PNR-gegevens noodzakelijk is om te kunnen reageren op een specifieke en concrete dreiging die verband houdt met terroristische misdrijven of ernstige criminaliteit, worden door de luchtvaartmaatschappijen, per geval, en op verzoek van een PIE volgens het nationale recht, PNR-gegevens verstrekt op andere dan de in lid 3 vermelde tijdstippen.

1.   De lidstaten zorgen ervoor dat, met betrekking tot personen die overeenkomstig artikel 6, lid 2, door een PIE zijn aangemerkt, die eenheid alle relevante en noodzakelijke PNR-gegevens of het verwerkingsresultaat van die gegevens overdraagt aan de overeenkomstige PIE's van de andere lidstaten. De PIE's van de ontvangende lidstaten geven in overeenstemming met artikel 6, lid 6, de ontvangen informatie door aan hun bevoegde instanties.

2.   De PIE van een lidstaat heeft het recht om, in voorkomend geval, bij de PIE van een andere lidstaat te verzoeken om de PNR-gegevens die deze in haar databank bewaart en die nog niet overeenkomstig artikel 12, lid 2, door middel van afscherming van gegevenselementen zijn gedepersonaliseerd, alsmede ook, indien nodig, het verwerkingsresultaat van die gegevens, als de verwerking reeds overeenkomstig artikel 6, lid 2, onder a), is uitgevoerd. Dit verzoek moet behoorlijk worden gemotiveerd. Zij kan worden gebaseerd op elk gegevenselement of op een combinatie daarvan, naargelang de verzoekende PIE zulks in een bepaald geval nodig acht voor het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit. De PIE's verstrekken de informatie waarom werd verzocht zo spoedig mogelijk. Indien de gegevens waarom werd verzocht overeenkomstig artikel 12, lid 2, door afscherming van gegevenselementen zijn gedepersonaliseerd, worden de volledige PNR-gegevens door de PIE slechts verstrekt indien redelijkerwijs wordt aangenomen dat dit nodig is voor de toepassing bedoeld in artikel 6, lid 2, onder b), en mits zij daartoe van een in artikel 12, lid 3, onder b), bedoelde instantie de toestemming heeft gekregen.

3.   De bevoegde instanties van een lidstaat kunnen, uitsluitend in noodgevallen en volgens de voorwaarden bepaald in lid 2, rechtstreeks de PIE van een andere lidstaat verzoeken om de PNR-gegevens die deze in haar databank bewaart. De verzoeken van de bevoegde instanties worden gemotiveerd. Van het verzoek wordt steeds een exemplaar aan de PIE van de verzoekende lidstaat toegestuurd. In alle overige gevallen doen de bevoegde instanties hun verzoek via de PIE van hun eigen lidstaat.

4.   In uitzonderlijke gevallen, waarin toegang tot PNR-gegevens noodzakelijk is om te kunnen reageren op een specifieke en concrete dreiging in verband met terroristische misdrijven of ernstige criminaliteit, heeft de PIE van een lidstaat het recht om de PIE van een andere lidstaat te verzoeken in overeenstemming met artikel 8, lid 5, PNR-gegevens op te vragen, en deze aan de verzoekende PIE te verstrekken.

5.   Uitwisseling van informatie op grond van dit artikel kan via bestaande kanalen voor samenwerking tussen de bevoegde instanties van lidstaten plaatsvinden. Verzoeken om en uitwisseling van informatie geschieden in de taal die voor het gekozen kanaal gebruikelijk is. Wanneer de lidstaten de in artikel 4, lid 5, bedoelde kennisgeving doen, verstrekken zij de Commissie ook nadere gegevens over de contactpunten waaraan in noodgevallen verzoeken kunnen worden toegezonden. De Commissie deelt deze nadere gegevens mee aan de lidstaten.

1.   Binnen de grenzen van zijn bevoegdheden en met het oog op de uitvoering van zijn taken heeft Europol het recht de PIE's van de lidstaten om PNR-gegevens en het verwerkingsresultaat van die gegevens te verzoeken.

2.   Europol kan per geval, via de nationale Europol-eenheid, bij de PIE van een lidstaat langs elektronische weg een met redenen omkleed verzoek om doorgifte van specifieke PNR-gegevens of het verwerkingsresultaat van die gegevensindienen. Europol kan een dergelijk verzoek indienen wanneer dat strikt noodzakelijk is ter ondersteuning of versterking van het optreden van de lidstaten, gericht op het voorkomen, opsporen of onderzoeken van een specifiek terroristisch misdrijf of ernstige criminaliteit, mits een dergelijk misdrijf of die vorm van criminaliteit onder de bevoegdheid van Europol valt krachtens Besluit 2009/371/JBZ. In dat verzoek worden gegronde redenen aangevoerd op basis waarvan Europol van oordeel is dat de doorgifte van PNR-gegevens of van het verwerkingsresultaat van PNR-gegevens aanzienlijk zal bijdragen tot het voorkomen, opsporen of onderzoeken van het misdrijf in kwestie.

3.   Europol stelt de functionaris voor gegevensbescherming, die is aangesteld overeenkomstig artikel 28 van Besluit 2009/371/JBZ, in kennis van elke informatie-uitwisseling uit hoofde van het onderhavige artikel.

4.   Informatie-uitwisseling krachtens dit artikel geschiedt via SIENA en in overeenstemming met Besluit 2009/371/JBZ. Voor het verzoek om en de uitwisseling van informatie wordt de taal gebruikt die in het kader van SIENA gebruikelijk is.

1.   Doorgifte door een lidstaat aan een derde land van PNR-gegevens en van het verwerkingsresultaat van die gegevens die de PIE in overeenstemming met artikel 12 heeft opgeslagen, is uitsluitend toegestaan per geval, en mits:

2.   Niettegenstaande artikel 13, lid 2, van Kaderbesluit 2008/977/JBZ, wordt de doorgifte van PNR-gegevens zonder voorafgaande toestemming van de lidstaat van welke de gegevens werden verkregen toegestaan in buitengewone omstandigheden en alleen indien:

De voor het verlenen van toestemming bevoegde autoriteit wordt onverwijld geïnformeerd en de doorgifte wordt naar behoren geregistreerd en onderworpen aan een controle achteraf.

3.   De lidstaten geven uitsluitend PNR-gegevens door aan de bevoegde autoriteiten van derde landen onder voorwaarden die aan deze richtlijn voldoen en na te hebben vastgesteld dat het gebruik dat de ontvanger van de PNR-gegevens wenst te maken, aan die voorwaarden en waarborgen voldoet.

4.   De functionaris voor gegevensbescherming van de PIE van de lidstaat die de PNR-gegevens heeft doorgegeven, wordt op de hoogte gebracht telkens wanneer de lidstaat PNR-gegevens krachtens dit artikel doorgeeft.

1.   De lidstaten zorgen ervoor dat de door de luchtvaartmaatschappijen aan de PIE verstrekte PNR-gegevens bij die PIE in een databank worden bewaard gedurende een termijn van vijf jaar nadat de gegevens zijn doorgegeven aan de PIE van de lidstaat waar de vlucht aankomt of vertrekt.

2.   Wanneer een termijn van zes maanden is verstreken nadat de PNR-gegevens overeenkomstig lid 1 zijn doorgegeven, worden de PNR-gegevens gedepersonaliseerd door afscherming van de volgende gegevenselementen waaruit de identiteit van de passagier op wie de PNR-gegevens betrekking hebben, rechtstreeks zou kunnen worden afgeleid:

3.   Wanneer de in lid 2 bedoelde termijn van zes maanden is verstreken, wordt mededeling van de volledige PNR-gegevens uitsluitend toegestaan als:

4.   De lidstaten zorgen ervoor dat de PNR-gegevens na het verstrijken van de in lid 1 bedoelde termijn definitief worden gewist. Deze verplichting geldt niet indien bepaalde PNR-gegevens zijn doorgegeven aan een bevoegde instantie en worden gebruikt in het kader van een specifieke zaak met het oog op het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit; in dat geval beheerst het nationale recht het bewaren van de gegevens door de bevoegde instantie.

5.   De PIE bewaart het resultaat van de in artikel 6, lid 2, onder a), bedoelde verwerking niet langer dan noodzakelijk is om een overeenstemming te kunnen melden aan de bevoegde instanties en, overeenkomstig artikel 9, lid 1, aan de PIE's van andere lidstaten. Indien het resultaat van geautomatiseerde verwerking na een afzonderlijke niet-geautomatiseerde controle als bedoeld in artikel 6, lid 5, negatief blijkt te zijn, kan dit niettemin worden opgeslagen om „valse” overeenkomsten in de toekomst te voorkomen, voor zover de onderliggende gegevens niet op grond van lid 4 van dit artikel worden gewist.

1.   Iedere lidstaat zorgt ervoor dat iedere passagier ten aanzien van elke verwerking van persoonsgegevens krachtens deze richtlijn hetzelfde recht heeft inzake bescherming van hun persoonsgegevens, alsook het recht op toegang, rectificatie en wissen, het recht van beperking, het recht op schadevergoeding en het recht op het aanwenden van rechtsmiddelen, als zijn vastgelegd in nationaal recht en Unierecht en in de bepalingen ter uitvoering van de artikelen 17, 18, 19 en 20 van Kaderbesluit 2008/977/JBZ. Deze artikelen zijn derhalve van toepassing.

2.   Iedere lidstaat zorgt ervoor dat de bepalingen die ter uitvoering van de artikelen 21 en 22 van Kaderbesluit 2008/977/JBZ betreffende de vertrouwelijkheid van de verwerking en de beveiliging van gegevens in het nationale recht zijn vastgesteld, ook van toepassing zijn op elke verwerking van persoonsgegevens krachtens deze richtlijn.

3.   Deze richtlijn doet geen afbreuk aan de toepasselijkheid van Richtlijn 95/46/EG van het Europees Parlement en de Raad (13) op de verwerking van persoonsgegevens door luchtvaartmaatschappijen, en met name hun verplichtingen om passende technische en organisatorische maatregelen te treffen met het oog op de bescherming van de veiligheid en vertrouwelijkheid van persoonsgegevens.

4.   De lidstaten verbieden dat uit de verwerking van PNR-gegevens ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, vakbondslidmaatschap, gezondheid of seksuele geaardheid van de betrokkene blijkt. Indien de PIE PNR-gegevens ontvangt waaruit dergelijke informatie blijkt, worden deze onmiddellijk gewist.

5.   De lidstaten zorgen ervoor dat de PIE documentatie bijhoudt inzake alle verwerkingssystemen en -procedures die onder haar verantwoordelijkheid vallen. Deze documentatie omvat ten minste:

De PIE stelt op verzoek alle documentatie ter beschikking aan de nationale toezichthoudende autoriteit.

6.   De lidstaten zorgen ervoor dat de PIE registraties bijhoudt van ten minste de volgende verwerkingsactiviteiten: verzamelen, raadplegen, meedelen en wissen. De registraties inzake raadpleging en mededeling bevatten met name informatie over het doel, de datum en het tijdstip van raadpleging of mededeling, en voor zover mogelijk, de identiteit van de persoon die de PNR-gegevens heeft geraadpleegd of medegedeeld, en de identiteit van de ontvangers van die gegevens. De registraties worden uitsluitend gebruikt voor verificatie, voor interne controle, voor het waarborgen van de integriteit en beveiliging van de gegevens, of voor controle in het kader van toezicht. De PIE stelt op verzoek alle registraties ter beschikking van de nationale toezichthoudende autoriteit.

Die registraties worden 5 jaar bewaard.

7.   De lidstaten zorgen ervoor dat hun PIE passende technische en organisatorische maatregelen en procedures ten uitvoer legt om een hoog veiligheidsniveau te waarborgen dat passend is voor de risico's die de verwerking en de aard van de PNR-gegevens met zich brengen.

8.   De lidstaten zorgen ervoor dat van inbreuken in verband met persoonsgegevens die naar verwachting een groot risico voor de bescherming van de persoonsgegevens met zich brengen of die de persoonlijke levenssfeer van de betrokkene in ongunstige zin aantasten, door de PIE onverwijld kennis wordt gegeven aan de betrokkene en aan de nationale toezichthouder.

1.   Elke lidstaat bepaalt dat de in artikel 25 van Kaderbesluit 2008/977/JBZ bedoelde nationale toezichthoudende autoriteit ook is belast met advisering en toezicht met betrekking tot de toepassing op zijn grondgebied van de krachtens deze richtlijn door de lidstaten vastgestelde bepalingen. Artikel 25 van Kaderbesluit 2008/977/JBZ is van toepassing.

2.   Deze nationale toezichthoudende autoriteiten verrichten activiteiten uit hoofde van lid 1 met het oog op de bescherming van de grondrechten in verband met de verwerking van persoonsgegevens.

3.   Elke nationale toezichthoudende autoriteit:

4.   Elke nationale toezichthoudende autoriteit adviseert op verzoek elke betrokkene over de uitoefening van zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde bepalingen.

1.   Elke doorgifte van PNR-gegevens door luchtvaartmaatschappijen aan PIE's die plaatsvindt in het kader van de toepassing van deze richtlijn geschiedt langs elektronische weg, waarbij voldoende waarborgen worden geboden met betrekking tot de technische veiligheidsmaatregelen en organisatorische maatregelen inzake de uit te voeren verwerking. Bij een technische storing kunnen de PNR-gegevens op een andere passende wijze worden doorgegeven, mits hetzelfde beveiligingsniveau behouden blijft en het Unierecht op het gebied van gegevensbescherming volledig wordt geëerbiedigd.

2.   Met ingang van één jaar na de datum waarop de Commissie, overeenkomstig lid 3, voor de eerste keer gemeenschappelijke protocollen en ondersteunde dataformaten heeft vastgesteld, wordt iedere doorgifte van PNR-gegevens door een luchtvaartmaatschappij aan de PIE die plaatsvindt in het kader van de toepassing van deze richtlijn langs elektronische weg uitgevoerd, met behulp van veilige methoden die in overeenstemming zijn met deze gemeenschappelijke protocollen. Deze protocollen gelden voor alle doorgiften, teneinde de beveiliging van de PNR-gegevens tijdens de doorgifte te waarborgen. De PNR-gegevens worden doorgegeven in een ondersteund dataformaat, teneinde ervoor te zorgen dat de gegevens voor alle betrokken partijen leesbaar zijn. Alle luchtvaartmaatschappijen zijn verplicht het gemeenschappelijk protocol en het dataformaat die zij bij de doorgifte voornemens zijn te gebruiken, uit te kiezen en de PIE daarvan in kennis te stellen.

3.   De lijst van gemeenschappelijke protocollen en ondersteunde dataformaten wordt door middel van uitvoeringshandelingen door de Commissie opgesteld en indien nodig aangepast. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 17, lid 2, bedoelde onderzoeksprocedure.

4.   Zolang de gemeenschappelijke protocollen en ondersteunde dataformaten bedoeld in de leden 2 en 3, niet beschikbaar zijn, is lid 1 van toepassing.

5.   Binnen een jaar na de datum van vaststelling van de gemeenschappelijke protocollen en ondersteunde dataformaten bedoeld in lid 2, zorgt iedere lidstaat ervoor dat de technische maatregelen worden genomen die nodig zijn om de gemeenschappelijke protocollen en ondersteunde dataformaten te kunnen gebruiken.

1.   De Commissie wordt bijgestaan door een comité. Dit is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   In de gevallen waarin naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Indien het comité geen advies heeft uitgebracht, stelt de Commissie de ontwerpuitvoeringshandeling niet vast, en is artikel 5, lid 4, derde alinea, van Verordening (EU) nr. 182/2011 van toepassing.

1.   De lidstaten doen de nodige wettelijke en bestuursrechtelijke bepalingen in werking treden om aan deze richtlijn te voldoen uiterlijk op 25 mei 2018. Zij stellen de Commissie daarvan onverwijld in kennis.

Wanneer lidstaten deze bepalingen aannemen, wordt daarin naar de onderhavige richtlijn verwezen of wordt hiernaar verwezen bij de officiële bekendmaking van die bepalingen. De regels voor deze verwijzing worden vastgesteld door de lidstaten

2.   De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mede die zij op het onder deze richtlijn vallende gebied vaststellen.

1.   Op basis van de door de lidstaten verstrekte informatie, waaronder de in artikel 20, lid 2, bedoelde statistische gegevens, evalueert de Commissie uiterlijk op 25 mei 2020 alle elementen van deze richtlijn en dient zij bij het Europees Parlement en bij de Raad een verslag in en licht zij dit toe.

2.   Bij deze evaluatie besteedt de Commissie bijzondere aandacht aan:

3.   Het in lid 1 bedoelde verslag bevat ook een evaluatie van de noodzakelijkheid, evenredigheid en doeltreffendheid van het in het toepassingsgebied van deze richtlijn opnemen van het verplicht verzamelen en doorgeven van PNR-gegevens inzake alle of een aantal uitgekozen vluchten binnen de EU. De Commissie houdt rekening met de ervaring die in de lidstaten is opgedaan, en met name in de lidstaten die deze richtlijn toepassen op vluchten binnen de EU overeenkomstig artikel 2. In het verslag wordt ook aandacht besteed aan de noodzaak om marktdeelnemers die geen luchtvaartmaatschappij zijn, zoals reisbureaus en touroperators die diensten in verband met reizen aanbieden, met inbegrip van het boeken van vluchten, in het toepassingsgebied van deze richtlijn op te nemen.

4.   De Commissie stelt, indien nodig in het licht van de op grond van dit artikel gevoerde evaluatie, een wetgevingsvoorstel op voor het Europees Parlement en voor de Raad met het oog op de wijziging van deze richtlijn.

1.   De lidstaten verstrekken de Commissie jaarlijks statistische informatie over de aan de PIE's verstrekte PNR-gegevens. Deze statistieken bevatten geen persoonsgegevens.

2.   De statistieken omvatten ten minste:

1.   De lidstaten mogen onderling de bilaterale of multilaterale overeenkomsten of regelingen betreffende de uitwisseling van informatie tussen de bevoegde instanties die op 24 mei 2016 van kracht zijn, blijven toepassen voor zover deze overeenkomsten of regelingen verenigbaar zijn met deze richtlijn.

2.   Deze richtlijn doet geen afbreuk aan de toepasselijkheid van Richtlijn 95/46/EG op de verwerking van persoonsgegevens door luchtvaartmaatschappijen.

3.   Deze richtlijn laat bestaande verplichtingen en verbintenissen van lidstaten of de Unie op grond van bilaterale of multilaterale overeenkomsten met derde landen, onverlet.