Høringssvar om ændring af PET-loven og toldloven (PNR-adgang til PET via SKAT)

Høringsmaterialet kan ses her
http://hoeringsportalen.dk/Hearing/Details/49480

Lovforslaget giver SKAT mulighed for at indsamle Passenger Name Record (PNR) oplysninger vedrørende flyafgange til og fra danske lufthavne og videregive disse oplysninger til PET til brug for tjenestens arbejde med forebyggelse og efterforskning af overtrædelser af straffelovens kapitel 12 og 13 (primært terror i denne sammenhæng).

SKAT kan som noget nyt efter lovforslaget indsamle PNR-oplysninger, som SKAT ikke selv har brug for. Det er PET som afgør hvilke oplysninger der skal udleveres fra SKAT. Desuden indfører lovforslaget krav om, at flyselskaberne skal aflevere PNR-oplysninger til SKAT i digital form. Det er hensigten at opbygge et dansk PNR-system, som bærer visse ligheder til det europæiske PNR-system, som er foreslået i PNR-direktivet, 2011/0023 (COD), der p.t. behandles af Europaparlamentet og Rådet for Den Europæiske Union.

Lovforslaget i forhold til gældende dansk PNR-lovgivning

Ifølge lovforslagets bemærkninger har SKAT via toldlovens § 17 allerede i dag adgang til alle 19 PNR-oplysninger undtagen de såkaldte API oplysninger fra direktiv 2004/82/EF om om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (punkt 18 i listen med PNR-oplysninger). Hvis man sammenligner listen af oplysninger i Artikel 3, stk. 2 i 2004/82/EF med listen af PNR-oplysninger punkt 1-17, er det personlige oplysninger om passagerens nationalitet, rejselegitimation (type og nummer) og fødselsdato, som SKAT ikke for nærværende må indsamle.

PET kan få adgang til alle disse oplysninger til forebyggelse og efterforskning af terror jf. PET-loven § 4, men PET kan ikke pålægge SKAT at indsamle oplysninger, som SKAT ikke selv har brug for. SKAT kan heller ikke gøre dette på eget initiativ.

Som IT-Politisk Forening læser bemærkningerne til lovforslaget, indsamler SKAT i dag PNR-oplysninger for alle flyvninger til Danmark fra udlandet, inklusive flyvninger fra andre EU-lande. Lovforslaget vil give SKAT adgang til at indsamle flere PNR-oplysninger for de pågældende flyvninger via toldlovens § 17, og det vil direkte fremgå af toldlovens § 17, at SKAT indsamler disse oplysninger til eget brug og til PET. I dag er PETs adgang til PNR-oplysningerne kun indirekte reguleret via den generelle bestemmelse i PET-lovens § 4. Den primære begrundelse for dette er at skabe et retligt grundlag for at SKAT kan indsamle PNR-oplysninger, som SKAT ikke selv har brug for.

PET har i dag en selvstændig adgang til at indsamle PNR-oplysninger fra flyselskaberne i luftfartsloven § 148 a, som blev vedtaget af Folketinget i forbindelse med anti-terrorpakke II i 2006. Luftfartsloven § 148 a giver PET en dansk lovhjemmel til at få adgang til flyselskabernes bookingsystemer, og det var meningen at et dansk PNR-system skulle opbygges på det grundlag.

Tekniske problemer, herunder en erkendelse af at flyselskabernes bookingsystemer var mere teknisk komplicerede og uensartede end oprindeligt antaget, har gjort, at disse planer ikke er blevet realiseret. Mellem 2010 og 2012 (ifølge svar på REU spørgsmål) besluttede Justitsministeriet sig for i stedet at afvente vedtagelsen af EU PNR-direktivet, da dette i sagens natur vil indebære, at en teknisk infrastruktur til udveksling af PNR-oplysninger med nationale myndigheder etableres. Dansk deltagelse i EU PNR-direktivet forudsætter en ændring af retsforbeholdet.

I forhold til luftfartsloven § 148 a får PET med det nye lovforslag en udvidet adgang til historiske PNR-oplysninger, idet SKAT får hjemmel til at gemme disse i op til 2 år, mens luftfartsloven § 148 a, stk. 1 kun forpligter luftfartsselskaberne til at gemme oplysninger i 1 år.

Generelle bemærkninger til lovforslaget fra IT-Politisk Forening

Lovforslaget indebærer endnu mere dansk EU-enegang i PNR spørgsmålet, endda for anden gang i indeværende folketingsår. IT-Politisk Forening mener, at lovforslaget grundlæggende er forhastet, og at det ikke bør vedtages i nuværende form. Begrundelsen for dette er følgende seks punkter:

  1. Der må forventes en afklaring om EU PNR-direktivet inden for det næste års tid. Der har indtil starten af 2015 været modstand i Europaparlamentet mod et PNR-direktiv, uagtet at Rådet for Den Europæiske Union har presset kraftigt på for at få PNR-direktivet vedtaget, men nu synes Europarlamentet at være villig til at indgå et kompromis med Rådet om PNR-direktivet. Den endelige udformning af PNR-direktivet er dog stadig uklar. LIBE udvalget er ved at udarbejde en betænkning, og i den forbindelse er der allerede nu 836 ændringsforslag til Kommissionens direktivforslag.
  2. Et EU PNR-direktiv vil pålægge medlemsstaterne at sikre indsamling af PNR-oplysninger, men derudover kan et PNR-direktiv også begrænse hvilke PNR-oplysninger der må indsamles, og til hvilke formål de må anvendes. Hvorvidt PNR-direktivet i den (eventuelle) endelige vedtagelse vil begrænse nationale PNR-love er selvsagt uafklaret, men det er på ingen måde udelukket, blandt andet fordi der skal findes et kompromis mellem Rådet og Europaparlamentet, hvor i hvert fald visse grupper er stærkt bekymrede for de europæiske borgeres ret til persondatabeskyttelse i forhold til PNR-indsamling. I den forbindelse skal det bemærkes, at nationale PNR-love i høj grad berører borgere i andre medlemsstater, så det vil være helt naturligt, hvis EU lovgiver om dette for at sikre at alle europæiske borgeres ret til persondata­beskyttelse respekteres, i overensstemmelse med Charter om Grundlæggende Rettigheder.
  3. Vi kan ikke se, at der skulle være noget akut behov for at give PET udvidet adgang til PNR-oplysninger lige nu, idet Justitsministeret og PET har brugt 9 år på at overveje hvordan beføjelserne fra luftfartsloven § 148 a skulle implementeres i praksis. Derfor er der ingen grund til at vedtage en dansk PNR-lov nu, som Folketinget måske vil være nødt til at revidere inden for 1-2 år på grund af PNR-direktivet. Udover muligheden for at PNR-direktivet direkte kan forbyde visse PNR-indsamlinger eller anvendelser på nationalt niveau, som nævnt i punkt 2, er der et hensyn til de administrative byrder som staten pålægger flyselskaberne. Det vil være dobbelt arbejde for flyselskaberne, hvis de skal indberette oplysninger til den danske afdeling af et EU PNR-system og til et særskilt dansk PNR-system. Et af formålene med PNR-direktivet er netop at harmonisere flyselskabernes forpligtelser.
  4. Dansk deltagelse i PNR-direktivet er p.t. ikke muligt på grund af retsforbeholdet, men der er for nylig indgået en bred politisk aftale om at den danske befolkning senest i første kvartal 2016 skal til folkeafstemning om at ændre retsforbeholdet til en tilvalgsordning, som vil gøre dansk deltagelse i PNR-direktivet mulig.
  5. Efter dommen om logningsdirektivet ved EU-domstolen den 8. april 2014, er der kommet fornyet diskussion om, hvorvidt et obligatorisk PNR-system er foreneligt med de grundlæggende rettigheder, som EU-borgerne er garanteret efter Charteret. Justitsministeriet har i nærværende lovforslag en række bemærkninger herom, som vi kommenterer nedenfor. EU har tidligere indgået bilaterale PNR-aftaler med USA, Canada og Australien, men i forbindelse med en fornyelse af aftalen med Canada, ville Europaparlamentet i november 2014 ikke umiddelbart ratificere denne. I stedet blev EU-domstolen anmodet om at udtale sig om, hvorvidt EU-Canada PNR-aftalen er forenelig med Charteret. Udtalelsen fra EU-domstolen kan meget vel få betydning for såvel EU PNR-direktivet som nationale PNR-love, herunder de danske.
  6. På grund af den nye diskussion om foreneligheden med grundlæggende rettigheder (privatliv og persondatabeskyttelse) mener IT-Politisk Forening, at der er behov for en samlet undersøgelse af de eksisterende danske PNR-love, før der vedtages mere lovgivning på dette område.

Udover denne generelle anbefaling om at lovforslaget er forhastet, har IT-Politisk Forening en række mere specifikke bemærkninger til lovforslaget i den følgende del af høringssvaret.

For en god ordens skyld vil vi også benytte lejligheden til at påpege, at IT-Politisk Forening af rent principielle grunde er modstander af, at staten registrerer oplysninger om borgernes rejseaktiviteter. Det gælder uanset om borgerne transporterer sig i bil (masseovervågning med automatisk nummerpladegenkendelse), i bus eller tog, skib, eller med fly (PNR masseovervågning).

Loven regulerer udenlandske flyselskaber

Lovforslaget giver SKAT hjemmel til at behandle PNR-oplysninger modtaget fra flyselskaberne, og lovforslaget forpligter flyselskaberne til at udlevere PNR-oplysningerne til SKAT. Det samme gælder naturligvis den eksisterende lovbestemmelse i toldloven § 17 (som nu udvides).

Et andet spørgsmål er imidlertid, om det er lovligt for flyselskabet at videregive PNR-oplysningerne til den danske stat. Flyselskaberne er dataansvarlige for PNR-oplysningerne, og flyselskaberne er i den henseende reguleret af den nationale databeskyttelseslovgivning i det land, hvor de er juridisk hjemmehørende. Selv om de nationale databeskyttelseslove i Europa er baseret på samme EU-direktiv (1995/46/EF), er der en del nationale forskelle i udmøntningen, og der er nationale forskelle i hvordan lovgivningen administreres, herunder afgørelser og fortolkninger fra de nationale datatilsynsmyndigheder. Der er heller ikke for nærværende en fælles EU-lovgivning om brug af PNR-oplysninger til retshåndhævelse eller toldkontrol. Der er p.t. kun en fælles EU-lovgivning om indsamling af API-oplysninger til grænsekontrol ved de ydre grænser (direktiv 2004/82/EF).

Hvis flyselskabet er juridisk hjemmehørende i Danmark, vil dansk lov naturligvis forpligte flyselskabet til at videregive PNR-oplysningerne til SKAT og PET. Ligeledes kan dansk lov pålægge forpligtelser over for udenlandske flyselskaber med forbindelser til danske lufthavne, men det vil være meget uheldigt, hvis dansk lov pålægger udenlandske flyselskaber at videregive PNR-oplysninger, som flyselskaberne ikke lovligt kan videregive efter deres respektive nationale databeskyttelseslovgivning.

I den forbindelse skal vi henvise til Datatilsynets høringssvar af 3. februar 2006 vedr. L 94 i 2005-06 samlingen (Bilag 5 til L 94). Datatilsynet påpeger blandt andet i høringssvaret om en PNR-bestemmelse i udlændingeloven, at flyselskaber i andre EU-lande vil være omfattet af databeskyttelsesloven i deres hjemland, og at deres nationale databeskyttelseslov ikke nødvendigvis tillader, at de ønskede oplysninger kan videregives til dansk politi.

Hvorvidt europæiske flyselskaber efter deres respektive nationale databeskyttelseslovgivning må videregive PNR-oplysninger til danske myndigheder vil formentlig blandt andet afhænge af til hvilket formål danske myndigheder anvender de indsamlede PNR-oplysninger, hvor længe de opbevares og hvilke databeskyttelsesgarantier der gælder for adgangen til oplysningerne mens de opbevares.

Det kan meget vel gøre en forskel, for i hvert fald nogle EU-landes databeskyttelsesmyndigheder, om PNR/API-oplysninger slettes efter 24 timer, eller om de må opbevares i flere år og bruges til avancerede profiling (profilering) og data-mining analyser.

Det kan måske også gøre en forskel, hvilke danske myndigheder der har hjemmel til at behandle PNR-oplysningerne, og til hvilke formål. I danske PNR-love har vi nu fire forskellige forskellige formål i spil: toldkontrol, grænsekontrol ved ydre grænser (jf. EU direktiv 2004/82/EF), udlændingekontrol ved indre (Schengen) grænser, og forebyggelse og efterforskning af terror hos PET. PNR-oplysninger indsamlet af SKAT kan bruges til tre af disse formål (hvis nærværende lovforslag vedtages).

Hvis der en dag kommer et EU PNR-direktiv med en udtømmende liste af formål for behandlingen af PNR-oplysninger indsamlet efter direktivet, kan det meget vel få indflydelse på, om nationale databeskyttelses­myndigheder i andre EU-lande vil tillade videregivelse til andre formål hos danske myndigheder.

Da lovforslaget udvider danske myndigheders adgang til PNR-oplysninger, kan det forhold i sig selv have betydning for, om flyselskaber i visse EU lande må videregive oplysningerne til SKAT. Efter lovforslaget må SKAT indsamle flere oplysninger, opbevare dem i længere tid, og når PNR-oplysningerne videregives til PET, er der meget få databeskyttelsesgarantier. PET kan sågar videregive PNR-oplysningerne til FE, jf. PET-loven § 10, stk. 1, og FE kan derefter videregive oplysningerne til sine udenlandske samarbejdspartnere, herunder NSA. FE-loven indeholder ingen reelle databeskyttelsesgarantier for videregivelse af personoplysninger om ikke-danske borgere.

IT-Politisk Forening skal anbefale, at det i lovforslagets bemærkninger præciseres, at udenlandske flyselskaber ikke er forpligtet til at videregive PNR-oplysninger til SKAT, hvis denne videregivelse vil stride mod databeskyttelses­lovgivningen i det land, hvor flyselskabet er hjemhørende.

Uden en sådan præcisering risikerer Folketinget at skabe en situation, hvor et udenlandsk flyselskab må vælge mellem at overtræde en dansk PNR-lov (strafsanktioneret med bøder) eller deres nationale databeskyttelseslov, hvor overtrædelse ligeledes vil være sanktioneret med straf. Det vil være en helt uacceptabelt situation, ikke mindst for samarbejdet inden for den Europæiske Union.

Forhold mellem lovforslaget og EU PNR-direktivet

Lovforslagets bemærkninger indeholder en redegørelse for arbejdet med det europæiske PNR-system. Den danske regering støtter EU PNR-direktivet. IT-Politisk Forening formoder, at regeringen dermed ønsker dansk deltagelse i EU PNR-direktivet, forudsat at retsforbeholdet ved den kommende folkeafstemning ændres til en tilvalgsordning, således at dansk deltagelse bliver muligt.

Desværre er der ingen bemærkninger i lovforslaget om, hvorvidt det skitserede danske PNR-system vil være foreneligt med PNR-direktivet. I bemærkningerne afsnit 2.4 nævnes at et dansk PNR-system i videst muligt omfang skal flugte med det europæiske PNR-system. Den bemærkning undrer vi os over.

Meningen med PNR-direktivet er at harmonisere PNR indsamlingen i EU (jf. bl.a. betragtning 29 i PNR-direktivforslaget), og det vil være i modstrid med denne hensigt, hvis medlemsstaterne opbygger parallelle nationale PNR-systemer. Spørgsmålet er også om PNR-direktivet, hvis det vedtages, overhovedet vil tillade nationale PNR-systemer, der overlapper med PNR-direktivet, og måske er i konflikt med PNR-direktivets formålsbegrænsninger eller databeskyttelsesgarantier.

Umiddelbart er der en række mærkbare forskelle mellem det i lovforslaget skitserede danske PNR-system og Kommissionens forslag til PNR-direktivet. Kommissionens forslag omfatter kun flyvninger til 3. lande, ikke flyvninger inden for EU, og PNR-oplysningerne skal maskeres efter 30 dage hos det nationale PNR-kontor (maskering betyder at adgangen begrænses til særlige tilfælde). Det danske PNR-system omfatter alle flyvninger og en opbevaringsperiode på op til to år hos SKAT før sletning eller anonymisering. Bemærkningerne afsnit 2.2 nævner en indstilling fra Rådet fra april 2012, som ønsker 2 års opbevaring hos PNR-kontoret før maskering og udvidelse af direktivet til også at omfatte flyvninger inden for EU, men spørgsmålet er om Europaparlamentet vil acceptere dette.

Efter Kommissionens forslag kan oplysningerne kun videregives fra PNR-kontoret til kompetente myndigheder i konkrete sager. Det danske PNR-system giver reelt PET adgang til alle indsamlede PNR-oplysninger, idet kriteriet for adgang er som PET-lovens § 3 (”kan have betydning”, dvs. medmindre det på forhånd kan udelukkes, at oplysningerne er relevante for PET).

Anvendelsen til toldkontrol i det danske PNR-system synes at være uforenelig med formålsbegrænsningen i artikel 4 i direktivforslaget. Det samme må gælde for videregivelse af PNR-oplysninger fra SKAT til politiets udlændingekontrol ved de indre Schengen grænser, jf. udlændingeloven § 38, stk. 8 (indsat ved vedtagelse af L 95 den 17. marts 1995).

Endelig indeholder PNR-direktivforslaget fra Kommissionen en række databeskyttelsesgarantier, som ikke eksisterer i det foreslåede danske PNR-system. Det er blandt andet krav om information til passagererne, begrænsninger på videregivelse til 3. lande, og et forbud mod at behandle følsomme personoplysninger, for eksempel PNR-oplysninger der kan afsløre religiøse præferencer eller personens sundhedstilstand.

Videregivelse af PNR-oplysninger til PET

Lovforslaget indebærer at PET får en udvidet adgang til PNR-oplysninger om danske og udenlandske borgere. Ifølge bemærkningerne afsnit 4.4.6 vil PET kunne indhente PNR-oplysninger hos SKAT efter det meget svage kriterium i PET-lovens § 3 (”kan have betydning”). Den nuværende lovhjemmel i luftfartsloven § 148 a forudsætter at PET indhenter PNR-oplysninger, når der er et konkret behov for dette, jf. afsnit 2.1.3 i bemærkningerne.

Med denne udvidelse af PNR-adgangen, vil PET i en lang række tilfælde komme til at registrere og behandle oplysninger om helt almindelige danske (og udenlandske) borgere, blot fordi de rejser med fly. Denne behandling vil ske efter PET-loven, som giver borgerne en langt ringere beskyttelse end persondataloven, som PET er undtaget fra.

Det forudsættes i lovforslaget, at PET inden for rimelig tid tager stilling til om de modtagne PNR-oplysninger er relevante for tjenesten, dvs. opfylder betingelserne i PET-lovens § 7, og hvis dette ikke er tilfældet, skal oplysningerne slettes eller anonymiseres.

Ifølge en artikel i Jyllands-Posten ”Nyt tilsyn har afsløret PET i at bryde regler i flere sager”, den 19. april 2015, har Tilsynet med Efterretningstjenesterne konstateret, at PET i en række sager har brudt reglerne for behandling af personoplysninger, herunder slettekrav.

Hvis PET får adgang til store mængder PNR-oplysninger, for at kunne udføre den profiling og data-mining analyse der omtales i bemærkningerne afsnit 4.4.6 (for at identificere mulige, endnu ukendte terrormistænkte), vil problemerne med PETs behandling af personoplysninger utvivlsomt blive meget større. Det vil stille betydelige krav til Tilsynet at kontrollere, om PETs behandling af PNR-oplysninger sker i overensstemmelse med PET-loven.

Danske eller udenlandske borgere kan ikke få indsigt i, om PET behandler oplysninger om deres rejseaktivitet. Borgerne kan kun benytte den indirekte indsigtsordning, hvor de kan klage til Tilsynet med Efterretningstjenesterne, som derefter undersøger om PET uberettiget behandler oplysninger om dem. Der må forventes en betydelig stigning i borgerhenvendelser til Tilsynet, hvis PET i større omfang begynder at behandle PNR-oplysninger om borgerne, ligesom der må forventes mange flere henvendelser fra udenlandske borgere, herunder ikke mindst borgere i andre EU-lande.

Charter om Grundlæggende Rettigheder og PNR

Ifølge bemærkninger afsnit 9 er en dansk (national) PNR-lov efter Justitsministeriets opfattelse omfattet af Charter om Grundlæggende Rettigheder. Dermed er præmisserne i EU-dommen om logningsdirektivet af 8. april 2014 relevante for den danske PNR-lovgivning.

Justitsministeriet mener, at den foreslåede videregivelse fra SKAT til PET er forenelig med Charteret. Det begrundes med at videregivelsen alene sker af hensyn til forebyggelse og efterforskning af terror (straffelovens kapitel 12 og 13), at PNR-oplysningerne har en anden karakter end trafikdata vedr. telefoni og internet (mindre omfattende), og at lovforslaget omfatter en mere begrænset personkreds end logningsdirektivet (kun flyrejsende).

IT-Politisk Forening har følgende bemærkninger til spørgsmålet om, hvorvidt indsamling af PNR-oplysninger er forenelig med Charter om Grundlæggende Rettigheder. Vores bemærkninger tager udgangspunkt i det samlede danske PNR setup, og ikke bare videregivelsen fra SKAT til PET.

Borgere der rejser med fly udgør en mindre gruppe end borgere der bruger telefoni og internet, men det ændrer ikke ved at indsamlingen af PNR-oplysninger omfatter alle flyrejsende, på alle steder (flyafgange) og alle tidspunkter, altså decideret masseovervågning af de borgere som rejser til udlandet med fly. EU-traktaten giver borgerne ret til fri bevægelighed inden for Unionen.

PNR-oplysningerne er generelt mindre omfattende end trafikdata for telefoni og internet, men oplysninger om en borgers rejseaktivitet kan alligevel afsløre væsentlige aspekter af borgerens private liv. Samtidig kan PNR-oplysningerne indeholde følsomme personoplysninger, og det danske PNR-system har ingen særlige begrænsninger for behandlingen af følsomme PNR-oplysninger.

I redegørelsen af 2. juni 2014 om de danske (tele)logningsregler i forhold til EU-dommen om logningsdirektivet, lægger Justitsministeriet afgørende vægt på domstolskontrollen med adgangen til de danske logningsoplysinger. Det danske PNR-system giver SKAT og PET fuld adgang til alle indsamlede PNR-oplysninger. Udover forespørgsler på konkrete borgere ligesom ved telelogningen (blot uden nogen domstolskontrol), er det også meningen at der skal foretages en aktiv profiling af alle flyrejsende, altså en data-mining analyse hvor der søges efter hhv. mulige terrormistænkte (hos PET) og personer der skal udtages til målrettet toldkontrol (hos SKAT).

Data-mining analysen gør indgrebet i retten til privatliv og persondatabeskyttelse langt større, blandt andet fordi denne automatiserede data-mining analyse og profiling sker efter kriterier, som er totalt ukendte for borgerne. Fra andre lande med statslig PNR-registrering kendes eksempler, hvor en borger er blevet underkastet en terrormistanke alene på grundlag af en enkeltbillet til Tyrkiet (formentlig et forsøg på profiling af foreign fighters, der udrejser til konflikten i Syrien). Hjemrejsen fra en ferie skete via Grækenland, hvorved udrejsen til Tyrkiet optrådte som en enkeltbillet i PNR-analysen.

I en udtalelse af 17. marts 2015 om automatisk nummerpladescanning (ANPG) til Rigspolitiet har Datatilsynet anført, at det ikke vil være proportionalt at indsamle oplysninger om alle biler på de danske veje (som scannes af enten stationære eller mobile ANPG-kameraer).
Artikel 29-gruppen har offentliggjort en række udtalelser, som generelt er stærkt kritiske overfor PNR-direktivet, senest et brev af 19. marts 2015 til formanden for LIBE udvalget i Europaparlamentet.

Det danske PNR-system omfatter ikke kun PETs behandling af PNR-oplysninger til forebyggelse og efterforskning af terror. SKAT foretager en mindst ligeså omfattende behandling af PNR-oplysninger til almindelig toldkontrol i lufthavne. Omfanget af denne behandling vil blive udvidet i de kommende år, når alle PNR-oplysninger afleveres til SKAT i digital form, og SKAT opbygger nye IT-systemer til PNR-analyse. Både SKATs og PETs anvendelse af PNR skal underkastes en selvstændig vurdering af nødvendighed og proportionalitet i henhold til Charteret.

Justitsministeriet synes kun at forholde sig til videregivelsen af PNR-oplysninger fra SKAT til PET, der som nævnt retfærdiggøres med hensynet til terrorbekæmpelse. En generel henvisning til terrorbekæmpelse er dog på ingen måde tilstrækkeligt til at kunne fastslå, at PETs behandling af PNR-oplysninger er nødvendig og proportional.

Endelig skal IT-Politisk Forening bemærke, at EU-domstolen har en igangværende sag om PNR-indsamling, nemlig den udtalelse vedr. EU-Canada PNR-aftalen, som Europaparlamentet har anmodet om i november 2014.