1. Κάθε κράτος μέλος φροντίζει ώστε, σε οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα δυνάμει της παρούσας οδηγίας, όλοι οι επιβάτες να έχουν το ίδιο δικαίωμα προστασίας των προσωπικών τους δεδομένων, το ίδιο δικαίωμα πρόσβασης, διόρθωσης, διαγραφής και περιορισμού, καθώς και το ίδιο δικαίωμα αποζημίωσης και δικαστικής προσφυγής, με τα δικαιώματα που ετέθησαν διά της νομοθεσίας της Ένωσης και της εθνικής νομοθεσίας, καθώς και κατ' εφαρμογή των άρθρων 17, 18, 19 και 20 της απόφασης-πλαισίου 2008/977/ΔΕΥ. Κατά συνέπεια, τα άρθρα αυτά τυγχάνουν εφαρμογής.
2. Κάθε κράτος μέλος εξασφαλίζει ότι οι διατάξεις που θεσπίζονται σύμφωνα με το εθνικό δίκαιο κατ' εφαρμογή των άρθρων 21 και 22 της απόφασης-πλαισίου 2008/977/ΔΕΥ, που αφορούν τον απόρρητο χαρακτήρα της επεξεργασίας και την ασφάλεια των δεδομένων, εφαρμόζονται επίσης και σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με την παρούσα οδηγία.
3. Η παρούσα οδηγία δεν θίγει την εφαρμογή της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου1 στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από τους αερομεταφορείς και ιδίως τις υποχρεώσεις τους να λαμβάνουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να προστατεύονται η ασφάλεια και η εμπιστευτικότητα των δεδομένων προσωπικού χαρακτήρα.
4. Τα κράτη μέλη απαγορεύουν την επεξεργασία δεδομένων PNR που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστική οργάνωση, την υγεία, τη σεξουαλική ζωή ή το σεξουαλικό προσανατολισμό ενός ατόμου. Αν παραληφθούν από τη ΜΣΕ δεδομένα PNR που αποκαλύπτουν τέτοιους είδους πληροφορίες, αυτά διαγράφονται αμέσως.
5. Τα κράτη μέλη εξασφαλίζουν ότι η ΜΣΕ διατηρεί τεκμηρίωση όλων των συστημάτων και διαδικασιών επεξεργασίας που τελούν υπό την ευθύνη της. Η τεκμηρίωση αυτή περιλαμβάνει τουλάχιστον:
α) το όνομα και τα στοιχεία επικοινωνίας του οργανισμού και του προσωπικού της ΜΣΕ που έχουν επιφορτιστεί με την επεξεργασία των δεδομένων PNR και τα διαφορετικά επίπεδα άδειας πρόσβασης·
β) τα αιτήματα των αρμόδιων αρχών και των ΜΣΕ άλλων κρατών μελών·
γ) όλες τις αιτήσεις και τις διαβιβάσεις δεδομένων PNR προς τρίτη χώρα.
Η ΜΣΕ καθιστά όλη την τεκμηρίωση διαθέσιμη, κατόπιν αιτήματος, στην εθνική εποπτική αρχή.
6. Τα κράτη μέλη διασφαλίζουν ότι η ΜΣΕ τηρεί αρχεία τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας: συλλογή, αναζήτηση πληροφοριών, κοινολόγηση και διαγραφή. Τα αρχεία αναζήτησης πληροφοριών και κοινολόγησης αναγράφουν ειδικότερα τον σκοπό, την ημερομηνία και την ώρα των εν λόγω πράξεων και, στον βαθμό του εφικτού, την ταυτότητα του προσώπου που αναζήτησε πληροφορίες ή κοινοποίησε τα δεδομένα αυτά, καθώς και την ταυτότητα των αποδεκτών των εν λόγω δεδομένων. Τα αρχεία χρησιμοποιούνται αποκλειστικά για σκοπούς εξακρίβωσης, αυτοελέγχου και κατοχύρωσης της ακεραιότητας και της ασφάλειας των δεδομένων, ή για σκοπούς ελέγχου. Κατόπιν αιτήματος, η ΜΣΕ καθιστά τα αρχεία διαθέσιμα στην εθνική εποπτική αρχή.
Τα αρχεία αυτά φυλάσσονται επί πέντε έτη.
7. Κάθε κράτος μέλος εξασφαλίζει ότι η ΜΣΕ του εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα και διαδικασίες ώστε να διασφαλίζει το υψηλότερο επίπεδο προστασίας κατάλληλο προς τους κινδύνους που παρουσιάζουν η επεξεργασία και η φύση των δεδομένων PNR.
8. Τα κράτη μέλη διασφαλίζουν ότι, όταν μια παραβίαση προσωπικών δεδομένων ενδέχεται να ενέχει σοβαρό κίνδυνο για την προστασία των δεδομένων αυτών, ή να θίξει την ιδιωτικότητα του υποκειμένου τους, η ΜΣΕ γνωστοποιεί την παραβίαση στο υποκείμενο των δεδομένων και στην εθνική εποπτική αρχή χωρίς αδικαιολόγητη καθυστέρηση.
- 1. Οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ L 281 της 23.11.1995, σ. 31).
