Nowe prawo ma nakładać na przewoźników lotniczych obowiązek przekazywania władzom państw Unii rutynowo zbieranych danych dotyczących pasażerów wjeżdżających na terytorium UE lub je opuszczających. Dyrektywa pozwoli też państwom na stosowanie jej zapisów wobec pasażerów lotów pomiędzy państwami UE i krajowych. Kraje, które będą chciały gromadzić również te dane, będą musiały notyfikować ten zamiar Komisji Europejskiej.
Władze krajowe mogą (choć nie muszą) zbierać dane pasażerów także od operatorów turystycznych i biur podróży, które świadczą usługi związane z rezerwacjami lotów. Przekazywane mają być dane pobierane od pasażerów w trakcie rezerwacji lotów i odprawy, jak np. cel i trasa podróży, numer biletu, dane kontaktowe, informacje o bagażu oraz o sposobie dokonania opłaty.
Informacje te będą mogły być wykorzystywane przez służby państw UE wyłącznie w celu zapobiegania, wykrywania, dochodzenia i postępowania w sprawach dotyczących terroryzmu i ciężkich przestępstw, jak przemyt ludzi, udział w organizacji przestępczej, cyberprzestępczość, pornografia dziecięca, przemyt broni, amunicji i materiałów wybuchowych.
"Niezakryte dane", czyli umożliwiające identyfikację osoby, do których policja i służby będą miały ułatwiony dostęp, będą przechowywane przez okres maksymalnie sześciu miesięcy. Początkowo PE chciał, by było to 30 dni, natomiast państwa członkowskie domagały się dwóch lat.
Po sześciu miesiącach dostęp do danych PNR zostanie ograniczony - organy ścigania w państwach członkowskich będą musiały dokonać ich anonimizacji, a na ich uzyskanie będzie potrzebna zgoda odpowiedniego organu. Całkowity czas przechowywania danych będzie wynosił pięć lat.
Z inicjatywy PE przewidziano, że po dwóch latach od wprowadzenia dyrektywy o PNR przez kraje UE dokonany będzie przegląd jej działania, aby skontrolować, czy przestrzegane są standardy dotyczące ochrony prywatności oraz czy dane wykorzystywane są w sposób proporcjonalny i zgodnie z celami dyrektywy.
Projekt dyrektywy o PNR Komisja Europejska zaproponowała w 2011 roku. Na jej przyjęciu zależało rządom większości państw UE, które argumentowały, iż europejski rejestr danych pasażerów jest niezbędny, aby skutecznie walczyć z terroryzmem. Z kolei w Parlamencie Europejskim europosłowie z frakcji liberałów, Zielonych i socjalistów obawiali się, że dyrektywa będzie naruszała prywatność obywateli UE.
Negocjacje nad tymi przepisami przyspieszyły dopiero na początku bieżącego roku po zamachach we Francji na redakcję pisma "Charlie Hebdo" i sklep z produktami koszernymi. Presja na zakończenie prac wzrosła po listopadowych atakach terrorystycznych w Paryżu.
Na początku 2016 roku nad dyrektywą głosować ma cały Parlament Europejski. Wymagane jest jeszcze formalne zatwierdzenie jej przez państwa UE.
Przepisy o PNR skrytykował w czwartek Europejski Inspektor Ochrony Danych Giovanni Buttarelli. Oświadczył, że będzie to "pierwszy w historii UE program zbierania danych na wielką skalę i w sposób nieprzemyślany". "Ponieważ ma obejmować wszystkie loty do i z UE oraz może dotyczyć także wewnątrzunijnych i krajowych lotów, będzie dotykał milionów pasażerów, którzy nie są o nic podejrzani" - oświadczył.
Dodał, że tego typu działania, których celem jest zapewnienie bezpieczeństwa obywatelom i ochrona przed zagrożeniem terrorystycznym, powinny być proporcjonalne i ograniczone w czasie. Zdaniem Butterellego program PNR nie spełni tych warunków i istnieją wątpliwości, czy jest zgodny z prawem unijnym i zasadami rządów prawa. "Nasze swobody nie mogą być chronione poprzez ograniczanie prawa do prywatności" - uznał.