Τα 19 δεδομένα που θα αποθηκεύονται θα τίθενται στη διάθεση των διωκτικών αρχών κρατών-μελών και τρίτων χωρών.
Η πρόταση της Κομισιόν, προκαλεί τις αντιδράσεις ευρωπαϊκών οργανώσεων προστασίας των ανθρωπίνων δικαιωμάτων. Είναι ασαφής γιατί δεν υπάρχει ενιαίος προσδιορισμός του ύποπτου, αλλά απλώς αφήνεται στη διακριτική ευχέρεια κάθε κράτους-μέλους, ενώ, παρά τις αντίθετες διαβεβαιώσεις της Κομισιόν, η μεγάλη και εύκολη διάχυση των δεδομένων δεν εγγυάται τη διασφάλιση του απορρήτου.
Η διαδρομή των προσωπικών δεδομένων του επιβάτη ξεκινάει από τη στιγμή που θα αγοράσει το εισιτήριο στον ταξιδιωτικό πράκτορα ή απευθείας από την αεροπορική εταιρία, που θα τα κοινοποιεί σε έναν ενδιάμεσο φορέα με τον οποίο συνεργάζεται. Ο ενδιάμεσος φορέας με τη σειρά του τα κοινοποιεί στην αρμόδια κρατική αρχή, που θα ονομάζεται «Μονάδα Στοιχείων Επιβατών» (ΜΣΕ). Τα δεδομένα θα πρέπει να κοινοποιούνται στην ΜΣΕ 24 ώρες πριν από την αναχώρηση και μια δεύτερη φορά μόλις κλείσει η πόρτα του αεροπλάνου και είναι έτοιμο για απογείωση. Η διαβίβαση δεδομένων προς τις ΜΣΕ θα πραγματοποιείται με τη «μέθοδο της προώθησης».
Τα προσωπικά δεδομένα θα αποθηκεύονται και θα είναι ενεργά για μια πενταετία από τη μεταφορά τους στη ΜΣΕ του πρώτου κράτους -μέλους στο έδαφος του οποίου πραγματοποιείται άφιξη, αναχώρηση ή διέλευση της διεθνούς πτήσης. Μετά την παρέλευση πενταετίας, τα δεδομένα φυλάσσονται για επιπλέον περίοδο οκτώ ετών σε «αδρανή» βάση δεδομένων.
Κατά τη διάρκεια αυτής της περιόδου, οποιαδήποτε προσπέλαση, επεξεργασία και χρήση των δεδομένων επιτρέπεται μόνο με την έγκριση της αρμόδιας Αρχής και μόνο σε εξαιρετικές περιπτώσεις, προκειμένου να αντιμετωπισθεί συγκεκριμένη και πραγματική απειλή ή κίνδυνος που συνδέεται με την πρόληψη ή την καταπολέμηση τρομοκρατικών εγκλημάτων και του οργανωμένου εγκλήματος.
Οι ΜΣΕ θα μπορούν να κρατούν τα δεδομένα για διάστημα μεγαλύτερο των 13 ετών, σε περίπτωση κατά την οποία χρησιμοποιούνται ήδη για συνεχιζόμενη ποινική ανάκριση με αντικείμενο τρομοκρατικό αδίκημα ή οργανωμένο έγκλημα, με θύμα ή δράστη το υποκείμενο των δεδομένων.
Η νομοθεσία προβλέπει μέτρα όπως ακινητοποίηση, κατάσχεση του αεροπλάνου(!) μέχρι και ανάκληση της άδειας εκμετάλλευσης εναντίον των αεροπορικών εταιριών που δεν διαβιβάζουν ή δίνουν ελλιπή και ανακριβή δεδομένα επιβατών.
Τα προσωπικά δεδομένα θα αποθηκεύονται και θα είναι ενεργά για μια πενταετία από τη μεταφορά τους στη ΜΣΕ του πρώτου κράτους -μέλους στο έδαφος του οποίου πραγματοποιείται άφιξη, αναχώρηση ή διέλευση της διεθνούς πτήσης. Μετά την παρέλευση πενταετίας, τα δεδομένα φυλάσσονται για επιπλέον περίοδο οκτώ ετών σε «αδρανή» βάση δεδομένων.
Κατά τη διάρκεια αυτής της περιόδου, οποιαδήποτε προσπέλαση, επεξεργασία και χρήση των δεδομένων επιτρέπεται μόνο με την έγκριση της αρμόδιας Αρχής και μόνο σε εξαιρετικές περιπτώσεις, προκειμένου να αντιμετωπισθεί συγκεκριμένη και πραγματική απειλή ή κίνδυνος που συνδέεται με την πρόληψη ή την καταπολέμηση τρομοκρατικών εγκλημάτων και του οργανωμένου εγκλήματος.
Οι ΜΣΕ θα μπορούν να κρατούν τα δεδομένα για διάστημα μεγαλύτερο των 13 ετών, σε περίπτωση κατά την οποία χρησιμοποιούνται ήδη για συνεχιζόμενη ποινική ανάκριση με αντικείμενο τρομοκρατικό αδίκημα ή οργανωμένο έγκλημα, με θύμα ή δράστη το υποκείμενο των δεδομένων.
Η νομοθεσία προβλέπει μέτρα όπως ακινητοποίηση, κατάσχεση του αεροπλάνου(!) μέχρι και ανάκληση της άδειας εκμετάλλευσης εναντίον των αεροπορικών εταιριών που δεν διαβιβάζουν ή δίνουν ελλιπή και ανακριβή δεδομένα επιβατών.