Dane osobiste pasażera, takie jak pochodzenie etniczne, wyznanie, stan zdrowia czy orientacja seksualna, mogą być użyte w wyjątkowych sytuacjach, gdy zagrożone jest życie innej osoby. Takie dane mogą być gromadzone np. w oparciu o wybór posiłku zgodnego z nakazami danej religii lub prośbę o udzielenie pomocy związanej ze złym stanem zdrowia. Dane wrażliwe będą przekazywane tylko w wyjątkowych sytuacjach i zostaną trwale usunięte po 30 dniach od ich otrzymania, chyba że w sprawie pasażera toczy się śledztwo.

W przypadku nadużyć w operowaniu danymi pasażerów, obywatele UE uzyskają prawo do odszkodowania zgodnie z prawem USA. Będą oni także mieli prawo wglądu do swoich danych osobowych i będą mogli domagać się ich sprostowania lub wykreślenia przez Departament Bezpieczeństwa Narodowego USA, jeśli okażą się one nieprawidłowe.

Dane pasażerów linii lotniczych są gromadzone przez operatorów podczas dokonywania rezerwacji i zawierają informacje takie jak imię i nazwisko pasażera, adres, numer karty kredytowej i numer miejsca w samolocie. W świetle prawa obowiązującego w USA przewoźnicy powietrzni powinni udostępniać te dane Departamentowi Bezpieczeństwa Narodowego jeszcze przed planowanym lotem. Odnosi się to do wszystkich lotów zarówno do jak i ze Stanów Zjednoczonych.

W maju 2010 roku Parlament Europejski odłożył swoje głosowanie nad umową w sprawie wymiany danych PNR z powodu zastrzeżeń dotyczących prywatności danych obywateli UE. Deputowani wezwali Komisję Europejską to wynegocjowania nowej umowy z USA, co Komisja uczyniła w 2011 roku.

W październiku 2011 roku Parlament Europejski zaakceptował umowę w sprawie danych PNR z Australią, a obecnie toczą się negocjacje z Kanadą.

Zielone światło od PE dla umowy o PNR oznacza, że po ośmiu latach zakończą się wywołujące wiele emocji i kontrowersji próby wynegocjowania między UE a USA stałej umowy o przekazywaniu amerykańskim służbom przez linie lotnicze danych pasażerów. Pierwszą taką umowę z 2004 roku anulował Trybunał Sprawiedliwości UE. Kolejną, wynegocjowaną z USA w roku 2007 przez Komisję Europejską i rządy, zakwestionował w maju 2010 roku sam PE, który do tego czasu, po wejściu w życie Traktatu z Lizbony, zyskał nowe kompetencje w zakresie umów międzynarodowych. Wskazując na niewystarczającą ochronę danych osobowych, europosłowie zmusili rządy i KE do wypracowania zupełnie nowej umowy, w której uwzględniono ich postulaty.