A PNR adatállomány személyes adatok széles körét tartalmazza, így például – a teljesség igénye nélkül – az utas nevét, az állampolgárságát, a rendelkezésre álló elérhetőségeit, a jegy adatait, a fizetés módját, a poggyászadatait, az ülésszámát. Ezek az adatok önmagukban és együttesen sok információt jelentenek egy polgárról, és szenzitív adatokat is tartalmazhatnak. (Ilyen szenzitív adat lehet, ha valaki egészségi állapota miatt valamilyen speciális műszert kénytelen magával vinni az utazáshoz, különleges étrendet kér, stb.)
Az adatkezelést az alapjogok korlátozásának állandósulni látszó okaival, a terrorizmus elleni harccal, a transznacionális bűnüldözéssel indokolják. Ennek fényében különösen aggályos, hogy a DHS az egyesült államokbeli kormányzati hatóságoknak már közbiztonsággal kapcsolatos esetekben is átadhatja az európai – így a magyar – polgárok adatait. A TASZ álláspontja szerint ez lehetővé teszi az adatok eredeti céltól eltérő felhasználását, hiszen az uniós polgárok adatai átadásának célja a terrorizmus elleni küzdelem és nemzetközi bűnüldözés. A „közbiztonság” azonban egy ettől eltérő, ezen túlmutató olyan elvont jogi kategória, amelyre egyszerűen lehet hivatkozni, és amely ezért egy nagyon széles felhatalmazást ad arra, hogy az amerikai kormányzati szervek részére a DHS továbbítsa az adatokat. A személyes adatok védelméhez való jogból fakadó, az Alkotmánybíróság gyakorlata szerinti követelmény, hogy az adatkezelés célhozkötöttségének az adatkezelés minden fázisában meg kell felelnie;.a céltól eltérő adatkezelés, így a terrorizmus és a bűn üldözése céljából átadott adatok lehetséges továbbítása az ennél tágabb közbiztonsági célból ellentétes a magyar Alkotmánnyal..
Az adatokat a megállapodás értelmében 7 évig aktív állományban, további 8 évig nyugvó státusban tárolja az amerikai hatóság. Az adatkezelés – e tekintetben – a magyar adatvédelmi szabályokkal azért ellentétes, mert a készletező adatgyűjtés tilalmába ütközik. Az rendkívül hosszú idő az Egyesült Államokba utazó, vagy azt elhagyó utas adatainak ilyen hosszú ideig történő őrzését nem indokolja a PNR megállapodásban deklarált adatkezelési cél.
Az Egyezmény bizonytalanul rendezi az Egyesült Államokból harmadik országba történő adattovábbítást. A törvényjavaslathoz fűzött indoklás alapján a jogalkotó álláspontja szerint jogszerűvé tehető az adatkezelés azzal, hogy a légi fuvarozóval való szerződéskötéskor az adatalanyt előzetesen tájékoztatják annak lehetőségéről, hogy az adatait az amerikai fél továbbítani fogja a jövőben egy harmadik – nem európai uniós – államba, és a feltételek elfogadásával az adatalany hozzájárul az adattovábbításhoz. A magyar adatvédelmi szabályok szerint ehhez az adatkezeléshez az érintett tájékozott és önkéntes beleegyezése szükséges, ez lehet az adatkezelés jogalapja: akkor van lehetőség az adatkezelésre, ha az adatalany tudja, hogy milyen célból és milyen szervezet fogja kezelni az adatait, és azokat hova továbbítják. Álláspontunk szerint nem minősülhet tájékozott hozzájárulásnak a jogalkotó elképzelései szerinti beleegyezés, hiszen az adatalany nem tudhatja, hogy a DHS milyen más kormányzati hatósághoz, ill. más, magyar joghoz képest gyenge adatvédelmi szabályokkal rendelkező országokba és milyen célból fogja továbbítani az adatokat. A hozzájárulás másik érvényességi feltétele, az önkéntesség, jelen esetben abban jelenik meg, hogy az érintett dönthet utazási szándékát illetően. Ez szintén ellentétes a magyar jog szellemiségével.
Hangsúlyozandó továbbá, hogy a Megállapodásnak harmadik országba történő adattovábbítás lehetőségét tartalmazó szabálya éles ellentétben áll a magyar szabályok által megkövetelt célhozkötöttség elvével, hiszen előre meg nem határozott okból teszi lehetővé az adat továbbítását, ezt ugyanis kizárólag az amerikai fél mérlegelési jogkörében hagyja, amihez az Unió külön, esetenkénti hozzájárulása nem szükséges. A Megállapodás kifejezetten rögzíti, hogy „az EU adatvédelmi indokok alapján nem avatkozik be az Egyesült Államok és harmadik országok között az utasok adatainak cseréje céljából fennálló kapcsolatokba.” A TASZ elfogadhatatlannak tartja, hogy az Unió –Magyarország nevében is – az Egyesült Államok javára mond le európai polgárok adatai védelméről. Az adatkezelés jogszerűségéhez megfelelő jogalap és célhoz kötöttség kell. A TASZ álláspontja szerint ebben az esetben sem a jogalap, sem a célhoz kötöttség nem megfelelő, ezért az ilyen adatkezelés jogellenes. A hazai jogszabályok ugyan lehetővé teszik az Európai Gazdasági Térségen kívülre irányuló adattovábbítást, ennek feltétele azonban, hogy az érintett ehhez hozzájáruljon, vagy törvény, illetve nemzetközi szerződés írja elő az adattovábbítást. Alapvető feltétel továbbá, hogy az adattovábbítás címzettjénél az adatok „megfelelő védelme” biztosított legyen. A megfelelő védelem akkor igazolt, ha adatalanyok jogainak érvényesítésére, adatkezelés ellenőrzésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban, vagy a címzett igazolja az adatkezelés szabályainak bemutatásával, hogy megfelelő szintű védelmet biztosít. (További lehetőség a megfelelő védelem megállapítására, hogy ha az Európai Bizottság megállapítja a harmadik ország megfelelő szintű védelmet nyújt, azonban jelen esetben ez nem alkalmazható, mert a 3. pillérben nem rendelkezik ezzel a hatáskörrel a Bizottság.) A törvényjavaslattal nemzeti jog részévé tenni kívánt PNR-megállapodás a megfelelő védelem igazolására vonatkozó követelményeket nem elégítik ki, hiszen az EU lényegében lemond annak elvi lehetőségéről, hogy a DHS által harmadik országba történő adattovábbításba beleszóljon.
A Megállapodás egyúttal ellentétes a Magyar Köztársaság nemzetközi kötelezettségvállalásaival is, amennyiben kifejezetten ellentmond az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezménynek, amelyet Magyarországon a 1998. évi VI. törvény hirdetett ki. Ezen egyezmény 5. cikk b) pontja alapján ugyanis nem szabad az adatokat a meghatározott céltól eltérően felhasználni. Az e rendelkezéstől eltérést engedő 9. cikk 2. pontjában foglalt feltételek álláspontunk szerint ez esetben nem állnak fenn, mert a Megállapodásnak az Egyesült Államokból harmadik országba történő adattovábbítást lehetővé tevő (6) pontja nem rendelkezik arról, hogy ezekre a továbbításokra kizárólag az állam biztonsága, a közbiztonság, az állam pénzügyi érdekének a védelme vagy bűncselekmények megelőzése érdekében, egy demokratikus társadalomban szükséges esetben kerül sor. Figyelemre méltó, hogy az egyezmény 12. cikke szerint még a részes államok (az Egyesült Államok természetesen nem részes állam) közötti adattovábbítások is megtilthatók, ha a továbbítás egy másik részes állam területén keresztül egy nem részes állam területére irányul, annak érdekében, hogy megakadályozza, hogy az ilyen továbbítás az adatvédelmi szabályok kijátszását eredményezze. A TASZ szerint az, hogy „az EU adatvédelmi indokok alapján nem avatkozik be az Egyesült Államok és harmadik országok között az utasok adatainak cseréje céljából fennálló kapcsolatokba”, egyértelműen az európai adatvédelmi normák figyelmen kívül hagyására való felhatalmazás, akkor is, ha a Megállapodást követő „Az Egyesült Államok levele az Európai Uniónak” című szövegrész rögzíti, hogy az Egyesült Államok mérlegelni fogja az adatok harmadik országok hatóságai részére történő továbbításának megengedhetőségét. A levélváltás ugyanis formálisan nem képezi részét a Megállapodásnak. A Megállapodás a korábban hatályban lévő 2006. évi megállapodás garanciáihoz képest visszalépést is jelent, amennyiben nem tartalmazza a korábbi megállapodás azon szabályát, miszerint a tagállamok adatvédelmi hatóságai a jogszerűtlen adattovábbítás észlelése esetében élhetnek az adattovábbítás felfüggesztésének jogával.
Az Alkotmány 2/A.§ (1) bekezdése alapján a Magyar Köztársaság az Európai Unió tagállamaként való részvétel érdekében egyes Alkotmányból eredő hatásköreit a többi tagállammal közösen gyakorolhatja, e hatáskörgyakorlás megvalósulhat az Európai Unió intézményei útján is. A TASZ véleménye szerint az Alkotmány 2./A § (1) bekezdéséből nem következik, hogy a Magyar Köztársaság arra adott volna felhatalmazást az uniós intézményeknek, hogy a magyar alkotmányos renddel ellentétes nemzetközi megállapodást kössenek, különös tekintettel arra, hogy a 2/A. § szerint kizárólag „az alapító szerződésekből fakadó jogok gyakorlásához és kötelezettségek teljesítéséhez szükséges mértékig” gyakorolhatóak az Alkotmányból eredő hatáskörök a többi tagállammal együttesen. Az Európai Unió alapító szerződései között nem található olyan felhatalmazó rendelkezés, amelyek szerint alapjogokat korlátozó, a tagállami alkotmányos hagyományokkal ellentmondó megállapodásokat kössön az Unió. Álláspontunk szerint a tagállami alkotmányos hatáskörök átruházásából nem következhet a személyes adatok hazai védelmi szintjének hátrányos megváltoztatása. A PNR megállapodás az Európai Unióról szóló szerződés 24. illetve 38. pontjai alapján jött létre, ami azt jelenti, hogy az egyes tagállamoknak – így Magyar Köztársaságnak is – lehetősége van arra, hogy a saját belső alkotmányos eljárásaik befejezéséig ne ismerjék el magukra nézve kötelezőnek a megállapodást. Az Európai Unió Tanácsa a megállapodás megkötéséről szóló tanácsi határozatot csak akkor fogadja el, ha minden tagállam, amely ennek szükségességéről nyilatkozatott tett, befejezte a saját belső eljárását, megállapodás csak ezt követően léphet majd hatályba. A TASZ szerint a megállapodás egyszerű kihirdetése mellett meg kell vizsgálni azt is, hogy a magyar jog által megkívánt védelmi szabályokat milyen formában lehet beépíteni az Unió és az Egyesült Államok közötti megállapodásba.