Selon la directive, chaque État membre doit créer une "unité de renseignements sur les passagers" (UIP) pour gérer les données PNR collectées par les transporteurs aériens. Ces informations sont conservées pendant cinq ans, mais après un délai de six mois, les données permettant l’identification de la personne seront supprimées. L’UIP est responsable de la collecte des données PNR, de leur stockage, de leur traitement, de leur transfert aux autorités compétentes, et de leur échange avec les unités de renseignements sur les passagers des autres États membres ainsi qu’avec Europol. La directive précise que de tels transferts doivent être effectués au cas par cas et "uniquement à des fins de prévention ou de détection d’infractions terroristes ou d’infractions graves, ainsi que d’enquêtes ou de poursuites en la matière". Le Parlement a voté l’application de la directive aux vols intra-UE. Un État membre qui décide d’appliquer la directive aux vols intra-UE le notifie à la Commission par écrit. Dans ce cas, toutes les dispositions de la directive s’appliquent aux vols intra-UE comme s’il s’agissait de vols extra-UE. A la suite du vote du Parlement, le projet de directive doit être approuvé formellement par le Conseil de l’Union européenne. Une fois la directive publiée au Journal officiel de l’UE, les États membres disposent d’un délai de deux ans pour la transposer en droit national.

Parallèlement, le Parlement européen a également voté un paquet législatif sur la protection des données personnelles. Il s’agit d’une part d’un règlement définissant clairement les droits des citoyens à l’égard de leurs données. Un projet de directive doit, d’autre part, permettre une harmonisation, au niveau de l’UE, des règles de coopération entre les forces de police européennes et prévenir un usage abusif par les forces de l’ordre des données privées des citoyens.