Данные будут собираться авиакомпаниями и передаваться на хранение в специализированные архивы, отдельные для каждой из стран ЕС. Кроме того, страны могут дополнительно собирать данные и о полетах внутри ЕС. Однако создание централизованной базы данных, а также процедур автоматического обмена данными между отдельными архивами законом не предусмотрено, и это, как считают в лоббистской организации European Digital Rights, лишает закон смысла. Открытость границ стран шенгенской зоны и отсутствие обязательного сбора данных о полетах внутри ЕС резко снижают полезность базы данных для правоохранительных органов.
Использование собранных данных допускается только при расследовании серьезных преступлений, полный перечень которых приведен в законе. В него попали и киберпреступления. Хотя данные будут храниться в течение пяти лет, после первых шести месяцев пользователи базы уже не смогут видеть в ней имена и контактные данные пассажиров. За разрешением на просмотр этой информации надо будет обращаться в национальные агентства по защите персональных данных.