Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818
Tilhører sager:
- Hovedtilknytning: Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818 {SWD(2022) 424 final} ()
- Hovedtilknytning: Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818 {SWD(2022) 424 final} ()
- Hovedtilknytning: Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818 {SWD(2022) 424 final} ()
- Hovedtilknytning: Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818 {SWD(2022) 424 final} ()
Aktører:
2_EN_ACT_part1_v5.pdf
https://www.ft.dk/samling/20221/kommissionsforslag/kom(2022)0731/forslag/1917347/2640180.pdf
EN EN EUROPEAN COMMISSION Strasbourg, 13.12.2022 COM(2022) 731 final 2022/0425 (COD) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the collection and transfer of advance passenger information for the prevention, detection, investigation and prosecution of terrorist offences and serious crime, and amending Regulation (EU) 2019/818 {SWD(2022) 424 final} Offentligt KOM (2022) 0731 - Forslag til forordning Europaudvalget 2022 EN 1 EN EXPLANATORY MEMORANDUM 1. CONTEXT OF THE PROPOSAL • Reasons for and objectives of the proposal Over the last decade the EU and other parts of the world have seen an increase in serious and organised crime. According to Europol’s EU Serious and Organised Crime Threat Assessment, most organised crime involves international travel, typically aimed at smuggling persons, drugs or other illicit goods into the EU. Notably, criminals make frequent use of the EU’s main airports as well as smaller regional airports operating low-cost airlines.1 Likewise, Europol’s Terrorism Situation and Trend Report shows that terrorist threat in the EU remains real and serious,2 pointing out that most terrorist campaigns have a transnational character with either the involvement of either transnational contacts or travels outside the EU. In this context, information on air travellers is an important tool for law enforcement authorities to counter serious crime and terrorism in the EU. Air traveller data includes Advance Passenger Information (API) and Passenger Name Records (PNR) which, when used together, are particularly effective to identify high-risk travellers and to confirm the travel pattern of suspected individuals. When a passenger buys a ticket with an air carrier, a PNR will be generated by the reservation systems of air carriers for their business purposes. This includes data on the complete itinerary, payment details, contact-details, and special requests of the passenger. Where an obligation to that effect applies, this PNR data is sent to the Passenger Information Unit (PIU) of the country of destination and often the country of departure. In the EU, the PNR Directive3 was adopted in 2016 to ensure that all Member States implement rules on collecting PNR data from air carriers to prevent, detect, investigate and prosecute terrorist offences and serious crime, without prejudice to existing EU rules on the obligation for air carriers to collect API data set in the API Directive.4 Under the PNR Directive, Member States must adopt the necessary measures to ensure that air carriers transfer PNR data to the extent that they have already collected such data in the normal course of their business. The PNR Directive allows for the joint processing of both API data and PNR data, as its definition of PNR data includes ‘any advance passenger information (API) data collected’.5 However, the PNR Directive does not oblige air carriers to collect any data beyond the normal course of their business. Consequently, the PNR Directive does not lead to the collection of the full set of API data, as air carriers do not have any business purpose to collect such data. Only where an obligation to that effect applies, API data is collected by the air carrier during check-in of the passenger (online check-in and at the airport). It is then sent to competent border authorities as a complete ‘passenger list manifest’ containing all passengers on board at departure 1 Europol, Serious and Organised Crime Threat Assessment (SOCTA), 2021, https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf. 2 Europol, Terrorism Situation and Trend Report (Te-SAT), 2021, https://www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf. 3 Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime. 4 Council Directive 2004/82/EC of 29 April 2004 on the obligation of carriers to communicate passenger data. 5 See point 18 of Annex 1 of Directive (EU) 2016/681. EN 2 EN of the plane. While API data are considered as ‘verified’ information as it corresponds to travellers which eventually boarded the aircraft, and which can also be used by law enforcement authorities to identify suspects and persons sought, PNR data is ‘unverified’ information provided by passengers. The PNR data of a certain passenger usually do not contain all potential PNR elements, but only those provided by the passenger and/or necessary for the booking and hence for the normal business purpose of the air carrier. Since the adoption of the API Directive in 2004, there is global consensus that API data is not only a key instrument for border management, but also an important tool for law enforcement purposes, notably to counter serious crime and terrorism. Thus, at international level, since 2014, United Nations’ Security Council Resolutions have repeatedly called for the establishment and global roll-out of API and PNR systems for law enforcement purposes.6 In addition, the commitment by the Organization for Security and Co-operation in Europe (OSCE) participating states to set up API systems, confirm the importance of the use of this data in the fight against terrorism and transnational crime.7 As shown by the Commission’s report on the PNR Directive review, the joint processing of API and PNR data by competent law enforcement authorities – meaning that the PNR data collected by air carriers for their normal business purposes and transferred to competent law enforcement authorities is complemented by an obligation on air carriers to collect and transfer API data – substantially increases the effectiveness of the fight against serious crimes and terrorism in the EU.8 The combined use of API data and PNR data enables the competent national authorities to confirm the identity of passengers and greatly improves the reliability of PNR data. Such combined use prior to arrival also allows law enforcement authorities to conduct an assessment and perform a closer screening only of those persons who are most likely, based on objective assessment criteria and practices and in accordance with the applicable law, to pose a threat to security. This facilitates the travel of all other passengers and reduces the risk of passengers being subjected to examination upon arrival by the competent authorities based on discretionary elements such as race or ethnic origin which may wrongly be associated with security risks by law enforcement authorities. However, the current EU legal framework only regulates the use of PNR data for fighting serious crime and terrorism but does not do so specifically for API data, which can be requested only on flights coming from third countries, leading to a security gap, notably regarding intra-EU flights for which Member States request air carriers to transfer PNR data. Passenger Information Units obtain the most effective operational results on flights where both API and PNR data are collected. This means that competent law enforcement authorities cannot benefit from the results of the joint processing of API data and PNR data on flights within the EU, for which only PNR data is transferred. To address this gap, the Commission’s June 2021 Strategy towards a fully functioning and resilient Schengen area called for an increased use of API data in combination with PNR data for intra-Schengen flights to significantly enhance internal security, in compliance with the 6 UN Security Council Resolution 2178(2014), 2309(2016), 2396(2017), 2482(2019), as well as OSCE Ministerial Council Decision 6/16 of 9 December 2016 on Enhancing the use of Advance Passenger Information. 7 OSCE Ministerial Council Decision 6/16 of 9 December 2016 on Enhancing the use of Advance Passenger Information. 8 European Commission, Staff Working Document Accompanying the Report on the review of Directive 2016/681, SWD(2020)128 final. EN 3 EN fundamental right to the protection of personal data and the fundamental right to freedom of movement.9 The proposed Regulation therefore aims to lay down better rules for the collection and transfer of API data by air carriers for the purpose of preventing, detecting, investigating, and prosecuting terrorist offences and serious crime. In order to ensure compliance with the relevant fundamental rights enshrined in the Charter of Fundamental Rights of the EU (‘Charter’), in particular the rights to privacy and to protection of personal data, and the resulting requirements of necessity and proportionality, the proposal is, as explained further below, carefully limited in scope and contains strict personal data protection limits and safeguards. • Consistency with existing policy provisions in the policy area The proposed rules on the collection and transfer of API data for the purpose of preventing, detecting, investigating and prosecuting terrorist offences and serious crime are aligned with the applicable rules for the processing of PNR data, as established in the PNR Directive.10 They take account of the interpretations by the Court of Justice of the European Union in its recent case law, notably what is specified in that case law regarding the processing of PNR data for intra-EU flights, whereby the transfer of PNR data to Member States’ competent authorities on intra- EU flights must be selective and cannot be systematic unless justified by a genuine and present or foreseeable terrorist threat.11 Insofar as there is a possible overlap between the proposed Regulation and the rules of the PNR Directive, considering that – as mentioned – under that Directive the definition of ‘PNR data’ includes ‘any advance passenger information (API) data collected’, the rules of the proposed Regulation prevail, considering that it is both lex specialis and lex posterior. While Member States must under the PNR Directive adopt the necessary measures to ensure that air carriers transfer PNR data to the extent that they have already collected such data in the normal course of their business, the proposed Regulation sets an obligation on air carriers to collect API data in specific situations and to transfer that data in a specific manner. The proposed Regulation therefore complements the PNR Directive, as it ensures that in all cases in which competent law enforcement authorities – i.e. the Passenger Information Units – receive PNR data under the PNR Directive, there is an obligation on air carriers to also collect and transfer API data to these competent authorities. Following the transmission of API data to Passenger Information Units (PIUs) established by the PNR Directive, apart from the limited requirements in this regard as set out in the proposed Regulation, the rules on the subsequent processing of API data by the PIUs are those set out in the PNR Directive. As mentioned, the PNR Directive allows for the joint processing of API data and PNR data, as its definition of PNR data includes ‘any advance passenger information (API) data collected’, including therefore the API data received by PIUs pursuant to the proposed Regulation. Accordingly, the rules of Article 6 and Articles 9 and following of the PNR Directive apply, relating to matters such as the precise purposes of the processing, retention periods, deletion, exchange of information, transfer by the Member States to third countries and specific provisions on the protection of such personal data. 9 COM(2021) 277 final (2.6.2021). 10 PNR Directive sets conditions for the procession of the data such as the competent authorities involved (Article 7), period of data retention (Article 12) and protection of personal data (Article 13). 11 CJEU, iudgment in case Case C-817/19, Ligue des droits humains. EN 4 EN In addition, generally applicable acts of EU law will apply in accordance with the conditions set out therein. Where the processing of personal data is concerned, that holds true, in particular, for the General Data Protection Regulation (GDPR),12 the data protection ‘Law Enforcement Directive’ (LED)13 and the EU Data Protection Regulation14 . Those acts are left unaffected by the present proposal. The applicability of the abovementioned acts of EU law mean to the processing of the API data received under this Regulation mean that the Member States are implementing EU law within the meaning of Article 51(1) of the Charter, meaning that the rules of the Charter apply as well. In particular, the rules of those acts of EU law are to be interpreted in the light of the Charter. Ensuring consistency with the rules laid down in the proposal for a Regulation on the collection and transfer of API data for border control purposes and efficiencies in the transmissions of API data, the present proposal provides for the obligation on air carriers to collect the same set of API data and transfer it to the same router established under that other proposed Regulation. The collection of API data from travel documents is also consistent with the ICAO guidelines on Machine Readable Travel Documents,15 that are transposed in Regulation 2019/1157 on strengthening the security of identity cards of Union citizens, Council Directive 2019/997 on EU emergency travel documents and Regulation 2252/2004 on standards for security features and biometrics in passports. These Regulations are the precursors to enable an automated extraction of complete and high-quality data from travel documents. 2. LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY • Legal basis For this proposed Regulation on the collection and transfer of API data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime, having regard to its aim and the measures provided for, the appropriate legal basis is Articles 82(1)(d) and 87(2)(a) of the Treaty on the Functioning of the European Union (TFEU). Under point (d) of paragraph 1 of Article 82 TFEU, the Union has the power to adopt measures relating to facilitate cooperation between judicial or equivalent authorities of the Member States in relation to proceedings in criminal matters and the enforcement of decisions. Under point (a) of paragraph 2 of Article 87 TFEU, the Union has the power to adopt measures on the collection, storage, processing, analysis, and exchange of relevant information for the purposes of police cooperation in the EU. 12 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. 13 Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data. 14 Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39). 15 ICAO, Document 9303, Machine Readable Travel Documents, Eigth Edition, 2021, available at: https://www.icao.int/publications/documents/9303_p1_cons_en.pdf. EN 5 EN Accordingly, the legal basis used for the present proposal is the same as the one used for the PNR Directive, which is appropriate considering not only that the proposed Regulation pursues essentially the same aim, but also that it seeks to complement the PNR Directive. • Subsidiarity Law enforcement authorities must be provided with effective tools to fight terrorism and serious crime. As most serious crimes and terrorist acts involve international travel, often by air, PNR data have proven to be very efficient to protect the internal security of the EU. Furthermore, investigations for the purpose of preventing, detecting, investigating, and prosecuting terrorist offences and serious crime carried out by the competent authorities of the Member States are largely dependent on international and cross-border cooperation. In an area without internal border controls, collection, processing and exchange of passenger data, including PNR and API data, by Member States are also efficient compensatory measures. By acting coherently at EU level, the proposal will contribute to increasing the security of the Member States and, by extension, of the EU as a whole. The API Directive is part of the Schengen acquis related to the crossing of the external borders. It therefore does not regulate the collection and transfer of API data on intra-EU flights. In the absence of API data to complement the PNR data for these flights, Member States have implemented a variety of different measures that seek to compensate the lack of identity data on the passengers. This includes physical conformity checks to verify identity data between travel document and boarding card that generate new issues without solving the underlying problem of not having API data. Action at EU level will help to ensure the application of harmonised provisions on safeguarding fundamental rights, in particular personal data protection, in the Member States. The different systems of Member States that have already established similar mechanisms, or will do so in the future, may impact negatively on the air carriers as they may have to comply with several diverging national requirements, for example regarding the types of information to be transferred and the conditions under which this information needs to be provided to the Member States. These differences are prejudicial to effective cooperation between the Member States for the purposes of preventing, detecting, investigating, and prosecuting terrorist offences and serious crime. Such harmonised rules can only be set at EU level. Since the objectives of this proposal cannot be sufficiently achieved by the Member States, and can be better achieved at Union level, it can be concluded that the EU is both entitled to act and better placed to do so than the Member States acting independently. The proposal therefore complies with the subsidiarity principle as set out in Article 5 of the Treaty on European Union. • Proportionality According to the principle of proportionality laid down in Article 5(4) TEU, there is a need to match the nature and intensity of a given measure to the identified problem. All problems addressed in this legislative initiative call, in one way or another, for EU-level legislative action enabling Member States to tackle these problems effectively. The proposed rules on the collection and transfer of API data, subject to strict limitations and safeguards, will strengthen the prevention, detection, investigation and prosecution of terrorist offences and serious crime. Consequently, the proposed rules correspond to an identified need to enhance internal security, responding effectively to the problem resulting from the absence of joint processing of API data and PNR data, including on those intra-EU flights for which Member States receive PNR data. EN 6 EN The scope of the proposal is limited to what is strictly necessary, i.e. it is limited to those elements that require a harmonised EU approach, namely the purposes for which API can be used by the Passenger Information Units, the data elements that need to be collected and the means for the collection and transfer of the API data from travellers. The transfer of the API data to the router reduces the complexity for air carriers to maintain connections with Passenger Information Units and introduces economies of scale, whilst reducing the scope for errors and abuse. The purpose covers only terrorist offences and serious crime, as defined in the proposal, in view of the serious nature thereof and their transnational dimension. To limit the interference on the rights of passengers to what is strictly necessary, a number of safeguards are set out in the proposal. More specifically, the processing of API data under the proposed Regulation is restricted to a closed and limited list of API data. Beyond that, no additional identity data are to be collected. Moreover, the proposed Regulation only provides for rules on the collection and transfer of API data through the router to the PIUs for the limited purposes specified therein and does not regulate the further processing of API data by the PIUs, given that, as explained above, that is covered by other acts of EU law (PNR Directive, personal data protection law, the Charter). The functionalities of the router and in particular its capability to collect and provide comprehensive statistical information also supports the monitoring of the implementation of this Regulation by air carriers and Passenger Information Units. Certain specific safeguards are also provided for, such as rules on logging, personal data protection and security. To ensure the necessity and proportionality of the data processing under the proposed Regulation, and more specifically as regards the collection and transfer of API data on intra- EU flights, Member States will only receive API data for those intra-EU flights that they have selected in line with the abovementioned case law of the CJEU. In addition, the further processing of API data by PIUs would be subject to the limits and safeguards established in the PNR Directive, as interpreted by the CJEU in the Ligue des droits humains case16 in the light of the Charter. • Choice of the instrument The proposed action is a Regulation. In view of the need for the proposed measures to be directly applicable and uniformly applied across Member States, a Regulation is therefore the appropriate choice of legal instrument. 3. RESULTS OF EX-POST EVALUATIONS, STAKEHOLDER CONSULTATIONS AND IMPACT ASSESSMENTS • Ex-post evaluation of existing legislation The API Directive does not prevent the processing of API data for law enforcement purposes as provided in national legislation and subject to personal data protection requirements. However, the implementation of this possibility across Member States is problematic, as found by the evaluation of the API Directive, leading to security gaps due a lack of EU- defined criteria on the collection and transfer of API for law enforcement purposes:17 16 CJEU, iudgment of 21 June 2022, case C-817/19, Ligue des droits humains. 17 European Commission, Staff Working Document, Evaluation of the Council Directive 2004/82/EC on the obligation of carriers to communicate passenger data (API Directive), Brussels, 8.9.2020, SWD(2020)174 final, pp. 26, 43. EN 7 EN – The law enforcement purpose is construed widely in some Member States’ national laws, ranging from administrative offences, enhancing internal security and public order, to fight against terrorism and safeguarding national security interests. The API Directive evaluation also indicated that an effective use of API data for law enforcement would require a dedicated legal instrument for this distinct purpose.18 – The variety of purposes for collecting API data adds complexity to ensuring compliance with the EU’s personal data protection framework. The requirement to delete API data within 24 hours is established only in the case of the use of API data for the principal aim of the API Directive, namely external border management. It is not clear whether this requirement also applies in respect of processing conducted for law enforcement purposes. – The API data set that can be requested from carriers for law enforcement purposes, in addition to the practice of some Member States to request API data going beyond the non-exhaustive list included in the API Directive, create additional hindrances for air carriers to comply with the different requirements when transporting passengers to the EU. – Likewise, the API Directive gives no indications of the flights for which API data can be requested nor to which authority API data should be transferred or conditions of access to such data for law enforcement purposes. • Stakeholder consultations The preparation of this proposal involved a wide range of consultations of concerned stakeholders, including Member States’ authorities (competent border authorities, Passenger Information Units), transport industry representatives and individual carriers. EU agencies – such as the European Border and Coast Guard Agency (Frontex), the EU Agency for Law Enforcement Cooperation (Europol), the EU Agency for the Operational Management of Large-Scale IT systems in the Area of Freedom, Security and Justice (eu-LISA) and the EU Agency for Fundamental Rights (FRA), also provided input. This initiative also integrates the views and feedback received during the public consultation carried out end of 2019 within the framework of the evaluation of the API Directive.19 Consultation activities in the context of the preparation of the impact assessment supporting this proposal gathered feedback from stakeholders using various methods. These activities included notably an inception impact assessment, an external supporting study and a series of technical workshops. An inception impact assessment was published for feedback from 5 June 2020 to 14 August 2020, with a total of seven contributions received providing feedback on the extension of the scope of the future API Directive, data quality, sanctions, relation of API data and PNR data, and protection of personal data.20 The external supporting study was conducted based on desk research, interviews and surveys with subject matter experts which examined different possible measures for the processing of API data with clear rules that facilitate legitimate travel, are consistent with interoperability of EU information systems, EU personal data protection requirements, and other existing EU instruments and international standards. 18 SWD(2020)174, p. 57. 19 SWD(2020)174. 20 https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Border-law- enforcement-advance-air-passenger-information-API-revised-rules_en. EN 8 EN The Commission services also organised a series of technical workshops with experts from Member States and Schengen Associated Countries. These workshops aimed at bringing together experts for an exchange of views on the possible options which were envisaged to strengthen the future API framework for border management purposes, and also for fighting crime and terrorism. The accompanying impact assessment sets out a more detailed description of the stakeholder consultation (Annex 2). • Impact assessment In line with the Better Regulation Guidelines, the Commission conducted an Impact Assessment, as presented in the accompanying Staff Working document [reference]. The Regulatory Scrutiny Board reviewed the draft impact assessment at its meeting of 28 September 2022 and delivered its positive opinion on 30 September 2022. In view of the problems identified on the collection and transfer of API data, the Impact Assessment evaluated policy options on the scope of collection of API data for external border management and for law enforcement purposes, together with options on the means to improving the quality of API data. As regards the collection of API data for law enforcement purposes, the impact assessment considered the collection of API data on all extra-EU flights on the one hand, and the collection of API data on all extra-EU and on selected intra-EU flights on the other hand. In addition, the Impact Assessment also considered options to improve the quality of API data – either to collect API data using automated and manual means, or to collect API data using automated means only. Based on the findings of the Impact Assessment report, the preferred option for an API instrument for law enforcement purposes includes the collection of API data on all flights into and outside the EU, as well as on selected intra-EU flights for which PNR data is transferred. This will significantly reinforce the robustness of the necessary analysis of relevant data relating to air travellers in the fight against serious crime and terrorism, with Passenger Information Units benefitting from the availability of API data, verified and hence of a higher quality, in order to identify persons involved in serious crime or terrorism. The collection and transfer of API data for law enforcement purposes builds on the capabilities developed for the transfer of API data, via the router, for external border management, with no additional costs for eu-LISA. Air carriers transfer API data only to the router, which would then transmit that data to the Passenger Information Unit of each Member State concerned. The impact assessment concluded this to be a cost-efficient solution for air carriers, bringing down part of the transmission costs incurred by air carriers, whilst also limiting the scope for errors or abuse. However, different from the current situation, under the proposed Regulation air carriers would need to collect and transfer API data on all flights covered, irrespective of their normal business needs and including also intra-EU flights. The proposal is consistent with the climate-neutrality objective set out in the European Climate Law21 and the Union 2030 and 2040 targets. • Fundamental rights This initiative provides for the processing of personal data of travellers and therefore limits the exercise of the fundamental right to the protection of personal data as guaranteed by Article 8 of the Charter and Article 16 of the TFEU. As underlined by the Court of Justice of 21 Article 2(1) of Regulation (EU) 2021/1119 of 30 June 2021 establishing the framework for achieving climate neutrality (European Climate Law). EN 9 EN the EU (CJEU),22 the right to the protection of personal data is not an absolute right, but any limitation must be considered in relation to its function in society and comply with the criteria set out in Article 52(1) of the Charter.23 Personal data protection is also closely linked to respect for the right to privacy, as part of the right to private and family life protected by Article 7 of the Charter. When it comes to the collection and transfer of API data for selected intra-EU flights, this initiative also affects the exercise of the fundamental right to freedom of movement provided for by Article 45 of the Charter and Article 21 of the TFEU. According to the CJEU, an obstacle to the freedom of movement of persons can be justified only where it is based on objective considerations and is proportionate to the legitimate objective of the national provisions24 . Under this Regulation, the collection and transfer of API data can only be for the prevention, detection, investigation and prosecution of terrorism and serious crime, as defined by the PNR Directive. The provisions in this proposal provide for uniform criteria for the collection and transfer of API data on extra-EU flights (inbound and outbound) on the one hand and selected intra-EU flights on the other hand, based on an assessment carried out by Member States and subject to regular review, in line with the requirements set by the the Court of Justice in the Ligue des droits humains case. The obligation on the air carriers to collect and transfer API data to the router covers all intra-EU flights. The transmission by the router to the PIUs is a technical solution to limit the transmission of API data to Passenger Information Units to selected flights only, without disclosing confidential information on which intra-EU flights have been selected. Such information is to be treated confidentially, in view of the risk of circumvention that would exist should it become known to the general public or, more specifically, to persons involved in serious crime or terrorist activities. The mandatory use of automated means by air carriers to collect certain API data from travellers can lead to risks, including from the viewpoint of the protection of personal data. However, such risks have been limited and mitigated. Firstly, the requirement applies only in respect of certain API data, where automated means can be used responsibly, i.e. for machine- readable data on travellers’ documents. Secondly, the proposed Regulation contains requirements regarding the automated means to be used, which are to be elaborated further in a delegated act. Finally, several safeguards are provided for, such as logging, specific rules on the protection of personal data and effective supervision. Furthermore, whilst – apart from the provision ensuring compliance with the principle of purpose limitation – the proposed Regulation would not regulate the use that the competent border authorities make of the API data that they receive thereunder given that – as explained above – that is already covered by other legislation, in the interest of clarity it is recalled in the recitals that any such use may not lead to any discrimination precluded under Article 21 of the Charter. 22 CJEU, judgment of 9.11.2010, Joined Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert [2010] ECR I-0000. 23 In line with Article 52(1) of the Charter, limitations may be imposed on the exercise of the right to data protection as long as the limitations are provided for by law, respect the essence of the right and freedoms and, subject to the principle of proportionality, are necessary and genuinely meet objectives of general interest recognised by the European Union or the need to protect the rights and freedoms of others. 24 CJEU, judgment of 5 June 2018, Case C-673/16, Coman. EN 10 EN 4. BUDGETARY IMPLICATIONS This legislative initiative on the collection and transfer of API data, respectively, for facilitating external border controls and for the prevention, detection, investigation and prosecution of terrorist offences and serious crime, would have an impact on the budget and staff needs of eu- LISA and Member States’ competent authorities. For eu-LISA, it is estimated that an additional budget of around EUR 45 million (33 million under current MFF) to set-up the router and EUR 9 million per year from 2029 onwards for the technical management thereof, and that around 27 additional posts would be needed for to ensure that eu- LISA has the necessary resources to perform the tasks attributed to it in this proposed Regulation and the proposed Regulation on the collection and transfer of API data for facilitating external border controls. For Member States, it is estimated that EUR 11 million (EUR 3 million under the current Multiannual Financial Framework) dedicated to upgrading the necessary national systems and infrastructures for the PIUs could be entitled for reimbursement by the Internal Security Fund25 , and from 2028 onwards, progressively up to an estimated EUR 2 million per year. Any such entitlement will ultimately have to be determined in accordance with the rules regulating those funds as well as the rules on costs contained in the proposed Regulation. In view of the close connection between this proposed Regulation and the proposed Regulation on the collection and transfer of API data for facilitating external border controls, particularly as regards the transfer of API data to the router, the legislative financial statement, in annex of this proposed Regulation, is identical to both proposals. 5. OTHER ELEMENTS • Implementation plans and monitoring, evaluation and reporting arrangements The Commission would ensure that the necessary arrangements are in place to monitor the functioning of the measures proposed and evaluate them against the main policy objectives. Four years after the commencement of operations of the proposed API Regulation, and every four years thereafter, the Commission would submit a report to the European Parliament and the Council assessing the implementation of the Regulation and its added value. The report would also report on any direct or indirect impact on fundamental rights. It would examine results achieved against objectives and assess the continuing validity of the underlying rationale and any implications for future options. The mandatory nature of the obligation for air carriers to collect API data on extra-EU and selected intra-EU flights and the introduction of the API router will allow for a clearer view on both the transmission of API data by air carriers and the use of API data by Member States in accordance with applicable national and Union legislation. This will support the Commission in its evaluation and enforcement tasks by providing it with reliable statistics on the volume of data transmitted and on the flights for which API data would be requested. • Detailed explanation of the specific provisions of the proposal Chapter 1 sets out the general provisions for this Regulation, starting with rules on its subject matter and scope. It also contains a list of definitions. 25 Regulation (EU) 2021/1149 of the European Parliament and of the Council of 7 July 2021 establishing the Internal Security Fund. EN 11 EN Chapter 2 sets out the provisions for the collection, transfer to the router and deletion of API data by air carriers, and rules regarding the transmission of API data from the router to the Passenger Information Units. Chapter 3 contains specific provisions on logs, specifications as to whom are the personal data controllers in relation to processing of API data constituting personal data under this Regulation, security and self-monitoring by air carriers and PIUs. Chapter 4 further sets out rules on the connections to, and integration with, the router by Passenger Information Units and air carriers, as well as on Member States’ costs in connection thereto. It also contains provisions regulating the situation of a partial or full technical impossibility to use the router and on liability for damage caused to the router. Chapter 5 contains provisions on supervision, on possible penalties applicable to air carriers for non-compliance of their obligations set out in this Regulation and on the preparation of a practical handbook by the Commission. Chapter 6 provides for amendments to other existing instruments, i.e. Regulation (EU) 2019/818. Chapter 7 contains the final provisions of this Regulation, which concern the adoption of delegated acts, the monitoring and evaluation of this Regulation, and its entry into force and application. EN 12 EN 2022/0425 (COD) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the collection and transfer of advance passenger information for the prevention, detection, investigation and prosecution of terrorist offences and serious crime, and amending Regulation (EU) 2019/818 THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, Having regard to the Treaty on the Functioning of the European Union, and in particular Article 82(1), point (d), and Article 87(2), point (a), thereof, Having regard to the proposal from the European Commission, After transmission of the draft legislative act to the national parliaments, Having regard to the opinion of the European Economic and Social Committee26 , Acting in accordance with the ordinary legislative procedure, Whereas: (1) The transnational dimension of serious and organised crime and the continuous threat of terrorist attacks on European soil call for action at Union level to adopt appropriate measures to ensure security within an area of freedom, security and justice without internal borders. Information on air travellers, such as Passenger Name Records (PNR) and in particular Advance Passenger Information (API), is essential in order to identify high-risk travellers, including those who are not otherwise known to law enforcement authorities, and to establish links between members of criminal groups, and countering terrorist activities. (2) While Council Directive 2004/82/EC27 establishes a legal framework for the collection and transfer of API data by air carriers with the aims of improving border controls and combating illegal immigration, it also states that Member States may use API data for law enforcement purposes. However, only creating such a possibility leads to several gaps and shortcomings. In particular, it means that, despite its relevance for law enforcement purposes, API data is not in all cases collected and transferred by air carriers for those purposes. It also means that, where Member States acted upon the possibility, air carriers are faced with diverging requirements under national law as regards when and how to collect and transfer API data for this purpose. Those divergences lead not only to unnecessary costs and complications for the air carriers, but they are also prejudicial to the Union’s internal security and effective cooperation between the competent law enforcement authorities of the Member States. Moreover, in view of the different nature of the purposes of facilitating border controls and law 26 OJ C , , p. . 27 Council Directive 2004/82/EC of 29 April 2004 on the obligation of carriers to communicate passenger data (OJ L 261, 6.8.2004, p. 24). EN 13 EN enforcement, it is appropriate to establish a distinct legal framework for the collection and transfer of API data for each of those purposes. (3) Directive (EU) 2016/681 of the European Parliament and of the Council28 lays down rules on the use of PNR data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime. Under that Directive, Member States must adopt the necessary measures to ensure that air carriers transfer PNR data, including any API data collected, to the national Passenger Information Unit (‘PIU’) established under that Directive to the extent that they have already collected such data in the normal course of their business. Consequently, that Directive does not guarantee the collection and transfer of API data in all cases, as air carriers do not have any business purpose to collect a full set of such data. Ensuring that PIUs receive API data together with PNR data is important, since the joint processing of such data is needed for the competent law enforcement authorities of the Member States to be able to effectively prevent, detect, investigate and prosecute terrorist offences and serious crime. In particular, such joint processing allows for the accurate identification of those passengers that may need to be further examined, in accordance with the applicable law, by those authorities. In addition, that Directive does not specify in detail which information constitutes API data. For those reasons, complementary rules should be established requiring air carriers to collect and subsequently transfer a specifically defined set of API data, which requirements should apply to the extent that the air carriers are bound under that Directive to collect and transfer PNR data on the same flight. (4) It is therefore necessary to establish at Union level clear, harmonised and effective rules on the collection and transfer of API data for the purpose of preventing, detecting, investigating and prosecuting terrorist offences and serious crime. (5) Considering the close relationship between both acts, this Regulation should be understood as complementing the rules provided for in Directive (EU) 2016/681. Therefore, API data is to be collected and transferred in accordance with the specific requirements of this Regulation, including as regards the situations and the manner in which that is to be done. However, the rules of that Directive apply in respect of matters not specifically covered by this Regulation, especially the rules on the subsequent processing of the API data received by the PIUs, exchange of information between Member States, conditions of access by the European Union Agency for Law Enforcement Cooperation (Europol), transfers to third countries, retention and depersonalisation, as well as the protection of personal data. Insofar as those rules apply, the rules of that Directive on penalties and the national supervisory authorities apply as well. This Regulation should leave those rules unaffected. (6) The collection and transfer of API data affects the privacy of individuals and entails the processing of personal data. In order to fully respect fundamental rights, in particular the right of respect for private life and the right to the protection of personal data, in accordance with the Charter of Fundamental Rights of the European Union (‘Charter’), adequate limits and safeguards should be provided for. In particular, any processing of API data and, in particular, API data constituting personal data, should remain limited to what is necessary for and proportionate to achieving the objectives 28 Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of passenger name record (PNR) data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime (OJ L 119, 4.5.2016, p. 132). EN 14 EN pursued by this Regulation. In addition, it should be ensured that the API collected and transferred under this Regulation do not lead to any form of discrimination precluded by the Charter. (7) In view of the complementary nature of this Regulation in relation to Directive (EU) 2016/681, the obligations of air carriers under this Regulation should apply in respect of all flights for which Member States are to require air carriers to transmit PNR data under Directive (EU) 2016/681, namely flights, including both scheduled and non- scheduled flights, both between Member States and third countries (extra-EU flights), and between several Member States (intra-EU flights) insofar as those flights have been selected in accordance with Directive (EU) 2016/681, irrespective of the place of establishment of the air carriers conducting those flights. (8) Accordingly, given that Directive (EU) 2016/681 does not cover domestic flights, that is, flights that depart and land on the territory of the same Member State without any stop-over in the territory of another Member State or a third country, and in view of the transnational dimension of the terrorist offences and the serious crime covered by this Regulation, such flights should not be covered by this Regulation either. This Regulation should not be understood as affecting the possibility for Member States to provide, under their national law and in compliance with Union law, for obligations on air carriers to collect and transfer API data on such domestic flights. (9) In view of the close relationship between the acts of Union law concerned and in the interest of consistency and coherence, the definitions set out in this Regulation should as much possible be aligned with, and be interpreted and applied in the light of, the definitions set out in Directive (EU) 2016/681 and Regulation (EU) [API border management]29 . (10) In particular, the items of information that jointly constitute the API data to be collected and subsequently transferred under this Regulation should be those listed clearly and exhaustively in Regulation (EU) API [border management], covering both information relating to each passenger and information on the flight of that traveller. Under this Regulation, such flight information should cover information on the border crossing point of entry into the territory of the Member State concerned only where applicable, that is, not when the API data relate to intra-EU flights. (11) In order to ensure a consistent approach on the collection and transfer of API data by air carriers as much as possible, the rules set out in this Regulation should be aligned with those set out in the Regulation (EU) [API border management] where appropriate. That concerns, in particular, the rules on data quality, the air carriers’ use of automated means for such collection, the precise manner in which they are to transfer the collected API data to the router and the deletion of the API data. (12) In order to ensure the joint processing of API data and PNR data to effectively fight terrorism and serious crime in the Union and at the same time minimise the interference with passengers’ fundamental rights protected under the Charter, the PIUs should be the competent authorities in the Member States that are entrusted to receive, and subsequently further process and protect, API data collected and transferred under this Regulation. In the interest of efficiency and to minimise any security risks, the router, as designed, developed, hosted and technically maintained by the European Union Agency for the Operational Management of Large-Scale IT Systems in the Area 29 OJ C , , p. . EN 15 EN of Freedom, Security and Justice (eu-LISA) in accordance with Regulation (EU) [API border management], should transmit the API data, collected and transferred to it by the air carriers under this Regulation, to the relevant PIUs. Given the necessary level of protection of API data constituting personal data, including to ensure the confidentiality of the information concerned, the API data should be transmitted by the router to the relevant PIUs in an automated manner. (13) For extra-EU flights, the PIU of the Member State on the territory of which the flight will land and or from the territory of which the flight will depart should receive the API data from the router for all those flights, given that that PNR data is collected for all those flights in accordance with Directive (EU) 2016/681. The router should identify the flight and the corresponding PIUs using the information contained in the PNR record locator, a data element common to both the API and PNR data sets allowing for the joint processing of API data and PNR data by the PIUs. (14) As regards intra-EU flights, in line with the case law of the Court of Justice of the European Union (CJEU), in order to avoid unduly interfering with the relevant fundamental rights protected under the Charter and to ensure compliance with the requirements of Union law on the free movement of persons and the abolition of internal border controls, a selective approach should be provided for. In view of the importance of ensuring that API data can be processed together with PNR data, that approach should be aligned with that of Directive (EU) 2016/681. For those reasons, API data on those flights should only be transmitted from the router to the relevant PIUs, where the Member States have selected the flights concerned in application of Article 2 of Directive (EU) 2016/681. As recalled by the CJEU, the selection entails Member States targeting the obligations in question only at, inter alia, certain routes, travel patterns or airports, subject to the regular review of that selection. (15) In order to enable the application of that selective approach under this Regulation in respect of intra-EU flights, the Member States should be required to draw up and submit to eu-LISA the lists of the flights they selected, so that eu-LISA can ensure that only for those flights API data is transmitted from the router to the relevant PIUs and that the API data on other intra-EU flights is immediately and permanently deleted. (16) In order not to endanger the effectiveness of the system that relies on the collection and transfer of API data set up by this Regulation, and of PNR data under the system set up by Directive (EU) 2016/681, for the purpose of preventing, detecting, investigating and prosecuting terrorist offences and serious crime, in particular by creating the risk of circumvention, information on which intra-EU flights the Member States selected should be treated in a confidential manner. For that reason, such information should not be shared with the air carriers and they should therefore be required to collect API data on all flights covered by this Regulation, including all intra-EU flights, and then transfer it to the router, where the necessary selection should be enacted. Moreover, by collecting API data on all intra-EU flights, passengers are not made aware on which selected intra-EU flights API data, and hence also PNR data, is transmitted to PIUs in accordance with Member States’ assessment. That approach also ensures that any changes relating to that selection can be implemented swiftly and effectively, without imposing any undue economic and operational burdens on the air carriers. (17) In the interest of ensuring compliance with the fundamental right to protection of personal data and in line with Regulation (EU) [API border management], this Regulation should identify the controllers. In the interest of effective monitoring, EN 16 EN ensuring adequate protection of personal data and minimising security risks, rules should also be provided for on logging, security of processing and self-monitoring. Where they relate to the processing of personal data, those provisions should be understood as complementing the generally applicable acts of Union law on the protection of personal data, in particular Regulation (EU) 2016/679 of the European Parliament and of the Council30 , Directive (EU) 2016/680 of the European Parliament and the Council31 and Regulation (EU) 2018/1725 of the European Parliament and the Council32 . Those acts, which also apply to the processing of personal data under this Regulation in accordance with the provisions thereof, should not be affected by this Regulation. (18) The router to be created and operated under Regulation (EU) [API border management] should reduce and simplify the technical connections needed to transfer API data, limiting them to a single connection per air carrier and per PIU. Therefore, this Regulation provides for the obligation for the PIUs and air carriers to each establish such a connection to, and achieve the required integration with, the router, so as to ensure that the system for transferring API data established by this Regulation can function properly. (19) In view of the Union interests at stake, appropriate costs incurred by the Member States in relation to their connections to, and integration with, the router, as required under this Regulation, should be borne by the Union budget, in accordance with the applicable legislation and subject to certain exceptions. The costs covered by those exceptions should be borne by each Member State concerned itself. (20) In accordance with Regulation (EU) 2018/1726, Member States may entrust eu-LISA with the task of facilitating connectivity with air carriers in order to assist Member States in the implementation of Directive (EU) 2016/681, particularly by collecting and transferring PNR data via the router. (21) It cannot be excluded that, due to exceptional circumstances and despite all reasonable measures having been taken in accordance with this Regulation and, as regards the router, Regulation (EU) [API border management], the router or the systems or infrastructure connecting the PIUs and the air carriers thereto fail to function properly, thus leading to a technical impossibility to use the router to transmit API data. Given the unavailability of the router and that it will generally not be reasonably possible for air carriers to transfer the API data affected by the failure in a lawful, secure, effective and swift manner through alternative means, the obligation for air carriers to transfer that API data to the router should cease to apply for as long as the technical impossibility persist. In order to minimise the duration and negative consequences 30 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016, p. 1. 31 Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA, OJ L 119, 4.5.2016, p. 89. 32 Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, OJ L 295, 21.11.2018, p. 39 EN 17 EN thereof, the parties concerned should in such a case immediately inform each other and immediately take all necessary measures to address the technical impossibility. This arrangement should be without prejudice to the obligations under this Regulation of all parties concerned to ensure that the router and their respective systems and infrastructure function properly, as well as the fact that air carriers are subject to penalties when they fail to meet those obligations, including when they seek to rely on this arrangement where such reliance is not justified. In order to deter such abuse and to facilitate supervision and, where necessary, the imposition of penalties, air carriers that rely on this arrangement on account of the failure of their own system and infrastructure should report thereon to the competent supervisory authority. (22) In order to ensure that the rules of this Regulation are applied effectively by air carriers, provision should be made for the designation and empowerment of national authorities charged with the supervision of those rules. The rules of this Regulation on such supervision, including as regards the imposition of penalties where necessary, should leave the tasks and powers of the supervisory authorities established in accordance with Regulation (EU) 2016/679 and Directive (EU) 2016/680 unaffected, including in relation to the processing of personal data under this Regulation. (23) Effective, proportionate and dissuasive penalties, including financial ones, should be provided for by Member States against those air carriers failing to meet their obligations regarding the collection and transfer of API data under this Regulation. (24) In order to adopt measures relating to the technical requirements and operational rules for the automated means for the collection of machine-readable API data, to the common protocols and formats to be used for the transfer of API data by air carriers, to the technical and procedural rules for the transmission of API data from the router and to the PIUs and to the PIU’s and air carriers’ connections to and integration with the router, the power to adopt acts in accordance with Article 290 of the Treaty on the Functioning of the European Union should be delegated to the Commission in respect of Articles 4, 5, 10 and 11, respectively. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level, and that those consultations be conducted in accordance with the principles laid down in the Interinstitutional Agreement on Better Law-Making of 13 April 201633 . In particular, to ensure equal participation in the preparation of delegated acts, the European Parliament and the Council receive all documents at the same time as Member States’ experts, and their experts systematically have access to meetings of Commission expert groups dealing with the preparation of delegated acts. (25) All interested parties, and in particular the air carriers and the PIUs, should be afforded sufficient time to make the necessary preparations to be able to meet their respective obligations under this Regulation, taking into account that some of those preparations, such as those regarding the obligations on the connection to and integration with the router, can only be finalised when the design and development phases of the router have been completed and the router starts operations. Therefore, this Regulation should apply only from an appropriate date after the date at which the router starts operations, as specified by the Commission in accordance with Regulation (EU) [API border management]. However, it should be possible for the Commission to adopt delegated acts under this Regulation already from an earlier date, so as to ensure that the system set up by this Regulation is operational as soon as possible. 33 OJ L 123, 12.5.2016, p. 1. EN 18 EN (26) The objectives of this Regulation, namely contributing to the prevention, detection, investigation and prosecution of terrorist offences and serious crime, in view of the transnational dimension of the offences concerned and the need to cooperate on a cross-border basis to effectively address them, cannot be sufficiently achieved by the Member States individually, but can rather be better achieved at Union level. The Union may therefore adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on the European Union. In accordance with the principle of proportionality, as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective. (27) In accordance with Articles 1 and 2 of Protocol No 22 on the position of Denmark, annexed to the Treaty on European Union and to the Treaty on the Functioning of the European Union, Denmark is not taking part in the adoption of this Regulation and is not bound by it or subject to its application. (28) [In accordance with Article 3 of the Protocol (No 21) on the position of the United Kingdom and Ireland in respect of the area of freedom, security and justice, annexed to the Treaty on European Union and the Treaty on the Functioning of the European Union, Ireland has notified its wish to take part in the adoption and application of this Regulation.] OR [In accordance with Articles 1 and 2 of Protocol No 21 on the position of the United Kingdom and Ireland in respect of the area of freedom, security and justice, annexed to the Treaty on European Union and to the Treaty on the Functioning of the European Union, and without prejudice to Article 4 of that Protocol, Ireland is not taking part in the adoption of this Regulation and is not bound by it or subject to its application.] (29) The European Data Protection Supervisor was consulted in accordance with Article 42(1) of Regulation (EU) 2018/1725 and delivered an opinion on [XX].34 HAVE ADOPTED THIS REGULATION: CHAPTER 1 GENERAL PROVISIONS Article 1 Subject matter For the purpose of preventing, detecting, investigating and prosecuting terrorist offences and serious crime, this Regulation lays down the rules on: (a) the collection by air carriers of advance passenger information data (‘API data’) on extra EU flights and selected intra EU flights; (b) the transfer by air carriers to the router of the API data; (c) the transmission from the router to the Passenger Information Units (‘PIUs’) of the API data on extra-EU flights and selected intra-EU flights. 34 [OJ C …] EN 19 EN Article 2 Scope This Regulation applies to air carriers conducting scheduled or non-scheduled extra-EU flights or intra-EU flights. Article 3 Definitions For the purposes of this Regulation, the following definitions apply: (a) ‘air carrier’ means an air transport undertaking as defined in Article 3, point (1), of Directive (EU) 2016/681; (b) ‘extra-EU flights’ means any flight as defined in Article 3, point (2), of Directive (EU) 2016/681; (c) ‘intra-EU flight’ means any flight as defined in Article 3, point (3), of Directive (EU) 2016/681; (d) ‘scheduled flight’ means a flight as defined in Article 3, point (e), of Regulation (EU) [API border management]; (e) ‘non-scheduled flight’ means a flight as defined in Article 3, point (f), of Regulation (EU) [API border management]; (f) ‘passenger’ means any person as defined in Article 3, point (4), of Directive (EU) 2016/681; (g) ‘crew’ means any person as defined in Article 3, point (h), of Regulation (EU) [API border management]; (h) ‘traveller’ means any person as defined in Article 3, point (i), of Regulation (EU) [API border management]; (i) ‘advance passenger information data’ or ‘API data’ means the data as defined in Article 3, point (j), of Regulation (EU) [API border management]; (j) ‘passenger name record’ or 'PNR' means a record of each passenger’s travel requirements as defined in Article 3, point (5), of Directive (EU) 2016/681; (k) ‘Passenger Information Unit’ or ‘PIU’ means the competent authority established by a Member State, as contained in the notifications and modifications published by the Commission pursuant to Article 4(1) and (5), respectively, of Directive (EU) 2016/681; (l) ‘terrorist offences’ means the offences as defined in Articles 3 to 12 of Directive (EU) 2017/541 of the European Parliament and the Council35 ; (m) ‘serious crime’ means the offences as defined in Article 3, point (9), of Directive 2016/681; 35 Directive (EU) 2017/541 of the European Parliament and of the Council of 15 March 2017 on combating terrorism and replacing Council Framework Decision 2002/475/JHA and amending Council Decision 2005/671/JHA (OJ L 88, 31.3.2017, p. 6). EN 20 EN (n) ‘the router’ means the router as defined in Article 3, point (k) of Regulation (EU) [API border management]; (o) ’personal data’ means any information as defined in Article 4, point (1), of Regulation (EU) 2016/679. CHAPTER 2 PROCESSING OF API DATA Article 4 Collection, transfer and deletion of API data by air carriers 1. Air carriers shall collect API data of travellers on the flights referred to in Article 2, for the purpose of transferring that API data to the router in accordance with paragraph 6. Where the flight is code-shared between one or more air carriers, the obligation to transfer the API data shall be on the air carrier that operates the flight. 2. Air carriers shall collect the API data in such a manner that the API data that they transfer in accordance with paragraph 6 is accurate, complete and up-to-date. 3. Air carriers shall collect the API data referred to Article 4(2), points (a) to (d), of Regulation (EU) [API border management] using automated means to collect the machine-readable data of the travel document of the traveller concerned. They shall do so in accordance with the detailed technical requirements and operational rules referred paragraph 5, where such rules have been adopted and are applicable. However, where such use of automated means is not possible due to the travel document not containing machine-readable data, air carriers shall collect that data manually, in such a manner as to ensure compliance with paragraph 2. 4. Any automated means used by air carriers to collect API data under this Regulation shall be reliable, secure and up-to-date. 5. The Commission is empowered to adopt delegated acts in accordance with Article 19 to supplement this Regulation by laying down detailed technical requirements and operational rules for the collection of the API data referred to in Article 4(2), points (a) to (d), of Regulation (EU) [API border management] using automated means in accordance with paragraphs 3 and 4 of this Article. 6. Air carriers shall transfer the API data collected pursuant to paragraph 1 to the router, by electronic means. They shall do so in accordance with the detailed rules referred to in paragraph 9, where such rules have been adopted and are applicable. 7. Air carriers shall transfer the API data both at the moment of check-in and immediately after flight closure, that is, once the travellers have boarded the aircraft in preparation for departure and it is no longer possible for travellers to board or to leave the aircraft. 8. Without prejudice to the possibility for air carriers to retain and use the data where necessary for the normal course of their business in compliance with the applicable law, air carriers shall immediately either correct, complete or update, or permanently delete, the API data concerned in both of the following situations: EN 21 EN (a) where they become aware that the API data collected is inaccurate, incomplete or no longer up-to-date or was processed unlawfully, or that the data transferred does not constitute API data; (b) where the transfer of the API data in accordance with paragraph 3 has been completed. Where the air carriers obtain the awareness referred to in point (a) of the first subparagraph of this paragraph after having completed the transfer of the data in accordance with paragraph 6, they shall immediately inform the European Union Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice (eu-LISA). Upon receiving such information, eu-LISA shall immediately inform the PIUs that received the API data transmitted through the router. 9. The Commission is empowered to adopt delegated acts in accordance with Article 19 to supplement this Regulation by laying down the necessary detailed rules on the common protocols and supported data formats to be used for the transfers of API data to the router referred to in paragraph 6. Article 5 Transmission of API data from the router to the PIUs 1. The router shall, immediately and in an automated manner, transmit the API data, transferred to it by air carriers pursuant to Article 4, to the PIUs of the Member State on the territory of which the flight will land or from the territory of which the flight will depart, or to both in the case of intra-EU-flights. Where a flight has one or more stop-overs at the territory of other Member States than the one from which it departed, the router shall transmit the API data to the PIUs of all the Member States concerned. For the purpose of such transmission, eu-LISA shall establish and keep up-to-date a table of correspondence between the different airports of origin and destination and the countries to which they belong However, for intra-EU flights, the router shall only transmit the API data to that PIU in respect of the flights included in the list referred to in paragraph 2. The router shall transmit the API data in accordance with the detailed rules referred to in paragraph 3, where such rules have been adopted and are applicable.2. Member States that decide to apply Directive (EU) 2016/681 to intra-EU flights in accordance with Article 2 of that Directive shall each establish a list of the intra-EU flights concerned and shall, by the date of application of this Regulation referred to in Article 21, second subparagraph, provide eu-LISA with that list. Those Member States shall, in accordance with Article 2 of that Directive, regularly review and where necessary update those lists and shall immediately provide eu-LISA with any such updated lists. The information contained on those lists shall be treated confidentially. 3. The Commission is empowered to adopt delegated acts in accordance with Article 19 to supplement this Regulation by laying down the necessary detailed technical and procedural rules for the transmissions of API data from the router referred to in paragraph 1. EN 22 EN CHAPTER 3 LOGGING, PERSONAL DATA PROTECTION AND SECURITY Article 6 Keeping of logs 1. Air carriers shall create logs of all processing operations under this Regulation undertaken using the automated means referred to in Article 4(3). Those logs shall cover the date, time, and place of transfer of the API data. 2. The logs referred to in paragraph 1 shall be used only for ensuring the security and integrity of the API data and the lawfulness of the processing, in particular as regards compliance with the requirements set out in this Regulation, including proceedings for penalties for infringements of those requirements in accordance with Articles 15 and 16. 3. Air carriers shall take appropriate measures to protect the logs that they created pursuant to paragraph 1 against unauthorised access and other security risks. 4. Air carriers shall keep the logs that they created pursuant to paragraph 1, for a time period of one year from the moment of the creation of those logs. They shall immediately and permanently delete those logs upon the expiry of that time period. However, if those logs are needed for procedures for monitoring or ensuring the security and integrity of the API data or the lawfulness of the processing operations, as referred to in paragraph 2, and those procedures have already begun at the moment of the expiry of the time period referred to in the first subparagraph, air carriers may keep those logs for as long as necessary for those procedures. In that case, they shall immediately delete those logs when they are no longer necessary for those procedures. Article 7 Personal data controllers The PIUs shall be controllers, within the meaning of Article 3, point (8), of Directive (EU) 2016/680 in relation to the processing of API data constituting personal data under this Regulation through the router, including transmission and storage for technical reasons of that data on the router. The air carriers shall be controllers, within the meaning of Article 4, point (7), of Regulation (EU) 2016/679, for the processing of API data constituting personal data in relation to their collection of that data and their transfer thereof to the router under this Regulation. Article 8 Security PIUs and air carriers shall ensure the security of the API data, in particular API data constituting personal data, that they process pursuant to this Regulation. PIUs and air carriers shall cooperate, in accordance with their respective responsibilities and in compliance with Union law, with each other and with eu-LISA to ensure such security. EN 23 EN Article 9 Self-monitoring Air carriers and the PIUs shall monitor their compliance with their respective obligations under this Regulation, in particular as regards their processing of API data constituting personal data, including through frequent verification of the logs in accordance with Article 7. CHAPTER 4 MATTERS RELATING TO THE ROUTER Article 10 PIUs’ connections to the router 1. Member States shall ensure that their PIUs are connected to the router. They shall ensure that their national systems and infrastructure for the reception and further processing of API data transferred pursuant to this Regulation are integrated with the router. Member States shall ensure that the connection to that router and integration with it enables their PIUs to receive and further process the API data, as well as to exchange any communications relating thereto, in a lawful, secure, effective and swift manner. 2. The Commission is empowered to adopt delegated acts in accordance with Article 19 to supplement this Regulation by laying down the necessary detailed rules on the connections to and integration with the router referred to in paragraph 1. Article 11 Air carriers’ connections to the router 1. Air carriers shall ensure that they are connected to the router. They shall ensure that their systems and infrastructure for the transfer of API data to the router pursuant to this Regulation are integrated with the router. Air carriers shall ensure that the connection to the router and the integration with it enables them to transfer the API data as well as to exchange any communications relating thereto, in a lawful, secure, effective and swift manner. 2. The Commission is empowered to adopt delegated acts in accordance with Article 19 to supplement this Regulation by laying down the necessary detailed rules on the connections to and integration with the router referred to in paragraph 1. Article 12 Member States’ costs 1. Costs incurred by the Member States in relation to their connections to and integration with the router referred to in Article 10 shall be borne by the general budget of the Union. However, the following costs shall be excluded and be borne by the Member States: (a) costs for project management, including costs for meetings, missions and offices; EN 24 EN (b) costs for the hosting of national information technology (IT) systems, including costs for space, implementation, electricity and cooling; (c) costs for the operation of national IT systems, including operators and support contracts; (d) costs for the design, development, implementation, operation and maintenance of national communication networks. 2. Member States shall also bear the costs arising from the administration, use and maintenance of their connections to and integration with the router. Article 13 Actions in case of technical impossibility to use the router 1. Where it is technically impossible to use the router to transmit API data because of a failure of the router, eu-LISA shall immediately notify the air carriers and PIUs of that technical impossibility in an automated manner. In that case, eu-LISA shall immediately take measures to address the technical impossibility to use the router and shall immediately notify those parties when it has been successfully addressed. During the time period between those notifications, Article 4(6) shall not apply, insofar as the technical impossibility prevents the transfer of API data to the router. Insofar as that is the case, Article 4(1) shall not apply either to the API data in question during that time period. 2. Where it is technically impossible to use the router to transmit API data because of a failure of the systems or infrastructure referred to in Article 10 of a Member State, the PIU of that Member State shall immediately notify the air carriers, the other PIUs, eu-LISA and the Commission of that technical impossibility in an automated manner. In that case, that Member State shall immediately take measures to address the technical impossibility to use the router and shall immediately notify those parties when it has been successfully addressed. During the time period between those notifications, Article 4(6) shall not apply, insofar as the technical impossibility prevents the transfer of API data to the router. Insofar as that is the case, Article 4(1) shall not apply either to the API data in question during that time period. 3. Where it is technically impossible to use the router to transmit API data because of a failure of the systems or infrastructure referred to in Article 11 of an air carrier, that air carrier shall immediately notify the PIUs, eu-LISA and the Commission of that technical impossibility in an automated manner. In that case, that air carrier shall immediately take measures to address the technical impossibility to use the router and shall immediately notify those parties when it has been successfully addressed. During the time period between those notifications, Article 4(6) shall not apply, insofar as the technical impossibility prevents the transfer of API data to the router. Insofar as that is the case, Article 4(1) shall not apply either to the API data in question during that time period. When the technical impossibility has been successfully addressed, the air carrier concerned shall, without delay, submit to the competent national supervisory authority referred to in Article 15 a report containing all necessary details on the EN 25 EN technical impossibility, including the reasons for the technical impossibility, its extent and consequences as well as the measures taken to address it. Article 14 Liability regarding the router If any failure of a Member State or an air carrier to comply with its obligations under this Regulation causes damage to the router, that Member State or air carrier shall be liable for such damage, unless and insofar as eu-LISA failed to take reasonable measures to prevent the damage from occurring or to minimise its impact. CHAPTER 5 SUPERVISION, PENALTIES AND HANDBOOK Article 15 National supervisory authority 1. Member States shall designate one or more national supervisory authorities responsible for monitoring the application within their territory by air carriers of the provisions of this Regulation and ensuring compliance with those provisions. 2. Member States shall ensure that the national supervisory authorities have all necessary means and all necessary investigative and enforcement powers to carry out their tasks under this Regulation, including by imposing the penalties referred to in Article 16 where appropriate. They shall lay down detailed rules on the performance of those tasks and the exercise of those powers, ensuring that the performance and exercise is effective, proportionate and dissuasive and is subject to safeguards in compliance with the fundamental rights guaranteed under Union law. 3. Member States shall, by the date of application of this Regulation referred to in Article 21, second subparagraph, notify the Commission of the name and the contact details of the authorities that they designated under paragraph 1 and of the detailed rules that they laid down pursuant to paragraph 2. They shall notify the Commission without delay of any subsequent changes or amendments thereto. 4. This Article is without prejudice to the powers of the supervisory authorities referred to in Article 51 of Regulation (EU) 2016/679 and Article 41 of Directive (EU) 2016/680. Article 16 Penalties Member States shall lay down the rules on penalties applicable to infringements of this Regulation and shall take all measures necessary to ensure they are implemented. The penalties provided for shall be effective, proportionate and dissuasive penalties. Member States shall, by the date of application of this Regulation referred to in Article 21, second subparagraph, notify the Commission of those rules and of those measures and shall notify it without delay of any subsequent amendment affecting them. EN 26 EN Article 17 Practical handbook The Commission shall, in close cooperation with the PIUs, other relevant Member States’ authorities, the air carriers and relevant Union agencies, prepare and make publicly available a practical handbook, containing guidelines, recommendations and best practices for the implementation of this Regulation. The practical handbook shall take into account the relevant existing handbooks. The Commission shall adopt the practical handbook in the form of a recommendation. CHAPTER 6 RELATIONSHIP TO OTHER EXISTING INSTRUMENTS Article 18 Amendments to Regulation (EU) 2019/818 ___________ In Article 39, paragraphs 1 and 2 are replaced by the following: “1. A central repository for reporting and statistics (CRRS) is established for the purposes of supporting the objectives of the SIS, Eurodac and ECRIS-TCN, in accordance with the respective legal instruments governing those systems, and to provide cross-system statistical data and analytical reporting for policy, operational and data quality purposes. The CRRS shall also support the objectives of Regulation (EU) …/… of the European Parliament and of the Council* [this Regulation].” * Regulation (EU) [number] of the European Parliament and of the Council of xy on [officially adopted title] (OJ L …)” “2. eu-LISA shall establish, implement and host in its technical sites the CRRS containing the data and statistics referred to in Article 74 of Regulation (EU) 2018/1862 and Article 32 of Regulation (EU) 2019/816 logically separated by EU information system. eu-LISA shall also collect the data and statistics from the router referred to in Article 13(1) of Regulation (EU) …/… * [this Regulation ]. Access to the CRRS shall be granted by means of controlled, secured access and specific user profiles, solely for the purpose of reporting and statistics, to the authorities referred to in Article 74 of Regulation (EU) 2018/1862, Article 32 of Regulation (EU) 2019/816 and Article 13(1) of Regulation (EU) …/… * [this Regulation ].” CHAPTER 7 FINAL PROVISIONS EN 27 EN Article 19 Exercise of delegation 1. The power to adopt delegated acts is conferred on the Commission subject to the conditions laid down in this Article. 2. The power to adopt delegated acts referred to in Article 4(5) and (9), Article 5(3), Article 10(2) and Article 11(2) shall be conferred on the Commission for a period of five years from [date of adoption of the Regulation]. The Commission shall draw up a report in respect of the delegation of power not later than nine months before the end of the five-year period. The delegation of power shall be tacitly extended for periods of an identical duration, unless the European Parliament or the Council opposes such extension not later than three months before the end of each period. 3. The delegation of power referred to in Article 4(5) and (9), Article 5(3), Article 10(2) and Article 11(2) may be revoked at any time by the European Parliament or by the Council. A decision to revoke shall put an end to the delegation of the power specified in that decision. It shall take effect the day following the publication of the decision in the Official Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force. 4. Before adopting a delegated act, the Commission shall consult experts designated by each Member State in accordance with the principles laid down in the Interinstitutional Agreement of 13 April 2016 on Better Law-Making. 5. As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council. Article 20 Monitoring and evaluation 1. By [four years after the date of entry into force of this Regulation], and every four years thereafter, the Commission shall produce a report containing an overall evaluation of this Regulation, including an assessment of: (a) the application of this Regulation; (b) the extent to which this Regulation achieved its objectives; (c) the impact of this Regulation on the fundamental rights protected under Union law; (d) The Commission shall submit the evaluation report to the European Parliament, the Council, the European Data Protection Supervisor and the European Agency for Fundamental Rights. If appropriate, in light of the evaluation conducted, the Commission shall make a legislative proposal to the European Parliament and to the Council with a view to amending this Regulation. 2. The Member States and air carriers shall, upon request, provide the Commission with the information necessary to draft the report referred to in paragraph 1. However, Member States may refrain from providing such information if, and to the extent, necessary not to disclose confidential working methods or jeopardise ongoing investigations of their PIUs or other law enforcement authorities. The Commission shall ensure that any confidential information provided is appropriately protected. EN 28 EN Article 21 Entry into force and application This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. It shall apply from two years from the date at which the router starts operations, specified by the Commission in accordance with Article 27 of Regulation (EU) [API border management]. However, Article 4(5) and (9), Article 5(3), Article 10(2), Article 11(2) and Article 19 shall apply from [Date of entry into force of this Regulation]. This Regulation shall be binding in its entirety and directly applicable in the Member States in accordance with the Treaties. Done at Strasbourg, For the European Parliament For the Council The President The President EN 29 EN LEGISLATIVE FINANCIAL STATEMENT The financial implications of this proposal are covered by the joint legislative financial statement annexed to the proposal for Regulation (EU) [API border management].
2_DA_ACT_part1_v2.pdf
https://www.ft.dk/samling/20221/kommissionsforslag/kom(2022)0731/forslag/1917347/2657189.pdf
DA DA EUROPA- KOMMISSIONEN Strasbourg, den 13.12.2022 COM(2022) 731 final 2022/0425 (COD) Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818 {SWD(2022) 424 final} Offentligt KOM (2022) 0731 - Forslag til forordning Europaudvalget 2022 DA 1 DA BEGRUNDELSE 1. BAGGRUND FOR FORSLAGET • Forslagets begrundelse og formål I de seneste ti år har EU og andre dele af verden oplevet en stigning i grov og organiseret kriminalitet. Ifølge Europols trusselsvurdering af grov og organiseret kriminalitet (EU Serious and Organised Crime Threat Assessment) indebærer det meste af den organiserede kriminalitet international rejseaktivitet, typisk med henblik på at smugle personer, narkotika eller andre ulovlige varer ind i EU. Bl.a. benytter kriminelle ofte EU's vigtigste lufthavne samt mindre regionale lufthavne, hvor lavprisluftfartsselskaber opererer1 . Ligeledes viser Europols rapport om situationen og tendenserne med hensyn til terrorisme (EU Terrorism Situation and Trend Report), at terrortruslen i EU fortsat er reel og alvorlig2 , og påpeger, at de fleste terroraktiviteter rækker ud over landegrænserne og indebærer enten internationale kontakter eller rejseaktivitet uden for EU. I den forbindelse er oplysninger om flyrejsende et vigtigt værktøj for de retshåndhævende myndigheder til bekæmpelse af grov kriminalitet og terrorisme i EU. Data om flyrejsende omfatter forhåndsinformation om passagerer (API) og passagerlisteoplysninger (PNR), der, når de anvendes sammen, er særligt effektive til at identificere højrisikorejsende og til at afdække mistænkte personers rejsemønster. Når en passager køber en billet hos et luftfartsselskab, genereres en PNR af flyselskabernes reservationssystemer til deres egen forretningsmæssige brug. De omfatter oplysninger om den fuldstændige rejseplan, betalingsoplysninger, kontaktoplysninger og særlige ønsker fra passageren. Hvis der foreligger en forpligtelse dertil, sendes disse PNR-oplysninger til passageroplysningsenheden i bestemmelseslandet og ofte afgangslandet. I EU blev PNR-direktivet3 vedtaget i 2016 for at sikre, at alle medlemsstater fastsætter regler for indsamling af PNR-oplysninger fra luftfartsselskaber for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, uden at det berører eksisterende EU- regler om luftfartsselskabers forpligtelse til at indsamle API-oplysninger som fastsat i API- direktivet4. I henhold til PNR-direktivet skal medlemsstaterne vedtage alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber videregiver PNR-oplysninger, i det omfang de allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter. PNR-direktivet giver mulighed for fælles behandling af både API-oplysninger og PNR- oplysninger, idet dets definition af PNR-oplysninger omfatter "eventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger)"5. I henhold til PNR-direktivet er luftfartsselskaberne imidlertid ikke forpligtet til at indsamle oplysninger, der falder uden for deres normale forretningsaktiviteter. PNR-direktivet fører derfor ikke til indsamling af alle 1 Europol, Serious and Organised Threat Assessment (trusselsvurdering af grov og organiseret kriminalitet — SOCTA), 2021 https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf. 2 Europol, rapport om situationen og tendenserne med hensyn til terrorisme (TE-SAT), 2021 https://www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf. 3 Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. 4 Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer. 5 Se punkt 18 i bilag 1 til direktiv (EU) 2016/681. DA 2 DA API-oplysninger, da indsamling af sådanne oplysninger ikke er nødvendig for luftfartsselskabernes forretningsmæssige brug. Kun hvis der foreligger en forpligtelse dertil, indsamles API-oplysninger af luftfartsselskabet ved indtjekning af passageren (indtjekning online og i lufthavnen). De sendes derefter til de kompetente grænsekontrolmyndigheder som en komplet "passagerliste" med oplysninger om alle passagerer om bord ved flyets afgang. Mens API-oplysninger betragtes som "verificerede" oplysninger, da de vedrører rejsende, der i sidste ende gik om bord på flyet, og desuden kan benyttes af de retshåndhævende myndigheder til at identificere mistænkte og eftersøgte personer, er PNR-oplysninger "uverificerede" oplysninger, som passagererne fremlægger. PNR-oplysningerne om en bestemt passager indeholder normalt ikke alle eventuelle PNR-elementer, men kun dem, som passageren har fremlagt, og/eller som er nødvendige for reservationen og derfor som led i luftfartsselskabets normale forretningsaktiviteter. Siden vedtagelsen af API-direktivet i 2004 har der været global konsensus om, at API- oplysninger ikke kun er et vigtigt redskab til grænseforvaltning, men også et vigtigt redskab med hensyn til retshåndhævelse, navnlig bekæmpelse af grov kriminalitet og terrorisme. På internationalt plan har FN's Sikkerhedsråds resolutioner således siden 2014 gentagne gange opfordret til oprettelse og global indførelse af API- og PNR-systemer med henblik på retshåndhævelse6 . Desuden bekræfter forpligtelsen blandt de deltagende stater i Organisationen for Sikkerhed og Samarbejde i Europa (OSCE) til at oprette API-systemer, hvor vigtigt det er at kunne anvende disse oplysninger i forbindelse med bekæmpelse af terrorisme og grænseoverskridende kriminalitet. 7 Som det fremgår af Kommissionens rapport om revision af PNR-direktivet, gør de kompetente retshåndhævende myndigheders fælles behandling af API- og PNR-oplysninger — dvs. at de PNR-oplysninger, der indsamles af luftfartsselskaber som led i deres normale forretningsaktiviteter og videregives til de kompetente retshåndhævende myndigheder, suppleres med en forpligtelse for luftfartsselskaberne til at indsamle og videregive API- oplysninger — bekæmpelsen af grov kriminalitet og terrorisme i EU langt mere effektiv8 . Den kombinerede anvendelse af API- og PNR-oplysninger gør det muligt for de kompetente nationale myndigheder at bekræfte passagerernes identitet og forbedrer PNR-oplysningernes pålidelighed betydeligt. En sådan kombineret anvendelse forud for en passagers ankomst gør det også muligt for de retshåndhævende myndigheder at foretage en vurdering og en nærmere kontrol udelukkende af de personer, som det på grundlag af objektive vurderingskriterier og tidligere erfaringer og i overensstemmelse med gældende lovgivning er mest sandsynligt udgør en trussel mod sikkerheden. Det gør det lettere for alle andre passagerer at rejse og mindsker risikoen for, at passagerer ved indrejse kontrolleres af de kompetente myndigheder på grundlag af ulovlige kriterier såsom race eller etnisk oprindelse, som de retshåndhævende myndigheder på fejlagtig vis kan associere med sikkerhedsrisici. 6 FN's Sikkerhedsråds resolution 2178 (2014), 2309 (2016), 2396 (2017) og 2482 (2019), samt OSCE's Ministerråds beslutning 6/16 af 9. december 2016 om fremme af anvendelsen af forhåndsinformation om passagerer. 7 OSCE's Ministerråds beslutning 6/16 af 9. december 2016 om fremme af anvendelsen af forhåndsinformation om passagerer. 8 Det ledsagende arbejdsdokument fra Kommissionens tjenestegrene til rapporten om revision af direktiv 2016/681 (SWD(2020) 128 final). DA 3 DA EU's nuværende retlige ramme regulerer imidlertid kun anvendelsen af PNR-oplysninger til bekæmpelse af grov kriminalitet og terrorisme, men regulerer ikke specifikt API-oplysninger, som der kun kan anmodes om for flyvninger fra tredjelande, hvilket fører til huller i sikkerheden, navnlig for så vidt angår flyvninger inden for EU, som medlemsstaterne anmoder luftfartsselskaber om at videregive PNR-oplysninger om. Passageroplysningsenhederne opnår de mest effektive operationelle resultater på flyvninger, hvor der indsamles både API- og PNR-oplysninger. Det betyder, at de kompetente retshåndhævende myndigheder ikke kan drage fordel af resultaterne af den fælles behandling af API- og PNR-oplysninger om flyvninger inden for EU, hvor kun PNR-oplysninger videregives. For at lukke dette hul blev der i Kommissionens strategi for et fuldt fungerende og robust Schengenområde fra juni 2021 opfordret til, at der i højere grad gøres brug af API- oplysninger i kombination med PNR-oplysninger for flyvninger inden for Schengenområdet for at forbedre den indre sikkerhed væsentligt, under overholdelse af den grundlæggende ret til beskyttelse af personoplysninger og den grundlæggende ret til fri bevægelighed9 . Formålet med forslaget til forordning er derfor at fastsætte bedre regler for luftfartsselskabers indsamling og videregivelse af API-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. For at sikre overensstemmelse med de relevante grundlæggende rettigheder, der er nedfældet i EU's charter om grundlæggende rettigheder ("chartret"), navnlig retten til privatlivets fred og til beskyttelse af personoplysninger og de deraf følgende krav om nødvendighed og proportionalitet, er forslaget, som nærmere forklaret nedenfor, nøje begrænset med hensyn til anvendelsesområde og indeholder strenge begrænsninger og garantier for beskyttelse af personoplysninger. • Sammenhæng med de gældende regler på samme område De foreslåede regler for indsamling og videregivelse af API-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet er i overensstemmelse med de gældende regler for behandling af PNR-oplysninger, jf. PNR- direktivet10 . Den Europæiske Unions Domstols fortolkninger i dens seneste retspraksis tages i betragtning, navnlig det, som er præciseret i denne retspraksis vedrørende behandling af PNR- oplysninger for så vidt angår flyvninger inden for EU, hvorefter videregivelse af PNR- oplysninger om flyvninger inden for EU til medlemsstaternes kompetente myndigheder skal være selektiv og ikke kan være systematisk, medmindre det er begrundet i en reel og aktuel eller forudsigelig terrortrussel11 . I det omfang, der er en eventuel overlapning mellem forslaget til forordning og reglerne i PNR-direktivet, under hensyntagen til, at definitionen — som beskrevet — af PNR- oplysninger i nævnte direktiv omfatter "eventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger)", har forslaget til forordning forrang, i betragtning af at den både er lex specialis og lex posterior. Selv om medlemsstaterne i henhold til PNR-direktivet skal vedtage alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber videregiver 9 COM(2021) 277 final af 2.6.2021. 10 PNR-direktivet indeholder bestemmelser om behandlingen af oplysningerne såsom om de involverede kompetente myndigheder (artikel 7), længden af dataopbevaringsperioden (artikel 12) og beskyttelse af personoplysninger (artikel 13). 11 Domstolens dom i sag C-817/19, Ligue des droits humains. DA 4 DA PNR-oplysninger, i det omfang de allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter, indeholder forslaget til forordning bestemmelser om, at luftfartsselskaberne er forpligtet til at indsamle API-oplysninger i særlige situationer og videregive disse oplysninger på en bestemt måde. Forslaget til forordning supplerer derfor PNR-direktivet, idet den sikrer, at i de tilfælde, hvor de kompetente retshåndhævende myndigheder — dvs. passageroplysningsenhederne — modtager PNR-oplysninger som omhandlet i PNR-direktivet, er luftfartsselskaberne også forpligtet til at indsamle og videregive API-oplysninger til disse kompetente myndigheder. Efter videregivelsen af API-oplysninger til passageroplysningsenheder, jf. PNR-direktivet, er reglerne for passageroplysningsenhedernes efterfølgende behandling af API-oplysningerne, bortset fra de begrænsede krav i denne henseende, der er fastsat i forslaget til en forordning, dem, der er fastsat i PNR-direktivet. Som nævnt giver PNR-direktivet mulighed for fælles behandling af API-oplysninger og PNR-oplysninger, idet dets definition af PNR-oplysninger omfatter "eventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger)", og dermed også de API-oplysninger, som passageroplysningsenhederne modtager ifølge forslaget til forordning. Derfor finder bestemmelserne i artikel 6 og artikel 9 ff. i PNR- direktivet anvendelse i forbindelse med bl.a. spørgsmål i tilknytning til de præcise formål med behandling, opbevaringsperioder, sletning, udveksling af oplysninger, medlemsstaternes videregivelse af oplysninger til tredjelande og særlige bestemmelser om beskyttelse af disse personoplysninger. Desuden finder almindeligt gældende EU-retsakter anvendelse i overensstemmelse med de betingelser, som er fastsat deri. For så vidt angår behandlingen af personoplysninger, gælder dette navnlig for Den generelle forordning om databeskyttelse12, direktivet om databeskyttelse på retshåndhævelsesområdet ("retshåndhævelsesdirektivet")13 samt EU's databeskyttelsesforordning14 . Disse retsakter berøres ikke af dette forslag. Anvendelsen af ovennævnte EU-retsakter med hensyn til behandlingen af de API- oplysninger, som modtages i henhold til denne forordning, betyder, at medlemsstaterne gennemfører EU-retten i henhold til chartrets artikel 51, stk. 1, hvilket betyder, at chartrets regler også finder anvendelse. Reglerne i disse EU-retsakter skal navnlig fortolkes i lyset af chartret. For at sikre overensstemmelse med de regler, der er fastsat i forslaget til forordning om indsamling og videregivelse af API-oplysninger i forbindelse med grænsekontrol og effektivisering af videregivelsen af API-oplysninger, indeholder dette forslag bestemmelser om, at luftfartsselskaberne er forpligtet til at indsamle det samme sæt API-oplysninger og videregive dem til den samme router, der er oprettet i henhold til det andet forslag til en forordning. 12 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. 13 Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger. 14 Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39). DA 5 DA Indsamlingen af API-oplysninger fra rejsedokumenter er også i overensstemmelse med ICAO's retningslinjer for maskinlæsbare rejsedokumenter15 , som er gennemført ved forordning 2019/1157 om styrkelse af sikkerheden af unionsborgeres identitetskort, Rådets direktiv 2019/997 om EU-nødpas og forordning 2252/2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas. Disse forordninger er forløberne for automatisk udtrækning af fuldstændige data og data af høj kvalitet fra rejsedokumenter. 2. RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET • Retsgrundlag Det relevante retsgrundlag for dette forslag til en forordning om indsamling og videregivelse af API-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, er, under henvisning til dens mål og foranstaltningerne deri, artikel 82, stk. 1, litra d), og artikel 87, stk. 2, litra a), i traktaten om Den Europæiske Unions funktionsmåde (TEUF). I henhold til artikel 82, stk. 1, litra d), i TEUF har Unionen kompetence til at vedtage foranstaltninger for at fremme samarbejdet mellem retsmyndigheder eller tilsvarende myndigheder i medlemsstaterne i forbindelse med strafforfølgning og fuldbyrdelse af afgørelser. I henhold til artikel 87, stk. 2, litra a), i TEUF har Unionen kompetence til at vedtage foranstaltninger om indsamling, lagring, behandling, analyse og udveksling af relevante oplysninger med henblik på politisamarbejde i EU. Derfor er det retsgrundlag, der finder anvendelse på dette forslag, det samme som det, der finder anvendelse for PNR-direktivet, hvilket er relevant i betragtning af, at forslaget til forordning både forfølger stort set det samme mål og sigter mod at supplere PNR-direktivet. • Nærhedsprincippet De retshåndhævende myndigheder skal have effektive redskaber til at bekæmpe terrorisme og grov kriminalitet. Da de fleste grove forbrydelser og terrorhandlinger involverer international rejseaktivitet, ofte med fly, har PNR-oplysninger vist sig at være meget effektive til at beskytte EU's interne sikkerhed. Desuden afhænger de efterforskninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, som medlemsstaternes myndigheder foretager, i høj grad af det internationale samarbejde på tværs af grænserne. I et område uden kontrol ved de indre grænser, er medlemsstaternes indsamling, behandling og udveksling af passageroplysninger, herunder PNR- og API-oplysninger, også effektive kompensationsforanstaltninger. Ved at sikre, at der sker en sammenhængende indsats på EU- plan, vil forslaget bidrage til at øge sikkerheden i EU-medlemsstaterne og dermed i EU som helhed. API-direktivet er en del af Schengenreglerne vedrørende passage af de ydre grænser. Det regulerer derfor ikke indsamlingen og videregivelsen af API-oplysninger om flyvninger inden for EU. Da der ikke findes API-oplysninger til at supplere PNR-oplysningerne med hensyn til disse flyvninger, har medlemsstaterne gennemført en lang række forskellige foranstaltninger, der tager sigte på at kompensere for manglende oplysninger om passagerernes identitet. Dette omfatter fysiske kontroller med henblik på at kontrollere, at der er overensstemmelse mellem 15 ICAO, Dokument 9303, Machine Readable Travel Documents, 8. udgave, 2021, tilgængelig på: https://www.icao.int/publications/documents/9303_p1_cons_en.pdf. DA 6 DA identitetsoplysningerne i rejsedokumentet og på boardingkortet, hvilket skaber nye problemstillinger uden at løse det underliggende problem ved ikke at have API-oplysninger. En indsats på EU-plan vil hjælpe med at sikre harmoniseringen af bestemmelserne om at garantere grundlæggende rettigheder, navnlig beskyttelse af personoplysninger, i medlemsstaterne. De forskellige systemer i de medlemsstater, der allerede har oprettet lignende mekanismer, eller som vil gøre det fremover, kan have negative følger for luftfartsselskaberne, da de skal overholde divergerende nationale krav, f.eks. vedrørende de typer oplysninger, der skal videregives, og betingelserne for, hvornår disse oplysninger skal forelægges for medlemsstaterne. Disse forskelle skader også det effektive samarbejde mellem medlemsstaterne med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. Sådanne harmoniserede regler kan kun fastsættes på EU-plan. Målene for dette direktiv kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan bedre nås på EU-plan; det kan derfor konkluderes, at EU er både berettiget til og bedre i stand til at handle end medlemsstaterne enkeltvis. Forslaget er derfor i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. • Proportionalitetsprincippet I henhold til proportionalitetsprincippet, som er fastsat i artikel 5, stk. 4, i TEU, er der behov for at afpasse arten og intensiteten af en given foranstaltning efter det konstaterede problem. Alle de problemer, der behandles i dette lovgivningsinitiativ, kræver på den ene eller anden måde lovgivningsmæssige foranstaltninger på EU-plan, for at medlemsstaterne kan håndtere dem effektivt. De foreslåede regler for indsamling og videregivelse af API-oplysninger, som er omfattet af strenge begrænsninger og garantier, vil styrke forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af terrorhandlinger og grov kriminalitet. Derfor svarer de foreslåede regler til et identificeret behov for at forbedre den indre sikkerhed og effektivt afhjælpe problemet, der skyldes, at API- og PNR-oplysninger ikke behandles i fællesskab, herunder om de flyvninger inden for EU, som medlemsstaterne modtager PNR-oplysninger om. Forslagets anvendelsesområde er begrænset til, hvad der er strengt nødvendigt, dvs. til de elementer, der kræver en harmoniseret tilgang på EU-plan, herunder de formål, hvortil passageroplysningsenhederne kan anvende PNR-oplysninger, de oplysningselementer, det er nødvendigt at indsamle, og de måder, hvorpå API-oplysninger om de rejsende indsamles og videregives. Videregivelsen af API-oplysninger til routeren gør det mindre komplekst for luftfartsselskaberne at opretholde forbindelsen med passageroplysningsenhederne og giver stordriftsfordele, samtidig med at risikoen for fejl og misbrug mindskes. Formålet er begrænset til terrorhandlinger og grov kriminalitet, som defineret i forslaget, grundet deres grovhed og internationale dimension. For at begrænse denne indgriben i passagerernes rettigheder til, hvad der er strengt nødvendigt, er der fastsat en række garantier i forslaget. Mere specifikt er behandlingen af API-oplysninger i henhold til forslaget til forordning begrænset til en udtømmende liste over begrænsede API-oplysninger. Derudover må der ikke indsamles yderligere identitetsoplysninger. Desuden indeholder forslaget til forordning kun regler om indsamling og videregivelse af API-oplysninger via routeren til passageroplysningsenhederne til de begrænsede formål, der er angivet heri, og regulerer ikke passageroplysningsenhedernes videre behandling af API-oplysninger, da dette, som forklaret ovenfor, er omfattet af andre EU-retsakter (PNR-direktivet, lov om beskyttelse af personoplysninger, chartret). Routerens funktionalitet og navnlig dens evne til at indsamle og videregive omfattende statistiske DA 7 DA oplysninger understøtter også luftfartsselskabernes og passageroplysningsenhedernes overvågning af gennemførelsen af denne forordning. Der er også fastsat visse specifikke garantier, f.eks. regler om registrering, beskyttelse af personoplysninger og sikkerhed. For at sikre, at databehandlingen er nødvendig og forholdsmæssig, som omhandlet i forslaget til forordning, og mere specifikt for så vidt angår indsamlingen og videregivelsen af API- oplysninger om flyvninger inden for EU, modtager medlemsstaterne kun API-oplysninger for de flyvninger inden for EU, som de har udvalgt i overensstemmelse med EU-Domstolens retspraksis, jf. ovenfor. Endvidere vil passageroplysningsenhedernes videre behandling af API-oplysninger være underlagt de begrænsninger og garantier, der er fastsat i PNR- direktivet, som fortolket af EU-Domstolen i sagen Ligue des droits humains16 i lyset af chartret. • Valg af retsakt Den foreslåede foranstaltning er en forordning. I betragtning af behovet for at de foreslåede foranstaltninger skal være direkte anvendelige og anvendes ens i alle medlemsstater, er en forordning derfor et hensigtsmæssigt valg af retsakt. 3. RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER • Efterfølgende evaluering af eksisterende lovgivning API-direktivet er ikke til hinder for behandling af API-oplysninger med henblik på retshåndhævelse som omhandlet i national lovgivning og i overensstemmelse med kravene om beskyttelse af personoplysninger. Denne mulighed er imidlertid problematisk at gennemføre på tværs af medlemsstaterne, hvilket fremgår af evalueringen af API-direktivet, idet det fører til huller i sikkerheden på grund af manglende fastsættelse af kriterier i EU for indsamling og videregivelse af API-oplysninger med henblik på retshåndhævelse17 : – Retshåndhævelsesformålet fortolkes bredt i nogle medlemsstaters nationale lovgivning og omfatter alt fra administrative overtrædelser, forbedring af den indre sikkerhed og den offentlige orden til bekæmpelse af terrorisme og beskyttelse af nationale sikkerhedsinteresser. Evalueringen af API-direktivet viste også, at en effektiv brug af API-oplysninger til retshåndhævelse ville kræve en specifik retsakt til dette særlige formål18 . – De forskellige formål med at indsamle API-oplysninger gør det mere kompliceret at sikre overholdelse af EU's ramme for beskyttelse af personoplysninger. Kravet om sletning af API-oplysninger inden for 24 timer er kun fastsat i tilfælde af, at API- oplysninger anvendes til hovedformålet i API-direktivet, nemlig forvaltning af de ydre grænser. Det er ikke klart, om dette krav også gælder for behandling, der foretages med henblik på retshåndhævelse. – De API-oplysninger, som luftfartsselskaberne kan anmode om med henblik på retshåndhævelse, ud over nogle medlemsstaters praksis med at anmode om API- 16 Domstolens dom 21. juni 2022, sag C-817/19, Ligue des droits humains. 17 Arbejdsdokument fra Europa-Kommissionens tjenestegrene, evaluering af Rådets direktiv 2004/82/EF om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (API-direktivet), Bruxelles, 8.9.2020 (SWD(2020) 174 final, s. 26 og 43). 18 SWD(2020) 174, s. 57. DA 8 DA oplysninger, der rækker ud over den ikke-udtømmende liste i API-direktivet, skaber yderligere hindringer for luftfartsselskaberne med hensyn til at overholde de forskellige krav, når de transporterer passagerer til EU. – På samme måde indeholder API-direktivet ikke nogen bestemmelser om, for hvilke flyvninger der kan anmodes om API-oplysninger, eller til hvilken myndighed API- oplysninger skal videregives, eller om betingelserne for adgang til sådanne oplysninger med henblik på retshåndhævelse. • Høringer af interesserede parter Ved udarbejdelsen af dette forslag hørtes en lang række berørte interessenter, herunder medlemsstaternes myndigheder (de kompetente grænsekontrolmyndigheder og passageroplysningsenhederne), repræsentanter for luftfartsindustrien samt individuelle luftfartsselskaber. EU-agenturer — såsom Det Europæiske Agentur for Grænse- og Kystbevogtning (Frontex), Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol), Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT- Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) og EU's Agentur for Grundlæggende Rettigheder (FRA) — gav også input. Dette initiativ integrerer også de synspunkter og den feedback, der blev modtaget under den offentlige høring, som blev gennemført ved udgangen af 2019 inden for rammerne af evalueringen af API- direktivet19 . Høringsaktiviteter i forbindelse med udarbejdelsen af den konsekvensanalyse, der ligger til grund for dette forslag, indsamlede feedback fra interessenter ved hjælp af forskellige metoder. Disse aktiviteter omfattede bl.a. en indledende konsekvensanalyse, en ekstern understøttende undersøgelse og en række tekniske workshopper. En indledende konsekvensanalyse blev offentliggjort og var åben for feedback fra den 5. juni 2020 til den 14. august 2020, og der blev modtaget i alt syv bidrag med feedback om udvidelsen af anvendelsesområdet for det fremtidige API-direktiv, datakvalitet, sanktioner, sammenhæng mellem API-oplysninger og PNR-oplysninger samt beskyttelse af personoplysninger20. Den eksterne understøttende undersøgelse blev foretaget på baggrund af skrivebordsundersøgelser, interview med og undersøgelser af fageksperter, der undersøgte forskellige mulige foranstaltninger til behandling af API-oplysninger med klare regler, der letter lovlig rejseaktivitet og er i overensstemmelse med interoperabiliteten mellem EU's informationssystemer, EU's krav til beskyttelse af personoplysninger og andre eksisterende EU-instrumenter og internationale standarder. Kommissionens tjenestegrene afholdt også en række tekniske workshopper med eksperter fra medlemsstaterne og de associerede Schengenlande. Disse workshopper havde til formål at samle eksperter til udveksling af synspunkter om de mulige løsninger, der var planlagt for at styrke den fremtidige API-ramme for grænseforvaltning samt for at bekæmpe kriminalitet og terrorisme. Den ledsagende konsekvensanalyse indeholder en mere detaljeret beskrivelse af høringen af interessenter (bilag 2). 19 SWD(2020) 174. 20 https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Border-law- enforcement-advance-air-passenger-information-API-revised-rules_da. DA 9 DA • Konsekvensanalyse I overensstemmelse med retningslinjerne for bedre regulering har Kommissionen foretaget en konsekvensanalyse, som beskrevet i det ledsagende arbejdsdokument fra Kommissionens tjenestegrene [reference]. Udvalget for Forskriftskontrol gennemgik udkastet til konsekvensanalyse på mødet den 28. september 2022 og afgav en positiv udtalelse den 30. september 2022. Som følge af de konstaterede problemer med hensyn til indsamling og videregivelse af API- oplysninger, blev forskellige løsningsmodeller for anvendelsesområdet for indsamling af API- oplysninger til forvaltning af de ydre grænser og retshåndhævelse samt mulighederne for at forbedre kvaliteten af API-oplysninger evalueret i konsekvensanalysen. Hvad angår indsamling af API-oplysninger med henblik på retshåndhævelse, blev der i forbindelse med konsekvensanalysen på den ene side overvejet indsamling af API-oplysninger om alle flyvninger uden for EU og på den anden side indsamling af API-oplysninger om alle flyvninger uden for EU og om udvalgte flyvninger inden for EU. I forbindelse med konsekvensanalysen blev mulighederne for at forbedre kvaliteten af API-oplysninger, enten ved at indsamle API-oplysninger ved hjælp af automatiserede og manuelle midler eller ved kun at indsamle API-oplysninger ved hjælp af automatiserede midler, også overvejet. På baggrund af konklusionerne i konsekvensanalyserapporten omfatter den foretrukne løsning til en API-retsakt med henblik på retshåndhævelse indsamling af API-oplysninger om alle flyvninger til og uden for EU samt om udvalgte flyvninger inden for EU, hvorom PNR- oplysninger videregives. Dette vil styrke robustheden af den nødvendige analyse af relevante data vedrørende flyrejsende betydeligt i bekæmpelsen af grov kriminalitet og terrorisme, idet passageroplysningsenhederne kan drage fordel af API-oplysninger, der er verificeret og dermed af højere kvalitet, med henblik på at identificere personer, der er involveret i grov kriminalitet eller terrorisme. Indsamling og videregivelse af API-oplysninger med henblik på retshåndhævelse bygger på de muligheder, der er udviklet til videregivelse af API-oplysninger via routeren til forvaltning af de ydre grænser, uden yderligere omkostninger for eu-LISA. Luftfartsselskaberne videregiver kun API-oplysninger til routeren, som herefter sender disse data til hver af de berørte medlemsstaters passageroplysningsenheder. I konsekvensanalysen konkluderes det, at dette er en omkostningseffektiv løsning for luftfartsselskaberne, idet en del af luftfartsselskabernes omkostninger til videregivelse reduceres, samtidig med at risikoen for fejl og misbrug begrænses. I modsætning til den nuværende situation vil luftfartsselskaberne dog i henhold til forslaget til forordning skulle indsamle og videregive API-oplysninger om alle de flyvninger, der er omfattet, uanset deres behov for normale forretningsaktiviteter, herunder også flyvninger uden for EU. Forslaget er i overensstemmelse med målet om klimaneutralitet, der er fastsat i den europæiske klimalov21 samt Unionens mål for 2030 og 2040. • Grundlæggende rettigheder Dette initiativ indeholder bestemmelser om behandling af rejsendes personoplysninger og begrænser derfor udøvelsen af den grundlæggende ret til beskyttelse af personoplysninger, som garanteres ved chartrets artikel 8 og artikel 16 i TEUF. Som understreget af Den Europæiske Unions Domstol (Domstolen)22 , er retten til beskyttelse af personoplysninger ikke 21 Artikel 2, stk. 1, i forordning (EU) 2021/1119 af 30. juni 2021 om fastlæggelse af rammerne for at opnå klimaneutralitet ("den europæiske klimalov"). 22 Domstolens dom af 9.11.2010, forenede sager C-92/09 og C-93/09, Volker under Markus Schecke og Eifert [2010] ECR I-0000. DA 10 DA en absolut ret, men enhver begrænsning skal ses i sammenhæng med sin funktion i samfundet og opfylde kriterierne i chartrets artikel 52, stk. 123 . Beskyttelse af personoplysninger er også tæt forbundet med respekt for retten til privatlivets fred som en del af retten til privatliv og familieliv, som fastsat i chartrets artikel 7. For så vidt angår indsamling og videregivelse af API-oplysninger om udvalgte flyvninger inden for EU, berører dette initiativ også udøvelsen af den grundlæggende ret til fri bevægelighed, som omhandlet i chartrets artikel 45 og artikel 21 i TEUF. Ifølge Domstolen kan en hindring for personers frie bevægelighed kun være begrundet, hvis den er baseret på objektive almene hensyn og står i et rimeligt forhold til det formål, der lovligt tilstræbes med den nationale lovgivning24 . I henhold til denne forordning kan indsamling og videregivelse af API-oplysninger kun ske med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet som defineret i PNR-direktivet. Bestemmelserne i dette forslag fastsætter ensartede kriterier for indsamlingen og videregivelsen af API-oplysninger om flyvninger uden for EU (ind- og udgående) på den ene side og udvalgte flyvninger inden for EU på den anden side på baggrund af en vurdering, der foretages af medlemsstaterne og revideres regelmæssigt, i overensstemmelse med de af Domstolen fastsatte krav i sagen Ligue des droits humains. Luftfartsselskabernes forpligtelse til at indsamle og videregive API-oplysninger til routeren omfatter alle flyvninger inden for EU. Overførslen fra routeren til passageroplysningsenhederne er en teknisk løsning, der har til formål at begrænse videregivelsen af API-oplysninger til passageroplysningsenhederne til kun at omfatte udvalgte flyvninger uden at videregive fortrolige oplysninger om, hvilke flyvninger inden for EU der er udvalgt. Sådanne oplysninger skal behandles fortroligt i betragtning af risikoen for omgåelse, hvis de gøres kendt for offentligheden eller, mere specifikt, for personer, der er involveret i grov kriminalitet eller terrorhandlinger. Luftfartsselskabernes obligatoriske anvendelse af automatiserede metoder til at indsamle visse API-oplysninger fra rejsende kan medføre risici, bl.a. med hensyn til beskyttelse af personoplysninger. Sådanne risici er dog blevet begrænset og afbødet. For det første gælder kravet kun for visse API-oplysninger, hvor automatisk behandling kan ske ansvarligt, dvs. for maskinlæsbare dele af de rejsendes dokumenter. For det andet indeholder forslaget til forordning krav til den automatiske behandling, som skal uddybes i en delegeret retsakt. Endelig er der fastsat en række garantier, f.eks. logning, særlige regler for beskyttelse af personoplysninger og effektivt tilsyn. Selv om forslaget til forordning, bortset fra bestemmelsen om overholdelse af princippet om formålsbegrænsning, ikke ville regulere de kompetente grænsekontrolmyndigheders anvendelse af de API-oplysninger, de modtager i henhold til denne bestemmelse, idet disse — som forklaret ovenfor — allerede er omfattet af anden lovgivning, bemærkes det af hensyn til klarhed i betragtningerne, at en sådan anvendelse ikke må føre til nogen form for forskelsbehandling, som er udelukket i henhold til chartrets artikel 21. 23 I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af retten til databeskyttelse, såfremt disse begrænsninger er fastlagt i lovgivningen og respekterer disse rettigheders og friheders væsentligste indhold, og såfremt de under iagttagelse af proportionalitetsprincippet er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder. 24 Domstolens dom af 5. juni 2018, sag C-673/16, Coman. DA 11 DA 4. VIRKNINGER FOR BUDGETTET Dette lovgivningsmæssige initiativ om indsamling og videregivelse af API-oplysninger for at lette kontrollen ved de ydre grænser og for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet vil have indflydelse på budgettet og behovet for personale hos eu-LISA og medlemsstaternes kompetente myndigheder. For eu-LISA anslås det, at der vil være behov for et yderligere budget på ca. 45 mio. EUR (33 mio. EUR i henhold til den nuværende FFR) til etablering af routeren og 9 mio. EUR om året fra 2029 for den tekniske forvaltning heraf, og at der vil være brug for omkring 27 ekstra stillinger for at sikre, at eu-LISA har de nødvendige ressourcer til at varetage sine opgaver, som omhandlet i dette forslag til forordning og i forslaget til forordning om indsamling og videregivelse af API- oplysninger for at lette kontrollen ved de ydre grænser. For så vidt angår medlemsstaterne anslås det, at passageroplysningsenhederne kan være berettiget til en godtgørelse på 11 mio. EUR (3 mio. EUR i henhold til den nuværende flerårige finansielle ramme), som er afsat til opgradering af de nødvendige nationale systemer og infrastrukturer, fra Fonden for Intern Sikkerhed25 , og fra 2028 og frem, gradvist op til ca. 2 mio. EUR om året. Enhver sådan ret skal i sidste ende fastsættes i overensstemmelse med reglerne vedrørende disse midler, samt reglerne om omkostninger, som er indeholdt i forslaget til forordning. I betragtning af sammenhængen mellem dette forslag til forordning og forslaget til forordning om indsamling og videregivelse af API-oplysninger for at lette kontrollen ved de ydre grænser, navnlig for så vidt angår videregivelse af API-oplysninger til routeren, er finansieringsoversigten til forslaget i bilaget til dette forslag identisk med begge forslag. 5. ANDRE FORHOLD • Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering Kommissionen vil sikre, at der træffes de nødvendige foranstaltninger til at overvåge, hvordan de foreslåede foranstaltninger fungerer, og evaluere dem i forhold til de vigtigste politiske mål. Fire år efter den foreslåede API-forordnings ikrafttrædelse, og hvert fjerde år derefter, forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om vurdering af gennemførelsen af forordningen og dens merværdi. I rapporten skal der også redegøres for enhver direkte eller indirekte indvirkning på de grundlæggende rettigheder. Den vil gennemgå de opnåede resultater set i forhold til målene og vurdere de grundlæggende princippers fortsatte gyldighed og eventuelle konsekvenser for fremtidige muligheder. Den obligatoriske karakter af luftfartsselskabernes forpligtelse til at indsamle API-oplysninger om flyvninger uden for EU og udvalgte flyvninger inden for EU og indførelsen af API- routeren vil give et klarere overblik over både luftfartsselskabernes videregivelse af API- oplysninger og medlemsstaternes brug af API-oplysninger i overensstemmelse med gældende national lovgivning og EU-lovgivning. Dette vil støtte Kommissionen i sin evaluerings- og håndhævelsesopgave ved at tilvejebringe pålidelige statistikker over mængden af oplysninger, der videregives og om de flyvninger, for hvilke der anmodes om API-oplysninger. 25 Europa-Parlamentets og Rådets forordning (EU) 2021/1149 af 7. juli 2021 om oprettelse af Fonden for Intern Sikkerhed. DA 12 DA • Nærmere redegørelse for de enkelte bestemmelser i forslaget Kapitel 1 indeholder de almindelige bestemmelser for denne forordning med udgangspunkt i reglerne for dens genstand og anvendelsesområde. Det indeholder også en liste over definitioner. Kapitel 2 indeholder bestemmelser om luftfartsselskabers indsamling, overførsel til routeren og sletning af API-oplysninger samt regler for overførsel af API-oplysninger fra routeren til passageroplysningsenhederne. Kapitel 3 indeholder specifikke bestemmelser om logfiler, specifikationer for, hvem der er dataansvarlige i forbindelse med behandling af API-oplysninger, der udgør personoplysninger i henhold til denne forordning, sikkerhed og luftfartsselskabernes og passageroplysningsenhedernes egenkontrol. Kapitel 4 indeholder endvidere regler om passageroplysningsenhedernes og luftfartsselskabernes forbindelse og integration med routeren samt om medlemsstaternes omkostninger i forbindelse hermed. Den indeholder også bestemmelser i forhold til en situation, hvor det er delvist eller helt teknisk umuligt at anvende routeren og om erstatningsansvar for skader på routeren. Kapitel 5 indeholder bestemmelser om tilsyn, om eventuelle sanktioner i tilfælde af, at luftfartsselskaberne ikke overholder deres forpligtelser i henhold til denne forordning, og bestemmelser vedrørende Kommissionens udarbejdelse af en praktisk vejledning. Kapitel 6 indeholder ændringer af andre eksisterende instrumenter, dvs. forordning (EU) 2019/818. Kapitel 7 indeholder de endelige bestemmelser i denne forordning om vedtagelse af delegerede retsakter, overvågning og evaluering af denne forordning samt dens ikrafttræden og anvendelse. DA 13 DA 2022/0425 (COD) Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818 EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR — under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 82, stk. 1, litra d), og artikel 87, stk. 2, litra a), under henvisning til forslag fra Europa-Kommissionen, efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter, under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg26 , efter den almindelige lovgivningsprocedure, og ud fra følgende betragtninger: (1) Den internationale dimension af grov og organiseret kriminalitet og den fortsatte trussel om terrorangreb på europæisk jord kræver en indsats på EU-plan for at sikre, at der vedtages passende sikkerhedsforanstaltninger, der giver borgerne et område med frihed, sikkerhed og retfærdighed uden indre grænser. Oplysninger om flyrejsende, såsom passagerlister (PNR) og især forhåndsinformation om passagerer (API), er afgørende for at identificere højrisikorejsende, herunder dem, der ellers ikke er kendt af de retshåndhævende myndigheder, og for at etablere forbindelser mellem medlemmer af kriminelle grupper og bekæmpe terrorhandlinger. (2) Selv om Rådets direktiv 2004/82/EF27 udgør en retlig ramme for luftfartsselskabers indsamling og videregivelse af API-oplysninger med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring, fastslår det også, at medlemsstaterne kan bruge API-oplysninger til retshåndhævelse. Men skabes der kun en mulighed, kan det fører til flere huller og mangler. Det betyder navnlig, at API- oplysninger ikke i alle tilfælde indsamles og videregives af luftfartsselskaber til disse formål, selv om de er relevante til retshåndhævelsesformål. Det betyder også, at luftfartsselskaberne, i de tilfælde hvor medlemsstaterne har benyttet muligheden, står over for divergerende krav i henhold til national ret med hensyn til, hvornår og hvordan de skal indsamle og videregive API-oplysninger til dette formål. Disse forskelle fører ikke blot til unødige omkostninger og komplikationer for luftfartsselskaberne, men de er også skadelige for Unionens indre sikkerhed og for et effektivt samarbejde mellem medlemsstaternes kompetente retshåndhævende myndigheder. I betragtning af de forskellige formål med at lette grænsekontrollen og 26 EUT C […] af […], s. […]. 27 Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (EUT L 261 af 6.8.2004, s. 24). DA 14 DA retshåndhævelsen bør der desuden fastsættes en særskilt retlig ramme for indsamling og videregivelse af API-oplysninger til hvert af disse formål. (3) Ved Europa-Parlamentets og Rådets direktiv (EU) 2016/68128 fastsættes regler om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. I henhold til nævnte direktiv skal medlemsstaterne vedtage alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber videregiver PNR-oplysninger, herunder alle indsamlede API- oplysninger, til den nationale passageroplysningsenhed, som er oprettet i henhold til nævnte direktiv, i det omfang de allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter. Direktivet sikrer derfor ikke indsamling og videregivelse af API-oplysninger i alle tilfælde, da indsamling af alle disse oplysninger ikke er nødvendig for luftfartsselskabernes forretningsmæssige brug. Det er vigtigt at sikre, at passageroplysningsenhederne modtager API-oplysninger sammen med PNR-oplysninger, da det er nødvendigt at behandle i fællesskab, hvis medlemsstaternes kompetente retshåndhævende myndigheder effektivt skal kunne forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. En sådan fælles behandling giver navnlig mulighed for nøjagtig identifikation af de passagerer, der eventuelt skal undersøges yderligere af disse myndigheder i overensstemmelse med gældende ret. Desuden redegøres der i nævnte direktiv ikke nærmere for, hvilke oplysninger der udgør API-oplysninger. Der bør af disse årsager derfor fastsættes supplerende regler med krav om, at luftfartsselskaber indsamler og efterfølgende videregiver et specifikt defineret sæt API-oplysninger, og disse krav bør finde anvendelse i det omfang luftfartsselskaberne i henhold til nævnte direktiv er forpligtet til at indsamle og videregive PNR-oplysninger om samme flyvning. (4) Det er derfor nødvendigt på EU-plan at fastsætte klare, harmoniserede og effektive regler for indsamling og videregivelse af API-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. (5) I betragtning af den tætte sammenhæng mellem de to retsakter bør denne forordning forstås som et supplement til reglerne i direktiv (EU) 2016/681. API-oplysninger skal derfor indsamles og videregives i overensstemmelse med de specifikke krav i denne forordning, herunder med hensyn til de situationer og den måde, hvorpå dette skal ske. Bestemmelserne i nævnte direktiv finder dog anvendelse for så vidt angår spørgsmål, der ikke specifikt er omfattet af denne forordning, navnlig reglerne om den efterfølgende behandling af API-oplysninger, som passageroplysningsenhederne modtager, udveksling af oplysninger mellem medlemsstaterne, betingelserne for adgang for Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol), overførsel af personoplysninger til tredjelande, opbevaring og anonymisering samt beskyttelse af personoplysninger. I det omfang disse regler finder anvendelse, finder bestemmelserne i nævnte direktiv om sanktioner og de nationale tilsynsmyndigheder også anvendelse. Denne forordning bør ikke berøre disse regler. (6) Indsamlingen og videregivelsen af API-oplysninger påvirker enkeltpersoners privatliv og indebærer behandling af personoplysninger. For fuldt ud at respektere de grundlæggende rettigheder, navnlig retten til respekt for privatlivet og retten til beskyttelse af personoplysninger, i overensstemmelse med Den Europæiske Unions 28 Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (EUT L 119 af 4.5.2016, s. 132). DA 15 DA charter om grundlæggende rettigheder ("chartret"), bør der fastsættes passende begrænsninger og garantier. I særdeleshed bør enhver behandling af API-oplysninger, navnlig API-oplysninger, der udgør personoplysninger, forblive begrænset til, hvad der er nødvendigt for og står i rimeligt forhold til at nå de mål, der forfølges med denne forordning. Det bør endvidere sikres, at de API-oplysninger, der indsamles og videregives i henhold til denne forordning, ikke fører til nogen form for forskelsbehandling, der er udelukket af chartret. (7) I betragtning af komplementariteten mellem denne forordning og direktiv (EU) 2016/681 bør luftfartsselskabernes forpligtelser i henhold til denne forordning finde anvendelse på alle flyvninger, for hvilke medlemsstaterne skal stille krav om, at luftfartsselskaberne videregiver PNR-oplysninger i henhold til direktiv (EU) 2016/681, f.eks. flyvninger, herunder både ruteflyvninger og ikkeruteflyvninger, både mellem medlemsstater og tredjelande (flyvninger uden for EU) og mellem flere medlemsstater (flyvninger inden for EU), i det omfang disse flyvninger er udvalgt i overensstemmelse med direktiv (EU) 2016/681, uanset hvor de luftfartsselskaber, der foretager disse flyvninger, har hjemsted. (8) Da direktiv (EU) 2016/681 derfor ikke omfatter indenrigsflyvninger, dvs. flyvninger med afrejse fra og ankomst til samme medlemsstats område uden mellemlanding i en anden medlemsstats eller et tredjelands område, og i betragtning af den internationale dimension af de terrorhandlinger og den grove kriminalitet, der er omfattet af denne forordning, bør sådanne flyvninger heller ikke være omfattet af denne forordning. Denne forordning bør ikke forstås således, at den berører medlemsstaternes mulighed for i henhold til deres nationale ret og i overensstemmelse med EU-retten at fastsætte forpligtelser for luftfartsselskaber om at indsamle og videregive API-oplysninger om sådanne indenrigsflyvninger. (9) I betragtning af den tætte sammenhæng mellem de berørte EU-retsakter og af hensyn til konsekvensen og sammenhængen bør definitionerne i denne forordning i videst muligt omfang bringes i overensstemmelse med og fortolkes og anvendes i lyset af definitionerne i direktiv (EU) 2016/681 og forordning (EU) [API-oplysninger til grænseforvaltning]29 . (10) De oplysninger, der sammen udgør API-oplysninger, som skal indsamles og efterfølgende videregives i henhold til denne forordning, bør navnlig være de oplysninger, der klart og udtømmende er anført i forordning (EU) [API-oplysninger til grænseforvaltning], og som omfatter både oplysninger om hver enkelt passager og oplysninger om den pågældende rejsendes flyvning. I henhold til denne forordning bør sådanne oplysninger om flyvninger kun omfatte oplysninger om det grænseovergangsted, der vil blive benyttet med henblik på indrejse på den pågældende medlemsstats område, når det er relevant, dvs. ikke når API-oplysningerne vedrører flyvninger inden for EU. (11) For så vidt muligt at sikre en konsekvent tilgang til luftfartsselskabernes indsamling og videregivelse af API-oplysninger, bør reglerne i denne forordning bringes i overensstemmelse med dem, der er fastsat i forordning (EU) [API-oplysninger til grænseforvaltning], hvis det er relevant. Dette vedrører navnlig reglerne om datakvalitet, luftfartsselskabernes brug af automatisk behandling til sådan indsamling, den præcise måde, hvorpå de skal overføre de indsamlede API-oplysninger til routeren, og sletningen af API-oplysninger. 29 EUT C […] af […], s. […]. DA 16 DA (12) For at sikre fælles behandling af API-oplysninger og PNR-oplysninger med henblik på effektivt at bekæmpe terrorisme og grov kriminalitet i Unionen og samtidig minimere indgreb i passagerernes grundlæggende rettigheder, der er beskyttet i henhold til chartret, bør passageroplysningsenhederne være de kompetente myndigheder i medlemsstaterne, der har til opgave at modtage og efterfølgende behandle og beskytte API-oplysninger, der indsamles og videregives i henhold til denne forordning. Af hensyn til effektiviteten og for at minimere eventuelle sikkerhedsrisici bør routeren, som den er designet, udviklet, hostet og teknisk vedligeholdt af Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) i henhold til forordning (EU) [API-oplysninger til grænseforvaltning], overføre de API-oplysninger, som luftfartsselskaberne har indsamlet og videregivet i overensstemmelse med denne forordning, til de relevante passageroplysningsenheder. I betragtning af det nødvendige beskyttelsesniveau for API-oplysninger, der udgør personoplysninger, herunder for at sikre at de pågældende oplysninger behandles fortroligt, bør API- oplysningerne overføres fra routeren til de relevante passageroplysningsenheder på en automatiseret måde. (13) Med hensyn til flyvninger uden for EU bør passageroplysningsenheden i den medlemsstat, på hvis område landingen er planlagt, og/eller fra hvis område afgangen vil foregå, modtage API-oplysninger fra routeren for alle disse flyvninger, da disse PNR-oplysninger indsamles for alle disse flyvninger i overensstemmelse med direktiv (EU) 2016/681. Routeren bør identificere flyvningen og de tilsvarende passageroplysningsenheder ved hjælp af PNR-nummeret, et dataelement, der er fælles for både API- og PNR-oplysninger, og som gør det muligt for passageroplysningsenhederne at behandle API- og PNR-oplysninger i fællesskab. (14) For så vidt angår flyvninger inden for EU bør der i overensstemmelse med Den Europæiske Unions Domstols retspraksis anvendes en selektiv fremgangsmåde for at undgå unødige indgreb i de relevante grundlæggende rettigheder, der er beskyttet i henhold til chartret, og for at sikre overholdelse af kravene i EU-retten om fri bevægelighed for personer og ophævelse af kontrollen ved de indre grænser. Grundet betydningen af at sikre, at API-oplysninger kan behandles sammen med PNR- oplysninger, bør denne fremgangsmåde bringes i overensstemmelse med direktiv (EU) 2016/681. Af disse grunde bør API-oplysninger om disse flyvninger kun overføres fra routeren til de relevante passageroplysningsenheder, hvis medlemsstaterne har udvalgt de pågældende flyvninger i henhold til artikel 2 i direktiv (EU) 2016/681. Som anført af EU-Domstolen indebærer udvælgelsen, at medlemsstaterne kun målretter de pågældende forpligtelser mod bl.a. visse ruter, rejsemønstre eller lufthavne, forudsat at udvælgelsen regelmæssigt revideres. (15) For at gøre det muligt at anvende denne selektive fremgangsmåde i henhold til denne forordning for så vidt angår flyvninger inden for EU bør medlemsstaterne være forpligtet til at udarbejde og forelægge eu-LISA lister over de flyvninger, de har udvalgt, således at eu-LISA kan sikre, at API-oplysninger vedrørende disse flyvninger alene overføres fra routeren til de relevante passageroplysningsenheder, og at API- oplysninger om øvrige flyvninger inden for EU bliver slettet omgående og permanent. (16) For ikke at bringe effektiviteten af det system, der bygger på indsamling og videregivelse af API-oplysninger, og som oprettes ved denne forordning, og af PNR- oplysninger i henhold til det system, der er indført ved direktiv (EU) 2016/681, med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, i fare, navnlig ved at skabe risiko for omgåelse, bør oplysninger om, DA 17 DA hvilke flyvninger inden for EU medlemsstaterne har udvalgt, behandles fortroligt. Af den grund bør sådanne oplysninger ikke deles med luftfartsselskaberne, og de bør derfor være forpligtet til at indsamle API-oplysninger om alle flyvninger, der er omfattet af denne forordning, herunder alle flyvninger inden for EU, og derefter overføre dem til routeren, hvor den nødvendige udvælgelse bør foretages. Ved at indsamle API-oplysninger om alle flyvninger inden for EU bliver passagererne desuden ikke gjort opmærksomme på, hvilke udvalgte API-oplysninger om flyvninger inden for EU, og dermed også PNR-oplysninger, der sendes til passageroplysningsenhederne efter medlemsstaternes vurdering. Denne fremgangsmåde sikrer også, at eventuelle ændringer i forbindelse med udvælgelsen kan gennemføres hurtigt og effektivt uden at pålægge luftfartsselskaberne en urimelig økonomisk og operationel byrde. (17) For at sikre overholdelse af den grundlæggende ret til beskyttelse af personoplysninger og i overensstemmelse med forordning (EU) [API-oplysninger til grænseforvaltning] bør denne forordning identificere de dataansvarlige. For at sikre effektiv overvågning, tilstrækkelig beskyttelse af personoplysninger og minimering af sikkerhedsrisici bør der også fastsættes regler om registrering, sikkerhed ved behandling og egenkontrol. Når disse bestemmelser vedrører behandling af personoplysninger, bør de forstås som et supplement til de almengyldige EU-retsakter vedrørende beskyttelse af personoplysninger, navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/67930 , Europa-Parlamentets og Rådets direktiv (EU) 2016/68031 samt Europa- Parlamentets og Rådets forordning (EU) 2018/172532 . Disse retsakter, som også finder anvendelse på behandling af personoplysninger i henhold til denne forordning i henhold til de deri anførte bestemmelser, bør ikke berøres af denne forordning. (18) Den router, der skal oprettes og drives i henhold til forordning (EU) [API-oplysninger til grænseforvaltning], bør reducere og forenkle de tekniske forbindelser, der er nødvendige for at overføre API-oplysninger, og begrænse dem til en enkelt forbindelse pr. luftfartsselskab og pr. passageroplysningsenhed. Denne forordning indeholder derfor regler om, at passageroplysningsenhederne og luftfartsselskaberne hver især er forpligtet til at etablere en sådan forbindelse til og opnå den nødvendige integration med routeren for at sikre, at systemet til overførsel af API-oplysninger, som oprettes ved denne forordning, kan fungere korrekt. (19) I betragtning af Unionens interesse heri bør medlemsstaternes relevante omkostninger i forbindelse med deres forbindelser til og integration med routeren, jf. denne forordning, afholdes over Unionens budget i overensstemmelse med den gældende 30 Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1). 31 Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89). 32 Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39). DA 18 DA lovgivning og med forbehold af visse undtagelser. De omkostninger, der er omfattet af disse undtagelser, bør afholdes af den enkelte berørte medlemsstat. (20) I overensstemmelse med forordning (EU) 2018/1726 kan medlemsstaterne overdrage opgaven med at lette forbindelsen med luftfartsselskaberne til eu-LISA med henblik på at bistå medlemsstaterne i gennemførelsen af direktiv (EU) 2016/681, navnlig ved at indsamle og overføre PNR-oplysninger via routeren. (21) Det kan ikke udelukkes, at routeren eller de systemer eller infrastrukturer, der forbinder passageroplysningsenhederne og luftfartsselskaberne hermed, på grund af ekstraordinære omstændigheder og på trods af at alle rimelige foranstaltninger er truffet i overensstemmelse med denne forordning, og for så vidt angår routeren forordning (EU) [API-oplysninger til grænseforvaltning], ikke fungerer korrekt, hvilket kan føre til, at det ikke er teknisk muligt at anvende routeren til at overføre API-oplysninger. Som følge af at routeren ikke er tilgængelig, og at luftfartsselskaberne generelt ikke med rimelighed kan overføre de API-oplysninger, der er berørt af fejlen, på en lovlig, sikker, effektiv og hurtig måde ved hjælp af alternative midler, bør luftfartsselskabernes forpligtelse til at overføre disse API- oplysninger til routeren ophøre med at gælde, så længe dette fortsat ikke er teknisk muligt. For at minimere varigheden og de negative konsekvenser heraf bør de berørte parter i så fald straks underrette hinanden og straks træffe alle nødvendige foranstaltninger for at afhjælpe den tekniske umulighed. Dette bør ikke berøre alle de berørte parters forpligtelser i henhold til denne forordning om at sikre, at routeren og deres respektive systemer og infrastruktur fungerer korrekt, og heller ikke den omstændighed, at luftfartsselskaber kan pålægges sanktioner, når de ikke opfylder disse forpligtelser, herunder når de søger at påberåbe sig dette, hvis en sådan påberåbelse ikke er berettiget. For at forhindre sådan misbrug og for at lette tilsynet og om nødvendigt pålæggelsen af sanktioner bør luftfartsselskaber, der gør brug af denne ordning på grund af fejl i deres system og infrastruktur, indberette dette til den kompetente tilsynsmyndighed. (22) For at sikre, at luftfartsselskaberne anvender reglerne i denne forordning effektivt, bør der fastsættes bestemmelser om udpegelse og bemyndigelse af de nationale myndigheder, der har til opgave at føre tilsyn med disse regler. Reglerne i denne forordning om sådant tilsyn, herunder om nødvendigt om pålæggelse af sanktioner, bør ikke berøre de opgaver og beføjelser, som tilsynsmyndighederne, der oprettes i henhold til forordning (EU) 2016/679 og direktiv (EU) 2016/680, har, herunder i forbindelse med behandlingen af personoplysninger efter denne forordning. (23) Medlemsstaterne bør fastsætte regler om sanktioner, herunder bødestraf, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, over for de luftfartsselskaber, der ikke opfylder deres forpligtelser vedrørende indsamling og videregivelse af API-oplysninger som omhandlet i denne forordning. (24) Med henblik på at vedtage foranstaltninger vedrørende de tekniske krav og operationelle regler for automatisk indsamling af maskinlæsbare API-oplysninger, de fælles protokoller og formater for at luftfartsselskaberne kan overføre API- oplysninger, de tekniske og processuelle regler for overførsel af API-oplysninger fra routeren og til passageroplysningsenhederne og til passageroplysningsenhedernes og luftfartsselskabernes forbindelser til og integration med routere bør beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions funktionsmåde delegeres til Kommissionen for så vidt angår henholdsvis artikel 4, 5, 10 og 11. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer DA 19 DA under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning33 . For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelsen af delegerede retsakter. (25) Alle berørte parter, og navnlig luftfartsselskaberne og passageroplysningsenhederne, bør have tilstrækkelig tid til at foretage de nødvendige forberedelser for at kunne opfylde deres respektive forpligtelser i henhold til denne forordning, under hensyntagen til, at nogle af disse forberedelser, f.eks. vedrørende forpligtelserne i forbindelse med forbindelsen til og integrationen med routeren, først kan afsluttes, når design- og udviklingsfasen af routeren er overstået, og routeren idriftsættes. Denne forordning bør derfor kun finde anvendelse fra en passende dato efter den dato, hvor routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med forordning (EU) [API-oplysninger til grænseforvaltning]. Det bør dog være muligt for Kommissionen at vedtage delegerede retsakter i henhold til denne forordning allerede fra et tidligere tidspunkt for at sikre, at det system, der indføres med denne forordning, bliver operationelt hurtigst muligt. (26) Formålet med denne forordning, dvs. at bidrage til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne hver for sig i betragtning af den internationale dimension af de pågældende lovovertrædelser og behovet for at samarbejde på tværs af grænserne for at håndtere dem effektivt, men kan bedre opnås på EU-plan. Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål. (27) I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af denne forordning, som ikke er bindende for og ikke finder anvendelse i Danmark. (28) [I medfør af artikel 3 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, har Irland meddelt, at de ønsker at deltage i vedtagelsen og anvendelsen af denne forordning.] ELLER [I medfør af artikel 1 og 2 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, og med forbehold af artikel 4 i samme protokol, deltager Irland ikke i vedtagelsen af denne forordning, som ikke er bindende for og ikke finder anvendelse i Irland.] 33 EUT L 123 af 12.5.2016, s. 1. DA 20 DA (29) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav en udtalelse den [XX]34 — VEDTAGET DENNE FORORDNING: KAPITEL 1 ALMINDELIGE BESTEMMELSER Artikel 1 Genstand Med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet fastlægges der ved denne forordning regler for: a) luftfartsselskabers indsamling af forhåndsoplysninger om passagerer ("API- oplysninger") vedrørende flyvninger uden for EU og udvalgte flyvninger inden for EU b) luftfartsselskabers overførsel af API-oplysninger til routeren c) overførsel af API-oplysninger om flyvninger uden for EU og udvalgte flyvninger inden for EU til passageroplysningsenhederne. Artikel 2 Anvendelsesområde Denne forordning finder anvendelse på luftfartsselskaber, der udfører ruteflyvninger eller ikkeruteflyvninger uden for EU eller inden for EU. Artikel 3 Definitioner I denne forordning forstås ved: a) "luftfartsselskab": en lufttransportvirksomhed som defineret i artikel 3, nr. 1), i direktiv (EU) 2016/681 b) "flyvninger uden for EU": enhver flyvning som defineret i artikel 3, nr. 2), i direktiv (EU) 2016/681 c) "flyvning inden for EU": enhver flyvning som defineret i artikel 3, nr. 3), i direktiv (EU) 2016/681 d) "ruteflyvning": en flyvning som defineret i artikel 3, litra e), i forordning (EU) [API-oplysninger til grænseforvaltning] e) "ikkeruteflyvning": en flyvning som defineret i artikel 3, litra f), i forordning (EU) [API-oplysninger til grænseforvaltning] 34 [EUT C ….] DA 21 DA f) "passager": enhver person som defineret i artikel 3, nr. 4), i direktiv (EU) 2016/681 g) "besætning": enhver person som defineret i artikel 3, litra h), i forordning (EU) [API-oplysninger til grænseforvaltning] h) "rejsende": enhver person som defineret i artikel 3, litra i), i forordning (EU) [API-oplysninger til grænseforvaltning] i) "forhåndsoplysninger om passagerer" eller "API-oplysninger": oplysninger som defineret i artikel 3, litra j), i forordning (EU) [API-oplysninger til grænseforvaltning] j) "passagerliste" eller "PNR": en liste over den enkelte passagers rejse som defineret i artikel 3, nr. 5), i direktiv (EU) 2016/681 k) "Passageroplysningsenhed": en kompetent myndighed oprettet af en medlemsstat, som omhandlet i Kommissionens offentliggjorte meddelelse og ændringer i henhold til henholdsvis artikel 4, stk. 1 og stk. 5, i direktiv (EU) 2016/681 l) "terrorhandlinger": handlinger som defineret i artikel 3 til 12 i Europa- Parlamentets og Rådets direktiv (EU) 2017/54135 m) "grov kriminalitet": handlinger som defineret i artikel 3, nr. 9), i direktiv 2016/681 n) "routeren": router som defineret i artikel 3, litra k), i forordning (EU) [API- oplysninger til grænseforvaltning] o) "personoplysninger": enhver oplysning som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679. KAPITEL 2 BEHANDLING AF API-OPLYSNINGER Artikel 4 Luftfartsselskabers indsamling, videregivelse og sletning af API-oplysninger 1. Luftfartsselskaberne indsamler API-oplysninger om rejsende på flyvninger, jf. artikel 2, med henblik på at overføre nævnte API-oplysninger til routeren i henhold til stk. 6. Hvis der for en flyvning er code-sharing mellem et eller flere luftfartsselskaber, er det det luftfartsselskab, der står for flyvningen, som er forpligtet til at videregive API-oplysningerne. 2. Luftfartsselskaberne indsamler API-oplysninger på en sådan måde, at de API- oplysninger, de overfører i henhold til stk. 6, er nøjagtige, fuldstændige og ajourførte. 35 Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme og om erstatning af Rådets rammeafgørelse 2002/475/RIA og ændring af Rådets afgørelse 2005/671/RIA (EUT L 88 af 31.3.2017, s. 6). DA 22 DA 3. Luftfartsselskaberne indsamler de i artikel 4, stk. 2, litra a)-d), i forordning (EU) [API-oplysninger til grænseforvaltning] omhandlede API-oplysninger ved hjælp af automatiserede midler med henblik på at indsamle de maskinlæsbare dele af den pågældende rejsendes rejsedokument. Det skal de gøre i henhold til de detaljerede tekniske krav og operationelle regler i stk. 5, hvis sådanne regler er blevet vedtaget og finder anvendelse. Men hvis en sådan automatisk behandling ikke er mulig, fordi rejsedokumentet ikke indeholder maskinlæsbare dele, indsamler luftfartsselskaberne disse oplysninger manuelt, således at det sikres, at stk. 2 overholdes. 4. Enhver automatisk behandling, som anvendes af luftfartsselskaberne til at indsamle API-oplysninger i henhold til denne forordning, skal være pålidelig, sikker og ajourført. 5. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte detaljerede tekniske krav og operationelle regler for indsamlingen af API-oplysninger som omhandlet i artikel 4, stk. 2, litra a)-d), i forordning (EU) [API-oplysninger til grænseforvaltning] ved hjælp af automatiserede midler i overensstemmelse med stk. 3 og 4 i denne artikel. 6. Luftfartsselskaberne overfører elektronisk de indsamlede API-oplysninger til routeren i henhold til stk. 1. Det skal de gøre i henhold til de detaljerede regler i stk. 9, hvis sådanne regler er blevet vedtaget og finder anvendelse. 7. Luftfartsselskaberne overfører API-oplysningerne både ved indcheckning og straks efter, at flyets døre er blevet lukket, dvs. når de rejsende er gået om bord i flyet med henblik på afrejse, og det ikke længere er muligt for andre rejsende at gå om bord på eller forlade flyet. 8. Uden at det berører luftfartsselskabernes mulighed for at opbevare og anvende oplysningerne, når det er nødvendigt som led i deres normale forretningsaktiviteter i overensstemmelse med gældende lovgivning, skal luftfartsselskaberne straks enten rette, fuldstændiggøre eller ajourføre eller permanent slette de pågældende API- oplysninger i begge følgende situationer: a) hvis de får kendskab til, at de indsamlede API-oplysninger er unøjagtige, ufuldstændige eller ikke længere ajourførte, eller at de er blevet behandlet ulovligt, eller at de overførte oplysninger ikke udgør API-oplysninger b) hvis overførslen af API-oplysninger i henhold til stk. 3 er afsluttet. Hvis luftfartsselskaberne får kendskab til det i første afsnit, litra a), i dette stk. omhandlede, efter at have foretaget overførslen af oplysningerne i stk. 6, skal de straks underrette Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu- LISA). Efter modtagelse af sådan underretning skal eu-LISA straks underrette de passageroplysningsenheder, som har modtaget de via routeren overførte API- oplysninger. 9. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige nærmere regler om de fælles protokoller og understøttede dataformater, der skal bruges til at overføre API-oplysninger til routeren som omhandlet i stk. 6. DA 23 DA Artikel 5 Overførsel af API-oplysninger fra routeren til passageroplysningsenhederne 1. Routeren overfører straks og automatisk de API-oplysninger, som luftfartsselskaberne har videregivet til den, jf. artikel 4, til medlemsstatens passageroplysningsenheder, på hvis område landingen er planlagt, eller fra hvis område afgangen vil foregå, eller til begge i forbindelse med flyvninger inden for EU. Hvis der under flyvningen mellemlandes en eller flere gange i andre medlemsstaters område end det ene, hvorfra det er afgået, overfører routeren API- oplysningerne til passageroplysningsenhederne i alle de berørte medlemsstater. Med henblik på sådan overførsel udarbejder og ajourfører eu-LISA en oversigt over de forskellige afgangs- og ankomstlufthavne og de lande, de tilhører. I forbindelse med flyvninger inden for EU overfører routeren dog kun API- oplysninger til den pågældende passageroplysningsenhed vedrørende de flyvninger, der er opført på listen i stk. 2. Routeren overfører API-oplysningerne i henhold til de detaljerede regler i stk. 3, hvis sådanne regler er blevet vedtaget og finder anvendelse. Medlemsstater, der beslutter at anvende direktiv (EU) 2016/681 på flyvninger inden for EU i overensstemmelse med artikel 2 i nævnte direktiv, udarbejder hver især en liste over de pågældende flyvninger inden for EU og forelægger eu-LISA listen senest på datoen for anvendelsen af denne forordning som anført i artikel 21, andet afsnit. Disse medlemsstater gennemgår regelmæssigt og ajourfører om nødvendigt disse lister i overensstemmelse med artikel 2 i nævnte direktiv og sender straks alle sådanne ajourførte lister til eu-LISA. Oplysningerne i disse lister behandles fortroligt. 3. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede tekniske og processuelle regler for overførsler af API-oplysninger fra routeren som omhandlet i stk. 1. KAPITEL 3 REGISTRERING, BESKYTTELSE AF PERSONOPLYSNINGER OG SIKKERHED Artikel 6 Opbevaring af logfiler 1. Luftfartsselskaberne opretter logfiler over alle behandlingsaktiviteter i henhold til denne forordning, der gennemføres ved hjælp af de automatiserede midler, der er omhandlet i artikel 4, stk. 3. Disse logfiler omfatter dato, tidspunkt og sted for overførsel af API-oplysninger. 2. De logfiler, der er omhandlet i stk. 1, anvendes kun til at garantere sikkerheden og integriteten af API-oplysninger og lovligheden af behandlingen, navnlig med hensyn til overholdelse af kravene i denne forordning, herunder sanktionsprocedurer for overtrædelse af disse krav i overensstemmelse med artikel 15 og 16. 3. Luftfartsselskaberne træffer passende foranstaltninger til at beskytte de logfiler, de har oprettet i henhold til stk. 1, mod uautoriseret adgang og andre sikkerhedsrisici. DA 24 DA 4. Luftfartsselskaber opbevarer de logfiler, de har oprettet i henhold til stk. 1, i en periode på et år fra det tidspunkt, hvor nævnte logfiler blev oprettet. De sletter straks og permanent disse logfiler efter denne periode. Hvis logfilerne er nødvendige for at overvåge procedurerne eller garantere sikkerheden og integriteten af API-oplysninger eller lovligheden af behandlingsaktiviteterne, jf. stk. 2, og disse procedurer allerede er påbegyndt på tidspunktet for udløbet af den i første afsnit omhandlede periode, kan luftfartsselskaberne dog opbevare logfilerne, så længe det er nødvendigt for disse procedurer. I så fald sletter de straks logfilerne, når de ikke længere er nødvendige for disse procedurer. Artikel 7 Dataansvarlige Passageroplysningsenhederne er dataansvarlige, jf. artikel 3, nr. 8), i direktiv (EU) 2016/680, for så vidt angår behandling af API-oplysninger, der udgør personoplysninger i henhold til denne forordning, via routeren, herunder overførsel og opbevaring af disse oplysninger på routeren af tekniske årsager. Luftfartsselskaberne er dataansvarlige, jf. artikel 4, stk. 7, i forordning (EU) 2016/679, for behandling af API-oplysninger, der udgør personoplysninger, i forbindelse med deres indsamling af disse oplysninger og deres overførsel af disse til routeren i henhold til denne forordning. Artikel 8 Sikkerhed Passageroplysningsenhederne og luftfartsselskaberne garanterer sikkerheden af de API- oplysninger, navnlig de API-oplysninger som udgør personoplysninger, som de behandler i henhold til denne forordning. I overensstemmelse med deres respektive ansvarsområder og i overensstemmelse med EU- retten samarbejder passageroplysningsenheder og luftfartsselskaber med hinanden og med eu- LISA om at varetage en sådan sikkerhed. Artikel 9 Egenkontrol Luftfartsselskaber og passageroplysningsenheder kontrollerer, at de overholder deres respektive forpligtelser i henhold til denne forordning, navnlig med hensyn til deres behandling af API-oplysninger, der udgør personoplysninger, herunder gennem hyppig kontrol af logfilerne i overensstemmelse med artikel 7. KAPITEL 4 SPØRGSMÅL VEDRØRENDE ROUTEREN Artikel 10 Passageroplysningsenhedernes forbindelse til routeren DA 25 DA 1. Medlemsstaterne sikrer, at deres passageroplysningsenheder har forbindelse til routeren. De sikrer, at deres nationale systemer og infrastruktur til modtagelse og viderebehandling af API-oplysninger, der overføres i henhold til denne forordning, er integreret med routeren. Medlemsstaterne sikrer, at forbindelsen til den pågældende router og integrationen med den gør det muligt for deres passageroplysningsenheder at modtage og viderebehandle API-oplysninger samt udveksle enhver kommunikation vedrørende disse på en lovlig, sikker, effektiv og hurtig måde. 2. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for forbindelser til og integration med routeren som omhandlet i stk. 1. Artikel 11 Luftfartsselskabernes forbindelse til routeren 1. Luftfartsselskaberne sikrer, at de har forbindelse til routeren. De sikrer, at deres systemer og infrastruktur til overførsel af API-oplysninger til routeren i henhold til denne forordning er integreret med routeren. Luftfartsselskaberne sikrer, at forbindelsen til routeren og integrationen med den gør det muligt for dem at overføre API-oplysningerne samt udveksle enhver kommunikation vedrørende disse på en lovlig, sikker, effektiv og hurtig måde. 2. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for forbindelser til og integration med routeren som omhandlet i stk. 1. Artikel 12 Medlemsstaternes omkostninger 1. Medlemsstaternes omkostninger som led i deres forbindelser til og integration med den i artikel 10 omhandlede router, afholdes over Unionens almindelige budget. Følgende omkostninger medregnes dog ikke og afholdes af medlemsstaterne: a) udgifter til projektstyring, herunder omkostninger til møder, missioner og lokaler b) omkostninger til hosting af nationale IT-systemer, herunder omkostninger til lokaler, implementering, elektricitet og køling c) omkostninger til driften af nationale IT-systemer, herunder operatør- og supportaftaler d) omkostninger til design, udvikling, implementering, drift og vedligeholdelse af nationale kommunikationsnetværk. 2. Medlemsstaterne afholder også omkostningerne i forbindelse med administration, brug og vedligeholdelse af deres forbindelser til og integration af routeren. DA 26 DA Artikel 13 Foranstaltninger, hvis det ikke er teknisk muligt at anvende routeren 1. Hvis det ikke er teknisk muligt at benytte routeren til at overføre API-oplysninger på grund af en fejl på routeren, underretter eu-LISA straks og automatisk luftfartsselskaberne og passageroplysningsenhederne om, at det teknisk ikke er muligt. I så fald træffer eu-LISA straks foranstaltninger til at afhjælpe det tekniske problem med at benytte routeren og underretter straks nævnte parter, når det er blevet løst. I perioden mellem disse meddelelser finder artikel 4, stk. 6, ikke anvendelse, for så vidt det tekniske problem forhindrer overførsel af API-oplysninger til routeren. Såfremt dette er tilfældet, finder artikel 4, stk. 1, heller ikke anvendelse på de pågældende API-oplysninger i den pågældende periode. 2. Hvis det ikke er teknisk muligt at benytte routeren til at overføre API-oplysninger på grund af en fejl i en medlemsstats systemer eller infrastruktur som omhandlet i artikel 10, underretter passageroplysningsenheden i den pågældende medlemsstat straks og automatisk luftfartsselskaberne, de øvrige passageroplysningsenheder, eu- LISA og Kommissionen om, at det teknisk ikke er muligt. I så fald træffer den pågældende medlemsstat straks foranstaltninger til at afhjælpe det tekniske problem med at benytte routeren og underretter straks nævnte parter, når det er blevet løst. I perioden mellem disse meddelelser finder artikel 4, stk. 6, ikke anvendelse, for så vidt det tekniske problem forhindrer overførsel af API-oplysninger til routeren. Såfremt dette er tilfældet, finder artikel 4, stk. 1, heller ikke anvendelse på de pågældende API-oplysninger i den pågældende periode. 3. Hvis det ikke er teknisk muligt at benytte routeren til at overføre API-oplysninger på grund af en fejl i et luftfartsselskabs systemer eller infrastruktur som omhandlet i artikel 11, underretter det pågældende luftfartsselskab straks og automatisk passageroplysningsenhederne, eu-LISA og Kommissionen om, at det teknisk ikke er muligt. I så fald træffer det pågældende luftfartsselskab straks foranstaltninger til at afhjælpe det tekniske problem med at benytte routeren og underretter straks nævnte parter, når det er blevet løst. I perioden mellem disse meddelelser finder artikel 4, stk. 6, ikke anvendelse, for så vidt det tekniske problem forhindrer overførsel af API-oplysninger til routeren. Såfremt dette er tilfældet, finder artikel 4, stk. 1, heller ikke anvendelse på de pågældende API-oplysninger i den pågældende periode. Når det tekniske problem er blevet løst, forelægger det pågældende luftfartsselskab straks den kompetente nationale tilsynsmyndighed, som omhandlet i artikel 15, en rapport med alle nødvendige oplysninger om det tekniske problem, herunder årsagerne hertil, dets omfang og konsekvenser samt de foranstaltninger, der er truffet for at løse det. Artikel 14 Ansvar for routeren Hvis en medlemsstats eller et luftfartsselskabs manglende overholdelse af sine forpligtelser i henhold til denne forordning volder skade på routeren, holdes den pågældende medlemsstat eller luftfartsselskabet ansvarlig for skaden, medmindre eu-LISA ikke har truffet rimelige foranstaltninger til at forhindre skaden i at ske eller til at begrænse dens omfang. DA 27 DA KAPITEL 5 TILSYN, SANKTIONER OG VEJLEDNING Artikel 15 National tilsynsmyndighed 1. Medlemsstaterne udpeger en eller flere nationale tilsynsmyndigheder, der er ansvarlige for at føre tilsyn med, at luftfartsselskaber på deres område anvender bestemmelserne i denne forordning, og for at sikre, at disse bestemmelser overholdes. 2. Medlemsstaterne sikrer, at de nationale tilsynsmyndigheder har alle nødvendige midler og alle nødvendige beføjelser til efterforskning og håndhævelse, således at de kan udføre deres opgaver i henhold til denne forordning, herunder om nødvendigt ved at pålægge de sanktioner, der er omhandlet i artikel 16. De fastsætter nærmere regler for udførelsen af disse opgaver og udøvelsen af disse beføjelser, således at udførelsen og udøvelsen er effektiv, rimelig og har en afskrækkende virkning og er underlagt garantier i overensstemmelse med de grundlæggende rettigheder, der er garanteret i henhold til EU-retten. 3. Senest på datoen for anvendelsen af denne forordning, jf. artikel 21, andet afsnit, meddeler medlemsstaterne Kommissionen navn og kontaktoplysninger på de myndigheder, de har udpeget i henhold til stk. 1, og de nærmere regler, de har fastsat i henhold til stk. 2. De underretter omgående Kommissionen om eventuelle senere ændringer heraf. 4. Denne artikel berører ikke tilsynsmyndighedernes kompetencer som omhandlet i artikel 51 i forordning (EU) 2016/679 og artikel 41 i forordning (EU) 2016/680. Artikel 16 Sanktioner Medlemsstaterne fastsætter regler om, hvilke sanktioner der skal anvendes, i tilfælde af at denne forordning overtrædes, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have en afskrækkende virkning. Medlemsstaterne meddeler inden datoen for denne forordnings anvendelse, jf. artikel 21, andet afsnit, Kommissionen disse regler og foranstaltninger og underretter den straks om alle senere ændringer, der berører dem. Artikel 17 Praktisk vejledning Kommissionen udarbejder og offentliggør i tæt samarbejde med passageroplysningsenhederne, andre relevante medlemsstaters myndigheder, luftfartsselskaberne og relevante EU-agenturer en praktisk vejledning med retningslinjer, henstillinger og bedste praksis for gennemførelsen af denne forordning. Der skal i den praktiske vejledning tages hensyn til de relevante eksisterende vejledninger. DA 28 DA Kommissionen vedtager vejledningen i form af en henstilling. KAPITEL 6 SAMMENHÆNG MED ANDRE EKSISTERENDE INSTRUMENTER Artikel 18 Ændringer af forordning (EU) 2019/818 ___________ Artikel 39, stk. 1 og 2, affattes således: "1. Der oprettes et centralt register for rapportering og statistik (CRRS) med henblik på at støtte målene for SIS, Eurodac og ECRIS-TCN i overensstemmelse med de respektive retlige instrumenter, der regulerer disse systemer, og for at tilvejebringe statistiske oplysninger og analytisk rapportering på tværs af systemerne til politiske, operationelle og datakvalitetsmæssige formål. CRRS Skal også støtte målene i Europa-Parlamentets og Rådets forordning (EU) …/… * [nærværende forordning]." * Europa-Parlamentets og Rådets forordning (EU) [nummer] af xy den [officielt vedtaget titel] (EUT L...)" "2. eu-LISA opretter, implementerer og hoster på sine tekniske anlæg CRRS, der indeholder de data og statistikker, som er omhandlet i artikel 74 i forordning (EU) 2018/1862 og artikel 32 i forordning (EU) 2019/816, og som er logisk adskilt af EU- informationssystemet. eu-LISA indsamler også data og statistikker fra den router, der er omhandlet i artikel 13, stk. 1, i forordning (EU).../... * [nærværende forordning]. Adgang til CRRS gives ved hjælp af kontrolleret, sikret adgang og specifikke brugerprofiler, udelukkende med henblik på indberetning og statistik, til de myndigheder, der er omhandlet i artikel 74 i forordning (EU) 2018/1862, artikel 32 i forordning (EU) 2019/816 og artikel 13, stk. 1, i forordning (EU) …/… * [nærværende forordning]." KAPITEL 7 AFSLUTTENDE BESTEMMELSER Artikel 19 Udøvelse af de delegerede beføjelser 1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser. 2) Beføjelsen til at vedtage delegerede retsakter, jf. artikel 4, stk. 5 og 9, artikel 5, stk. 3, artikel 10, stk. 2, og artikel 11, stk. 2, tillægges Kommissionen for en periode på fem år fra [datoen for vedtagelse af forordningen]. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af DA 29 DA femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode. 3. Den i artikel 4, stk. 5 og 9, artikel 5, stk. 3, artikel 10, stk. 2, og artikel 11, stk. 2, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa- Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft. 4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale om bedre lovgivning af 13. april 2016. 5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa- Parlamentet og Rådet meddelelse herom. Artikel 20 Overvågning og evaluering 1. Senest [fire år efter datoen for denne forordnings ikrafttræden] og derefter hvert fjerde år forelægger Kommissionen en rapport om en generel evaluering af denne forordning, herunder en vurdering af: a) anvendelsen af denne forordning b) i hvilket omfang denne forordning har opfyldt sine mål c) virkningerne af denne forordning for de grundlæggende rettigheder, der er beskyttet i henhold til EU-retten. d) Kommissionen forelægger evalueringsrapporten for Europa-Parlamentet, Rådet, Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Agentur for Grundlæggende Rettigheder. I lyset af den evaluering, der er gennemført, forelægger Kommissionen, hvis det er relevant, Europa- Parlamentet og Rådet et forslag til en lovgivningsmæssig retsakt med henblik på ændring af denne forordning. 2. Medlemsstaterne og luftfartsselskaberne giver efter anmodning Kommissionen de oplysninger, der er nødvendige for at udarbejde den i stk. 1 omhandlede rapport. Medlemsstaterne kan dog lade være med at videregive sådanne oplysninger, hvis og i det omfang det er nødvendigt for ikke at offentliggøre fortrolige arbejdsmetoder eller bringe deres passageroplysningsenheders eller andre retshåndhævende myndigheders igangværende efterforskninger i fare. Kommissionen sikrer, at alle fortrolige oplysninger er behørigt beskyttet. Artikel 21 Ikrafttræden og anvendelse Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende. DA 30 DA Denne forordning finder anvendelse to år fra den dato, hvor routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med artikel 27 i forordning (EU) [API-oplysninger til grænseforvaltning]. Artikel 4, stk. 5 og 9, artikel 5, stk. 3, artikel 10, stk. 2, artikel 11, stk. 2 og artikel 19 finder dog anvendelse fra [datoen for denne forordnings ikrafttræden]. Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i medlemsstaterne i overensstemmelse med traktaterne. Udfærdiget i Strasbourg, den […]. På Europa-Parlamentets vegne På Rådets vegne Formand Formand DA 31 DA FINANSIERINGSOVERSIGT Dette forslags finansielle virkninger er omhandlet i den fælles finansieringsoversigt, der er knyttet som bilag til forslaget til forordning (EU) [API-oplysninger til grænseforvaltning].