Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818

EN EN
EUROPEAN
COMMISSION
Strasbourg, 13.12.2022
COM(2022) 731 final
2022/0425 (COD)
Proposal for a
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
on the collection and transfer of advance passenger information for the prevention,
detection, investigation and prosecution of terrorist offences and serious crime, and
amending Regulation (EU) 2019/818
{SWD(2022) 424 final}
Offentligt
KOM (2022) 0731 - Forslag til forordning
Europaudvalget 2022
EN 1 EN
EXPLANATORY MEMORANDUM
1. CONTEXT OF THE PROPOSAL
• Reasons for and objectives of the proposal
Over the last decade the EU and other parts of the world have seen an increase in serious and
organised crime. According to Europol’s EU Serious and Organised Crime Threat Assessment,
most organised crime involves international travel, typically aimed at smuggling persons, drugs or
other illicit goods into the EU. Notably, criminals make frequent use of the EU’s main airports
as well as smaller regional airports operating low-cost airlines.1
Likewise, Europol’s
Terrorism Situation and Trend Report shows that terrorist threat in the EU remains real and
serious,2
pointing out that most terrorist campaigns have a transnational character with either
the involvement of either transnational contacts or travels outside the EU. In this context,
information on air travellers is an important tool for law enforcement authorities to counter
serious crime and terrorism in the EU.
Air traveller data includes Advance Passenger Information (API) and Passenger Name Records
(PNR) which, when used together, are particularly effective to identify high-risk travellers and to
confirm the travel pattern of suspected individuals. When a passenger buys a ticket with an air
carrier, a PNR will be generated by the reservation systems of air carriers for their business
purposes. This includes data on the complete itinerary, payment details, contact-details, and
special requests of the passenger. Where an obligation to that effect applies, this PNR data is sent
to the Passenger Information Unit (PIU) of the country of destination and often the country of
departure.
In the EU, the PNR Directive3
was adopted in 2016 to ensure that all Member States implement
rules on collecting PNR data from air carriers to prevent, detect, investigate and prosecute terrorist
offences and serious crime, without prejudice to existing EU rules on the obligation for air carriers
to collect API data set in the API Directive.4
Under the PNR Directive, Member States must
adopt the necessary measures to ensure that air carriers transfer PNR data to the extent that
they have already collected such data in the normal course of their business. The PNR
Directive allows for the joint processing of both API data and PNR data, as its definition of PNR
data includes ‘any advance passenger information (API) data collected’.5
However, the PNR
Directive does not oblige air carriers to collect any data beyond the normal course of their
business. Consequently, the PNR Directive does not lead to the collection of the full set of
API data, as air carriers do not have any business purpose to collect such data.
Only where an obligation to that effect applies, API data is collected by the air carrier during
check-in of the passenger (online check-in and at the airport). It is then sent to competent border
authorities as a complete ‘passenger list manifest’ containing all passengers on board at departure
1
Europol, Serious and Organised Crime Threat Assessment (SOCTA), 2021,
https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf.
2
Europol, Terrorism Situation and Trend Report (Te-SAT), 2021,
https://www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf.
3
Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of
passenger name record (PNR) data for the prevention, detection, investigation and prosecution of
terrorist offences and serious crime.
4
Council Directive 2004/82/EC of 29 April 2004 on the obligation of carriers to communicate passenger
data.
5
See point 18 of Annex 1 of Directive (EU) 2016/681.
EN 2 EN
of the plane. While API data are considered as ‘verified’ information as it corresponds to
travellers which eventually boarded the aircraft, and which can also be used by law enforcement
authorities to identify suspects and persons sought, PNR data is ‘unverified’ information provided
by passengers. The PNR data of a certain passenger usually do not contain all potential PNR
elements, but only those provided by the passenger and/or necessary for the booking and hence
for the normal business purpose of the air carrier.
Since the adoption of the API Directive in 2004, there is global consensus that API data is not
only a key instrument for border management, but also an important tool for law enforcement
purposes, notably to counter serious crime and terrorism. Thus, at international level, since 2014,
United Nations’ Security Council Resolutions have repeatedly called for the establishment
and global roll-out of API and PNR systems for law enforcement purposes.6
In addition, the
commitment by the Organization for Security and Co-operation in Europe (OSCE) participating
states to set up API systems, confirm the importance of the use of this data in the fight against
terrorism and transnational crime.7
As shown by the Commission’s report on the PNR Directive review, the joint processing of
API and PNR data by competent law enforcement authorities – meaning that the PNR data
collected by air carriers for their normal business purposes and transferred to competent law
enforcement authorities is complemented by an obligation on air carriers to collect and
transfer API data – substantially increases the effectiveness of the fight against serious crimes
and terrorism in the EU.8
The combined use of API data and PNR data enables the competent
national authorities to confirm the identity of passengers and greatly improves the reliability
of PNR data. Such combined use prior to arrival also allows law enforcement authorities to
conduct an assessment and perform a closer screening only of those persons who are most
likely, based on objective assessment criteria and practices and in accordance with the
applicable law, to pose a threat to security. This facilitates the travel of all other passengers
and reduces the risk of passengers being subjected to examination upon arrival by the
competent authorities based on discretionary elements such as race or ethnic origin which
may wrongly be associated with security risks by law enforcement authorities.
However, the current EU legal framework only regulates the use of PNR data for fighting
serious crime and terrorism but does not do so specifically for API data, which can be
requested only on flights coming from third countries, leading to a security gap, notably
regarding intra-EU flights for which Member States request air carriers to transfer PNR data.
Passenger Information Units obtain the most effective operational results on flights where
both API and PNR data are collected. This means that competent law enforcement authorities
cannot benefit from the results of the joint processing of API data and PNR data on flights
within the EU, for which only PNR data is transferred.
To address this gap, the Commission’s June 2021 Strategy towards a fully functioning and
resilient Schengen area called for an increased use of API data in combination with PNR data
for intra-Schengen flights to significantly enhance internal security, in compliance with the
6
UN Security Council Resolution 2178(2014), 2309(2016), 2396(2017), 2482(2019), as well as OSCE
Ministerial Council Decision 6/16 of 9 December 2016 on Enhancing the use of Advance Passenger
Information.
7
OSCE Ministerial Council Decision 6/16 of 9 December 2016 on Enhancing the use of Advance
Passenger Information.
8
European Commission, Staff Working Document Accompanying the Report on the review of Directive
2016/681, SWD(2020)128 final.
EN 3 EN
fundamental right to the protection of personal data and the fundamental right to freedom of
movement.9
The proposed Regulation therefore aims to lay down better rules for the collection and
transfer of API data by air carriers for the purpose of preventing, detecting, investigating, and
prosecuting terrorist offences and serious crime. In order to ensure compliance with the
relevant fundamental rights enshrined in the Charter of Fundamental Rights of the EU
(‘Charter’), in particular the rights to privacy and to protection of personal data, and the
resulting requirements of necessity and proportionality, the proposal is, as explained further
below, carefully limited in scope and contains strict personal data protection limits and
safeguards.
• Consistency with existing policy provisions in the policy area
The proposed rules on the collection and transfer of API data for the purpose of preventing,
detecting, investigating and prosecuting terrorist offences and serious crime are aligned with the
applicable rules for the processing of PNR data, as established in the PNR Directive.10
They take
account of the interpretations by the Court of Justice of the European Union in its recent case law,
notably what is specified in that case law regarding the processing of PNR data for intra-EU
flights, whereby the transfer of PNR data to Member States’ competent authorities on intra-
EU flights must be selective and cannot be systematic unless justified by a genuine and
present or foreseeable terrorist threat.11
Insofar as there is a possible overlap between the proposed Regulation and the rules of the
PNR Directive, considering that – as mentioned – under that Directive the definition of ‘PNR
data’ includes ‘any advance passenger information (API) data collected’, the rules of the
proposed Regulation prevail, considering that it is both lex specialis and lex posterior. While
Member States must under the PNR Directive adopt the necessary measures to ensure that air
carriers transfer PNR data to the extent that they have already collected such data in the
normal course of their business, the proposed Regulation sets an obligation on air carriers to
collect API data in specific situations and to transfer that data in a specific manner. The proposed
Regulation therefore complements the PNR Directive, as it ensures that in all cases in which
competent law enforcement authorities – i.e. the Passenger Information Units – receive PNR data
under the PNR Directive, there is an obligation on air carriers to also collect and transfer API data
to these competent authorities.
Following the transmission of API data to Passenger Information Units (PIUs) established by the
PNR Directive, apart from the limited requirements in this regard as set out in the proposed
Regulation, the rules on the subsequent processing of API data by the PIUs are those set out in the
PNR Directive. As mentioned, the PNR Directive allows for the joint processing of API data and
PNR data, as its definition of PNR data includes ‘any advance passenger information (API) data
collected’, including therefore the API data received by PIUs pursuant to the proposed
Regulation. Accordingly, the rules of Article 6 and Articles 9 and following of the PNR Directive
apply, relating to matters such as the precise purposes of the processing, retention periods,
deletion, exchange of information, transfer by the Member States to third countries and specific
provisions on the protection of such personal data.
9
COM(2021) 277 final (2.6.2021).
10
PNR Directive sets conditions for the procession of the data such as the competent authorities involved
(Article 7), period of data retention (Article 12) and protection of personal data (Article 13).
11
CJEU, iudgment in case Case C-817/19, Ligue des droits humains.
EN 4 EN
In addition, generally applicable acts of EU law will apply in accordance with the conditions set
out therein. Where the processing of personal data is concerned, that holds true, in particular, for
the General Data Protection Regulation (GDPR),12
the data protection ‘Law Enforcement
Directive’ (LED)13
and the EU Data Protection Regulation14
. Those acts are left unaffected by the
present proposal.
The applicability of the abovementioned acts of EU law mean to the processing of the API data
received under this Regulation mean that the Member States are implementing EU law within the
meaning of Article 51(1) of the Charter, meaning that the rules of the Charter apply as well. In
particular, the rules of those acts of EU law are to be interpreted in the light of the Charter.
Ensuring consistency with the rules laid down in the proposal for a Regulation on the collection
and transfer of API data for border control purposes and efficiencies in the transmissions of API
data, the present proposal provides for the obligation on air carriers to collect the same set of API
data and transfer it to the same router established under that other proposed Regulation.
The collection of API data from travel documents is also consistent with the ICAO guidelines
on Machine Readable Travel Documents,15
that are transposed in Regulation 2019/1157 on
strengthening the security of identity cards of Union citizens, Council Directive 2019/997 on
EU emergency travel documents and Regulation 2252/2004 on standards for security features
and biometrics in passports. These Regulations are the precursors to enable an automated
extraction of complete and high-quality data from travel documents.
2. LEGAL BASIS, SUBSIDIARITY AND PROPORTIONALITY
• Legal basis
For this proposed Regulation on the collection and transfer of API data for the prevention,
detection, investigation and prosecution of terrorist offences and serious crime, having regard
to its aim and the measures provided for, the appropriate legal basis is Articles 82(1)(d) and
87(2)(a) of the Treaty on the Functioning of the European Union (TFEU).
Under point (d) of paragraph 1 of Article 82 TFEU, the Union has the power to adopt
measures relating to facilitate cooperation between judicial or equivalent authorities of the
Member States in relation to proceedings in criminal matters and the enforcement of
decisions. Under point (a) of paragraph 2 of Article 87 TFEU, the Union has the power to
adopt measures on the collection, storage, processing, analysis, and exchange of relevant
information for the purposes of police cooperation in the EU.
12
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data and on the free movement of
such data.
13
Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data by competent authorities for
the purposes of the prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, and on the free movement of such data.
14
Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the
protection of natural persons with regard to the processing of personal data by the Union institutions,
bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No
45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39).
15
ICAO, Document 9303, Machine Readable Travel Documents, Eigth Edition, 2021, available at:
https://www.icao.int/publications/documents/9303_p1_cons_en.pdf.
EN 5 EN
Accordingly, the legal basis used for the present proposal is the same as the one used for the
PNR Directive, which is appropriate considering not only that the proposed Regulation
pursues essentially the same aim, but also that it seeks to complement the PNR Directive.
• Subsidiarity
Law enforcement authorities must be provided with effective tools to fight terrorism and
serious crime. As most serious crimes and terrorist acts involve international travel, often by
air, PNR data have proven to be very efficient to protect the internal security of the EU.
Furthermore, investigations for the purpose of preventing, detecting, investigating, and
prosecuting terrorist offences and serious crime carried out by the competent authorities of the
Member States are largely dependent on international and cross-border cooperation.
In an area without internal border controls, collection, processing and exchange of passenger
data, including PNR and API data, by Member States are also efficient compensatory
measures. By acting coherently at EU level, the proposal will contribute to increasing the
security of the Member States and, by extension, of the EU as a whole.
The API Directive is part of the Schengen acquis related to the crossing of the external
borders. It therefore does not regulate the collection and transfer of API data on intra-EU
flights. In the absence of API data to complement the PNR data for these flights, Member
States have implemented a variety of different measures that seek to compensate the lack of
identity data on the passengers. This includes physical conformity checks to verify identity
data between travel document and boarding card that generate new issues without solving the
underlying problem of not having API data.
Action at EU level will help to ensure the application of harmonised provisions on
safeguarding fundamental rights, in particular personal data protection, in the Member States.
The different systems of Member States that have already established similar mechanisms, or
will do so in the future, may impact negatively on the air carriers as they may have to comply
with several diverging national requirements, for example regarding the types of information
to be transferred and the conditions under which this information needs to be provided to the
Member States. These differences are prejudicial to effective cooperation between the
Member States for the purposes of preventing, detecting, investigating, and prosecuting
terrorist offences and serious crime. Such harmonised rules can only be set at EU level.
Since the objectives of this proposal cannot be sufficiently achieved by the Member States,
and can be better achieved at Union level, it can be concluded that the EU is both entitled to
act and better placed to do so than the Member States acting independently. The proposal
therefore complies with the subsidiarity principle as set out in Article 5 of the Treaty on
European Union.
• Proportionality
According to the principle of proportionality laid down in Article 5(4) TEU, there is a need to
match the nature and intensity of a given measure to the identified problem. All problems
addressed in this legislative initiative call, in one way or another, for EU-level legislative
action enabling Member States to tackle these problems effectively.
The proposed rules on the collection and transfer of API data, subject to strict limitations and
safeguards, will strengthen the prevention, detection, investigation and prosecution of terrorist
offences and serious crime. Consequently, the proposed rules correspond to an identified need
to enhance internal security, responding effectively to the problem resulting from the absence
of joint processing of API data and PNR data, including on those intra-EU flights for which
Member States receive PNR data.
EN 6 EN
The scope of the proposal is limited to what is strictly necessary, i.e. it is limited to those
elements that require a harmonised EU approach, namely the purposes for which API can be
used by the Passenger Information Units, the data elements that need to be collected and the
means for the collection and transfer of the API data from travellers. The transfer of the API
data to the router reduces the complexity for air carriers to maintain connections with
Passenger Information Units and introduces economies of scale, whilst reducing the scope for
errors and abuse. The purpose covers only terrorist offences and serious crime, as defined in
the proposal, in view of the serious nature thereof and their transnational dimension.
To limit the interference on the rights of passengers to what is strictly necessary, a number of
safeguards are set out in the proposal. More specifically, the processing of API data under the
proposed Regulation is restricted to a closed and limited list of API data. Beyond that, no
additional identity data are to be collected. Moreover, the proposed Regulation only provides
for rules on the collection and transfer of API data through the router to the PIUs for the
limited purposes specified therein and does not regulate the further processing of API data by
the PIUs, given that, as explained above, that is covered by other acts of EU law (PNR
Directive, personal data protection law, the Charter). The functionalities of the router and in
particular its capability to collect and provide comprehensive statistical information also
supports the monitoring of the implementation of this Regulation by air carriers and Passenger
Information Units. Certain specific safeguards are also provided for, such as rules on logging,
personal data protection and security.
To ensure the necessity and proportionality of the data processing under the proposed
Regulation, and more specifically as regards the collection and transfer of API data on intra-
EU flights, Member States will only receive API data for those intra-EU flights that they have
selected in line with the abovementioned case law of the CJEU. In addition, the further
processing of API data by PIUs would be subject to the limits and safeguards established in
the PNR Directive, as interpreted by the CJEU in the Ligue des droits humains case16
in the
light of the Charter.
• Choice of the instrument
The proposed action is a Regulation. In view of the need for the proposed measures to be
directly applicable and uniformly applied across Member States, a Regulation is therefore the
appropriate choice of legal instrument.
3. RESULTS OF EX-POST EVALUATIONS, STAKEHOLDER
CONSULTATIONS AND IMPACT ASSESSMENTS
• Ex-post evaluation of existing legislation
The API Directive does not prevent the processing of API data for law enforcement purposes
as provided in national legislation and subject to personal data protection requirements.
However, the implementation of this possibility across Member States is problematic, as
found by the evaluation of the API Directive, leading to security gaps due a lack of EU-
defined criteria on the collection and transfer of API for law enforcement purposes:17
16
CJEU, iudgment of 21 June 2022, case C-817/19, Ligue des droits humains.
17
European Commission, Staff Working Document, Evaluation of the Council Directive 2004/82/EC on
the obligation of carriers to communicate passenger data (API Directive), Brussels, 8.9.2020,
SWD(2020)174 final, pp. 26, 43.
EN 7 EN
– The law enforcement purpose is construed widely in some Member States’ national
laws, ranging from administrative offences, enhancing internal security and public
order, to fight against terrorism and safeguarding national security interests. The API
Directive evaluation also indicated that an effective use of API data for law
enforcement would require a dedicated legal instrument for this distinct purpose.18
– The variety of purposes for collecting API data adds complexity to ensuring
compliance with the EU’s personal data protection framework. The requirement to
delete API data within 24 hours is established only in the case of the use of API data
for the principal aim of the API Directive, namely external border management. It is
not clear whether this requirement also applies in respect of processing conducted for
law enforcement purposes.
– The API data set that can be requested from carriers for law enforcement purposes, in
addition to the practice of some Member States to request API data going beyond the
non-exhaustive list included in the API Directive, create additional hindrances for air
carriers to comply with the different requirements when transporting passengers to
the EU.
– Likewise, the API Directive gives no indications of the flights for which API data
can be requested nor to which authority API data should be transferred or conditions
of access to such data for law enforcement purposes.
• Stakeholder consultations
The preparation of this proposal involved a wide range of consultations of concerned
stakeholders, including Member States’ authorities (competent border authorities, Passenger
Information Units), transport industry representatives and individual carriers. EU agencies –
such as the European Border and Coast Guard Agency (Frontex), the EU Agency for Law
Enforcement Cooperation (Europol), the EU Agency for the Operational Management of
Large-Scale IT systems in the Area of Freedom, Security and Justice (eu-LISA) and the EU
Agency for Fundamental Rights (FRA), also provided input. This initiative also integrates the
views and feedback received during the public consultation carried out end of 2019 within the
framework of the evaluation of the API Directive.19
Consultation activities in the context of the preparation of the impact assessment supporting
this proposal gathered feedback from stakeholders using various methods. These activities
included notably an inception impact assessment, an external supporting study and a series of
technical workshops.
An inception impact assessment was published for feedback from 5 June 2020 to 14 August
2020, with a total of seven contributions received providing feedback on the extension of the
scope of the future API Directive, data quality, sanctions, relation of API data and PNR data,
and protection of personal data.20
The external supporting study was conducted based on desk research, interviews and surveys
with subject matter experts which examined different possible measures for the processing of
API data with clear rules that facilitate legitimate travel, are consistent with interoperability of
EU information systems, EU personal data protection requirements, and other existing EU
instruments and international standards.
18
SWD(2020)174, p. 57.
19
SWD(2020)174.
20
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Border-law-
enforcement-advance-air-passenger-information-API-revised-rules_en.
EN 8 EN
The Commission services also organised a series of technical workshops with experts from
Member States and Schengen Associated Countries. These workshops aimed at bringing
together experts for an exchange of views on the possible options which were envisaged to
strengthen the future API framework for border management purposes, and also for fighting
crime and terrorism.
The accompanying impact assessment sets out a more detailed description of the stakeholder
consultation (Annex 2).
• Impact assessment
In line with the Better Regulation Guidelines, the Commission conducted an Impact
Assessment, as presented in the accompanying Staff Working document [reference]. The
Regulatory Scrutiny Board reviewed the draft impact assessment at its meeting of 28
September 2022 and delivered its positive opinion on 30 September 2022.
In view of the problems identified on the collection and transfer of API data, the Impact
Assessment evaluated policy options on the scope of collection of API data for external
border management and for law enforcement purposes, together with options on the means to
improving the quality of API data. As regards the collection of API data for law enforcement
purposes, the impact assessment considered the collection of API data on all extra-EU flights
on the one hand, and the collection of API data on all extra-EU and on selected intra-EU
flights on the other hand. In addition, the Impact Assessment also considered options to
improve the quality of API data – either to collect API data using automated and manual
means, or to collect API data using automated means only.
Based on the findings of the Impact Assessment report, the preferred option for an API
instrument for law enforcement purposes includes the collection of API data on all flights into
and outside the EU, as well as on selected intra-EU flights for which PNR data is transferred.
This will significantly reinforce the robustness of the necessary analysis of relevant data
relating to air travellers in the fight against serious crime and terrorism, with Passenger
Information Units benefitting from the availability of API data, verified and hence of a higher
quality, in order to identify persons involved in serious crime or terrorism. The collection and
transfer of API data for law enforcement purposes builds on the capabilities developed for the
transfer of API data, via the router, for external border management, with no additional costs
for eu-LISA. Air carriers transfer API data only to the router, which would then transmit that
data to the Passenger Information Unit of each Member State concerned. The impact
assessment concluded this to be a cost-efficient solution for air carriers, bringing down part of
the transmission costs incurred by air carriers, whilst also limiting the scope for errors or
abuse. However, different from the current situation, under the proposed Regulation air
carriers would need to collect and transfer API data on all flights covered, irrespective of their
normal business needs and including also intra-EU flights. The proposal is consistent with the
climate-neutrality objective set out in the European Climate Law21
and the Union 2030 and
2040 targets.
• Fundamental rights
This initiative provides for the processing of personal data of travellers and therefore limits
the exercise of the fundamental right to the protection of personal data as guaranteed by
Article 8 of the Charter and Article 16 of the TFEU. As underlined by the Court of Justice of
21
Article 2(1) of Regulation (EU) 2021/1119 of 30 June 2021 establishing the framework for achieving
climate neutrality (European Climate Law).
EN 9 EN
the EU (CJEU),22
the right to the protection of personal data is not an absolute right, but any
limitation must be considered in relation to its function in society and comply with the criteria
set out in Article 52(1) of the Charter.23
Personal data protection is also closely linked to
respect for the right to privacy, as part of the right to private and family life protected by
Article 7 of the Charter.
When it comes to the collection and transfer of API data for selected intra-EU flights, this
initiative also affects the exercise of the fundamental right to freedom of movement provided
for by Article 45 of the Charter and Article 21 of the TFEU. According to the CJEU, an
obstacle to the freedom of movement of persons can be justified only where it is based on
objective considerations and is proportionate to the legitimate objective of the national
provisions24
.
Under this Regulation, the collection and transfer of API data can only be for the prevention,
detection, investigation and prosecution of terrorism and serious crime, as defined by the PNR
Directive. The provisions in this proposal provide for uniform criteria for the collection and
transfer of API data on extra-EU flights (inbound and outbound) on the one hand and selected
intra-EU flights on the other hand, based on an assessment carried out by Member States and
subject to regular review, in line with the requirements set by the the Court of Justice in the
Ligue des droits humains case. The obligation on the air carriers to collect and transfer API
data to the router covers all intra-EU flights. The transmission by the router to the PIUs is a
technical solution to limit the transmission of API data to Passenger Information Units to
selected flights only, without disclosing confidential information on which intra-EU flights
have been selected. Such information is to be treated confidentially, in view of the risk of
circumvention that would exist should it become known to the general public or, more
specifically, to persons involved in serious crime or terrorist activities.
The mandatory use of automated means by air carriers to collect certain API data from
travellers can lead to risks, including from the viewpoint of the protection of personal data.
However, such risks have been limited and mitigated. Firstly, the requirement applies only in
respect of certain API data, where automated means can be used responsibly, i.e. for machine-
readable data on travellers’ documents. Secondly, the proposed Regulation contains
requirements regarding the automated means to be used, which are to be elaborated further in
a delegated act. Finally, several safeguards are provided for, such as logging, specific rules on
the protection of personal data and effective supervision.
Furthermore, whilst – apart from the provision ensuring compliance with the principle of
purpose limitation – the proposed Regulation would not regulate the use that the competent
border authorities make of the API data that they receive thereunder given that – as explained
above – that is already covered by other legislation, in the interest of clarity it is recalled in
the recitals that any such use may not lead to any discrimination precluded under Article 21 of
the Charter.
22
CJEU, judgment of 9.11.2010, Joined Cases C-92/09 and C-93/09 Volker und Markus Schecke and
Eifert [2010] ECR I-0000.
23
In line with Article 52(1) of the Charter, limitations may be imposed on the exercise of the right to data
protection as long as the limitations are provided for by law, respect the essence of the right and
freedoms and, subject to the principle of proportionality, are necessary and genuinely meet objectives of
general interest recognised by the European Union or the need to protect the rights and freedoms of
others.
24
CJEU, judgment of 5 June 2018, Case C-673/16, Coman.
EN 10 EN
4. BUDGETARY IMPLICATIONS
This legislative initiative on the collection and transfer of API data, respectively, for facilitating
external border controls and for the prevention, detection, investigation and prosecution of
terrorist offences and serious crime, would have an impact on the budget and staff needs of eu-
LISA and Member States’ competent authorities.
For eu-LISA, it is estimated that an additional budget of around EUR 45 million (33 million under
current MFF) to set-up the router and EUR 9 million per year from 2029 onwards for the technical
management thereof, and that around 27 additional posts would be needed for to ensure that eu-
LISA has the necessary resources to perform the tasks attributed to it in this proposed Regulation
and the proposed Regulation on the collection and transfer of API data for facilitating external
border controls.
For Member States, it is estimated that EUR 11 million (EUR 3 million under the current
Multiannual Financial Framework) dedicated to upgrading the necessary national systems and
infrastructures for the PIUs could be entitled for reimbursement by the Internal Security Fund25
,
and from 2028 onwards, progressively up to an estimated EUR 2 million per year. Any such
entitlement will ultimately have to be determined in accordance with the rules regulating those
funds as well as the rules on costs contained in the proposed Regulation.
In view of the close connection between this proposed Regulation and the proposed
Regulation on the collection and transfer of API data for facilitating external border controls,
particularly as regards the transfer of API data to the router, the legislative financial
statement, in annex of this proposed Regulation, is identical to both proposals.
5. OTHER ELEMENTS
• Implementation plans and monitoring, evaluation and reporting arrangements
The Commission would ensure that the necessary arrangements are in place to monitor the
functioning of the measures proposed and evaluate them against the main policy objectives.
Four years after the commencement of operations of the proposed API Regulation, and every
four years thereafter, the Commission would submit a report to the European Parliament and
the Council assessing the implementation of the Regulation and its added value. The report
would also report on any direct or indirect impact on fundamental rights. It would examine
results achieved against objectives and assess the continuing validity of the underlying
rationale and any implications for future options.
The mandatory nature of the obligation for air carriers to collect API data on extra-EU and
selected intra-EU flights and the introduction of the API router will allow for a clearer view
on both the transmission of API data by air carriers and the use of API data by Member States
in accordance with applicable national and Union legislation. This will support the
Commission in its evaluation and enforcement tasks by providing it with reliable statistics on
the volume of data transmitted and on the flights for which API data would be requested.
• Detailed explanation of the specific provisions of the proposal
Chapter 1 sets out the general provisions for this Regulation, starting with rules on its subject
matter and scope. It also contains a list of definitions.
25
Regulation (EU) 2021/1149 of the European Parliament and of the Council of 7 July 2021 establishing
the Internal Security Fund.
EN 11 EN
Chapter 2 sets out the provisions for the collection, transfer to the router and deletion of API
data by air carriers, and rules regarding the transmission of API data from the router to the
Passenger Information Units.
Chapter 3 contains specific provisions on logs, specifications as to whom are the personal data
controllers in relation to processing of API data constituting personal data under this
Regulation, security and self-monitoring by air carriers and PIUs.
Chapter 4 further sets out rules on the connections to, and integration with, the router by
Passenger Information Units and air carriers, as well as on Member States’ costs in
connection thereto. It also contains provisions regulating the situation of a partial or full
technical impossibility to use the router and on liability for damage caused to the router.
Chapter 5 contains provisions on supervision, on possible penalties applicable to air carriers
for non-compliance of their obligations set out in this Regulation and on the preparation of a
practical handbook by the Commission.
Chapter 6 provides for amendments to other existing instruments, i.e. Regulation (EU)
2019/818.
Chapter 7 contains the final provisions of this Regulation, which concern the adoption of
delegated acts, the monitoring and evaluation of this Regulation, and its entry into force and
application.
EN 12 EN
2022/0425 (COD)
Proposal for a
REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
on the collection and transfer of advance passenger information for the prevention,
detection, investigation and prosecution of terrorist offences and serious crime, and
amending Regulation (EU) 2019/818
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
Having regard to the Treaty on the Functioning of the European Union, and in particular
Article 82(1), point (d), and Article 87(2), point (a), thereof,
Having regard to the proposal from the European Commission,
After transmission of the draft legislative act to the national parliaments,
Having regard to the opinion of the European Economic and Social Committee26
,
Acting in accordance with the ordinary legislative procedure,
Whereas:
(1) The transnational dimension of serious and organised crime and the continuous threat
of terrorist attacks on European soil call for action at Union level to adopt appropriate
measures to ensure security within an area of freedom, security and justice without
internal borders. Information on air travellers, such as Passenger Name Records (PNR)
and in particular Advance Passenger Information (API), is essential in order to identify
high-risk travellers, including those who are not otherwise known to law enforcement
authorities, and to establish links between members of criminal groups, and countering
terrorist activities.
(2) While Council Directive 2004/82/EC27
establishes a legal framework for the collection
and transfer of API data by air carriers with the aims of improving border controls and
combating illegal immigration, it also states that Member States may use API data for
law enforcement purposes. However, only creating such a possibility leads to several
gaps and shortcomings. In particular, it means that, despite its relevance for law
enforcement purposes, API data is not in all cases collected and transferred by air
carriers for those purposes. It also means that, where Member States acted upon the
possibility, air carriers are faced with diverging requirements under national law as
regards when and how to collect and transfer API data for this purpose. Those
divergences lead not only to unnecessary costs and complications for the air carriers,
but they are also prejudicial to the Union’s internal security and effective cooperation
between the competent law enforcement authorities of the Member States. Moreover,
in view of the different nature of the purposes of facilitating border controls and law
26
OJ C , , p. .
27
Council Directive 2004/82/EC of 29 April 2004 on the obligation of carriers to communicate passenger
data (OJ L 261, 6.8.2004, p. 24).
EN 13 EN
enforcement, it is appropriate to establish a distinct legal framework for the collection
and transfer of API data for each of those purposes.
(3) Directive (EU) 2016/681 of the European Parliament and of the Council28
lays down
rules on the use of PNR data for the prevention, detection, investigation and
prosecution of terrorist offences and serious crime. Under that Directive, Member
States must adopt the necessary measures to ensure that air carriers transfer PNR data,
including any API data collected, to the national Passenger Information Unit (‘PIU’)
established under that Directive to the extent that they have already collected such data
in the normal course of their business. Consequently, that Directive does not guarantee
the collection and transfer of API data in all cases, as air carriers do not have any
business purpose to collect a full set of such data. Ensuring that PIUs receive API data
together with PNR data is important, since the joint processing of such data is needed
for the competent law enforcement authorities of the Member States to be able to
effectively prevent, detect, investigate and prosecute terrorist offences and serious
crime. In particular, such joint processing allows for the accurate identification of
those passengers that may need to be further examined, in accordance with the
applicable law, by those authorities. In addition, that Directive does not specify in
detail which information constitutes API data. For those reasons, complementary rules
should be established requiring air carriers to collect and subsequently transfer a
specifically defined set of API data, which requirements should apply to the extent that
the air carriers are bound under that Directive to collect and transfer PNR data on the
same flight.
(4) It is therefore necessary to establish at Union level clear, harmonised and effective
rules on the collection and transfer of API data for the purpose of preventing,
detecting, investigating and prosecuting terrorist offences and serious crime.
(5) Considering the close relationship between both acts, this Regulation should be
understood as complementing the rules provided for in Directive (EU) 2016/681.
Therefore, API data is to be collected and transferred in accordance with the specific
requirements of this Regulation, including as regards the situations and the manner in
which that is to be done. However, the rules of that Directive apply in respect of
matters not specifically covered by this Regulation, especially the rules on the
subsequent processing of the API data received by the PIUs, exchange of information
between Member States, conditions of access by the European Union Agency for Law
Enforcement Cooperation (Europol), transfers to third countries, retention and
depersonalisation, as well as the protection of personal data. Insofar as those rules
apply, the rules of that Directive on penalties and the national supervisory authorities
apply as well. This Regulation should leave those rules unaffected.
(6) The collection and transfer of API data affects the privacy of individuals and entails
the processing of personal data. In order to fully respect fundamental rights, in
particular the right of respect for private life and the right to the protection of personal
data, in accordance with the Charter of Fundamental Rights of the European Union
(‘Charter’), adequate limits and safeguards should be provided for. In particular, any
processing of API data and, in particular, API data constituting personal data, should
remain limited to what is necessary for and proportionate to achieving the objectives
28
Directive (EU) 2016/681 of the European Parliament and of the Council of 27 April 2016 on the use of
passenger name record (PNR) data for the prevention, detection, investigation and prosecution of
terrorist offences and serious crime (OJ L 119, 4.5.2016, p. 132).
EN 14 EN
pursued by this Regulation. In addition, it should be ensured that the API collected and
transferred under this Regulation do not lead to any form of discrimination precluded
by the Charter.
(7) In view of the complementary nature of this Regulation in relation to Directive (EU)
2016/681, the obligations of air carriers under this Regulation should apply in respect
of all flights for which Member States are to require air carriers to transmit PNR data
under Directive (EU) 2016/681, namely flights, including both scheduled and non-
scheduled flights, both between Member States and third countries (extra-EU flights),
and between several Member States (intra-EU flights) insofar as those flights have
been selected in accordance with Directive (EU) 2016/681, irrespective of the place of
establishment of the air carriers conducting those flights.
(8) Accordingly, given that Directive (EU) 2016/681 does not cover domestic flights, that
is, flights that depart and land on the territory of the same Member State without any
stop-over in the territory of another Member State or a third country, and in view of
the transnational dimension of the terrorist offences and the serious crime covered by
this Regulation, such flights should not be covered by this Regulation either. This
Regulation should not be understood as affecting the possibility for Member States to
provide, under their national law and in compliance with Union law, for obligations on
air carriers to collect and transfer API data on such domestic flights.
(9) In view of the close relationship between the acts of Union law concerned and in the
interest of consistency and coherence, the definitions set out in this Regulation should
as much possible be aligned with, and be interpreted and applied in the light of, the
definitions set out in Directive (EU) 2016/681 and Regulation (EU) [API border
management]29
.
(10) In particular, the items of information that jointly constitute the API data to be
collected and subsequently transferred under this Regulation should be those listed
clearly and exhaustively in Regulation (EU) API [border management], covering both
information relating to each passenger and information on the flight of that traveller.
Under this Regulation, such flight information should cover information on the border
crossing point of entry into the territory of the Member State concerned only where
applicable, that is, not when the API data relate to intra-EU flights.
(11) In order to ensure a consistent approach on the collection and transfer of API data by
air carriers as much as possible, the rules set out in this Regulation should be aligned
with those set out in the Regulation (EU) [API border management] where
appropriate. That concerns, in particular, the rules on data quality, the air carriers’ use
of automated means for such collection, the precise manner in which they are to
transfer the collected API data to the router and the deletion of the API data.
(12) In order to ensure the joint processing of API data and PNR data to effectively fight
terrorism and serious crime in the Union and at the same time minimise the
interference with passengers’ fundamental rights protected under the Charter, the PIUs
should be the competent authorities in the Member States that are entrusted to receive,
and subsequently further process and protect, API data collected and transferred under
this Regulation. In the interest of efficiency and to minimise any security risks, the
router, as designed, developed, hosted and technically maintained by the European
Union Agency for the Operational Management of Large-Scale IT Systems in the Area
29
OJ C , , p. .
EN 15 EN
of Freedom, Security and Justice (eu-LISA) in accordance with Regulation (EU) [API
border management], should transmit the API data, collected and transferred to it by
the air carriers under this Regulation, to the relevant PIUs. Given the necessary level
of protection of API data constituting personal data, including to ensure the
confidentiality of the information concerned, the API data should be transmitted by the
router to the relevant PIUs in an automated manner.
(13) For extra-EU flights, the PIU of the Member State on the territory of which the flight
will land and or from the territory of which the flight will depart should receive the
API data from the router for all those flights, given that that PNR data is collected for
all those flights in accordance with Directive (EU) 2016/681. The router should
identify the flight and the corresponding PIUs using the information contained in the
PNR record locator, a data element common to both the API and PNR data sets
allowing for the joint processing of API data and PNR data by the PIUs.
(14) As regards intra-EU flights, in line with the case law of the Court of Justice of the
European Union (CJEU), in order to avoid unduly interfering with the relevant
fundamental rights protected under the Charter and to ensure compliance with the
requirements of Union law on the free movement of persons and the abolition of
internal border controls, a selective approach should be provided for. In view of the
importance of ensuring that API data can be processed together with PNR data, that
approach should be aligned with that of Directive (EU) 2016/681. For those reasons,
API data on those flights should only be transmitted from the router to the relevant
PIUs, where the Member States have selected the flights concerned in application of
Article 2 of Directive (EU) 2016/681. As recalled by the CJEU, the selection entails
Member States targeting the obligations in question only at, inter alia, certain routes,
travel patterns or airports, subject to the regular review of that selection.
(15) In order to enable the application of that selective approach under this Regulation in
respect of intra-EU flights, the Member States should be required to draw up and
submit to eu-LISA the lists of the flights they selected, so that eu-LISA can ensure that
only for those flights API data is transmitted from the router to the relevant PIUs and
that the API data on other intra-EU flights is immediately and permanently deleted.
(16) In order not to endanger the effectiveness of the system that relies on the collection
and transfer of API data set up by this Regulation, and of PNR data under the system
set up by Directive (EU) 2016/681, for the purpose of preventing, detecting,
investigating and prosecuting terrorist offences and serious crime, in particular by
creating the risk of circumvention, information on which intra-EU flights the Member
States selected should be treated in a confidential manner. For that reason, such
information should not be shared with the air carriers and they should therefore be
required to collect API data on all flights covered by this Regulation, including all
intra-EU flights, and then transfer it to the router, where the necessary selection should
be enacted. Moreover, by collecting API data on all intra-EU flights, passengers are
not made aware on which selected intra-EU flights API data, and hence also PNR data,
is transmitted to PIUs in accordance with Member States’ assessment. That approach
also ensures that any changes relating to that selection can be implemented swiftly and
effectively, without imposing any undue economic and operational burdens on the air
carriers.
(17) In the interest of ensuring compliance with the fundamental right to protection of
personal data and in line with Regulation (EU) [API border management], this
Regulation should identify the controllers. In the interest of effective monitoring,
EN 16 EN
ensuring adequate protection of personal data and minimising security risks, rules
should also be provided for on logging, security of processing and self-monitoring.
Where they relate to the processing of personal data, those provisions should be
understood as complementing the generally applicable acts of Union law on the
protection of personal data, in particular Regulation (EU) 2016/679 of the European
Parliament and of the Council30
, Directive (EU) 2016/680 of the European Parliament
and the Council31
and Regulation (EU) 2018/1725 of the European Parliament and the
Council32
. Those acts, which also apply to the processing of personal data under this
Regulation in accordance with the provisions thereof, should not be affected by this
Regulation.
(18) The router to be created and operated under Regulation (EU) [API border
management] should reduce and simplify the technical connections needed to transfer
API data, limiting them to a single connection per air carrier and per PIU. Therefore,
this Regulation provides for the obligation for the PIUs and air carriers to each
establish such a connection to, and achieve the required integration with, the router, so
as to ensure that the system for transferring API data established by this Regulation
can function properly.
(19) In view of the Union interests at stake, appropriate costs incurred by the Member
States in relation to their connections to, and integration with, the router, as required
under this Regulation, should be borne by the Union budget, in accordance with the
applicable legislation and subject to certain exceptions. The costs covered by those
exceptions should be borne by each Member State concerned itself.
(20) In accordance with Regulation (EU) 2018/1726, Member States may entrust eu-LISA
with the task of facilitating connectivity with air carriers in order to assist Member
States in the implementation of Directive (EU) 2016/681, particularly by collecting
and transferring PNR data via the router.
(21) It cannot be excluded that, due to exceptional circumstances and despite all reasonable
measures having been taken in accordance with this Regulation and, as regards the
router, Regulation (EU) [API border management], the router or the systems or
infrastructure connecting the PIUs and the air carriers thereto fail to function properly,
thus leading to a technical impossibility to use the router to transmit API data. Given
the unavailability of the router and that it will generally not be reasonably possible for
air carriers to transfer the API data affected by the failure in a lawful, secure, effective
and swift manner through alternative means, the obligation for air carriers to transfer
that API data to the router should cease to apply for as long as the technical
impossibility persist. In order to minimise the duration and negative consequences
30
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data and on the free movement of
such data, and repealing Directive 95/46/EC (General Data Protection Regulation), OJ L 119, 4.5.2016,
p. 1.
31
Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the
protection of natural persons with regard to the processing of personal data by competent authorities for
the purposes of the prevention, investigation, detection or prosecution of criminal offences or the
execution of criminal penalties, and on the free movement of such data, and repealing Council
Framework Decision 2008/977/JHA, OJ L 119, 4.5.2016, p. 89.
32
Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the
protection of natural persons with regard to the processing of personal data by the Union institutions,
bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No
45/2001 and Decision No 1247/2002/EC, OJ L 295, 21.11.2018, p. 39
EN 17 EN
thereof, the parties concerned should in such a case immediately inform each other and
immediately take all necessary measures to address the technical impossibility. This
arrangement should be without prejudice to the obligations under this Regulation of all
parties concerned to ensure that the router and their respective systems and
infrastructure function properly, as well as the fact that air carriers are subject to
penalties when they fail to meet those obligations, including when they seek to rely on
this arrangement where such reliance is not justified. In order to deter such abuse and
to facilitate supervision and, where necessary, the imposition of penalties, air carriers
that rely on this arrangement on account of the failure of their own system and
infrastructure should report thereon to the competent supervisory authority.
(22) In order to ensure that the rules of this Regulation are applied effectively by air
carriers, provision should be made for the designation and empowerment of national
authorities charged with the supervision of those rules. The rules of this Regulation on
such supervision, including as regards the imposition of penalties where necessary,
should leave the tasks and powers of the supervisory authorities established in
accordance with Regulation (EU) 2016/679 and Directive (EU) 2016/680 unaffected,
including in relation to the processing of personal data under this Regulation.
(23) Effective, proportionate and dissuasive penalties, including financial ones, should be
provided for by Member States against those air carriers failing to meet their
obligations regarding the collection and transfer of API data under this Regulation.
(24) In order to adopt measures relating to the technical requirements and operational rules
for the automated means for the collection of machine-readable API data, to the
common protocols and formats to be used for the transfer of API data by air carriers,
to the technical and procedural rules for the transmission of API data from the router
and to the PIUs and to the PIU’s and air carriers’ connections to and integration with
the router, the power to adopt acts in accordance with Article 290 of the Treaty on the
Functioning of the European Union should be delegated to the Commission in respect
of Articles 4, 5, 10 and 11, respectively. It is of particular importance that the
Commission carry out appropriate consultations during its preparatory work, including
at expert level, and that those consultations be conducted in accordance with the
principles laid down in the Interinstitutional Agreement on Better Law-Making of 13
April 201633
. In particular, to ensure equal participation in the preparation of delegated
acts, the European Parliament and the Council receive all documents at the same time
as Member States’ experts, and their experts systematically have access to meetings of
Commission expert groups dealing with the preparation of delegated acts.
(25) All interested parties, and in particular the air carriers and the PIUs, should be afforded
sufficient time to make the necessary preparations to be able to meet their respective
obligations under this Regulation, taking into account that some of those preparations,
such as those regarding the obligations on the connection to and integration with the
router, can only be finalised when the design and development phases of the router
have been completed and the router starts operations. Therefore, this Regulation
should apply only from an appropriate date after the date at which the router starts
operations, as specified by the Commission in accordance with Regulation (EU) [API
border management]. However, it should be possible for the Commission to adopt
delegated acts under this Regulation already from an earlier date, so as to ensure that
the system set up by this Regulation is operational as soon as possible.
33
OJ L 123, 12.5.2016, p. 1.
EN 18 EN
(26) The objectives of this Regulation, namely contributing to the prevention, detection,
investigation and prosecution of terrorist offences and serious crime, in view of the
transnational dimension of the offences concerned and the need to cooperate on a
cross-border basis to effectively address them, cannot be sufficiently achieved by the
Member States individually, but can rather be better achieved at Union level. The
Union may therefore adopt measures, in accordance with the principle of subsidiarity
as set out in Article 5 of the Treaty on the European Union. In accordance with the
principle of proportionality, as set out in that Article, this Regulation does not go
beyond what is necessary in order to achieve that objective.
(27) In accordance with Articles 1 and 2 of Protocol No 22 on the position of Denmark,
annexed to the Treaty on European Union and to the Treaty on the Functioning of the
European Union, Denmark is not taking part in the adoption of this Regulation and is
not bound by it or subject to its application.
(28) [In accordance with Article 3 of the Protocol (No 21) on the position of the United
Kingdom and Ireland in respect of the area of freedom, security and justice, annexed
to the Treaty on European Union and the Treaty on the Functioning of the European
Union, Ireland has notified its wish to take part in the adoption and application of this
Regulation.] OR [In accordance with Articles 1 and 2 of Protocol No 21 on the
position of the United Kingdom and Ireland in respect of the area of freedom, security
and justice, annexed to the Treaty on European Union and to the Treaty on the
Functioning of the European Union, and without prejudice to Article 4 of that
Protocol, Ireland is not taking part in the adoption of this Regulation and is not bound
by it or subject to its application.]
(29) The European Data Protection Supervisor was consulted in accordance with Article
42(1) of Regulation (EU) 2018/1725 and delivered an opinion on [XX].34
HAVE ADOPTED THIS REGULATION:
CHAPTER 1
GENERAL PROVISIONS
Article 1
Subject matter
For the purpose of preventing, detecting, investigating and prosecuting terrorist offences and
serious crime, this Regulation lays down the rules on:
(a) the collection by air carriers of advance passenger information data (‘API
data’) on extra EU flights and selected intra EU flights;
(b) the transfer by air carriers to the router of the API data;
(c) the transmission from the router to the Passenger Information Units (‘PIUs’) of
the API data on extra-EU flights and selected intra-EU flights.
34
[OJ C …]
EN 19 EN
Article 2
Scope
This Regulation applies to air carriers conducting scheduled or non-scheduled extra-EU
flights or intra-EU flights.
Article 3
Definitions
For the purposes of this Regulation, the following definitions apply:
(a) ‘air carrier’ means an air transport undertaking as defined in Article 3, point
(1), of Directive (EU) 2016/681;
(b) ‘extra-EU flights’ means any flight as defined in Article 3, point (2), of
Directive (EU) 2016/681;
(c) ‘intra-EU flight’ means any flight as defined in Article 3, point (3), of
Directive (EU) 2016/681;
(d) ‘scheduled flight’ means a flight as defined in Article 3, point (e), of
Regulation (EU) [API border management];
(e) ‘non-scheduled flight’ means a flight as defined in Article 3, point (f), of
Regulation (EU) [API border management];
(f) ‘passenger’ means any person as defined in Article 3, point (4), of Directive
(EU) 2016/681;
(g) ‘crew’ means any person as defined in Article 3, point (h), of Regulation (EU)
[API border management];
(h) ‘traveller’ means any person as defined in Article 3, point (i), of Regulation
(EU) [API border management];
(i) ‘advance passenger information data’ or ‘API data’ means the data as defined
in Article 3, point (j), of Regulation (EU) [API border management];
(j) ‘passenger name record’ or 'PNR' means a record of each passenger’s travel
requirements as defined in Article 3, point (5), of Directive (EU) 2016/681;
(k) ‘Passenger Information Unit’ or ‘PIU’ means the competent authority
established by a Member State, as contained in the notifications and
modifications published by the Commission pursuant to Article 4(1) and (5),
respectively, of Directive (EU) 2016/681;
(l) ‘terrorist offences’ means the offences as defined in Articles 3 to 12 of
Directive (EU) 2017/541 of the European Parliament and the Council35
;
(m) ‘serious crime’ means the offences as defined in Article 3, point (9), of
Directive 2016/681;
35
Directive (EU) 2017/541 of the European Parliament and of the Council of 15 March 2017 on
combating terrorism and replacing Council Framework Decision 2002/475/JHA and amending Council
Decision 2005/671/JHA (OJ L 88, 31.3.2017, p. 6).
EN 20 EN
(n) ‘the router’ means the router as defined in Article 3, point (k) of Regulation
(EU) [API border management];
(o) ’personal data’ means any information as defined in Article 4, point (1), of
Regulation (EU) 2016/679.
CHAPTER 2
PROCESSING OF API DATA
Article 4
Collection, transfer and deletion of API data by air carriers
1. Air carriers shall collect API data of travellers on the flights referred to in Article 2,
for the purpose of transferring that API data to the router in accordance with
paragraph 6. Where the flight is code-shared between one or more air carriers, the
obligation to transfer the API data shall be on the air carrier that operates the flight.
2. Air carriers shall collect the API data in such a manner that the API data that they
transfer in accordance with paragraph 6 is accurate, complete and up-to-date.
3. Air carriers shall collect the API data referred to Article 4(2), points (a) to (d), of
Regulation (EU) [API border management] using automated means to collect the
machine-readable data of the travel document of the traveller concerned. They shall
do so in accordance with the detailed technical requirements and operational rules
referred paragraph 5, where such rules have been adopted and are applicable.
However, where such use of automated means is not possible due to the travel
document not containing machine-readable data, air carriers shall collect that data
manually, in such a manner as to ensure compliance with paragraph 2.
4. Any automated means used by air carriers to collect API data under this Regulation
shall be reliable, secure and up-to-date.
5. The Commission is empowered to adopt delegated acts in accordance with Article 19
to supplement this Regulation by laying down detailed technical requirements and
operational rules for the collection of the API data referred to in Article 4(2), points
(a) to (d), of Regulation (EU) [API border management] using automated means in
accordance with paragraphs 3 and 4 of this Article.
6. Air carriers shall transfer the API data collected pursuant to paragraph 1 to the router,
by electronic means. They shall do so in accordance with the detailed rules referred
to in paragraph 9, where such rules have been adopted and are applicable.
7. Air carriers shall transfer the API data both at the moment of check-in and
immediately after flight closure, that is, once the travellers have boarded the aircraft
in preparation for departure and it is no longer possible for travellers to board or to
leave the aircraft.
8. Without prejudice to the possibility for air carriers to retain and use the data where
necessary for the normal course of their business in compliance with the applicable
law, air carriers shall immediately either correct, complete or update, or permanently
delete, the API data concerned in both of the following situations:
EN 21 EN
(a) where they become aware that the API data collected is inaccurate, incomplete
or no longer up-to-date or was processed unlawfully, or that the data
transferred does not constitute API data;
(b) where the transfer of the API data in accordance with paragraph 3 has been
completed.
Where the air carriers obtain the awareness referred to in point (a) of the first
subparagraph of this paragraph after having completed the transfer of the data in
accordance with paragraph 6, they shall immediately inform the European Union
Agency for the Operational Management of Large-Scale IT Systems in the Area of
Freedom, Security and Justice (eu-LISA). Upon receiving such information, eu-LISA
shall immediately inform the PIUs that received the API data transmitted through the
router.
9. The Commission is empowered to adopt delegated acts in accordance with Article 19
to supplement this Regulation by laying down the necessary detailed rules on the
common protocols and supported data formats to be used for the transfers of API
data to the router referred to in paragraph 6.
Article 5
Transmission of API data from the router to the PIUs
1. The router shall, immediately and in an automated manner, transmit the API data,
transferred to it by air carriers pursuant to Article 4, to the PIUs of the Member State
on the territory of which the flight will land or from the territory of which the flight
will depart, or to both in the case of intra-EU-flights. Where a flight has one or more
stop-overs at the territory of other Member States than the one from which it
departed, the router shall transmit the API data to the PIUs of all the Member States
concerned.
For the purpose of such transmission, eu-LISA shall establish and keep up-to-date a
table of correspondence between the different airports of origin and destination and
the countries to which they belong
However, for intra-EU flights, the router shall only transmit the API data to that PIU
in respect of the flights included in the list referred to in paragraph 2.
The router shall transmit the API data in accordance with the detailed rules referred to in
paragraph 3, where such rules have been adopted and are applicable.2. Member
States that decide to apply Directive (EU) 2016/681 to intra-EU flights in accordance
with Article 2 of that Directive shall each establish a list of the intra-EU flights
concerned and shall, by the date of application of this Regulation referred to in
Article 21, second subparagraph, provide eu-LISA with that list. Those Member
States shall, in accordance with Article 2 of that Directive, regularly review and
where necessary update those lists and shall immediately provide eu-LISA with any
such updated lists. The information contained on those lists shall be treated
confidentially.
3. The Commission is empowered to adopt delegated acts in accordance with Article 19
to supplement this Regulation by laying down the necessary detailed technical and
procedural rules for the transmissions of API data from the router referred to in
paragraph 1.
EN 22 EN
CHAPTER 3
LOGGING, PERSONAL DATA PROTECTION AND SECURITY
Article 6
Keeping of logs
1. Air carriers shall create logs of all processing operations under this Regulation
undertaken using the automated means referred to in Article 4(3). Those logs shall
cover the date, time, and place of transfer of the API data.
2. The logs referred to in paragraph 1 shall be used only for ensuring the security and
integrity of the API data and the lawfulness of the processing, in particular as regards
compliance with the requirements set out in this Regulation, including proceedings
for penalties for infringements of those requirements in accordance with Articles 15
and 16.
3. Air carriers shall take appropriate measures to protect the logs that they created
pursuant to paragraph 1 against unauthorised access and other security risks.
4. Air carriers shall keep the logs that they created pursuant to paragraph 1, for a time
period of one year from the moment of the creation of those logs. They shall
immediately and permanently delete those logs upon the expiry of that time period.
However, if those logs are needed for procedures for monitoring or ensuring the
security and integrity of the API data or the lawfulness of the processing operations,
as referred to in paragraph 2, and those procedures have already begun at the moment
of the expiry of the time period referred to in the first subparagraph, air carriers may
keep those logs for as long as necessary for those procedures. In that case, they shall
immediately delete those logs when they are no longer necessary for those
procedures.
Article 7
Personal data controllers
The PIUs shall be controllers, within the meaning of Article 3, point (8), of Directive (EU)
2016/680 in relation to the processing of API data constituting personal data under this
Regulation through the router, including transmission and storage for technical reasons of that
data on the router.
The air carriers shall be controllers, within the meaning of Article 4, point (7), of Regulation
(EU) 2016/679, for the processing of API data constituting personal data in relation to their
collection of that data and their transfer thereof to the router under this Regulation.
Article 8
Security
PIUs and air carriers shall ensure the security of the API data, in particular API data
constituting personal data, that they process pursuant to this Regulation.
PIUs and air carriers shall cooperate, in accordance with their respective responsibilities and
in compliance with Union law, with each other and with eu-LISA to ensure such security.
EN 23 EN
Article 9
Self-monitoring
Air carriers and the PIUs shall monitor their compliance with their respective obligations
under this Regulation, in particular as regards their processing of API data constituting
personal data, including through frequent verification of the logs in accordance with Article 7.
CHAPTER 4
MATTERS RELATING TO THE ROUTER
Article 10
PIUs’ connections to the router
1. Member States shall ensure that their PIUs are connected to the router. They shall
ensure that their national systems and infrastructure for the reception and further
processing of API data transferred pursuant to this Regulation are integrated with the
router.
Member States shall ensure that the connection to that router and integration with it
enables their PIUs to receive and further process the API data, as well as to exchange
any communications relating thereto, in a lawful, secure, effective and swift manner.
2. The Commission is empowered to adopt delegated acts in accordance with Article 19
to supplement this Regulation by laying down the necessary detailed rules on the
connections to and integration with the router referred to in paragraph 1.
Article 11
Air carriers’ connections to the router
1. Air carriers shall ensure that they are connected to the router. They shall ensure that
their systems and infrastructure for the transfer of API data to the router pursuant to
this Regulation are integrated with the router.
Air carriers shall ensure that the connection to the router and the integration with it
enables them to transfer the API data as well as to exchange any communications
relating thereto, in a lawful, secure, effective and swift manner.
2. The Commission is empowered to adopt delegated acts in accordance with Article 19
to supplement this Regulation by laying down the necessary detailed rules on the
connections to and integration with the router referred to in paragraph 1.
Article 12
Member States’ costs
1. Costs incurred by the Member States in relation to their connections to and
integration with the router referred to in Article 10 shall be borne by the general
budget of the Union.
However, the following costs shall be excluded and be borne by the Member States:
(a) costs for project management, including costs for meetings, missions and
offices;
EN 24 EN
(b) costs for the hosting of national information technology (IT) systems, including
costs for space, implementation, electricity and cooling;
(c) costs for the operation of national IT systems, including operators and support
contracts;
(d) costs for the design, development, implementation, operation and maintenance
of national communication networks.
2. Member States shall also bear the costs arising from the administration, use and
maintenance of their connections to and integration with the router.
Article 13
Actions in case of technical impossibility to use the router
1. Where it is technically impossible to use the router to transmit API data because of a
failure of the router, eu-LISA shall immediately notify the air carriers and PIUs of
that technical impossibility in an automated manner. In that case, eu-LISA shall
immediately take measures to address the technical impossibility to use the router
and shall immediately notify those parties when it has been successfully addressed.
During the time period between those notifications, Article 4(6) shall not apply,
insofar as the technical impossibility prevents the transfer of API data to the router.
Insofar as that is the case, Article 4(1) shall not apply either to the API data in
question during that time period.
2. Where it is technically impossible to use the router to transmit API data because of a
failure of the systems or infrastructure referred to in Article 10 of a Member State,
the PIU of that Member State shall immediately notify the air carriers, the other
PIUs, eu-LISA and the Commission of that technical impossibility in an automated
manner. In that case, that Member State shall immediately take measures to address
the technical impossibility to use the router and shall immediately notify those
parties when it has been successfully addressed.
During the time period between those notifications, Article 4(6) shall not apply,
insofar as the technical impossibility prevents the transfer of API data to the router.
Insofar as that is the case, Article 4(1) shall not apply either to the API data in
question during that time period.
3. Where it is technically impossible to use the router to transmit API data because of a
failure of the systems or infrastructure referred to in Article 11 of an air carrier, that
air carrier shall immediately notify the PIUs, eu-LISA and the Commission of that
technical impossibility in an automated manner. In that case, that air carrier shall
immediately take measures to address the technical impossibility to use the router
and shall immediately notify those parties when it has been successfully addressed.
During the time period between those notifications, Article 4(6) shall not apply,
insofar as the technical impossibility prevents the transfer of API data to the router.
Insofar as that is the case, Article 4(1) shall not apply either to the API data in
question during that time period.
When the technical impossibility has been successfully addressed, the air carrier
concerned shall, without delay, submit to the competent national supervisory
authority referred to in Article 15 a report containing all necessary details on the
EN 25 EN
technical impossibility, including the reasons for the technical impossibility, its
extent and consequences as well as the measures taken to address it.
Article 14
Liability regarding the router
If any failure of a Member State or an air carrier to comply with its obligations under this
Regulation causes damage to the router, that Member State or air carrier shall be liable for
such damage, unless and insofar as eu-LISA failed to take reasonable measures to prevent the
damage from occurring or to minimise its impact.
CHAPTER 5
SUPERVISION, PENALTIES AND HANDBOOK
Article 15
National supervisory authority
1. Member States shall designate one or more national supervisory authorities
responsible for monitoring the application within their territory by air carriers of the
provisions of this Regulation and ensuring compliance with those provisions.
2. Member States shall ensure that the national supervisory authorities have all
necessary means and all necessary investigative and enforcement powers to carry out
their tasks under this Regulation, including by imposing the penalties referred to in
Article 16 where appropriate. They shall lay down detailed rules on the performance
of those tasks and the exercise of those powers, ensuring that the performance and
exercise is effective, proportionate and dissuasive and is subject to safeguards in
compliance with the fundamental rights guaranteed under Union law.
3. Member States shall, by the date of application of this Regulation referred to in
Article 21, second subparagraph, notify the Commission of the name and the contact
details of the authorities that they designated under paragraph 1 and of the detailed
rules that they laid down pursuant to paragraph 2. They shall notify the Commission
without delay of any subsequent changes or amendments thereto.
4. This Article is without prejudice to the powers of the supervisory authorities referred
to in Article 51 of Regulation (EU) 2016/679 and Article 41 of Directive (EU)
2016/680.
Article 16
Penalties
Member States shall lay down the rules on penalties applicable to infringements of this
Regulation and shall take all measures necessary to ensure they are implemented. The
penalties provided for shall be effective, proportionate and dissuasive penalties.
Member States shall, by the date of application of this Regulation referred to in Article 21,
second subparagraph, notify the Commission of those rules and of those measures and shall
notify it without delay of any subsequent amendment affecting them.
EN 26 EN
Article 17
Practical handbook
The Commission shall, in close cooperation with the PIUs, other relevant Member States’
authorities, the air carriers and relevant Union agencies, prepare and make publicly available a
practical handbook, containing guidelines, recommendations and best practices for the
implementation of this Regulation.
The practical handbook shall take into account the relevant existing handbooks.
The Commission shall adopt the practical handbook in the form of a recommendation.
CHAPTER 6
RELATIONSHIP TO OTHER EXISTING INSTRUMENTS
Article 18
Amendments to Regulation (EU) 2019/818
___________
In Article 39, paragraphs 1 and 2 are replaced by the following:
“1. A central repository for reporting and statistics (CRRS) is established for the
purposes of supporting the objectives of the SIS, Eurodac and ECRIS-TCN, in
accordance with the respective legal instruments governing those systems, and to
provide cross-system statistical data and analytical reporting for policy, operational
and data quality purposes. The CRRS shall also support the objectives of Regulation
(EU) …/… of the European Parliament and of the Council* [this Regulation].”
* Regulation (EU) [number] of the European Parliament and of the
Council of xy on [officially adopted title] (OJ L …)”
“2. eu-LISA shall establish, implement and host in its technical sites the CRRS
containing the data and statistics referred to in Article 74 of Regulation (EU)
2018/1862 and Article 32 of Regulation (EU) 2019/816 logically separated by EU
information system. eu-LISA shall also collect the data and statistics from the router
referred to in Article 13(1) of Regulation (EU) …/… * [this Regulation ]. Access to
the CRRS shall be granted by means of controlled, secured access and specific user
profiles, solely for the purpose of reporting and statistics, to the authorities referred to
in Article 74 of Regulation (EU) 2018/1862, Article 32 of Regulation (EU) 2019/816
and Article 13(1) of Regulation (EU) …/… * [this Regulation ].”
CHAPTER 7
FINAL PROVISIONS
EN 27 EN
Article 19
Exercise of delegation
1. The power to adopt delegated acts is conferred on the Commission subject to the
conditions laid down in this Article.
2. The power to adopt delegated acts referred to in Article 4(5) and (9), Article 5(3),
Article 10(2) and Article 11(2) shall be conferred on the Commission for a period of
five years from [date of adoption of the Regulation]. The Commission shall draw up
a report in respect of the delegation of power not later than nine months before the
end of the five-year period. The delegation of power shall be tacitly extended for
periods of an identical duration, unless the European Parliament or the Council
opposes such extension not later than three months before the end of each period.
3. The delegation of power referred to in Article 4(5) and (9), Article 5(3), Article 10(2)
and Article 11(2) may be revoked at any time by the European Parliament or by the
Council. A decision to revoke shall put an end to the delegation of the power
specified in that decision. It shall take effect the day following the publication of the
decision in the Official Journal of the European Union or at a later date specified
therein. It shall not affect the validity of any delegated acts already in force.
4. Before adopting a delegated act, the Commission shall consult experts designated by
each Member State in accordance with the principles laid down in the
Interinstitutional Agreement of 13 April 2016 on Better Law-Making.
5. As soon as it adopts a delegated act, the Commission shall notify it simultaneously to
the European Parliament and to the Council.
Article 20
Monitoring and evaluation
1. By [four years after the date of entry into force of this Regulation], and every four
years thereafter, the Commission shall produce a report containing an overall
evaluation of this Regulation, including an assessment of:
(a) the application of this Regulation;
(b) the extent to which this Regulation achieved its objectives;
(c) the impact of this Regulation on the fundamental rights protected under Union
law;
(d) The Commission shall submit the evaluation report to the European
Parliament, the Council, the European Data Protection Supervisor and the
European Agency for Fundamental Rights. If appropriate, in light of the
evaluation conducted, the Commission shall make a legislative proposal to the
European Parliament and to the Council with a view to amending this
Regulation.
2. The Member States and air carriers shall, upon request, provide the Commission with
the information necessary to draft the report referred to in paragraph 1. However,
Member States may refrain from providing such information if, and to the extent,
necessary not to disclose confidential working methods or jeopardise ongoing
investigations of their PIUs or other law enforcement authorities. The Commission
shall ensure that any confidential information provided is appropriately protected.
EN 28 EN
Article 21
Entry into force and application
This Regulation shall enter into force on the twentieth day following that of its publication in
the Official Journal of the European Union.
It shall apply from two years from the date at which the router starts operations, specified by
the Commission in accordance with Article 27 of Regulation (EU) [API border management].
However, Article 4(5) and (9), Article 5(3), Article 10(2), Article 11(2) and Article 19 shall
apply from [Date of entry into force of this Regulation].
This Regulation shall be binding in its entirety and directly applicable in the Member States in
accordance with the Treaties.
Done at Strasbourg,
For the European Parliament For the Council
The President The President
EN 29 EN
LEGISLATIVE FINANCIAL STATEMENT
The financial implications of this proposal are covered by the joint legislative financial statement
annexed to the proposal for Regulation (EU) [API border management].


DA DA
EUROPA-
KOMMISSIONEN
Strasbourg, den 13.12.2022
COM(2022) 731 final
2022/0425 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på
at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet,
og om ændring af forordning (EU) 2019/818
{SWD(2022) 424 final}
Offentligt
KOM (2022) 0731 - Forslag til forordning
Europaudvalget 2022
DA 1 DA
BEGRUNDELSE
1. BAGGRUND FOR FORSLAGET
• Forslagets begrundelse og formål
I de seneste ti år har EU og andre dele af verden oplevet en stigning i grov og organiseret
kriminalitet. Ifølge Europols trusselsvurdering af grov og organiseret kriminalitet (EU Serious
and Organised Crime Threat Assessment) indebærer det meste af den organiserede
kriminalitet international rejseaktivitet, typisk med henblik på at smugle personer, narkotika
eller andre ulovlige varer ind i EU. Bl.a. benytter kriminelle ofte EU's vigtigste lufthavne
samt mindre regionale lufthavne, hvor lavprisluftfartsselskaber opererer1
. Ligeledes viser
Europols rapport om situationen og tendenserne med hensyn til terrorisme (EU Terrorism
Situation and Trend Report), at terrortruslen i EU fortsat er reel og alvorlig2
, og påpeger, at de
fleste terroraktiviteter rækker ud over landegrænserne og indebærer enten internationale
kontakter eller rejseaktivitet uden for EU. I den forbindelse er oplysninger om flyrejsende et
vigtigt værktøj for de retshåndhævende myndigheder til bekæmpelse af grov kriminalitet og
terrorisme i EU.
Data om flyrejsende omfatter forhåndsinformation om passagerer (API) og
passagerlisteoplysninger (PNR), der, når de anvendes sammen, er særligt effektive til at
identificere højrisikorejsende og til at afdække mistænkte personers rejsemønster. Når en
passager køber en billet hos et luftfartsselskab, genereres en PNR af flyselskabernes
reservationssystemer til deres egen forretningsmæssige brug. De omfatter oplysninger om den
fuldstændige rejseplan, betalingsoplysninger, kontaktoplysninger og særlige ønsker fra
passageren. Hvis der foreligger en forpligtelse dertil, sendes disse PNR-oplysninger til
passageroplysningsenheden i bestemmelseslandet og ofte afgangslandet.
I EU blev PNR-direktivet3 vedtaget i 2016 for at sikre, at alle medlemsstater fastsætter regler
for indsamling af PNR-oplysninger fra luftfartsselskaber for at forebygge, opdage, efterforske
og retsforfølge terrorhandlinger og grov kriminalitet, uden at det berører eksisterende EU-
regler om luftfartsselskabers forpligtelse til at indsamle API-oplysninger som fastsat i API-
direktivet4. I henhold til PNR-direktivet skal medlemsstaterne vedtage alle nødvendige
foranstaltninger for at sikre, at luftfartsselskaber videregiver PNR-oplysninger, i det omfang
de allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter.
PNR-direktivet giver mulighed for fælles behandling af både API-oplysninger og PNR-
oplysninger, idet dets definition af PNR-oplysninger omfatter "eventuelt indsamlede
forhåndsoplysninger om passagerer (API-oplysninger)"5. I henhold til PNR-direktivet er
luftfartsselskaberne imidlertid ikke forpligtet til at indsamle oplysninger, der falder uden for
deres normale forretningsaktiviteter. PNR-direktivet fører derfor ikke til indsamling af alle
1
Europol, Serious and Organised Threat Assessment (trusselsvurdering af grov og organiseret
kriminalitet — SOCTA), 2021
https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf.
2
Europol, rapport om situationen og tendenserne med hensyn til terrorisme (TE-SAT), 2021
https://www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf.
3
Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af
passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge
terrorhandlinger og grov kriminalitet.
4
Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende
oplysninger om passagerer.
5
Se punkt 18 i bilag 1 til direktiv (EU) 2016/681.
DA 2 DA
API-oplysninger, da indsamling af sådanne oplysninger ikke er nødvendig for
luftfartsselskabernes forretningsmæssige brug.
Kun hvis der foreligger en forpligtelse dertil, indsamles API-oplysninger af luftfartsselskabet
ved indtjekning af passageren (indtjekning online og i lufthavnen). De sendes derefter til de
kompetente grænsekontrolmyndigheder som en komplet "passagerliste" med oplysninger om
alle passagerer om bord ved flyets afgang. Mens API-oplysninger betragtes som
"verificerede" oplysninger, da de vedrører rejsende, der i sidste ende gik om bord på flyet, og
desuden kan benyttes af de retshåndhævende myndigheder til at identificere mistænkte og
eftersøgte personer, er PNR-oplysninger "uverificerede" oplysninger, som passagererne
fremlægger. PNR-oplysningerne om en bestemt passager indeholder normalt ikke alle
eventuelle PNR-elementer, men kun dem, som passageren har fremlagt, og/eller som er
nødvendige for reservationen og derfor som led i luftfartsselskabets normale
forretningsaktiviteter.
Siden vedtagelsen af API-direktivet i 2004 har der været global konsensus om, at API-
oplysninger ikke kun er et vigtigt redskab til grænseforvaltning, men også et vigtigt redskab
med hensyn til retshåndhævelse, navnlig bekæmpelse af grov kriminalitet og terrorisme. På
internationalt plan har FN's Sikkerhedsråds resolutioner således siden 2014 gentagne gange
opfordret til oprettelse og global indførelse af API- og PNR-systemer med henblik på
retshåndhævelse6
. Desuden bekræfter forpligtelsen blandt de deltagende stater i
Organisationen for Sikkerhed og Samarbejde i Europa (OSCE) til at oprette API-systemer,
hvor vigtigt det er at kunne anvende disse oplysninger i forbindelse med bekæmpelse af
terrorisme og grænseoverskridende kriminalitet. 7
Som det fremgår af Kommissionens rapport om revision af PNR-direktivet, gør de
kompetente retshåndhævende myndigheders fælles behandling af API- og PNR-oplysninger
— dvs. at de PNR-oplysninger, der indsamles af luftfartsselskaber som led i deres normale
forretningsaktiviteter og videregives til de kompetente retshåndhævende myndigheder,
suppleres med en forpligtelse for luftfartsselskaberne til at indsamle og videregive API-
oplysninger — bekæmpelsen af grov kriminalitet og terrorisme i EU langt mere effektiv8
. Den
kombinerede anvendelse af API- og PNR-oplysninger gør det muligt for de kompetente
nationale myndigheder at bekræfte passagerernes identitet og forbedrer PNR-oplysningernes
pålidelighed betydeligt. En sådan kombineret anvendelse forud for en passagers ankomst gør
det også muligt for de retshåndhævende myndigheder at foretage en vurdering og en nærmere
kontrol udelukkende af de personer, som det på grundlag af objektive vurderingskriterier og
tidligere erfaringer og i overensstemmelse med gældende lovgivning er mest sandsynligt
udgør en trussel mod sikkerheden. Det gør det lettere for alle andre passagerer at rejse og
mindsker risikoen for, at passagerer ved indrejse kontrolleres af de kompetente myndigheder
på grundlag af ulovlige kriterier såsom race eller etnisk oprindelse, som de retshåndhævende
myndigheder på fejlagtig vis kan associere med sikkerhedsrisici.
6
FN's Sikkerhedsråds resolution 2178 (2014), 2309 (2016), 2396 (2017) og 2482 (2019), samt OSCE's
Ministerråds beslutning 6/16 af 9. december 2016 om fremme af anvendelsen af forhåndsinformation
om passagerer.
7
OSCE's Ministerråds beslutning 6/16 af 9. december 2016 om fremme af anvendelsen af
forhåndsinformation om passagerer.
8
Det ledsagende arbejdsdokument fra Kommissionens tjenestegrene til rapporten om revision af direktiv
2016/681 (SWD(2020) 128 final).
DA 3 DA
EU's nuværende retlige ramme regulerer imidlertid kun anvendelsen af PNR-oplysninger til
bekæmpelse af grov kriminalitet og terrorisme, men regulerer ikke specifikt API-oplysninger,
som der kun kan anmodes om for flyvninger fra tredjelande, hvilket fører til huller i
sikkerheden, navnlig for så vidt angår flyvninger inden for EU, som medlemsstaterne
anmoder luftfartsselskaber om at videregive PNR-oplysninger om.
Passageroplysningsenhederne opnår de mest effektive operationelle resultater på flyvninger,
hvor der indsamles både API- og PNR-oplysninger. Det betyder, at de kompetente
retshåndhævende myndigheder ikke kan drage fordel af resultaterne af den fælles behandling
af API- og PNR-oplysninger om flyvninger inden for EU, hvor kun PNR-oplysninger
videregives.
For at lukke dette hul blev der i Kommissionens strategi for et fuldt fungerende og robust
Schengenområde fra juni 2021 opfordret til, at der i højere grad gøres brug af API-
oplysninger i kombination med PNR-oplysninger for flyvninger inden for Schengenområdet
for at forbedre den indre sikkerhed væsentligt, under overholdelse af den grundlæggende ret
til beskyttelse af personoplysninger og den grundlæggende ret til fri bevægelighed9
.
Formålet med forslaget til forordning er derfor at fastsætte bedre regler for luftfartsselskabers
indsamling og videregivelse af API-oplysninger med henblik på at forebygge, opdage,
efterforske og retsforfølge terrorhandlinger og grov kriminalitet. For at sikre
overensstemmelse med de relevante grundlæggende rettigheder, der er nedfældet i EU's
charter om grundlæggende rettigheder ("chartret"), navnlig retten til privatlivets fred og til
beskyttelse af personoplysninger og de deraf følgende krav om nødvendighed og
proportionalitet, er forslaget, som nærmere forklaret nedenfor, nøje begrænset med hensyn til
anvendelsesområde og indeholder strenge begrænsninger og garantier for beskyttelse af
personoplysninger.
• Sammenhæng med de gældende regler på samme område
De foreslåede regler for indsamling og videregivelse af API-oplysninger med henblik på at
forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet er i
overensstemmelse med de gældende regler for behandling af PNR-oplysninger, jf. PNR-
direktivet10
. Den Europæiske Unions Domstols fortolkninger i dens seneste retspraksis tages i
betragtning, navnlig det, som er præciseret i denne retspraksis vedrørende behandling af PNR-
oplysninger for så vidt angår flyvninger inden for EU, hvorefter videregivelse af PNR-
oplysninger om flyvninger inden for EU til medlemsstaternes kompetente myndigheder skal
være selektiv og ikke kan være systematisk, medmindre det er begrundet i en reel og aktuel
eller forudsigelig terrortrussel11
.
I det omfang, der er en eventuel overlapning mellem forslaget til forordning og reglerne i
PNR-direktivet, under hensyntagen til, at definitionen — som beskrevet — af PNR-
oplysninger i nævnte direktiv omfatter "eventuelt indsamlede forhåndsoplysninger om
passagerer (API-oplysninger)", har forslaget til forordning forrang, i betragtning af at den
både er lex specialis og lex posterior. Selv om medlemsstaterne i henhold til PNR-direktivet
skal vedtage alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber videregiver
9
COM(2021) 277 final af 2.6.2021.
10
PNR-direktivet indeholder bestemmelser om behandlingen af oplysningerne såsom om de involverede
kompetente myndigheder (artikel 7), længden af dataopbevaringsperioden (artikel 12) og beskyttelse af
personoplysninger (artikel 13).
11
Domstolens dom i sag C-817/19, Ligue des droits humains.
DA 4 DA
PNR-oplysninger, i det omfang de allerede har indsamlet disse oplysninger som led i deres
normale forretningsaktiviteter, indeholder forslaget til forordning bestemmelser om, at
luftfartsselskaberne er forpligtet til at indsamle API-oplysninger i særlige situationer og
videregive disse oplysninger på en bestemt måde. Forslaget til forordning supplerer derfor
PNR-direktivet, idet den sikrer, at i de tilfælde, hvor de kompetente retshåndhævende
myndigheder — dvs. passageroplysningsenhederne — modtager PNR-oplysninger som
omhandlet i PNR-direktivet, er luftfartsselskaberne også forpligtet til at indsamle og
videregive API-oplysninger til disse kompetente myndigheder.
Efter videregivelsen af API-oplysninger til passageroplysningsenheder, jf. PNR-direktivet, er
reglerne for passageroplysningsenhedernes efterfølgende behandling af API-oplysningerne,
bortset fra de begrænsede krav i denne henseende, der er fastsat i forslaget til en forordning,
dem, der er fastsat i PNR-direktivet. Som nævnt giver PNR-direktivet mulighed for fælles
behandling af API-oplysninger og PNR-oplysninger, idet dets definition af PNR-oplysninger
omfatter "eventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger)", og
dermed også de API-oplysninger, som passageroplysningsenhederne modtager ifølge
forslaget til forordning. Derfor finder bestemmelserne i artikel 6 og artikel 9 ff. i PNR-
direktivet anvendelse i forbindelse med bl.a. spørgsmål i tilknytning til de præcise formål med
behandling, opbevaringsperioder, sletning, udveksling af oplysninger, medlemsstaternes
videregivelse af oplysninger til tredjelande og særlige bestemmelser om beskyttelse af disse
personoplysninger.
Desuden finder almindeligt gældende EU-retsakter anvendelse i overensstemmelse med de
betingelser, som er fastsat deri. For så vidt angår behandlingen af personoplysninger, gælder
dette navnlig for Den generelle forordning om databeskyttelse12, direktivet om databeskyttelse
på retshåndhævelsesområdet ("retshåndhævelsesdirektivet")13
samt EU's
databeskyttelsesforordning14
. Disse retsakter berøres ikke af dette forslag.
Anvendelsen af ovennævnte EU-retsakter med hensyn til behandlingen af de API-
oplysninger, som modtages i henhold til denne forordning, betyder, at medlemsstaterne
gennemfører EU-retten i henhold til chartrets artikel 51, stk. 1, hvilket betyder, at chartrets
regler også finder anvendelse. Reglerne i disse EU-retsakter skal navnlig fortolkes i lyset af
chartret.
For at sikre overensstemmelse med de regler, der er fastsat i forslaget til forordning om
indsamling og videregivelse af API-oplysninger i forbindelse med grænsekontrol og
effektivisering af videregivelsen af API-oplysninger, indeholder dette forslag bestemmelser
om, at luftfartsselskaberne er forpligtet til at indsamle det samme sæt API-oplysninger og
videregive dem til den samme router, der er oprettet i henhold til det andet forslag til en
forordning.
12
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger.
13
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på
at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige
sanktioner og om fri udveksling af sådanne oplysninger.
14
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer,
kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF)
nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
DA 5 DA
Indsamlingen af API-oplysninger fra rejsedokumenter er også i overensstemmelse med
ICAO's retningslinjer for maskinlæsbare rejsedokumenter15
, som er gennemført ved
forordning 2019/1157 om styrkelse af sikkerheden af unionsborgeres identitetskort, Rådets
direktiv 2019/997 om EU-nødpas og forordning 2252/2004 om standarder for
sikkerhedselementer og biometriske identifikatorer i pas. Disse forordninger er forløberne for
automatisk udtrækning af fuldstændige data og data af høj kvalitet fra rejsedokumenter.
2. RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG
PROPORTIONALITETSPRINCIPPET
• Retsgrundlag
Det relevante retsgrundlag for dette forslag til en forordning om indsamling og videregivelse
af API-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge
terrorhandlinger og grov kriminalitet, er, under henvisning til dens mål og foranstaltningerne
deri, artikel 82, stk. 1, litra d), og artikel 87, stk. 2, litra a), i traktaten om Den Europæiske
Unions funktionsmåde (TEUF).
I henhold til artikel 82, stk. 1, litra d), i TEUF har Unionen kompetence til at vedtage
foranstaltninger for at fremme samarbejdet mellem retsmyndigheder eller tilsvarende
myndigheder i medlemsstaterne i forbindelse med strafforfølgning og fuldbyrdelse af
afgørelser. I henhold til artikel 87, stk. 2, litra a), i TEUF har Unionen kompetence til at
vedtage foranstaltninger om indsamling, lagring, behandling, analyse og udveksling af
relevante oplysninger med henblik på politisamarbejde i EU.
Derfor er det retsgrundlag, der finder anvendelse på dette forslag, det samme som det, der
finder anvendelse for PNR-direktivet, hvilket er relevant i betragtning af, at forslaget til
forordning både forfølger stort set det samme mål og sigter mod at supplere PNR-direktivet.
• Nærhedsprincippet
De retshåndhævende myndigheder skal have effektive redskaber til at bekæmpe terrorisme og
grov kriminalitet. Da de fleste grove forbrydelser og terrorhandlinger involverer international
rejseaktivitet, ofte med fly, har PNR-oplysninger vist sig at være meget effektive til at
beskytte EU's interne sikkerhed. Desuden afhænger de efterforskninger med henblik på at
forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, som
medlemsstaternes myndigheder foretager, i høj grad af det internationale samarbejde på tværs
af grænserne.
I et område uden kontrol ved de indre grænser, er medlemsstaternes indsamling, behandling
og udveksling af passageroplysninger, herunder PNR- og API-oplysninger, også effektive
kompensationsforanstaltninger. Ved at sikre, at der sker en sammenhængende indsats på EU-
plan, vil forslaget bidrage til at øge sikkerheden i EU-medlemsstaterne og dermed i EU som
helhed.
API-direktivet er en del af Schengenreglerne vedrørende passage af de ydre grænser. Det
regulerer derfor ikke indsamlingen og videregivelsen af API-oplysninger om flyvninger inden
for EU. Da der ikke findes API-oplysninger til at supplere PNR-oplysningerne med hensyn til
disse flyvninger, har medlemsstaterne gennemført en lang række forskellige foranstaltninger,
der tager sigte på at kompensere for manglende oplysninger om passagerernes identitet. Dette
omfatter fysiske kontroller med henblik på at kontrollere, at der er overensstemmelse mellem
15
ICAO, Dokument 9303, Machine Readable Travel Documents, 8. udgave, 2021, tilgængelig på:
https://www.icao.int/publications/documents/9303_p1_cons_en.pdf.
DA 6 DA
identitetsoplysningerne i rejsedokumentet og på boardingkortet, hvilket skaber nye
problemstillinger uden at løse det underliggende problem ved ikke at have API-oplysninger.
En indsats på EU-plan vil hjælpe med at sikre harmoniseringen af bestemmelserne om at
garantere grundlæggende rettigheder, navnlig beskyttelse af personoplysninger, i
medlemsstaterne. De forskellige systemer i de medlemsstater, der allerede har oprettet
lignende mekanismer, eller som vil gøre det fremover, kan have negative følger for
luftfartsselskaberne, da de skal overholde divergerende nationale krav, f.eks. vedrørende de
typer oplysninger, der skal videregives, og betingelserne for, hvornår disse oplysninger skal
forelægges for medlemsstaterne. Disse forskelle skader også det effektive samarbejde mellem
medlemsstaterne med henblik på at forebygge, opdage, efterforske og retsforfølge
terrorhandlinger og grov kriminalitet. Sådanne harmoniserede regler kan kun fastsættes på
EU-plan.
Målene for dette direktiv kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan
bedre nås på EU-plan; det kan derfor konkluderes, at EU er både berettiget til og bedre i stand
til at handle end medlemsstaterne enkeltvis. Forslaget er derfor i overensstemmelse med
nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union.
• Proportionalitetsprincippet
I henhold til proportionalitetsprincippet, som er fastsat i artikel 5, stk. 4, i TEU, er der behov
for at afpasse arten og intensiteten af en given foranstaltning efter det konstaterede problem.
Alle de problemer, der behandles i dette lovgivningsinitiativ, kræver på den ene eller anden
måde lovgivningsmæssige foranstaltninger på EU-plan, for at medlemsstaterne kan håndtere
dem effektivt.
De foreslåede regler for indsamling og videregivelse af API-oplysninger, som er omfattet af
strenge begrænsninger og garantier, vil styrke forebyggelsen, opdagelsen, efterforskningen og
retsforfølgningen af terrorhandlinger og grov kriminalitet. Derfor svarer de foreslåede regler
til et identificeret behov for at forbedre den indre sikkerhed og effektivt afhjælpe problemet,
der skyldes, at API- og PNR-oplysninger ikke behandles i fællesskab, herunder om de
flyvninger inden for EU, som medlemsstaterne modtager PNR-oplysninger om.
Forslagets anvendelsesområde er begrænset til, hvad der er strengt nødvendigt, dvs. til de
elementer, der kræver en harmoniseret tilgang på EU-plan, herunder de formål, hvortil
passageroplysningsenhederne kan anvende PNR-oplysninger, de oplysningselementer, det er
nødvendigt at indsamle, og de måder, hvorpå API-oplysninger om de rejsende indsamles og
videregives. Videregivelsen af API-oplysninger til routeren gør det mindre komplekst for
luftfartsselskaberne at opretholde forbindelsen med passageroplysningsenhederne og giver
stordriftsfordele, samtidig med at risikoen for fejl og misbrug mindskes. Formålet er
begrænset til terrorhandlinger og grov kriminalitet, som defineret i forslaget, grundet deres
grovhed og internationale dimension.
For at begrænse denne indgriben i passagerernes rettigheder til, hvad der er strengt
nødvendigt, er der fastsat en række garantier i forslaget. Mere specifikt er behandlingen af
API-oplysninger i henhold til forslaget til forordning begrænset til en udtømmende liste over
begrænsede API-oplysninger. Derudover må der ikke indsamles yderligere
identitetsoplysninger. Desuden indeholder forslaget til forordning kun regler om indsamling
og videregivelse af API-oplysninger via routeren til passageroplysningsenhederne til de
begrænsede formål, der er angivet heri, og regulerer ikke passageroplysningsenhedernes
videre behandling af API-oplysninger, da dette, som forklaret ovenfor, er omfattet af andre
EU-retsakter (PNR-direktivet, lov om beskyttelse af personoplysninger, chartret). Routerens
funktionalitet og navnlig dens evne til at indsamle og videregive omfattende statistiske
DA 7 DA
oplysninger understøtter også luftfartsselskabernes og passageroplysningsenhedernes
overvågning af gennemførelsen af denne forordning. Der er også fastsat visse specifikke
garantier, f.eks. regler om registrering, beskyttelse af personoplysninger og sikkerhed.
For at sikre, at databehandlingen er nødvendig og forholdsmæssig, som omhandlet i forslaget
til forordning, og mere specifikt for så vidt angår indsamlingen og videregivelsen af API-
oplysninger om flyvninger inden for EU, modtager medlemsstaterne kun API-oplysninger for
de flyvninger inden for EU, som de har udvalgt i overensstemmelse med EU-Domstolens
retspraksis, jf. ovenfor. Endvidere vil passageroplysningsenhedernes videre behandling af
API-oplysninger være underlagt de begrænsninger og garantier, der er fastsat i PNR-
direktivet, som fortolket af EU-Domstolen i sagen Ligue des droits humains16
i lyset af
chartret.
• Valg af retsakt
Den foreslåede foranstaltning er en forordning. I betragtning af behovet for at de foreslåede
foranstaltninger skal være direkte anvendelige og anvendes ens i alle medlemsstater, er en
forordning derfor et hensigtsmæssigt valg af retsakt.
3. RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF
INTERESSEREDE PARTER OG KONSEKVENSANALYSER
• Efterfølgende evaluering af eksisterende lovgivning
API-direktivet er ikke til hinder for behandling af API-oplysninger med henblik på
retshåndhævelse som omhandlet i national lovgivning og i overensstemmelse med kravene
om beskyttelse af personoplysninger. Denne mulighed er imidlertid problematisk at
gennemføre på tværs af medlemsstaterne, hvilket fremgår af evalueringen af API-direktivet,
idet det fører til huller i sikkerheden på grund af manglende fastsættelse af kriterier i EU for
indsamling og videregivelse af API-oplysninger med henblik på retshåndhævelse17
:
– Retshåndhævelsesformålet fortolkes bredt i nogle medlemsstaters nationale
lovgivning og omfatter alt fra administrative overtrædelser, forbedring af den indre
sikkerhed og den offentlige orden til bekæmpelse af terrorisme og beskyttelse af
nationale sikkerhedsinteresser. Evalueringen af API-direktivet viste også, at en
effektiv brug af API-oplysninger til retshåndhævelse ville kræve en specifik retsakt
til dette særlige formål18
.
– De forskellige formål med at indsamle API-oplysninger gør det mere kompliceret at
sikre overholdelse af EU's ramme for beskyttelse af personoplysninger. Kravet om
sletning af API-oplysninger inden for 24 timer er kun fastsat i tilfælde af, at API-
oplysninger anvendes til hovedformålet i API-direktivet, nemlig forvaltning af de
ydre grænser. Det er ikke klart, om dette krav også gælder for behandling, der
foretages med henblik på retshåndhævelse.
– De API-oplysninger, som luftfartsselskaberne kan anmode om med henblik på
retshåndhævelse, ud over nogle medlemsstaters praksis med at anmode om API-
16
Domstolens dom 21. juni 2022, sag C-817/19, Ligue des droits humains.
17
Arbejdsdokument fra Europa-Kommissionens tjenestegrene, evaluering af Rådets direktiv 2004/82/EF
om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (API-direktivet),
Bruxelles, 8.9.2020 (SWD(2020) 174 final, s. 26 og 43).
18
SWD(2020) 174, s. 57.
DA 8 DA
oplysninger, der rækker ud over den ikke-udtømmende liste i API-direktivet, skaber
yderligere hindringer for luftfartsselskaberne med hensyn til at overholde de
forskellige krav, når de transporterer passagerer til EU.
– På samme måde indeholder API-direktivet ikke nogen bestemmelser om, for hvilke
flyvninger der kan anmodes om API-oplysninger, eller til hvilken myndighed API-
oplysninger skal videregives, eller om betingelserne for adgang til sådanne
oplysninger med henblik på retshåndhævelse.
• Høringer af interesserede parter
Ved udarbejdelsen af dette forslag hørtes en lang række berørte interessenter, herunder
medlemsstaternes myndigheder (de kompetente grænsekontrolmyndigheder og
passageroplysningsenhederne), repræsentanter for luftfartsindustrien samt individuelle
luftfartsselskaber. EU-agenturer — såsom Det Europæiske Agentur for Grænse- og
Kystbevogtning (Frontex), Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde
(Europol), Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-
Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) og EU's
Agentur for Grundlæggende Rettigheder (FRA) — gav også input. Dette initiativ integrerer
også de synspunkter og den feedback, der blev modtaget under den offentlige høring, som
blev gennemført ved udgangen af 2019 inden for rammerne af evalueringen af API-
direktivet19
.
Høringsaktiviteter i forbindelse med udarbejdelsen af den konsekvensanalyse, der ligger til
grund for dette forslag, indsamlede feedback fra interessenter ved hjælp af forskellige
metoder. Disse aktiviteter omfattede bl.a. en indledende konsekvensanalyse, en ekstern
understøttende undersøgelse og en række tekniske workshopper.
En indledende konsekvensanalyse blev offentliggjort og var åben for feedback fra den 5. juni
2020 til den 14. august 2020, og der blev modtaget i alt syv bidrag med feedback om
udvidelsen af anvendelsesområdet for det fremtidige API-direktiv, datakvalitet, sanktioner,
sammenhæng mellem API-oplysninger og PNR-oplysninger samt beskyttelse af
personoplysninger20.
Den eksterne understøttende undersøgelse blev foretaget på baggrund af
skrivebordsundersøgelser, interview med og undersøgelser af fageksperter, der undersøgte
forskellige mulige foranstaltninger til behandling af API-oplysninger med klare regler, der
letter lovlig rejseaktivitet og er i overensstemmelse med interoperabiliteten mellem EU's
informationssystemer, EU's krav til beskyttelse af personoplysninger og andre eksisterende
EU-instrumenter og internationale standarder.
Kommissionens tjenestegrene afholdt også en række tekniske workshopper med eksperter fra
medlemsstaterne og de associerede Schengenlande. Disse workshopper havde til formål at
samle eksperter til udveksling af synspunkter om de mulige løsninger, der var planlagt for at
styrke den fremtidige API-ramme for grænseforvaltning samt for at bekæmpe kriminalitet og
terrorisme.
Den ledsagende konsekvensanalyse indeholder en mere detaljeret beskrivelse af høringen af
interessenter (bilag 2).
19
SWD(2020) 174.
20
https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Border-law-
enforcement-advance-air-passenger-information-API-revised-rules_da.
DA 9 DA
• Konsekvensanalyse
I overensstemmelse med retningslinjerne for bedre regulering har Kommissionen foretaget en
konsekvensanalyse, som beskrevet i det ledsagende arbejdsdokument fra Kommissionens
tjenestegrene [reference]. Udvalget for Forskriftskontrol gennemgik udkastet til
konsekvensanalyse på mødet den 28. september 2022 og afgav en positiv udtalelse den 30.
september 2022.
Som følge af de konstaterede problemer med hensyn til indsamling og videregivelse af API-
oplysninger, blev forskellige løsningsmodeller for anvendelsesområdet for indsamling af API-
oplysninger til forvaltning af de ydre grænser og retshåndhævelse samt mulighederne for at
forbedre kvaliteten af API-oplysninger evalueret i konsekvensanalysen. Hvad angår
indsamling af API-oplysninger med henblik på retshåndhævelse, blev der i forbindelse med
konsekvensanalysen på den ene side overvejet indsamling af API-oplysninger om alle
flyvninger uden for EU og på den anden side indsamling af API-oplysninger om alle
flyvninger uden for EU og om udvalgte flyvninger inden for EU. I forbindelse med
konsekvensanalysen blev mulighederne for at forbedre kvaliteten af API-oplysninger, enten
ved at indsamle API-oplysninger ved hjælp af automatiserede og manuelle midler eller ved
kun at indsamle API-oplysninger ved hjælp af automatiserede midler, også overvejet.
På baggrund af konklusionerne i konsekvensanalyserapporten omfatter den foretrukne løsning
til en API-retsakt med henblik på retshåndhævelse indsamling af API-oplysninger om alle
flyvninger til og uden for EU samt om udvalgte flyvninger inden for EU, hvorom PNR-
oplysninger videregives. Dette vil styrke robustheden af den nødvendige analyse af relevante
data vedrørende flyrejsende betydeligt i bekæmpelsen af grov kriminalitet og terrorisme, idet
passageroplysningsenhederne kan drage fordel af API-oplysninger, der er verificeret og
dermed af højere kvalitet, med henblik på at identificere personer, der er involveret i grov
kriminalitet eller terrorisme. Indsamling og videregivelse af API-oplysninger med henblik på
retshåndhævelse bygger på de muligheder, der er udviklet til videregivelse af API-oplysninger
via routeren til forvaltning af de ydre grænser, uden yderligere omkostninger for eu-LISA.
Luftfartsselskaberne videregiver kun API-oplysninger til routeren, som herefter sender disse
data til hver af de berørte medlemsstaters passageroplysningsenheder. I konsekvensanalysen
konkluderes det, at dette er en omkostningseffektiv løsning for luftfartsselskaberne, idet en
del af luftfartsselskabernes omkostninger til videregivelse reduceres, samtidig med at risikoen
for fejl og misbrug begrænses. I modsætning til den nuværende situation vil
luftfartsselskaberne dog i henhold til forslaget til forordning skulle indsamle og videregive
API-oplysninger om alle de flyvninger, der er omfattet, uanset deres behov for normale
forretningsaktiviteter, herunder også flyvninger uden for EU. Forslaget er i overensstemmelse
med målet om klimaneutralitet, der er fastsat i den europæiske klimalov21
samt Unionens mål
for 2030 og 2040.
• Grundlæggende rettigheder
Dette initiativ indeholder bestemmelser om behandling af rejsendes personoplysninger og
begrænser derfor udøvelsen af den grundlæggende ret til beskyttelse af personoplysninger,
som garanteres ved chartrets artikel 8 og artikel 16 i TEUF. Som understreget af Den
Europæiske Unions Domstol (Domstolen)22
, er retten til beskyttelse af personoplysninger ikke
21
Artikel 2, stk. 1, i forordning (EU) 2021/1119 af 30. juni 2021 om fastlæggelse af rammerne for at opnå
klimaneutralitet ("den europæiske klimalov").
22
Domstolens dom af 9.11.2010, forenede sager C-92/09 og C-93/09, Volker under Markus Schecke og
Eifert [2010] ECR I-0000.
DA 10 DA
en absolut ret, men enhver begrænsning skal ses i sammenhæng med sin funktion i samfundet
og opfylde kriterierne i chartrets artikel 52, stk. 123
. Beskyttelse af personoplysninger er også
tæt forbundet med respekt for retten til privatlivets fred som en del af retten til privatliv og
familieliv, som fastsat i chartrets artikel 7.
For så vidt angår indsamling og videregivelse af API-oplysninger om udvalgte flyvninger
inden for EU, berører dette initiativ også udøvelsen af den grundlæggende ret til fri
bevægelighed, som omhandlet i chartrets artikel 45 og artikel 21 i TEUF. Ifølge Domstolen
kan en hindring for personers frie bevægelighed kun være begrundet, hvis den er baseret på
objektive almene hensyn og står i et rimeligt forhold til det formål, der lovligt tilstræbes med
den nationale lovgivning24
.
I henhold til denne forordning kan indsamling og videregivelse af API-oplysninger kun ske
med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov
kriminalitet som defineret i PNR-direktivet. Bestemmelserne i dette forslag fastsætter
ensartede kriterier for indsamlingen og videregivelsen af API-oplysninger om flyvninger uden
for EU (ind- og udgående) på den ene side og udvalgte flyvninger inden for EU på den anden
side på baggrund af en vurdering, der foretages af medlemsstaterne og revideres
regelmæssigt, i overensstemmelse med de af Domstolen fastsatte krav i sagen Ligue des droits
humains. Luftfartsselskabernes forpligtelse til at indsamle og videregive API-oplysninger til
routeren omfatter alle flyvninger inden for EU. Overførslen fra routeren til
passageroplysningsenhederne er en teknisk løsning, der har til formål at begrænse
videregivelsen af API-oplysninger til passageroplysningsenhederne til kun at omfatte udvalgte
flyvninger uden at videregive fortrolige oplysninger om, hvilke flyvninger inden for EU der er
udvalgt. Sådanne oplysninger skal behandles fortroligt i betragtning af risikoen for omgåelse,
hvis de gøres kendt for offentligheden eller, mere specifikt, for personer, der er involveret i
grov kriminalitet eller terrorhandlinger.
Luftfartsselskabernes obligatoriske anvendelse af automatiserede metoder til at indsamle visse
API-oplysninger fra rejsende kan medføre risici, bl.a. med hensyn til beskyttelse af
personoplysninger. Sådanne risici er dog blevet begrænset og afbødet. For det første gælder
kravet kun for visse API-oplysninger, hvor automatisk behandling kan ske ansvarligt, dvs. for
maskinlæsbare dele af de rejsendes dokumenter. For det andet indeholder forslaget til
forordning krav til den automatiske behandling, som skal uddybes i en delegeret retsakt.
Endelig er der fastsat en række garantier, f.eks. logning, særlige regler for beskyttelse af
personoplysninger og effektivt tilsyn.
Selv om forslaget til forordning, bortset fra bestemmelsen om overholdelse af princippet om
formålsbegrænsning, ikke ville regulere de kompetente grænsekontrolmyndigheders
anvendelse af de API-oplysninger, de modtager i henhold til denne bestemmelse, idet disse —
som forklaret ovenfor — allerede er omfattet af anden lovgivning, bemærkes det af hensyn til
klarhed i betragtningerne, at en sådan anvendelse ikke må føre til nogen form for
forskelsbehandling, som er udelukket i henhold til chartrets artikel 21.
23
I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af
retten til databeskyttelse, såfremt disse begrænsninger er fastlagt i lovgivningen og respekterer disse
rettigheders og friheders væsentligste indhold, og såfremt de under iagttagelse af
proportionalitetsprincippet er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt
af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.
24
Domstolens dom af 5. juni 2018, sag C-673/16, Coman.
DA 11 DA
4. VIRKNINGER FOR BUDGETTET
Dette lovgivningsmæssige initiativ om indsamling og videregivelse af API-oplysninger for at lette
kontrollen ved de ydre grænser og for at forebygge, opdage, efterforske og retsforfølge
terrorhandlinger og grov kriminalitet vil have indflydelse på budgettet og behovet for personale
hos eu-LISA og medlemsstaternes kompetente myndigheder.
For eu-LISA anslås det, at der vil være behov for et yderligere budget på ca. 45 mio. EUR (33
mio. EUR i henhold til den nuværende FFR) til etablering af routeren og 9 mio. EUR om året fra
2029 for den tekniske forvaltning heraf, og at der vil være brug for omkring 27 ekstra stillinger for
at sikre, at eu-LISA har de nødvendige ressourcer til at varetage sine opgaver, som omhandlet i
dette forslag til forordning og i forslaget til forordning om indsamling og videregivelse af API-
oplysninger for at lette kontrollen ved de ydre grænser.
For så vidt angår medlemsstaterne anslås det, at passageroplysningsenhederne kan være berettiget
til en godtgørelse på 11 mio. EUR (3 mio. EUR i henhold til den nuværende flerårige finansielle
ramme), som er afsat til opgradering af de nødvendige nationale systemer og infrastrukturer, fra
Fonden for Intern Sikkerhed25
, og fra 2028 og frem, gradvist op til ca. 2 mio. EUR om året.
Enhver sådan ret skal i sidste ende fastsættes i overensstemmelse med reglerne vedrørende disse
midler, samt reglerne om omkostninger, som er indeholdt i forslaget til forordning.
I betragtning af sammenhængen mellem dette forslag til forordning og forslaget til forordning
om indsamling og videregivelse af API-oplysninger for at lette kontrollen ved de ydre
grænser, navnlig for så vidt angår videregivelse af API-oplysninger til routeren, er
finansieringsoversigten til forslaget i bilaget til dette forslag identisk med begge forslag.
5. ANDRE FORHOLD
• Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og
rapportering
Kommissionen vil sikre, at der træffes de nødvendige foranstaltninger til at overvåge, hvordan
de foreslåede foranstaltninger fungerer, og evaluere dem i forhold til de vigtigste politiske
mål. Fire år efter den foreslåede API-forordnings ikrafttrædelse, og hvert fjerde år derefter,
forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om vurdering af
gennemførelsen af forordningen og dens merværdi. I rapporten skal der også redegøres for
enhver direkte eller indirekte indvirkning på de grundlæggende rettigheder. Den vil gennemgå
de opnåede resultater set i forhold til målene og vurdere de grundlæggende princippers
fortsatte gyldighed og eventuelle konsekvenser for fremtidige muligheder.
Den obligatoriske karakter af luftfartsselskabernes forpligtelse til at indsamle API-oplysninger
om flyvninger uden for EU og udvalgte flyvninger inden for EU og indførelsen af API-
routeren vil give et klarere overblik over både luftfartsselskabernes videregivelse af API-
oplysninger og medlemsstaternes brug af API-oplysninger i overensstemmelse med gældende
national lovgivning og EU-lovgivning. Dette vil støtte Kommissionen i sin evaluerings- og
håndhævelsesopgave ved at tilvejebringe pålidelige statistikker over mængden af oplysninger,
der videregives og om de flyvninger, for hvilke der anmodes om API-oplysninger.
25
Europa-Parlamentets og Rådets forordning (EU) 2021/1149 af 7. juli 2021 om oprettelse af Fonden for
Intern Sikkerhed.
DA 12 DA
• Nærmere redegørelse for de enkelte bestemmelser i forslaget
Kapitel 1 indeholder de almindelige bestemmelser for denne forordning med udgangspunkt i
reglerne for dens genstand og anvendelsesområde. Det indeholder også en liste over
definitioner.
Kapitel 2 indeholder bestemmelser om luftfartsselskabers indsamling, overførsel til routeren
og sletning af API-oplysninger samt regler for overførsel af API-oplysninger fra routeren til
passageroplysningsenhederne.
Kapitel 3 indeholder specifikke bestemmelser om logfiler, specifikationer for, hvem der er
dataansvarlige i forbindelse med behandling af API-oplysninger, der udgør personoplysninger
i henhold til denne forordning, sikkerhed og luftfartsselskabernes og
passageroplysningsenhedernes egenkontrol.
Kapitel 4 indeholder endvidere regler om passageroplysningsenhedernes og
luftfartsselskabernes forbindelse og integration med routeren samt om medlemsstaternes
omkostninger i forbindelse hermed. Den indeholder også bestemmelser i forhold til en
situation, hvor det er delvist eller helt teknisk umuligt at anvende routeren og om
erstatningsansvar for skader på routeren.
Kapitel 5 indeholder bestemmelser om tilsyn, om eventuelle sanktioner i tilfælde af, at
luftfartsselskaberne ikke overholder deres forpligtelser i henhold til denne forordning, og
bestemmelser vedrørende Kommissionens udarbejdelse af en praktisk vejledning.
Kapitel 6 indeholder ændringer af andre eksisterende instrumenter, dvs. forordning (EU)
2019/818.
Kapitel 7 indeholder de endelige bestemmelser i denne forordning om vedtagelse af
delegerede retsakter, overvågning og evaluering af denne forordning samt dens ikrafttræden
og anvendelse.
DA 13 DA
2022/0425 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på
at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet,
og om ændring af forordning (EU) 2019/818
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 82,
stk. 1, litra d), og artikel 87, stk. 2, litra a),
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg26
,
efter den almindelige lovgivningsprocedure, og
ud fra følgende betragtninger:
(1) Den internationale dimension af grov og organiseret kriminalitet og den fortsatte
trussel om terrorangreb på europæisk jord kræver en indsats på EU-plan for at sikre, at
der vedtages passende sikkerhedsforanstaltninger, der giver borgerne et område med
frihed, sikkerhed og retfærdighed uden indre grænser. Oplysninger om flyrejsende,
såsom passagerlister (PNR) og især forhåndsinformation om passagerer (API), er
afgørende for at identificere højrisikorejsende, herunder dem, der ellers ikke er kendt
af de retshåndhævende myndigheder, og for at etablere forbindelser mellem
medlemmer af kriminelle grupper og bekæmpe terrorhandlinger.
(2) Selv om Rådets direktiv 2004/82/EF27
udgør en retlig ramme for luftfartsselskabers
indsamling og videregivelse af API-oplysninger med henblik på at forbedre
grænsekontrollen og bekæmpe ulovlig indvandring, fastslår det også, at
medlemsstaterne kan bruge API-oplysninger til retshåndhævelse. Men skabes der kun
en mulighed, kan det fører til flere huller og mangler. Det betyder navnlig, at API-
oplysninger ikke i alle tilfælde indsamles og videregives af luftfartsselskaber til disse
formål, selv om de er relevante til retshåndhævelsesformål. Det betyder også, at
luftfartsselskaberne, i de tilfælde hvor medlemsstaterne har benyttet muligheden, står
over for divergerende krav i henhold til national ret med hensyn til, hvornår og
hvordan de skal indsamle og videregive API-oplysninger til dette formål. Disse
forskelle fører ikke blot til unødige omkostninger og komplikationer for
luftfartsselskaberne, men de er også skadelige for Unionens indre sikkerhed og for et
effektivt samarbejde mellem medlemsstaternes kompetente retshåndhævende
myndigheder. I betragtning af de forskellige formål med at lette grænsekontrollen og
26
EUT C […] af […], s. […].
27
Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende
oplysninger om passagerer (EUT L 261 af 6.8.2004, s. 24).
DA 14 DA
retshåndhævelsen bør der desuden fastsættes en særskilt retlig ramme for indsamling
og videregivelse af API-oplysninger til hvert af disse formål.
(3) Ved Europa-Parlamentets og Rådets direktiv (EU) 2016/68128
fastsættes regler om
anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage,
efterforske og retsforfølge terrorhandlinger og grov kriminalitet. I henhold til nævnte
direktiv skal medlemsstaterne vedtage alle nødvendige foranstaltninger for at sikre, at
luftfartsselskaber videregiver PNR-oplysninger, herunder alle indsamlede API-
oplysninger, til den nationale passageroplysningsenhed, som er oprettet i henhold til
nævnte direktiv, i det omfang de allerede har indsamlet disse oplysninger som led i
deres normale forretningsaktiviteter. Direktivet sikrer derfor ikke indsamling og
videregivelse af API-oplysninger i alle tilfælde, da indsamling af alle disse
oplysninger ikke er nødvendig for luftfartsselskabernes forretningsmæssige brug. Det
er vigtigt at sikre, at passageroplysningsenhederne modtager API-oplysninger sammen
med PNR-oplysninger, da det er nødvendigt at behandle i fællesskab, hvis
medlemsstaternes kompetente retshåndhævende myndigheder effektivt skal kunne
forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet.
En sådan fælles behandling giver navnlig mulighed for nøjagtig identifikation af de
passagerer, der eventuelt skal undersøges yderligere af disse myndigheder i
overensstemmelse med gældende ret. Desuden redegøres der i nævnte direktiv ikke
nærmere for, hvilke oplysninger der udgør API-oplysninger. Der bør af disse årsager
derfor fastsættes supplerende regler med krav om, at luftfartsselskaber indsamler og
efterfølgende videregiver et specifikt defineret sæt API-oplysninger, og disse krav bør
finde anvendelse i det omfang luftfartsselskaberne i henhold til nævnte direktiv er
forpligtet til at indsamle og videregive PNR-oplysninger om samme flyvning.
(4) Det er derfor nødvendigt på EU-plan at fastsætte klare, harmoniserede og effektive
regler for indsamling og videregivelse af API-oplysninger med henblik på at
forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet.
(5) I betragtning af den tætte sammenhæng mellem de to retsakter bør denne forordning
forstås som et supplement til reglerne i direktiv (EU) 2016/681. API-oplysninger skal
derfor indsamles og videregives i overensstemmelse med de specifikke krav i denne
forordning, herunder med hensyn til de situationer og den måde, hvorpå dette skal ske.
Bestemmelserne i nævnte direktiv finder dog anvendelse for så vidt angår spørgsmål,
der ikke specifikt er omfattet af denne forordning, navnlig reglerne om den
efterfølgende behandling af API-oplysninger, som passageroplysningsenhederne
modtager, udveksling af oplysninger mellem medlemsstaterne, betingelserne for
adgang for Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde
(Europol), overførsel af personoplysninger til tredjelande, opbevaring og
anonymisering samt beskyttelse af personoplysninger. I det omfang disse regler finder
anvendelse, finder bestemmelserne i nævnte direktiv om sanktioner og de nationale
tilsynsmyndigheder også anvendelse. Denne forordning bør ikke berøre disse regler.
(6) Indsamlingen og videregivelsen af API-oplysninger påvirker enkeltpersoners privatliv
og indebærer behandling af personoplysninger. For fuldt ud at respektere de
grundlæggende rettigheder, navnlig retten til respekt for privatlivet og retten til
beskyttelse af personoplysninger, i overensstemmelse med Den Europæiske Unions
28
Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af
passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge
terrorhandlinger og grov kriminalitet (EUT L 119 af 4.5.2016, s. 132).
DA 15 DA
charter om grundlæggende rettigheder ("chartret"), bør der fastsættes passende
begrænsninger og garantier. I særdeleshed bør enhver behandling af API-oplysninger,
navnlig API-oplysninger, der udgør personoplysninger, forblive begrænset til, hvad
der er nødvendigt for og står i rimeligt forhold til at nå de mål, der forfølges med
denne forordning. Det bør endvidere sikres, at de API-oplysninger, der indsamles og
videregives i henhold til denne forordning, ikke fører til nogen form for
forskelsbehandling, der er udelukket af chartret.
(7) I betragtning af komplementariteten mellem denne forordning og direktiv (EU)
2016/681 bør luftfartsselskabernes forpligtelser i henhold til denne forordning finde
anvendelse på alle flyvninger, for hvilke medlemsstaterne skal stille krav om, at
luftfartsselskaberne videregiver PNR-oplysninger i henhold til direktiv (EU)
2016/681, f.eks. flyvninger, herunder både ruteflyvninger og ikkeruteflyvninger, både
mellem medlemsstater og tredjelande (flyvninger uden for EU) og mellem flere
medlemsstater (flyvninger inden for EU), i det omfang disse flyvninger er udvalgt i
overensstemmelse med direktiv (EU) 2016/681, uanset hvor de luftfartsselskaber, der
foretager disse flyvninger, har hjemsted.
(8) Da direktiv (EU) 2016/681 derfor ikke omfatter indenrigsflyvninger, dvs. flyvninger
med afrejse fra og ankomst til samme medlemsstats område uden mellemlanding i en
anden medlemsstats eller et tredjelands område, og i betragtning af den internationale
dimension af de terrorhandlinger og den grove kriminalitet, der er omfattet af denne
forordning, bør sådanne flyvninger heller ikke være omfattet af denne forordning.
Denne forordning bør ikke forstås således, at den berører medlemsstaternes mulighed
for i henhold til deres nationale ret og i overensstemmelse med EU-retten at fastsætte
forpligtelser for luftfartsselskaber om at indsamle og videregive API-oplysninger om
sådanne indenrigsflyvninger.
(9) I betragtning af den tætte sammenhæng mellem de berørte EU-retsakter og af hensyn
til konsekvensen og sammenhængen bør definitionerne i denne forordning i videst
muligt omfang bringes i overensstemmelse med og fortolkes og anvendes i lyset af
definitionerne i direktiv (EU) 2016/681 og forordning (EU) [API-oplysninger til
grænseforvaltning]29
.
(10) De oplysninger, der sammen udgør API-oplysninger, som skal indsamles og
efterfølgende videregives i henhold til denne forordning, bør navnlig være de
oplysninger, der klart og udtømmende er anført i forordning (EU) [API-oplysninger til
grænseforvaltning], og som omfatter både oplysninger om hver enkelt passager og
oplysninger om den pågældende rejsendes flyvning. I henhold til denne forordning bør
sådanne oplysninger om flyvninger kun omfatte oplysninger om det
grænseovergangsted, der vil blive benyttet med henblik på indrejse på den pågældende
medlemsstats område, når det er relevant, dvs. ikke når API-oplysningerne vedrører
flyvninger inden for EU.
(11) For så vidt muligt at sikre en konsekvent tilgang til luftfartsselskabernes indsamling og
videregivelse af API-oplysninger, bør reglerne i denne forordning bringes i
overensstemmelse med dem, der er fastsat i forordning (EU) [API-oplysninger til
grænseforvaltning], hvis det er relevant. Dette vedrører navnlig reglerne om
datakvalitet, luftfartsselskabernes brug af automatisk behandling til sådan indsamling,
den præcise måde, hvorpå de skal overføre de indsamlede API-oplysninger til
routeren, og sletningen af API-oplysninger.
29
EUT C […] af […], s. […].
DA 16 DA
(12) For at sikre fælles behandling af API-oplysninger og PNR-oplysninger med henblik på
effektivt at bekæmpe terrorisme og grov kriminalitet i Unionen og samtidig minimere
indgreb i passagerernes grundlæggende rettigheder, der er beskyttet i henhold til
chartret, bør passageroplysningsenhederne være de kompetente myndigheder i
medlemsstaterne, der har til opgave at modtage og efterfølgende behandle og beskytte
API-oplysninger, der indsamles og videregives i henhold til denne forordning. Af
hensyn til effektiviteten og for at minimere eventuelle sikkerhedsrisici bør routeren,
som den er designet, udviklet, hostet og teknisk vedligeholdt af Den Europæiske
Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for
Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) i henhold til forordning
(EU) [API-oplysninger til grænseforvaltning], overføre de API-oplysninger, som
luftfartsselskaberne har indsamlet og videregivet i overensstemmelse med denne
forordning, til de relevante passageroplysningsenheder. I betragtning af det
nødvendige beskyttelsesniveau for API-oplysninger, der udgør personoplysninger,
herunder for at sikre at de pågældende oplysninger behandles fortroligt, bør API-
oplysningerne overføres fra routeren til de relevante passageroplysningsenheder på en
automatiseret måde.
(13) Med hensyn til flyvninger uden for EU bør passageroplysningsenheden i den
medlemsstat, på hvis område landingen er planlagt, og/eller fra hvis område afgangen
vil foregå, modtage API-oplysninger fra routeren for alle disse flyvninger, da disse
PNR-oplysninger indsamles for alle disse flyvninger i overensstemmelse med direktiv
(EU) 2016/681. Routeren bør identificere flyvningen og de tilsvarende
passageroplysningsenheder ved hjælp af PNR-nummeret, et dataelement, der er fælles
for både API- og PNR-oplysninger, og som gør det muligt for
passageroplysningsenhederne at behandle API- og PNR-oplysninger i fællesskab.
(14) For så vidt angår flyvninger inden for EU bør der i overensstemmelse med Den
Europæiske Unions Domstols retspraksis anvendes en selektiv fremgangsmåde for at
undgå unødige indgreb i de relevante grundlæggende rettigheder, der er beskyttet i
henhold til chartret, og for at sikre overholdelse af kravene i EU-retten om fri
bevægelighed for personer og ophævelse af kontrollen ved de indre grænser. Grundet
betydningen af at sikre, at API-oplysninger kan behandles sammen med PNR-
oplysninger, bør denne fremgangsmåde bringes i overensstemmelse med direktiv (EU)
2016/681. Af disse grunde bør API-oplysninger om disse flyvninger kun overføres fra
routeren til de relevante passageroplysningsenheder, hvis medlemsstaterne har udvalgt
de pågældende flyvninger i henhold til artikel 2 i direktiv (EU) 2016/681. Som anført
af EU-Domstolen indebærer udvælgelsen, at medlemsstaterne kun målretter de
pågældende forpligtelser mod bl.a. visse ruter, rejsemønstre eller lufthavne, forudsat at
udvælgelsen regelmæssigt revideres.
(15) For at gøre det muligt at anvende denne selektive fremgangsmåde i henhold til denne
forordning for så vidt angår flyvninger inden for EU bør medlemsstaterne være
forpligtet til at udarbejde og forelægge eu-LISA lister over de flyvninger, de har
udvalgt, således at eu-LISA kan sikre, at API-oplysninger vedrørende disse flyvninger
alene overføres fra routeren til de relevante passageroplysningsenheder, og at API-
oplysninger om øvrige flyvninger inden for EU bliver slettet omgående og permanent.
(16) For ikke at bringe effektiviteten af det system, der bygger på indsamling og
videregivelse af API-oplysninger, og som oprettes ved denne forordning, og af PNR-
oplysninger i henhold til det system, der er indført ved direktiv (EU) 2016/681, med
henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov
kriminalitet, i fare, navnlig ved at skabe risiko for omgåelse, bør oplysninger om,
DA 17 DA
hvilke flyvninger inden for EU medlemsstaterne har udvalgt, behandles fortroligt. Af
den grund bør sådanne oplysninger ikke deles med luftfartsselskaberne, og de bør
derfor være forpligtet til at indsamle API-oplysninger om alle flyvninger, der er
omfattet af denne forordning, herunder alle flyvninger inden for EU, og derefter
overføre dem til routeren, hvor den nødvendige udvælgelse bør foretages. Ved at
indsamle API-oplysninger om alle flyvninger inden for EU bliver passagererne
desuden ikke gjort opmærksomme på, hvilke udvalgte API-oplysninger om flyvninger
inden for EU, og dermed også PNR-oplysninger, der sendes til
passageroplysningsenhederne efter medlemsstaternes vurdering. Denne
fremgangsmåde sikrer også, at eventuelle ændringer i forbindelse med udvælgelsen
kan gennemføres hurtigt og effektivt uden at pålægge luftfartsselskaberne en urimelig
økonomisk og operationel byrde.
(17) For at sikre overholdelse af den grundlæggende ret til beskyttelse af personoplysninger
og i overensstemmelse med forordning (EU) [API-oplysninger til grænseforvaltning]
bør denne forordning identificere de dataansvarlige. For at sikre effektiv overvågning,
tilstrækkelig beskyttelse af personoplysninger og minimering af sikkerhedsrisici bør
der også fastsættes regler om registrering, sikkerhed ved behandling og egenkontrol.
Når disse bestemmelser vedrører behandling af personoplysninger, bør de forstås som
et supplement til de almengyldige EU-retsakter vedrørende beskyttelse af
personoplysninger, navnlig Europa-Parlamentets og Rådets forordning (EU)
2016/67930
, Europa-Parlamentets og Rådets direktiv (EU) 2016/68031
samt Europa-
Parlamentets og Rådets forordning (EU) 2018/172532
. Disse retsakter, som også finder
anvendelse på behandling af personoplysninger i henhold til denne forordning i
henhold til de deri anførte bestemmelser, bør ikke berøres af denne forordning.
(18) Den router, der skal oprettes og drives i henhold til forordning (EU) [API-oplysninger
til grænseforvaltning], bør reducere og forenkle de tekniske forbindelser, der er
nødvendige for at overføre API-oplysninger, og begrænse dem til en enkelt forbindelse
pr. luftfartsselskab og pr. passageroplysningsenhed. Denne forordning indeholder
derfor regler om, at passageroplysningsenhederne og luftfartsselskaberne hver især er
forpligtet til at etablere en sådan forbindelse til og opnå den nødvendige integration
med routeren for at sikre, at systemet til overførsel af API-oplysninger, som oprettes
ved denne forordning, kan fungere korrekt.
(19) I betragtning af Unionens interesse heri bør medlemsstaternes relevante omkostninger
i forbindelse med deres forbindelser til og integration med routeren, jf. denne
forordning, afholdes over Unionens budget i overensstemmelse med den gældende
30
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119
af 4.5.2016, s. 1).
31
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske
personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på
at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige
sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse
2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
32
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af
fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer,
kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF)
nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
DA 18 DA
lovgivning og med forbehold af visse undtagelser. De omkostninger, der er omfattet af
disse undtagelser, bør afholdes af den enkelte berørte medlemsstat.
(20) I overensstemmelse med forordning (EU) 2018/1726 kan medlemsstaterne overdrage
opgaven med at lette forbindelsen med luftfartsselskaberne til eu-LISA med henblik
på at bistå medlemsstaterne i gennemførelsen af direktiv (EU) 2016/681, navnlig ved
at indsamle og overføre PNR-oplysninger via routeren.
(21) Det kan ikke udelukkes, at routeren eller de systemer eller infrastrukturer, der
forbinder passageroplysningsenhederne og luftfartsselskaberne hermed, på grund af
ekstraordinære omstændigheder og på trods af at alle rimelige foranstaltninger er
truffet i overensstemmelse med denne forordning, og for så vidt angår routeren
forordning (EU) [API-oplysninger til grænseforvaltning], ikke fungerer korrekt,
hvilket kan føre til, at det ikke er teknisk muligt at anvende routeren til at overføre
API-oplysninger. Som følge af at routeren ikke er tilgængelig, og at
luftfartsselskaberne generelt ikke med rimelighed kan overføre de API-oplysninger,
der er berørt af fejlen, på en lovlig, sikker, effektiv og hurtig måde ved hjælp af
alternative midler, bør luftfartsselskabernes forpligtelse til at overføre disse API-
oplysninger til routeren ophøre med at gælde, så længe dette fortsat ikke er teknisk
muligt. For at minimere varigheden og de negative konsekvenser heraf bør de berørte
parter i så fald straks underrette hinanden og straks træffe alle nødvendige
foranstaltninger for at afhjælpe den tekniske umulighed. Dette bør ikke berøre alle de
berørte parters forpligtelser i henhold til denne forordning om at sikre, at routeren og
deres respektive systemer og infrastruktur fungerer korrekt, og heller ikke den
omstændighed, at luftfartsselskaber kan pålægges sanktioner, når de ikke opfylder
disse forpligtelser, herunder når de søger at påberåbe sig dette, hvis en sådan
påberåbelse ikke er berettiget. For at forhindre sådan misbrug og for at lette tilsynet og
om nødvendigt pålæggelsen af sanktioner bør luftfartsselskaber, der gør brug af denne
ordning på grund af fejl i deres system og infrastruktur, indberette dette til den
kompetente tilsynsmyndighed.
(22) For at sikre, at luftfartsselskaberne anvender reglerne i denne forordning effektivt, bør
der fastsættes bestemmelser om udpegelse og bemyndigelse af de nationale
myndigheder, der har til opgave at føre tilsyn med disse regler. Reglerne i denne
forordning om sådant tilsyn, herunder om nødvendigt om pålæggelse af sanktioner,
bør ikke berøre de opgaver og beføjelser, som tilsynsmyndighederne, der oprettes i
henhold til forordning (EU) 2016/679 og direktiv (EU) 2016/680, har, herunder i
forbindelse med behandlingen af personoplysninger efter denne forordning.
(23) Medlemsstaterne bør fastsætte regler om sanktioner, herunder bødestraf, der er
effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning,
over for de luftfartsselskaber, der ikke opfylder deres forpligtelser vedrørende
indsamling og videregivelse af API-oplysninger som omhandlet i denne forordning.
(24) Med henblik på at vedtage foranstaltninger vedrørende de tekniske krav og
operationelle regler for automatisk indsamling af maskinlæsbare API-oplysninger, de
fælles protokoller og formater for at luftfartsselskaberne kan overføre API-
oplysninger, de tekniske og processuelle regler for overførsel af API-oplysninger fra
routeren og til passageroplysningsenhederne og til passageroplysningsenhedernes og
luftfartsselskabernes forbindelser til og integration med routere bør beføjelsen til at
vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions
funktionsmåde delegeres til Kommissionen for så vidt angår henholdsvis artikel 4, 5,
10 og 11. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer
DA 19 DA
under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer
gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af
13. april 2016 om bedre lovgivning33
. For at sikre lige deltagelse i forberedelsen af
delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter
på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk
adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med
forberedelsen af delegerede retsakter.
(25) Alle berørte parter, og navnlig luftfartsselskaberne og passageroplysningsenhederne,
bør have tilstrækkelig tid til at foretage de nødvendige forberedelser for at kunne
opfylde deres respektive forpligtelser i henhold til denne forordning, under
hensyntagen til, at nogle af disse forberedelser, f.eks. vedrørende forpligtelserne i
forbindelse med forbindelsen til og integrationen med routeren, først kan afsluttes, når
design- og udviklingsfasen af routeren er overstået, og routeren idriftsættes. Denne
forordning bør derfor kun finde anvendelse fra en passende dato efter den dato, hvor
routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med
forordning (EU) [API-oplysninger til grænseforvaltning]. Det bør dog være muligt for
Kommissionen at vedtage delegerede retsakter i henhold til denne forordning allerede
fra et tidligere tidspunkt for at sikre, at det system, der indføres med denne forordning,
bliver operationelt hurtigst muligt.
(26) Formålet med denne forordning, dvs. at bidrage til at forebygge, opdage, efterforske
og retsforfølge terrorhandlinger og grov kriminalitet, kan ikke i tilstrækkelig grad
opfyldes af medlemsstaterne hver for sig i betragtning af den internationale dimension
af de pågældende lovovertrædelser og behovet for at samarbejde på tværs af grænserne
for at håndtere dem effektivt, men kan bedre opnås på EU-plan. Unionen kan derfor
vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i
traktaten om Den Europæiske Union. I overensstemmelse med
proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end
hvad der er nødvendigt for at nå dette mål.
(27) I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som
bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske
Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af denne forordning, som
ikke er bindende for og ikke finder anvendelse i Danmark.
(28) [I medfør af artikel 3 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling,
for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som
bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions
funktionsmåde, har Irland meddelt, at de ønsker at deltage i vedtagelsen og
anvendelsen af denne forordning.] ELLER [I medfør af artikel 1 og 2 i protokol nr. 21
om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed,
sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske
Union og til traktaten om Den Europæiske Unions funktionsmåde, og med forbehold
af artikel 4 i samme protokol, deltager Irland ikke i vedtagelsen af denne forordning,
som ikke er bindende for og ikke finder anvendelse i Irland.]
33
EUT L 123 af 12.5.2016, s. 1.
DA 20 DA
(29) Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse
med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav en udtalelse den [XX]34
—
VEDTAGET DENNE FORORDNING:
KAPITEL 1
ALMINDELIGE BESTEMMELSER
Artikel 1
Genstand
Med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov
kriminalitet fastlægges der ved denne forordning regler for:
a) luftfartsselskabers indsamling af forhåndsoplysninger om passagerer ("API-
oplysninger") vedrørende flyvninger uden for EU og udvalgte flyvninger inden
for EU
b) luftfartsselskabers overførsel af API-oplysninger til routeren
c) overførsel af API-oplysninger om flyvninger uden for EU og udvalgte
flyvninger inden for EU til passageroplysningsenhederne.
Artikel 2
Anvendelsesområde
Denne forordning finder anvendelse på luftfartsselskaber, der udfører ruteflyvninger eller
ikkeruteflyvninger uden for EU eller inden for EU.
Artikel 3
Definitioner
I denne forordning forstås ved:
a) "luftfartsselskab": en lufttransportvirksomhed som defineret i artikel 3, nr. 1), i
direktiv (EU) 2016/681
b) "flyvninger uden for EU": enhver flyvning som defineret i artikel 3, nr. 2), i
direktiv (EU) 2016/681
c) "flyvning inden for EU": enhver flyvning som defineret i artikel 3, nr. 3), i
direktiv (EU) 2016/681
d) "ruteflyvning": en flyvning som defineret i artikel 3, litra e), i forordning (EU)
[API-oplysninger til grænseforvaltning]
e) "ikkeruteflyvning": en flyvning som defineret i artikel 3, litra f), i forordning
(EU) [API-oplysninger til grænseforvaltning]
34
[EUT C ….]
DA 21 DA
f) "passager": enhver person som defineret i artikel 3, nr. 4), i direktiv (EU)
2016/681
g) "besætning": enhver person som defineret i artikel 3, litra h), i forordning (EU)
[API-oplysninger til grænseforvaltning]
h) "rejsende": enhver person som defineret i artikel 3, litra i), i forordning (EU)
[API-oplysninger til grænseforvaltning]
i) "forhåndsoplysninger om passagerer" eller "API-oplysninger": oplysninger
som defineret i artikel 3, litra j), i forordning (EU) [API-oplysninger til
grænseforvaltning]
j) "passagerliste" eller "PNR": en liste over den enkelte passagers rejse som
defineret i artikel 3, nr. 5), i direktiv (EU) 2016/681
k) "Passageroplysningsenhed": en kompetent myndighed oprettet af en
medlemsstat, som omhandlet i Kommissionens offentliggjorte meddelelse og
ændringer i henhold til henholdsvis artikel 4, stk. 1 og stk. 5, i direktiv (EU)
2016/681
l) "terrorhandlinger": handlinger som defineret i artikel 3 til 12 i Europa-
Parlamentets og Rådets direktiv (EU) 2017/54135
m) "grov kriminalitet": handlinger som defineret i artikel 3, nr. 9), i direktiv
2016/681
n) "routeren": router som defineret i artikel 3, litra k), i forordning (EU) [API-
oplysninger til grænseforvaltning]
o) "personoplysninger": enhver oplysning som defineret i artikel 4, nr. 1), i
forordning (EU) 2016/679.
KAPITEL 2
BEHANDLING AF API-OPLYSNINGER
Artikel 4
Luftfartsselskabers indsamling, videregivelse og sletning af API-oplysninger
1. Luftfartsselskaberne indsamler API-oplysninger om rejsende på flyvninger, jf. artikel
2, med henblik på at overføre nævnte API-oplysninger til routeren i henhold til stk. 6.
Hvis der for en flyvning er code-sharing mellem et eller flere luftfartsselskaber, er
det det luftfartsselskab, der står for flyvningen, som er forpligtet til at videregive
API-oplysningerne.
2. Luftfartsselskaberne indsamler API-oplysninger på en sådan måde, at de API-
oplysninger, de overfører i henhold til stk. 6, er nøjagtige, fuldstændige og ajourførte.
35
Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme
og om erstatning af Rådets rammeafgørelse 2002/475/RIA og ændring af Rådets afgørelse
2005/671/RIA (EUT L 88 af 31.3.2017, s. 6).
DA 22 DA
3. Luftfartsselskaberne indsamler de i artikel 4, stk. 2, litra a)-d), i forordning (EU)
[API-oplysninger til grænseforvaltning] omhandlede API-oplysninger ved hjælp af
automatiserede midler med henblik på at indsamle de maskinlæsbare dele af den
pågældende rejsendes rejsedokument. Det skal de gøre i henhold til de detaljerede
tekniske krav og operationelle regler i stk. 5, hvis sådanne regler er blevet vedtaget
og finder anvendelse.
Men hvis en sådan automatisk behandling ikke er mulig, fordi rejsedokumentet ikke
indeholder maskinlæsbare dele, indsamler luftfartsselskaberne disse oplysninger
manuelt, således at det sikres, at stk. 2 overholdes.
4. Enhver automatisk behandling, som anvendes af luftfartsselskaberne til at indsamle
API-oplysninger i henhold til denne forordning, skal være pålidelig, sikker og
ajourført.
5. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel
19 med henblik på at supplere denne forordning ved at fastsætte detaljerede tekniske
krav og operationelle regler for indsamlingen af API-oplysninger som omhandlet i
artikel 4, stk. 2, litra a)-d), i forordning (EU) [API-oplysninger til grænseforvaltning]
ved hjælp af automatiserede midler i overensstemmelse med stk. 3 og 4 i denne
artikel.
6. Luftfartsselskaberne overfører elektronisk de indsamlede API-oplysninger til
routeren i henhold til stk. 1. Det skal de gøre i henhold til de detaljerede regler i stk.
9, hvis sådanne regler er blevet vedtaget og finder anvendelse.
7. Luftfartsselskaberne overfører API-oplysningerne både ved indcheckning og straks
efter, at flyets døre er blevet lukket, dvs. når de rejsende er gået om bord i flyet med
henblik på afrejse, og det ikke længere er muligt for andre rejsende at gå om bord på
eller forlade flyet.
8. Uden at det berører luftfartsselskabernes mulighed for at opbevare og anvende
oplysningerne, når det er nødvendigt som led i deres normale forretningsaktiviteter i
overensstemmelse med gældende lovgivning, skal luftfartsselskaberne straks enten
rette, fuldstændiggøre eller ajourføre eller permanent slette de pågældende API-
oplysninger i begge følgende situationer:
a) hvis de får kendskab til, at de indsamlede API-oplysninger er unøjagtige,
ufuldstændige eller ikke længere ajourførte, eller at de er blevet behandlet
ulovligt, eller at de overførte oplysninger ikke udgør API-oplysninger
b) hvis overførslen af API-oplysninger i henhold til stk. 3 er afsluttet.
Hvis luftfartsselskaberne får kendskab til det i første afsnit, litra a), i dette stk.
omhandlede, efter at have foretaget overførslen af oplysningerne i stk. 6, skal de
straks underrette Den Europæiske Unions Agentur for den Operationelle Forvaltning
af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-
LISA). Efter modtagelse af sådan underretning skal eu-LISA straks underrette de
passageroplysningsenheder, som har modtaget de via routeren overførte API-
oplysninger.
9. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel
19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige
nærmere regler om de fælles protokoller og understøttede dataformater, der skal
bruges til at overføre API-oplysninger til routeren som omhandlet i stk. 6.
DA 23 DA
Artikel 5
Overførsel af API-oplysninger fra routeren til passageroplysningsenhederne
1. Routeren overfører straks og automatisk de API-oplysninger, som
luftfartsselskaberne har videregivet til den, jf. artikel 4, til medlemsstatens
passageroplysningsenheder, på hvis område landingen er planlagt, eller fra hvis
område afgangen vil foregå, eller til begge i forbindelse med flyvninger inden for
EU. Hvis der under flyvningen mellemlandes en eller flere gange i andre
medlemsstaters område end det ene, hvorfra det er afgået, overfører routeren API-
oplysningerne til passageroplysningsenhederne i alle de berørte medlemsstater.
Med henblik på sådan overførsel udarbejder og ajourfører eu-LISA en oversigt over
de forskellige afgangs- og ankomstlufthavne og de lande, de tilhører.
I forbindelse med flyvninger inden for EU overfører routeren dog kun API-
oplysninger til den pågældende passageroplysningsenhed vedrørende de flyvninger,
der er opført på listen i stk. 2.
Routeren overfører API-oplysningerne i henhold til de detaljerede regler i stk. 3, hvis sådanne
regler er blevet vedtaget og finder anvendelse. Medlemsstater, der beslutter at
anvende direktiv (EU) 2016/681 på flyvninger inden for EU i overensstemmelse med
artikel 2 i nævnte direktiv, udarbejder hver især en liste over de pågældende
flyvninger inden for EU og forelægger eu-LISA listen senest på datoen for
anvendelsen af denne forordning som anført i artikel 21, andet afsnit. Disse
medlemsstater gennemgår regelmæssigt og ajourfører om nødvendigt disse lister i
overensstemmelse med artikel 2 i nævnte direktiv og sender straks alle sådanne
ajourførte lister til eu-LISA. Oplysningerne i disse lister behandles fortroligt.
3. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel
19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige
detaljerede tekniske og processuelle regler for overførsler af API-oplysninger fra
routeren som omhandlet i stk. 1.
KAPITEL 3
REGISTRERING, BESKYTTELSE AF PERSONOPLYSNINGER OG SIKKERHED
Artikel 6
Opbevaring af logfiler
1. Luftfartsselskaberne opretter logfiler over alle behandlingsaktiviteter i henhold til
denne forordning, der gennemføres ved hjælp af de automatiserede midler, der er
omhandlet i artikel 4, stk. 3. Disse logfiler omfatter dato, tidspunkt og sted for
overførsel af API-oplysninger.
2. De logfiler, der er omhandlet i stk. 1, anvendes kun til at garantere sikkerheden og
integriteten af API-oplysninger og lovligheden af behandlingen, navnlig med hensyn
til overholdelse af kravene i denne forordning, herunder sanktionsprocedurer for
overtrædelse af disse krav i overensstemmelse med artikel 15 og 16.
3. Luftfartsselskaberne træffer passende foranstaltninger til at beskytte de logfiler, de
har oprettet i henhold til stk. 1, mod uautoriseret adgang og andre sikkerhedsrisici.
DA 24 DA
4. Luftfartsselskaber opbevarer de logfiler, de har oprettet i henhold til stk. 1, i en
periode på et år fra det tidspunkt, hvor nævnte logfiler blev oprettet. De sletter straks
og permanent disse logfiler efter denne periode.
Hvis logfilerne er nødvendige for at overvåge procedurerne eller garantere
sikkerheden og integriteten af API-oplysninger eller lovligheden af
behandlingsaktiviteterne, jf. stk. 2, og disse procedurer allerede er påbegyndt på
tidspunktet for udløbet af den i første afsnit omhandlede periode, kan
luftfartsselskaberne dog opbevare logfilerne, så længe det er nødvendigt for disse
procedurer. I så fald sletter de straks logfilerne, når de ikke længere er nødvendige
for disse procedurer.
Artikel 7
Dataansvarlige
Passageroplysningsenhederne er dataansvarlige, jf. artikel 3, nr. 8), i direktiv (EU) 2016/680,
for så vidt angår behandling af API-oplysninger, der udgør personoplysninger i henhold til
denne forordning, via routeren, herunder overførsel og opbevaring af disse oplysninger på
routeren af tekniske årsager.
Luftfartsselskaberne er dataansvarlige, jf. artikel 4, stk. 7, i forordning (EU) 2016/679, for
behandling af API-oplysninger, der udgør personoplysninger, i forbindelse med deres
indsamling af disse oplysninger og deres overførsel af disse til routeren i henhold til denne
forordning.
Artikel 8
Sikkerhed
Passageroplysningsenhederne og luftfartsselskaberne garanterer sikkerheden af de API-
oplysninger, navnlig de API-oplysninger som udgør personoplysninger, som de behandler i
henhold til denne forordning.
I overensstemmelse med deres respektive ansvarsområder og i overensstemmelse med EU-
retten samarbejder passageroplysningsenheder og luftfartsselskaber med hinanden og med eu-
LISA om at varetage en sådan sikkerhed.
Artikel 9
Egenkontrol
Luftfartsselskaber og passageroplysningsenheder kontrollerer, at de overholder deres
respektive forpligtelser i henhold til denne forordning, navnlig med hensyn til deres
behandling af API-oplysninger, der udgør personoplysninger, herunder gennem hyppig
kontrol af logfilerne i overensstemmelse med artikel 7.
KAPITEL 4
SPØRGSMÅL VEDRØRENDE ROUTEREN
Artikel 10
Passageroplysningsenhedernes forbindelse til routeren
DA 25 DA
1. Medlemsstaterne sikrer, at deres passageroplysningsenheder har forbindelse til
routeren. De sikrer, at deres nationale systemer og infrastruktur til modtagelse og
viderebehandling af API-oplysninger, der overføres i henhold til denne forordning, er
integreret med routeren.
Medlemsstaterne sikrer, at forbindelsen til den pågældende router og integrationen
med den gør det muligt for deres passageroplysningsenheder at modtage og
viderebehandle API-oplysninger samt udveksle enhver kommunikation vedrørende
disse på en lovlig, sikker, effektiv og hurtig måde.
2. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel
19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige
detaljerede regler for forbindelser til og integration med routeren som omhandlet i
stk. 1.
Artikel 11
Luftfartsselskabernes forbindelse til routeren
1. Luftfartsselskaberne sikrer, at de har forbindelse til routeren. De sikrer, at deres
systemer og infrastruktur til overførsel af API-oplysninger til routeren i henhold til
denne forordning er integreret med routeren.
Luftfartsselskaberne sikrer, at forbindelsen til routeren og integrationen med den gør
det muligt for dem at overføre API-oplysningerne samt udveksle enhver
kommunikation vedrørende disse på en lovlig, sikker, effektiv og hurtig måde.
2. Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel
19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige
detaljerede regler for forbindelser til og integration med routeren som omhandlet i
stk. 1.
Artikel 12
Medlemsstaternes omkostninger
1. Medlemsstaternes omkostninger som led i deres forbindelser til og integration med
den i artikel 10 omhandlede router, afholdes over Unionens almindelige budget.
Følgende omkostninger medregnes dog ikke og afholdes af medlemsstaterne:
a) udgifter til projektstyring, herunder omkostninger til møder, missioner og
lokaler
b) omkostninger til hosting af nationale IT-systemer, herunder omkostninger til
lokaler, implementering, elektricitet og køling
c) omkostninger til driften af nationale IT-systemer, herunder operatør- og
supportaftaler
d) omkostninger til design, udvikling, implementering, drift og vedligeholdelse af
nationale kommunikationsnetværk.
2. Medlemsstaterne afholder også omkostningerne i forbindelse med administration,
brug og vedligeholdelse af deres forbindelser til og integration af routeren.
DA 26 DA
Artikel 13
Foranstaltninger, hvis det ikke er teknisk muligt at anvende routeren
1. Hvis det ikke er teknisk muligt at benytte routeren til at overføre API-oplysninger på
grund af en fejl på routeren, underretter eu-LISA straks og automatisk
luftfartsselskaberne og passageroplysningsenhederne om, at det teknisk ikke er
muligt. I så fald træffer eu-LISA straks foranstaltninger til at afhjælpe det tekniske
problem med at benytte routeren og underretter straks nævnte parter, når det er blevet
løst.
I perioden mellem disse meddelelser finder artikel 4, stk. 6, ikke anvendelse, for så
vidt det tekniske problem forhindrer overførsel af API-oplysninger til routeren.
Såfremt dette er tilfældet, finder artikel 4, stk. 1, heller ikke anvendelse på de
pågældende API-oplysninger i den pågældende periode.
2. Hvis det ikke er teknisk muligt at benytte routeren til at overføre API-oplysninger på
grund af en fejl i en medlemsstats systemer eller infrastruktur som omhandlet i
artikel 10, underretter passageroplysningsenheden i den pågældende medlemsstat
straks og automatisk luftfartsselskaberne, de øvrige passageroplysningsenheder, eu-
LISA og Kommissionen om, at det teknisk ikke er muligt. I så fald træffer den
pågældende medlemsstat straks foranstaltninger til at afhjælpe det tekniske problem
med at benytte routeren og underretter straks nævnte parter, når det er blevet løst.
I perioden mellem disse meddelelser finder artikel 4, stk. 6, ikke anvendelse, for så
vidt det tekniske problem forhindrer overførsel af API-oplysninger til routeren.
Såfremt dette er tilfældet, finder artikel 4, stk. 1, heller ikke anvendelse på de
pågældende API-oplysninger i den pågældende periode.
3. Hvis det ikke er teknisk muligt at benytte routeren til at overføre API-oplysninger på
grund af en fejl i et luftfartsselskabs systemer eller infrastruktur som omhandlet i
artikel 11, underretter det pågældende luftfartsselskab straks og automatisk
passageroplysningsenhederne, eu-LISA og Kommissionen om, at det teknisk ikke er
muligt. I så fald træffer det pågældende luftfartsselskab straks foranstaltninger til at
afhjælpe det tekniske problem med at benytte routeren og underretter straks nævnte
parter, når det er blevet løst.
I perioden mellem disse meddelelser finder artikel 4, stk. 6, ikke anvendelse, for så
vidt det tekniske problem forhindrer overførsel af API-oplysninger til routeren.
Såfremt dette er tilfældet, finder artikel 4, stk. 1, heller ikke anvendelse på de
pågældende API-oplysninger i den pågældende periode.
Når det tekniske problem er blevet løst, forelægger det pågældende luftfartsselskab
straks den kompetente nationale tilsynsmyndighed, som omhandlet i artikel 15, en
rapport med alle nødvendige oplysninger om det tekniske problem, herunder
årsagerne hertil, dets omfang og konsekvenser samt de foranstaltninger, der er truffet
for at løse det.
Artikel 14
Ansvar for routeren
Hvis en medlemsstats eller et luftfartsselskabs manglende overholdelse af sine forpligtelser i
henhold til denne forordning volder skade på routeren, holdes den pågældende medlemsstat
eller luftfartsselskabet ansvarlig for skaden, medmindre eu-LISA ikke har truffet rimelige
foranstaltninger til at forhindre skaden i at ske eller til at begrænse dens omfang.
DA 27 DA
KAPITEL 5
TILSYN, SANKTIONER OG VEJLEDNING
Artikel 15
National tilsynsmyndighed
1. Medlemsstaterne udpeger en eller flere nationale tilsynsmyndigheder, der er
ansvarlige for at føre tilsyn med, at luftfartsselskaber på deres område anvender
bestemmelserne i denne forordning, og for at sikre, at disse bestemmelser
overholdes.
2. Medlemsstaterne sikrer, at de nationale tilsynsmyndigheder har alle nødvendige
midler og alle nødvendige beføjelser til efterforskning og håndhævelse, således at de
kan udføre deres opgaver i henhold til denne forordning, herunder om nødvendigt
ved at pålægge de sanktioner, der er omhandlet i artikel 16. De fastsætter nærmere
regler for udførelsen af disse opgaver og udøvelsen af disse beføjelser, således at
udførelsen og udøvelsen er effektiv, rimelig og har en afskrækkende virkning og er
underlagt garantier i overensstemmelse med de grundlæggende rettigheder, der er
garanteret i henhold til EU-retten.
3. Senest på datoen for anvendelsen af denne forordning, jf. artikel 21, andet afsnit,
meddeler medlemsstaterne Kommissionen navn og kontaktoplysninger på de
myndigheder, de har udpeget i henhold til stk. 1, og de nærmere regler, de har fastsat
i henhold til stk. 2. De underretter omgående Kommissionen om eventuelle senere
ændringer heraf.
4. Denne artikel berører ikke tilsynsmyndighedernes kompetencer som omhandlet i
artikel 51 i forordning (EU) 2016/679 og artikel 41 i forordning (EU) 2016/680.
Artikel 16
Sanktioner
Medlemsstaterne fastsætter regler om, hvilke sanktioner der skal anvendes, i tilfælde af at
denne forordning overtrædes, og træffer alle nødvendige foranstaltninger for at sikre, at de
anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have
en afskrækkende virkning.
Medlemsstaterne meddeler inden datoen for denne forordnings anvendelse, jf. artikel 21,
andet afsnit, Kommissionen disse regler og foranstaltninger og underretter den straks om alle
senere ændringer, der berører dem.
Artikel 17
Praktisk vejledning
Kommissionen udarbejder og offentliggør i tæt samarbejde med
passageroplysningsenhederne, andre relevante medlemsstaters myndigheder,
luftfartsselskaberne og relevante EU-agenturer en praktisk vejledning med retningslinjer,
henstillinger og bedste praksis for gennemførelsen af denne forordning.
Der skal i den praktiske vejledning tages hensyn til de relevante eksisterende vejledninger.
DA 28 DA
Kommissionen vedtager vejledningen i form af en henstilling.
KAPITEL 6
SAMMENHÆNG MED ANDRE EKSISTERENDE INSTRUMENTER
Artikel 18
Ændringer af forordning (EU) 2019/818
___________
Artikel 39, stk. 1 og 2, affattes således:
"1. Der oprettes et centralt register for rapportering og statistik (CRRS) med henblik
på at støtte målene for SIS, Eurodac og ECRIS-TCN i overensstemmelse med de
respektive retlige instrumenter, der regulerer disse systemer, og for at tilvejebringe
statistiske oplysninger og analytisk rapportering på tværs af systemerne til politiske,
operationelle og datakvalitetsmæssige formål. CRRS Skal også støtte målene i
Europa-Parlamentets og Rådets forordning (EU) …/… * [nærværende forordning]."
* Europa-Parlamentets og Rådets forordning (EU) [nummer] af xy den
[officielt vedtaget titel] (EUT L...)"
"2. eu-LISA opretter, implementerer og hoster på sine tekniske anlæg CRRS, der
indeholder de data og statistikker, som er omhandlet i artikel 74 i forordning (EU)
2018/1862 og artikel 32 i forordning (EU) 2019/816, og som er logisk adskilt af EU-
informationssystemet. eu-LISA indsamler også data og statistikker fra den router, der
er omhandlet i artikel 13, stk. 1, i forordning (EU).../... * [nærværende forordning].
Adgang til CRRS gives ved hjælp af kontrolleret, sikret adgang og specifikke
brugerprofiler, udelukkende med henblik på indberetning og statistik, til de
myndigheder, der er omhandlet i artikel 74 i forordning (EU) 2018/1862, artikel 32 i
forordning (EU) 2019/816 og artikel 13, stk. 1, i forordning (EU) …/… *
[nærværende forordning]."
KAPITEL 7
AFSLUTTENDE BESTEMMELSER
Artikel 19
Udøvelse af de delegerede beføjelser
1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne
artikel fastlagte betingelser.
2) Beføjelsen til at vedtage delegerede retsakter, jf. artikel 4, stk. 5 og 9, artikel 5, stk.
3, artikel 10, stk. 2, og artikel 11, stk. 2, tillægges Kommissionen for en periode på
fem år fra [datoen for vedtagelse af forordningen]. Kommissionen udarbejder en
rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af
DA 29 DA
femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af
samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan
forlængelse senest tre måneder inden udløbet af hver periode.
3. Den i artikel 4, stk. 5 og 9, artikel 5, stk. 3, artikel 10, stk. 2, og artikel 11, stk. 2,
omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-
Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de
beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning
dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller
på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af
delegerede retsakter, der allerede er i kraft.
4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er
udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den
interinstitutionelle aftale om bedre lovgivning af 13. april 2016.
5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa-
Parlamentet og Rådet meddelelse herom.
Artikel 20
Overvågning og evaluering
1. Senest [fire år efter datoen for denne forordnings ikrafttræden] og derefter hvert
fjerde år forelægger Kommissionen en rapport om en generel evaluering af denne
forordning, herunder en vurdering af:
a) anvendelsen af denne forordning
b) i hvilket omfang denne forordning har opfyldt sine mål
c) virkningerne af denne forordning for de grundlæggende rettigheder, der er
beskyttet i henhold til EU-retten.
d) Kommissionen forelægger evalueringsrapporten for Europa-Parlamentet,
Rådet, Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske
Agentur for Grundlæggende Rettigheder. I lyset af den evaluering, der er
gennemført, forelægger Kommissionen, hvis det er relevant, Europa-
Parlamentet og Rådet et forslag til en lovgivningsmæssig retsakt med henblik
på ændring af denne forordning.
2. Medlemsstaterne og luftfartsselskaberne giver efter anmodning Kommissionen de
oplysninger, der er nødvendige for at udarbejde den i stk. 1 omhandlede rapport.
Medlemsstaterne kan dog lade være med at videregive sådanne oplysninger, hvis og i
det omfang det er nødvendigt for ikke at offentliggøre fortrolige arbejdsmetoder eller
bringe deres passageroplysningsenheders eller andre retshåndhævende myndigheders
igangværende efterforskninger i fare. Kommissionen sikrer, at alle fortrolige
oplysninger er behørigt beskyttet.
Artikel 21
Ikrafttræden og anvendelse
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske
Unions Tidende.
DA 30 DA
Denne forordning finder anvendelse to år fra den dato, hvor routeren idriftsættes, som fastsat
af Kommissionen i overensstemmelse med artikel 27 i forordning (EU) [API-oplysninger til
grænseforvaltning].
Artikel 4, stk. 5 og 9, artikel 5, stk. 3, artikel 10, stk. 2, artikel 11, stk. 2 og artikel 19 finder
dog anvendelse fra [datoen for denne forordnings ikrafttræden].
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i medlemsstaterne i
overensstemmelse med traktaterne.
Udfærdiget i Strasbourg, den […].
På Europa-Parlamentets vegne På Rådets vegne
Formand Formand
DA 31 DA
FINANSIERINGSOVERSIGT
Dette forslags finansielle virkninger er omhandlet i den fælles finansieringsoversigt, der er
knyttet som bilag til forslaget til forordning (EU) [API-oplysninger til grænseforvaltning].