Förslag till Europaparlamentets och rådets förordning om insamling och överföring av förhandsinformation om passagerare för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, och om ändring av förordning (EU) 2019/818

EU-dokument COM(2022) 731

EUROPEISKA

KOMMISSIONEN

Strasbourg den 13.12.2022

COM(2022) 731 final

2022/0425 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om insamling och överföring av förhandsinformation om passagerare för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, och om ändring av förordning (EU) 2019/818

{SWD(2022) 424 final}

MOTIVERING

1.BAKGRUND TILL FÖRSLAGET

• Motiv och syfte med förslaget

Under det senaste årtiondet har den grova och organiserade brottsligheten ökat både i EU och i andra delar av världen. Enligt Europols hotbildsbedömning avseende grov och organiserad brottslighet i EU omfattar merparten av den organiserade brottsligheten internationella resor, vanligen i syfte att smuggla personer eller narkotika och andra olagliga varor till EU. Brottslingar använder ofta EU:s största flygplatser, liksom mindre, regionala flygplatser där lågprisflygbolag är verksamma1. Även Europols Terrorism Situation and Trend Report visar att terroristhotet i EU fortfarande är verkligt och allvarligt2 och påpekar att de flesta terroristkampanjer har en gränsöverskridande karaktär, då de antingen omfattar transnationella kontakter eller resor utanför EU. I detta sammanhang är information om flygresenärer ett viktigt verktyg för att de brottsbekämpande myndigheterna ska kunna bekämpa grov brottslighet och terrorism i EU.

I uppgifterna om flygresenärer ingår förhandsinformation om passagerare (API-uppgifter) och passageraruppgiftssamlingar (PNR-uppgifter) som, när de används tillsammans, är särskilt effektiva för att identifiera högriskresenärer och bekräfta misstänkta personers resemönster. När en passagerare köper en biljett hos ett lufttrafikföretag genererar lufttrafikföretagets bokningssystem PNR-uppgifter för företagets affärsverksamhet. Det rör sig om uppgifter om hela resrutten, betalningsuppgifter, kontaktuppgifter och särskilda önskemål från passagerarens sida. Dessa PNR-uppgifter skickas, när en skyldighet till detta föreligger, till enheten för passagerarinformation i destinationslandet och ofta även i avgångslandet.

I EU antogs PNR-direktivet3 2016 för att säkerställa att alla medlemsstater genomför regler om insamling av PNR-uppgifter från lufttrafikföretag för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, utan att det påverkar tillämpningen av befintliga EU-regler om lufttrafikföretags skyldighet att samla in API-uppgifter enligt API- direktivet4. Enligt PNR-direktivet ska medlemsstaterna anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag överför PNR-uppgifter, förutsatt att de redan samlar in sådana uppgifter som en del av sin normala affärsverksamhet. PNR-direktivet möjliggör kombinerad behandling av både API-uppgifter och PNR-uppgifter, eftersom definitionen av PNR- uppgifter omfattar ”[e]ventuell förhandsinformation [om passagerare] (API) som samlats in”5. Lufttrafikföretagen är dock inte enligt PNR-direktivet skyldiga att samla in andra uppgifter än de som samlas in som en del av den normala affärsverksamheten. PNR-direktivet leder därför inte till insamling av samtliga API-uppgifter, eftersom lufttrafikföretagen inte har några affärsmässiga orsaker att samla in sådana uppgifter.

Europols hotbildsbedömning avseende grov och organiserad brottslighet (Socta), 2021, https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf . Europol, Terrorism Situation and Trend Report (Te-SAT), 2021, https://www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf . Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

Rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare.

Se punkt 18 i bilaga 1 till direktiv (EU) 2016/681.

API-uppgifter samlas in av lufttrafikföretaget under incheckningen (online och på flygplatsen) endast när en sådan skyldighet föreligger. Uppgifterna skickas sedan till de behöriga gränsmyndigheterna som en fullständig passagerarlista över alla passagerare som befinner sig ombord när flygplanet avgår. API-uppgifter betraktas som verifierad information eftersom de rör resenärer som verkligen stigit ombord på planet och också kan användas av brottsbekämpande myndigheter för att identifiera misstänkta och eftersökta personer, medan PNR-uppgifter är overifierad information som lämnats av passagerarna. PNR-uppgifterna om en viss passagerare innehåller vanligtvis inte alla potentiella PNR-element, utan endast de som passageraren lämnar och/eller som är nödvändiga för bokningen och därmed för lufttrafikföretagets normala affärsverksamhet.

Sedan API-direktivet antogs 2004 råder det global enighet om att API-uppgifter inte bara är ett viktigt instrument för gränsförvaltning, utan också ett viktigt verktyg för brottsbekämpande ändamål, framför allt för att bekämpa grov brottslighet och terrorism. På internationell nivå har FN:s säkerhetsråds resolutioner sedan 2014 vid upprepade tillfällen efterlyst inrättande och globalt införande av API- och PNR-system för brottsbekämpande ändamål6. Åtagandet från de stater som deltar i Organisationen för säkerhet och samarbete i Europa (OSSE) att inrätta API-system bekräftar dessutom vikten av att använda dessa uppgifter i kampen mot terrorism och gränsöverskridande brottslighet. 7

Kommissionens rapport om översynen av PNR-direktivet visar att kampen mot grov brottslighet och terrorism i EU8 blir avsevärt effektivare när de behöriga brottsbekämpande myndigheterna behandlar API- och PNR-uppgifter tillsammans, vilket innebär att PNR- uppgifter som samlas in av lufttrafikföretag i deras normala affärsverksamhet och överförs till behöriga brottsbekämpande myndigheter kompletteras med en skyldighet för lufttrafikföretagen att samla in och överföra API-uppgifter. Den kombinerade användningen av API-uppgifter och PNR-uppgifter gör det möjligt för de behöriga nationella myndigheterna att bekräfta passagerarnas identitet och förbättrar PNR-uppgifternas tillförlitlighet avsevärt. En sådan kombinerad användning före ankomsten gör det också möjligt för brottsbekämpande myndigheter att göra en bedömning och en närmare granskning endast av de personer som på grundval av objektiva bedömningskriterier och bedömningsmetoder, i enlighet med tillämplig lagstiftning, mest sannolikt utgör ett hot mot säkerheten. Detta underlättar alla andra passagerares resor och minskar risken för att passagerare vid ankomsten utsätts för de behöriga myndigheternas granskning på grundval av godtyckliga faktorer, såsom ras eller etniskt ursprung, som de brottsbekämpande myndigheterna felaktigt kanske förknippar med säkerhetsrisker.

EU:s nuvarande rättsliga ram reglerar dock användningen av PNR-uppgifter för att bekämpa grov brottslighet och terrorism men däremot inte detsamma för API-uppgifter, som endast kan begäras om flygningar från tredjeländer, vilket leder till en säkerhetslucka framför allt när det gäller flygningar inom EU för vilka medlemsstaterna begär att lufttrafikföretag ska överföra PNR-uppgifter. Enheterna för passagerarinformation får de effektivaste operativa resultaten på flygningar där både API- och PNR-uppgifter samlas in. Detta innebär att behöriga

FN:s säkerhetsråds resolutioner 2178(2014), 2309(2016), 2396(2017) och 2482(2019) liksom OSSE:s ministerråds beslut 6/16 av den 9 december 2016 om ökad användning av förhandsinformation om passagerare.

OSSE:s ministerråds beslut 6/16 av den 9 december 2016 om ökad användning av förhandsinformation om passagerare.

Europeiska kommissionen, arbetsdokument från kommissionens avdelningar som åtföljer rapporten om översynen av direktiv 2016/681, SWD(2020)128 final.

brottsbekämpande myndigheter inte kan dra nytta av resultaten av den kombinerade behandlingen av API-uppgifter och PNR-uppgifter om flygningar inom EU, för vilka endast PNR-uppgifter överförs.

För att täppa till denna lucka efterlystes i kommissionens strategi från juni 2021 för ett fullt fungerande och motståndskraftigt Schengenområde en ökad användning av API-uppgifter i kombination med PNR-uppgifter för flygningar inom Schengenområdet för att avsevärt förbättra den inre säkerheten, i enlighet med den grundläggande rätten till skydd av personuppgifter och den grundläggande rätten till fri rörlighet9.

Den föreslagna förordningen syftar därför till att fastställa bättre regler för lufttrafikföretags insamling och överföring av API-uppgifter i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Som förklaras närmare nedan är förslaget noggrant begränsat till sin omfattning och innehåller stränga begränsningar och skyddsåtgärder för skyddet av personuppgifter för att säkerställa överensstämmelse med de berörda grundläggande rättigheter som fastställs i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), särskilt rätten till integritet och skydd av personuppgifter, och de resulterande kraven på nödvändighet och proportionalitet.

•Förenlighet med befintliga bestämmelser inom området

De föreslagna reglerna om insamling och överföring av API-uppgifter i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet är anpassade till de tillämpliga regler för behandling av PNR-uppgifter som fastställs i PNR-direktivet10. De tar hänsyn till de tolkningar som Europeiska unionens domstol har gjort i sin senaste rättspraxis, särskilt vad som anges i denna rättspraxis om behandling av PNR-uppgifter för flygningar inom EU, dvs. att överföringen av PNR-uppgifter till medlemsstaternas behöriga myndigheter om flygningar inom EU måste vara selektiv och inte vara systematisk om den inte motiveras av ett verkligt och aktuellt eller förutsebart terroristhot11.

I den mån det finns en möjlig överlappning mellan den föreslagna förordningen och reglerna i PNR-direktivet, med tanke på att definitionen av PNR-uppgifter i direktivet som sagt omfattar eventuell förhandsinformation om passagerare (API) som samlats in, har reglerna i den föreslagna förordningen företräde, eftersom den är både lex specialis och lex posterior. Enligt PNR-direktivet ska medlemsstaterna anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag överför PNR-uppgifter, förutsatt att de redan samlar in sådana uppgifter som en del av sin normala affärsverksamhet, medan den föreslagna förordningen ålägger lufttrafikföretagen att samla in API-uppgifter i vissa situationer och att överföra dessa uppgifter på ett visst sätt. Den föreslagna förordningen kompletterar därmed PNR-direktivet, eftersom den säkerställer att lufttrafikföretagen i samtliga fall där de enligt PNR-direktivet skickar PNR-uppgifter till de behöriga brottsbekämpande myndigheterna – dvs. enheterna för passagerarinformation – också måste samla in och överföra API-uppgifter till dessa behöriga myndigheter.

Efter överföringen av API-uppgifter till de enheter för passagerarinformation som inrättats genom PNR-direktivet är reglerna för enheternas efterföljande behandling av API-uppgifter

COM(2021) 277 final, 2.6.2021.

I PNR-direktivet fastställs villkor för behandlingen av uppgifter, såsom berörda behöriga myndigheter (artikel 7), lagringstid för uppgifter (artikel 12) och skydd av personuppgifter (artikel 13).

Domstolens dom i mål C-817/19, Ligue des droits humains.

de som fastställs i PNR-direktivet, utöver de begränsade krav i detta avseende som fastställs i den föreslagna förordningen. Som redan nämnts medger PNR-direktivet kombinerad behandling av API-uppgifter och PNR-uppgifter eftersom dess definition av PNR-uppgifter omfattar eventuell förhandsinformation om passagerare (API) som samlats in, dvs. även de API-uppgifter som tas emot av enheter för passagerarinformation i enlighet med den föreslagna förordningen. Följaktligen är reglerna i artiklarna 6 och 9 framåt i PNR-direktivet tillämpliga när det gäller frågor som de exakta ändamålen med behandlingen, lagringstid, radering, informationsutbyte, medlemsstaternas överföring till tredjeländer och de särskilda bestämmelserna om skydd av sådana personuppgifter.

Dessutom kommer allmänt tillämpliga unionsrättsakter att tillämpas i enlighet med de villkor som anges i dessa. I fråga om behandling av personuppgifter gäller detta framför allt den allmänna dataskyddsförordningen12, dataskyddsdirektivet för brottsbekämpning13 och EU:s dataskyddsförordning14. Dessa rättsakter påverkas inte av detta förslag.

Det faktum att de ovannämnda unionsrättsakterna är tillämpliga på behandlingen av API- uppgifter som tas emot enligt denna förordning innebär att medlemsstaterna tillämpar unionsrätten i den mening som avses i artikel 51.1 i stadgan, vilket i sin tur innebär att även reglerna i stadgan är tillämpliga. Reglerna i dessa unionsrättsakter bör därmed tolkas mot bakgrund av stadgan.

För att säkerställa överensstämmelse med reglerna i förslaget till förordning om insamling och överföring av API-uppgifter för gränskontrolländamål och för effektivitet i överföringen av API-uppgifter föreskrivs i detta förslag en skyldighet för lufttrafikföretag att samla in samma uppsättning API-uppgifter och överföra dem till samma router som inrättas genom den andra föreslagna förordningen.

Insamlingen av API-uppgifter från resehandlingar är också förenlig med Icaos riktlinjer för maskinläsbara resehandlingar15 som införlivats i förordning 2019/1157 om säkrare identitetskort för unionsmedborgare, rådets direktiv 2019/997 om införande av en provisorisk EU-resehandling och förordning nr 2252/2004 om standarder för säkerhetsdetaljer och biometriska kännetecken i pass. Dessa förordningar är en förutsättning för automatiserad extraktion av fullständiga uppgifter av hög kvalitet från resehandlingar.

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter.

Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

Icao, dokument 9303, Machine Readable Travel Documents, åttonde upplagan, 2021, finns på: https://www.icao.int/publications/documents/9303_p1_cons_en.pdf .

2. RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

För denna föreslagna förordning om insamling och överföring av API-uppgifter för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet är den lämpliga rättsliga grunden, med tanke på syftet och de åtgärder som föreskrivs, artiklarna 82.1 d och 87.2 a i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).

Enligt artikel 82.1 d i EUF-fördraget får unionen besluta om åtgärder för att underlätta samarbetet mellan rättsliga eller likvärdiga myndigheter i medlemsstaterna inom ramen för lagföring och verkställighet av beslut. Enligt artikel 87.2 a i EUF-fördraget får unionen föreskriva åtgärder om insamling, lagring, behandling, analys och utbyte av relevant information för polissamarbetet i EU.

Följaktligen är den rättsliga grund som används för detta förslag samma som den som används för PNR-direktivet, vilket är lämpligt med tanke på att den föreslagna förordningen i grund och botten har samma mål, men också att den syftar till att komplettera PNR-direktivet.

•Subsidiaritetsprincipen

De brottsbekämpande myndigheterna måste förses med effektiva verktyg för att bekämpa terrorism och grov brottslighet. Eftersom de flesta grova brott och terroristhandlingar inbegriper internationella resor, ofta med flyg, har PNR-uppgifter visat sig vara mycket effektiva för att skydda EU:s inre säkerhet. Utredningar som medlemsstaternas behöriga myndigheter utför i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet är dessutom i stor utsträckning beroende av internationellt och gränsöverskridande samarbete.

I ett område utan inre gränskontroller är medlemsstaternas insamling, behandling och utbyte av passageraruppgifter, däribland PNR- och API-uppgifter, också effektiva kompensationsåtgärder. Genom ett enhetligt agerande på EU-nivå kommer förslaget att bidra till att öka säkerheten för medlemsstaterna och i förlängningen för EU som helhet.

API-direktivet är en del av Schengenregelverket om passage av de yttre gränserna. Det reglerar därför inte insamling och överföring av API-uppgifter om flygningar inom EU. I avsaknad av API-uppgifter som kompletterar PNR-uppgifterna för dessa flygningar har medlemsstaterna vidtagit en rad olika åtgärder för att kompensera bristen på identitetsuppgifter om passagerarna. Det rör sig bland annat om fysiska kontroller av att identitetsuppgifterna på resehandlingen respektive boardingkortet stämmer överens, vilket ger upphov till nya problem utan att lösa det underliggande problemet med att inte ha API- uppgifter.

Åtgärder på EU-nivå kommer att bidra till att säkerställa tillämpningen av harmoniserade bestämmelser om skydd av grundläggande rättigheter, särskilt skydd av personuppgifter, i medlemsstaterna. De olika systemen i medlemsstater som redan har inrättat liknande mekanismer, eller som kommer att göra det i framtiden, kan ha negativa effekter på lufttrafikföretagen eftersom de kanske måste följa flera olika nationella krav, t.ex. när det gäller vilken typ av information som ska överföras och på vilka villkor denna information ska lämnas till medlemsstaterna. Dessa skillnader förhindrar ett effektivt samarbete mellan medlemsstaterna i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Sådana harmoniserade regler kan endast fastställas på EU-nivå.

Eftersom målen med detta förslag inte i tillräcklig utsträckning kan uppnås av medlemsstaterna själva, utan kan uppnås bättre på unionsnivå, kan slutsatsen dras att EU både

har rätt att agera och är bättre lämpat att göra detta än enskilda medlemsstater på egen hand. Förslaget är därmed förenligt med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen (EU-fördraget).

•Proportionalitetsprincipen

I enlighet med proportionalitetsprincipen i artikel 5.4 i EU-fördraget är det nödvändigt att anpassa en viss åtgärds art och intensitet till det identifierade problemet. Alla problem som tas upp i detta lagstiftningsinitiativ kräver på ett eller annat sätt lagstiftningsåtgärder på EU-nivå för att medlemsstaterna ska kunna lösa dem på ett effektivt sätt.

De föreslagna reglerna om insamling och överföring av API-uppgifter, med strikta begränsningar och skyddsåtgärder, kommer att stärka arbetet med att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. De föreslagna reglerna motsvarar därmed ett identifierat behov av att öka den inre säkerheten genom att de på ett effektivt sätt löser det problem som uppstår till följd av avsaknaden av kombinerad behandling av API-uppgifter och PNR-uppgifter, även på de flygningar inom EU för vilka medlemsstaterna mottar PNR-uppgifter.

Förslagets tillämpningsområde är begränsat till vad som är absolut nödvändigt, dvs. det är begränsat till de delar som kräver ett harmoniserat EU-tillvägagångssätt, nämligen de ändamål för vilka API-uppgifter kan användas av enheterna för passagerarinformation, de uppgiftselement som behöver samlas in och metoderna för insamling och överföring av API- uppgifter från resenärer. Överföringen av API-uppgifter till routern minskar komplexiteten för lufttrafikföretagen vad gäller att upprätthålla anslutningar till enheterna för passagerarinformation och skapar stordriftsfördelar, samtidigt som utrymmet för fel och missbruk minskar. Ändamålet omfattar endast terroristbrott och grov brottslighet, enligt definitionen i förslaget, med tanke på deras allvarliga karaktär och gränsöverskridande dimension.

För att begränsa ingreppet i passagerarnas rättigheter till vad som är absolut nödvändigt fastställs ett antal skyddsåtgärder i förslaget. Närmare bestämt är behandlingen av API- uppgifter enligt den föreslagna förordningen begränsad till en uttömmande och begränsad förteckning över API-uppgifter. Utöver detta ska inga ytterligare identitetsuppgifter samlas in. Dessutom innehåller den föreslagna förordningen endast regler om insamling och överföring av API-uppgifter via routern till enheterna för passagerarinformation för de begränsade ändamål som anges i förordningen och reglerar inte vidarebehandling av API-uppgifter vid enheterna för passagerarinformation, eftersom detta, som förklaras ovan, omfattas av andra EU-rättsakter (PNR-direktivet, lagstiftningen om skydd av personuppgifter och stadgan). Routerns funktioner och i synnerhet dess förmåga att samla in och tillhandahålla omfattande statistik stöder också övervakningen av hur lufttrafikföretagen och enheterna för passagerarinformation genomför denna förordning. Vissa särskilda skyddsåtgärder föreskrivs också, såsom regler om loggning, skydd av personuppgifter och säkerhet.

För att säkerställa att uppgiftsbehandlingen enligt den föreslagna förordningen, närmare bestämt insamlingen och överföringen av API-uppgifter om flygningar inom EU, är nödvändig och proportionerlig kommer medlemsstaterna endast att ta emot API-uppgifter för de flygningar inom EU som de har valt ut i enlighet med EU-domstolens ovannämnda rättspraxis. Dessutom skulle vidarebehandling av API-uppgifter vid enheterna för passagerarinformation omfattas av de begränsningar och skyddsåtgärder som fastställs i PNR-

direktivet, som det tolkats av EU-domstolen i målet Ligue des droits humains16 mot bakgrund av stadgan.

•Val av instrument

Den föreslagna åtgärden är en förordning. Med tanke på att de föreslagna åtgärderna måste vara direkt tillämpliga och tillämpas enhetligt i alla medlemsstater är en förordning det lämpliga valet av rättsligt instrument.

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Efterhandsutvärdering av befintlig lagstiftning

API-direktivet hindrar inte behandling av API-uppgifter för brottsbekämpande ändamål i enlighet med nationell lagstiftning och kraven på skydd av personuppgifter. Som framgick av utvärderingen av API-direktivet är dock genomförandet av denna möjlighet i medlemsstaterna problematiskt och har lett till säkerhetsbrister på grund av att det saknas EU-definierade kriterier för insamling och överföring av API-uppgifter för brottsbekämpande ändamål17:

–Det brottsbekämpande ändamålet tolkas brett i vissa medlemsstaters nationella lagstiftning och omfattar allt från administrativa överträdelser och förstärkning av den inre säkerheten och den allmänna ordningen till bekämpning av terrorism och skydd av nationella säkerhetsintressen. Utvärderingen av API-direktivet visade också att en effektiv användning av API-uppgifter för brottsbekämpning skulle kräva ett särskilt rättsligt instrument för just detta ändamål18.

–De många olika ändamålen med att samla in API-uppgifter gör det svårare att säkerställa efterlevnaden av EU:s regelverk om skydd av personuppgifter. Kravet på att radera API-uppgifter inom 24 timmar har fastställts endast för användningen av API-uppgifter för det huvudsakliga målet med API-direktivet, dvs. förvaltning av de yttre gränserna. Det är oklart om detta krav även gäller för behandling som utförs för brottsbekämpande ändamål.

–Den uppsättning API-uppgifter som kan begäras av lufttrafikföretag för brottsbekämpande ändamål, plus vissa medlemsstaters praxis att begära API- uppgifter som inte finns med i den icke uttömmande förteckningen i API-direktivet, gör det ännu svårare för lufttrafikföretagen att följa de olika kraven när de transporterar passagerare till EU.

–API-direktivet anger heller inte för vilka flygningar API-uppgifter kan begäras, till vilken myndighet API-uppgifter bör överföras eller villkoren för tillgång till sådana uppgifter för brottsbekämpande ändamål.

•Samråd med berörda parter

Utarbetandet av detta förslag omfattade många olika samråd med berörda parter, bland annat medlemsstaternas myndigheter (behöriga gränsmyndigheter och enheter för passagerarinformation), företrädare för transportbranschen och enskilda lufttrafikföretag. EU-

Domstolens dom av den 21 juni 2022 i mål C-817/19, Ligue des droits humains.

Europeiska kommissionen, arbetsdokument från kommissionens avdelningar, Evaluation of the Council Directive 2004/82/EC on the obligation of carriers to communicate passenger data (API Directive), Bryssel, 8.9.2020, SWD(2020)174 final, s. 26 och 43.

SWD(2020) 174, s. 57.

byråer – såsom Europeiska gräns- och kustbevakningsbyrån (Frontex), Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol), Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu- LISA) och Europeiska unionens byrå för grundläggande rättigheter (FRA) – bidrog också med synpunkter. I detta initiativ integreras också de synpunkter som kom in under det offentliga samråd som genomfördes i slutet av 2019 inom ramen för utvärderingen av API- direktivet19.

Vid samråden i samband med utarbetandet av den konsekvensbedömning som ligger till grund för detta förslag inhämtades återkoppling från berörda parter på flera olika sätt. Man gjorde bland annat en inledande konsekvensbedömning, en extern stödstudie och ett antal tekniska seminarier.

En inledande konsekvensbedömning offentliggjordes för återkoppling från den 5 juni 2020 till den 14 augusti 2020. Totalt sju bidrag lämnades in med återkoppling om utvidgningen av tillämpningsområdet för det framtida API-direktivet, uppgiftskvalitet, sanktioner, förhållandet mellan API- och PNR-uppgifter samt skydd av personuppgifter20.

Den externa stödstudien genomfördes på grundval av skrivbordsundersökningar, intervjuer och enkäter med ämnesexperter och undersökte olika möjliga åtgärder för behandling av API- uppgifter med tydliga regler som underlättar lagligt resande och är förenliga med EU- informationssystemens interoperabilitet, EU:s krav på skydd av personuppgifter och andra befintliga EU-instrument och internationella standarder.

Kommissionens avdelningar organiserade även en serie tekniska seminarier med experter från medlemsstaterna och de Schengenassocierade länderna. Målet med seminarierna var att sammanföra experter i en diskussion om möjliga alternativ för att stärka den framtida API- ramen för gränsförvaltning samt för bekämpning av brottslighet och terrorism.

I den åtföljande konsekvensbedömningen finns en mer utförlig redogörelse för samråden med berörda parter (bilaga 2).

•Konsekvensbedömning

I linje med riktlinjerna för bättre lagstiftning har kommissionen gjort en konsekvensbedömning som presenteras i det åtföljande arbetsdokumentet från kommissionens avdelningar [referens]. Nämnden för lagstiftningskontroll granskade utkastet till konsekvensbedömning vid sitt möte den 28 september 2022 och avgav ett positivt yttrande den 30 september 2022.

Mot bakgrund av de problem som identifierats vad gäller insamling och överföring av API- uppgifter, utvärderades i konsekvensbedömningen åtgärdsalternativ för omfattningen av insamlingen av API-uppgifter för förvaltning av de yttre gränserna och för brottsbekämpande ändamål, tillsammans med alternativ för hur kvaliteten på API-uppgifter kan förbättras. När det gäller insamling av API-uppgifter för brottsbekämpande ändamål beaktade konsekvensbedömningen dels alternativet att samla in API-uppgifter om alla flygningar utanför EU, dels alternativet att samla in API-uppgifter både om alla flygningar utanför EU och om utvalda flygningar inom EU. Dessutom övervägde man i konsekvensbedömningen även alternativ för att förbättra kvaliteten på API-uppgifterna – antingen att samla in API-

SWD(2020)174. https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Border-law- enforcement-advance-air-passenger-information-API-revised-rules_sv .

uppgifter med både automatiserade och manuella metoder eller att samla in API-uppgifter enbart med automatiserade metoder.

På grundval av resultaten i konsekvensbedömningsrapporten är det rekommenderade alternativet för ett API-instrument för brottsbekämpande ändamål att samla in API-uppgifter om alla flygningar till och från EU och om utvalda flygningar inom EU för vilka PNR- uppgifter överförs. Detta kommer att avsevärt öka tillförlitligheten i den nödvändiga analysen av relevanta uppgifter om flygresenärer i kampen mot grov brottslighet och terrorism, i och med att enheterna för passagerarinformation får tillgång till API-uppgifter, som verifierats och därmed håller högre kvalitet, för att identifiera personer som är inblandade i grov brottslighet eller terrorism. Insamlingen och överföringen av API-uppgifter för brottsbekämpande ändamål bygger på den kapacitet som utvecklats för överföring av API-uppgifter, via routern, för förvaltningen av de yttre gränserna, utan ytterligare kostnader för eu-LISA. Lufttrafikföretagen överför API-uppgifter endast till routern, som sedan överför dessa uppgifter till enheten för passagerarinformation i varje berörd medlemsstat. I konsekvensbedömningen drogs slutsatsen att detta för lufttrafikföretagen är en kostnadseffektiv lösning som sänker en del av deras överföringskostnader, samtidigt som utrymmet för fel eller missbruk begränsas. Till skillnad från den nuvarande situationen skulle lufttrafikföretagen enligt den föreslagna förordningen dock behöva samla in och överföra API-uppgifter om alla flygningar som omfattas, oavsett deras normala affärsbehov och inbegripet flygningar inom EU. Förslaget är förenligt med det klimatneutralitetsmål som fastställs i den europeiska klimatlagen21 och unionens mål för 2030 och 2040.

•Grundläggande rättigheter

Detta initiativ innehåller bestämmelser om behandling av resenärers personuppgifter och begränsar därför utövandet av den grundläggande rätt till skydd av personuppgifter som garanteras i artikel 8 i stadgan och artikel 16 i EUF-fördraget. Som Europeiska unionens domstol (domstolen) har betonat22 är rätten till skydd av personuppgifter inte en absolut rättighet utan måste förstås utifrån sin funktion i samhället, och alla begränsningar måste uppfylla kriterierna i artikel 52.1 i stadgan23. Skyddet av personuppgifter är också nära kopplat till rätten till integritet, som en del av den rätt till respekt för privatlivet och familjelivet som skyddas av artikel 7 i stadgan.

När det gäller insamling och överföring av API-uppgifter för utvalda flygningar inom EU påverkar detta initiativ även utövandet av den grundläggande rätten till fri rörlighet enligt artikel 45 i stadgan och artikel 21 i EUF-fördraget. Enligt domstolen kan en begränsning av den fria rörligheten för personer vara motiverad endast om den grundar sig på objektiva hänsyn och står i proportion till det legitima syfte som eftersträvas med de nationella bestämmelserna24.

Artikel 2.1 i förordning (EU) 2021/1119 av den 30 juni 2021 om inrättande av en ram för att uppnå klimatneutralitet (europeisk klimatlag).

Domstolens dom av den 9 november 2010 i de förenade målen C-92/09 och C-93/09, Volker und Markus Schecke och Eifert, ECR I-0000, 2010.

I enlighet med artikel 52.1 i stadgan får utövandet av rätten till dataskydd begränsas, under förutsättning att begränsningarna har föreskrivits i lag, är förenliga med det väsentliga innehållet i rättigheten och friheterna och, med beaktande av proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

Domstolens dom av den 5 juni 2018 i mål C-673/16, Coman.

Enligt denna förordning kan insamling och överföring av API-uppgifter endast ske för att förebygga, förhindra, upptäcka, utreda och lagföra terrorism och grov brottslighet, enligt definitionen i PNR-direktivet. Bestämmelserna i detta förslag föreskriver enhetliga kriterier för insamling och överföring av API-uppgifter om flygningar utanför EU (inkommande och utgående flygningar), å ena sidan, och utvalda flygningar inom EU, å andra sidan, på grundval av en bedömning som görs av medlemsstaterna och som är föremål för regelbunden översyn, i enlighet med de krav som domstolen fastställde i målet Ligue des droits humains. Lufttrafikföretagens skyldighet att samla in och överföra API-uppgifter till routern omfattar alla flygningar inom EU. Routerns överföring till enheterna för passagerarinformation är en teknisk lösning för att begränsa överföringen av API-uppgifter till enheterna för passagerarinformation till enbart utvalda flygningar, utan att lämna ut konfidentiell information om vilka flygningar inom EU som valts ut. Sådan information ska behandlas konfidentiellt, med tanke på den risk för kringgående som skulle föreligga om den blev känd för allmänheten eller framför allt för personer som är inblandade i grov brottslighet eller terroristverksamhet.

Lufttrafikföretagens obligatoriska användning av automatiserade metoder för att samla in vissa API-uppgifter från resenärer kan medföra risker, även när det gäller skyddet av personuppgifter. Dessa risker har dock begränsats och minskats. För det första gäller kravet endast för vissa API-uppgifter, där automatiserade metoder kan användas på ett ansvarsfullt sätt, dvs. maskinläsbara uppgifter i resehandlingar. För det andra innehåller den föreslagna förordningen krav angående de automatiserade metoder som ska användas, vilka ska fastställas i närmare detalj i en delegerad akt. Slutligen föreskrivs flera skyddsåtgärder, såsom loggning, särskilda regler om skydd av personuppgifter och effektiv tillsyn.

Även om den föreslagna förordningen inte – utöver den bestämmelse som säkerställer efterlevnad av principen om ändamålsbegränsning – skulle reglera hur de behöriga gränsmyndigheterna använder de API-uppgifter som de mottar inom ramen för denna eftersom detta (som förklaras ovan) redan omfattas av annan lagstiftning, erinras det i skälen för tydlighetens skull om att sådan användning inte får leda till någon diskriminering som är förbjuden enligt artikel 21 i stadgan.

4.BUDGETKONSEKVENSER

Detta lagstiftningsinitiativ om insamling och överföring av API-uppgifter för att underlätta kontroller vid de yttre gränserna respektive för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet skulle påverka eu-LISA:s och medlemsstaternas behöriga myndigheters budget- och personalbehov.

För eu-LISA:s del behövs tilläggsmedel på uppskattningsvis omkring 45 miljoner euro (33 miljoner inom den nuvarande fleråriga budgetramen) för att inrätta routern och 9 miljoner euro per år från och med 2029 för den tekniska förvaltningen av routern, samt omkring 27 ytterligare tjänster för att säkerställa att eu-LISA har de resurser som krävs för att utföra de uppgifter som byrån tilldelas genom denna föreslagna förordning och genom den föreslagna förordningen om insamling och överföring av API-uppgifter för att underlätta kontroller vid de yttre gränserna.

För medlemsstaternas del uppskattas det att 11 miljoner euro (3 miljoner euro inom den nuvarande fleråriga budgetramen) som avsatts för att uppgradera de nödvändiga nationella systemen och infrastrukturerna för enheterna för passagerarinformation, och gradvis upp till uppskattningsvis 2 miljoner euro per år från och med 2028, skulle kunna berättiga till ersättning

från Fonden för inre säkerhet25. Sådana anspråk måste i slutändan fastställas i enlighet med de regler som reglerar dessa fonder samt reglerna om kostnader i den föreslagna förordningen.

Med tanke på den nära kopplingen mellan denna föreslagna förordning och den föreslagna förordningen om insamling och överföring av API-uppgifter för att underlätta kontroller vid de yttre gränserna, särskilt när det gäller överföring av API-uppgifter till routern, är finansieringsöversikten i bilagan till denna föreslagna förordning identisk för båda förslagen.

5.ÖVRIGA INSLAG

•Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering

Enligt förslaget skulle kommissionen säkerställa att nödvändiga arrangemang har införts för att övervaka de föreslagna åtgärdernas funktion och för att utvärdera dem i förhållande till de viktigaste politiska målen. Fyra år efter det att den föreslagna API-förordningen har börjat tillämpas, och därefter vart fjärde år, skulle kommissionen lägga fram en rapport för Europaparlamentet och rådet med en bedömning av genomförandet av förordningen och dess mervärde. Rapporten skulle också redogöra för eventuella direkta eller indirekta effekter på de grundläggande rättigheterna. I rapporten skulle kommissionen granska uppnådda resultat jämfört med målen och bedöma huruvida de underliggande orsakerna fortfarande är aktuella och eventuella följder för framtida alternativ.

I och med skyldigheten för lufttrafikföretag att samla in API-uppgifter om flygningar utanför EU och utvalda flygningar inom EU och införandet av API-routern får man en tydligare bild av såväl lufttrafikföretagens överföring av API-uppgifter som medlemsstaternas användning av API-uppgifterna i enlighet med tillämplig nationell lagstiftning och unionslagstiftning. Detta kommer att stödja kommissionen i dess utvärderings- och tillsynsuppgifter genom att den får tillförlitlig statistik om mängden överförda uppgifter och om de flygningar för vilka API-uppgifter skulle begäras.

•Ingående redogörelse för de specifika bestämmelserna i förslaget

I kapitel 1 fastställs de allmänna bestämmelserna för denna förordning, först och främst regler om dess innehåll och tillämpningsområde. Det innehåller också en förteckning över definitioner.

Kapitel 2 innehåller bestämmelser om lufttrafikföretags insamling, överföring till routern och radering av API-uppgifter samt regler för överföring av API-uppgifter från routern till enheterna för passagerarinformation.

Kapitel 3 innehåller särskilda bestämmelser om loggar, specifikationer om vilka som är personuppgiftsansvariga avseende behandling av API-uppgifter som utgör personuppgifter enligt denna förordning, säkerhet samt egenkontroll för lufttrafikföretag och enheter för passagerarinformation.

I kapitel 4 fastställs vidare regler om anslutningar till och integrering med routern för enheterna för passagerarinformation och lufttrafikföretagen, samt om medlemsstaternas kostnader i samband med detta. Det innehåller också bestämmelser om en situation där det helt eller delvis är tekniskt omöjligt att använda routern och om ansvar för skador på routern.

25Europaparlamentets och rådets förordning (EU) 2021/1149 av den 7 juli 2021 om inrättande av Fonden för inre säkerhet.

Kapitel 5 innehåller bestämmelser om tillsyn, möjliga sanktioner som tillämpas på lufttrafikföretag om de inte fullgör sina skyldigheter enligt denna förordning och om kommissionens utarbetande av en handbok.

I kapitel 6 föreskrivs ändringar av andra befintliga instrument, närmare bestämt förordning (EU) 2019/818.

Kapitel 7 innehåller förordningens slutbestämmelser, som rör antagande av delegerade akter, övervakning och utvärdering av förordningen samt dess ikraftträdande och tillämpning.

2022/0425 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 82.1 d och 87.2 a,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande26,

i enlighet med det ordinarie lagstiftningsförfarandet, och av följande skäl:

1)Den grova och organiserade brottslighetens gränsöverskridande dimension och det ständiga hotet om terroristattacker på europeisk mark kräver att man på unionsnivå vidtar lämpliga åtgärder för att säkerställa säkerheten inom ett område med frihet, säkerhet och rättvisa utan inre gränser. Information om flygresenärer, såsom passageraruppgiftssamlingar (PNR-uppgifter) och i synnerhet förhandsinformation om passagerare (API-uppgifter), är avgörande för att identifiera högriskresenärer, även sådana som brottsbekämpande myndigheter inte annars känner till, och för att fastställa kopplingar mellan medlemmar i kriminella grupper och bekämpa terroristverksamhet.

2)I rådets direktiv 2004/82/EG27 fastställs en rättslig ram för lufttrafikföretags insamling och överföring av API-uppgifter i syfte att förbättra gränskontrollerna och bekämpa olaglig invandring, men där anges också att medlemsstaterna får använda API- uppgifter ”för att säkerställa efterlevnaden av lagarna”. Att bara skapa en sådan möjlighet öppnar dock för flera luckor och brister. Det innebär i synnerhet att API- uppgifter trots sin relevans för brottsbekämpande ändamål inte alltid samlas in och överförs av lufttrafikföretag för dessa ändamål. Det innebär också att lufttrafikföretag i de fall där medlemsstaterna utnyttjat denna möjlighet ställs inför olika krav i nationell lagstiftning när det gäller när och hur API-uppgifter ska samlas in för detta ändamål. Dessa skillnader leder inte bara till onödiga kostnader och komplikationer för lufttrafikföretagen, utan skadar också unionens inre säkerhet och ett effektivt samarbete mellan medlemsstaternas behöriga brottsbekämpande myndigheter. Med

EUT C , , s. .

Rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (EUT L 261, 6.8.2004, s. 24).

tanke på skillnaderna mellan ändamålen att underlätta gränskontroller och att bekämpa brott är det dessutom lämpligt att fastställa en särskild rättslig ram för insamling och överföring av API-uppgifter för vart och ett av dessa ändamål.

3)I Europaparlamentets och rådets direktiv (EU) 2016/68128 fastställs regler om användningen av PNR-uppgifter för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Enligt det direktivet ska medlemsstaterna anta de åtgärder som är nödvändiga för att se till att lufttrafikföretag överför PNR- uppgifter, inbegripet eventuella API-uppgifter som samlats in, till den nationella enhet för passagerarinformation som inrättats i enlighet med det direktivet, förutsatt att de redan samlar in sådana uppgifter som en del av sin normala affärsverksamhet. Följaktligen garanterar direktivet inte insamling och överföring av API-uppgifter i samtliga fall, eftersom lufttrafikföretagen inte har något affärsmässigt ändamål med att samla in en fullständig uppsättning uppgifter. Det är viktigt att säkerställa att enheterna för passagerarinformation får API-uppgifter tillsammans med PNR- uppgifter, eftersom kombinerad behandling av sådana uppgifter behövs för att medlemsstaternas behöriga brottsbekämpande myndigheter på ett effektivt sätt ska kunna förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Sådan kombinerad behandling gör det i synnerhet möjligt att korrekt identifiera de passagerare som dessa myndigheter kan behöva granska ytterligare, i enlighet med tillämplig lagstiftning. I direktivet specificeras inte heller i detalj vilken information som utgör API-uppgifter. Därför bör kompletterande regler fastställas som kräver att lufttrafikföretag samlar in och därefter överför en specifikt definierad uppsättning API-uppgifter, och dessa krav bör gälla i den mån lufttrafikföretagen enligt det direktivet är skyldiga att samla in och överföra PNR-uppgifter för samma flygning.

4)Det är därför nödvändigt att på unionsnivå fastställa tydliga, harmoniserade och effektiva regler för insamling och överföring av API-uppgifter i syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.

5)Med tanke på det nära sambandet mellan de båda rättsakterna bör denna förordning tolkas som ett komplement till reglerna i direktiv (EU) 2016/681. Avsikten är att API- uppgifter samlas in och överförs i enlighet med de särskilda kraven i denna förordning, inbegripet när det gäller i vilka situationer och på vilket sätt detta ska göras. Reglerna i det direktivet är dock tillämpliga på frågor som inte specifikt omfattas av denna förordning, särskilt reglerna om vidarebehandling av API-uppgifter som mottagits av enheterna för passagerarinformation, utbyte av information mellan medlemsstaterna, villkor för åtkomst för Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol), överföringar till tredjeländer, lagring och avpersonalisering samt skydd av personuppgifter. I den mån de är tillämpliga gäller även direktivets regler om sanktioner och de nationella tillsynsmyndigheterna. Denna förordning bör inte påverka dessa regler.

6)Insamling och överföring av API-uppgifter påverkar enskildas integritet och inbegriper behandling av personuppgifter. För att fullt ut respektera de grundläggande rättigheterna, särskilt rätten till respekt för privatlivet och rätten till skydd av personuppgifter, i enlighet med Europeiska unionens stadga om de grundläggande

28Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (EUT L 119, 4.5.2016, s. 132).

rättigheterna (stadgan), bör lämpliga begränsningar och skyddsåtgärder föreskrivas. I synnerhet bör all behandling av API-uppgifter, framför allt API-uppgifter som utgör personuppgifter, begränsas till vad som är nödvändigt och proportionellt för att uppnå de mål som eftersträvas med denna förordning. Dessutom bör det säkerställas att de API-uppgifter som samlas in och överförs enligt denna förordning inte leder till någon form av diskriminering som är förbjuden enligt stadgan.

7)Med tanke på att denna förordning kompletterar direktiv (EU) 2016/681 bör lufttrafikföretagens skyldigheter enligt denna förordning gälla för alla flygningar för vilka medlemsstaterna måste ålägga lufttrafikföretagen att överföra PNR-uppgifter enligt direktiv (EU) 2016/681, dvs. både reguljära och icke-reguljära flygningar, både mellan medlemsstater och tredjeländer (flygningar utanför EU) och mellan medlemsstater (flygningar inom EU) i den mån dessa flygningar har valts ut i enlighet med direktiv (EU) 2016/681, oavsett var de lufttrafikföretag som utför dessa flygningar är etablerade,

8)Med tanke på att direktiv (EU) 2016/681 inte omfattar inrikesflygningar, dvs. flygningar som avgår från och landar på samma medlemsstats territorium utan mellanlandning på en annan medlemsstats eller ett tredjelands territorium, och mot bakgrund av att de terroristbrott och den grova brottslighet som omfattas av denna förordning till sin natur är gränsöverskridande, bör sådana flygningar inte omfattas av denna förordning heller. Denna förordning bör inte tolkas som att den påverkar medlemsstaternas möjlighet att i sin nationella lagstiftning och i enlighet med unionsrätten föreskriva skyldigheter för lufttrafikföretag att samla in och överföra API-uppgifter om sådana inrikesflygningar.

9)Med tanke på det nära sambandet mellan de berörda unionsrättsakterna och för konsekvensens och enhetlighetens skull bör definitionerna i denna förordning i så stor utsträckning som möjligt anpassas till, och tolkas och tillämpas mot bakgrund av, definitionerna i direktiv (EU) 2016/681 och förordning (EU) [API för gränsförvaltning]29.

10)De uppgiftselement som tillsammans utgör de API-uppgifter som ska samlas in och därefter överföras enligt denna förordning bör vara de som förtecknas tydligt och uttömmande i förordning (EU) [API för gränsförvaltning] och omfatta både information om varje passagerare och information om passagerarens flygning. Enligt denna förordning bör sådan flyginformation omfatta information om gränsövergångsstället för inresa till den berörda medlemsstatens territorium endast i tillämpliga fall, dvs. inte när API-uppgifterna avser flygningar inom EU.

11)För att säkerställa ett konsekvent tillvägagångssätt för lufttrafikföretags insamling och överföring av API-uppgifter i största möjliga utsträckning bör reglerna i denna förordning anpassas till reglerna i förordning (EU) [API för gränsförvaltning] när så är lämpligt. Detta gäller särskilt reglerna om uppgiftskvalitet, lufttrafikföretagens användning av automatiserade metoder för sådan insamling, det exakta sätt på vilket de ska överföra insamlade API-uppgifter till routern och raderingen av API- uppgifterna.

12)För att säkerställa kombinerad behandling av API-uppgifter och PNR-uppgifter för att effektivt bekämpa terrorism och grov brottslighet i unionen och samtidigt minimera ingreppet i passagerarnas grundläggande rättigheter som skyddas enligt stadgan, bör

29EUT C , , s. .

enheterna för passagerarinformation vara de behöriga myndigheter i medlemsstaterna som har anförtrotts att ta emot och därefter vidarebehandla och skydda API-uppgifter som samlas in och överförs enligt denna förordning. Av effektivitetsskäl och för att minimera eventuella säkerhetsrisker bör routern, som utformas, utvecklas, hyses och tekniskt underhålls av Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA) i enlighet med förordning (EU) [API för gränsförvaltning], till de relevanta enheterna för passagerarinformation överföra de API-uppgifter som lufttrafikföretagen samlat in och överfört till den enligt denna förordning. Med tanke på den nödvändiga skyddsnivån för API-uppgifter som utgör personuppgifter, även för att säkerställa konfidentialiteten för den berörda informationen, bör API-uppgifterna överföras av routern till de relevanta enheterna för passagerarinformation på ett automatiserat sätt.

13)Enheten för passagerarinformation i den medlemsstat på vars territorium flygningen kommer att landa eller från vars territorium flygningen kommer att avgå bör erhålla API-uppgifterna från routern för alla flygningar utanför EU, med tanke på att PNR- uppgifter samlas in för alla dessa flygningar i enlighet med direktiv (EU) 2016/681. Routern bör identifiera flygningen och motsvarande enheter för passagerarinformation med hjälp av informationen i PNR-numret, ett uppgiftselement som är gemensamt för både API- och PNR-uppgifterna och som gör det möjligt för enheterna för passagerarinformation att behandla API-uppgifter och PNR-uppgifter tillsammans.

14)När det gäller flygningar inom EU bör ett selektivt tillvägagångssätt föreskrivas, i enlighet med rättspraxis från Europeiska unionens domstol, för att undvika att otillbörligt inkräkta på de berörda grundläggande rättigheter som skyddas enligt stadgan och för att säkerställa efterlevnad av kraven i unionsrätten om fri rörlighet för personer och avskaffande av kontroller vid de inre gränserna. Med tanke på vikten av att säkerställa att API-uppgifter kan behandlas tillsammans med PNR-uppgifter bör detta tillvägagångssätt anpassas till det i direktiv (EU) 2016/681. Därför bör API- uppgifter om dessa flygningar endast överföras från routern till de relevanta enheterna för passagerarinformation om medlemsstaterna har valt ut de berörda flygningarna med tillämpning av artikel 2 i direktiv (EU) 2016/681. Som domstolen påpekat innebär valet att medlemsstaterna endast inriktar de berörda skyldigheterna på t.ex. vissa rutter, resemönster eller flygplatser, och valet är föremål för regelbunden översyn.

15)För att göra det möjligt att tillämpa detta selektiva tillvägagångssätt enligt denna förordning på flygningar inom EU bör medlemsstaterna vara skyldiga att upprätta och till eu-LISA lämna förteckningarna över de flygningar som de valt, så att eu-LISA kan säkerställa att API-uppgifter överförs från routern till relevanta enheter för passagerarinformation endast för dessa flygningar och att API-uppgifterna om andra flygningar inom EU raderas omedelbart och permanent.

16)För att inte äventyra effektiviteten hos det system som bygger på insamling och överföring av API-uppgifter i enlighet med denna förordning och av PNR-uppgifter i enlighet med direktiv (EU) 2016/681 för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, särskilt genom att skapa en risk för kringgående, bör information om vilka flygningar inom EU som valts ut av medlemsstaterna behandlas konfidentiellt. Av denna orsak bör sådan information inte delas med lufttrafikföretagen utan de bör vara skyldiga att samla in API-uppgifter om alla flygningar som omfattas av denna förordning, även alla flygningar inom EU, och sedan överföra dem till routern, där det nödvändiga urvalet bör ske. Genom att API- uppgifter samlas in om alla flygningar inom EU informeras passagerarna inte heller

om för vilka utvalda flygningar inom EU API-uppgifter, och därmed även PNR- uppgifter, överförs till enheter för passagerarinformation i enhet med medlemsstaternas bedömning. Detta tillvägagångssätt säkerställer också att eventuella ändringar i detta urval kan göras snabbt och effektivt, utan att medföra några onödiga ekonomiska och operativa bördor för lufttrafikföretagen.

17)För att säkerställa överensstämmelse med den grundläggande rätten till skydd av personuppgifter och i enlighet med förordning (EU) [API för gränsförvaltning] bör de personuppgiftsansvariga fastställas i denna förordning. För att säkerställa en effektiv övervakning och lämpligt skydd av personuppgifter och minimera säkerhetsriskerna bör det också fastställas regler för loggning, säkerhet vid behandling och egenkontroll. När bestämmelserna rör behandling av personuppgifter bör de tolkas som ett komplement till de allmänt tillämpliga unionsrättsakterna om skydd av personuppgifter, särskilt Europaparlamentets och rådets förordning (EU) 2016/67930, Europaparlamentets och rådets direktiv (EU) 2016/68031 och Europaparlamentets och rådets förordning (EU) 2018/172532. Dessa akter, som också är tillämpliga på behandling av personuppgifter enligt denna förordning i enlighet med dess bestämmelser, bör inte påverkas av denna förordning.

18)Den router som ska skapas och drivas enligt förordning (EU) [API för gränsförvaltning] bör minska och förenkla de tekniska anslutningar som krävs för att överföra API-uppgifter och begränsa dem till en enda anslutning per lufttrafikföretag och per enhet för passagerarinformation. I denna förordning föreskrivs därför en skyldighet för varje enhet för passagerarinformation och lufttrafikföretag att upprätta en sådan anslutning till och uppnå den nödvändiga integrationen med routern, för att säkerställa att det system för överföring av API-uppgifter som inrättas genom denna förordning kan fungera korrekt.

19)Med tanke på de unionsintressen som står på spel bör lämpliga kostnader som medlemsstaterna ådrar sig i samband med sina anslutningar till, och sin integrering med, routern, i enlighet med kraven i denna förordning belasta unionens budget, i enlighet med tillämplig lagstiftning och med förbehåll för vissa undantag. Varje berörd medlemsstat bör själv stå för de kostnader som omfattas av dessa undantag.

20)I enlighet med förordning (EU) 2018/1726 får medlemsstaterna anförtro eu-LISA uppgiften att underlätta förbindelserna med lufttrafikföretag för att bistå medlemsstaterna i genomförandet av direktiv (EU) 2016/681, särskilt genom att samla in och överföra PNR-uppgifter via routern.

21)Det kan inte uteslutas att routern eller de system eller den infrastruktur som ansluter enheterna för passagerarinformation och lufttrafikföretagen till den i exceptionella omständigheter, och trots att alla rimliga åtgärder har vidtagits i enlighet med denna

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, EUT L 119, 4.5.2016, s. 89.

förordning och, när det gäller routern, förordning (EU) [API för gränsförvaltning], inte fungerar korrekt och att det därmed är tekniskt omöjligt att använda routern för att överföra API-uppgifter. Med tanke på att routern inte är tillgänglig och att det i allmänhet inte kommer att vara rimligen möjligt för lufttrafikföretag att överföra de API-uppgifter som påverkas av felet på ett lagligt, säkert, effektivt och snabbt sätt med alternativa metoder, bör lufttrafikföretagens skyldighet att överföra dessa API- uppgifter till routern upphöra att gälla under den tid som den tekniska omöjligheten kvarstår. För att minimera varaktigheten och de negativa konsekvenserna av detta bör de berörda parterna i sådana fall omedelbart underrätta varandra och omedelbart vidta alla nödvändiga åtgärder för att åtgärda den tekniska omöjligheten. Detta arrangemang bör inte påverka alla berörda parters skyldigheter enligt denna förordning att säkerställa att routern och deras respektive system och infrastruktur fungerar korrekt, och inte heller det faktum att lufttrafikföretag blir föremål för sanktioner när de underlåter att uppfylla dessa skyldigheter, bland annat när de försöker utnyttja detta arrangemang när det inte är motiverat. För att motverka sådant missbruk och underlätta tillsyn och vid behov införande av sanktioner bör de lufttrafikföretag som utnyttjar detta arrangemang på grund av fel i sitt eget system och sin egen infrastruktur rapportera om detta till den behöriga tillsynsmyndigheten.

22)För att säkerställa att lufttrafikföretagen tillämpar reglerna i denna förordning på ett effektivt sätt bör det föreskrivas att nationella myndigheter utses som ges befogenhet att ansvara för tillsynen av dessa regler. Reglerna i denna förordning om sådan tillsyn, även när det gäller införande av sanktioner vid behov, bör inte påverka uppgifterna och befogenheterna för de tillsynsmyndigheter som inrättats i enlighet med förordning (EU) 2016/679 och direktiv (EU) 2016/680, inte heller när det gäller behandling av personuppgifter enligt denna förordning.

23)Medlemsstaterna bör fastställa effektiva, proportionella och avskräckande sanktioner, även ekonomiska sanktioner, för de lufttrafikföretag som inte uppfyller sina skyldigheter med avseende på insamling och överföring av API-uppgifter enligt denna förordning.

24)För att anta åtgärder avseende de tekniska kraven och operativa reglerna för automatiserade metoder för insamling av maskinläsbara API-uppgifter, de gemensamma protokoll och format som ska användas för lufttrafikföretagens överföring av API-uppgifter, de tekniska och förfarandemässiga reglerna för överföring av API-uppgifter från routern till enheterna för passagerarinformation samt enheterna för passagerarinformations och lufttrafikföretagens anslutningar till och integrering med routern, bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen med avseende på artiklarna 4, 5, 10 respektive 11. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning33. För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

33EUT L 123, 12.5.2016, s. 1.

25) Alla berörda parter, särskilt lufttrafikföretagen och enheterna för passagerarinformation, bör få tillräckligt med tid för att göra de förberedelser som krävs för att de ska kunna fullgöra sina respektive skyldigheter enligt denna förordning, med beaktande av att vissa av dessa förberedelser, såsom de som rör skyldigheter avseende anslutning till och integrering med routern, kan färdigställas först när routerns utformnings- och utvecklingsfaser har slutförts och routern tas i drift. Därför bör denna förordning endast tillämpas från och med ett lämpligt datum efter den dag då routern tas i drift, vilket fastställs av kommissionen i enlighet med förordning (EU) [API för gränsförvaltning]. Det bör dock vara möjligt för kommissionen att anta delegerade akter enligt denna förordning redan från och med ett tidigare datum, för att säkerställa att det system som inrättas genom denna förordning kan tas i drift så snart som möjligt.

26)Målen för denna förordning, dvs. att bidra till att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, kan inte i tillräcklig utsträckning uppnås av enskilda medlemsstater, med tanke på de berörda brottens gränsöverskridande dimension och behovet av att samarbeta över gränserna för att effektivt komma till rätta med dem, utan kan uppnås bättre på unionsnivå. Unionen får därför vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

27)I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark.

28)[I enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, har Irland meddelat att det önskar delta i antagandet och tillämpningen av denna förordning.] ELLER [I enlighet med artiklarna 1 och 2 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, och utan att det påverkar tillämpningen av artikel 4 i det protokollet, deltar Irland inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Irland.]

29)Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den [XX]34.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL 1

ALLMÄNNA BESTÄMMELSER

Artikel 1

Innehåll

34[EUT C …].

I syfte att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet fastställs i denna förordning regler om

a)lufttrafikföretags insamling av förhandsinformation om passagerare (API- uppgifter) om flygningar utanför EU och utvalda flygningar inom EU,

b)lufttrafikföretags överföring av API-uppgifter till routern,

c)överföring från routern till enheterna för passagerarinformation av API- uppgifter om flygningar utanför EU och utvalda flygningar inom EU.

Artikel 2

Tillämpningsområde

Denna förordning är tillämplig på lufttrafikföretag som utför reguljära eller icke-reguljära flygningar utanför EU eller flygningar inom EU.

Artikel 3

Definitioner

I denna förordning gäller följande definitioner:

a)lufttrafikföretag: ett lufttrafikföretag som omfattas av definitionen i artikel 3.1 i direktiv (EU) 2016/681.

b)flygning utanför EU: varje flygning som omfattas av definitionen i artikel 3.2 i direktiv (EU) 2016/681.

c)flygning inom EU: varje flygning som omfattas av definitionen i artikel 3.3 i direktiv (EU) 2016/681.

d)reguljär flygning: en flygning som omfattas av definitionen i artikel 3 e i förordning (EU) [API för gränsförvaltning].

e)icke-reguljär flygning: en flygning som omfattas av definitionen i artikel 3 f i förordning (EU) [API för gränsförvaltning].

f)passagerare: varje person som omfattas av definitionen i artikel 3.4 i direktiv (EU) 2016/681.

g)besättning: varje person som omfattas av definitionen i artikel 3 h i förordning (EU) [API för gränsförvaltning].

h)resenär: varje person som omfattas av definitionen i artikel 3 i i förordning (EU) [API för gränsförvaltning].

i)förhandsinformation om passagerare eller API-uppgifter: uppgifter som omfattas av definitionen i artikel 3 j i förordning (EU) [API för gränsförvaltning].

j)passageraruppgiftssamling eller PNR-uppgifter: en sammanställning av för resan nödvändiga uppgifter om varje enskild passagerare enligt definitionen i artikel 3.5 i direktiv (EU) 2016/681.

k)enhet för passagerarinformation: den behöriga myndighet som inrättats av en medlemsstat i enlighet med artikel 4.1 i direktiv (EU) 2016/681 och som avses i de meddelanden och ändringar som offentliggörs av kommissionen i enlighet med artikel 4.5 i det direktivet.

l)terroristbrott: de brott som definieras i artiklarna 3–12 i Europaparlamentets och rådets direktiv (EU) 2017/54135.

m)grov brottslighet: de brott som omfattas av definitionen i artikel 3.9 i direktiv (EU) 2016/681.

n)routern: den router som omfattas av definitionen i artikel 3 k i förordning (EU) [API för gränsförvaltning].

o)personuppgifter: all information som omfattas av definitionen i artikel 4.1 i förordning (EU) 2016/679.

KAPITEL 2

BEHANDLING AV API-UPPGIFTER

Artikel 4

Lufttrafikföretags insamling, överföring och radering av API-uppgifter

1.Lufttrafikföretag ska samla in API-uppgifter om resenärer på de flygningar som avses i artikel 2, i syfte att överföra dessa API-uppgifter till routern i enlighet med punkt 6. Om flygningens linjebeteckning delas med ett eller flera andra lufttrafikföretag, ska skyldigheten att överföra API-uppgifter åligga det lufttrafikföretag som utför flygningen.

2.Lufttrafikföretagen ska samla in API-uppgifter på ett sådant sätt att de API-uppgifter som de överför i enlighet med punkt 6 är korrekta, fullständiga och aktuella.

3.Lufttrafikföretagen ska samla in de API-uppgifter som avses i artikel 4.2 a–d i förordning (EU) [API för gränsförvaltning] och använda automatiserade metoder för att samla in de maskinläsbara uppgifterna i den berörda resenärens resehandling. De ska göra detta i enlighet med de detaljerade tekniska krav och operativa regler som avses i punkt 5, när sådana regler har antagits och är tillämpliga.

När det dock inte är möjligt att använda automatiserade metoder för att resehandlingen inte innehåller maskinläsbara uppgifter ska lufttrafikföretagen samla in dessa uppgifter manuellt på ett sådant sätt att överensstämmelse med punkt 2 säkerställs.

4.Alla automatiserade metoder som används av lufttrafikföretag för att samla in API- uppgifter enligt denna förordning ska vara tillförlitliga, säkra och aktuella.

5.Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 19 för att komplettera denna förordning genom att fastställa detaljerade tekniska krav och operativa regler för insamling av de API-uppgifter som avses i artikel 4.2 a–d i förordning (EU) [API för gränsförvaltning] med hjälp av automatiserade metoder i enlighet med punkterna 3 och 4 i den här artikeln.

35Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 terrorism, om ersättande av rådets rambeslut 2002/475/RIF och 2005/671/RIF (EUT L 88, 31.3.2017, s. 6).

mars 2017 om bekämpande av om ändring av rådets beslut

6.Lufttrafikföretagen ska överföra de API-uppgifter som samlats in i enlighet med punkt 1 till routern på elektronisk väg. De ska göra detta i enlighet med de detaljerade regler som avses i punkt 9, när sådana regler har antagits och är tillämpliga.

7.Lufttrafikföretagen ska överföra API-uppgifterna både vid incheckningen och omedelbart efter det att gaten stängts, dvs. när resenärerna har stigit ombord på luftfartyget inför avgången och det inte längre är möjligt för resenärer att stiga ombord på eller lämna luftfartyget.

8.Utan att det påverkar lufttrafikföretagens möjlighet att lagra och använda de uppgifter som är nödvändiga för deras normala affärsverksamhet i enlighet med

tillämplig lagstiftning, ska lufttrafikföretagen omedelbart antingen korrigera/komplettera/uppdatera eller permanent radera de berörda API-uppgifterna i båda följande situationer:

a)När de får kännedom om att de insamlade API-uppgifterna är inkorrekta, ofullständiga eller inte längre aktuella eller har behandlats på ett olagligt sätt, eller att de överförda uppgifterna inte utgör API-uppgifter.

b)När överföringen av API-uppgifter i enlighet med punkt 3 har slutförts.

Om lufttrafikföretagen får den kännedom som avses i första stycket led a i denna punkt efter att ha slutfört överföringen av uppgifter i enlighet med punkt 6 ska de omedelbart informera Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA). Efter att ha mottagit sådan information ska eu-LISA omedelbart informera de enheter för passagerarinformation som tog emot de API-uppgifter som överförts via routern.

9.Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 19 för att komplettera denna förordning genom att fastställa nödvändiga detaljerade regler om de gemensamma protokoll och understödda dataformat som ska användas för den överföring av API-uppgifter till routern som avses i punkt 6.

Artikel 5

Överföring av API-uppgifter från routern till enheterna för passagerarinformation

1.Routern ska omedelbart och på ett automatiserat sätt överföra de API-uppgifter som överförts till den av lufttrafikföretag i enlighet med artikel 4 till enheterna för passagerarinformation i den medlemsstat till vars territorium flygningen kommer att ankomma eller från vars territorium flygningen kommer att avgå, eller bådadera om det rör sig om en flygning inom EU. Om en flygning har en eller flera mellanlandningar på territoriet i andra medlemsstater än den från vilken flygningen avgår, ska routern överföra API-uppgifterna till enheterna för passagerarinformation i alla berörda medlemsstater.

För denna överföring ska eu-LISA upprätta en jämförelsetabell mellan de olika ursprungs- och destinationsflygplatserna och de länder de tillhör och hålla den uppdaterad.

När det gäller flygningar inom EU ska routern dock endast överföra API-uppgifter till den enheten för passagerarinformation avseende de flygningar som ingår i den förteckning som avses i punkt 2.

Routern ska överföra API-uppgifterna i enlighet med de detaljerade regler som avses i punkt

när

sådana

regler

har

antagits

och

är

tillämpliga.

2. Varje medlemsstat som beslutar att tillämpa direktiv (EU) 2016/681 på flygningar inom EU i enlighet med artikel 2 i det direktivet ska upprätta en förteckning över berörda flygningar inom EU och ska senast den dag då denna förordning börjar tillämpas i enlighet med artikel 21 andra stycket lämna denna förteckning till eu-LISA. Dessa medlemsstater ska i enlighet med artikel 2 i det direktivet regelbundet se över och vid behov uppdatera dessa förteckningar och omedelbart lämna sådana uppdaterade förteckningar till eu-LISA. Informationen i dessa förteckningar ska behandlas konfidentiellt.

3.Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 19 för att komplettera denna förordning genom att fastställa nödvändiga detaljerade tekniska och förfarandemässiga regler för den överföring av API-uppgifter från routern som avses i punkt 1.

KAPITEL 3

LOGGNING, SKYDD AV PERSONUPPGIFTER OCH SÄKERHET

Artikel 6

Loggföring

1.Lufttrafikföretagen ska skapa loggar över all behandling enligt denna förordning som utförs med hjälp av de automatiserade metoder som avses i artikel 4.3. Dessa loggar ska omfatta datum, tid och plats för överföringen av API-uppgifterna.

2.De loggar som avses i punkt 1 får endast användas för att säkerställa API- uppgifternas säkerhet och integritet och att behandlingen är laglig, särskilt när det gäller efterlevnaden av kraven i denna förordning, inbegripet förfaranden för sanktioner vid överträdelser av dessa krav i enlighet med artiklarna 15 och 16.

3.Lufttrafikföretagen ska vidta lämpliga åtgärder för att skydda de loggar som de skapat i enlighet med punkt 1 mot obehörig åtkomst och andra säkerhetsrisker.

4.Lufttrafikföretagen ska behålla de loggar som de skapat i enlighet med punkt 1 i ett års tid från den tidpunkt då dessa loggar skapades. Efter utgången av denna tidsperiod ska de omedelbart och permanent radera loggarna.

Om dessa loggar emellertid behövs för förfaranden för övervakning eller säkerställande av API-uppgifternas säkerhet och integritet eller av att behandlingen är laglig, som avses i punkt 2, och dessa förfaranden redan har inletts vid utgången av den tidsperiod som avses i första stycket, får lufttrafikföretagen behålla dessa loggar så länge som det är nödvändigt för dessa förfaranden. I detta fall ska de omedelbart radera dessa loggar när de inte längre är nödvändiga för dessa förfaranden.

Artikel 7

Personuppgiftsansvariga

Enheterna för passagerarinformation ska vara personuppgiftsansvariga i den mening som avses i artikel 3.8 i direktiv (EU) 2016/680 när det gäller behandling via routern av API-

uppgifter som utgör personuppgifter enligt denna förordning, inbegripet överföring och lagring av dessa uppgifter i routern av tekniska skäl.

Lufttrafikföretagen ska vara personuppgiftsansvariga, i den mening som avses i artikel 4.7 i förordning (EU) 2016/679, när det gäller behandling av API-uppgifter som utgör personuppgifter i samband med deras insamling av dessa uppgifter och deras överföring av dessa till routern enligt den här förordningen.

Artikel 8

Säkerhet

Enheterna för passagerarinformation och lufttrafikföretagen ska säkerställa säkerheten för de API-uppgifter, särskilt API-uppgifter som utgör personuppgifter, som de behandlar i enlighet med denna förordning.

Enheterna för passagerarinformation och lufttrafikföretagen ska i enlighet med sina respektive ansvarsområden och med unionsrätten samarbeta med varandra och med eu-LISA för att säkerställa sådan säkerhet.

Artikel 9

Egenkontroll

Lufttrafikföretagen och enheterna för passagerarinformation ska övervaka att de fullgör sina respektive skyldigheter enligt denna förordning, särskilt när det gäller deras behandling av API-uppgifter som utgör personuppgifter, inbegripet genom täta kontroller av loggarna i enlighet med artikel 7.

KAPITEL 4

FRÅGOR SOM RÖR ROUTERN

Artikel 10

Anslutningarna från enheterna för passagerarinformation till routern

1.Medlemsstaterna ska säkerställa att deras enheter för passagerarinformation är anslutna till routern. De ska säkerställa att deras nationella system och infrastruktur för mottagande och vidarebehandling av API-uppgifter som överförts i enlighet med denna förordning integreras med routern.

Medlemsstaterna ska säkerställa att anslutningen till routern och integreringen med den gör det möjligt för deras enheter för passagerarinformation att ta emot och vidarebehandla API-uppgifterna samt att utbyta relaterad kommunikation på ett lagligt, säkert, effektivt och snabbt sätt.

2.Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 19 för att komplettera denna förordning genom att fastställa nödvändiga detaljerade regler om de anslutningar till och den integrering med routern som avses i punkt 1.

Artikel 11

Lufttrafikföretagens anslutningar till routern

1.Lufttrafikföretagen ska säkerställa att de är anslutna till routern. De ska säkerställa att deras system och infrastruktur för överföring av API-uppgifter till routern i enlighet med denna förordning integreras med routern.

Lufttrafikföretagen ska säkerställa att anslutningen till routern och integreringen med den gör det möjligt för dem att överföra API-uppgifterna samt att utbyta relaterad kommunikation på ett lagligt, säkert, effektivt och snabbt sätt.

Artikel 12

Medlemsstaternas kostnader

1.Medlemsstaternas kostnader i samband med deras anslutningar till och integrering med routern i enlighet med artikel 10 ska belasta unionens allmänna budget.

Medlemsstaterna ska dock stå för följande kostnader, som är undantagna:

a)Kostnader för projektledning, bland annat kostnader för möten, tjänsteresor och kontor.

b)Kostnader för att hysa nationella it-system, bland annat kostnader för utrymme, implementering, el och kylning.

c)Kostnader för drift av nationella it-system, bland annat operatörer och supportavtal.

d)Kostnader för utformning, utveckling, implementering, drift och underhåll av nationella kommunikationsnätverk.

2.Medlemsstaterna ska också stå för kostnaderna för administration, användning och underhåll av sina anslutningar till och integrering med routern.

Artikel 13

Åtgärder om det är tekniskt omöjligt att använda routern

1.Om det är tekniskt omöjligt att använda routern för att överföra API-uppgifter på grund av ett fel i routern ska eu-LISA omedelbart och på ett automatiserat sätt underrätta lufttrafikföretagen och enheterna för passagerarinformation om denna tekniska omöjlighet. I detta fall ska eu-LISA omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta dessa parter när den har åtgärdats.

Under tidsperioden mellan dessa underrättelser ska artikel 4.6 inte tillämpas, i den mån den tekniska omöjligheten förhindrar överföring av API-uppgifter till routern. I den mån detta är fallet ska artikel 4.1 inte heller tillämpas på de berörda API- uppgifterna under den tidsperioden.

2.Om det är tekniskt omöjligt att använda routern för att överföra API-uppgifter på grund av ett fel i de system eller den infrastruktur som avses i artikel 10 i en medlemsstat ska den medlemsstatens enhet för passagerarinformation omedelbart och på ett automatiserat sätt underrätta lufttrafikföretagen, de övriga enheterna för passagerarinformation, eu-LISA och kommissionen om denna tekniska omöjlighet. I detta fall ska medlemsstaten omedelbart vidta åtgärder för att åtgärda den tekniska

omöjligheten att använda routern och omedelbart underrätta dessa parter när den har åtgärdats.

3.Om det är tekniskt omöjligt att använda routern för att överföra API-uppgifter på grund av ett fel i ett lufttrafikföretags system eller infrastruktur som avses i artikel 11 ska lufttrafikföretaget omedelbart och på ett automatiserat sätt underrätta enheterna för passagerarinformation, eu-LISA och kommissionen om denna tekniska omöjlighet. I detta fall ska lufttrafikföretaget omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta dessa parter när den har åtgärdats.

När den tekniska omöjligheten har åtgärdats ska det berörda lufttrafikföretaget utan dröjsmål till den behöriga nationella tillsynsmyndighet som avses i artikel 15 lämna in en rapport med alla nödvändiga uppgifter om den tekniska omöjligheten, inbegripet orsakerna till den tekniska omöjligheten, dess omfattning och konsekvenser samt de åtgärder som vidtagits för att åtgärda den.

Artikel 14

Skadeståndsansvar för routern

Om en medlemsstats eller ett lufttrafikföretags underlåtenhet att fullgöra sina skyldigheter enligt denna förordning orsakar skada på routern, ska den medlemsstaten eller det lufttrafikföretaget ansvara för denna skada, såvida inte och i den mån som eu-LISA har underlåtit att vidta rimliga åtgärder för att förhindra skadan eller för att begränsa dess verkningar.

KAPITEL 5

TILLSYN, SANKTIONER OCH HANDBOK

Artikel 15

Nationell tillsynsmyndighet

1.Medlemsstaterna ska utse en eller flera nationella tillsynsmyndigheter med ansvar för att inom deras territorium övervaka lufttrafikföretagens tillämpning av bestämmelserna i denna förordning och säkerställa att dessa bestämmelser följs.

2.Medlemsstaterna ska säkerställa att de nationella tillsynsmyndigheterna har alla nödvändiga medel och alla nödvändiga utrednings- och verkställighetsbefogenheter för att kunna utföra sina uppgifter enligt denna förordning, även genom att när så är lämpligt införa de sanktioner som avses i artikel 16. De ska fastställa närmare regler om utförandet av dessa uppgifter och utövandet av dessa befogenheter och

säkerställa att utförandet och utövandet är effektivt, proportionellt och avskräckande samt omfattas av skyddsåtgärder som är förenliga med de grundläggande rättigheter som garanteras i unionsrätten.

3.Medlemsstaterna ska senast den dag då denna förordning börjar tillämpas i enlighet med artikel 21 andra stycket underrätta kommissionen om namnet på och kontaktuppgifterna till de myndigheter som de utsett enligt punkt 1 och om de närmare regler som de fastställt i enlighet med punkt 2. De ska utan dröjsmål underrätta kommissionen om alla ändringar av dessa.

4.Denna artikel påverkar inte befogenheterna för de tillsynsmyndigheter som avses i artikel 51 i förordning (EU) 2016/679 och artikel 41 i direktiv (EU) 2016/680.

Artikel 16

Sanktioner

Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av bestämmelserna i denna förordning och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande.

Medlemsstaterna ska senast den dag då denna förordning börjar tillämpas i enlighet med artikel 21 andra stycket anmäla dessa regler och åtgärder till kommissionen, och utan dröjsmål anmäla eventuella senare ändringar som berör dessa.

Artikel 17

Handbok

Kommissionen ska, i nära samarbete med enheterna för passagerarinformation, andra relevanta myndigheter i medlemsstaterna, lufttrafikföretagen och relevanta unionsbyråer, utarbeta och offentliggöra en handbok med riktlinjer, rekommendationer och bästa praxis för genomförandet av denna förordning.

Handboken ska beakta relevanta befintliga handböcker. Kommissionen ska anta handboken i form av en rekommendation.

KAPITEL 6

FÖRHÅLLANDE TILL ANDRA BEFINTLIGA INSTRUMENT

Artikel 18

Ändringar av förordning (EU) 2019/818

___________

I artikel 39 ska punkterna 1 och 2 ersättas med följande:

”1. Det ska inrättas en central databas för rapporter och statistik (CRRS) för att stödja målen för SIS, Eurodac och Ecris-TCN, i enlighet med de respektive rättsliga instrument som reglerar de systemen, och för att tillhandahålla systemöverskridande statistiska uppgifter och analysrapporter för politiska och operativa syften samt för

uppgiftskvaliteten. CRRS ska också stödja målen för Europaparlamentets och rådets förordning (EU) .../...* [denna förordning].

*Europaparlamentets och rådets förordning (EU) [nummer] av den xy om [officiell titel] (EUT L …).

2.eu-Lisa ska inrätta, implementera och i sina tekniska anläggningar hysa CRRS som innehåller de uppgifter och den statistik som avses i artikel 74 i förordning (EU) 2018/1862 och artikel 32 i förordning (EU) 2019/816, logiskt åtskilda per EU- informationssystem. eu-Lisa ska också samla in uppgifterna och statistiken från den router som avses i artikel 13.1 i förordning (EU) .../...* [denna förordning]. Åtkomst till CRRS ska beviljas via kontrollerad, säkrad åtkomst och specifika användarprofiler, enbart för rapportering och statistik, till de myndigheter som avses i artikel 74 i förordning (EU) 2018/1862, artikel 32 i förordning (EU) 2019/816 och artikel 13.1 i förordning (EU) .../...* [denna förordning].”

KAPITEL 7

SLUTBESTÄMMELSER

Artikel 19

Utövande av delegeringen

1.Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.Den befogenhet att anta delegerade akter som avses i artiklarna 4.5, 4.9, 5.3, 10.2 och 11.2 ska ges till kommissionen för en period på fem år från och med den [dag då denna förordning antas]. Kommissionen ska utarbeta en rapport om delegeringen av befogenhet senast nio månader före utgången av perioden på fem år. Delegeringen av befogenhet ska genom tyst medgivande förlängas med perioder av samma längd, såvida inte Europaparlamentet eller rådet motsätter sig en sådan förlängning senast tre månader före utgången av perioden i fråga.

3.Den delegering av befogenhet som avses i artiklarna 4.5, 4.9, 5.3, 10.2 och 11.2 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5.Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

Artikel 20

Övervakning och utvärdering

1.Senast [fyra år efter den dag då denna förordning träder i kraft] och därefter vart fjärde år ska kommissionen utarbeta en rapport med en övergripande utvärdering av denna förordning, inbegripet en bedömning av

a)tillämpningen av denna förordning,

b)i vilken utsträckning denna förordnings mål har uppnåtts,

c)hur denna förordning har påverkat de grundläggande rättigheter som skyddas av unionsrätten.

d)Kommissionen ska lämna utvärderingsrapporten till Europaparlamentet, rådet, Europeiska datatillsynsmannen och Europeiska unionens byrå för grundläggande rättigheter. Om så är lämpligt mot bakgrund av den utvärdering som gjorts, ska kommissionen lägga fram ett lagstiftningsförslag för Europaparlamentet och rådet i syfte att ändra denna förordning.

2.Medlemsstaterna och lufttrafikföretagen ska på begäran ge kommissionen den information som den behöver för att utarbeta den rapport som avses i punkt 1. Medlemsstaterna får dock avstå från att lämna denna information om och i den utsträckning det är nödvändigt att inte röja konfidentiella arbetsmetoder eller äventyra pågående utredningar som görs av deras enheter för passagerarinformation eller andra brottsbekämpande myndigheter. Kommissionen ska säkerställa att all konfidentiell information som lämnas skyddas på lämpligt sätt.

Artikel 21

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med två år från det datum då routern tas i drift, vilket fastställs av kommissionen i enlighet med artikel 27 i förordning (EU) [API för gränsförvaltning].

Artiklarna 4.5, 4.9, 5.3, 10.2, 11.2 och 19 ska emellertid tillämpas från och med den [dag då denna förordning träder i kraft].

Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.

Utfärdad i Strasbourg den

På Europaparlamentets vägnar	På rådets vägnar
Ordförande	Ordförande

FINANSIERINGSÖVERSIKT FÖR RÄTTSAKT

Budgetkonsekvenserna av detta förslag omfattas av den gemensamma finansieringsöversikt som bifogas förslaget till förordning (EU) [API för gränsförvaltning].