(Europa-Parlamentets og Rådets forordning (EU) 2025/13 af 19. december 2024 om indsamling og overførsel af forhåndsoplysninger om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818)
Med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet fastsættes der ved denne forordning regler for:
a)
luftfartsselskabers indsamling af forhåndsoplysninger om passagerer (API-oplysninger) vedrørende flyvninger uden for EU og flyvninger inden for EU
b)
luftfartsselskabers overførsel af API-oplysninger og andre PNR-oplysninger til routeren
c)
transmission af API-oplysninger og andre PNR-oplysninger fra routeren til passageroplysningsenhederne om flyvninger uden for EU og udvalgte flyvninger inden for EU.
Denne forordning berører ikke forordning (EU) 2016/679, forordning (EU) 2018/1725 og direktiv (EU) 2016/680.
Denne forordning finder anvendelse på luftfartsselskaber, der foretager:
a)
flyvninger uden for EU
b)
flyvninger inden for EU, der afgår fra, ankommer til eller foretager en mellemlanding på området for mindst én medlemsstat, der har meddelt Kommissionen sin beslutning om at anvende direktiv (EU) 2016/681 på flyvninger inden for EU i overensstemmelse med nævnte direktivs artikel 2, stk. 1.
I denne forordning forstås ved:
1)
»luftfartsselskab«: et luftfartsselskab som defineret i artikel 3, nr. 1), i direktiv (EU) 2016/681
2)
»flyvninger uden for EU«: enhver flyvning uden for EU som defineret i artikel 3, nr. 2), i direktiv (EU) 2016/681
3)
»flyvning inden for EU«: enhver flyvning inden for EU som defineret i artikel 3, nr. 3), i direktiv (EU) 2016/681
4)
»ruteflyvning«: en ruteflyvning som defineret i artikel 3, nr. 5), i forordning (EU) 2025/12
5)
»ikkeruteflyvning«: en ikkeruteflyvning som defineret i artikel 3, nr. 6), i forordning (EU) 2025/12
6)
»passager«: en passager som defineret i artikel 3, nr. 4), i direktiv (EU) 2016/681
7)
»besætning«: enhver person om bord på et luftfartøj under flyvningen, som ikke er passager, og som arbejder på eller betjener luftfartøjet, herunder flyvebesætning og kabinebesætning
8)
»forhåndsoplysninger om passagerer« eller »API-oplysninger«: de oplysninger og de flyveoplysninger, der er omhandlet i artikel 4, henholdsvis stk. 2 og stk. 3
9)
»andre passagerlisteoplysninger« eller »andre PNR-oplysninger«: en passagerliste som defineret i artikel 3, nr. 5), i direktiv (EU) 2016/681 og som anført i bilag I til nævnte direktiv med undtagelse af nævnte bilags punkt 18
10)
»passageroplysningsenhed«: passageroplysningsenheden som indeholdt i medlemsstaternes meddelelser til Kommissionen og ændringer heraf, der er offentliggjort af Kommissionen i henhold til artikel 4, stk. 5, i direktiv (EU) 2016/681
11)
»terrorhandlinger«: terrorhandlinger som omhandlet i artikel 3-12 i Europa-Parlamentets og Rådets direktiv (EU) 2017/541
12)
»grov kriminalitet«: grov kriminalitet som defineret i artikel 3, nr. 9), i direktiv (EU) 2016/681
13)
»routeren«: den router, der er omhandlet i artikel 9 i denne forordning og i artikel 11 i forordning (EU) 2025/12
14)
»personoplysninger«: personoplysninger som defineret i artikel 3, nr. 1), i direktiv (EU) 2016/680 og artikel 4, nr. 1), i forordning (EU) 2016/679
15)
»realtidsflytrafikdata«: oplysninger om indgående og udgående flytrafik i en lufthavn, der er omfattet af denne forordning.
1. Luftfartsselskaberne indsamler de API-oplysninger om hver enkelt passager og hvert enkelt besætningsmedlem på flyvninger omhandlet af artikel 2, der skal overføres til routeren i overensstemmelse med artikel 5. Hvis der for en flyvning er code-sharing mellem luftfartsselskaber, er det det luftfartsselskab, der står for flyvningen, som er forpligtet til at overføre API-oplysningerne.
2. API-oplysningerne skal udelukkende bestå af følgende oplysninger for hver enkelt passager og hvert enkelt besætningsmedlem på flyvningen:
a)
efternavn og fornavn eller fornavne
b)
fødselsdato, køn og nationalitet
c)
rejsedokumentets type og nummer samt koden på tre bogstaver for det land, der har udstedt rejsedokumentet
d)
datoen for udløbet af rejsedokumentets gyldighed
e)
det nummer til identifikation af passagerlisteoplysninger, som et luftfartsselskab anvender til at lokalisere en passager i sit informationssystem (PNR-nummer)
f)
oplysninger om flysæde svarende til det sæde i luftfartøjet, som en passager er tildelt, hvis sådanne oplysninger foreligger
g)
bagagemærkenummer eller -numre og antal indtjekkede stykker bagage og deres vægt, hvis sådanne oplysninger foreligger
h)
en kode, der angiver den metode, der anvendes til at indsamle og validere de oplysninger, der er omhandlet i litra a)-d).
3. API-oplysningerne skal også udelukkende bestå af følgende flyveoplysninger for hver enkelt passagers og hvert enkelt besætningsmedlems flyvning:
a)
flyvningens identifikationsnummer eller, hvis der for flyvningen er code-sharing mellem luftfartsselskaber, flyvningens identifikationsnumre eller, hvis der ikke findes et sådant nummer, andre klare og egnede midler til at identificere flyvningen
b)
i givet fald grænseovergangsstedet for indrejse på medlemsstatens område
c)
koden for ankomstlufthavnen eller, hvis flyvningen efter planen skal lande i en eller flere lufthavne inden for en eller flere medlemsstaters områder, som denne forordning finder anvendelse på, koderne for landingslufthavnene på de pågældende medlemsstaters område
d)
koden for afgangslufthavnen for flyvningen
e)
koden for lufthavnen på det første ombordstigningssted, hvis en sådan foreligger
f)
dato og afgangstidspunkt i lokal tid
g)
dato og ankomsttidspunkt i lokal tid
h)
luftfartsselskabets kontaktoplysninger
i)
det format, der anvendes til overførslen af API-oplysninger.
4. Luftfartsselskaberne indsamler API-oplysningerne på en måde, der sikrer, at de API-oplysninger, de overfører i overensstemmelse med artikel 5, er nøjagtige, fuldstændige og ajourførte. Overholdelse af denne forpligtelse kræver ikke, at luftfartsselskaberne skal kontrollere rejsedokumentet på ombordstigningstidspunktet, uden at det berører national ret, der er forenelig med EU-retten.
5. Denne forordning pålægger ikke passagererne en forpligtelse til at medbringe et rejsedokument på deres rejse, uden at det berører andre EU-retsakter eller national ret, der er forenelig med EU-retten.
6. En medlemsstat kan pålægge luftfartsselskaberne en forpligtelse til at give passagerer mulighed for frivilligt at uploade de oplysninger, der er omhandlet i artikel 4, stk. 2, litra a)-d), i forordning (EU) 2025/12, automatisk og opbevare sådanne oplysninger hos luftfartsselskabet med henblik på at overføre oplysningerne med henblik på fremtidige flyvninger i overensstemmelse med nærværende forordnings artikel 5 og på en måde, der opfylder kravene i nærværende artikels stk. 4, 7 og 8. En medlemsstat, der pålægger en sådan forpligtelse, fastsætter regler og garantier for databeskyttelse i overensstemmelse med forordning (EU) 2016/679, herunder regler om opbevaringsperiode. Oplysningerne slettes imidlertid, hvor passageren ikke længere giver sit samtykke til opbevaring af oplysningerne, eller senest på datoen for udløbet af rejsedokumentets gyldighed.
7. Luftfartsselskaberne indsamler de i stk. 2, litra a)-d), omhandlede API-oplysninger ved brug af automatiserede metoder til indsamling af de maskinlæsbare data i den pågældende passagers rejsedokument. De gør dette i overensstemmelse med de detaljerede tekniske krav og operationelle regler, der er omhandlet i stk. 12, når sådanne regler er blevet vedtaget og finder anvendelse.
Hvis luftfartsselskaberne tilbyder en onlineindtjekningsproces, gør de det muligt for passagererne at give de API-oplysninger, der er omhandlet i stk. 2, litra a)-d), ved brug af automatiserede metoder under denne onlineindtjekningsproces. For passagerer, der ikke foretager indtjekning online, gør luftfartsselskaberne det muligt for dem at give disse API-oplysninger ved brug af automatiserede metoder under indtjekningen i lufthavnen ved hjælp af en selvbetjeningskiosk eller luftfartsselskabernes personale ved skranken.
Hvis anvendelsen af automatiserede metoder ikke er teknisk mulig, indsamler luftfartsselskaberne undtagelsesvis de i stk. 2, litra a)-d), omhandlede API-oplysninger manuelt, enten som led i onlineindtjekningsprocessen eller som led i indtjekningen i lufthavnen, på en sådan måde, at det sikres, at stk. 4 overholdes.
8. Alle automatiserede metoder, som luftfartsselskaberne anvender til at indsamle API-oplysninger i henhold til denne forordning, skal være pålidelige, sikre og tidssvarende. Luftfartsselskaberne sikrer, at API-oplysningerne er krypteret, når disse oplysninger overføres fra passageren til luftfartsselskaberne.
9. I overgangsperioden og ud over de automatiserede metoder, der er omhandlet i stk. 7, giver luftfartsselskaberne passagerer mulighed for at give API-oplysninger manuelt som led i onlineindtjekningsprocessen. I sådanne tilfælde anvender luftfartsselskaberne dataverifikationsteknikker for at sikre, at stk. 4 overholdes.
10. Den overgangsperiode, der er omhandlet i stk. 9, berører ikke luftfartsselskabernes ret til i lufthavnen inden ombordstigningen i luftfartøjet at verificere API-oplysninger, der indsamles som led i onlineindtjekningen, for at sikre overholdelse af stk. 4 i overensstemmelse med gældende EU-ret.
11. Kommissionen tillægges beføjelser til, fra datoen fire år efter den i artikel 34 omhandlede idriftsættelse af routeren for så vidt angår API-oplysninger og på grundlag af en evaluering af tilgængeligheden af og adgangen til automatiserede metoder til indsamling af API-oplysninger, at vedtage en delegeret retsakt i overensstemmelse med artikel 43 for at bringe den overgangsperiode, der er omhandlet i nærværende artikels stk. 9, til ophør.
12. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 43 for at supplere denne forordning ved at fastsætte detaljerede tekniske krav og operationelle regler for indsamling af de API-oplysninger, der er omhandlet i nærværende artikels stk. 2, litra a)-d), ved brug af automatiserede metoder i overensstemmelse med nærværende artikels stk. 7 og 8 og for manuel indsamling af API-oplysninger under ekstraordinære omstændigheder i overensstemmelse med nærværende artikels stk. 7 og i den overgangsperiode, der er omhandlet i nærværende artikels stk. 9. Disse tekniske krav og operationelle regler skal omfatte krav til datasikkerhed og til anvendelse af de mest pålidelige automatiserede metoder til indsamling af maskinlæsbare oplysninger i et rejsedokument.
1. Luftfartsselskaberne overfører de krypterede API-oplysninger til routeren elektronisk med henblik på transmission heraf til passageroplysningsenhederne i overensstemmelse med artikel 12. Luftfartsselskaberne overfører API-oplysningerne i overensstemmelse med de detaljerede regler, der er omhandlet i nærværende artikels stk. 4, når sådanne regler er blevet vedtaget og finder anvendelse.
2. Når medlemsstaterne vedtager foranstaltninger i overensstemmelse med artikel 8, stk. 1, i direktiv (EU) 2016/681, pålægger de luftfartsselskaberne at overføre alle andre PNR-oplysninger, som de indsamler som led i deres normale forretningsaktiviteter, udelukkende til routeren i overensstemmelse med de fælles protokoller og dataformater, der er fastsat i henhold til nævnte direktivs artikel 16.
3. Luftfartsselskaberne overfører API-oplysningerne:
a)
for passagerer i) pr. passager på indtjekningstidspunktet, men ikke tidligere end 48 timer før det planlagte afgangstidspunkt for flyvningen, og ii) for alle ombordstegne passagerer, omgående efter flylukningen, dvs. når passagererne er gået om bord i luftfartøjet med henblik på afrejse, og det ikke længere er muligt for passagerer at gå om bord i eller forlade luftfartøjet
b)
for alle besætningsmedlemmer, omgående efter flylukningen, dvs. når besætningsmedlemmerne er om bord i luftfartøjet med henblik på afrejse, og det ikke længere er muligt for dem at forlade luftfartøjet.
4. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 43 for at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for de fælles protokoller og understøttede dataformater, der skal anvendes til krypteret overførsel af API-oplysninger til den i nærværende artikels stk. 1 omhandlede router, herunder overførsel af API-oplysninger på indtjekningstidspunktet og datasikkerhedskrav. Sådanne detaljerede regler skal sikre, at luftfartsselskaberne overfører API-oplysningerne ved brug af den samme struktur og med det samme indhold.
Luftfartsselskaberne opbevarer i en periode på 48 timer fra det tidspunkt, hvor routeren modtager de API-oplysninger, der overføres til den i overensstemmelse med artikel 5, stk. 3, litra a), nr. ii), og litra b), API-oplysningerne om alle passagerer og besætningsmedlemmer, som de har indsamlet i henhold til artikel 4. De sletter omgående og permanent sådanne API-oplysninger efter udløbet af denne periode, uden at dette berører luftfartsselskabernes mulighed for at opbevare og anvende oplysningerne, hvor det er nødvendigt for deres normale drift, i overensstemmelse med gældende ret, og artikel 16, stk. 1 og 3.
1. Hvis et luftfartsselskab bliver opmærksom på, at oplysninger, som det opbevarer i henhold til denne forordning, er blevet behandlet ulovligt, eller ikke udgør API-oplysninger, sletter det omgående og permanent disse oplysninger. Hvis disse oplysninger er blevet overført til routeren, underretter luftfartsselskabet omgående Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA). Efter modtagelse af en sådan underretning underretter eu-LISA omgående den passageroplysningsenhed, der modtog de oplysninger, som er transmitteret via routeren.
2. Hvis et luftfartsselskab bliver opmærksom på, at de oplysninger, som det opbevarer i henhold til denne forordning, er unøjagtige, er ufuldstændige eller ikke længere er ajourførte, skal det omgående rette, fuldstændiggøre eller ajourføre disse oplysninger. Dette berører ikke luftfartsselskabernes mulighed for at opbevare og anvende oplysningerne, hvor det er nødvendigt for deres normale drift i overensstemmelse med gældende ret.
3. Hvor et luftfartsselskab efter overførslen af API-oplysninger i henhold til artikel 5, stk. 3, litra a), nr. i), men inden overførslen i henhold til artikel 5, stk. 3, litra a), nr. ii), bliver opmærksom på, at de oplysninger, det har videregivet, er unøjagtige, overfører luftfartsselskabet omgående de rettede API-oplysninger til routeren.
4. Hvor et luftfartsselskab efter overførslen af API-oplysninger i henhold til artikel 5, stk. 3, litra a), nr. ii), eller litra b), bliver opmærksom på, at de oplysninger, det har videregivet, er unøjagtige, er ufuldstændige eller ikke længere er ajourførte, overfører luftfartsselskabet omgående de rettede, fuldstændiggjorte eller ajourførte API-oplysninger til routeren.
5. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 43 for at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for rettelse, fuldstændiggørelse og ajourføring af API-oplysninger som omhandlet i nærværende artikel.
1. Luftfartsselskabers og kompetente myndigheders indsamling og behandling af personoplysninger i overensstemmelse med denne forordning og forordning (EU) 2025/12 må ikke føre til forskelsbehandling af personer af de grunde, der er anført i artikel 21 i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«).
2. Denne forordning respekterer fuldt ud den menneskelige værdighed og de grundlæggende rettigheder og principper, der er anerkendt i chartret, herunder retten til respekt for privatliv, asyl, beskyttelse af personoplysninger, fri bevægelighed og effektive retsmidler.
3. Der skal tages særligt hensyn til børn, ældre, personer med handicap og sårbare personer. Hensynet til barnets tarv skal komme i første række, når denne forordning gennemføres.
1. eu-LISA designer, udvikler, hoster og teknisk forvalter i overensstemmelse med artikel 25 og 26 en router med henblik på at lette luftfartsselskabernes overførsel af krypterede API-oplysninger og andre PNR-oplysninger til passageroplysningsenhederne i overensstemmelse med denne forordning.
2. Routeren skal bestå af:
a)
en central infrastruktur, herunder et sæt tekniske komponenter, der gør det muligt at modtage og transmittere krypterede API-oplysninger og andre PNR-oplysninger
b)
en sikker kommunikationskanal mellem den centrale infrastruktur og passageroplysningsenhederne og en sikker kommunikationskanal mellem den centrale infrastruktur og luftfartsselskaberne til overførsel og transmission af API-oplysninger og andre PNR-oplysninger og til al kommunikation i forbindelse hermed, og til medlemsstaternes indlæsning af udvalgte flyvninger som omhandlet i artikel 12, stk. 4, i routeren og eventuelle ajourføringer i den forbindelse
c)
en sikker kanal til modtagelse af realtidsflytrafikdata.
3. Uden at det berører denne forordnings artikel 10, deler og videreanvender routeren, hvor det er relevant, og i det omfang det er teknisk muligt, de tekniske komponenter, herunder hardware- og softwarekomponenterne, i den webtjeneste, der er omhandlet i artikel 13 i forordning (EU) 2017/2226, den gateway-facilitet for transportvirksomheder, der er omhandlet i artikel 6, stk. 2, litra k), i forordning (EU) 2018/1240, og den gatewayfacilitet for transportvirksomheder, der er omhandlet i artikel 45c i forordning (EF) nr. 767/2008.
eu-LISA designer, i det omfang det er teknisk og operationelt muligt, routeren på en måde, som er sammenhængende og forenelig med de forpligtelser for luftfartsselskaber, der er fastsat i forordning (EF) nr. 767/2008, (EU) 2017/2226 og (EU) 2018/1240.
4. Routeren udtrækker automatisk oplysningerne og stiller dem i overensstemmelse med denne forordnings artikel 39 til rådighed for det centrale register for rapportering og statistik (CRRS), der er oprettet ved artikel 39 i forordning (EU) 2019/818.
5. eu-LISA designer og udvikler routeren på en sådan måde, at API-oplysningerne og de andre PNR-oplysninger ved enhver overførsel af API-oplysninger og andre PNR-oplysninger fra luftfartsselskaberne til routeren i overensstemmelse med artikel 5 og ved enhver transmission af API- oplysninger og andre PNR-oplysninger fra routeren til passageroplysningsenhederne i overensstemmelse med artikel 12 og til CRRS i overensstemmelse med artikel 39, stk. 2, er end-to-end-krypteret under transit.
Med henblik på denne forordning må routeren kun anvendes:
a)
af luftfartsselskaber til at overføre krypterede API-oplysninger og andre PNR-oplysninger i overensstemmelse med denne forordning
b)
af passageroplysningsenheder til at modtage krypterede API-oplysninger og andre PNR-oplysninger i overensstemmelse med denne forordning
c)
på grundlag af internationale aftaler, der muliggør overførsel af PNR-oplysninger via routeren, og som Unionen har indgået med tredjelande, der har indgået en aftale om deres associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne.
Denne artikel berører ikke artikel 12 i forordning (EU) 2025/12.
1. Routeren skal på en automatiseret måde og på baggrund af realtidsflytrafikdata verificere, hvorvidt luftfartsselskabet har overført API-oplysningerne i overensstemmelse med artikel 5, stk. 1, eller andre PNR-oplysninger i overensstemmelse med artikel 5, stk. 2.
2. Routeren skal omgående og på en automatiseret måde verificere, hvorvidt de API-oplysninger, der blev overført til den i overensstemmelse med artikel 5, stk. 1, overholder de i artikel 5, stk. 4, omhandlede detaljerede regler om de understøttede dataformater.
3. Routeren skal omgående og på en automatiseret måde verificere, hvorvidt de andre PNR-oplysninger, der blev overført til den i overensstemmelse med artikel 5, stk. 2, overholder de i artikel 16 i direktiv (EU) 2016/681 omhandlede regler om de understøttede dataformater.
4. Hvor den i stk. 1 omhandlede verifikation viser, at oplysningerne ikke blev overført af luftfartsselskabet, eller hvor den i stk. 2 eller 3 omhandlede verifikation viser, at oplysningerne ikke overholder de detaljerede regler om de understøttede dataformater, underretter routeren omgående og på en automatiseret måde det pågældende luftfartsselskab og passageroplysningsenhederne i de medlemsstater, som oplysningerne skulle transmitteres til i henhold til artikel 12, stk. 1. Luftfartsselskabet skal i sådanne tilfælde omgående overføre API-oplysningerne og de andre PNR-oplysninger i overensstemmelse med artikel 5.
5. Kommissionen vedtager gennemførelsesretsakter, der præciserer de detaljerede tekniske og proceduremæssige regler, som er nødvendige for de verifikationer og underretninger, der er omhandlet i denne artikels stk. 1-4. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 42, stk. 2.
1. Efter den i artikel 11 omhandlede dataformats- og overførselsverifikation transmitterer routeren de krypterede API-oplysninger og alle andre PNR-oplysninger, som luftfartsselskaberne har overført til den, jf. artikel 5, stk. 1 og 2, og, hvor det er relevant, artikel 7, stk. 3 og 4, til passageroplysningsenhederne i den medlemsstat, på hvis område flyvningen efter planen skal lande eller fra hvis område det vil afgå, eller til begge i forbindelse med flyvninger inden for EU. Den transmitterer omgående og på en automatiseret måde disse oplysninger uden på nogen måde at ændre deres indhold. Hvis en flyvning har en eller flere mellemlandinger på området for andre medlemsstater end den, hvorfra den afgik, transmitterer routeren API-oplysningerne og alle andre PNR-oplysninger til passageroplysningsenhederne i alle de berørte medlemsstater.
Med henblik på en sådan transmission udarbejder og ajourfører eu-LISA en sammenligningstabel mellem de forskellige oprindelses- og bestemmelseslufthavne og de lande, som de tilhører.
I forbindelse med flyvninger inden for EU overfører routeren imidlertid kun API-oplysninger og andre PNR-oplysninger fra de flyvninger, der er opført på listen omhandlet i stk. 4, til de relevante passageroplysningsenheder.
2. Routeren transmitterer API-oplysningerne og andre PNR-oplysninger i overensstemmelse med de detaljerede regler, der er omhandlet i stk. 6, når sådanne regler er blevet vedtaget og finder anvendelse.
3. Medlemsstaterne sikrer, at deres passageroplysningsenheder, når de modtager API-oplysninger og andre PNR-oplysninger i overensstemmelse med stk. 1, omgående og på en automatiseret måde bekræfter modtagelsen af sådanne oplysninger til routeren.
4. Medlemsstater, der beslutter at anvende direktiv (EU) 2016/681 på flyvninger inden for EU i overensstemmelse med nævnte direktivs artikel 2, udarbejder hver især en liste over de udvalgte flyvninger eller ruter inden for EU. Medlemsstaterne kan anvende koden for afgangslufthavnen og ankomstlufthavnen til at angive de udvalgte flyvninger eller ruter. Disse medlemsstater gennemgår regelmæssigt og ajourfører om nødvendigt disse lister i overensstemmelse med nævnte direktivs artikel 2 og denne forordnings artikel 13. En medlemsstat kan udvælge alle flyvninger eller ruter inden for EU, når dette er behørigt begrundet, i overensstemmelse med direktiv (EU) 2016/681 og denne forordnings artikel 13.
Medlemsstaterne indlæser senest på denne forordnings relevante anvendelsesdato, der er omhandlet i artikel 45, stk. 2, de udvalgte flyvninger eller ruter i routeren ved hjælp af automatiserede metoder via den sikre kommunikationskanal, der er omhandlet i artikel 9, stk. 2, litra b), og forsyner derefter routeren med eventuelle ajourføringer heraf.
5. De oplysninger, som medlemsstaterne indlæser i routeren, behandles fortroligt, og eu-LISA's personales adgang til disse oplysninger begrænses til, hvad der er strengt nødvendigt for at løse tekniske problemer. eu-LISA sikrer efter routerens modtagelse af disse oplysninger eller eventuelle ajourføringer heraf fra en medlemsstat, at routeren omgående overfører API-oplysningerne og de andre PNR-oplysninger til den pågældende medlemsstats passageroplysningsenheden for så vidt angår de udvalgte flyvninger eller ruter i overensstemmelse med stk. 1.
6. Kommissionen vedtager gennemførelsesretsakter, der præciserer de detaljerede tekniske og processuelle regler, der er nødvendige for den i denne artikels stk. 1 omhandlede transmission af API-oplysninger og andre PNR-oplysninger fra routeren og for den i denne artikels stk. 4 omhandlede indlæsning af oplysninger i routeren, herunder om krav til datasikkerhed. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 42, stk. 2.
1. Medlemsstater, der i overensstemmelse med artikel 2 i direktiv (EU) 2016/681 beslutter at anvende nævnte direktiv og dermed denne forordning på flyvninger inden for EU, udvælger sådanne flyvninger inden for EU i overensstemmelse med nærværende artikel.
2. Medlemsstaterne må kun anvende direktiv (EU) 2016/681 og dermed denne forordning på alle flyvninger inden for EU, der ankommer til eller afgår fra deres område, i situationer med en reel og aktuel eller forudsigelig terrortrussel, på grundlag af en afgørelse, der er baseret på en trusselsvurdering og begrænset i tid til, hvad der er strengt nødvendigt, og det skal kunne gøres til genstand for en effektiv prøvelse af enten en domstol eller et uafhængigt administrativt organ, hvis afgørelse er bindende.
3. Hvis der ikke foreligger en reel og aktuel eller forudsigelig terrortrussel, udvælger de medlemsstater, der anvender direktiv (EU) 2016/681 og dermed denne forordning på flyvninger inden for EU, sådanne flyvninger inden for EU på grundlag af resultatet af en vurdering, der foretages på grundlag af kravene i denne artikels stk. 4-7.
4. Den i stk. 3 omhandlede vurdering:
a)
gennemføres på en objektiv, behørigt begrundet og ikkeforskelsbehandlede måde i overensstemmelse med artikel 2 i direktiv (EU) 2016/681
b)
må kun tage hensyn til kriterier, som er relevante for forebyggelse, opdagelse, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet, der har en objektiv forbindelse, herunder en indirekte forbindelse, til luftbefordring af passagerer, og ikke udelukkende være baseret på de grunde, der er anført i chartrets artikel 21, hvad angår nogen passagerer eller grupper af passagerer
c)
må kun bruge oplysninger, der kan støtte en objektiv, behørigt begrundet og ikkeforskelsbehandlede vurdering.
5. På grundlag af den i stk. 3 omhandlede vurdering må medlemsstaterne kun udvælge flyvninger inden for EU, der vedrører bl.a. bestemte ruter, rejsemønstre eller lufthavne, for hvilke der er tegn på terrorhandlinger og grov kriminalitet, og som berettiger behandlingen af API-oplysninger og andre PNR-oplysninger. Udvælgelsen af flyvninger inden for EU begrænses til, hvad der er strengt nødvendigt for at nå målene i direktiv (EU) 2016/681 og denne forordning.
6. Medlemsstaterne opbevarer al dokumentation vedrørende den i stk. 3 omhandlede vurdering, herunder, hvor det er relevant, enhver revision heraf, og stiller den efter anmodning til rådighed for deres uafhængige tilsynsmyndigheder og nationale tilsynsmyndigheder i overensstemmelse med direktiv (EU) 2016/680.
7. Medlemsstaterne reviderer i overensstemmelse med artikel 2 i direktiv (EU) 2016/681 deres i stk. 3 omhandlede vurdering regelmæssigt og mindst hver 12. måned for at tage hensyn til ændringer i de omstændigheder, der begrundede udvælgelsen af flyvninger inden for EU, og med henblik på at sikre, at udvælgelsen af flyvninger inden for EU fortsat begrænses til, hvad der er strengt nødvendigt.
8. Kommissionen letter en regelmæssig drøftelse af udvælgelseskriterierne for den i stk. 3 omhandlede vurdering, herunder udvekslingen af bedste praksis, samt, på frivillig basis, udvekslingen af oplysninger om udvalgte flyvninger.
API-oplysninger og andre PNR-oplysninger, der er overført til routeren i henhold til denne forordning, må kun opbevares på routeren, i det omfang det er nødvendigt for at gennemføre transmissionen til de relevante passageroplysningsenheder i overensstemmelse med denne forordning, og slettes omgående, permanent og på en automatiseret måde fra routeren i begge følgende situationer:
a)
hvor det i overensstemmelse med artikel 12, stk. 3, bekræftes, at overførslen af API-oplysninger og andre PNR-oplysninger til de relevante passageroplysningsenheder er gennemført
b)
hvor API-oplysningerne eller andre PNR-oplysninger vedrører andre flyvninger inden for EU end dem, der er medtaget på de i artikel 12, stk. 4, omhandlede lister.
Routeren underretter automatisk eu-LISA og passageroplysningsenhederne om den umiddelbart forestående sletning af flyvninger inden for EU som omhandlet i litra b).
API-oplysninger og andre PNR-oplysninger, der overføres til passageroplysningsenheder i overensstemmelse med denne forordning, behandles efterfølgende af passageroplysningsenhederne i overensstemmelse med direktiv (EU) 2016/681, navnlig for så vidt angår reglerne om passageroplysningsenhedernes behandling af API-oplysninger og andre PNR-oplysninger, herunder reglerne i nævnte direktivs artikel 6, 10, 12 og 13, og udelukkende med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet.
Passageroplysningsenhederne eller andre kompetente myndigheder må under ingen omstændigheder behandle API-oplysninger og andre PNR-oplysninger med henblik på profilering som omhandlet i artikel 11, stk. 3, i direktiv (EU) 2016/680.
1. Hvis det ikke er teknisk muligt at benytte routeren til at transmittere API-oplysninger eller andre PNR-oplysninger på grund af et svigt i routeren, underretter eu-LISA omgående luftfartsselskaberne og passageroplysningsenhederne om denne tekniske umulighed på en automatiseret måde. I så fald træffer eu-LISA omgående foranstaltninger til at afhjælpe den tekniske umulighed af at benytte routeren og underretter omgående luftfartsselskaberne og passageroplysningsenhederne, når den er blevet afhjulpet.
I perioden mellem disse underretninger finder artikel 5, stk. 1, ikke anvendelse, for så vidt som den tekniske umulighed forhindrer overførsel af API-oplysninger eller andre PNR-oplysninger til routeren. Luftfartsselskaberne opbevarer API-oplysningerne eller de andre PNR-oplysninger, indtil den tekniske umulighed er blevet afhjulpet. Så snart den tekniske umuligged er blevet afhjulpet, overfører luftfartsselskaberne oplysningerne til routeren i overensstemmelse med artikel 5, stk. 1.
Hvis det ikke er teknisk muligt at benytte routeren, og i ekstraordinære tilfælde, der vedrører målene for denne forordning og som gør det nødvendigt for passageroplysningsenhederne omgående at modtage API-oplysninger eller andre PNR-oplysninger under den tekniske umulighed af at anvende routeren, kan passageroplysningsenhederne anmode luftfartsselskaberne om at anvende andre passende metoder, der sikrer det nødvendige niveau af datasikkerhed, datakvalitet og databeskyttelse, til at overføre API-oplysninger eller andre PNR-oplysninger direkte til passageroplysningsenhederne. Passageroplysningsenhederne behandler de API-oplysninger eller andre PNR-oplysninger, der modtages ved brug af andre passende metoder, i overensstemmelse med de regler og garantier, der er fastsat i direktiv (EU) 2016/681.
Efter underretningen fra eu-LISA om, at den tekniske umulighed er blevet afhjulpet, og hvor det er bekræftet i overensstemmelse med artikel 12, stk. 3, at transmissionen af API-oplysningerne eller de andre PNR-oplysninger via routeren til den relevante passageroplysningsenhed er blevet gennemført, sletter passageroplysningsenheden omgående de API-oplysninger eller de andre PNR-oplysninger, som den har modtaget ved brug af andre passende metoder.
2. Hvis det er teknisk umuligt at anvende routeren til at transmittere API-oplysninger eller andre PNR-oplysninger på grund af et svigt i en medlemsstats systemer eller infrastruktur omhandlet i artikel 23, underretter denne medlemsstats passageroplysningsenhed omgående de øvrige passageroplysningsenheder, eu-LISA og Kommissionen om denne tekniske umulighed på en automatiseret måde. I så fald træffer denne medlemsstat omgående foranstaltninger for at afhjælpe den tekniske umulighed af at benytte routeren og underretter omgående de øvrige passageroplysningsenheder, eu-LISA og Kommissionen, når den er blevet afhjulpet. Routeren opbevarer API-oplysningerne eller de andre PNR-oplysninger, indtil den tekniske umulighed er blevet afhjulpet. Så snart den tekniske umulighed er blevet afhjulpet, transmitterer routeren oplysningerne i overensstemmelse med artikel 12, stk. 1.
Hvis det er teknisk umuligt at anvende routeren, og i ekstraordinære tilfælde, som vedrører målene for denne forordning og som gør det nødvendigt for passageroplysningsenhederne omgående at modtage API-oplysninger eller andre PNR-oplysninger under den tekniske umulighed af at anvende routeren, kan passageroplysningsenhederne anmode luftfartsselskaberne om at anvende andre passende metoder, der sikrer det nødvendige niveau af datasikkerhed, datakvalitet og databeskyttelse, til at overføre API-oplysninger eller andre PNR-oplysninger direkte til passageroplysningsenhederne. Passageroplysningsenhederne behandler de API-oplysninger eller andre PNR-oplysninger, der modtages ved brug af andre passende metoder, i overensstemmelse med de regler og garantier, der er fastsat i direktiv (EU) 2016/681.
Efter underretningen fra eu-LISA om, at den tekniske umulighed er blevet afhjulpet, og hvis det er bekræftet i overensstemmelse med artikel 12, stk. 3, at transmissionen af API-oplysningerne eller de andre PNR-oplysninger via routeren til den relevante passageroplysningsenhed er blevet gennemført, sletter passageroplysningsenheden omgående de API-oplysninger eller andre PNR-oplysninger, som den har modtaget ved brug af andre passende metoder.
3. Hvis det er teknisk umuligt at anvende routeren til at overføre API-oplysninger eller andre PNR-oplysninger på grund af et svigt i et luftfartsselskabs systemer eller infrastruktur omhandlet i artikel 24, underretter dette luftfartsselskab omgående passageroplysningsenhederne, eu-LISA og Kommissionen om denne tekniske umulighed på en automatiseret måde. I så fald træffer dette luftfartsselskab omgående foranstaltninger til at afhjælpe den tekniske umulighed af at benytte routeren og underretter omgående passageroplysningsenhederne, eu-LISA og Kommissionen, når der er blevet afhjulpet.
I perioden mellem disse underretninger finder artikel 5, stk. 1, ikke anvendelse, for så vidt som den tekniske umulighed forhindrer overførsel af API-oplysninger eller andre PNR-oplysninger til routeren. Luftfartsselskaberne opbevarer API-oplysningerne eller de andre PNR-oplysninger, indtil den tekniske umulighed er blevet afhjulpet. Så snart den tekniske umulighed er blevet afhjulpet, overfører luftfartsselskaberne oplysningerne til routeren i overensstemmelse med artikel 5, stk. 1.
Hvis det er teknisk umuligt at benytte routeren, og i ekstraordinære tilfælde, som vedrører målene for denne forordning og som gør det nødvendigt for passageroplysningsenhederne omgående at modtage API-oplysninger eller andre PNR-oplysninger under den tekniske umulighed af at anvende routeren, kan passageroplysningsenhederne anmode luftfartsselskaberne om at anvende andre passende metoder, der sikrer det nødvendige niveau af datasikkerhed, datakvalitet og databeskyttelse, til at overføre API-oplysninger eller andre PNR-oplysninger direkte til passageroplysningsenhederne. Passageroplysningsenhederne behandler de API-oplysninger eller andre PNR-oplysninger, der modtages ved brug af andre passende metoder, i overensstemmelse med de regler og garantier, der er fastsat i direktiv (EU) 2016/681.
Efter underretningen fra eu-LISA om, at den tekniske umulighed er blevet afhjulpet, og hvis det er bekræftet i overensstemmelse med artikel 12, stk. 3, at transmissionen af API-oplysningerne eller de andre PNR-oplysninger via routeren til den relevante passageroplysningsenhed er blevet gennemført, sletter passageroplysningsenheden omgående de API-oplysninger eller andre PNR-oplysninger, som den har modtaget ved brug af andre passende metoder.
Når den tekniske umulighed er blevet afhjulpet, forelægger det pågældende luftfartsselskab straks den i artikel 37a omhandlede nationale API-tilsynsmyndighed en rapport med alle nødvendige oplysninger om den tekniske umulighed, herunder årsagerne til den, dens omfang og konsekvenser samt de foranstaltninger, der er truffet for at afhjælpe den.
1. Luftfartsselskaberne opretter logfiler over alle behandlingsaktiviteter vedrørende API-oplysninger i henhold til denne forordning, der foretages ved brug af de automatiserede midler, der er omhandlet i artikel 4, stk. 7. Disse logfiler omfatter dato, klokkeslæt og sted for overførsel af API-oplysninger. Disse logfiler må ikke indeholde andre personoplysninger end de oplysninger, der er nødvendige for at identificere luftfartsselskabets relevante medarbejder.
2. eu-LISA fører logfiler over alle behandlingsaktiviteter vedrørende overførsel og transmission af API-oplysninger og andre PNR-oplysninger gennem routeren i henhold til denne forordning. Disse logfiler omfatter følgende:
a)
det luftfartsselskab, der har overført API-oplysningerne og andre PNR-oplysninger til routeren
b)
det luftfartsselskab, der har overført andre PNR-oplysninger til routeren
c)
de passageroplysningsenheder, som API-oplysningerne blev transmitteret til via routeren
d)
de passageroplysningsenheder, som andre PNR-oplysninger blev transmitteret til via routeren
e)
dato og klokkeslæt for den overførsel eller transmission, der er omhandlet i litra a)-d), og stedet for denne overførsel eller transmission
f)
enhver adgang for eu-LISA's personale, der er nødvendig for vedligeholdelsen af routeren som omhandlet i artikel 26, stk. 3
g)
alle andre oplysninger vedrørende disse behandlingsaktiviteter, der er nødvendige for at overvåge API-oplysningernes og andre PNR-oplysningers sikkerhed og integritet og lovligheden af disse behandlingsaktiviteter.
Disse logfiler må ikke indeholde andre personoplysninger end de oplysninger, der er nødvendige for at identificere eu-LISA’s relevante medarbejder, jf. første afsnit, litra f).
3. De logfiler, der er omhandlet i denne artikels stk. 1 og 2, må kun anvendes til at garantere API-oplysningers og andre PNR-oplysningers sikkerhed og integritet og lovligheden af behandlingen, navnlig for så vidt angår overholdelse af kravene i denne forordning, herunder procedurer for sanktioner for overtrædelse af disse krav i overensstemmelse med artikel 37 og 38.
4. Luftfartsselskaberne og eu-LISA træffer passende foranstaltninger til at beskytte de logfiler, de har oprettet i henhold til henholdsvis stk. 1 og stk. 2, mod uautoriseret adgang og andre sikkerhedsrisici.
5. Den nationale API-tilsynsmyndighed, der er omhandlet i artikel 37, og passageroplysningsenhederne har adgang til de relevante logfiler, der er omhandlet i nærværende artikels stk. 1, hvis det er nødvendigt af hensyn til de i nærværende artikels stk. 3 omhandlede formål.
6. Luftfartsselskaberne og eu-LISA opbevarer de logfiler, de har oprettet i henhold til henholdsvis stk. 1 og stk. 2, i en periode på ét år fra det tidspunkt, hvor disse logfiler blev oprettet. De sletter omgående og permanent disse logfiler ved udløbet af denne periode.
Hvis disse logfiler er nødvendige for procedurer til overvågning eller sikring af API-oplysninger sikkerhed og integritet eller lovligheden af behandlingsaktiviteterne som omhandlet, jf. stk. 3, og disse procedurer allerede er indledt på tidspunktet for udløbet af den i nærværende stykkes første afsnit omhandlede periode, opbevarer luftfartsselskaberne og eu-LISA dog disse logfiler, så længe det er nødvendigt for disse procedurer. I så fald sletter de omgående disse logfiler, når de ikke længere er nødvendige for disse procedurer.
1. Luftfartsselskaberne er dataansvarlige som omhandlet i artikel 4, nr. 7, i forordning (EU) 2016/679 for behandling af API-oplysninger og andre PNR-oplysninger, der udgør personoplysninger, i forbindelse med indsamlingen af sådanne oplysninger og deres overførsel af disse til routeren i henhold til nærværende forordning.
2. Hver medlemsstat udpeger en kompetent myndighed som dataansvarlig i overensstemmelse med denne artikel. Medlemsstaterne underretter Kommissionen, eu-LISA og de øvrige medlemsstater om disse myndigheder.
Alle de kompetente myndigheder, som medlemsstaterne har udpeget, er fælles dataansvarlige i overensstemmelse med artikel 21 i direktiv (EU) 2016/680 med henblik på behandling af personoplysninger i routeren.
3. eu-LISA er databehandler som omhandlet i artikel 3, nr. 12), i forordning (EU) 2018/1725, for så vidt angår behandling af API-oplysninger og andre PNR-oplysninger, der udgør personoplysninger, i henhold til nærværende forordning via routeren, herunder transmission af oplysningerne fra routeren til passageroplysningsenhederne og opbevaring af disse oplysninger på routeren af tekniske årsager. eu-LISA sikrer, at routeren drives i overensstemmelse med nærværende forordning.
4. Kommissionen vedtager gennemførelsesretsakter, der fastlægger de fælles dataansvarliges respektive ansvarsområder og de respektive forpligtelser mellem de fælles dataansvarlige og databehandleren. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 42, stk. 2.
I overensstemmelse med artikel 13 i forordning (EU) 2016/679 giver luftfartsselskaber passagerer på flyvninger, der er omfattet af nærværende forordning, oplysninger om formålet med indsamlingen af deres personoplysninger, typen af indsamlede personoplysninger, modtagerne af personoplysningerne og mulighederne for udøvelse af deres rettigheder som registrerede.
Disse oplysninger meddeles passagererne skriftligt i et lettilgængeligt format på reservationstidspunktet og på indtjekningstidspunktet, uanset hvilke metoder der anvendes til at indsamle personoplysningerne på indtjekningstidspunktet, i overensstemmelse med artikel 4.
1. eu-LISA sørger for sikkerheden og krypteringen af de API-oplysninger og andre PNR-oplysninger, som det behandler i henhold til denne forordning, navnlig oplysninger, der udgør personoplysninger. Passageroplysningsenhederne og luftfartsselskaberne sørger for sikkerheden af de API-oplysninger, som de behandler i henhold til denne forordning, navnlig API-oplysninger, der udgør personoplysninger. eu-LISA, passageroplysningsenhederne og luftfartsselskaberne samarbejder i overensstemmelse med deres respektive ansvarsområder og under overholdelse af EU-retten med hinanden om at sørge for en sådan sikkerhed.
2. eu-LISA sørger for sikkerheden og fortroligheden af oplysningerne vedrørende flyvninger og ruter, som medlemsstaterne har udvalgt i overensstemmelse med artikel 12, stk. 4. Passageroplysningsenhederne og luftfartsselskaberne sørger for sikkerheden af de API-oplysninger, som det behandler i henhold til denne forordning, navnlig API-oplysninger, der udgør personoplysninger. eu-LISA, passageroplysningsenhederne og luftfartsselskaberne samarbejder i overensstemmelse med deres respektive ansvarsområder og under overholdelse af EU-retten med hinanden om at sørge for en sådan sikkerhed.
3. eu-LISA træffer de foranstaltninger, der er nødvendige for at sørge for sikkerheden for routeren og API-oplysningerne og andre PNR-oplysninger, navnlig oplysninger, der udgør personoplysninger, og som transmitteres via routeren, herunder ved at udarbejde, gennemføre og regelmæssigt ajourføre en sikkerhedsplan, en forretningskontinuitetsplan og en katastrofeberedskabsplan, med henblik på at:
a)
fysisk beskytte routeren, herunder ved at udarbejde beredskabsplaner for beskyttelse af kritiske komponenter heraf
b)
forhindre uautoriseret behandling af API-oplysninger eller andre PNR-oplysninger, herunder uautoriseret adgang hertil og kopiering, ændring eller sletning heraf, både under overførslen af API-oplysningerne eller andre PNR-oplysninger til og fra routeren og under enhver opbevaring af API-oplysninger eller andre PNR-oplysninger på routeren, hvor det er nødvendigt for at gennemføre transmissionen, navnlig ved hjælp af passende krypteringsteknikker
c)
sikre, at de personer, der er bemyndiget til at få adgang til routeren, kun har adgang til de oplysninger, der er omfattet af deres adgangstilladelse
d)
sikre, at det er muligt at verificere og fastslå, til hvilke passageroplysningsenheder API-oplysningerne eller andre PNR-oplysninger transmitteres via routeren
e)
rapportere behørigt til sin bestyrelse om eventuelle fejl i funktionen af routeren
f)
overvåge virkningsfuldheden af de sikkerhedsforanstaltninger, der kræves i henhold til denne artikel og forordning (EU) 2018/1725, og vurdere og ajourføre disse sikkerhedsforanstaltninger, hvor det er nødvendigt i lyset af den teknologiske eller operationelle udvikling.
De foranstaltninger, der er omhandlet i dette stykkes første afsnit, berører ikke artikel 32 i forordning (EU) 2016/679, artikel 33 i forordning (EU) 2018/1725 eller artikel 29 i direktiv (EU) 2016/680.
Luftfartsselskaber og passageroplysningsenheder overvåger, at de overholder deres respektive forpligtelser i henhold til denne forordning, navnlig med hensyn til deres behandling af API-oplysninger, der udgør personoplysninger. For luftfartsselskaber omfatter overvågningen hyppig verifikation af logfilerne, der er omhandlet i artikel 17.
1. De uafhængige tilsynsmyndigheder, der er omhandlet i artikel 41 i direktiv (EU) 2016/680, foretager mindst hvert fjerde år en revision af behandlingsaktiviteter for så vidt angår API-oplysninger, der udgør personoplysninger, som foretages af passageroplysningsenhederne med henblik på denne forordning. Medlemsstaterne sikrer, at deres uafhængige tilsynsmyndigheder har tilstrækkelige ressourcer og ekspertise til at udføre de opgaver, som er tillagt dem i henhold til denne forordning.
2. Den Europæiske Tilsynsførende for Databeskyttelse foretager mindst én gang om året en revision af behandlingsaktiviteter for så vidt angår API-oplysninger og andre PNR-oplysninger, der udgør personoplysninger, som foretages af eu-LISA med henblik på denne forordning, i overensstemmelse med relevante internationale revisionsstandarder. En rapport om denne revision sendes til Europa-Parlamentet, Rådet, Kommissionen, medlemsstaterne og eu-LISA. eu-LISA gives lejlighed til at fremsætte bemærkninger, inden rapporterne vedtages.
3. I forbindelse med de behandlingsaktiviteter, der er omhandlet i stk. 2, leverer eu-LISA efter anmodning de oplysninger, som Den Europæiske Tilsynsførende for Databeskyttelse anmoder om, giver Den Europæiske Tilsynsførende for Databeskyttelse adgang til alle de dokumenter, som den anmoder om, og til de logfiler, der er omhandlet i artikel 17, stk. 2, og giver Den Europæiske Tilsynsførende for Databeskyttelse adgang til alle eu-LISA's lokaler til enhver tid.
1. Medlemsstaterne sikrer, at deres passageroplysningsenheder er tilsluttet routeren. De sikrer, at deres nationale systemer og infrastruktur til modtagelse og viderebehandling af API-oplysninger og andre PNR-oplysninger, der overføres i henhold til denne forordning, er integreret med routeren.
Medlemsstaterne sikrer, at tilslutningen til routeren og integrationen med denne gør det muligt for deres passageroplysningsenheder at modtage og viderebehandle disse API-oplysninger og andre PNR-oplysninger samt at udveksle enhver kommunikation i forbindelse hermed på en lovlig, sikker, effektiv og hurtig måde.
2. Kommissionen vedtager gennemførelsesretsakter, der fastlægger de nødvendige detaljerede regler for den i denne artikels stk. 1 omhandlede tilslutning til og integration med routeren, herunder om krav for så vidt angår datasikkerhed. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 42, stk. 2.
1. Luftfartsselskaberne sikrer, at de er tilsluttet routeren. De sikrer, at deres systemer og infrastruktur til overførsel af API-oplysninger og andre PNR-oplysninger til routeren i henhold til denne forordning er integreret med routeren.
Luftfartsselskaberne sikrer, at tilslutningen til routeren og integrationen med denne gør det muligt for dem at overføre disse API-oplysninger og andre PNR-oplysninger samt udveksle enhver kommunikation i forbindelse hermed på en lovlig, sikker, effektiv og hurtig måde. Med henblik herpå foretager luftfartsselskaberne test af overførslen af API-oplysninger og andre PNR-oplysninger til routeren i samarbejde med eu-LISA i overensstemmelse med artikel 27, stk. 3.
2. Kommissionen vedtager gennemførelsesretsakter, der præciserer de nødvendige detaljerede regler for den i denne artikels stk. 1 omhandlede tilslutning til og integration med routeren, herunder om krav for så vidt angår datasikkerhed. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 42, stk. 2.
1. eu-LISA er ansvarligt for design af routerens fysiske arkitektur, herunder fastlæggelse af dens tekniske specifikationer.
2. eu-LISA er ansvarligt for udvikling af routeren, herunder for eventuelle tekniske tilpasninger, der er nødvendige for routerens drift.
Udviklingen af routeren består i udarbejdelse og gennemførelse af de tekniske specifikationer, afprøvning og overordnet projektstyring og koordinering af udviklingsfasen.
3. eu-LISA sikrer, at routeren er designet og udviklet på en sådan måde, at routeren leverer de funktioner, der er specificeret i denne forordning, og at routeren idriftsættes så snart som muligt efter Kommissionens vedtagelse af de delegerede retsakter, der er omhandlet i denne forordnings artikel 4, stk. 12, artikel 5, stk. 3, og artikel 7, stk. 2, og af de gennemførelsesretsakter, der er omhandlet i denne forordnings artikel 11, stk. 5, artikel 12, stk. 4, artikel 23, stk. 2, og artikel 24, stk. 2, og af de gennemførelsesretsakter, der er omhandlet i artikel 16, stk. 3, i direktiv (EU) 2016/681, og efter udarbejdelsen af en konsekvensanalyse vedrørende databeskyttelse i overensstemmelse med artikel 35 i forordning (EU) 2016/679.
4. eu-LISA stiller en overensstemmelsestest til rådighed for passageroplysningsenhederne, medlemsstaternes andre relevante myndigheder og luftfartsselskaberne. Overensstemmelsestesten omfatter et testmiljø, en simulator, testdatasæt og en testplan. Overensstemmelsestesten gør det muligt at foretage omfattende test af routeren som omhandlet i stk. 5 og 6, og den forbliver til rådighed efter afslutningen af disse test.
5. Hvor eu-LISA vurderer, at udviklingsfasen er afsluttet for så vidt angår API-oplysninger, foretager det uden unødigt ophold en omfattende test af routeren i samarbejde med passageroplysningsenhederne og medlemsstaternes andre relevante myndigheder og luftfartsselskaber og underretter Kommissionen om resultatet af denne test.
6. Hvor eu-LISA vurderer, at udviklingsfasen er afsluttet for så vidt angår andre PNR-oplysninger, foretager det uden unødigt ophold omfattende test af routeren for at sikre pålideligheden af routerens forbindelse med luftfartsselskaber og passageroplysningsenheder, luftfartsselskabernes nødvendige standardiserede transmission af andre PNR-oplysninger og overførsel og transmission af andre PNR-oplysninger i overensstemmelse med artikel 16 i direktiv (EU) 2016/681, herunder anvendelse af de fælles protokoller og understøttede standardiserede dataformater, der er omhandlet i nævnte direktivs artikel 16, stk. 2 og 3, for at sikre læsbarheden af de andre PNR-oplysninger. Sådanne test foretages i samarbejde med passageroplysningsenhederne og medlemsstaternes andre relevante myndigheder og luftfartsselskaber. eu-LISA underretter Kommissionen om resultatet af disse test.
1. eu-LISA hoster routeren på sine tekniske lokaliteter.
2. eu-LISA er ansvarligt for den tekniske forvaltning af routeren, herunder dens vedligeholdelse og tekniske udvikling, på en sådan måde, at det sikres, at API-oplysningerne og andre PNR-oplysninger transmitteres sikkert, effektivt og hurtigt gennem routeren under overholdelse af denne forordning.
Den tekniske forvaltning af routeren består i at udføre alle de opgaver og vedtage alle de tekniske løsninger, der er nødvendige for, at routeren kan fungere korrekt i overensstemmelse med denne forordning uden afbrydelser, 24 timer i døgnet, syv dage om ugen. Den tekniske forvaltning omfatter det vedligeholdelsesarbejde og den tekniske udvikling, der er nødvendig for at sikre, at routeren fungerer på et tilfredsstillende niveau af teknisk kvalitet, navnlig med hensyn til tilgængeligheden, nøjagtigheden og pålideligheden af transmissionen af API-oplysninger og andre PNR-oplysninger, i overensstemmelse med de tekniske specifikationer og så vidt muligt i overensstemmelse med passageroplysningsenhedernes og luftfartsselskabernes operationelle behov.
3. eu-LISA har ikke adgang til nogen af de API-oplysninger eller andre PNR-oplysninger, der transmitteres gennem routeren. Dette forbud udelukker dog ikke eu-LISA's personale fra at få en sådan adgang, i det omfang det er strengt nødvendigt for vedligeholdelsen og den tekniske forvaltning af routeren.
4. Uden at det berører denne artikels stk. 3 og artikel 17 i vedtægten for tjenestemænd i Den Europæiske Union, fastsat ved Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 , anvender eu-LISA passende regler for tavshedspligt eller andre tilsvarende fortrolighedskrav i forbindelse med sine ansatte, der skal arbejde med API-oplysninger eller andre PNR-oplysninger, der transmitteres via routeren. Denne pligt består fortsat, efter at sådanne ansatte har fratrådt deres stilling, eller deres aktiviteter er ophørt.
1. eu-LISA sørger efter anmodning fra passageroplysningsenheder, andre relevante myndigheder i medlemsstaterne eller luftfartsselskaber for uddannelse af disse i den tekniske anvendelse af routeren og i deres tilslutning til og integration med routeren.
2. eu-LISA yder støtte til passageroplysningsenhederne vedrørende modtagelsen af API-oplysninger og andre PNR-oplysninger gennem routeren i henhold til denne forordning, navnlig for så vidt angår anvendelsen af artikel 12 og 23.
3. I overensstemmelse med artikel 24, stk. 1, og under anvendelse af det sæt af overensstemmelsestest, der er omhandlet i artikel 25, stk. 4, foretager eu-LISA i samarbejde med luftfartsselskaberne test af overførslen af API-oplysninger og andre PNR-oplysninger til routeren.
1. Senest den 28. januar 2025 nedsætter eu-LISA's bestyrelse et programstyringsråd. Det skal have 10 medlemmer og bestå af:
a)
syv medlemmer udpeget af eu-LISA's bestyrelse blandt dens medlemmer eller suppleanter
b)
formanden for den i artikel 29 omhandlede Rådgivende Gruppe for API-PNR
c)
et medlem af eu-LISA's personale udpeget af dets administrerende direktør, og
d)
et medlem udpeget af Kommissionen.
For så vidt angår litra a) vælges de medlemmer, der udpeges af eu-LISA's bestyrelse, kun blandt dens medlemmer eller suppleanter fra de medlemsstater, som denne forordning finder anvendelse på.
2. Programstyringsrådet udarbejder et udkast til sin forretningsorden, der skal vedtages af eu-LISA's bestyrelse.
Formandskabet varetages af en medlemsstat, der er medlem af programstyringsrådet.
3. Programstyringsrådet fører tilsyn med den effektive udførelse af eu-LISA's opgaver i forbindelse med design og udvikling af routeren i overensstemmelse med artikel 25.
eu-LISA forelægger efter anmodning fra programstyringsrådet detaljerede og ajourførte oplysninger om designet og udviklingen af routeren, herunder om de ressourcer, som eu-LISA har tildelt.
4. Programstyringsrådet forelægger regelmæssigt og mindst tre gange pr. kvartal skriftlige rapporter om fremskridtene i designet og udviklingen af routeren for eu-LISA's bestyrelse.
5. Programstyringsrådet har ingen beslutningskompetence eller noget mandat til at repræsentere eu-LISA's bestyrelse eller dens medlemmer.
6. Programstyringsrådet ophører med at eksistere på denne forordnings anvendelsesdato, der er omhandlet i artikel 45, stk. 2.
1. Fra den 28. januar 2025 yder Den Rådgivende Gruppe for API-PNR, der er nedsat i henhold til artikel 27, stk. 1, litra de), i forordning (EU) 2018/1726, eu-LISA's bestyrelse den nødvendige ekspertise vedrørende API-PNR, navnlig i forbindelse med udarbejdelsen af det årlige arbejdsprogram og den årlige aktivitetsrapport.
2. eu-LISA giver, når de foreligger, Den Rådgivende Gruppe for API-PNR versioner, endog overgangsversioner, af de tekniske specifikationer og de overensstemmelsestest, der er omhandlet i artikel 25, stk. 1, 2 og 4.
3. Den Rådgivende Gruppe for API-PNR varetager følgende funktioner:
a)
yder ekspertise til eu-LISA og programstyringsrådet i forbindelse med design og udvikling af routeren i overensstemmelse med artikel 25
b)
yder ekspertise til eu-LISA om hosting og teknisk forvaltning af routeren i overensstemmelse med artikel 26
c)
afgiver udtalelse til programstyringsrådet på dettes anmodning om fremskridt med hensyn til design og udvikling af routeren, herunder om fremskridt med hensyn til de tekniske specifikationer og overensstemmelsestest, der er omhandlet i stk. 2.
4. Den Rådgivende Gruppe for API-PNR har ingen beslutningskompetence eller noget mandat til at repræsentere eu-LISA's bestyrelse eller dens medlemmer.
1. Senest på denne forordnings relevante anvendelsesdato, der er omhandlet i artikel 45, stk. 2, nedsætter eu-LISA's bestyrelse en kontaktgruppe for API-PNR.
2. Kontaktgruppen for API-PNR muliggør kommunikation mellem medlemsstaternes relevante myndigheder og luftfartsselskaber om tekniske spørgsmål vedrørende deres respektive opgaver og forpligtelser i henhold til denne forordning.
3. Kontaktgruppen for API-PNR består af repræsentanter for medlemsstaternes relevante myndigheder og luftfartsselskaber, formanden for Den Rådgivende Gruppe for API-PNR og eu-LISA's eksperter.
4. eu-LISA's bestyrelse fastsætter forretningsordenen for Kontaktgruppen for API-PNR efter udtalelse fra Den Rådgivende Gruppe for API-PNR.
5. Hvor det skønnes nødvendigt, kan eu-LISA's bestyrelse også nedsætte undergrupper under Kontaktgruppen for API-PNR for at drøfte specifikke tekniske spørgsmål vedrørende medlemsstaternes relevante myndigheders og luftfartsselskabers respektive opgaver og forpligtelser i henhold til denne forordning.
6. Kontaktgruppen for API-PNR, herunder dens undergrupper, har ingen beslutningskompetence eller noget mandat til at repræsentere eu-LISA's bestyrelse eller dens medlemmer.
1. Senest på denne forordnings anvendelsesdato, der er omhandlet i artikel 45, stk. 2, litra a), nedsætter Kommissionen en API-ekspertgruppe i overensstemmelse med de horisontale regler om oprettelse af Kommissionens ekspertgrupper og deres funktion.
2. API-ekspertgruppen muliggør kommunikation blandt medlemsstaternes relevante myndigheder og mellem medlemsstaternes relevante myndigheder og luftfartsselskaber om politiske spørgsmål vedrørende deres respektive opgaver og forpligtelser i henhold til denne forordning, herunder i forbindelse med de sanktioner, der er omhandlet i artikel 38.
3. API-ekspertgruppen ledes af Kommissionen og sammensættes i overensstemmelse med de horisontale regler for oprettelse og drift af Kommissionens ekspertgrupper. Den består af repræsentanter for medlemsstaternes relevante myndigheder, repræsentanter for luftfartsselskaber og eu-LISA's eksperter. API-ekspertgruppen kan, hvor det er relevant for udførelsen af dens opgaver, indbyde relevante interessenter, navnlig repræsentanter for Europa-Parlamentet, Den Europæiske Tilsynsførende for Databeskyttelse og de uafhængige nationale tilsynsmyndigheder, til at deltage i dens arbejde.
4. API-ekspertgruppen udfører sine opgaver i overensstemmelse med gennemsigtighedsprincippet. Kommissionen offentliggør protokollerne fra API-ekspertgruppens møder og andre relevante dokumenter på sit websted.
1. eu-LISA's omkostninger i forbindelse med oprettelse og drift af routeren i henhold til denne forordning afholdes over Unionens almindelige budget.
2. Medlemsstaternes omkostninger i forbindelse med gennemførelsen af denne forordning, navnlig deres i artikel 23 omhandlede tilslutning til og integration med routeren støttes af Unionens almindelige budget i overensstemmelse med de regler for støtteberettigelse og medfinansieringssatser, der er fastsat i de gældende EU-retsakter.
3. De omkostninger, som Den Europæiske Tilsynsførende for Databeskyttelse pådrager sig i forbindelse med de opgaver, den har fået pålagt i henhold til denne forordning, afholdes over Unionens almindelige budget.
4. De omkostninger, som de uafhængige nationale tilsynsmyndigheder pådrager sig i forbindelse med de opgaver, de har fået pålagt i henhold til denne forordning, afholdes af medlemsstaterne.
Hvis en medlemsstats eller et luftfartsselskabs manglende opfyldelse af sine forpligtelser i henhold til denne forordning volder skade på routeren, er denne medlemsstat eller dette luftfartsselskab ansvarlig(t) for skaden som fastsat i gældende EU-ret eller national ret, medmindre og i det omfang det påvises, at eu-LISA, en anden medlemsstat eller et andet luftfartsselskab ikke har truffet rimelige foranstaltninger til at forhindre skaden i at ske eller til at begrænse dens omfang.
Kommissionen fastsætter uden unødigt ophold datoen for routerens idriftsættelse for så vidt angår API-oplysninger ved hjælp af en gennemførelsesretsakt, når eu-LISA har underrettet Kommissionen om den vellykkede gennemførelse af den i artikel 25, stk. 5, omhandlede omfattende test af routeren. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 42, stk. 2.
Kommissionen fastsætter den dato, der er omhandlet i stk. 1, til senest 30 dage efter datoen for vedtagelsen af den pågældende gennemførelsesretsakt.
Kommissionen fastsætter uden unødigt ophold datoen for routerens idriftsættelse for så vidt angår andre PNR-oplysninger ved hjælp af en gennemførelsesretsakt, når eu-LISA har underrettet Kommissionen om den vellykkede gennemførelse af den i artikel 25, stk. 6, omhandlede omfattende test af routeren, herunder om pålideligheden af routerens tilslutning til luftfartsselskaber og passageroplysningsenheder og om læsbarheden af andre PNR-oplysninger, der overføres af luftfartsselskaber og videregives af routeren i det nødvendige standardiserede format, i overensstemmelse med artikel 16 i direktiv (EU) 2016/681. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 42, stk. 2.
Kommissionen fastsætter den dato, der er omhandlet i stk. 1, til senest 30 dage efter datoen for vedtagelsen af den pågældende gennemførelsesretsakt.
1. Luftfartsselskaberne har lov til at anvende routeren til at fremsende de oplysninger, der er omhandlet i artikel 3, stk. 1 og 2, i direktiv 2004/82/EF, eller andre PNR-oplysninger i henhold til artikel 8 i direktiv (EU) 2016/681 til en eller flere af de ansvarlige passageroplysningsenheder i overensstemmelse med nævnte direktiver, forudsat at den pågældende medlemsstat indvilliger heri, fra en passende dato, der fastsættes af denne medlemsstat. Denne medlemsstat må først indvillige efter at have konstateret, at oplysningerne kan fremsendes på en lovlig, sikker, effektiv og hurtig måde, navnlig hvad angår både dens egen passageroplysningsenheds og det berørte luftfartsselskabs tilslutning til routeren.
2. Hvis et luftfartsselskab begynder at benytte routeren i overensstemmelse med denne artikels stk. 1, skal det fortsætte det med at anvende routeren til at fremsende disse oplysninger til den pågældende passageroplysningsenhed indtil denne forordnings relevante anvendelsesdato, der er omhandlet i artikel 45, stk. 2. Denne anvendelse ophører dog fra en passende dato, der fastsættes af denne medlemsstat, hvis denne medlemsstat finder, at der er objektive grunde til, at et sådant ophør er nødvendigt, og har underrettet luftfartsselskabet herom.
3. Den pågældende medlemsstat skal:
a)
høre eu-LISA, inden der indgås aftale om frivillig anvendelse af routeren i overensstemmelse med stk. 1
b)
medmindre der er tale om behørigt begrundede hastetilfælde, give det pågældende luftfartsselskab mulighed for at fremsætte bemærkninger til sin hensigt om at afbryde den pågældende anvendelse i overensstemmelse med stk. 2 og, hvis det er relevant, også høre eu-LISA herom
c)
omgående underrette eu-LISA og Kommissionen om enhver sådan anvendelse, som den indvilliger i, og ethvert ophør af en sådan anvendelse og give alle nødvendige oplysninger, herunder datoen for påbegyndelse af anvendelsen, datoen for ophøret og årsagerne til ophøret, alt efter hvad der er relevant.
1. Medlemsstaterne udpeger én eller flere nationale API-tilsynsmyndigheder, der er ansvarlige overvåge, at luftfartsselskaber anvender denne forordnings bestemmelser på deres område, og for at sikre, at disse bestemmelser overholdes.
2. Medlemsstaterne sikrer, at de nationale API-tilsynsmyndigheder har alle de midler og alle de undersøgelses- og håndhævelsesbeføjelser, der er nødvendige til at udføre deres opgaver i henhold til denne forordning, herunder ved at pålægge de sanktioner, der er omhandlet i artikel 38, hvor det er relevant. Medlemsstaterne sikrer, at udøvelsen af de beføjelser, der er tillagt den nationale API-tilsynsmyndighed, er underlagt passende garantier i overensstemmelse med de grundlæggende rettigheder, der er sikret i henhold til EU-retten.
3. Medlemsstaterne meddeler senest på denne forordnings relevante anvendelsesdato, der er omhandlet i artikel 45, stk. 2, Kommissionen navn og kontaktoplysninger på de myndigheder, de har udpeget i henhold til stk. 1. De underretter straks Kommissionen om eventuelle senere ændringer eller tilpasninger heraf.
4. Denne artikel berører ikke de i artikel 51 i forordning (EU) 2016/679, artikel 41 i direktiv (EU) 2016/680 og artikel 15 i direktiv (EU) 2016/681 omhandlede tilsynsmyndigheders beføjelser.
1. Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af bestemmelserne i denne forordning, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
2. Medlemsstaterne giver senest på denne forordnings relevante anvendelsesdato, der er omhandlet i artikel 45, stk. 2, Kommissionen meddelelse om disse regler og foranstaltninger og underretter den straks om alle senere ændringer, der berører dem.
3. Medlemsstaterne sikrer, at de nationale API-tilsynsmyndigheder, når de træffer afgørelse om, hvorvidt der skal pålægges en sanktion, og når de fastlægger sanktionernes type og omfang, tager hensyn til relevante omstændigheder, herunder:
a)
overtrædelsens art, grovhed og varighed
b)
graden af luftfartsselskabets fejl
c)
luftfartsselskabets tidligere overtrædelser
d)
det overordnede niveau af luftfartsselskabets samarbejde med de kompetente myndigheder
e)
luftfartsselskabets størrelse såsom det årlige antal befordrede passagerer
f)
hvorvidt andre nationale API-tilsynsmyndigheder tidligere har pålagt det samme luftfartsselskab sanktioner for den samme overtrædelse.
4. Medlemsstaterne sikrer, at gentagne tilfælde af manglende overførsel af API-oplysninger i overensstemmelse med artikel 5, stk. 1, medfører forholdsmæssige økonomiske sanktioner på op til 2 % af luftfartsselskabets globale omsætning for det forudgående regnskabsår. Medlemsstaterne sikrer, at manglende overholdelse af andre forpligtelser, der er fastsat i denne forordning, straffes med forholdsmæssige sanktioner, herunder økonomiske sanktioner.
1. Med henblik på at støtte gennemførelsen, og overvågningen af anvendelsen, af denne forordning og på baggrund af de i stk. 5 og 6 omhandlede statistiske oplysninger offentliggør eu-LISA hvert kvartal statistikker over funktionen af routeren og luftfartsselskabernes overholdelse af forpligtelserne i denne forordning. Disse statistikker må ikke give mulighed for identifikation af enkeltpersoner.
2. Routeren transmitterer med henblik på stk. 1 automatisk de oplysninger, der er anført i stk. 5 og 6, til CRRS.
3. Med henblik på at støtte gennemførelsen og overvågningen af anvendelsen af denne forordning indsamler eu-LISA hvert år statistiske data i en årlig rapport for det forudgående år. eu-LISA offentliggør denne årsrapport og sender den til Europa-Parlamentet, Rådet, Kommissionen, Den Europæiske Tilsynsførende for Databeskyttelse, Det Europæiske Agentur for Grænse- og Kystbevogtning og de i artikel 37 omhandlede nationale API-tilsynsmyndigheder. Årsrapporten må ikke afsløre fortrolige arbejdsmetoder eller bringe medlemsstaternes kompetente myndigheders igangværende undersøgelser i fare.
4. Efter anmodning fra Kommissionen forelægger eu-LISA den statistikker om specifikke aspekter i forbindelse med gennemførelsen af denne forordning samt statistikkerne i henhold til stk. 3.
5. CRRS forelægger eu-LISA følgende statistiske oplysninger, der er nødvendige for den rapportering, der er omhandlet i artikel 44, og for at generere statistikker i overensstemmelse med nærværende artikel, dog uden at sådanne statistikker om API-oplysninger giver mulighed for at identificere de berørte passagerer:
a)
hvorvidt oplysningerne vedrører en passager eller et besætningsmedlem
b)
passagerens eller besætningsmedlemmets nationalitet, køn og fødselsår
c)
ombordstigningsdato og første ombordstigningssted, afgangsdato og -lufthavn samt ankomstdato og -lufthavn
d)
rejsedokumentets type, koden på tre bogstaver for det udstedende land og datoen for udløbet af rejsedokumentets gyldighed
e)
antallet af indtjekkede passagerer på samme flyvning
f)
koden for det luftfartsselskab, der foretager flyvningen
g)
hvorvidt flyvningen er en ruteflyvning eller en ikkeruteflyvning
h)
hvorvidt API-oplysninger blev overført omgående efter flylukningen
i)
hvorvidt passagerens personoplysninger er nøjagtige, fuldstændige og ajourførte
j)
de tekniske metoder, der anvendes til at indsamle API-oplysninger.
6. CRRS forelægger eu-LISA følgende statistiske oplysninger, der er nødvendige for den rapportering, der er omhandlet i artikel 44, og med henblik på at generere statistikker i overensstemmelse med nærværende artikel, dog uden at sådanne statistikker om andre PNR-oplysninger giver mulighed for at identificere de berørte passagerer:
a)
dato og tidspunkt for routerens modtagelse af PNR-meddelelsen
b)
oplysninger om flyvninger, der er indeholdt i rejseruten i den specifikke PNR-meddelelse
c)
oplysninger om code-sharing, der er indeholdt i den specifikke PNR-meddelelse.
7. Med henblik på den rapportering, der er omhandlet i artikel 44, og med henblik på at generere statistikker i overensstemmelse med nærværende artikel opbevarer eu-LISA de oplysninger, der er omhandlet i nærværende artikels stk. 5 og 6, i CRRS. Det opbevarer sådanne oplysninger i en periode på fem år i overensstemmelse med stk. 2, idet det sikres, at oplysningerne ikke giver mulighed for at identificere de berørte passagerer. CRRS forelægger det behørigt bemyndigede personale hos medlemsstaternes passageroplysningsenheder og andre relevante myndigheder skræddersyede rapporter og statistikker om API-oplysninger som omhandlet i nærværende artikels stk. 5 og andre PNR-oplysninger som omhandlet i nærværende artikels stk. 6 med henblik på gennemførelsen og overvågningen af anvendelsen af denne forordning.
8. Anvendelsen af de oplysninger, der er omhandlet i denne artikels stk. 5 og 6, må ikke føre til profilering af enkeltpersoner som omhandlet i artikel 11, stk. 3, i direktiv (EU) 2016/680 eller forskelsbehandling af personer af de grunde, der er anført i chartrets artikel 21. De oplysninger, der er omhandlet i nærværende artikels stk. 5 og 6, må ikke anvendes til at sammenligne eller matche dem med personoplysninger eller til at kombinere dem med personoplysninger.
9. De procedurer, som eu-LISA har indført for at overvåge udviklingen og driften af routeren omhandlet i artikel 39, stk. 2, i forordning (EU) 2019/818, skal omfatte muligheden for at udarbejde regelmæssige statistikker for at sikre denne overvågning.
Kommissionen udarbejder og offentliggør i tæt samarbejde med passageroplysningsenhederne, medlemsstaternes andre relevante myndigheder, luftfartsselskaber og relevante EU-organer og -agenturer en praktisk håndbog med retningslinjer, henstillinger og bedste praksis for gennemførelsen af denne forordning, herunder vedrørende overholdelse af de grundlæggende rettigheder og vedrørende sanktioner i overensstemmelse med artikel 38.
Den praktiske håndbog tager hensyn til andre relevante håndbøger.
Kommissionen vedtager den praktiske håndbog i form af en henstilling.
Artikel 39, stk. 1 og 2, i forordning (EU) 2019/818 affattes således:
»1. Der oprettes et centralt register for rapportering og statistik (CRRS) med henblik på at støtte målene for SIS, Eurodac og ECRIS-TCN i overensstemmelse med de respektive retlige instrumenter, der regulerer disse systemer, og for at tilvejebringe statistiske oplysninger og analytisk rapportering på tværs af systemerne til politiske, operationelle og datakvalitetsmæssige formål. CRRS støtter også målene for Europa-Parlamentets og Rådets forordning (EU) 2025/13.
2. eu-LISA opretter, gennemfører og hoster CRSS på sine tekniske anlæg, indeholdende de data og statistikker, der er omhandlet i artikel 74 i forordning (EU) 2018/1862 og artikel 32 i forordning (EU) 2019/816, logisk adskilt efter EU-informationssystem. eu-LISA indsamler også de data og statistikker fra routeren, der er omhandlet i artikel 39, stk. 1, i forordning (EU) 2025/13. Der gives adgang til CRRS via en kontrolleret og sikret adgang og specifikke brugerprofiler, udelukkende med henblik på indberetning og statistik, til de myndigheder, der er omhandlet i artikel 74 i forordning (EU) 2018/1862, artikel 32 i forordning (EU) 2019/816 og artikel 13, stk. 1, i forordning (EU) 2025/13.
1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse. Afgiver udvalget ikke nogen udtalelse, vedtager Kommissionen ikke udkastet til gennemførelsesretsakt, og artikel 5, stk. 4, tredje afsnit, i forordning (EU) nr. 182/2011 finder anvendelse.
1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.
2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 4, stk. 11 og 12, artikel 5, stk. 4, og artikel 7, stk. 5, tillægges Kommissionen for en periode på fem år fra den 28. januar 2025. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.
For så vidt angår en delegeret retsakt vedtaget i henhold til artikel 4, stk. 11, må Europa-Parlamentet eller Rådet ikke, hvis Europa-Parlamentet eller Rådet har gjort indsigelse i henhold til nærværende artikels stk. 6, modsætte sig den stiltiende forlængelse, der er omhandlet i nærværende stykkes første afsnit.
3. Den i artikel 4, stk. 12, artikel 5, stk. 4, og artikel 7, stk. 5, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.
4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.
5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.
6. En delegeret retsakt vedtaget i henhold til artikel 4, stk. 11 eller 12, artikel 5, stk. 4, eller artikel 7, stk. 5, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.
1. eu-LISA sikrer, at der er indført procedurer til at overvåge udviklingen af routeren i lyset af mål vedrørende planlægning og omkostninger og til at overvåge funktionen af routeren i lyset af målene for tekniske resultater, omkostningseffektivitet, sikkerhed og tjenestekvalitet.
2. Senest den 29. januar 2026 og derefter hvert år i routerens udviklingsfase udarbejder eu-LISA en rapport om status for routerens udvikling og forelægger Europa-Parlamentet og Rådet denne rapport. Rapporten skal indeholde detaljerede oplysninger om de afholdte omkostninger og om eventuelle risici, der måtte have indvirkning på de samlede omkostninger, som skal afholdes over Unionens almindelige budget i overensstemmelse med artikel 32.
3. Når routeren er sat i drift, udarbejder eu-LISA en rapport, som i detaljer forklarer, hvordan målene, navnlig vedrørende planlægning og omkostninger, er blevet opfyldt, og angiver grundene til eventuelle afvigelser, og forelægger den for Europa-Parlamentet og Rådet.
4. Senest den 29. januar 2029 og derefter hvert fjerde år forelægger Kommissionen en rapport indeholdende en generel evaluering af denne forordning, herunder om nødvendigheden af og merværdien ved at indsamle API-oplysninger, herunder en vurdering af:
a)
anvendelsen af denne forordning
b)
i hvilket omfang denne forordning har opfyldt sine mål
c)
denne forordnings indvirkning på grundlæggende rettigheder, der er beskyttet i henhold til EU-retten
d)
denne forordnings indvirkning på legitime passagerers rejseoplevelse
e)
denne forordnings indvirkning på luftfartssektorens konkurrenceevne og den byrde, der pålægges virksomheder
f)
kvaliteten af de oplysninger, som routeren transmitterer til passageroplysningsenhederne
g)
routerens præstation for så vidt angår passageroplysningsenhederne.
Med henblik på første afsnits litra e) skal Kommissionens rapport også omhandle denne forordnings samspil med andre relevante EU-retsakter, navnlig forordning (EF) nr. 767/2008, (EU) 2017/2226 og (EU) 2018/1240, med henblik på at vurdere den samlede indvirkning af de dermed forbundne indberetningsforpligtelser for luftfartsselskaberne, identificere bestemmelser, der, hvor det er hensigtsmæssigt, kunne ajourføres og forenkles for at mindske byrden for luftfartsselskaberne, og overveje tiltag og foranstaltninger, der kunne iværksættes for at mindske det samlede omkostningspres på luftfartsselskaberne.
5. Den evaluering, der er omhandlet i stk. 4, skal også omfatte en vurdering af nødvendigheden, proportionaliteten og effektiviteten af at medtage obligatorisk indsamling og overførsel af API-oplysninger vedrørende flyvninger inden for EU i denne forordnings anvendelsesområde.
6. Kommissionen forelægger evalueringsrapporten for Europa-Parlamentet, Rådet, Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Agentur for Grundlæggende Rettigheder. Hvis det i lyset af den evaluering, der er foretaget, er hensigtsmæssigt, forelægger Kommissionen for Europa-Parlamentet og Rådet et forslag til en lovgivningsmæssig retsakt med henblik på ændring af denne forordning.
7. Medlemsstaterne og luftfartsselskaberne giver efter anmodning eu-LISA og Kommissionen de oplysninger, der er nødvendige for at udarbejde de i stk. 2, 3 og 4 omhandlede rapporter. Medlemsstaterne giver navnlig kvantitative og kvalitative oplysninger om indsamlingen af API-oplysninger ud fra et operationelt perspektiv. Disse oplysninger må ikke omfatte personoplysninger. Medlemsstaterne kan undlade at give sådanne oplysninger, hvis og i det omfang det er nødvendigt for ikke at afsløre fortrolige arbejdsmetoder eller bringe deres passageroplysningsenheders eller andre kompetente myndigheders igangværende undersøgelser i fare. Kommissionen sikrer, at alle fortrolige oplysninger beskyttes på passende vis.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Den finder anvendelse:
a)
for så vidt angår API-oplysninger, fra datoen to år efter den dato, hvor routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med artikel 34, og
b)
for så vidt angår andre PNR-oplysninger, fra datoen fire år efter den dato, hvor routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med artikel 35.
Dog finder:
a)
artikel 4, stk. 12, artikel 5, stk. 3, artikel 7, stk. 5, artikel 11, stk. 5, artikel 12, stk. 6, artikel 18, stk. 4, artikel 23, stk. 2, artikel 24, stk. 2, artikel 25, 28 og 29, artikel 32, stk. 1, og artikel 34, 35, 42 og 43 anvendelse fra den 28. januar 2025
b)
artikel 6, artikel 17, stk. 1, 2 og 3, artikel 18, stk. 1, 2 og 3, og artikel 19, 20, 26, 27, 33 og 36 anvendelse fra den dato, hvor routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med artikel 34 og 35.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i medlemsstaterne i overensstemmelse med traktaterne.
Udfærdiget i Bruxelles, den 19. december 2024.
EUT C 228 af 29.6.2023, s. 97.
Europa-Parlamentets holdning af 25.4.2024 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 12.12.2024.
Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (EUT L 261 af 6.8.2004, s. 24).
Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (EUT L 119 af 4.5.2016, s. 132).
Europa-Parlamentets og Rådets forordning (EU) 2025/12 af 19. december 2024 om indsamling og overførsel af forhåndsoplysninger om passagerer med henblik på at forbedre og lette ind- og udrejsekontrollen ved de ydre grænser, om ændring af forordning (EU) 2018/1726 og (EU) 2019/817 og om ophævelse af Rådets direktiv 2004/82/EF (EUT L, 2025/12, 8.1.2025, ELI: http://data.europa....).
Europa-Parlamentets og Rådets forordning (EU) 2019/1157 af 20. juni 2019 om styrkelse af sikkerheden af unionsborgeres identitetskort og af opholdsdokumenter, der udstedes til unionsborgere og deres familiemedlemmer, som udøver deres ret til fri bevægelighed (EUT L 188 af 12.7.2019, s. 67).
Rådets forordning (EF) nr. 2252/2004 af 13. december 2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder (EUT L 385 af 29.12.2004, s. 1).
Rådets direktiv (EU) 2019/997 af 18. juni 2019 om indførelse af et EU-nødpas og om ophævelse af afgørelse 96/409/FUSP (EUT L 163 af 20.6.2019, s. 1).
Europa-Parlamentets og Rådets forordning (EU) 2017/2226 af 30. november 2017 om oprettelse af et ind- og udrejsesystem til registrering af ind- og udrejseoplysninger og oplysninger om nægtelse af indrejse vedrørende tredjelandsstatsborgere, der passerer medlemsstaternes ydre grænser, om fastlæggelse af betingelserne for adgang til ind- og udrejsesystemet til retshåndhævelsesformål og om ændring af konventionen om gennemførelse af Schengenaftalen og forordning (EF) nr. 767/2008 og (EU) nr. 1077/2011 (EUT L 327 af 9.12.2017, s. 20).
Europa-Parlamentets og Rådets forordning (EU) 2018/1240 af 12. september 2018 om oprettelse af et europæisk system vedrørende rejseinformation og rejsetilladelse (ETIAS) og om ændring af forordning (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399 (EU) 2016/1624 og (EU) 2017/2226 (EUT L 236 af 19.9.2018, s. 1).
Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008 af 9. juli 2008 om visuminformationssystemet (VIS) og udveksling af oplysninger mellem medlemsstaterne om visa til kortvarigt ophold (VIS-forordningen) (EUT L 218 af 13.8.2008, s. 60).
Europa-Parlamentets og Rådets forordning (EU) 2018/1726 af 14. november 2018 om Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) og om ændring af forordning (EF) nr. 1987/2006 og Rådets afgørelse 2007/533/RIA og om ophævelse af forordning (EU) nr. 1077/2011 (EUT L 295 af 21.11.2018, s. 99).
Europa-Parlamentets og Rådets forordning (EF) nr. 1107/2006 af 5. juli 2006 om handicappede og bevægelseshæmmede personers rettigheder, når de rejser med fly (EUT L 204 af 26.7.2006, s. 1).
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
Europa-Parlamentets og Rådets forordning (EU) 2019/818 af 20. maj 2019 om fastsættelse af en ramme for interoperabilitet mellem EU-informationssystemer vedrørende politisamarbejde og retligt samarbejde, asyl og migration og om ændring af forordning (EU) 2018/1726, (EU) 2018/1862 og (EU) 2019/816 (EUT L 135 af 22.5.2019, s. 85).
Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13, ELI: data.europa.eu/eli/reg/2011/182/oj).
Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme og om erstatning af Rådets rammeafgørelse 2002/475/RIA og ændring af Rådets afgørelse 2005/671/RIA (EUT L 88 af 31.3.2017, s. 6).
ELI: data.europa.eu/eli/reg/2025/13/oj
ISSN 1977-0634 (electronic edition)
