Disse to forordninger fastsætter harmoniserede europæiske regler (EU-regler) om luftfartsselskabers indsamling og overførsel af forhåndsinformation om passagerer (API)¹:

Forordning (EU) 2025/12 har til formål at forbedre effektiviteten af ind- og udrejsekontrollen ved de ydre grænser og bekæmpe ulovlig indvandring
Forordning (EU) 2025/13 har til formål at støtte forebyggelse, afsløring, efterforskning og retsforfølgning af terrorhandlinger og grov kriminalitet ved at supplere de eksisterende regler om overførsel og anvendelse af passagerlisteoplysninger (PNR-oplysninger)² i henhold til direktiv (EU) 2016/681 (se resumé).

Tilsammen ajourfører de de regler, der er fastsat af direktiv 2004/82/EF og skaber en fælles retlig og teknisk ramme for sikker og effektiv overførsel af API- og PNR-oplysninger via EU’s fælles API/PNR-router³, som drives af Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) (forordning (EU) 2018/1726 — se resumé).

HOVEDPUNKTER

Anvendelsesområde og anvendelighed

Begge forordninger finder anvendelse på luftfartsselskaber, der foretager passagerflyvninger, herunder dem, der transporterer passagerer med forbindelse til andre destinationer (transitpassagerer) og ikketjenestegørende besætningsmedlemmer. Forordning (EU) 2025/13 finder også anvendelse på tjenestegørende besætningsmedlemmer.

Forordning (EU) 2025/12 finder anvendelse på flyvninger, der ankommer fra tredjelande til EU-medlemsstater, som anvender denne forordning, og til de associerede Schengenlande (Island, Liechtenstein, Norge og Schweiz).
Forordning (EU) 2025/13 finder anvendelse på:
- flyvninger mellem medlemsstater, der anvender denne forordning, og tredjelande (flyvninger uden for EU)
- udvalgte flyvninger inden for EU (flyvninger inden for EU), men kun hvis medlemsstaten anvender reglerne om anvendelse af PNR-oplysninger på disse flyvninger.

Disse regler gælder ikke for militær-, nød-, læge- eller skoleflyvninger.

Luftfartsselskabernes forpligtelser

Luftfartsselskaberne skal:

indsamle API-oplysninger for hver passager og hvert besætningsmedlem, herunder:
- fulde navn, fødselsdato, køn, nationalitet
- rejsedokumentoplysninger (type, nummer, udløbsdato, udstedende land)
- flynummer, sædenummer, bagageoplysninger (hvis de foreligger)
- PNR-nummer (hvis det foreligger)
- indsamlingsmetode (automatiseret/manuel)
anvende automatiserede metoder (f.eks. scanning af maskinlæsbare områder i rejsedokumenter) for at sikre nøjagtighed og fuldstændighed — manuel indlæsning er kun tilladt i en overgangsperiode eller under særlige omstændigheder, hvor automatisk indsamling er teknisk umulig
overføre data elektronisk og sikkert til EU’s API/PNR-router:
- én gang ved check-in (pr. passager) og
- igen efter flylukning (for alle passagerer og besætningsmedlemmer om bord).

Fælles router til dataoverførsel

EU’s fælles API/PNR-router, der drives af eu-LISA, er den eneste grænseflade for overførsel af API- og PNR-oplysninger. Den modtager API- og PNR-oplysninger fra luftfartsselskaber, validerer det tekniske format og den tekniske integritet og videresender automatisk API-oplysninger til nationale grænsemyndigheder (for forordning (EU) 2025/12) eller API- og PNR-oplysninger til nationale passageroplysningsenheder (PIU’er) (for forordning (EU) 2025/13). routeren sletter oplysninger umiddelbart efter transmissionen, og opbevarer dem kun midlertidigt til routing.

Alle transmissioner skal bruge end-to-end-kryptering. Routeren sikrer kompatibilitet med relevante IT-systemer i EU såsom ind- og udrejsesystemet (EES), det europæiske system for rejseinformation og rejsetilladelse (ETIAS) og visuminformationssystemet (VIS). Den fjerner også behovet for flere direkte forbindelser mellem luftfartsselskaber og nationale myndigheder.

Anvendelse af forhåndsinformation om passagerer

I henhold til forordning (EU) 2025/12 anvendes API-oplysninger udelukkende til at forbedre og lette ind- og udrejsekontrollen ved de ydre grænser og opdage ulovlig indvandring. Brug af oplysninger til profilering eller diskriminerende formål er forbudt. Grænsemyndighederne kan opbevare oplysningerne i op til 48 timer, eventuelt med en forlængelse på yderligere 48 timer i individuelle tilfælde, hvor en passager ikke møder op ved grænsen.

I henhold til forordning (EU) 2025/13 behandles API-oplysninger sammen med PNR-oplysninger for at identificere højrisikopersoner, forebygge og opdage grov kriminalitet og terrorisme og støtte grænseoverskridende politisamarbejde og retligt samarbejde. For flyvninger inden for EU må API-oplysninger kun videregives til PIU’er, hvis medlemsstaten anvender PNR-reglerne på sådanne flyvninger og udvælger dem ved hjælp af objektive, risikobaserede kriterier. Denne udvælgelse skal tages op til fornyet overvejelse mindst én gang om året. Oplysninger fra ikke-udvalgte flyvninger skal straks slettes fra routeren, og luftfartsselskaberne må ikke informeres om, hvilke flyvninger der udvælges.

Passagerrettigheder og databeskyttelse

Forordningerne supplerer databeskyttelsesreglerne i direktiv (EU) 2016/681 og kræver, at al behandling af API- og PNR-oplysninger er i overensstemmelse med gældende EU-databeskyttelsesregler. Disse omfatter:

Den Europæiske Unions charter om grundlæggende rettigheder
forordning (EU) 2016/679 (den generelle forordning om databeskyttelse — se resumé), som fastsætter reglerne for, hvordan luftfartsselskaber håndterer personoplysninger, og som finder anvendelse på nationale myndigheder, der behandler API-oplysninger med henblik på grænseforvaltning
direktiv (EU) 2016/680 (se resumé), som fastsætter EU-reglerne om databeskyttelse for politimyndigheder og strafferetlige myndigheder, der gælder for nationale myndigheder, der behandler API-oplysninger med henblik på retshåndhævelse
forordning (EU) 2018/1725 (se resumé), som fastsætter EU’s regler om databeskyttelse for EU’s institutioner og agenturer, der gælder for eu-LISA (drift af routeren).

Forordningerne fastsætter vigtige sikkerhedsforanstaltninger, herunder:

streng formålsbegrænsning — oplysningerne må kun anvendes til de formål, der er fastsat i forordningerne
et forbud mod indsamling eller anvendelse af biometriske oplysninger som en del af API-oplysninger
et forbud mod forskelsbehandling og profilering
ret til information — passagererne skal ved reservation og check-in informeres om indsamlingen af deres data og deres rettigheder
strenge regler for, hvor længe oplysningerne må opbevares.

Nationale myndigheder

Hver medlemsstat skal udpege:

en kompetent grænsemyndighed til modtagelse af API-oplysninger med henblik på ind- og udrejsekontrol
PIU’en til modtagelse af API-oplysninger til retshåndhævelsesformål og PNR-oplysninger i henhold til direktiv (EU) 2016/681
en national API-tilsynsmyndighed til overvågning af overholdelse og håndhævelse af reglerne.

Forvaltning og tilsyn

eu-LISA er ansvarlig for:

udformning, udvikling, hosting og drift af routeren
ydelse af teknisk støtte og uddannelse til interessenter
sikring af systemsikkerhed og interoperabilitet med andre systemer.

Forvaltningsstrukturerne i eu-LISA omfatter:

et Programstyringsråd med ansvar for tilsyn med gennemførelsen
en Rådgivende Gruppe for API-PNR til ydelse af teknisk og operationel rådgivning
en Kontaktgruppe for API til fremme af inddragelse af interessenter.

Desuden skal Europa-Kommissionen udarbejde en API-ekspertgruppe til at muliggøre kommunikation mellem medlemsstaterne og mellem medlemsstaterne og luftfartsselskaberne om politiske spørgsmål vedrørende API og PNR.

Tilsyn og sanktioner

Medlemsstaterne skal:

overvåge og håndhæve luftfartsselskabernes og myndighedernes overholdelse
pålægge sanktioner for manglende overholdelse, herunder:
- bøder på op til 2 % af luftfartsselskabets samlede omsætning i tilfælde af gentagne tilfælde af manglende overførsel af API-oplysninger
- andre administrative eller korrigerende foranstaltninger, alt efter hvad der er relevant.

API-tilsynsmyndighederne skal tage hensyn til bruddets art, alvor og varighed, om det var forsætligt eller uagtsomt, de berørte kategorier af oplysninger, eventuelle tidligere overtrædelser og graden af samarbejde.

Overgangsforanstaltninger

I en overgangsperiode kan luftfartsselskaberne fortsat anvende manuelle metoder til indsamling af API-oplysninger. De kan også vælge at tilslutte sig EU's router på frivillig basis, forudsat at de har tilladelse hertil af den pågældende medlemsstat. Kommissionen fastsætter den dato, hvorfra EU’s API/PNR-router bliver operationel, når eu-LISA har underrettet Kommissionen om, at den omfattende test af routeren er afsluttet på tilfredsstillende vis.

Kommissionens beføjelser

Kommissionen tillægges beføjelser til at vedtage:

delegerede retsakter med henblik på at:
- bringe overgangsperioden for den manuelle indsamling af API-oplysninger til ophør
- fastlægge regler for de automatiserede metoder til indsamling af maskinlæsbare API-oplysninger og for manuel indsamling under ekstraordinære omstændigheder og i overgangsperioden
- fastsætte regler for de fælles protokoller og understøttede dataformater for overførsel af API-oplysninger til routeren
- fastlægge regler for berigtigelse af udfyldelse og ajourføring af API-oplysninger.
gennemførelsesretsakter med henblik på at:
- fastsætte datoen for idriftsættelsen af routeren
- fastlægge regler for dataverifikation og -underretninger og for overførsel af API- og PNR-oplysninger fra routeren til medlemsstaternes kompetente myndigheder
- fastsætte regler for luftfartsselskabernes og medlemsstaternes forbindelser og integration i routeren
- fastlægge medlemsstaternes og de fælles dataansvarliges ansvar og forholdet mellem de fælles dataansvarlige og eu-LISA som databehandler.

Overvågning og evaluering

Kommissionen vil vurdere virkningerne af forordningerne, herunder deres indvirkning på:

passagerrettigheder
luftfartsselskabers operationer og konkurrenceevne
effektiviteten af EU’s API/PNR-router.

For at støtte gennemførelsen og overvågningen af anvendelsen af forordningerne har eu-LISA til opgave at offentliggøre statistikker om routerens funktion og om luftfartsselskabernes overholdelse af de forpligtelser, der er fastsat i forordningerne. Disse statistikker er baseret på anonymiserede passager- og flyoplysninger, der automatisk overføres til og forvaltes af det centrale register for rapportering og statistik (CRRS). Disse statistikker skal anonymiseres og kan ikke bruges til at identificere enkeltpersoner.

HVORNÅR GÆLDER FORORDNINGERNE FRA?

Begge forordninger trådte i kraft den 28. januar 2025. Visse regler, navnlig reglerne om planlægning, forvaltning og tilsyn med gennemførelsen, finder anvendelse fra denne dato. De fleste operationelle regler gælder kun når EU’s API/PNR-router tages i brug, som fastsat af Kommissionen. Fra dette tidspunkt finder reglerne i forordning (EU) 2025/12 anvendelse efter 2 år. I henhold til forordning (EU) 2025/13 finder reglerne om overførsel af API-oplysninger anvendelse efter 2 år, mens reglerne om overførsel af PNR-oplysninger via routeren finder anvendelse efter 4 år.

BAGGRUND

For yderligere oplysninger henvises til:

Passageroplysninger (Rådet for Den Europæiske Union).

VIGTIGE BEGREBER

Forhåndsinformation om passagerer (API). Identitetsoplysninger, rejsedokumentoplysninger og rejserelaterede oplysninger, som luftfartsselskaberne indsamler fra passagerer og besætning i forbindelse med check-in, og som videregives til de nationale myndigheder inden flyets afgang.
Passagerliste (PNR). Oplysninger indsamlet under booking- og reservationsprocessen for en passagers rejse, herunder rejseplan, kontaktoplysninger og betalingsmetode, der anvendes til retshåndhævelsesformål.
EU’s API/PNR-router. Et sikkert centralt system, der drives af eu-LISA, og som modtager API- og PNR-oplysninger indsamlet af luftfartsselskaberne og videregiver dem til de relevante kompetente grænsemyndigheder eller passageroplysningsenheder i medlemsstaterne, afhængigt af de gældende regler.

HOVEDDOKUMENT

Europa-Parlamentets og Rådets forordning (EU) 2025/12 af 19. december 2024 om indsamling og overførsel af forhåndsoplysninger om passagerer med henblik på at forbedre og lette ind- og udrejsekontrollen ved de ydre grænser, om ændring af forordning (EU) 2018/1726 og (EU) 2019/817 og om ophævelse af Rådets direktiv 2004/82/EF (EUT L, 2025/12, 8.1.2025).

Europa-Parlamentets og Rådets forordning (EU) 2025/13 af 19. december 2024 om indsamling og overførsel af forhåndsoplysninger om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818 (EUT L, 2025/13, 8.1.2025).

Efterfølgende ændringer til forordning (EU) 2025/13 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.

TILHØRENDE DOKUMENTER

Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (EUT L 119 af 4.5.2016, s. 132).

Europa-Parlamentets og Rådets forordning (EU) 2019/818 af 20. maj 2019 om fastsættelse af en ramme for interoperabilitet mellem EU-informationssystemer vedrørende politisamarbejde og retligt samarbejde, asyl og migration og om ændring af forordning (EU) 2018/1726, (EU) 2018/1862 og (EU) 2019/816 (EUT L 135, 22.5.2019, s. 85)

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2019/817 af 20. maj 2019 om fastsættelse af en ramme for interoperabilitet mellem EU-informationssystemer vedrørende grænser og visum og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, Rådets beslutning 2004/512/EF og Rådets afgørelse 2008/633/RIA (EUT L 135 af 22.5.2019, s. 27)

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2018/1726 af 14. november 2018 om Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) og om ændring af forordning (EF) nr. 1987/2006 og Rådets afgørelse 2007/533/RIA og om ophævelse af forordning (EU) nr. 1077/2011 (EUT L 295 af 21.11.2018, s. 99).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

Europa-Parlamentets og Rådets forordning (EU) 2018/1241 af 12. september 2018 om ændring af forordning (EU) 2016/794 med henblik på oprettelse af et europæisk system vedrørende rejseinformation og rejsetilladelse (ETIAS) (EUT L 236 af 19.9.2018, s. 72).

Europa-Parlamentets og Rådets forordning (EU) 2018/1240 af 12. september 2018 om oprettelse af et europæisk system vedrørende rejseinformation og rejsetilladelse (ETIAS) og om ændring af forordning (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399 (EU) 2016/1624 og (EU) 2017/2226 (EUT L 236 af 19.9.2018, s. 1).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2017/2226 af 30. november 2017 om oprettelse af et ind- og udrejsesystem til registrering af ind- og udrejseoplysninger og oplysninger om nægtelse af indrejse vedrørende tredjelandsstatsborgere, der passerer medlemsstaternes ydre grænser, om fastlæggelse af betingelserne for adgang til ind- og udrejsesystemet til retshåndhævelsesformål og om ændring af konventionen om gennemførelse af Schengenaftalen og forordning (EF) nr. 767/2008 og (EU) nr. 1077/2011 (EUT L 327 af 9.12.2017, s. 20)

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2017/2225 af 30. november 2017 om ændring af forordning (EU) 2016/399, for så vidt angår brugen af ind- og udrejsesystemet (EUT L 327 af 9.12.2017, s. 1).

Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

Se den konsoliderede udgave.

Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008 af 9. juli 2008 om visuminformationssystemet (VIS) og udveksling af oplysninger mellem medlemsstaterne om visa til kortvarigt ophold (VIS-forordningen) (EUT L 218 af 13.8.2008, s. 60)

Se den konsoliderede udgave.

Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (EUT L 261 af 6.8.2004, s. 24).

seneste ajourføring 8.9.2025

Top