EUROPA-KOMMISSIONEN

Strasbourg, den 13.12.2022

COM(2022) 729 final

2022/0424(COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om indsamling og overførsel af forhåndsinformation om passagerer (API) med henblik på at forbedre og lette kontrollen ved de ydre grænser, om ændring af forordning (EU) 2019/817 og forordning (EU) 2018/1726 og om ophævelse af Rådets direktiv 2004/82/EF

{SEC(2022) 444 final} - {SWD(2022) 421 final} - {SWD(2022) 422 final} - {SWD(2022) 423 final}

BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

•Forslagets begrundelse og formål

I de seneste årtier har der været en stigning i antallet af personer, der rejser med fly, samt i effektivitetsdrevne innovationer, som resulterer i større fly og fører til et behov for mere effektive passagerstrømme i lufthavne. I 2019 rapporterede Organisationen for International Civil Luftfart (ICAO), at der på verdensplan blev befordret 4,5 mia. passagerer med ruteflyvning 1 , og at der rejser over en halv milliard passagerer ind i eller ud af EU hvert år 2 , hvilket lægger pres på de ydre luftgrænser.

Behandlingen af forhåndsinformation om passagerer (API) som fastsat i det nuværende API-direktiv 3 og dette forslag er et grænseforvaltningsredskab, der bidrager til effektiviteten af ind- og udrejsekontrollen ved at lette og fremskynde klareringen af rejsende samt et instrument til bekæmpelse af ulovlig indvandring. API-oplysninger er et sæt identitetsoplysninger om passagererne i deres rejsedokumenter kombineret med flyoplysninger, der bliver indsamlet ved indtjekningen og overført til grænsemyndighederne i bestemmelseslandet. Da disse myndigheder modtager API-oplysninger forud for et flys ankomst, kan de i overensstemmelse med den gældende lovgivning screene rejsende i forhold til risikoprofiler, overvågningslister og databaser og dermed fremskynde grænsekontrollen for personer, der rejser i god tro, og bruge flere ressourcer og tid på at identificere rejsende, der kræver yderligere efterforskning ved ankomsten.

Oprettelsen af systemer til indsamling og overførsel af API-oplysninger har siden 2017 været en international standard i henhold til konventionen angående international civil luftfart (Chicagokonventionen 4 ). I EU er dette reguleret af API-direktivet. Direktivet pålægger luftfartsselskaberne en forpligtelse til efter anmodning at overføre API-oplysninger til grænsemyndighederne i bestemmelseslandet forud for flyets start. Det pålægger dog ikke medlemsstaterne en forpligtelse til at anmode luftfartsselskaberne om API-oplysninger, hvilket skaber huller og uoverensstemmelser i den måde, hvorpå data indsamles og anvendes, idet nogle få medlemsstater systematisk indsamler API-oplysninger, mens andre ikke gør det 5 . I gennemsnit anslås det for alle medlemsstater tilsammen, at API-oplysninger indsamles for 65 % af de indgående flyvninger 6 . Dette skaber en situation, hvor det er let for personer, der ønsker at undgå kontrol, at omgå ruter, hvor API-oplysninger konsekvent indsamles, og i stedet rejse til deres bestemmelsessted via flyruter, hvor API-oplysninger anvendes mindre hyppigt eller slet ikke.

•Sammenhæng med de gældende regler på samme område

Den foreslåede forordning vil fortsat være en del af Schengenreglerne. API-oplysningerne vil fortsat blive modtaget og yderligere behandlet af medlemsstaternes kompetente grænsemyndigheder udelukkende med henblik på grænseforvaltning og bekæmpelse af ulovlig indvandring, hvortil API-oplysningerne blev indsamlet i henhold til den foreslåede forordning.

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

•Retsgrundlag

For nærværende forslag til forordning om indsamling og overførsel af API-oplysninger med henblik på grænseforvaltning og bekæmpelse af ulovlig indvandring er det relevante retsgrundlag artikel 77, stk. 2, litra b) og d), og artikel 79, stk. 2, litra c), i traktaten om Den Europæiske Unions funktionsmåde (TEUF) i betragtning af formålet med og foranstaltningerne i denne forordning.

I henhold til artikel 77, stk. 2, litra b), i TEUF har Unionen beføjelse til at vedtage foranstaltninger vedrørende personkontrol ved passage af de ydre grænser, og i henhold til litra d) har Unionen beføjelse til at vedtage alle nødvendige foranstaltninger til gradvis indførelse af en integreret forvaltning af de ydre grænser. I henhold til artikel 79, stk. 2, litra c), i TEUF har Unionen beføjelse til at vedtage foranstaltninger vedrørende ulovlig indvandring.

På denne måde sikres der overensstemmelse med det nuværende API-direktiv, som er baseret på de samme bestemmelser.

•Nærhedsprincippet

Da TEUF udtrykkeligt giver Unionen beføjelse til at udvikle en fælles politik for den kontrol, som personer, der passerer de ydre grænser, skal underkastes, er dette et klart mål, der skal forfølges på EU-plan. Samtidig er dette et område med delt kompetence mellem EU og medlemsstaterne.

Behovet for en EU-indsats vedrørende API-oplysninger på nuværende tidspunkt skyldes også den seneste lovgivningsmæssige udvikling vedrørende forvaltningen af Schengenområdets ydre grænser, navnlig:

–Interoperabilitetsforordningen fra 2019 18 vil muliggøre systematisk kontrol af personer, der passerer de ydre grænser, i forhold til alle tilgængelige og relevante oplysninger i EU's centrale informationssystemer for sikkerhed, grænse- og migrationsforvaltning. Oprettelsen af en centraliseret mekanisme for overførsel af API-oplysninger på EU-plan er en logisk fortsættelse af dette koncept. I overensstemmelse med begreberne i interoperabilitetsforordningerne kan den centraliserede overførsel af API-oplysninger i fremtiden føre til, at disse data anvendes til at søge i forskellige databaser (SIS, Europoloplysninger) via den europæiske søgeportal.

–Ved de ydre grænser vil anvendelsen af API-oplysninger effektivt supplere den forestående gennemførelse af det europæiske system vedrørende rejseinformation og rejsetilladelse (ETIAS) og ind- og udrejsesystemet (EES). Brugen af API-oplysninger vil fortsat være nødvendig for forvaltningen af de ydre grænser, da det forhåndsinformerer grænsevagterne om, hvorvidt en rejsende rent faktisk er gået om bord på et fly og er ved at rejse ind i Schengenområdet, og dermed letter den grænsekontrol, der vil finde sted, når den rejsende ankommer til de ydre grænser.

•Proportionalitetsprincippet

I henhold til proportionalitetsprincippet, som er fastsat i artikel 5, stk. 4, i TEU, er der behov for at afpasse arten og intensiteten af en given foranstaltning efter det konstaterede problem. Alle de problemer, der behandles i dette lovgivningsinitiativ, kræver på den ene eller anden måde lovgivning på EU-plan, der sætter medlemsstaterne i stand til at tackle disse problemer effektivt uden at gå ud over, hvad der er nødvendigt for at løse disse problemer.

Med dette forslag vil de retlige rammer for indsamling og overførsel af API-oplysninger med henblik på forvaltning af de ydre grænser og bekæmpelse af ulovlig indvandring blive styrket. Det vil styrke API-oplysningerne som et instrument, der forbedrer forhåndskontrollen af rejsende ved de ydre grænser, og dermed bidrage ikke blot til effektiviteten af selve kontrollen, men også til at bekæmpe ulovlig indvandring, navnlig i forbindelse med grænseoverskridende flyrejser og luftfartsselskabernes ansvar i denne henseende. I overensstemmelse med internationale standarder og anbefalet praksis vil dette forslag kræve, at luftfartsselskaberne indsamler og overfører API-oplysninger for alle flyvninger til Unionen som defineret i forslaget. Forpligtelserne i dette forslag er begrænset til, hvad der er nødvendigt for at nå dette mål. Mere specifikt fastsætter dette forslag klare regler, bl.a. om, hvad der udgør API-oplysninger, om hvilke luftfartsselskaber der skal indsamle API-oplysninger og om overførslen heraf. Ved hjælp af en forordning vil dette forslag fastlægge en konsekvent tilgang til anvendelsen af API-oplysninger til forvaltning af de ydre grænser og bekæmpelse af ulovlig indvandring. En sådan standardisering af API-kravene på tværs af medlemsstaterne vil bidrage til øget retssikkerhed og forudsigelighed og dermed også til øget overholdelse fra luftfartsselskabernes side.

Proportionaliteten sikres yderligere gennem flere elementer i den foreslåede forordning, såsom begrænsningen til kun at omfatte indgående flyvninger, målretning af kravet om at anvende automatiserede midler til kun at omfatte visse API-oplysninger og garantier med hensyn til måden og formålet med behandlingen af API-oplysninger.

Ifølge forslaget til forordning skal der oprettes en router, der skal fungere som et enkelt forbindelsespunkt mellem medlemsstaterne og luftfartsselskaberne i overensstemmelse med internationale anbefalinger, og det fastlægger en EU-tilgang til indsamling og overførsel af API-oplysninger. Overførsel af API-oplysninger gennem routeren vil reducere omkostningerne for luftfartsindustrien og sikre, at grænsevagterne har hurtig og problemfri adgang til API-oplysninger, som de har brug for i forbindelse med avanceret grænsekontrol. Denne tilgang vil drastisk reducere antallet af forbindelser, der skal etableres og opretholdes fra medlemsstaternes perspektiv. Omvendt vil dette gøre det mindre kompliceret for luftfartsselskaberne at opretholde forbindelserne med de kompetente grænsemyndigheder og skabe stordriftsfordele. Et EU-agentur, nemlig eu-LISA, vil være ansvarligt for udformning, udvikling, hosting og teknisk forvaltning af routeren. Overførslen af API-oplysninger gennem routeren vil understøtte overvågningen af flyvninger og dermed mindske sandsynligheden for, at et luftfartsselskab ikke har overholdt forpligtelsen til at meddele API-oplysninger som foreskrevet i dette forslag.

•Valg af retsakt

Der foreslås en forordning. Som vurderet i den konsekvensanalyse, der ledsager dette forslag, og i betragtning af behovet for, at de foreslåede foranstaltninger finder direkte anvendelse og anvendes ensartet i medlemsstaterne, er en forordning det mest hensigtsmæssige valg af retsakt.

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

•Efterfølgende evalueringer af gældende lovgivning

•Høringer af interessenter

Udarbejdelsen af dette forslag omfattede en bred vifte af høringer af berørte interessenter, herunder medlemsstaternes myndigheder (kompetente grænsemyndigheder, passageroplysningsenheder), repræsentanter for transportsektoren og individuelle luftfartsselskaber. EU-agenturer — såsom Det Europæiske Agentur for Grænse- og Kystbevogtning (Frontex), EU's Agentur for Retshåndhævelsessamarbejde (Europol), EU's Agentur for den Operationelle Forvaltning af Store IT-systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) og EU's Agentur for Grundlæggende Rettigheder (FRA) — gav også input i lyset af deres mandat og ekspertise. Dette initiativ integrerer også de synspunkter og tilbagemeldinger, som blev modtaget under den offentlige høring, der blev gennemført i slutningen af 2019 inden for rammerne af evalueringen af API-direktivet 21 .

Høringsaktiviteter i forbindelse med udarbejdelsen af konsekvensanalysen til støtte for dette forslag indsamlede feedback fra interessenter ved hjælp af forskellige metoder. Disse aktiviteter omfattede bl.a. en indledende konsekvensanalyse, en ekstern støtteundersøgelse og en række tekniske workshopper.

Der blev offentliggjort en indledende konsekvensanalyse med henblik på feedback fra den 5. juni 2020 til den 14. august 2020 med i alt syv bidrag med feedback om udvidelsen af anvendelsesområdet for det fremtidige API-direktiv, datakvalitet, sanktioner, forholdet mellem API- og PNR-oplysninger og beskyttelse af personoplysninger 22 .

Den eksterne støtteundersøgelse blev gennemført på grundlag af skrivebordsundersøgelser, interviews og undersøgelser med eksperter på emneområdet, som undersøgte forskellige mulige foranstaltninger til behandling af API-oplysninger med klare regler, der letter lovlig rejseaktivitet, er i overensstemmelse med EU-informationssystemernes interoperabilitet, EU's krav til beskyttelse af personoplysninger og andre eksisterende EU-instrumenter og internationale standarder.

Kommissionens tjenestegrene afholdt også en række uformelle tekniske workshopper med eksperter fra medlemsstaterne og de associerede Schengenlande. Formålet med disse workshopper var at samle eksperter med henblik på en udveksling af synspunkter om de tilgængelige muligheder for at styrke den fremtidige API-ramme med henblik på grænseforvaltning og bekæmpelse af ulovlig indvandring samt bekæmpelse af kriminalitet og terrorisme.

Den ledsagende konsekvensanalyse indeholder en mere detaljeret beskrivelse af høringen af interessenter (bilag 2).

•Konsekvensanalyse

•Grundlæggende rettigheder og beskyttelse af personoplysninger

4.VIRKNINGER FOR BUDGETTET

5.ANDRE FORHOLD

•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

Kommissionen vil sikre, at der er truffet de nødvendige foranstaltninger til at overvåge, hvordan de foreslåede foranstaltninger fungerer, og evaluere dem i forhold til de vigtigste politiske mål. Fire år efter idriftsættelsen af den foreslåede forordning og derefter hvert fjerde år forelægger Kommissionen en rapport for Europa-Parlamentet og Rådet med en vurdering af gennemførelsen af forordningen og dens merværdi. Rapporten skal også rapportere om enhver direkte eller indirekte indvirkning på relevante grundlæggende rettigheder. Den skal gennemgå de opnåede resultater set i forhold til målene og vurdere de grundlæggende princippers fortsatte gyldighed og eventuelle konsekvenser for fremtidige muligheder.

Den obligatoriske karakter af forpligtelsen til at indsamle API-oplysninger og indførelsen af routeren vil give et klarere billede af både luftfartsselskabernes indsamling og overførsel af API-oplysninger og medlemsstaternes efterfølgende anvendelse af API-oplysninger i overensstemmelse med gældende national lovgivning og EU-lovgivning. Dette vil støtte Europa-Kommissionen i dens evaluerings- og håndhævelsesopgaver ved at forsyne Kommissionen med pålidelige statistikker om mængden af overførte data og om de flyvninger, for hvilke der vil blive anmodet om API-oplysninger.

•Variabel geometri

Dette forslag bygger på og udvikler Schengenreglerne vedrørende de ydre grænser, idet det vedrører passage af de ydre grænser. Der bør derfor tages hensyn til følgende konsekvenser i forhold til protokol (nr. 19) om Schengenreglerne som integreret i Den Europæiske Union, der er knyttet som bilag til TEU og til TEUF, samt protokol (nr. 22) om Danmarks stilling, der er knyttet som bilag til TEU og til TEUF.

Forslaget er omfattet af de foranstaltninger i Schengenreglerne, som Irland deltager i, jf. artikel 6, stk. 2, i Rådets afgørelse 2002/192/EF af 28. februar 2002 om anmodningen fra Irland om at deltage i visse bestemmelser i Schengenreglerne 28 . Irlands deltagelse i dette forslag vedrører specifikt Unionens ansvar for at træffe foranstaltninger til udvikling af de bestemmelser i Schengenreglerne om bekæmpelse af ulovlig indvandring, som Irland deltager i. Irland deltager navnlig i betragtning af, at der i artikel 1, stk. 1, i Rådets afgørelse er indsat en henvisning til artikel 26 i konventionen om gennemførelse af Schengenkonventionen vedrørende luftfartsselskabers ansvar over for udlændinge, der nægtes indrejse, og udlændinges besiddelse af de krævede rejsedokumenter. Irland deltager i hele forslaget til forordning.

I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union (TEU) og til TEUF, deltager Danmark ikke i vedtagelsen af denne forordning, som ikke er bindende for og ikke finder anvendelse i Danmark, når den er vedtaget. Inden seks måneder efter Rådet har truffet foranstaltning om den foreslåede forordning til udbygning af Schengenreglerne, træffer Danmark afgørelse om, hvorvidt det vil gennemføre dette forslag i sin nationale lovgivning, jf. artikel 4 i protokollen.

For så vidt angår Cypern, Bulgarien, Rumænien og Kroatien udgør den foreslåede forordning en retsakt, der bygger på Schengenreglerne eller på anden måde har tilknytning dertil, jf. henholdsvis artikel 3, stk. 1, i tiltrædelsesakten af 2003, artikel 4, stk. 1, i tiltrædelsesakten af 2005 og artikel 4, stk. 1, i tiltrædelsesakten af 2011.

For så vidt angår Island, Norge, Schweiz og Liechtenstein vil den foreslåede forordning udgøre en udvikling af bestemmelser i Schengenreglerne som omhandlet i deres respektive associeringsaftaler.

•Nærmere redegørelse for de enkelte bestemmelser i forslaget

Kapitel 1 indeholder de generelle bestemmelser for denne forordning, begyndende med regler om dens genstand og anvendelsesområde. Det indeholder også en liste over definitioner.

Kapitel 2 indeholder bestemmelser om indsamling og overførsel af API-oplysninger, nemlig et klart sæt regler for luftfartsselskabers indsamling af API-oplysninger, regler for overførsel af API-oplysninger til routeren, kompetente grænsemyndigheders behandling af API-oplysninger og luftfartsselskabers og disse myndigheders lagring og sletning af API-oplysninger.

Kapitel 3 indeholder bestemmelser om overførsel af API-oplysninger gennem routeren. Det indeholder mere specifikt bestemmelser, der beskriver routerens vigtigste karakteristika, regler for brugen af routeren, proceduren for overførsel af API-oplysninger fra routeren til de kompetente grænsemyndigheder, sletning af API-oplysninger fra routeren, opbevaring af logfiler og procedurerne i tilfælde af, at det er helt eller delvist teknisk umuligt at anvende routeren. 

Kapitel 4 indeholder en række specifikke bestemmelser om beskyttelse af personoplysninger. Mere specifikt præciseres det, hvem de dataansvarlige og databehandleren i forbindelse med behandling af API-oplysninger, der udgør personoplysninger i henhold til denne forordning. Det fastsætter også de foranstaltninger, der kræves af eu-LISA for at garantere databehandlingssikkerheden i overensstemmelse med bestemmelserne i forordning (EU) 2018/1725. Det fastsætter de foranstaltninger, som luftfartsselskaberne og de kompetente grænsemyndigheder skal træffe for at sikre deres egenkontrol med overholdelsen af de relevante bestemmelser i denne forordning og regler om revisioner.

Kapitel 5 regulerer visse specifikke spørgsmål vedrørende routeren. Det indeholder krav om forbindelser til de kompetente grænsemyndigheders og luftfartsselskabers router. Det fastsætter også eu-LISA's opgaver i forbindelse med udformning og udvikling af, hosting og teknisk forvaltning af og andre støtteopgaver i forbindelse med routeren. Kapitlet indeholder desuden bestemmelser om de omkostninger, som eu-LISA og medlemsstaterne skal afholde i henhold til denne forordning, navnlig for så vidt angår medlemsstaternes forbindelser til og integration med routeren. Det indeholder også bestemmelser om erstatningsansvar for skader, der forvoldes routeren, om routerens idriftsættelse og om luftfartsselskabers mulighed for frivilligt at benytte routeren på visse betingelser.

Kapitel 6 indeholder bestemmelser om tilsyn, mulige sanktioner over for luftfartsselskaber for manglende overholdelse af deres forpligtelser som fastsat i denne forordning, regler om eu-LISA's statistiske rapportering og om Kommissionens udarbejdelse af en praktisk håndbog.

Kapitel 7 regulerer virkningerne for andre EU-retsakter. Mere specifikt indeholder den bestemmelserne om ophævelse af direktiv 2004/82/EF og de nødvendige ændringer af andre eksisterende instrumenter, nemlig forordning (EU) 2018/1726 29 og forordning (EU) 2019/817 30 .

Kapitel 8 indeholder de afsluttende bestemmelser i denne forordning, som vedrører vedtagelse af delegerede retsakter og gennemførelsesretsakter, overvågning og evaluering af denne forordning samt dens ikrafttræden og anvendelse.

2022/0424 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om indsamling og overførsel af forhåndsinformation om passagerer (API) med henblik på at forbedre og lette kontrollen ved de ydre grænser, om ændring af forordning (EU) 2019/817 og forordning (EU) 2018/1726 og om ophævelse af Rådets direktiv 2004/82/EF

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 77, stk. 2, litra b) og d), og artikel 79, stk. 2, litra c),

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 31 ,

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

1)Gennemførelsen af personkontrol ved de ydre grænser bidrager væsentligt til at garantere Unionens, medlemsstaternes og borgernes sikkerhed på lang sigt og er som sådan fortsat en vigtig sikkerhedsforanstaltning, navnlig i området uden kontrol ved de indre grænser ("Schengenområdet"). En effektiv kontrol ved de ydre grænser, der foretages i overensstemmelse med navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/399 32 , hvor det er relevant, bidrager til at bekæmpe ulovlig indvandring og forebygge trusler mod medlemsstaternes indre sikkerhed, offentlige orden, folkesundhed og internationale forbindelser.

2)Anvendelsen af oplysninger om rejsende og flyinformation, der er overført forud for de rejsendes ankomst, kendt som forhåndsoplysninger om passagerer ("API-oplysninger"), bidrager til at fremskynde processen med at foretage de krævede kontroller under grænsepassagen. I denne forordning vedrører denne proces mere specifikt grænsepassage mellem på den ene side et tredjeland eller en medlemsstat, der ikke deltager i denne forordning og på den anden side en medlemsstat, der deltager i denne forordning. En sådan anvendelse styrker kontrollen ved disse ydre grænser ved at give tilstrækkelig tid til, at der kan foretages detaljeret og omfattende kontrol af alle rejsende, uden at det har en uforholdsmæssig negativ indvirkning på personer, der rejser i god tro. Af hensyn til effektiviteten af kontrollen ved de ydre grænser bør der derfor fastlægges en passende retlig ramme for at sikre, at medlemsstaternes kompetente grænsemyndigheder ved sådanne overgangssteder ved de ydre grænser har adgang til API-oplysninger, inden de rejsende ankommer.

3)Den eksisterende retlige ramme for API-oplysninger, som består af Rådets direktiv 2004/82/EF 33 og national lovgivning til gennemførelse af dette direktiv, har vist sig at være vigtig for at forbedre grænsekontrollen, navnlig ved at etablere en ramme for medlemsstaternes indførelse af forpligtelser for luftfartsselskaber til at overføre API-oplysninger om passagerer, der transporteres til deres område. Der er dog stadig forskelle på nationalt plan. Navnlig anmodes luftfartsselskaberne ikke systematisk om API-oplysninger, og luftfartsselskaberne stilles over for forskellige krav med hensyn til, hvilken type oplysninger der skal indsamles, og under hvilke betingelser API-oplysningerne skal overføres til de kompetente grænsemyndigheder. Disse forskelle fører ikke blot til unødvendige omkostninger og komplikationer for luftfartsselskaberne, men er også til hinder for at sikre en effektiv forudgående kontrol af personer, der ankommer til de ydre grænser.

4)Den eksisterende retlige ramme bør derfor ajourføres og erstattes for at sikre, at reglerne for indsamling og overførsel af API-oplysninger med henblik på at forbedre og lette effektiviteten af ind- og udrejsekontrollen ved de ydre grænser og for at bekæmpe ulovlig indvandring er klare, harmoniserede og effektive.

5)For så vidt muligt at sikre en konsekvent tilgang på internationalt plan og i lyset af de regler for indsamling af API-oplysninger, der finder anvendelse på dette niveau, bør den ajourførte retlige ramme, der fastlægges ved denne forordning, tage hensyn til den relevante praksis, der er internationalt aftalt med luftfartsindustrien og inden for rammerne af Verdenstoldorganisationen, Den Internationale Luftfartssammenslutning og Organisationen for International Civil Luftfarts retningslinjer for forhåndsinformation om passagerer.

6)Indsamling og overførsel af API-oplysninger påvirker fysiske personers privatliv og indebærer behandling af personoplysninger. For fuldt ud at respektere de grundlæggende rettigheder, navnlig retten til respekt for privatliv og retten til beskyttelse af personoplysninger i overensstemmelse med Den Europæiske Unions charter om grundlæggende rettigheder ("chartret"), bør der fastsættes passende begrænsninger og garantier. Navnlig bør enhver behandling af API-oplysninger og navnlig API-oplysninger, der udgør personoplysninger, fortsat være begrænset til, hvad der er nødvendigt for og står i rimeligt forhold til at nå de mål, der forfølges med denne forordning. Desuden bør det sikres, at API-oplysninger, der indsamles og overføres i henhold til denne forordning, ikke fører til nogen form for forskelsbehandling, som er i strid med chartret.

7)For at nå målene bør denne forordning finde anvendelse på alle luftfartsselskaber, der foretager flyvninger til Unionen som defineret i denne forordning, og som omfatter både regelmæssige og ikkeregelmæssige flyvninger, uanset hvor de luftfartsselskaber, der gennemfører disse flyvninger, er etableret.

8)Af hensyn til effektiviteten og retssikkerheden bør de oplysninger, der tilsammen udgør de API-oplysninger, der skal indsamles og efterfølgende overføres i henhold til denne forordning, angives klart og udtømmende og omfatte både oplysninger om hver enkelt rejsende og oplysninger om den rejsendes fly. Sådanne flyveoplysninger bør omfatte oplysninger om grænseovergangsstedet for indrejse på den pågældende medlemsstats område i alle de tilfælde, der er omfattet af denne forordning, men disse oplysninger bør kun indsamles, hvor det er relevant i henhold til forordning (EU) [API-retshåndhævelse], dvs. ikke når API-oplysningerne vedrører flyvninger inden for EU.

9)For at give mulighed for fleksibilitet og innovation bør det i princippet overlades til hvert luftfartsselskab at bestemme, hvordan det opfylder sine forpligtelser med hensyn til indsamling af API-oplysninger som fastsat i denne forordning. I betragtning af at der findes passende teknologiske løsninger, der gør det muligt automatisk at indsamle visse API-oplysninger, samtidig med at det sikres, at de pågældende API-oplysninger er nøjagtige, fuldstændige og ajourførte, og under hensyntagen til fordelene ved at anvende en sådan teknologi med hensyn til effektivitet, bør luftfartsselskaberne imidlertid pålægges at indsamle disse API-oplysninger ved hjælp af automatiserede midler ved at læse oplysninger fra rejsedokumentets maskinlæsbare data.

10)Automatiserede midler gør det muligt for rejsende selv at give visse API-oplysninger under en onlineindtjekningsproces. Sådanne midler kan f.eks. omfatte en sikker app på en rejsendes smartphone, computer eller webcam med mulighed for at læse rejsedokumentets maskinlæsbare data. Hvis de rejsende ikke foretager indtjekning online, bør luftfartsselskaberne i praksis give dem mulighed for at opgive de maskinlæsbare API-oplysninger under indtjekningen i lufthavnen ved hjælp af en selvbetjeningskiosk eller luftfartspersonalet ved skranken.

11)Kommissionen bør tillægges beføjelser til at vedtage tekniske krav og procedureregler, som luftfartsselskaberne skal overholde i forbindelse med anvendelsen af automatiserede metoder til indsamling af maskinlæsbare API-oplysninger i henhold til denne forordning, for at øge klarheden og retssikkerheden og bidrage til at sikre datakvalitet og ansvarlig brug af de automatiserede midler.

12)I betragtning af de fordele, der er forbundet med at anvende automatiserede metoder til indsamling af maskinlæsbare API-oplysninger, og den klarhed, der følger af de tekniske krav i den forbindelse, der skal vedtages i henhold til denne forordning, bør det præciseres, at luftfartsselskaber, der beslutter at anvende automatiserede metoder til at indsamle de oplysninger, som de skal fremsende i henhold til direktiv 2004/82/EC, har mulighed for, men ikke pligt til, at anvende disse krav, når de er vedtaget, i forbindelse med en sådan anvendelse af automatiserede midler, for så vidt som nævnte direktiv tillader det. En sådan frivillig anvendelse af disse specifikationer i henhold til direktiv 2004/82/EF bør ikke forstås således, at den på nogen måde påvirker luftfartsselskabernes og medlemsstaternes forpligtelser i henhold til nævnte direktiv.

13)For at sikre, at de forudgående kontroller, som de kompetente grænsemyndigheder foretager på forhånd, er effektive og virkningsfulde, bør de API-oplysninger, der overføres til disse myndigheder, indeholde oplysninger om rejsende, der reelt forventes at passere de ydre grænser, dvs. om rejsende, der reelt befinder sig om bord på flyet. Luftfartsselskaberne bør derfor overføre API-oplysninger direkte efter lukning af flyvningen. Desuden hjælper API-oplysninger de kompetente grænsemyndigheder med at skelne lovlige rejsende fra rejsende, som kan være af interesse og derfor kan kræve yderligere kontrol, hvilket vil kræve yderligere koordinering og forberedelse af opfølgningsforanstaltninger, der skal træffes ved ankomsten. Dette kan f.eks. ske i tilfælde af et uventet antal rejsende af interesse, hvis fysiske kontrol ved grænserne kan have en negativ indvirkning på ind- og udrejsekontrollen og ventetiden ved grænsen for andre lovlige rejsende. For at give de kompetente grænsemyndigheder mulighed for at udarbejde passende og forholdsmæssige foranstaltninger ved grænsen, f.eks. midlertidigt at styrke eller omplacere personale, navnlig for flyvninger, hvor tidsrummet mellem flylukningen og ankomsten til de ydre grænser er utilstrækkelig til, at de kompetente grænsemyndigheder kan forberede den mest hensigtsmæssige reaktion, bør API-oplysninger også overføres forud for ombordstigning, når hver rejsende indtjekkes.

14)For at skabe klarhed om de tekniske krav, der gælder for luftfartsselskaber, og som er nødvendige for at sikre, at de API-oplysninger, som de indsamler i henhold til denne forordning, overføres til routeren på en sikker, effektiv og hurtig måde, bør Kommissionen tillægges beføjelser til at fastsætte specifikationer for de fælles protokoller og understøttede dataformater, der skal anvendes til disse overførsler. 

15)For at undgå enhver risiko for misbrug og i overensstemmelse med princippet om formålsbegrænsning bør de kompetente grænsemyndigheder udtrykkeligt udelukkes fra at behandle de API-oplysninger, som de modtager i henhold til denne forordning, til andre formål end at forbedre og lette effektiviteten af ind- og udrejsekontrollen ved de ydre grænser og bekæmpe ulovlig indvandring.

16)For at sikre, at de kompetente grænsemyndigheder har tilstrækkelig tid til effektivt at foretage forudgående kontrol af alle rejsende, herunder rejsende på langdistanceflyvninger og rejsende på flyvninger med omstigning, samt tilstrækkelig tid til at sikre, at de API-oplysninger, der indsamles og overføres af luftfartsselskaberne, er fuldstændige, nøjagtige og ajourførte, og om nødvendigt for at anmode luftfartsselskaberne om yderligere præciseringer, rettelser eller tilføjelser, bør de kompetente grænsemyndigheder opbevare de API-oplysninger, som de har modtaget i henhold til denne forordning, i en bestemt periode, som fortsat er begrænset til, hvad der er strengt nødvendigt til disse formål. For at kunne besvare sådanne anmodninger bør luftfartsselskaberne ligeledes lagre de API-oplysninger, som de har overført i henhold til denne forordning, i samme faste og strengt nødvendige tidsrum.

17)For at undgå, at luftfartsselskaberne skal etablere og opretholde flere forbindelser til medlemsstaternes kompetente grænsemyndigheder med henblik på overførsel af API-oplysninger, der er indsamlet i henhold til denne forordning, og den dermed forbundne ineffektivitet og sikkerhedsrisici, bør der fastsættes bestemmelser om en enkelt router, der oprettes og drives på EU-plan, og som fungerer som forbindelses- og distributionspunkt for disse overførsler. Af hensyn til effektiviteten og omkostningseffektiviteten bør routeren i det omfang, det er teknisk muligt, og under fuld overholdelse af bestemmelserne i denne forordning og forordning (EU) [API-retshåndhævelse] anvende tekniske komponenter fra andre relevante systemer, der er oprettet i henhold til EU-retten.

18)Routeren bør automatisk overføre API-oplysningerne til de relevante kompetente grænsemyndigheder, som bør fastlægges på grundlag af det grænseovergangssted for indrejse på medlemsstatens område, der er registreret i de pågældende API-oplysninger. For at lette distributionsprocessen bør hver medlemsstat angive, hvilke grænsemyndigheder der er kompetente til at modtage de API-oplysninger, der overføres fra routeren. For at sikre, at denne forordning fungerer korrekt, og af hensyn til gennemsigtigheden bør disse oplysninger offentliggøres.

19)Routeren bør kun tjene til at lette overførslen af API-oplysninger fra luftfartsselskaberne til de kompetente grænsemyndigheder i overensstemmelse med denne forordning og til passageroplysningsenheder i overensstemmelse med forordning (EU) [API-retshåndhævelse] og bør ikke være et register over API-oplysninger. For at minimere enhver risiko for uautoriseret adgang eller andet misbrug og i overensstemmelse med princippet om dataminimering bør enhver lagring af API-oplysninger på routeren derfor fortsat være begrænset til, hvad der er strengt nødvendigt til tekniske formål i forbindelse med overførslen, og API-oplysningerne bør slettes fra routeren straks, permanent og automatisk fra det tidspunkt, hvor overførslen er afsluttet, eller, hvis det er relevant i henhold til forordning (EU) [API-retshåndhævelse], må API-oplysningerne slet ikke overføres.

20)For at sikre, at overførslen af API-oplysninger fra routeren fungerer korrekt, bør Kommissionen tillægges beføjelser til at fastsætte detaljerede tekniske og proceduremæssige regler for denne overførsel. Disse regler bør sikre, at overførslen er sikker, effektiv og hurtig og ikke påvirker passagerernes rejser og luftfartsselskaberne mere end nødvendigt.

21)For at gøre det muligt for luftfartsselskaberne så hurtigt som muligt at få gavn af de fordele, som anvendelsen af routeren, der er udviklet af eu-LISA i henhold til denne forordning, giver, og for at få erfaring med at bruge den, bør luftfartsselskaberne have mulighed for, men ikke pligt til, at anvende routeren til at overføre de oplysninger, som de skal overføre i henhold til direktiv 2004/82/EC i en overgangsperiode. Denne overgangsperiode bør begynde på det tidspunkt, hvor routeren påbegynder driften, og ophøre, når forpligtelserne i henhold til nævnte direktiv ophører med at finde anvendelse. For at sikre, at en sådan frivillig anvendelse af routeren finder sted på en ansvarlig måde, bør der kræves forudgående skriftlig tilladelse fra den ansvarlige myndighed, som skal modtage oplysningerne, efter anmodning fra luftfartsselskabet og efter, at denne myndighed har foretaget verifikationer og om nødvendigt opnået garantier. For at undgå en situation, hvor luftfartsselskaberne gentagne gange påbegynder og ophører med at benytte routeren, bør luftfartsselskaberne ligeledes, når det påbegynder en sådan anvendelse på frivillig basis, være forpligtede til at fortsætte den, medmindre der er objektive grunde til at ophøre med at anvende oplysningerne til overførsel til den berørte ansvarlige myndighed, f.eks. når det er blevet klart, at oplysningerne ikke overføres på en lovlig, sikker, effektiv og hurtig måde. Med henblik på en korrekt anvendelse af denne mulighed for frivillig anvendelse af routeren bør der under behørig hensyntagen til alle berørte parters rettigheder og interesser fastsættes de nødvendige regler for konsultationer og meddelelse af oplysninger. En sådan frivillig anvendelse af routeren i medfør af direktiv 2004/82/EF som fastsat i denne forordning bør ikke på nogen måde forstås således, at den berører luftfartsselskabernes og medlemsstaternes forpligtelser i henhold til nævnte direktiv.

22)Den router, der skal oprettes og drives i henhold til denne forordning, bør reducere og forenkle de tekniske forbindelser, der er nødvendige for at overføre API-oplysninger, og begrænse dem til en enkelt forbindelse for hvert luftfartsselskab og for hver kompetent grænsemyndighed. Denne forordning fastsætter derfor en forpligtelse for de kompetente grænsemyndigheder og luftfartsselskaber til hver især at etablere en sådan forbindelse til og opnå den krævede integration med routeren for at sikre, at det system til overførsel af API-oplysninger, der oprettes ved denne forordning, kan fungere korrekt. For at opfylde disse forpligtelser og sikre, at den ordning, der indføres ved denne forordning, fungerer efter hensigten, bør de suppleres med detaljerede regler.

23)I betragtning af de af Unionens interesser, der står på spil, bør de omkostninger, som eu-LISA afholder i forbindelse med udførelsen af sine opgaver i henhold til denne forordning og forordning (EU) [API-retshåndhævelse] i forbindelse med routeren, afholdes over Unionens budget. Det samme bør gælde for passende udgifter, som afholdes af medlemsstaterne i forbindelse med deres tilslutning til og integration med routeren, som krævet i henhold til denne forordning og i overensstemmelse med den gældende lovgivning, dog med visse undtagelser. De omkostninger, der er omfattet af disse undtagelser, bør afholdes af hver enkelt berørt medlemsstat selv.

24)Det kan ikke udelukkes, at routeren eller de systemer eller infrastrukturer, der forbinder de kompetente grænsemyndigheder og luftfartsselskaberne hertil, på grund af ekstraordinære omstændigheder og på trods af alle rimelige foranstaltninger, der er truffet i overensstemmelse med denne forordning, ikke fungerer korrekt, hvilket vil føre til, at det er teknisk umuligt at anvende routeren til at overføre API-oplysninger. Hvis routeren ikke er tilgængelig, og det generelt ikke med rimelighed er muligt for luftfartsselskaberne at overføre de API-oplysninger, der er berørt af fejlen, på en lovlig, sikker, effektiv og hurtig måde ved hjælp af alternative midler, bør luftfartsselskabernes forpligtelse til at overføre disse API-oplysninger til routeren ophøre med at gælde, så længe det er teknisk umuligt. For at minimere varigheden og de negative konsekvenser heraf bør de berørte parter i et sådant tilfælde straks underrette hinanden og straks træffe alle nødvendige foranstaltninger for at afhjælpe den tekniske umulighed. I betragtning af, at API-oplysninger vedrørende flyvninger, der allerede er ankommet, ikke er nyttige i forbindelse med ind- og udrejsekontrol, er der i et sådant tilfælde ingen begrundelse for at anmode luftfartsselskaberne om at indsamle og lagre API-oplysningerne. Denne ordning bør ikke berøre alle relevante parters forpligtelser i henhold til denne forordning til at sikre, at routeren og deres respektive systemer og infrastruktur fungerer korrekt, eller det forhold, at luftfartsselskaber pålægges sanktioner, hvis de ikke opfylder disse forpligtelser, herunder når de ønsker at påberåbe sig denne ordning, hvor en sådan påberåbelse ikke er berettiget. For at forhindre et sådant misbrug og lette tilsynet og om nødvendigt pålægge sanktioner bør luftfartsselskaber, der benytter sig af denne ordning på grund af svigt i deres eget system og infrastruktur, indberette dette til den kompetente tilsynsmyndighed.

25)For at sikre overholdelse af den grundlæggende ret til beskyttelse af personoplysninger bør denne forordning identificere den dataansvarlige og databehandleren og fastsætte regler for revisioner. Af hensyn til en effektiv overvågning, tilstrækkelig beskyttelse af personoplysninger og minimering af sikkerhedsrisici bør der også fastsættes regler for logning, behandlingssikkerhed og egenkontrol. Hvis de vedrører behandling af personoplysninger, bør disse bestemmelser forstås som et supplement til de generelt gældende EU-retsakter om beskyttelse af personoplysninger, navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/679 34 og Europa-Parlamentets og Rådets forordning (EU) 2018/1725 35 . Disse retsakter, som også finder anvendelse på behandling af personoplysninger i henhold til denne forordning i overensstemmelse med dens bestemmelser, bør ikke berøres af denne forordning.

26)Formålet med behandlingen i henhold til denne forordning, nemlig overførsel af API-oplysninger fra luftfartsselskaber via routeren til medlemsstaternes kompetente grænsemyndigheder, er navnlig at bistå disse myndigheder med opfyldelsen af deres grænseforvaltningsforpligtelser og opgaver i forbindelse med bekæmpelse af ulovlig indvandring. De kompetente grænsemyndigheder, der modtager API-oplysninger, bør derfor være dataansvarlige for overførsel af API-oplysninger, der udgør personoplysninger, via router og lagring af disse oplysninger på routeren, for så vidt en sådan lagring er nødvendig til tekniske formål, og for enhver af deres behandlinger, der efterfølgende anvender disse oplysninger for at forbedre og lette grænsekontrollen ved de ydre grænser. Luftfartsselskaberne bør til gengæld være særskilte dataansvarlige for så vidt angår behandling af API-oplysninger, der udgør personoplysninger, som de er forpligtet til at foretage i henhold til denne forordning. På dette grundlag bør både luftfartsselskaberne og de kompetente grænsemyndigheder være særskilte dataansvarlige med hensyn til deres egen behandling af API-oplysninger i henhold til denne forordning.

27)For at sikre, at bestemmelserne i denne forordning anvendes effektivt af luftfartsselskaberne, bør der fastsættes bestemmelser om udpegelse af og beføjelser til de nationale myndigheder, der har til opgave at føre tilsyn med disse regler. Bestemmelserne i denne forordning om et sådant tilsyn, herunder for så vidt angår pålæggelse af sanktioner, hvor det er nødvendigt, bør ikke berøre de tilsynsmyndigheders opgaver og beføjelser, der er oprettet i henhold til forordning (EU) 2016/679, herunder i forbindelse med behandling af personoplysninger i henhold til nærværende forordning.

28)Medlemsstaterne bør fastsætte sanktioner, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, herunder økonomiske sanktioner, over for luftfartsselskaber, der ikke opfylder deres forpligtelser med hensyn til indsamling og overførsel af API-oplysninger i henhold til denne forordning.

29)Da denne forordning fastsætter nye regler for kompetente grænsemyndigheders indsamling og overførsel af API-oplysninger med henblik på at forbedre og lette effektiviteten af ind- og udrejsekontrollen ved de ydre grænser, bør direktiv 2004/82/EF ophæves.

30)Da routeren bør udformes, udvikles, hostes og teknisk forvaltes af eu-LISA, der er oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2018/1726 36 , er det nødvendigt at ændre nævnte forordning ved at tilføje denne opgave til eu-LISA's opgaver. For at lagre routerens rapporter og statistikker i det fælles register for rapportering og statistik er det nødvendigt at ændre Europa-Parlamentets og Rådets forordning (EU) 2019/817 37 .

31)Med henblik på at vedtage foranstaltninger vedrørende de tekniske krav og operationelle regler for den automatiserede metode til indsamling af maskinlæsbare API-oplysninger, de fælles protokoller og formater, der skal anvendes ved luftfartsselskabers overførsel af API-oplysninger, de tekniske og proceduremæssige regler for overførsel af API-oplysninger fra routeren til de kompetente grænsemyndigheder og til passageroplysningsenhederne samt til passageroplysningsenhedernes og luftfartsselskabernes forbindelser til og integration med routeren bør beføjelsen til at vedtage retsakter delegeres til Kommissionen i overensstemmelse med artikel 290 i traktaten om Den Europæiske Unions funktionsmåde for så vidt angår henholdsvis artikel 5, 6, 11, 20 og 21. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning 38 . For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelsen af delegerede retsakter.

(32)For at sikre ensartede betingelser for gennemførelsen af denne forordning, navnlig for så vidt angår routerens idriftsættelse, bør Kommissionen tillægges gennemførelsesbeføjelser. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 39 .

33)Alle interesserede parter, navnlig luftfartsselskaberne og de kompetente grænsemyndigheder, bør have tilstrækkelig tid til at træffe de nødvendige forberedelser til at kunne opfylde deres respektive forpligtelser i henhold til denne forordning, idet der tages hensyn til, at nogle af disse forberedelser, f.eks. vedrørende forpligtelserne omkring tilslutning til og integration med routeren, først kan afsluttes, når routerens udformnings- og udviklingsfase er afsluttet, og routeren påbegynder driften. Denne forordning bør derfor først finde anvendelse fra en passende dato efter den dato, hvor routeren påbegynder driften, som fastsat af Kommissionen i overensstemmelse med denne forordning.

34)Routerens udformnings- og udviklingsfaser bør dog påbegyndes og afsluttes så hurtigt som muligt, således at routeren kan påbegynde driften så hurtigt som muligt, hvilket også kræver vedtagelse af de relevante gennemførelsesretsakter og delegerede retsakter, der er omhandlet i denne forordning. Præciseringen i denne forordning angående anvendelsen af specifikationer vedrørende brugen af automatiserede midler i medfør af direktiv 2004/82/EF bør også foretages hurtigst muligt. Artiklerne om disse spørgsmål bør derfor finde anvendelse fra datoen for denne forordnings ikrafttræden. For at give mulighed for frivillig brug af routeren så hurtigt som muligt bør artiklen om en sådan anvendelse samt visse andre artikler, der er nødvendige for at sikre, at en sådan anvendelse finder sted på en ansvarlig måde, desuden finde anvendelse fra det tidligst mulige tidspunkt, dvs. fra det tidspunkt, hvor routeren påbegynder driften.

35)Denne forordning bør ikke berøre medlemsstaternes mulighed for i henhold til deres nationale lovgivning at indføre et system til indsamling af API-oplysninger fra andre transportvirksomheder end dem, der er fastsat i denne forordning, forudsat at denne nationale lovgivning er i overensstemmelse med EU-retten.

36)Målene for denne forordning, nemlig at styrke og lette effektiviteten af ind- og udrejsekontrollen ved de ydre grænser og bekæmpe ulovlig indvandring, vedrører spørgsmål, der i sagens natur er af grænseoverskridende karakter, og de kan derfor ikke i tilstrækkelig grad opfyldes af medlemsstaterne hver for sig, men kan bedre nås på EU-plan. Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål.

(37)I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til TEU og til TEUF, deltager Danmark ikke i vedtagelsen af denne forordning, som ikke er bindende for og ikke finder anvendelse i Danmark. Inden seks måneder efter at Rådet har truffet foranstaltning om denne forordning til udbygning af Schengenreglerne, træffer Danmark afgørelse om, hvorvidt det vil gennemføre denne forordning i sin nationale lovgivning, jf. artikel 4 i protokollen.

38)Irland deltager i denne forordning i overensstemmelse med artikel 5, stk. 1, i protokol nr. 19 om Schengenreglerne som integreret i Den Europæiske Union, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, og artikel 6, stk. 2, i Rådets afgørelse 2002/192/EF 40 .

39) Irlands deltagelse i denne forordning i henhold til artikel 6, stk. 2, i afgørelse 2002/192/EF vedrører Unionens ansvar for at træffe foranstaltninger til udbygning af Schengenreglerne om bekæmpelse af organiseret ulovlig indvandring, som Irland deltager i.

40)For så vidt angår Island og Norge udgør denne forordning en udvikling af de bestemmelser i Schengenreglerne, jf. aftalen indgået mellem Rådet for Den Europæiske Union og Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne 41 , der henhører under det område, som er nævnt i artikel 1, litra A, i Rådets afgørelse 1999/437/EF 42 .

41)For så vidt angår Schweiz udgør denne forordning en udvikling af de bestemmelser i Schengenreglerne, jf. aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne 43 , der henhører under det område, som er nævnt i artikel 1, litra A, i afgørelse 1999/437/EF sammenholdt med artikel 3 i Rådets afgørelse 2008/146/EF 44 .

42)For så vidt angår Liechtenstein udgør denne forordning en udvikling af de bestemmelser i Schengenreglerne, jf. protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne 45 , der henhører under det område, der er nævnt i artikel 1, litra A, i Rådets afgørelse 1999/437/EF sammenholdt med artikel 3 i Rådets afgørelse 2011/350/EU 46 .

43)For så vidt angår Cypern, Bulgarien, Rumænien og Kroatien udgør denne forordning en retsakt, der bygger på Schengenreglerne eller på anden måde har tilknytning dertil, jf. henholdsvis artikel 3, stk. 1, i tiltrædelsesakten af 2003, artikel 4, stk. 1, i tiltrædelsesakten af 2005 og artikel 4, stk. 1, i tiltrædelsesakten af 2011.

44)Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav en udtalelse den [XX] 47 —

VEDTAGET DENNE FORORDNING —

KAPITEL 1

ALMINDELIGE BESTEMMELSER

Artikel 1

Genstand

Med henblik på at øge og lette effektiviteten af ind- og udrejsekontrollen ved de ydre grænser og bekæmpe ulovlig indvandring fastsættes der ved denne forordning regler for:

a)luftfartsselskabers indsamling af forhåndsinformation om passagerer ("API-oplysninger") på flyvninger til Unionen

b)luftfartsselskabers overførsel af API-oplysninger til routeren

c)overførsel af API-oplysninger fra routeren til de kompetente grænsemyndigheder.

Artikel 2

Anvendelsesområde

Denne forordning finder anvendelse på luftfartsselskaber, der foretager regelmæssige og ikkeregelmæssige flyvninger til Unionen.

Artikel 3

Definitioner

I denne forordning forstås ved:

a)"luftfartsselskab": en lufttransportvirksomhed som defineret i artikel 3, nr. 1), i direktiv (EU) 2016/681

b)"ind- og udrejsekontrol": kontrol som defineret i artikel 2, nr. 11, i forordning (EU) 2016/399

c)"flyvninger til Unionen": flyvninger fra enten et i denne forordning ikke deltagende tredjelands eller en i denne forordning ikke deltagende medlemsstats område, som er planlagt til landing på en i denne forordning deltagende medlemsstats område

d)"grænseovergangssted": overgangssted som defineret i artikel 2, nr. 8), i forordning (EU) 2016/399

e)"regelmæssig flyvning": en flyvning, der gennemføres i henhold til en fast tidsplan, og hvortil den brede offentlighed kan købe billet

f)"ikkeregelmæssig flyvning": en flyvning, der ikke gennemføres i henhold til en fast tidsplan, og som ikke nødvendigvis er en del af en regelmæssig eller planlagt rute

g)"kompetent grænsemyndighed": den myndighed, som en medlemsstat har givet til opgave at foretage ind- og udrejsekontrol, og som er udpeget og meddelt af den pågældende medlemsstat i overensstemmelse med artikel 11, stk. 2

h)"passager": enhver person, bortset fra besætningsmedlemmer, der medbringes eller skal befordres i et luftfartøj med luftfartsselskabets samtykke, idet dette samtykke kommer til udtryk ved, at den pågældende person er optaget på passagerlisten

i)"besætning": enhver person om bord på et luftfartøj under flyvningen, som ikke er passager, og som arbejder på eller betjener luftfartøjet, herunder flyvebesætning og kabinebesætning

j)"rejsende": passagerer eller besætningsmedlemmer

k)"forhåndsoplysninger om passagerer" eller "API-oplysninger": de oplysninger om rejsende og flyinformation, der er omhandlet i henholdsvis artikel 4, stk. 2 og 3

l)"passageroplysningsenhed": den kompetente myndighed, der er omhandlet i artikel 3, litra i), i forordning (EU) [API-retshåndhævelse]

m)"routeren": den router, der er omhandlet i artikel 9

n)"personoplysninger": enhver form for oplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679.

KAPITEL 2

INDSAMLING OG OVERFØRSEL AF API-OPLYSNINGER

Artikel 4

API-oplysninger, der skal indsamles af luftfartsselskaber

1.Luftfartsselskaberne indsamler API-oplysninger om rejsende bestående af de rejsendes oplysninger og de i nærværende artikels stk. 2 og 3 omhandlede flyoplysninger om de flyvninger, der er omhandlet i artikel 2, med henblik på at overføre disse API-oplysninger til routeren i overensstemmelse med artikel 6.

2.API-oplysningerne skal bestå af følgende oplysninger om rejsende for hver enkelt rejsende på flyvningen:

a)efternavn og fornavn(e)

b)fødselsdato, køn og nationalitet

c)rejsedokumentets type og nummer samt koden på tre bogstaver for det land, der har udstedt rejsedokumentet

d)datoen for rejsedokumentets udløb

e)om den rejsende er passager eller besætningsmedlem (den rejsendes status)

f)det nummer til identifikation af passagerlisteoplysninger, som et luftfartsselskab anvender til at lokalisere en passager i sit informationssystem (PNR-nummer)

g)oplysninger om flysæde, f.eks. nummeret på det sæde i luftfartøjet, som en passager er tildelt, hvis luftfartsselskabet indsamler sådanne oplysninger

h)bagageoplysninger, f.eks. antal indtjekkede tasker, hvis luftfartsselskabet indsamler sådanne oplysninger.

3.API-oplysningerne skal også bestå af følgende flyveoplysninger for hver enkelt rejsendes flyvning:

a)flyets identifikationsnummer eller, hvis et sådant nummer ikke findes, andre klare og egnede midler til at identificere flyvningen

b)hvis det er relevant, grænseovergangsstedet for indrejse på medlemsstatens område

c)koden for den lufthavn, hvor indrejsen på medlemsstatens område finder sted

d)første ombordstigningssted

e)dato og forventet afgangstidspunkt i lokal tid

f)dato og forventet ankomsttidspunkt i lokal tid. 

Artikel 5

Metoder til indsamling af API-oplysninger

1.Luftfartsselskaberne indsamler API-oplysningerne i henhold til artikel 4 på en sådan måde, at de API-oplysninger, de overfører i overensstemmelse med artikel 6, er nøjagtige, fuldstændige og ajourførte.

2.Luftfartsselskaberne indsamler de API-oplysninger, der er omhandlet i artikel 4, stk. 2, litra a)-d), ved hjælp af automatiserede metoder til indsamling af maskinlæsbare data i den pågældende rejsendes rejsedokument. De gør dette i overensstemmelse med de detaljerede tekniske krav og operationelle regler, der er omhandlet i stk. 4, hvis sådanne regler er blevet vedtaget og finder anvendelse.

Hvis en sådan anvendelse af automatiserede midler ikke er mulig, fordi rejsedokumentet ikke indeholder maskinlæsbare data, indsamler luftfartsselskaberne oplysningerne manuelt på en sådan måde, at stk. 1 overholdes.

3.Alle automatiserede midler, som luftfartsselskaberne anvender til at indsamle API-oplysninger i henhold til denne forordning, skal være pålidelige, sikre og ajourførte.

4.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 37 med henblik på at supplere denne forordning ved at fastsætte detaljerede tekniske krav og operationelle regler for indsamling af de API-oplysninger, der er omhandlet i artikel 4, stk. 2, litra a)-d), ved hjælp af automatiserede metoder i overensstemmelse med nærværende artikels stk. 2 og 3.

5.De luftfartsselskaber, der anvender automatiserede metoder til at indsamle de oplysninger, der er omhandlet i artikel 3, stk. 1, i direktiv 2004/82/EF, har ret til at gøre dette under anvendelse af de tekniske krav i forbindelse med en sådan anvendelse, jf. stk. 4, i overensstemmelse med nævnte direktiv.

Artikel 6

Luftfartsselskabernes forpligtelser vedrørende overførsel af API-oplysninger

1.Luftfartsselskaberne overfører API-oplysningerne til routeren elektronisk. De gør dette i overensstemmelse med de detaljerede regler, der er omhandlet i stk. 3, når sådanne regler er vedtaget og finder anvendelse.

2.Luftfartsselskaberne overfører API-oplysningerne både ved indtjekningen og umiddelbart efter lukningen af flyvningen, dvs. når passagererne er gået om bord på luftfartøjet som forberedelse til afgang, og det ikke længere er muligt for passagerer at stige om bord på eller forlade luftfartøjet.

3.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 37 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for de fælles protokoller og understøttede dataformater, der skal anvendes til overførsel af API-oplysninger til routeren, som er omhandlet i stk. 1.

4.Hvis et luftfartsselskab efter at have overført oplysninger til routeren bliver opmærksom på, at API-oplysningerne er ukorrekte, ufuldstændige, ikke længere ajourførte eller er blevet behandlet ulovligt, eller at oplysningerne ikke udgør API-oplysninger, underretter det straks Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA). Efter modtagelsen af sådanne oplysninger underretter eu-LISA straks den kompetente grænsemyndighed, der har modtaget API-oplysningerne, som er overført via routeren.

Artikel 7

Behandling af modtagne API-oplysninger

De kompetente grænsemyndigheder behandler API-oplysninger, der overføres til dem i overensstemmelse med denne forordning, udelukkende med henblik på de formål, der er omhandlet i artikel 1.

Artikel 8

Lagring og sletning af API-oplysninger

1.Luftfartsselskaberne lagrer i en periode på 48 timer fra flyets afgang API-oplysningerne om den pågældende passager, som de har indsamlet i henhold til artikel 4. De sletter straks og permanent disse API-oplysninger efter udløbet af denne frist.

2.De kompetente grænsemyndigheder opbevarer i en periode på 48 timer fra flyets afgang API-oplysninger om den pågældende passager, som de har modtaget gennem routeren i henhold til artikel 11. De sletter straks og permanent disse API-oplysninger efter udløbet af denne frist.

3.Hvis et luftfartsselskab eller en kompetent grænsemyndighed bliver opmærksom på, at de oplysninger, som det har indsamlet, overført eller modtaget i henhold til denne forordning, er ukorrekte, ufuldstændige, ikke længere ajourførte eller er blevet behandlet ulovligt, eller at oplysningerne ikke udgør API-oplysninger, skal de straks rette, supplere eller ajourføre eller permanent slette de pågældende API-oplysninger. Dette berører ikke luftfartsselskabernes mulighed for at opbevare og anvende oplysningerne, hvis det er nødvendigt for deres normale drift i overensstemmelse med gældende ret.

KAPITEL 3

BESTEMMELSER VEDRØRENDE ROUTEREN

Artikel 9

Routeren

1.eu-LISA udformer, udvikler, hoster og forvalter i overensstemmelse med artikel 22 og 23 en router med henblik på at lette luftfartsselskabernes overførsel af API-oplysninger til de kompetente grænsemyndigheder og passageroplysningsenhederne i overensstemmelse med henholdsvis denne forordning og forordning (EU) [API-retshåndhævelse].

2.Routeren skal bestå af:

a)en central infrastruktur, herunder et sæt tekniske komponenter, der gør det muligt at overføre API-oplysninger

b)en sikker kommunikationskanal mellem den centrale infrastruktur og de kompetente grænsemyndigheder og passageroplysningsenhederne og en sikker kommunikationskanal mellem den centrale infrastruktur og luftfartsselskaberne til overførsel af API-oplysninger og al kommunikation i forbindelse hermed.

3.Uden at det berører denne forordnings artikel 10, deler og videreanvender routeren, i det omfang det er teknisk muligt, de tekniske komponenter, herunder hardware- og softwarekomponenter, i den webtjeneste, der er omhandlet i artikel 13 i Europa-Parlamentets og Rådets forordning (EU) 2017/2226 48 , gateway-faciliteten for transportvirksomheder, jf. artikel 6, stk. 2, litra k), i forordning (EU) 2018/1240, og gatewayfaciliteten for transportvirksomheder som omhandlet i artikel 2a, litra h), i Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008 49 .

Artikel 10

Eksklusiv brug af routeren

Routeren må kun anvendes af luftfartsselskaber til at overføre API-oplysninger og af de kompetente grænsemyndigheder og passageroplysningsenheder til at modtage API-oplysninger i overensstemmelse med henholdsvis denne forordning og forordning (EU) [API-retshåndhævelse]. 

Artikel 11

Overførsel af API-oplysninger fra routeren til de kompetente grænsemyndigheder

1.Routeren overfører straks og automatisk de API-oplysninger, der er overført til den i henhold til artikel 6, til de kompetente grænsemyndigheder i den medlemsstat, der er omhandlet i artikel 4, stk. 3, litra c). Den gør dette i overensstemmelse med de detaljerede regler, der er omhandlet i nærværende artikels stk. 4, når sådanne regler er vedtaget og finder anvendelse.

Med henblik på en sådan overførsel udarbejder og ajourfører eu-LISA en sammenligningstabel mellem de forskellige oprindelses- og bestemmelseslufthavne og de lande, som de tilhører.

2.Medlemsstaten udpeger de kompetente grænsemyndigheder, der er bemyndiget til at modtage de API-oplysninger, der overføres til dem fra routeren i overensstemmelse med denne forordning. De meddeler inden datoen for denne forordnings anvendelse, jf. artikel 39, andet afsnit, eu-LISA og Kommissionen navn og kontaktoplysninger på de kompetente grænsemyndigheder og ajourfører om nødvendigt de meddelte oplysninger.

Kommissionen udarbejder og offentliggør på grundlag af disse underretninger og ajourføringer en liste over de underrettede kompetente grænsemyndigheder, herunder deres kontaktoplysninger.

3.Medlemsstaterne sikrer, at kun behørigt bemyndigede medarbejdere hos de kompetente grænsemyndigheder har adgang til de API-oplysninger, der overføres til dem via routeren. De fastsætter de nødvendige regler med henblik herpå. Disse regler skal omfatte regler om oprettelse og regelmæssig ajourføring af en liste over disse medarbejdere og deres profiler.

4.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 37 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede tekniske og proceduremæssige regler for fremsendelse af API-oplysninger fra routeren som omhandlet i stk. 1.

Artikel 12

Sletning af API-oplysninger fra routeren

API-oplysninger, der er overført til routeren i henhold til denne forordning og forordning (EU) [API-retshåndhævelse], må kun lagres på routeren i det omfang, det er nødvendigt for at afslutte overførslen til de relevante kompetente grænsemyndigheder eller passageroplysningsenheder, alt efter hvad der er relevant, i overensstemmelse med disse forordninger, og slettes straks, permanent og automatisk fra routeren i begge følgende situationer:

a)hvis overførslen af API-oplysninger til de relevante kompetente grænsemyndigheder eller passageroplysningsenheder, alt efter hvad der er relevant, er afsluttet

b)for så vidt angår forordning (EU) [API-retshåndhævelse], hvis API-oplysningerne vedrører andre flyvninger inden for EU end dem, der er opført på de lister, som er omhandlet i artikel 5, stk. 2, i nævnte forordning.

Artikel 13

Opbevaring af logfiler

1.eu-LISA fører logfiler over alle behandlingsaktiviteter i forbindelse med overførslen af API-oplysninger gennem routeren i henhold til denne forordning og forordning (EU) [API-retshåndhævelse]. Disse logfiler skal omfatte følgende:

a)det luftfartsselskab, der har overført API-oplysningerne til routeren

b)de kompetente grænsemyndigheder og passageroplysningsenheder, som API-oplysningerne blev overført til via routeren

c)dato og klokkeslæt for de overførsler, der er omhandlet i litra a) og b), og stedet for overførslen

d)enhver adgang for eu-LISA's personale, der er nødvendig for vedligeholdelsen af routeren, jf. artikel 23, stk. 3

e)alle andre oplysninger vedrørende disse behandlingsaktiviteter, der er nødvendige for at overvåge API-dataenes sikkerhed og integritet og lovligheden af disse behandlingsaktiviteter.

Disse logfiler må ikke indeholde andre personoplysninger end de oplysninger, der er nødvendige for at identificere den relevante medarbejder i eu-LISA, jf. første afsnit, litra d).

2.Luftfartsselskaberne opretter logfiler over alle behandlingsaktiviteter i henhold til denne forordning, der foretages ved hjælp af de automatiserede metoder, som er omhandlet i artikel 5, stk. 2. Disse logfiler skal omfatte dato, klokkeslæt og sted for overførsel af API-oplysninger.

3.De logfiler, der er omhandlet i stk. 1 og 2, må kun anvendes til at garantere API-dataenes sikkerhed og integritet og lovligheden af behandlingen, navnlig for så vidt angår overholdelse af kravene i denne forordning og forordning (EU) [API-retshåndhævelse], herunder procedurer for sanktioner for overtrædelse af disse krav i overensstemmelse med denne forordnings artikel 29 og 30.

4.eu-LISA og luftfartsselskaberne træffer passende foranstaltninger til at beskytte de logfiler, som de har oprettet i henhold til henholdsvis stk. 1 og 2, mod uautoriseret adgang og andre sikkerhedsrisici.

5.eu-LISA og luftfartsselskaberne opbevarer de logfiler, som de har oprettet i henhold til henholdsvis stk. 1 og 2, i en periode på et år fra det tidspunkt, hvor logfilerne er oprettet. De sletter straks og permanent disse logfiler ved udløbet af denne frist.

Hvis disse logfiler er nødvendige for procedurer til overvågning eller sikring af API-dataenes sikkerhed og integritet eller lovligheden af behandlingsaktiviteterne, jf. stk. 2, og disse procedurer allerede er indledt på tidspunktet for udløbet af den frist, der er omhandlet i første afsnit, kan eu-LISA og luftfartsselskaberne imidlertid opbevare disse logfiler, så længe det er nødvendigt for disse procedurer. I så fald sletter de straks disse logfiler, når de ikke længere er nødvendige for disse procedurer.

Artikel 14

Foranstaltninger i tilfælde af, at det er teknisk umuligt at anvende routeren

1.Hvis det er teknisk umuligt at anvende routeren til at overføre API-oplysninger, fordi routeren svigter, underretter eu-LISA straks luftfartsselskaberne og de kompetente grænsemyndigheder om denne tekniske umulighed på en automatiseret måde. I så fald træffer eu-LISA straks foranstaltninger til at afhjælpe den tekniske umulighed af at benytte routeren og underretter straks disse parter, når den er blevet afhjulpet på tilfredsstillende vis.

I perioden mellem disse meddelelser finder artikel 6, stk. 1, ikke anvendelse, for så vidt som det er teknisk umuligt at overføre API-oplysninger til routeren. I det omfang dette er tilfældet, finder artikel 4, stk. 1, og artikel 8, stk. 1, heller ikke anvendelse på de relevante API-oplysninger i den pågældende periode.

2.Hvis det er teknisk umuligt at anvende routeren til at overføre API-oplysninger på grund af svigt i en medlemsstats systemer eller infrastruktur, jf. artikel 20, underretter den pågældende medlemsstats kompetente grænsemyndigheder straks luftfartsselskaberne, de kompetente myndigheder i de øvrige medlemsstater, eu-LISA og Kommissionen om denne tekniske umulighed på en automatiseret måde. I så fald træffer den pågældende medlemsstat straks foranstaltninger for at afhjælpe den tekniske umulighed for at benytte routeren og underretter straks disse parter, når den er blevet afhjulpet på tilfredsstillende vis.

I perioden mellem disse meddelelser finder artikel 6, stk. 1, ikke anvendelse, for så vidt som det er teknisk umuligt at overføre API-oplysninger til routeren. I det omfang dette er tilfældet, finder artikel 4, stk. 1, og artikel 8, stk. 1, heller ikke anvendelse på de pågældende API-oplysninger i den pågældende periode.

3.Hvis det er teknisk umuligt at anvende routeren til at overføre API-oplysninger på grund af svigt i et luftfartsselskabs systemer eller infrastruktur som omhandlet i artikel 21, underretter luftfartsselskabet straks de kompetente grænsemyndigheder, eu-LISA og Kommissionen om denne tekniske umulighed på en automatiseret måde. I så fald skal luftfartsselskabet straks træffe foranstaltninger til at afhjælpe den tekniske umulighed af at benytte routeren og straks underrette disse parter, når den er blevet afhjulpet på tilfredsstillende vis.

I perioden mellem disse meddelelser finder artikel 6, stk. 1, ikke anvendelse, for så vidt som det er teknisk umuligt at overføre API-oplysninger til routeren. I det omfang dette er tilfældet, finder artikel 4, stk. 1, og artikel 8, stk. 1, heller ikke anvendelse på de pågældende API-oplysninger i den pågældende periode.

Når det er lykkedes at afhjælpe den tekniske umulighed, forelægger det pågældende luftfartsselskab straks den i artikel 29a omhandlede kompetente nationale tilsynsmyndighed en rapport med alle nødvendige oplysninger om den tekniske umulighed, herunder årsagerne til, at det var teknisk umuligt, problemets omfang og konsekvenser samt de foranstaltninger, der er truffet for at afhjælpe det.

KAPITEL 4

SÆRLIGE BESTEMMELSER OM BESKYTTELSE AF PERSONOPLYSNINGER

Artikel 15

Persondataansvarlige

De kompetente grænsemyndigheder er dataansvarlige som omhandlet i artikel 4, nr. 7), i forordning (EU) 2016/679 for så vidt angår behandling af API-oplysninger, der udgør personoplysninger, gennem routeren, herunder overførsel og lagring af disse oplysninger af tekniske årsager i routeren, samt i forbindelse med deres behandling af API-oplysninger, der udgør personoplysninger som omhandlet i nærværende forordnings artikel 7.

Luftfartsselskaberne er dataansvarlige som omhandlet i artikel 4, nr. 7), i forordning (EU) 2016/679 for så vidt angår behandling af API-oplysninger, der udgør personoplysninger i forbindelse med deres indsamling af disse oplysninger og deres overførsel til routeren i henhold til denne forordning.

Artikel 16

Persondatabehandler

eu-LISA er databehandler som omhandlet i artikel 3, nr. 12), i forordning (EU) 2018/1725 for så vidt angår behandling af API-oplysninger, der udgør personoplysninger, gennem routeren i overensstemmelse med denne forordning og forordning (EU) [API-retshåndhævelse].

Artikel 17

Sikkerhed

1.eu-LISA sørger for sikkerheden af de API-oplysninger, navnlig API-oplysninger, der udgør personoplysninger, som det behandler i henhold til denne forordning og forordning (EU) [API-retshåndhævelse]. De kompetente grænsemyndigheder og luftfartsselskaberne sørger for sikkerheden af de API-oplysninger, navnlig API-oplysninger, der udgør personoplysninger, som de behandler i henhold til denne forordning. eu-LISA, de kompetente grænsemyndigheder og luftfartsselskaberne samarbejder i overensstemmelse med deres respektive ansvarsområder og i overensstemmelse med EU-retten med hinanden for at sikre en sådan sikkerhed.

2.Eu-LISA træffer navnlig de nødvendige foranstaltninger for at sørge for sikkerheden for routeren og API-oplysningerne, navnlig API-oplysninger, der udgør personoplysninger, og som overføres via routeren, herunder ved at udarbejde, gennemføre og regelmæssigt ajourføre en sikkerhedsplan, en forretningskontinuitetsplan og en katastrofeberedskabsplan med henblik på at:

a)fysisk beskytte routeren, herunder ved at udarbejde beredskabsplaner for beskyttelse af kritiske komponenter hertil

b)forhindre uautoriseret behandling af API-oplysninger, herunder uautoriseret adgang hertil og kopiering, ændring eller sletning heraf, både under overførslen af API-oplysningerne til og fra routeren og under enhver lagring af API-oplysninger på routeren, hvis det er nødvendigt for at afslutte overførslen, navnlig ved hjælp af passende krypteringsteknikker

c)sikre, at det er muligt at kontrollere og fastslå, til hvilke kompetente grænsemyndigheder eller passageroplysningsenheder API-oplysninger overføres via routeren

d)rapportere behørigt til bestyrelsen om eventuelle fejl i routerens funktion

e)overvåge effektiviteten af de sikkerhedsforanstaltninger, der kræves i henhold til denne artikel og forordning (EU) 2018/1725, og vurdere og ajourføre disse sikkerhedsforanstaltninger, hvis det er nødvendigt i lyset af den teknologiske eller operationelle udvikling.

De foranstaltninger, der er omhandlet i dette stykkes første afsnit, berører ikke artikel 33 i forordning (EU) 2018/1725 og artikel 32 i forordning (EU) 2016/679.

Artikel 18

Egenkontrol

Luftfartsselskaberne og de kompetente myndigheder overvåger, at de overholder deres respektive forpligtelser i henhold til denne forordning, navnlig med hensyn til deres behandling af API-oplysninger, der udgør personoplysninger, herunder gennem hyppig kontrol af de logfiler, der er omhandlet i artikel 13.

Artikel 19

Revisioner af beskyttelsen af personoplysninger

1.De kompetente nationale databeskyttelsesmyndigheder, der er omhandlet i artikel 51 i forordning (EU) 2016/679, sikrer, at der mindst hvert fjerde år foretages en revision af behandlingen af API-oplysninger, der udgør personoplysninger, som skal foretages af de kompetente grænsemyndigheder med henblik på nærværende forordning i overensstemmelse med relevante internationale revisionsstandarder.

2.Den Europæiske Tilsynsførende for Databeskyttelse sikrer, at der mindst én gang om året foretages en revision af behandlingen af API-oplysninger, der udgør personoplysninger, og som foretages af eu-LISA, med henblik på denne forordning og forordning (EU) [API-retshåndhævelse] i overensstemmelse med relevante internationale revisionsstandarder. En rapport om denne revision sendes til Europa-Parlamentet, Rådet, Kommissionen, medlemsstaterne og eu-LISA. eu-LISA skal have lejlighed til at fremsætte bemærkninger, inden rapporterne vedtages.

3.I forbindelse med de behandlingsaktiviteter, der er omhandlet i stk. 2, leverer eu-LISA efter anmodning de oplysninger, som Den Europæiske Tilsynsførende for Databeskyttelse anmoder om, giver Den Europæiske Tilsynsførende for Databeskyttelse adgang til alle de dokumenter, som den anmoder om, og til de logfiler, der er omhandlet i artikel 13, stk. 1, samt giver til enhver tid Den Europæiske Tilsynsførende for Databeskyttelse adgang til alle eu-LISA's lokaler.

KAPITEL 5

FORBINDELSER OG YDERLIGERE BESTEMMELSER VEDRØRENDE ROUTEREN

Artikel 20

De kompetente grænsemyndigheders forbindelser til routeren

1.Medlemsstaterne sikrer, at deres kompetente grænsemyndigheder er tilsluttet routeren. De sikrer, at de kompetente grænsemyndigheders systemer og infrastruktur til modtagelse af API-oplysninger, der overføres i henhold til denne forordning, er integreret med routeren.

Medlemsstaterne sikrer, at forbindelsen til routeren og integrationen med denne gør det muligt for deres kompetente grænsemyndigheder at modtage og viderebehandle API-oplysninger samt at udveksle al kommunikation i forbindelse hermed på en lovlig, sikker, effektiv og hurtig måde.

2.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 37 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for tilslutning til og integration med den router, der er omhandlet i stk. 1.

Artikel 21

Luftfartsselskabernes forbindelser til routeren

1.Luftfartsselskaberne sikrer, at de er tilsluttet routeren. De sikrer, at deres systemer og infrastruktur til overførsel af API-oplysninger til routeren i henhold til denne forordning er integreret med routeren.

Luftfartsselskaberne sikrer, at forbindelsen til denne router og integrationen med denne gør det muligt for dem at overføre API-oplysningerne og udveksle al kommunikation i forbindelse hermed på en lovlig, sikker, effektiv og hurtig måde.

2.Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 37 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for tilslutning til og integration med den router, der er omhandlet i stk. 1.

Artikel 22

eu-LISA's opgaver i forbindelse med udformningen og udviklingen af routeren

1.eu-LISA er ansvarligt for udformningen af routerens fysiske arkitektur, herunder fastlæggelse af de tekniske specifikationer.

2.eu-LISA er ansvarligt for udviklingen af routeren, herunder for eventuelle tekniske tilpasninger, der er nødvendige for routerens drift.

Udviklingen af routeren skal bestå i udarbejdelse og gennemførelse af de tekniske specifikationer, afprøvning og overordnet projektstyring og koordinering af udviklingsfasen.

3.eu-LISA sikrer, at routeren er udformet og udviklet på en sådan måde, at routeren leverer de funktioner, der er specificeret i denne forordning og forordning (EU) [API-retshåndhævelse], og at routeren idriftsættes hurtigst muligt efter Kommissionens vedtagelse af de delegerede retsakter, der er omhandlet i artikel 5, stk. 4, artikel 6, stk. 3, artikel 11, stk. 4, artikel 20, stk. 2, og artikel 21, stk. 2.

4.Hvis eu-LISA vurderer, at udviklingsfasen er afsluttet, foretager det uden unødig forsinkelse en omfattende test af routeren i samarbejde med de kompetente grænsemyndigheder, passageroplysningsenheder og andre relevante myndigheder i medlemsstaterne og luftfartsselskaber og underretter Kommissionen om resultatet af denne test.

Artikel 23

eu-LISA's opgaver i forbindelse med hosting og teknisk forvaltning af routeren

1.eu-LISA hoster routeren på sine tekniske lokaliteter.

2.eu-LISA er ansvarligt for den tekniske forvaltning af routeren, herunder dens vedligeholdelse og tekniske udvikling, på en sådan måde, at det sikres, at API-oplysningerne overføres sikkert, effektivt og hurtigt gennem routeren i overensstemmelse med denne forordning og forordning (EU) [API-retshåndhævelse].

Den tekniske forvaltning af routeren består i at udføre alle de opgaver og vedtage alle de tekniske løsninger, der er nødvendige for, at routeren kan fungere korrekt i overensstemmelse med denne forordning og forordning (EU) [API-retshåndhævelse], uden afbrydelser, 24 timer i døgnet, syv dage om ugen. Den tekniske forvaltning omfatter det vedligeholdelsesarbejde og den tekniske udvikling, der er nødvendig for at sikre, at routeren fungerer på et tilfredsstillende niveau af teknisk kvalitet, navnlig med hensyn til tilgængeligheden, nøjagtigheden og pålideligheden af overførslen af API-oplysninger, i overensstemmelse med de tekniske specifikationer og så vidt muligt i overensstemmelse med de kompetente grænsemyndigheders, passageroplysningsenheders og luftfartsselskabers operationelle behov.

3.eu-LISA har ikke adgang til nogen af de API-oplysninger, der overføres gennem routeren. Dette forbud er dog ikke til hinder for, at eu-LISA har en sådan adgang, i det omfang det er strengt nødvendigt for vedligeholdelsen af routeren.

4.Uden at det berører denne artikels stk. 3 og artikel 17 i Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 50 , anvender eu-LISA passende regler for tavshedspligt eller andre tilsvarende fortrolighedskrav i forbindelse med sit personale, som skal arbejde med API-oplysninger, der overføres via routeren. Denne pligt består fortsat, når de pågældende medarbejdere er fratrådt deres stilling, eller deres virksomhed er ophørt.

Artikel 24

eu-LISA's støtteopgaver i forbindelse med routeren

1.eu-LISA sørger efter anmodning for uddannelse af de kompetente grænsemyndigheder, passageroplysningsenheder og andre relevante myndigheder i medlemsstaterne og luftfartsselskaber i den tekniske anvendelse af routeren.

2.eu-LISA yder støtte til de kompetente grænsemyndigheder og passageroplysningsenheder i forbindelse med modtagelsen af API-oplysninger gennem routeren i henhold til henholdsvis denne forordning og forordning (EU) [API-retshåndhævelse], navnlig for så vidt angår anvendelsen af artikel 11 og 20 i denne forordning og artikel 5 og 10 i forordning (EU) [API-retshåndhævelse].

Artikel 25

eu-LISA's og medlemsstaternes omkostninger

1.eu-LISA's omkostninger i forbindelse med udformning, udvikling, hosting og teknisk forvaltning af routeren i henhold til denne forordning og forordning (EU) [API-retshåndhævelse] afholdes over Unionens almindelige budget.

2.Medlemsstaternes omkostninger i forbindelse med deres forbindelser til og integration med routeren, jf. artikel 20, afholdes over Unionens almindelige budget.

Følgende omkostninger medregnes dog ikke og afholdes af medlemsstaterne:

a)udgifter til projektstyringskontoret, herunder møder, tjenesterejser og kontorer

b)omkostninger til hosting af nationale informationsteknologisystemer (IT-systemer), herunder plads, implementering, elektricitet og køling

c)omkostninger til drift af nationale IT-systemer, herunder operatører og støttekontrakter

d)omkostninger til udformning, udvikling, gennemførelse, drift og vedligeholdelse af nationale kommunikationsnet.

3.Medlemsstaterne afholder også udgifterne til administration, brug og vedligeholdelse af deres forbindelser til og integration med routeren.

Artikel 26

Ansvar vedrørende routeren

Hvis en medlemsstats eller et luftfartsselskabs manglende opfyldelse af sine forpligtelser i henhold til denne forordning volder skade på routeren, er den pågældende medlemsstat eller det pågældende luftfartsselskab ansvarlig(t) for skaden, medmindre og i det omfang eu-LISA ikke har truffet rimelige foranstaltninger til at forhindre skaden i at ske eller til at begrænse dens omfang.

Artikel 27

Idriftsættelse af routeren

Kommissionen fastsætter uden unødig forsinkelse datoen for routerens idriftsættelse ved hjælp af en gennemførelsesretsakt, når eu-LISA har underrettet Kommissionen om den vellykkede gennemførelse af den omfattende test af routeren, der er omhandlet i artikel 22, stk. 4. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren i artikel 36, stk. 2.

Kommissionen fastsætter den dato, der er omhandlet i første afsnit, til senest 30 dage efter datoen for vedtagelsen af den pågældende gennemførelsesretsakt.

Artikel 28

Frivillig anvendelse af routeren i henhold til direktiv 2004/81/EF

1.Luftfartsselskaberne har ret til at anvende routeren til at overføre de oplysninger, der er omhandlet i artikel 3, stk. 1, i direktiv 2004/82/EF, til en eller flere af de deri omhandlede ansvarlige myndigheder i overensstemmelse med nævnte direktiv, forudsat at den berørte ansvarlige myndighed har givet sit samtykke hertil, fra en passende dato, der fastsættes af denne myndighed. Denne myndighed giver først sit samtykke efter at have konstateret, at oplysningerne kan overføres på en lovlig, sikker, effektiv og hurtig måde, navnlig hvad angår både dens egen og det pågældende luftfartsselskabs forbindelse til routeren.

2.Hvis et luftfartsselskab begynder at benytte routeren i overensstemmelse med stk. 1, fortsætter det med at anvende routeren til at overføre disse oplysninger til den berørte ansvarlige myndighed indtil datoen for anvendelsen af denne forordning, jf. artikel 39, andet afsnit. Denne anvendelse indstilles dog fra en passende dato, der fastsættes af denne myndighed, hvis denne myndighed finder, at der er objektive grunde til, at en sådan afbrydelse er nødvendig, og har underrettet luftfartsselskabet herom.

3.Den berørte ansvarlige myndighed skal:

a)høre eu-LISA, inden der indgås aftale om frivillig anvendelse af routeren i overensstemmelse med stk. 1

b)medmindre der er tale om behørigt begrundede hastetilfælde, give det berørte luftfartsselskab mulighed for at fremsætte bemærkninger til sin hensigt om at ophøre med en sådan anvendelse, jf. stk. 2, og, hvis det er relevant, også høre eu-LISA herom

c)straks underrette eu-LISA og Kommissionen om enhver sådan anvendelse, som det indvilliger i, og enhver afbrydelse af en sådan anvendelse og give alle nødvendige oplysninger, herunder datoen for påbegyndelse af anvendelsen, datoen for afbrydelsen og årsagerne til afbrydelsen, alt efter hvad der er relevant.

KAPITEL 6

TILSYN, SANKTIONER, STATISTIK OG HÅNDBOG

Artikel 29

National tilsynsmyndighed

1.Medlemsstaterne udpeger en eller flere nationale tilsynsmyndigheder, der er ansvarlige for at overvåge, at luftfartsselskaberne anvender denne forordning på deres område, og sikre, at disse bestemmelser overholdes.

2.Medlemsstaterne sikrer, at de nationale tilsynsmyndigheder har alle nødvendige midler og alle nødvendige undersøgelses- og håndhævelsesbeføjelser til at udføre deres opgaver i henhold til denne forordning, herunder ved at pålægge de sanktioner, der er omhandlet i artikel 30, hvor det er relevant. De fastsætter detaljerede regler for udførelsen af disse opgaver og udøvelsen af disse beføjelser, idet de sikrer, at udførelsen og udøvelsen er effektiv, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning og er underlagt garantier i overensstemmelse med de grundlæggende rettigheder, der er sikret ved EU-retten.

3.Medlemsstaterne meddeler senest på datoen for denne forordnings anvendelse, jf. artikel 21, andet afsnit, Kommissionen navn og kontaktoplysninger på de myndigheder, de har udpeget i henhold til stk. 1, samt de nærmere bestemmelser, de har fastsat i henhold til stk. 2. De underretter straks Kommissionen om eventuelle senere ændringer eller tilpasninger heraf.

4.Denne artikel berører ikke de tilsynsmyndigheders beføjelser, der er omhandlet i artikel 51 i forordning (EU) 2016/679.

Artikel 30

Sanktioner

Medlemsstaterne fastsætter regler for, hvilke sanktioner der skal anvendes ved overtrædelse af denne forordning, og træffer alle nødvendige foranstaltninger til at sikre, at de indføres. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Medlemsstaterne giver senest på anvendelsesdatoen for denne forordning, jf. artikel 39, andet afsnit, Kommissionen meddelelse om disse regler og foranstaltninger og underretter den straks om alle senere ændringer, der berører dem.

Artikel 31

Statistik

1.Hvert kvartal offentliggør eu-LISA statistikker over routerens funktion, der navnlig viser antallet af, nationaliteten på og afgangslandet for de rejsende og navnlig de rejsende, der er gået om bord på luftfartøjet med unøjagtige, ufuldstændige eller ikke længere ajourførte API-oplysninger, med et ikkeanerkendt rejsedokument, uden gyldigt visum, uden gyldig rejsetilladelse, eller som er indberettet som personer, hvis ophold er udløbet, samt antallet af rejsende og deres nationalitet.

2.eu-LISA lagrer de daglige statistikker i det centrale register for rapportering og statistik, der er oprettet ved artikel 39 i forordning (EU) 2019/817.

3.Ved udgangen af hvert år indsamler eu-LISA statistiske data i en årlig rapport for det pågældende år. eu-LISA offentliggør denne årsrapport og sender den til Europa-Parlamentet, Rådet, Kommissionen, Den Europæiske Tilsynsførende for Databeskyttelse, Det Europæiske Agentur for Grænse- og Kystbevogtning og de nationale tilsynsmyndigheder, der er omhandlet i artikel 29.

4.Efter anmodning fra Kommissionen forelægger eu-LISA den statistikker om specifikke aspekter i forbindelse med gennemførelsen af denne forordning og forordning (EU) [API-retshåndhævelse] samt statistikkerne i henhold til stk. 3.

5.eu-LISA har ret til at få adgang til følgende API-oplysninger, der overføres via routeren, udelukkende med henblik på den rapportering, der er omhandlet i artikel 38, og med henblik på at generere statistikker i overensstemmelse med denne artikel, dog uden at en sådan adgang giver mulighed for at identificere de berørte rejsende:

a)om den rejsende er passager eller besætningsmedlem

b)den rejsendes nationalitet, køn og fødselsår

c)dato og sted for første ombordstigning samt dato og lufthavn for ankomst til en medlemsstats område

d)rejsedokumentets type og koden på tre bogstaver for det udstedende land og datoen for rejsedokumentets udløb

e)antallet af indtjekkede rejsende på samme flyvning

f)om flyvningen er en regelmæssig eller en ikkeregelmæssig flyvning

g)om den rejsendes personoplysninger er korrekte, fuldstændige og ajourførte.

6.Med henblik på den rapportering, der er omhandlet i artikel 38, og med henblik på at generere statistikker i overensstemmelse med nærværende artikel lagrer eu-LISA de oplysninger, der er omhandlet i nærværende artikels stk. 5, i det centrale register for rapportering og statistik, der er oprettet ved artikel 39 i forordning (EU) 2019/817. De statistiske data og den analytiske rapportering på tværs af systemerne, der er omhandlet i artikel 39, stk. 1, i nævnte forordning, skal gøre det muligt for de kompetente grænsemyndigheder og andre relevante myndigheder i medlemsstaterne at indhente skræddersyede rapporter og statistikker til de formål, der er omhandlet i artikel 1 i denne forordning.

7.De procedurer, som eu-LISA har indført for at overvåge udviklingen og driften af routeren, jf. artikel 39, stk. 1, i forordning (EU) 2019/817, skal omfatte muligheden for at udarbejde regelmæssige statistikker for at sikre denne overvågning.

Artikel 32

Praktisk vejledning

Kommissionen udarbejder og offentliggør i tæt samarbejde med de kompetente grænsemyndigheder, andre relevante medlemsstaters myndigheder, luftfartsselskaberne og relevante EU-agenturer en praktisk håndbog med retningslinjer, anbefalinger og bedste praksis for gennemførelsen af denne forordning.

Denne praktiske vejledning tager hensyn til de relevante eksisterende vejledninger.

Kommissionen vedtager vejledningen i form af en henstilling.

KAPITEL 7

FORHOLDET TIL ANDRE EKSISTERENDE INSTRUMENTER

Artikel 33

Ophævelse af direktiv 2004/82/EF

Direktiv 2004/82/EF ophæves med virkning fra anvendelsesdatoen for denne forordning, jf. artikel 39, andet afsnit.

Artikel 34

Ændringer af forordning (EU) 2018/1726

I forordning (EU) 2018/1726 foretages følgende ændringer:

1)Følgende indsættes som artikel 13b:

"Artikel 13b

Opgaver i forbindelse med routeren 

I forbindelse med Europa-Parlamentets og Rådets forordning (EU).../...* [nærværende forordning] og forordning (EU) [API-retshåndhævelse] udfører agenturet de opgaver, der er forbundet med den router, som det er blevet pålagt ved nævnte forordninger.

___________

*    Europa-Parlamentets og Rådets forordning (EU) [nummer] af xy den [officielt vedtaget titel] (EUT L...)"

1)Artikel 17, stk. 3, affattes således:

"3. Agenturet har hjemsted i Tallinn, Estland.

Opgaverne vedrørende udvikling og operationel forvaltning, jf. artikel 1, stk. 4 og 5, og artikel 3-9 og artikel 11, [13a] og 13b, udføres på det tekniske anlæg i Strasbourg, Frankrig.

Der indrettes et backupanlæg, der kan sikre driften af et stort IT-system i tilfælde af et sådant systems svigt, i Sankt Johann im Pongau, Østrig."

2)Artikel 19, stk. 1, foretages følgende ændringer:

a)som litra eeb) indsættes:

"(eeb) vedtage rapporter om status for udviklingen af routeren i henhold til artikel 38, stk. 2, i Europa-Parlamentets og Rådets forordning (EU).../...* [nærværende forordning]"

___________

*    Europa-Parlamentets og Rådets forordning (EU) [nummer] af xy den [officielt vedtaget titel] (EUT L...)"

b)Litra ff) affattes således:

"ff) vedtage rapporter om den tekniske funktion af følgende:

1)SIS i henhold til artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2018/1861* og artikel 74, stk. 8, i Europa-Parlamentets og Rådets forordning (EU) 2018/1862**

2)VIS i henhold til artikel 50, stk. 3, i forordning (EF) nr. 767/2008 og artikel 17, stk. 3, i afgørelse 2008/633/RIA

3)ind- og udrejsesystemet i henhold til artikel 72, stk. 4, i forordning (EU) 2017/2226

4)ETIAS i henhold til artikel 92, stk. 4, i forordning (EU) 2018/1240

5)ECRIS-TCN og ECRIS-referencegennemførelsen i henhold til artikel 36, stk. 8, i forordning (EU) 2019/816

6)interoperabilitetskomponenterne i henhold til artikel 78, stk. 3, i forordning (EU) 2019/817, artikel 74, stk. 3, i forordning (EU) 2019/818 og routeren i henhold til artikel 79, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) .../...* [Prüm II-forordningen] og artikel 38, stk. 5, i Europa-Parlamentets og Rådets forordning (EU).../...* [nærværende forordning]

3)e-CODEX-systemet i henhold til artikel 16, stk. 1, i forordning (EU) 2022/850"

___________

*Europa-Parlamentets og Rådets forordning (EU) 2018/1861 af 28. november 2018 om oprettelse, drift og brug af Schengeninformationssystemet (SIS) på området ind- og udrejsekontrol, om ændring af konventionen om gennemførelse af Schengenaftalen og om ændring og ophævelse af forordning (EF) nr. 1987/2006 (EUT L 312 af 7.12.2018, s. 14).

**Europa-Parlamentets og Rådets forordning (EU) 2018/1862 af 28. november 2018 om oprettelse, drift og brug af Schengeninformationssystemet (SIS) på området politisamarbejde og strafferetligt samarbejde, om ændring og ophævelse af Rådets afgørelse 2007/533/RIA og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 1986/2006 og Kommissionens afgørelse 2010/261/EU ( EUT L 312 af 7.12.2018, s. 56 ).

c) Litra hh) affattes således:

hh) vedtage formelle bemærkninger til dets auditrapporter fra Den Europæiske Tilsynsførende for Databeskyttelse udført i henhold til artikel 56, stk. 2, i forordning (EU) 2018/1861, artikel 42, stk. 2, i forordning (EF) nr. 767/2008, artikel 31, stk. 2, i forordning (EU) nr. 603/2013, artikel 67 i forordning (EU) 2018/1240, artikel 29, stk. 2, i forordning (EU) 2019/816, artikel 52 i forordning (EU) 2019/817 og (EU) 2019/818, artikel 60, stk. 1, i Europa-Parlamentets og Rådets forordning (EU).../...* [Prüm II] og artikel 19, stk. 3, i Europa-Parlamentets og Rådets forordning (EU).../...* [nærværende forordning] og sikre passende opfølgning på disse audits

___________

4)* Europa-Parlamentets og Rådets forordning (EU) [nummer] af xy den [officielt vedtaget titel] (EUT L...)"

Artikel 35

Ændringer af forordning (EU) 2019/817

___________

1)Artikel 39, stk. 1 og 2, affattes således:

"1. Der oprettes et centralt register for rapportering og statistik (CRRS) med henblik på at støtte målene for ind- og udrejsesystemet, VIS, ETIAS og SIS i overensstemmelse med de respektive retlige instrumenter, der regulerer disse systemer, og til at tilvejebringe statistiske oplysninger og analytisk rapportering på tværs af systemerne til politiske, operationelle og datakvalitetsmæssige formål. CRRS støtter også målene i Europa-Parlamentets og Rådets forordning (EU).../...* [nærværende forordning]."

*    Europa-Parlamentets og Rådets forordning (EU) [nummer] af xy den [officielt vedtaget titel] (EUT L...)"

2. eu-LISA opretter, gennemfører og hoster CRRS på sine tekniske anlæg, indeholdende de oplysninger og statistikker, der er omhandlet i artikel 63 i forordning (EU) 2017/2226, artikel 17 i forordning (EF) nr. 767/2008, artikel 84 i forordning (EU) 2018/1240, artikel 60 i forordning (EU) 2018/1861 og artikel 16 i forordning (EU) 2018/1860, der holdes logisk adskilt efter EU-informationssystem. eu-LISA indsamler også data og statistikker fra den router, der er omhandlet i artikel 31, stk. 1, i forordning (EU).../...* [nærværende forordning]. Der gives adgang til CRRS via en kontrolleret og sikret adgang og særlige brugerprofiler, udelukkende med henblik på rapportering og statistikker, til de myndigheder, der er omhandlet i artikel 63 i forordning (EU) 2017/2226, artikel 17 i forordning (EF) nr. 767/2008, artikel 84 i forordning (EU) 2018/1240, artikel 60 i forordning (EU) 2018/1861 og artikel 38, stk. 2, i forordning (EU) .../... [nærværende forordning]."

KAPITEL 8

AFSLUTTENDE BESTEMMELSER

Artikel 36

Udvalgsprocedure

1.Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

2)Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011. Afgiver udvalget ikke nogen udtalelse, vedtager Kommissionen ikke udkastet til gennemførelsesretsakt, og artikel 5, stk. 4, tredje afsnit, i forordning (EU) nr. 182/2011 anvendes.

Artikel 37

Udøvelse af delegerede beføjelser

1.Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2.Beføjelsen til at vedtage delegerede retsakter, jf. artikel 5, stk. 4, artikel 6, stk. 3, artikel 11, stk. 4, artikel 20, stk. 2, og artikel 21, stk. 2, tillægges Kommissionen for en periode på fem år fra [datoen for vedtagelse af forordningen]. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.

3.Den i artikel 5, stk. 4, artikel 6, stk. 3, artikel 11, stk. 4, artikel 20, stk. 2, og artikel 21, stk. 2, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4.Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.

5.Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa-Parlamentet og Rådet meddelelse herom.

Artikel 38

Overvågning og evaluering

1.eu-LISA sikrer, at der er indført procedurer til at overvåge udviklingen af routeren i lyset af planlægnings- og omkostningsmålene og at overvåge routerens funktion i lyset af målene for tekniske resultater, omkostningseffektivitet, sikkerhed og tjenestekvalitet.

2.Senest [et år efter datoen for denne forordnings ikrafttræden] og derefter hvert år i routerens udviklingsfase udarbejder eu-LISA en rapport om status for routerens udvikling og forelægger den for Europa-Parlamentet og Rådet. Denne rapport skal indeholde detaljerede oplysninger om de afholdte omkostninger og om eventuelle risici, der måtte have indvirkning på de samlede omkostninger, som skal afholdes over Unionens almindelige budget i overensstemmelse med artikel 25.

3.Når routeren er sat i drift, udarbejder eu-LISA en rapport og forelægger den for Europa-Parlamentet og Rådet, som i detaljer forklarer, hvordan målene, navnlig vedrørende planlægning og omkostninger, er blevet opfyldt, og angiver grundene til eventuelle afvigelser.

4.Senest [fire år efter datoen for denne forordnings ikrafttræden] og derefter hvert fjerde år udarbejder Kommissionen en rapport med en samlet evaluering af denne forordning, herunder en vurdering af:

a)anvendelsen af denne forordning

b)i hvilket omfang denne forordning har opfyldt sine mål

c)denne forordnings indvirkning på relevante grundlæggende rettigheder, der er beskyttet i henhold til EU-retten

5.Kommissionen forelægger evalueringsrapporten for Europa-Parlamentet, Rådet, Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Agentur for Grundlæggende Rettigheder. Hvis det er relevant, fremsætter Kommissionen på baggrund af den gennemførte evaluering et lovgivningsforslag for Europa-Parlamentet og Rådet med henblik på at ændre denne forordning.

6.Medlemsstaterne og luftfartsselskaberne giver efter anmodning eu-LISA og Kommissionen de oplysninger, der er nødvendige for at udarbejde de rapporter, der er omhandlet i stk. 2, 3 og 4, herunder oplysninger, der ikke udgør personoplysninger, vedrørende resultaterne af den forudgående kontrol af EU-informationssystemer og nationale databaser ved de ydre grænser, med API-oplysninger. Medlemsstaterne kan dog undlade at give sådanne oplysninger, hvis og i det omfang det er nødvendigt for ikke at afsløre fortrolige arbejdsmetoder eller bringe igangværende efterforskninger hos de kompetente grænsemyndigheder i fare. Kommissionen sikrer, at alle fortrolige oplysninger beskyttes på passende vis.

Artikel 39

Ikrafttræden og anvendelsesdato

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den anvendes fra to år efter den dato, hvor routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med artikel 27.

Dog gælder følgende:

a)Artikel 5, stk. 4 og 5, artikel 6, stk. 3, artikel 11, stk. 4, artikel 20, stk. 2, artikel 21, stk. 2, artikel 22, artikel 25, stk. 1, artikel 27, artikel 36 og artikel 37 finder anvendelse fra den [dato for denne forordnings ikrafttræden].

b)Artikel 10, artikel 13, stk. 1, 3 og 4, artikel 15, artikel 16, artikel 17, artikel 23, artikel 24, artikel 26 og artikel 28 finder anvendelse fra den dato, hvor routeren påbegynder driften, som fastsat af Kommissionen i overensstemmelse med artikel 27.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i medlemsstaterne i overensstemmelse med traktaterne.

Udfærdiget i Strasbourg, den […].

FINANSIERINGSOVERSIGT

1.FORSLAGETS/INITIATIVETS RAMME

1.1.Forslagets/initiativets betegnelse

1.2.Berørt(e) politikområde(r)

1.3.Forslagets/initiativet vedrører:

1.4.Mål

1.4.1.Generelt/generelle mål

1.4.2.Specifikt/specifikke mål

1.4.3.Forventet/forventede resultat(er) og virkning(er)

1.4.4.Resultatindikatorer

1.5.Begrundelse for forslaget/initiativet

1.5.1.Behov, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for iværksættelsen af initiativet

1.5.2.Merværdien ved et EU-tiltag (f.eks. som følge af koordineringsfordele, retssikkerhed, større effekt eller komplementaritet). For så vidt angår dette punkt skal der ved "Merværdien ved en indsats fra EU's side" forstås merværdien af EU's intervention i forhold til den værdi, der ellers ville være opnået med medlemsstaternes foranstaltninger på egen hånd.

1.5.3.Erfaringer fra tidligere foranstaltninger af lignende art

1.5.4.Forenelighed med den flerårige finansielle ramme og mulige synergivirkninger med andre relevante instrumenter

1.5.5.Vurdering af de forskellige finansieringsmuligheder, der er til rådighed, herunder muligheden for omfordeling

1.6.Forslagets/initiativets varighed og finansielle virkninger

1.7.Planlagt(e) forvaltningsmetode(r)

2)FORVALTNINGSFORANSTALTNINGER

2.1.Bestemmelser om overvågning og rapportering

2.2.Forvaltnings- og kontrolsystem(er)

2.2.1.Begrundelse for den/de påtænkte forvaltningsmetode(r), finansieringsmekanisme(r), betalingsvilkår og kontrolstrategi

2.2.2.Oplysninger om de konstaterede risici og det/de interne kontrolsystem(er), der etableres for at afbøde dem

2.2.3.Vurdering af og begrundelse for kontrolforanstaltningernes omkostningseffektivitet (forholdet mellem kontrolomkostningerne og værdien af de forvaltede midler) samt vurdering af den forventede risiko for fejl (ved betaling og ved afslutning)

2.3.Foranstaltninger til forebyggelse af svig og uregelmæssigheder

3.FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER

3.1.Berørt(e) udgiftsområde(r) i den flerårige finansielle ramme og udgiftspost(er) på budgettet

3.2.Forslagets anslåede finansielle virkninger for bevillingerne

3.2.1.Sammenfatning af de anslåede virkninger for aktionsbevillingerne

3.2.2.Anslåede resultater finansieret med aktionsbevillinger

3.2.3.Sammenfatning af de anslåede virkninger for administrationsbevillingerne

3.2.4.Forenelighed med indeværende flerårige finansielle ramme

3.2.5.Bidrag fra tredjemand

3.3.Anslåede virkninger for indtægterne

1.FORSLAGETS RAMME

1.1.Forslagenes titel

1.2.Berørt(e) politikområde(r) 

1.3.Forslagets/initiativet vedrører: 

◻ en ny foranstaltning 

◻ en ny foranstaltning som opfølgning på et pilotprojekt/en forberedende foranstaltning 51  

⌧ en forlængelse af en eksisterende foranstaltning 

◻ en sammenlægning eller en omlægning af en eller flere foranstaltninger til en anden/en ny foranstaltning 

1.4.Mål

1.4.1.Generelt/generelle mål

1.4.2Specifikt/specifikke mål

1.4.3Forventet/forventede resultat(er) og virkning(er)

Angiv, hvilke virkninger forslaget/initiativet forventes at få for modtagerne/målgruppen.

1.4.4Resultatindikatorer

Angiv indikatorerne til overvågning af fremskridt og resultater.

–dato for idriftsættelse (som planlægges og rapporteres regelmæssigt af eu-LISA's bestyrelse) (mål T0 + 5 år)

–Andel af luftfartsselskaber, der er tilsluttet den centrale router, og som driver ruter uden for Schengenområdet (mål 100 %)

–Antal nationale grænseforvaltningsmyndigheder, der modtager oplysninger fra den centrale router

–Antal direkte forbindelser mellem luftfartsselskaber og nationale grænseforvaltningsmyndigheder for API (mål 0)

–Forhold: Antal API-datasæt overført direkte til de nationale grænseforvaltningsmyndigheder/antal API-datasæt overført til routeren (mål 0 %)

–Andel af flyvninger, hvor de nationale grænseforvaltningsmyndigheder modtog API-datasæt (mål 100 %)

–Andel af flyvninger, hvor API-datasæt blev modtaget af de nationale grænseforvaltningsmyndigheder mindre end 30 minutter efter afgang (100 %)

–Antal og størrelse af bøder, der er pålagt luftfartsselskaberne for ombordtagning af en rejsende på grundlag af et rejsedokument, hvis maskinlæsbare data ikke er autentiske (mål 0)

–Antal og størrelse af bøder, der pålægges luftfartsselskaber for unøjagtige eller ufuldstændige datasæt (mål 0)

–Antal og størrelse af bøder, der pålægges luftfartsselskaber for manglende datasæt (mål 0)

–Andel af API-datasæt med fuldstændigt identitetsdatasæt (mål 100 %)

–Andel af API-datasæt, der er syntaktisk korrekte (mål 100 %)

–Antal rejsende, der på forhånd er kontrolleret på indgående flyvninger, der er omfattet: (samme antal som antal indrejsende personer)

–Andel af hit, der blev opdaget ved grænsen, og som allerede blev opdaget ved forudgående kontrol af indgående flyvninger, der var omfattet (mål 100 %)

–Andel af luftfartsselskaber, der er tilsluttet grænsefladen for transportvirksomheder/den centrale router, der beflyver ruter inden for EU (mål 100 %)

–Antal passageroplysningsenheder, der er tilsluttet den centrale router (mål 26)

–Antal direkte forbindelser mellem luftfartsselskaber og passageroplysningsenheder for API (mål 0)

–Forhold: Antal API-datasæt overført direkte til passageroplysningsenheden/antal API-datasæt overført til routeren (mål 0 %)

–Andel af modtagne PNR-oplysninger med tilsvarende API-oplysninger (mål 100 %)

–Antal automatiserede match og hit (kun med PNR-oplysninger, kun med API-oplysninger, med både PNR og API)

1.5.Begrundelse for forslaget/initiativet 

1.5.1.Behov, der skal opfyldes på kort eller lang sigt, herunder en detaljeret tidsplan for iværksættelsen af initiativet

–for luftfartsselskaberne: forbindelse og overførsel af API-oplysninger til grænsefladen for transportvirksomheder, systematisk indsamling af oplysninger ved hjælp af automatiserede midler

–for medlemsstaterne: indsamling af API-oplysninger gennem routeren.

1.5.2Merværdien ved et EU-tiltag (f.eks. som følge af koordineringsfordele, retssikkerhed, større effekt eller komplementaritet). For så vidt angår dette punkt skal der ved "Merværdien ved en indsats fra EU's side" forstås merværdien af EU's intervention i forhold til den værdi, der ellers ville være opnået med medlemsstaternes foranstaltninger på egen hånd.

1.5.3Erfaringer fra tidligere foranstaltninger af lignende art

1.5.4Forenelighed med den flerårige finansielle ramme og mulige synergivirkninger med andre relevante instrumenter

1.5.5Vurdering af de forskellige finansieringsmuligheder, der er til rådighed, herunder muligheden for omfordeling

1.6.Forslagets/initiativets varighed og finansielle virkninger

◻ begrænset varighed

–◻    gældende fra [DD/MM]ÅÅÅÅ til [DD/MM]ÅÅÅÅ

–◻    finansielle virkninger fra ÅÅÅÅ til ÅÅÅÅ for forpligtelsesbevillinger og fra ÅÅÅÅ til ÅÅÅÅ for betalingsbevillinger

⌧ ubegrænset varighed

–Iværksættelse med en indkøringsperiode fra 2024 til 2028

–derefter gennemførelse i fuldt omfang fra 2029

1.7.Planlagt(e) forvaltningsmetode(r) 54   

◻ Direkte forvaltning ved Kommissionen

–◻ i dens tjenestegrene, herunder ved dens personale i EU's delegationer

–◻    i forvaltningsorganerne

⌧ Delt forvaltning i samarbejde med medlemsstaterne

⌧ Indirekte forvaltning ved at overlade budgetgennemførelsesopgaver til:

–◻ tredjelande eller organer, som tredjelande har udpeget

–◻ internationale organisationer og deres agenturer (angives nærmere)

–◻ Den Europæiske Investeringsbank og Den Europæiske Investeringsfond

–⌧ de organer, der er omhandlet i finansforordningens artikel 70 og 71

–◻ offentligretlige organer

–◻ privatretlige organer, der har fået overdraget offentlige tjenesteydelsesopgaver, i det omfang de har fået stillet tilstrækkelige finansielle garantier

–◻ privatretlige organer, undergivet lovgivningen i en medlemsstat, som har fået overdraget gennemførelsen af et offentlig-privat partnerskab, og som stiller tilstrækkelige finansielle garantier

–◻ personer, der har fået overdraget gennemførelsen af specifikke aktioner i den fælles udenrigs- og sikkerhedspolitik i henhold til afsnit V i traktaten om Den Europæiske Union, og som er anført i den relevante basisretsakt

–Hvis der angives flere forvaltningsmetoder, gives der en nærmere forklaring i afsnittet "Bemærkninger".

Bemærkninger

2.FORVALTNINGSFORANSTALTNINGER 

2.1.Bestemmelser om overvågning og rapportering 

Angiv hyppighed og betingelser.

2.2.Forvaltnings- og kontrolsystem(er) 

2.2.1.Begrundelse for den/de påtænkte forvaltningsmetode(r), finansieringsmekanisme(r), betalingsvilkår og kontrolstrategi

2.2.2Oplysninger om de konstaterede risici og det/de interne kontrolsystem(er), der etableres for at afbøde dem

2.2.3Vurdering af og begrundelse for kontrolforanstaltningernes omkostningseffektivitet (forholdet mellem kontrolomkostningerne og værdien af de forvaltede midler) samt vurdering af den forventede risiko for fejl (ved betaling og ved afslutning) 

2.3.Foranstaltninger til forebyggelse af svig og uregelmæssigheder 

Angiv eksisterende eller påtænkte forebyggelses- og beskyttelsesforanstaltninger, f.eks. fra strategien til bekæmpelse af svig.

3.FORSLAGETS/INITIATIVETS ANSLÅEDE FINANSIELLE VIRKNINGER 

3.1.Berørt(e) udgiftsområde(r) i den flerårige finansielle ramme og udgiftspost(er) på budgettet 

·Eksisterende budgetposter

I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne.

·Nye budgetposter, som der anmodes om

I samme rækkefølge som udgiftsområderne i den flerårige finansielle ramme og budgetposterne.

3.2.Forslagets anslåede finansielle virkninger for bevillingerne 

3.2.1.Sammenfatning af de anslåede virkninger for aktionsbevillingerne 

–◻    Forslaget/initiativet medfører ikke anvendelse af aktionsbevillinger

–⌧    Forslaget/initiativet medfører anvendelse af aktionsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

Dette afsnit skal udfyldes ved hjælp af arket vedrørende administrative budgetoplysninger, der først skal indføres i bilaget til finansieringsoversigten (bilag V til de interne regler), som uploades til DECIDE med henblik på høring af andre tjenestegrene.

i mio. EUR (tre decimaler)

i mio. EUR (tre decimaler)

3.2.2.Anslåede resultater finansieret med aktionsbevillinger 

Forpligtelsesbevillinger i mio. EUR (tre decimaler)

3.2.3.Anslåede virkninger for eu-LISA's menneskelige ressourcer 

3.2.3.1.Sammendrag 

–◻    Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger

–⌧    Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

Personalebehov (i årsværk):

eu-LISA's personale bør støtte GD HOME's bestræbelser på at udarbejde afledt ret i begyndelsen af 2024, og personalet skal derfor være operationelt så hurtigt som muligt. Ansættelsesprocedurerne indledes fra januar 2024. Der anvendes en faktor på 50 % for to fuldtidsækvivalenter ansat i 2024 og 21 fuldtidsækvivalenter i 2025. Resten af personalet kommer fra omrokering fra andre projekter.

3.2.4Sammenfatning af de anslåede virkninger for administrationsbevillingerne (for GD HOME)

–◻    Forslaget/initiativet medfører ikke anvendelse af administrationsbevillinger

–⌧    Forslaget/initiativet medfører anvendelse af administrationsbevillinger som anført herunder:

i mio. EUR (tre decimaler)

Bevillingerne til menneskelige ressourcer og andre administrationsudgifter vil blive dækket ved hjælp af de bevillinger, som generaldirektoratet allerede har afsat til forvaltning af foranstaltningen, og/eller ved intern omfordeling i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

3.2.4.1.Anslået behov for menneskelige ressourcer (for GD HOME)

–◻    Forslaget/initiativet medfører ikke anvendelse af menneskelige ressourcer

–⌧    Forslaget/initiativet medfører anvendelse af menneskelige ressourcer som anført herunder:

Overslag angives i årsværk

XX angiver det berørte politikområde eller budgetafsnit.

Personalebehovet vil blive dækket ved hjælp af det personale, som generaldirektoratet allerede har afsat til forvaltning af foranstaltningen, og/eller ved interne rokader i generaldirektoratet, eventuelt suppleret med yderligere bevillinger, som tildeles det ansvarlige generaldirektorat i forbindelse med den årlige tildelingsprocedure under hensyntagen til de budgetmæssige begrænsninger.

Opgavebeskrivelse:

3.2.5Forenelighed med indeværende flerårige finansielle ramme 

Forslaget/initiativet:

–⌧    kan finansieres fuldt ud gennem omfordeling inden for det relevante udgiftsområde i den flerårige finansielle ramme (FFR)

–◻    kræver anvendelse af den uudnyttede margen under det relevante udgiftsområde i FFR og/eller anvendelse af særlige instrumenter som fastlagt i FFR-forordningen

–◻    kræver en revision af FFR

3.2.6.Bidrag fra tredjemand 

Forslaget/initiativet:

–⌧    indeholder ikke bestemmelser om samfinansiering med tredjemand

–◻    indeholder bestemmelser om samfinansiering med tredjemand, jf. følgende overslag: