EUROPA-KOMMISSIONEN

Strasbourg, den 13.12.2022

COM(2022) 731 final

2022/0425(COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818

{SWD(2022) 424 final}

BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

•Forslagets begrundelse og formål

I de seneste ti år har EU og andre dele af verden oplevet en stigning i grov og organiseret kriminalitet. Ifølge Europols trusselsvurdering af grov og organiseret kriminalitet (EU Serious and Organised Crime Threat Assessment) indebærer det meste af den organiserede kriminalitet international rejseaktivitet, typisk med henblik på at smugle personer, narkotika eller andre ulovlige varer ind i EU. Bl.a. benytter kriminelle ofte EU's vigtigste lufthavne samt mindre regionale lufthavne, hvor lavprisluftfartsselskaber opererer 1 . Ligeledes viser Europols rapport om situationen og tendenserne med hensyn til terrorisme (EU Terrorism Situation and Trend Report), at terrortruslen i EU fortsat er reel og alvorlig 2 , og påpeger, at de fleste terroraktiviteter rækker ud over landegrænserne og indebærer enten internationale kontakter eller rejseaktivitet uden for EU. I den forbindelse er oplysninger om flyrejsende et vigtigt værktøj for de retshåndhævende myndigheder til bekæmpelse af grov kriminalitet og terrorisme i EU.

Data om flyrejsende omfatter forhåndsinformation om passagerer (API) og passagerlisteoplysninger (PNR), der, når de anvendes sammen, er særligt effektive til at identificere højrisikorejsende og til at afdække mistænkte personers rejsemønster. Når en passager køber en billet hos et luftfartsselskab, genereres en PNR af flyselskabernes reservationssystemer til deres egen forretningsmæssige brug. De omfatter oplysninger om den fuldstændige rejseplan, betalingsoplysninger, kontaktoplysninger og særlige ønsker fra passageren. Hvis der foreligger en forpligtelse dertil, sendes disse PNR-oplysninger til passageroplysningsenheden i bestemmelseslandet og ofte afgangslandet.

I EU blev PNR-direktivet 3 vedtaget i 2016 for at sikre, at alle medlemsstater fastsætter regler for indsamling af PNR-oplysninger fra luftfartsselskaber for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, uden at det berører eksisterende EU-regler om luftfartsselskabers forpligtelse til at indsamle API-oplysninger som fastsat i API-direktivet 4 . I henhold til PNR-direktivet skal medlemsstaterne vedtage alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber videregiver PNR-oplysninger, i det omfang de allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter. PNR-direktivet giver mulighed for fælles behandling af både API-oplysninger og PNR-oplysninger, idet dets definition af PNR-oplysninger omfatter "eventuelt indsamlede forhåndsoplysninger om passagerer (API-oplysninger)" 5 . I henhold til PNR-direktivet er luftfartsselskaberne imidlertid ikke forpligtet til at indsamle oplysninger, der falder uden for deres normale forretningsaktiviteter. PNR-direktivet fører derfor ikke til indsamling af alle API-oplysninger, da indsamling af sådanne oplysninger ikke er nødvendig for luftfartsselskabernes forretningsmæssige brug.

Kun hvis der foreligger en forpligtelse dertil, indsamles API-oplysninger af luftfartsselskabet ved indtjekning af passageren (indtjekning online og i lufthavnen). De sendes derefter til de kompetente grænsekontrolmyndigheder som en komplet "passagerliste" med oplysninger om alle passagerer om bord ved flyets afgang. Mens API-oplysninger betragtes som "verificerede" oplysninger, da de vedrører rejsende, der i sidste ende gik om bord på flyet, og desuden kan benyttes af de retshåndhævende myndigheder til at identificere mistænkte og eftersøgte personer, er PNR-oplysninger "uverificerede" oplysninger, som passagererne fremlægger. PNR-oplysningerne om en bestemt passager indeholder normalt ikke alle eventuelle PNR-elementer, men kun dem, som passageren har fremlagt, og/eller som er nødvendige for reservationen og derfor som led i luftfartsselskabets normale forretningsaktiviteter.

Siden vedtagelsen af API-direktivet i 2004 har der været global konsensus om, at API-oplysninger ikke kun er et vigtigt redskab til grænseforvaltning, men også et vigtigt redskab med hensyn til retshåndhævelse, navnlig bekæmpelse af grov kriminalitet og terrorisme. På internationalt plan har FN's Sikkerhedsråds resolutioner således siden 2014 gentagne gange opfordret til oprettelse og global indførelse af API- og PNR-systemer med henblik på retshåndhævelse 6 . Desuden bekræfter forpligtelsen blandt de deltagende stater i Organisationen for Sikkerhed og Samarbejde i Europa (OSCE) til at oprette API-systemer, hvor vigtigt det er at kunne anvende disse oplysninger i forbindelse med bekæmpelse af terrorisme og grænseoverskridende kriminalitet.  7

Som det fremgår af Kommissionens rapport om revision af PNR-direktivet, gør de kompetente retshåndhævende myndigheders fælles behandling af API- og PNR-oplysninger — dvs. at de PNR-oplysninger, der indsamles af luftfartsselskaber som led i deres normale forretningsaktiviteter og videregives til de kompetente retshåndhævende myndigheder, suppleres med en forpligtelse for luftfartsselskaberne til at indsamle og videregive API-oplysninger — bekæmpelsen af grov kriminalitet og terrorisme i EU langt mere effektiv 8 . Den kombinerede anvendelse af API- og PNR-oplysninger gør det muligt for de kompetente nationale myndigheder at bekræfte passagerernes identitet og forbedrer PNR-oplysningernes pålidelighed betydeligt. En sådan kombineret anvendelse forud for en passagers ankomst gør det også muligt for de retshåndhævende myndigheder at foretage en vurdering og en nærmere kontrol udelukkende af de personer, som det på grundlag af objektive vurderingskriterier og tidligere erfaringer og i overensstemmelse med gældende lovgivning er mest sandsynligt udgør en trussel mod sikkerheden. Det gør det lettere for alle andre passagerer at rejse og mindsker risikoen for, at passagerer ved indrejse kontrolleres af de kompetente myndigheder på grundlag af ulovlige kriterier såsom race eller etnisk oprindelse, som de retshåndhævende myndigheder på fejlagtig vis kan associere med sikkerhedsrisici.

EU's nuværende retlige ramme regulerer imidlertid kun anvendelsen af PNR-oplysninger til bekæmpelse af grov kriminalitet og terrorisme, men regulerer ikke specifikt API-oplysninger, som der kun kan anmodes om for flyvninger fra tredjelande, hvilket fører til huller i sikkerheden, navnlig for så vidt angår flyvninger inden for EU, som medlemsstaterne anmoder luftfartsselskaber om at videregive PNR-oplysninger om. Passageroplysningsenhederne opnår de mest effektive operationelle resultater på flyvninger, hvor der indsamles både API- og PNR-oplysninger. Det betyder, at de kompetente retshåndhævende myndigheder ikke kan drage fordel af resultaterne af den fælles behandling af API- og PNR-oplysninger om flyvninger inden for EU, hvor kun PNR-oplysninger videregives.

For at lukke dette hul blev der i Kommissionens strategi for et fuldt fungerende og robust Schengenområde fra juni 2021 opfordret til, at der i højere grad gøres brug af API-oplysninger i kombination med PNR-oplysninger for flyvninger inden for Schengenområdet for at forbedre den indre sikkerhed væsentligt, under overholdelse af den grundlæggende ret til beskyttelse af personoplysninger og den grundlæggende ret til fri bevægelighed 9 .

Formålet med forslaget til forordning er derfor at fastsætte bedre regler for luftfartsselskabers indsamling og videregivelse af API-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. For at sikre overensstemmelse med de relevante grundlæggende rettigheder, der er nedfældet i EU's charter om grundlæggende rettigheder ("chartret"), navnlig retten til privatlivets fred og til beskyttelse af personoplysninger og de deraf følgende krav om nødvendighed og proportionalitet, er forslaget, som nærmere forklaret nedenfor, nøje begrænset med hensyn til anvendelsesområde og indeholder strenge begrænsninger og garantier for beskyttelse af personoplysninger.

•Sammenhæng med de gældende regler på samme område

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

•Retsgrundlag

Det relevante retsgrundlag for dette forslag til en forordning om indsamling og videregivelse af API-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, er, under henvisning til dens mål og foranstaltningerne deri, artikel 82, stk. 1, litra d), og artikel 87, stk. 2, litra a), i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

I henhold til artikel 82, stk. 1, litra d), i TEUF har Unionen kompetence til at vedtage foranstaltninger for at fremme samarbejdet mellem retsmyndigheder eller tilsvarende myndigheder i medlemsstaterne i forbindelse med strafforfølgning og fuldbyrdelse af afgørelser. I henhold til artikel 87, stk. 2, litra a), i TEUF har Unionen kompetence til at vedtage foranstaltninger om indsamling, lagring, behandling, analyse og udveksling af relevante oplysninger med henblik på politisamarbejde i EU.

Derfor er det retsgrundlag, der finder anvendelse på dette forslag, det samme som det, der finder anvendelse for PNR-direktivet, hvilket er relevant i betragtning af, at forslaget til forordning både forfølger stort set det samme mål og sigter mod at supplere PNR-direktivet.

•Nærhedsprincippet

De retshåndhævende myndigheder skal have effektive redskaber til at bekæmpe terrorisme og grov kriminalitet. Da de fleste grove forbrydelser og terrorhandlinger involverer international rejseaktivitet, ofte med fly, har PNR-oplysninger vist sig at være meget effektive til at beskytte EU's interne sikkerhed. Desuden afhænger de efterforskninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, som medlemsstaternes myndigheder foretager, i høj grad af det internationale samarbejde på tværs af grænserne.

I et område uden kontrol ved de indre grænser, er medlemsstaternes indsamling, behandling og udveksling af passageroplysninger, herunder PNR- og API-oplysninger, også effektive kompensationsforanstaltninger. Ved at sikre, at der sker en sammenhængende indsats på EU-plan, vil forslaget bidrage til at øge sikkerheden i EU-medlemsstaterne og dermed i EU som helhed.

API-direktivet er en del af Schengenreglerne vedrørende passage af de ydre grænser. Det regulerer derfor ikke indsamlingen og videregivelsen af API-oplysninger om flyvninger inden for EU. Da der ikke findes API-oplysninger til at supplere PNR-oplysningerne med hensyn til disse flyvninger, har medlemsstaterne gennemført en lang række forskellige foranstaltninger, der tager sigte på at kompensere for manglende oplysninger om passagerernes identitet. Dette omfatter fysiske kontroller med henblik på at kontrollere, at der er overensstemmelse mellem identitetsoplysningerne i rejsedokumentet og på boardingkortet, hvilket skaber nye problemstillinger uden at løse det underliggende problem ved ikke at have API-oplysninger.

En indsats på EU-plan vil hjælpe med at sikre harmoniseringen af bestemmelserne om at garantere grundlæggende rettigheder, navnlig beskyttelse af personoplysninger, i medlemsstaterne. De forskellige systemer i de medlemsstater, der allerede har oprettet lignende mekanismer, eller som vil gøre det fremover, kan have negative følger for luftfartsselskaberne, da de skal overholde divergerende nationale krav, f.eks. vedrørende de typer oplysninger, der skal videregives, og betingelserne for, hvornår disse oplysninger skal forelægges for medlemsstaterne. Disse forskelle skader også det effektive samarbejde mellem medlemsstaterne med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. Sådanne harmoniserede regler kan kun fastsættes på EU-plan.

Målene for dette direktiv kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne og kan bedre nås på EU-plan; det kan derfor konkluderes, at EU er både berettiget til og bedre i stand til at handle end medlemsstaterne enkeltvis. Forslaget er derfor i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union.

•Proportionalitetsprincippet

I henhold til proportionalitetsprincippet, som er fastsat i artikel 5, stk. 4, i TEU, er der behov for at afpasse arten og intensiteten af en given foranstaltning efter det konstaterede problem. Alle de problemer, der behandles i dette lovgivningsinitiativ, kræver på den ene eller anden måde lovgivningsmæssige foranstaltninger på EU-plan, for at medlemsstaterne kan håndtere dem effektivt.

De foreslåede regler for indsamling og videregivelse af API-oplysninger, som er omfattet af strenge begrænsninger og garantier, vil styrke forebyggelsen, opdagelsen, efterforskningen og retsforfølgningen af terrorhandlinger og grov kriminalitet. Derfor svarer de foreslåede regler til et identificeret behov for at forbedre den indre sikkerhed og effektivt afhjælpe problemet, der skyldes, at API- og PNR-oplysninger ikke behandles i fællesskab, herunder om de flyvninger inden for EU, som medlemsstaterne modtager PNR-oplysninger om.

•Valg af retsakt

Den foreslåede foranstaltning er en forordning. I betragtning af behovet for at de foreslåede foranstaltninger skal være direkte anvendelige og anvendes ens i alle medlemsstater, er en forordning derfor et hensigtsmæssigt valg af retsakt.

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

•Efterfølgende evaluering af eksisterende lovgivning

API-direktivet er ikke til hinder for behandling af API-oplysninger med henblik på retshåndhævelse som omhandlet i national lovgivning og i overensstemmelse med kravene om beskyttelse af personoplysninger. Denne mulighed er imidlertid problematisk at gennemføre på tværs af medlemsstaterne, hvilket fremgår af evalueringen af API-direktivet, idet det fører til huller i sikkerheden på grund af manglende fastsættelse af kriterier i EU for indsamling og videregivelse af API-oplysninger med henblik på retshåndhævelse 17 :

–Retshåndhævelsesformålet fortolkes bredt i nogle medlemsstaters nationale lovgivning og omfatter alt fra administrative overtrædelser, forbedring af den indre sikkerhed og den offentlige orden til bekæmpelse af terrorisme og beskyttelse af nationale sikkerhedsinteresser. Evalueringen af API-direktivet viste også, at en effektiv brug af API-oplysninger til retshåndhævelse ville kræve en specifik retsakt til dette særlige formål 18 .

–De forskellige formål med at indsamle API-oplysninger gør det mere kompliceret at sikre overholdelse af EU's ramme for beskyttelse af personoplysninger. Kravet om sletning af API-oplysninger inden for 24 timer er kun fastsat i tilfælde af, at API-oplysninger anvendes til hovedformålet i API-direktivet, nemlig forvaltning af de ydre grænser. Det er ikke klart, om dette krav også gælder for behandling, der foretages med henblik på retshåndhævelse.

–De API-oplysninger, som luftfartsselskaberne kan anmode om med henblik på retshåndhævelse, ud over nogle medlemsstaters praksis med at anmode om API-oplysninger, der rækker ud over den ikke-udtømmende liste i API-direktivet, skaber yderligere hindringer for luftfartsselskaberne med hensyn til at overholde de forskellige krav, når de transporterer passagerer til EU.

–På samme måde indeholder API-direktivet ikke nogen bestemmelser om, for hvilke flyvninger der kan anmodes om API-oplysninger, eller til hvilken myndighed API-oplysninger skal videregives, eller om betingelserne for adgang til sådanne oplysninger med henblik på retshåndhævelse.

•Høringer af interesserede parter

Ved udarbejdelsen af dette forslag hørtes en lang række berørte interessenter, herunder medlemsstaternes myndigheder (de kompetente grænsekontrolmyndigheder og passageroplysningsenhederne), repræsentanter for luftfartsindustrien samt individuelle luftfartsselskaber. EU-agenturer — såsom Det Europæiske Agentur for Grænse- og Kystbevogtning (Frontex), Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol), Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) og EU's Agentur for Grundlæggende Rettigheder (FRA) — gav også input. Dette initiativ integrerer også de synspunkter og den feedback, der blev modtaget under den offentlige høring, som blev gennemført ved udgangen af 2019 inden for rammerne af evalueringen af API-direktivet 19 .

Høringsaktiviteter i forbindelse med udarbejdelsen af den konsekvensanalyse, der ligger til grund for dette forslag, indsamlede feedback fra interessenter ved hjælp af forskellige metoder. Disse aktiviteter omfattede bl.a. en indledende konsekvensanalyse, en ekstern understøttende undersøgelse og en række tekniske workshopper.

En indledende konsekvensanalyse blev offentliggjort og var åben for feedback fra den 5. juni 2020 til den 14. august 2020, og der blev modtaget i alt syv bidrag med feedback om udvidelsen af anvendelsesområdet for det fremtidige API-direktiv, datakvalitet, sanktioner, sammenhæng mellem API-oplysninger og PNR-oplysninger samt beskyttelse af personoplysninger 20 .

Den eksterne understøttende undersøgelse blev foretaget på baggrund af skrivebordsundersøgelser, interview med og undersøgelser af fageksperter, der undersøgte forskellige mulige foranstaltninger til behandling af API-oplysninger med klare regler, der letter lovlig rejseaktivitet og er i overensstemmelse med interoperabiliteten mellem EU's informationssystemer, EU's krav til beskyttelse af personoplysninger og andre eksisterende EU-instrumenter og internationale standarder.

Kommissionens tjenestegrene afholdt også en række tekniske workshopper med eksperter fra medlemsstaterne og de associerede Schengenlande. Disse workshopper havde til formål at samle eksperter til udveksling af synspunkter om de mulige løsninger, der var planlagt for at styrke den fremtidige API-ramme for grænseforvaltning samt for at bekæmpe kriminalitet og terrorisme.

Den ledsagende konsekvensanalyse indeholder en mere detaljeret beskrivelse af høringen af interessenter (bilag 2).

•Konsekvensanalyse

På baggrund af konklusionerne i konsekvensanalyserapporten omfatter den foretrukne løsning til en API-retsakt med henblik på retshåndhævelse indsamling af API-oplysninger om alle flyvninger til og uden for EU samt om udvalgte flyvninger inden for EU, hvorom PNR-oplysninger videregives. Dette vil styrke robustheden af den nødvendige analyse af relevante data vedrørende flyrejsende betydeligt i bekæmpelsen af grov kriminalitet og terrorisme, idet passageroplysningsenhederne kan drage fordel af API-oplysninger, der er verificeret og dermed af højere kvalitet, med henblik på at identificere personer, der er involveret i grov kriminalitet eller terrorisme. Indsamling og videregivelse af API-oplysninger med henblik på retshåndhævelse bygger på de muligheder, der er udviklet til videregivelse af API-oplysninger via routeren til forvaltning af de ydre grænser, uden yderligere omkostninger for eu-LISA. Luftfartsselskaberne videregiver kun API-oplysninger til routeren, som herefter sender disse data til hver af de berørte medlemsstaters passageroplysningsenheder. I konsekvensanalysen konkluderes det, at dette er en omkostningseffektiv løsning for luftfartsselskaberne, idet en del af luftfartsselskabernes omkostninger til videregivelse reduceres, samtidig med at risikoen for fejl og misbrug begrænses. I modsætning til den nuværende situation vil luftfartsselskaberne dog i henhold til forslaget til forordning skulle indsamle og videregive API-oplysninger om alle de flyvninger, der er omfattet, uanset deres behov for normale forretningsaktiviteter, herunder også flyvninger uden for EU. Forslaget er i overensstemmelse med målet om klimaneutralitet, der er fastsat i den europæiske klimalov 21 samt Unionens mål for 2030 og 2040.

•Grundlæggende rettigheder

I henhold til denne forordning kan indsamling og videregivelse af API-oplysninger kun ske med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet som defineret i PNR-direktivet. Bestemmelserne i dette forslag fastsætter ensartede kriterier for indsamlingen og videregivelsen af API-oplysninger om flyvninger uden for EU (ind- og udgående) på den ene side og udvalgte flyvninger inden for EU på den anden side på baggrund af en vurdering, der foretages af medlemsstaterne og revideres regelmæssigt, i overensstemmelse med de af Domstolen fastsatte krav i sagen Ligue des droits humains. Luftfartsselskabernes forpligtelse til at indsamle og videregive API-oplysninger til routeren omfatter alle flyvninger inden for EU. Overførslen fra routeren til passageroplysningsenhederne er en teknisk løsning, der har til formål at begrænse videregivelsen af API-oplysninger til passageroplysningsenhederne til kun at omfatte udvalgte flyvninger uden at videregive fortrolige oplysninger om, hvilke flyvninger inden for EU der er udvalgt. Sådanne oplysninger skal behandles fortroligt i betragtning af risikoen for omgåelse, hvis de gøres kendt for offentligheden eller, mere specifikt, for personer, der er involveret i grov kriminalitet eller terrorhandlinger.

4.VIRKNINGER FOR BUDGETTET

Dette lovgivningsmæssige initiativ om indsamling og videregivelse af API-oplysninger for at lette kontrollen ved de ydre grænser og for at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet vil have indflydelse på budgettet og behovet for personale hos eu-LISA og medlemsstaternes kompetente myndigheder.

For eu-LISA anslås det, at der vil være behov for et yderligere budget på ca. 45 mio. EUR (33 mio. EUR i henhold til den nuværende FFR) til etablering af routeren og 9 mio. EUR om året fra 2029 for den tekniske forvaltning heraf, og at der vil være brug for omkring 27 ekstra stillinger for at sikre, at eu-LISA har de nødvendige ressourcer til at varetage sine opgaver, som omhandlet i dette forslag til forordning og i forslaget til forordning om indsamling og videregivelse af API-oplysninger for at lette kontrollen ved de ydre grænser.

For så vidt angår medlemsstaterne anslås det, at passageroplysningsenhederne kan være berettiget til en godtgørelse på 11 mio. EUR (3 mio. EUR i henhold til den nuværende flerårige finansielle ramme), som er afsat til opgradering af de nødvendige nationale systemer og infrastrukturer, fra Fonden for Intern Sikkerhed 25 , og fra 2028 og frem, gradvist op til ca. 2 mio. EUR om året. Enhver sådan ret skal i sidste ende fastsættes i overensstemmelse med reglerne vedrørende disse midler, samt reglerne om omkostninger, som er indeholdt i forslaget til forordning.

I betragtning af sammenhængen mellem dette forslag til forordning og forslaget til forordning om indsamling og videregivelse af API-oplysninger for at lette kontrollen ved de ydre grænser, navnlig for så vidt angår videregivelse af API-oplysninger til routeren, er finansieringsoversigten til forslaget i bilaget til dette forslag identisk med begge forslag.

5.ANDRE FORHOLD

•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

Kommissionen vil sikre, at der træffes de nødvendige foranstaltninger til at overvåge, hvordan de foreslåede foranstaltninger fungerer, og evaluere dem i forhold til de vigtigste politiske mål. Fire år efter den foreslåede API-forordnings ikrafttrædelse, og hvert fjerde år derefter, forelægger Kommissionen Europa-Parlamentet og Rådet en rapport om vurdering af gennemførelsen af forordningen og dens merværdi. I rapporten skal der også redegøres for enhver direkte eller indirekte indvirkning på de grundlæggende rettigheder. Den vil gennemgå de opnåede resultater set i forhold til målene og vurdere de grundlæggende princippers fortsatte gyldighed og eventuelle konsekvenser for fremtidige muligheder.

Den obligatoriske karakter af luftfartsselskabernes forpligtelse til at indsamle API-oplysninger om flyvninger uden for EU og udvalgte flyvninger inden for EU og indførelsen af API-routeren vil give et klarere overblik over både luftfartsselskabernes videregivelse af API-oplysninger og medlemsstaternes brug af API-oplysninger i overensstemmelse med gældende national lovgivning og EU-lovgivning. Dette vil støtte Kommissionen i sin evaluerings- og håndhævelsesopgave ved at tilvejebringe pålidelige statistikker over mængden af oplysninger, der videregives og om de flyvninger, for hvilke der anmodes om API-oplysninger.

•Nærmere redegørelse for de enkelte bestemmelser i forslaget

Kapitel 1 indeholder de almindelige bestemmelser for denne forordning med udgangspunkt i reglerne for dens genstand og anvendelsesområde. Det indeholder også en liste over definitioner.

Kapitel 2 indeholder bestemmelser om luftfartsselskabers indsamling, overførsel til routeren og sletning af API-oplysninger samt regler for overførsel af API-oplysninger fra routeren til passageroplysningsenhederne.

Kapitel 3 indeholder specifikke bestemmelser om logfiler, specifikationer for, hvem der er dataansvarlige i forbindelse med behandling af API-oplysninger, der udgør personoplysninger i henhold til denne forordning, sikkerhed og luftfartsselskabernes og passageroplysningsenhedernes egenkontrol.

Kapitel 4 indeholder endvidere regler om passageroplysningsenhedernes og luftfartsselskabernes forbindelse og integration med routeren samt om medlemsstaternes omkostninger i forbindelse hermed. Den indeholder også bestemmelser i forhold til en situation, hvor det er delvist eller helt teknisk umuligt at anvende routeren og om erstatningsansvar for skader på routeren.

Kapitel 5 indeholder bestemmelser om tilsyn, om eventuelle sanktioner i tilfælde af, at luftfartsselskaberne ikke overholder deres forpligtelser i henhold til denne forordning, og bestemmelser vedrørende Kommissionens udarbejdelse af en praktisk vejledning.

Kapitel 6 indeholder ændringer af andre eksisterende instrumenter, dvs. forordning (EU) 2019/818.

Kapitel 7 indeholder de endelige bestemmelser i denne forordning om vedtagelse af delegerede retsakter, overvågning og evaluering af denne forordning samt dens ikrafttræden og anvendelse.

2022/0425 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

om indsamling og videregivelse af forhåndsinformation om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 82, stk. 1, litra d), og artikel 87, stk. 2, litra a),

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 26 ,

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

(1)Den internationale dimension af grov og organiseret kriminalitet og den fortsatte trussel om terrorangreb på europæisk jord kræver en indsats på EU-plan for at sikre, at der vedtages passende sikkerhedsforanstaltninger, der giver borgerne et område med frihed, sikkerhed og retfærdighed uden indre grænser. Oplysninger om flyrejsende, såsom passagerlister (PNR) og især forhåndsinformation om passagerer (API), er afgørende for at identificere højrisikorejsende, herunder dem, der ellers ikke er kendt af de retshåndhævende myndigheder, og for at etablere forbindelser mellem medlemmer af kriminelle grupper og bekæmpe terrorhandlinger.

(2)Selv om Rådets direktiv 2004/82/EF 27 udgør en retlig ramme for luftfartsselskabers indsamling og videregivelse af API-oplysninger med henblik på at forbedre grænsekontrollen og bekæmpe ulovlig indvandring, fastslår det også, at medlemsstaterne kan bruge API-oplysninger til retshåndhævelse. Men skabes der kun en mulighed, kan det fører til flere huller og mangler. Det betyder navnlig, at API-oplysninger ikke i alle tilfælde indsamles og videregives af luftfartsselskaber til disse formål, selv om de er relevante til retshåndhævelsesformål. Det betyder også, at luftfartsselskaberne, i de tilfælde hvor medlemsstaterne har benyttet muligheden, står over for divergerende krav i henhold til national ret med hensyn til, hvornår og hvordan de skal indsamle og videregive API-oplysninger til dette formål. Disse forskelle fører ikke blot til unødige omkostninger og komplikationer for luftfartsselskaberne, men de er også skadelige for Unionens indre sikkerhed og for et effektivt samarbejde mellem medlemsstaternes kompetente retshåndhævende myndigheder. I betragtning af de forskellige formål med at lette grænsekontrollen og retshåndhævelsen bør der desuden fastsættes en særskilt retlig ramme for indsamling og videregivelse af API-oplysninger til hvert af disse formål.

(3)Ved Europa-Parlamentets og Rådets direktiv (EU) 2016/681 28 fastsættes regler om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. I henhold til nævnte direktiv skal medlemsstaterne vedtage alle nødvendige foranstaltninger for at sikre, at luftfartsselskaber videregiver PNR-oplysninger, herunder alle indsamlede API-oplysninger, til den nationale passageroplysningsenhed, som er oprettet i henhold til nævnte direktiv, i det omfang de allerede har indsamlet disse oplysninger som led i deres normale forretningsaktiviteter. Direktivet sikrer derfor ikke indsamling og videregivelse af API-oplysninger i alle tilfælde, da indsamling af alle disse oplysninger ikke er nødvendig for luftfartsselskabernes forretningsmæssige brug. Det er vigtigt at sikre, at passageroplysningsenhederne modtager API-oplysninger sammen med PNR-oplysninger, da det er nødvendigt at behandle i fællesskab, hvis medlemsstaternes kompetente retshåndhævende myndigheder effektivt skal kunne forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet. En sådan fælles behandling giver navnlig mulighed for nøjagtig identifikation af de passagerer, der eventuelt skal undersøges yderligere af disse myndigheder i overensstemmelse med gældende ret. Desuden redegøres der i nævnte direktiv ikke nærmere for, hvilke oplysninger der udgør API-oplysninger. Der bør af disse årsager derfor fastsættes supplerende regler med krav om, at luftfartsselskaber indsamler og efterfølgende videregiver et specifikt defineret sæt API-oplysninger, og disse krav bør finde anvendelse i det omfang luftfartsselskaberne i henhold til nævnte direktiv er forpligtet til at indsamle og videregive PNR-oplysninger om samme flyvning.

(4)Det er derfor nødvendigt på EU-plan at fastsætte klare, harmoniserede og effektive regler for indsamling og videregivelse af API-oplysninger med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet.

(5)I betragtning af den tætte sammenhæng mellem de to retsakter bør denne forordning forstås som et supplement til reglerne i direktiv (EU) 2016/681. API-oplysninger skal derfor indsamles og videregives i overensstemmelse med de specifikke krav i denne forordning, herunder med hensyn til de situationer og den måde, hvorpå dette skal ske. Bestemmelserne i nævnte direktiv finder dog anvendelse for så vidt angår spørgsmål, der ikke specifikt er omfattet af denne forordning, navnlig reglerne om den efterfølgende behandling af API-oplysninger, som passageroplysningsenhederne modtager, udveksling af oplysninger mellem medlemsstaterne, betingelserne for adgang for Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol), overførsel af personoplysninger til tredjelande, opbevaring og anonymisering samt beskyttelse af personoplysninger. I det omfang disse regler finder anvendelse, finder bestemmelserne i nævnte direktiv om sanktioner og de nationale tilsynsmyndigheder også anvendelse. Denne forordning bør ikke berøre disse regler.

(6)Indsamlingen og videregivelsen af API-oplysninger påvirker enkeltpersoners privatliv og indebærer behandling af personoplysninger. For fuldt ud at respektere de grundlæggende rettigheder, navnlig retten til respekt for privatlivet og retten til beskyttelse af personoplysninger, i overensstemmelse med Den Europæiske Unions charter om grundlæggende rettigheder ("chartret"), bør der fastsættes passende begrænsninger og garantier. I særdeleshed bør enhver behandling af API-oplysninger, navnlig API-oplysninger, der udgør personoplysninger, forblive begrænset til, hvad der er nødvendigt for og står i rimeligt forhold til at nå de mål, der forfølges med denne forordning. Det bør endvidere sikres, at de API-oplysninger, der indsamles og videregives i henhold til denne forordning, ikke fører til nogen form for forskelsbehandling, der er udelukket af chartret.

(7)I betragtning af komplementariteten mellem denne forordning og direktiv (EU) 2016/681 bør luftfartsselskabernes forpligtelser i henhold til denne forordning finde anvendelse på alle flyvninger, for hvilke medlemsstaterne skal stille krav om, at luftfartsselskaberne videregiver PNR-oplysninger i henhold til direktiv (EU) 2016/681, f.eks. flyvninger, herunder både ruteflyvninger og ikkeruteflyvninger, både mellem medlemsstater og tredjelande (flyvninger uden for EU) og mellem flere medlemsstater (flyvninger inden for EU), i det omfang disse flyvninger er udvalgt i overensstemmelse med direktiv (EU) 2016/681, uanset hvor de luftfartsselskaber, der foretager disse flyvninger, har hjemsted.

(8)Da direktiv (EU) 2016/681 derfor ikke omfatter indenrigsflyvninger, dvs. flyvninger med afrejse fra og ankomst til samme medlemsstats område uden mellemlanding i en anden medlemsstats eller et tredjelands område, og i betragtning af den internationale dimension af de terrorhandlinger og den grove kriminalitet, der er omfattet af denne forordning, bør sådanne flyvninger heller ikke være omfattet af denne forordning. Denne forordning bør ikke forstås således, at den berører medlemsstaternes mulighed for i henhold til deres nationale ret og i overensstemmelse med EU-retten at fastsætte forpligtelser for luftfartsselskaber om at indsamle og videregive API-oplysninger om sådanne indenrigsflyvninger.

(9)I betragtning af den tætte sammenhæng mellem de berørte EU-retsakter og af hensyn til konsekvensen og sammenhængen bør definitionerne i denne forordning i videst muligt omfang bringes i overensstemmelse med og fortolkes og anvendes i lyset af definitionerne i direktiv (EU) 2016/681 og forordning (EU) [API-oplysninger til grænseforvaltning] 29 .

(10)De oplysninger, der sammen udgør API-oplysninger, som skal indsamles og efterfølgende videregives i henhold til denne forordning, bør navnlig være de oplysninger, der klart og udtømmende er anført i forordning (EU) [API-oplysninger til grænseforvaltning], og som omfatter både oplysninger om hver enkelt passager og oplysninger om den pågældende rejsendes flyvning. I henhold til denne forordning bør sådanne oplysninger om flyvninger kun omfatte oplysninger om det grænseovergangsted, der vil blive benyttet med henblik på indrejse på den pågældende medlemsstats område, når det er relevant, dvs. ikke når API-oplysningerne vedrører flyvninger inden for EU.

(11)For så vidt muligt at sikre en konsekvent tilgang til luftfartsselskabernes indsamling og videregivelse af API-oplysninger, bør reglerne i denne forordning bringes i overensstemmelse med dem, der er fastsat i forordning (EU) [API-oplysninger til grænseforvaltning], hvis det er relevant. Dette vedrører navnlig reglerne om datakvalitet, luftfartsselskabernes brug af automatisk behandling til sådan indsamling, den præcise måde, hvorpå de skal overføre de indsamlede API-oplysninger til routeren, og sletningen af API-oplysninger.

(12)For at sikre fælles behandling af API-oplysninger og PNR-oplysninger med henblik på effektivt at bekæmpe terrorisme og grov kriminalitet i Unionen og samtidig minimere indgreb i passagerernes grundlæggende rettigheder, der er beskyttet i henhold til chartret, bør passageroplysningsenhederne være de kompetente myndigheder i medlemsstaterne, der har til opgave at modtage og efterfølgende behandle og beskytte API-oplysninger, der indsamles og videregives i henhold til denne forordning. Af hensyn til effektiviteten og for at minimere eventuelle sikkerhedsrisici bør routeren, som den er designet, udviklet, hostet og teknisk vedligeholdt af Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) i henhold til forordning (EU) [API-oplysninger til grænseforvaltning], overføre de API-oplysninger, som luftfartsselskaberne har indsamlet og videregivet i overensstemmelse med denne forordning, til de relevante passageroplysningsenheder. I betragtning af det nødvendige beskyttelsesniveau for API-oplysninger, der udgør personoplysninger, herunder for at sikre at de pågældende oplysninger behandles fortroligt, bør API-oplysningerne overføres fra routeren til de relevante passageroplysningsenheder på en automatiseret måde.

(13)Med hensyn til flyvninger uden for EU bør passageroplysningsenheden i den medlemsstat, på hvis område landingen er planlagt, og/eller fra hvis område afgangen vil foregå, modtage API-oplysninger fra routeren for alle disse flyvninger, da disse PNR-oplysninger indsamles for alle disse flyvninger i overensstemmelse med direktiv (EU) 2016/681. Routeren bør identificere flyvningen og de tilsvarende passageroplysningsenheder ved hjælp af PNR-nummeret, et dataelement, der er fælles for både API- og PNR-oplysninger, og som gør det muligt for passageroplysningsenhederne at behandle API- og PNR-oplysninger i fællesskab.

(14)For så vidt angår flyvninger inden for EU bør der i overensstemmelse med Den Europæiske Unions Domstols retspraksis anvendes en selektiv fremgangsmåde for at undgå unødige indgreb i de relevante grundlæggende rettigheder, der er beskyttet i henhold til chartret, og for at sikre overholdelse af kravene i EU-retten om fri bevægelighed for personer og ophævelse af kontrollen ved de indre grænser. Grundet betydningen af at sikre, at API-oplysninger kan behandles sammen med PNR-oplysninger, bør denne fremgangsmåde bringes i overensstemmelse med direktiv (EU) 2016/681. Af disse grunde bør API-oplysninger om disse flyvninger kun overføres fra routeren til de relevante passageroplysningsenheder, hvis medlemsstaterne har udvalgt de pågældende flyvninger i henhold til artikel 2 i direktiv (EU) 2016/681. Som anført af EU-Domstolen indebærer udvælgelsen, at medlemsstaterne kun målretter de pågældende forpligtelser mod bl.a. visse ruter, rejsemønstre eller lufthavne, forudsat at udvælgelsen regelmæssigt revideres.

(15)For at gøre det muligt at anvende denne selektive fremgangsmåde i henhold til denne forordning for så vidt angår flyvninger inden for EU bør medlemsstaterne være forpligtet til at udarbejde og forelægge eu-LISA lister over de flyvninger, de har udvalgt, således at eu-LISA kan sikre, at API-oplysninger vedrørende disse flyvninger alene overføres fra routeren til de relevante passageroplysningsenheder, og at API-oplysninger om øvrige flyvninger inden for EU bliver slettet omgående og permanent.

(16)For ikke at bringe effektiviteten af det system, der bygger på indsamling og videregivelse af API-oplysninger, og som oprettes ved denne forordning, og af PNR-oplysninger i henhold til det system, der er indført ved direktiv (EU) 2016/681, med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, i fare, navnlig ved at skabe risiko for omgåelse, bør oplysninger om, hvilke flyvninger inden for EU medlemsstaterne har udvalgt, behandles fortroligt. Af den grund bør sådanne oplysninger ikke deles med luftfartsselskaberne, og de bør derfor være forpligtet til at indsamle API-oplysninger om alle flyvninger, der er omfattet af denne forordning, herunder alle flyvninger inden for EU, og derefter overføre dem til routeren, hvor den nødvendige udvælgelse bør foretages. Ved at indsamle API-oplysninger om alle flyvninger inden for EU bliver passagererne desuden ikke gjort opmærksomme på, hvilke udvalgte API-oplysninger om flyvninger inden for EU, og dermed også PNR-oplysninger, der sendes til passageroplysningsenhederne efter medlemsstaternes vurdering. Denne fremgangsmåde sikrer også, at eventuelle ændringer i forbindelse med udvælgelsen kan gennemføres hurtigt og effektivt uden at pålægge luftfartsselskaberne en urimelig økonomisk og operationel byrde.

(17)For at sikre overholdelse af den grundlæggende ret til beskyttelse af personoplysninger og i overensstemmelse med forordning (EU) [API-oplysninger til grænseforvaltning] bør denne forordning identificere de dataansvarlige. For at sikre effektiv overvågning, tilstrækkelig beskyttelse af personoplysninger og minimering af sikkerhedsrisici bør der også fastsættes regler om registrering, sikkerhed ved behandling og egenkontrol. Når disse bestemmelser vedrører behandling af personoplysninger, bør de forstås som et supplement til de almengyldige EU-retsakter vedrørende beskyttelse af personoplysninger, navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/679 30 , Europa-Parlamentets og Rådets direktiv (EU) 2016/680 31 samt Europa-Parlamentets og Rådets forordning (EU) 2018/1725 32 . Disse retsakter, som også finder anvendelse på behandling af personoplysninger i henhold til denne forordning i henhold til de deri anførte bestemmelser, bør ikke berøres af denne forordning.

(18)Den router, der skal oprettes og drives i henhold til forordning (EU) [API-oplysninger til grænseforvaltning], bør reducere og forenkle de tekniske forbindelser, der er nødvendige for at overføre API-oplysninger, og begrænse dem til en enkelt forbindelse pr. luftfartsselskab og pr. passageroplysningsenhed. Denne forordning indeholder derfor regler om, at passageroplysningsenhederne og luftfartsselskaberne hver især er forpligtet til at etablere en sådan forbindelse til og opnå den nødvendige integration med routeren for at sikre, at systemet til overførsel af API-oplysninger, som oprettes ved denne forordning, kan fungere korrekt.

(19)I betragtning af Unionens interesse heri bør medlemsstaternes relevante omkostninger i forbindelse med deres forbindelser til og integration med routeren, jf. denne forordning, afholdes over Unionens budget i overensstemmelse med den gældende lovgivning og med forbehold af visse undtagelser. De omkostninger, der er omfattet af disse undtagelser, bør afholdes af den enkelte berørte medlemsstat.

(20)I overensstemmelse med forordning (EU) 2018/1726 kan medlemsstaterne overdrage opgaven med at lette forbindelsen med luftfartsselskaberne til eu-LISA med henblik på at bistå medlemsstaterne i gennemførelsen af direktiv (EU) 2016/681, navnlig ved at indsamle og overføre PNR-oplysninger via routeren.

(21)Det kan ikke udelukkes, at routeren eller de systemer eller infrastrukturer, der forbinder passageroplysningsenhederne og luftfartsselskaberne hermed, på grund af ekstraordinære omstændigheder og på trods af at alle rimelige foranstaltninger er truffet i overensstemmelse med denne forordning, og for så vidt angår routeren forordning (EU) [API-oplysninger til grænseforvaltning], ikke fungerer korrekt, hvilket kan føre til, at det ikke er teknisk muligt at anvende routeren til at overføre API-oplysninger. Som følge af at routeren ikke er tilgængelig, og at luftfartsselskaberne generelt ikke med rimelighed kan overføre de API-oplysninger, der er berørt af fejlen, på en lovlig, sikker, effektiv og hurtig måde ved hjælp af alternative midler, bør luftfartsselskabernes forpligtelse til at overføre disse API-oplysninger til routeren ophøre med at gælde, så længe dette fortsat ikke er teknisk muligt. For at minimere varigheden og de negative konsekvenser heraf bør de berørte parter i så fald straks underrette hinanden og straks træffe alle nødvendige foranstaltninger for at afhjælpe den tekniske umulighed. Dette bør ikke berøre alle de berørte parters forpligtelser i henhold til denne forordning om at sikre, at routeren og deres respektive systemer og infrastruktur fungerer korrekt, og heller ikke den omstændighed, at luftfartsselskaber kan pålægges sanktioner, når de ikke opfylder disse forpligtelser, herunder når de søger at påberåbe sig dette, hvis en sådan påberåbelse ikke er berettiget. For at forhindre sådan misbrug og for at lette tilsynet og om nødvendigt pålæggelsen af sanktioner bør luftfartsselskaber, der gør brug af denne ordning på grund af fejl i deres system og infrastruktur, indberette dette til den kompetente tilsynsmyndighed.

(22)For at sikre, at luftfartsselskaberne anvender reglerne i denne forordning effektivt, bør der fastsættes bestemmelser om udpegelse og bemyndigelse af de nationale myndigheder, der har til opgave at føre tilsyn med disse regler. Reglerne i denne forordning om sådant tilsyn, herunder om nødvendigt om pålæggelse af sanktioner, bør ikke berøre de opgaver og beføjelser, som tilsynsmyndighederne, der oprettes i henhold til forordning (EU) 2016/679 og direktiv (EU) 2016/680, har, herunder i forbindelse med behandlingen af personoplysninger efter denne forordning.

(23)Medlemsstaterne bør fastsætte regler om sanktioner, herunder bødestraf, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning, over for de luftfartsselskaber, der ikke opfylder deres forpligtelser vedrørende indsamling og videregivelse af API-oplysninger som omhandlet i denne forordning.

(24)Med henblik på at vedtage foranstaltninger vedrørende de tekniske krav og operationelle regler for automatisk indsamling af maskinlæsbare API-oplysninger, de fælles protokoller og formater for at luftfartsselskaberne kan overføre API-oplysninger, de tekniske og processuelle regler for overførsel af API-oplysninger fra routeren og til passageroplysningsenhederne og til passageroplysningsenhedernes og luftfartsselskabernes forbindelser til og integration med routere bør beføjelsen til at vedtage retsakter i henhold til artikel 290 i traktaten om Den Europæiske Unions funktionsmåde delegeres til Kommissionen for så vidt angår henholdsvis artikel 4, 5, 10 og 11. Det er navnlig vigtigt, at Kommissionen gennemfører relevante høringer under sit forberedende arbejde, herunder på ekspertniveau, og at disse høringer gennemføres i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning 33 . For at sikre lige deltagelse i forberedelsen af delegerede retsakter modtager Europa-Parlamentet og Rådet navnlig alle dokumenter på samme tid som medlemsstaternes eksperter, og deres eksperter har systematisk adgang til møder i Kommissionens ekspertgrupper, der beskæftiger sig med forberedelsen af delegerede retsakter.

(25)Alle berørte parter, og navnlig luftfartsselskaberne og passageroplysningsenhederne, bør have tilstrækkelig tid til at foretage de nødvendige forberedelser for at kunne opfylde deres respektive forpligtelser i henhold til denne forordning, under hensyntagen til, at nogle af disse forberedelser, f.eks. vedrørende forpligtelserne i forbindelse med forbindelsen til og integrationen med routeren, først kan afsluttes, når design- og udviklingsfasen af routeren er overstået, og routeren idriftsættes. Denne forordning bør derfor kun finde anvendelse fra en passende dato efter den dato, hvor routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med forordning (EU) [API-oplysninger til grænseforvaltning]. Det bør dog være muligt for Kommissionen at vedtage delegerede retsakter i henhold til denne forordning allerede fra et tidligere tidspunkt for at sikre, at det system, der indføres med denne forordning, bliver operationelt hurtigst muligt.

(26)Formålet med denne forordning, dvs. at bidrage til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne hver for sig i betragtning af den internationale dimension af de pågældende lovovertrædelser og behovet for at samarbejde på tværs af grænserne for at håndtere dem effektivt, men kan bedre opnås på EU-plan. Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål.

(27)I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af denne forordning, som ikke er bindende for og ikke finder anvendelse i Danmark.

(28)[I medfør af artikel 3 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling, for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, har Irland meddelt, at de ønsker at deltage i vedtagelsen og anvendelsen af denne forordning.] ELLER [I medfør af artikel 1 og 2 i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, og med forbehold af artikel 4 i samme protokol, deltager Irland ikke i vedtagelsen af denne forordning, som ikke er bindende for og ikke finder anvendelse i Irland.]

(29)Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav en udtalelse den [XX] 34 —

VEDTAGET DENNE FORORDNING:

KAPITEL 1

ALMINDELIGE BESTEMMELSER

Artikel 1

Genstand

Med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet fastlægges der ved denne forordning regler for:

a)luftfartsselskabers indsamling af forhåndsoplysninger om passagerer ("API-oplysninger") vedrørende flyvninger uden for EU og udvalgte flyvninger inden for EU

b)luftfartsselskabers overførsel af API-oplysninger til routeren

c)overførsel af API-oplysninger om flyvninger uden for EU og udvalgte flyvninger inden for EU til passageroplysningsenhederne.

Artikel 2

Anvendelsesområde

Denne forordning finder anvendelse på luftfartsselskaber, der udfører ruteflyvninger eller ikkeruteflyvninger uden for EU eller inden for EU.

Artikel 3

Definitioner

I denne forordning forstås ved:

a)"luftfartsselskab": en lufttransportvirksomhed som defineret i artikel 3, nr. 1), i direktiv (EU) 2016/681

b)"flyvninger uden for EU": enhver flyvning som defineret i artikel 3, nr. 2), i direktiv (EU) 2016/681

c)"flyvning inden for EU": enhver flyvning som defineret i artikel 3, nr. 3), i direktiv (EU) 2016/681

d)"ruteflyvning": en flyvning som defineret i artikel 3, litra e), i forordning (EU) [API-oplysninger til grænseforvaltning]

e)"ikkeruteflyvning": en flyvning som defineret i artikel 3, litra f), i forordning (EU) [API-oplysninger til grænseforvaltning]

f)"passager": enhver person som defineret i artikel 3, nr. 4), i direktiv (EU) 2016/681

g)"besætning": enhver person som defineret i artikel 3, litra h), i forordning (EU) [API-oplysninger til grænseforvaltning]

h)"rejsende": enhver person som defineret i artikel 3, litra i), i forordning (EU) [API-oplysninger til grænseforvaltning]

i)"forhåndsoplysninger om passagerer" eller "API-oplysninger": oplysninger som defineret i artikel 3, litra j), i forordning (EU) [API-oplysninger til grænseforvaltning]

j)"passagerliste" eller "PNR": en liste over den enkelte passagers rejse som defineret i artikel 3, nr. 5), i direktiv (EU) 2016/681

k)"Passageroplysningsenhed": en kompetent myndighed oprettet af en medlemsstat, som omhandlet i Kommissionens offentliggjorte meddelelse og ændringer i henhold til henholdsvis artikel 4, stk. 1 og stk. 5, i direktiv (EU) 2016/681

l)"terrorhandlinger": handlinger som defineret i artikel 3 til 12 i Europa-Parlamentets og Rådets direktiv (EU) 2017/541 35

m)"grov kriminalitet": handlinger som defineret i artikel 3, nr. 9), i direktiv 2016/681

n)"routeren": router som defineret i artikel 3, litra k), i forordning (EU) [API-oplysninger til grænseforvaltning]

o)"personoplysninger": enhver oplysning som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679.

KAPITEL 2

BEHANDLING AF API-OPLYSNINGER

Artikel 4

Luftfartsselskabers indsamling, videregivelse og sletning af API-oplysninger

1.Luftfartsselskaberne indsamler API-oplysninger om rejsende på flyvninger, jf. artikel 2, med henblik på at overføre nævnte API-oplysninger til routeren i henhold til stk. 6. Hvis der for en flyvning er code-sharing mellem et eller flere luftfartsselskaber, er det det luftfartsselskab, der står for flyvningen, som er forpligtet til at videregive API-oplysningerne.

2.Luftfartsselskaberne indsamler API-oplysninger på en sådan måde, at de API-oplysninger, de overfører i henhold til stk. 6, er nøjagtige, fuldstændige og ajourførte.

3.Luftfartsselskaberne indsamler de i artikel 4, stk. 2, litra a)-d), i forordning (EU) [API-oplysninger til grænseforvaltning] omhandlede API-oplysninger ved hjælp af automatiserede midler med henblik på at indsamle de maskinlæsbare dele af den pågældende rejsendes rejsedokument. Det skal de gøre i henhold til de detaljerede tekniske krav og operationelle regler i stk. 5, hvis sådanne regler er blevet vedtaget og finder anvendelse.

Men hvis en sådan automatisk behandling ikke er mulig, fordi rejsedokumentet ikke indeholder maskinlæsbare dele, indsamler luftfartsselskaberne disse oplysninger manuelt, således at det sikres, at stk. 2 overholdes.

4.Enhver automatisk behandling, som anvendes af luftfartsselskaberne til at indsamle API-oplysninger i henhold til denne forordning, skal være pålidelig, sikker og ajourført.

5.Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte detaljerede tekniske krav og operationelle regler for indsamlingen af API-oplysninger som omhandlet i artikel 4, stk. 2, litra a)-d), i forordning (EU) [API-oplysninger til grænseforvaltning] ved hjælp af automatiserede midler i overensstemmelse med stk. 3 og 4 i denne artikel.

6.Luftfartsselskaberne overfører elektronisk de indsamlede API-oplysninger til routeren i henhold til stk. 1. Det skal de gøre i henhold til de detaljerede regler i stk. 9, hvis sådanne regler er blevet vedtaget og finder anvendelse.

7.Luftfartsselskaberne overfører API-oplysningerne både ved indcheckning og straks efter, at flyets døre er blevet lukket, dvs. når de rejsende er gået om bord i flyet med henblik på afrejse, og det ikke længere er muligt for andre rejsende at gå om bord på eller forlade flyet.

8.Uden at det berører luftfartsselskabernes mulighed for at opbevare og anvende oplysningerne, når det er nødvendigt som led i deres normale forretningsaktiviteter i overensstemmelse med gældende lovgivning, skal luftfartsselskaberne straks enten rette, fuldstændiggøre eller ajourføre eller permanent slette de pågældende API-oplysninger i begge følgende situationer:

a)hvis de får kendskab til, at de indsamlede API-oplysninger er unøjagtige, ufuldstændige eller ikke længere ajourførte, eller at de er blevet behandlet ulovligt, eller at de overførte oplysninger ikke udgør API-oplysninger

b)hvis overførslen af API-oplysninger i henhold til stk. 3 er afsluttet.

Hvis luftfartsselskaberne får kendskab til det i første afsnit, litra a), i dette stk. omhandlede, efter at have foretaget overførslen af oplysningerne i stk. 6, skal de straks underrette Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA). Efter modtagelse af sådan underretning skal eu-LISA straks underrette de passageroplysningsenheder, som har modtaget de via routeren overførte API-oplysninger.

9.Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige nærmere regler om de fælles protokoller og understøttede dataformater, der skal bruges til at overføre API-oplysninger til routeren som omhandlet i stk. 6.

Artikel 5

Overførsel af API-oplysninger fra routeren til passageroplysningsenhederne

1.Routeren overfører straks og automatisk de API-oplysninger, som luftfartsselskaberne har videregivet til den, jf. artikel 4, til medlemsstatens passageroplysningsenheder, på hvis område landingen er planlagt, eller fra hvis område afgangen vil foregå, eller til begge i forbindelse med flyvninger inden for EU. Hvis der under flyvningen mellemlandes en eller flere gange i andre medlemsstaters område end det ene, hvorfra det er afgået, overfører routeren API-oplysningerne til passageroplysningsenhederne i alle de berørte medlemsstater. 

Med henblik på sådan overførsel udarbejder og ajourfører eu-LISA en oversigt over de forskellige afgangs- og ankomstlufthavne og de lande, de tilhører.

I forbindelse med flyvninger inden for EU overfører routeren dog kun API-oplysninger til den pågældende passageroplysningsenhed vedrørende de flyvninger, der er opført på listen i stk. 2.

Routeren overfører API-oplysningerne i henhold til de detaljerede regler i stk. 3, hvis sådanne regler er blevet vedtaget og finder anvendelse.Medlemsstater, der beslutter at anvende direktiv (EU) 2016/681 på flyvninger inden for EU i overensstemmelse med artikel 2 i nævnte direktiv, udarbejder hver især en liste over de pågældende flyvninger inden for EU og forelægger eu-LISA listen senest på datoen for anvendelsen af denne forordning som anført i artikel 21, andet afsnit. Disse medlemsstater gennemgår regelmæssigt og ajourfører om nødvendigt disse lister i overensstemmelse med artikel 2 i nævnte direktiv og sender straks alle sådanne ajourførte lister til eu-LISA. Oplysningerne i disse lister behandles fortroligt.

3.Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede tekniske og processuelle regler for overførsler af API-oplysninger fra routeren som omhandlet i stk. 1.

KAPITEL 3

REGISTRERING, BESKYTTELSE AF PERSONOPLYSNINGER OG SIKKERHED

Artikel 6

Opbevaring af logfiler

1.Luftfartsselskaberne opretter logfiler over alle behandlingsaktiviteter i henhold til denne forordning, der gennemføres ved hjælp af de automatiserede midler, der er omhandlet i artikel 4, stk. 3. Disse logfiler omfatter dato, tidspunkt og sted for overførsel af API-oplysninger.

2.De logfiler, der er omhandlet i stk. 1, anvendes kun til at garantere sikkerheden og integriteten af API-oplysninger og lovligheden af behandlingen, navnlig med hensyn til overholdelse af kravene i denne forordning, herunder sanktionsprocedurer for overtrædelse af disse krav i overensstemmelse med artikel 15 og 16.

3.Luftfartsselskaberne træffer passende foranstaltninger til at beskytte de logfiler, de har oprettet i henhold til stk. 1, mod uautoriseret adgang og andre sikkerhedsrisici.

4.Luftfartsselskaber opbevarer de logfiler, de har oprettet i henhold til stk. 1, i en periode på et år fra det tidspunkt, hvor nævnte logfiler blev oprettet. De sletter straks og permanent disse logfiler efter denne periode.

Hvis logfilerne er nødvendige for at overvåge procedurerne eller garantere sikkerheden og integriteten af API-oplysninger eller lovligheden af behandlingsaktiviteterne, jf. stk. 2, og disse procedurer allerede er påbegyndt på tidspunktet for udløbet af den i første afsnit omhandlede periode, kan luftfartsselskaberne dog opbevare logfilerne, så længe det er nødvendigt for disse procedurer. I så fald sletter de straks logfilerne, når de ikke længere er nødvendige for disse procedurer.

Artikel 7

Dataansvarlige

Passageroplysningsenhederne er dataansvarlige, jf. artikel 3, nr. 8), i direktiv (EU) 2016/680, for så vidt angår behandling af API-oplysninger, der udgør personoplysninger i henhold til denne forordning, via routeren, herunder overførsel og opbevaring af disse oplysninger på routeren af tekniske årsager.

Luftfartsselskaberne er dataansvarlige, jf. artikel 4, stk. 7, i forordning (EU) 2016/679, for behandling af API-oplysninger, der udgør personoplysninger, i forbindelse med deres indsamling af disse oplysninger og deres overførsel af disse til routeren i henhold til denne forordning.

Artikel 8

Sikkerhed

Passageroplysningsenhederne og luftfartsselskaberne garanterer sikkerheden af de API-oplysninger, navnlig de API-oplysninger som udgør personoplysninger, som de behandler i henhold til denne forordning.

I overensstemmelse med deres respektive ansvarsområder og i overensstemmelse med EU-retten samarbejder passageroplysningsenheder og luftfartsselskaber med hinanden og med eu-LISA om at varetage en sådan sikkerhed.

Artikel 9

Egenkontrol

Luftfartsselskaber og passageroplysningsenheder kontrollerer, at de overholder deres respektive forpligtelser i henhold til denne forordning, navnlig med hensyn til deres behandling af API-oplysninger, der udgør personoplysninger, herunder gennem hyppig kontrol af logfilerne i overensstemmelse med artikel 7.

KAPITEL 4

SPØRGSMÅL VEDRØRENDE ROUTEREN

Artikel 10

Passageroplysningsenhedernes forbindelse til routeren

1.Medlemsstaterne sikrer, at deres passageroplysningsenheder har forbindelse til routeren. De sikrer, at deres nationale systemer og infrastruktur til modtagelse og viderebehandling af API-oplysninger, der overføres i henhold til denne forordning, er integreret med routeren.

Medlemsstaterne sikrer, at forbindelsen til den pågældende router og integrationen med den gør det muligt for deres passageroplysningsenheder at modtage og viderebehandle API-oplysninger samt udveksle enhver kommunikation vedrørende disse på en lovlig, sikker, effektiv og hurtig måde.

2.Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for forbindelser til og integration med routeren som omhandlet i stk. 1.

Artikel 11

Luftfartsselskabernes forbindelse til routeren

1.Luftfartsselskaberne sikrer, at de har forbindelse til routeren. De sikrer, at deres systemer og infrastruktur til overførsel af API-oplysninger til routeren i henhold til denne forordning er integreret med routeren.

Luftfartsselskaberne sikrer, at forbindelsen til routeren og integrationen med den gør det muligt for dem at overføre API-oplysningerne samt udveksle enhver kommunikation vedrørende disse på en lovlig, sikker, effektiv og hurtig måde.

2.Kommissionen har beføjelse til at vedtage delegerede retsakter i henhold til artikel 19 med henblik på at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for forbindelser til og integration med routeren som omhandlet i stk. 1.

Artikel 12

Medlemsstaternes omkostninger

1.Medlemsstaternes omkostninger som led i deres forbindelser til og integration med den i artikel 10 omhandlede router, afholdes over Unionens almindelige budget.

Følgende omkostninger medregnes dog ikke og afholdes af medlemsstaterne:

a)udgifter til projektstyring, herunder omkostninger til møder, missioner og lokaler

b)omkostninger til hosting af nationale IT-systemer, herunder omkostninger til lokaler, implementering, elektricitet og køling

c)omkostninger til driften af nationale IT-systemer, herunder operatør- og supportaftaler

d)omkostninger til design, udvikling, implementering, drift og vedligeholdelse af nationale kommunikationsnetværk.

2.Medlemsstaterne afholder også omkostningerne i forbindelse med administration, brug og vedligeholdelse af deres forbindelser til og integration af routeren.

Artikel 13

Foranstaltninger, hvis det ikke er teknisk muligt at anvende routeren

1.Hvis det ikke er teknisk muligt at benytte routeren til at overføre API-oplysninger på grund af en fejl på routeren, underretter eu-LISA straks og automatisk luftfartsselskaberne og passageroplysningsenhederne om, at det teknisk ikke er muligt. I så fald træffer eu-LISA straks foranstaltninger til at afhjælpe det tekniske problem med at benytte routeren og underretter straks nævnte parter, når det er blevet løst.

I perioden mellem disse meddelelser finder artikel 4, stk. 6, ikke anvendelse, for så vidt det tekniske problem forhindrer overførsel af API-oplysninger til routeren. Såfremt dette er tilfældet, finder artikel 4, stk. 1, heller ikke anvendelse på de pågældende API-oplysninger i den pågældende periode.

2.Hvis det ikke er teknisk muligt at benytte routeren til at overføre API-oplysninger på grund af en fejl i en medlemsstats systemer eller infrastruktur som omhandlet i artikel 10, underretter passageroplysningsenheden i den pågældende medlemsstat straks og automatisk luftfartsselskaberne, de øvrige passageroplysningsenheder, eu-LISA og Kommissionen om, at det teknisk ikke er muligt. I så fald træffer den pågældende medlemsstat straks foranstaltninger til at afhjælpe det tekniske problem med at benytte routeren og underretter straks nævnte parter, når det er blevet løst.

I perioden mellem disse meddelelser finder artikel 4, stk. 6, ikke anvendelse, for så vidt det tekniske problem forhindrer overførsel af API-oplysninger til routeren. Såfremt dette er tilfældet, finder artikel 4, stk. 1, heller ikke anvendelse på de pågældende API-oplysninger i den pågældende periode.

3.Hvis det ikke er teknisk muligt at benytte routeren til at overføre API-oplysninger på grund af en fejl i et luftfartsselskabs systemer eller infrastruktur som omhandlet i artikel 11, underretter det pågældende luftfartsselskab straks og automatisk passageroplysningsenhederne, eu-LISA og Kommissionen om, at det teknisk ikke er muligt. I så fald træffer det pågældende luftfartsselskab straks foranstaltninger til at afhjælpe det tekniske problem med at benytte routeren og underretter straks nævnte parter, når det er blevet løst.

I perioden mellem disse meddelelser finder artikel 4, stk. 6, ikke anvendelse, for så vidt det tekniske problem forhindrer overførsel af API-oplysninger til routeren. Såfremt dette er tilfældet, finder artikel 4, stk. 1, heller ikke anvendelse på de pågældende API-oplysninger i den pågældende periode.

Når det tekniske problem er blevet løst, forelægger det pågældende luftfartsselskab straks den kompetente nationale tilsynsmyndighed, som omhandlet i artikel 15, en rapport med alle nødvendige oplysninger om det tekniske problem, herunder årsagerne hertil, dets omfang og konsekvenser samt de foranstaltninger, der er truffet for at løse det.

Artikel 14

Ansvar for routeren

Hvis en medlemsstats eller et luftfartsselskabs manglende overholdelse af sine forpligtelser i henhold til denne forordning volder skade på routeren, holdes den pågældende medlemsstat eller luftfartsselskabet ansvarlig for skaden, medmindre eu-LISA ikke har truffet rimelige foranstaltninger til at forhindre skaden i at ske eller til at begrænse dens omfang.

KAPITEL 5

TILSYN, SANKTIONER OG VEJLEDNING

Artikel 15

National tilsynsmyndighed

1.Medlemsstaterne udpeger en eller flere nationale tilsynsmyndigheder, der er ansvarlige for at føre tilsyn med, at luftfartsselskaber på deres område anvender bestemmelserne i denne forordning, og for at sikre, at disse bestemmelser overholdes.

2.Medlemsstaterne sikrer, at de nationale tilsynsmyndigheder har alle nødvendige midler og alle nødvendige beføjelser til efterforskning og håndhævelse, således at de kan udføre deres opgaver i henhold til denne forordning, herunder om nødvendigt ved at pålægge de sanktioner, der er omhandlet i artikel 16. De fastsætter nærmere regler for udførelsen af disse opgaver og udøvelsen af disse beføjelser, således at udførelsen og udøvelsen er effektiv, rimelig og har en afskrækkende virkning og er underlagt garantier i overensstemmelse med de grundlæggende rettigheder, der er garanteret i henhold til EU-retten.

3.    Senest på datoen for anvendelsen af denne forordning, jf. artikel 21, andet afsnit, meddeler medlemsstaterne Kommissionen navn og kontaktoplysninger på de myndigheder, de har udpeget i henhold til stk. 1, og de nærmere regler, de har fastsat i henhold til stk. 2. De underretter omgående Kommissionen om eventuelle senere ændringer heraf.

4.Denne artikel berører ikke tilsynsmyndighedernes kompetencer som omhandlet i artikel 51 i forordning (EU) 2016/679 og artikel 41 i forordning (EU) 2016/680.

Artikel 16

Sanktioner

Medlemsstaterne fastsætter regler om, hvilke sanktioner der skal anvendes, i tilfælde af at denne forordning overtrædes, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have en afskrækkende virkning.

Medlemsstaterne meddeler inden datoen for denne forordnings anvendelse, jf. artikel 21, andet afsnit, Kommissionen disse regler og foranstaltninger og underretter den straks om alle senere ændringer, der berører dem.

Artikel 17

Praktisk vejledning

Kommissionen udarbejder og offentliggør i tæt samarbejde med passageroplysningsenhederne, andre relevante medlemsstaters myndigheder, luftfartsselskaberne og relevante EU-agenturer en praktisk vejledning med retningslinjer, henstillinger og bedste praksis for gennemførelsen af denne forordning.

Der skal i den praktiske vejledning tages hensyn til de relevante eksisterende vejledninger.

Kommissionen vedtager vejledningen i form af en henstilling.

KAPITEL 6

SAMMENHÆNG MED ANDRE EKSISTERENDE INSTRUMENTER

Artikel 18

Ændringer af forordning (EU) 2019/818

___________

   Artikel 39, stk. 1 og 2, affattes således:

"1. Der oprettes et centralt register for rapportering og statistik (CRRS) med henblik på at støtte målene for SIS, Eurodac og ECRIS-TCN i overensstemmelse med de respektive retlige instrumenter, der regulerer disse systemer, og for at tilvejebringe statistiske oplysninger og analytisk rapportering på tværs af systemerne til politiske, operationelle og datakvalitetsmæssige formål. CRRS Skal også støtte målene i Europa-Parlamentets og Rådets forordning (EU) …/… * [nærværende forordning]."

*    Europa-Parlamentets og Rådets forordning (EU) [nummer] af xy den [officielt vedtaget titel] (EUT L...)"

"2. eu-LISA opretter, implementerer og hoster på sine tekniske anlæg CRRS, der indeholder de data og statistikker, som er omhandlet i artikel 74 i forordning (EU) 2018/1862 og artikel 32 i forordning (EU) 2019/816, og som er logisk adskilt af EU-informationssystemet. eu-LISA indsamler også data og statistikker fra den router, der er omhandlet i artikel 13, stk. 1, i forordning (EU).../... * [nærværende forordning]. Adgang til CRRS gives ved hjælp af kontrolleret, sikret adgang og specifikke brugerprofiler, udelukkende med henblik på indberetning og statistik, til de myndigheder, der er omhandlet i artikel 74 i forordning (EU) 2018/1862, artikel 32 i forordning (EU) 2019/816 og artikel 13, stk. 1, i forordning (EU) …/… * [nærværende forordning]."

KAPITEL 7

AFSLUTTENDE BESTEMMELSER

Artikel 19

Udøvelse af de delegerede beføjelser

1.Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.

2)Beføjelsen til at vedtage delegerede retsakter, jf. artikel 4, stk. 5 og 9, artikel 5, stk. 3, artikel 10, stk. 2, og artikel 11, stk. 2, tillægges Kommissionen for en periode på fem år fra [datoen for vedtagelse af forordningen]. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.

3.Den i artikel 4, stk. 5 og 9, artikel 5, stk. 3, artikel 10, stk. 2, og artikel 11, stk. 2, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.

4.Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale om bedre lovgivning af 13. april 2016.

5.Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidig Europa-Parlamentet og Rådet meddelelse herom.

Artikel 20

Overvågning og evaluering

1.Senest [fire år efter datoen for denne forordnings ikrafttræden] og derefter hvert fjerde år forelægger Kommissionen en rapport om en generel evaluering af denne forordning, herunder en vurdering af:

a)anvendelsen af denne forordning

b)i hvilket omfang denne forordning har opfyldt sine mål

c)virkningerne af denne forordning for de grundlæggende rettigheder, der er beskyttet i henhold til EU-retten.

d)Kommissionen forelægger evalueringsrapporten for Europa-Parlamentet, Rådet, Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Agentur for Grundlæggende Rettigheder. I lyset af den evaluering, der er gennemført, forelægger Kommissionen, hvis det er relevant, Europa-Parlamentet og Rådet et forslag til en lovgivningsmæssig retsakt med henblik på ændring af denne forordning.

2.Medlemsstaterne og luftfartsselskaberne giver efter anmodning Kommissionen de oplysninger, der er nødvendige for at udarbejde den i stk. 1 omhandlede rapport. Medlemsstaterne kan dog lade være med at videregive sådanne oplysninger, hvis og i det omfang det er nødvendigt for ikke at offentliggøre fortrolige arbejdsmetoder eller bringe deres passageroplysningsenheders eller andre retshåndhævende myndigheders igangværende efterforskninger i fare. Kommissionen sikrer, at alle fortrolige oplysninger er behørigt beskyttet.

Artikel 21

Ikrafttræden og anvendelse

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning finder anvendelse to år fra den dato, hvor routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med artikel 27 i forordning (EU) [API-oplysninger til grænseforvaltning].

Artikel 4, stk. 5 og 9, artikel 5, stk. 3, artikel 10, stk. 2, artikel 11, stk. 2 og artikel 19 finder dog anvendelse fra [datoen for denne forordnings ikrafttræden].

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i medlemsstaterne i overensstemmelse med traktaterne.

Udfærdiget i Strasbourg, den […].

FINANSIERINGSOVERSIGT

Dette forslags finansielle virkninger er omhandlet i den fælles finansieringsoversigt, der er knyttet som bilag til forslaget til forordning (EU) [API-oplysninger til grænseforvaltning].

(1)    Europol, Serious and Organised Threat Assessment (trusselsvurdering af grov og organiseret kriminalitet — SOCTA), 2021 https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf .

(2)    Europol, rapport om situationen og tendenserne med hensyn til terrorisme (TE-SAT), 2021 https://www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf .

(3)    Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet.

(4)    Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer.

(5)    Se punkt 18 i bilag 1 til direktiv (EU) 2016/681.

(6)    FN's Sikkerhedsråds resolution 2178 (2014), 2309 (2016), 2396 (2017) og 2482 (2019), samt OSCE's Ministerråds beslutning 6/16 af 9. december 2016 om fremme af anvendelsen af forhåndsinformation om passagerer.

(7)    OSCE's Ministerråds beslutning 6/16 af 9. december 2016 om fremme af anvendelsen af forhåndsinformation om passagerer.

(8)    Det ledsagende arbejdsdokument fra Kommissionens tjenestegrene til rapporten om revision af direktiv 2016/681 (SWD(2020) 128 final).

(9)    COM(2021) 277 final af 2.6.2021.

(10)    PNR-direktivet indeholder bestemmelser om behandlingen af oplysningerne såsom om de involverede kompetente myndigheder (artikel 7), længden af dataopbevaringsperioden (artikel 12) og beskyttelse af personoplysninger (artikel 13).

(11)    Domstolens dom i sag C-817/19, Ligue des droits humains.

(12)    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.

(13)    Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger.

(14)    Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(15)    ICAO, Dokument 9303, Machine Readable Travel Documents, 8. udgave, 2021, tilgængelig på: https://www.icao.int/publications/documents/9303_p1_cons_en.pdf .

(16)    Domstolens dom 21. juni 2022, sag C-817/19, Ligue des droits humains.

(17)    Arbejdsdokument fra Europa-Kommissionens tjenestegrene, evaluering af Rådets direktiv 2004/82/EF om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (API-direktivet), Bruxelles, 8.9.2020 (SWD(2020) 174 final, s. 26 og 43).

(18)    SWD(2020) 174, s. 57.

(19)    SWD(2020) 174.

(20)     https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Border-law-enforcement-advance-air-passenger-information-API-revised-rules_da .

(21)    Artikel 2, stk. 1, i forordning (EU) 2021/1119 af 30. juni 2021 om fastlæggelse af rammerne for at opnå klimaneutralitet ("den europæiske klimalov").

(22)    Domstolens dom af 9.11.2010, forenede sager C-92/09 og C-93/09, Volker under Markus Schecke og Eifert [2010] ECR I-0000.

(23)    I overensstemmelse med chartrets artikel 52, stk. 1, kan der indføres begrænsninger i udøvelsen af retten til databeskyttelse, såfremt disse begrænsninger er fastlagt i lovgivningen og respekterer disse rettigheders og friheders væsentligste indhold, og såfremt de under iagttagelse af proportionalitetsprincippet er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder.

(24)    Domstolens dom af 5. juni 2018, sag C-673/16, Coman. 

(25)    Europa-Parlamentets og Rådets forordning (EU) 2021/1149 af 7. juli 2021 om oprettelse af Fonden for Intern Sikkerhed.

(26)    EUT C […] af […], s. […].

(27)    Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (EUT L 261 af 6.8.2004, s. 24).

(28)    Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (EUT L 119 af 4.5.2016, s. 132).

(29)    EUT C […] af […], s. […].

(30)    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(31)    Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(32)    Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

(33)    EUT L 123 af 12.5.2016, s. 1.

(34)    [EUT C ….]

(35)    Europa-Parlamentets og Rådets direktiv (EU) 2017/541 af 15. marts 2017 om bekæmpelse af terrorisme og om erstatning af Rådets rammeafgørelse 2002/475/RIA og ændring af Rådets afgørelse 2005/671/RIA (EUT L 88 af 31.3.2017, s. 6).