EUROPESE COMMISSIE

Straatsburg, 13.12.2022

COM(2022) 731 final

2022/0425(COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en tot wijziging van Verordening (EU) 2019/818

{SWD(2022) 424 final}

TOELICHTING

1.ACHTERGROND VAN HET VOORSTEL

•Motivering en doel van het voorstel

Gedurende de laatste tien jaar is de ernstige en georganiseerde criminaliteit binnen en buiten de EU in omvang toegenomen. Europol constateerde in zijn EU-dreigingsevaluatie van de ernstige en georganiseerde criminaliteit dat georganiseerde criminaliteit meestal gepaard gaat met internationaal verkeer, doorgaans met het oogmerk mensen, drugs of andere verboden goederen de EU binnen te smokkelen. Wat de EU betreft, maken criminelen daarvoor vaak gebruik van de grote luchthavens en van kleine regionale luchthavens waar lagekostenmaatschappijen actief zijn 1 . Uit het rapport van Europol over de stand van zaken en de tendensen op het vlak van terrorisme blijkt dat de terroristische dreiging in de EU nog steeds reëel en ernstig is 2 en dat de meeste terreurcampagnes transnationaal van aard zijn, in die zin dat ze gepaard gaan met transnationale contacten of met reizen buiten de EU. Vandaar dat het zo belangrijk is dat de rechtshandhavingsinstanties toegang tot informatie over luchtreizigers hebben om ernstige criminaliteit en terrorisme in de EU te bestrijden.

Onder “gegevens van luchtreizigers” wordt verstaan de vooraf te verstrekken gegevens (Advance Passenger Information – API) en de persoonsgegevens (Passenger Name Records – PNR) van de reizigers. Samen gebruikt vormen deze gegevens een bijzonder doeltreffend instrument om hoogrisicoreizigers te identificeren en het reispatroon van verdachte personen te bevestigen. Als een passagier een ticket koopt bij een luchtvaartmaatschappij, maakt het boekingssysteem van de maatschappij ten behoeve van de eigen bedrijfsvoering een PNR-bestand aan met gegevens over de volledige reisroute, betalingsgegevens, contactgegevens en speciale verzoeken van de passagier. Zo nodig worden deze PNR-gegevens doorgegeven aan de passagiersinformatie-eenheid (PIE) van het land van bestemming en vaak ook van het land van vertrek.

In de EU moet de in 2016 aangenomen PNR-richtlijn 3 ervoor zorgen dat alle lidstaten regels voor het verzamelen van PNR-gegevens van luchtvaartmaatschappijen toepassen met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, onverminderd de in de API-richtlijn 4 vastgestelde EU-regels inzake de verplichte verzameling van API-gegevens door luchtvaartmaatschappijen. Krachtens de PNR-richtlijn moeten de lidstaten de nodige maatregelen nemen om ervoor te zorgen dat luchtvaartmaatschappijen PNR-gegevens doorgeven voor zover zij deze gegevens in het kader van hun normale bedrijfsvoering reeds hebben verzameld. De PNR-richtlijn staat de gezamenlijke verwerking van API-gegevens en PNR-gegevens toe, aangezien de in die richtlijn opgenomen definitie van PNR-gegevens “alle verzamelde API-gegevens” 5 omvat. De PNR-richtlijn verplicht luchtvaartmaatschappijen echter niet om gegevens te verzamelen buiten het kader van hun normale bedrijfsvoering. Daardoor wordt op grond van de PNR-richtlijn niet de volledige reeks API-gegevens verzameld, aangezien het verzamelen van die gegevens voor de luchtvaartmaatschappijen geen zakelijk doel dient.

Alleen wanneer een luchtvaartmaatschappij daartoe verplicht is, verzamelt zij API-gegevens wanneer de passagier (online en op de luchthaven) incheckt. De gegevens worden vervolgens aan de bevoegde grensautoriteiten doorgegeven in de vorm van een passagierslijst of passagiersmanifest waarin alle passagiers die bij het vertrek van het vliegtuig aan boord zijn, worden vermeld. API-gegevens worden als “geverifieerde” informatie beschouwd omdat zij overeenstemmen met de reizigers die uiteindelijk aan boord van het vliegtuig zijn gegaan. Ze kunnen ook door rechtshandhavingsinstanties worden gebruikt voor het identificeren van verdachte en gezochte personen. Bij PNR-gegevens daarentegen gaat het om “niet-geverifieerde” informatie die door passagiers wordt verstrekt. De PNR-gegevens van een bepaalde passagier bevatten doorgaans niet alle mogelijke PNR-gegevens, maar alleen die welke door de passagier worden verstrekt en/of noodzakelijk zijn voor de boeking en bijgevolg ook voor de normale bedrijfsvoering van de luchtvaartmaatschappij.

Sinds de vaststelling van de API-richtlijn in 2004 bestaat er een wereldwijde consensus dat API-gegevens niet alleen een essentieel instrument voor grensbeheer zijn, maar ook een belangrijk instrument voor rechtshandhavingsdoeleinden, met name bij de bestrijding van ernstige criminaliteit en terrorisme. Zo wordt in de resoluties van de Veiligheidsraad van de Verenigde Naties sinds 2014 herhaaldelijk opgeroepen tot de invoering en wereldwijde uitrol van API- en PNR-systemen voor rechtshandhavingsdoeleinden 6 . Ook de toezegging van de deelnemende landen van de Organisatie voor Veiligheid en Samenwerking in Europa (OVSE) om API-systemen op te zetten, bevestigt hoe belangrijk het gebruik van deze gegevens is in de strijd tegen terrorisme en grensoverschrijdende criminaliteit.  7

Uit het verslag van de Commissie over de evaluatie van de PNR-richtlijn blijkt dat ernstige criminaliteit en terrorisme in de EU veel doeltreffender bestreden kunnen worden als de bevoegde rechtshandhavingsinstanties API- en PNR-gegevens gezamenlijk kunnen verwerken – wat betekent dat de verzameling van PNR-gegevens door luchtvaartmaatschappijen in het kader van hun normale bedrijfsvoering en de doorgifte van die gegevens aan de bevoegde rechtshandhavingsinstanties worden aangevuld met een verplichting voor luchtvaartmaatschappijen om API-gegevens te verzamelen en door te geven 8 . Door API-gegevens en PNR-gegevens gecombineerd te gebruiken, kunnen de bevoegde nationale autoriteiten de identiteit van passagiers bevestigen. Bovendien maakt gecombineerd gebruik de PNR-gegevens veel betrouwbaarder. Gecombineerd gebruik vóór aankomst stelt de rechtshandhavingsinstanties ook in staat om een beoordeling te verrichten en een diepgaander veiligheidsonderzoek in te stellen met betrekking tot alleen die personen die, gelet op objectieve beoordelingscriteria en -praktijken en op grond van het toepasselijke recht, het grootste veiligheidsrisico vormen. Dit komt het reisgemak van alle andere passagiers ten goede en vermindert de kans dat passagiers bij aankomst aan een onderzoek door de bevoegde autoriteiten worden onderworpen op grond van discretionaire elementen als ras of etnische afstamming, die rechtshandhavingsinstanties wellicht ten onrechte in verband brengen met veiligheidsrisico’s.

Het huidige rechtskader van de EU regelt echter alleen het gebruik van PNR-gegevens voor de bestrijding van ernstige criminaliteit en terrorisme, maar doet dit niet specifiek voor API-gegevens, die alleen kunnen worden opgevraagd voor vluchten uit derde landen. Hierdoor is er een leemte in de beveiliging ontstaan, met name voor vluchten binnen de EU waarvoor lidstaten luchtvaartmaatschappijen verzoeken PNR-gegevens door te geven. Passagiersinformatie-eenheden boeken de meest doeltreffende operationele resultaten met betrekking tot vluchten waarover zowel API- als PNR-gegevens worden verzameld. Dit betekent dat de bevoegde rechtshandhavingsinstanties niet kunnen profiteren van de resultaten van de gezamenlijke verwerking van API-gegevens en PNR-gegevens als het gaat om vluchten binnen de EU, aangezien voor die vluchten alleen PNR-gegevens worden doorgegeven.

Om deze leemte te vullen, heeft de Commissie in juni 2021 in haar strategie voor een volledig functionerend en veerkrachtig Schengengebied een oproep gedaan om API-gegevens in combinatie met PNR-gegevens intensiever te gebruiken voor vluchten binnen het Schengengebied, teneinde de interne veiligheid aanzienlijk te verbeteren, met inachtneming van het grondrecht op bescherming van persoonsgegevens en het grondrecht op vrij verkeer 9 .

De voorgestelde verordening heeft derhalve tot doel betere regels vast te stellen voor het verzamelen en doorgeven van API-gegevens door luchtvaartmaatschappijen met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Om de naleving van de betrokken, in het Handvest van de grondrechten van de EU (“het Handvest”) verankerde grondrechten, met name het recht op eerbiediging van het recht op privacy en op bescherming van persoonsgegevens, te waarborgen en om de naleving van de daaruit voortvloeiende vereisten van noodzakelijkheid en evenredigheid te waarborgen, is het toepassingsgebied van het voorstel, zoals hieronder nader wordt toegelicht, zorgvuldig beperkt en bevat het voorstel strikte beperkingen en waarborgen op het gebied van de bescherming van persoonsgegevens.

•Verenigbaarheid met bestaande bepalingen op het beleidsterrein

2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

•Rechtsgrondslag

Gezien de doelstelling van dit voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit en de in het voorstel vervatte maatregelen, is de passende rechtsgrondslag artikel 82, lid 1, punt d), en artikel 87, lid 2, punt a), van het Verdrag betreffende de werking van de Europese Unie (VWEU).

Krachtens artikel 82, lid 1, punt d), VWEU is de Unie bevoegd om maatregelen vast te stellen die ertoe strekken in het kader van strafvervolging en tenuitvoerlegging van beslissingen de samenwerking tussen de justitiële of gelijkwaardige autoriteiten van de lidstaten te bevorderen. Krachtens artikel 87, lid 2, punt a), VWEU is de Unie bevoegd om maatregelen vast te stellen voor de verzameling, opslag, verwerking, analyse en uitwisseling van relevante informatie ten behoeve van de politiële samenwerking in de EU.

De rechtsgrondslag voor dit voorstel is dan ook dezelfde als die voor de PNR-richtlijn, hetgeen passend is aangezien de voorgestelde verordening in wezen hetzelfde doel nastreeft als de PNR-richtlijn en bovendien ook bedoeld is als aanvulling op die richtlijn.

•Subsidiariteit

Rechtshandhavingsinstanties moeten doeltreffende instrumenten aangereikt krijgen voor de bestrijding van terrorisme en ernstige criminaliteit. De meeste ernstige misdrijven en terreurdaden gaan gepaard met internationaal verkeer – vaak luchtverkeer. PNR-gegevens blijken een erg efficiënt instrument te zijn bij de bescherming van de interne veiligheid van de EU. Bovendien zijn onderzoeken die door de bevoegde autoriteiten van de lidstaten worden verricht met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit in hoge mate afhankelijk van internationale en grensoverschrijdende samenwerking.

In een ruimte zonder controles aan de binnengrenzen wordt het ontbreken van die controles ook efficiënt gecompenseerd doordat de lidstaten passagiersgegevens, met inbegrip van PNR-gegevens en API-gegevens, verzamelen, verwerken en uitwisselen. Door een coherent optreden op EU-niveau te bevorderen, zal het voorstel bijdragen tot het versterken van de veiligheid van de lidstaten en bijgevolg van de EU in haar geheel.

De API-richtlijn maakt deel uit van het Schengenacquis inzake het overschrijden van de buitengrenzen. Zij regelt dus niet de verzameling en doorgifte van API-gegevens over vluchten binnen de EU. Omdat ze voor deze vluchten alleen over PNR-gegevens en niet over API-gegevens beschikken, hebben de lidstaten uiteenlopende maatregelen genomen om het gebrek aan identiteitsgegevens van de passagiers te compenseren. Zo worden er onder meer fysieke conformiteitscontroles uitgevoerd om de identiteitsgegevens van de reisdocumenten en de instapkaarten met elkaar te vergelijken, maar deze controles leveren nieuwe problemen op zonder het onderliggende probleem, het ontbreken van API-gegevens, op te lossen.

Actie op EU-niveau zal bijdragen tot de toepassing van geharmoniseerde bepalingen inzake het waarborgen van grondrechten in de lidstaten, met name wat de bescherming van persoonsgegevens betreft. De verschillen tussen de systemen van de lidstaten die dergelijke mechanismen al hebben ingevoerd, of dit in de toekomst zullen doen, kunnen nadelige gevolgen hebben voor de luchtvaartmaatschappijen, aangezien zij wellicht zullen moeten voldoen aan meerdere nationale voorschriften die onderling kunnen afwijken, bijvoorbeeld wat betreft de soorten informatie die moet worden doorgegeven en de voorwaarden waaronder deze informatie aan de lidstaten moet worden verstrekt. Deze verschillen vormen een belemmering voor doeltreffende samenwerking tussen de lidstaten bij het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Dergelijke geharmoniseerde regels kunnen alleen op EU-niveau worden vastgesteld.

Aangezien de doelstellingen van dit voorstel niet op toereikende wijze door de lidstaten kunnen worden verwezenlijkt en beter op het niveau van de Unie kunnen worden verwezenlijkt, is de EU bevoegd om op te treden en hiertoe bovendien beter in staat dan de onafhankelijk handelende lidstaten. Het voorstel is derhalve in overeenstemming met het subsidiariteitsbeginsel zoals neergelegd in artikel 5 van het Verdrag betreffende de Europese Unie.

•Evenredigheid

Overeenkomstig het evenredigheidsbeginsel dat is vervat in artikel 5, lid 4, VEU, moeten de aard en de intensiteit van een bepaalde maatregel worden afgestemd op het geconstateerde probleem. De in dit wetgevingsinitiatief omschreven problemen vragen in alle gevallen om wetgevende maatregelen op EU-niveau waarmee de lidstaten die problemen doeltreffend kunnen aanpakken.

De voorgestelde regels voor de verzameling en de doorgifte van API-gegevens zullen, mits strikte beperkingen en waarborgen worden toegepast, de preventie, de opsporing, het onderzoek en de vervolging van terroristische misdrijven en ernstige criminaliteit versterken. De voorgestelde regels bieden een doeltreffende oplossing voor het probleem dat is ontstaan doordat API-gegevens en PNR-gegevens niet gezamenlijk worden verwerkt, en komen dus tegemoet aan de noodzaak de interne veiligheid te versterken. Dit geldt ook voor vluchten binnen de EU waarover de lidstaten PNR-gegevens ontvangen.

•Keuze van het instrument

Aangezien de voorgestelde maatregelen rechtstreeks toepasselijk moeten zijn en in alle lidstaten uniform moeten worden toegepast, is een verordening de juiste keuze voor het rechtsinstrument.

3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

•Evaluatie van bestaande wetgeving

De API-richtlijn belet niet dat API-gegevens voor rechtshandhavingsdoeleinden worden verwerkt overeenkomstig de nationale wetgeving en de voorschriften inzake de bescherming van persoonsgegevens. Uit de evaluatie van de API-richtlijn 17 is echter gebleken dat de toepassing van deze mogelijkheid in de lidstaten problemen oplevert en tot leemten in de beveiliging leidt omdat EU-criteria voor de verzameling en de doorgifte van API-gegevens voor rechtshandhavingsdoeleinden ontbreken:

–Rechtshandhaving als doel wordt in de nationale wetgeving van sommige lidstaten breed opgevat, gaande van het optreden tegen administratieve overtredingen en het verbeteren van de binnenlandse veiligheid en de openbare orde, tot het bestrijden van terrorisme en het beschermen van nationale veiligheidsbelangen. Uit de evaluatie van de API-richtlijn is ook gebleken dat voor een doeltreffend gebruik van API-gegevens voor rechtshandhavingsdoeleinden een specifiek daarop gericht rechtsinstrument nodig zou zijn 18 .

–Omdat API-gegevens voor zoveel doeleinden kunnen worden verzameld, is het des te complexer de naleving van het EU-kader voor de bescherming van persoonsgegevens te waarborgen. De verplichting om API-gegevens binnen 24 uur te wissen, geldt alleen voor het gebruik van API-gegevens voor het hoofddoel van de API-richtlijn, namelijk het beheer van de buitengrenzen. Het is niet duidelijk of deze eis ook geldt voor de verwerking voor rechtshandhavingsdoeleinden.

–De API-dataset die bij luchtvaartmaatschappijen voor rechtshandhavingsdoeleinden kan worden opgevraagd en de praktijk van sommige lidstaten om nog andere API-gegevens op te vragen dan in de niet-uitputtende lijst van de API-richtlijn zijn opgenomen, maken het voor de luchtvaartmaatschappijen nog moeilijker om bij het vervoer van passagiers naar de EU aan de verschillende vereisten te voldoen.

–Bovendien laat de API-richtlijn in het midden voor welke vluchten API-gegevens kunnen worden opgevraagd, aan welke autoriteit de API-gegevens moeten worden doorgegeven of volgens welke voorwaarden deze gegevens toegankelijk zijn voor rechtshandhavingsdoeleinden.

•Raadpleging van belanghebbenden

Bij de voorbereiding van dit voorstel zijn belanghebbenden uit verschillende hoeken geraadpleegd, waaronder de autoriteiten van de lidstaten (bevoegde grensautoriteiten, passagiersinformatie-eenheden), vertegenwoordigers van de vervoerssector en individuele luchtvaartmaatschappijen. Ook EU-agentschappen, zoals het Europees Grens- en kustwachtagentschap (Frontex), het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol), het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) en het Bureau van de Europese Unie voor de grondrechten (FRA), hebben input geleverd. In dit initiatief is daarnaast ook rekening gehouden met de standpunten en de reacties die zijn binnengekomen tijdens de openbare raadpleging die eind 2019 in het kader van de evaluatie van de API-richtlijn heeft plaatsgevonden 19 .

Bij raadplegingsactiviteiten in het kader van de voorbereiding van de effectbeoordeling ter ondersteuning van dit voorstel zijn aan de hand van verschillende methoden reacties van belanghebbenden verzameld. Deze activiteiten omvatten met name een aanvangseffectbeoordeling, een externe ondersteunende studie en een reeks technische workshops.

Op de aanvangseffectbeoordeling kon van 5 juni 2020 tot en met 14 augustus 2020 worden gereageerd. De zeven reacties hadden betrekking op de uitbreiding van het toepassingsgebied van de toekomstige API-richtlijn, de kwaliteit van de gegevens, sancties, het verband tussen API-gegevens en PNR-gegevens en de bescherming van persoonsgegevens 20 .

De externe ondersteunende studie werd uitgevoerd op basis van bureauonderzoek, enquêtes en gesprekken met deskundigen, waarbij werd onderzocht hoe API-gegevens kunnen worden verwerkt volgens duidelijke regels die legaal reizen vergemakkelijken en in overeenstemming zijn met de interoperabiliteit van de EU-informatiesystemen, de EU-voorschriften inzake de bescherming van persoonsgegevens en andere bestaande EU-instrumenten en internationale normen.

De diensten van de Commissie hebben verder een reeks technische workshops georganiseerd met deskundigen uit de lidstaten en de geassocieerde Schengenlanden. Deze workshops waren bedoeld om deskundigen bijeen te brengen voor een gedachtewisseling over de mogelijke opties om het toekomstige API-kader te versterken voor grensbeheerdoeleinden en voor de bestrijding van criminaliteit en terrorisme.

De bijgevoegde effectbeoordeling (bijlage 2) bevat een uitvoerigere beschrijving van de raadpleging van belanghebbenden.

•Effectbeoordeling

Wat een API-instrument voor rechtshandhavingsdoeleinden betreft, komt uit het effectbeoordelingsverslag een voorkeur naar voren voor het verzamelen van API-gegevens over alle vluchten naar of vanuit derde landen, alsook over geselecteerde vluchten binnen de EU waarover PNR-gegevens worden doorgegeven. Hierdoor wordt de vereiste analyse van relevante gegevens over luchtreizigers in het kader van de strijd tegen ernstige criminaliteit en terrorisme aanzienlijk versterkt, doordat de passagiersinformatie-eenheden over geverifieerde en dus kwalitatief betere API-gegevens kunnen beschikken om personen die bij ernstige criminaliteit of terrorisme betrokken zijn, te identificeren. Voor de verzameling en de doorgifte van de API-gegevens voor rechtshandhavingsdoeleinden wordt gebruikgemaakt van de capaciteiten die zijn ontwikkeld voor het doorgeven van API-gegevens, via de router, met het oog op het beheer van de buitengrenzen. Er komen geen extra kosten voor eu-LISA. De luchtvaartmaatschappijen geven de API-gegevens alleen door aan de router, die deze vervolgens zou doorzenden naar de passagiersinformatie-eenheid van elke betrokken lidstaat. Deze oplossing – zo blijkt uit de effectbeoordeling – vermindert een deel van de doorzendingskosten van de luchtvaartmaatschappijen en is voor hen dus kostenefficiënt, en beperkt tegelijkertijd de kans op fouten of misbruik. Een verschil ten opzichte van de huidige situatie is dat de luchtvaartmaatschappijen in het kader van de voorgestelde verordening API-gegevens moeten verzamelen en doorgeven over alle vluchten waarop de verordening betrekking heeft, met inbegrip van vluchten binnen de EU, ongeacht hun normale bedrijfsvoering. Het voorstel is in overeenstemming met de in de Europese klimaatverordening 21 vastgestelde doelstelling inzake klimaatneutraliteit en de doelstellingen van de Unie voor 2030 en 2040.

•Grondrechten

Krachtens deze verordening mogen API-gegevens alleen worden verzameld en doorgegeven voor het voorkomen, opsporen, onderzoeken en vervolgen van terrorisme en ernstige criminaliteit, zoals gedefinieerd in de PNR-richtlijn. Bij dit voorstel worden uniforme criteria voor het verzamelen en doorgeven van API-gegevens over vluchten naar of vanuit derde landen enerzijds en geselecteerde vluchten binnen de EU anderzijds vastgesteld op basis van een beoordeling door de lidstaten en een regelmatige herziening, in overeenstemming met de vereisten die het Hof van Justitie in het kader van de zaak Ligue des droits humains heeft vastgesteld. De verplichting voor de luchtvaartmaatschappijen om API-gegevens te verzamelen en aan de router door te geven, geldt voor alle vluchten binnen de EU. De doorzending via de router naar de PIE’s is een technische oplossing om de doorzending van API-gegevens naar passagiersinformatie-eenheden te beperken tot geselecteerde vluchten, zonder dat vertrouwelijke informatie wordt bekendgemaakt over welke vluchten binnen de EU zijn geselecteerd. Dergelijke informatie moet vertrouwelijk worden behandeld vanwege het risico op omzeiling dat zou ontstaan als de informatie bekend zou worden bij het grote publiek of, meer in het bijzonder, bij personen die betrokken zijn bij ernstige criminaliteit of terroristische activiteiten.

4.GEVOLGEN VOOR DE BEGROTING

Dit wetgevingsinitiatief over de verzameling en de doorgifte van API-gegevens, respectievelijk om de controles aan de buitengrenzen te vergemakkelijken en om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen, zal gevolgen hebben voor de begroting en de personeelsbehoeften van eu-LISA en de bevoegde autoriteiten van de lidstaten.

Geraamd wordt dat voor eu-LISA een extra begroting nodig is van ca. 45 miljoen EUR (33 miljoen EUR in het kader van het huidige MFK) voor het opzetten van de router en 9 miljoen EUR per jaar vanaf 2029 voor het technisch beheer ervan. Bovendien zouden er ongeveer 27 extra posten nodig zijn om eu-LISA uit te rusten voor de taken die voortvloeien uit dit voorstel en uit het voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op het vergemakkelijken van de controles aan de buitengrenzen.

De lidstaten zouden recht hebben op een vergoeding uit het Fonds voor interne veiligheid 25 ten bedrage van naar schatting 11 miljoen EUR (3 miljoen EUR in het kader van het huidige MFK) om de benodigde nationale systemen en infrastructuur voor de PIE’s te moderniseren. Vanaf 2028 zou deze vergoeding progressief tot naar raming 2 miljoen EUR per jaar bedragen. Dit recht zal uiteindelijk moeten worden bepaald overeenkomstig de regels voor deze fondsen en de in de voorgestelde verordening vervatte regels inzake kosten.

Gezien het nauwe verband tussen dit voorstel en het voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op het vergemakkelijken van de controles aan de buitengrenzen, met name wat de doorgifte van de API-gegevens aan de router betreft, geldt voor beide voorstellen hetzelfde financieel memorandum (zie de betrokken bijlage).

5.OVERIGE ELEMENTEN

•Uitvoeringsplanning en regelingen betreffende monitoring, evaluatie en rapportage

De Commissie zal ervoor zorgen dat de nodige regelingen worden getroffen om de werking van de voorgestelde maatregelen te monitoren en aan de belangrijkste beleidsdoelstellingen te toetsen. Vier jaar na de inwerkingtreding van de voorgestelde API-verordening, en vervolgens om de vier jaar, zal de Commissie bij het Europees Parlement en de Raad een verslag indienen met een beoordeling van de uitvoering van de verordening en de toegevoegde waarde ervan. In het verslag zal ook melding worden gemaakt van eventuele directe of indirecte gevolgen voor de grondrechten. In het verslag zullen de behaalde resultaten worden getoetst aan de doelstellingen en zal worden nagegaan of de uitgangspunten nog steeds geldig zijn en of er conclusies met het oog op toekomstige opties moeten worden getrokken.

Door luchtvaartmaatschappijen te verplichten API-gegevens over vluchten naar of vanuit derde landen en over geselecteerde vluchten binnen de EU te verzamelen en door de API-router in te voeren, zal duidelijker worden wat de stand van zaken is op het vlak van de doorgifte van API-gegevens door luchtvaartmaatschappijen en het gebruik van API-gegevens door de lidstaten overeenkomstig de toepasselijke nationale en Uniewetgeving. Hierdoor krijgt de Commissie betrouwbare statistieken in handen over het volume van de doorgegeven gegevens en over de vluchten waarover API-gegevens zouden zijn opgevraagd, wat haar zal helpen bij haar evaluatie- en handhavingstaken.

•Artikelsgewijze toelichting

Hoofdstuk 1 bevat de algemene bepalingen van deze verordening, te beginnen met regels over het onderwerp en het toepassingsgebied. Het bevat ook een lijst van definities.

Hoofdstuk 2 bevat de bepalingen voor de verzameling, doorgifte aan de router en wissing van API-gegevens door luchtvaartmaatschappijen, en regels voor de doorzending van de API-gegevens via de router naar de passagiersinformatie-eenheden.

Hoofdstuk 3 bevat specifieke bepalingen over logbestanden, over wie de verwerkingsverantwoordelijken zijn voor API-gegevens die krachtens deze verordening persoonsgegevens zijn, over beveiliging en over interne monitoring door de luchtvaartmaatschappijen en de PIE’s.

Hoofdstuk 4 bevat regels inzake de verbindingen en de integratie van de passagiersinformatie-eenheden en de luchtvaartmaatschappijen met de router, en inzake de daarmee samenhangende kosten van de lidstaten. Het bevat ook bepalingen over wat er moet gebeuren als de router door een technische storing slechts gedeeltelijk of helemaal niet kan worden gebruikt, en over de aansprakelijkheid voor schade aan de router.

Hoofdstuk 5 bevat bepalingen inzake toezicht, mogelijke sancties voor luchtvaartmaatschappijen die hun verplichtingen uit hoofde van deze verordening niet nakomen, en de opstelling van een praktische handleiding door de Commissie.

Hoofdstuk 6 voorziet in wijzigingen van andere bestaande instrumenten, i.e. Verordening (EU) 2019/818.

Hoofdstuk 7 bevat de slotbepalingen van deze verordening, inzake vaststelling van gedelegeerde handelingen, monitoring en evaluatie van deze verordening en inwerkingtreding en toepassing ervan.

2022/0425 (COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en tot wijziging van Verordening (EU) 2019/818

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 82, lid 1, punt d), en artikel 87, lid 2, punt a),

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité 26 ,

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1)De transnationale dimensie van ernstige en georganiseerde criminaliteit en de aanhoudende dreiging van terroristische aanslagen op Europees grondgebied nopen de Unie tot actie met het oog op het vaststellen van maatregelen om de veiligheid in een ruimte van vrijheid, veiligheid en recht zonder binnengrenzen te waarborgen. Informatie over luchtreizigers, zoals persoonsgegevens van passagiers (Passenger Name Records – PNR) en met name vooraf te verstrekken passagiersgegevens (Advance Passenger Information – API), speelt een essentiële rol bij het identificeren van hoogrisicoreizigers, met inbegrip die welke niet op een andere manier bekend zijn bij rechtshandhavingsinstanties, bij het vaststellen van banden tussen leden van criminele groepen en bij het tegengaan van terroristische activiteiten.

(2)Richtlijn 2004/82/EG van de Raad 27 bevat een rechtskader voor het verzamelen en doorgeven van API-gegevens door luchtvaartmaatschappijen met als doel de grenscontroles te verbeteren en illegale immigratie tegen te gaan, maar bepaalt ook dat de lidstaten API-gegevens mogen gebruiken voor rechtshandhavingsdoeleinden. Het louter creëren van een dergelijke mogelijkheid leidt echter tot leemten en tekortkomingen. Het heeft met name tot gevolg dat luchtvaartmaatschappijen niet in alle gevallen API-gegevens verzamelen en doorgeven voor rechtshandhavingsdoeleinden, hoewel die gegevens nuttig zijn voor dat doel. Het heeft ook tot gevolg dat de luchtvaartmaatschappijen in de lidstaten die van die mogelijkheid gebruikmaken, te maken krijgen met uiteenlopende nationale wettelijke voorschriften over het tijdstip en de wijze waarop API-gegevens voor dit doel moeten worden verzameld en doorgegeven. Deze verschillen leiden niet alleen tot onnodige kosten en complicaties voor de luchtvaartmaatschappijen, maar zijn ook nadelig voor de interne veiligheid van de Unie en voor een doeltreffende samenwerking tussen de bevoegde rechtshandhavingsinstanties van de lidstaten. Bovendien zijn vergemakkelijking van grenscontroles en rechtshandhaving twee in aard verschillende doeleinden en is het daarom passend om voor elk doel apart een afzonderlijk rechtskader voor het verzamelen en doorgeven van API-gegevens vast te stellen.

(3)Bij Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad 28 zijn regels vastgesteld over het gebruik van PNR-gegevens voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Krachtens die richtlijn moeten de lidstaten de nodige maatregelen nemen om ervoor te zorgen dat de luchtvaartmaatschappijen PNR-gegevens, met inbegrip van verzamelde API-gegevens, doorgeven aan de op grond van die richtlijn opgerichte passagiersinformatie-eenheid (“PIE”) voor zover zij deze gegevens in het kader van hun normale bedrijfsvoering reeds hebben verzameld. De richtlijn waarborgt dus niet dat in alle gevallen API-gegevens worden verzameld en doorgegeven, aangezien het verzamelen van een volledige reeks van die gegevens voor de luchtvaartmaatschappijen geen zakelijk doel dient. Het is belangrijk ervoor te zorgen dat de PIE’s de API-gegevens samen met de PNR-gegevens ontvangen, aangezien die gegevens gezamenlijk moeten worden verwerkt, willen de bevoegde rechtshandhavingsinstanties van de lidstaten terroristische misdrijven en ernstige criminaliteit doeltreffend kunnen voorkomen, opsporen, onderzoeken en vervolgen. Gezamenlijke verwerking van die gegevens maakt met name een accurate identificatie mogelijk van passagiers die overeenkomstig het toepasselijke recht nader onderzoek door die instanties behoeven. In de reeds genoemde richtlijn wordt niet gespecificeerd welke informatie-elementen als API-gegevens worden beschouwd. Om die redenen moeten aanvullende regels worden vastgesteld op grond waarvan de luchtvaartmaatschappijen een specifiek omschreven reeks API-gegevens moeten verzamelen en vervolgens doorgeven. Die vereisten moeten van toepassing zijn voor zover de luchtvaartmaatschappijen krachtens die richtlijn PNR-gegevens over dezelfde vlucht moeten verzamelen en doorgeven.

(4)Op het niveau van de Unie moeten duidelijke, geharmoniseerde en doeltreffende regels worden vastgesteld over de verzameling en de doorgifte van API-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit.

(5)Deze verordening moet worden opgevat als een aanvulling op de regels van Richtlijn (EU) 2016/681, gezien het nauwe verband tussen beide handelingen. Daarom moeten de API-gegevens worden verzameld en doorgegeven overeenkomstig de specifieke vereisten van deze verordening, ook wat betreft de situaties waarin en de wijze waarop dat moet gebeuren. De regels van die richtlijn zijn echter van toepassing op onderwerpen die niet specifiek onder deze verordening vallen, met name waar het gaat om verdere verwerking van de door de PIE’s ontvangen API-gegevens, uitwisseling van informatie tussen de lidstaten, voorwaarden voor toegang van het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol), doorgifte aan derde landen, bewaring en depersonalisering, alsmede bescherming van persoonsgegevens. Voor zover die regels van toepassing zijn, zijn ook de regels van die richtlijn over sancties en de nationale toezichthoudende autoriteiten van toepassing. De onderhavige verordening mag geen afbreuk doen aan die regels.

(6)Het verzamelen en doorgeven van API-gegevens heeft gevolgen voor de persoonlijke levenssfeer van natuurlijke personen en gaat gepaard met de verwerking van persoonsgegevens. Met het oog op de volledige eerbiediging van de grondrechten, met name het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, overeenkomstig het Handvest van de grondrechten van de Europese Unie (“Handvest”), moeten passende beperkingen en waarborgen worden vastgesteld. Met name moet de verwerking van API-gegevens, en in het bijzonder van API-gegevens die persoonsgegevens zijn, beperkt blijven tot wat noodzakelijk is voor en evenredig is aan de verwezenlijking van de doelstellingen van deze verordening. Daarnaast moet ervoor worden gezorgd dat de uit hoofde van deze verordening verzamelde en doorgegeven API-gegevens geen aanleiding geven tot op grond van het Handvest verboden discriminatie.

(7)Aangezien deze verordening complementair is aan Richtlijn (EU) 2016/681, moeten de verplichtingen die uit hoofde van deze verordening op luchtvaartmaatschappijen van toepassing zijn, gelden voor alle vluchten waarvoor de lidstaten luchtvaartmaatschappijen moeten verplichten PNR-gegevens door te geven uit hoofde van Richtlijn (EU) 2016/681, namelijk geregelde en niet-geregelde vluchten naar of vanuit derde landen en geregelde en niet-geregelde vluchten binnen de EU voor zover die laatstbedoelde vluchten zijn geselecteerd overeenkomstig Richtlijn (EU) 2016/681, ongeacht de plaats van vestiging van de luchtvaartmaatschappijen die deze vluchten uitvoeren.

(8)Aangezien Richtlijn (EU) 2016/681 niet van toepassing is op binnenlandse vluchten, d.w.z. vluchten die op het grondgebied van dezelfde lidstaat vertrekken en landen zonder tussenlanding op het grondgebied van een andere lidstaat of een derde land, en gezien de transnationale dimensie van de onder deze verordening vallende terroristische misdrijven en ernstige criminaliteit, mogen dergelijke vluchten evenmin onder deze verordening vallen. Deze verordening mag niet zodanig worden uitgelegd dat zij de lidstaten beperkt in hun mogelijkheid om krachtens hun nationale recht en in overeenstemming met het Unierecht luchtvaartmaatschappijen te verplichten API-gegevens over dergelijke binnenlandse vluchten te verzamelen en door te geven.

(9)Gezien het nauwe verband tussen de betrokken handelingen van het Unierecht en met het oog op consistentie en samenhang, moeten de definities van deze verordening zoveel mogelijk worden afgestemd op en worden uitgelegd en toegepast in het licht van de definities van Richtlijn (EU) 2016/681 en Verordening (EU) [API-gegevens voor grensbeheer] 29 .

(10)De op grond van deze verordening te verzamelen en door te geven API-gegevens moeten bestaan uit de gegevenselementen die duidelijk en volledig worden opgesomd in Verordening (EU) [API-gegevens voor grensbeheer] en die zowel informatie over elke passagier als informatie over de vlucht van die reiziger omvatten. In het kader van deze verordening moet de vluchtinformatie alleen in voorkomend geval informatie over de grensdoorlaatpost van binnenkomst op het grondgebied van de betrokken lidstaat bevatten, dat wil zeggen niet wanneer de API-gegevens betrekking hebben op vluchten binnen de EU.

(11)Met het oog op een zo consistent mogelijke aanpak bij het verzamelen en doorgeven van API-gegevens door luchtvaartmaatschappijen moeten de in deze verordening vastgestelde regels in voorkomend geval worden afgestemd op die van Verordening (EU) [API-gegevens voor grensbeheer]. Dit geldt met name voor de regels inzake de kwaliteit van de gegevens, het gebruik door de luchtvaartmaatschappijen van geautomatiseerde procedés voor de gegevensverzameling, de precieze wijze waarop zij de verzamelde API-gegevens aan de router moeten doorgeven en de wissing van de API-gegevens.

(12)Om de gezamenlijke verwerking van API-gegevens en PNR-gegevens met het oog op een doeltreffende bestrijding van terrorisme en ernstige criminaliteit in de Unie te waarborgen en tegelijkertijd de inmenging in de door het Handvest beschermde grondrechten van passagiers tot een minimum te beperken, moeten de PIE’s als bevoegde autoriteiten van de lidstaten belast worden met het ontvangen, verwerken en beschermen van de uit hoofde van deze verordening verzamelde en doorgegeven API-gegevens. Met het oog op efficiëntie en optimale beperking van veiligheidsrisico’s moet de door het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) overeenkomstig Verordening (EU) [API-gegevens voor grensbeheer] ontworpen, ontwikkelde, gehoste en technisch onderhouden router de API-gegevens die de luchtvaartmaatschappijen uit hoofde van deze verordening hebben verzameld en aan de router hebben doorgegeven, doorzenden naar de relevante PIE’s. Om API-gegevens die persoonsgegevens zijn, overeenkomstig het vereiste niveau te beschermen, onder meer om de vertrouwelijkheid van de betrokken informatie te waarborgen, moeten de API-gegevens via de router op geautomatiseerde wijze naar de relevante PIE’s worden doorgezonden.

(13)Wat vluchten naar of vanuit derde landen betreft, moeten de PIE’s van de lidstaten op het grondgebied waarvan de vluchten zullen landen en/of opstijgen, de API-gegevens over deze vluchten via de router ontvangen, aangezien voor al die vluchten PNR-gegevens worden verzameld overeenkomstig Richtlijn (EU) 2016/681. De router moet de vlucht en de betrokken PIE’s identificeren aan de hand van de informatie in de PNR-bestandslocatie, een gegevenselement dat zowel in de API- als in de PNR-dataset aanwezig is en dat de gezamenlijke verwerking van API- en PNR-gegevens door de PIE’s mogelijk maakt.

(14)Wat vluchten binnen de EU betreft, moet, in overeenstemming met de jurisprudentie van het Hof van Justitie van de Europese Unie (“HvJ-EU”), selectief te werk worden gegaan, om te voorkomen dat de betrokken door het Handvest beschermde grondrechten ten onrechte worden geschonden en om de naleving van de vereisten van het Unierecht inzake het vrije verkeer van personen en de afschaffing van controles aan de binnengrenzen te waarborgen. Gezien het belang van de gezamenlijke verwerking van API- en PNR-gegevens moet die aanpak worden afgestemd op die van Richtlijn (EU) 2016/681. Om die redenen mogen de API-gegevens over die vluchten alleen via de router naar de relevante PIE’s worden doorgezonden als de lidstaten de betrokken vluchten op grond van artikel 2 van Richtlijn (EU) 2016/681 hebben geselecteerd. Zoals het HvJ-EU in herinnering heeft gebracht, houdt de selectie in dat de lidstaten de betrokken vereisten alleen mogen toepassen op, onder meer, bepaalde routes, reispatronen of luchthavens en dat die selectie regelmatig wordt geëvalueerd.

(15)Om in het kader van deze verordening de toepassing van die selectieve aanpak op vluchten binnen de EU mogelijk te maken, moeten de lidstaten worden verplicht lijsten van de door hen geselecteerde vluchten op te stellen en bij eu-LISA in te dienen, zodat eu-LISA ervoor kan zorgen dat alleen over die vluchten API-gegevens via de router naar de relevante PIE’s worden doorgezonden en dat de API-gegevens over andere vluchten binnen de EU onmiddellijk en definitief worden gewist.

(16)Om de doeltreffendheid van het systeem voor het verzamelen en doorgeven van API-gegevens en het systeem voor het verzamelen en doorgeven van PNR-gegevens dat, respectievelijk, bij deze verordening en bij Richtlijn (EU) 2016/681 met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit is opgezet, niet in gevaar te brengen, met name door een risico op omzeiling te creëren, moet informatie over welke vluchten binnen de EU de lidstaten hebben geselecteerd, vertrouwelijk worden behandeld. Daarom mag die informatie niet met de luchtvaartmaatschappijen worden gedeeld en moeten luchtvaartmaatschappijen dus worden verplicht API-gegevens te verzamelen over alle vluchten die onder deze verordening vallen, met inbegrip van alle vluchten binnen de EU, en die gegevens vervolgens door te geven aan de router, waar de nodige selectie moet worden uitgevoerd. Doordat API-gegevens over alle vluchten binnen de EU worden verzameld, weten de passagiers bovendien niet over welke geselecteerde vluchten binnen de EU API-gegevens, en dus ook PNR-gegevens, worden doorgezonden naar de PIE’s overeenkomstig de beoordeling van de lidstaten. Met deze aanpak kan de selectie ook snel en doeltreffend worden gewijzigd, zonder dat aan de luchtvaartmaatschappijen onnodige economische en operationele lasten worden opgelegd.

(17)Met het oog op de naleving van het grondrecht op bescherming van persoonsgegevens en in overeenstemming met Verordening (EU) [API-gegevens voor grensbeheer] moet in deze verordening worden bepaald wie de verwerkingsverantwoordelijken zijn. Met het oog op doeltreffende monitoring, adequate bescherming van persoonsgegevens en optimale beperking van de beveiligingsrisico’s moeten ook regels worden vastgesteld over het aanleggen van logbestanden, de beveiliging van de verwerking en interne monitoring. Wanneer die bepalingen betrekking hebben op de verwerking van persoonsgegevens, moeten ze worden opgevat als een aanvulling op de algemeen toepasselijke handelingen van het Unierecht inzake de bescherming van persoonsgegevens, met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad 30 , Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad 31 en Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 32 . De onderhavige verordening mag geen afbreuk doen aan die handelingen, die ook van toepassing zijn op de verwerking van persoonsgegevens in het kader van deze verordening overeenkomstig de bepalingen ervan.

(18)De technische verbindingen voor de doorgifte van de API-gegevens worden door de router die op grond van Verordening (EU) [API-gegevens voor grensbeheer] wordt opgezet en geëxploiteerd, in aantal verminderd, vereenvoudigd en beperkt tot één verbinding per luchtvaartmaatschappij en per PIE. Daarom verplicht deze verordening de PIE’s en de luchtvaartmaatschappijen om elk zo een verbinding op te zetten die met de router kan worden geïntegreerd, zodat het bij deze verordening ingestelde systeem voor de doorgifte van API-gegevens naar behoren kan functioneren.

(19)Gezien de belangen van de Unie die op het spel staan, moeten passende kosten die de lidstaten maken voor de door deze verordening voorgeschreven verbindingen en integratie met de router, ten laste komen van de begroting van de Unie, overeenkomstig de toepasselijke wetgeving en met inachtneming van bepaalde uitzonderingen. De kosten die onder deze uitzonderingen vallen, moet de betrokken lidstaat zelf dragen.

(20)Overeenkomstig Verordening (EU) 2018/1726 kunnen de lidstaten eu-LISA belasten met de taak de connectiviteit met luchtvaartmaatschappijen te vergemakkelijken teneinde de lidstaten te helpen bij de uitvoering van Richtlijn (EU) 2016/681, met name door PNR-gegevens te verzamelen en door te geven via de router.

(21)Het kan niet worden uitgesloten dat in uitzonderlijke omstandigheden en ondanks alle redelijke maatregelen die overeenkomstig deze verordening en, wat de router betreft, overeenkomstig Verordening (EU) [API-gegevens voor grensbeheer] zijn getroffen, de router of een systeem of de infrastructuur waarmee de PIE’s en de luchtvaartmaatschappijen onderling verbonden zijn, niet naar behoren functioneert, waardoor het technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden. Als de router niet beschikbaar is en het normaal gezien voor de luchtvaartmaatschappijen redelijkerwijs niet mogelijk is de API-gegevens die hinder ondervinden van de storing, op een rechtmatige, veilige, doeltreffende en snelle wijze via alternatieve procedés door te geven, moet de verplichting voor de luchtvaartmaatschappijen om die API-gegevens aan de router door te geven, vervallen zolang die doorgifte technisch onmogelijk is. Om de duur en de negatieve gevolgen van dergelijke technische storingen tot een minimum te beperken, moeten de betrokken partijen elkaar onmiddellijk ervan op de hoogte brengen en onmiddellijk alle nodige maatregelen nemen om deze te verhelpen. Deze regeling mag geen afbreuk doen aan de uit deze verordening voortvloeiende verplichtingen op grond waarvan alle betrokken partijen ervoor moeten zorgen dat de router en hun respectieve systemen en infrastructuur naar behoren functioneren, noch aan het feit dat aan luchtvaartmaatschappijen sancties worden opgelegd wanneer zij deze verplichtingen niet nakomen, ook wanneer zij ten onrechte gebruik willen maken van deze regeling. Om dergelijk misbruik tegen te gaan en het toezicht en, waar nodig, het opleggen van sancties te vergemakkelijken, moeten luchtvaartmaatschappijen die vanwege een storing in hun eigen systeem en infrastructuur gebruik maken van deze regeling, hierover verslag uitbrengen aan de bevoegde toezichthoudende autoriteit.

(22)Om ervoor te zorgen dat de luchtvaartmaatschappijen de regels van deze verordening daadwerkelijk toepassen, moet worden voorzien in de aanwijzing en machtiging van nationale autoriteiten die belast zijn met het toezicht op die regels. De in deze verordening vastgestelde regels over dit toezicht, ook wat het opleggen van sancties waar nodig betreft, mogen geen afbreuk doen aan de taken en bevoegdheden van de overeenkomstig Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 ingestelde toezichthoudende autoriteiten, onder meer op het gebied van de verwerking van persoonsgegevens in het kader van deze verordening.

(23)Ten aanzien van luchtvaartmaatschappijen die hun verplichtingen inzake de verzameling en de doorgifte van API-gegevens op grond van deze verordening niet nakomen, dienen de lidstaten te voorzien in doeltreffende, evenredige en afschrikkende sancties, met inbegrip van geldboetes.

(24)Met het oog op de vaststelling van maatregelen inzake de technische voorschriften en operationele regels voor de geautomatiseerde procedés voor het verzamelen van machineleesbare API-gegevens, inzake de gemeenschappelijke protocollen en formaten voor de doorgifte van API-gegevens door de luchtvaartmaatschappijen, inzake de technische en procedurele regels voor de doorzending van de API-gegevens via de router naar de PIE’s en inzake de verbindingen en de integratie van de PIE’s en de luchtvaartmaatschappijen met de router, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen met betrekking tot respectievelijk de artikelen 4, 5, 10 en 11. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 33 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.

(25)Alle belanghebbende partijen, en met name de luchtvaartmaatschappijen en de PIE’s, moeten voldoende tijd krijgen om de nodige voorbereidingen te treffen om aan hun respectieve verplichtingen uit hoofde van deze verordening te kunnen voldoen, temeer daar sommige van die voorbereidingen, zoals die betreffende de verplichtingen inzake de verbinding en integratie met de router, pas kunnen worden voltooid nadat de router ontworpen en ontwikkeld is en in gebruik is genomen. Daarom mag de toepassing van deze verordening pas ingaan op een passende datum na de door de Commissie overeenkomstig Verordening (EU) [API-gegevens voor grensbeheer] gespecificeerde datum van ingebruikneming van de router. De Commissie moet echter reeds vanaf een eerdere datum gedelegeerde handelingen in het kader van deze verordening kunnen vaststellen om ervoor te zorgen dat het bij deze verordening ingestelde systeem zo spoedig mogelijk operationeel is.

(26)De doelstellingen van deze verordening, namelijk bijdragen tot het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, kunnen, aangezien de betrokken strafbare feiten een transnationale dimensie hebben en slechts aan de hand van grensoverschrijdende samenwerking doeltreffend kunnen worden aangepakt, niet voldoende door de lidstaten afzonderlijk, maar beter door de Unie worden verwezenlijkt. Daarom kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan nodig is om deze doelstelling te verwezenlijken.

(27)Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, neemt Denemarken niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op Denemarken.

(28)[Overeenkomstig artikel 3 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, heeft Ierland kennis gegeven van zijn wens deel te nemen aan de vaststelling en toepassing van deze verordening.] OF [Overeenkomstig de artikelen 1 en 2 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, en onverminderd artikel 4 van dat protocol, neemt Ierland niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op Ierland.]

(29)De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 geraadpleegd en heeft op [XX] een advies uitgebracht 34 ,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK 1

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp

Met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit worden bij deze verordening regels vastgesteld over:

a)de verzameling, door de luchtvaartmaatschappijen, van vooraf te verstrekken passagiersgegevens (“API-gegevens”) over vluchten naar of vanuit derde landen en over geselecteerde vluchten binnen de EU;

b)de doorgifte, door de luchtvaartmaatschappijen, van de API-gegevens aan de router;

c)de doorzending van de API-gegevens over vluchten naar of vanuit derde landen en over geselecteerde vluchten binnen de EU via de router naar de passagiersinformatie-eenheden (“PIE’s”).

Artikel 2

Toepassingsgebied

Deze verordening is van toepassing op luchtvaartmaatschappijen die geregelde of niet-geregelde vluchten naar of vanuit derde landen of binnen de EU uitvoeren.

Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

a)“luchtvaartmaatschappij”: een luchtvervoersonderneming zoals gedefinieerd in artikel 3, punt 1, van Richtlijn (EU) 2016/681;

b)“vlucht naar of vanuit derde landen”: een vlucht zoals gedefinieerd in artikel 3, punt 2, van Richtlijn (EU) 2016/681;

c)“vlucht binnen de EU”: een vlucht zoals gedefinieerd in artikel 3, punt 3, van Richtlijn (EU) 2016/681;

d)“geregelde vlucht”: een vlucht zoals gedefinieerd in artikel 3, punt e), van Verordening (EU) [API-gegevens voor grensbeheer];

e)“niet-geregelde vlucht”: een vlucht zoals gedefinieerd in artikel 3, punt f), van Verordening (EU) [API-gegevens voor grensbeheer];

f)“passagier”: een persoon zoals gedefinieerd in artikel 3, punt 4, van Richtlijn (EU) 2016/681;

g)“bemanning”: een persoon zoals gedefinieerd in artikel 3, punt h), van Verordening (EU) [API-gegevens voor grensbeheer];

h)“reiziger”: een persoon zoals gedefinieerd in artikel 3, punt i), van Verordening (EU) [API-gegevens voor grensbeheer];

i)“vooraf te verstrekken passagiersgegevens” of “API-gegevens”: de gegevens zoals gedefinieerd in artikel 3, punt j), van Verordening (EU) [API-gegevens voor grensbeheer];

j)“Passenger Name Record” of “PNR”: een bestand met de reisgegevens van iedere passagier, zoals gedefinieerd in artikel 3, punt 5, van Richtlijn (EU) 2016/681;

k)“passagiersinformatie-eenheid” of “PIE”: de op grond van artikel 4, lid 1, van Richtlijn (EU) 2016/681 opgerichte bevoegde autoriteit, als opgenomen in de door de Commissie op grond van artikel 4, lid 5, van die richtlijn bekendgemaakte kennisgeving en eventuele wijzigingen daarvan;

l)“terroristische misdrijven”: de in de artikelen 3 tot en met 12 van Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad 35 omschreven misdrijven;

m)“ernstige criminaliteit”: de feiten zoals gedefinieerd in artikel 3, punt 9, van Richtlijn (EU) 2016/681;

n)“de router”: de router zoals gedefinieerd in artikel 3, punt k), van Verordening (EU) [API-gegevens voor grensbeheer];

o)“persoonsgegevens”: gegevens zoals gedefinieerd in artikel 4, punt 1, van Verordening (EU) 2016/679.

HOOFDSTUK 2

VERWERKING VAN API-GEGEVENS

Artikel 4

Verzameling, doorgifte en wissing van API-gegevens door luchtvaartmaatschappijen

1.De luchtvaartmaatschappijen verzamelen API-gegevens van reizigers over in artikel 2 bedoelde vluchten met het oog op de doorgifte van die API-gegevens aan de router overeenkomstig lid 6. Bij een code-sharingvlucht rust de verplichting om de API-gegevens door te geven op de luchtvaartmaatschappij die de vlucht uitvoert.

2.De luchtvaartmaatschappijen verzamelen de API-gegevens op zodanige wijze dat de API-gegevens die zij overeenkomstig lid 6 doorgeven, juist, volledig en actueel zijn.

3.De luchtvaartmaatschappijen verzamelen de in artikel 4, lid 2, punten a) tot en met d), van Verordening (EU) [API-gegevens voor grensbeheer] genoemde API-gegevens met behulp van geautomatiseerde procedés voor de verzameling van de machineleesbare gegevens van het reisdocument van de betrokken reiziger. Zij doen dit overeenkomstig de in lid 5 bedoelde gedetailleerde technische voorschriften en operationele regels, indien dergelijke regels zijn vastgesteld en van toepassing zijn.

Als het reisdocument geen machineleesbare gegevens bevat en er daarom geen gebruik kan worden gemaakt van een dergelijk geautomatiseerd procedé, verzamelen de luchtvaartmaatschappijen die gegevens handmatig en op zulke wijze dat lid 2 in acht wordt genomen.

4.De geautomatiseerde procedés die de luchtvaartmaatschappijen voor de verzameling van API-gegevens op grond van deze verordening gebruiken, moeten betrouwbaar, beveiligd en actueel zijn.

5.De Commissie is bevoegd overeenkomstig artikel 19 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met gedetailleerde technische voorschriften en operationele regels voor het verzamelen van de in artikel 4, lid 2, punten a) tot en met d), van Verordening (EU) [API-gegevens voor grensbeheer] genoemde API-gegevens met behulp van geautomatiseerde procedés overeenkomstig de leden 3 en 4 van het onderhavige artikel.

6.De luchtvaartmaatschappijen geven de op grond van lid 1 verzamelde API-gegevens elektronisch door aan de router. Zij doen dit overeenkomstig de in lid 9 bedoelde gedetailleerde regels, indien dergelijke regels zijn vastgesteld en van toepassing zijn.

7.De luchtvaartmaatschappijen geven de API-gegevens door zowel bij het inchecken als onmiddellijk na beëindiging van het inchecken, dat wil zeggen wanneer de reizigers aan boord zijn gegaan van het vliegtuig dat klaar staat voor vertrek en er geen reizigers meer aan of van boord kunnen gaan.

8.Onverminderd de mogelijkheid die luchtvaartmaatschappijen hebben om de gegevens te bewaren en te gebruiken wanneer dat voor de normale bedrijfsvoering overeenkomstig de toepasselijke wetgeving nodig is, zorgen de luchtvaartmaatschappijen ervoor dat de betrokken API-gegevens in de twee volgende situaties onmiddellijk hetzij worden gecorrigeerd, aangevuld of bijgewerkt, hetzij definitief worden gewist:

a)als zij merken dat de verzamelde API-gegevens onjuist, onvolledig of niet meer actueel zijn of onrechtmatig zijn verwerkt, of dat de doorgegeven gegevens geen API-gegevens zijn;

b)als de doorgifte van de API-gegevens overeenkomstig lid 3 is voltooid.

Wanneer de luchtvaartmaatschappijen de in de eerste alinea, punt a), van dit lid bedoelde omstandigheid pas opmerken nadat zij de gegevens overeenkomstig lid 6 hebben doorgegeven, stellen zij het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) daarvan onmiddellijk in kennis. Bij ontvangst van deze informatie stelt eu-LISA de PIE’s die de via de router doorgezonden API-gegevens hebben ontvangen, onmiddellijk van die informatie in kennis.

9.De Commissie is bevoegd overeenkomstig artikel 19 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de gemeenschappelijke protocollen en ondersteunde dataformaten voor de doorgifte van API-gegevens aan de router als bedoeld in lid 6.

Artikel 5

Doorzending van API-gegevens via de router naar de PIE’s

1.De router zendt de API-gegevens die de luchtvaartmaatschappijen op grond van artikel 4 aan de router hebben doorgegeven, onmiddellijk en op geautomatiseerde wijze door naar de PIE van de lidstaat op het grondgebied waarvan de vlucht zal landen of vertrekken, of naar beide PIE’s wanneer het vluchten binnen de EU betreft. Wanneer een vlucht een of meer tussenlandingen heeft op het grondgebied van andere lidstaten dan de lidstaat waar zij is vertrokken, zendt de router de API-gegevens door naar de PIE’s van alle betrokken lidstaten. 

Met het oog op deze doorzending wordt door eu-LISA een concordantietabel van de verschillende luchthavens van herkomst en bestemming en de landen waartoe deze luchthavens behoren, opgesteld en bijgehouden.

Voor vluchten binnen de EU zendt de router echter alleen de API-gegevens naar de PIE door die betrekking hebben op de vluchten die zijn opgenomen in de in lid 2 bedoelde lijst.

De router zendt de API-gegevens door overeenkomstig de in lid 3 bedoelde gedetailleerde regels, indien dergelijke regels zijn vastgesteld en van toepassing zijn.2. De lidstaten die besluiten Richtlijn (EU) 2016/681 toe te passen op vluchten binnen de EU overeenkomstig artikel 2 van die richtlijn, stellen elk een lijst op van de betrokken vluchten binnen de EU en dienen die lijst uiterlijk op de in artikel 21, tweede alinea, bedoelde datum van toepassing van deze verordening in bij eu-LISA. De betrokken lidstaten zorgen voor een regelmatige evaluatie en, waar nodig, bijwerking van deze lijsten overeenkomstig artikel 2 van de genoemde richtlijn en dienen bijgewerkte lijsten onmiddellijk in bij eu-LISA. De in die lijsten opgenomen informatie wordt vertrouwelijk behandeld.

3.De Commissie is bevoegd overeenkomstig artikel 19 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde technische en procedurele regels inzake de doorzending van API-gegevens via de router als bedoeld in lid 1.

HOOFDSTUK 3

AANLEGGEN VAN LOGBESTANDEN, BESCHERMING VAN PERSOONSGEGEVENS EN BEVEILIGING

Artikel 6

Bijhouden van logbestanden

1.De luchtvaartmaatschappijen leggen logbestanden aan van alle verwerkingsactiviteiten die in het kader van deze verordening met behulp van de in artikel 4, lid 3, bedoelde geautomatiseerde procedés worden uitgevoerd. Deze logbestanden bevatten de datum, het tijdstip en de plaats van doorgifte van de API-gegevens.

2.De in lid 1 bedoelde logbestanden worden uitsluitend gebruikt om de beveiliging en de integriteit van de API-gegevens en de rechtmatigheid van de verwerking te waarborgen, met name wat betreft de naleving van de voorschriften van deze verordening, met inbegrip van sanctieprocedures voor inbreuken op die voorschriften overeenkomstig de artikelen 15 en 16.

3.De luchtvaartmaatschappijen nemen passende maatregelen om de logbestanden die zij op grond van lid 1 hebben aangelegd, te beschermen tegen ongeoorloofde toegang en andere beveiligingsrisico’s.

4.De luchtvaartmaatschappijen bewaren de logbestanden die zij op grond van lid 1 hebben aangelegd, gedurende één jaar vanaf het moment waarop de bestanden zijn aangelegd. Zij wissen de logbestanden onmiddellijk en definitief zodra deze termijn verstrijkt.

Indien de logbestanden echter nodig zijn voor procedures met het oog op het monitoren of waarborgen van de beveiliging en de integriteit van de API-gegevens of de rechtmatigheid van de verwerkingsactiviteiten overeenkomstig lid 2, en die procedures reeds zijn gestart voor het verstrijken van de in de eerste alinea genoemde termijn, mogen luchtvaartmaatschappijen de logbestanden zo lang bewaren als nodig is voor die procedures. In dat geval wissen zij de logbestanden zodra deze niet langer nodig zijn voor die procedures.

Artikel 7

Verwerkingsverantwoordelijken voor persoonsgegevens

De PIE’s zijn verwerkingsverantwoordelijken in de zin van artikel 3, punt 8, van Richtlijn (EU) 2016/680 voor de verwerking, via de router, van API-gegevens die in het kader van deze verordening persoonsgegevens zijn, ook wat de doorzending van die gegevens via de router en de opslag om technische redenen van die gegevens op de router betreft.

De luchtvaartmaatschappijen zijn verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 voor de verwerking van API-gegevens die persoonsgegevens zijn, met betrekking tot de verzameling van die gegevens en de doorgifte ervan aan de router uit hoofde van deze verordening.

Artikel 8

Beveiliging

De PIE’s en de luchtvaartmaatschappijen zorgen voor de beveiliging van de API-gegevens die zij op grond van deze verordening verwerken, in het bijzonder API-gegevens die persoonsgegevens zijn.

De PIE’s en de luchtvaartmaatschappijen werken, overeenkomstig hun respectieve verantwoordelijkheden en met inachtneming van het Unierecht, met elkaar en met eu-LISA samen om die beveiliging te waarborgen.

Artikel 9

Interne monitoring

De luchtvaartmaatschappijen en de PIE’s monitoren, onder meer door frequente verificatie van de logbestanden overeenkomstig artikel 7, of zij de op hen rustende verplichtingen van deze verordening nakomen, met name wat betreft de verwerking van API-gegevens die persoonsgegevens zijn.

HOOFDSTUK 4

DE ROUTER

Artikel 10

Verbindingen van de PIE’s met de router

1.De lidstaten zorgen ervoor dat hun PIE’s verbonden zijn met de router. Zij zorgen ervoor dat hun nationale systemen en infrastructuur voor de ontvangst en verdere verwerking van op grond van deze verordening doorgegeven API-gegevens met de router worden geïntegreerd.

De lidstaten zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat de PIE’s de API-gegevens kunnen ontvangen en verder verwerken en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen.

2.De Commissie is bevoegd overeenkomstig artikel 19 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de verbinding en integratie met de router als bedoeld in lid 1.

Artikel 11

Verbindingen van de luchtvaartmaatschappijen met de router

1.De luchtvaartmaatschappijen zorgen ervoor dat zij verbonden zijn met de router. Zij zorgen ervoor dat hun systemen en infrastructuur voor de doorgifte van API-gegevens aan de router op grond van deze verordening, worden geïntegreerd met de router.

De luchtvaartmaatschappijen zorgen ervoor dat de verbinding en de integratie met de router van dien aard zijn dat zij de API-gegevens kunnen doorgeven en alle daarmee verband houdende communicatie op een rechtmatige, beveiligde, doeltreffende en snelle wijze kunnen uitwisselen.

2.De Commissie is bevoegd overeenkomstig artikel 19 gedelegeerde handelingen vast te stellen teneinde deze verordening aan te vullen met de nodige gedetailleerde regels inzake de verbinding en integratie met de router als bedoeld in lid 1.

Artikel 12

Kosten van de lidstaten

1.De kosten die de lidstaten maken in verband met de in artikel 10 bedoelde verbindingen en integratie met de router, komen ten laste van de algemene begroting van de Unie. De volgende kosten vormen evenwel een uitzondering en worden gedragen door de lidstaten:

a)kosten voor projectbeheer, met inbegrip van kosten voor vergaderingen, dienstreizen en kantoren;

b)kosten voor het hosten van nationale informatietechnologiesystemen (IT-systemen), met inbegrip van kosten voor ruimte, implementatie, elektriciteit en koeling;

c)kosten voor de exploitatie van nationale IT-systemen, met inbegrip van kosten voor operatoren en contracten voor ondersteuning;

d)kosten voor het ontwerp, de ontwikkeling, de implementatie, de exploitatie en het onderhoud van nationale communicatienetwerken.

2.De lidstaten dragen ook de kosten in verband met de administratie, het gebruik en het onderhoud van hun verbindingen met de router en de integratie met de router.

Artikel 13

Maatregelen ingeval het gebruik van de router technisch onmogelijk is

1.Wanneer het vanwege een storing van de router technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stelt eu-LISA de luchtvaartmaatschappijen en de PIE’s daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt eu-LISA onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt het, wanneer de storing verholpen is, de betrokken partijen daarvan onmiddellijk in kennis.

Artikel 4, lid 6, is gedurende de tijd tussen deze kennisgevingen niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. Voor zover dat het geval is, is gedurende die tijd artikel 4, lid 1, evenmin van toepassing op de betrokken API-gegevens.

2.Wanneer het vanwege een storing van de in artikel 10 bedoelde systemen of infrastructuur van een lidstaat technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stelt de PIE van die lidstaat de luchtvaartmaatschappijen, de andere PIE’s, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt die lidstaat onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt hij, wanneer de storing verholpen is, de betrokken partijen daarvan onmiddellijk in kennis.

Artikel 4, lid 6, is gedurende de tijd tussen deze kennisgevingen niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. Voor zover dat het geval is, is gedurende die tijd artikel 4, lid 1, evenmin van toepassing op de betrokken API-gegevens.

3.Wanneer het vanwege een storing van de in artikel 11 bedoelde systemen of infrastructuur van een luchtvaartmaatschappij technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden, stelt die luchtvaartmaatschappij de PIE’s, eu-LISA en de Commissie daarvan onmiddellijk op geautomatiseerde wijze in kennis. In dat geval neemt de luchtvaartmaatschappij onmiddellijk maatregelen om de technische storing die het gebruik van de router belet, te verhelpen en stelt zij, wanneer de storing verholpen is, de betrokken partijen daarvan onmiddellijk in kennis.

Artikel 4, lid 6, is gedurende de tijd tussen deze kennisgevingen niet van toepassing, voor zover de technische storing de doorgifte van API-gegevens aan de router belet. Voor zover dat het geval is, is gedurende die tijd artikel 4, lid 1, evenmin van toepassing op de betrokken API-gegevens.

Wanneer de technische storing die het gebruik van de router belet, is verholpen, dient de betrokken luchtvaartmaatschappij bij de in artikel 15 bedoelde bevoegde nationale toezichthoudende autoriteit onverwijld een verslag in met alle nodige details over de technische storing, met inbegrip van de redenen voor de storing, de omvang en de gevolgen van de storing en de maatregelen die zijn genomen om de storing te verhelpen.

Artikel 14

Aansprakelijkheid voor de router

Indien de router schade oploopt omdat een lidstaat of een luchtvaartmaatschappij de uit deze verordening voortvloeiende verplichtingen niet is nagekomen, is die lidstaat of die luchtvaartmaatschappij aansprakelijk voor die schade, tenzij en voor zover eu-LISA heeft nagelaten redelijke stappen te ondernemen om het optreden van de schade te voorkomen of de omvang ervan zo veel mogelijk te beperken.

HOOFDSTUK 5

TOEZICHT, SANCTIES EN HANDLEIDING

Artikel 15

Nationale toezichthoudende autoriteit

1.De lidstaten wijzen een of meer nationale toezichthoudende autoriteiten aan die de taak krijgen te monitoren hoe de luchtvaartmaatschappijen de bepalingen van deze verordening toepassen op hun grondgebied, en de naleving van die bepalingen te waarborgen.

2.De lidstaten zorgen ervoor dat de nationale toezichthoudende autoriteiten over de nodige middelen en de nodige onderzoeks- en handhavingsbevoegdheden beschikken om hun taken uit hoofde van deze verordening uit te voeren en om in dat verband, in voorkomend geval, ook de in artikel 16 bedoelde sancties op te leggen. Zij stellen gedetailleerde regels over de uitvoering van die taken en de uitoefening van die bevoegdheden vast en zorgen ervoor dat de uitvoering en de uitoefening doeltreffend, evenredig en afschrikkend zijn en onderworpen zijn aan waarborgen die in overeenstemming zijn met de door het Unierecht beschermde grondrechten.

3.    Uiterlijk op de in artikel 21, tweede alinea, bedoelde datum van toepassing van deze verordening stellen de lidstaten de Commissie in kennis van de naam en de contactgegevens van de autoriteiten die zij op grond van lid 1 hebben aangewezen, alsook van de gedetailleerde regels die zij op grond van lid 2 hebben vastgesteld. Zij stellen de Commissie onverwijld in kennis van latere veranderingen of wijzigingen in dat verband.

4.Dit artikel doet geen afbreuk aan de bevoegdheden van de toezichthoudende autoriteiten als bedoeld in artikel 51 van Verordening (EU) 2016/679 en artikel 41 van Richtlijn (EU) 2016/680.

Artikel 16

Sancties

De lidstaten stellen voorschriften vast ten aanzien van de sancties die van toepassing zijn op overtredingen van deze verordening en nemen alle nodige maatregelen om ervoor te zorgen dat deze sancties worden uitgevoerd. De sancties zijn doeltreffend, evenredig en afschrikkend.

De lidstaten stellen de Commissie uiterlijk op de in artikel 21, tweede alinea, bedoelde datum van toepassing van deze verordening in kennis van deze voorschriften en maatregelen en stellen haar onverwijld in kennis van latere wijzigingen.

Artikel 17

Praktische handleiding

De Commissie stelt in nauwe samenwerking met de PIE’s, andere relevante autoriteiten van de lidstaten, de luchtvaartmaatschappijen en de relevante agentschappen van de Unie een praktische handleiding met richtsnoeren, aanbevelingen en beste praktijken voor de uitvoering van deze verordening op en maakt deze openbaar beschikbaar.

In de praktische handleiding wordt rekening gehouden met de bestaande handleidingen ter zake.

De Commissie stelt de praktische handleiding vast in de vorm van een aanbeveling.

HOOFDSTUK 6

VERBAND MET ANDERE BESTAANDE INSTRUMENTEN

Artikel 18

Wijzigingen van Verordening (EU) 2019/818

___________

   In artikel 39 worden de leden 1 en 2 vervangen door:

“1. Er wordt een centraal register voor rapportage en statistieken (CRRS) ingesteld om de doelstellingen van Eurodac, SIS en ECRIS-TCN in overeenstemming met de voor die systemen respectievelijk geldende rechtsinstrumenten te ondersteunen en om te voorzien in systeemoverschrijdende statistische gegevens en analytische verslagen voor doeleinden op het gebied van beleid, operationaliteit en gegevenskwaliteit. Het CRRS dient ook ter ondersteuning van de doelstellingen van Verordening (EU).../... van het Europees Parlement en de Raad* [deze verordening].

*    Verordening (EU) [nummer] van het Europees Parlement en de Raad van xy betreffende [officieel vastgestelde titel] (PB L …).

2. eu-LISA zorgt op zijn technische locaties voor het opstellen, implementeren en hosten van het CRRS, met daarin de logisch per EU-informatiesysteem gescheiden gegevens en statistieken als bedoeld in artikel 74 van Verordening (EU) 2018/1862 en artikel 32 van Verordening (EU) 2019/816. eu-LISA verzamelt ook de gegevens en statistieken van de router als bedoeld in artikel 13, lid 1, van Verordening (EU) .../... * [deze verordening]. Toegang tot het CRRS wordt uitsluitend met het oog op het opstellen van rapporten en statistieken verleend aan de in artikel 74 van Verordening (EU) 2018/1862, artikel 32 van Verordening (EU) 2019/816 en artikel 13, lid 1, van Verordening (EU) .../... * [deze verordening] bedoelde autoriteiten door middel van een gecontroleerde en beveiligde toegang en specifieke gebruikersprofielen.”

HOOFDSTUK 7

SLOTBEPALINGEN

Artikel 19

Uitoefening van de bevoegdheidsdelegatie

1.De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.

2.De in artikel 4, leden 5 en 9, artikel 5, lid 3, artikel 10, lid 2, en artikel 11, lid 2, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor een termijn van vijf jaar met ingang van [datum van vaststelling van deze verordening]. De Commissie stelt uiterlijk negen maanden voor het einde van de termijn van vijf jaar een verslag op over de bevoegdheidsdelegatie. De bevoegdheidsdelegatie wordt stilzwijgend met termijnen van dezelfde duur verlengd, tenzij het Europees Parlement of de Raad zich uiterlijk drie maanden voor het einde van elke termijn tegen deze verlenging verzet.

3.Het Europees Parlement of de Raad kan de in artikel 4, leden 5 en 9, artikel 5, lid 3, artikel 10, lid 2, en artikel 11, lid 2, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.Vóór de vaststelling van een gedelegeerde handeling raadpleegt de Commissie de door elke lidstaat aangewezen deskundigen overeenkomstig de beginselen die zijn neergelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven.

5.Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.

Artikel 20

Monitoring en evaluatie

1.Uiterlijk [vier jaar na de datum van inwerkingtreding van deze verordening] en vervolgens om de vier jaar stelt de Commissie een verslag met een algemene evaluatie van deze verordening op, met daarin onder meer een beoordeling van:

a)de toepassing van deze verordening;

b)de mate waarin deze verordening haar doelstellingen heeft bereikt;

c)de gevolgen van deze verordening voor de krachtens het Unierecht beschermde grondrechten;

d)De Commissie zendt het verslag van de evaluatie toe aan het Europees Parlement, de Raad, de Europese Toezichthouder voor gegevensbescherming en het Bureau van de Europese Unie voor de grondrechten. In voorkomend geval dient de Commissie in het licht van de evaluatie een wetgevingsvoorstel tot wijziging van deze verordening in bij het Europees Parlement en de Raad.

2.De lidstaten en de luchtvaartmaatschappijen verstrekken de Commissie op verzoek de informatie die nodig is om het in de lid 1 bedoelde verslag op te stellen. De lidstaten kunnen echter afzien van het verstrekken van dergelijke informatie indien, en voor zover, dat nodig is om te beletten dat vertrouwelijke werkmethoden openbaar worden of lopende, door hun PIE’s of andere rechtshandhavingsinstanties uitgevoerde onderzoeken in het gedrang komen. De Commissie ziet erop toe dat alle verstrekte vertrouwelijke informatie adequaat wordt beschermd.

Artikel 21

Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

De toepassing ervan gaat in twee jaar na de door de Commissie overeenkomstig artikel 27 van Verordening (EU) [API-gegevens voor grensbeheer] gespecificeerde datum van ingebruikneming van de router.

Artikel 4, leden 5 en 9, artikel 5, lid 3, artikel 10, lid 2, artikel 11, lid 2, en artikel 19 zijn echter van toepassing met ingang van [datum van inwerkingtreding van deze verordening].

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in de lidstaten overeenkomstig de Verdragen.

Gedaan te Straatsburg,

FINANCIEEL MEMORANDUM

De financiële gevolgen van dit voorstel worden behandeld in het gezamenlijk financieel memorandum bij het voorstel voor Verordening (EU) [API-gegevens voor grensbeheer].

(1)    Europol, dreigingsevaluatie van de zware en georganiseerde criminaliteit (Socta), 2021,  https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf .

(2)    Europol, rapport over de stand van zaken en de tendensen op het vlak van terrorisme (Te-SAT), 2021,  https://www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf .

(3)    Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit.

(4)    Richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven.

(5)    Zie punt 18 van bijlage 1 bij Richtlijn (EU) 2016/681.

(6)    Resoluties 2178(2014), 2309(2016), 2396(2017) en 2482(2019) van de VN-Veiligheidsraad, alsmede Besluit 6/16 van de ministerraad van de OVSE van 9 december 2016 over een intensiever gebruik van vooraf te verstrekken passagiersgegevens.

(7)     Besluit 6/16 van de ministerraad van de OVSE van 9 december 2016 over een intensiever gebruik van vooraf te verstrekken passagiersgegevens.

(8)    Werkdocument van de diensten van de Commissie bij het verslag over de evaluatie van Richtlijn 2016/681, SWD(2020) 128 final.

(9)    COM(2021) 277 final van 2.6.2021.

(10)    In de PNR-richtlijn zijn voorwaarden voor de verwerking van de gegevens vastgesteld, onder meer inzake de betrokken bevoegde instanties (artikel 7), de bewaartermijn van de gegevens (artikel 12) en de bescherming van persoonsgegevens (artikel 13).

(11)    HvJ-EU, arrest in zaak C-817/19, Ligue des droits humains.

(12)    Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

(13)    Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens.

(14)    Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(15)    ICAO, document 9303, Machine Readable Travel Documents, achtste editie, 2021, https://www.icao.int/publications/documents/9303_p1_cons_en.pdf .

(16)    HvJ-EU, arrest in zaak C-817/19, Ligue des droits humains, van 21 juni 2022.

(17)    Werkdocument van de diensten van de Commissie over de evaluatie van Richtlijn 2004/82/EG van de Raad betreffende de verplichting voor vervoerders om passagiersgegevens door te geven (API-richtlijn), SWD(2020) 174 final van 8.9.2020, blz. 26 en 43.

(18)    SWD(2020) 174, blz. 57.

(19)    SWD(2020) 174.

(20)     https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Border-law-enforcement-advance-air-passenger-information-API-revised-rules_nl .

(21)    Artikel 2, lid 1, van Verordening (EU) 2021/1119 van 30 juni 2021 tot vaststelling van een kader voor de verwezenlijking van klimaatneutraliteit.

(22)    HvJ-EU, arrest van 9 november 2010, gevoegde zaken C-92/09 en C-93/09, Volker und Markus Schecke en Eifert, Jurispr. 2010, blz. I-0000.

(23)    Artikel 52, lid 1, van het Handvest van de grondrechten bepaalt dat beperkingen op de uitoefening van het recht op gegevensbescherming bij wet moeten worden gesteld en de wezenlijke inhoud van die rechten en vrijheden moeten eerbiedigen, en dat, met inachtneming van het evenredigheidsbeginsel slechts beperkingen kunnen worden gesteld, indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Europese Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.

(24)    HvJ-EU, arrest van 5 juni 2018, zaak C-673/16, Coman.

(25)    Verordening (EU) 2021/1149 van het Europees Parlement en de Raad van 7 juli 2021 tot oprichting van het Fonds voor interne veiligheid.

(26)    PB C van , blz. .

(27)    Richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven (PB L 261 van 6.8.2004, blz. 24).

(28)    Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PB L 119 van 4.5.2016, blz. 132).

(29)    PB C van , blz. .

(30)    Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(31)    Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(32)    Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).

(33)    PB L 123 van 12.5.2016, blz. 1.

(34)    [PB C …]

(35)    Richtlijn (EU) 2017/541 van het Europees Parlement en de Raad van 15 maart 2017 inzake terrorismebestrijding en ter vervanging van Kaderbesluit 2002/475/JBZ van de Raad en tot wijziging van Besluit 2005/671/JBZ van de Raad (PB L 88 van 31.3.2017, blz. 6).