UZASADNIENIE

1.KONTEKST WNIOSKU

•Przyczyny i cele wniosku

W ostatnich dziesięcioleciach wzrosła liczba osób podróżujących drogą powietrzną oraz innowacji opracowywanych z myślą o zwiększeniu efektywności – w rezultacie samoloty są większe i pojawiła się potrzeba usprawnienia przepływu pasażerów w portach lotniczych. W 2019 r. Organizacja Międzynarodowego Lotnictwa Cywilnego (ICAO) poinformowała, że z usług regularnego przewozu lotniczego na świecie korzysta 4,5 mld pasażerów 1 , przy czym każdego roku do UE wjeżdża – lub ją opuszcza – ponad pół miliarda pasażerów 2 , co stanowi obciążenie dla zewnętrznych granic powietrznych.

Przetwarzanie danych pasażera przekazywanych przed podróżą (API) – zgodnie z obowiązującą dyrektywą w sprawie API 3 i niniejszym wnioskiem – stanowi narzędzie zarządzania granicami, które zwiększa skuteczność i wydajność odprawy granicznej poprzez ułatwianie i przyspieszanie odprawy celnej podróżnych, a także instrument przeciwdziałania nielegalnej imigracji. Dane API to zestaw informacji dotyczących tożsamości pasażerów zawartych w ich dokumentach podróży w połączeniu z informacjami o locie zebranymi podczas odprawy i przekazanymi służbom granicznym kraju docelowego. Dzięki temu, że wspomniane organy otrzymują dane API przed przylotem, mogą one – zgodnie z obowiązującymi przepisami – skontrolować wcześniej podróżnych pod kątem profili ryzyka, list ostrzegawczych i baz danych, przyspieszając w ten sposób odprawę graniczną osób podróżujących w dobrej wierze i przeznaczając więcej zasobów i czasu na identyfikację podróżnych, w przypadku których konieczne jest dalsze dochodzenie po przylocie.

Od 2017 r. ustanowienie systemów gromadzenia i przekazywania danych API jest normą międzynarodową określoną w Konwencji o międzynarodowym lotnictwie cywilnym (konwencja chicagowska 4 ). W UE kwestię tę uregulowano dyrektywą w sprawie API. W dyrektywie tej nałożono na przewoźników lotniczych obowiązek przekazywania służbom granicznym kraju docelowego, na ich wniosek, danych API przed odlotem. Nie nałożono w niej jednak na państwa członkowskie obowiązku występowania z wnioskiem do przewoźników lotniczych o przekazanie danych API, co powoduje luki i niespójności w sposobie gromadzenia i wykorzystywania danych, ponieważ niektóre państwa członkowskie systematycznie gromadzą dane API, podczas gdy inne tego nie robią 5 . Szacuje się, że średnio – uwzględniając wszystkie państwa członkowskie łącznie – dane API gromadzone są w przypadku 65 % lotów przychodzących 6 . Powoduje to sytuację, w której osobom chcącym uniknąć odprawy łatwo jest ominąć trasy, na których dane API są konsekwentnie gromadzone, i zamiast tego podróżować do celu trasami, na których dane API są wykorzystywane rzadziej lub nie są wykorzystywane wcale.

Przeprowadzona niedawno ocena dyrektywy w sprawie API wykazała, że nawet gdy państwa członkowskie występują z wnioskiem o przekazanie danych API, ich organy krajowe nie zawsze wykorzystują dane API w sposób spójny. Dane API umożliwiają bowiem straży granicznej przeprowadzanie wstępnej kontroli tożsamości pasażerów i ważności używanego dokumentu podróży w bazach danych przewidzianych w kodeksie granicznym Schengen 7 . Mimo to nie wszystkie państwa członkowskie wykorzystują dane API do przeprowadzania wstępnej kontroli w bazach danych określonych w kodeksie granicznym Schengen 8 . Irlandia, która nie uczestniczy w kodeksie granicznym Schengen, stosuje podobne przepisy krajowe. Nie zmieni się to w wyniku przyjęcia proponowanego rozporządzenia.

W dyrektywie w sprawie API ustanowiono jedynie ograniczone kryteria gromadzenia, przekazywania i przetwarzania danych API w odniesieniu do zakresu lotów, w przypadku których gromadzone są dane, elementów danych, które mają być zebrane, lub środków pozyskiwania danych – kryteria te nie uwzględniają zmian w międzynarodowych normach i wytycznych dotyczących gromadzenia danych API 9 . Prowadzi to do bardzo rozbieżnych praktyk, co nie tylko zmniejsza skuteczność i wydajność odprawy granicznej, ale także stanowi dodatkowe obciążenie dla przewoźników lotniczych, którzy muszą przestrzegać różnych zbiorów wymogów w zależności od tras, na których przewożą pasażerów, oraz od państwa członkowskiego zwracającego się z wnioskiem o przekazanie danych API. Dostosowanie procedur gromadzenia i przekazywania danych API do tych międzynarodowych norm dotyczących danych API zapewniłoby przestrzeganie wymogów w zakresie API przez branżę lotniczą. W celu zapewnienia skutecznego korzystania z danych API muszą one być dokładne, kompletne i aktualne. Jeżeli dane dotyczące tożsamości nie są wiarygodne i nie zostały zweryfikowane – co obecnie niekiedy się zdarza – kontrole krzyżowe w bazach danych nie przyniosą wiarygodnych wyników operacyjnych. Z uwagi na fakt, że w ciągu ostatnich 20 lat odprawa przez internet stała się powszechną praktyką, pasażerowie coraz częściej ręcznie przepisują dane API z dokumentu podróży lub przekazują je w ramach oświadczenia własnego. Przekazywanie organom krajowym niepełnych, nieprawidłowych lub nieaktualnych danych API może prowadzić do powstania luk w rodzajach kontroli, jakie mogą przeprowadzać służby graniczne, co ostatecznie ma wpływ na podróżnych, którzy mogą być poddawani nieprawidłowym i niepotrzebnym kontrolom. Konieczność zagwarantowania odpowiedniej jakości gromadzonych danych API jest ściśle związana ze środkami stosowanymi przez linie lotnicze w celu zapewnienia, aby odpowiednie gromadzone dane API odpowiadały informacjom zawartym w dokumentach podróży. Obowiązujące ramy dotyczące API nie przewidują sposobów gromadzenia danych API od podróżnych. Zautomatyzowane gromadzenie danych – w przeciwieństwie do ręcznego przepisywania informacji – pozwoliłoby zmniejszyć liczbę problemów z jakością oraz zapewnić bardziej skuteczne i wydajne wykorzystanie danych API, co z kolei przyczyniłoby się do skrócenia czasu, który właściwe służby graniczne poświęcają na kontakty z przewoźnikami.

Dlatego też zmiana obowiązujących ram prawnych dotyczących gromadzenia i przekazywania danych API daje możliwość poprawy w zakresie zarządzania granicami zewnętrznymi i zwalczania nielegalnej imigracji. W tym celu pomaga zapewnić, aby każda osoba podróżująca drogą powietrzną z państwa trzeciego lub państwa członkowskiego nieuczestniczącego w proponowanym rozporządzeniu do Unii (a dokładniej do państw należących do strefy Schengen nieprzeprowadzających kontroli na granicach wewnętrznych („strefa Schengen”), jak również do Irlandii) – tj. obywatele państw trzecich, bezpaństwowcy i obywatele UE – mogła zostać poddana wstępnej kontroli z wykorzystaniem danych API przed przybyciem oraz aby państwa członkowskie stosowały jednolite kryteria w odniesieniu do takiego gromadzenia i przekazywania danych do celów kontroli na granicach zewnętrznych i zwalczania nielegalnej imigracji. Dzięki ułatwieniu przepływów pasażerów w portach lotniczych i przyspieszeniu odprawy granicznej niniejszy wniosek przyczyni się do zapewnienia wydajnego przeprowadzania systematycznej odprawy wszystkich pasażerów podróżujących drogą powietrzną zgodnie z obowiązującymi przepisami 10 .

•Spójność z przepisami obowiązującymi w tej dziedzinie polityki

W niniejszym wniosku zareagowano na potrzebę ustanowienia wspólnych przepisów dotyczących gromadzenia i przekazywania danych API do celów zarządzania granicami i zwalczania nielegalnej imigracji, co jest związane z istnieniem strefy Schengen i ustanowieniem wspólnych przepisów regulujących przepływ osób przez granice zewnętrzne. Niniejszy wniosek jest zgodny z obowiązkami określonymi w kodeksie granicznym Schengen w zakresie odpraw osób na granicach zewnętrznych. Proponowane rozporządzenie wpisuje się w szerszy krajobraz wielkoskalowych systemów informacyjnych UE, który znacznie rozwinął się od czasu przyjęcia dyrektywy w sprawie API w 2004 r. Dodatkowo w wytycznych strategicznych przyjętych przez Radę Europejską w czerwcu 2014 r. przewidziano rozszerzenie procedur podejmowanych przez straż graniczną na granicach zewnętrznych w celu zwiększenia skuteczności odpraw prowadzonych przed punktem kontroli granicznej oraz ograniczenia negatywnych skutków na granicach. Należą do nich: System Informacyjny Schengen (SIS), wizowy system informacyjny (VIS) i system Eurodac 11 . Oprócz powyższych, w fazie opracowania są obecnie trzy nowe systemy: system wjazdu/wyjazdu (EES), europejski system informacji o podróży oraz zezwoleń na podróż (ETIAS) oraz scentralizowany system identyfikacji państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców (system ECRIS-TCN) 12 . Wszystkie te obecne i przyszłe systemy są powiązane za pośrednictwem ram interoperacyjności systemów informacyjnych UE 13 w dziedzinie bezpieczeństwa oraz zarządzania granicami i migracjami, przyjętych w 2019 r., które są obecnie wdrażane. Zmiany ujęte w niniejszym wniosku uwzględniają ramy interoperacyjności.

Router będący przedmiotem wniosku pozwala w szczególności uniknąć dublowania elementów technicznych poprzez współdzielenie elementów portalu dla przewoźników ETIAS. Portal dla przewoźników ETIAS zapewnia środki techniczne, które pozwalają przewoźnikom na sprawdzanie w ETIAS statusu obywateli państw trzecich zwolnionych z obowiązku wizowego i podróżujących do państw członkowskich. Proponowane rozporządzenie zapewnia rozróżnienie i całkowite oddzielenie poszczególnych procesów przetwarzania danych oraz przestrzeganie praw dostępu określonych w poszczególnych instrumentach UE. Ponadto proponowane rozporządzenie łączy prace istniejącej grupy doradczej eu-LISA ds. EES–ETIAS z przyszłymi pracami nad API, dzięki czemu możliwe jest zwiększenie efektywności i korzyści skali poprzez uniknięcie powielania grup roboczych.

Jak wyjaśniono powyżej, odprawy graniczne – które mają stać się łatwiejsze i sprawniejsze dzięki przepisom proponowanego rozporządzenia – mają być przeprowadzane w stosownych przypadkach zgodnie z kodeksem granicznym Schengen lub prawem krajowym.

Ponadto ogólnie obowiązujące akty prawne UE będą miały zastosowanie zgodnie z określonymi w nich warunkami. Jeżeli chodzi o przetwarzanie danych osobowych, dotyczy to w szczególności ogólnego rozporządzenia o ochronie danych (RODO) 14 i rozporządzenia UE o ochronie danych 15 . Niniejszy wniosek nie ma wpływu na te akty prawne.

Zastosowanie wyżej wymienionych aktów prawa UE do przetwarzania danych API otrzymanych na podstawie niniejszego rozporządzenia oznacza, że państwa członkowskie wdrażają prawo UE w rozumieniu art. 51 ust. 1 Karty, co oznacza, że zastosowanie mają również przepisy Karty. W szczególności przepisy zawarte w tych aktach prawa UE należy interpretować w świetle Karty.

Wytyczne ICAO 16 dotyczące dokumentów podróży odczytywanych maszynowo zostały transponowane rozporządzeniem 2019/1157 w sprawie poprawy zabezpieczeń dowodów osobistych obywateli Unii oraz rozporządzeniem nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach. Rozporządzenia te są prekursorami umożliwiającymi zautomatyzowane pozyskiwanie pełnych i wysokiej jakości danych z dokumentów podróży.

Proponowane rozporządzenie będzie kolejnym elementem dorobku prawnego UE. Właściwe służby graniczne państw członkowskich będą nadal otrzymywały i dalej przetwarzały dane API wyłącznie do celów zarządzania granicami i zwalczania nielegalnej imigracji, tj. do celów, do których dane API zostały zgromadzone na podstawie proponowanego rozporządzenia.

Niniejszy wniosek jest ściśle związany z wnioskiem dotyczącym rozporządzenia w sprawie gromadzenia i przekazywania danych API w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania, ponieważ oba wnioski zawierają podobne przepisy dotyczące wykazu elementów danych API, gromadzenia danych API w sposób zautomatyzowany oraz przekazywania danych do routera.

2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ

•Podstawa prawna

W przypadku niniejszego proponowanego rozporządzenia w sprawie gromadzenia i przekazywania danych API do celów zarządzania granicami i zwalczania nielegalnej imigracji – ze względu na cel i przewidziane środki – właściwą podstawą prawną jest art. 77 ust. 2 lit. b) i d) oraz art. 79 ust. 2 lit. c) Traktatu o funkcjonowaniu Unii Europejskiej (TFUE).

Zgodnie z art. 77 ust. 2 lit. b) TFUE Unia jest uprawniona do przyjmowania środków dotyczących kontroli, którym podlegają osoby przekraczające granice zewnętrzne, a zgodnie z lit. d) tego artykułu Unia jest uprawniona do przyjmowania wszelkich środków niezbędnych do stopniowego wprowadzania zintegrowanego systemu zarządzania granicami zewnętrznymi. Zgodnie z art. 79 ust. 2 lit. c) TFUE Unia jest uprawniona do przyjmowania środków dotyczących nielegalnej imigracji.

Pozwala to zapewnić spójność z obowiązującą dyrektywą w sprawie API, której podstawę stanowią te same przepisy.

•Pomocniczość

Zważywszy, że na mocy TFUE wyraźnie upoważnia się Unię do opracowania wspólnej polityki w zakresie kontroli, którym podlegają osoby przekraczające granice zewnętrzne, jest to wyraźny cel, który należy realizować na szczeblu UE. Jednocześnie jest to obszar kompetencji dzielonych między UE a państwami członkowskimi.

Potrzeba ustanowienia wspólnych przepisów dotyczących gromadzenia i przekazywania danych API do celów zarządzania granicami i zwalczania nielegalnej imigracji jest związana – w szczególności i bez uszczerbku dla szczególnego stanowiska Irlandii – z utworzeniem strefy Schengen i wspólnych przepisów regulujących przepływ osób przez granice zewnętrzne, w szczególności zgodnie z kodeksem granicznym Schengen 17 . W tym kontekście decyzje jednego państwa członkowskiego mają wpływ na inne państwa członkowskie, dlatego konieczne jest ustanowienie wspólnych i jasnych zasad oraz praktyk operacyjnych w tej dziedzinie. Wydajne i skuteczne kontrole na granicach zewnętrznych wymagają spójnego podejścia w całej strefie Schengen, w tym w zakresie możliwości wstępnych kontroli podróżnych z wykorzystaniem danych API.

Potrzeba podjęcia działania na poziomie UE w odniesieniu do danych API na tym etapie wynika również z niedawnych zmian legislacyjnych dotyczących zarządzania zewnętrznymi granicami strefy Schengen, w szczególności:

–rozporządzenie w sprawie interoperacyjności 18 z 2019 r. umożliwi systematyczne odprawy osób przekraczających granice zewnętrzne z wykorzystaniem wszystkich dostępnych i istotnych informacji zawartych w scentralizowanych systemach informacyjnych UE w dziedzinie bezpieczeństwa oraz zarządzania granicami i migracjami. Ustanowienie scentralizowanego mechanizmu przekazywania danych API na poziomie UE jest logiczną kontynuacją tej koncepcji. Zgodnie z koncepcjami zawartymi w rozporządzeniach w sprawie interoperacyjności scentralizowane przekazywanie danych API mogłoby w przyszłości prowadzić do wykorzystywania tych danych do przeszukiwania różnych baz danych (SIS, dane Europolu) za pośrednictwem europejskiego portalu wyszukiwania;

–na granicach zewnętrznych wykorzystanie danych API stanowiłoby skuteczne uzupełnienie zbliżającego się wdrożenia europejskiego systemu informacji o podróżach i autoryzacji (ETIAS) oraz systemu wjazdu/wyjazdu (EES). Wykorzystanie danych API byłoby nadal niezbędne w zarządzaniu granicami zewnętrznymi, ponieważ pozwalałoby z wyprzedzeniem informować funkcjonariuszy straży granicznej o tym, czy dany podróżny faktycznie wsiadł na pokład samolotu i zamierza wjechać do strefy Schengen, co ułatwi odprawę graniczną, która będzie miała miejsce po przybyciu podróżnego na granicę zewnętrzną.

•Proporcjonalność

Zgodnie z zasadą proporcjonalności określoną w art. 5 ust. 4 Traktatu UE konieczne jest dostosowanie charakteru i intensywności danego działania do zidentyfikowanego problemu. Wszystkie kwestie poruszone w niniejszej inicjatywie ustawodawczej wymagają, w taki czy inny sposób, podjęcia działań ustawodawczych na szczeblu UE, które umożliwiałyby państwom członkowskim skuteczne zajęcie się tymi problemami, nie wykraczając poza to, co jest konieczne do ich rozwiązania.

Niniejszy wniosek przyczyni się do wzmocnienia ram prawnych dotyczących gromadzenia i przekazywania danych API do celów zarządzania granicami zewnętrznymi i zwalczania nielegalnej imigracji. Dzięki niemu zwiększy się znaczenie danych API jako instrumentu usprawniającego wstępne kontrole podróżnych na granicach zewnętrznych, co przyczyni się nie tylko do poprawy skuteczności i wydajności samej odprawy, ale także do realizacji celu polegającego na zwalczaniu nielegalnej imigracji, szczególnie w związku z transgranicznymi podróżami lotniczymi i odpowiedzialnością przewoźników lotniczych w tym zakresie. Zgodnie z normami międzynarodowymi i zalecanymi praktykami niniejszy wniosek będzie zawierał wymóg, aby przewoźnicy lotniczy gromadzili i przekazywali dane API w odniesieniu do wszystkich lotów do Unii, jak określono we wniosku. Obowiązki określone w niniejszym wniosku są ograniczone do tego, co jest niezbędne do osiągnięcia tego celu. W niniejszym wniosku ustanawia się w szczególności jasne przepisy dotyczące m.in. tego, co stanowi dane API, na jakich trasach przewoźnicy lotniczy powinni gromadzić dane API i jak powinni je przekazywać. W drodze rozporządzenia w niniejszym wniosku określone zostanie spójne podejście do wykorzystania danych API w zarządzaniu granicami zewnętrznymi i zwalczaniu nielegalnej imigracji. Taka standaryzacja wymogów w zakresie API w państwach członkowskich przyczyni się do zwiększenia pewności prawa i przewidywalności, a co za tym idzie – także do lepszego przestrzegania przepisów przez przewoźników lotniczych.

Zgodność z zasadą proporcjonalności zapewnia się również dzięki kilku elementom proponowanego rozporządzenia, obejmującym m.in. ograniczenie wyłącznie do lotów przychodzących, ukierunkowanie wymogu automatyzacji wyłącznie na niektóre dane API oraz zabezpieczenia dotyczące sposobu i celu przetwarzania danych API.

W proponowanym rozporządzeniu przewiduje się utworzenie routera, który stanowiłby pojedynczy punkt łączności między państwami członkowskimi a przewoźnikami lotniczymi, zgodnie z zaleceniami międzynarodowymi, oraz ustanawia się unijne podejście do gromadzenia i przekazywania danych API. Przekazywanie danych API za pośrednictwem routera zmniejszy koszty ponoszone przez branżę lotniczą i zapewni straży granicznej szybki i bezproblemowy dostęp do danych API, których potrzebuje ona do przeprowadzania odpraw granicznych z wyprzedzeniem. Takie podejście pozwoli drastycznie zmniejszyć liczbę połączeń, które trzeba nawiązywać i utrzymywać z perspektywy państw członkowskich. Z drugiej strony przyczyni się do zmniejszenia złożoności procesu utrzymywania przez przewoźników lotniczych połączeń z właściwymi służbami granicznymi i wprowadzi korzyści skali. Agencja UE – eu-LISA – będzie odpowiedzialna za zaprojektowanie, opracowanie i obsługę routera oraz za zarządzanie techniczne tym routerem. Przekazywanie danych API za pośrednictwem routera ułatwi monitorowanie lotów, a tym samym zmniejszy prawdopodobieństwo, że przewoźnik nie dopełnił obowiązku przekazania danych API zgodnie z niniejszym wnioskiem.

•Wybór instrumentu

Proponowanym rodzajem aktu prawnego jest rozporządzenie. Zgodnie z oceną skutków towarzyszącą niniejszemu wnioskowi oraz ze względu na potrzebę bezpośredniego i jednolitego stosowania proponowanych środków we wszystkich państwach członkowskich odpowiednim aktem prawnym jest rozporządzenie.

3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW

•Oceny ex post obowiązującego prawodawstwa

Z oceny dyrektywy w sprawie API 19 wynika, że uzasadnienie dla gromadzenia danych API i przekazywania ich właściwym służbom granicznym jest nadal aktualne 15 lat po wejściu w życie dyrektywy. Obecne cele dyrektywy – w szczególności cel polegający na usprawnieniu zarządzania kontrolą graniczną, co z kolei może również przyczynić się do zwalczania nielegalnej migracji – pozostają bardzo adekwatne do potrzeb odpowiednich zainteresowanych stron i szeroko pojętego społeczeństwa. Ponadto gromadzenie i przekazywanie danych API uznano za istotne w kontekście ułatwienia legalnego podróżowania.

W ocenie stwierdzono, że brak harmonizacji we wdrażaniu dyrektywy stanowi przeszkodę dla jej skuteczności i spójności. Z uwagi na fakt, że wymogi nałożone w dyrektywie są minimalne, sytuacja w zakresie wdrażania systemów API, a także rzeczywistego wykorzystania danych API jest bardzo zróżnicowana. Ponadto możliwość pozostawiona państwom członkowskim dotycząca wykorzystywania danych API do celów wykonania prawa 20 , bez zapewnienia jasnej definicji tego celu ani ustanowienia ram, doprowadziła do niespójnego wdrożenia na poziomie krajowym. W ocenie stwierdzono również rozbieżności z innymi instrumentami UE, powodujące wystąpienie problemów operacyjnych w praktyce oraz niepewność wśród zainteresowanych stron, w szczególności osób, których dane dotyczą. Wymogi dotyczące ochrony danych osobowych zawarte w dyrektywie w sprawie API nie są w pełni zgodne z najnowszymi osiągnięciami w tej dziedzinie. Ponadto dyrektywa w sprawie API nie jest w pełni spójna z międzynarodowymi ramami prawnymi dotyczącymi informacji o pasażerach, zwłaszcza jeśli chodzi o pola danych i normy transmisji.

W ocenie zwrócono uwagę na szereg niedociągnięć związanych z dyrektywą w sprawie API, tj. brak: (i) standaryzacji i harmonizacji, (ii) pewnych gwarancji ochrony danych oraz (iii) wyraźnego dostosowania do najnowszych zmian politycznych i prawnych na poziomie UE. Elementy te oddziałują na skuteczność dyrektywy, powodują obciążenia dla zainteresowanych stron i generują pewien poziom niepewności prawa dla przewoźników lotniczych gromadzących i przekazujących dane API, dla właściwych służb granicznych otrzymujących i dalej przetwarzających te dane, jak również ostatecznie dla pasażerów.

Wyniki oceny wykorzystano podczas przygotowania oceny skutków i niniejszego wniosku.

•Konsultacje z zainteresowanymi stronami

Przygotowanie niniejszego wniosku obejmowało szeroko zakrojone konsultacje z zainteresowanymi stronami, w tym z organami państw członkowskich (właściwe służby graniczne, jednostka do spraw informacji o pasażerach), przedstawicielami branży transportowej i indywidualnymi przewoźnikami lotniczymi. Agencje UE – takie jak Europejska Agencja Straży Granicznej i Przybrzeżnej (Frontex), Agencja Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA) oraz Agencja Praw Podstawowych Unii Europejskiej (FRA) – również wniosły swój wkład z uwzględnieniem ich uprawnień i wiedzy fachowej. W inicjatywie tej uwzględniono również poglądy i informacje zwrotne otrzymane podczas konsultacji publicznych przeprowadzonych pod koniec 2019 r. w ramach oceny dyrektywy w sprawie API 21 .

W ramach działań konsultacyjnych prowadzonych w kontekście przygotowania oceny skutków stanowiącej uzupełnienie niniejszego wniosku zebrano informacje zwrotne od zainteresowanych stron, korzystając z różnych metod. Działania te obejmowały w szczególności wstępną ocenę skutków, zewnętrzne badanie uzupełniające oraz cykl warsztatów technicznych.

Wstępną ocenę skutków opublikowano na potrzeby zbierania informacji zwrotnych w okresie od 5 czerwca 2020 r. do 14 sierpnia 2020 r.; otrzymano łącznie siedem odpowiedzi zawierających informacje zwrotne na temat rozszerzenia zakresu stosowania przyszłej dyrektywy w sprawie API, jakości danych, kar, związku danych API i PNR oraz ochrony danych osobowych 22 .

Zewnętrzne badanie uzupełniające przeprowadzono w oparciu o badanie źródeł wtórnych oraz rozmowy i ankiety z ekspertami w danej dziedzinie, w ramach których przeanalizowano różne możliwe środki przetwarzania danych API na jasnych zasadach, które ułatwiają legalne podróże, a także są zgodne z interoperacyjnością systemów informacyjnych UE, wymogami UE w zakresie ochrony danych osobowych oraz innymi istniejącymi instrumentami UE i normami międzynarodowymi.

Służby Komisji zorganizowały również cykl warsztatów technicznych z ekspertami z państw członkowskich i państw stowarzyszonych w ramach Schengen. Warsztaty te miały na celu zgromadzenie ekspertów w celu wymiany poglądów na temat możliwych wariantów, które przewidziano z myślą o wzmocnieniu przyszłych ram dotyczących API do celów zarządzania granicami i zwalczania nielegalnej imigracji, a także przeciwdziałania przestępczości i terroryzmowi.

Więcej szczegółowych informacji na temat konsultacji z zainteresowanymi stronami zamieszczono w ocenie skutków towarzyszącej niniejszemu wnioskowi (załącznik 2).

•Ocena skutków

Zgodnie z wytycznymi dotyczącymi lepszego stanowienia prawa Komisja przeprowadziła ocenę skutków, którą przedstawiono w towarzyszącym dokumencie roboczym służb Komisji 23 . Rada ds. Kontroli Regulacyjnej oceniła projekt oceny skutków podczas posiedzenia, które odbyło się 28 września 2022 r., a 30 września 2022 r. wydała opinię pozytywną.

Z uwagi na stwierdzone problemy związane z gromadzeniem i przekazywaniem danych API w ocenie skutków dokonano oceny wariantów strategicznych dotyczących zakresu gromadzenia danych API do wyżej wymienionych celów, jak również wariantów dotyczących środków na rzecz poprawy jakości danych API. Jeśli chodzi o gromadzenie danych API na potrzeby zarządzania granicami zewnętrznymi i zwalczania nielegalnej imigracji, w ocenie skutków rozważono z jednej strony gromadzenie danych API w przypadku wszystkich lotów przychodzących spoza strefy Schengen, a z drugiej strony gromadzenie danych API w przypadku wszystkich lotów przychodzących spoza strefy Schengen i lotów wychodzących poza strefę Schengen. W ocenie skutków rozważono również warianty ukierunkowane na poprawę jakości danych API – gromadzenie danych API w sposób zautomatyzowany i ręczny albo gromadzenie danych API wyłącznie w sposób zautomatyzowany.

Z uwagi na fakt, że pełny zestaw danych API jest generowany po wejściu pasażerów na pokład samolotu, straż graniczna otrzymywałaby dane API dopiero po fizycznej kontroli wyjazdu podróżnych i sprawdzeniu ich paszportów, a zatem zbyt późno, aby wspomóc pracę straży granicznej, dlatego też wariant uwzględniający gromadzenie danych API w przypadku wszystkich odpowiednich lotów przychodzących i wychodzących nie został wybrany jako wariant preferowany.

Na podstawie ustaleń zawartych w sprawozdaniu z oceny skutków wariant preferowany dotyczący instrumentu API do celów wskazanych wyżej obejmuje gromadzenie danych API dotyczących wszystkich odpowiednich lotów przychodzących, przy czym niektóre dane API będą gromadzone przez przewoźników lotniczych wyłącznie w sposób zautomatyzowany. Połączenie tych wariantów pozwoliłoby zwiększyć zdolność państw członkowskich w zakresie wykorzystywania danych API na potrzeby skutecznej i wydajnej wstępnej kontroli osób podróżujących drogą powietrzną przed ich przybyciem na granicę zewnętrzną. Standaryzacja wymogów dotyczących gromadzenia i przekazywania danych API pozwoliłaby zwiększyć stopień ich przestrzegania przez branżę lotniczą, ponieważ we wszystkich państwach członkowskich obowiązywałyby te same wymogi. Bardziej wiarygodne i zweryfikowane dane API, w tym dane API zgromadzone w sposób zautomatyzowany, pozwoliłyby na identyfikację podróżnych wysokiego ryzyka i zapewniłyby szybsze ułatwienie odprawy na granicach zewnętrznych oraz odprawę celną pasażerów po przyjeździe. Wniosek jest zgodny z celem neutralności klimatycznej określonym w Europejskim prawie o klimacie 24 oraz z celami Unii na lata 2030 i 2040.

W ocenie skutków rozważono również – i odrzucono – warianty dotyczące np. gromadzenia danych API od operatorów innych środków transportu od podmiotów, takich jak operatorzy transportu morskiego, kolejowego i autobusowego. W ocenie skutków stwierdzono, że istnieją już unijne i międzynarodowe przepisy, w których zobowiązuje się operatorów transportu morskiego do przekazywania z wyprzedzeniem służbom granicznym informacji o pasażerach państw członkowskich na trasach przychodzących i wychodzących. Nałożenie na operatorów transportu morskiego dodatkowego zobowiązania na poziomie UE do przekazywania danych API byłoby zatem zbędne. W porównaniu z sektorem transportu lotniczego gromadzenie danych dotyczących pasażerów stanowi większe wyzwanie dla operatorów transportu lądowego, np. kolejowego lub autobusowego (brak procesów odprawy, brak systematycznego wydawania biletów imiennych), i wymagałoby poważnych inwestycji w infrastrukturę fizyczną operatorów, co wiązałoby się ze znacznymi konsekwencjami dla ich modelu ekonomicznego i pasażerów. Decyzja o nieuwzględnieniu tych aspektów w niniejszym rozporządzeniu pozostaje bez uszczerbku dla praktyk niektórych państw członkowskich, które wymagają podania danych dotyczących pasażerów w przypadku połączeń kolejowych w oparciu o prawo krajowe, pod warunkiem że są one zgodne z prawem UE.

•Prawa podstawowe i ochrona danych osobowych

Niniejsza inicjatywa przewiduje przetwarzanie danych osobowych podróżnych i w związku z tym ogranicza korzystanie z podstawowego prawa do ochrony danych osobowych gwarantowanego przez art. 8 Karty praw podstawowych UE („Karta”) i art. 16 TFUE. Jak podkreślił Trybunał Sprawiedliwości UE (TSUE) 25 , prawo do ochrony danych osobowych nie stanowi prerogatywy o charakterze absolutnym, ale wszelkie ograniczenia powinny być oceniane w świetle jego funkcji społecznej i spełniać kryteria określone w art. 52 ust. 1 Karty 26 . Ochrona danych osobowych jest również ściśle powiązana z poszanowaniem prawa do prywatności, które jest jednym z elementów prawa do życia prywatnego i rodzinnego objętego ochroną na podstawie art. 7 Karty.

Zobowiązanie przewoźników lotniczych do gromadzenia danych API w przypadku wszystkich podróżnych przekraczających granice zewnętrzne, a następnie przekazywania tych danych – za pośrednictwem routera – właściwym służbom granicznym, odpowiada celowi, jakim jest pomoc w zapewnieniu, aby wstępne kontrole na granicach zewnętrznych były przeprowadzane skutecznie i wydajnie w odniesieniu do wszystkich podróżnych wjeżdżających do państw członkowskich, co z kolei przyczyni się również do zwalczania nielegalnej imigracji. Mimo że właściwe służby graniczne nie będą podejmować żadnych decyzji wyłącznie na podstawie danych API, niniejszy wniosek umożliwi służbom granicznym wcześniejsze zorganizowanie ich działań i ułatwi wjazd pasażerom podróżującym w dobrej wierze oraz wykrywanie innego rodzaju pasażerów. Ingerencja w wyżej wymienione prawa podstawowe ogranicza się do tego, co jest ściśle niezbędne do osiągnięcia wymienionych celów, w szczególności poprzez ograniczenie zakresu gromadzonych danych dotyczących tożsamości do informacji zawartych w dokumencie podróży podróżnego oraz ograniczenie zakresu przetwarzania do niezbędnego minimum, w tym w odniesieniu do okresu przechowywania danych osobowych.

Obowiązkowe stosowanie automatyzacji przez przewoźników lotniczych do gromadzenia danych API od podróżnych może prowadzić do powstania dodatkowych zagrożeń z punktu widzenia ochrony danych osobowych. Zagrożenia takie zostały jednak ograniczone i złagodzone. Po pierwsze, wymóg ten ma zastosowanie jedynie w odniesieniu do niektórych danych API, w przypadku których korzystanie z automatyzacji ma odbywać się w sposób odpowiedzialny w odniesieniu do danych nadających się do odczytu maszynowego w dokumentach podróżnych. Po drugie, proponowane rozporządzenie zawiera wymogi dotyczące automatyzacji, które mają zostać doprecyzowane w akcie delegowanym. Ponadto przewidziano kilka zabezpieczeń, takich jak rejestrowanie, przepisy szczegółowe dotyczące ochrony danych osobowych i skuteczny nadzór.

Niniejszy wniosek zawiera również dodatkowe i szczegółowe zabezpieczenia mające na celu zapewnienie zgodności z postanowieniami Karty, w tym w odniesieniu do bezpieczeństwa przetwarzania danych osobowych, usuwania i ograniczenia celu oraz prawa podróżnych do informacji.

Ponadto, mimo że – z wyjątkiem przepisu zapewniającego zgodność z zasadą ograniczenia celu – w proponowanym rozporządzeniu nie uregulowano by kwestii korzystania przez właściwe służby graniczne z danych API, które otrzymują na podstawie niniejszego rozporządzenia, jako że kwestię tę uregulowano już innymi przepisami (kodeks graniczny Schengen, prawo o ochronie danych osobowych, Karta), dla zachowania przejrzystości w motywach przypomniano, że takie wykorzystanie nie może prowadzić do dyskryminacji wykluczonej na mocy art. 21 karty.

4.WPŁYW NA BUDŻET

Niniejsza inicjatywa ustawodawcza dotycząca gromadzenia i przekazywania danych API w celu ułatwienia kontroli na granicach zewnętrznych miałaby wpływ na budżet i potrzeby kadrowe eu-LISA i właściwych służb granicznych państw członkowskich.

W przypadku eu-LISA szacuje się, że potrzebny będzie dodatkowy budżet w wysokości około 45 mln EUR (33 mln z bieżących wieloletnich ram finansowych) na ustanowienie routera oraz 9 mln EUR rocznie, począwszy od 2029 r., na zarządzanie techniczne routerem, a także około 27 dodatkowych stanowisk, aby zagwarantować, aby eu-LISA dysponowała zasobami niezbędnymi do wykonywania zadań powierzonych jej w niniejszym proponowanym rozporządzeniu oraz we wniosku dotyczącym rozporządzenia w sprawie gromadzenia i przekazywania danych API w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania.

W przypadku państw członkowskich szacuje się, że kwota 27 mln EUR (8 mln EUR z bieżących wieloletnich ram finansowych) przeznaczona na modernizację niezbędnych krajowych systemów i infrastruktury na potrzeby organów zarządzania granicami, a począwszy od 2028 r. stopniowo do 5 mln EUR rocznie na utrzymanie tych systemów, może podlegać zwrotowi z funduszu Instrumentu Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej 27 . Wszelkie takie uprawnienia będzie należało ostatecznie określić zgodnie z przepisami regulującymi dysponowanie tymi środkami, jak również zgodnie z przepisami dotyczącymi kosztów zawartymi w proponowanym rozporządzeniu.

Ze względu na ścisły związek pomiędzy niniejszym proponowanym rozporządzeniem a proponowanym rozporządzeniem w sprawie gromadzenia i przekazywania danych API w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia dochodzeń w ich sprawie i ich ścigania, w szczególności w odniesieniu do przekazywania danych API do routera, ocena skutków finansowych regulacji, znajdująca się w załączniku do niniejszego proponowanego rozporządzenia, jest identyczna dla obu wniosków.

5.ELEMENTY FAKULTATYWNE

•Plany wdrożenia i monitorowanie, ocena i sprawozdania

Komisja zapewni wprowadzenie niezbędnych ustaleń dotyczących monitorowania funkcjonowania proponowanych środków i ich oceny w odniesieniu do głównych celów polityki. Cztery lata po rozpoczęciu stosowania proponowanego rozporządzenia, a następnie co cztery lata, Komisja przedłoży Parlamentowi Europejskiemu i Radzie sprawozdanie oceniające wdrożenie rozporządzenia i jego wartość dodaną. Sprawozdanie to będzie zawierać również informacje o wszelkich bezpośrednich lub pośrednich skutkach dla odpowiednich praw podstawowych. Będzie ono zawierać analizę osiągniętych rezultatów pod kątem przyjętych uprzednio celów i ocenę aktualności przesłanek dla wprowadzenia tych komponentów oraz wszelkich konsekwencji w kontekście przyszłych wariantów.

Obowiązkowy charakter zobowiązania do gromadzenia danych API oraz wprowadzenie routera pozwoli na uzyskanie bardziej przejrzystego obrazu zarówno w zakresie gromadzenia i przekazywania danych API przez przewoźników lotniczych, jak i w kontekście późniejszego wykorzystania tych danych przez państwa członkowskie zgodnie z obowiązującymi przepisami krajowymi i przepisami Unii. Ułatwi to Komisji Europejskiej wykonywanie jej zadań związanych z oceną i egzekwowaniem prawa poprzez dostarczenie jej wiarygodnych statystyk dotyczących ilości przekazywanych danych oraz lotów, w odniesieniu do których dane API będą wymagane.

•Zmienna geometria

Niniejszy wniosek stanowi rozwinięcie dorobku Schengen w dziedzinie granic zewnętrznych, ponieważ dotyczy przekraczania granic zewnętrznych. Należy zatem rozważyć następujące konsekwencje w odniesieniu do Protokołu (nr 19) w sprawie dorobku Schengen włączonego w ramy Unii Europejskiej, załączonego do TUE i TFUE, oraz Protokołu (nr 22) w sprawie stanowiska Danii, załączonego do TUE i TFUE.

Wniosek jest objęty środkami w ramach dorobku Schengen, w którym Irlandia uczestniczy zgodnie z art. 6 ust. 2 decyzji Rady 2002/192/WE z dnia 28 lutego 2002 r. dotyczącej wniosku Irlandii o zastosowanie wobec niej niektórych przepisów dorobku Schengen 28 . W szczególności uczestnictwo Irlandii w niniejszym wniosku związane jest z obowiązkami Unii w zakresie wprowadzenia środków rozwijających przepisy dorobku Schengen mające na celu zwalczanie nielegalnej imigracji, w których uczestniczy Irlandia. Irlandia uczestniczy w szczególności ze względu na włączenie do art. 1 ust. 1 wspomnianej decyzji Rady odniesienia do art. 26 konwencji z Schengen dotyczącego obowiązków przewoźników lotniczych w odniesieniu do cudzoziemców, którym odmówiono wjazdu, oraz posiadania przez cudzoziemców niezbędnych dokumentów podróży. Irlandia uczestniczy w całym proponowanym rozporządzeniu.

Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do Traktatu UE (TUE) i TFUE, Dania nie będzie uczestniczyć w przyjęciu niniejszego wniosku, nie jest nim związana ani go nie stosuje po jego przyjęciu. Ponieważ rozporządzenie, którego dotyczy wniosek, będzie stanowić rozwinięcie przepisów dorobku Schengen, zgodnie z art. 4 tego protokołu Dania – w terminie sześciu miesięcy po przyjęciu przez Radę niniejszego wniosku – podejmuje decyzję, czy dokona jego transpozycji do swego prawa krajowego.

W odniesieniu do Cypru, Bułgarii, Rumunii i Chorwacji proponowane rozporządzenie będzie aktem stanowiącym rozwinięcie dorobku Schengen lub w inny sposób z nim związanym w rozumieniu, odpowiednio, art. 3 ust. 1 Aktu przystąpienia z 2003 r., art. 4 ust. 1 Aktu przystąpienia z 2005 r. oraz art. 4 ust. 1 Aktu przystąpienia z 2011 r.

W przypadku Islandii, Norwegii, Szwajcarii i Liechtensteinu proponowane rozporządzenie będzie stanowiło rozwinięcie przepisów dorobku Schengen w rozumieniu umów o uczestnictwie tych krajów w dorobku prawnym.

•Szczegółowe objaśnienia poszczególnych przepisów wniosku

W rozdziale 1 określono przepisy ogólne niniejszego rozporządzenia, począwszy od przepisów dotyczących jego przedmiotu i zakresu stosowania. Zawarto w nim również wykaz definicji.

W rozdziale 2 określono przepisy dotyczące gromadzenia i przekazywania danych API, a mianowicie jasny zestaw zasad dotyczących gromadzenia danych API przez przewoźników lotniczych, zasad dotyczących przekazywania danych API do routera, przetwarzania danych API przez właściwe służby graniczne oraz przechowywania i usuwania danych API przez przewoźników lotniczych i te służby.

Rozdział 3 zawiera przepisy dotyczące przesyłania danych API przez router. W szczególności zawiera on przepisy opisujące główne cechy routera, a także zasady dotyczące korzystania z routera, procedury przekazywania danych API z routera do właściwych służb granicznych, usuwania danych API z routera, prowadzenia rejestrów oraz procedur w przypadku częściowego lub całkowitego braku technicznej możliwości korzystania z routera.

Rozdział 4 zawiera zestaw przepisów szczegółowych dotyczących ochrony danych osobowych. W szczególności określono w nim, kim są administratorzy danych i podmiot przetwarzający dane do celów przetwarzania danych API stanowiących dane osobowe na podstawie niniejszego rozporządzeniem. Określono w nim również środki wymagane od eu-LISA w celu zapewnienia bezpieczeństwa przetwarzania danych zgodnie z przepisami rozporządzenia (UE) 2018/1725. W rozdziale tym określono środki wymagane od przewoźników lotniczych i właściwych służb granicznych w celu zapewnienia monitorowania przez nie własnej działalności w zakresie zgodności z odpowiednimi przepisami określonymi w niniejszym rozporządzeniu oraz zasady dotyczące kontroli.

W rozdziale 5 uregulowano niektóre szczególne kwestie dotyczące routera. Zawiera on wymogi dotyczące podłączenia właściwych służb granicznych i przewoźników lotniczych do routera. Określono w nim również zadania eu-LISA związane z projektowaniem, opracowaniem i obsługą routera oraz zarządzaniem technicznym tym routerem oraz innymi zadaniami pomocniczymi związanymi z routerem. Rozdział ten zawiera ponadto przepisy dotyczące kosztów ponoszonych przez eu-LISA i państwa członkowskie na podstawie niniejszego rozporządzenia, w szczególności w związku z podłączeniem państw członkowskich do routera i integracją z routerem. Określono w nim również przepisy dotyczące odpowiedzialności za uszkodzenie routera, rozpoczęcia funkcjonowania routera oraz możliwości dobrowolnego korzystania z routera przez przewoźników lotniczych pod pewnymi warunkami.

Rozdział 6 zawiera przepisy dotyczące nadzoru, ewentualnych kar mających zastosowanie do przewoźników lotniczych za niewywiązywanie się z obowiązków określonych w niniejszym rozporządzeniu, przepisy dotyczące sprawozdawczości statystycznej prowadzonej przez eu-LISA oraz opracowania przez Komisję praktycznego podręcznika.

W rozdziale 7 uregulowano wpływ na inne akty prawa UE. Rozdział ten zawiera w szczególności przepisy dotyczące uchylenia dyrektywy 2004/82/WE oraz niezbędnych zmian w innych obowiązujących aktach, mianowicie w rozporządzeniu (UE) 2018/1726 29 i rozporządzeniu (UE) 2019/817 30 .

Rozdział 8 zawiera przepisy końcowe niniejszego rozporządzenia, które dotyczą przyjęcia aktów delegowanych i wykonawczych, monitorowania i oceny niniejszego rozporządzenia oraz jego wejścia w życie i stosowania.

2022/0424 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą (API) w celu usprawnienia i ułatwienia kontroli na granicach zewnętrznych, zmieniające rozporządzenie (UE) 2019/817 i rozporządzenie (UE) 2018/1726 oraz uchylające dyrektywę Rady 2004/82/WE

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 77 ust. 2 lit. b) i d) oraz art. 79 ust. 2 lit. c),

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 31 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)Przeprowadzanie odprawy osób na granicach zewnętrznych znacząco przyczynia się do zagwarantowania długoterminowego bezpieczeństwa Unii, państw członkowskich i jej obywateli i jako takie pozostaje ważnym zabezpieczeniem, w szczególności na obszarze bez kontroli na granicach wewnętrznych („strefa Schengen”). Wydajne i skuteczne kontrole na granicach zewnętrznych, przeprowadzane w szczególności i w stosownych przypadkach zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/399 32 , przyczyniają się do zwalczania nielegalnej imigracji i zapobiegania zagrożeniom dla bezpieczeństwa wewnętrznego, porządku publicznego, zdrowia publicznego i stosunków międzynarodowych państw członkowskich.

(2)Wykorzystywanie danych podróżnych i informacji o locie, przekazywanych przed przybyciem podróżnych, zwanych danymi pasażera przekazywanymi przed podróżą („API”), przyczynia się do przyspieszenia procesu wymaganej odprawy podczas przekraczania granic. Do celów niniejszego rozporządzenia proces ten dotyczy w szczególności przekraczania granic między państwem trzecim lub państwem członkowskim nieobjętym niniejszym rozporządzeniem, z jednej strony, a państwem członkowskim objętym niniejszym rozporządzeniem, z drugiej strony. Takie wykorzystywanie danych usprawnia kontrole na tych granicach zewnętrznych dzięki zapewnieniu wystarczającego czasu na przeprowadzenie szczegółowych i kompleksowych kontroli wszystkich podróżnych, nie powodując przy tym nieproporcjonalnych negatywnych skutków dla osób podróżujących w dobrej wierze. W związku z tym w celu zagwarantowania skuteczności i wydajności kontroli na granicach zewnętrznych należy ustanowić odpowiednie ramy prawne, aby zapewnić właściwym służbom granicznym państw członkowskich na takich przejściach granicznych na granicach zewnętrznych dostęp do danych API przed przybyciem podróżnych.

(3)Obowiązujące ramy prawne dotyczące danych API, na które składa się dyrektywa Rady 2004/82/WE 33 oraz przepisy krajowe transponujące tę dyrektywę, okazały się znaczące w kontekście usprawnienia kontroli granicznych, zwłaszcza dzięki zapewnieniu państwom członkowskim ram służących wprowadzeniu przepisów nakładających na przewoźników lotniczych obowiązki związane z przekazywaniem danych API dotyczących pasażerów przybywających na ich terytorium. Na poziomie krajowym nadal utrzymują się jednak rozbieżności. W szczególności od przewoźników lotniczych nie wymaga się systematycznego przekazywania danych API, natomiast muszą oni spełniać różne wymogi dotyczące rodzaju gromadzonych informacji oraz warunki, na jakich dane API muszą być przekazywane właściwym służbom granicznym. Rozbieżności te prowadzą nie tylko do niepotrzebnych kosztów i komplikacji dla przewoźników lotniczych, ale także mają negatywny wpływ na zapewnienie skutecznych i wydajnych kontroli wstępnych osób przybywających na granice zewnętrzne.

(4)Należy zatem zaktualizować i zastąpić istniejące ramy prawne, tak aby zapewnić jasne, zharmonizowane i skuteczne przepisy dotyczące gromadzenia i przekazywania danych API w celu usprawnienia i ułatwienia skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych oraz zwalczania nielegalnej imigracji.

(5)W celu zapewnienia w jak największym stopniu spójnego podejścia na poziomie międzynarodowym oraz w świetle obowiązujących na tym poziomie przepisów dotyczących gromadzenia danych API w zaktualizowanych ramach prawnych ustanowionych niniejszym rozporządzeniem należy uwzględnić odpowiednie praktyki uzgodnione na poziomie międzynarodowym z branżą lotniczą oraz w kontekście wytycznych Światowej Organizacji Celnej, Zrzeszenia Międzynarodowego Transportu Lotniczego i Organizacji Międzynarodowego Lotnictwa Cywilnego w sprawie danych pasażera przekazywanych przed podróżą.

(6)Gromadzenie i przekazywanie danych API ma wpływ na prywatność osób i wiąże się z przetwarzaniem danych osobowych. Aby zapewnić pełne przestrzeganie praw podstawowych, w szczególności prawa do poszanowania życia prywatnego i prawa do ochrony danych osobowych, zgodnie z Kartą praw podstawowych Unii Europejskiej („Karta”), należy przewidzieć odpowiednie ograniczenia i zabezpieczenia. W szczególności wszelkie przetwarzanie danych API, w szczególności danych API stanowiących dane osobowe, powinno ograniczać się do tego, co jest konieczne i proporcjonalne do osiągnięcia celów niniejszego rozporządzenia. Ponadto należy zapewnić, aby API gromadzone i przekazywane na podstawie niniejszego rozporządzenia nie prowadziły do jakiejkolwiek formy dyskryminacji wymienionej w Karcie.

(7)Aby osiągnąć swoje cele, niniejsze rozporządzenie powinno mieć zastosowanie do wszystkich przewoźników wykonujących loty do Unii, zgodnie z definicją zawartą w niniejszym rozporządzeniu, obejmujące zarówno loty regularne, jak i nieregularne, niezależnie od siedziby przewoźników lotniczych wykonujących te loty.

(8)W celu zagwarantowania efektywności i pewności prawa należy sporządzić jasny i wyczerpujący wykaz informacji stanowiących łącznie dane API – które mają być gromadzone, a następnie przekazywane na podstawie niniejszego rozporządzenia – obejmujący zarówno informacje dotyczące każdego podróżnego, jak i informacje o jego locie. Takie informacje o lotach powinny obejmować informacje na temat przejścia granicznego przylotu na terytorium danego państwa członkowskiego we wszystkich przypadkach objętych niniejszym rozporządzeniem, przy czym informacje te należy gromadzić wyłącznie w stosownych przypadkach na podstawie rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API], tj. nie w przypadku, gdy dane API dotyczą lotów wewnątrzunijnych.

(9)Aby zapewnić elastyczność i innowacyjność, każdy przewoźnik lotniczy powinien zasadniczo mieć możliwość określenia, w jaki sposób będzie wypełniał swoje obowiązki dotyczące gromadzenia danych API przewidziane w niniejszym rozporządzeniu. Mając jednak na uwadze fakt, że istnieją odpowiednie rozwiązania technologiczne umożliwiające automatyczne gromadzenie niektórych danych API przy jednoczesnym zagwarantowaniu, że dane te są dokładne, kompletne i aktualne, a także uwzględniając korzyści wynikające z zastosowania takiej technologii pod względem skuteczności i wydajności, przewoźnicy lotniczy powinni być zobowiązani do gromadzenia tych danych API w sposób zautomatyzowany przez odczytywanie informacji z danych nadających się do odczytu maszynowego w dokumencie podróży.

(10)Dzięki automatyzacji podróżni mogą samodzielne podawać niektóre dane API podczas procesu odprawy przez internet. Takie rozwiązanie mogłoby na przykład obejmować bezpieczną aplikację na smartfonie, komputerze lub kamerze internetowej podróżnego, umożliwiającą odczytanie danych nadających się do odczytu maszynowego w dokumencie podróży. W przypadku gdy podróżni nie dokonali odprawy przez internet, przewoźnicy lotniczy powinni w praktyce zapewnić im możliwość podania danych API nadających się do odczytu maszynowego podczas odprawy w porcie lotniczym za pomocą punktu samoobsługi lub przy wsparciu personelu linii lotniczych przy stanowisku odprawy.

(11)Komisja powinna być uprawniona do przyjmowania wymogów technicznych i zasad proceduralnych, których przewoźnicy lotniczy muszą przestrzegać w związku z gromadzeniem w sposób zautomatyzowany danych API nadających się do odczytu maszynowego na podstawie niniejszego rozporządzenia, tak aby zwiększyć przejrzystość i pewność prawa oraz przyczynić się do zapewnienia wysokiej jakości danych i odpowiedzialnego wykorzystania automatyzacji.

(12)Mając na uwadze na korzyści płynące z gromadzenia w sposób zautomatyzowany danych API nadających się do odczytu maszynowego oraz przejrzystość wynikającą z wymogów technicznych w tym zakresie, które mają zostać przyjęte na podstawie niniejszego rozporządzenia, należy doprecyzować, że przewoźnicy lotniczy, którzy zdecydują się na gromadzenie w sposób zautomatyzowany informacji, które są zobowiązani przekazywać na podstawie dyrektywy 2004/82/WE, mają możliwość, ale nie obowiązek, stosowania tych wymogów, po ich przyjęciu, w związku z takim stosowaniem automatyzacji, w zakresie, w jakim jest to dozwolone na podstawie tej dyrektywy. Wszelkie takie dobrowolne stosowanie tych specyfikacji w ramach wykonywania dyrektywy 2004/82/WE nie powinno być rozumiane jako naruszanie w jakikolwiek sposób obowiązków przewoźników lotniczych i państw członkowskich na podstawie tej dyrektywy.

(13)W celu zapewnienia skutecznych i wydajnych wstępnych kontroli przeprowadzanych z wyprzedzeniem przez właściwe służby graniczne dane API przekazywane tym służbom powinny zawierać dane podróżnych, którzy faktycznie mają przekroczyć granice zewnętrzne, tj. dane podróżnych, którzy faktycznie znajdują się na pokładzie samolotu. W związku z tym przewoźnicy lotniczy powinni przekazywać dane API bezpośrednio po zakończeniu odprawy. Ponadto dane API umożliwiają właściwym służbom granicznym odróżnienie osób podróżujących legalnie od podróżnych, którzy mogą być przedmiotem zainteresowania i w związku z tym mogą wymagać dodatkowych weryfikacji, co wiązałoby się z koniecznością zapewnienia większej koordynacji i przygotowania środków następczych, które powinny zostać zastosowane po przylocie. Mogłoby się tak zdarzyć, na przykład, w przypadku niespodziewanej liczby podróżnych będących przedmiotem zainteresowania, których kontrole fizyczne na granicach mogłyby niekorzystnie wpłynąć na odprawę graniczną i czas oczekiwania na granicach innych osób podróżujących legalnie. Aby zapewnić właściwym służbom granicznym możliwość przygotowania odpowiednich i proporcjonalnych środków na granicy, takich jak tymczasowe zwiększenie liczby lub przesunięcie pracowników, zwłaszcza w odniesieniu do lotów, w przypadku których czas pomiędzy zakończeniem odprawy a przybyciem na granicę zewnętrzną jest niewystarczający, aby umożliwić właściwym służbom granicznym przygotowanie najbardziej odpowiedniej reakcji, dane API powinny być również przekazywane przed wejściem na pokład w momencie odprawy każdego podróżnego.

(14)W celu zapewnienia jasności co do wymogów technicznych, które mają zastosowanie do przewoźników lotniczych i które są potrzebne, aby zapewnić bezpieczne, skuteczne i sprawne przekazywane do routera danych API gromadzonych przez przewoźników lotniczych na podstawie niniejszego rozporządzenia, Komisja powinna być uprawniona do określenia specyfikacji wspólnych protokołów i obsługiwanych formatów danych, które mają być wykorzystywane do przekazywania tych danych.

(15)Aby uniknąć ryzyka niewłaściwego wykorzystania oraz zgodnie z zasadą celowości, właściwym służbom granicznym należy wyraźnie zabronić przetwarzania danych API, które otrzymują na podstawie niniejszego rozporządzenia, do celów innych niż usprawnienie i ułatwienie skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych oraz zwalczanie nielegalnej imigracji.

(16)Aby zapewnić właściwym służbom granicznym wystarczający czas na skuteczne przeprowadzenie wstępnych kontroli wszystkich podróżnych, w tym osób podróżujących lotami długodystansowymi oraz osób podróżujących lotami łączącymi, jak również wystarczający czas na zapewnienie, aby dane API gromadzone i przekazywane przez przewoźników lotniczych były kompletne, dokładne i aktualne, a w razie potrzeby na zwrócenie się do przewoźników lotniczych z wnioskiem o przedstawienie dodatkowych wyjaśnień, wprowadzenie korekt lub uzupełnienie informacji, właściwe służby graniczne powinny przechowywać dane API, które otrzymały na podstawie niniejszego rozporządzenia, przez ustalony czas, ograniczony do okresu bezwzględnie koniecznego do tych celów. Podobnie, aby móc odpowiedzieć na takie wnioski, przewoźnicy lotniczy powinni przechowywać dane API, które przekazali na podstawie niniejszego rozporządzenia, przez taki sam ustalony i bezwzględnie niezbędny okres.

(17)Aby uniknąć konieczności nawiązywania i utrzymywania przez przewoźników lotniczych wielu połączeń z właściwymi służbami granicznymi państw członkowskich w celu przekazywania danych API gromadzonych na podstawie niniejszego rozporządzenia oraz związanego z tym braku efektywności i ryzyka dla bezpieczeństwa, należy ustanowić jeden router, opracowany i obsługiwany na poziomie Unii, który służy jako punkt podłączenia i dystrybucji do celów przekazywania danych API. W celu zagwarantowania wydajności i efektywności kosztowej router powinien, w zakresie, w jakim jest to technicznie możliwe i z pełnym poszanowaniem przepisów niniejszego rozporządzenia i rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API], opierać się na elementach technicznych pochodzących z innych odpowiednich systemów utworzonych na mocy prawa Unii.

(18)Router powinien przekazywać dane API w sposób zautomatyzowany odpowiednim właściwym służbom granicznym, określonym na podstawie przejścia granicznego przylotu na terytorium państwa członkowskiego wskazanego w odpowiednich danych API. W celu ułatwienia procesu dystrybucji każde państwo członkowskie powinno wskazać, które służby graniczne są właściwe do otrzymywania danych API przekazywanych z routera. W celu zapewnienia właściwego funkcjonowania niniejszego rozporządzenia oraz zachowania przejrzystości informacje te należy podawać do wiadomości publicznej.

(19)Router powinien służyć wyłącznie ułatwieniu przekazywania danych API przez przewoźników lotniczych właściwym służbom granicznym zgodnie z niniejszym rozporządzeniem oraz JIP zgodnie z rozporządzeniem (UE) [w sprawie egzekwowania przepisów dotyczących API] i nie powinien pełnić funkcji repozytorium danych API. W związku z tym, a także w celu zminimalizowania ryzyka nieuprawnionego dostępu lub innego niewłaściwego wykorzystania oraz zgodnie z zasadą minimalizacji danych wszelkie przechowywanie danych API w routerze należy ograniczyć do tego, co jest absolutnie niezbędne do celów technicznych związanych z przekazywaniem, a dane API należy usuwać z routera natychmiast, trwale i w sposób zautomatyzowany z chwilą zakończenia przekazywania, bądź też w stosownych przypadkach na podstawie rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API] danych API nie należy przekazywać w ogóle.

(20)W celu zapewnienia właściwego funkcjonowania procesu przekazywania danych API z routera Komisja powinna być uprawniona do określania szczegółowych przepisów technicznych i proceduralnych dotyczących tego przekazywania. Przepisy te powinny zapewniać, aby przekazywanie było bezpieczne, skuteczne i sprawne oraz aby nie miało wpływu na podróże pasażerów i na przewoźników lotniczych w większym stopniu, niż to konieczne.

(21)Aby przewoźnicy lotniczy mogli jak najszybciej odnieść korzyści wynikające z zastosowania routera opracowanego przez eu-LISA zgodnie z niniejszym rozporządzeniem oraz zdobyć doświadczenie w zakresie jego użytkowania, należy im zapewnić możliwość, ale nie obowiązek, korzystania z routera w celu przekazywania informacji, które są zobowiązani przekazywać na podstawie dyrektywy 2004/82/WE w okresie przejściowym. Ten okres przejściowy powinien rozpocząć się z chwilą uruchomienia routera i zakończyć się z chwilą, gdy obowiązki wynikające z tej dyrektywy przestaną mieć zastosowanie. W celu zapewnienia, aby wszelkie takie dobrowolne korzystanie z routera odbywało się w sposób odpowiedzialny, należy wymagać uprzedniej pisemnej zgody odpowiedzialnego organu, który ma otrzymać informacje, na wniosek przewoźnika lotniczego oraz w razie potrzeby po przeprowadzeniu przez ten organ weryfikacji i uzyskaniu zapewnień. Podobnie w celu uniknięcia sytuacji, w której przewoźnicy lotniczy wielokrotnie rozpoczynają korzystanie z routera i zaprzestają takiego korzystania, w przypadku gdy przewoźnik lotniczy rozpoczyna takie dobrowolne korzystanie z routera, powinien być zobowiązany do kontynuowania takiego korzystania, chyba że istnieją obiektywne powody do zaprzestania korzystania z routera w celu przekazywania informacji danemu odpowiedzialnemu organowi, na przykład jeżeli okaże się, że informacje nie są przekazywane w sposób zgodny z prawem, bezpieczny, skuteczny i sprawny. W celu właściwego stosowania możliwości dobrowolnego korzystania z routera, z należytym uwzględnieniem praw i interesów wszystkich zainteresowanych stron, należy ustanowić niezbędne przepisy dotyczące konsultacji i przekazywania informacji. Wszelkie takie dobrowolne korzystanie z routera w ramach wykonywania dyrektywy 2004/82/WE zgodnie z niniejszym rozporządzeniem nie powinno być rozumiane jako naruszanie w jakikolwiek sposób obowiązków przewoźników lotniczych i państw członkowskich na podstawie tej dyrektywy.

(22)Router, który ma zostać opracowany i obsługiwany na podstawie niniejszego rozporządzenia, powinien ograniczyć i uprościć podłączenia techniczne potrzebne do przekazywania danych API i ograniczyć je do jednego podłączenia na przewoźnika lotniczego i jedną właściwą służbę graniczną. W związku z tym w niniejszym rozporządzeniu przewidziano obowiązek ustanowienia przez właściwe służby graniczne i przewoźników lotniczych takiego podłączenia do routera i osiągnięcia wymaganej integracji z nim, aby zapewnić prawidłowe funkcjonowanie systemu przekazywania danych API ustanowionego niniejszym rozporządzeniem. Aby zapewnić skuteczność tych obowiązków i prawidłowe funkcjonowanie systemu ustanowionego niniejszym rozporządzeniem, obowiązki te należy uzupełnić poprzez określenie szczegółowych zasad.

(23)Mając na uwadze interesy Unii, koszty ponoszone przez eu-LISA w związku z realizacją zadań dotyczących routera powierzonych jej w ramach niniejszego rozporządzenia i rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API] należy pokrywać z budżetu Unii. Ta sama zasada powinna dotyczyć odpowiednich kosztów poniesionych przez państwa członkowskie w związku z ich podłączeniem do routera i integracją z routerem, zgodnie z wymogami niniejszego rozporządzenia i odpowiednich przepisów, przy czym mają tu zastosowanie określone wyjątki. Koszty poniesione w związku z takimi wyjątkami powinny pokrywać poszczególne zainteresowane państwa członkowskie.

(24)Nie można wykluczyć, że ze względu na szczególne okoliczności i pomimo wszystkich uzasadnionych środków wprowadzonych zgodnie z niniejszym rozporządzeniem router, lub też systemy lub infrastruktura zapewniające połączenie właściwych służb granicznych i przewoźników lotniczych z routerem będą działały nieprawidłowo, co sprawi, że korzystanie z routera do przekazywania danych API będzie technicznie niemożliwe. Ze względu na niedostępność routera i fakt, że zasadniczo przewoźnicy lotniczy nie będą mogli w inny zgodny z prawem, bezpieczny, skuteczny i sprawny sposób przekazywać danych API, których nie można przekazać ze względu na awarię routera, obowiązek przewoźników lotniczych dotyczący przekazywania tych danych API do routera nie powinien mieć zastosowania przez cały okres, w którym takie przekazywanie danych jest technicznie niemożliwe. W celu zminimalizowania czasu trwania i negatywnych konsekwencji, zainteresowane strony powinny w takim przypadku niezwłocznie poinformować się wzajemnie i natychmiast wprowadzić wszelkie niezbędne środki w celu rozwiązania problemu braku technicznej możliwości przekazywania danych API. Ponieważ dane API dotyczące lotów, które zostały już wykonane, nie są użyteczne do celów odprawy granicznej, w takim przypadku wymaganie od przewoźników lotniczych gromadzenia i przechowywania takich danych API jest bezzasadne. Ustalenie to powinno pozostawać bez uszczerbku dla obowiązków wszystkich zainteresowanych stron wynikających z niniejszego rozporządzenia, dotyczących zapewnienia prawidłowego funkcjonowania routera oraz ich odpowiednich systemów i elementów infrastruktury, a także dla faktu, że przewoźnicy lotniczy podlegają karom w przypadku niewywiązania się z tych obowiązków, w tym w przypadku, gdy powołują się na to ustalenie w sytuacji, gdy nie jest to uzasadnione. Aby zniechęcić do takich nadużyć oraz ułatwić sprawowanie nadzoru i w stosownych przypadkach nakładanie kar, przewoźnicy lotniczy, którzy powołują się na to ustalenie w związku z awarią ich systemu i infrastruktury, powinni zgłaszać ten fakt właściwemu organowi nadzorczemu.

(25)W celu zapewnienia przestrzegania podstawowego prawa do ochrony danych osobowych w niniejszym rozporządzeniu należy określić administratora i podmiot przetwarzający oraz przepisy dotyczące kontroli. W celu zapewnienia skutecznego monitorowania, odpowiedniej ochrony danych osobowych i ograniczenia do minimum ryzyka dla bezpieczeństwa należy również ustanowić przepisy dotyczące rejestrowania, bezpieczeństwa przetwarzania i monitorowania własnej działalności. Przepisy te, w przypadku gdy dotyczą przetwarzania danych osobowych, należy traktować jako uzupełnienie ogólnie obowiązujących aktów prawnych UE dotyczących ochrony danych osobowych, w szczególności rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 34 i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 35 . Niniejsze rozporządzenie powinno pozostać bez wpływu na te akty, które mają również zastosowanie do przetwarzania danych osobowych na podstawie niniejszego rozporządzenia zgodnie z jego przepisami.

(26)W szczególności celem operacji przetwarzania danych na podstawie niniejszego rozporządzenia, a mianowicie przekazywania danych API przez przewoźników lotniczych za pośrednictwem routera właściwym służbom granicznym państw członkowskich, jest wspieranie tych organów w wykonywaniu ich obowiązków w zakresie zarządzania granicami oraz zadań związanych ze zwalczaniem nielegalnej imigracji. W związku z tym właściwe służby graniczne otrzymujące dane API powinny pełnić rolę administratora na potrzeby przekazywania danych API stanowiących dane osobowe za pośrednictwem routera oraz przechowywania tych danych w routerze w zakresie, w jakim przechowywanie to jest niezbędne do celów technicznych, a także w przypadku wszelkiego późniejszego przetwarzania tych danych w celu usprawnienia i ułatwienia odprawy granicznej na granicach zewnętrznych. Z kolei przewoźnicy lotniczy powinni pełnić rolę odrębnego administratora w zakresie przetwarzania danych API stanowiących dane osobowe, do czego są zobowiązani na podstawie niniejszego rozporządzenia. W związku z tym zarówno przewoźnicy lotniczy, jak i właściwe służby graniczne powinni pełnić rolę odrębnego administratora w odniesieniu do przetwarzania przez nich danych API na podstawie niniejszego rozporządzenia.

(27)W celu zapewnienia skutecznego stosowania przepisów niniejszego rozporządzenia przez przewoźników lotniczych należy przewidzieć możliwość wyznaczenia organów krajowych pełniących nadzór nad przestrzeganiem tych przepisów oraz nadania tym organom odpowiednich uprawnień. Przepisy niniejszego rozporządzenia dotyczące takiego nadzoru, w tym, w stosownych przypadkach, w zakresie nakładania kar, nie powinny mieć wpływu na zadania i uprawnienia organów nadzorczych ustanowionych na mocy rozporządzenia (UE) 2016/679, również w odniesieniu do przetwarzania danych osobowych na podstawie niniejszego rozporządzenia.

(28)Państwa członkowskie powinny przewidzieć skuteczne, proporcjonalne i odstraszające kary, w tym finansowe, wobec przewoźników lotniczych, którzy nie wypełniają swoich obowiązków dotyczących gromadzenia i przekazywania danych API wynikających z niniejszego rozporządzenia.

(29)Ponieważ niniejsze rozporządzenie przewiduje ustanowienie nowych zasad dotyczących gromadzenia i przekazywania danych API przez właściwe służby graniczne w celu usprawnienia i ułatwienia skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych, należy uchylić dyrektywę 2004/82/WE.

(30)Ponieważ router powinna zaprojektować, opracować i obsługiwać oraz zarządzać nim pod względem technicznym eu-LISA, ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1726 36 , konieczna jest zmiana tego rozporządzenia polegająca na dodaniu tego zadania do wykazu zadań eu-LISA. Aby umożliwić przechowywanie sprawozdań i statystyk dotyczących routera we wspólnym repozytorium sprawozdawczo-statystycznym, konieczna jest zmiana rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/817 37 .

(31)W celu przyjęcia środków dotyczących wymogów technicznych i zasad postępowania w zakresie gromadzenia w sposób zautomatyzowany danych API nadających się do odczytu maszynowego środków dotyczących wspólnych protokołów i formatów wykorzystywanych przez przewoźników lotniczych do przekazywania danych API, środków dotyczących przepisów technicznych i proceduralnych w zakresie przekazywania danych API z routera do właściwych służb granicznych oraz do JIP i w zakresie podłączenia JIP i przewoźników lotniczych do routera i ich integracji z routerem należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej odpowiednio w odniesieniu do art. 5, 6, 11, 20 i 21. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 38 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych.

(32)W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, tj. w kwestii rozpoczęcia funkcjonowania routera, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 39 .

(33)Wszystkim zainteresowanym stronom, a w szczególności przewoźnikom lotniczym i właściwym służbom granicznym, należy zapewnić wystarczający czas na podjęcie niezbędnych działań w celu przygotowania się do wypełniania obowiązków wynikających z niniejszego rozporządzenia, biorąc pod uwagę fakt, że niektóre z tych działań, np. w zakresie obowiązków związanych z podłączeniem do routera i integracją z routerem, mogą zostać sfinalizowane dopiero po zakończeniu fazy prac projektowych i rozwojowych nad routerem oraz po jego uruchomieniu. W związku z tym niniejsze rozporządzenie powinno mieć zastosowanie dopiero od odpowiedniej daty po dacie uruchomienia routera, określonej przez Komisję zgodnie z niniejszym rozporządzeniem.

(34)Fazę prac projektowych i rozwojowych nad routerem należy rozpocząć i zakończyć jak najszybciej, tak aby można było go jak najszybciej uruchomić, co wymaga również przyjęcia odpowiednich aktów wykonawczych i delegowanych przewidzianych w niniejszym rozporządzeniu. Należy również bezzwłocznie przedstawić przewidziane w niniejszym rozporządzeniu objaśnienie dotyczące stosowania specyfikacji w zakresie stosowania automatyzacji w ramach wykonywania dyrektywy 2004/82/WE. Artykuły dotyczące tych kwestii powinny zatem obowiązywać od dnia wejścia w życie niniejszego rozporządzenia. Ponadto, aby umożliwić jak najszybsze dobrowolne korzystanie z routera, artykuł dotyczący takiego korzystania, jak również niektóre inne artykuły mające na celu zagwarantowanie, że takie korzystanie odbywa się w sposób odpowiedzialny, powinny mieć zastosowanie jak najwcześniej, tj. od chwili uruchomienia routera.

(35)Niniejsze rozporządzenie nie powinno mieć wpływu na możliwość ustanowienia przez państwa członkowskie, na mocy ich prawa krajowego, systemu gromadzenia danych API od dostawców usług transportowych innych niż określone w niniejszym rozporządzeniu, pod warunkiem że takie prawo krajowe jest zgodne z prawem Unii.

(36)Ponieważ cele niniejszego rozporządzenia, a mianowicie usprawnienie i ułatwienie skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych i zwalczania nielegalnej imigracji, dotyczą kwestii, które z natury mają charakter transgraniczny, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie działające indywidualnie, natomiast można je lepiej osiągnąć na poziomie Unii. Unia może zatem podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(37)Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do TUE i do TFUE, Dania nie uczestniczy w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje. Ponieważ niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, zgodnie z art. 4 tego protokołu Dania – w terminie sześciu miesięcy po przyjęciu przez Radę niniejszego rozporządzenia – podejmuje decyzję, czy dokona jego transpozycji do swego prawa krajowego.

(38)Niniejsze rozporządzenie ma zastosowanie do Irlandii zgodnie z art. 5 ust. 1 Protokołu nr 19 w sprawie dorobku Schengen włączonego w ramy Unii Europejskiej, który jest załączony do Traktatu o Unii Europejskiej i do Traktatu o funkcjonowaniu Unii Europejskiej, oraz art. 6 ust. 2 decyzji Rady 2002/192/WE 40 .

(39) Uczestnictwo Irlandii w niniejszym rozporządzeniu, zgodnie z art. 6 ust. 2 decyzji 2002/192/WE, związane jest z obowiązkami Unii w zakresie wprowadzenia środków rozwijających przepisy dorobku Schengen mające na celu przeciwdziałanie nielegalnej imigracji, w których uczestniczy Irlandia.

(40)W odniesieniu do Islandii i Norwegii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 41 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE 42 .

(41)W odniesieniu do Szwajcarii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 43 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2008/146/WE 44 .

(42)W odniesieniu do Liechtensteinu niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 45 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE w związku z art. 3 decyzji Rady 2011/350/UE 46 .

(43)W odniesieniu do Cypru, Bułgarii, Rumunii i Chorwacji niniejsze rozporządzenie jest aktem stanowiącym rozwinięcie dorobku Schengen lub w inny sposób z nim związanym w rozumieniu, odpowiednio, art. 3 ust. 1 Aktu przystąpienia z 2003 r., art. 4 ust. 1 Aktu przystąpienia z 2005 r. i art. 4 ust. 1 Aktu przystąpienia z 2011 r.

(44)Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia [XX] 47 ,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ 1

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot

W celu usprawnienia i ułatwienia skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych oraz zwalczania nielegalnej imigracji w niniejszym rozporządzeniu ustanawia się przepisy dotyczące:

a)gromadzenia przez przewoźników lotniczych danych pasażera przekazywanych przed podróżą („dane API”) dotyczących lotów do Unii;

b)przekazywania przez przewoźników lotniczych danych API do routera;

c)przekazywania danych API z routera właściwym służbom granicznym.

Artykuł 2

Zakres

Niniejsze rozporządzenie ma zastosowanie do przewoźników lotniczych wykonujących regularne lub nieregularne loty do Unii.

Artykuł 3

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

a)„przewoźnik lotniczy” oznacza przedsiębiorstwo transportu lotniczego w rozumieniu art. 3 pkt 1 dyrektywy (UE) 2016/681;

b)„odprawa graniczna” oznacza czynności kontrolne w rozumieniu w art. 2 pkt 11 rozporządzenia (UE) 2016/399;

c)„loty do Unii” oznaczają loty z terytorium państwa trzeciego lub państwa członkowskiego nieobjętego niniejszym rozporządzeniem, w przypadku których to lotów planuje się lądowanie na terytorium państwa członkowskiego objętego niniejszym rozporządzeniem;

d)„przejście graniczne” oznacza przejście graniczne w rozumieniu art. 2 pkt 8 rozporządzenia (UE) 2016/399;

e)„lot regularny” oznacza lot wykonywany zgodnie z ustalonym rozkładem, na który bilety może nabyć ogół społeczeństwa;

f)„lot nieregularny” oznacza lot, który nie jest wykonywany zgodnie z ustalonym rozkładem i który musi być częścią regularnej lub planowanej trasy;

g)„właściwa służba graniczna” oznacza organ, któremu państwo członkowskie powierzyło zadanie polegające na przeprowadzaniu odprawy granicznej oraz który został wyznaczony i zgłoszony przez to państwo członkowskie zgodnie z art. 11 ust. 2;

h)„pasażer” oznacza każdą osobę, z wyjątkiem członków załogi, która jest przewożona lub ma być przewieziona na pokładzie samolotu za zgodą przewoźnika lotniczego wyrażoną w formie wpisu tej osoby na listę pasażerów;

i)„załoga” oznacza każdą osobę znajdującą się na pokładzie samolotu podczas lotu, inną niż pasażer, która pracuje w samolocie i obsługuje go, w tym załogę lotniczą i personel pokładowy;

j)„podróżny” oznacza pasażera lub członka załogi;

k)„dane pasażera przekazywane przed podróżą” lub „dane API” oznaczają dane podróżnych i informacje o locie, o których mowa odpowiednio w art. 4 ust. 2 i 3;

l)„jednostka do spraw informacji o pasażerach” lub „JIP” oznacza właściwy organ, o którym mowa w art. 3 lit. i) rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API];

m)„router” oznacza router, o którym mowa w art. 9;

n)„dane osobowe” oznaczają informacje w rozumieniu art. 4 pkt 1 rozporządzenia (UE) 2016/679.

ROZDZIAŁ 2

GROMADZENIE I PRZEKAZYWANIE DANYCH API

Artykuł 4

Dane API, które mają być gromadzone przez przewoźników lotniczych

1.Przewoźnicy lotniczy gromadzą dane API podróżnych, obejmujące dane podróżnych i informacje o lotach określone odpowiednio w ust. 2 i 3 niniejszego artykułu w odniesieniu do lotów, o których mowa w art. 2, w celu przekazania tych danych API do routera zgodnie z art. 6.

2.Dane API obejmują następujące dane podróżnych dotyczące każdej osoby podróżującej w ramach danego lotu:

a)nazwisko; imię lub imiona;

b)datę urodzenia, płeć i obywatelstwo;

c)rodzaj i numer dokumentu podróży i trzyliterowy kod państwa wydającego dokument podróży;

d)datę upływu ważności dokumentu podróży;

e)informację, czy dany podróżny jest pasażerem czy członkiem załogi (status podróżnego);

f)numer identyfikujący dane dotyczące przelotu pasażera wykorzystywany przez przewoźnika lotniczego do zlokalizowania pasażera w swoim systemie informacyjnym (kod identyfikacyjny danych PNR);

g)informacje na temat miejsca na pokładzie, takie jak numer miejsca w samolocie przydzielonego pasażerowi, jeżeli przewoźnik lotniczy gromadzi takie informacje;

h)informacje na temat bagażu, takie jak liczba sztuk bagażu rejestrowanego, jeżeli przewoźnik lotniczy gromadzi takie informacje.

3.Dane API obejmują również następujące informacje o locie dotyczące lotu każdego podróżnego:

a)numer identyfikacyjny lotu lub, w przypadku braku takiego numeru, inny wyraźny i odpowiedni sposób identyfikacji lotu;

b)w stosownych przypadkach – przejście graniczne przylotu na terytorium państwa członkowskiego;

c)kod portu lotniczego przylotu na terytorium państwa członkowskiego;

d)początkowy punkt wejścia na pokład;

e)lokalna data i szacowana godzina odlotu;

f)lokalna data i szacowana godzina przylotu.

Artykuł 5

Metody gromadzenia danych API

1.Przewoźnicy lotniczy gromadzą dane API określone w art. 4 w taki sposób, aby dane API przekazywane przez nich zgodnie z art. 6 były dokładne, kompletne i aktualne.

2.Przewoźnicy lotniczy gromadzą dane API, o których mowa w art. 4 ust. 2 lit. a)–d), w sposób zautomatyzowany umożliwiający pobieranie danych nadających się do odczytu maszynowego z dokumentu podróży danego podróżnego. Odbywa się to zgodnie ze szczegółowymi wymogami technicznymi i zasadami postępowania, o których mowa w ust. 4, jeżeli takie zasady zostały przyjęte i mają zastosowanie.

Jeżeli jednak gromadzenie danych w sposób zautomatyzowany nie jest możliwe, ponieważ dokument podróży nie zawiera danych nadających się do odczytu maszynowego, przewoźnicy lotniczy gromadzą te dane ręcznie, w sposób zapewniający zgodność z ust. 1.

3.Wszelkie metody gromadzenia danych w sposób zautomatyzowany stosowane przez przewoźników lotniczych do gromadzenia danych API na podstawie niniejszego rozporządzenia muszą być niezawodne, bezpieczne i aktualne.

4.Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 37 w celu uzupełnienia niniejszego rozporządzenia przez określenie szczegółowych wymogów technicznych i zasad postępowania w zakresie gromadzenia danych API, o których mowa w art. 4 ust. 2 lit. a)–d), w sposób zautomatyzowany zgodnie z ust. 2 i 3 niniejszego artykułu.

5.Przewoźnicy lotniczy, którzy w sposób zautomatyzowany gromadzą informacje, o których mowa w art. 3 ust. 1 dyrektywy 2004/82/WE, są do tego uprawnieni przy zastosowaniu wymogów technicznych dotyczących takiego wykorzystania, o których mowa w ust. 4, zgodnie z tą dyrektywą.

Artykuł 6

Obowiązki przewoźników lotniczych dotyczące przekazywania danych API

1.Przewoźnicy lotniczy przekazują dane API do routera drogą elektroniczną. Odbywa się to zgodnie ze szczegółowymi zasadami postępowania, o których mowa w ust. 3, jeżeli takie zasady zostały przyjęte i mają zastosowanie.

2.Przewoźnicy lotniczy przekazują dane API zarówno w chwili odprawy, jak i natychmiast po zakończeniu odprawy, tj. po wejściu pasażerów na pokład samolotu przygotowującego się do odlotu i gdy nie ma już możliwości wejścia na pokład ani opuszczenia samolotu.

3.Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 37 w celu uzupełnienia niniejszego rozporządzenia przez określenie niezbędnych szczegółowych zasad dotyczących wspólnych protokołów i obsługiwanych formatów danych, które mają być wykorzystywane na potrzeby przekazywania danych API do routera, o którym mowa w ust. 1.

4.W przypadku gdy po przekazaniu danych do routera przewoźnik lotniczy stwierdzi, że dane API są niedokładne, niekompletne, nieaktualne lub zostały przetworzone niezgodnie z prawem albo że dane te nie stanowią danych API, niezwłocznie informuje o tym Agencję Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA). Po otrzymaniu takiej informacji eu-LISA niezwłocznie informuje o tym fakcie właściwą służbę graniczną, która otrzymała dane API przekazane za pośrednictwem routera.

Artykuł 7

Przetwarzanie otrzymanych danych API

Właściwe służby graniczne przetwarzają dane API, przekazane im zgodnie z niniejszym rozporządzeniem, wyłącznie do celów określonych w art. 1.

Artykuł 8

Przechowywanie i usuwanie danych API

1.Przewoźnicy lotniczy przechowują, przez 48 godzin od chwili wylotu, dane API dotyczące danego pasażera, które zgromadzili na podstawie z art. 4. Po upływie tego okresu niezwłocznie i trwale usuwają te dane API.

2.Właściwe służby graniczne przechowują dane API dotyczące danego pasażera, które otrzymały za pośrednictwem routera na podstawie art. 11, przez 48 godzin od chwili wylotu. Po upływie tego okresu niezwłocznie i trwale usuwają te dane API.

3.W przypadku gdy przewoźnik lotniczy lub właściwa służba graniczna stwierdzi, że dane, które zgromadził, przekazał lub otrzymał zgodnie z niniejszym rozporządzeniem są niedokładne, niekompletne, nieaktualne lub zostały przetworzone niezgodnie z prawem, albo że dane te nie stanowią danych API, niezwłocznie poprawia, uzupełnia lub aktualizuje albo trwale usuwa te dane API. Pozostaje to bez uszczerbku dla możliwości zachowania i wykorzystywania danych przez przewoźników lotniczych, jeżeli jest to niezbędne do prowadzenia normalnej działalności zgodnie z obowiązującym prawem.

ROZDZIAŁ 3

PRZEPISY DOTYCZĄCE ROUTERA

Artykuł 9

Router

1.eu-LISA projektuje, opracowuje i obsługuje router oraz zarządza nim pod względem technicznym zgodnie z art. 22 i 23, aby ułatwić przekazywanie danych API przez przewoźników lotniczych właściwym służbom granicznym oraz JIP zgodnie z – odpowiednio – niniejszym rozporządzeniem i rozporządzeniem (UE) [w sprawie egzekwowania przepisów dotyczących API].

2.Router składa się z:

a)infrastruktury centralnej obejmującej zestaw elementów technicznych umożliwiających przekazywanie danych API;

b)bezpiecznego kanału komunikacji między infrastrukturą centralną a właściwymi służbami granicznymi i JIP oraz bezpiecznego kanału komunikacji między infrastrukturą centralną a przewoźnikami lotniczymi, służącego do przekazywania danych API i wszelkich powiązanych komunikatów.

3.Nie naruszając przepisów art. 10 niniejszego rozporządzenia, router współdzieli i ponownie wykorzystuje w zakresie, w jakim jest to technicznie możliwe, elementy techniczne – w tym sprzęt i oprogramowanie – usługi sieciowej, o której mowa w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2017/2226 48 , portalu dla przewoźników, o którym mowa w art. 6 ust. 2 lit. k) rozporządzenia (UE) 2018/1240, oraz portalu dla przewoźników, o którym mowa w art. 2a lit. h) rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 767/2008 49 .

Artykuł 10

Korzystanie z routera na zasadzie wyłączności

Z routera korzystają wyłącznie przewoźnicy lotniczy w celu przekazywania danych API oraz właściwe służby graniczne i JIP w celu otrzymywania danych API, zgodnie z – odpowiednio – niniejszym rozporządzeniem i rozporządzeniem (UE) [w sprawie egzekwowania przepisów dotyczących API].

Artykuł 11

Przekazywanie danych API z routera do właściwych służb granicznych

1.Router niezwłocznie i w sposób zautomatyzowany przekazuje dane API, przesłane do niego zgodnie z art. 6, właściwym służbom granicznym państwa członkowskiego, o których mowa w art. 4 ust. 3 lit. c). Odbywa się to zgodnie ze szczegółowymi zasadami, o których mowa w ust. 4 niniejszego artykułu, jeżeli takie zasady zostały przyjęte i mają zastosowanie.

Do celów takiego przekazywania danych eu-LISA tworzy i aktualizuje tabelę korespondencji między poszczególnymi portami lotniczymi pochodzenia i przeznaczenia oraz krajami, w których te porty się znajdują.

2.Państwo członkowskie wyznacza właściwe służby graniczne upoważnione do otrzymywania danych API przekazywanych im z routera zgodnie z niniejszym rozporządzeniem. Do daty rozpoczęcia stosowania niniejszego rozporządzenia, o której mowa w art. 39 akapit drugi, państwa członkowskie przekazują eu-LISA i Komisji nazwy i dane kontaktowe właściwych służb granicznych i w stosownych przypadkach aktualizują przekazane informacje.

Na podstawie tych zgłoszeń i aktualizacji Komisja sporządza i udostępnia publicznie wykaz zgłoszonych właściwych służb granicznych zawierający ich dane kontaktowe.

3.Państwa członkowskie zapewniają, aby tylko upoważnieni pracownicy właściwych służb granicznych mieli dostęp do danych API przekazywanych tym służbom za pośrednictwem routera. Ustanawiają w tym celu niezbędne zasady. Obejmują one zasady dotyczące sporządzania i regularnego aktualizowania wykazu tych pracowników i ich profili.

4.Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 37 w celu uzupełnienia niniejszego rozporządzenia przez określenie niezbędnych technicznych i proceduralnych zasad szczegółowych dotyczących przekazywania danych API z routera, o którym mowa w ust. 1.

Artykuł 12

Usuwanie danych API z routera

Dane API przekazane do routera zgodnie z niniejszym rozporządzeniem oraz rozporządzeniem (UE) [w sprawie egzekwowania przepisów dotyczących API] przechowuje się w routerze tylko w zakresie niezbędnym do zakończenia procesu przekazywania ich odpowiednim właściwym służbom granicznym lub JIP, zgodnie z tymi rozporządzeniami, i bezzwłocznie, trwale i w sposób zautomatyzowany usuwa się te dane z routera w obu poniższych sytuacjach:

a)gdy zakończono przekazywanie danych API do odpowiednich właściwych służb granicznych lub JIP;

b)w odniesieniu do rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API] – gdy dane API dotyczą innych lotów wewnątrzunijnych niż te zawarte w wykazach, o których mowa w art. 5 ust. 2 wspomnianego rozporządzenia.

Artykuł 13

Prowadzenie rejestrów

1.eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania związanych z przekazywaniem danych API za pośrednictwem routera na podstawie niniejszego rozporządzenia i rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API]. Rejestry te obejmują:

a)informacje o przewoźniku lotniczym, który przekazał dane API do routera;

b)informacje o właściwych służbach granicznych i JIP, do których przekazano dane API za pośrednictwem routera;

c)datę i godzinę czynności przekazania, o których mowa w lit. a) i b), oraz miejsce przekazania;

d)wszelkie prawa dostępu pracowników eu-LISA niezbędne do utrzymywania routera, o którym mowa w art. 23 ust. 3;

e)wszelkie inne informacje dotyczące tych operacji przetwarzania, niezbędne do monitorowania bezpieczeństwa i integralności danych API oraz zgodności tych operacji przetwarzania z prawem.

Rejestry te nie zawierają żadnych danych osobowych poza informacjami niezbędnymi do identyfikacji odpowiednich pracowników eu-LISA, o których mowa w akapicie pierwszym lit. d).

2.Przewoźnicy lotniczy tworzą rejestry dotyczące wszystkich operacji przetwarzania danych prowadzonych w sposób zautomatyzowany na podstawie niniejszego rozporządzenia, o których mowa w art. 5 ust. 2. Rejestry te obejmują datę, czas i miejsce przekazania danych API.

3.Rejestry, o których mowa w ust. 1 i 2, wykorzystuje się wyłącznie w celu zapewnienia bezpieczeństwa i integralności danych API oraz legalności przetwarzania, w szczególności w odniesieniu do zgodności z wymogami określonymi w niniejszym rozporządzeniu i rozporządzeniu (UE) [w sprawie egzekwowania przepisów dotyczących API], w tym w postępowaniach dotyczących kar za naruszenie tych wymogów zgodnie z art. 29 i 30 niniejszego rozporządzenia.

4.eu-LISA i przewoźnicy lotniczy wprowadzają odpowiednie środki w celu ochrony rejestrów, które utworzyli na podstawie odpowiednio ust. 1 i 2, przed nieuprawnionym dostępem i innym ryzykiem dla bezpieczeństwa.

5.eu-LISA i przewoźnicy lotniczy utrzymują rejestry, które utworzyli na podstawie odpowiednio ust. 1 i 2, przez okres jednego roku od momentu ich utworzenia. Po upływie tego okresu niezwłocznie i trwale usuwają te rejestry.

Jeżeli jednak rejestry te są wymagane na potrzeby procedur monitorowania lub zapewniania bezpieczeństwa i integralności danych API lub legalności operacji przetwarzania, o których mowa w ust. 2, a procedury te już się rozpoczęły w chwili upływu okresu, o którym mowa w akapicie pierwszym, eu-LISA i przewoźnicy lotniczy mogą utrzymywać te rejestry tak długo, jak jest to konieczne do przeprowadzenia tych procedur. W takim przypadku niezwłocznie usuwają te rejestry, gdy nie są one już wymagane na potrzeby tych procedur.

Artykuł 14

Działania w przypadku braku technicznej możliwości korzystania z routera

1.W przypadku gdy korzystanie z routera w celu przekazywania danych API nie jest technicznie możliwe z powodu awarii routera, eu-LISA niezwłocznie i w sposób zautomatyzowany powiadamia przewoźników lotniczych i właściwe służby graniczne o takim braku technicznej możliwości korzystania z routera. W takim przypadku eu-LISA niezwłocznie podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z routera i niezwłocznie powiadamia wspomniane podmioty o skutecznym rozwiązaniu tego problemu.

W okresie pomiędzy tymi powiadomieniami art. 6 ust. 1 nie ma zastosowania w zakresie, w jakim brak technicznej możliwości korzystania z routera uniemożliwia przekazywanie danych API do routera. W takim przypadku art. 4 ust. 1 i art. 8 ust. 1 również nie mają zastosowania do odnośnych danych API w tym okresie.

2.W przypadku gdy korzystanie z routera w celu przekazywania danych API nie jest technicznie możliwe z powodu awarii systemów lub infrastruktury państwa członkowskiego, o których mowa w art. 20, właściwe służby graniczne niezwłocznie i w sposób zautomatyzowany powiadamiają przewoźników lotniczych, właściwe organy pozostałych państw członkowskich, eu-LISA i Komisję o takim braku technicznej możliwości korzystania z routera. W takim przypadku dane państwo członkowskie niezwłocznie podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z routera i niezwłocznie powiadamia wspomniane podmioty o skutecznym rozwiązaniu tego problemu.

3.W przypadku gdy korzystanie z routera w celu przekazywania danych API nie jest technicznie możliwe z powodu awarii systemów lub infrastruktury przewoźnika lotniczego, o których mowa w art. 21, ten przewoźnik lotniczy niezwłocznie i w sposób zautomatyzowany powiadamia właściwe służby graniczne, eu-LISA i Komisję o takim braku technicznej możliwości korzystania z routera. W takim przypadku dany przewoźnik lotniczy niezwłocznie podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z routera i niezwłocznie powiadamia wspomniane podmioty o skutecznym rozwiązaniu tego problemu.

Po skutecznym usunięciu braku technicznej możliwości korzystania z routera dany przewoźnik lotniczy niezwłocznie przedkłada właściwemu krajowemu organowi nadzorczemu, o którym mowa w art. 29, sprawozdanie zawierające wszystkie niezbędne informacje na temat tego braku technicznej możliwości, w tym jego przyczyny, zakres i konsekwencje, a także środki wprowadzone w celu rozwiązania tego problemu.

ROZDZIAŁ 4

PRZEPISY SZCZEGÓŁOWE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH

Artykuł 15

Administratorzy danych osobowych

Właściwe służby graniczne są administratorami w rozumieniu art. 4 pkt 7 rozporządzenia (UE) 2016/679 w odniesieniu do przetwarzania danych API stanowiących dane osobowe przekazanych za pośrednictwem routera, w tym przekazywania i przechowywania tych danych w routerze ze względów technicznych, a także w odniesieniu do przetwarzania przez nie danych API stanowiących dane osobowe, o których mowa w art. 7 niniejszego rozporządzenia.

Przewoźnicy lotniczy są administratorami w rozumieniu art. 4 pkt 7 rozporządzenia (UE) 2016/679 w odniesieniu do przetwarzania danych API stanowiących dane osobowe za pośrednictwem routera w odniesieniu do gromadzenia tych danych i przekazywania ich do routera na podstawie niniejszego rozporządzenia.

Artykuł 16

Podmiot przetwarzający dane osobowe

eu-LISA jest podmiotem przetwarzającym w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725 w odniesieniu do przetwarzania danych API stanowiących dane osobowe za pośrednictwem routera na podstawie niniejszego rozporządzenia i rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API].

Artykuł 17

Bezpieczeństwo

1.eu-LISA zapewnia bezpieczeństwo danych API, w szczególności danych API stanowiących dane osobowe, które przetwarza na podstawie niniejszego rozporządzenia i rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API]. Właściwe służby graniczne i przewoźnicy lotniczy zapewniają bezpieczeństwo danych API, w szczególności danych API stanowiących dane osobowe, które przetwarzają na podstawie niniejszego rozporządzenia. eu-LISA, właściwe służby graniczne i przewoźnicy lotniczy współpracują ze sobą, w ramach swoich obowiązków i zgodnie z prawem Unii, w celu zapewnienia tego bezpieczeństwa.

2.W szczególności eu-LISA wprowadza niezbędne środki w celu zapewnienia bezpieczeństwa routera i danych API, a w szczególności danych API stanowiących dane osobowe przekazywanych za pośrednictwem routera, w tym poprzez opracowanie, wdrożenie i regularne aktualizowanie planu bezpieczeństwa, planu ciągłości działania i planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, w celu:

a)zapewnienia fizycznej ochrony routera, w tym poprzez opracowywanie planów awaryjnych na potrzeby ochrony jego kluczowych elementów;

b)zapobiegania wszelkiemu nieuprawnionemu przetwarzaniu danych API – w tym nieuprawnionemu dostępowi do nich oraz ich kopiowaniu, modyfikowaniu lub usuwaniu, zarówno podczas przekazywania danych API do i z routera, jak i podczas przechowywania danych API w routerze, gdy jest to niezbędne do zakończenia procesu przekazywania – w szczególności za pomocą odpowiednich technik szyfrowania;

c)zapewnienia możliwości sprawdzenia i ustalenia, którym właściwym służbom granicznym lub JIP można przekazywać dane API za pośrednictwem routera;

d)właściwego zgłaszania zarządowi wszelkich błędów w funkcjonowaniu routera;

e)monitorowania skuteczności środków bezpieczeństwa wymaganych na podstawie niniejszego artykułu i na podstawie rozporządzenia (UE) 2018/1725 oraz – w stosownych przypadkach – oceny i aktualizacji tych środków bezpieczeństwa w świetle zmian technologicznych lub operacyjnych.

Środki, o których mowa w akapicie pierwszym niniejszego ustępu, nie mają wpływu na art. 33 rozporządzenia (UE) 2018/1725 ani na art. 32 rozporządzenia (UE) 2016/679.

Artykuł 18

Monitorowanie własnej działalności

Przewoźnicy lotniczy i właściwe organy monitorują wypełnianie swoich obowiązków wynikających z niniejszego rozporządzenia, w szczególności w zakresie przetwarzania przez nich danych API stanowiących dane osobowe, w tym poprzez częstą weryfikację rejestrów, o których mowa w art. 13.

Artykuł 19

Kontrole ochrony danych osobowych

1.Właściwe krajowe organy ochrony danych, o których mowa w art. 51 rozporządzenia (UE) 2016/679, zapewniają przeprowadzenie co najmniej raz na cztery lata kontroli operacji przetwarzania danych API stanowiących dane osobowe, przeprowadzanych przez właściwe służby graniczne na potrzeby niniejszego rozporządzenia, zgodnie z odpowiednimi międzynarodowymi standardami kontroli.

2.Europejski Inspektor Ochrony Danych zapewnia przeprowadzenie co najmniej raz na rok kontroli operacji przetwarzania danych API stanowiących dane osobowe, przeprowadzanych przez eu-LISA na potrzeby niniejszego rozporządzenia i rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API], zgodnie z odpowiednimi międzynarodowymi standardami kontroli. Sprawozdanie z takiej kontroli przekazuje się Parlamentowi Europejskiemu, Radzie, Komisji, państwom członkowskim i eu-LISA. eu-LISA ma możliwość przedstawienia uwag dotyczących sprawozdań przed ich przyjęciem.

3.W odniesieniu do operacji przetwarzania, o których mowa w ust. 2, na wniosek Europejskiego Inspektora Ochrony Danych eu-LISA przekazuje żądane informacje, udziela mu dostępu do wszelkich żądanych przez niego dokumentów i do rejestrów, o których mowa w art. 13 ust. 1, oraz umożliwia mu uzyskanie dostępu do wszystkich pomieszczeń eu-LISA w dowolnym momencie.

ROZDZIAŁ 5

PODŁĄCZENIE I DODATKOWE PRZEPISY DOTYCZĄCE ROUTERA

Artykuł 20

Podłączenie właściwych służb granicznych do routera

1.Państwa członkowskie zapewniają podłączenie ich właściwych służb granicznych do routera. Zapewniają one, aby systemy i infrastruktura właściwych służb granicznych służące do odbioru danych API, przekazywanych na podstawie niniejszego rozporządzenia, były zintegrowane z routerem.

Państwa członkowskie zapewniają, aby podłączenie do routera i integracja z nim umożliwiały ich właściwym służbom granicznym otrzymywanie i dalsze przetwarzanie danych API, jak również wymianę wszelkich powiązanych komunikatów, w sposób zgodny z prawem, bezpieczny, skuteczny i sprawny.

2.Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 37 w celu uzupełnienia niniejszego rozporządzenia przez określenie niezbędnych zasad szczegółowych dotyczących podłączenia do routera, o którym mowa w ust. 1, i integracji z nim.

Artykuł 21

Podłączenie przewoźników lotniczych do routera

1.Przewoźnicy lotniczy zapewniają, aby byli podłączeni do routera. Zapewniają oni, aby ich systemy i infrastruktura służące do przekazywania danych API do routera na podstawie niniejszego rozporządzenia były zintegrowane z routerem.

Przewoźnicy lotniczy zapewniają, aby podłączenie do routera i integracja z nim umożliwiały im przekazywanie danych API, jak również wymianę wszelkich powiązanych komunikatów, w sposób zgodny z prawem, bezpieczny, skuteczny i sprawny.

Artykuł 22

Zadania eu-LISA związane z projektowaniem i opracowaniem routera

1.eu-LISA jest odpowiedzialna za sporządzenie projektu architektury fizycznej routera, jak również za określenie specyfikacji technicznych.

2.eu-LISA odpowiada za opracowanie routera, w tym za wszelkie dostosowania techniczne niezbędne do jego funkcjonowania.

Opracowanie routera obejmuje przygotowanie i wdrożenie specyfikacji technicznych, przeprowadzenie testów oraz ogólną koordynację projektu i zarządzanie nim w fazie opracowania.

3.eu-LISA zapewnia, aby router został zaprojektowany i opracowany w taki sposób, aby umożliwiał korzystanie z funkcji określonych w niniejszym rozporządzeniu i rozporządzeniu (UE) [w sprawie egzekwowania przepisów dotyczących API], a także aby został uruchomiony jak najszybciej po przyjęciu przez Komisję aktów delegowanych przewidzianych w art. 5 ust. 4, art. 6 ust. 3, art. 11 ust. 4, art. 20 ust. 2 i art. 21 ust. 2.

4.W przypadku gdy eu-LISA stwierdzi, że faza opracowania została zakończona, bez zbędnej zwłoki przeprowadza kompleksowy test routera we współpracy z właściwymi służbami granicznymi, JIP i innymi właściwymi organami państw członkowskich oraz przewoźnikami lotniczymi, a także informuje Komisję o wynikach tego testu.

Artykuł 23

Zadania eu-LISA związane z obsługą routera oraz zarządzaniem technicznym routerem

1.eu-LISA obsługuje router w swoich centrach technicznych.

2.eu-LISA jest odpowiedzialna za zarządzanie techniczne routerem, w tym za jego utrzymanie i rozwój techniczny, w sposób zapewniający bezpieczne, skuteczne i sprawne przekazywanie danych API za pośrednictwem routera, zgodnie z niniejszym rozporządzeniem i rozporządzeniem (UE) [w sprawie egzekwowania przepisów dotyczących API].

Zarządzanie techniczne routerem polega na wykonywaniu wszystkich zadań i wprowadzaniu wszystkich rozwiązań technicznych niezbędnych do zapewnienia prawidłowego funkcjonowania routera zgodnie z niniejszym rozporządzeniem i rozporządzeniem (UE) [w sprawie egzekwowania przepisów dotyczących API], w sposób nieprzerwany, przez 24 godziny na dobę, 7 dni w tygodniu. Obejmuje ono w szczególności prace konserwacyjne i zmiany techniczne konieczne do zapewnienia zadowalającego poziomu jakości technicznej funkcjonowania routera, w szczególności w zakresie dostępności, dokładności i niezawodności przekazywania danych API, zgodnie ze specyfikacją techniczną i w jak największym stopniu zgodnie z potrzebami operacyjnymi właściwych służb granicznych, JIP i przewoźników lotniczych.

3.eu-LISA nie ma dostępu do żadnych danych API przekazywanych za pośrednictwem routera. Zakaz ten nie wyklucza jednak możliwości uzyskania przez eu-LISA takiego dostępu w zakresie bezwzględnie niezbędnym do utrzymywania routera.

4.Bez uszczerbku dla ust. 3 niniejszego artykułu oraz art. 17 rozporządzenia Rady (EWG, Euratom, EWWiS) nr 259/68 50 , eu-LISA stosuje właściwe przepisy dotyczące tajemnicy zawodowej lub nakłada inne równoważne obowiązki zachowania poufności na swoich pracowników zobowiązanych do pracy z danymi API przekazywanymi za pośrednictwem routera. Obowiązek ten stosuje się także po odejściu tych pracowników z urzędu lub z pracy lub po zakończeniu przez nich działalności.

Artykuł 24

Zadania pomocnicze eu-LISA związane z routerem

1.Na wniosek właściwych służb granicznych, JIP i innych odpowiednich organów państw członkowskich oraz przewoźników lotniczych eu-LISA zapewnia im szkolenie w zakresie technicznego korzystania z routera.

2.eu-LISA zapewnia wsparcie właściwym służbom granicznym i JIP w zakresie odbioru danych API za pośrednictwem routera zgodnie z – odpowiednio – niniejszym rozporządzeniem i rozporządzeniem (UE) [w sprawie egzekwowania przepisów dotyczących API], w szczególności w kwestii stosowania art. 11 i 20 niniejszego rozporządzenia oraz art. 5 i 10 rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API].

Artykuł 25

Koszty ponoszone przez eu-LISA i państwa członkowskie

1.Koszty ponoszone przez eu-LISA w związku z zaprojektowaniem, opracowaniem i obsługą routera oraz zarządzaniem technicznym tym routerem na podstawie niniejszego rozporządzenia i rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API] są pokrywane z budżetu ogólnego Unii.

2.Koszty ponoszone przez państwa członkowskie w związku z podłączeniem ich do routera i integracją z nim, o których mowa w art. 20, są pokrywane z budżetu ogólnego Unii.

Wyłącza się jednak następujące koszty, które pokrywają państwa członkowskie:

a)koszty dotyczące funkcjonowania biura zarządzania projektami, w tym koszty posiedzeń, podróży służbowych, lokali biurowych;

b)koszty dotyczące obsługi krajowych systemów informatycznych, w tym pomieszczeń, wdrażania, energii elektrycznej i chłodzenia;

c)koszty dotyczące funkcjonowania krajowych systemów informatycznych, w tym umów z operatorami i umów w zakresie wsparcia;

d)koszty dotyczące projektowania, opracowania, wdrażania, funkcjonowania i utrzymania krajowych sieci łączności.

3.Państwa członkowskie ponoszą również koszty powstałe w wyniku administrowania, użytkowania i konserwacji krajowych podłączeń do routera i integracji z nim.

Artykuł 26

Odpowiedzialność związana z routerem

Jeżeli niewypełnienie przez państwo członkowskie lub przewoźnika lotniczego obowiązków spoczywających na nim zgodnie z niniejszym rozporządzeniem spowoduje szkodę w routerze, wówczas dane państwo członkowskie lub dany przewoźnik lotniczy ponoszą odpowiedzialność za tę szkodę, chyba że – i w zakresie, w jakim – eu-LISA nie wprowadziła uzasadnionych środków zapobiegających wystąpieniu takiej szkody lub ograniczających jej skutki.

Artykuł 27

Uruchomienie routera

Komisja określa bez zbędnej zwłoki, w drodze aktu wykonawczego, termin uruchomienia routera po otrzymaniu informacji od eu-LISA o pomyślnym zakończeniu kompleksowego testu routera, o którym mowa w art. 22 ust. 4. Ten akt wykonawczy przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 36 ust. 2.

Komisja wyznacza termin, o którym mowa w akapicie pierwszym, na datę nie późniejszą niż 30 dni od przyjęcia tego aktu wykonawczego.

Artykuł 28

Korzystanie z routera na zasadzie dobrowolności w zastosowaniu dyrektywy 2004/81/WE

1.Przewoźnicy lotniczy są uprawnieni do korzystania z routera w celu przekazywania informacji, o których mowa w art. 3 ust. 1 dyrektywy 2004/82/WE, co najmniej jednemu z odpowiedzialnych organów, o których mowa w tej dyrektywie, zgodnie z tą dyrektywą, pod warunkiem że dany odpowiedzialny organ wyraził zgodę na takie korzystanie, od odpowiedniej daty ustalonej przez ten organ. Organ ten wyraża zgodę dopiero po ustaleniu, że – w szczególności w odniesieniu do własnego podłączenia do routera oraz podłączenia do danego przewoźnika lotniczego – informacje mogą być przekazywane w sposób zgodny z prawem, bezpieczny, skuteczny i sprawny.

2.Gdy przewoźnik lotniczy rozpocznie korzystanie z routera zgodnie z ust. 1, wykorzystuje router do przekazywania takich informacji danemu właściwemu organowi do daty rozpoczęcia stosowania niniejszego rozporządzenia, o której mowa w art. 39 akapit drugi. Zaprzestaje się jednak tego korzystania od odpowiedniej daty ustalonej przez ten organ, jeżeli organ ten uzna, że istnieją obiektywne powody wymagające takiego zaprzestania, i poinformuje o tym przewoźnika lotniczego.

3.Dany właściwy organ:

a)zasięga opinii eu-LISA przed wyrażeniem zgody na dobrowolne korzystanie z routera zgodnie z ust. 1;

b)z wyjątkiem sytuacji należycie uzasadnionych pilną potrzebą, umożliwia zainteresowanemu przewoźnikowi lotniczemu zgłoszenie uwag na temat zamiaru zaprzestania takiego korzystania zgodnie z ust. 2 oraz, w stosownych przypadkach, zasięgnięcie opinii eu-LISA w tej sprawie;

c)niezwłocznie informuje eu-LISA i Komisję o każdym przypadku takiego korzystania, na które wyraził zgodę, oraz o każdym zaprzestaniu takiego korzystania i przekazuje wszelkie niezbędne informacje, w tym, w stosownych przypadkach, datę rozpoczęcia korzystania z routera, datę zaprzestania korzystania z routera oraz przyczyny zaprzestania korzystania z routera.

ROZDZIAŁ 6

NADZÓR, KARY, STATYSTYKI I PODRĘCZNIK

Artykuł 29

Krajowy organ nadzorczy

1.Państwa członkowskie wyznaczają co najmniej jeden krajowy organ nadzorczy odpowiedzialny za monitorowanie stosowania przez przewoźników lotniczych przepisów niniejszego rozporządzenia na ich terytorium oraz za zapewnienie zgodności z tymi przepisami.

2.Państwa członkowskie zapewniają, aby krajowe organy nadzorcze dysponowały wszelkimi niezbędnymi środkami oraz wszelkimi niezbędnymi uprawnieniami w zakresie prowadzonych postępowań przygotowawczych i uprawnieniami w zakresie egzekwowania przepisów w celu wykonywania swoich zadań na podstawie niniejszego rozporządzenia, które to zadania obejmują nakładanie w stosownych przypadkach kar, o których mowa w art. 30. Ponadto państwa członkowskie określają szczegółowe zasady wykonywania tych zadań i korzystania z tych uprawnień, zapewniając, aby wykonywanie tych zadań i korzystanie z tych uprawnień było skuteczne, proporcjonalne i odstraszające oraz podlegało zabezpieczeniom zgodnym z prawami podstawowymi gwarantowanymi przez prawo Unii.

3.Do daty rozpoczęcia stosowania niniejszego rozporządzenia, o której mowa w art. 21 akapit drugi, państwa członkowskie przekazują Komisji nazwy i dane kontaktowe organów, które wyznaczyły na podstawie ust. 1, oraz szczegółowe zasady, które ustanowiły na podstawie ust. 2. Państwa członkowskie niezwłocznie powiadamiają Komisję o wszelkich późniejszych zmianach lub modyfikacjach tych zasad.

4.Niniejszy artykuł nie narusza uprawnień organów nadzorczych, o których mowa w art. 51 rozporządzenia (UE) 2016/679.

Artykuł 30

Kary

Państwa członkowskie ustanawiają przepisy dotyczące kar mających zastosowanie w przypadku naruszeń przepisów niniejszego rozporządzenia i podejmują wszelkie niezbędne środki w celu zapewnienia ich wykonywania. Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające.

Do daty rozpoczęcia stosowania niniejszego rozporządzenia, o której mowa w art. 39 akapit drugi, państwa członkowskie powiadamiają Komisję o tych przepisach i środkach i niezwłocznie przekazują informacje o wszelkich późniejszych zmianach, które ich dotyczą.

Artykuł 31

Statystyki

1.Co kwartał eu-LISA publikuje statystyki dotyczące funkcjonowania routera, obejmujące w szczególności liczbę, obywatelstwo i kraj wyjazdu podróżnych, zwłaszcza tych podróżnych, którzy weszli na pokład samolotu, a posiadali niedokładne, niekompletne lub nieaktualne dane API, nieuznawany dokument podróży lub nie posiadali ważnej wizy bądź ważnego zezwolenia na wjazd, lub byli zgłoszeni jako osoby nadmiernie przedłużające pobyt, a także liczbę i obywatelstwo podróżnych.

2.eu-LISA przechowuje statystyki dzienne w centralnym repozytorium sprawozdawczo-statystycznym ustanowionym w art. 39 rozporządzenia (UE) 2019/817.

3.Na koniec każdego roku eu-LISA zestawia dane statystyczne w sprawozdaniu rocznym za dany rok. Publikuje ona to sprawozdanie roczne i przekazuje je Parlamentowi Europejskiemu, Radzie, Komisji, Europejskiemu Inspektorowi Ochrony Danych, Europejskiej Agencji Straży Granicznej i Przybrzeżnej oraz krajowym organom nadzorczym, o których mowa w art. 29.

4.Na wniosek Komisji eu-LISA dostarcza jej statystyki dotyczące określonych aspektów związanych z wdrożeniem niniejszego rozporządzenia i rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API], jak również statystyki zestawiane na podstawie ust. 3.

5.eu-LISA ma prawo dostępu – wyłącznie do celów sprawozdawczości, o której mowa w art. 38, i tworzenia statystyk zgodnie z niniejszym artykułem – do następujących danych API przekazywanych za pośrednictwem routera, który to dostęp nie umożliwia jednak identyfikacji danych podróżnych:

a)informacji, czy podróżny jest pasażerem czy członkiem załogi;

b)informacji o obywatelstwie, płci i roku urodzenia podróżnego;

c)daty i początkowego punktu wejścia na pokład oraz daty i portu lotniczego przylotu na terytorium docelowego państwa członkowskiego;

d)rodzaju dokumentu podróży, trzyliterowego kodu państwa wydającego dokument podróży oraz daty upływu ważności tego dokumentu;

e)informacji o liczbie podróżnych odprawionych na ten sam lot;

f)informacji, czy lot jest lotem regularnym czy nieregularnym;

g)informacji, czy dane osobowe podróżnego są dokładne, kompletne i aktualne.

6.Do celów sprawozdawczości, o której mowa w art. 38, i tworzenia statystyk zgodnie z niniejszym artykułem eu-LISA przechowuje dane, o których mowa w ust. 5 niniejszego artykułu, w centralnym repozytorium sprawozdawczo-statystycznym ustanowionym na mocy art. 39 rozporządzenia (UE) 2019/817. Wymienione w art. 39 ust. 1 tego rozporządzenia międzysystemowe dane statystyczne i sprawozdania analityczne umożliwiają właściwym służbom granicznym i innym odpowiednim organom państw członkowskich uzyskanie sprofilowanych do potrzeb sprawozdań i statystyk do celów, o których mowa w art. 1 niniejszego rozporządzenia.

7.Procedury wdrożone przez eu-LISA w celu monitorowaniu opracowania i funkcjonowania routera, o których mowa w art. 39 ust. 1 rozporządzenia (UE) 2019/817, obejmują możliwość regularnego generowania statystyk na potrzeby tego monitorowania.

Artykuł 32

Praktyczny podręcznik

Komisja, w ścisłej współpracy z właściwymi służbami granicznymi, innymi odpowiednimi organami państw członkowskich, przewoźnikami lotniczymi i właściwymi agencjami Unii, przygotowuje i udostępnia praktyczny podręcznik zawierający wytyczne, zalecenia i najlepsze praktyki dotyczące wdrażania niniejszego rozporządzenia.

Praktyczny podręcznik uwzględnia odpowiednie, istniejące już podręczniki.

Komisja przyjmuje praktyczny podręcznik w formie zalecenia.

ROZDZIAŁ 7

STOSUNEK DO INNYCH OBOWIĄZUJĄCYCH AKTÓW

Artykuł 33

Uchylenie dyrektywy 2004/82/WE

Dyrektywa 2004/82/WE traci moc z dniem rozpoczęcia stosowania niniejszego rozporządzenia, o czym mowa w art. 39 akapit drugi.

Artykuł 34

Zmiany w rozporządzeniu (UE) 2018/1726

W rozporządzeniu (UE) 2018/1726 wprowadza się następujące zmiany:

(1)dodaje się art. 13b w brzmieniu:

„Artykuł 13b

Zadania związane z routerem

W odniesieniu do rozporządzenia Parlamentu Europejskiego i Rady (UE) …/…* [niniejsze rozporządzenie] oraz rozporządzenia (UE) [w sprawie egzekwowania przepisów dotyczących API] Agencja wykonuje zadania związane z routerem powierzone jej na mocy tych rozporządzeń.

___________

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) [numer] z dnia xy r. w sprawie [oficjalnie przyjęty tytuł] (Dz.U. L … z …, s. …).”;

(1)art. 17 ust. 3 otrzymuje brzmienie:

„3. Siedzibą Agencji jest Tallin (Estonia).

Zadania związane z rozwojem i zarządzaniem operacyjnym, o których mowa w art. 1 ust. 4 i 5, art. 3–9 oraz art. 11, [13a] i 13b są wykonywane w centrum technicznym w Strasburgu, we Francji.

Obiekt zapasowy, który umożliwia zapewnienie działania wielkoskalowego systemu informatycznego w przypadku awarii takiego systemu, jest zlokalizowany w Sankt Johann im Pongau, w Austrii.”;

(2)w art. 19 ust. 1 wprowadza się następujące zmiany:

a)dodaje się lit. eeb) w brzmieniu:

„eeb) przyjmuje sprawozdania ze stanu prac nad opracowaniem routera zgodnie z art. 38 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) .../... * [niniejsze rozporządzenie];

___________

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) [numer] z dnia xy r. w sprawie [oficjalnie przyjęty tytuł] (Dz.U. L … z …, s. …).”;

b)lit. ff) otrzymuje brzmienie:

„ff) przyjmuje sprawozdania dotyczące technicznego funkcjonowania:

(1)systemu SIS – na podstawie art. 60 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1861* oraz art. 74 ust. 8 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1862**;

(2)systemu VIS – na podstawie art. 50 ust. 3 rozporządzenia (WE) nr 767/2008 i art. 17 ust. 3 decyzji 2008/633/WSiSW;

(3)systemu EES – na podstawie art. 72 ust. 4 rozporządzenia (UE) 2017/2226;

(4)systemu ETIAS – na podstawie art. 92 ust. 4 rozporządzenia (UE) 2018/1240;

(5)systemu ECRIS-TCN i oprogramowania wzorcowego ECRIS – na podstawie art. 36 ust. 8 rozporządzenia (UE) 2019/816;

(6)elementów interoperacyjności – na podstawie art. 78 ust. 3 rozporządzenia (UE) 2019/817 i art. 74 ust. 3 rozporządzenia (UE) 2019/818 – oraz routera – na podstawie art. 79 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) .../...* [rozporządzenie Prüm II] i art. 38 ust. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) .../...* [niniejsze rozporządzenie];

(3)systemu e-CODEX – na podstawie art. 16 ust. 1 rozporządzenia (UE) 2022/850;

___________

*Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1861 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie odpraw granicznych, zmiany konwencji wykonawczej do układu z Schengen oraz zmiany i uchylenia rozporządzenia (WE) nr 1987/2006 (Dz.U. L 312 z 7.12.2018, s. 14).

**Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1862 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych, zmiany i uchylenia decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1986/2006 i decyzji Komisji 2010/261/UE ( Dz.U. L 312 z 7.12.2018, s. 56 ).”;

c) lit. hh) otrzymuje brzmienie:

„hh) przyjmuje oficjalne uwagi do sprawozdań Europejskiego Inspektora Ochrony Danych z audytów, na podstawie art. 56 ust. 2 rozporządzenia (UE) 2018/1861, art. 42 ust. 2 rozporządzenia (WE) nr 767/2008 i art. 31 ust. 2 rozporządzenia (UE) nr 603/2013, art. 56 ust. 2 rozporządzenia (UE) 2017/2226, art. 67 rozporządzenia (UE) 2018/1240, art. 29 ust. 2 rozporządzenia (UE) 2019/816, art. 52 rozporządzeń (UE) 2019/817 i (UE) 2019/818, art. 60 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) .../...* [Prüm II] i art. 19 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) .../...* [niniejsze rozporządzenie], a także zapewnia odpowiednie działania następcze w sprawie tych audytów;

___________

(4)* Rozporządzenie Parlamentu Europejskiego i Rady (UE) [numer] z dnia xy r. w sprawie [oficjalnie przyjęty tytuł] (Dz.U. L … z …, s. …).”.

Artykuł 35

Zmiany w rozporządzeniu (UE) 2019/817

___________

(1)W art. 39 ust. 1 i 2 otrzymują brzmienie:

„1. Centralne repozytorium sprawozdawczo-statystyczne ustanawia się, aby wspierać realizację celów systemów EES, VIS, ETIAS i SIS zgodnie z odpowiednimi aktami prawnymi regulującymi te systemy oraz zapewniać międzysystemowe dane statystyczne i sprawozdania analityczne służące strategiom politycznym, celom operacyjnym i celom związanym z jakością danych. Centralne repozytorium sprawozdawczo-statystyczne wspiera również cele rozporządzenia Parlamentu Europejskiego i Rady (UE) …/…* [niniejsze rozporządzenia].

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) [numer] z dnia xy r. w sprawie [oficjalnie przyjęty tytuł] (Dz.U. L … z …, s. …).

2. eu-LISA ustanawia, wdraża i obsługuje w swoich centrach technicznych centralne repozytorium sprawozdawczo-statystyczne zawierające dane i statystyki, o których mowa w art. 63 rozporządzenia (UE) 2017/2226, art. 17 rozporządzenia (WE) nr 767/2008, art. 84 rozporządzenia (UE) 2018/1240, art. 60 rozporządzenia (UE) 2018/1861 oraz art. 16 rozporządzenia (UE) 2018/1860, logicznie oddzielone według systemu informacyjnego UE. eu-LISA gromadzi również dane i statystyki z routera, o których mowa w art. 31 ust. 1 rozporządzenia (UE) .../... * [niniejsze rozporządzenie]. Dostęp do centralnego repozytorium sprawozdawczo-statystycznego w postaci kontrolowanego, bezpiecznego dostępu i określonych profili użytkowników przyznaje się – wyłącznie w celach sprawozdawczo-statystycznych – organom, o których mowa w art. 63 rozporządzenia (UE) 2017/2226, art. 17 rozporządzenia (WE) nr 767/2008, art. 84 rozporządzenia (UE) 2018/1240, art. 60 rozporządzenia (UE) 2018/1861 i art. 38 ust. 2 rozporządzenia (UE) .../... [niniejsze rozporządzenie].”.

ROZDZIAŁ 8

PRZEPISY KOŃCOWE

Artykuł 36

Procedura komitetowa

1.Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

2.W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011. W przypadku gdy komitet nie wyda żadnej opinii, Komisja nie przyjmuje projektu aktu wykonawczego i stosuje się art. 5 ust. 4 akapit trzeci rozporządzenia (UE) nr 182/2011.

Artykuł 37

Wykonywanie przekazanych uprawnień

1.Powierzenie Komisji uprawnień do przyjmowania aktów delegowanych podlega warunkom określonym w niniejszym artykule.

2.Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 5 ust. 4, art. 6 ust. 3, art. 11 ust. 4, art. 20 ust. 2 i art. 21 ust. 2, powierza się Komisji na okres pięciu lat od dnia [data przyjęcia rozporządzenia]. Komisja sporządza sprawozdanie dotyczące przekazania uprawnień nie później niż dziewięć miesięcy przed końcem okresu pięciu lat. Przekazanie uprawnień zostaje automatycznie przedłużone na takie same okresy, chyba że Parlament Europejski lub Rada sprzeciwią się takiemu przedłużeniu nie później niż trzy miesiące przed końcem każdego okresu.

3.Przekazanie uprawnień, o którym mowa w art. 5 ust. 4, art. 6 ust. 3, art. 11 ust. 4, art. 20 ust. 2 i art. 21 ust. 2, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.

4.Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.

5.Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

Artykuł 38

Monitorowanie i ocena

1.eu-LISA zapewnia wdrożenie procedur w zakresie monitorowania opracowania routera pod kątem celów dotyczących planowania i kosztów oraz procedur w zakresie monitorowania funkcjonowania routera pod kątem celów w zakresie rezultatów technicznych, efektywności kosztowej, bezpieczeństwa i jakości działania.

2.Do dnia [rok po dacie wejścia w życie niniejszego rozporządzenia], a następnie co roku w trakcie fazy opracowania routera, eu-LISA sporządza i przedstawia Parlamentowi Europejskiemu i Radzie sprawozdanie z aktualnej sytuacji w zakresie opracowania routera. Sprawozdanie to zawiera szczegółowe informacje na temat poniesionych kosztów oraz wszelkich rodzajów ryzyka, które mogą mieć wpływ na ogólne koszty pokrywane z budżetu ogólnego Unii zgodnie z art. 25.

3.Po uruchomieniu routera eu-LISA sporządza i przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie zawierające szczegółowe wyjaśnienia dotyczące sposobu osiągnięcia celów, w szczególności w zakresie planowania i kosztów, a także zawierające uzasadnienie wszelkich rozbieżności.

4.Do dnia [cztery lata od daty wejścia w życie niniejszego rozporządzenia], a następnie co cztery lata Komisja sporządza sprawozdanie zawierające ogólną ocenę niniejszego rozporządzenia, w tym ocenę:

a)stosowania niniejszego rozporządzenia;

b)zakresu, w jakim niniejsze rozporządzenie osiągnęło swoje cele;

c)wpływu niniejszego rozporządzenia na odpowiednie prawa podstawowe chronione prawem Unii.

5.Komisja przekazuje powyższe sprawozdanie oceniające Parlamentowi Europejskiemu, Radzie, Europejskiemu Inspektorowi Ochrony Danych i Agencji Praw Podstawowych Unii Europejskiej. W stosownych przypadkach, w świetle przeprowadzonej oceny, Komisja przedstawia Parlamentowi Europejskiemu i Radzie wniosek ustawodawczy w celu zmiany niniejszego rozporządzenia.

6.Państwa członkowskie i przewoźnicy lotniczy przekazują eu-LISA i Komisji, na ich wniosek, informacje niezbędne do sporządzania sprawozdań, o których mowa w ust. 2, 3 i 4, w tym informacje niestanowiące danych osobowych związane z wynikami wstępnych kontroli unijnych systemów informacyjnych i krajowych baz danych przeprowadzonych na granicach zewnętrznych z wykorzystaniem danych API. Państwa członkowskie mogą jednak powstrzymać się od przekazania takich informacji, jeżeli jest to niezbędne – i w stopniu, w jakim jest to niezbędne – aby nie ujawniać poufnych metod pracy ani nie zagrażać trwającym postępowaniom przygotowawczym prowadzonym przez właściwe służby graniczne. Komisja zapewnia odpowiednią ochronę wszelkich przekazanych informacji poufnych.

Artykuł 39

Wejście w życie i rozpoczęcie stosowania

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się po upływie dwóch lat od daty uruchomienia routera, którą to datę określa Komisja zgodnie z art. 27.

Jednakże:

a)art. 5 ust. 4 i 5, art. 6 ust. 3, art. 11 ust. 4, art. 20 ust. 2, art. 21 ust. 2, art. 22, art. 25 ust. 1, art. 27, 36 i 37 stosuje się od [data wejścia w życie niniejszego rozporządzenia];

b)art. 10, art. 13 ust. 1, 3 i 4, art. 15, 16, 17, 23, 24, 26 i 28 stosuje się od daty uruchomienia routera, którą to datę określa Komisja zgodnie z art. 27.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane w państwach członkowskich zgodnie z Traktatami.

Sporządzono w Strasburgu dnia r.

W imieniu Parlamentu Europejskiego W imieniu Rady

Przewodnicząca Przewodniczący

OCENA SKUTKÓW FINANSOWYCH REGULACJI

1.STRUKTURA WNIOSKU/INICJATYWY

1.1.Tytuł wniosku/inicjatywy

1.2.Obszary polityki, których dotyczy wniosek/inicjatywa

1.3.Wniosek/inicjatywa dotyczy:

1.4.Cel(e)

1.4.1.Cel(e) ogólny(e)

1.4.2.Cel(e) szczegółowy(e)

1.4.3.Oczekiwane wyniki i wpływ

1.4.4.Wskaźniki dotyczące realizacji celów

1.5.Uzasadnienie wniosku/inicjatywy

1.5.1.Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy

1.5.2.Wartość dodana z tytułu zaangażowania Unii Europejskiej (może wynikać z różnych czynników, na przykład korzyści koordynacyjnych, pewności prawa, większej efektywności lub komplementarności). Na potrzeby tego punktu „wartość dodaną z tytułu zaangażowania Unii” należy rozumieć jako wartość wynikającą z unijnej interwencji, wykraczającą poza wartość, która zostałaby wytworzona przez same państwa członkowskie.

1.5.3.Główne wnioski wyciągnięte z podobnych działań

1.5.4.Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami

1.5.5.Ocena różnych dostępnych możliwości finansowania, w tym zakresu przegrupowania środków

1.6.Czas trwania i wpływ finansowy wniosku/inicjatywy

1.7.Planowane tryby zarządzania

2.ŚRODKI ZARZĄDZANIA

2.1.Zasady nadzoru i sprawozdawczości

2.2.System zarządzania i kontroli

2.2.1.Uzasadnienie dla systemu zarządzania, mechanizmów finansowania wykonania, warunków płatności i proponowanej strategii kontroli

2.2.2.Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia

2.2.3.Oszacowanie i uzasadnienie efektywności kosztowej kontroli (relacja kosztów kontroli do wartości zarządzanych funduszy powiązanych) oraz ocena prawdopodobnego ryzyka błędu (przy płatności i przy zamykaniu)

2.3.Środki zapobiegania nadużyciom finansowym i nieprawidłowościom

3.SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY

3.1.Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ

3.2.Szacunkowy wpływ finansowy wniosku na środki

3.2.1.Podsumowanie szacunkowego wpływu na środki operacyjne

3.2.2.Przewidywany produkt finansowany ze środków operacyjnych

3.2.3.Podsumowanie szacunkowego wpływu na środki administracyjne

3.2.4.Zgodność z obowiązującymi wieloletnimi ramami finansowymi

3.2.5.Udział osób trzecich w finansowaniu

3.3.Szacunkowy wpływ na dochody

1.STRUKTURA WNIOSKÓW

1.1.Tytuł wniosków

1. Rozporządzenie Parlamentu Europejskiego i Rady w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą (API) w celu ułatwienia kontroli na granicach zewnętrznych

2. Rozporządzenie Parlamentu Europejskiego i Rady w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania

1.2.Obszary polityki, których dotyczy wniosek/inicjatywa

Sprawy wewnętrzne

1.3.Wniosek/inicjatywa dotyczy:

◻ nowego działania

◻ nowego działania, będącego następstwem projektu pilotażowego/działania przygotowawczego 51

⌧ przedłużenia bieżącego działania

◻ połączenia lub przekształcenia co najmniej jednego działania pod kątem innego/nowego działania

1.4.Cel(e)

1.4.1.Cel(e) ogólny(e)

1. Poprawa zarządzania granicami zewnętrznymi i zwalczanie nielegalnej imigracji poprzez zapewnienie, aby każda osoba przekraczająca odpowiednie granice zewnętrzne drogą powietrzną była poddawana podobnej i niezbędnej odprawie przed wjazdem.

2. Zwiększenie bezpieczeństwa wewnętrznego UE poprzez zapewnienie organom ścigania państw członkowskich dostępu, za pośrednictwem podlegających im jednostek do spraw informacji o pasażerach, do danych osób podróżujących drogą powietrzną, które to dane są niezbędne do zapobiegania poważnym przestępstwom i terroryzmowi, ich wykrywania i prowadzenia postępowań przygotowawczych w ich sprawie.

1.4.2.Cel(e) szczegółowy(e)

Cel szczegółowy nr 1: Poprawa wstępnych kontroli na odpowiednich granicach zewnętrznych z wykorzystaniem danych API cechujących się wysoką jakością i kompletnością oraz usprawnienie przepływu podróżnych (w przypadku wszystkich objętych kontrolą lotów przychodzących, w tym lotnictwa czarterowego i korporacyjnego).

Cel szczegółowy nr 2: Zapobieganie poważnym przestępstwom i aktom terroryzmu, ich wykrywanie i prowadzenie postępowań przygotowawczych w ich sprawie z wykorzystaniem danych API uzupełniających dane PNR dotyczące wszystkich pozaunijnych lotów przychodzących i wychodzących oraz wybranych lotów wewnątrzunijnych.

Aby osiągnąć cele szczegółowe nr 1 i nr 2, we wniosku przewiduje się utworzenie centralnego routera API.

1.4.3.Oczekiwane wyniki i wpływ

Należy wskazać, jakie efekty przyniesie wniosek/inicjatywa beneficjentom/grupie docelowej.

Wjazd na terytorium Unii wszystkich osób podróżujących liniami lotniczymi, niezależnie od obywatelstwa, jest usprawniony i przyspieszony dzięki wydajniejszym odprawom granicznym, opartym na wynikach systematycznych wstępnych kontroli przeprowadzanych przed przybyciem podróżnego do portu lotniczego. Odprawa takich podróżnych zostanie usprawniona dzięki automatycznemu odczytowi informacji z dokumentów podróży.

eu-LISA utworzy i będzie obsługiwać centralny router API w jak najkrótszym czasie od daty przyjęcia obu wniosków ustawodawczych.

Przewoźnicy lotniczy, zwłaszcza ci, którzy obsługują wyłącznie loty wewnątrzunijne, będą musieli dokonać inwestycji w celu przekazywania danych API do routera (75 mln EUR 52 ). Dla całego przemysłu lotniczego koszty te zostaną jednak zrekompensowane dzięki zracjonalizowanemu i scentralizowanemu podejściu do przekazywania informacji właściwym organom krajowym. Przykładowo przekazywanie danych API służbom granicznym i jednostkom do spraw informacji o pasażerach (JIP) za pośrednictwem pojedynczego punktu kontaktowego przyczyni się do znacznego zmniejszenia liczby podłączeń, a tym samym do ograniczenia kosztów operacyjnych (+12 545 mln EUR rocznie zamiast +40,3 mln EUR) oraz do zmniejszenia kar nakładanych zazwyczaj w związku z niedostatecznymi danymi o podróży lub brakiem tych danych (80 mln EUR rocznie).

Porty lotnicze zyskają na krótszym czasie przekraczania granicy, co pośrednio przyczyni się do ograniczenia potrzeby postoju oraz zapewni większą niezawodność transferów (węzeł lotniczy).

Głównymi beneficjentami są organy ścigania (jednostki do spraw informacji o pasażerach) oraz krajowe organy zarządzania granicami. Wzajemne gromadzenie danych będzie w dłuższej perspektywie mniej kosztowne (20 mln EUR rocznie). Systematyczne i spójne podejście umożliwi efektywniejsze wykorzystanie zasobów do celów odpraw granicznych w portach lotniczych. Dostępne i dokładne dane podróżnych umożliwią jednostkom do spraw informacji o pasażerach bardziej wiarygodne i wydajne monitorowanie przemieszczania się znanych podejrzanych osób oraz identyfikowanie podejrzanych wzorców podróżowania nieznanych osób, które mogą być zaangażowane w poważną działalność przestępczą lub terrorystyczną.

Obywatele odczują pośrednie i bezpośrednie korzyści wynikające z ułatwień w podróżowaniu i wjeździe do strefy Schengen, a także z lepszego zwalczania przestępstw i obniżenia wskaźników przestępczości. To oni są prawdziwymi beneficjentami tej inicjatywy, która przyczyni się do zwiększenia ich ochrony.

1.4.4.Wskaźniki dotyczące realizacji celów

Należy wskazać wskaźniki stosowane do monitorowania postępów i osiągnięć.

Wdrożenie routera centralnego:

–termin uruchomienia (przewidywany i regularnie zgłaszany przez zarząd eu-LISA) (docelowo T0+5 lat)

Cel szczegółowy nr 1:

–Odsetek linii lotniczych podłączonych do centralnego routera, obsługujących trasy poza strefą Schengen (docelowo 100 %)

–Liczba krajowych organów zarządzania granicami otrzymujących informacje z routera centralnego

–Liczba bezpośrednich połączeń między liniami lotniczymi a krajowymi organami zarządzania granicami do celów API (docelowo 0)

–Wskaźnik: Liczba zbiorów danych API przekazanych bezpośrednio krajowym organom zarządzania granicami/liczba zbiorów danych API przekazanych do routera (docelowo 0 %)

–Odsetek lotów, w przypadku których krajowe organy zarządzania granicami otrzymały zbiory danych API (docelowo 100 %)

–Odsetek lotów, w przypadku których krajowe organy zarządzania granicami otrzymały zbiory danych API w czasie krótszym niż 30 minut od startu (docelowo 100 %)

–Liczba i wysokość kar nałożonych na linie lotnicze za przyjęcie na pokład podróżnego na podstawie dokumentu podróży zawierającego dane przeznaczone do odczytu maszynowego, które są nieprawdziwe (docelowo 0)

–Liczba i wysokość kar nałożonych na linie lotnicze w związku z przekazywaniem niedokładnych lub niekompletnych zbiorów danych (docelowo 0)

–Liczba i wysokość kar nałożonych na linie lotnicze w związku z brakiem zbiorów danych (docelowo 0)

–Odsetek zbiorów danych API zawierających pełny zestaw danych dotyczących tożsamości (100 %)

–Odsetek zbiorów danych API poprawnych pod względem syntaktycznym (100 %)

–Liczba podróżnych objętych wstępną kontrolą w przypadku lotów przychodzących objętych kontrolą: (taka sama liczba, jak liczba przybywających podróżnych)

–Odsetek trafień stwierdzonych na granicy, które zostały już wykryte podczas wstępnych kontroli dotyczących lotów przychodzących objętych kontrolą: docelowo 100 %

Cel szczegółowy nr 2:

–Odsetek linii lotniczych podłączonych do interfejsu przewoźnika/routera centralnego, obsługujących trasy wewnątrzunijne (docelowo 100 %)

–Liczba JIP podłączonych do routera centralnego (docelowo 26)

–Liczba bezpośrednich połączeń między liniami lotniczymi a JIP do celów API (docelowo 0)

–Wskaźnik: Liczba zbiorów danych API przekazanych bezpośrednio JIP/liczba zbiorów danych API przekazanych do routera (docelowo 0 %)

–Odsetek otrzymanych danych PNR z odpowiadającymi im danymi API (docelowo 100 %)

–Liczba automatycznych dopasowań i trafień (tylko z danymi PNR, tylko z danymi API, z danymi PNR i API)

1.5.Uzasadnienie wniosku/inicjatywy

1.5.1.Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy

Obie inicjatywy wymagają opracowania, a następnie utrzymania i obsługi routera centralnego („router API”), z uwzględnieniem dwóch okresów przejściowych.

A/ Faza projektowania i opracowania

Faza projektowania obejmuje opracowanie projektu routera, elementów technicznych potrzebnych do jego obsługi oraz narzędzi wspierających wspólnie eu-LISA, przewoźników lotniczych i państwa członkowskie w wykonywaniu ich odpowiednich obowiązków.

Zależy ona od (i) przyjęcia proponowanych rozporządzeń, (ii) opracowania elementów technicznych routera i interfejsu przewoźnika, co jest uzależnione od (iii) spodziewanego zakończenia innych projektów rozwojowych w ramach eu-LISA, gdyż spowodowałoby to uwolnienie zasobów ludzkich, które mogłyby zostać przydzielone do innych stanowisk i zadań.

Zakłada się, że wnioski ustawodawcze zostaną przesłane do współprawodawców do końca 2022 r., a proces przyjęcia zakończy się do końca 2023 r., analogicznie do czasu przyjmowania pozostałych wniosków. Początek fazy opracowania ustalono na koniec 2025 r. (= T0), aby dysponować punktem odniesienia, od którego naliczane będą pozostałe terminy, nie zaś datami absolutnymi. Jeśli przyjęcie aktu przez współprawodawców nastąpi później, cały harmonogram ulegnie odpowiednim zmianom. Oczekuje się, że okres fazy opracowania zakończy się w tych warunkach do końca 2028 r. (T0 + 3 lata).

B/ Funkcjonowanie

Funkcjonowanie rozpoczyna się wraz z uruchomieniem routera i interfejsu przewoźnika, a więc jest zależne od ich uruchomienia. (T1=T0 + 3 lata)

C/ Okres przejściowy

Okres przejściowy zależy od uruchomienia routera i interfejsu przewoźnika oraz umożliwia zarówno przewoźnikom lotniczym, jak i państwom członkowskim stopniowe wdrażanie ich odpowiednich obowiązków:

–w przypadku przewoźników lotniczych: w zakresie gromadzenia i przekazywania danych API do interfejsu przewoźnika oraz systematycznego gromadzenia danych w sposób zautomatyzowany;

–w przypadku państw członkowskich: w zakresie gromadzenia danych API za pośrednictwem routera.

Okres ten powinien zakończyć się 2 lata po uruchomieniu interfejsu routera i przewoźnika: (T1 + 2 lata)

Terminarz

Przyczyny działania na poziomie europejskim (ex ante)

W Traktacie o funkcjonowaniu Unii Europejskiej (TFUE) nadano Unii bezpośrednie uprawnienie do opracowania wspólnej polityki w zakresie kontroli, którym poddawane są osoby przekraczające granice zewnętrzne, co stanowi wyraźny cel, do którego osiągnięcia należy dążyć na szczeblu UE i w kontekście zwalczania nielegalnej imigracji. Jednocześnie są to obszary kompetencji dzielonych między UE a państwa członkowskie.

W towarzyszącej wnioskowi ocenie skutków wykazano, że (i) nie każdą osobę przekraczającą granice zewnętrzne w celu dotarcia do Unii poddaje się wstępnej kontroli z wykorzystaniem danych API oraz (ii) w przypadku braku danych API w danych gromadzonych na potrzeby PNR pozostają pewne luki, co dotyczy zwłaszcza lotów wewnątrzunijnych. Działania UE w tym zakresie mają na celu rozstrzygnięcie tych kwestii, które można podjąć w ramach stosowania zasady pomocniczości – istotnej w kontekście kompetencji dzielonych – ponieważ przewidywane cele nie mogą zostać osiągnięte w wystarczającym stopniu przez same państwa członkowskie, natomiast ze względu na rozmiary lub skutki proponowanego działania mogą zostać lepiej osiągnięte przez UE:

(i) Same państwa członkowskie nie byłyby w stanie skutecznie wdrożyć jasnych i wspólnych zasad operacyjnych dotyczących przetwarzania danych API na potrzeby zarządzania granicami i zwalczania nielegalnej imigracji, zwłaszcza w zakresie wstępnych kontroli, które mają zasadnicze znaczenie w zharmonizowanym podejściu w całej Unii, w szczególności w strefie Schengen, do przepływu osób przez granice zewnętrzne (kodeks graniczny Schengen).

(ii) Podobnie same państwa członkowskie nie byłyby w stanie skutecznie rozwiązywać problemów związanych z przetwarzaniem danych API na potrzeby ochrony porządku publicznego, ponieważ dyrektywa w sprawie API jest instrumentem Schengen i nie uregulowano w niej kwestii pozyskiwania i przekazywania danych API w przypadku lotów wewnątrzunijnych. Wobec braku danych API, które stanowiłyby uzupełnienie danych PNR w zakresie tych lotów, państwa członkowskie wdrożyły szereg różnych środków, które mają rekompensować brak danych dotyczących tożsamości podróżnych. Obejmują one fizyczne kontrole zgodności w celu weryfikacji danych dotyczących tożsamości zawartych w dokumencie podróży i na karcie pokładowej, które powodują nowe wyzwania, lecz nie rozwiązują podstawowego problemu, jakim jest brak danych API.

W związku z tym konieczne byłoby podjęcie działań na szczeblu UE w zakresie danych API, aby skutecznie przeciwdziałać zidentyfikowanym problemom zgodnie z zasadą pomocniczości. Do podjęcia tych działań wezwano również w Strategii Komisji na rzecz w pełni funkcjonującej i odpornej strefy Schengen 53 z czerwca 2021 r., w której podkreślono konieczność większego wykorzystania danych API w połączeniu z danymi PNR na potrzeby lotów wewnątrzunijnych w celu zwiększenia bezpieczeństwa wewnętrznego. Oprócz potrzeby wzmocnienia strefy Schengen jako priorytetu politycznego Unii potrzeba działania UE w zakresie API na tym etapie, niezależnie od szczególnego stanowiska Irlandii, wynika również z najnowszych zmian legislacyjnych w zakresie zarządzania granicami zewnętrznymi Unii:

– rozporządzenia w sprawie interoperacyjności z 2019 r. umożliwią systematyczne odprawy osób przekraczających zewnętrzne granice strefy Schengen z wykorzystaniem wszystkich dostępnych informacji zawartych w scentralizowanych systemach informacyjnych UE w dziedzinie bezpieczeństwa oraz zarządzania granicami i migracjami. Logiczną kontynuacją tej koncepcji jest ustanowienie scentralizowanego przekazywania danych API na szczeblu UE;

– na zewnętrznych granicach strefy Schengen wykorzystywanie danych API stanowiłoby skuteczne uzupełnienie zbliżającego się uruchomienia systemu wjazdu/wyjazdu (EES) oraz europejskiego systemu informacji o podróży oraz zezwoleń na podroż (ETIAS). Wykorzystanie danych API byłoby nadal niezbędne w zarządzaniu granicami zewnętrznymi, ponieważ pozwalałoby z wyprzedzeniem informować funkcjonariuszy straży granicznej o tym, czy dany podróżny faktycznie wsiadł na pokład samolotu z kraju trzeciego i zamierza wjechać do strefy Schengen, co ułatwi odprawę graniczną, która będzie miała miejsce po przybyciu podróżnego na granicę zewnętrzną;

Oczekiwana wartość dodana z tytułu zaangażowania Unii (ex post)

– przewoźnicy lotniczy powinni odnieść korzyści dzięki oszczędnościom w zakresie kosztów technicznych, operacyjnych, infrastrukturalnych i administracyjnych wynikających ze znacznego zmniejszenia liczby podłączeń, formatów wymiany, procedur i wiadomości wysyłanych do instytucji zarządzających granicami w państwach członkowskich oraz do jednostek do spraw informacji o pasażerach (liczba teoretycznie podzielona przez 26) pomimo ogólnego wzrostu liczby pasażerów i lotów objętych tą inicjatywą;

– zharmonizowane zasady gromadzenia danych API powinny mieć pośredni wpływ na zakres i jakość współpracy policyjnej, a tym samym przyczynić się do poprawy w zakresie rozwiązywania spraw dotyczących przestępczości transgranicznej, powiązanych z wektorem powietrznym: wymiana między poszczególnymi PIU może się rozszerzać na takiej zasadzie, że partnerska PIU ma większe szanse na znalezienie odpowiednich informacji u swojego partnera (systematyczne gromadzenie) lub może z wyprzedzeniem określić szanse na ich udostępnienie (selektywne zasady gromadzenia danych oparte na ocenie ryzyka zgodnie ze zharmonizowanymi zasadami);

– zmniejszenie pozostałych luk w zakresie informacji dotyczących rozproszonych operatorów (lotnictwo korporacyjne, leasing) lub podróżnych niepoddawanych dotychczas żadnej kontroli (załoga) przyczyniłoby się do zapobiegania przepływom (nielegalny obrót środkami odurzającymi i handel ludźmi), korzystającym z takich odpornych wektorów, a także do ich wykrywania i ograniczania.

1.5.3.Główne wnioski wyciągnięte z podobnych działań

Doświadczenie w opracowywaniu systemów IT w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych w oparciu o wymianę danych z osobami trzecimi (np. przewoźnikami lotniczymi), jako główny cel w ramach podejścia zdecentralizowanego (dyrektywy w sprawie API lub PNR) albo jako cel dodatkowy, lecz realizowany na szczeblu centralnym, np. EES i ETIAS (portal dla przewoźników), umożliwiło wyciągnięcie następujących wniosków:

1. Wdrożenie nowego rozporządzenia nakładającego na przewoźników lotniczych nowe obowiązki może stanowić wyzwanie: nieco rozproszony krajobraz obejmujący wiele małych podmiotów może skutkować brakiem świadomości i powolnym wdrażaniem. Pełne wdrożenie API i PNR odnośnie do wszystkich przewoźników lotniczych – co do jednego – może być trudne, tym bardziej w przypadku konieczności gromadzenia informacji o podróżnych korzystających z lotów korporacyjnych i leasingowych. Kluczowe znaczenie dla pełnego osiągnięcia celu będą miały kampanie komunikacyjne oraz koordynacja działań z eu-LISA i organami państw członkowskich.

Ponadto doświadczenia związane z wdrażaniem scentralizowanych systemów informacyjnych UE w obszarze wymagającym dostosowania lub rozszerzenia systemów krajowych (VIS, SIS) pokazały, że:

2. Na wdrożenie centralnego komponentu mogą niekorzystnie wpłynąć przekroczenia kosztów i opóźnienia, które mogą wynikać ze zmieniających się wymogów, ze względu na brak podstawowych aktów prawnych określających jego cel, zakres, funkcje i specyfikacje techniczne. Dlatego też z rozpoczęciem przygotowawczej fazy projektowania należy zaczekać, aż akt prawny oraz jego akty wykonawcze i delegowane będą gotowe.

2. Jeżeli chodzi o wdrożenie systemu na szczeblu krajowym, najodpowiedniejsze do wdrażania coraz bardziej złożonych zestawów funkcji jest podejście stopniowe polegające na stopniowym przechodzeniu na kolejne poziomy funkcjonalności (wersja przekształcona SIS), które to podejście umożliwia zaawansowany rozwój zarówno na poziomie centralnym, jak i krajowym poprzez zmniejszenie nacisku na zapewnienie jakości, a także przyczynia się do osiągnięcia bardziej stabilnych rezultatów, co jest istotne w przypadku konieczności przetestowania wielu systemów krajowych w odniesieniu do systemu centralnego (dostępność stabilnych warunków testowania). Podejście stopniowe oparte początkowo na kilku obiektach, a następnie na zwiększaniu ich liczby w odpowiednim czasie ułatwi państwom członkowskim zarządzanie nakładem pracy związanej z zamówieniami oraz przyczyni się do zapewnienia równomiernego obciążenia zasobów finansowych i łańcucha logistycznego. Ponadto podejście to ułatwi przetwarzanie informacji zwrotnych z danego obszaru dotyczących ograniczonej liczby obiektów pilotażowych, pozwalając uniknąć masowego i niemożliwego do opanowania napływu negatywnych informacji zwrotnych. Wnioski dotyczące obiektów pilotażowych mogą przyczynić się do kontynuacji masowego wdrażania dzięki dostarczaniu danych do celów strategii szkoleniowej. System centralny odniesie korzyści dzięki stopniowemu wzrostowi przetwarzania i rozbudowie infrastruktury, a w razie potrzeby zostanie odpowiednio dostosowany. Ponadto podejście stopniowe oparte na kryteriach ryzyka związanego z czynnikami geograficznymi (VIS) pomoże skupić się np. na najbardziej złożonych przypadkach biznesowych, przyczyniając się do osiągnięcia pełnego spektrum funkcjonalności zarówno systemów centralnych, jak i krajowych. Dlatego też wskazane jest podejście stopniowe oparte albo na fazach przejściowych, badaniach pilotażowych i stopniowym przechodzeniu na kolejne poziomy funkcjonalności, albo na stopniowym wdrażaniu na poziomie geograficznym.

3. Uzyskanie ogólnego obrazu stopnia zaawansowania prac w niektórych państwach członkowskich (początkowo SIS i VIS), tzn. tych, które w swoim programowaniu wieloletnim nie przewidziały odpowiednich działań lub których programowanie nie było dostatecznie precyzyjne, może być trudne. W przypadku EES, ETIAS i interoperacyjności przewidziano mechanizm zwrotu kosztów integracji poniesionych przez państwo członkowskie, co ułatwiło dalsze monitorowanie działań wdrożeniowych. W związku z tym należy dążyć do wprowadzenia przepisów umożliwiających uzyskanie bardziej wiarygodnego obrazu sytuacji w zakresie poziomu integracji poszczególnych państw członkowskich.

1.5.4.Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami

Inwestycje wymagane na szczeblu UE i w państwach członkowskich można sfinansować w okresie obowiązywania wieloletnich ram finansowych (WRF) na lata 2021–2027 w zakresie Funduszy w Obszarze Spraw Wewnętrznych, korzystając z Funduszu Bezpieczeństwa Wewnętrznego (FBW) oraz Instrumentu Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej (IZGW) jako części Funduszu Zintegrowanego Zarządzania Granicami. Finansowanie po 2027 r. będzie przedmiotem negocjacji dotyczących przyszłych WRF.

1.5.5.Ocena różnych dostępnych możliwości finansowania, w tym zakresu przegrupowania środków

Środki niezbędne do sfinansowania opracowania routera API przez eu-LISA (34,967 mln EUR) nie zostały zaplanowane w ramach przydziału z WRF na lata 2021–2027 dla eu-LISA, jak również dla DG HOME (2,653 mln EUR), ponieważ jest to nowy wniosek, w odniesieniu do którego potrzebne kwoty nie były znane w momencie przedkładania WRF na lata 2021–2027. Proponuje się zatem zwiększenie budżetu eu-LISA oraz budżetu DG HOME o kwoty potrzebne w latach: 2024, 2025, 2026 i 2027 poprzez ograniczenie środków z odpowiednich instrumentów tematycznych Instrumentu Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej (IZGW).

1.6.Czas trwania i wpływ finansowy wniosku/inicjatywy

◻ Ograniczony czas trwania

–◻ Okres trwania wniosku/inicjatywy: od [DD/MM]RRRR r. do [DD/MM]RRRR r.

–◻ Okres trwania wpływu finansowego: od RRRR r. do RRRR r. w odniesieniu do środków na zobowiązania oraz od RRRR r. do RRRR r. w odniesieniu do środków na płatności.

⌧ Nieograniczony czas trwania

–Wprowadzenie w życie z okresem rozruchu od 2024 r. do 2028 r.,

–po którym następuje faza operacyjna od 2029 r.

1.7.Planowane tryby zarządzania 54

◻ Bezpośrednie zarządzanie przez Komisję

–◻ w ramach jej służb, w tym za pośrednictwem jej pracowników w delegaturach Unii;

–◻ przez agencje wykonawcze;

⌧ Zarządzanie dzielone z państwami członkowskimi

⌧ Zarządzanie pośrednie poprzez przekazanie zadań związanych z wykonaniem budżetu:

–◻ państwom trzecim lub organom przez nie wyznaczonym;

–◻ organizacjom międzynarodowym i ich agencjom (należy wyszczególnić);

–◻ EBI oraz Europejskiemu Funduszowi Inwestycyjnemu;

–⌧ organom, o których mowa w art. 70 i 71 rozporządzenia finansowego;

–◻ organom prawa publicznego;

–◻ podmiotom podlegającym prawu prywatnemu, które świadczą usługi użyteczności publicznej, o ile zapewniają one odpowiednie gwarancje finansowe;

–◻ podmiotom podlegającym prawu prywatnemu państwa członkowskiego, którym powierzono realizację partnerstwa publiczno-prywatnego oraz które zapewniają odpowiednie gwarancje finansowe;

–◻ osobom odpowiedzialnym za wykonanie określonych działań w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa na mocy tytułu V Traktatu o Unii Europejskiej oraz określonym we właściwym podstawowym akcie prawnym.

–W przypadku wskazania więcej niż jednego trybu należy podać dodatkowe informacje w części „Uwagi”.

Uwagi

Przewiduje się, że faza projektowania i opracowania routera API potrwa cztery lata, w czasie których eu-LISA opracuje odpowiednie elementy. Uruchomienie routera API nastąpi pod koniec 2028 r.

2.ŚRODKI ZARZĄDZANIA

2.1.Zasady nadzoru i sprawozdawczości

Określić częstotliwość i warunki

Zarządzanie dzielone:

Każde państwo członkowskie ustanawia systemy zarządzania i kontroli dla swojego programu i zapewnia odpowiednią jakość i wiarygodność systemu monitorowania i danych dotyczących wskaźników zgodnie z rozporządzeniem w sprawie wspólnych przepisów 55 (RWP). Państwa członkowskie przesyłają co roku pakiet dokumentów dotyczących poświadczenia wiarygodności zawierający roczne sprawozdanie finansowe, deklarację zarządczą i opinie instytucji audytowej dotyczące sprawozdania finansowego, systemu zarządzania i kontroli oraz legalności i prawidłowości wydatków zadeklarowanych w rocznym sprawozdaniu finansowym. Komisja wykorzysta wspomniany pakiet dokumentów dotyczących poświadczenia wiarygodności do ustalenia kwoty obciążającej Fundusz/Instrument w danym roku obrachunkowym. Co dwa lata organizowane będzie posiedzenie w sprawie przeglądu z udziałem Komisji i przedstawicieli wszystkich państw członkowskich w celu zbadania realizacji celów poszczególnych programów. Sześć razy w roku państwa członkowskie przekazują dane dotyczące swojego programu, w podziale na cele szczegółowe. Takie dane dotyczą kosztu operacji i wartości wspólnych wskaźników produktu i rezultatu.

Na potrzeby Funduszy w Obszarze Spraw Wewnętrznych państwa członkowskie będą przesyłać roczne sprawozdanie z realizacji celów, które powinno zawierać informacje na temat postępów w realizacji ich programów oraz realizacji celów pośrednich i celów końcowych. Powinno ono także poruszać wszelkie kwestie mające wpływ na realizację celów programu i opisywać działania podjęte w celu zaradzenia tym kwestiom.

Jeżeli chodzi o Fundusze w Obszarze Spraw Wewnętrznych na lata 2021–2027, każde państwo członkowskie przedkłada końcowe sprawozdanie z realizacji celów. Sprawozdanie końcowe powinno koncentrować się na postępach w osiąganiu celów programu i zawierać przegląd najważniejszych problemów, które wpłynęły na wyniki programu, środków podjętych w celu zaradzenia tym problemom oraz ocenę skuteczności tych środków. Powinno ono ponadto przedstawiać wkład programu w sprostanie wyzwaniom powiązanym z wdrażaniem programu, wskazanym w odpowiednich zaleceniach UE skierowanych do danego państwa członkowskiego, postępy w osiąganiu celów końcowych wyznaczonych w ramach realizacji celów, ustalenia wynikające z odpowiednich ocen oraz działania następcze podjęte na podstawie tych ustaleń i wyniki działań w zakresie komunikacji.

Zarządzanie pośrednie

Monitorowanie i sprawozdawczość w zakresie realizacji założeń wniosku będą odbywały się zgodnie z zasadami określonymi w rozporządzeniu w sprawie eu-LISA i rozporządzeniu finansowym UE oraz zgodnie ze wspólnym podejściem do agencji zdecentralizowanych. W szczególności eu-LISA musi co roku przesyłać Komisji, Parlamentowi Europejskiemu i Radzie jednolity dokument programowy zawierający wieloletni program prac i roczne programy prac oraz dokument programowy dotyczący zasobów. W dokumencie tym określa się cele, oczekiwane rezultaty oraz wskaźniki dotyczące realizacji celów na potrzeby monitorowania osiągania celów i wyników. Agencja eu-LISA musi również przekazywać zarządowi skonsolidowane roczne sprawozdanie z działalności. Sprawozdanie to zawiera w szczególności informacje dotyczące osiągania celów i wyników określonych w jednolitym dokumencie programowym. Sprawozdanie należy również przesłać Komisji, Parlamentowi Europejskiemu i Radzie.

Ponadto, jak określono w art. 39 rozporządzenia w sprawie eu-LISA, do 12 grudnia 2023 r., a także co pięć lat po tej dacie, Komisja – po konsultacji z zarządem – ocenia wyniki prac Agencji w odniesieniu do jej celów, mandatu, lokalizacji i zadań, zgodnie z wytycznymi Komisji. Ocena ta obejmuje także analizę postępów we wdrażaniu niniejszego rozporządzenia oraz tego, w jaki sposób i w jakim zakresie Agencja skutecznie przyczynia się do zarządzania operacyjnego wielkoskalowymi systemami informatycznymi i do tworzenia skoordynowanego, efektywnego kosztowo i spójnego środowiska informatycznego na poziomie Unii w przestrzeni wolności, bezpieczeństwa i sprawiedliwości. Ocena ta dotyczy w szczególności ewentualnej potrzeby zmiany mandatu Agencji oraz skutków finansowych takiej zmiany. Zarząd może przedstawić Komisji zalecenia co do zmian w niniejszym rozporządzeniu.

2.2.System zarządzania i kontroli

2.2.1.Uzasadnienie dla systemu zarządzania, mechanizmów finansowania wykonania, warunków płatności i proponowanej strategii kontroli

Zarządzanie dzielone

W latach 2021–2027 rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/1148 z dnia 7 lipca 2021 r. ustanawiające, w ramach Funduszu Zintegrowanego Zarządzania Granicami, Instrument Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej oraz rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/1149 z dnia 7 lipca 2021 r. ustanawiające Fundusz Bezpieczeństwa Wewnętrznego po raz pierwszy będą zarządzane na podstawie RWP (rozporządzenia w sprawie wspólnych przepisów).

W odniesieniu do zarządzania dzielonego RWP opiera się na strategii zarządzania i kontroli obowiązującej w okresie programowania 2014–2020 i wprowadza też pewne środki mające na celu uproszczenie wdrażania i zmniejszenie obciążenia związanego z kontrolą zarówno na poziomie beneficjentów, jak i państw członkowskich.

Te nowe elementy obejmują:

– zrezygnowanie z procedury wyznaczania (co powinno umożliwić przyspieszenie realizacji programów);

– weryfikacje zarządcze (administracyjne i na miejscu) przeprowadzane przez instytucję zarządzającą na zasadzie ryzyka (w porównaniu z kontrolami administracyjnymi wymaganymi w 100 % przypadków w okresie programowania 2014–2020); W pewnych warunkach instytucje zarządzające mogą ponadto stosować proporcjonalne ustalenia dotyczące kontroli zgodnie z procedurami krajowymi.

– warunki pozwalające uniknąć wielokrotnych kontroli w odniesieniu do tej samej operacji/tych samych wydatków.

Instytucje programu przedstawią Komisji wnioski o płatność okresową w oparciu o wydatki poniesione przez beneficjentów. RWP zezwala instytucjom zarządzającym na przeprowadzanie weryfikacji zarządczych na podstawie ryzyka i przewiduje również szczególne kontrole (np. kontrole na miejscu dokonywane przez instytucję zarządzającą oraz audyty operacji/wydatków dokonywane przez instytucję audytową) po zadeklarowaniu Komisji wydatków dodatkowych we wnioskach o płatności okresowe (do sześciu rocznie). Aby zminimalizować ryzyko zwrotu wydatków niekwalifikowalnych, w RWP przewidziano maksymalny pułap płatności okresowych Komisji wynoszący 95 % kwoty ujętej we wniosku o płatność, zważywszy że w danym momencie przeprowadzono tylko część kontroli krajowych. Komisja wypłaci pozostałą kwotę po rocznym rozliczeniu rachunków, kiedy instytucje zarządzające programem przekażą jej pakiet dokumentów dotyczących poświadczenia wiarygodności. Wszelkie nieprawidłowości wykryte przez Komisję lub Europejski Trybunał Obrachunkowy po przekazaniu rocznego pakietu dokumentów dotyczących poświadczenia wiarygodności mogą prowadzić do korekty finansowej netto.

Zarządzanie pośrednie

Część wniosku zostanie wdrożona za pomocą budżetu eu-LISA poprzez zarządzanie pośrednie.

Zgodnie z zasadą należytego zarządzania finansami budżet eu-LISA wykonuje się przy zapewnieniu skutecznej i wydajnej kontroli wewnętrznej. W związku z tym eu-LISA jest zobowiązana wdrożyć odpowiednią strategię kontroli skoordynowaną przez odpowiednich uczestników łańcucha kontroli.

Jeżeli chodzi o kontrole ex post, eu-LISA – jako agencja zdecentralizowana – jest przedmiotem przede wszystkim:

- audytu wewnętrznego przeprowadzanego przez Służbę Audytu Wewnętrznego Komisji;

- rocznych sprawozdań Europejskiego Trybunału Obrachunkowego, w których poświadcza się wiarygodność rachunków, jak również legalność i prawidłowość operacji leżących u ich podstaw;

- corocznego absolutorium udzielanego przez Parlament Europejski;

- ewentualnych dochodzeń prowadzonych przez OLAF w celu zapewnienia, w szczególności, prawidłowego wykorzystania zasobów przydzielonych agencjom.

DG HOME, jako partnerska dyrekcja generalna eu-LISA, wdroży swoją strategię kontroli agencji zdecentralizowanych w celu zapewnienia wiarygodnej sprawozdawczości w ramach swojego rocznego sprawozdania z działalności. Agencje zdecentralizowane ponoszą pełną odpowiedzialność za realizację swojego budżetu, natomiast DG HOME ponosi odpowiedzialność za regularną wypłatę corocznych środków na finansowanie ich działalności, których wysokość określa władza budżetowa UE.

Ponadto Europejski Rzecznik Praw Obywatelskich zapewnia dodatkową warstwę kontroli i rozliczalności eu-LISA.

2.2.2.Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia

Na tym etapie nie zidentyfikowano żadnych szczególnych rodzajów ryzyka.

Jeżeli chodzi o część zarządzania realizowaną w ramach zarządzania dzielonego, ogólne ryzyko związane z realizacją bieżących programów dotyczy niedostatecznego wykorzystania Funduszu/Instrumentu przez państwa członkowskie i ewentualnych błędów wynikających ze złożonego charakteru przepisów i słabości systemów zarządzania i kontroli. Projekt RWP upraszcza ramy regulacyjne, ujednolicając przepisy oraz systemy zarządzania i kontroli w poszczególnych funduszach objętych zarządzaniem dzielonym. Projekt upraszcza także wymogi dotyczące kontroli (np. weryfikacje zarządcze oparte na analizie ryzyka, możliwość proporcjonalnych rozwiązań w zakresie kontroli opartych na procedurach krajowych, ograniczenia prac audytowych pod względem czasu lub operacji szczególnych).

W przypadku budżetu wykonywanego przez eu-LISA wymagane są specjalne ramy kontroli wewnętrznej oparte na ramach kontroli wewnętrznej Komisji Europejskiej. Jednolity dokument programowy musi zawierać informacje na temat systemów kontroli wewnętrznej, natomiast skonsolidowane roczne sprawozdanie z działalności – informacje na temat wydajności i skuteczności systemów kontroli wewnętrznej, w tym na temat oceny ryzyka. W skonsolidowanym rocznym sprawozdaniu z działalności za 2021 r. stwierdzono, że zarząd Agencji ma wystarczającą pewność co do tego, że – ogólnie rzecz biorąc – wdrożone zostały odpowiednie kontrole oraz że działają one w sposób zgodny z założeniami. Ponadto monitorowano i odpowiednio ograniczano ryzyko, a w razie potrzeby wprowadzano różne ulepszenia i wzmocnienia.

Inny poziom nadzoru wewnętrznego zapewnia również jednostka audytu wewnętrznego eu-LISA – dokonuje ona tego w oparciu o roczny plan audytu, uwzględniając w szczególności ocenę ryzyka w eu-LISA. Jednostka audytu wewnętrznego pomaga eu-LISA w osiąganiu jej celów, zapewniając systematyczne i zdyscyplinowane podejście do oceny skuteczności procedur zarządzania ryzykiem, kontroli oraz zarządzania, wydając zalecenia dotyczące usprawnienia funkcjonowania tych obszarów.

Ponadto Europejski Inspektor Ochrony Danych i inspektor ochrony danych eu-LISA (niezależna funkcja przypisana bezpośrednio do sekretariatu zarządu) nadzorują przetwarzanie danych osobowych przez eu-LISA.

Co więcej, DG HOME, jako partnerska dyrekcja generalna eu-LISA, przeprowadza coroczne działania w zakresie zarządzania ryzykiem, aby zidentyfikować i ocenić potencjalne czynniki wysokiego ryzyka związane z funkcjonowaniem agencji, w tym eu-LISA. Czynniki ryzyka o znaczeniu krytycznym są zgłaszane corocznie w planie zarządzania DG HOME i towarzyszy im plan działania, w którym określane są działania ograniczające ryzyko związane z planowanymi działaniami.

Jeżeli chodzi o część zarządzania realizowaną w ramach zarządzania dzielonego, przewiduje się, że koszty kontroli ponoszone przez państwa członkowskie nie ulegną zmianie lub potencjalnie zostaną zmniejszone.

Nastąpi wzrost wydajności w trakcie realizacji programów Funduszy w Obszarze Spraw Wewnętrznych na lata 2021–2027 oraz zwiększenie płatności na rzecz państw członkowskich.

Przy opartym na analizie ryzyka podejściu do zarządzania i kontroli, przewidzianym w obowiązującym RWP odnośnie do Funduszy w Obszarze Spraw Wewnętrznych, w połączeniu z większą motywacją do przyjęcia uproszczonych metod rozliczania kosztów, zakłada się dalsze obniżenie kosztu kontroli po stronie państw członkowskich.

Komisja przedstawia sprawozdania dotyczące stosunku „kosztów kontroli do wartości zarządzanych funduszy powiązanych” w odniesieniu do eu-LISA. W rocznym sprawozdaniu z działalności DG HOME za 2021 r. współczynnik ten wynosi 0,08 % w odniesieniu do podmiotów, którym powierzono zarządzanie pośrednie, i agencji zdecentralizowanych, w tym eu-LISA.

2.3.Środki zapobiegania nadużyciom finansowym i nieprawidłowościom

Określić istniejące lub przewidywane środki zapobiegania i ochrony, np. ze strategii zwalczania nadużyć finansowych.

DG HOME będzie w dalszym ciągu stosować swoją strategię zwalczania nadużyć finansowych zgodnie ze strategią Komisji w tym zakresie (CAFS) w celu zapewnienia m.in., by jej wewnętrzne kontrole związane ze zwalczaniem nadużyć były w pełni zgodne z CAFS oraz by jej podejście w kwestii zarządzania ryzykiem nadużyć było nastawione na wykrywanie obszarów obciążonych takim ryzykiem oraz na podejmowanie odpowiednich działań.

W odniesieniu do zarządzania dzielonego państwa członkowskie zapewniają legalność i prawidłowość wydatków ujętych w zestawieniu wydatków przedkładanych Komisji. W tym kontekście państwa członkowskie podejmują wszystkie niezbędne działania mające na celu zapobieganie nieprawidłowościom oraz ich wykrywanie i korygowanie. Podobnie jak w poprzednim okresie programowania (2014–2020) również w latach 2021–2027 państwa członkowskie są zobowiązane wprowadzić procedury wykrywania nieprawidłowości i nadużyć finansowych w związku z rozporządzeniem delegowanym Komisji w sprawie zgłaszania nieprawidłowości. Środki zwalczania nadużyć finansowych pozostaną nadrzędną zasadą i obowiązkiem państw członkowskich.

W kwestii zarządzania pośredniego środki związane ze zwalczaniem nadużyć finansowych, korupcji i innych bezprawnych działań określono m.in. w art. 50 rozporządzenia w sprawie eu-LISA oraz w tytule X regulaminu finansowego eu-LISA.

Agencja w szczególności uczestniczy w działaniach na rzecz zapobiegania nadużyciom finansowym, prowadzonych przez Europejski Urząd ds. Zwalczania Nadużyć Finansowych, i niezwłocznie informuje Komisję o przypadkach podejrzenia wystąpienia nadużyć finansowych i innych nieprawidłowości finansowych – zgodnie ze swoją wewnętrzną strategią zwalczania nadużyć finansowych, zmienioną i przyjętą w sierpniu 2022 r. na lata 2022–2024.

Co więcej, DG HOME, jako partnerska dyrekcja generalna, przyjęła w październiku 2021 r. nową strategię zwalczania nadużyć finansowych wraz z towarzyszącym jej planem działania, które przyczyniają się do dalszego wzmacniania zdolności tej dyrekcji w zakresie zwalczania nadużyć finansowych oraz dostosowywania ich do stale zmieniającego się otoczenia. Strategia ta uwzględnia nowe elementy wprowadzone w strategii Komisji w zakresie zwalczania nadużyć finansowych z 2019 r., a także niezbędne dostosowania przewidziane w WRF na lata 2021–2027.

Agencje zdecentralizowane, w tym eu-LISA, są objęte zakresem tej strategii. W rocznym sprawozdaniu z działalności DG HOME za 2021 r. stwierdzono, że procesy zapobiegania nadużyciom finansowym i ich wykrywania przebiegały w sposób zadowalający, tym samym przyczyniając się do zagwarantowania osiągnięcia celów kontroli wewnętrznej.

3.SZACUNKOWY WPŁYW FINANSOWY WNIOSKU/INICJATYWY

3.1.Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ

·Istniejące linie budżetowe

Według działów wieloletnich ram finansowych i linii budżetowych

Dział wieloletnich ram finansowych	Linia budżetowa	Rodzaj środków	Wkład
	Numer	Zróżn./ niezróżn. 56	państw EFTA 57	krajów kandydujących 58	państw trzecich	w rozumieniu art. 21 ust. 2 lit. b) rozporządzenia finansowego
4	11 02 01 Instrument Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej	Zróżn.	NIE	NIE	TAK	NIE
4	11.01.01 – Wydatki na wsparcie dotyczące Funduszu Zintegrowanego Zarządzania Granicami (FZZG) — Instrument Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej (IZGW)	Środki niezróżnicowane	NIE	NIE	TAK	NIE
4	11 10 02 Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości („eu-LISA”)	Środki niezróżnicowane	NIE	NIE	TAK	NIE
5	12 02 01 Fundusz Bezpieczeństwa Wewnętrznego (FBW)	Zróżn.	NIE	NIE	NIE	NIE
5	11.02.02– Wydatki na wsparcie dotyczące Funduszu Bezpieczeństwa Wewnętrznego (FBW) — Instrument Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej (IZGW)	Środki niezróżnicowane	NIE	NIE	NIE	NIE

·Proponowane nowe linie budżetowe

Według działów wieloletnich ram finansowych i linii budżetowych

Dział wieloletnich ram finansowych

Linia budżetowa

Rodzaj
środków

Wkład

Numer

Zróżn./ niezróżn.

państw EFTA

krajów kandydujących

państw trzecich

w rozumieniu art. 21 ust. 2 lit. b) rozporządzenia finansowego

[XX.YY.YY.YY]

TAK/ NIE

3.2.Szacunkowy wpływ finansowy wniosku na środki

3.2.1.Podsumowanie szacunkowego wpływu na środki operacyjne

–◻ Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków operacyjnych

–⌧ Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków operacyjnych, jak określono poniżej:

w mln EUR (do trzech miejsc po przecinku)

Dział wieloletnich ram finansowych

Migracja i zarządzanie granicami

DG HOME			Rok 2024		Rok 2025	Rok 2026	Rok 2027	Ogółem 21-27	Rok 2028	Rok 2029	Rok 2030	Rok 2031	Rok 2032	Rok 2033	Rok 2034	Ogółem 28-34	OGÓŁEM
• Środki operacyjne
11 02 01 Instrument Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej (IZGW)	Środki na zobowiązania	(1a)					8,250	8,250	7,838	9,075	10,313	5,363	5,363	5,363	5,363	48,675	56,925
	Środki na płatności	(2a)					2,888	2,888	4,393	6,394	8,642	7,734	7,219	6,538	5,610	46,530	49,418
11 10 02 Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości („eu-LISA”)	Środki na zobowiązania	(1b)		0,157	2,597	7,958	22,865	33,577	15,415	9,168	9,083	9,083	9,083	9,083	9,083	69,998	103,575
	Środki na płatności	(2b)		0,157	2,597	7,958	22,865	33,577	15,415	9,168	9,083	9,083	9,083	9,083	9,083	69,998	103,575
Środki administracyjne finansowane ze środków przydzielonych na określone programy 59
Linia budżetowa		(3)
OGÓŁEM środki dla DG HOME	Środki na zobowiązania	=1a+1b+3		0,314	3,993	7,958	31,115	41,827	23,253	18,243	19,396	14,446	14,446	14,446	14,446	118,673	160,500
	Środki na płatności	=2a+2b +3		0,314	3,993	7,958	25,753	36,464	19,808	15,562	17,725	16,817	16,302	15,621	14,693	116,528	152,992

• OGÓŁEM środki operacyjne	Środki na zobowiązania	(4)	0,314	3,993	7,958	31,115	41,827	23,253	18,243	19,396	14,446	14,446	14,446	14,446	118,673	160,500
	Środki na płatności	(5)	0,314	3,993	7,958	25,753	36,464	19,808	15,562	17,725	16,817	16,302	15,621	14,693	116,528	152,992
• OGÓŁEM środki administracyjne finansowane ze środków przydzielonych na określone programy		(6)
OGÓŁEM środki na DZIAŁ 4 wieloletnich ram finansowych	Środki na zobowiązania	=4+6	0,314	3,993	7,958	31,115	41,827	23,253	18,243	19,396	14,446	14,446	14,446	14,446	118,673	160,500
	Środki na płatności	=5+ 6	0,314	3,993	7,958	25,753	36,464	19,808	15,562	17,725	16,817	16,302	15,621	14,693	116,528	152,992

Dział wieloletnich ram finansowych

Bezpieczeństwo i obrona

DG HOME			Rok 2024	Rok 2025	Rok 2026	Rok 2027	Ogółem 21-27	Rok 2028	Rok 2029	Rok 2030	Rok 2031	Rok 2032	Rok 2033	Rok 2034	Ogółem 28-34	OGÓŁEM
• Środki operacyjne
12 02 01 Fundusz Bezpieczeństwa Wewnętrznego (FBW)	Środki na zobowiązania	(1a)				3,300	3,300	3,135	3,630	4,125	2,145	2,145	2,145	2,145	19,470	22,770
	Środki na płatności	(2a)				1,155	1,155	1,757	2,558	3,457	3,094	2,888	2,615	2,244	18,612	19,767
Środki administracyjne finansowane ze środków przydzielonych na określone programy 60
Linia budżetowa		(3)
OGÓŁEM środki dla DG HOME	Środki na zobowiązania	=1a+1b+3				3,300	3,300	3,135	3,630	4,125	2,145	2,145	2,145	2,145	19,470	22,770
	Środki na płatności	=2a+2b+3				1,155	1,155	1,757	2,558	3,457	3,094	2,888	2,615	2,244	18,612	19,767

• OGÓŁEM środki operacyjne	Środki na zobowiązania	(4)	3,300	3,300	3,135	3,630	4,125	2,145	2,145	2,145	2,145	19,470	22,770
	Środki na płatności	(5)	1,155	1,155	1,757	2,558	3,457	3,094	2,888	2,615	2,244	18,612	19,767
• OGÓŁEM środki administracyjne finansowane ze środków przydzielonych na określone programy		(6)
OGÓŁEM środki na DZIAŁ 5 wieloletnich ram finansowych	Środki na zobowiązania	=4+6	3,300	3,300	3,135	3,630	4,125	2,145	2,145	2,145	2,145	19,470	22,770
	Środki na płatności	=5+ 6	1,155	1,155	1,757	2,558	3,457	3,094	2,888	2,615	2,244	18,612	19,767

• OGÓŁEM środki operacyjne (wszystkie działy operacyjne)	Środki na zobowiązania	(4)	0,157	2,597	7,958	34,415	45,127	31,668	31,113	36,721	33,751	33,751	33,751	27,151	227,903	273,030
	Środki na płatności	(5)	0,157	2,597	7,958	26,908	37,619	23,413	22,409	28,706	31,461	33,379	34,208	31,589	205,166	242,785
OGÓŁEM środki administracyjne finansowane ze środków przydzielonych na określone programy (wszystkie działy operacyjne)		(6)
OGÓŁEM środki na DZIAŁY od 1 do 6 wieloletnich ram finansowych (kwota referencyjna)	Środki na zobowiązania	=4+6	0,157	2,597	7,958	34,415	45,127	26,388	21,873	23,521	16,591	16,591	16,591	16,591	138,143	183,270
	Środki na płatności	=5+ 6	0,157	2,597	7,958	26,908	37,619	21,565	18,119	21,182	19,911	19,189	18,236	16,937	135,140	172,759

Dział wieloletnich ram finansowych

„Wydatki administracyjne”

Niniejszą część uzupełnia się przy użyciu „danych budżetowych o charakterze administracyjnym”, które należy najpierw wprowadzić do załącznika do oceny skutków finansowych regulacji (załącznika V do zasad wewnętrznych), przesyłanego do DECIDE w celu konsultacji między służbami.

w mln EUR (do trzech miejsc po przecinku)

			Rok 2024	Rok 2025	Rok 2026	Rok 2027	Ogółem 21-27	Rok 2028	Rok 2029	Rok 2030	Rok 2031	Rok 2032	Rok 2033	Rok 2034	Ogółem 28-34	OGÓŁEM
DG HOME
• Zasoby ludzkie		0,314		0,471	0,471	0,471	1,727	0,471	0,471	0,471	0,471	0,471	0,471	0,471	3,297	5,024
• Pozostałe wydatki administracyjne		0,187		0,273	0,273	0,273	1,006	0,273	0,273	0,273	0,187	0,187	0,187	0,187	1,488	2,492
OGÓŁEM DG HOME	Środki	0,501		0,744	0,744	0,744	2,732	0,744	0,744	0,666	0,658	0,658	0,658	0,658	4,785	7,516

OGÓŁEM środki
na DZIAŁ 7
wieloletnich ram finansowych

(Środki na zobowiązania ogółem = środki na płatności ogółem)

0,501

0,744

2,732

0,744

0,666

0,658

4,785

7,516

w mln EUR (do trzech miejsc po przecinku)

			Rok 2024	Rok 2025	Rok 2026	Rok 2027	Ogółem 21-27	Rok 2028	Rok 2029	Rok 2030	Rok 2031	Rok 2032	Rok 2033	Rok 2034	Ogółem 28-34	OGÓŁEM
OGÓŁEM środki na DZIAŁY od 1 do 7 wieloletnich ram finansowych	Środki na zobowiązania	0,815		4,737	8,702	35,159	47,858	27,131	22,617	24,186	17,249	17,249	17,249	17,249	142,928	190,786
	Środki na płatności	0,815		4,737	8,702	27,651	40,351	22,309	18,863	21,847	20,569	19,847	18,894	17,595	139,925	180,275

3.2.2.Przewidywany produkt finansowany ze środków operacyjnych

Środki na zobowiązania w mln EUR (do trzech miejsc po przecinku)

Określić cele i produkty ⇩			Rok 2024		Rok 2025		Rok 2026		Rok 2027		Rok 2028		Rok 2029		Rok 2030		Rok 2031		Rok 2032		Rok 2033		Rok 2034
	Rodzaj 61	Średni koszt	Liczba	Koszt	Liczba	Koszt	Liczba	Koszt	Liczba	Koszt	Liczba	Koszt	Liczba	Koszt	Liczba	Koszt	Liczba	Koszt	Liczba	Koszt	Liczba	Koszt	Liczba	Koszt	Liczba ogółem	Koszt całkowity
WSPÓLNY CEL
- Utworzenie routera		44,482	0,004	0,157	0,058	2,597	0,179	7,958	0,507	22,565	0,252	11,205													1	44,482
Obsługa routera		9,083								0,300		4,210		9,168		9,083		9,083		9,083		9,083		9,083		59,093
Suma cząstkowa wspólnego celu				0,157		2,597		7,958		22,865		15,415		9,168		9,083		9,083		9,083		9,083		9,083		103,575
CEL SZCZEGÓŁOWY nr 1
- Utworzenie połączenia z państwami członkowskimi	26	1,031							8	8,250	6	6,188	6	6,188	6	6,188									26	26,813
- Utrzymanie podłączenia państw członkowskich	26	0.206									8	1,650	14	2,888	20	4,125	26	5,363	26	5,363	26	5,363	26	5,363	26	30,113
Cel szczegółowy nr 1 – suma cząstkowa										8,250		7,838		9,075		10,313		5,363		5,363		5,363		5,363		56,925
CEL SZCZEGÓŁOWY nr 2
- Podłączenie państw członkowskich	26	0,413							8	3,300	6	2,475	6	2,475	6	2,475									26	10,725
- Utrzymanie podłączenia państw członkowskich	26	0,083									8	0,660	14	1,155	20	1,650	26	2,145	26	2,145	26	2,145	26	2,145	26	12,045
Cel szczegółowy nr 2 – suma cząstkowa				0,000		0,000		0,000		3,300		3,135		3,630		4,125		2,145		2,145		2,145		2,145		22,770
OGÓŁEM				0,157		2,597		7,958		34,415		26,388		21,873		23,521		16,591		16,591		16,591		16,591		183,270

3.2.3.Szacunkowy wpływ na zasoby ludzkie eu-LISA

3.2.3.1.Podsumowanie

–◻ Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków administracyjnych

–⌧ Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków administracyjnych, jak określono poniżej:

w mln EUR (do trzech miejsc po przecinku)

Rok
2024

Rok 2025

Rok
2026

Rok
2027

Rok
2028

Rok
2029

Rok
2030

Rok
2031

Rok
2032

Rok 2033

Rok 2034

Pracownicy zatrudnieni na czas określony (grupy zaszeregowania AD)	0,157	1,099	2,198	2,355	4,710	2,355	2,355	2,355	2,355	2,355	2,355
Pracownicy zatrudnieni na czas określony (grupy zaszeregowania AST)
Personel kontraktowy	0,000	0,298	0,680	0,850	1,955	1,105	1,020	1,020	1,020	1,020	1,020
Oddelegowani eksperci krajowi

OGÓŁEM

0,157

1,397

2,878

3,205

6,665

3,460

3,375

Wymagania dotyczące pracowników (EPC):

Rok
2024

Rok 2025

Rok
2026

Rok
2027

Rok
2028

Rok
2029

Rok
2030

Rok
2031

Rok
2032

Rok 2033

Rok 2034

Pracownicy zatrudnieni na czas określony (grupy zaszeregowania AD)	2,0	14,0	14,0	15,0	30,0	15,0	15,0	15,0	15,0	15,0	15,0
Pracownicy zatrudnieni na czas określony (grupy zaszeregowania AST)
Personel kontraktowy	0,0	7,0	8,0	10,0	23,0	13,0	12,0	12,0	12,0	12,0	12,0
Oddelegowani eksperci krajowi

OGÓŁEM

2,0

21,0

22,0

25,0

53,0

28,0

27,0

Pracownicy eu-LISA powinni wspierać starania DG HOME w zakresie opracowywania prawa wtórnego na początku 2024 r., w związku z czym powinni jak najszybciej rozpocząć prace. Procedury rekrutacyjne rozpoczynają się w styczniu 2024 r. Współczynnik 50 % stosuje się w 2024 r. w odniesieniu do 2 EPC, a w 2025 r. – w odniesieniu do 21 EPC. Pozostali pracownicy będą rekrutowani w ramach przeniesienia wewnętrznego z innych projektów.

3.2.4.Podsumowanie szacunkowego wpływu na środki administracyjne (dla DG HOME)

–◻ Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania środków administracyjnych

–⌧ Wniosek/inicjatywa wiąże się z koniecznością wykorzystania środków administracyjnych, jak określono poniżej:

w mln EUR (do trzech miejsc po przecinku)

Rok
2024

Rok
2025

Rok
2026

Rok
2027

Ogółem
21-27

Rok
2028

Rok
2029

Rok
2030

Rok
2031

Rok
2032

Rok
2033

Rok
2034

Ogółem
28-34

OGÓŁEM

DZIAŁ 7 wieloletnich ram finansowych
Zasoby ludzkie	0,314	0,471	0,471	0,471	1,727	0,471	0,471	0,471	0,471	0,471	0,471	0,471	3,297	5,024
Pozostałe wydatki administracyjne	0,187	0,273	0,273	0,273	1,006	0,273	0,273	0,273	0,187	0,187	0,187	0,187	1,567	2,573
Suma cząstkowa DZIAŁU 7 wieloletnich ram finansowych	0,501	0,744	0,744	0,744	2,733	0,744	0,744	0,744	0,658	0,658	0,658	0,658	4,864	7, 597

Poza DZIAŁEM 7 62
wieloletnich ram finansowych

Zasoby ludzkie

Pozostałe wydatki
o charakterze administracyjnym

Suma cząstkowa
poza DZIAŁEM 7
wieloletnich ram finansowych

OGÓŁEM

0,501

0,744

2,733

0,744

0,658

4,864

7, 597

Potrzeby w zakresie środków na zasoby ludzkie i inne wydatki o charakterze administracyjnym zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

3.2.4.1.Szacowane zapotrzebowanie na zasoby ludzkie (DG HOME)

–◻ Wniosek/inicjatywa nie wiąże się z koniecznością wykorzystania zasobów ludzkich.

–⌧ Wniosek/inicjatywa wiąże się z koniecznością wykorzystania zasobów ludzkich, jak określono poniżej:

Wartości szacunkowe należy wyrazić w ekwiwalentach pełnego czasu pracy

			Rok 2024	Rok 2025	Rok 2026	Rok 2027	Rok 2028	Rok 2029	Rok 2030	Rok 2031	Rok 2032
	• Stanowiska przewidziane w planie zatrudnienia (stanowiska urzędników i pracowników zatrudnionych na czas określony)
20 01 02 01 (w centrali i w biurach przedstawicielstw Komisji)			2	3	3	3	3	3	3	3	3
20 01 02 03 (w delegaturach)
01 01 01 01 (pośrednie badania naukowe)
01 01 01 11 (bezpośrednie badania naukowe)
Inna linia budżetowa (określić)
Personel zewnętrzny (w ekwiwalentach pełnego czasu pracy: EPC)
20 02 01 (CA, SNE, INT z globalnej koperty finansowej)
20 02 03 (CA, LA, SNE, INT i JPD w delegaturach)
XX 01 xx yy zz 63		- w centrali
		- w delegaturach
01 01 01 02 (CA, SNE, INT – pośrednie badania naukowe)
01 01 01 12 (CA, INT, SNE – bezpośrednie badania naukowe)
Inna linia budżetowa (określić)
OGÓŁEM			2	3	3	3	3	3	3	3	3

XX oznacza odpowiedni obszar polityki lub odpowiedni tytuł w budżecie.

Potrzeby w zakresie zasobów ludzkich zostaną pokryte z zasobów dyrekcji generalnej już przydzielonych na zarządzanie tym działaniem lub przesuniętych w ramach dyrekcji generalnej, uzupełnionych w razie potrzeby wszelkimi dodatkowymi zasobami, które mogą zostać przydzielone zarządzającej dyrekcji generalnej w ramach procedury rocznego przydziału środków oraz w świetle istniejących ograniczeń budżetowych.

Opis zadań do wykonania:

Urzędnicy i pracownicy zatrudnieni na czas określony

Trzej urzędnicy odpowiedzialni za monitorowanie. Pracownicy zajmują się realizacją obowiązków Komisji związanych z realizacją programu: sprawdzają zgodność z wnioskiem ustawodawczym, rozwiązują problemy związane z niezgodnością z przepisami, przygotowują sprawozdania dla Parlamentu Europejskiego i Rady, oceniają postępy państwa członkowskiego, uaktualniają prawo wtórne, w tym wszelkie zmiany dotyczące norm. Ponieważ program stanowi dodatkowe działanie w stosunku do istniejącego obciążenia pracą, konieczne będzie zatrudnienie nowych pracowników (1 EPC).

Personel zewnętrzny

3.2.5.Zgodność z obowiązującymi wieloletnimi ramami finansowymi

Wniosek/inicjatywa:

–⌧ może zostać w pełni sfinansowany(a) przez przegrupowanie środków w ramach odpowiedniego działu wieloletnich ram finansowych (WRF).

Ponieważ środki wymagane na opracowanie routera API (2024/2028 r.) i koszty bieżące (od 2029 r.) nie zostały zaplanowane w przydziale z WRF na lata 2021–2027 ani dla eu-LISA, ani na dodatkowych pracowników DG HOME, finansowanie wymagane odpowiednio na opracowanie i utrzymanie routera API (33,577 mln EUR w ramach WRF na lata 2021–2027) oraz działania następcze Komisji (2,732 mln EUR) zostanie udostępnione w drodze potrącenia budżetowego z BMVI (11.02.01 – „Instrument Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej”) na odpowiednie kwoty:

Środki na zobowiązania = środki na płatności (mln EUR): 2024: 0,157; 2025: 2,597, 2026: 7,958; 2027: 22,865

Na lata 2024–2027: 33,577

Koszty rozwoju i koszty bieżące na poziomie krajowym powinny być finansowane z następcy IZGW z kolejnych WRF. 64

–◻ wymaga zastosowania nieprzydzielonego marginesu środków w ramach odpowiedniego działu WRF lub zastosowania specjalnych instrumentów zdefiniowanych w rozporządzeniu w sprawie WRF.

Należy wyjaśnić, który wariant jest konieczny, określając działy i linie budżetowe, których ma dotyczyć, odpowiadające im kwoty oraz proponowane instrumenty, które należy zastosować.

–◻ wymaga rewizji WRF.

Należy wyjaśnić, który wariant jest konieczny, określając linie budżetowe, których ma on dotyczyć, oraz podając odpowiednie kwoty.

3.2.6.Udział osób trzecich w finansowaniu

Wniosek/inicjatywa:

–⌧ nie przewiduje współfinansowania ze strony osób trzecich

–◻ przewiduje współfinansowanie ze strony osób trzecich szacowane zgodnie z poniższymi szacunkami:

3.3.Szacunkowy wpływ na dochody

–◻ Wniosek/inicjatywa nie ma wpływu finansowego na dochody

–☑ Wniosek/inicjatywa ma wpływ finansowy określony poniżej:

(1)wpływ na zasoby własne

(2)wpływ na dochody inne

(3)Wskazać, czy dochody są przypisane do linii budżetowej po stronie wydatków

w mln EUR (do trzech miejsc po przecinku)

Linia budżetowa po stronie dochodów	Środki zapisane w budżecie na bieżący rok budżetowy	Wpływ wniosku/inicjatywy 65
		Rok N	Rok N+1	Rok N+2	Rok N+3	Wprowadzić taką liczbę kolumn dla poszczególnych lat, jaka jest niezbędna, by odzwierciedlić cały okres wpływu (por. pkt 1.6)
Artykuł …		p.m.

W przypadku wpływu na dochody przeznaczone na określony cel należy wskazać linie budżetowe po stronie wydatków, które ten wpływ obejmie.

11.1002 (eu-LISA), 11.0201 (IZGW)

Pozostałe uwagi (np. metoda/wzór użyte do obliczenia wpływu na dochody albo inne informacje).

Budżet zawiera wkład państw uczestniczących we wdrażaniu, stosowaniu i rozwijaniu dorobku Schengen oraz środków dotyczących cyfryzacji wiz zgodnie z ustaleniami zawartymi w odnośnych obowiązujących umowach. Szacunki są oparte na kalkulacjach przychodów na rzecz wdrożenia dorobku prawnego Schengen z państw (Islandia, Norwegia i Szwajcaria), które obecnie wpłacają do budżetu ogólnego Unii Europejskiej (zużytkowane płatności) roczną kwotę za dany rok budżetowy, obliczoną zgodnie z jej produktem krajowym brutto jako odsetek produktu krajowego brutto wszystkich uczestniczących państw. Kalkulacji dokonuje się na podstawie danych liczbowych Eurostatu, które podlegają znacznym wahaniom w zależności od sytuacji gospodarczej uczestniczących państw.

(1) ICAO, The World of Air Transport in 2019 [Przewóz lotniczy na świecie w 2019 r.], https://www.icao.int/annual-report-2019/Pages/the-world-of-air-transport-in-2019.aspx

(2) Źródło: Eurostat (internetowy kod danych: avia_paoc); dane te obejmują przewóz osób we wszystkich państwach należących obecnie do UE (27 państw członkowskich).

(3) Dyrektywa Rady 2004/82/WE z dnia 29 kwietnia 2004 r. w sprawie obowiązku przekazywania przez przewoźników danych dotyczących pasażerów, Dz.U. L 261 z 6.8.2004, s. 24.

(4) Konwencja chicagowska, tj. Konwencja o międzynarodowym lotnictwie cywilnym, przyjęta w 1944 r., na mocy której ustanowiono Organizację Międzynarodowego Lotnictwa Cywilnego (ICAO). Wszystkie państwa członkowskie są stronami konwencji chicagowskiej (Konwencja o międzynarodowym lotnictwie cywilnym).

(5) Komisja Europejska, dokument roboczy służb Komisji, Ocena dyrektywy Rady 2004/82/WE w sprawie obowiązku przekazywania przez przewoźników danych dotyczących pasażerów (dyrektywa w sprawie API), Bruksela, 8.9.2020, SWD(2020)174 final.

(6) Zob. ocena skutków.

(7) W art. 8 ust. 2 lit. a) kodeksu granicznego Schengen (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/399 z dnia 9 marca 2016 r. w sprawie unijnego kodeksu zasad regulujących przepływ osób przez granice (kodeks graniczny Schengen)) jest mowa o SIS, bazie danych Interpolu o skradzionych lub utraconych dokumentach podróży (SLTD) oraz krajowych bazach danych zawierających informacje o skradzionych, przywłaszczonych, utraconych i unieważnionych dokumentach podróży.

(8) Zob. Komisja Europejska, Dyrekcja Generalna ds. Migracji i Spraw Wewnętrznych, „Study on Advance Passenger Information (API): evaluation of Council Directive 2004/82/EC on the obligation of carriers to communicate passenger data” [„Badanie dotyczące danych pasażera przekazywanych przed podróżą: ocena dyrektywy Rady 2004/82/WE w sprawie obowiązku przekazywania przez przewoźników danych dotyczących pasażerów”], Urząd Publikacji, 2020, https://data.europa.eu/doi/10.2837/882434 , s. 149.

(9) Światowa Organizacja Celna/IATA/ICAO, „Guidelines on Advanced Passenger Information (API)” [„Wytyczne dotyczące danych pasażera przekazywanych przed podróżą (API)”], 2014. Zob. załącznik 5 do oceny skutków.

(10) W odniesieniu do Strefy Schengen zob. Komisja Europejska, Sprawozdanie w sprawie stanu strefy Schengen z 2022 r., COM(2022) 301 final/2 z 24.5.2022, https://eur-lex.europa.eu/legal-content/pl/TXT/PDF/?uri=CELEX:52022DC0301

(11) SIS (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1861 z dnia 28 listopada 2018 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen (SIS) w dziedzinie odpraw granicznych, zmiany konwencji wykonawczej do układu z Schengen oraz zmiany i uchylenia rozporządzenia (WE) nr 1987/2006) pomaga właściwym organom w UE zachować bezpieczeństwo wewnętrzne w warunkach braku odprawy na granicach wewnętrznych, a VIS umożliwia państwom strefy Schengen wymianę danych wizowych. W ramach systemu Eurodac przewidziano ustanowienie unijnej bazy danych daktyloskopijnych osób ubiegających się o azyl, umożliwiającej państwom członkowskim porównywanie odcisków palców tych osób w celu sprawdzenia, czy wcześniej ubiegały się one o azyl lub nielegalnie wjechały do UE przez inne państwo członkowskie.

(12) EES i ETIAS wzmocnią kontrole bezpieczeństwa w stosunku do podróżnych, którzy posiadają wizę krótkoterminową, oraz podróżnych nieposiadających wizy do strefy Schengen, ponieważ umożliwią przeprowadzanie kontroli pod kątem nielegalnej migracji i kontroli bezpieczeństwa z wyprzedzeniem. System ECRIS-TCN wypełni stwierdzoną lukę w wymianie informacji między państwami członkowskimi na temat skazanych obywateli państw trzecich.

(13) Rozporządzenie (UE) 2019/817 i rozporządzenie (UE) 2019/818.

(14) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych.

(15) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).

(16) ICAO, dokument nr 9303, „Machine Readable Travel Documents” [„Dokumenty podróży odczytywane maszynowo”], wyd. ósme, 2021, dostępny pod adresem: https://www.icao.int/publications/documents/9303_p1_cons_en.pdf

(17) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/399 z dnia 9 marca 2016 r. w sprawie unijnego kodeksu zasad regulujących przepływ osób przez granice (kodeks graniczny Schengen).

(18) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/817 z dnia 20 maja 2019 r. w sprawie ustanowienia ram interoperacyjności systemów informacyjnych UE w obszarze granic i polityki wizowej.

(19) Komisja Europejska, dokument roboczy służb Komisji, Ocena dyrektywy Rady 2004/82/WE w sprawie obowiązku przekazywania przez przewoźników danych dotyczących pasażerów (dyrektywa w sprawie API), Bruksela, 8.9.2020, SWD(2020)174 final.

(20) Zob. art. 6 akapit ostatni dyrektywy w sprawie API.

(21) Ocena dyrektywy w sprawie API, SWD(2020) 174.

(22) https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Zarzadzanie-granicami-i-egzekwowanie-prawa-dane-pasazera-linii-lotniczych-przekazywane-przed-podroza-API-zmienione-przepisy_pl

(23) SWD(2022) 422 final (13.12.2022).

(24) Art. 2 ust. 1 rozporządzenia (UE) 2021/1119 z dnia 30 czerwca 2021 r. w sprawie ustanowienia ram na potrzeby osiągnięcia neutralności klimatycznej (Europejskie prawo o klimacie).

(25) TSUE, wyrok z 9.11.2010 r.; sprawy połączone C-92/09 i C-93/09 Volker und Markus Schecke oraz Eifert [2010] Zb.Orz. I-0000.

(26) Zgodnie z art. 52 ust. 1 Karty można ograniczyć korzystanie z prawa do ochrony danych, o ile takie ograniczenia są przewidziane ustawą i szanują istotę praw i wolności, oraz, z zastrzeżeniem zasady proporcjonalności, są one konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię Europejską lub potrzebom ochrony praw i wolności innych osób.

(27) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/1148 z dnia 7 lipca 2021 r. ustanawiające, w ramach Funduszu Zintegrowanego Zarządzania Granicami, Instrument Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej.

(28) Dz.U. L 64 z 7.3.2002, s. 20.

(29) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1726 z dnia 14 listopada 2018 r. w sprawie Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA), zmiany rozporządzenia (WE) nr 1987/2006 i decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia (UE) nr 1077/2011 (Dz.U. L 295 z 21.11.2018, s. 99).

(30) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/817 z dnia 20 maja 2019 r. w sprawie ustanowienia ram interoperacyjności systemów informacyjnych UE w obszarze granic i polityki wizowej oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726, (UE) 2018/1861 oraz decyzje Rady 2004/512/WE i 2008/633/WSiSW (Dz.U. L 135 z 22.5.2019, s. 27).

(31) [Dz.U. C, , s. .]

(32) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/399 z dnia 9 marca 2016 r. w sprawie unijnego kodeksu zasad regulujących przepływ osób przez granice (kodeks graniczny Schengen) (Dz.U. L 77 z 23.3.2016, s. 1).

(33) Dyrektywa Rady 2004/82/WE z dnia 29 kwietnia 2004 r. w sprawie obowiązku przekazywania przez przewoźników danych dotyczących pasażerów (Dz.U. L 261 z 6.8.2004, s. 24).

(34) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

(35) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).

(36) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1726 z dnia 14 listopada 2018 r. w sprawie Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA), zmiany rozporządzenia (WE) nr 1987/2006 i decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia (UE) nr 1077/2011 (Dz.U. L 295 z 21.11.2018, s. 99).

(37) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/817 z dnia 20 maja 2019 r. w sprawie ustanowienia ram interoperacyjności systemów informacyjnych UE w obszarze granic i polityki wizowej oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726, (UE) 2018/1861 oraz decyzje Rady 2004/512/WE i 2008/633/WSiSW (Dz.U. L 135 z 22.5.2019, s. 27).

(38) Dz.U. L 123 z 12.5.2016, s. 1.

(39) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).

(40) Decyzja Rady 2002/192/WE z dnia 28 lutego 2002 r. dotycząca wniosku Irlandii o zastosowanie wobec niej niektórych przepisów dorobku Schengen (Dz.U. L 64 z 7.3.2002, s. 20).

(41) Dz.U. L 176 z 10.7.1999, s. 36.

(42) Decyzja Rady 1999/437/WE z dnia 17 maja 1999 r. w sprawie niektórych warunków stosowania Układu zawartego przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącego włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 176 z 10.7.1999, s. 31).

(43) Dz.U. L 53 z 27.2.2008, s. 52.

(44) Decyzja Rady 2008/146/WE z dnia 28 stycznia 2008 r. w sprawie zawarcia w imieniu Wspólnoty Europejskiej Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia tego państwa we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 53 z 27.2.2008, s. 1).

(45) Dz.U. L 160 z 18.6.2011, s. 21 .

(46) Decyzja Rady 2011/350/UE z dnia 7 marca 2011 r. w sprawie zawarcia w imieniu Unii Europejskiej Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen, odnoszącego się do zniesienia kontroli na granicach wewnętrznych i do przemieszczania się osób ( Dz.U. L 160 z 18.6.2011, s. 19 ).

(47) [Dz.U. C …]

(48) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/2226 z dnia 30 listopada 2017 r. ustanawiające system wjazdu/wyjazdu (EES) w celu rejestrowania danych dotyczących wjazdu i wyjazdu obywateli państw trzecich przekraczających granice zewnętrzne państw członkowskich i danych dotyczących odmowy wjazdu w odniesieniu do takich obywateli oraz określające warunki dostępu do EES na potrzeby ochrony porządku publicznego i zmieniające konwencję wykonawczą do układu z Schengen i rozporządzenia (WE) nr 767/2008 i (UE) nr 1077/2011 (Dz.U. L 327 z 9.12.2017, s. 20).

(49) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 767/2008 z dnia 9 lipca 2008 r. w sprawie Wizowego Systemu Informacyjnego (VIS) oraz wymiany danych pomiędzy państwami członkowskimi na temat wiz krótkoterminowych (rozporządzenie w sprawie VIS) (Dz.U. L 218 z 13.8.2008, s. 60)

(50) Rozporządzenie Rady (EWG, Euratom, EWWiS) nr 259/68 z dnia 29 lutego 1968 r. ustanawiające regulamin pracowniczy urzędników Wspólnot Europejskich i warunki zatrudnienia innych pracowników Wspólnot oraz ustanawiające specjalne środki stosowane tymczasowo wobec urzędników Komisji (Dz.U. L 56 z 4.3.1968, s. 1).

(51) O którym mowa w art. 58 ust. 2 lit. a) lub b) rozporządzenia finansowego.

(52) Zgodnie z oceną skutków.

(53) COM(2021) 277 final (2.6.2021).

(54) Wyjaśnienia dotyczące trybów zarządzania oraz odniesienia do rozporządzenia finansowego znajdują się na następującej stronie: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx

(55) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2021/1060 z dnia 24 czerwca 2021 r. ustanawiające wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego Plus, Funduszu Spójności, Funduszu na rzecz Sprawiedliwej Transformacji i Europejskiego Funduszu Morskiego, Rybackiego i Akwakultury, a także przepisy finansowe na potrzeby tych funduszy oraz na potrzeby Funduszu Azylu, Migracji i Integracji, Funduszu Bezpieczeństwa Wewnętrznego i Instrumentu Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej.

(56) Środki zróżnicowane/środki niezróżnicowane.

(57) EFTA: Europejskie Stowarzyszenie Wolnego Handlu

(58) Kraje kandydujące oraz w stosownych przypadkach potencjalne kraje kandydujące Bałkanów Zachodnich.

(59) Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie realizacji programów lub działań UE (dawne linie „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.

(60) Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie realizacji programów lub działań UE (dawne linie „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.

(61) Produkty odnoszą się do produktów i usług, które zostaną zapewnione (np. liczba sfinansowanych wymian studentów, liczba kilometrów zbudowanych dróg itp.).

(62) Wsparcie techniczne lub administracyjne oraz wydatki na wsparcie realizacji programów lub działań UE (dawne linie „BA”), pośrednie badania naukowe, bezpośrednie badania naukowe.

(63) W ramach podpułapu na personel zewnętrzny ze środków operacyjnych (dawne linie „BA”).

(64) Wpływ na budżet wykraczający poza obowiązujące WRF ma charakter orientacyjny, bez uszczerbku dla przyszłej umowy w sprawie WRF.

(65) W przypadku tradycyjnych zasobów własnych (opłaty celne, opłaty wyrównawcze od cukru) należy wskazać kwoty netto, tzn. kwoty brutto po odliczeniu 20 % na poczet kosztów poboru.