COMISIA EUROPEANĂ

Strasbourg, 13.12.2022

COM(2022) 729 final

2022/0424(COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

privind colectarea și transferul de informații prealabile referitoare la pasageri (API) în vederea îmbunătățirii și facilitării controalelor la frontierele externe, de modificare a Regulamentului (UE) 2019/817 și a Regulamentului (UE) 2018/1726 și de abrogare a Directivei 2004/82/CE a Consiliului

{SEC(2022) 444 final} - {SWD(2022) 421 final} - {SWD(2022) 422 final} - {SWD(2022) 423 final}

EXPUNERE DE MOTIVE

1.CONTEXTUL PROPUNERII

•Motivele și obiectivele propunerii

În ultimele decenii s-a înregistrat o creștere a numărului de persoane care călătoresc pe calea aerului, precum și a numărului de inovații bazate pe eficiență, care au ca rezultat creșterea capacității aeronavelor și conduc la necesitatea de a spori eficiența gestionării fluxurilor de pasageri în aeroporturi. În 2019, Organizația Aviației Civile Internaționale (OACI) a raportat un număr de 4,5 miliarde de pasageri transportați la nivel mondial pe calea aerului prin intermediul serviciilor regulate 1 , cu peste o jumătate de miliard de pasageri care intră sau care părăsesc teritoriul UE în fiecare an 2 , exercitând presiune asupra frontierelor aeriene externe. 

Prelucrarea informațiilor prealabile referitoare la pasageri (API), astfel cum se prevede în actuala Directivă API 3 , precum și în prezenta propunere, este un instrument de gestionare a frontierelor care contribuie la eficacitatea și eficiența verificărilor la frontiere prin facilitarea și accelerarea procedurilor de vămuire pentru călători, precum și un instrument de combatere a imigrației ilegale. Datele API reprezintă un set de informații privind identitatea pasagerilor conținute în documentele lor de călătorie, combinate cu informații privind zborurile, care sunt colectate în momentul înregistrării pentru zbor și transferate autorităților de frontieră din țara de destinație. Întrucât autoritățile respective primesc date API înainte de sosirea unui zbor, ele pot verifica în prealabil, în conformitate cu legislația aplicabilă, călătorii în funcție de profilurile de risc, listele de supraveghere și bazele de date, accelerând astfel verificările la frontiere pentru persoanele care călătoresc cu bună-credință și care implică mai multe resurse și timp pentru identificarea călătorilor care necesită o investigare suplimentară la sosire.

Instituirea de sisteme pentru colectarea și transferul datelor API este un standard internațional în temeiul Convenției privind aviația civilă internațională (Convenția de la Chicago 4 ) începând din 2017. În UE, activitățile menționate sunt reglementate de Directiva API. Directiva menționată impune transportatorilor aerieni obligația de a transfera, la cerere, datele API către autoritățile de frontieră din țara de destinație înainte de decolarea aeronavei, dar nu impune statelor membre obligația de a solicita date API de la transportatorii aerieni, creând astfel lacune și inconsecvențe în ceea ce privește modul în care sunt colectate și utilizate datele, unele dintre statele membre colectează datele API în mod sistematic, iar altele nu fac acest lucru 5 . La nivelul tuturor statelor membre, se estimează că datele API sunt colectate, în medie, pentru 65 % din zborurile care sosesc 6 . Se creează astfel o situație în care persoanele care doresc să evite verificările și să ocolească rutele pe care sunt colectate în mod consecvent datele API pot face acest lucru cu ușurință, permițându-le, în schimb, să călătorească către destinație pe rute de zbor pe care datele API sunt utilizate mai rar sau chiar deloc.

•Coerența cu dispozițiile existente în domeniul de politică vizat

Propunerea de regulament ar face în continuare parte din acquis-ul Schengen. Datele API vor fi primite în continuare și prelucrate ulterior de către autoritățile de frontieră competente ale statelor membre, exclusiv în scopul gestionării frontierelor și al combaterii imigrației ilegale pentru care au fost colectate datele API în temeiul prezentei propuneri de regulament.

2.TEMEI JURIDIC, SUBSIDIARITATE ȘI PROPORȚIONALITATE

•Temeiul juridic

Pentru prezenta propunere de regulament privind colectarea și transferul datelor API în scopul gestionării frontierelor și al combaterii imigrației ilegale, având în vedere scopul și măsurile prevăzute, temeiul juridic adecvat este articolul 77 alineatul (2) literele (b) și (d) și articolul 79 alineatul (2) litera (c) din Tratatul privind funcționarea Uniunii Europene (TFUE).

În temeiul articolului 77 alineatul (2) litera (b) din TFUE, Uniunea are competența de a adopta măsurile privind controalele la care sunt supuse persoanele la trecerea frontierelor externe și, în temeiul literei (d), Uniunea are competența de a adopta orice măsură necesară pentru instituirea treptată a unui sistem integrat de gestionare a frontierelor externe. În temeiul articolului 79 alineatul (2) litera (c) din TFUE, Uniunea are competența de a adopta măsuri privind imigrarea clandestină.

În acest mod, se asigură coerența cu actuala Directivă API, care se întemeiază pe aceleași dispoziții.

•Subsidiaritatea

TFUE împuternicește în mod explicit Uniunea să dezvolte o politică comună privind controalele la care sunt supuse persoanele la trecerea frontierelor externe, acesta fiind un obiectiv clar care trebuie urmărit la nivelul UE. În același timp, acesta este un domeniu de competență partajată între UE și statele membre.

Necesitatea unei acțiuni la nivelul UE cu privire la datele API în acest moment decurge, de asemenea, din evoluțiile legislative recente privind gestionarea frontierelor externe Schengen, în special:

–Regulamentul privind interoperabilitatea din 2019 18 va permite verificarea sistematică a persoanelor care trec frontierele externe pe baza tuturor informațiilor disponibile și relevante din sistemele de informații centralizate ale UE pentru gestionarea securității, a frontierelor și a migrației. Instituirea unui mecanism centralizat de transmitere a datelor API la nivelul UE este o continuare logică a acestui concept. Urmând conceptele incluse în regulamentele privind interoperabilitatea, transmiterea centralizată a datelor API ar putea conduce în viitor la utilizarea acestor date pentru a efectua interogări în diferite baze de date (SIS, date Europol) prin intermediul portalului european de căutare.  

–Utilizarea datelor API la frontierele externe ar completa în mod eficace implementarea iminentă a Sistemului european de informații și de autorizare privind călătoriile (ETIAS) și a Sistemului de intrare/ieșire (EES). Utilizarea datelor API ar fi în continuare necesară pentru gestionarea frontierelor externe, deoarece furnizează în prealabil polițiștilor de frontieră informații cu privire la orice călător care a urcat efectiv la bordul unei aeronave și care este pe punctul de a intra în spațiul Schengen, facilitând astfel verificarea la frontiere care va fi efectuată în momentul în care călătorul respectiv ajunge la frontierele externe.

•Proporționalitatea

În conformitate cu principiul proporționalității, prevăzut la articolul 5 alineatul (4) din TUE, este necesar ca natura și intensitatea unei anumite măsuri să fie corelate cu problema identificată. Pentru ca statele membre să poată soluționa în mod eficace toate problemele abordate în prezenta inițiativă legislativă, sunt necesare, într-un fel sau altul, acțiuni legislative la nivelul UE care să permită statelor membre să abordeze aceste probleme în mod eficace, fără a depăși ceea ce este necesar pentru soluționarea acestor probleme.

Prin prezenta propunere, va fi consolidat cadrul juridic pentru colectarea și transferul datelor API în scopul gestionării frontierelor externe și al combaterii imigrației ilegale. Cadrul va consolida utilizarea datelor API ca instrument de îmbunătățire a verificărilor prealabile efectuate asupra călătorilor la frontierele externe, contribuind astfel nu numai la eficacitatea și eficiența verificărilor propriu-zise, ci și la obiectivul de combatere a imigrației ilegale, în special în ceea ce privește călătoriile pe cale aeriană transfrontaliere și responsabilitățile transportatorilor aerieni în această privință. În conformitate cu standardele și practicile internaționale recomandate, prezenta propunere va impune transportatorilor aerieni obligația de a colecta și de a transfera date API pentru toate zborurile către Uniune, astfel cum sunt definite în propunere. Obligațiile prevăzute în prezenta propunere se limitează la ceea ce este necesar pentru atingerea acestui obiectiv. Mai exact prezenta propunere stabilește norme clare, printre altele, cu privire la datele care pot fi incluse în categoria datelor API, la zborurile cu privire la care transportatorii aerieni ar trebui să colecteze date API și la transferul acestor date. Prin intermediul unui regulament, prezenta propunere va stabili o abordare coerentă a utilizării datelor API pentru gestionarea frontierelor externe și combaterea imigrației ilegale. O astfel de standardizare a cerințelor privind datele API în toate statele membre va contribui la sporirea securității juridice și a previzibilității și, prin urmare, la creșterea gradului de respectare a cerințelor de către transportatorii aerieni.

Proporționalitatea este asigurată, de asemenea, prin intermediul mai multor elemente ale propunerii de regulament, cum ar fi limitarea exclusiv la zborurile care sosesc, impunerea cerinței de a utiliza mijloace automatizate numai pentru anumite date API și garanții în ceea ce privește modul și scopul prelucrării datelor API.

Prezenta propunere de regulament prevede crearea unui router care ar servi drept punct unic de legătură între statele membre și transportatorii aerieni, în conformitate cu recomandările internaționale, și stabilește o abordare la nivelul UE pentru colectarea și transmiterea datelor API. Transmiterea datelor API prin intermediul routerului va reduce costurile pentru industria aviatică și ar asigura accesul rapid și neîntrerupt al polițiștilor de frontieră la datele API necesare efectuării verificărilor avansate la frontiere. Această abordare va reduce drastic numărul de conexiuni care trebuie stabilite și menținute din perspectiva statelor membre. În schimb, pentru transportatorii aerieni, această abordare va reduce complexitatea menținerii conexiunilor cu autoritățile de frontieră competente și va introduce economii de scară. O agenție a UE, și anume eu-LISA, va fi responsabilă pentru proiectarea, dezvoltarea, găzduirea și gestionarea din punct de vedere tehnic a routerului. Transferul datelor API prin intermediul routerului va sprijini monitorizarea zborurilor și, prin urmare, va reduce probabilitatea nerespectării de către un transportator a obligației de comunicare a datelor API, astfel cum se prevede în prezenta propunere.

•Alegerea instrumentului

Se propune un regulament. Conform evaluării impactului care însoțește prezenta propunere și având în vedere necesitatea ca măsurile propuse să fie direct aplicabile și aplicate în mod uniform în toate statele membre, un regulament reprezintă alegerea adecvată din perspectiva instrumentului juridic.

3.REZULTATELE EVALUĂRILOR EX POST, ALE CONSULTĂRILOR CU PĂRȚILE INTERESATE ȘI ALE EVALUĂRILOR IMPACTULUI

•Evaluările ex post ale legislației existente

•Consultările cu părțile interesate

Pregătirea prezentei propuneri a implicat o gamă largă de consultări cu părțile interesate vizate, inclusiv cu autoritățile statelor membre (autoritățile de frontieră competente, unitățile de informații despre pasageri), cu reprezentanții sectorului transporturilor și cu transportatori aerieni individuali. Agențiile UE, cum ar fi Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă (Frontex), Agenția UE pentru Cooperare în Materie de Aplicare a Legii (Europol), Agenția UE pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA) și Agenția pentru Drepturi Fundamentale a Uniunii Europene (FRA) au furnizat, de asemenea, contribuții în funcție de mandatul și expertiza lor. Această inițiativă integrează, de asemenea, opiniile și feedbackurile primite pe parcursul consultării publice desfășurate la sfârșitul anului 2019 în cadrul evaluării Directivei API 21 .

În urma activităților de consultare desfășurate în contextul elaborării evaluării impactului care stă la baza prezentei propuneri, au fost colectate feedbackuri de la părțile interesate utilizând metode diferite. Aceste activități au inclus în special o evaluare inițială a impactului, un studiu extern de sprijin și o serie de ateliere tehnice.

O evaluare inițială a impactului a fost publicată în scopul formulării de observații în perioada 5 iunie 2020-14 august 2020, fiind primite șapte contribuții în total care au oferit feedback cu privire la extinderea domeniului de aplicare al viitoarei Directive API, calitatea datelor, sancțiuni, relația dintre datele API și datele din PNR și protecția datelor cu caracter personal 22 .

Studiul extern de sprijin a fost realizat pe baza cercetării documentare, a interviurilor și a anchetelor, în colaborare cu experți în domeniu, care au examinat diferite măsuri posibile pentru prelucrarea datelor API, cu norme clare care să faciliteze călătoriile în scopuri legitime și care să fie în concordanță cu interoperabilitatea sistemelor de informații ale UE, cu cerințele UE în materie de protecție a datelor cu caracter personal și cu alte instrumente existente ale UE, precum și cu standardele internaționale.

Serviciile Comisiei au organizat, de asemenea, o serie de ateliere tehnice cu experți din statele membre și din țările asociate spațiului Schengen. Aceste ateliere au vizat reunirea experților pentru un schimb de opinii cu privire la posibilele opțiuni avute în vedere pentru consolidarea viitorului cadru API în scopul gestionării frontierelor și al combaterii imigrației ilegale, precum și în scopul combaterii criminalității și a terorismului.

Evaluarea impactului care însoțește prezenta comunicare conține o descriere mai detaliată a consultării părților interesate (anexa 2).

•Evaluarea impactului

•Drepturile fundamentale și protecția datelor cu caracter personal

4.IMPLICAȚIILE BUGETARE

5.ELEMENTE DIVERSE

•Planuri de punere în aplicare și modalități de monitorizare, evaluare și raportare

Comisia se va asigura că se instituie mecanismele necesare de monitorizare a funcționării măsurilor propuse și le va evalua în raport cu principalele obiective de politică. La patru ani de la începerea punerii în aplicare a prezentei propuneri de regulament și, ulterior, o dată la patru ani, Comisia va prezenta Parlamentului European și Consiliului un raport de evaluare a punerii în aplicare a regulamentului și a valorii sale adăugate. În cadrul raportului, va fi specificat, de asemenea, orice impact direct sau indirect asupra drepturilor fundamentale relevante. Comisia va trebui să analizeze rezultatele obținute în raport cu obiectivele stabilite, să evalueze dacă principiile de bază sunt în continuare valabile și să identifice eventualele implicații asupra opțiunilor viitoare.

Impunerea obligației de a colecta date API și introducerea routerului vor oferi o imagine mai clară atât asupra colectării și transmiterii datelor API de către transportatorii aerieni, cât și asupra utilizării ulterioare a datelor API de către statele membre în conformitate cu legislația națională și a Uniunii în vigoare. Acest lucru va sprijini Comisia Europeană în îndeplinirea sarcinilor sale de evaluare și de asigurare a respectării legislației, furnizându-i statistici fiabile privind volumul de date transmise și zborurile pentru care ar fi solicitate date API.

•Geometrie variabilă

Prezenta propunere se bazează pe acquis-ul Schengen privind frontierele externe și dezvoltă acest acquis, în sensul că se referă la trecerea frontierelor externe. Prin urmare, ar trebui luate în considerare următoarele consecințe în legătură cu Protocolul (nr. 19) privind acquis-ul Schengen integrat în cadrul Uniunii Europene anexat la TUE și la TFUE și cu Protocolul (nr. 22) privind poziția Danemarcei anexat la TUE și la TFUE.

Propunerea este reglementată de măsurile acquis-ului Schengen la care Irlanda participă, în conformitate cu articolul 6 alineatul (2) din Decizia 2002/192/CE a Consiliului din 28 februarie 2002 privind solicitarea Irlandei de a participa la unele dintre dispozițiile acquis­ului Schengen 28 . Mai precis, participarea Irlandei la prezenta propunere se referă la responsabilitățile Uniunii de a lua măsuri în vederea dezvoltării dispozițiilor acquis-ului Schengen în domeniul combaterii imigrației ilegale la care participă Irlanda. Irlanda participă, în special, în vederea includerii la articolul 1 alineatul (1) din respectiva decizie a Consiliului a unei trimiteri la articolul 26 din Convenția de punere în aplicare a Convenției Schengen privind responsabilitățile transportatorilor aerieni în ceea ce privește străinii cărora li se refuză intrarea și deținerea de către străini a documentelor de călătorie necesare. Irlanda participă la întreaga propunere de regulament.

În conformitate cu articolele 1 și 2 din Protocolul nr. 22 privind poziția Danemarcei, anexat la Tratatul privind Uniunea Europeană (TUE) și la TFUE, Danemarca nu participă la adoptarea prezentei propuneri, nu are obligații în temeiul acesteia și nici nu face obiectul aplicării propunerii după adoptarea acesteia. Având în vedere faptul că propunerea de regulament se va întemeia pe acquis-ul Schengen, Danemarca decide, în conformitate cu articolul 4 din protocolul menționat, în termen de șase luni de la data la care Consiliul hotărăște cu privire la prezenta propunere, dacă o va transpune în dreptul său intern.

În ceea ce privește Ciprul, Bulgaria și România și Croația, propunerea de regulament va constitui un act care se întemeiază pe acquis-ul Schengen sau care se raportează la acesta, în sensul articolului 3 alineatul (1) din Actul de aderare din 2003, al articolului 4 alineatul (1) din Actul de aderare din 2005 și, respectiv, al articolului 4 alineatul (1) din Actul de aderare din 2011.

În ceea ce privește Islanda, Norvegia, Elveția și Liechtenstein, propunerea de regulament va constitui o dezvoltare a dispozițiilor acquis-ului Schengen în sensul acordurilor lor de asociere respective.

•Explicații detaliate cu privire la dispozițiile specifice ale propunerii

Capitolul 1 stabilește dispozițiile generale pentru prezentul regulament, începând cu normele privind obiectul și domeniul său de aplicare. Acesta include, de asemenea, o listă de definiții.

Capitolul 2 stabilește dispozițiile privind colectarea și transferul datelor API, și anume un set clar de norme pentru colectarea datelor API de către transportatorii aerieni, norme privind transferul datelor API către router, prelucrarea datelor API de către autoritățile de frontieră competente, precum și stocarea și ștergerea datelor API de către transportatorii aerieni și autoritățile respective.

Capitolul 3 conține dispoziții privind transmiterea datelor API prin router. Mai precis, acesta include dispoziții care descriu principalele caracteristici ale routerului, norme privind utilizarea routerului, procedura de transmitere a datelor API de la router către autoritățile de frontieră competente, ștergerea datelor API de pe router, păstrarea înregistrărilor și procedurile în cazul unei imposibilități tehnice parțiale sau totale de utilizare a routerului. 

Capitolul 4 conține un set de dispoziții specifice privind protecția datelor cu caracter personal. Mai precis, el precizează care sunt operatorii de date și persoana împuternicită de operator pentru prelucrarea datelor API ce constituie date cu caracter personal în temeiul prezentului regulament. Capitolul respectiv stabilește, de asemenea, măsurile care trebuie luate de eu-LISA pentru a garanta securitatea prelucrării datelor, în conformitate cu dispozițiile Regulamentului (UE) 2018/1725. Capitolul stabilește măsurile pe care trebuie să le ia transportatorii aerieni și autoritățile de frontieră competente pentru a asigura automonitorizarea conformității cu dispozițiile relevante prevăzute în prezentul regulament și cu normele privind auditurile.

Capitolul 5 reglementează anumite aspecte specifice legate de router. Acesta conține cerințe privind conexiunile autorităților de frontieră competente și ale transportatorilor aerieni la router. Acest capitol stabilește, de asemenea, sarcinile eu-LISA în ceea ce privește proiectarea și dezvoltarea, găzduirea și gestionarea tehnică a routerului, precum și alte sarcini de asistență legate de acesta. Acesta conține, în plus, dispoziții privind costurile suportate de eu-LISA și de statele membre în temeiul prezentului regulament, în special în ceea ce privește conexiunile statelor membre la router și integrarea acestora în router. De asemenea, capitolul prevede dispoziții privind răspunderea pentru prejudiciile cauzate routerului, punerea în funcțiune a routerului și posibilitatea utilizării voluntare a acestuia de către transportatorii aerieni, sub rezerva anumitor condiții.

Capitolul 6 conține dispoziții privind supravegherea, posibilele sancțiuni aplicabile transportatorilor aerieni pentru nerespectarea obligațiilor care le revin în temeiul prezentului regulament, normele referitoare la raportarea statistică de către eu-LISA și elaborarea unui manual practic de către Comisie.

Capitolul 7 reglementează efectele asupra altor acte juridice ale Uniunii. Mai precis, acesta conține dispozițiile privind abrogarea Directivei 2004/82/CE și modificările necesare ale altor instrumente existente, și anume Regulamentul (UE) 2018/1726 29 și Regulamentul (UE) 2019/817 30 .

Capitolul 8 conține dispozițiile finale ale prezentului regulament, care se referă la adoptarea de acte delegate și de punere în aplicare, la monitorizarea și evaluarea prezentului regulament, precum și la intrarea în vigoare și aplicarea sa.

2022/0424 (COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

privind colectarea și transferul de informații prealabile referitoare la pasageri (API) în vederea îmbunătățirii și facilitării controalelor la frontierele externe, de modificare a Regulamentului (UE) 2019/817 și a Regulamentului (UE) 2018/1726 și de abrogare a Directivei 2004/82/CE a Consiliului

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 77 alineatul (2) literele (b) și (d) și articolul 79 alineatul (2) litera (c),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

având în vedere avizul Comitetului Economic și Social European 31 ,

hotărând în conformitate cu procedura legislativă ordinară,

întrucât:

(1)Efectuarea verificărilor asupra persoanelor la frontierele externe contribuie în mod semnificativ la garantarea securității pe termen lung a Uniunii, a statelor membre și a cetățenilor săi și, ca atare, rămâne o garanție importantă, în special în spațiul fără controale la frontierele interne („spațiul Schengen”). Controale eficiente și eficace la frontierele externe, efectuate în conformitate, în special, cu Regulamentul (UE) 2016/399 al Parlamentului European și al Consiliului 32 , după caz, contribuie la combaterea imigrației ilegale și la prevenirea amenințărilor la adresa securității interne, a ordinii publice, a sănătății publice și a relațiilor internaționale ale statelor membre.

(2)Utilizarea datelor privind pasagerii și a informațiilor privind zborurile, transferate înainte de sosirea călătorilor, cunoscute sub denumirea de informații prealabile referitoare la pasageri („API”), contribuie la accelerarea procesului de efectuare a verificărilor necesare la trecerea frontierei. În sensul prezentului regulament, acest proces se referă, mai precis, la trecerea frontierelor între o țară terță sau un stat membru care nu participă la prezentul regulament, pe de o parte, și un stat membru care participă la prezentul regulament, pe de altă parte. O astfel de utilizare consolidează procesul de verificare la frontierele externe respective, acordând suficient timp pentru a permite efectuarea unor verificări detaliate și cuprinzătoare asupra tuturor călătorilor, fără ca acestea să aibă un efect negativ disproporționat asupra persoanelor care călătoresc cu bună-credință. Prin urmare, pentru a asigura eficacitatea și eficiența verificărilor la frontierele externe, ar trebui prevăzut un cadru juridic adecvat menit să asigure faptul că autoritățile de frontieră competente ale statelor membre de la aceste puncte de trecere a frontierelor externe au acces la datele API înainte de sosirea călătorilor.

(3)Cadrul juridic existent privind datele API, care constă în Directiva 2004/82/CE a Consiliului 33 și în dreptul intern de transpunere a directivei respective, s-a dovedit a fi important pentru îmbunătățirea controalelor la frontieră, în special prin instituirea unui cadru care să le permită statelor membre să introducă dispoziții prin care să le impună transportatorilor aerieni obligații de a transfera date API privind pasagerii transportați pe teritoriul lor. Cu toate acestea, există în continuare divergențe la nivel național. În special, datele API nu sunt solicitate în mod sistematic transportatorilor aerieni, iar aceștia se confruntă cu cerințe diferite în ceea ce privește tipul de informații care trebuie colectate și condițiile în care datele API trebuie să fie transferate autorităților de frontieră competente. Pe lângă faptul că generează costuri și complicații inutile pentru transportatorii aerieni, divergențele respective afectează deopotrivă asigurarea unor verificări prealabile eficace și eficiente ale persoanelor care sosesc la frontierele externe.

(4)Cadrul juridic existent ar trebui, prin urmare, să fie actualizat și înlocuit pentru a se asigura că normele privind colectarea și transferul datelor API în scopul îmbunătățirii și facilitării eficacității și eficienței verificărilor la frontierele externe și al combaterii imigrației ilegale sunt clare, armonizate și eficace.

(5)Pentru a asigura, în măsura în care este posibil, o abordare coerentă la nivel internațional și având în vedere normele privind colectarea datelor API aplicabile la nivelul respectiv, cadrul juridic actualizat instituit prin prezentul regulament ar trebui să țină seama de practicile relevante convenite la nivel internațional cu industria aviatică și în contextul orientărilor Organizației Mondiale a Vămilor, ale Asociației Internaționale a Transportului Aerian și ale Organizației Aviației Civile Internaționale privind informațiile prealabile referitoare la pasageri. 

(6)Colectarea și transferul datelor API afectează viața privată a persoanelor și implică prelucrarea de date cu caracter personal. Pentru a respecta pe deplin drepturile fundamentale, în special dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal, în conformitate cu Carta drepturilor fundamentale a Uniunii Europene („carta”), ar trebui prevăzute limite și garanții adecvate. În special, orice prelucrare a datelor API și, în special, a datelor API ce constituie date cu caracter personal ar trebui să rămână limitată la ceea ce este necesar și proporțional pentru atingerea obiectivelor urmărite de prezentul regulament. În plus, ar trebui să se asigure că datele API colectate și transferate în temeiul prezentului regulament nu conduc la nicio formă de discriminare interzisă de cartă.

(7)Pentru a-și atinge obiectivele, prezentul regulament ar trebui să se aplice tuturor transportatorilor care efectuează zboruri către Uniune, astfel cum sunt definite în prezentul regulament, acoperind atât zborurile regulate, cât și pe cele neregulate, indiferent de locul în care sunt stabiliți transportatorii aerieni care efectuează zborurile respective. 

(8)Din motive de asigurare a eficacității și a securității juridice, informațiile care constituie împreună datele API care urmează să fie colectate și transferate ulterior în temeiul prezentului regulament ar trebui enumerate în mod clar și exhaustiv, acoperind atât informațiile referitoare la fiecare călător, cât și informațiile privind zborul călătorului respectiv. Astfel de informații privind zborurile ar trebui să includă informații privind punctul de trecere a frontierei de intrare pe teritoriul statului membru în cauză în toate cazurile care intră sub incidența prezentului regulament, dar aceste informații ar trebui colectate numai în cazurile prevăzute de Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii], și anume exceptând cazurile în care datele API se referă la zboruri intra-UE.  

(9)Pentru a permite flexibilitate și inovare, fiecare transportator aerian ar trebui, în principiu, să aibă libertatea de a stabili modul în care își îndeplinește obligațiile privind colectarea datelor API prevăzute în prezentul regulament. Cu toate acestea, având în vedere că există soluții tehnologice adecvate care permit colectarea automată a anumitor date API, garantând în același timp că datele API în cauză sunt exacte, complete și actualizate și având în vedere avantajele utilizării unei astfel de tehnologii în ceea ce privește eficacitatea și eficiența, transportatorii aerieni ar trebui să aibă obligația de a colecta datele API respective prin mijloace automatizate, prin citirea informațiilor din datele care pot fi citite automat, cuprinse în documentul de călătorie.

(10)Mijloacele automatizate le permit călătorilor să furnizeze ei înșiși anumite date API în timpul unui proces de înregistrare online. Astfel de mijloace ar putea include, de exemplu, o aplicație securizată pe un telefon inteligent, pe un computer sau pe o cameră web a călătorilor, cu capacitatea de a citi datele care pot fi citite automat, cuprinse în documentul de călătorie. În cazul în care călătorii nu s-au înregistrat online, transportatorii aerieni ar trebui, în practică, să le ofere posibilitatea de a furniza datele API care pot fi citite automat în timpul înregistrării la aeroport, cu ajutorul unui chioșc cu autoservire sau al personalului companiei aeriene la ghișeu.

(11)Comisia ar trebui să fie împuternicită să adopte cerințe tehnice și norme procedurale pe care transportatorii aerieni să aibă obligația să le respecte în ceea ce privește utilizarea mijloacelor automatizate pentru colectarea datelor API care pot fi citite automat în temeiul prezentului regulament, astfel încât să se sporească claritatea și securitatea juridică și să se contribuie la asigurarea calității datelor și la utilizarea responsabilă a mijloacelor automatizate.

(12)Având în vedere avantajele oferite de utilizarea de mijloace automatizate pentru colectarea de date API care pot fi citite automat și claritatea care rezultă din cerințele tehnice în această privință care urmează să fie adoptate în temeiul prezentului regulament, ar trebui să se clarifice faptul că transportatorii aerieni care decid să utilizeze mijloace automatizate pentru a colecta informațiile pe care trebuie să le transmită în temeiul Directivei 2004//82/CE au posibilitatea, dar nu obligația, de a aplica cerințele respective, odată adoptate, în legătură cu o astfel de utilizare a mijloacelor automatizate, în măsura în care directiva respectivă permite acest lucru. O astfel de aplicare voluntară a specificațiilor respective în temeiul Directivei 2004/82/CE nu ar trebui înțeleasă ca afectând în niciun fel obligațiile transportatorilor aerieni și ale statelor membre care le revin în temeiul directivei respective.

(13)Pentru a se asigura că verificările prealabile efectuate în avans de către autoritățile de frontieră competente sunt eficace și eficiente, datele API transferate autorităților respective ar trebui să conțină datele călătorilor care sunt efectiv pregătiți să treacă frontierele externe, și anume ale călătorilor care se află efectiv la bordul aeronavei. Prin urmare, transportatorii aerieni ar trebui să transfere datele API direct după închiderea zborului. În plus, datele API ajută autoritățile de frontieră competente să facă distincția între persoanele care călătoresc în scopuri legitime și călătorii care ar putea prezenta interes și, prin urmare, ar putea necesita verificări suplimentare, ceea ce ar necesita o coordonare suplimentară și pregătirea unor măsuri ulterioare care să fie luate la sosire. Acest lucru s-ar putea întâmpla, de exemplu, în cazul unui număr neașteptat de călători care prezintă interes, ale căror verificări fizice la frontiere ar putea afecta în mod negativ verificările la frontiere și timpii de așteptare la frontiere pentru celelalte persoane care călătoresc în scopuri legitime. Pentru a oferi autorităților de frontieră competente posibilitatea de a pregăti măsuri adecvate și proporționale la frontieră, cum ar fi consolidarea temporară sau redistribuirea personalului, în special pentru zborurile în care intervalul de timp dintre închiderea zborului și sosirea la frontierele externe este insuficient pentru a permite autorităților de frontieră competente să pregătească răspunsul cel mai adecvat, datele API ar trebui, de asemenea, să fie transmise înainte de îmbarcare, în momentul înregistrării fiecărui călător.

(14)Pentru a oferi claritate cu privire la cerințele tehnice aplicabile transportatorilor aerieni și necesare pentru a se asigura că datele API colectate în temeiul prezentului regulament sunt transferate către router într-un mod sigur, eficace și rapid, Comisia ar trebui să fie împuternicită să stabilească specificații privind protocoalele comune și formatele de date compatibile care să fie utilizate pentru transferurile respective. 

(15)Pentru a evita orice risc de utilizare abuzivă și în conformitate cu principiul limitării scopului, autorităților de frontieră competente ar trebui să li se interzică în mod expres să prelucreze datele API pe care le primesc în temeiul prezentului regulament în orice alt scop decât îmbunătățirea și facilitarea eficacității și eficienței verificărilor la frontierele externe și combaterea imigrației ilegale.

(16)Pentru a se asigura că autoritățile de frontieră competente dispun de suficient timp pentru a efectua în mod eficace verificări prealabile asupra tuturor călătorilor, inclusiv asupra călătorilor care efectuează zboruri pe distanțe lungi și asupra celor care efectuează zboruri de legătură, precum și suficient timp pentru a se asigura că datele API colectate și transferate de transportatorii aerieni sunt complete, exacte și actualizate și, dacă este necesar, pentru a solicita clarificări, corecții sau completări suplimentare din partea transportatorilor aerieni, autoritățile de frontieră competente ar trebui să stocheze datele API pe care le-au primit în temeiul prezentului regulament pentru o perioadă fixă, limitată la ceea ce este strict necesar pentru aceste scopuri. În mod similar, pentru a putea răspunde unor astfel de cereri, transportatorii aerieni ar trebui să stocheze datele API pe care le-au transferat în temeiul prezentului regulament pentru aceeași perioadă fixă și strict necesară.

(17)Pentru a evita ca transportatorii aerieni să fie nevoiți să stabilească și să mențină conexiuni multiple cu autoritățile de frontieră competente ale statelor membre pentru transferul datelor API colectate în temeiul prezentului regulament, precum și ineficiențele și riscurile de securitate aferente, ar trebui să se prevadă un router unic, creat și operat la nivelul Uniunii, care să servească drept punct de conectare și de distribuție pentru transferurile respective. Din motive de eficiență și rentabilitate, routerul ar trebui, în măsura în care este posibil din punct de vedere tehnic și cu respectarea deplină a normelor prezentului regulament și ale Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii], să se bazeze pe componente tehnice din alte sisteme relevante create în temeiul dreptului Uniunii.

(18)Routerul ar trebui să transmită datele API, în mod automat, autorităților de frontieră competente relevante, care ar trebui stabilite în funcție de punctul de trecere a frontierei de intrare pe teritoriul statului membru inclus în datele API în cauză. Pentru a facilita procesul de distribuție, fiecare stat membru ar trebui să indice autoritățile de frontieră care dețin competența pentru a primi datele API transmise de router. Pentru a asigura buna funcționare a prezentului regulament și în scopul transparenței, aceste informații ar trebui puse la dispoziția publicului.

(19)Routerul ar trebui să fie folosit numai pentru a facilita transmiterea datelor API de la transportatorii aerieni către autoritățile de frontieră competente în conformitate cu prezentul regulament și către unitățile de informații despre pasageri (UIP) în conformitate cu Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii] și nu ar trebui să fie un registru de date API. Prin urmare, pentru a reduce la minimum orice risc de acces neautorizat sau de alt tip de utilizare greșită și în conformitate cu principiul reducerii la minimum a datelor, orice stocare a datelor API pe router ar trebui să se limiteze la ceea ce este strict necesar pentru scopurile tehnice legate de transmitere, iar datele API ar trebui șterse de pe router, imediat, în mod permanent și în mod automat, din momentul în care transmiterea a fost finalizată sau, după caz, în temeiul Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii], datele API nu trebuie transmise deloc.

(20)Pentru a asigura buna funcționare a transmiterii datelor API de pe router, Comisia ar trebui să fie împuternicită să stabilească norme tehnice și procedurale detaliate privind această transmitere. Normele respective ar trebui să poată să garanteze că transmiterea este sigură, eficace și rapidă și că nu afectează călătoriile pasagerilor și ale transportatorilor aerieni mai mult decât este necesar.

(21)Pentru a permite transportatorilor aerieni să beneficieze cât mai curând posibil de avantajele oferite de utilizarea routerului dezvoltat de agenția eu-LISA în conformitate cu prezentul regulament și să dobândească experiență în utilizarea acestuia, transportatorilor aerieni ar trebui să li se ofere posibilitatea, dar să nu li se impună obligația, de a utiliza routerul pentru a transmite informațiile pe care trebuie să le transmită în temeiul Directivei 2004//82/CE în cursul unei perioade de tranziție. Această perioadă intermediară ar trebui să înceapă din momentul punerii în funcțiune a routerului și să se încheie atunci când obligațiile prevăzute în directiva menționată încetează să se mai aplice. Pentru a se asigura că orice astfel de utilizare voluntară a routerului se efectuează în mod responsabil, ar trebui să se solicite acordul scris prealabil al autorității responsabile care urmează să primească informațiile, la cererea transportatorului aerian și după ce autoritatea respectivă a efectuat verificări și a obținut asigurări, după caz. În mod similar, pentru a evita o situație în care transportatorii aerieni încep și încetează în mod repetat să utilizeze routerul, odată ce un transportator aerian începe o astfel de utilizare în mod voluntar, acesta ar trebui să aibă obligația de a o continua, cu excepția cazului în care există motive obiective de a întrerupe utilizarea pentru transmiterea informațiilor către autoritatea responsabilă în cauză, cum ar fi faptul că informațiile nu sunt transmise în mod legal, sigur, eficace și rapid. Pentru aplicarea corespunzătoare a acestei posibilități de utilizare voluntară a routerului, ținând seama în mod corespunzător de drepturile și interesele tuturor părților afectate, ar trebui prevăzute normele necesare privind consultările și furnizarea de informații. Orice astfel de utilizare voluntară a routerului în temeiul Directivei 2004/82/CE, astfel cum se prevede în prezentul regulament, nu ar trebui înțeleasă ca afectând în niciun fel obligațiile transportatorilor aerieni și ale statelor membre, prevăzute în directiva menționată.

(22)Routerul care urmează să fie creat și operat în temeiul prezentului regulament ar trebui să reducă și să simplifice conexiunile tehnice necesare pentru transferul datelor API, limitându-le la o singură conexiune pentru fiecare transportator aerian și pentru fiecare autoritate de frontieră competentă. Prin urmare, prezentul regulament prevede obligația autorităților de frontieră competente și a transportatorilor aerieni de a stabili o astfel de conexiune la router și de a realiza integrarea necesară în acesta, astfel încât să se asigure că sistemul de transfer al datelor API instituit prin prezentul regulament poate funcționa în mod corespunzător. Pentru a pune în aplicare aceste obligații și pentru a asigura buna funcționare a sistemului instituit prin prezentul regulament, obligațiile ar trebui completate cu norme detaliate. 

(23)Având în vedere interesele Uniunii în acest domeniu, costurile suportate de eu-LISA pentru îndeplinirea sarcinilor care îi revin în temeiul prezentului regulament și al Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii] în ceea ce privește routerul ar trebui să fie suportate din bugetul Uniunii. Același lucru ar trebui să fie valabil și pentru costurile corespunzătoare suportate de statele membre în legătură cu conexiunile lor cu routerul și integrarea în acesta, astfel cum se prevede în prezentul regulament și în conformitate cu legislația aplicabilă, sub rezerva anumitor excepții. Costurile acoperite de aceste excepții ar trebui să fie suportate de fiecare stat membru vizat.

(24)Nu se poate exclude faptul că, din cauza unor circumstanțe excepționale și în pofida faptului că au fost luate toate măsurile rezonabile în conformitate cu prezentul regulament, routerul sau sistemele ori infrastructura care asigură conexiunea autorităților de frontieră competente și a transportatorilor aerieni la router nu funcționează în mod corespunzător, conducând astfel la imposibilitatea tehnică de a utiliza routerul pentru a transmite datele API. Având în vedere indisponibilitatea routerului și faptul că, în general, nu va fi posibil în mod rezonabil ca transportatorii aerieni să transfere datele API afectate de defecțiune într-un mod legal, sigur, eficace și rapid prin mijloace alternative, obligația transportatorilor aerieni de a transfera datele API respective către router ar trebui să înceteze să se aplice atât timp cât persistă imposibilitatea tehnică. Pentru a reduce la minimum durata și consecințele negative ale acestei imposibilități tehnice, părțile în cauză ar trebui, într-un astfel de caz, să se informeze reciproc imediat și să ia imediat toate măsurile necesare pentru a remedia imposibilitatea tehnică. Având în vedere că datele API referitoare la zborurile care au sosit deja nu sunt utile pentru verificările la frontiere, într-un astfel de caz nu există nicio justificare pentru colectarea și stocarea datelor API de către transportatorii aerieni. Acest acord nu ar trebui să aducă atingere obligațiilor care le revin tuturor părților implicate, în temeiul prezentului regulament, de a se asigura că routerul și sistemele și infrastructura lor respective funcționează în mod corespunzător, precum și faptului că transportatorii aerieni sunt pasibili de sancțiuni atunci când nu își îndeplinesc obligațiile ce le revin, inclusiv atunci când încearcă să se bazeze pe acest acord în situații în care acest lucru nu se justifică. Pentru a descuraja astfel de abuzuri și pentru a facilita supravegherea și, dacă este necesar, impunerea de sancțiuni, transportatorii aerieni care se bazează pe acest acord din cauza defectării propriului sistem și a propriei infrastructuri ar trebui să raporteze acest lucru autorității de supraveghere competente.

(25)Pentru a asigura respectarea dreptului fundamental la protecția datelor cu caracter personal, prezentul regulament ar trebui să identifice operatorul și persoana împuternicită de operator și să stabilească norme privind auditurile. În interesul unei monitorizări eficace, al asigurării unei protecții adecvate a datelor cu caracter personal și al reducerii la minimum a riscurilor în materie de securitate, ar trebui să se prevadă, de asemenea, norme privind înregistrarea, securitatea prelucrării și automonitorizarea. În cazul în care se referă la prelucrarea datelor cu caracter personal, dispozițiile respective ar trebui înțelese ca o completare a actelor juridice ale Uniunii cu aplicabilitate generală privind protecția datelor cu caracter personal, în special Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului 34 și Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului 35 . Actele respective, care se aplică, de asemenea, prelucrării datelor cu caracter personal în temeiul prezentului regulament în conformitate cu dispozițiile acestuia, nu ar trebui să fie afectate de prezentul regulament.

(26)În special, scopurile operațiunilor de prelucrare în temeiul prezentului regulament, și anume transmiterea datelor API prin intermediul routerului de la transportatorii aerieni către autoritățile de frontieră competente ale statelor membre, sunt de a sprijini autoritățile respective în îndeplinirea obligațiilor lor de gestionare a frontierelor și a sarcinilor legate de combaterea imigrației ilegale. Prin urmare, autoritățile de frontieră competente care primesc date API ar trebui să fie operatori pentru transmiterea prin intermediul routerului a datelor API ce constituie date cu caracter personal și pentru stocarea datelor respective pe router, în măsura în care o astfel de stocare este necesară în scopuri tehnice, precum și pentru orice prelucrare în scopul utilizării ulterioare a datelor respective pentru consolidarea și facilitarea verificărilor la frontierele externe. Transportatorii aerieni, la rândul lor, ar trebui să fie operatori separați în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal și pe care au obligația să o efectueze în temeiul prezentului regulament. Pe această bază, atât transportatorii aerieni, cât și autoritățile de frontieră competente ar trebui să fie operatori de date separați în ceea ce privește propria prelucrare a datelor API în temeiul prezentului regulament. 

(27)Pentru a se asigura că normele din prezentul regulament se aplică în mod eficace de către transportatorii aerieni, ar trebui să se prevadă desemnarea și împuternicirea autorităților naționale însărcinate cu supravegherea normelor respective. Normele din prezentul regulament care prevăd o astfel de supraveghere, inclusiv în ceea ce privește impunerea de sancțiuni atunci când este necesar, ar trebui să nu afecteze sarcinile și competențele autorităților de supraveghere, care le-au fost atribuite în conformitate cu Regulamentul (UE) 2016/679, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal în temeiul prezentului regulament.

(28)Statele membre ar trebui să prevadă sancțiuni eficace, proporționale și disuasive, inclusiv sancțiuni financiare, împotriva transportatorilor aerieni care nu își respectă obligațiile privind colectarea și transferul de date din API în temeiul prezentului regulament.

(29)Întrucât prezentul regulament prevede stabilirea de norme noi privind colectarea și transferul datelor API de către autoritățile de frontieră competente în scopul îmbunătățirii și facilitării eficacității și eficienței verificărilor la frontierele externe, Directiva 2004/82/CE ar trebui abrogată.

(30)Întrucât routerul ar trebui să fie proiectat, dezvoltat, găzduit și gestionat din punct de vedere tehnic de către eu-LISA, instituită prin Regulamentul (UE) 2018/1726 al Parlamentului European și al Consiliului 36 , este necesar să se modifice regulamentul respectiv prin adăugarea acestei sarcini la sarcinile eu-LISA. Pentru a stoca rapoartele și statisticile generate de router pe repertoriul comun de raportare și statistici, este necesar să se modifice Regulamentul (UE) 2019/817 al Parlamentului European și al Consiliului 37 .

(31)În vederea adoptării de măsuri referitoare la cerințele tehnice și normele operaționale pentru mijloacele automatizate de colectare a datelor API care pot fi citite automat, la protocoalele și formatele comune care trebuie utilizate pentru transferul datelor API de către transportatorii aerieni, la normele tehnice și procedurale pentru transmiterea datelor API de la router către autoritățile de frontieră competente, către UIP și către conexiunile UIP și ale transportatorilor aerieni cu routerul și integrarea în router, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui delegată Comisiei în ceea ce privește articolele 5, 6, 11, 20 și, respectiv, 21. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare 38 . În special, pentru a se asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(32)În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament, și anume în ceea ce privește punerea în funcțiune a routerului, ar trebui conferite competențe de executare Comisiei. Respectivele competențe ar trebui exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului 39 . 

(33)Tuturor părților interesate, în special transportatorilor aerieni și autorităților de frontieră competente, ar trebui să li se acorde suficient timp pentru a efectua pregătirile necesare în vederea îndeplinirii obligațiilor care le revin în temeiul prezentului regulament, ținând seama de faptul că unele dintre aceste pregătiri, cum ar fi cele referitoare la obligațiile privind conectarea la router și integrarea în acesta, pot fi finalizate numai după finalizarea etapelor de proiectare și dezvoltare a routerului și după punerea în funcțiune a routerului. Prin urmare, prezentul regulament ar trebui să se aplice numai de la o dată adecvată după data punerii în funcțiune a routerului, astfel cum se specifică de către Comisie în conformitate cu prezentul regulament.

(34)Cu toate acestea, etapele de proiectare și dezvoltare ale routerului ar trebui să înceapă și să fie finalizate cât mai curând posibil, astfel încât routerul să poată fi pus în funcțiune cât mai curând posibil, ceea ce necesită, de asemenea, adoptarea actelor de punere în aplicare și a actelor delegate relevante prevăzute în prezentul regulament. Clarificările prevăzute de prezentul regulament în ceea ce privește aplicarea specificațiilor referitoare la utilizarea mijloacelor automatizate în temeiul Directivei 2004/82/CE ar trebui, de asemenea, furnizate fără întârziere. Prin urmare, articolele referitoare la aceste aspecte ar trebui să se aplice de la data intrării în vigoare a prezentului regulament. În plus, pentru a permite utilizarea voluntară a routerului cât mai curând posibil, articolul privind o astfel de utilizare, precum și alte articole necesare pentru a se asigura că o astfel de utilizare se desfășoară în mod responsabil, ar trebui să se aplice din cel mai scurt moment posibil, și anume din momentul punerii în funcțiune a routerului.

(35)Prezentul regulament nu ar trebui să aducă atingere posibilității statelor membre de a prevedea, în dreptul intern, un sistem pentru colectarea datelor API de la alți furnizori de servicii de transport decât cei specificați în prezentul regulament, cu condiția ca dreptul intern să respecte dreptul Uniunii.

(36)Întrucât obiectivele prezentului regulament, și anume îmbunătățirea și facilitarea eficacității și eficienței verificărilor la frontierele externe și combaterea imigrației ilegale, se referă la aspecte care sunt în mod inerent de natură transfrontalieră, acestea nu pot fi realizate în mod satisfăcător de către statele membre în mod individual, ci pot fi realizate mai bine la nivelul Uniunii. Prin urmare, Uniunea poate să adopte măsuri în conformitate cu principiul subsidiarității prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este definit la articolul menționat, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivului menționat.

(37)În conformitate cu articolele 1 și 2 din Protocolul nr. 22 privind poziția Danemarcei, anexat la TUE și la TFUE, Danemarca nu participă la adoptarea prezentului regulament, acesta nu este obligatoriu pentru respectivul stat membru și nu i se aplică. Deoarece prezentul regulament constituie o dezvoltare a acquis-ului Schengen, Danemarca decide, în conformitate cu articolul 4 din protocolul respectiv, în termen de șase luni de la data la care Consiliul decide cu privire la prezentul regulament dacă îl va pune în aplicare în dreptul său intern.

(38)Irlanda participă la prezentul regulament, în conformitate cu articolul 5 alineatul (1) din Protocolul nr. 19 privind acquis-ul Schengen integrat în cadrul Uniunii Europene, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, și cu articolul 6 alineatul (2) din Decizia 2002/192/CE a Consiliului 40 .

(39) Participarea Irlandei la prezentul regulament în conformitate cu articolul 6 alineatul (2) din Decizia 2002/192/CE se referă la competența Uniunii de a lua măsuri în vederea dezvoltării dispozițiilor acquis-ului Schengen în domeniul combaterii imigrației ilegale la care participă Irlanda.

(40)În ceea ce privește Islanda și Norvegia, prezentul regulament constituie o dezvoltare a dispozițiilor acquis-ului Schengen în sensul Acordului încheiat de Consiliul Uniunii Europene și Islanda și Regatul Norvegiei privind asocierea acestora din urmă la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen 41 , care intră sub incidența domeniului menționat la articolul 1 punctul A din Decizia 1999/437/CE a Consiliului 42 .

(41)În ceea ce privește Elveția, prezenta recomandare constituie o dezvoltare a dispozițiilor acquis-ului Schengen în sensul Acordului dintre Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană cu privire la asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen 43 , care intră sub incidența domeniului menționat la articolul 1 punctul A din Decizia 1999/437/CE, coroborat cu articolul 3 din Decizia 2008/146/CE a Consiliului 44 .

(42)În ceea ce privește Liechtensteinul, prezentul regulament constituie o dezvoltare a dispozițiilor acquis-ului Schengen în înțelesul Protocolului dintre Uniunea Europeană, Comunitatea Europeană, Confederația Elvețiană și Principatul Liechtenstein privind aderarea Principatului Liechtenstein la Acordul între Uniunea Europeană, Comunitatea Europeană și Confederația Elvețiană privind asocierea Confederației Elvețiene la punerea în aplicare, respectarea și dezvoltarea acquis-ului Schengen 45 , care se află sub incidența articolului 1 punctele A și B din Decizia 1999/437/CE, coroborat cu articolul 3 din Decizia 2011/350/UE a Consiliului 46 .

(43)În ceea ce privește Ciprul, Bulgaria, România și Croația, prezentul regulament constituie un act care se întemeiază pe acquis-ul Schengen sau care se raportează la acesta în sensul articolului 3 alineatul (1) din Actul de aderare din 2003, al articolului 4 alineatul (1) din Actul de aderare din 2005 și, respectiv, al articolului 4 alineatul (1) din Actul de aderare din 2011.

(44)Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 și a emis un aviz la [XX] 47 ,

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL 1

DISPOZIȚII GENERALE

Articolul 1

Obiectul

În scopul îmbunătățirii și facilitării eficacității și eficienței verificărilor la frontierele externe și al combaterii imigrației ilegale, prezentul regulament stabilește norme privind:

(a)colectarea de către transportatorii aerieni a informațiilor prealabile referitoare la pasageri („date API”) pentru zborurile către Uniune;

(b)transferarea datelor API de către transportatorii aerieni către router;

(c)transmiterea datelor API de la router către autoritățile de frontieră competente.

Articolul 2

Domeniul de aplicare

Prezentul regulament se aplică transportatorilor aerieni care efectuează zboruri regulate sau neregulate către Uniune.

Articolul 3

Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

(a)„transportator aerian” înseamnă o întreprindere de transport aerian, astfel cum este definită la articolul 3 punctul 1 din Directiva (UE) 2016/681;

(b)„verificări la frontiere” înseamnă verificările la frontiere, astfel cum sunt definite la articolul 2 punctul 11 din Regulamentul (UE) 2016/399;

(c)„zboruri către Uniune” înseamnă zboruri de pe teritoriul unei țări terțe sau al unui stat membru care nu participă la prezentul regulament și care sunt planificate să aterizeze pe teritoriul unui stat membru care participă la prezentul regulament;

(d)„punct de trecere a frontierei” înseamnă punctul de trecere astfel cum este definit la articolul 2 punctul 8 din Regulamentul (UE) 2016/399;

(e)„zbor regulat” înseamnă un zbor care se desfășoară conform unui orar fix și pentru care publicul poate achiziționa bilete;

(f)„zbor neregulat” înseamnă un zbor care nu se desfășoară conform unui orar fix și care nu face neapărat parte dintr-o rută regulată sau programată;

(g)„autoritate de frontieră competentă” înseamnă autoritatea însărcinată de un stat membru cu efectuarea verificărilor la frontiere și desemnată și notificată de statul membru respectiv în conformitate cu articolul 11 alineatul (2);

(h)„pasager” înseamnă orice persoană, excluzând membrii echipajului, transportată sau care urmează să fie transportată într-o aeronavă cu consimțământul transportatorului aerian, acest consimțământ fiind exprimat prin înregistrarea persoanei respective pe lista pasagerilor;

(i)„echipaj” înseamnă orice persoană aflată la bordul unei aeronave în timpul zborului, alta decât un pasager, care își desfășoară activitatea la bordul unei aeronave și care operează aeronava respectivă, inclusiv echipajul de zbor și echipajul de cabină;

(j)„călător” înseamnă un pasager sau un membru al echipajului;

(k)„date privind informațiile prealabile referitoare la pasageri” sau „date API” înseamnă datele privind călătorii și informațiile privind zborurile menționate la articolul 4 alineatul (2) și, respectiv, alineatul (3);

(l)„unitate de informații despre pasageri” sau „UIP” înseamnă autoritatea competentă menționată la articolul 3 litera (i) din Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii];

(m)„router” înseamnă routerul menționat la articolul 9;

(n)„date cu caracter personal” înseamnă datele cu caracter personal astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679.

CAPITOLUL 2

COLECTAREA ȘI TRANSFERUL DATELOR API

Articolul 4

Datele API care trebuie colectate de către transportatorii aerieni

(1)Transportatorii aerieni colectează datele API ale călătorilor, care constau în date privind călătorii și informații privind zborurile specificate la alineatul (2) și, respectiv, alineatul (3) din prezentul articol, pentru zborurile menționate la articolul 2, în scopul transferării acestor date către router în conformitate cu articolul 6.

(2)Datele API constau în următoarele date referitoare la fiecare călător al zborului:

(a)numele (numele de familie), prenumele;

(b)data nașterii, sexul și cetățenia;

(c)tipul și numărul documentului de călătorie și codul format din trei litere al țării care a eliberat documentul de călătorie;

(d)data expirării perioadei de valabilitate a documentului de călătorie;

(e)dacă respectivul călător este pasager sau membru al echipajului (statutul călătorului);

(f)numărul de identificare a unui registru cu numele pasagerilor utilizat de un transportator aerian pentru a localiza un pasager în sistemul său de informații (codul de reper al dosarului pasagerului);

(g)informațiile privind locurile, cum ar fi numărul locului din aeronavă atribuit unui pasager, în cazul în care transportatorul aerian colectează astfel de informații;

(h)informații privind bagajele, cum ar fi numărul de bagaje înregistrate, în cazul în care transportatorul aerian colectează astfel de informații.

(3)Datele API constau, de asemenea, în următoarele informații referitoare la zborul fiecărui călător:

(a)numărul de identificare al zborului sau, dacă nu există un astfel de număr, alte mijloace clare și adecvate de identificare a zborului;

(b)dacă este cazul, punctul de trecere a frontierei utilizat pentru a intra pe teritoriul statului membru;

(c)codul aeroportului de intrare pe teritoriul statului membru;

(d)punctul inițial de îmbarcare;

(e)data locală și ora estimată de plecare;

(f)data locală și ora estimată de sosire. 

Articolul 5

Mijloace de colectare a datelor API

(1)Transportatorii aerieni colectează datele API în temeiul articolului 4 astfel încât datele API pe care le transferă în conformitate cu articolul 6 să fie exacte, complete și actualizate.

(2)Transportatorii aerieni colectează datele API menționate la articolul 4 alineatul (2) literele (a)-(d), utilizând mijloace automatizate de colectare a datelor care pot fi citite automat din documentul de călătorie al călătorului în cauză. Ei colectează aceste date în conformitate cu cerințele tehnice detaliate și cu normele operaționale menționate la alineatul (4), în cazul în care aceste norme au fost adoptate și sunt aplicabile.

Cu toate acestea, în cazul în care o astfel de utilizare a mijloacelor automatizate nu este posibilă din cauza faptului că documentul de călătorie nu conține date care pot fi citite automat, transportatorii aerieni colectează datele respective manual, astfel încât să se asigure conformitatea cu alineatul (1).

(3)Toate mijloacele automatizate utilizate de transportatorii aerieni pentru a colecta date API în temeiul prezentului regulament trebuie să fie fiabile, securizate și actualizate.

(4)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 37 pentru a completa prezentul regulament prin stabilirea cerințelor tehnice detaliate și a normelor operaționale pentru colectarea datelor API menționate la articolul 4 alineatul (2) literele (a)-(d), utilizând mijloace automatizate în conformitate cu alineatele (2) și (3) din prezentul articol.

(5)Transportatorii aerieni care utilizează mijloace automatizate pentru a colecta informațiile menționate la articolul 3 alineatul (1) din Directiva 2004/82/CE au dreptul să facă acest lucru prin aplicarea cerințelor tehnice referitoare la o astfel de utilizare, menționate la alineatul (4), în conformitate cu directiva menționată.

Articolul 6

Obligațiile transportatorilor aerieni privind transferurile de date API

(1)Transportatorii aerieni transferă datele API către router prin mijloace electronice. Ei transferă aceste date în conformitate cu normele detaliate menționate la alineatul (3), în cazul în care aceste norme au fost adoptate și sunt aplicabile.

(2)Transportatorii aerieni transferă datele API atât în momentul înregistrării, cât și imediat după închiderea zborului, adică imediat după îmbarcarea pasagerilor în aeronava care se pregătește de decolare și când niciun pasager nu se mai poate îmbarca sau nu mai poate debarca.

(3)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 37 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind protocoalele comune și formatele de date compatibile care trebuie utilizate pentru transferurile de date API către routerul menționat la alineatul (1).

(4)În cazul în care un transportator aerian constată, după ce a transferat date către router, că datele API sunt inexacte, incomplete și neactualizate ori au fost prelucrate în mod ilegal sau că datele nu constituie date API, acesta informează imediat Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA). După primirea acestor informații, eu-LISA informează imediat autoritatea de frontieră competentă care a primit datele API transmise prin router.

Articolul 7

Prelucrarea datelor API primite

Autoritățile de frontieră competente prelucrează datele API, care le sunt transferate în conformitate cu prezentul regulament, exclusiv în scopurile menționate la articolul 1.

Articolul 8

Stocarea și ștergerea datelor API

(1)Transportatorii aerieni stochează, pentru o perioadă de 48 de ore de la momentul plecării zborului, datele API referitoare la pasagerii vizați, pe care le-au colectat în temeiul articolului 4. Aceștia șterg imediat și definitiv datele API respective după expirarea acestei perioade. 

(2)Autoritățile de frontieră competente stochează, pentru o perioadă de 48 de ore de la momentul plecării zborului, datele API referitoare la pasagerii vizați, pe care le-au primit prin router în temeiul articolului 11. Acestea șterg imediat și definitiv datele API respective după expirarea acestei perioade.

(3)În cazul în care un transportator aerian sau o autoritate de frontieră competentă constată că datele pe care le-a colectat, transferat sau primit în temeiul prezentului regulament sunt inexacte, incomplete sau neactualizate ori au fost prelucrate în mod ilegal sau că datele nu constituie date API, transportatorul respectiv sau autoritatea respectivă fie corectează, completează sau actualizează imediat aceste date API, fie le șterge definitiv. Această dispoziție nu aduce atingere posibilității ca transportatorii aerieni să păstreze și să utilizeze datele atunci când acest lucru este necesar pentru desfășurarea activităților lor obișnuite, în conformitate cu legislația aplicabilă.

CAPITOLUL 3

DISPOZIȚII PRIVIND ROUTERUL

Articolul 9

Routerul

(1)Agenția eu-LISA concepe, dezvoltă, găzduiește și gestionează din punct de vedere tehnic, în conformitate cu articolele 22 și 23, un router cu scopul de a facilita transferul datelor API de către transportatorii aerieni către autoritățile de frontieră competente și către UIP în conformitate cu prezentul regulament și, respectiv, cu Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii].

(2)Routerul este alcătuit din următoarele elemente:

(a)o infrastructură centrală, inclusiv un set de componente tehnice care permit transmiterea datelor API;

(b)un canal securizat de comunicații între infrastructura centrală și autoritățile de frontieră competente și UIP, precum și un canal securizat de comunicații între infrastructura centrală și transportatorii aerieni, pentru transferul de date API și pentru orice fel de comunicații legate de acestea.

(3)Fără a aduce atingere articolului 10 din prezentul regulament, routerul partajează și reutilizează, în măsura în care este posibil din punct de vedere tehnic, componentele tehnice, inclusiv componentele hardware și software, ale serviciului web menționat la articolul 13 din Regulamentul (UE) 2017/2226 al Parlamentului European și al Consiliului 48 , ale portalului pentru operatorii de transport menționat la articolul 6 alineatul (2) litera (k) din Regulamentul (UE) 2018/1240 și ale portalului pentru operatorii de transport menționat la articolul 2a litera (h) din Regulamentul (CE) nr. 767/2008 al Parlamentului European și al Consiliului 49 .

Articolul 10

Utilizarea exclusivă a routerului

Routerul este utilizat numai de către transportatorii aerieni pentru a transfera date API și de către autoritățile de frontieră competente și UIP pentru a primi date API, în conformitate cu prezentul regulament și, respectiv, cu Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii]. 

Articolul 11

Transmiterea datelor API de la router către autoritățile de frontieră competente

(1)Routerul transmite imediat și în mod automat datele API, care i-au fost transferate în temeiul articolului 6, autorităților de frontieră competente ale statului membru menționat la articolul 4 alineatul (3) litera (c). El transmite datele în conformitate cu normele detaliate menționate la alineatul (4) din prezentul articol, în cazul în care aceste norme au fost adoptate și sunt aplicabile.

În scopul unei astfel de transmiteri, eu-LISA stabilește și actualizează un tabel de corespondență între diferitele aeroporturi de origine și de destinație și țările în care sunt situate respectivele aeroporturi.

(2)Statul membru desemnează autoritățile de frontieră competente autorizate să primească datele API care le-au fost transferate prin intermediul routerului în conformitate cu prezentul regulament. Până la data aplicării prezentului regulament, menționată la articolul 39 al doilea paragraf, statele membre notifică agenției eu­LISA și Comisiei numele și datele de contact ale autorităților de frontieră competente și, dacă este necesar, actualizează informațiile notificate.

Pe baza acestor notificări și actualizări, Comisia compilează și pune la dispoziția publicului o listă a autorităților de frontieră competente notificate, inclusiv datele de contact ale acestora.

(3)Statele membre se asigură că numai personalul autorizat în mod corespunzător al autorităților de frontieră competente are acces la datele API care le-au fost transmise prin intermediul routerului. Statele membre stabilesc normele necesare în acest sens. Aceste norme includ norme privind crearea și actualizarea periodică a unei liste a membrilor personalului respectiv și a profilurilor acestora.

(4)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 37 pentru a completa prezentul regulament prin stabilirea normelor tehnice și procedurale detaliate necesare pentru transmiterea datelor API de la routerul menționat la alineatul (1).

Articolul 12

Ștergerea datelor API de pe router

Datele API, transferate către router în temeiul prezentului regulament și al Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii], se stochează pe router numai în măsura în care acest lucru este necesar pentru a finaliza transmiterea către autoritățile frontaliere competente sau către UIP relevante, după caz, în conformitate cu regulamentele menționate, și sunt șterse de pe router, imediat, permanent și automat, în cele două situații de mai jos:

(a)în cazul în care a fost finalizată transmiterea datelor API către autoritățile de frontieră competente sau către UIP relevante, după caz;

(b)în ceea ce privește Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii], în cazul în care datele API se referă la alte zboruri intra-UE decât cele incluse în listele menționate la articolul 5 alineatul (2) din regulamentul menționat.

Articolul 13

Păstrarea înregistrărilor

(1)Agenția eu-LISA păstrează înregistrări ale tuturor operațiunilor de prelucrare legate de transferul de date API prin intermediul routerului în temeiul prezentului regulament și al Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii]. În aceste înregistrări sunt incluse următoarele elemente:

(a)transportatorul aerian care a transferat datele API către router;

(b)autoritățile de frontieră competente și UIP cărora le-au fost transmise datele API prin intermediul routerului;

(c)data și ora transferurilor menționate la literele (a) și (b), precum și locul transferului;

(d)orice acces al personalului eu-LISA necesar pentru întreținerea routerului, astfel cum se prevede la articolul 23 alineatul (3);

(e)alte informații referitoare la aceste operațiuni de prelucrare necesare pentru a monitoriza securitatea și integritatea datelor API, precum și legalitatea acestor operațiuni de prelucrare.

Aceste înregistrări nu includ alte date cu caracter personal în afara informațiilor necesare pentru identificarea membrului relevant al personalului eu-LISA menționat la primul paragraf litera (d).

(2)Transportatorii aerieni creează înregistrări ale tuturor operațiunilor de prelucrare efectuate în temeiul prezentului regulament prin utilizarea mijloacelor automatizate menționate la articolul 5 alineatul (2). Aceste înregistrări se referă la data, ora și locul transferului datelor API.

(3)Înregistrările menționate la alineatele (1) și (2) se utilizează numai pentru a asigura securitatea și integritatea datelor API și legalitatea prelucrării, în special în ceea ce privește respectarea cerințelor prevăzute în prezentul regulament și în Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii], inclusiv procedurile de sancționare a încălcării cerințelor respective, în conformitate cu articolele 29 și 30 din prezentul regulament.

(4)Agenția eu-LISA și transportatorii aerieni iau măsurile corespunzătoare pentru a proteja înregistrările pe care le-au creat în temeiul alineatului (1) și, respectiv, al alineatului (2) împotriva accesului neautorizat și a altor riscuri pentru securitate.

(5)Agenția eu-LISA și transportatorii aerieni păstrează înregistrările pe care le-au creat în temeiul alineatului (1) și, respectiv, al alineatului (2) pentru o perioadă de un an de la momentul creării înregistrărilor respective. Aceștia șterg imediat și definitiv înregistrările respective după expirarea acestei perioade.

Cu toate acestea, în cazul în care înregistrările respective sunt necesare pentru proceduri de monitorizare sau de asigurare a securității și integrității datelor API sau a legalității operațiunilor de prelucrare, astfel cum se menționează la alineatul (2), iar aceste proceduri au început deja la momentul expirării perioadei menționate la primul paragraf, eu-LISA și transportatorii aerieni pot păstra înregistrările respective atât timp cât este necesar pentru procedurile respective. În acest caz, transportatorii aerieni șterg imediat înregistrările respective atunci când nu mai sunt necesare pentru procedurile menționate.

Articolul 14

Acțiuni în cazul imposibilității tehnice de a utiliza routerul

(1)În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite date API din cauza unei defecțiuni a routerului, eu-LISA notifică imediat și în mod automat operatorii de transport aerian și autoritățile de frontieră competente în legătură cu această imposibilitate tehnică. În acest caz, eu-LISA ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul și notifică imediat părțile implicate odată remediată această imposibilitate.

În perioada dintre aceste notificări, articolul 6 alineatul (1) nu se aplică, în măsura în care imposibilitatea tehnică împiedică transferul datelor API către router. Dacă este cazul, articolul 4 alineatul (1) și articolul 8 alineatul (1) nu se aplică nici datelor API în cauză în perioada respectivă.

(2)În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite datele API din cauza unei defecțiuni a sistemelor sau a infrastructurilor unui stat membru, menționate la articolul 20, autoritățile de frontieră competente din statul membru respectiv notifică imediat, în mod automat, transportatorii aerieni, autoritățile competente din celelalte state membre, agenția eu­LISA și Comisia în legătură cu această imposibilitate tehnică. În acest caz, statele membre iau imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul și notifică imediat părțile implicate după remedierea acesteia.

În perioada dintre aceste notificări, articolul 6 alineatul (1) nu se aplică, în măsura în care imposibilitatea tehnică împiedică transferul datelor API către router. Dacă este cazul, articolul 4 alineatul (1) și articolul 8 alineatul (1) nu se aplică nici datelor API în cauză în perioada respectivă.

(3)În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite datele API din cauza unei defecțiuni a sistemelor sau a infrastructurilor unui transportator aerian, menționate la articolul 21, respectivul transportator aerian notifică imediat, în mod automat, autoritățile de frontieră competente, agenția eu-LISA și Comisia în legătură cu această imposibilitate tehnică. În acest caz, respectivul transportator aerian ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul și notifică imediat părțile implicate după remedierea acesteia.

În perioada dintre aceste notificări, articolul 6 alineatul (1) nu se aplică, în măsura în care imposibilitatea tehnică împiedică transferul datelor API către router. Dacă este cazul, articolul 4 alineatul (1) și articolul 8 alineatul (1) nu se aplică nici datelor API în cauză în perioada respectivă.

Atunci când imposibilitatea tehnică a fost remediată cu succes, transportatorul aerian în cauză prezintă fără întârziere autorității naționale de supraveghere competente menționate la articolul 29a un raport care conține toate detaliile necesare privind imposibilitatea tehnică, inclusiv motivele, amploarea și consecințele imposibilității tehnice, precum și măsurile luate pentru a o remedia.

CAPITOLUL 4

DISPOZIȚII SPECIFICE PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL

Articolul 15

Operatorii de date cu caracter personal

Autoritățile de frontieră competente sunt operatori, în sensul articolului 4 punctul 7 din Regulamentul (UE) 2016/679, în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal transferate prin intermediul routerului, inclusiv în ceea ce privește transmiterea și stocarea pe router, din motive tehnice, a datelor respective, precum și în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal menționate la articolul 7 din prezentul regulament.

Transportatorii aerieni sunt operatori, în sensul articolului 4 punctul 7 din Regulamentul (UE) 2016/679, în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal, ceea ce include colectarea datelor respective și transferul acestora către router în temeiul prezentului regulament.

Articolul 16

Persoana împuternicită de operator

Agenția eu-LISA este persoana împuternicită de operator în sensul articolului 3 punctul 12 din Regulamentul (UE) 2018/1725 în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal transferate prin intermediul routerului în conformitate cu prezentul regulament și cu Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii].

Articolul 17

Securitatea

(1)Agenția eu-LISA asigură securitatea datelor API, în special a datelor API ce constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament și al Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii]. Autoritățile de frontieră competente și transportatorii aerieni asigură securitatea datelor API, în special a datelor API ce constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. Agenția eu-LISA, autoritățile de frontieră competente și transportatorii aerieni cooperează, în conformitate cu responsabilitățile care le revin și în conformitate cu dreptul Uniunii, pentru a asigura securitatea acestor date.

(2)În special, eu-LISA ia măsurile necesare pentru a asigura securitatea routerului și a datelor API, în special a datelor API ce constituie date cu caracter personal, transmise prin router, inclusiv prin stabilirea, punerea în aplicare și actualizarea periodică a unui plan de securitate, a unui plan de asigurare a continuității activității și a unui plan de recuperare în caz de dezastru, pentru:

(a)a proteja fizic routerul, inclusiv prin elaborarea unor planuri de urgență pentru protecția componentelor critice ale acestuia;

(b)a împiedica orice prelucrare neautorizată a datelor API, inclusiv orice acces neautorizat la acestea, precum și copierea, modificarea sau ștergerea acestora, atât în timpul transferului datelor API către și de la router, cât și în timpul oricărei stocări a datelor API pe router, dacă acest lucru este necesar pentru finalizarea transmiterii, în special prin intermediul unor tehnici de criptare adecvate;

(c)a asigura posibilitatea de a verifica și de a stabili autoritățile de frontieră competente sau UIP cărora le sunt transmise datele API prin intermediul routerului;

(d)a raporta în mod corespunzător consiliului său de administrație eventualele deficiențe de funcționare a routerului;

(e)a monitoriza eficacitatea măsurilor de securitate necesare în temeiul prezentului articol și al Regulamentului (UE) 2018/1725 și pentru a evalua și actualiza măsurile de securitate respective, dacă este necesar, în lumina evoluțiilor tehnologice sau operaționale.

Măsurile menționate la primul paragraf de la prezentul alineat nu aduc atingere articolului 33 din Regulamentul (UE) 2018/1725 și articolului 32 din Regulamentul (UE) 2016/679.

Articolul 18

Automonitorizarea

Transportatorii aerieni și autoritățile competente monitorizează respectarea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal, inclusiv prin verificarea frecventă a înregistrărilor menționate la articolul 13.

Articolul 19

Audituri privind protecția datelor cu caracter personal

(1)Autoritățile naționale competente pentru protecția datelor menționate la articolul 51 din Regulamentul (UE) 2016/679 se asigură că, cel puțin o dată la patru ani, autoritățile de frontieră competente în sensul prezentului regulament efectuează un audit al operațiunilor de prelucrare a datelor API ce constituie date cu caracter personal, în conformitate cu standardele internaționale de audit relevante.

(2)Autoritatea Europeană pentru Protecția Datelor se asigură că, cel puțin o dată pe an, eu-LISA efectuează un audit al operațiunilor de prelucrare a datelor API ce constituie date cu caracter personal în sensul prezentului regulament și al Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii], în conformitate cu standardele internaționale de audit relevante. Un raport al acestui audit se trimite Parlamentului European, Consiliului, Comisiei, statelor membre și agenției eu-LISA. Agenției eu-LISA i se oferă posibilitatea de a face observații înainte de adoptarea rapoartelor.

(3)În ceea ce privește operațiunile de prelucrare menționate la alineatul (2), eu-LISA furnizează, la cerere, informațiile solicitate de Autoritatea Europeană pentru Protecția Datelor, îi acordă acesteia acces la toate documentele pe care le solicită și la înregistrările menționate la articolul 13 alineatul (1) și îi permite în orice moment accesul în toate incintele eu-LISA.

CAPITOLUL 5

CONEXIUNI ȘI DISPOZIȚII SUPLIMENTARE PRIVIND ROUTERUL

Articolul 20

Conexiunile autorităților de frontieră competente la router

(1)Statele membre se asigură că autoritățile lor de frontieră competente sunt conectate la router. Statele membre se asigură că sistemele și infrastructura autorităților de frontieră competente pentru primirea datelor API transferate în temeiul prezentului regulament sunt integrate în router.

Statele membre se asigură că, în urma conectării la router și a integrării în acesta, autoritățile lor de frontieră competente pot să primească și să prelucreze ulterior datele API, precum și să facă schimb de orice fel de informații legate de acestea în mod legal, sigur, eficace și rapid.

(2)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 37 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind conexiunile la routerul menționat la alineatul (1) și integrarea în acesta.

Articolul 21

Conexiunile transportatorilor aerieni la router

(1)Transportatorii aerieni se asigură că sunt conectați la router. Aceștia se asigură că sistemele și infrastructura lor pentru transferul datelor API către router în temeiul prezentului regulament sunt integrate în router.

Transportatorii aerieni se asigură că, în urma conectării la router și a integrării în acesta, aceștia pot să transfere datele API, precum și să facă schimb de orice fel de informații legate de acestea, într-un mod legal, sigur, eficace și rapid.

(2)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 37 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind conexiunile la routerul menționat la alineatul (1) și integrarea în acesta.

Articolul 22

Sarcinile eu-LISA legate de proiectarea și dezvoltarea routerului

(1)Agenția eu-LISA este responsabilă de proiectarea arhitecturii fizice a routerului, inclusiv pentru definirea specificațiilor tehnice.

(2)Agenția eu-LISA este responsabilă de dezvoltarea routerului, inclusiv pentru orice adaptare tehnică necesară pentru funcționarea routerului.

Dezvoltarea routerului constă în elaborarea și punerea în aplicare a specificațiilor tehnice, efectuarea de teste, gestionarea generală a proiectului și coordonarea fazei de dezvoltare.

(3)Agenția eu-LISA se asigură că routerul este proiectat și dezvoltat astfel încât să ofere funcționalitățile specificate în prezentul regulament și în Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii] și că routerul este pus în funcțiune cât mai curând posibil după adoptarea de către Comisie a actelor delegate prevăzute la articolul 5 alineatul (4), la articolul 6 alineatul (3), la articolul 11 alineatul (4), la articolul 20 alineatul (2) și la articolul 21 alineatul (2).

(4)În cazul în care consideră că etapa de dezvoltare a fost încheiată, eu-LISA efectuează, fără întârzieri nejustificate, un test complet al routerului, în cooperare cu autoritățile de frontieră competente, cu UIP și cu alte autorități relevante ale statelor membre și cu transportatorii aerieni, și informează Comisia cu privire la rezultatul testului respectiv.

Articolul 23

Sarcinile eu-LISA legate de găzduirea și gestionarea tehnică a routerului

(1)Agenția eu-LISA găzduiește routerul în amplasamentele sale tehnice.

(2)Agenția eu-LISA este responsabilă de gestionarea tehnică a routerului, inclusiv de întreținerea și evoluțiile tehnice ale acestuia, astfel încât să se asigure că datele API sunt transmise în siguranță, în mod eficace și rapid prin intermediul routerului, în conformitate cu prezentul regulament și cu Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii].

Gestionarea tehnică a routerului constă în îndeplinirea tuturor sarcinilor și în punerea în aplicare a tuturor soluțiilor tehnice necesare pentru buna funcționare a routerului în conformitate cu prezentul regulament și cu Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii], fără întrerupere, 24 de ore pe zi, 7 zile pe săptămână. Gestionarea tehnică include lucrările de întreținere și dezvoltările tehnice necesare pentru a se asigura funcționarea routerului la un nivel satisfăcător de calitate tehnică, în special în ceea ce privește disponibilitatea, acuratețea și fiabilitatea transmiterii datelor API, în conformitate cu specificațiile tehnice și, pe cât posibil, în conformitate cu nevoile operaționale ale autorităților de frontieră competente, ale UIP și ale transportatorilor aerieni.

(3)Agenția eu-LISA nu are acces la niciuna dintre datele API transmise prin router. Această interdicție nu împiedică însă eu-LISA să aibă un astfel de acces în măsura în care este strict necesar pentru întreținerea routerului.

(4)Fără a aduce atingere alineatului (3) din prezentul articol și articolului 17 din Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului 50 , eu-LISA aplică norme corespunzătoare privind secretul profesional sau alte obligații echivalente privind confidențialitatea angajaților săi care trebuie să lucreze cu datele API transmise prin router. Această obligație se aplică și după ce persoanele respective au încetat să mai ocupe o anumită funcție sau după ce și-au încetat activitatea.

Articolul 24

Sarcinile de asistență ale eu-LISA legate de router

(1)La cerere, eu-LISA asigură formare autorităților de frontieră competente, UIP și altor autorități relevante ale statelor membre, precum și transportatorilor aerieni cu privire la utilizarea tehnică a routerului.

(2)Agenția eu-LISA oferă asistență autorităților de frontieră competente și UIP în ceea ce privește primirea datelor API prin intermediul routerului în temeiul prezentului regulament și, respectiv, al Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii], în special în ceea ce privește aplicarea articolelor 11 și 20 din prezentul regulament și a articolelor 5 și 10 din Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii].

Articolul 25

Costurile suportate de eu-LISA și de statele membre

(1)Costurile suportate de eu-LISA în legătură cu proiectarea, dezvoltarea, găzduirea și gestionarea tehnică a routerului în temeiul prezentului regulament și al Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii] sunt suportate din bugetul general al Uniunii.

(2)Costurile suportate de statele membre în legătură cu conexiunile lor la routerul menționat la articolul 20 și cu integrarea în acesta sunt suportate din bugetul general al Uniunii.

Cu toate acestea, următoarele costuri sunt excluse, fiind suportate de statele membre:

(a)costurile aferente biroului de gestionare a proiectelor, inclusiv reuniuni, misiuni, birouri;

(b)costurile pentru găzduirea sistemelor naționale de tehnologie a informației (IT), crearea de spații, implementare, electricitate și răcire;

(c)costurile pentru operarea sistemelor IT naționale, inclusiv operatori și contracte de asistență;

(d)costurile aferente proiectării, dezvoltării, implementării, exploatării și întreținerii rețelelor naționale de comunicații.

(3)Statele membre suportă, de asemenea, costurile care decurg din administrarea, utilizarea și întreținerea conexiunilor lor cu routerul și integrarea în router.

Articolul 26

Răspunderea în ceea ce privește routerul

În cazul în care nerespectarea de către un stat membru sau de către un transportator aerian a obligațiilor care îi revin în temeiul prezentului regulament cauzează o defecțiune a routerului, răspunderea îi aparține statului membru sau transportatorului aerian respectiv, cu excepția cazului în care eu-LISA nu a luat măsuri rezonabile pentru a preveni producerea defecțiunii sau pentru a reduce la minimum impactul acesteia.

Articolul 27

Punerea în funcțiune a routerului

Comisia stabilește, fără întârzieri nejustificate, data punerii în funcțiune a routerului, prin intermediul unui act de punere în aplicare, după ce eu-LISA a informat Comisia cu privire la finalizarea cu succes a testării complete a routerului menționată la articolul 22 alineatul (4). Actul de punere în aplicare respectiv se adoptă în conformitate cu procedura de examinare menționată la articolul 36 alineatul (2).

Comisia stabilește data menționată la primul paragraf ca fiind o dată care nu depășește intervalul de 30 de zile de la data adoptării respectivului act de punere în aplicare.

Articolul 28

Utilizarea voluntară a routerului în temeiul Directivei 2004/81/CE

(1)Transportatorii aerieni au dreptul de a utiliza routerul pentru a transmite informațiile menționate la articolul 3 alineatul (1) din Directiva 2004/82/CE uneia sau mai multor autorități responsabile menționate în directiva respectivă și în conformitate cu aceasta, cu condiția ca autoritatea responsabilă în cauză să fi fost de acord cu o astfel de utilizare începând cu o dată adecvată stabilită de autoritatea respectivă. Autoritatea respectivă își dă acordul pentru utilizare numai după ce a stabilit că, în special în ceea ce privește atât propria conexiune cu routerul, cât și cea a transportatorului aerian în cauză, informațiile pot fi transmise în mod legal, sigur, eficace și rapid.

(2)În cazul în care un transportator aerian începe să utilizeze routerul în conformitate cu alineatul (1), acesta va continua să utilizeze routerul pentru a transmite informațiile autorității responsabile în cauză până la data aplicării prezentului regulament menționată la articolul 39 al doilea paragraf. Cu toate acestea, utilizarea respectivă este întreruptă începând cu o dată adecvată stabilită de autoritatea respectivă, în cazul în care autoritatea respectivă consideră că există motive obiective care impun o astfel de întrerupere și a informat transportatorul aerian în consecință.

(3)Autoritatea responsabilă în cauză:

(a)consultă eu-LISA înainte de a consimți asupra utilizării voluntare a routerului în conformitate cu alineatul (1);

(b)cu excepția situațiilor de urgență justificate în mod corespunzător, oferă transportatorului aerian în cauză posibilitatea de a prezenta observații cu privire la intenția sa de a întrerupe o astfel de utilizare în conformitate cu alineatul (2) și, după caz, consultă, de asemenea, eu-LISA cu privire la acest aspect;

(c)informează imediat eu-LISA și Comisia cu privire la orice astfel de utilizare pentru care și-a dat consimțământul și cu privire la orice întrerupere a utilizării, furnizând toate informațiile necesare, inclusiv data de începere a utilizării, data întreruperii și motivele întreruperii, după caz.  

CAPITOLUL 6

SUPRAVEGHERE, SANCȚIUNI, STATISTICI ȘI MANUAL

Articolul 29

Autoritatea națională de supraveghere

(1)Statele membre desemnează una sau mai multe autorități naționale de supraveghere responsabile cu monitorizarea aplicării pe teritoriul lor de către transportatorii aerieni a dispozițiilor prezentului regulament și cu asigurarea respectării acestor dispoziții.

(2)Statele membre se asigură că autoritățile naționale de supraveghere dispun de toate mijloacele necesare și de toate competențele necesare de investigare și de asigurare a respectării legislației pentru a-și îndeplini sarcinile care le revin în temeiul prezentului regulament, inclusiv prin impunerea sancțiunilor menționate la articolul 30, după caz. Statele membre stabilesc norme detaliate privind îndeplinirea sarcinilor și exercitarea competențelor respective, asigurându-se că acestea sunt eficace, proporționale și disuasive și fac obiectul unor garanții în conformitate cu drepturile fundamentale garantate de dreptul Uniunii.

(3)Până la data aplicării prezentului regulament menționată la articolul 21 al doilea paragraf, statele membre notifică Comisiei numele și datele de contact ale autorităților pe care le-au desemnat în temeiul alineatului (1), precum și normele detaliate pe care acestea le-au stabilit în temeiul alineatului (2). Statele membre informează fără întârziere Comisia cu privire la orice modificare ulterioară sau la orice amendament ulterior adus acestor norme.

(4)Prezentul articol nu aduce atingere competențelor autorităților de supraveghere menționate la articolul 51 din Regulamentul (UE) 2016/679.

Articolul 30

Sancțiuni

Statele membre stabilesc regimul sancțiunilor care se aplică în cazul nerespectării dispozițiilor prezentului regulament și iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancțiunile prevăzute sunt eficace, proporționale și disuasive.

Până la data aplicării prezentului regulament menționată la articolul 39 al doilea paragraf, statele membre notifică Comisia în legătură cu normele și măsurile respective și îi comunică acesteia, fără întârziere, orice modificare ulterioară adusă acestor norme și măsuri.

Articolul 31

Statistici

(1)În fiecare trimestru, eu-LISA publică statistici privind funcționarea routerului, indicând în special numărul și cetățenia călătorilor, precum și țara de plecare a acestora și, mai ales, a călătorilor aflați la bordul aeronavelor în cazul cărora datele API sunt inexacte, incomplete sau neactualizate, care dețin documente de călătorie nerecunoscute, care nu dețin o viză valabilă sau o autorizație de călătorie valabilă ori în cazul cărora s-a raportat o depășire a perioadei permise de ședere, precum și numărul și cetățenia respectivilor călători.

(2)Agenția eu-LISA stochează statisticile zilnice în registrul central de raportare și statistici prevăzut la articolul 39 din Regulamentul (UE) 2019/817.

(3)La sfârșitul fiecărui an, eu-LISA compilează datele statistice într-un raport anual pentru anul respectiv. Agenția publică raportul anual respectiv și îl transmite Parlamentului European, Consiliului, Comisiei, Autorității Europene pentru Protecția Datelor, Agenției Europene pentru Poliția de Frontieră și Garda de Coastă și autorităților naționale de supraveghere menționate la articolul 29.

(4)La cererea Comisiei, eu-LISA furnizează statistici privind aspecte specifice legate de punerea în aplicare a prezentului regulament și a Regulamentului (UE) [colectarea datelor API în scopul asigurării respectării legii], precum și statistici în temeiul alineatului (3).

(5)Agenția eu-LISA are dreptul de a accesa următoarele date API transmise prin router, exclusiv în scopul raportării menționate la articolul 38 și pentru generarea de statistici în conformitate cu prezentul articol, însă fără ca accesul la respectivele date să permită identificarea călătorilor în cauză, și anume:

(a)dacă respectivul călător este pasager sau membru al echipajului;

(b)cetățenia, sexul și anul nașterii călătorului;

(c)data și punctul inițial de îmbarcare, precum și data și aeroportul de intrare pe teritoriul unui stat membru de sosire;

(d)tipul documentului de călătorie și codul format din trei litere al țării emitente și data expirării documentului de călătorie;

(e)numărul de călători înregistrați pentru același zbor;

(f)dacă zborul este regulat sau neregulat;

(g)dacă datele cu caracter personal ale călătorului sunt exacte, complete și actualizate.

(6)În scopul raportării menționate la articolul 38 și pentru generarea de statistici în conformitate cu prezentul articol, eu-LISA stochează datele menționate la alineatul (5) din prezentul articol în registrul central de raportare și statistici instituit prin articolul 39 din Regulamentul (UE) 2019/817. Folosind datele statistice utilizabile între sisteme și rapoartele analitice menționate la articolul 39 alineatul (1) din regulamentul respectiv, autoritățile de frontieră competente și alte autorități relevante ale statelor membre pot să obțină rapoarte și statistici adaptabile, în scopurile menționate la articolul 1 din prezentul regulament.

(7)Procedurile instituite de eu-LISA pentru a monitoriza dezvoltarea și funcționarea routerului menționat la articolul 39 alineatul (1) din Regulamentul (UE) 2019/817 includ posibilitatea de a produce statistici periodice pentru asigurarea monitorizării respective.

Articolul 32

Manual practic

Comisia, în strânsă cooperare cu autoritățile de frontieră competente, cu alte autorități relevante ale statelor membre, cu transportatorii aerieni și cu agențiile relevante ale Uniunii, elaborează și pune la dispoziția publicului un manual practic, care conține orientări, recomandări și bune practici pentru punerea în aplicare a prezentului regulament.

Manualul practic ține seama de manualele relevante deja existente.

Comisia adoptă manualul practic sub forma unei recomandări.

CAPITOLUL 7

LEGĂTURA CU ALTE INSTRUMENTE EXISTENTE

Articolul 33

Abrogarea Directivei 2004/82/CE

Directiva 2004/82/CE se abrogă de la data aplicării prezentului regulament, menționată la articolul 39 al doilea paragraf.

Articolul 34

Modificarea Regulamentului (UE) 2018/1726

Regulamentul (UE) 2018/1726 se modifică după cum urmează:

(1)se adaugă următorul articol 13b:

„Articolul 13b

Atribuții legate de router 

În legătură cu Regulamentul (UE) .../... al Parlamentului European și al Consiliului* [prezentul regulament] și Regulamentul (UE) [colectarea datelor API în scopul asigurării respectării legii], agenția îndeplinește atribuțiile legate de router care îi sunt conferite prin regulamentele respective.

___________

*    Regulamentul (UE) [numărul] al Parlamentului European și al Consiliului din xy privind [titlul adoptat oficial] (JO L ...)”

(1)la articolul 17, alineatul (3) se înlocuiește cu următorul text:

„(3) Sediul agenției se află la Tallinn, în Estonia.

Atribuțiile legate de dezvoltarea și gestionarea operațională menționate la articolul 1 alineatele (4) și (5), la articolele 3-9 și la articolele 11, [13a] și 13b sunt îndeplinite la amplasamentul tehnic de la Strasbourg, Franța.

Un amplasament de rezervă capabil să asigure funcționarea unui sistem informatic la scară largă în caz de defecțiune a unui astfel de sistem este situat în Sankt Johann im Pongau, Austria.”

(2)la articolul 19, alineatul (1) se modifică după cum urmează:

(a)se introduce următoarea literă (eeb):

„(eeb) adoptă rapoarte privind stadiul dezvoltării routerului, în temeiul articolului 38 alineatul (2) din Regulamentul (UE) …/… al Parlamentului European și al Consiliului* [prezentul regulament];”

___________

*    Regulamentul (UE) [numărul] al Parlamentului European și al Consiliului din xy privind [titlul adoptat oficial] (JO L ...)”

(b)litera (ff) se înlocuiește cu următorul text:

„(ff) adoptă rapoartele privind funcționarea tehnică a:

(1)SIS în temeiul articolului 60 alineatul (7) din Regulamentul (UE) 2018/1861 al Parlamentului European și al Consiliului* și al articolului 74 alineatul (8) din Regulamentul (UE) 2018/1862 al Parlamentului European și al Consiliului**;

(2)VIS în temeiul articolului 50 alineatul (3) din Regulamentul (CE) nr. 767/2008 și al articolului 17 alineatul (3) din Decizia 2008/633/JAI;

(3)EES în temeiul articolului 72 alineatul (4) din Regulamentul (UE) 2017/2226;

(4)ETIAS, în temeiul articolului 92 alineatul (4) din Regulamentul (UE) 2018/1240;

(5)ECRIS-TCN și aplicația de referință a ECRIS, în temeiul articolului 36 alineatul (8) din Regulamentul (UE) 2019/816;

(6)componentelor de interoperabilitate, în temeiul articolului 78 alineatul (3) din Regulamentul (UE) 2019/817 și al articolului 74 alineatul (3) din Regulamentul (UE) 2019/818, și a routerului, în temeiul articolului 79 alineatul (5) din Regulamentul (UE).../... al Parlamentului European și al Consiliului* [Regulamentul Prüm II] și al articolului 38 alineatul (5) din Regulamentul (UE).../... al Parlamentului European și al Consiliului * [prezentul regulament];

(3)sistemului e-CODEX, în temeiul articolului 16 alineatul (1) din Regulamentul (UE) 2022/850.”

___________

*Regulamentul (UE) 2018/1861 al Parlamentului European și al Consiliului din 28 noiembrie 2018 privind instituirea, funcționarea și utilizarea Sistemului de informații Schengen (SIS) în domeniul verificărilor la frontiere, de modificare a Convenției de punere în aplicare a Acordului Schengen și de modificare și abrogare a Regulamentului (CE) nr. 1987/2006 (JO L 312, 7.12.2018, p. 14).

**Regulamentul (UE) 2018/1862 al Parlamentului European și al Consiliului din 28 noiembrie 2018 privind instituirea, funcționarea și utilizarea Sistemului de informații Schengen (SIS) în domeniul cooperării polițienești și al cooperării judiciare în materie penală, de modificare și abrogare a Deciziei 2007/533/JAI a Consiliului și de abrogare a Regulamentului (CE) nr. 1986/2006 al Parlamentului European și al Consiliului și a Deciziei 2010/261/UE a Comisiei, ( JO L 312, 7.12.2018, p. 56 ).

(c) litera (hh) se înlocuiește cu următorul text:

(hh) adoptă observații formale referitoare la rapoartele Autorității Europene pentru Protecția Datelor privind auditurile în temeiul articolului 56 alineatul (2) din Regulamentul (UE) 2018/1861, al articolului 42 alineatul (2) din Regulamentul (CE) nr. 767/2008, al articolului 31 alineatul (2) din Regulamentul (UE) nr. 603/2013, al articolului 56 alineatul (2) din Regulamentul (UE) 2017/2226, al articolului 67 din Regulamentul (UE) 2018/1240, al articolului 29 alineatul (2) din Regulamentul (UE) 2019/816, al articolului 52 din Regulamentele (UE) 2019/817 și (UE) 2019/818, al articolului 60 alineatul (1) din Regulamentul (UE) …/… al Parlamentului European și al Consiliului* [Prüm II] și al articolului 19 alineatul (3) din Regulamentul (UE) …/… al Parlamentului European și al Consiliului* [prezentul regulament] și asigură luarea de măsuri corespunzătoare prin care să se dea curs recomandărilor formulate în cadrul auditurilor respective;

___________

(4)* Regulamentul (UE) [numărul] al Parlamentului European și al Consiliului din xy privind [titlul adoptat oficial] (JO L ...)”

Articolul 35

Modificarea Regulamentului (UE) 2019/817

___________

(1)La articolul 39, alineatele (1) și (2) se înlocuiesc cu următorul text:

„(1) Se instituie un registru central de raportare și statistici (CRRS) în scopul de a susține realizarea obiectivelor EES, VIS, ETIAS și SIS, în conformitate cu instrumentele juridice respective care reglementează sistemele menționate, și de a furniza date statistice utilizabile între sisteme și rapoarte analitice în scop operațional, de elaborare a politicilor și de asigurare a calității datelor. CRRS sprijină, de asemenea, realizarea obiectivelor prevăzute în Regulamentului (UE).../... al Parlamentului European și al Consiliului* [prezentul regulament].”

*    Regulamentul (UE) [numărul] al Parlamentului European și al Consiliului din xy privind [titlul adoptat oficial] (JO L ...)”

(2) Agenția eu-LISA creează, implementează și găzduiește în amplasamentele sale tehnice CRRS care conține datele și statisticile menționate la articolul 63 din Regulamentul (UE) 2017/2226, articolul 17 din Regulamentul (CE) nr. 767/2008, articolul 84 din Regulamentul (UE) 2018/1240, articolul 60 din Regulamentul (UE) 2018/1861 și articolul 16 din Regulamentul (UE) 2018/1860, separate în mod logic pe sisteme de informații ale UE. De asemenea, eu-LISA colectează datele și statisticile de la routerul menționat la articolul 31 alineatul (1) din Regulamentul (UE).../... * [prezentul regulament]. Accesul la CRRS se acordă printr-un acces controlat și securizat și cu profiluri de utilizator specifice, exclusiv în scopul întocmirii de rapoarte și statistici, autorităților menționate la articolul 63 din Regulamentul (UE) 2017/2226, la articolul 17 din Regulamentul (CE) nr. 767/2008, la articolul 84 din Regulamentul (UE) 2018/1240, la articolul 60 din Regulamentul (UE) 2018/1861 și la articolul 38 alineatul (2) din Regulamentul (UE) …/… [prezentul regulament].”

CAPITOLUL 8

DISPOZIȚII FINALE

Articolul 36

Procedura comitetului

(1)Comisia este asistată de un comitet. Comitetul respectiv este un comitet în înțelesul Regulamentului (UE) nr. 182/2011.

(2)În cazul în care se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011. În cazul în care comitetul nu emite un aviz, Comisia nu adoptă proiectul de act de punere în aplicare și se aplică articolul 5 alineatul (4) al treilea paragraf din Regulamentul (UE) nr. 182/2011.

Articolul 37

Exercitarea delegării de competențe

(1)Competența de a adopta acte delegate se conferă Comisiei în condițiile prevăzute la prezentul articol.

(2)Competența de a adopta acte delegate menționată la articolul 5 alineatul (4), articolul 6 alineatul (3), articolul 11 alineatul (4), articolul 20 alineatul (2) și articolul 21 alineatul (2) se conferă Comisiei pe o perioadă de cinci ani începând de la [data adoptării regulamentului]. Comisia elaborează un raport privind delegarea de competențe cu cel puțin nouă luni înainte de încheierea perioadei de cinci ani. Delegarea de competențe se prelungește tacit cu perioade de timp identice, cu excepția cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puțin trei luni înainte de încheierea fiecărei perioade.

(3)Delegarea de competențe menționată la articolul 5 alineatul (4), articolul 6 alineatul (3), articolul 11 alineatul (4), articolul 20 alineatul (2) și articolul 21 alineatul (2) poate fi revocată în orice moment de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(4)Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

(5)De îndată ce adoptă un act delegat, Comisia notifică simultan Parlamentul European și Consiliul.

Articolul 38

Monitorizare și evaluare

(1)Agenția eu-LISA se asigură că există proceduri pentru a monitoriza dezvoltarea routerului din perspectiva obiectivelor legate de planificare și costuri și pentru a monitoriza funcționarea routerului din perspectiva obiectivelor legate de rezultatele tehnice, de eficacitatea din punctul de vedere al costurilor, de securitate și de calitatea serviciilor.

(2)Până la [un an de la data intrării în vigoare a prezentului regulament] și, ulterior, în fiecare an în cursul etapei de dezvoltare a routerului, eu-LISA întocmește un raport cu privire la stadiul dezvoltării routerului pe care îl prezintă Parlamentului European și Consiliului. Respectivul raport conține informații detaliate despre costurile implicate și despre riscurile care pot avea un impact asupra costurilor totale care urmează să fie suportate din bugetul general al Uniunii, în conformitate cu articolul 25.

(3)După punerea în funcțiune a routerului, eu-LISA întocmește un raport pe care îl prezintă Parlamentului European și Consiliului, în care se explică în detaliu modul în care au fost îndeplinite obiectivele, în special cele referitoare la planificare și costuri, și în care se justifică eventualele abateri.

(4)La [patru ani de la data intrării în vigoare a prezentului regulament] și, ulterior, o dată la patru ani, Comisia întocmește un raport care conține o evaluare globală a prezentului regulament, inclusiv o evaluare a:

(a)aplicării prezentului regulament;

(b)măsurii în care prezentul regulament și-a atins obiectivele;

(c)impactului prezentului regulament asupra drepturilor fundamentale relevante protejate în temeiul dreptului Uniunii;

(5)Comisia prezintă raportul de evaluare Parlamentului European, Consiliului, Autorității Europene pentru Protecția Datelor și Agenției pentru Drepturi Fundamentale a Uniunii Europene. Dacă este cazul, ținând seama de evaluarea efectuată, Comisia face o propunere legislativă Parlamentului European și Consiliului în vederea modificării prezentului regulament.

(6)Statele membre și transportatorii aerieni furnizează agenției eu-LISA și Comisiei, la cerere, informațiile necesare pentru elaborarea rapoartelor menționate la alineatele (2), (3) și (4), inclusiv informațiile care nu constituie date cu caracter personal legate de rezultatele verificărilor prealabile la frontierele externe, pe baza datelor API din sistemele de informații ale Uniunii și bazele de date naționale. Cu toate acestea, statele membre dispun de posibilitatea de a nu furniza astfel de informații dacă și în măsura în care acest lucru este necesar pentru a nu divulga metodele de lucru confidențiale sau pentru a nu periclita investigațiile în curs ale autorităților de frontieră competente. Comisia se asigură că orice informație confidențială furnizată este protejată în mod corespunzător.

Articolul 39

Intrare în vigoare și aplicare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament se aplică după doi ani de la data punerii în funcțiune a routerului, specificată de Comisie în conformitate cu articolul 27.

Cu toate acestea:

(a)Articolul 5 alineatele (4) și (5), articolul 6 alineatul (3), articolul 11 alineatul (4), articolul 20 alineatul (2), articolul 21 alineatul (2), articolul 22, articolul 25 alineatul (1), articolele 27, 36 și 37 se aplică începând cu [data intrării în vigoare a prezentului regulament];

(b)Articolul 10, articolul 13 alineatele (1), (3) și (4), articolele 15, 16, 17, 23, 24, 26 și 28 se aplică începând cu data punerii în funcțiune a routerului, specificată de Comisie în conformitate cu articolul 27.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în statele membre în conformitate cu tratatele.

Adoptat la Strasbourg,

FIȘĂ FINANCIARĂ LEGISLATIVĂ

1.CADRUL PROPUNERII/INIȚIATIVEI

1.1.Titlul propunerii/inițiativei

1.2.Domeniul (domeniile) de politică vizat(e)

1.3.Obiectul propunerii/inițiativei:

1.4.Obiectiv(e)

1.4.1.Obiectiv(e) general(e)

1.4.2.Obiectiv(e) specific(e)

1.4.3.Rezultatul (rezultatele) și impactul preconizate

1.4.4.Indicatori de performanță

1.5.Motivele propunerii/inițiativei

1.5.1.Cerința (cerințele) care trebuie îndeplinită (îndeplinite) pe termen scurt sau lung, inclusiv un calendar detaliat pentru punerea în aplicare a inițiativei

1.5.2.Valoarea adăugată a intervenției Uniunii (aceasta poate rezulta din diferiți factori, de exemplu mai buna coordonare, securitatea juridică, o mai mare eficacitate sau complementaritate). În sensul prezentului punct, „valoarea adăugată a intervenției Uniunii” este valoarea ce rezultă din intervenția Uniunii care depășește valoarea ce ar fi fost obținută dacă ar fi acționat doar statele membre.

1.5.3.Învățăminte desprinse din experiențele anterioare similare

1.5.4.Compatibilitatea cu cadrul financiar multianual și posibilele sinergii cu alte instrumente corespunzătoare

1.5.5.Evaluarea diferitelor opțiuni de finanțare disponibile, inclusiv a posibilităților de realocare a creditelor

1.6.Durata și impactul financiar ale propunerii/inițiativei

1.7.Modul (modurile) de gestiune preconizat(e)

(2)MĂSURI DE GESTIUNE

2.1.Dispoziții în materie de monitorizare și de raportare

2.2.Sistemul (sistemele) de gestiune și de control

2.2.1.Justificarea modului (modurilor) de gestiune, a mecanismului (mecanismelor) de punere în aplicare a finanțării, a modalităților de plată și a strategiei de control propuse

2.2.2.Informații privind riscurile identificate și sistemul (sistemele) de control intern instituit(e) pentru atenuarea lor

2.2.3.Estimarea și justificarea raportului cost-eficacitate al controalelor (raportul dintre costurile controalelor și valoarea fondurilor aferente gestionate) și evaluarea nivelurilor preconizate ale riscurilor de eroare (la plată și la închidere)

2.3.Măsuri de prevenire a fraudelor și a neregulilor

3.IMPACTUL FINANCIAR ESTIMAT AL PROPUNERII/INIȚIATIVEI

3.1.Rubrica (rubricile) din cadrul financiar multianual și linia (liniile) bugetară (bugetare) de cheltuieli afectată (afectate)

3.2.Impactul financiar estimat al propunerii asupra creditelor

3.2.1.Sinteza impactului estimat asupra creditelor operaționale

3.2.2.Realizările preconizate finanțate din credite operaționale

3.2.3.Sinteza impactului estimat asupra creditelor administrative

3.2.4.Compatibilitatea cu cadrul financiar multianual actual

3.2.5.Contribuțiile terților

3.3.Impactul estimat asupra veniturilor

1.CADRUL PROPUNERILOR

1.1.Titlul propunerilor

1.2.Domeniul (domeniile) de politică vizat(e) 

1.3.Obiectul propunerii/inițiativei: 

◻ o acțiune nouă 

◻ o acțiune nouă întreprinsă ca urmare a unui proiect-pilot/a unei acțiuni pregătitoare 51  

⌧ prelungirea unei acțiuni existente 

◻ o fuziune sau o redirecționare a uneia sau mai multor acțiuni către o altă/o nouă acțiune 

1.4.Obiectiv(e)

1.4.1.Obiectiv(e) general(e)

1.4.2.Obiectiv(e) specific(e)

1.4.3.Rezultatul (rezultatele) și impactul preconizate

A se preciza efectele pe care ar trebui să le aibă propunerea/inițiativa asupra beneficiarilor vizați/grupurilor vizate.

1.4.4.Indicatori de performanță

A se preciza indicatorii care permit monitorizarea progreselor și a realizărilor obținute.

–data punerii în funcțiune (conform previziunilor și raportării periodice de către Consiliul de administrație al eu-LISA) (țintă: T0 + 5 ani).

–ponderea companiilor aeriene conectate la routerul central, care operează pe rute în afara spațiului Schengen (țintă: 100 %);

–numărul de autorități naționale de gestionare a frontierelor care primesc informații de la routerul central;

–numărul de conexiuni directe între companiile aeriene și autoritățile naționale de gestionare a frontierelor pentru API (țintă: 0);

–Raportul: dintre numărul de seturi de date API transmise direct autorităților naționale de gestionare a frontierelor și numărul de seturi de date API transmise routerului (țintă: 0 %);

–ponderea zborurilor în cazul cărora au fost primite seturi de date API de către autoritățile naționale de gestionare a frontierelor (țintă: 100 %);

–ponderea zborurilor pentru care seturile de date API au fost primite de autoritățile naționale de gestionare a frontierelor într-un interval de timp mai mic de 30 de minute de la decolare (100 %);

–numărul și cuantumul amenzilor aplicate companiilor aeriene pentru îmbarcarea unui călător pe baza unui document de călătorie ale cărui date care pot fi citite automat nu sunt autentice (țintă: 0);

–numărul și cuantumul amenzilor aplicate companiilor aeriene pentru seturi de date inexacte sau incomplete (țintă: 0);

–numărul și cuantumul amenzilor aplicate companiilor aeriene pentru lipsa unor seturi de date (țintă: 0);

–ponderea seturilor de date API cu set complet de date de identitate (100 %);

–ponderea seturilor de date API corecte din punct de vedere sintetic (100 %);

–numărul de călători verificați în prealabil pentru zborurile de sosire acoperite: (același număr ca cel al călătorilor care sosesc);

–ponderea rezultatelor pozitive detectate la frontieră care au fost deja detectate în timpul verificărilor prealabile pentru zborurile de sosire acoperite: țintă: 100 %.

–ponderea companiilor aeriene conectate la interfața pentru operatorii de transport/routerul central care operează pe rute intra-UE (țintă: 100 %);

–numărul de UIP conectate la routerul central (țintă: 26);

–numărul de conexiuni directe între companiile aeriene și UIP pentru datele API (țintă: 0);

–Raportul: dintre numărul de seturi de date API transmise direct către UIP și numărul de seturi de date API transmise către router (țintă: 0 %);

–ponderea datelor din PNR primite împreună cu datele API corespunzătoare (țintă: 100 %);

–numărul de concordanțe automate și de rezultate pozitive (numai cu date din PNR, numai cu date API, atât cu date din PNR, cât și cu date API).

1.5.Motivele propunerii/inițiativei 

1.5.1.Cerința (cerințele) care trebuie îndeplinită (îndeplinite) pe termen scurt sau lung, inclusiv un calendar detaliat pentru punerea în aplicare a inițiativei

–pentru transportatorii aerieni: conectarea și transmiterea datelor API către interfața pentru operatorii de transport, colectarea sistematică de date prin mijloace automatizate;

–pentru statele membre: colectarea datelor API prin router.

1.5.2.Valoarea adăugată a intervenției Uniunii (aceasta poate rezulta din diferiți factori, de exemplu mai buna coordonare, securitatea juridică, o mai mare eficacitate sau complementaritate). În sensul prezentului punct, „valoarea adăugată a intervenției Uniunii” este valoarea ce rezultă din intervenția Uniunii care depășește valoarea ce ar fi fost obținută dacă ar fi acționat doar statele membre.

1.5.3.Învățăminte desprinse din experiențele anterioare similare

1.5.4.Compatibilitatea cu cadrul financiar multianual și posibilele sinergii cu alte instrumente corespunzătoare

1.5.5.Evaluarea diferitelor opțiuni de finanțare disponibile, inclusiv a posibilităților de realocare a creditelor

1.6.Durata și impactul financiar ale propunerii/inițiativei

◻ durată limitată

–◻    de la [ZZ/LL]AAAA până la [ZZ/LL]AAAA

–◻    Impactul financiar din AAAA până în AAAA pentru creditele de angajament și din AAAA până în AAAA pentru creditele de plată;

⌧ durată nelimitată

–Punere în aplicare cu o perioadă de creștere în intensitate din 2024 până în 2028,

–urmată de o perioadă de funcționare în regim de croazieră începând din 2029.

1.7.Modul (modurile) de gestiune preconizat(e) 54  

◻ Gestiune directă asigurată de Comisie

–◻ prin intermediul departamentelor sale, inclusiv al personalului din cadrul delegațiilor Uniunii;

–◻    prin intermediul agențiilor executive

⌧ Gestiune partajată cu statele membre

⌧ Gestiune indirectă, cu delegarea sarcinilor de execuție bugetară:

–◻ țărilor terțe sau organismelor pe care le-au desemnat acestea;

–◻ organizațiilor internaționale și agențiilor acestora (a se preciza);

–◻ BEI și Fondului European de Investiții;

–⌧ organismelor menționate la articolele 70 și 71 din Regulamentul financiar;

–◻ organismelor de drept public;

–◻ organismelor de drept privat cu misiune de serviciu public, cu condiția să prezinte garanții financiare adecvate;

–◻ organismelor de drept privat dintr-un stat membru care sunt responsabile cu punerea în aplicare a unui parteneriat public-privat și care prezintă garanții financiare adecvate;

–◻ persoanelor cărora li se încredințează executarea unor acțiuni specifice în cadrul PESC, în temeiul titlului V din TUE, și care sunt identificate în actul de bază relevant.

–Dacă se indică mai multe moduri de gestiune, a se furniza detalii suplimentare în secțiunea „Observații”.

Observații

2.MĂSURI DE GESTIUNE 

2.1.Dispoziții în materie de monitorizare și de raportare 

A se preciza frecvența și condițiile.

2.2.Sistemul (sistemele) de gestiune și de control 

2.2.1.Justificarea modului (modurilor) de gestiune, a mecanismului (mecanismelor) de punere în aplicare a finanțării, a modalităților de plată și a strategiei de control propuse

2.2.2.Informații privind riscurile identificate și sistemul (sistemele) de control intern instituit(e) pentru atenuarea lor

2.2.3.Estimarea și justificarea raportului cost-eficacitate al controalelor (raportul dintre costurile controalelor și valoarea fondurilor aferente gestionate) și evaluarea nivelurilor preconizate ale riscurilor de eroare (la plată și la închidere) 

2.3.Măsuri de prevenire a fraudelor și a neregulilor 

A se preciza măsurile de prevenire și de protecție existente sau preconizate, de exemplu din strategia antifraudă.

3.IMPACTUL FINANCIAR ESTIMAT AL PROPUNERII/INIȚIATIVEI 

3.1.Rubrica (rubricile) din cadrul financiar multianual și linia (liniile) bugetară (bugetare) de cheltuieli afectată (afectate) 

·Linii bugetare existente

În ordinea rubricilor din cadrul financiar multianual și a liniilor bugetare.

·Noile linii bugetare solicitate

În ordinea rubricilor din cadrul financiar multianual și a liniilor bugetare.

3.2.Impactul financiar estimat al propunerii asupra creditelor 

3.2.1.Sinteza impactului estimat asupra creditelor operaționale 

–◻    Propunerea/inițiativa nu implică utilizarea de credite operaționale

–⌧    Propunerea/inițiativa implică utilizarea de credite operaționale, conform explicațiilor de mai jos:

milioane EUR (cu trei zecimale)

Această secțiune ar trebui completată utilizând „datele bugetare cu caracter administrativ” care trebuie introduse mai întâi în anexa la fișa financiară legislativă (anexa V la normele interne), încărcată în DECIDE pentru consultarea interservicii.

milioane EUR (cu trei zecimale)

milioane EUR (cu trei zecimale)

3.2.2.Realizările preconizate finanțate din credite operaționale 

Credite de angajament în milioane EUR (cu trei zecimale)

3.2.3.Impactul estimat asupra resurselor umane ale eu-LISA 

3.2.3.1.Rezumat 

–◻    Propunerea/inițiativa nu implică utilizarea de credite cu caracter administrativ

–⌧    Propunerea/inițiativa implică utilizarea de credite cu caracter administrativ, conform explicațiilor de mai jos:

milioane EUR (cu trei zecimale)

Cerințe privind personalul (ENI):

Personalul eu-LISA ar trebui să sprijine eforturile depuse de DG HOME pentru elaborarea legislației secundare la începutul anului 2024; prin urmare, personalul va deveni operațional cât mai curând posibil. Procedurile de recrutare încep în ianuarie 2024. Se aplică un factor de 50 % pentru 2 ENI recrutați în 2024 și 21 ENI în 2025. Restul personalului provine din redistribuirea din cadrul altor proiecte.

3.2.4.Sinteza impactului estimat asupra creditelor administrative (pentru DG HOME)

–◻    Propunerea/inițiativa nu implică utilizarea de credite cu caracter administrativ

–⌧    Propunerea/inițiativa implică utilizarea de credite cu caracter administrativ, conform explicațiilor de mai jos:

milioane EUR (cu trei zecimale)

Necesarul de credite pentru resursele umane și pentru alte cheltuieli cu caracter administrativ va fi acoperit de creditele direcției generale (DG) respective care sunt deja alocate pentru gestionarea acțiunii și/sau au fost redistribuite intern în cadrul DG-ului respectiv, completate, după caz, cu resurse suplimentare care ar putea fi alocate DG-ului care gestionează acțiunea în cadrul procedurii anuale de alocare și ținând seama de constrângerile bugetare.

3.2.4.1.Necesarul de resurse umane estimat (pentru DG HOME)

–◻    Propunerea/inițiativa nu implică utilizarea de resurse umane.

–⌧    Propunerea/inițiativa implică utilizarea de resurse umane, conform explicațiilor de mai jos:

Estimări în echivalent normă întreagă