COMISIA EUROPEANĂ

Strasbourg, 13.12.2022

COM(2022) 731 final

2022/0425(COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

privind colectarea și transferul de informații prealabile referitoare la pasageri în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave și de modificare a Regulamentului (UE) 2019/818

{SWD(2022) 424 final}

EXPUNERE DE MOTIVE

1.CONTEXTUL PROPUNERII

•Motivele și obiectivele propunerii

În ultimul deceniu, UE și alte regiuni ale lumii s-au confruntat cu o creștere a formelor grave de criminalitate și a criminalității organizate. Potrivit „Evaluării amenințării pe care o reprezintă formele grave de criminalitate și criminalitatea organizată în Uniunea Europeană”, elaborată de Europol, cea mai mare parte a criminalității organizate implică călătorii internaționale, care vizează, de regulă, introducerea ilegală de persoane, de droguri sau de alte bunuri ilicite pe teritoriul UE. În special, infractorii utilizează frecvent principalele aeroporturi din UE, precum și aeroporturile regionale mai mici unde operează companii aeriene low-cost 1 . De asemenea, Raportul Europol privind situația și tendințele terorismului arată că amenințarea reprezentată de terorism este în continuare reală și gravă în UE 2 , subliniind că majoritatea campaniilor teroriste au un caracter transnațional, fie prin implicarea unor contacte transnaționale, fie prin deplasări în afara UE. În acest context, informațiile privind călătorii care utilizează transportul aerian reprezintă un instrument important pentru autoritățile de aplicare a legii în vederea combaterii criminalității grave și a terorismului în UE.

Datele privind călătorii care utilizează transportul aerian includ informațiile prealabile referitoare la pasageri (API) și registrele cu numele pasagerilor (PNR) care, atunci când sunt utilizate împreună, sunt deosebit de eficiente pentru a identifica călătorii care prezintă un risc ridicat și pentru a confirma tiparul de călătorie al persoanelor suspectate. Atunci când un pasager cumpără un bilet de la un transportator aerian, va fi generat un PNR de către sistemele de rezervare ale transportatorilor aerieni în scopuri profesionale. Acesta include date privind itinerariul complet, detalii privind plata, datele de contact și cerințele speciale ale pasagerului. În cazul în care se aplică o obligație în acest sens, aceste date din PNR sunt transmise unității de informații despre pasageri (UIP) din țara de destinație și, adesea, din țara de plecare.

În UE, Directiva PNR 3 a fost adoptată în 2016 pentru a se asigura că toate statele membre pun în aplicare norme privind colectarea datelor din PNR de la transportatorii aerieni în vederea prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, fără a aduce atingere normelor UE existente privind obligația transportatorilor aerieni de a colecta date API prevăzută în Directiva API 4 . În temeiul Directivei PNR, statele membre trebuie să adopte măsurile necesare pentru a se asigura că transportatorii aerieni transferă date din PNR în măsura în care aceștia au colectat deja astfel de date în cadrul activităților lor obișnuite. Directiva PNR permite prelucrarea în comun atât a datelor API, cât și a datelor din PNR, deoarece definiția datelor din PNR include „orice date API colectate” 5 . Cu toate acestea, Directiva PNR nu impune transportatorilor aerieni obligația de a colecta date în afara activităților lor obișnuite. În consecință, Directiva PNR nu are drept rezultat colectarea întregului set de date API, întrucât transportatorii aerieni nu au niciun interes comercial să colecteze astfel de date.

Datele API sunt colectate de transportatorii aerieni în timpul înregistrării pasagerilor (înregistrare online și la aeroport) numai în cazul în care se aplică o obligație în acest sens. Datele respective sunt apoi transmise autorităților de frontieră competente sub forma unui „manifest cu lista pasagerilor” complet care include toți pasagerii aflați la bordul aeronavei în momentul decolării. În timp ce datele API sunt considerate informații „verificate”, deoarece corespund cu datele privind călătorii care s-au îmbarcat efectiv la bordul aeronavei și care pot fi, de asemenea, utilizate de autoritățile de aplicare a legii pentru a identifica suspecții și persoanele căutate, datele din PNR reprezintă informații „neverificate” furnizate de pasageri. Datele din PNR cu privire la un anumit pasager nu conțin, de obicei, toate elementele potențiale din PNR, ci numai elementele furnizate de pasager și/sau necesare pentru rezervare și, prin urmare, pentru activitățile obișnuite ale transportatorilor aerieni.

De la adoptarea Directivei API în 2004, există un consens general cu privire la faptul că datele API nu reprezintă doar un instrument-cheie pentru gestionarea frontierelor, ci și un instrument important de asigurare a respectării legii, în special pentru combaterea criminalității grave și a terorismului. Prin urmare, la nivel internațional, începând din 2014, rezoluțiile Consiliului de Securitate al Organizației Națiunilor Unite au solicitat în mod repetat instituirea și implementarea la nivel mondial a sistemelor API și PNR în scopul asigurării respectării legii 6 . În plus, angajamentul statelor participante la Organizația pentru Securitate și Cooperare în Europa (OSCE) de a institui sisteme API confirmă importanța utilizării acestor date în lupta împotriva terorismului și a criminalității transnaționale.  7

După cum reiese din raportul Comisiei referitor la revizuirea Directivei PNR, prelucrarea în comun a datelor API și a celor din PNR de către autoritățile competente de aplicare a legii – ceea ce înseamnă că obligația transportatorilor aerieni de a transfera autorităților competente de aplicare a legii datele din PNR pe care le colectează în cadrul activității lor obișnuite este completată de obligația impusă transportatorilor aerieni de a colecta și transfera date API – sporește în mod substanțial eficacitatea luptei împotriva infracțiunilor grave și a terorismului în UE 8 . Utilizarea combinată a datelor API și a datelor din PNR permite autorităților naționale competente să confirme identitatea pasagerilor și îmbunătățește în mod considerabil fiabilitatea datelor din PNR. O astfel de utilizare combinată înainte de sosire permite, de asemenea, autorităților de aplicare a legii să efectueze o evaluare și o verificare mai atentă numai a persoanelor care, pe baza unor criterii și practici de evaluare obiective și în conformitate cu legislația aplicabilă, sunt cele mai susceptibile să reprezinte o amenințare la adresa securității. Acest lucru facilitează călătoria tuturor celorlalți pasageri și reduce riscul ca pasagerii să fie supuși verificării la sosire de către autoritățile competente pe baza unor elemente discreționare, cum ar fi rasa sau originea etnică, care pot fi asociate în mod eronat de către autoritățile de aplicare a legii cu riscurile pentru securitate.

Cu toate acestea, cadrul juridic actual al UE reglementează numai utilizarea datelor din PNR în scopul combaterii criminalității grave și a terorismului, dar nu reglementează în mod specific datele API, care pot fi solicitate numai pentru zborurile care provin din țări terțe, ceea ce generează o lacună în materie de securitate, în special în ceea ce privește zborurile intra-UE pentru care statele membre solicită transportatorilor aerieni să transfere date din PNR. Unitățile de informații despre pasageri obțin cele mai eficace rezultate operaționale în cazul zborurilor pentru care sunt colectate atât date API, cât și date din PNR. Acest lucru înseamnă că autoritățile competente de aplicare a legii nu pot beneficia de rezultatele prelucrării în comun a datelor API și a datelor din PNR privind zborurile din interiorul UE, pentru care sunt transferate numai date din PNR.

Pentru a remedia această lacună, în Strategia sa din iunie 2021 pentru realizarea unui spațiu Schengen pe deplin funcțional și rezilient Comisia a solicitat o utilizare sporită a datelor API în combinație cu datele din PNR pentru zborurile intra-Schengen, pentru a consolida în mod semnificativ securitatea internă, în conformitate cu dreptul fundamental la protecția datelor cu caracter personal și cu dreptul fundamental la libera circulație 9 .

Prin urmare, propunerea de regulament urmărește să stabilească norme mai bune pentru colectarea și transferul datelor API de către transportatorii aerieni în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave. Pentru a asigura respectarea drepturilor fundamentale relevante consacrate în Carta drepturilor fundamentale a UE („carta”), în special a dreptului la viață privată și dreptul la protecția datelor cu caracter personal, precum și a cerințelor care decurg din aceasta privind necesitatea și proporționalitatea, propunerea este, astfel cum se explică în continuare, limitată cu atenție în ceea ce privește domeniul de aplicare și conține limite și garanții stricte în materie de protecție a datelor cu caracter personal.

•Coerența cu dispozițiile existente în domeniul de politică vizat

2.TEMEI JURIDIC, SUBSIDIARITATE ȘI PROPORȚIONALITATE

•Temeiul juridic

Pentru prezenta propunere de regulament privind colectarea și transferul datelor API în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, având în vedere scopul său și măsurile prevăzute, temeiul juridic adecvat este articolul 82 alineatul (1) litera (d) și articolul 87 alineatul (2) litera (a) din Tratatul privind funcționarea Uniunii Europene (TFUE).

În temeiul articolului 82 alineatul (1) litera (d) din TFUE, Uniunea are competența de a adopta măsuri privind facilitarea cooperării dintre autoritățile judiciare sau echivalente ale statelor membre în materie de urmărire penală și executare a deciziilor. În temeiul articolului 87 alineatul (2) litera (a) din TFUE, Uniunea are competența de a adopta măsuri privind colectarea, stocarea, prelucrarea și analizarea și schimbul de informații relevante în scopul cooperării polițienești în UE.

În consecință, temeiul juridic utilizat pentru prezenta propunere este același cu cel utilizat pentru Directiva PNR, care este adecvat având în vedere nu numai că propunerea de regulament urmărește, în esență, același obiectiv, ci are, de asemenea, ca scop să completeze Directiva PNR.

•Subsidiaritatea

Autoritățile de aplicare a legii trebuie să dispună de instrumente eficace de combatere a terorismului și a infracțiunilor grave. Întrucât cele mai grave infracțiuni și acte de terorism implică călătorii internaționale, adesea pe calea aerului, datele din PNR s-au dovedit a fi foarte eficiente pentru a proteja securitatea internă a UE. În plus, investigațiile efectuate de autoritățile competente ale statelor membre în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave depind în mare măsură de cooperarea internațională și transfrontalieră.

Într-un spațiu fără controale la frontierele interne, colectarea, prelucrarea și schimbul de date privind pasagerii, inclusiv de date din PNR și de date API, de către statele membre reprezintă, de asemenea, măsuri de compensare eficiente. Acționând în mod coerent la nivelul UE, propunerea va contribui la creșterea securității statelor membre și, prin extrapolare, a securității UE în ansamblu.

Directiva API face parte din acquis-ul Schengen referitor la trecerea frontierelor externe. Prin urmare, aceasta nu reglementează colectarea și transferul de date API privind zborurile intra-UE. În absența datelor API care să completeze datele din PNR pentru aceste zboruri, statele membre au pus în aplicare o serie de măsuri diferite menite să compenseze lipsa datelor de identitate ale pasagerilor. Aceste măsuri includ verificări fizice prin care se verifică corespondența datelor de identitate din documentele de călătorie cu cele din cărțile de îmbarcare, ceea ce generează probleme noi și nu rezolvă problema subiacentă a lipsei de date API.

Acțiunea la nivelul UE va contribui la asigurarea aplicării dispozițiilor armonizate privind protecția drepturilor fundamentale, în special protecția datelor cu caracter personal, în statele membre. Diferitele sisteme ale statelor membre care au instituit deja mecanisme similare sau care vor face acest lucru în viitor pot avea un impact negativ asupra transportatorilor aerieni, deoarece aceștia ar putea fi nevoiți să respecte mai multe cerințe naționale divergente, de exemplu în ceea ce privește tipurile de informații care trebuie transferate și condițiile în care aceste informații trebuie furnizate statelor membre. Aceste diferențe aduc atingere cooperării eficace între statele membre în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave. Astfel de norme armonizate pot fi stabilite numai la nivelul UE.

Întrucât obiectivele prezentei propuneri nu pot fi realizate în mod satisfăcător la nivelul statelor membre și pot fi, prin urmare, mai bine realizate la nivelul Uniunii, se poate concluziona că UE este în același timp abilitată să ia măsuri și cel mai bine plasată să ia aceste măsuri față de statele membre, care ar acționa independent. Prin urmare, propunerea respectă principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană.

•Proporționalitatea

În conformitate cu principiul proporționalității, prevăzut la articolul 5 alineatul (4) din TUE, este necesar ca natura și intensitatea unei anumite măsuri să fie corelate cu problema identificată. Pentru ca statele membre să poată soluționa în mod eficace toate problemele abordate în prezenta inițiativă legislativă, sunt necesare, într-un fel sau altul, acțiuni legislative la nivelul UE.

Normele propuse privind colectarea și transferul datelor API, sub rezerva unor limitări și garanții stricte, vor consolida prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave. În consecință, normele propuse corespund unei nevoi identificate de consolidare a securității interne, răspunzând în mod eficace la problema care rezultă din absența prelucrării în comun a datelor API și a datelor din PNR, inclusiv în ceea ce privește zborurile intra-UE pentru care statele membre primesc date din PNR.

•Alegerea instrumentului

Acțiunea propusă este un regulament. Având în vedere necesitatea ca măsurile propuse să fie direct aplicabile și aplicate în mod uniform în toate statele membre, un regulament este, prin urmare, varianta optimă de instrument juridic.

3.REZULTATELE EVALUĂRILOR EX POST, ALE CONSULTĂRILOR CU PĂRȚILE INTERESATE ȘI ALE EVALUĂRILOR IMPACTULUI

•Evaluarea ex post a legislației existente

Directiva API nu împiedică prelucrarea datelor API în scopul asigurării respectării legii, astfel cum se prevede în legislația națională și sub rezerva cerințelor de protecție a datelor cu caracter personal. Cu toate acestea, punerea în aplicare a acestei posibilități în toate statele membre este problematică, astfel cum s-a constatat în urma evaluării Directivei API, generând breșe de securitate din cauza lipsei unor criterii definite la nivelul UE privind colectarea și transferul datelor API în scopul asigurării respectării legii 17 :

–Scopul asigurării respectării legii este examinat pe larg în legislațiile naționale ale unor state membre, de la infracțiuni administrative, consolidarea securității interne și a ordinii publice la combaterea terorismului și protejarea intereselor de securitate națională. Evaluarea Directivei API a indicat, de asemenea, că o utilizare eficace a datelor API în scopul asigurării respectării legii ar necesita un instrument juridic specific pentru acest scop distinct 18 .

–Varietatea scopurilor pentru colectarea datelor API sporește complexitatea asigurării conformității cu cadrul UE în materie de protecție a datelor cu caracter personal. Cerința de a șterge datele API în termen de 24 de ore este stabilită numai în cazul utilizării datelor API în scopul principal al Directivei API, și anume gestionarea frontierelor externe. Nu este clar dacă această cerință se aplică și în ceea ce privește prelucrarea efectuată în scopul asigurării respectării legii.

–Setul de date API care poate fi solicitat transportatorilor în scopul asigurării respectării legii, pe lângă practica unor state membre de a solicita date API care depășesc lista neexhaustivă inclusă în Directiva API, creează obstacole suplimentare pentru transportatorii aerieni care trebuie să respecte cerințe diferite atunci când transportă pasageri către UE.

–De asemenea, Directiva API nu oferă indicații cu privire la zborurile pentru care pot fi solicitate date API, nici cu privire la autoritatea la care ar trebui transferate datele API sau cu privire la condițiile de acces la astfel de date în scopul asigurării respectării legii.

•Consultările cu părțile interesate

Pregătirea prezentei propuneri a implicat o gamă largă de consultări cu părțile interesate vizate, inclusiv cu autoritățile statelor membre (autoritățile de frontieră competente, unitățile de informații despre pasageri), cu reprezentanți ai sectorului transporturilor și cu operatori de transport individuali. Agențiile UE, cum ar fi Agenția Europeană pentru Poliția de Frontieră și Garda de Coastă (Frontex), Agenția UE pentru Cooperare în Materie de Aplicare a Legii (Europol), Agenția UE pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA) și Agenția pentru Drepturi Fundamentale a Uniunii Europene (FRA), au furnizat, de asemenea, contribuții. Această inițiativă integrează, de asemenea, opiniile și feedbackurile primite pe parcursul consultării publice desfășurate la sfârșitul anului 2019 în cadrul evaluării Directivei API 19 .

În urma activităților de consultare desfășurate în contextul elaborării evaluării impactului care stă la baza prezentei propuneri, au fost colectate feedbackuri de la părțile interesate utilizând metode diferite. Aceste activități au inclus în special o evaluare inițială a impactului, un studiu extern de sprijin și o serie de ateliere tehnice.

O evaluare inițială a impactului a fost publicată în scopul formulării de observații în perioada 5 iunie 2020-14 august 2020, fiind primite șapte contribuții în total care au oferit feedback cu privire la extinderea domeniului de aplicare al viitoarei Directive API, la calitatea datelor, la sancțiuni, la relația dintre datele API și datele din PNR și la protecția datelor cu caracter personal 20 .

Studiul extern de sprijin a fost realizat pe baza cercetării documentare, a interviurilor și a anchetelor, în colaborare cu experți în domeniu, care au examinat diferite măsuri posibile pentru prelucrarea datelor API, cu norme clare care să faciliteze călătoriile în scopuri legitime și care să fie în concordanță cu interoperabilitatea sistemelor de informații ale UE, cu cerințele UE în materie de protecție a datelor cu caracter personal și cu alte instrumente existente ale UE, precum și cu standardele internaționale.

Serviciile Comisiei au organizat, de asemenea, o serie de ateliere tehnice cu experți din statele membre și din țările asociate spațiului Schengen. Aceste ateliere au vizat reunirea experților în vederea unui schimb de opinii cu privire la opțiunile posibile care au fost avute în vedere pentru consolidarea viitorului cadru API în scopul gestionării frontierelor, precum și pentru combaterea criminalității și a terorismului.

Evaluarea impactului care însoțește prezenta comunicare conține o descriere mai detaliată a consultării părților interesate (anexa 2).

•Evaluarea impactului

Pe baza constatărilor raportului de evaluare a impactului, opțiunea preferată pentru un instrument de colectare a datelor API în scopul asigurării respectării legii include colectarea de date API pentru toate zborurile înspre și dinspre UE, precum și pentru zboruri intra-UE selectate pentru care sunt transferate date din PNR. Acest lucru va spori în mod semnificativ soliditatea analizei necesare a datelor relevante referitoare la călătorii care utilizează transportul aerian în scopul combaterii criminalității grave și a terorismului, unitățile de informații despre pasageri beneficiind de disponibilitatea unor date API verificate și, prin urmare, de o calitate mai bună, în scopul identificării persoanelor implicate în infracțiuni grave sau în activități de terorism. Colectarea și transferul datelor API în scopul asigurării respectării legii se bazează pe capacitățile dezvoltate pentru transferul datelor API, prin intermediul routerului, în scopul gestionării frontierelor externe, fără costuri suplimentare pentru eu-LISA. Transportatorii aerieni transferă datele API numai către router, care transmite ulterior aceste date unității de informații despre pasageri din fiecare stat membru în cauză. Evaluarea impactului a concluzionat că aceasta este o soluție eficientă din punctul de vedere al costurilor pentru transportatorii aerieni, reducând o parte din costurile de transport suportate de transportatorii aerieni și limitând în același timp marja de eroare sau de abuz. Cu toate acestea, spre deosebire de situația actuală, conform prezentei propuneri de regulament, transportatorii aerieni ar trebui să colecteze și să transfere date API cu privire la toate zborurile acoperite, indiferent de nevoile din cadrul activităților lor obișnuite și incluzând, de asemenea, zborurile intra-UE. Propunerea este în concordanță cu obiectivul privind neutralitatea climatică prevăzut în Legea europeană a climei 21 și cu obiectivele pentru 2030 și 2040 ale Uniunii.

•Drepturile fundamentale

În temeiul prezentului regulament, colectarea și transferul datelor API pot fi efectuate numai în scopul prevenirii, depistării, investigării și urmăririi penale a terorismului și a infracțiunilor grave, astfel cum sunt definite în Directiva PNR. Dispozițiile prezentei propuneri prevăd criterii uniforme pentru colectarea și transferul de date API pentru zborurile extra-UE (de sosire și de plecare), pe de o parte, și pentru acele zboruri intra-UE selectate în acest sens, pe de altă parte, pe baza unei evaluări efectuate de statele membre, și care fac obiectul unei revizuiri periodice, în conformitate cu cerințele stabilite de Curtea de Justiție în cauza Ligue des droits humains. Obligația transportatorilor aerieni de a colecta și de a transfera date API către router acoperă toate zborurile intra-UE. Transmiterea de la router către UIP este o soluție tehnică pentru a limita transmiterea datelor API către unitățile de informații despre pasageri numai la zborurile selectate, fără a divulga informații confidențiale despre zborurile intra-UE selectate. Astfel de informații trebuie tratate în mod confidențial, având în vedere riscul de eludare care ar exista în cazul în care ar deveni cunoscute publicului larg sau, mai precis, persoanelor implicate în infracțiuni grave sau în activități de terorism.

4.IMPLICAȚIILE BUGETARE

Această inițiativă legislativă privind colectarea și transferul datelor API în scopul facilitării controalelor la frontierele externe și, respectiv, al prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave ar putea avea un impact asupra nevoilor bugetare și în materie de personal ale eu-LISA și ale autorităților competente din statele membre.

Se estimează că eu-LISA va avea nevoie de un buget suplimentar de aproximativ 45 de milioane EUR (33 de milioane EUR în actualul CFM) pentru instalarea routerului și de 9 milioane EUR pe an, începând cu 2029, pentru gestionarea tehnică a acestuia, precum și de aproximativ 27 de posturi suplimentare pentru a se asigura că agenția dispune de resursele necesare pentru a-și îndeplini sarcinile care îi revin în temeiul prezentei propuneri de regulament și al propunerii de regulament privind colectarea și transferul datelor API în scopul facilitării controalelor la frontierele externe.

În cazul statelor membre, se estimează că suma de 11 milioane EUR (3 milioane EUR în actualul cadru financiar multianual) destinată modernizării sistemelor și infrastructurilor naționale necesare pentru UIP ar putea fi rambursare din Fondul pentru securitate internă 25 și, începând cu 2028, în mod progresiv, până la aproximativ 2 milioane EUR pe an. Orice astfel de drept la rambursare va trebui, în cele din urmă, să fie stabilit în conformitate cu normele care reglementează fondurile respective, precum și cu normele privind costurile prevăzute în propunerea de regulament.

Având în vedere legătura strânsă dintre prezenta propunere de regulament și propunerea de regulament privind colectarea și transferul datelor API în scopul facilitării controalelor la frontierele externe, în special în ceea ce privește transferul datelor API către router, fișa financiară legislativă din anexa la prezenta propunere de regulament este identică pentru ambele propuneri.

5.ELEMENTE DIVERSE

•Planuri de punere în aplicare și modalități de monitorizare, evaluare și raportare

Comisia se va asigura că se instituie mecanismele necesare de monitorizare a funcționării măsurilor propuse și le va evalua în raport cu principalele obiective de politică. La patru ani de la începerea punerii în aplicare a prezentei propuneri de regulament privind datele API și, ulterior, o dată la patru ani, Comisia va prezenta Parlamentului European și Consiliului un raport de evaluare a punerii în aplicare a regulamentului și a valorii sale adăugate. În cadrul raportului, va fi specificat, de asemenea, orice impact direct sau indirect asupra drepturilor fundamentale. Comisia va trebui să analizeze rezultatele obținute în raport cu obiectivele stabilite, să evalueze dacă principiile de bază sunt în continuare valabile și să identifice eventualele implicații asupra opțiunilor viitoare.

Obligația impusă transportatorilor aerieni de a colecta date API pentru zborurile extra-UE și pentru acele zboruri intra-UE care u fost selectate și introducerea routerului API vor oferi o imagine mai clară atât asupra transmiterii datelor API de către transportatorii aerieni, cât și asupra utilizării datelor API de către statele membre în conformitate cu legislația națională și a Uniunii în vigoare. Acest lucru va sprijini Comisia în îndeplinirea sarcinilor sale de evaluare și de asigurare a respectării legislației, furnizându-i statistici fiabile privind volumul de date transmise și zborurile pentru care ar fi solicitate date API.

•Explicații detaliate cu privire la dispozițiile specifice ale propunerii

Capitolul 1 stabilește dispozițiile generale pentru prezentul regulament, începând cu normele privind obiectul și domeniul său de aplicare. Acesta include, de asemenea, o listă de definiții.

Capitolul 2 stabilește dispozițiile privind colectarea, transferul către router și ștergerea datelor API de către transportatorii aerieni, precum și normele privind transmiterea datelor API de la router către unitățile de informații despre pasageri.

Capitolul 3 include dispoziții specifice privind înregistrările, specificațiile referitoare la operatorii de date cu caracter personal în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal în temeiul prezentului regulament, securitatea și automonitorizarea de către transportatorii aerieni și UIP.

Capitolul 4 stabilește, de asemenea, norme privind conexiunile unităților de informații despre pasageri și transportatorilor aerieni la router și integrarea în acesta, precum și privind costurile suportate de statele membre în legătură cu acestea. Acest capitol conține, de asemenea, dispoziții care reglementează situația unei imposibilități tehnice parțiale sau totale de a utiliza routerul și privind răspunderea pentru daunele cauzate routerului.

Capitolul 5 conține dispoziții privind supravegherea, posibilele sancțiuni aplicabile transportatorilor aerieni pentru nerespectarea obligațiilor care le revin în temeiul prezentului regulament și pregătirea unui manual practic de către Comisie.

Capitolul 6 prevede modificări ale altor instrumente existente, și anume Regulamentul (UE) 2019/818.

Capitolul 7 conține dispozițiile finale ale prezentului regulament, care se referă la adoptarea de acte delegate, la monitorizarea și evaluarea prezentului regulament, precum și la intrarea sa în vigoare și la aplicarea sa.

2022/0425 (COD)

Propunere de

REGULAMENT AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI

privind colectarea și transferul de informații prealabile referitoare la pasageri în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave și de modificare a Regulamentului (UE) 2019/818

PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,

având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 82 alineatul (1) litera (d) și articolul 87 alineatul (2) litera (a),

având în vedere propunerea Comisiei Europene,

după transmiterea proiectului de act legislativ către parlamentele naționale,

având în vedere avizul Comitetului Economic și Social European 26 ,

hotărând în conformitate cu procedura legislativă ordinară,

întrucât:

(1)Dimensiunea transnațională a formelor grave de criminalitate și a criminalității organizate și amenințarea continuă a atacurilor teroriste pe teritoriul european necesită o acțiune la nivelul Uniunii în vederea adoptării unor măsuri adecvate pentru a asigura securitatea într-un spațiu de libertate, securitate și justiție fără frontiere interne. Informațiile privind călătorii care utilizează transportul aerian, cum ar fi registrele cu numele pasagerilor (PNR) și, în special, informațiile prealabile referitoare la pasageri (API), sunt esențiale pentru identificarea călătorilor care prezintă un risc ridicat, inclusiv a celor care nu sunt cunoscuți în alt mod de autoritățile de aplicare a legii, și pentru stabilirea de legături între membrii grupurilor infracționale, precum și pentru combaterea activităților de terorism.

(2)Directiva 2004/82/CE a Consiliului 27 stabilește un cadru juridic pentru colectarea și transferul datelor API de către transportatorii aerieni, cu scopul de a îmbunătăți controalele la frontieră și de a combate imigrația ilegală, însă aceasta prevede, de asemenea, că statele membre pot utiliza datele API în scopul asigurării respectării legii. Cu toate acestea, doar crearea unei astfel de posibilități generează o serie de lacune și deficiențe. În special, aceasta înseamnă că, în pofida relevanței lor pentru asigurarea respectării legii, datele API nu sunt colectate și transferate în toate cazurile de către transportatorii aerieni în aceste scopuri. Aceasta înseamnă, de asemenea, că, în cazul în care statele membre au acționat cu privire la această posibilitate, transportatorii aerieni se confruntă cu cerințe divergente în temeiul dreptului intern în ceea ce privește momentul și modul de colectare și de transfer al datelor API în acest scop. Pe lângă faptul că generează costuri și complicații inutile pentru transportatorii aerieni, divergențele respective afectează deopotrivă securitatea internă a Uniunii și cooperarea eficace dintre autoritățile competente de aplicare a legii din statele membre. În plus, având în vedere natura diferită a scopurilor de facilitare a controalelor la frontieră și de asigurare a respectării legii, este oportun să se stabilească un cadru juridic distinct pentru colectarea și transferul datelor API pentru fiecare dintre aceste scopuri.

(3)Directiva (UE) 2016/681 a Parlamentului European și a Consiliului 28 stabilește norme privind utilizarea datelor din PNR pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave. În temeiul directivei menționate, statele membre trebuie să adopte măsurile necesare pentru a se asigura că transportatorii aerieni transferă datele din PNR, inclusiv datele API colectate, către unitatea națională de informații despre pasageri (UIP) instituită în temeiul directivei menționate, în măsura în care aceștia au colectat deja astfel de date în cadrul activităților lor obișnuite. În consecință, directiva menționată nu garantează colectarea și transferul datelor API în toate cazurile, întrucât transportatorii aerieni nu au niciun interes comercial să colecteze un set complet astfel de date. Este important să se asigure faptul că UIP primesc date API împreună cu date PNR, deoarece prelucrarea în comun a acestor date este necesară pentru ca autoritățile competente de aplicare a legii din statele membre să fie în măsură să prevină, să depisteze, să investigheze și să urmărească penal în mod eficace infracțiunile de terorism și infracțiunile grave. În special, o astfel de prelucrare în comun permite identificarea exactă a pasagerilor care ar putea fi supuși unei verificări suplimentare, în conformitate cu legislația aplicabilă, de către autoritățile respective. În plus, directiva menționată nu precizează în detaliu informațiile care constituie date API. Din aceste motive, ar trebui stabilite norme complementare care să impună transportatorilor aerieni să colecteze și, ulterior, să transfere un set de date API definit în mod specific, cerințele care ar trebui să se aplice în măsura în care transportatorii aerieni au obligația, în temeiul directivei menționate, să colecteze și să transfere date din PNR cu privire la același zbor.

(4)Prin urmare, este necesar să se stabilească la nivelul Uniunii norme clare, armonizate și eficace privind colectarea și transferul datelor API în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave.

(5)Având în vedere relația strânsă dintre cele două acte, prezentul regulament ar trebui înțeles ca o completare a normelor prevăzute în Directiva (UE) 2016/681. Prin urmare, datele API trebuie colectate și transferate în conformitate cu cerințele specifice ale prezentului regulament, inclusiv în ceea ce privește situațiile și modul în care trebuie să se facă acest lucru. Cu toate acestea, normele prevăzute de directiva menționată se aplică în ceea ce privește aspectele care nu sunt reglementate în mod specific de prezentul regulament, în special normele privind prelucrarea ulterioară a datelor API primite de UIP, schimbul de informații între statele membre, condițiile de acces al Agenției Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol), transferurile către țări terțe, păstrarea și depersonalizarea, precum și protecția datelor cu caracter personal. În măsura în care se aplică normele respective, se aplică, de asemenea, normele directivei menționate în ceea ce privește sancțiunile și autoritățile naționale de supraveghere. Prezentul regulament nu ar trebui să aducă atingere normelor respective.

(6)Colectarea și transferul datelor API afectează viața privată a persoanelor și implică prelucrarea de date cu caracter personal. Pentru a respecta pe deplin drepturile fundamentale, în special dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal, în conformitate cu Carta drepturilor fundamentale a Uniunii Europene („carta”), ar trebui prevăzute limite și garanții adecvate. În special, orice prelucrare a datelor API și, în special, a datelor API ce constituie date cu caracter personal ar trebui să rămână limitată la ceea ce este necesar și proporțional pentru atingerea obiectivelor urmărite de prezentul regulament. În plus, ar trebui să se asigure că datele API colectate și transferate în temeiul prezentului regulament nu conduc la nicio formă de discriminare interzisă de cartă.

(7)Având în vedere caracterul complementar al prezentului regulament în raport cu Directiva (UE) 2016/681, obligațiile transportatorilor aerieni în temeiul prezentului regulament ar trebui să se aplice în ceea ce privește toate zborurile pentru care statele membre trebuie să solicite transportatorilor aerieni să transmită date PNR în temeiul Directivei (UE) 2016/681, și anume zborurile, inclusiv zborurile regulate și neregulate, atât între statele membre și țări terțe (zboruri extra-UE), cât și între mai multe state membre (zboruri intra-UE), în măsura în care zborurile respective au fost selectate în conformitate cu Directiva (UE) 2016/681, indiferent de locul de stabilire al transportatorilor aerieni care efectuează zborurile respective.

(8)În consecință, având în vedere că Directiva (UE) 2016/681 nu reglementează zborurile interne, și anume zborurile care decolează și aterizează pe teritoriul aceluiași stat membru fără nicio escală pe teritoriul altui stat membru sau al unei țări terțe și având în vedere dimensiunea transnațională a infracțiunilor de terorism și a infracțiunilor grave reglementate de prezentul regulament, nici astfel de zboruri nu ar trebui să intre sub incidența prezentului regulament. Prezentul regulament nu ar trebui înțeles ca afectând posibilitatea statelor membre de a prevedea, în temeiul dreptului lor intern și în conformitate cu dreptul Uniunii, obligații pentru transportatorii aerieni de a colecta și de a transfera date API cu privire la astfel de zboruri interne.

(9)Având în vedere legătura strânsă dintre actele juridice ale Uniunii și din motive de consecvență și coerență, definițiile prevăzute în prezentul regulament ar trebui să fie, pe cât posibil, aliniate, interpretate și aplicate în lumina definițiilor prevăzute în Directiva (UE) 2016/681 și în Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor] 29 .

(10)În special, informațiile care constituie împreună datele API care urmează să fie colectate și transferate ulterior în temeiul prezentului regulament ar trebui să fie cele enumerate în mod clar și exhaustiv în Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor], acoperind atât informațiile referitoare la fiecare pasager, cât și informațiile privind zborul călătorului respectiv. În temeiul prezentului regulament, astfel de informații privind zborurile ar trebui să includă informații privind punctul de trecere a frontierei de intrare pe teritoriul statului membru în cauză numai dacă este cazul, și anume exceptând cazurile în care datele API se referă la zboruri intra-UE.  

(11)Pentru a asigura o abordare coerentă cu privire la colectarea și transferul datelor API de către transportatorii aerieni, normele prevăzute în prezentul regulament ar trebui să fie aliniate la cele prevăzute în Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor], după caz. Aceasta vizează, în special, normele privind calitatea datelor, utilizarea de către transportatorii aerieni a mijloacelor automatizate pentru colectarea datelor, modul precis în care aceștia transferă datele API colectate către router și ștergerea datelor API.

(12)Pentru a asigura prelucrarea în comun a datelor API și a datelor din PNR în scopul combaterii în mod eficace a terorismului și a infracțiunilor grave în Uniune și, în același timp, pentru a reduce la minimum atingerea adusă drepturilor fundamentale ale pasagerilor protejate în temeiul cartei, UIP ar trebui să fie autoritățile competente din statele membre cărora li se încredințează sarcina de a primi și, ulterior, de a prelucra și proteja datele API colectate și transferate în temeiul prezentului regulament. Din motive de eficiență și pentru a reduce la minimum orice risc pentru securitate, routerul, astfel cum a fost proiectat, dezvoltat, găzduit și întreținut din punct de vedere tehnic de Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA), în conformitate cu Regulamentul (UE) [colectarea datelor în scopul gestionării frontierelor], ar trebui să transmită către UIP relevante datele API colectate și transferate de către transportatorii aerieni în temeiul prezentului regulament. Având în vedere nivelul necesar de protecție a datelor API ce constituie date cu caracter personal, inclusiv pentru a asigura confidențialitatea informațiilor în cauză, datele API ar trebui transmise de router către UIP relevante în mod automat.

(13)Pentru zborurile extra-UE, UIP din statul membru pe teritoriul căruia aterizează și/sau de pe teritoriul căruia decolează aeronavele respective ar trebui să primească datele API prin intermediul routerului pentru toate aceste zboruri, având în vedere că datele din PNR sunt colectate pentru toate zborurile respective în conformitate cu Directiva (UE) 2016/681. Routerul ar trebui să identifice zborul și UIP corespunzătoare utilizând informațiile conținute în codul de reper al dosarului pasagerului, un element de date comun atât pentru setul de date API, cât și pentru seturile de date PNR care permit prelucrarea în comun a datelor API și a datelor PNR de către UIP.

(14)În ceea ce privește zborurile intra-UE, în conformitate cu jurisprudența Curții de Justiție a Uniunii Europene (CJUE), pentru a evita atingerea nejustificată adusă drepturilor fundamentale relevante protejate în temeiul cartei și pentru a asigura conformitatea cu cerințele dreptului Uniunii privind libera circulație a persoanelor și eliminarea controalelor la frontierele interne, ar trebui prevăzută o abordare selectivă. Având în vedere importanța asigurării faptului că datele API pot fi prelucrate împreună cu datele din PNR, această abordare ar trebui aliniată cu cea a Directivei (UE) 2016/681. Din aceste motive, datele API privind zborurile respective ar trebui transmise de la router către UIP relevante numai în cazul în care statele membre au selectat zborurile în cauză în temeiul articolului 2 din Directiva (UE) 2016/681. Astfel cum a reamintit CJUE, selecția implică faptul că statele membre vizează obligațiile în cauză numai, printre altele, pe anumite rute, tipare de călătorie sau aeroporturi, sub rezerva revizuirii periodice a selecției respective.

(15)Pentru a permite aplicarea acestei abordări selective în temeiul prezentului regulament în ceea ce privește zborurile intra-UE, statele membre ar trebui să aibă obligația de a întocmi și de a transmite către eu-LISA listele zborurilor pe care le-au selectat, astfel încât eu-LISA să se poată asigura că numai pentru aceste zboruri datele API sunt transmise prin intermediul routerului către UIP relevante și că datele API privind alte zboruri intra-UE sunt șterse imediat și definitiv. 

(16)Pentru a nu periclita eficacitatea sistemului care se bazează pe colectarea și transferul datelor API instituit prin prezentul regulament și a datelor din PNR în cadrul sistemului instituit prin Directiva (UE) 2016/681, în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, în special prin crearea riscului de eludare, informațiile cu privire la zborurile intra-UE selectate de statele membre ar trebui tratate în mod confidențial. Din acest motiv, astfel de informații nu ar trebui să fie comunicate transportatorilor aerieni și, prin urmare, aceștia ar trebui să aibă obligația de a colecta date API pentru toate zborurile care intră sub incidența prezentului regulament, inclusiv pentru toate zborurile intra-UE, și apoi de a le transfera către router, în cazul în care trebuie realizată selecția necesară. În plus, prin colectarea de date API privind toate zborurile intra-UE, pasagerii nu sunt informați cu privire la datele API pentru zborurile intra-UE selectate și, prin urmare, cu privire la datele din PNR care sunt transmise către UIP în conformitate cu evaluarea statelor membre. Această abordare garantează, de asemenea, că orice modificare legată de această selecție poate fi pusă în aplicare rapid și eficient, fără a impune nicio sarcină economică și operațională nejustificată asupra transportatorilor aerieni.

(17)În interesul asigurării respectării dreptului fundamental la protecția datelor cu caracter personal și în conformitate cu Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor], prezentul regulament ar trebui să identifice operatorii. În interesul unei monitorizări eficace, al asigurării unei protecții adecvate a datelor cu caracter personal și al reducerii la minimum a riscurilor în materie de securitate, ar trebui să se prevadă, de asemenea, norme privind înregistrarea, securitatea prelucrării și automonitorizarea. În cazul în care se referă la prelucrarea datelor cu caracter personal, dispozițiile respective ar trebui înțelese ca o completare a actelor juridice ale Uniunii cu aplicabilitate generală privind protecția datelor cu caracter personal, în special Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului 30 , Directiva (UE) 2016/680 a Parlamentului European și a Consiliului 31 și Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului 32 . Actele respective, care se aplică, de asemenea, prelucrării datelor cu caracter personal în temeiul prezentului regulament în conformitate cu dispozițiile acestuia, nu ar trebui să fie afectate de prezentul regulament.

(18)Routerul care urmează să fie creat și operat în temeiul Regulamentului (UE) [colectarea datelor API în scopul gestionării frontierelor] ar trebui să reducă și să simplifice conexiunile tehnice necesare pentru transferul datelor API, limitându-le la o singură conexiune pentru fiecare transportator aerian și pentru fiecare UIP. Prin urmare, prezentul regulament prevede obligația unităților de informații despre pasageri și a transportatorilor aerieni de a stabili o astfel de conexiune la router și de a realiza integrarea necesară în acesta, astfel încât să se asigure că sistemul de transfer al datelor API instituit prin prezentul regulament poate funcționa în mod corespunzător.

(19)Având în vedere interesele Uniunii în acest domeniu, costurile corespunzătoare suportate de statele membre în legătură cu conexiunile la router și integrarea în acesta, astfel cum se prevede în prezentul regulament, ar trebui să fie suportate din bugetul Uniunii, în conformitate cu legislația aplicabilă și sub rezerva anumitor excepții. Costurile acoperite de aceste excepții ar trebui să fie suportate de fiecare stat membru vizat.

(20)În conformitate cu Regulamentul (UE) 2018/1726, statele membre pot încredința agenției eu-LISA atribuția de a facilita conectivitatea cu transportatorii aerieni cu scopul de a oferi asistență statelor membre în punerea în aplicare a Directivei (UE) 2016/681, în special prin colectarea și transferul de date din PNR prin intermediul routerului.

(21)Nu se poate exclude faptul că, din cauza unor circumstanțe excepționale și în pofida faptului că au fost luate toate măsurile rezonabile în conformitate cu prezentul regulament și, în ceea ce privește routerul, cu Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor], routerul sau sistemele ori infrastructura care asigură conexiunea unităților de informații despre pasageri și a transportatorilor aerieni nu funcționează în mod corespunzător, conducând astfel la imposibilitatea tehnică de a utiliza routerul pentru a transmite datele API. Având în vedere indisponibilitatea routerului și faptul că, în general, nu va fi posibil în mod rezonabil ca transportatorii aerieni să transfere datele API afectate de defecțiune într-un mod legal, sigur, eficace și rapid prin mijloace alternative, obligația transportatorilor aerieni de a transfera datele API respective către router ar trebui să înceteze să se aplice atât timp cât persistă imposibilitatea tehnică. Pentru a reduce la minimum durata și consecințele negative ale acestei imposibilități tehnice, părțile în cauză ar trebui, într-un astfel de caz, să se informeze reciproc imediat și să ia imediat toate măsurile necesare pentru a remedia imposibilitatea tehnică. Acest acord nu ar trebui să aducă atingere obligațiilor care le revin tuturor părților implicate, în temeiul prezentului regulament, de a se asigura că routerul și sistemele și infrastructura lor respective funcționează în mod corespunzător, precum și faptului că transportatorii aerieni sunt pasibili de sancțiuni atunci când nu își îndeplinesc obligațiile ce le revin, inclusiv atunci când încearcă să se bazeze pe acest acord în situații în care acest lucru nu se justifică. Pentru a descuraja astfel de abuzuri și pentru a facilita supravegherea și, dacă este necesar, impunerea de sancțiuni, transportatorii aerieni care se bazează pe acest acord din cauza defectării propriului sistem și a propriei infrastructuri ar trebui să raporteze acest lucru autorității de supraveghere competente.

(22)Pentru a se asigura că normele din prezentul regulament se aplică în mod eficace de către transportatorii aerieni, ar trebui să se prevadă desemnarea și împuternicirea autorităților naționale însărcinate cu supravegherea normelor respective. Normele prezentului regulament privind o astfel de supraveghere, inclusiv în ceea ce privește impunerea de sancțiuni atunci când este necesar, ar trebui să nu afecteze sarcinile și competențele autorităților de supraveghere instituite în conformitate cu Regulamentul (UE) 2016/679 și Directiva (UE) 2016/680, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal în temeiul prezentului regulament.

(23)Statele membre ar trebui să prevadă sancțiuni eficace, proporționale și disuasive, inclusiv sancțiuni financiare, împotriva transportatorilor aerieni care nu își respectă obligațiile privind colectarea și transferul de date din API în temeiul prezentului regulament.

(24)În vederea adoptării de măsuri referitoare la cerințele tehnice și normele operaționale pentru mijloacele automatizate de colectare a datelor API care pot fi citite automat, la protocoalele și formatele comune care trebuie utilizate pentru transferul datelor API de către transportatorii aerieni, la normele tehnice și procedurale pentru transmiterea datelor API de la router și către unitățile de informații despre pasageri și către conexiunile UIP și ale transportatorilor aerieni cu routerul și integrarea în router, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene ar trebui delegată Comisiei în ceea ce privește articolele 4, 5, 10 și, respectiv, 11. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate, inclusiv la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare 33 . În special, pentru a se asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate.

(25)Tuturor părților interesate, în special transportatorilor aerieni și unităților de informații despre pasageri, ar trebui să li se acorde suficient timp pentru a efectua pregătirile necesare pentru a-și putea îndeplini obligațiile care le revin în temeiul prezentului regulament, ținând seama de faptul că unele dintre aceste pregătiri, cum ar fi cele referitoare la obligațiile privind conectarea la router și integrarea în acesta, pot fi finalizate numai după finalizarea etapelor de proiectare și dezvoltare a routerului și după punerea în funcțiune a routerului. Prin urmare, prezentul regulament ar trebui să se aplice numai de la o dată adecvată după data punerii în funcțiune a routerului, astfel cum se specifică de către Comisie în conformitate cu Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor]. Cu toate acestea, Comisia ar trebui să aibă posibilitatea de a adopta acte delegate în temeiul prezentului regulament deja de la o dată anterioară, astfel încât să se asigure că sistemul instituit prin prezentul regulament devine operațional cât mai curând posibil.

(26)Obiectivele prezentului regulament, și anume contribuția la prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, având în vedere dimensiunea transnațională a acestor infracțiuni și necesitatea cooperării la nivel transfrontalier pentru a le aborda în mod eficace, nu pot fi realizate în mod satisfăcător de către statele membre în mod individual, ci pot fi realizate mai bine la nivelul Uniunii. Prin urmare, Uniunea poate să adopte măsuri în conformitate cu principiul subsidiarității prevăzut la articolul 5 din Tratatul privind Uniunea Europeană. În conformitate cu principiul proporționalității, astfel cum este definit la articolul menționat, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivului menționat.

(27)În conformitate cu articolele 1 și 2 din Protocolul nr. 22 privind poziția Danemarcei, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Danemarca nu participă la adoptarea prezentului regulament, nu are obligații în temeiul acestuia și nu face obiectul aplicării sale.

(28)[În conformitate cu articolul 3 din Protocolul (nr. 21) privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene, Irlanda și-a notificat intenția de a participa la adoptarea și la aplicarea prezentului regulament.] SAU [În conformitate cu articolele 1 și 2 din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție, anexat la Tratatul privind Uniunea Europeană și la Tratatul privind funcționarea Uniunii Europene și, fără a aduce atingere articolului 4 din protocolul menționat, Irlanda nu participă la adoptarea prezentului regulament, nu are obligații în temeiul acestuia și nu face obiectul aplicării sale.]

(29)Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 și a emis un aviz la [XX] 34 .

ADOPTĂ PREZENTUL REGULAMENT:

CAPITOLUL 1

DISPOZIȚII GENERALE

Articolul 1

Obiectul

În scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, prezentul regulament stabilește norme privind:

(a)colectarea de către transportatorii aerieni a datelor privind informațiile prealabile referitoare la pasageri („date API”) pentru zborurile extra-UE și pentru acele zboruri intra-UE selectate în acest sens;

(b)transferarea datelor API de către transportatorii aerieni către router;

(c)transmiterea de la router către unitățile de informații despre pasageri („UIP”) a datelor API privind zborurile extra-UE și privind acele zboruri intra-UE selectate în acest sens. 

Articolul 2

Domeniul de aplicare

Prezentul regulament se aplică transportatorilor aerieni care efectuează zboruri regulate sau neregulate extra-UE sau zboruri intra-UE.

Articolul 3

Definiții

În sensul prezentului regulament, se aplică următoarele definiții:

(a)„transportator aerian” înseamnă o întreprindere de transport aerian, astfel cum este definită la articolul 3 punctul 1 din Directiva (UE) 2016/681;

(b)„zboruri extra-UE” înseamnă orice zbor, astfel cum este definit la articolul 3 punctul 2 din Directiva (UE) 2016/681;

(c)„zboruri intra-UE” înseamnă orice zbor, astfel cum este definit la articolul 3 punctul 3 din Directiva (UE) 2016/681;

(d)„zbor regulat” înseamnă un zbor, astfel cum este definit la articolul 3 litera (e) din Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor];

(e)„zbor neregulat” înseamnă un zbor, astfel cum este definit la articolul 3 litera (f) din Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor];

(f)„pasager” înseamnă orice persoană, astfel cum este definită la articolul 3 punctul 4 din Directiva (UE) 2016/681;

(g)„echipaj” înseamnă orice persoană, astfel cum este definită la articolul 3 litera (h) din Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor];

(h)„călător” înseamnă orice persoană, astfel cum este definită la articolul 3 litera (i) din Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor];

(i)„date privind informațiile prealabile referitoare la pasageri” sau „date API” înseamnă datele, astfel cum sunt definite la articolul 3 litera (j) din Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor];

(j)„registrul cu numele pasagerilor” sau „PNR” înseamnă un registru al cerințelor de călătorie ale fiecărui pasager, astfel cum este definit la articolul 3 punctul 5 din Directiva (UE) 2016/681;

(k)„unitate de informații despre pasageri” sau „UIP” înseamnă autoritatea competentă instituită de un stat membru, astfel cum figurează în notificările și modificările publicate de Comisie în temeiul articolului 4 alineatul (1) și, respectiv, alineatul (5) din Directiva (UE) 2016/681;

(l)„infracțiuni de terorism” înseamnă infracțiunile astfel cum sunt definite la articolele 3-12 din Directiva (UE) 2017/541 a Parlamentului European și a Consiliului 35 ;

(m)„infracțiune gravă” înseamnă infracțiunile definite la articolul 3 punctul (9) din Directiva (UE) 2016/681;

(n)„router” înseamnă routerul astfel cum este definit la articolul 3 litera (k) din Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor];

(o)„date cu caracter personal” înseamnă datele cu caracter personal, astfel cum sunt definite la articolul 4 punctul 1 din Regulamentul (UE) 2016/679.

CAPITOLUL 2

PRELUCRAREA DATELOR API

Articolul 4

Colectarea, transferul și ștergerea datelor API de către transportatorii aerieni

(1)Transportatorii aerieni colectează datele API ale călătorilor pentru zborurile menționate la articolul 2, în scopul transferării acestor date API către router în conformitate cu alineatul (6). În cazul unui zbor al cărui cod este partajat de unul sau de mai mulți transportatori aerieni, obligația de a transfera datele API ale tuturor pasagerilor îi revine transportatorului aerian care operează zborul.

(2)Transportatorii aerieni colectează datele API astfel încât datele API pe care le transferă în conformitate cu alineatul (6) să fie exacte, complete și actualizate.

(3)Transportatorii aerieni colectează datele API menționate la articolul 4 alineatul (2) literele (a)-(d) din Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor] utilizând mijloace automatizate pentru a colecta datele care pot fi citite automat din documentele de călătorie ale călătorilor în cauză. Ei colectează aceste date în conformitate cu cerințele tehnice detaliate și cu normele operaționale menționate la alineatul (5), în cazul în care aceste norme au fost adoptate și sunt aplicabile.

Cu toate acestea, în cazul în care o astfel de utilizare a mijloacelor automatizate nu este posibilă din cauza faptului că documentul de călătorie nu conține date care pot fi citite automat, transportatorii aerieni colectează datele respective manual, astfel încât să se asigure conformitatea cu alineatul (2).

(4)Toate mijloacele automatizate utilizate de transportatorii aerieni pentru a colecta date API în temeiul prezentului regulament trebuie să fie fiabile, securizate și actualizate.

(5)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 19 pentru a completa prezentul regulament prin stabilirea cerințelor tehnice detaliate și a normelor operaționale pentru colectarea datelor API menționate la articolul 4 alineatul (2) literele (a)-(d) din Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor], utilizând mijloace automatizate în conformitate cu alineatele (3) și (4) din prezentul articol.

(6)Transportatorii aerieni transferă datele API colectate în temeiul alineatului (1) către router prin mijloace electronice. Ei transferă aceste date în conformitate cu normele detaliate menționate la alineatul (9), în cazul în care aceste norme au fost adoptate și sunt aplicabile.

(7)Transportatorii aerieni transferă datele API atât în momentul înregistrării, cât și imediat după închiderea zborului, adică imediat după îmbarcarea călătorilor în aeronava care se pregătește de decolare și când niciun călător nu se mai poate îmbarca sau nu mai poate debarca.

(8)Fără a aduce atingere posibilității ca transportatorii aerieni să păstreze și să utilizeze datele atunci când acest lucru este necesar pentru desfășurarea normală a activităților lor, în conformitate cu legislația aplicabilă, transportatorii aerieni fie corectează, completează sau actualizează imediat, fie șterg definitiv datele API în cauză în cele două situații de mai jos:

(a)în cazul în care constată că datele API colectate sunt inexacte, incomplete sau neactualizate ori au fost prelucrate în mod ilegal sau că datele transferate nu constituie date API;

(b)în cazul în care transferul datelor API în conformitate cu alineatul (3) a fost finalizat.

În cazul în care iau cunoștință de informațiile menționate la primul paragraf litera (a) de la prezentul alineat după finalizarea transferului de date în conformitate cu alineatul (6), transportatorii aerieni informează imediat Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA). După primirea acestor informații, eu-LISA informează imediat UIP care au primit datele API transmise prin intermediul routerului.

(9)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 19 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind protocoalele comune și formatele de date compatibile care trebuie utilizate pentru transferurile de date API către routerul menționat la alineatul (6).

Articolul 5

Transmiterea datelor API de la router către UIP

(1)Routerul transmite imediat și în mod automat datele API, care i-au fost transferate de către transportatorii aerieni în temeiul articolului 4, către UIP ale statului membru pe teritoriul căruia va ateriza sau de pe teritoriul căruia va decola zborul sau către ambele, în cazul zborurilor intra-UE. În cazul în care un zbor are una sau mai multe escale pe teritoriul altor state membre decât cel de unde a decolat, routerul transmite datele API către UIP din toate statele membre în cauză. 

În scopul unei astfel de transmiteri, eu-LISA stabilește și actualizează un tabel de corespondență între diferitele aeroporturi de origine și de destinație și țările în care sunt situate respectivele aeroporturi.

Cu toate acestea, pentru zborurile intra-UE, routerul transmite datele API către respectiva UIP numai pentru zborurile incluse pe lista menționată la alineatul (2).

Routerul transmite datele API în conformitate cu normele detaliate menționate la alineatul (3), în cazul în care aceste norme au fost adoptate și sunt aplicabile. (2) Statele membre care decid să aplice Directiva (UE) 2016/681 în cazul zborurilor intra-UE, în conformitate cu articolul 2 din directiva menționată, întocmesc fiecare câte o listă a zborurilor intra-UE în cauză și, până la data aplicării prezentului regulament menționată la articolul 21 al doilea paragraf, furnizează eu-LISA lista respectivă. Statele membre respective, în conformitate cu articolul 2 din directiva menționată, revizuiesc și, dacă este necesar, actualizează periodic listele respective și furnizează imediat agenției eu-LISA orice astfel de liste actualizate. Informațiile cuprinse în listele respective sunt tratate în mod confidențial.

(3)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 19 pentru a completa prezentul regulament prin stabilirea normelor tehnice și procedurale detaliate necesare pentru transmiterea datelor API de la routerul menționat la alineatul (1).

CAPITOLUL 3

ÎNREGISTRAREA, PROTECȚIA ȘI SECURITATEA DATELOR CU CARACTER PERSONAL

Articolul 6

Păstrarea înregistrărilor

(1)Transportatorii aerieni creează înregistrări ale tuturor operațiunilor de prelucrare efectuate în temeiul prezentului regulament prin utilizarea mijloacelor automatizate menționate la articolul 4 alineatul (3). Aceste înregistrări se referă la data, ora și locul transferului datelor API.

(2)Înregistrările menționate la alineatul (1) se utilizează numai pentru a asigura securitatea și integritatea datelor API și legalitatea prelucrării, în special în ceea ce privește respectarea cerințelor prevăzute în prezentul regulament, inclusiv procedurile de sancționare a încălcării cerințelor respective în conformitate cu articolele 15 și 16.

(3)Transportatorii aerieni iau măsurile corespunzătoare pentru a proteja înregistrările pe care le-au creat în temeiul alineatului (1) împotriva accesului neautorizat și a altor riscuri în materie de securitate.

(4)Transportatorii aerieni păstrează înregistrările pe care le-au creat în temeiul alineatului (1) pentru o perioadă de un an de la momentul creării înregistrărilor respective. Aceștia șterg imediat și definitiv înregistrările respective după expirarea acestei perioade.

Cu toate acestea, în cazul în care înregistrările respective sunt necesare pentru proceduri de monitorizare sau de asigurare a securității și integrității datelor API sau a legalității operațiunilor de prelucrare, astfel cum se menționează la alineatul (2), iar aceste proceduri au început deja la momentul expirării perioadei menționate la primul paragraf, transportatorii aerieni pot păstra înregistrările menționate atât timp cât este necesar pentru procedurile respective. În acest caz, transportatorii aerieni șterg imediat înregistrările respective atunci când nu mai sunt necesare pentru procedurile menționate.

Articolul 7

Operatorii de date cu caracter personal

Unitățile de informații despre pasageri sunt operatori, în sensul articolului 3 punctul 8 din Directiva (UE) 2016/680, în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal transmise în temeiul prezentului regulament prin intermediul routerului, inclusiv în ceea ce privește transmiterea și stocarea datelor respective pe router din motive tehnice.

Transportatorii aerieni sunt operatori, în sensul articolului 4 punctul 7 din Regulamentul (UE) 2016/679, în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal, ceea ce include colectarea datelor respective și transferul acestora către router în temeiul prezentului regulament.

Articolul 8

Securitatea

Unitățile de informații despre pasageri și transportatorii aerieni asigură securitatea datelor API, în special a datelor API ce constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament.

Pentru a asigura o astfel de securitate, unitățile de informații despre pasageri și transportatorii aerieni cooperează între ei și cu eu-LISA, în conformitate cu responsabilitățile care le revin și în conformitate cu dreptul Uniunii.

Articolul 9

Automonitorizarea

Transportatorii aerieni și UIP monitorizează respectarea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește prelucrarea datelor API ce constituie date cu caracter personal, inclusiv prin verificarea frecventă a înregistrărilor în conformitate cu articolul 7.

CAPITOLUL 4

ASPECTE REFERITOARE LA ROUTER

Articolul 10

Conexiunile unităților de informații despre pasageri la router

(1)Statele membre se asigură că unitățile lor de informații despre pasageri sunt conectate la router. Acestea se asigură că sistemele și infrastructura lor naționale pentru primirea și prelucrarea ulterioară a datelor API transferate în temeiul prezentului regulament sunt integrate în router.

Statele membre se asigură că în urma conectării la router și a integrării în unitățile lor de informații despre pasageri pot să primească și să prelucreze ulterior datele API, precum și să facă schimb de orice fel de informații legate de acestea în mod legal, sigur, eficace și rapid.

(2)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 19 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind conexiunile la routerul menționat la alineatul (1) și integrarea în acesta.

Articolul 11

Conexiunile transportatorilor aerieni la router

(1)Transportatorii aerieni se asigură că sunt conectați la router. Aceștia se asigură că sistemele și infrastructura lor pentru transferul datelor API către router în temeiul prezentului regulament sunt integrate în router.

Transportatorii aerieni se asigură că în urma conectării la router și a integrării în acesta pot să transfere datele API, precum și să facă schimb de orice fel de informații legate de acestea, într-un mod legal, sigur, eficace și rapid.

(2)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 19 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind conexiunile la routerul menționat la alineatul (1) și integrarea în acesta.

Articolul 12

Costurile suportate de statele membre

(1)Costurile suportate de statele membre în legătură cu conexiunile lor la routerul menționat la articolul 10 și cu integrarea în acesta sunt suportate din bugetul general al Uniunii.

Cu toate acestea, următoarele costuri sunt excluse, fiind suportate de statele membre:

(a)costurile pentru gestionarea proiectelor, inclusiv costurile pentru reuniuni, misiuni și birouri;

(b)costurile pentru găzduirea sistemelor naționale de tehnologie a informației (IT), inclusiv costurile pentru crearea de spații, implementare, electricitate și răcire;

(c)costurile pentru operarea sistemelor IT naționale, inclusiv operatori și contracte de asistență;

(d)costurile aferente proiectării, dezvoltării, implementării, exploatării și întreținerii rețelelor naționale de comunicații.

(2)Statele membre suportă, de asemenea, costurile care decurg din administrarea, utilizarea și întreținerea conexiunilor lor cu routerul și integrarea în router.

Articolul 13

Acțiuni în cazul imposibilității tehnice de a utiliza routerul

(1)În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite date API din cauza unei defecțiuni a routerului, eu-LISA notifică imediat și în mod automat transportorii aerieni și unitățile de informații despre pasageri în legătură cu această imposibilitate tehnică. În acest caz, eu-LISA ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul și notifică imediat părțile implicate odată remediată această imposibilitate.

În perioada dintre aceste notificări, articolul 4 alineatul (6) nu se aplică, atât timp cât imposibilitatea tehnică împiedică transferul datelor API către router. Dacă este cazul, articolul 4 alineatul (1) nu se aplică nici datelor API în cauză în perioada respectivă.

(2)În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite datele API din cauza unei defecțiuni a sistemelor sau a infrastructurilor unui stat membru, menționate la articolul 10, unitatea de informații despre pasageri din statul membru respectiv notifică imediat, în mod automat, transportatorii aerieni, celelalte unități de informații despre pasageri, agenția eu-LISA și Comisia în legătură cu această imposibilitate tehnică. În acest caz, statele membre iau imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul și notifică imediat părțile implicate după remedierea acesteia.

În perioada dintre aceste notificări, articolul 4 alineatul (6) nu se aplică, atât timp cât imposibilitatea tehnică împiedică transferul datelor API către router. Dacă este cazul, articolul 4 alineatul (1) nu se aplică nici datelor API în cauză în perioada respectivă.

(3)În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite datele API din cauza unei defecțiuni a sistemelor sau a infrastructurilor unui transportator aerian, menționate la articolul 11, respectivul transportator aerian notifică imediat, în mod automat, unitățile de informații despre pasageri, agenția eu-LISA și Comisia în legătură cu această imposibilitate tehnică. În acest caz, respectivul transportator aerian ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul și notifică imediat părțile implicate după remedierea acesteia.

În perioada dintre aceste notificări, articolul 4 alineatul (6) nu se aplică, atât timp cât imposibilitatea tehnică împiedică transferul datelor API către router. Dacă este cazul, articolul 4 alineatul (1) nu se aplică nici datelor API în cauză în perioada respectivă.

Atunci când imposibilitatea tehnică a fost remediată cu succes, transportatorul aerian în cauză prezintă fără întârziere autorității naționale de supraveghere competente menționate la articolul 15 un raport care conține toate detaliile necesare privind imposibilitatea tehnică, inclusiv motivele, amploarea și consecințele imposibilității tehnice, precum și măsurile luate pentru a o remedia.

Articolul 14

Răspunderea în ceea ce privește routerul

În cazul în care nerespectarea de către un stat membru sau de către un transportator aerian a obligațiilor care îi revin în temeiul prezentului regulament cauzează o defecțiune a routerului, răspunderea aparține statului membru sau transportatorului aerian respectiv, cu excepția cazului în care eu-LISA nu a luat măsuri rezonabile pentru a preveni producerea defecțiunii sau pentru a reduce la minimum impactul acesteia.

CAPITOLUL 5

SUPRAVEGHERE, SANCȚIUNI ȘI MANUAL

Articolul 15

Autoritatea națională de supraveghere

(1)Statele membre desemnează una sau mai multe autorități naționale de supraveghere responsabile cu monitorizarea aplicării pe teritoriul lor de către transportatorii aerieni a dispozițiilor prezentului regulament și cu asigurarea respectării acestor dispoziții.

(2)Statele membre se asigură că autoritățile naționale de supraveghere dispun de toate mijloacele necesare și de toate competențele de investigare și de asigurare a respectării legislației, necesare pentru a-și îndeplini sarcinile care le revin în temeiul prezentului regulament, inclusiv prin impunerea sancțiunilor menționate la articolul 16, după caz. Acestea stabilesc norme detaliate privind îndeplinirea sarcinilor și exercitarea competențelor respective, asigurându-se că acestea sunt eficace, proporționale și disuasive și fac obiectul unor garanții în conformitate cu drepturile fundamentale garantate de dreptul Uniunii.

(3)    Până la data aplicării prezentului regulament, menționată la articolul 21 al doilea paragraf, statele membre notifică Comisiei numele și datele de contact ale autorităților pe care le-au desemnat în temeiul alineatului (1), precum și normele detaliate pe care acestea le-au stabilit în temeiul alineatului (2). Statele membre informează fără întârziere Comisia cu privire la orice modificare ulterioară sau la orice amendament ulterior adus acestor norme.

(4)Prezentul articol nu aduce atingere competențelor autorităților de supraveghere menționate la articolul 51 din Regulamentul (UE) 2016/679 și la articolul 41 din Directiva (UE) 2016/680.

Articolul 16

Sancțiuni

Statele membre adoptă regimul sancțiunilor care se aplică în cazul nerespectării dispozițiilor prezentului regulament și iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancțiunile prevăzute sunt eficace, proporționale și disuasive.

Până la data aplicării prezentului regulament, menționată la articolul 21 al doilea paragraf, statele membre notifică Comisia în legătură cu normele și măsurile respective și îi comunică acesteia, fără întârziere, orice modificare ulterioară adusă acestor norme și măsuri.

Articolul 17

Manual practic

Comisia, în strânsă cooperare cu unitățile de informații despre pasageri, cu alte autorități relevante ale statelor membre, cu transportatorii aerieni și cu agențiile relevante ale Uniunii, pregătește și pune la dispoziția publicului un manual practic, care conține orientări, recomandări și bune practici pentru punerea în aplicare a prezentului regulament.

Manualul practic ține seama de manualele relevante deja existente.

Comisia adoptă manualul practic sub forma unei recomandări.

CAPITOLUL 6

LEGĂTURA CU ALTE INSTRUMENTE EXISTENTE

Articolul 18

Modificarea Regulamentului (UE) 2019/818

___________

   La articolul 39, alineatele (1) și (2) se înlocuiesc cu următorul text:

„(1) Se instituie un registru central de raportare și statistici (CRRS) în scopul de a susține realizarea obiectivelor SIS, Eurodac, ECRIS-TCN, în conformitate cu instrumentele juridice respective ce reglementează sistemele menționate, și de a furniza date statistice utilizabile între sisteme și rapoarte analitice în scop operațional, de elaborare a politicilor și de asigurare a calității datelor. CRRS sprijină, de asemenea, realizarea obiectivelor prevăzute în Regulamentul (UE).../... al Parlamentului European și al Consiliului* [prezentul regulament].”

*    Regulamentul (UE) [numărul] al Parlamentului European și al Consiliului din xy privind [titlul adoptat oficial] (JO L ...)”

„(2) Agenția eu-LISA creează, implementează și găzduiește în amplasamentele sale tehnice CRRS care conține datele și statisticile menționate la articolul 74 din Regulamentul (UE) 2018/1862 și la articolul 32 din Regulamentul (UE) 2019/816, separate în mod logic pe sisteme de informații ale UE. De asemenea, eu-LISA colectează datele și statisticile de la routerul menționat la articolul 13 alineatul (1) din Regulamentul (UE) ... /...* [prezentul regulament]. Accesul la CRRS se acordă printr-un acces controlat și securizat și cu profiluri de utilizator specifice, exclusiv în scopul întocmirii de rapoarte și statistici, autorităților menționate la articolul 74 din Regulamentul (UE) 2018/1862, la articolul 32 din Regulamentul (UE) 2019/816 și la articolul 13 alineatul (1) din Regulamentul (UE) .../...* [prezentul regulament].”

CAPITOLUL 7

DISPOZIȚII FINALE

Articolul 19

Exercitarea delegării de competențe

(1)Competența de a adopta acte delegate se conferă Comisiei în condițiile prevăzute la prezentul articol.

(2)Competența de a adopta acte delegate menționată la articolul 4 alineatele (5) și (9), articolul 5 alineatul (3), articolul 10 alineatul (2) și articolul 11 alineatul (2) se conferă Comisiei pe o perioadă de cinci ani începând de la [data adoptării regulamentului]. Comisia elaborează un raport privind delegarea de competențe cu cel puțin nouă luni înainte de încheierea perioadei de cinci ani. Delegarea de competențe se prelungește tacit cu perioade de timp identice, cu excepția cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puțin trei luni înainte de încheierea fiecărei perioade.

(3)Delegarea de competențe menționată la articolul 4 alineatele (5) și (9), articolul 5 alineatul (3), articolul 10 alineatul (2) și articolul 11 alineatul (2) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua următoare datei publicării în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(4)Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

(5)De îndată ce adoptă un act delegat, Comisia notifică simultan Parlamentul European și Consiliul.

Articolul 20

Monitorizare și evaluare

(1)La [patru ani de la data intrării în vigoare a prezentului regulament] și, ulterior, o dată la patru ani, Comisia întocmește un raport care conține o evaluare globală a prezentului regulament, inclusiv o evaluare a:

(a)aplicării prezentului regulament;

(b)măsurii în care prezentul regulament și-a atins obiectivele;

(c)impactul prezentului regulament asupra drepturilor fundamentale protejate în temeiul dreptului Uniunii;

(d)Comisia prezintă raportul de evaluare Parlamentului European, Consiliului, Autorității Europene pentru Protecția Datelor și Agenției pentru Drepturi Fundamentale a Uniunii Europene. Dacă este cazul, ținând seama de evaluarea efectuată, Comisia face o propunere legislativă Parlamentului European și Consiliului în vederea modificării prezentului regulament.

(2)Statele membre și transportatorii aerieni furnizează Comisiei, la cerere, informațiile necesare pentru elaborarea raportului menționat la alineatul (1). Cu toate acestea, statele membre dispun de posibilitatea de a nu furniza astfel de informații dacă și în măsura în care acest lucru este necesar pentru a nu divulga metodele de lucru confidențiale sau pentru a nu periclita investigațiile în curs ale unităților de informații despre pasageri sau ale altor autorități de aplicare a legii. Comisia se asigură că orice informație confidențială furnizată este protejată în mod corespunzător.

Articolul 21

Intrare în vigoare și aplicare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament se aplică după doi ani de la data punerii în funcțiune a routerului, specificată de Comisie în conformitate cu articolul 27 din Regulamentul (UE) [colectarea datelor API în scopul gestionării frontierelor].

Cu toate acestea, articolul 4 alineatele (5) și (9), articolul 5 alineatul (3), articolul 10 alineatul (2), articolul 11 alineatul (2) și articolul 19 se aplică de la [data intrării în vigoare a prezentului regulament].

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în statele membre în conformitate cu tratatele.

Adoptat la Strasbourg,

FIȘĂ FINANCIARĂ LEGISLATIVĂ

Implicațiile financiare ale prezentei propuneri sunt incluse în fișa financiară legislativă comună anexată la propunerea de regulament (UE) [colectarea datelor API în scopul gestionării frontierelor].

(1)    Europol, Evaluarea amenințării pe care o reprezintă formele grave de criminalitate și criminalitatea organizată (SOCTA), 2021,  https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf .

(2)    Europol, Terrorism Situation and Trend Report (Raportul privind situația și tendințele terorismului) (TE-SAT), 2021.  https://www.europol.europa.eu/cms/sites/default/files/documents/tesat_2021_0.pdf .

(3)    Directiva (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave.

(4)    Directiva 2004/82/CE a Consiliului din 29 aprilie 2004 privind obligația operatorilor de transport de a comunica datele privind pasagerii.

(5)    A se vedea punctul 18 din anexa 1 la Directiva (UE) 2016/681.

(6)    Rezoluțiile 2178 (2014), 2309 (2016), 2396 (2017), 2482 (2019) ale Consiliului de Securitate al ONU, precum și Decizia nr. 6/16 a Consiliului ministerial al OSCE din 9 decembrie 2016 privind intensificarea utilizării informațiilor prealabile referitoare la pasageri.

(7)     Decizia nr. 6/16 a Consiliului ministerial al OSCE din 9 decembrie 2016 privind intensificarea utilizării informațiilor prealabile referitoare la pasageri.

(8)    Comisia Europeană, Document de lucru al serviciilor Comisiei care însoțește Raportul privind revizuirea Directivei (UE) 2016/681, SWD(2020) 128 final.

(9)    COM(2021) 277 final (2.6.2021).

(10)    Directiva PNR stabilește condițiile pentru prelucrarea datelor, cum ar fi autoritățile competente implicate (articolul 7), perioada de păstrare a datelor (articolul 12) și protecția datelor cu caracter personal (articolul 13).

(11)    CJUE, Hotărârea pronunțată în cauza C-817/19, Ligue des droits humains.

(12)    Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date.

(13)    Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date.

(14)    Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).

(15)    OACI, Documentul 9303, „֦Machine Readable Travel Documents” (Documente de călătorie care pot fi citite automat), Eigth Edition, 2021, disponibil la adresa:  https://www.icao.int/publications/documents/9303_p1_cons_en.pdf .

(16)    CJUE, Hotărârea din 21 iunie 2022, Ligue des droits humains, C-817/19.

(17)    Comisia Europeană, document de lucru al serviciilor Comisiei, Evaluarea Directivei 2004/82/CE a Consiliului privind obligația operatorilor de transport de a comunica datele privind pasagerii (Directiva API), Bruxelles, 8.9.2020, SWD(2020) 174 final, p. 26, 43.

(18)    SWD(2020) 174, p. 57.

(19)    SWD(2020) 174.

(20)     https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12434-Border-law-enforcement-advance-air-passenger-information-API-revised-rules_ro .

(21)    Articolul 2 alineatul (1) din Regulamentul (UE) 2021/1119 din 30 iunie 2021 de instituire a cadrului pentru realizarea neutralității climatice (Legea europeană a climei).

(22)    CJUE, Hotărârea din 9.11.2010 în cauzele conexate C-92/09 și C-93/09, Volker und Markus Schecke și Eifert, Rec., p. I-0000.

(23)    În conformitate cu articolul 52 alineatul (1) din cartă, pot fi impuse limitări privind exercitarea dreptului la protecția datelor atât timp cât acestea sunt prevăzute prin lege, respectă substanța acestor drepturi și libertăți și, sub rezerva principiului proporționalității, sunt necesare și răspund efectiv obiectivelor de interes general recunoscute de Uniunea Europeană sau necesității protejării drepturilor și libertăților celorlalți.

(24)    CJUE, Hotărârea din 5 iunie 2018, Coman, C-673/16.

(25)    Regulamentul (UE) 2021/1149 al Parlamentului European și al Consiliului din 7 iulie 2021 de instituire a Fondului pentru securitate internă.

(26)    JO C , , p. .

(27)    Directiva 2004/82/CE a Consiliului din 29 aprilie 2004 privind obligația operatorilor de transport de a comunica datele privind pasagerii (JO L 261, 6.8.2004, p. 24).

(28)    Directiva (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave (JO L 119, 4.5.2016, p. 132).

(29)    JO C , , p. .

(30)    Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor), JO L 119, 4.5.2016, p. 1.

(31)    Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, JO L 119, 4.5.2016, p. 89.

(32)    Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE, JO L 295, 21.11.2018, p. 39.

(33)    JO L 123, 12.5.2016, p. 1.

(34)    [JO C …].

(35)    Directiva (UE) 2017/541 a Parlamentului European și a Consiliului din 15 martie 2017 privind combaterea terorismului și de înlocuire a Deciziei-cadru 2002/475/JAI a Consiliului și de modificare a Deciziei 2005/671/JAI a Consiliului (JO L 88, 31.3.2017, p. 6).