EVROPSKA KOMISIJA
Strasbourg, 13.12.2022
COM(2022) 731 final
2022/0425(COD)
Predlog
UREDBA EVROPSKEGA PARLAMENTA IN SVETA
o zbiranju in prenosu predhodnih informacij o potnikih za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj ter o spremembi Uredbe (EU) 2019/818
{SWD(2022) 424 final}
OBRAZLOŽITVENI MEMORANDUM
1.OZADJE PREDLOGA
•Razlogi za predlog in njegovi cilji
V zadnjem desetletju so v EU in drugih delih sveta huda kazniva dejanja in organizirani kriminal v porastu. Glede na Europolovo oceno ogroženosti zaradi hudih kaznivih dejanj in organiziranega kriminala glavnina organiziranega kriminala vključuje mednarodna potovanja, ki so običajno namenjena tihotapljenju oseb ali drog in drugega nedovoljenega blaga v EU. Storilci kaznivih dejanj pogosto uporabljajo glavna letališča EU in manjša regionalna letališča, na katerih opravljajo lete nizkocenovni letalski prevozniki 1 . Podobno tudi Europolovo poročilo o stanju in trendih na področju terorizma kaže, da je teroristična grožnja v EU še vedno prisotna in resna 2 , pri čemer poudarja, da ima večina terorističnih kampanj nadnacionalni značaj, bodisi v smislu nadnacionalnih stikov bodisi v smislu potovanj izven EU. Zato so informacije o potujočih v zračnem prometu pomembno orodje za pristojne organe v boju proti hudim kaznivim dejanjem in terorizmu v EU.
Podatki o potujočih v zračnem prometu vključujejo predhodne informacije o potnikih (v nadaljnjem besedilu: podatki API) in evidence podatkov o potnikih (v nadaljnjem besedilu: podatki PNR), ki so, kadar se uporabljajo skupaj, še posebej učinkoviti za identifikacijo visokotveganih potujočih in za potrditev potovalnih vzorcev osumljenih posameznikov. Kadar potnik kupi vozovnico pri letalskem prevozniku, se v rezervacijskem sistemu letalskega prevoznika za njegove poslovne namene ustvari evidenca podatkov o potniku. Ta vključuje podatke o celotnem načrtu poti, podatke o plačilu, kontaktne podatke in posebne zahteve potnika. Kadar velja obveznost v zvezi s tem, se ti podatki iz evidence podatkov o potnikih (v nadaljnjem besedilu: podatki PNR) pošljejo enoti za informacije o potnikih (PIU) namembne države in pogosto tudi države odhodnega leta.
V EU je bila leta 2016 sprejeta direktiva o uporabi podatkov iz evidence podatkov o potnikih (v nadaljnjem besedilu: direktiva PNR) 3 , da bi se zagotovilo, da vse države članice izvajajo pravila o zbiranju podatkov PNR od letalskih prevoznikov za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj, brez poseganja v obstoječa pravila EU o obveznosti letalskih prevoznikov, da zbirajo podatke API, določene v direktivi o predhodnih informacijah o potnikih (v nadaljnjem besedilu: direktiva API) 4 . V skladu z direktivo PNR morajo države članice sprejeti potrebne ukrepe za zagotovitev, da letalski prevozniki prenesejo podatke PNR, v kolikor so jih že zbrali pri običajnem poslovanju. Direktiva PNR omogoča skupno obdelavo podatkov API in podatkov PNR, saj opredelitev podatkov PNR vključuje „vse zbrane predhodne podatke o potnikih (API)“ 5 . Vendar pa direktiva PNR letalskih prevoznikov ne zavezuje k zbiranju podatkov zunaj njihovega običajnega poslovanja. Zato direktiva PNR ne vodi do zbiranja celotnega sklopa podatkov API, saj zbiranje takih podatkov ni potrebno za poslovne namene letalskih prevoznikov.
Letalski prevoznik zbere podatke API ob prijavi potnika na let (spletna prijava na let in prijava na letališču) samo, kadar velja obveznost v zvezi s tem. Nato te podatke pošlje pristojnim mejnim organom kot popoln seznam potnikov, ki vsebuje vse potnike na krovu ob odhodu zrakoplova. Medtem ko se podatki API štejejo za „preverjene“ informacije, saj se nanašajo na potujoče, ki so se vkrcali na zrakoplov, zato jih lahko organi, pristojni za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, uporabijo tudi za identifikacijo osumljencev in iskanih oseb, so podatki PNR „nepreverjene“ informacije, ki jih zagotovijo sami potniki. Podatki PNR o določenem potniku običajno ne vsebujejo vseh možnih elementov evidence podatkov o potnikih, temveč samo tiste, ki jih zagotovi potnik in/ali so potrebni za rezervacijo in torej za običajne poslovne namene letalskega prevoznika.
Od sprejetja direktive API leta 2004 obstaja splošno soglasje, da podatki API niso le ključni instrument za upravljanje meja, temveč so tudi pomembno orodje za namene kazenskega pregona, zlasti za boj proti hudim kaznivim dejanjem in terorizmu. Tako so na mednarodni ravni resolucije Varnostnega sveta Združenih narodov od leta 2014 večkrat pozvale k vzpostavitvi in globalni uvedbi sistemov API in PNR za namene kazenskega pregona 6 . Poleg tega tudi zaveza sodelujočih držav Organizacije za varnost in sodelovanje v Evropi (OVSE), da vzpostavijo sisteme API, potrjuje pomen uporabe teh podatkov v boju proti terorizmu in mednarodnemu kriminalu. 7
Kot je razvidno iz poročila Komisije o pregledu direktive PNR, skupna obdelava podatkov API in PNR s strani organov, pristojnih za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj – kar pomeni, da podatke PNR, ki jih letalski prevozniki zberejo za svoje običajne poslovne namene in jih posredujejo pristojnim organom, dopolnjuje obveznost letalskih prevoznikov, da zbirajo in prenašajo podatke API – znatno povečuje učinkovitost boja proti hudim kaznivim dejanjem in terorizmu v EU 8 . Kombinirana uporaba podatkov API in podatkov PNR pristojnim nacionalnim organom omogoča, da potrdijo identiteto potnikov, in znatno izboljša zanesljivost podatkov PNR. Taka kombinirana uporaba pred prihodom potnika organom, pristojnim za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, omogoča tudi, da opravijo oceno in natančneje preverijo le tiste osebe, za katere je na podlagi objektivnih meril in praks ocenjevanja ter v skladu z veljavnim pravom najverjetneje, da ogrožajo varnost. To olajšuje potovanje vseh drugih potnikov in zmanjšuje tveganje, da bi organi, pristojni za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, potnike ob prihodu pregledali na podlagi diskrecijskih elementov, kot sta rasa ali etnično poreklo, ki bi jih lahko ti organi napačno povezali z varnostnimi tveganji.
Vendar sedanji pravni okvir EU ureja le uporabo podatkov PNR za boj proti hudim kaznivim dejanjem in terorizmu, ne ureja pa posebej uporabe podatkov API v ta namen, ki se lahko trenutno zahtevajo le za lete, ki prihajajo iz tretjih držav. To povzroča varnostno vrzel, zlasti v zvezi z leti znotraj EU, za katere države članice od letalskih prevoznikov zahtevajo prenos podatkov PNR. Enote za informacije o potnikih pridobijo najučinkovitejše operativne rezultate za lete, v zvezi s katerimi se zbirajo podatki API in tudi podatki PNR. To pomeni, da organi, pristojni za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, ne morejo izkoristiti rezultatov skupne obdelave podatkov API in podatkov PNR za lete znotraj EU, za katere se prenašajo samo podatki PNR.
Da bi odpravili to vrzel, je Komisija v strategiji iz junija 2021 za v celoti delujoče in odporno schengensko območje pozvala k večji uporabi podatkov API v kombinaciji s podatki PNR za lete znotraj schengenskega območja, da bi znatno okrepili notranjo varnost, ob upoštevanju temeljne pravice do varstva osebnih podatkov in temeljne pravice do prostega gibanja 9 .
Cilj predlagane uredbe je zato določiti boljša pravila za zbiranje in prenos podatkov API s strani letalskih prevoznikov za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj. Za zagotovitev skladnosti z ustreznimi temeljnimi pravicami iz Listine EU o temeljnih pravicah (v nadaljnjem besedilu: Listina), zlasti s pravico do zasebnosti in pravico do varstva osebnih podatkov, ter s tem povezanimi zahtevami glede nujnosti in sorazmernosti, je področje uporabe predloga, kot je pojasnjeno v nadaljevanju, skrbno omejeno, predlog pa vsebuje stroge omejitve in zaščitne ukrepe za varstvo osebnih podatkov.
•Skladnost z veljavnimi predpisi s področja zadevne politike
Predlagana pravila o zbiranju in prenosu podatkov API za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj so usklajena z veljavnimi pravili za obdelavo podatkov PNR, kot so določena v direktivi PNR 10 . Upoštevajo razlage v najnovejši sodni praksi Sodišča Evropske unije, zlasti v zvezi z obdelavo podatkov PNR za lete znotraj EU, pri katerih mora biti prenos podatkov PNR pristojnim organom držav članic na letih znotraj EU selektiven in ne sme biti sistematičen, razen če je utemeljen z resnično in sedanjo ali predvidljivo teroristično grožnjo 11 .
V primeru morebitnega prekrivanja med predlagano uredbo in pravili direktive PNR – glede na to, da, kot je že bilo omenjeno, opredelitev pojma podatki PNR v skladu z navedeno direktivo vključuje „vse zbrane predhodne podatke o potnikih (API)“ – prevladajo pravila predlagane uredbe, saj gre za lex specialis in lex posterior. Medtem ko morajo države članice v skladu z direktivo PNR sprejeti potrebne ukrepe za zagotovitev, da letalski prevozniki prenesejo podatke PNR, v kolikor so jih že zbrali med običajnim poslovanjem, predlagana uredba določa obveznost letalskih prevoznikov, da zbirajo podatke API v določenih primerih in da te podatke prenesejo na določen način. Predlagana uredba zato dopolnjuje direktivo PNR, saj določa obveznost, da morajo letalski prevozniki v vseh primerih, ko organi, pristojni za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj – tj. enote za informacije o potnikih – prejmejo podatke PNR v skladu z direktivo PNR, zbirati in tem organom prenesti tudi podatke API.
Po posredovanju podatkov API enotam za informacije o potnikih, ustanovljenim z direktivo PNR, poleg omejenih zahtev v zvezi s tem, kot je določeno v predlagani uredbi, veljajo pravila o nadaljnji obdelavi podatkov API s strani enot za informacije o potnikih iz direktive PNR. Kot je bilo navedeno, direktiva PNR omogoča skupno obdelavo podatkov API in podatkov PNR, saj opredelitev podatkov PNR vključuje „vse zbrane predhodne podatke o potnikih (API)“, kar torej vključuje podatke API, ki jih v skladu s predlagano uredbo prejmejo enote za informacije o potnikih. Zato se uporabljajo pravila iz člena 6 in člena 9 ter nadaljnjih členov direktive PNR v zvezi z zadevami, kot so natančni nameni obdelave, obdobja hrambe, izbris, izmenjava informacij, prenos podatkov s strani držav članic tretjim državam in posebne določbe o varstvu takih osebnih podatkov.
Poleg tega se bodo uporabljali splošno veljavni akti prava EU v skladu s pogoji, določenimi v njih. Kar zadeva obdelavo osebnih podatkov, to velja zlasti za splošno uredbo o varstvu podatkov (GDPR) 12 , direktivo o varstvu podatkov pri preprečevanju, odkrivanju in preiskovanju kaznivih dejanj 13 ter uredbo EU o varstvu podatkov 14 . Ta predlog ne vpliva na navedene akte.
Uporaba zgoraj navedenih aktov prava EU za obdelavo podatkov API, prejetih na podlagi te uredbe, pomeni, da države članice izvajajo pravo EU v smislu člena 51(1) Listine, kar pomeni, da se uporabljajo tudi pravila Listine. Natančneje, pravila iz navedenih aktov prava EU je treba razlagati ob upoštevanju Listine.
Ta predlog za zagotavljanje skladnosti s pravili iz predloga uredbe o zbiranju in prenosu podatkov API za namene mejnega nadzora ter učinkovitosti prenosa podatkov API določa obveznost letalskih prevoznikov, da zbirajo isti sklop podatkov API in ga prenesejo na isti usmerjevalnik, kot je vzpostavljen na podlagi te druge predlagane uredbe.
Pridobivanje podatkov API iz potovalnih dokumentov je poleg tega skladno s Smernicami ICAO o strojno berljivih potovalnih dokumentih 15 , ki so v pravni red EU prenesene z Uredbo (EU) 2019/1157 o okrepitvi varnosti osebnih izkaznic državljanov Unije, Direktivo Sveta 2019/997 o vzpostavitvi potne listine EU za vrnitev in Uredbo (ES) št. 2252/2004 o standardih za varnostne značilnosti in biometrične podatke v potnih listih. Navedeni uredbi sta pogoj za omogočanje avtomatiziranega pridobivanja popolnih in visokokakovostnih podatkov iz potovalnih dokumentov.
2.PRAVNA PODLAGA, SUBSIDIARNOST IN SORAZMERNOST
•Pravna podlaga
Za to predlagano uredbo o zbiranju in prenosu podatkov API za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj sta ob upoštevanju njenega cilja in predvidenih ukrepov ustrezna pravna podlaga člen 82(1)(d) in člen 87(2)(a) Pogodbe o delovanju Evropske unije (PDEU).
Unija lahko v skladu s členom 82(1), točka (d), PDEU sprejema ukrepe za lažje sodelovanje med sodnimi ali drugimi enakovrednimi organi držav članic pri kazenskih postopkih in izvrševanju odločb. V skladu s členom 87(2), točka (a), PDEU je Unija pooblaščena za sprejemanje ukrepov v zvezi z zbiranjem, hrambo, obdelavo, analizo in izmenjavo ustreznih informacij za namene policijskega sodelovanja v EU.
Zato je pravna podlaga, ki se uporablja za ta predlog, enaka tisti, ki se uporablja za direktivo PNR, kar je primerno glede na to, da predlagana uredba v bistvu sledi istemu cilju, poleg tega pa je njen namen dopolniti direktivo PNR.
•Subsidiarnost
Organom, pristojnim za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, je treba zagotoviti učinkovita orodja za boj proti terorizmu in hudim kaznivim dejanjem. Ker najhujša kazniva dejanja in teroristična dejanja vključujejo mednarodna potovanja, pogosto z letalom, so se podatki PNR izkazali za zelo učinkovite pri zaščiti notranje varnosti EU. Poleg tega so preiskave za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj, ki jih izvajajo pristojni organi držav članic, v veliki meri odvisne od mednarodnega in čezmejnega sodelovanja.
Na območju brez nadzora na notranjih mejah so zbiranje, obdelava in izmenjava podatkov o potnikih, ki jih izvajajo države članice, vključno s podatki PNR in API, tudi učinkoviti kompenzacijski ukrepi. Predlog bo z usklajenim delovanjem na ravni EU prispeval k povečanju varnosti držav članic in s tem celotne EU.
Direktiva API je del schengenskega pravnega reda v zvezi s prehajanjem zunanjih meja. Zato ne ureja zbiranja in prenosa podatkov API za lete znotraj EU. Ker podatki API, ki bi dopolnjevali podatke PNR, za te lete niso na voljo, so države članice uvedle različne ukrepe kot protiutež za pomanjkanje podatkov o identiteti potnikov. To vključuje fizična preverjanja, s katerimi se preveri ujemanje identifikacijskih podatkov v potovalnem dokumentu in na vstopnem kuponu, kar pa povzroča nove težave in ne reši osnovne težave v zvezi z nerazpoložljivostjo podatkov API.
Ukrepanje na ravni EU bo pomagalo zagotoviti uporabo usklajenih določb o varstvu temeljnih pravic v državah članicah, zlasti pravice do varstva osebnih podatkov. Različni sistemi držav članic, ki so že vzpostavile podobne mehanizme ali pa bodo to storile v prihodnosti, lahko negativno vplivajo na letalske prevoznike, saj bodo morda morali izpolnjevati več razhajajočih se nacionalnih zahtev, na primer glede vrst informacij, ki jih morajo prenesti, in pogojev glede zagotavljanja teh informacij državam članicam. Te razlike lahko škodijo učinkovitemu sodelovanju med državami članicami za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj. Takšna usklajena pravila se lahko določijo le na ravni EU.
Ker države članice same ne morejo zadovoljivo doseči ciljev tega predloga in se ti cilji lažje dosežejo na ravni Unije, se lahko sklene, da je EU pristojna za ukrepanje na tem področju in ima za to tudi boljše možnosti kot pa vsaka posamezna država članica. Predlog je zato v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji.
•Sorazmernost
V skladu z načelom sorazmernosti iz člena 5(4) PEU je treba naravo in intenzivnost zadevnega ukrepa prilagoditi ugotovljeni težavi. Vse težave, obravnavane v tej zakonodajni pobudi, tako ali drugače zahtevajo zakonodajno ukrepanje na ravni EU, da bi lahko države članice te težave učinkovito reševale.
S predlaganimi pravili o zbiranju in prenosu podatkov API se bodo ob upoštevanju strogih omejitev in zaščitnih ukrepov okrepili preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj. Zato predlagana pravila ustrezajo ugotovljeni potrebi po okrepitvi notranje varnosti in se učinkovito odzivajo na problem, ki izhaja iz odsotnosti skupne obdelave podatkov API in podatkov PNR, vključno za tiste lete znotraj EU, za katere države članice prejemajo podatke PNR.
Področje uporabe predloga je omejeno na to, kar je nujno potrebno, tj. omejeno je na tiste elemente, ki zahtevajo usklajen pristop EU, in sicer na namene, za katere lahko enote za informacije o potnikih uporabljajo podatke API, na podatkovne elemente, ki jih je treba zbirati, ter na sredstva za zbiranje in prenos podatkov API od potujočih. Prenos podatkov API na usmerjevalnik zmanjšuje kompleksnost vzdrževanja povezav letalskih prevoznikov z enotami za informacije o potnikih in uvaja ekonomijo obsega, hkrati pa zmanjšuje možnosti za napake in zlorabe. Namen zajema le teroristična in huda kazniva dejanja, kot so opredeljena v predlogu, zaradi njihove resnosti in nadnacionalne razsežnosti.
Za omejitev poseganja v pravice potnikov na to, kar je nujno potrebno, so v predlogu določeni številni zaščitni ukrepi. Konkretneje je obdelava podatkov API v skladu s predlagano uredbo omejena na izčrpen in omejen seznam podatkov API. Prav tako se poleg navedenih ne zbirajo nobeni dodatni podatki o identiteti. Poleg tega predlagana uredba določa samo pravila o zbiranju in prenosu podatkov API prek usmerjevalnika enotam za informacije o potnikih za omejene, v uredbi določene namene. Ne ureja nadaljnje obdelave podatkov API s strani enot za informacije o potnikih, saj, kot je pojasnjeno zgoraj, to urejajo drugi akti prava EU (direktiva PNR, zakonodaja o varstvu osebnih podatkov, Listina). Funkcije usmerjevalnika in zlasti njegova zmogljivost zbiranja in zagotavljanja celovitih statističnih informacij prav tako podpirajo spremljanje, kako letalski prevozniki in enote za informacije o potnikih izvajajo to uredbo. Določeni so tudi nekateri posebni zaščitni ukrepi, kot so pravila o vodenju dnevnikov, varstvu osebnih podatkov in varnosti.
Za zagotovitev nujnosti in sorazmernosti obdelave podatkov v skladu s predlagano uredbo, zlasti kar zadeva zbiranje in prenos podatkov API za lete znotraj EU, bodo v skladu z navedeno sodno prakso Sodišča Evropske unije države članice prejele podatke API le za tiste lete znotraj EU, ki so jih izbrale. Poleg tega bi za nadaljnjo obdelavo podatkov API s strani enot za informacije o potnikih veljale omejitve in zaščitni ukrepi, določeni v direktivi PNR, kot jih razlaga Sodišče Evropske unije v zadevi Ligue des droits humains 16 glede na Listino.
•Izbira instrumenta
Predlagani ukrep je uredba. Ker se morajo ukrepi neposredno in enotno uporabljati v vseh državah članicah, je uredba ustrezna izbira pravnega instrumenta.
3.REZULTATI NAKNADNIH OCEN, POSVETOVANJ Z DELEŽNIKI IN OCEN UČINKA
•Naknadna ocena obstoječe zakonodaje
Direktiva API ne preprečuje obdelave podatkov API za namene kazenskega pregona, kot je določena v nacionalni zakonodaji in za katero veljajo zahteve glede varstva osebnih podatkov. Vendar je, kot je bilo ugotovljeno pri oceni direktive API, izvajanje te možnosti v državah članicah problematično in povzroča varnostne vrzeli zaradi pomanjkanja meril EU za zbiranje in prenos podatkov API za namene kazenskega pregona 17 :
–Namen preprečevanja, odkrivanja, preiskovanja in pregona kaznivih dejanj se v nekaterih nacionalnih zakonodajah držav članic razlaga široko, od prekrškov, krepitve notranje varnosti in javnega reda do boja proti terorizmu in zaščite interesov nacionalne varnosti. Ocena direktive API je pokazala tudi, da bi bil za učinkovito uporabo podatkov API za kazenski pregon potreben poseben pravni instrument za konkretno ta namen 18 .
–Različni nameni zbiranja podatkov API povečujejo kompleksnost pri zagotavljanju skladnosti z okvirom EU za varstvo osebnih podatkov. Zahteva po izbrisu podatkov API v 24 urah je določena le v primeru uporabe podatkov API za glavni cilj direktive API, in sicer upravljanje zunanjih meja. Ni jasno, ali ta zahteva velja tudi za obdelavo, ki se izvaja za namene kazenskega pregona.
–Nabor podatkov API, ki se lahko zahteva od prevoznikov za namene kazenskega pregona, poleg prakse nekaterih držav članic, da zahtevajo tudi podatke API, ki niso na neizčrpnem seznamu iz direktive API, povzroča dodatne ovire za letalske prevoznike v smislu izpolnjevanja različnih zahtev pri prevozu potnikov v EU.
–Prav tako direktiva API ne navaja letov, za katere se lahko zahtevajo podatki API, niti tega, kateremu organu bi bilo treba posredovati podatke API, ali pogojev za dostop do takih podatkov za namene kazenskega pregona.
•Posvetovanja z deležniki
Priprava tega predloga je vključevala širok nabor posvetovanj z zadevnimi deležniki, vključno z organi držav članic (pristojnimi mejnimi organi, enotami za informacije o potnikih), predstavniki prometnega sektorja in posameznimi letalskimi prevozniki. Prispevke so zagotovile tudi agencije EU, kot so Evropska agencija za mejno in obalno stražo (Frontex), Agencija EU za sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (Europol), Agencija EU za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (eu-LISA) in Agencija EU za temeljne pravice (FRA). Ta pobuda vključuje tudi mnenja in povratne informacije, prejete med javnim posvetovanjem, ki je potekalo konec leta 2019 v okviru ocene direktive API 19 .
Med posvetovalnimi dejavnostmi v okviru priprave ocene učinka v podporo temu predlogu so bile povratne informacije deležnikov zbrane na različne načine. Te dejavnosti so vključevale zlasti začetno oceno učinka, zunanjo podporno študijo in vrsto tehničnih delavnic.
Začetna ocena učinka je bila objavljena za povratne informacije od 5. junija 2020 do 14. avgusta 2020, pri čemer je bilo prejetih skupno sedem prispevkov s povratnimi informacijami o razširitvi področja uporabe prihodnje direktive API, kakovosti podatkov, sankcijah, razmerju med podatki API in podatki PNR ter varstvu osebnih podatkov 20 .
Zunanja podporna študija je bila izvedena na podlagi teoretične raziskave ter razgovorov in anket, opravljenih s strokovnjaki za to področje, ter je preučila različne možne ukrepe za obdelavo podatkov API z jasnimi pravili, ki olajšujejo zakonito potovanje in so skladna z interoperabilnostjo informacijskih sistemov EU, zahtevami EU glede varstva osebnih podatkov ter drugimi obstoječimi instrumenti EU in mednarodnimi standardi.
Službe Komisije so organizirale tudi vrsto tehničnih delavnic s strokovnjaki iz držav članic in pridruženih schengenskih držav. Namen teh delavnic je bil zbrati strokovnjake za izmenjavo mnenj o možnostih, ki so bile predvidene za okrepitev prihodnjega okvira za podatke API za upravljanje meja ter tudi za boj proti kriminalu in terorizmu.
V priloženi oceni učinka je podrobnejši opis posvetovanja z deležniki (Priloga 2).
•Ocena učinka
Komisija je v skladu s smernicami za boljše pravno urejanje izvedla oceno učinka, kot je predstavljena v priloženem delovnem dokumentu služb Komisije [sklic]. Odbor za regulativni nadzor je na seji 28. septembra 2022 pregledal osnutek ocene učinka in 30. septembra 2022 podal pozitivno mnenje.
Glede na ugotovljene težave v zvezi z zbiranjem in prenosom podatkov API so bile v oceni učinka ocenjene možne politike glede obsega zbiranja podatkov API za upravljanje zunanjih meja in za namene kazenskega pregona, skupaj z možnostmi za izboljšanje kakovosti podatkov API. Kar zadeva zbiranje podatkov API za namene kazenskega pregona, je bilo v oceni učinka obravnavano zbiranje podatkov API za vse lete v EU ali iz nje na eni strani ter zbiranje podatkov API za vse lete v EU ali iz nje in izbrane lete znotraj EU na drugi strani. Poleg tega so bile v oceni učinka obravnavane tudi možnosti za izboljšanje kakovosti podatkov API, bodisi z zbiranjem podatkov API z avtomatiziranimi sredstvi in ročno bodisi z zbiranjem podatkov API samo z avtomatiziranimi sredstvi.
Na podlagi ugotovitev iz ocene učinka prednostna možna politika za instrument API za namene kazenskega pregona vključuje zbiranje podatkov API za vse lete v EU in iz EU, pa tudi za izbrane lete znotraj EU, za katere se prenesejo podatki PNR. S tem se bo znatno okrepila zanesljivost potrebne analize relevantnih podatkov v zvezi s potujočimi v zračnem prometu za namene boja proti hudim kaznivim dejanjem in terorizmu, pri čemer bodo enote za informacije o potnikih imele koristi od razpoložljivosti preverjenih in torej kakovostnejših podatkov API za identifikacijo oseb, vpletenih v huda kazniva dejanja ali terorizem. Zbiranje in prenos podatkov API za namene kazenskega pregona temelji na zmogljivostih, razvitih za prenos podatkov API prek usmerjevalnika za namene upravljanja zunanjih meja, zato ne predstavlja dodatnih stroškov za agencijo eu-LISA. Letalski prevozniki prenesejo podatke API samo na usmerjevalnik, ki bi nato te podatke posredoval enoti za informacije o potnikih vsake zadevne države članice. V oceni učinka je bilo ugotovljeno, da je to stroškovno učinkovita rešitev za letalske prevoznike, saj zmanjšuje del stroškov prenosa, ki jih imajo letalski prevozniki, hkrati pa omejuje možnosti za napake ali zlorabe. Vendar bi morali letalski prevozniki v skladu s predlagano uredbo po novem ne glede na svoje običajne poslovne potrebe zbirati in prenašati podatke API za vse z uredbo zajete lete, kar vključuje tudi lete znotraj EU. Predlog je skladen s ciljem podnebne nevtralnosti iz evropskih podnebnih pravil 21 ter cilji Unije za leti 2030 in 2040.
•Temeljne pravice
Ta pobuda določa obdelavo osebnih podatkov potujočih in zato omejuje uveljavljanje temeljne pravice do varstva osebnih podatkov, kot je zagotovljena s členom 8 Listine in členom 16 PDEU. Kot je poudarilo Sodišče EU (SEU) 22 , pravica do varstva osebnih podatkov ni absolutna, vendar pa je treba vsako omejitev obravnavati glede na vlogo te pravice v družbi, prav tako pa morajo biti izpolnjena merila iz člena 52(1) Listine 23 . Varstvo osebnih podatkov je tesno povezano tudi s spoštovanjem pravice do zasebnosti v okviru pravice do spoštovanja zasebnega in družinskega življenja, ki jo varuje člen 7 Listine.
Kar zadeva zbiranje in prenos podatkov API za izbrane lete znotraj EU, ta pobuda vpliva tudi na uresničevanje temeljne pravice do prostega gibanja iz člena 45 Listine in člena 21 PDEU. V skladu z mnenjem Sodišča Evropske unije je ovira za prosto gibanje oseb lahko upravičena le, če temelji na objektivnih razlogih in če je sorazmerna s ciljem, ki mu nacionalno pravo legitimno sledi 24 .
V skladu s to uredbo se lahko podatki API zbirajo in prenašajo le za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj, kot so opredeljena v direktivi PNR. Določbe tega predloga uvajajo enotna merila za zbiranje in prenos podatkov API za lete v EU ali iz nje (tj. dohodne in odhodne lete) ter za izbrane lete znotraj EU na podlagi ocene, ki jo opravijo države članice in je predmet rednih pregledov v skladu z zahtevami, ki jih je Sodišče določilo v zadevi Ligue des droits humains. Obveznost letalskih prevoznikov, da zbirajo in prenašajo podatke API na usmerjevalnik, zajema vse lete znotraj EU. Prenos podatkov z usmerjevalnika na enote za informacije o potnikih je tehnična rešitev, da se prenos podatkov API enotam za informacije o potnikih omeji samo na izbrane lete, ne da bi se razkrile zaupne informacije o tem, za katere izbrane lete znotraj EU se ti podatki prenesejo. Takšne informacije je treba obravnavati zaupno. Če bi bile namreč znane širši javnosti, ali natančneje, osebam, vpletenim v huda kazniva dejanja ali teroristične dejavnosti, bi s tem nastalo tveganje izogibanja izbranim letom.
Obvezna uporaba avtomatiziranih sredstev za zbiranje nekaterih podatkov API od potujočih s strani letalskih prevoznikov lahko povzroči tveganja, tudi z vidika varstva osebnih podatkov. Vendar so bila taka tveganja omejena in ublažena. Prvič, zahteva se uporablja le za nekatere podatke API, kjer je mogoče avtomatizirana sredstva uporabljati odgovorno, npr. za strojno berljive podatke iz dokumentov potujočih. Drugič, predlagana uredba vsebuje zahteve glede avtomatiziranih sredstev, ki se bodo uporabljala, ki jih je treba podrobneje določiti v delegiranem aktu. Poleg tega je določenih več zaščitnih ukrepov, kot so vodenje dnevnikov, posebna pravila o varstvu osebnih podatkov in učinkovit nadzor.
Čeprav predlagana uredba razen v določbi, ki zagotavlja skladnost z načelom omejitve namena, ne bi urejala uporabe podatkov API s strani pristojnih mejnih organov, ki te podatke prejmejo na podlagi predlagane uredbe (saj to, kot je bilo že omenjeno, ureja druga zakonodaja), je zaradi jasnosti v uvodnih izjavah navedeno, da taka uporaba ne sme povzročiti diskriminacije, ki je prepovedana na podlagi člena 21 Listine.
4.PRORAČUNSKE POSLEDICE
Ta zakonodajna pobuda o zbiranju in prenosu podatkov API za olajšanje nadzora zunanjih meja ter za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj bi vplivala na proračun in kadrovske potrebe agencije eu-LISA in pristojnih organov držav članic.
Ocenjuje se, da bo za agencijo eu-LISA potreben dodaten proračun v višini približno 45 milijonov EUR (33 milijonov EUR v sedanjem večletnem finančnem okviru) za vzpostavitev usmerjevalnika in 9 milijonov EUR na leto od leta 2029 naprej za njegovo tehnično upravljanje ter približno 27 dodatnih delovnih mest za zagotovitev, da bo imela agencija potrebne vire za opravljanje nalog, ki so ji dodeljene s to predlagano uredbo in s predlagano uredbo za zbiranje in prenos podatkov API za olajšanje nadzora zunanjih meja.
Za države članice se ocenjuje, da bi lahko bila sredstva v višini 11 milijonov EUR (3 milijoni EUR v sedanjem večletnem finančnem okviru), namenjena za posodobitev potrebnih nacionalnih sistemov in infrastruktur za enote za informacije o potnikih, upravičena do povračila iz Sklada za notranjo varnost 25 , od leta 2028 naprej pa bi bila za povračilo postopoma upravičena sredstva v višini do 2 milijona EUR na leto. Vsako tako upravičenost bo treba na koncu določiti v skladu s pravili, ki urejajo ta sredstva, in pravili o stroških iz predlagane uredbe.
Glede na tesno povezavo med to predlagano uredbo in predlagano uredbo o zbiranju in prenosu podatkov API za olajšanje nadzora zunanjih meja, zlasti kar zadeva prenos podatkov API na usmerjevalnik, je ocena finančnih posledic zakonodajnega predloga, ki je priložena tej predlagani uredbi, enaka za oba predloga.
5.DRUGI ELEMENTI
•Načrti za izvedbo ter ureditev spremljanja, ocenjevanja in poročanja
Komisija bi zagotovila potrebno ureditev za spremljanje delovanja predlaganih ukrepov in njihovo ocenjevanje glede na glavne cilje politike. Štiri leta po začetku izvajanja predlagane uredbe API in nato vsaka štiri leta bi Komisija Evropskemu parlamentu in Svetu predložila poročilo, v katerem bi ocenila izvajanje uredbe in njeno dodano vrednost. V poročilu bi poročala tudi o kakršnem koli neposrednem ali posrednem vplivu na temeljne pravice. Pri tem bi preučila dosežene rezultate glede na cilje ter ocenila veljavnost temeljnih razlogov in morebitne posledice za prihodnje možnosti.
Obveznost zbiranja podatkov API za lete v EU ali iz nje in za izbrane lete znotraj EU s strani letalskih prevoznikov in uvedba usmerjevalnika API bosta omogočili jasnejši pregled nad prenosom podatkov API s strani letalskih prevoznikov in nad uporabo podatkov API s strani držav članic v skladu z veljavno nacionalno zakonodajo in zakonodajo Unije. To bo Komisiji pomagalo pri nalogah ocenjevanja in izvrševanja, saj ji bo zagotovilo zanesljive statistične podatke o količini prenesenih podatkov in letih, za katere bi se zahtevali podatki API.
•Natančnejša pojasnitev posameznih določb predloga
Poglavje 1 določa splošne določbe te uredbe, začenši s pravili o predmetu urejanja in področjem uporabe. Vsebuje tudi seznam opredelitev pojmov.
Poglavje 2 vsebuje določbe o zbiranju in prenosu podatkov API na usmerjevalnik ter njihovem izbrisu s strani letalskih prevoznikov in pravila o prenosu podatkov API z usmerjevalnika na enote za informacije o potnikih.
Poglavje 3 vsebuje določbe o dnevnikih, o tem, kdo so upravljavci osebnih podatkov v zvezi z obdelavo podatkov API, ki predstavljajo osebne podatke, na podlagi te uredbe, o varnosti ter o notranjem spremljanju, ki ga izvajajo sami letalski prevozniki in enote za informacije o potnikih.
Poglavje 4 nadalje določa pravila o povezavah in integraciji enot za informacije o potnikih in letalskih prevoznikov z usmerjevalnikom ter o stroških držav članic v zvezi s tem. Vsebuje tudi določbe, ki urejajo primer delne ali popolne tehnične nezmožnosti uporabe usmerjevalnika ter odgovornost za škodo, povzročeno usmerjevalniku.
Poglavje 5 vsebuje določbe o nadzoru, morebitnih kaznih za letalske prevoznike zaradi neizpolnjevanja obveznosti na podlagi te uredbe in o pripravi praktičnega priročnika s strani Komisije.
Poglavje 6 vsebuje določbe o spremembi drugih obstoječih instrumentov, in sicer Uredbe (EU) 2019/818.
Poglavje 7 vsebuje končne določbe te uredbe, ki se nanašajo na sprejetje delegiranih aktov, spremljanje in ocenjevanje te uredbe ter začetek njene veljavnosti in uporabe.
2022/0425 (COD)
Predlog
UREDBA EVROPSKEGA PARLAMENTA IN SVETA
o zbiranju in prenosu predhodnih informacij o potnikih za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj ter o spremembi Uredbe (EU) 2019/818
EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –
ob upoštevanju Pogodbe o delovanju Evropske unije ter zlasti člena 82(1), točka (d), in člena 87(2), točka (a), Pogodbe,
ob upoštevanju predloga Evropske komisije,
po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,
ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora 26 ,
v skladu z rednim zakonodajnim postopkom,
ob upoštevanju naslednjega:
(1)Zaradi nadnacionalne razsežnosti hudih kaznivih dejanj in organiziranega kriminala ter stalne grožnje terorističnih napadov na evropskem ozemlju je potrebno ukrepanje na ravni Unije, da bi bili sprejeti ustrezni ukrepi za zagotovitev varnosti na območju svobode, varnosti in pravice brez notranjih meja. Informacije o potujočih v zračnem prometu, kot so evidence podatkov o potnikih (v nadaljnjem besedilu: podatki PNR) in zlasti predhodne informacije o potnikih (v nadaljnjem besedilu: podatki API), so bistvene za identifikacijo visokotveganih potujočih, vključno s tistimi, ki organom, pristojnim za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj, sicer niso znani, ter za prepoznavanje povezav med člani kriminalnih združb in za boj proti terorističnim dejavnostim.
(2)Čeprav Direktiva Sveta 2004/82/ES 27 vzpostavlja pravni okvir za zbiranje in prenos podatkov API s strani letalskih prevoznikov z namenom izboljšanja mejnega nadzora in boja proti nezakonitemu priseljevanju, določa tudi, da lahko države članice uporabijo podatke API za namene kazenskega pregona. Vendar zgolj navedba take možnosti vodi do več vrzeli in pomanjkljivosti. Pomeni zlasti, da letalski prevozniki kljub pomenu podatkov API za kazenski pregon teh podatkov ne zbirajo in prenašajo v vseh primerih. To pomeni tudi, da se letalski prevozniki, kadar so države članice uporabile to možnost, soočajo z razhajajočimi se zahtevami nacionalnega prava glede tega, kdaj in kako naj v ta namen zbirajo in prenašajo podatke API. Ta razhajanja ne povzročajo le nepotrebnih stroškov in zapletov za letalske prevoznike, temveč lahko škodujejo tudi notranji varnosti Unije in učinkovitemu sodelovanju med organi držav članic, pristojnimi za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj. Poleg tega je glede na različno naravo namena olajšanja mejnega nadzora in namena kazenskega pregona primerno vzpostaviti ločen pravni okvir za zbiranje in prenos podatkov API za vsakega od navedenih namenov.
(3)Direktiva (EU) 2016/681 Evropskega parlamenta in Sveta 28 določa pravila o uporabi podatkov PNR za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj. V skladu z navedeno direktivo morajo države članice sprejeti potrebne ukrepe za zagotovitev, da letalski prevozniki prenesejo podatke PNR, vključno z morebitnimi zbranimi podatki API, nacionalnim enotam za informacije o potnikih, ustanovljenim na podlagi navedene direktive, če so take podatke že zbrali v okviru svojega običajnega poslovanja. Zato navedena direktiva ne zagotavlja zbiranja in prenosa podatkov API v vseh primerih, saj zbiranje celotnega sklopa takih podatkov ni potrebno za poslovne namene letalskih prevoznikov. Pomembno je zagotoviti, da enote za informacije o potnikih prejmejo podatke API skupaj s podatki PNR, saj je potrebna skupna obdelava teh podatkov, da lahko pristojni organi držav članic učinkovito preprečujejo, odkrivajo, preiskujejo in preganjajo teroristična in huda kazniva dejanja. Taka skupna obdelava zlasti omogoča natančno identifikacijo tistih potnikov, ki jih bodo ti organi morda morali dodatno preveriti v skladu z veljavnim pravom. Poleg tega navedena direktiva ne določa podrobno, katere informacije predstavljajo podatke API. Zato bi bilo treba določiti dopolnilna pravila, ki bi od letalskih prevoznikov zahtevala, da zbirajo in nato posredujejo točno določen sklop podatkov API, ter zahteve, ki bi se morale uporabljati, kadar so letalski prevozniki v skladu z navedeno direktivo dolžni zbirati in prenašati podatke PNR o istem letu.
(4)Na ravni Unije je zato treba določiti jasna, usklajena in učinkovita pravila o zbiranju in prenosu podatkov API za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj.
(5)Glede na tesno povezavo med obema aktoma bi bilo treba to uredbo razumeti kot dopolnitev pravil iz Direktive (EU) 2016/681. Podatke API je zato treba zbirati in prenašati v skladu s posebnimi zahtevami iz te uredbe, kar vključuje zahteve glede tega, kdaj in kako se taki podatki zbirajo in prenašajo. Vendar se pravila navedene direktive uporabljajo v zvezi z zadevami, ki niso posebej zajete v tej uredbi, zlasti pravila o naknadni obdelavi podatkov API, ki jih prejmejo enote za informacije o potnikih, pravila o izmenjavi informacij med državami članicami, o pogojih dostopa Agencije Evropske unije za sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (Europol), o prenosih podatkov v tretje države, o hrambi in depersonalizaciji ter o varstvu osebnih podatkov. Če se ta pravila uporabljajo, se uporabljajo tudi pravila navedene direktive o kaznih in nacionalnih nadzornih organih. Ta uredba ne bi smela vplivati na omenjena pravila.
(6)Zbiranje in prenos podatkov API vplivata na zasebnost posameznikov in vključujeta obdelavo osebnih podatkov. Za popolno spoštovanje temeljnih pravic, zlasti pravice do spoštovanja zasebnega življenja in pravice do varstva osebnih podatkov v skladu z Listino Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina), bi bilo treba določiti ustrezne omejitve in zaščitne ukrepe. Zlasti bi morala vsaka obdelava podatkov API, predvsem tistih, ki predstavljajo osebne podatke, ostati omejena na to, kar je potrebno in sorazmerno za doseganje ciljev te uredbe. Poleg tega bi bilo treba zagotoviti, da podatki API, ki se zbirajo in prenašajo na podlagi te uredbe, ne bodo povzročili nobene oblike diskriminacije, ki jo prepoveduje Listina.
(7)Ker ta uredba dopolnjuje Direktivo (EU) 2016/681, bi se morale obveznosti letalskih prevoznikov iz te uredbe uporabljati za vse lete, za katere morajo države članice od letalskih prevoznikov zahtevati, da na podlagi Direktive (EU) 2016/681 posredujejo podatke PNR, in sicer za redne in posebne lete, tako med državami članicami in tretjimi državami (leti zunaj EU) kot med več državami članicami (leti znotraj EU), če so bili ti leti izbrani v skladu z Direktivo (EU) 2016/681, ne glede na kraj sedeža letalskih prevoznikov, ki opravljajo te lete.
(8)Ker Direktiva (EU) 2016/681 ne zajema notranjih letov, tj. letov z vzletom in pristankom na ozemlju iste države članice brez postanka na ozemlju druge države članice ali tretje države, in ker imajo teroristična in huda kazniva dejanja, zajeta s to uredbo, nadnacionalno razsežnost, ta uredba prav tako ne bi smela zajemati notranjih letov. Ta uredba se ne bi smela razumeti tako, da vpliva na možnost držav članic, da v svojem nacionalnem pravu in v skladu s pravom Unije letalskim prevoznikom naložijo obveznosti zbiranja in prenosa podatkov API za take notranje lete.
(9)Glede na tesno povezavo med zadevnimi akti prava Unije ter zaradi doslednosti in skladnosti bi bilo treba opredelitve pojmov v tej uredbi čim bolj uskladiti z opredelitvami pojmov iz Direktive (EU) 2016/681 in Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja] 29 ter jih razlagati in uporabljati ob upoštevanju teh opredelitev.
(10)Zlasti bi morale biti informacije, ki skupaj tvorijo podatke API, ki jih je treba zbirati in nato prenesti na podlagi te uredbe, tiste, ki so jasno in izčrpno navedene v Uredbi (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja], zajemati pa bi morale informacije, ki se nanašajo na vsakega potnika, in informacije o letu tega potujočega. V skladu s to uredbo bi morale take informacije o letu obsegati informacije o mejnem prehodu vstopa na ozemlje zadevne države članice samo v primerih, ko je to ustrezno, torej to ne velja za podatke API, ki se nanašajo na lete znotraj EU.
(11)Za čim bolj dosleden pristop k zbiranju in prenosu podatkov API s strani letalskih prevoznikov bi bilo treba pravila iz te uredbe po potrebi uskladiti s pravili iz Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja]. To se nanaša zlasti na pravila o kakovosti podatkov, uporabo avtomatiziranih sredstev s strani letalskih prevoznikov za tako zbiranje, natančen način njihovega prenosa zbranih podatkov API na usmerjevalnik in izbris podatkov API.
(12)Da bi zagotovili skupno obdelavo podatkov API in podatkov PNR za učinkovit boj proti terorizmu in hudim kaznivim dejanjem v Uniji ter obenem čim bolj zmanjšali poseganje v temeljne pravice potnikov, zaščitene z Listino, bi morale biti enote za informacije o potnikih pristojni organi v državah članicah, ki so pooblaščeni za prejemanje ter nadaljnjo obdelavo in varstvo podatkov API, zbranih in prenesenih v skladu s to uredbo. Zaradi učinkovitosti in zmanjšanja morebitnih varnostnih tveganj bi moral usmerjevalnik, kot ga v skladu z Uredbo (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja] zasnuje, razvije, gosti in tehnično vzdržuje Agencija Evropske unije za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (v nadaljnjem besedilu: agencija eu-LISA), ustreznim enotam za informacije o potnikih posredovati podatke API, ki jih v skladu s to uredbo zberejo in nanj prenesejo letalski prevozniki. Glede na potrebno raven varstva podatkov API, ki predstavljajo osebne podatke, vključno z zagotavljanjem zaupnosti zadevnih informacij, bi moral usmerjevalnik podatke API na avtomatiziran način posredovati ustreznim enotam za informacije o potnikih.
(13)Enota za informacije o potnikih države članice, ki je država dohodnega leta ali odhodnega leta, bi morala od usmerjevalnika prejeti podatke API za vse lete v EU in iz nje, saj se za vse navedene lete zbirajo podatki PNR v skladu z Direktivo (EU) 2016/681. Usmerjevalnik bi moral identificirati let in ustrezne enote za informacije o potnikih z uporabo informacij iz identifikacijske številke potnika v prevoznikovem informacijskem sistemu (v nadaljnjem besedilu: koda lokatorja evidence PNR), tj. podatkovnega elementa, ki je skupen naboroma podatkov API in PNR ter enotam za informacije o potnikih omogoča skupno obdelavo podatkov API in podatkov PNR.
(14)V zvezi z leti znotraj EU bi bilo treba v skladu s sodno prakso Sodišča Evropske unije določiti selektiven pristop, da bi preprečili neupravičeno poseganje v relevantne temeljne pravice, zaščitene z Listino, ter zagotovili skladnost z zahtevami prava Unije o prostem gibanju oseb in odpravi nadzora na notranjih mejah. Ker je pomembno zagotoviti, da se lahko podatki API obdelujejo skupaj s podatki PNR, bi bilo treba ta pristop uskladiti s pristopom iz Direktive (EU) 2016/681. Zato bi bilo treba podatke API za navedene lete posredovati z usmerjevalnika ustreznim enotam za informacije o potnikih le, če so države članice zadevne lete izbrale v skladu s členom 2 Direktive (EU) 2016/681. Kot je opozorilo Sodišče Evropske unije, taka izbira pomeni, da države članice zadevne obveznosti usmerjajo med drugim le na nekatere zračne linije, potovalne vzorce ali letališča, pri čemer je treba to izbiro redno pregledovati.
(15)Da se omogoči uporaba navedenega selektivnega pristopa v skladu s to uredbo za lete znotraj EU, bi bilo treba od držav članic zahtevati, da pripravijo sezname izbranih letov in jih posredujejo agenciji eu-LISA, tako da lahko ta zagotovi, da se podatki API z usmerjevalnika prenesejo ustreznim enotam za informacije o potnikih samo za navedene lete ter da se podatki API za druge lete znotraj EU nemudoma in trajno izbrišejo.
(16)Da ne bi ogrozili učinkovitosti sistema, ki temelji na zbiranju in prenosu podatkov API v skladu s to uredbo ter na zbiranju in prenosu podatkov PNR v okviru sistema, vzpostavljenega z Direktivo (EU) 2016/681, pri preprečevanju, odkrivanju, preiskovanju in pregonu terorističnih in hudih kaznivih dejanj, zlasti da se ne bi povzročilo tveganje izogibanja, bi bilo treba informacije o tem, katere lete znotraj EU so države članice izbrale, obravnavati zaupno. Take informacije se torej ne bi smele deliti z letalskimi prevozniki in od njih bi bilo zato treba zahtevati, da zbirajo podatke API za vse lete, ki jih zajema ta uredba, vključno z vsemi leti znotraj EU, ter jih posredujejo usmerjevalniku, kjer bi bila opravljena potrebna izbira. Poleg tega se z zbiranjem podatkov API za vse lete znotraj EU zagotovi, da potniki niso seznanjeni s tem, za katere izbrane lete znotraj EU se podatki API in s tem tudi podatki PNR v skladu z oceno držav članic posredujejo enotam za informacije o potnikih. Navedeni pristop tudi zagotavlja, da se lahko vse spremembe v zvezi s to izbiro izvedejo hitro in učinkovito, ne da bi se letalskim prevoznikom naložilo kakršno koli neupravičeno ekonomsko in operativno breme.
(17)Zaradi zagotavljanja skladnosti s temeljno pravico do varstva osebnih podatkov in v skladu z Uredbo (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja] bi bilo treba v tej uredbi določiti upravljavce. Za učinkovito spremljanje, zagotavljanje ustreznega varstva osebnih podatkov in čim večje zmanjšanje varnostnih tveganj bi bilo treba določiti tudi pravila o vodenju dnevnikov, varnosti obdelave in notranjem spremljanju. Kadar se zadevne določbe nanašajo na obdelavo osebnih podatkov, bi jih bilo treba razumeti kot dopolnitev splošno veljavnih aktov prava Unije o varstvu osebnih podatkov, zlasti Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta 30 , Direktive (EU) 2016/680 Evropskega parlamenta in Sveta 31 ter Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta 32 . Ta uredba ne bi smela vplivati na navedene akte, ki se uporabljajo tudi za obdelavo osebnih podatkov na podlagi te uredbe v skladu z njenimi določbami.
(18)Usmerjevalnik, ki ga je treba vzpostaviti in upravljati v skladu z Uredbo (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja], naj bi poenostavil in zmanjšal število tehničnih povezav, potrebnih za prenos podatkov API, ter jih omejil na eno samo povezavo na letalskega prevoznika in na enoto za informacije o potnikih. Zato ta uredba določa, da morajo tako enote za informacije o potnikih kot tudi letalski prevozniki vzpostaviti svojo povezavo z usmerjevalnikom in doseči potrebno integracijo z njim, da se zagotovi pravilno delovanje sistema za prenos podatkov API, vzpostavljenega s to uredbo.
(19)Glede na zadevni interes Unije bi se morali ustrezni stroški, ki jih bodo imele države članice v zvezi s svojimi povezavami in integracijo z usmerjevalnikom na podlagi te uredbe, kriti iz proračuna Unije v skladu z veljavno zakonodajo in ob upoštevanju nekaterih izjem. Stroške, ki jih zajemajo te izjeme, bi morala kriti vsaka zadevna država članica sama.
(20)V skladu z Uredbo (EU) 2018/1726 lahko države članice agenciji eu-LISA zaupajo nalogo lajšanja povezljivosti z letalskimi prevozniki, da bi državam članicam pomagala pri izvajanju Direktive (EU) 2016/681, zlasti z zbiranjem in prenosom podatkov PNR prek usmerjevalnika.
(21)Ni mogoče izključiti, da zaradi izjemnih okoliščin in kljub sprejetju vseh razumnih ukrepov v skladu s to uredbo in, kar zadeva usmerjevalnik, v skladu z Uredbo (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja] usmerjevalnik ali pa sistemi oziroma infrastruktura, ki povezujejo enote za informacije o potnikih in letalske prevoznike z usmerjevalnikom, prenehajo pravilno delovati in da usmerjevalnika tehnično ne bo mogoče uporabljati za prenos podatkov API. Ker bi bil usmerjevalnik v tem primeru nedosegljiv in zato za letalske prevoznike na splošno ne bi bilo razumno mogoče zakonito, varno, učinkovito in hitro z drugimi sredstvi prenesti podatkov API, na katere vpliva tehnična nezmožnost, bi morala obveznost letalskih prevoznikov, da prenesejo navedene podatke API na usmerjevalnik, prenehati veljati, dokler se težava ne odpravi. Da bi omejili trajanje in negativne posledice tehnične nezmožnosti, bi se morale zadevne strani v takem primeru nemudoma medsebojno obvestiti in nemudoma sprejeti vse potrebne ukrepe za odpravo težave. Ta ureditev ne bi smela posegati v obveznosti vseh zadevnih strani na podlagi te uredbe, da zagotovijo pravilno delovanje usmerjevalnika ter svojih sistemov in infrastrukture, kot tudi ne v dejstvo, da se letalskim prevoznikom naložijo kazni, če navedenih obveznosti ne izpolnijo, tudi kadar se poskušajo sklicevati na to ureditev, če tako sklicevanje ni upravičeno. Da bi preprečili takšne zlorabe ter olajšali nadzor in po potrebi nalaganje kazni, bi morali letalski prevozniki, ki se sklicujejo na to ureditev zaradi nedelovanja svojega sistema in infrastrukture, o tem poročati pristojnemu nadzornemu organu.
(22)Za zagotovitev, da letalski prevozniki učinkovito uporabljajo pravila te uredbe, bi bilo treba določiti imenovanje in pooblastitev nacionalnih organov, ki bodo nadzirali uporabo teh pravil. Pravila iz te uredbe o takem nadzoru, tudi v zvezi z naložitvijo kazni, če je to potrebno, ne bi smela vplivati na naloge in pooblastila nadzornih organov, ustanovljenih v skladu z Uredbo (EU) 2016/679 in Direktivo (EU) 2016/680, tudi kar zadeva obdelavo osebnih podatkov na podlagi te uredbe.
(23)Države članice bi morale določiti učinkovite, sorazmerne in odvračilne kazni, vključno z denarnimi, za tiste letalske prevoznike, ki ne izpolnjujejo svojih obveznosti v zvezi z zbiranjem in prenosom podatkov API na podlagi te uredbe.
(24)Na Komisijo bi bilo treba prenesti pooblastilo, da v skladu s členom 290 Pogodbe o delovanju Evropske unije sprejme akte v zvezi s členi 4, 5, 10 oziroma 11 za sprejetje ukrepov v zvezi s tehničnimi zahtevami in operativnimi pravili za avtomatizirana sredstva za zbiranje strojno berljivih podatkov API, v zvezi s skupnimi protokoli in oblikami zapisa, ki se bodo uporabljali za prenos podatkov API s strani letalskih prevoznikov, v zvezi s tehničnimi in postopkovnimi pravili za prenos podatkov API z usmerjevalnika na enote za informacije o potnikih ter v zvezi s povezavami in integracijo enot za informacije o potnikih in letalskih prevoznikov z usmerjevalnikom. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov, in da se ta posvetovanja izvedejo v skladu z načeli, določenimi v Medinstitucionalnem sporazumu o boljši pripravi zakonodaje z dne 13. aprila 2016 33 . Za zagotovitev enakopravnega sodelovanja pri pripravi delegiranih aktov Evropski parlament in Svet prejmeta vse dokumente sočasno s strokovnjaki iz držav članic, njuni strokovnjaki pa se sistematično lahko udeležujejo sestankov strokovnih skupin Komisije, ki zadevajo pripravo delegiranih aktov.
(25)Vsem zainteresiranim stranem, zlasti letalskim prevoznikom in enotam za informacije o potnikih, bi bilo treba dati na voljo dovolj časa, da se pripravijo na izpolnjevanje svojih obveznosti na podlagi te uredbe, pri čemer je treba upoštevati, da se lahko nekatere priprave, kot so tiste v zvezi z obveznostmi glede povezave in integracije z usmerjevalnikom, zaključijo šele, ko bosta fazi zasnove in razvoja usmerjevalnika zaključeni in bo usmerjevalnik začel delovati. Zato bi se morala ta uredba začeti uporabljati šele na ustrezen datum po začetku delovanja usmerjevalnika, kot ga določi Komisija v skladu z Uredbo (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja]. Vendar bi moralo biti Komisiji omogočeno, da delegirane akte na podlagi te uredbe sprejme že prej, da se zagotovi čimprejšnje delovanje sistema, vzpostavljenega s to uredbo.
(26)Cilja te uredbe, in sicer prispevanja k preprečevanju, odkrivanju, preiskovanju in pregonu terorističnih in hudih kaznivih dejanj, zaradi nadnacionalne razsežnosti zadevnih kaznivih dejanj in potrebe po čezmejnem sodelovanju za njihovo učinkovito obravnavanje države članice same ne morejo zadovoljivo doseči, temveč se lažje dosežejo na ravni Unije. Unija lahko zato sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenega cilja.
(27)V skladu s členoma 1 in 2 Protokola št. 22 o stališču Danske, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, Danska ne sodeluje pri sprejetju te uredbe, ki zato zanjo ni zavezujoča in se v njej ne uporablja.
(28)[V skladu s členom 3 Protokola št. 21 o stališču Združenega kraljestva in Irske glede območja svobode, varnosti in pravice, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, je Irska podala uradno obvestilo, da želi sodelovati pri sprejetju in uporabi te uredbe.] ALI [V skladu s členoma 1 in 2 Protokola št. 21 o stališču Združenega kraljestva in Irske glede območja svobode, varnosti in pravice, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, ter brez poseganja v člen 4 tega protokola Irska ne sodeluje pri sprejetju te uredbe, ki zato zanjo ni zavezujoča in se v njej ne uporablja.]
(29)V skladu s členom 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal [XX] 34 –
SPREJELA NASLEDNJO UREDBO:
POGLAVJE 1
SPLOŠNE DOLOČBE
Člen 1
Predmet urejanja
Za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj so v tej uredbi določena pravila o:
(a)zbiranju predhodnih informacij o potnikih (v nadaljnjem besedilu: podatki API) s strani letalskih prevoznikov za lete zunaj EU in izbrane lete znotraj EU;
(b)prenosu podatkov API s strani letalskih prevoznikov na usmerjevalnik;
(c)prenosu podatkov API za lete zunaj EU in izbrane lete znotraj EU z usmerjevalnika na enote za informacije o potnikih.
Člen 2
Področje uporabe
Ta uredba se uporablja za letalske prevoznike, ki opravljajo redne ali posebne lete zunaj EU ali znotraj EU.
Člen 3
Opredelitev pojmov
V tej uredbi se uporabljajo naslednje opredelitve pojmov:
(a)„letalski prevoznik“ pomeni podjetje za zračni prevoz, kot je opredeljeno v členu 3, točka 1, Direktive (EU) 2016/681;
(b)„let zunaj EU“ pomeni let, kot je opredeljen v členu 3, točka 2, Direktive (EU) 2016/681;
(c)„let znotraj EU“ pomeni let, kot je opredeljen v členu 3, točka 3, Direktive (EU) 2016/681;
(d)„redni let“ pomeni let, kot je opredeljen v členu 3, točka (e), Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja];
(e)„posebni let“ pomeni let, kot je opredeljen v členu 3, točka (f), Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja];
(f)„potnik“ pomeni osebo, kot je opredeljena v členu 3, točka 4, Direktive (EU) 2016/681;
(g)„posadka“ pomeni osebe, kot so opredeljene v členu 3, točka (h), Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja];
(h)„potujoči“ pomeni osebo, kot je opredeljena v členu 3, točka (i), Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja];
(i)„predhodne informacije o potnikih“ ali „podatki API“ pomenijo podatke, kot so opredeljeni v členu 3, točka (j), Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja];
(j)„evidenca podatkov o potnikih“ ali „PNR“ pomeni zapis zahtevanih podatkov o potovanju vsakega potnika, kot je opredeljen v členu 3, točka 5, Direktive (EU) 2016/681;
(k)„enota za informacije o potnikih“ pomeni pristojni organ, ki ga je v skladu s členom 4(1) Direktive (EU) 2016/681 določila država članica in kakor je naveden v uradnih obvestilih in spremembah teh obvestil, ki jih objavi Komisija v skladu s členom 4(5) navedene direktive;
(l)„teroristična kazniva dejanja“ pomenijo kazniva dejanja, kot so opredeljena v členih 3 do 12 Direktive (EU) 2017/541 Evropskega parlamenta in Sveta 35 ;
(m)„huda kazniva dejanja“ pomenijo kazniva dejanja, kot so opredeljena v členu 3, točka 9, Direktive (EU) 2016/681;
(n)„usmerjevalnik“ pomeni usmerjevalnik, kot je opredeljen v členu 3, točka (k), Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja];
(o)„osebni podatki“ pomenijo informacije, kot so opredeljene v členu 4, točka 1, Uredbe (EU) 2016/679.
POGLAVJE 2
OBDELAVA PODATKOV API
Člen 4
Zbiranje, prenos in izbris podatkov API s strani letalskih prevoznikov
1.Letalski prevozniki zbirajo podatke API o potujočih na letih iz člena 2, da bi se ti podatki API prenesli na usmerjevalnik v skladu z odstavkom 6. Pri letih pod skupno oznako enega ali več letalskih prevoznikov je za prenos podatkov API odgovoren letalski prevoznik, ki opravlja let.
2.Letalski prevozniki pri zbiranju podatkov API poskrbijo, da so podatki API, ki jih prenesejo v skladu z odstavkom 6, točni, popolni in posodobljeni.
3.Letalski prevozniki zbirajo podatke API iz člena 4(2), točke (a) do (d), Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja] z uporabo avtomatiziranih sredstev za pridobitev strojno berljivih podatkov iz potovalnega dokumenta zadevnega potujočega. To storijo v skladu s podrobnimi tehničnimi zahtevami in operativnimi pravili iz odstavka 5, če so bila taka pravila sprejeta in se uporabljajo.
Če taka uporaba avtomatiziranih sredstev ni mogoča, ker potovalni dokument ne vsebuje strojno berljivih podatkov, letalski prevozniki ustrezne podatke zberejo ročno na način, ki zagotavlja skladnost z odstavkom 2.
4.Vsa avtomatizirana sredstva, ki jih letalski prevozniki uporabijo za zbiranje podatkov API na podlagi te uredbe, so zanesljiva, varna in posodobljena.
5.Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 19 za dopolnitev te uredbe z določitvijo podrobnih tehničnih zahtev in operativnih pravil za zbiranje podatkov API iz člena 4(2), točke (a) do (d), Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja] z uporabo avtomatiziranih sredstev v skladu z odstavkoma 3 in 4 tega člena.
6.Letalski prevozniki z elektronskimi sredstvi prenesejo podatke API, ki so jih zbrali na podlagi odstavka 1, na usmerjevalnik. To storijo v skladu s podrobnimi pravili iz odstavka 9, če so bila taka pravila sprejeta in se uporabljajo.
7.Letalski prevozniki prenesejo podatke API tako ob prijavi na let kot nemudoma po zaprtju leta, to je takrat, ko so potujoči že vkrcani na zrakoplov v pripravi na odhod in se ne morejo več vkrcati ali izkrcati.
8.Brez poseganja v možnost letalskih prevoznikov, da hranijo in uporabljajo podatke, kadar je to potrebno za njihovo običajno poslovanje v skladu s pravom, ki se uporablja, letalski prevozniki zadevne podatke API nemudoma bodisi popravijo, dopolnijo ali posodobijo ali pa trajno izbrišejo v naslednjih dveh primerih:
(a)kadar ugotovijo, da so podatki API, ki so jih zbrali, netočni ali nepopolni, da niso posodobljeni, da so bili obdelani nezakonito ali da preneseni podatki ne predstavljajo podatkov API;
(b)kadar je bil prenos podatkov API na podlagi odstavka 3 zaključen.
Kadar letalski prevozniki po zaključku prenosa podatkov API v skladu z odstavkom 6 ugotovijo kar koli iz točke (a) prvega pododstavka tega odstavka, o tem nemudoma obvestijo Agencijo Evropske unije za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (eu-LISA). Agencija eu-LISA po prejemu takih informacij nemudoma obvesti enote za informacije o potnikih, ki so prejele podatke API, prenesene prek usmerjevalnika.
9.Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 19 za dopolnitev te uredbe z določitvijo potrebnih podrobnih pravil o skupnih protokolih in podprtih oblikah zapisa podatkov, ki se uporabljajo za prenos podatkov API na usmerjevalnik iz odstavka 6.
Člen 5
Prenos podatkov API z usmerjevalnika na enote za informacije o potnikih
1.Usmerjevalnik podatke API, ki so jih v skladu s členom 4 nanj prenesli letalski prevozniki, nemudoma in avtomatizirano posreduje enoti za informacije o potnikih države članice, ki je država dohodnega ali odhodnega leta oziroma oboje pri letih znotraj EU. Kadar ima let enega ali več postankov na ozemlju držav članic, ki niso država odhodnega leta, usmerjevalnik posreduje podatke API enotam za informacije o potnikih vseh zadevnih držav članic.
Agencija eu-LISA za namene takega prenosa pripravi in posodablja korelacijsko tabelo med različnimi izvornimi in namembnimi letališči ter državami, ki jim ta letališča pripadajo.
Vendar za lete znotraj EU usmerjevalnik posreduje podatke API zadevni enoti za informacije o potnikih samo v zvezi z leti, ki so vključeni na seznam iz odstavka 2.
Usmerjevalnik posreduje podatke API v skladu s podrobnimi pravili iz odstavka 3, če so bila taka pravila sprejeta in se uporabljajo.2.Države članice, ki se odločijo uporabljati Direktivo (EU) 2016/681 za lete znotraj EU v skladu s členom 2 navedene direktive, pripravijo vsaka svoj seznam zadevnih letov znotraj EU in do datuma začetka uporabe te uredbe iz člena 21, drugi pododstavek, ta seznam posredujejo agenciji eu-LISA. Zadevne države članice v skladu s členom 2 navedene direktive redno pregledujejo in po potrebi posodobijo te sezname ter posodobljene sezname nemudoma posredujejo agenciji eu-LISA. Informacije z navedenih seznamov se obravnavajo zaupno.
3.Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 19 za dopolnitev te uredbe z določitvijo potrebnih podrobnih tehničnih in postopkovnih pravil za prenos podatkov API z usmerjevalnika iz odstavka 1.
POGLAVJE 3
VODENJE DNEVNIKOV, VARSTVO OSEBNIH PODATKOV IN VARNOST
Člen 6
Vodenje dnevnikov
1.Letalski prevozniki ustvarijo dnevnike o vseh postopkih obdelave na podlagi te uredbe, ki jih izvajajo z avtomatiziranimi sredstvi iz člena 4(3). V teh dnevnikih se beležijo datum, čas in kraj prenosa podatkov API.
2.Dnevniki iz odstavka 1 se uporabljajo samo za zagotavljanje varnosti in celovitosti podatkov API ter zakonitosti obdelave, zlasti kar zadeva skladnost z zahtevami iz te uredbe, vključno s postopki v zvezi s kaznimi za kršitve navedenih zahtev v skladu s členoma 15 in 16.
3.Letalski prevozniki sprejmejo ustrezne ukrepe za zaščito dnevnikov, ki so jih ustvarili v skladu z odstavkom 1, pred nepooblaščenim dostopom in drugimi varnostnimi tveganji.
4.Letalski prevozniki hranijo dnevnike, ki so jih ustvarili v skladu z odstavkom 1, eno leto od trenutka, ko so bili ti dnevniki ustvarjeni. Ko se ta rok izteče, navedene dnevnike nemudoma in trajno izbrišejo.
Če so ti dnevniki potrebni za postopke spremljanja ali zagotavljanja varnosti in celovitosti podatkov API ali zakonitosti postopkov obdelave iz odstavka 2 in če so se prvonavedeni postopki ob izteku roka iz prvega pododstavka že začeli, lahko letalski prevozniki te dnevnike hranijo tako dolgo, kot je potrebno za te postopke. V tem primeru te dnevnike izbrišejo takoj, ko niso več potrebni za navedene postopke.
Člen 7
Upravljavci osebnih podatkov
Enote za informacije o potnikih so upravljavci v smislu člena 3, točka 8, Direktive (EU) 2016/680 v zvezi z obdelavo podatkov API, ki predstavljajo osebne podatke, prenesene prek usmerjevalnika na podlagi te uredbe, vključno s prenosom in hrambo teh podatkov na usmerjevalniku iz tehničnih razlogov.
Letalski prevozniki so upravljavci v smislu člena 4, točka 7, Uredbe (EU) 2016/679 za obdelavo podatkov API, ki predstavljajo osebne podatke, v zvezi z njihovim zbiranjem navedenih podatkov in njihovim prenosom teh podatkov na usmerjevalnik na podlagi te uredbe.
Člen 8
Varnost
Enote za informacije o potnikih in letalski prevozniki zagotovijo varnost podatkov API, ki jih obdelujejo na podlagi te uredbe, zlasti tistih, ki predstavljajo osebne podatke.
Enote za informacije o potnikih in letalski prevozniki v skladu s svojo odgovornostjo in ob spoštovanju prava Unije z medsebojnim sodelovanjem in sodelovanjem z agencijo eu-LISA zagotovijo varnost takih podatkov.
Člen 9
Notranje spremljanje
Letalski prevozniki in enote za informacije o potnikih spremljajo izpolnjevanje svojih obveznosti na podlagi te uredbe, zlasti kar zadeva obdelavo podatkov API, ki predstavljajo osebne podatke, tudi s pogostim preverjanjem dnevnikov v skladu s členom 7.
POGLAVJE 4
DOLOČBE GLEDE USMERJEVALNIKA
Člen 10
Povezave enot za informacije o potnikih z usmerjevalnikom
1.Države članice zagotovijo, da so njihove enote za informacije o potnikih povezane z usmerjevalnikom. Zagotovijo, da so njihovi nacionalni sistemi in infrastruktura za prejemanje in nadaljnjo obdelavo podatkov API, prenesenih na podlagi te uredbe, integrirani z usmerjevalnikom.
Države članice zagotovijo, da povezava in integracija z navedenim usmerjevalnikom njihovim enotam za informacije o potnikih omogočata prejemanje in nadaljnjo obdelavo podatkov API ter zakonito, varno, učinkovito in hitro izmenjavo s tem povezanih sporočil.
2.Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 19 za dopolnitev te uredbe z določitvijo potrebnih podrobnih pravil o povezavah in integraciji z usmerjevalnikom iz odstavka 1.
Člen 11
Povezave letalskih prevoznikov z usmerjevalnikom
1.Letalski prevozniki zagotovijo, da so povezani z usmerjevalnikom. Zagotovijo, da so njihovi sistemi in infrastruktura za prenos podatkov API na usmerjevalnik na podlagi te uredbe integrirani z usmerjevalnikom.
Letalski prevozniki zagotovijo, da jim povezava in integracija z zadevnim usmerjevalnikom omogočata prenos podatkov API ter zakonito, varno, učinkovito in hitro izmenjavo s tem povezanih sporočil.
2.Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 19 za dopolnitev te uredbe z določitvijo potrebnih podrobnih pravil o povezavah in integraciji z usmerjevalnikom iz odstavka 1.
Člen 12
Stroški držav članic
1.Stroški, ki jih imajo države članice v zvezi s svojimi povezavami in integracijo z usmerjevalnikom iz člena 10, se krijejo iz splošnega proračuna Unije.
Vendar se izključijo naslednji stroški, ki jih krijejo države članice:
(a)stroški za vodenje projektov, vključno s stroški sestankov, službenih potovanj in pisarniških prostorov;
(b)stroški gostovanja nacionalnih sistemov informacijske tehnologije, vključno s stroški glede prostora, implementacije, električne energije in hlajenja;
(c)stroški delovanja nacionalnih sistemov informacijske tehnologije, vključno z operaterji in pogodbami za izvajanje podpornih storitev;
(d)stroški zasnove, razvoja, implementacije, delovanja in vzdrževanja nacionalnih komunikacijskih omrežij.
2.Države članice krijejo tudi stroške, ki izhajajo iz upravljanja, uporabe in vzdrževanja njihovih povezav in integracije z usmerjevalnikom.
Člen 13
Ukrepi v primeru tehnične nezmožnosti uporabe usmerjevalnika
1.Kadar prenos podatkov API prek usmerjevalnika tehnično ni mogoč zaradi napake na usmerjevalniku, agencija eu-LISA o težavi nemudoma na avtomatiziran način uradno obvesti letalske prevoznike in enote za informacije o potnikih. V tem primeru agencija eu-LISA nemudoma sprejme ukrepe za odpravo tehnične nezmožnosti uporabe usmerjevalnika, po uspešni odpravi težave pa o tem nemudoma uradno obvesti navedene strani.
V obdobju med navedenima uradnima obvestiloma se člen 4(6) ne uporablja, v kolikor tehnična nezmožnost preprečuje prenos podatkov API na usmerjevalnik. V tem primeru se v navedenem obdobju člen 4(1) prav tako ne uporablja za zadevne podatke API.
2.Kadar prenos podatkov API prek usmerjevalnika tehnično ni mogoč zaradi napake na sistemih ali infrastrukturi države članice, navedenih v členu 10, enota za informacije o potnikih zadevne države članice o težavi nemudoma na avtomatiziran način uradno obvesti letalske prevoznike, druge enote za informacije o potnikih, agencijo eu-LISA in Komisijo. V tem primeru zadevna država članica nemudoma sprejme ukrepe za odpravo tehnične nezmožnosti uporabe usmerjevalnika, po uspešni odpravi težave pa o tem nemudoma uradno obvesti navedene strani.
V obdobju med navedenima uradnima obvestiloma se člen 4(6) ne uporablja, v kolikor tehnična nezmožnost preprečuje prenos podatkov API na usmerjevalnik. V tem primeru se v navedenem obdobju člen 4(1) prav tako ne uporablja za zadevne podatke API.
3.Kadar prenos podatkov API prek usmerjevalnika tehnično ni mogoč zaradi napake na sistemih ali infrastrukturi letalskega prevoznika, navedenih v členu 11, letalski prevoznik o težavi nemudoma na avtomatiziran način uradno obvesti enote za informacije o potnikih, agencijo eu-LISA in Komisijo. V tem primeru letalski prevoznik nemudoma sprejme ukrepe za odpravo tehnične nezmožnosti uporabe usmerjevalnika, po uspešni odpravi težave pa o tem nemudoma uradno obvesti navedene strani.
V obdobju med navedenima uradnima obvestiloma se člen 4(6) ne uporablja, v kolikor tehnična nezmožnost preprečuje prenos podatkov API na usmerjevalnik. V tem primeru se v navedenem obdobju člen 4(1) prav tako ne uporablja za zadevne podatke API.
Če je tehnična nezmožnost uspešno odpravljena, zadevni letalski prevoznik pristojnemu nacionalnemu nadzornemu organu iz člena 15 brez odlašanja predloži poročilo, ki vsebuje vse potrebne podrobnosti o tehnični nezmožnosti, vključno z razlogi zanjo, njenim obsegom in posledicami ter ukrepi, sprejetimi za njeno odpravo.
Člen 14
Odgovornost glede usmerjevalnika
Če neizpolnjevanje obveznosti na podlagi te uredbe s strani države članice ali letalskega prevoznika povzroči škodo na usmerjevalniku, je država članica ali letalski prevoznik za takšno škodo odgovorna oziroma odgovoren, razen če in v kolikor agencija eu-LISA ni sprejela razumnih ukrepov za preprečitev nastanka škode ali za zmanjšanje njenega učinka.
POGLAVJE 5
NADZOR, KAZNI IN PRIROČNIK
Člen 15
Nacionalni nadzorni organ
1.Države članice imenujejo enega ali več nacionalnih nadzornih organov, odgovornih za spremljanje uporabe določb te uredbe s strani letalskih prevoznikov na njihovem ozemlju in zagotavljanje skladnosti z navedenimi določbami.
2.Države članice zagotovijo, da imajo nacionalni nadzorni organi vsa potrebna sredstva ter vsa potrebna preiskovalna in izvršilna pooblastila za opravljanje svojih nalog na podlagi te uredbe, po potrebi tudi z nalaganjem kazni iz člena 16. Določijo podrobna pravila za opravljanje teh nalog in izvajanje teh pooblastil, pri čemer zagotovijo, da sta opravljanje nalog in izvajanje pooblastil učinkovita, sorazmerna in odvračilna ter da zanju veljajo zaščitni ukrepi v skladu s temeljnimi pravicami, zagotovljenimi s pravom Unije.
3. Države članice do datuma začetka uporabe te uredbe iz člena 21, drugi pododstavek, Komisijo uradno obvestijo o imenu in kontaktnih podatkih organov, ki so jih imenovale v skladu z odstavkom 1, ter o podrobnih pravilih, ki so jih določile v skladu z odstavkom 2. O vsaki naknadni spremembi v zvezi s tem nemudoma uradno obvestijo Komisijo.
4.Ta člen ne posega v pooblastila nadzornih organov iz člena 51 Uredbe (EU) 2016/679 in člena 41 Direktive (EU) 2016/680.
Člen 16
Kazni
Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve te uredbe, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.
Države članice do datuma začetka uporabe te uredbe iz člena 21, drugi pododstavek, o teh pravilih in ukrepih uradno obvestijo Komisijo in jo nemudoma uradno obvestijo o vsaki naknadni spremembi, ki nanje vpliva.
Člen 17
Praktični priročnik
Komisija v tesnem sodelovanju z enotami za informacije o potnikih, drugimi ustreznimi organi držav članic, letalskimi prevozniki in ustreznimi agencijami Unije pripravi in objavi praktični priročnik, ki vsebuje smernice, priporočila in dobre prakse za izvajanje te uredbe.
Praktični priročnik upošteva ustrezne obstoječe priročnike.
Komisija sprejme praktični priročnik v obliki priporočila.
POGLAVJE 6
RAZMERJE DO DRUGIH OBSTOJEČIH INSTRUMENTOV
Člen 18
Spremembe Uredbe (EU) 2019/818
___________
V členu 39 se odstavka 1 in 2 nadomestita z naslednjim:
„1. Vzpostavi se centralni register za poročanje in statistične podatke (CRRS) za namene podpiranja ciljev sistemov SIS, Eurodac in ECRIS-TCN v skladu z zadevnimi pravnimi instrumenti, ki urejajo te sisteme, ter za zagotavljanje medsistemskih statističnih podatkov in analitičnega poročanja za namene politike ter operativne namene ter namene kakovosti podatkov. CRRS podpira tudi cilje Uredbe (EU) .../... Evropskega parlamenta in Sveta* [ta uredba].
* Uredba (EU) [številka] Evropskega parlamenta in Sveta z dne xy o [uradno sprejeti naslov] (UL L …).
2. eu-LISA logično ločeno z informacijskim sistemom EU vzpostavi, izvaja in na svojih tehničnih lokacijah gosti CRRS, ki vsebuje podatke in statistične podatke iz člena 74 Uredbe (EU) 2018/1862 in člena 32 Uredbe (EU) 2019/816. eu-LISA zbira tudi podatke in statistične podatke z usmerjevalnika iz člena 13(1) Uredbe (EU) …/… * [ta uredba]. Dostop do CRRS se izključno za namene poročanja in statistične namene dovoli organom iz člena 74 Uredbe (EU) 2018/1862, člena 32 Uredbe (EU) 2019/816 in člena 13(1) Uredbe (EU) …/… [ta uredba], in sicer prek nadzorovanega, varnega dostopa in posebnih uporabniških profilov.“.
POGLAVJE 7
KONČNE DOLOČBE
Člen 19
Izvajanje prenosa pooblastila
1.Pooblastilo za sprejemanje delegiranih aktov je preneseno na Komisijo pod pogoji, določenimi v tem členu.
2.Pooblastilo za sprejemanje delegiranih aktov iz člena 4(5) in (9), člena 5(3), člena 10(2) in člena 11(2) se prenese na Komisijo za obdobje petih let od [datum sprejetja uredbe]. Komisija pripravi poročilo o prenosu pooblastila najpozneje devet mesecev pred koncem petletnega obdobja. Prenos pooblastila se samodejno podaljšuje za enako dolga obdobja, razen če Evropski parlament ali Svet nasprotuje temu podaljšanju najpozneje tri mesece pred koncem vsakega obdobja.
3.Prenos pooblastila iz člena 4(5) in (9), člena 5(3), člena 10(2) in člena 11(2) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila iz navedenega sklepa. Sklep začne učinkovati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.
4.Komisija se pred sprejetjem delegiranega akta posvetuje s strokovnjaki, ki jih imenujejo države članice, v skladu z načeli, določenimi v Medinstitucionalnem sporazumu z dne 13. aprila 2016 o boljši pripravi zakonodaje.
5.Komisija takoj po sprejetju delegiranega akta o njem sočasno uradno obvesti Evropski parlament in Svet.
Člen 20
Spremljanje in ocenjevanje
1.Komisija do [štiri leta po datumu začetka veljavnosti te uredbe] in nato vsaka štiri leta pripravi poročilo, ki vsebuje splošno oceno te uredbe, vključno z oceno:
(a)uporabe te uredbe;
(b)v kolikšni meri je ta uredba dosegla svoje cilje;
(c)učinka te uredbe na temeljne pravice, zaščitene s pravom Unije;
(d)Komisija Evropskemu parlamentu, Svetu, Evropskemu nadzorniku za varstvo podatkov in Agenciji Evropske unije za temeljne pravice predloži poročilo o oceni. Komisija na podlagi izvedene ocene Evropskemu parlamentu in Svetu po potrebi predloži zakonodajni predlog za spremembo te uredbe.
2.Države članice in letalski prevozniki Komisiji na njeno zahtevo zagotovijo informacije, potrebne za pripravo poročila iz odstavka 1. Vendar se lahko države članice vzdržijo posredovanja takih informacij, če in kolikor je to potrebno, da se ne razkrijejo zaupne delovne metode ali ogrozijo tekoče preiskave, ki jih vodijo njihove enote za informacije o potnikih ali drugi organi, pristojni za preprečevanje, odkrivanje in preiskovanje kaznivih dejanj. Komisija zagotovi, da so vse predložene zaupne informacije ustrezno zaščitene.
Člen 21
Začetek veljavnosti in uporaba
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Uporabljati se začne dve leti od datuma začetka delovanja usmerjevalnika, ki ga določi Komisija v skladu s členom 27 Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja].
Vendar se člen 4(5) in (9), člen 5(3), člen 10(2), člen 11(2) in člen 19 uporabljajo od [datum začetka veljavnosti te uredbe].
Ta uredba je v celoti zavezujoča in se neposredno uporablja v državah članicah v skladu s Pogodbama.
V Strasbourgu,
Za Evropski parlament Za Svet
predsednica predsednik
OCENA FINANČNIH POSLEDIC ZAKONODAJNEGA PREDLOGA
Finančne posledice tega predloga so zajete s skupno oceno finančnih posledic zakonodajnega predloga, priloženo predlogu Uredbe (EU) [o zbiranju in prenosu podatkov API za namene upravljanja meja].