1.   Lufttrafikföretagen ska samla in API-uppgifter om varje passagerare på flygningar till unionen, vilka ska överföras till routern i enlighet med artikel 6. Om flygningen har gemensam linjebeteckning med ett lufttrafikföretag ska skyldigheten att överföra API-uppgifter åligga det lufttrafikföretag som utför flygningen.

2.   API-uppgifterna ska bestå av endast följande uppgifter om varje passagerare på flygningen:

3.   API-uppgifterna ska också bestå av endast följande flyginformation om varje passagerares flygning:

1.   Lufttrafikföretagen ska samla in API-uppgifter enligt artikel 4 på ett sätt som säkerställer att de API-uppgifter som de överför i enlighet med artikel 6 är korrekta, fullständiga och aktuella.

2.   Lufttrafikföretagen ska samla in de API-uppgifter som avses i artikel 4.2 a–d med hjälp av automatiserade metoder för insamling av de maskinläsbara uppgifterna i den berörda passagerarens resehandling. De ska göra detta i enlighet med de närmare tekniska krav och operativa regler som avses i punkt 7 i den här artikeln, så snart sådana regler har antagits och är tillämpliga.

Om lufttrafikföretagen tillhandahåller incheckning online ska de göra det möjligt för passagerarna att lämna de API-uppgifter som avses i artikel 4.2 a–d med automatiserade metoder när de checkar in online. Lufttrafikföretagen ska ge passagerare som inte checkar in online möjlighet att lämna dessa API-uppgifter med automatiserade metoder under incheckningen på flygplatsen med hjälp av en självbetjäningskiosk eller lufttrafikföretagens personal vid disken.

Om det inte är tekniskt möjligt att använda automatiserade metoder ska lufttrafikföretagen undantagsvis samla in de API-uppgifter som avses i artikel 4.2 a–d manuellt, antingen som en del av incheckningen online eller som en del av incheckningen på flygplatsen, på ett sådant sätt att överensstämmelse med punkt 1 i den här artikeln säkerställs.

3.   Alla automatiserade metoder som används av lufttrafikföretagen för att samla in API-uppgifter enligt denna förordning ska vara funktionssäkra, säkra och aktuella. Lufttrafikföretagen ska säkerställa att API-uppgifter är krypterade under överföringen av sådana uppgifter från passageraren till lufttrafikföretaget.

4.   Under en övergångsperiod, och utöver de automatiserade metoder som avses i punkt 3, ska lufttrafikföretagen göra det möjligt för passagerarna att lämna API-uppgifter manuellt som en del av incheckningen online. I sådana fall ska lufttrafikföretagen använda dataverifieringsteknik för att säkerställa överensstämmelse med punkt 1.

5.   Den övergångsperiod som avses i punkt 4 ska inte påverka lufttrafikföretagens rätt att, på flygplatsen före ombordstigningen på luftfartyget, kontrollera API-uppgifter som samlas in som en del av incheckningen online för att säkerställa överensstämmelse med punkt 1, i enlighet med tillämplig unionsrätt.

6.   Kommissionen ges befogenhet att, från och med den dag som infaller fyra år efter den idrifttagande av routern som avses i artikel 34, och på grundval av en utvärdering av tillgången till och tillgängligheten av automatiserade metoder för att samla in API-uppgifter, anta en delegerad akt i enlighet med artikel 44 för att avsluta den övergångsperiod som avses i punkt 4 i den här artikeln.

7.   Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 44 för att komplettera denna förordning genom att fastställa närmare tekniska krav och operativa regler för insamling av de API-uppgifter som avses i artikel 4.2 a–d med automatiserade metoder i enlighet med punkterna 2 och 3 i den här artikeln samt för manuell insamling av API-uppgifter under särskilda omständigheter i enlighet med punkt 2 i den här artikeln och under den övergångsperiod som avses i punkt 4 i den här artikeln. Dessa tekniska krav och operativa regler ska omfatta krav på datasäkerhet och användning av de mest funktionssäkra automatiserade metoder som finns tillgängliga för att samla in de maskinläsbara uppgifterna i en resehandling.

8.   Lufttrafikföretag som använder automatiserade metoder för att samla in den information som avses i artikel 3.1 och 3.2 i direktiv 2004/82/EG ska ha rätt att göra detta med tillämpning av de tekniska krav för sådan användning som avses i punkt 7 i den här artikeln, i enlighet med det direktivet.

1.   Lufttrafikföretagen ska överföra de krypterade API-uppgifterna till routern på elektronisk väg så att de kan översändas till de behöriga gränsmyndigheterna i enlighet med artikel 14. Lufttrafikföretagen ska överföra API-uppgifterna i enlighet med de närmare regler som avses i punkt 3 i den här artikeln, så snart sådana regler har antagits och är tillämpliga.

2.   Lufttrafikföretagen ska överföra API-uppgifterna

3.   Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 44 för att komplettera denna förordning genom att fastställa nödvändiga närmare regler om de gemensamma protokoll och understödda dataformat som ska användas för den krypterade överföring av API-uppgifter till routern som avses i punkt 1 i den här artikeln, inbegripet överföring av API-uppgifter vid incheckningen och krav på datasäkerhet. Sådana närmare regler ska säkerställa att lufttrafikföretagen överför API-uppgifter med samma struktur och innehåll.

1.   Lufttrafikföretagen ska, under en period på 48 timmar från den tidpunkt då routern tar emot de API-uppgifter som överförts till den i enlighet med artikel 6.2 a och b, lagra de API-uppgifter som de samlat in enligt artikel 4. Efter utgången av denna period ska de omedelbart och permanent radera sådana API-uppgifter, utan att det påverkar deras möjlighet att lagra och använda uppgifterna när detta är nödvändigt för deras normala affärsverksamhet i enlighet med tillämplig rätt, eller påverkar tillämpningen av artikel 16.1 och 16.3.

2.   De behöriga gränsmyndigheterna ska, under en period på 48 timmar från tidpunkten för mottagandet, lagra de API-uppgifter som översänts till dem enligt artikel 14 efter överföringen enligt artikel 6.2 a och b. Efter utgången av denna period ska de omedelbart och permanent radera sådana API-uppgifter.

I undantagsfall får de behöriga gränsmyndigheterna lagra API-uppgifter under ytterligare en period på upp till 48 timmar, men endast i den mån sådana API-uppgifter avser passagerare som inte infunnit sig vid ett gränsövergångsställe under den period som avses i första stycket.

1.   Om ett lufttrafikföretag får kännedom om att de uppgifter som det lagrar enligt denna förordning har behandlats på ett olagligt sätt, eller inte utgör API-uppgifter, ska det omedelbart och permanent radera dessa uppgifter. Om dessa uppgifter har överförts till routern ska lufttrafikföretaget omedelbart underrätta Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-Lisa). Efter att ha tagit emot en sådan underrättelse ska eu-Lisa omedelbart underrätta den behöriga gränsmyndighet som tagit emot de uppgifter som översänts via routern. Den behöriga gränsmyndigheten ska omedelbart och permanent radera dessa uppgifter.

2.   Om ett lufttrafikföretag får kännedom om att de uppgifter som det lagrar enligt denna förordning är felaktiga, ofullständiga eller inaktuella ska det omedelbart korrigera, komplettera eller uppdatera dessa uppgifter. Detta påverkar inte lufttrafikföretagens möjlighet att lagra och använda uppgifterna när detta är nödvändigt för deras normala affärsverksamhet i enlighet med tillämplig rätt.

3.   Om ett lufttrafikföretag efter överföringen av API-uppgifter enligt artikel 6.2 a, men före överföringen enligt artikel 6.2 b, får kännedom om att de uppgifter som det har överfört är felaktiga ska det omedelbart överföra de korrigerade API-uppgifterna till routern.

4.   Om ett lufttrafikföretag efter överföringen av API-uppgifter enligt artikel 6.2 a eller b får kännedom om att de uppgifter som det har överfört är felaktiga, ofullständiga eller inaktuella ska det omedelbart överföra de korrigerade, kompletterade eller uppdaterade API-uppgifterna till routern.

5.   Om en behörig gränsmyndighet efter översändandet av API-uppgifter enligt artikel 14 får kännedom om att uppgifterna är felaktiga, ofullständiga eller inaktuella ska den omedelbart radera dessa uppgifter, såvida inte uppgifterna krävs för att säkerställa fullgörande av de skyldigheter som fastställs i denna förordning.

6.   Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 44 för att komplettera denna förordning genom att fastställa nödvändiga närmare regler om korrigering, komplettering och uppdatering av API-uppgifter i den mening som avses i den här artikeln.

1.   Lufttrafikföretags och behöriga myndigheters insamling och behandling av personuppgifter i enlighet med denna förordning och förordning (EU) 2025/13 får inte leda till diskriminering av personer på de grunder som anges i artikel 21 i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan).

2.   Denna förordning ska fullt ut respektera människans värdighet och de grundläggande rättigheter och principer som erkänns i stadgan, inbegripet rätten till respekt för privatlivet samt till asyl, skydd av personuppgifter, rörelsefrihet och ett effektivt rättsmedel.

3.   Särskild hänsyn ska tas till barn, äldre, personer med funktionshinder och utsatta personer. Barnets bästa ska komma i främsta rummet vid genomförandet av denna förordning.

1.   eu-Lisa ska, i enlighet med artiklarna 25 och 26, utforma, utveckla, hysa och tekniskt förvalta en router i syfte att underlätta lufttrafikföretagens överföring av krypterade API-uppgifter till de behöriga gränsmyndigheterna i enlighet med denna förordning.

2.   Routern ska bestå av följande:

3.   Utan att det påverkar tillämpningen av artikel 12 i denna förordning ska routern, om så är lämpligt och i den utsträckning det är tekniskt möjligt, dela och återanvända de tekniska komponenterna, inbegripet maskinvaru- och programvarukomponenterna, i den webbtjänst som avses i artikel 13 i förordning (EU) 2017/2226, den nätportal för transportörer som avses i artikel 6.2 k i förordning (EU) 2018/1240 och den nätportal för transportörer som avses i artikel 45c i förordning (EG) nr 767/2008.

eu-Lisa ska, i den mån det är tekniskt och operativt möjligt, utforma routern på ett sätt som är konsekvent och förenligt med lufttrafikföretagens skyldigheter som anges i förordningarna (EG) nr 767/2008, (EU) 2017/2226 och (EU) 2018/1240.

4.   Routern ska i enlighet med artikel 38 i den här förordningen automatiskt extrahera och tillgängliggöra uppgifterna för den centrala databasen för rapporter och statistik (CRRS), som inrättats genom artikel 39 i förordning (EU) 2019/817.

5.   eu-Lisa ska utforma och utveckla routern på ett sådant sätt att API-uppgifterna är totalsträckskrypterade under överföringen av API-uppgifter från lufttrafikföretagen till routern i enlighet med artikel 6 och under varje översändande av API-uppgifter från routern till de behöriga gränsmyndigheterna i enlighet med artikel 14 och till (CRRS) i enlighet med artikel 38.2.

1.   Routern ska, på ett automatiserat sätt och baserat på flygtrafikdata i realtid, kontrollera om lufttrafikföretaget överfört API-uppgifterna i enlighet med artikel 6.1.

2.   Routern ska, omedelbart och på ett automatiserat sätt, kontrollera om de API-uppgifter som överförts till routern i enlighet med artikel 6.1 överensstämmer med de närmare regler om understödda dataformat som avses i artikel 6.3.

3.   Om det vid den kontroll som avses i punkt 1 i denna artikel fastställs att uppgifterna inte överförts av lufttrafikföretaget eller om den kontroll som avses i punkt 2 i denna artikel fastställer att uppgifterna inte överensstämmer med de närmare reglerna om understödda dataformat, ska routern omedelbart och på ett automatiserat sätt underrätta det berörda lufttrafikföretaget och de behöriga gränsmyndigheterna i de medlemsstater till vilka uppgifterna skulle översändas enligt artikel 14.1. I sådana fall ska lufttrafikföretaget omedelbart överföra API-uppgifterna i enlighet med artikel 6.

4.   Kommissionen ska anta genomförandeakter som fastställer nödvändiga närmare tekniska regler och förfaranderegler för de kontroller och underrättelser som avses i punkterna 1, 2 och 3 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 43.2.

1.   Efter de dataformats- och överföringskontroller som avses i artikel 13 ska routern översända de krypterade API-uppgifter som överförts till den enligt artikel 6 eller artikel 9.3 och 9.4 till de behöriga gränsmyndigheterna i medlemsstaten eller, om flygningen planeras landa på en eller flera flygplatser inom territorierna i en eller flera medlemsstater på vilka denna förordning tillämpas, till de behöriga gränsmyndigheterna i medlemsstaterna enligt vad som avses i artikel 4.3 c. Den ska översända dessa uppgifter omedelbart och på ett automatiserat sätt, utan att på något sätt ändra innehållet, och i enlighet med de närmare regler som avses i punkt 5 i den här artikeln, så snart sådana regler har antagits och är tillämpliga.

För detta översändande ska eu-Lisa upprätta en jämförelsetabell över de olika ursprungs- och destinationsflygplatserna och de länder de tillhör och hålla den uppdaterad.

2.   Medlemsstaterna ska utse de behöriga gränsmyndigheter som har rätt att ta emot API-uppgifter som översänds till dem från routern i enlighet med denna förordning. De ska senast den dag då denna förordning börjar tillämpas enligt vad som avses i artikel 46 andra stycket underrätta eu-Lisa och kommissionen om namnet på och kontaktuppgifterna till de behöriga gränsmyndigheterna och ska vid behov meddela eu-Lisa och kommissionen eventuella uppdateringar av denna information.

Kommissionen ska på grundval av dessa anmälningar och uppdateringar sammanställa och offentliggöra en förteckning över de anmälda behöriga gränsmyndigheterna inbegripet deras kontaktuppgifter.

3.   Medlemsstaterna ska säkerställa att deras behöriga gränsmyndigheter, vid mottagandet av API-uppgifter i enlighet med punkt 1, omedelbart och på ett automatiserat sätt ger routern en bekräftelse på att sådana uppgifter har mottagits.

4.   Medlemsstaterna ska säkerställa att endast vederbörligen bemyndigade och utbildade anställda vid deras behöriga gränsmyndigheter som utsetts i enlighet med punkt 2 har åtkomst till de API-uppgifter som översänds till dem via routern. De ska fastställa de regler som är nödvändiga för detta ändamål. Reglerna ska bland annat gälla upprättande och regelbunden uppdatering av en förteckning över dessa anställda och deras profiler.

5.   Kommissionen ska anta genomförandeakter som fastställer de närmare tekniska regler och förfaranderegler som är nödvändiga för det översändande av API-uppgifter från routern som avses i punkt 1 i denna artikel, inbegripet när det gäller krav på datasäkerhet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 43.2.

1.   Om det är tekniskt omöjligt att använda routern för att översända API-uppgifter på grund av ett fel i routern ska eu-Lisa omedelbart och på ett automatiserat sätt underrätta lufttrafikföretagen och de behöriga gränsmyndigheterna om denna tekniska omöjlighet. I detta fall ska eu-Lisa omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta lufttrafikföretagen och de behöriga gränsmyndigheterna när den har åtgärdats.

Under tidsperioden mellan dessa underrättelser ska artiklarna 6.1 och 8.1 inte tillämpas, i den mån den tekniska omöjligheten förhindrar överföring av API-uppgifter till routern. Lufttrafikföretagen ska lagra API-uppgifterna till dess att den tekniska omöjligheten har åtgärdats. Så snart den tekniska omöjligheten har åtgärdats ska lufttrafikföretagen överföra uppgifterna till routern i enlighet med artikel 6.1.

Om API-uppgifterna tas emot senare än 96 timmar efter den avgångstid som avses i artikel 4.3 f ska routern inte översända API-uppgifterna till de behöriga gränsmyndigheterna, utan i stället radera de uppgifterna.

Om det är tekniskt omöjligt att använda routern, och i undantagsfall som rör målen för denna förordning och som gör det nödvändigt för de behöriga gränsmyndigheterna att omedelbart ta emot API-uppgifter under den tid som det är tekniskt omöjligt att använda routern, får de behöriga gränsmyndigheterna begära att lufttrafikföretagen använder andra lämpliga metoder som säkerställer den nivå av datasäkerhet, datakvalitet och dataskydd som är nödvändig för att överföra API-uppgifterna direkt till de behöriga gränsmyndigheterna. De behöriga gränsmyndigheterna ska behandla de API-uppgifter som tagits emot med andra lämpliga metoder i enlighet med de regler och skyddsåtgärder som anges i förordning (EU) 2016/399 och tillämplig nationell rätt.

Efter eu-Lisas underrättelse om att den tekniska omöjligheten har åtgärdats, och när det i enlighet med artikel 14.3 bekräftas att översändandet av API-uppgifterna via routern till den relevanta behöriga gränsmyndigheten har slutförts, ska den behöriga gränsmyndigheten omedelbart radera de API-uppgifter som tagits emot med andra lämpliga metoder.

2.   Om det är tekniskt omöjligt att använda routern för att översända API-uppgifter på grund av ett fel i de system eller den infrastruktur som avses i artikel 23 i en medlemsstat ska den medlemsstatens behöriga gränsmyndigheter omedelbart och på ett automatiserat sätt underrätta lufttrafikföretagen, de behöriga gränsmyndigheterna i övriga medlemsstater, eu-Lisa och kommissionen om denna tekniska omöjlighet. I detta fall ska medlemsstaten omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta lufttrafikföretagen, de behöriga gränsmyndigheterna i övriga medlemsstater, eu-Lisa och kommissionen när den har åtgärdats. Routern ska lagra API-uppgifterna till dess att den tekniska omöjligheten har åtgärdats. Så snart den tekniska omöjligheten har åtgärdats ska routern översända uppgifterna i enlighet med artikel 14.1.

Under tidsperioden mellan dessa underrättelser ska artiklarna 6.1 och 8.1 inte tillämpas, i den mån den tekniska omöjligheten förhindrar överföring av API-uppgifter till routern. Lufttrafikföretagen ska lagra API-uppgifterna till dess att den tekniska omöjligheten har åtgärdats. Så snart den tekniska omöjligheten har åtgärdats ska lufttrafikföretagen överföra uppgifterna till routern i enlighet med artikel 6.1.

Om API-uppgifterna tas emot senare än 96 timmar efter den avgångstid som avses i artikel 4.3 f ska routern inte översända API-uppgifterna till de behöriga gränsmyndigheterna, utan i stället radera de uppgifterna.

Om det är tekniskt omöjligt att använda routern, och i undantagsfall som rör målen för denna förordning och som gör det nödvändigt för de behöriga gränsmyndigheterna att omedelbart ta emot API-uppgifter under den tid som det är tekniskt omöjligt att använda routern, får de behöriga gränsmyndigheterna begära att lufttrafikföretagen använder andra lämpliga metoder som säkerställer den nivå av datasäkerhet, datakvalitet och dataskydd som är nödvändig för att överföra API-uppgifterna direkt till de behöriga gränsmyndigheterna. De behöriga gränsmyndigheterna ska behandla de API-uppgifter som tagits emot med andra lämpliga metoder i enlighet med de regler och skyddsåtgärder som anges i förordning (EU) 2016/399 och tillämplig nationell rätt.

Efter eu-Lisas underrättelse om att den tekniska omöjligheten har åtgärdats, och när det i enlighet med artikel 14.3 bekräftas att översändandet av API-uppgifterna via routern till den relevanta behöriga gränsmyndigheten har slutförts, ska den behöriga gränsmyndigheten omedelbart radera de API-uppgifter som tagits emot med andra lämpliga metoder.

3.   Om det är tekniskt omöjligt att använda routern för att överföra API-uppgifter på grund av ett fel i ett lufttrafikföretags system eller infrastruktur som avses i artikel 24 ska lufttrafikföretaget omedelbart och på ett automatiserat sätt underrätta de behöriga gränsmyndigheterna, eu-Lisa och kommissionen om denna tekniska omöjlighet. I detta fall ska lufttrafikföretaget omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta eu-Lisa och kommissionen när den har åtgärdats.

Under tidsperioden mellan dessa underrättelser ska artiklarna 6.1 och 8.1 inte tillämpas, i den mån den tekniska omöjligheten förhindrar överföring av API-uppgifter till routern. Lufttrafikföretagen ska lagra API-uppgifterna till dess att den tekniska omöjligheten har åtgärdats. Så snart den tekniska omöjligheten har åtgärdats ska lufttrafikföretagen överföra uppgifterna till routern i enlighet med artikel 6.1. Routern ska dock inte översända API-uppgifterna till de behöriga gränsmyndigheterna, utan i stället radera uppgifterna, om de tas emot senare än 96 timmar efter den avgångstid som avses i artikel 4.3 f.

Om det är tekniskt omöjligt att använda routern, och i undantagsfall som rör målen för denna förordning och som gör det nödvändigt för de behöriga gränsmyndigheterna att omedelbart ta emot API-uppgifter under den tid som det är tekniskt omöjligt att använda routern, får de behöriga gränsmyndigheterna begära att lufttrafikföretagen använder andra lämpliga metoder som säkerställer den nivå av datasäkerhet, datakvalitet och dataskydd som är nödvändig för att överföra API-uppgifterna direkt till de behöriga gränsmyndigheterna. De behöriga gränsmyndigheterna ska behandla de API-uppgifter som tagits emot med andra lämpliga metoder i enlighet med de regler och skyddsåtgärder som anges i förordning (EU) 2016/399 och tillämplig nationell rätt.

Efter eu-Lisas underrättelse om att den tekniska omöjligheten har åtgärdats, och när det i enlighet med artikel 14.3 bekräftas att översändandet av API-uppgifterna via routern till den relevanta behöriga gränsmyndigheten har slutförts, ska den behöriga gränsmyndigheten omedelbart radera de API-uppgifter som tagits emot med andra lämpliga metoder.

När den tekniska omöjligheten har åtgärdats ska det berörda lufttrafikföretaget utan dröjsmål till den nationella API-tillsynsmyndighet som avses i artikel 36 lämna in en rapport med alla nödvändiga uppgifter om den tekniska omöjligheten, inbegripet dess orsaker, omfattning och konsekvenser samt de åtgärder som vidtagits för att åtgärda den.

1.   Lufttrafikföretagen ska skapa loggar över all behandling av API-uppgifter enligt denna förordning som utförs med de automatiserade metoder som avses i artikel 5.2. Dessa loggar ska omfatta datum, klockslag och plats för överföringen av API-uppgifterna. Dessa loggar får inte innehålla några andra personuppgifter än den information som är nödvändig för att identifiera berörda anställda vid respektive lufttrafikföretag.

2.   eu-Lisa ska föra logg över all behandling som rör överföringen och översändandet av API-uppgifter via routern enligt denna förordning. Dessa loggar ska omfatta

Dessa loggar får inte innehålla några andra personuppgifter än den information som är nödvändig för att identifiera berörda anställda vid eu-Lisa enligt vad som avses i första stycket d.

3.   De loggar som avses i punkterna 1 och 2 i denna artikel får användas endast för att säkerställa API-uppgifternas säkerhet och integritet och att behandlingen är laglig, särskilt när det gäller efterlevnaden av kraven i denna förordning, inbegripet förfaranden för sanktioner vid överträdelser av dessa krav i enlighet med artiklarna 36 och 37.

4.   Lufttrafikföretagen och eu-Lisa ska vidta lämpliga åtgärder för att skydda de loggar som de skapat enligt punkt 1 respektive 2 mot obehörig åtkomst och andra säkerhetsrisker.

5.   Den nationella API-tillsynsmyndighet som avses i artikel 36 och de behöriga gränsmyndigheterna ska ha åtkomst till de relevanta loggar som avses i punkt 1 i den här artikeln om det är nödvändigt för de ändamål som avses i punkt 3 i den här artikeln.

6.   Lufttrafikföretagen och eu-Lisa ska bevara de loggar som de skapat enligt punkt 1 respektive 2 i ett års tid från den tidpunkt då dessa loggar skapades. Efter utgången av denna period ska de omedelbart och permanent radera loggarna.

Om dessa loggar emellertid behövs för förfaranden för övervakning eller säkerställande av API-uppgifternas säkerhet och integritet eller av att behandlingen är laglig, enligt vad som avses i punkt 3, och dessa förfaranden redan har inletts vid utgången av den period som avses i första stycket i den här punkten, ska eu-Lisa och lufttrafikföretagen bevara dessa loggar så länge som det är nödvändigt för dessa förfaranden. I detta fall ska de omedelbart radera dessa loggar när de inte längre är nödvändiga för dessa förfaranden.

1.   Lufttrafikföretagen ska vara personuppgiftsansvariga i den mening som avses i artikel 4.7 i förordning (EU) 2016/679 i fråga om behandling av API-uppgifter som utgör personuppgifter i samband med insamling av sådana uppgifter och överföring av dessa till routern enligt den här förordningen.

2.   Varje medlemsstat ska utse en behörig myndighet till personuppgiftsansvarig i enlighet med denna artikel. Medlemsstaterna ska anmäla dessa myndigheter till kommissionen, eu-Lisa och övriga medlemsstater.

Alla behöriga myndigheter som utsetts av medlemsstaterna ska vara gemensamt personuppgiftsansvariga i enlighet med artikel 26 i förordning (EU) 2016/679 i fråga om behandling av personuppgifter i routern.

3.   eu-Lisa ska vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 i fråga om behandling via routern av API-uppgifter som utgör personuppgifter enligt den här förordningen, inbegripet översändande av uppgifter från routern till de behöriga gränsmyndigheterna och lagring av dessa uppgifter på routern av tekniska skäl. eu-Lisa ska säkerställa att routern drivs i enlighet med denna förordning.

4.   Kommissionen ska anta genomförandeakter som fastställer de gemensamt personuppgiftsansvarigas respektive ansvar och skyldigheter mellan de gemensamt personuppgiftsansvariga och personuppgiftsbiträdet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 43.2.

1.   eu-Lisa ska säkerställa säkerheten och krypteringen för de API-uppgifter, särskilt API-uppgifter som utgör personuppgifter, som eu-Lisa behandlar enligt denna förordning. De behöriga gränsmyndigheterna och lufttrafikföretagen ska säkerställa säkerheten för de API-uppgifter, särskilt API-uppgifter som utgör personuppgifter, som de behandlar enligt denna förordning. eu-Lisa, de behöriga gränsmyndigheterna och lufttrafikföretagen ska, i enlighet med sina respektive ansvarsområden och unionsrätten, samarbeta med varandra för att säkerställa sådan säkerhet.

2.   eu-Lisa ska vidta de åtgärder som är nödvändiga för att säkerställa säkerheten för routern och de API-uppgifter, särskilt API-uppgifter som utgör personuppgifter, som översänds via routern, inbegripet genom att upprätta, genomföra och regelbundet uppdatera en säkerhetsplan, en kontinuitetsplan och en katastrofplan för att

De åtgärder som avses i första stycket i denna punkt ska inte påverka artikel 32 i förordning (EU) 2016/679 eller artikel 33 i förordning (EU) 2018/1725.

1.   De oberoende tillsynsmyndigheter som avses i artikel 51 i förordning (EU) 2016/679 ska minst en gång vart fjärde år genomföra en granskning av de behöriga gränsmyndigheternas behandling av API-uppgifter som utgör personuppgifter vid tillämpningen av den här förordningen. Medlemsstaterna ska säkerställa att deras oberoende tillsynsmyndigheter har tillräckliga resurser och sakkunskap för att fullgöra de uppgifter som de anförtros enligt denna förordning.

2.   Europeiska datatillsynsmannen ska minst en gång om året genomföra en granskning av eu-Lisas behandling av API-uppgifter som utgör personuppgifter vid tillämpningen av denna förordning, i enlighet med relevanta internationella revisionsstandarder. En rapport om granskningen ska sändas till Europaparlamentet, rådet, kommissionen, medlemsstaterna och eu-Lisa. eu-Lisa ska ges tillfälle att yttra sig innan rapporterna antas.

3.   När det gäller sådan behandling som avses i punkt 2 i denna artikel ska eu-Lisa på begäran tillhandahålla den information som Europeiska datatillsynsmannen begär, ge tillgång till alla handlingar som Europeiska datatillsynsmannen begär och ge denne åtkomst till de loggar som avses i artikel 17.2 samt när som helst ge Europeiska datatillsynsmannen tillträde till alla sina lokaler.

1.   Medlemsstaterna ska säkerställa att deras behöriga gränsmyndigheter är anslutna till routern. De ska säkerställa att de behöriga gränsmyndigheternas system och infrastruktur för mottagande och vidarebehandling av API-uppgifter som överförts enligt denna förordning integreras med routern.

Medlemsstaterna ska säkerställa att anslutningen till routern och integreringen med den gör det möjligt för deras behöriga gränsmyndigheter att ta emot och vidarebehandla API-uppgifterna samt att utbyta relaterad kommunikation på ett lagligt, säkert, ändamålsenligt och snabbt sätt.

2.   Kommissionen ska anta genomförandeakter som fastställer nödvändiga närmare regler om de anslutningar till och den integrering med routern som avses i punkt 1 i denna artikel, inbegripet när det gäller krav på datasäkerhet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 43.2.

1.   Lufttrafikföretagen ska säkerställa att de är anslutna till routern. De ska säkerställa att deras system och infrastruktur för överföring av API-uppgifter till routern enligt denna förordning integreras med routern.

Lufttrafikföretagen ska säkerställa att anslutningen till routern och integreringen med den gör det möjligt för dem att överföra API-uppgifterna samt att utbyta relaterad kommunikation på ett lagligt, säkert, ändamålsenligt och snabbt sätt. I detta syfte ska lufttrafikföretagen genomföra tester av överföringen av API-uppgifter till routern i samarbete med eu-Lisa i enlighet med artikel 27.3.

2.   Kommissionen ska anta genomförandeakter som fastställer nödvändiga närmare regler om de anslutningar till och den integrering med routern som avses i punkt 1 i denna artikel, inbegripet när det gäller krav på datasäkerhet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 43.2.

1.   eu-Lisa ska ansvara för utformningen av routerns fysiska arkitektur, inbegripet fastställandet av dess tekniska specifikationer.

2.   eu-Lisa ska ansvara för utvecklingen av routern, inbegripet eventuella tekniska anpassningar som behövs för routerns drift.

Utvecklingen av routern ska bestå i att utarbeta och genomföra de tekniska specifikationerna, testningen och den övergripande projektledningen och samordningen av utvecklingsfasen.

3.   eu-Lisa ska säkerställa att routern utformas och utvecklas på ett sådant sätt att den har de funktioner som anges i denna förordning, och att den tas i drift så snart som möjligt efter det att kommissionen antagit de genomförandeakter och delegerade akter som föreskrivs i artiklarna 5.7, 6.3, 9.6, 23.2 och 24.2 i denna förordning och efter genomförandet av en konsekvensbedömning avseende dataskydd i enlighet med artikel 35 i förordning (EU) 2016/679.

4.   eu-Lisa ska tillhandahålla de behöriga gränsmyndigheterna, andra berörda myndigheter i medlemsstaterna och lufttrafikföretagen tester för överensstämmelse. Testerna för överensstämmelse ska omfatta en testmiljö, en simulator, testdataset och en testplan. Testerna för överensstämmelse ska möjliggöra en sådan övergripande provning av routern som avses i punkt 5, och de ska förbli tillgängliga efter det att denna provning har slutförts.

5.   När eu-Lisa anser att utvecklingsfasen har slutförts ska eu-Lisa utan oskäligt dröjsmål genomföra en övergripande test av routern i samarbete med de behöriga gränsmyndigheterna och andra berörda myndigheter i medlemsstaterna samt lufttrafikföretagen och informera kommissionen om resultatet av den testen.

1.   eu-Lisa ska hysa routern i sina tekniska anläggningar.

2.   eu-Lisa ska ansvara för den tekniska förvaltningen av routern, inbegripet dess underhåll och tekniska utveckling, på ett sådant sätt att det säkerställs att API-uppgifterna översänds på ett säkert, ändamålsenligt och snabbt sätt via routern, i enlighet med denna förordning.

Den tekniska förvaltningen av routern ska bestå i att utföra alla uppgifter och införa alla tekniska lösningar som är nödvändiga för att routern ska fungera korrekt i enlighet med denna förordning, oavbrutet dygnet runt alla dagar i veckan. Den ska omfatta det underhållsarbete och den tekniska utveckling som behövs för att säkerställa att routern fungerar med tillfredsställande teknisk kvalitet, i synnerhet när det gäller tillgänglighet, korrekthet och funktionssäkerhet i översändandet av API-uppgifter, i enlighet med de tekniska specifikationerna och i möjligaste mån i enlighet med de behöriga gränsmyndigheternas och lufttrafikföretagens operativa behov.

3.   eu-Lisas anställda ska inte ha åtkomst till några av de API-uppgifter som översänds via routern. Detta förbud ska dock inte hindra eu-Lisas anställda från att få sådan åtkomst i den mån det är absolut nödvändigt för underhåll och teknisk förvaltning av routern.

4.   Utan att det påverkar tillämpningen av punkt 3 i denna artikel och artikel 17 i tjänsteföreskrifterna för tjänstemän i Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (28), ska eu-Lisa tillämpa lämpliga regler om tystnadsplikt eller andra likvärdiga sekretesskrav på sina anställda som arbetar med API-uppgifter som översänds via routern. Denna skyldighet ska vara tillämplig även efter det att de anställda i fråga lämnat sin tjänst eller anställning eller upphört med sin yrkesverksamhet.

1.   eu-Lisa ska på begäran av de behöriga gränsmyndigheterna, andra berörda myndigheter i medlemsstaterna eller lufttrafikföretagen tillhandahålla dessa utbildningar om den tekniska användningen av routern och om anslutningen till och integreringen med routern.

2.   eu-Lisa ska ge stöd till de behöriga gränsmyndigheterna när det gäller mottagandet av API-uppgifter via routern enligt denna förordning, särskilt när det gäller tillämpningen av artiklarna 14 och 23.

3.   I enlighet med artikel 24.1 och med hjälp av de tester för överensstämmelse som avses i artikel 25.4 ska eu-Lisa i samarbete med lufttrafikföretagen genomföra tester av överföringen av API-uppgifter till routern.

1.   Senast den 28 januari 2025 ska eu-Lisas styrelse inrätta en programstyrelse. Denna ska bestå av tio ledamöter, närmare bestämt

När det gäller led a ska de ledamöter som utses av eu-Lisas styrelse väljas bland dess ledamöter eller suppleanter endast från de medlemsstater på vilka denna förordning tillämpas.

2.   Programstyrelsen ska utarbeta sin egen arbetsordning, som ska antas av eu-Lisas styrelse.

Ordförandeskapet ska innehas av en medlemsstat som är representerad i egenskap av ledamot av programstyrelsen.

3.   Programstyrelsen ska övervaka att eu-Lisa fullgör sina uppgifter i fråga om utformning och utveckling av routern i enlighet med artikel 25.

På begäran av programstyrelsen ska eu-Lisa tillhandahålla närmare och uppdaterade uppgifter om utformningen och utvecklingen av routern, inbegripet om de resurser som tilldelats av eu-Lisa.

4.   Programstyrelsen ska regelbundet – minst tre gånger per kvartal – lämna skriftliga rapporter om framstegen i utformningen och utvecklingen av routern till eu-Lisas styrelse.

5.   Programstyrelsen ska varken ha befogenhet att fatta beslut eller mandat att företräda eu-Lisas styrelse eller dess ledamöter.

6.   Programstyrelsen ska upphöra att existera den dag då denna förordning börjar tillämpas, enligt artikel 46 andra stycket.

1.   Från och med den 28 januari 2025 ska den rådgivande gruppen för API-PNR, som inrättats enligt artikel 27.1 de i förordning (EU) 2018/1726, tillhandahålla eu-Lisas styrelse nödvändig sakkunskap om API-PNR, särskilt i samband med utarbetandet av dess årliga arbetsprogram och årliga verksamhetsrapport.

2.   eu-Lisa ska tillhandahålla den rådgivande gruppen för API-PNR de tekniska specifikationer och de tester för överensstämmelse – även övergångsversioner av dessa – som avses i artikel 25.1, 25.2 och 25.4, när sådana finns tillgängliga.

3.   Den rådgivande gruppen för API-PNR ska utföra följande uppgifter:

4.   Den rådgivande gruppen för API-PNR ska inte ha vare sig befogenhet att fatta beslut eller mandat att företräda eu-Lisas styrelse eller dess ledamöter.

1.   Senast den dag då denna förordning börjar tillämpas enligt artikel 46 andra stycket ska eu-Lisas styrelse inrätta en kontaktgrupp för API-PNR.

2.   Kontaktgruppen för API-PNR ska möjliggöra kommunikation mellan medlemsstaternas berörda myndigheter och lufttrafikföretagen i tekniska frågor som rör deras respektive uppgifter och skyldigheter enligt denna förordning.

3.   Kontaktgruppen för API-PNR ska bestå av företrädare för medlemsstaternas berörda myndigheter och lufttrafikföretagen, ordföranden för den rådgivande gruppen för API-PNR och eu-Lisas experter.

4.   eu-Lisas styrelse ska fastställa arbetsordningen för kontaktgruppen för API-PNR efter ett yttrande från den rådgivande gruppen för API-PNR.

5.   Om det anses nödvändigt får eu-Lisas styrelse också inrätta undergrupper till kontaktgruppen för API-PNR för att diskutera särskilda tekniska frågor som rör respektive uppgifter och skyldigheter för medlemsstaternas berörda myndigheter och lufttrafikföretagen enligt denna förordning.

6.   Kontaktgruppen för API-PNR, inbegripet dess undergrupper, ska inte ha vare sig befogenhet att fatta beslut eller mandat att företräda eu-Lisas styrelse eller dess ledamöter.

1.   Senast den dag då denna förordning börjar tillämpas enligt artikel 46 andra stycket ska kommissionen inrätta en expertgrupp för API i enlighet med de övergripande reglerna för inrättande av kommissionens expertgrupper och deras verksamhet.

2.   Expertgruppen för API ska möjliggöra kommunikation mellan medlemsstaternas berörda myndigheter och mellan dessa och lufttrafikföretagen i policyfrågor som rör deras respektive uppgifter och skyldigheter enligt denna förordning, även när det gäller de sanktioner som avses i artikel 37.

3.   Expertgruppen för API ska ledas av kommissionen och vara sammansatt i enlighet med de övergripande reglerna för inrättande av kommissionens expertgrupper och deras verksamhet. Den ska bestå av företrädare för medlemsstaternas berörda myndigheter, företrädare för lufttrafikföretagen och eu-Lisas experter. Expertgruppen för API får när det är relevant för gruppens verksamhet bjuda in relevanta berörda parter, särskilt företrädare för Europaparlamentet, Europeiska datatillsynsmannen och de oberoende nationella tillsynsmyndigheterna, att delta i dess arbete.

4.   Expertgruppen för API ska utföra sina uppgifter i enlighet med principen om insyn. Kommissionen ska offentliggöra protokollen från mötena i expertgruppen för API och andra relevanta dokument på kommissionens webbplats.

1.   De kostnader som eu-Lisa ådrar sig i samband med inrättandet och driften av routern enligt denna förordning ska belasta unionens allmänna budget.

2.   De kostnader som medlemsstaterna ådrar sig i samband med genomförandet av denna förordning, i synnerhet deras anslutning till och integrering med routern enligt artikel 23, ska stödjas genom unionens allmänna budget, i enlighet med de regler om stödberättigande och de medfinansieringssatser som fastställs i tillämpliga unionsrättsakter.

3.   De kostnader som Europeiska datatillsynsmannen ådrar sig i samband med de uppgifter som den anförtros enligt denna förordning ska belasta unionens allmänna budget.

4.   De kostnader som oberoende nationella tillsynsmyndigheter ådrar sig i samband med de uppgifter som de anförtros enligt denna förordning ska belasta medlemsstaterna.

1.   Lufttrafikföretagen ska ha rätt att använda routern för att översända den information som avses i artikel 3.1 och 3.2 i direktiv 2004/82/EG till en eller flera av de ansvariga myndigheter som avses i det direktivet, i enlighet med det direktivet, förutsatt att den berörda medlemsstaten har samtyckt till sådan användning, från och med ett lämpligt datum som fastställs av den medlemsstaten. Den medlemsstaten ska samtycka till detta först efter att ha försäkrat sig om att informationen, i synnerhet i fråga om anslutningen till routern för såväl dess egna ansvariga myndigheter som det berörda lufttrafikföretaget, kan översändas på ett lagligt, säkert, ändamålsenligt och snabbt sätt.

2.   Om ett lufttrafikföretag börjar använda routern i enlighet med punkt 1 i denna artikel ska det fortsätta att använda routern för att översända sådan information till den berörda medlemsstatens ansvariga myndigheter fram till den dag då denna förordning börjar tillämpas enligt vad som avses i artikel 46 andra stycket. Denna användning ska dock avbrytas vid ett lämpligt datum som fastställs av den medlemsstaten, om medlemsstaten anser att det finns objektiva skäl som kräver detta och har underrättat lufttrafikföretaget om detta.

3.   Den berörda medlemsstaten ska

1.   Medlemsstaterna ska utse en eller flera nationella API-tillsynsmyndigheter med ansvar för att inom deras territorium övervaka lufttrafikföretagens tillämpning av bestämmelserna i denna förordning och säkerställa att dessa bestämmelser följs.

2.   Medlemsstaterna ska säkerställa att de nationella API-tillsynsmyndigheterna har alla medel och alla utrednings- och verkställighetsbefogenheter som är nödvändiga för att de ska kunna utföra sina uppgifter enligt denna förordning, inbegripet genom att när så är lämpligt ålägga de sanktioner som avses i artikel 37. Medlemsstaterna ska säkerställa att utövandet av de befogenheter som tilldelas den nationella API-tillsynsmyndigheten omfattas av lämpliga skyddsåtgärder som är förenliga med de grundläggande rättigheter som garanteras enligt unionsrätten.

3.   Medlemsstaterna ska senast den dag då denna förordning börjar tillämpas enligt vad som avses i artikel 46 andra stycket underrätta kommissionen om namnet på och kontaktuppgifterna till de myndigheter som de utsett enligt punkt 1 i den här artikeln. De ska utan dröjsmål underrätta kommissionen om alla ändringar av dessa.

4.   Denna artikel påverkar inte befogenheterna för de tillsynsmyndigheter som avses i artikel 51 i förordning (EU) 2016/679.

1.   Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av bestämmelserna i denna förordning och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande.

2.   Medlemsstaterna ska till kommissionen anmäla dessa regler och åtgärder senast den dag då denna förordning börjar tillämpas enligt artikel 46 andra stycket samt utan dröjsmål eventuella ändringar som berör dem.

3.   Medlemsstaterna ska säkerställa att de nationella API-tillsynsmyndigheterna, när de beslutar huruvida en sanktion ska åläggas och när de fastställer sanktionens typ och nivå, beaktar alla relevanta omständigheter, inbegripet

4.   Medlemsstaterna ska säkerställa att en återkommande underlåtenhet att överföra API-uppgifter i enlighet med artikel 6.1 blir föremål för proportionella böter på upp till 2 % av lufttrafikföretagets totala omsättning under det föregående räkenskapsåret. Medlemsstaterna ska säkerställa att underlåtenhet att fullgöra andra skyldigheter enligt denna förordning blir föremål för proportionella sanktioner, inbegripet böter.

1.   För att stödja genomförandet och övervakningen av tillämpningen av denna förordning, och på grundval av de statistiska uppgifter som avses i punkt 5, ska eu-Lisa varje kvartal offentliggöra statistik om routerns funktion och om lufttrafikföretagens fullgörande av skyldigheterna enligt denna förordning. Denna statistik får inte göra det möjligt att identifiera enskilda personer.

2.   För de ändamål som anges i punkt 1 ska routern automatiskt översända de uppgifter som förtecknas i punkt 5 till CRRS.

3.   För att stödja genomförandet och övervakningen av tillämpningen av denna förordning ska eu-Lisa varje år sammanställa statistiska uppgifter i en årsrapport för det föregående året. eu-Lisa ska offentliggöra årsrapporten och översända den till Europaparlamentet, rådet, kommissionen, Europeiska datatillsynsmannen, Europeiska gräns- och kustbevakningsbyrån och de nationella API-tillsynsmyndigheter som avses i artikel 36. Årsrapporten får inte röja konfidentiella arbetsmetoder eller äventyra pågående utredningar som görs av medlemsstaternas behöriga myndigheter.

4.   På kommissionens begäran ska eu-Lisa tillhandahålla statistik till kommissionen om specifika aspekter som rör genomförandet av denna förordning samt den statistik som avses i punkt 3.

5.   CRRS ska tillhandahålla eu-Lisa följande statistiska uppgifter, som är nödvändiga för den rapportering som avses i artikel 45 och för att generera statistik i enlighet med den här artikeln, utan sådan statistik om API-uppgifter som gör det möjligt att identifiera de berörda passagerarna:

6.   För den rapportering som avses i artikel 45 och för att generera statistik i enlighet med den här artikeln ska eu-Lisa lagra de uppgifter som avses i punkt 5 i den här artikeln i CRRS. eu-Lisa ska lagra sådana uppgifter i fem år i enlighet med punkt 2, med säkerställande av att uppgifterna inte gör det möjligt att identifiera de berörda passagerarna. CRRS ska tillhandahålla vederbörligen bemyndigade anställda vid de behöriga gränsmyndigheterna och andra berörda myndigheter i medlemsstaterna anpassade rapporter och anpassad statistik om API-uppgifter enligt vad som avses i punkt 5 i den här artikeln, för genomförandet och övervakningen av tillämpningen av denna förordning.

7.   Användningen av de uppgifter som avses i punkt 5 i denna artikel får inte leda till profilering av enskilda personer enligt vad som avses i artikel 22 i förordning (EU) 2016/679 eller diskriminering av personer på de grunder som förtecknas i artikel 21 i stadgan. De uppgifter som avses i punkt 5 i den här artikeln får inte användas för att jämföras med eller matchas mot personuppgifter eller för att kombineras med personuppgifter.

8.   De förfaranden som införs av eu-Lisa i syfte att övervaka utvecklingen av och funktionen för den router som avses i artikel 39.2 i förordning (EU) 2019/817 ska inbegripa möjligheten att ta fram regelbunden statistik för att säkerställa denna övervakning.

1.   Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.   När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas. Om kommittén inte avger något yttrande, ska kommissionen inte anta utkastet till genomförandeakt och artikel 5.4 tredje stycket i förordning (EU) nr 182/2011 ska tillämpas.

1.   Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.   Den befogenhet att anta delegerade akter som avses i artiklarna 5.6, 5.7, 6.3 och 9.6 ska ges till kommissionen för en period på fem år från och med den 28 januari 2025. Kommissionen ska utarbeta en rapport om delegeringen av befogenhet senast nio månader före utgången av perioden på fem år. Delegeringen av befogenhet ska genom tyst medgivande förlängas med perioder av samma längd, såvida inte Europaparlamentet eller rådet motsätter sig en sådan förlängning senast tre månader före utgången av perioden i fråga.

Vad gäller en delegerad akt som antagits enligt artikel 5.6 får Europaparlamentet eller rådet, om de har gjort invändningar enligt punkt 6 i den här artikeln, inte motsätta sig en förlängning genom tyst medgivande som avses i första stycket i den här punkten.

3.   Den delegering av befogenhet som avses i artiklarna 5.7, 6.3 och 9.6 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.   Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5.   Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

6.   En delegerad akt som antas enligt artikel 5.6, 5.7, 6.3 eller 9.6 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

1.   eu-Lisa ska säkerställa att det finns förfaranden för att övervaka utvecklingen av routern mot bakgrund av målen vad gäller planering och kostnader samt för att övervaka routerns funktion med beaktande av målen vad gäller tekniska resultat, kostnadseffektivitet, säkerhet och tjänstekvalitet.

2.   Senast den 29 januari 2026 och därefter varje år under routerns utvecklingsfas ska eu-Lisa utarbeta en rapport om hur utvecklingen av routern framskrider och lämna denna rapport till Europaparlamentet och rådet. Rapporten ska innehålla närmare uppgifter om de kostnader som har uppkommit och om eventuella risker som kan påverka de totala kostnader som ska belasta unionens allmänna budget i enlighet med artikel 32.

3.   Så snart routern tagits i drift ska eu-Lisa utarbeta en rapport med en ingående redogörelse för hur målen vad gäller framför allt planering och kostnader har uppnåtts samt skälen till eventuella avvikelser och lämna den till Europaparlamentet och rådet.

4.   Senast den 29 januari 2029 och därefter vart fjärde år ska kommissionen utarbeta en rapport med en övergripande utvärdering av denna förordning, inbegripet om behovet och mervärdet av insamlingen av API-uppgifter, inbegripet en bedömning av

Vid tillämpning av första stycket e ska kommissionens rapport också behandla hur denna förordning samspelar med andra relevanta unionslagstiftningsakter, särskilt förordningarna (EG) nr 767/2008, (EU) 2017/2226 och (EU) 2018/1240, i syfte att bedöma de sammantagna konsekvenserna av därtill knutna rapporteringsskyldigheter för lufttrafikföretagen, ange vilka bestämmelser som skulle kunna uppdateras och förenklas, när så är lämpligt, för att begränsa bördan för lufttrafikföretagen samt överväga vilka insatser och åtgärder som skulle kunna genomföras för att minska det totala kostnadstrycket på lufttrafikföretagen.

5.   Kommissionen ska lämna utvärderingsrapporten till Europaparlamentet, rådet, Europeiska datatillsynsmannen och Europeiska unionens byrå för grundläggande rättigheter. Om så är lämpligt mot bakgrund av den utvärdering som gjorts ska kommissionen lägga fram ett lagstiftningsförslag för Europaparlamentet och rådet i syfte att ändra denna förordning.

6.   Medlemsstaterna och lufttrafikföretagen ska på begäran tillhandahålla eu-Lisa och kommissionen den information som är nödvändig för att utarbeta de rapporter som avses i punkterna 2, 3 och 4, såsom uppgifter rörande resultaten av de förhandskontroller mot unionens informationssystem och nationella databaser som utförs vid de yttre gränserna med användning av API-uppgifter. Medlemsstaterna ska i synnerhet tillhandahålla kvantitativ och kvalitativ information om insamlingen av API-uppgifter ur ett operativt perspektiv. Denna information får inte inbegripa personuppgifter. Medlemsstaterna får avstå från att lämna sådan information om och i den utsträckning det är nödvändigt för att inte röja konfidentiella arbetsmetoder eller äventyra de behöriga gränsmyndigheternas pågående utredningar. Kommissionen ska säkerställa att all konfidentiell information som lämnas skyddas på lämpligt sätt.