EUROPEISKA KOMMISSIONEN

Strasbourg den 13.12.2022

COM(2022) 729 final

2022/0424(COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om insamling och överföring av förhandsinformation om passagerare (API-uppgifter) för att förbättra och underlätta kontrollerna vid de yttre gränserna, om ändring av förordning (EU) 2019/817 och förordning (EU) 2018/1726 och om upphävande av rådets direktiv 2004/82/EG

{SEC(2022) 444 final} - {SWD(2022) 421 final} - {SWD(2022) 422 final} - {SWD(2022) 423 final}

MOTIVERING

1.BAKGRUND TILL FÖRSLAGET

•Motiv och syfte med förslaget

Eftersom allt fler har börjat resa med flyg under de senaste årtiondena samtidigt som effektivitetsdrivna innovationer har lett till större flygplan behöver passagerarflödena på flygplatser bli effektivare. År 2019 reste 4,5 miljarder passagerare med reguljär lufttrafik i hela världen enligt Internationella civila luftfartsorganisationen (Icao) 1 , medan över en halv miljard passagerare reser in i eller ut ur EU varje år 2 , vilket sätter press på de yttre luftgränserna.

Behandling av förhandsinformation om passagerare (API), som föreskrivs i det nuvarande API-direktivet 3 och i detta förslag, är både ett instrument för att bekämpa olaglig invandring och ett gränsförvaltningsverktyg som bidrar till in- och utresekontrollernas ändamålsenlighet och effektivitet genom att underlätta och påskynda klareringen av resenärer. API-uppgifter består av identitetsuppgifter om passagerarna som ingår i deras resehandlingar tillsammans med flyginformation som samlas in vid incheckningen och överförs till gränsmyndigheterna i destinationslandet. Eftersom dessa myndigheter får API-uppgifter innan en flygning landar kan de redan på förhand kontrollera resenärer mot riskprofiler, bevakningslistor och databaser, i enlighet med tillämplig lagstiftning, så att in- och utresekontrollerna går snabbare för personer som reser med ärligt uppsåt, och satsa mer resurser och tid på att identifiera resenärer som behöver utredas ytterligare vid ankomsten.

Inrättandet av system för insamling och överföring av API-uppgifter är sedan 2017 en internationell standard enligt konventionen angående internationell civil luftfart (Chicagokonventionen) 4 . I EU regleras detta av API-direktivet. Genom det direktivet införs en skyldighet för lufttrafikföretag att på begäran överföra API-uppgifter till gränsmyndigheterna i destinationslandet före flygstarten. Det kräver dock inte att medlemsstaterna begär API-uppgifter från lufttrafikföretag, vilket skapar luckor och inkonsekvenser i hur uppgifter samlas in och används, då vissa medlemsstater samlar in API-uppgifter systematiskt medan andra inte gör det 5 . För alla medlemsstater sammantaget beräknas API-uppgifter samlas in för i genomsnitt 65 % av de inkommande flygningarna 6 . Detta skapar en situation där det är lätt för någon som vill undvika kontroller och kringgå sträckor där API-uppgifter samlas in konsekvent att i stället resa till sin destination via flygvägar där API-uppgifter används mer sällan eller inte alls.

•Förenlighet med befintliga bestämmelser inom området

Även den föreslagna förordningen skulle vara en del av Schengenregelverket. API-uppgifterna kommer även fortsättningsvis att tas emot och vidarebehandlas av medlemsstaternas behöriga gränsmyndigheter, endast för de ändamål för vilka API-uppgifterna samlades in enligt den föreslagna förordningen, dvs. gränsförvaltning och bekämpning av olaglig invandring.

2.RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

För denna föreslagna förordning om insamling och överföring av API-uppgifter för gränsförvaltningsändamål och för bekämpning av olaglig invandring är den lämpliga rättsliga grunden, med tanke på syftet och de åtgärder som föreskrivs, artiklarna 77.2 b och d och 79.2 c i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).

Enligt led b i artikel 77.2 i EUF-fördraget har unionen befogenhet att besluta om åtgärder om kontroll av de personer som passerar de yttre gränserna, och enligt led d har unionen befogenhet att besluta om alla nödvändiga åtgärder för att stegvis upprätta ett integrerat system för förvaltning av de yttre gränserna. Enligt artikel 79.2 c i EUF-fördraget har unionen befogenhet att besluta om åtgärder som rör olaglig invandring.

På detta sätt säkerställs överensstämmelse med det nuvarande API-direktivet, som grundar sig på samma bestämmelser.

•Subsidiaritetsprincipen

Eftersom EUF-fördraget uttryckligen ger unionen befogenhet att utveckla en gemensam politik om kontroll av de personer som passerar de yttre gränserna är detta ett tydligt mål som ska eftersträvas på EU-nivå. Samtidigt är detta ett område där EU och medlemsstaterna har delad befogenhet.

Behovet av EU-åtgärder för API-uppgifter just nu beror också på den senaste utvecklingen av lagstiftningen om förvaltningen av Schengenområdets yttre gränser, främst följande:

–2019 års förordning om interoperabilitet 18 kommer att möjliggöra systematiska kontroller av personer som passerar de yttre gränserna mot all tillgänglig och relevant information i centraliserade EU-informationssystem för säkerhet, gränsförvaltning och migrationshantering. Inrättandet av en centraliserad överföringsmekanism för API-uppgifter på EU-nivå är en logisk fortsättning på detta koncept. I linje med de koncept som ingår i interoperabilitetsförordningarna skulle den centraliserade överföringen av API-uppgifter i framtiden kunna leda till att dessa uppgifter används för att söka i olika databaser (SIS, Europoluppgifter) via den europeiska sökportalen.

–Vid de yttre gränserna skulle användningen av API-uppgifter effektivt komplettera den nära förestående implementeringen av EU-systemet för reseuppgifter och resetillstånd (Etias) och in- och utresesystemet. Användningen av API-uppgifter skulle förbli nödvändig för förvaltningen av de yttre gränserna eftersom gränskontrolltjänstemännen därigenom informeras i förväg om huruvida en resenär faktiskt har stigit på planet och är på väg in i Schengenområdet, vilket underlättar den inresekontroll som kommer att äga rum när resenären anländer till de yttre gränserna.

•Proportionalitetsprincipen

I enlighet med proportionalitetsprincipen i artikel 5.4 i EU-fördraget är det nödvändigt att anpassa en viss åtgärds art och intensitet till det identifierade problemet. Alla problem som tas upp i detta lagstiftningsinitiativ kräver på ett eller annat sätt lagstiftningsåtgärder på EU-nivå för att medlemsstaterna ska kunna lösa dem på ett effektivt sätt, utan att för den skull gå längre än vad som är nödvändigt för att lösa problemen.

Genom detta förslag stärks den rättsliga ramen för insamling och överföring av API-uppgifter för förvaltningen av de yttre gränserna och bekämpningen av olaglig invandring. Det stärker API-uppgifternas funktion som ett instrument som förbättrar förhandskontrollerna av resenärer vid de yttre gränserna och bidrar därmed inte bara till att göra kontrollerna i sig ändamålsenliga och effektiva, utan även till målet att bekämpa olaglig invandring, specifikt i samband med gränsöverskridande flygresor och lufttrafikföretagens ansvar i detta avseende. I enlighet med internationella standarder och rekommenderad praxis kommer detta förslag att kräva att lufttrafikföretagen samlar in och överför API-uppgifter för alla flygningar till unionen, som anges i förslaget. De skyldigheter som fastställs i detta förslag är begränsade till vad som är nödvändigt för att uppnå detta mål. Mer specifikt fastställs i detta förslag tydliga regler om bland annat vad som utgör API-uppgifter, på vilka flygningar lufttrafikföretagen bör samla in API-uppgifter och hur de överförs. Eftersom förslaget rör en förordning kommer det att fastställa ett enhetligt tillvägagångssätt för användningen av API-uppgifter för förvaltningen av de yttre gränserna och bekämpningen av olaglig invandring. En sådan standardisering av API-kraven i alla medlemsstater kommer att bidra till ökad rättssäkerhet och förutsebarhet och därmed också till ökad efterlevnad från lufttrafikföretagens sida.

Proportionaliteten säkerställs ytterligare genom flera inslag i den föreslagna förordningen, bland annat begränsningen till endast inkommande flygningar, målinriktningen av kravet på att använda automatiserade metoder på endast vissa API-uppgifter och skyddsåtgärder när det gäller sättet och syftet med att behandla API-uppgifter.

I den föreslagna förordningen planeras inrättandet av en router som skulle fungera som en gemensam anslutningspunkt mellan medlemsstater och lufttrafikföretag, i enlighet med internationella rekommendationer, och ett EU-tillvägagångssätt införs för insamlingen och överföringen av API-uppgifter. Överföringen av API-uppgifter via routern kommer att minska kostnaderna för luftfartsindustrin och säkerställa att gränskontrolltjänstemännen har snabb och sömlös åtkomst till de API-uppgifter de behöver för att göra avancerade in- och utresekontroller. Detta tillvägagångssätt kommer att drastiskt minska antalet anslutningar som medlemsstaterna måste upprätta och upprätthålla. Även för lufttrafikföretagen blir det mindre komplicerat att upprätthålla anslutningar med behöriga gränsmyndigheter, samtidigt som stordriftsfördelar skapas. En EU-byrå, dvs. eu-LISA, kommer att ansvara för att utforma, utveckla, hysa och tekniskt förvalta routern. Överföringen av API-uppgifter via routern kommer att stödja bevakningen av flygningar och därmed minska sannolikheten för att ett lufttrafikföretag inte fullgör skyldigheten att lämna API-uppgifter i enlighet med detta förslag.

•Val av instrument

En förordning föreslås. Som förklaras i den konsekvensbedömning som åtföljer detta förslag och med tanke på att de föreslagna åtgärderna måste vara direkt tillämpliga och tillämpas enhetligt i alla medlemsstater är en förordning det lämpliga valet av rättsligt instrument.

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Efterhandsutvärderingar av befintlig lagstiftning

•Samråd med berörda parter

Utarbetandet av detta förslag omfattade många olika samråd med berörda parter, bland annat medlemsstaternas myndigheter (behöriga gränsmyndigheter och enheter för passagerarinformation), företrädare för transportbranschen och enskilda lufttrafikföretag. EU-byråer – såsom Europeiska gräns- och kustbevakningsbyrån (Frontex), Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol), Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA) och Europeiska unionens byrå för grundläggande rättigheter (FRA) – bidrog också med synpunkter inom ramen för deras mandat och sakkunskap. I detta initiativ integreras också de synpunkter som kom in under det offentliga samråd som genomfördes i slutet av 2019 inom ramen för utvärderingen av API-direktivet 21 .

Vid samråden i samband med utarbetandet av den konsekvensbedömning som ligger till grund för detta förslag inhämtades återkoppling från berörda parter på flera olika sätt. Man gjorde bland annat en inledande konsekvensbedömning, en extern stödstudie och ett antal tekniska seminarier.

En inledande konsekvensbedömning offentliggjordes för återkoppling från den 5 juni 2020 till den 14 augusti 2020. Totalt sju bidrag lämnades in med återkoppling om utvidgningen av tillämpningsområdet för det framtida API-direktivet, uppgiftskvalitet, sanktioner, förhållandet mellan API- och PNR-uppgifter samt skydd av personuppgifter 22 .

Den externa stödstudien genomfördes på grundval av skrivbordsundersökningar, intervjuer och enkäter med ämnesexperter och undersökte olika möjliga åtgärder för behandling av API-uppgifter med tydliga regler som underlättar lagligt resande och är förenliga med EU-informationssystemens interoperabilitet, EU:s krav på skydd av personuppgifter och andra befintliga EU-instrument och internationella standarder.

Kommissionens avdelningar organiserade även en serie tekniska seminarier med experter från medlemsstaterna och de Schengenassocierade länderna. Målet med seminarierna var att sammanföra experter i en diskussion om möjliga alternativ för att stärka den framtida API-ramen för gränsförvaltning och bekämpning av olaglig invandring samt för bekämpning av brottslighet och terrorism.

I den åtföljande konsekvensbedömningen finns en mer utförlig redogörelse för samråden med berörda parter (bilaga 2).

•Konsekvensbedömning

•Grundläggande rättigheter och skydd av personuppgifter

4.BUDGETKONSEKVENSER

5.ÖVRIGA INSLAG

•Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering

Enligt förslaget skulle kommissionen säkerställa att nödvändiga arrangemang har införts för att övervaka de föreslagna åtgärdernas funktion och för att utvärdera dem i förhållande till de viktigaste politiska målen. Fyra år efter det att den föreslagna förordningen har börjat tillämpas, och därefter vart fjärde år, skulle kommissionen lägga fram en rapport för Europaparlamentet och rådet med en bedömning av genomförandet av förordningen och dess mervärde. Rapporten skulle också redogöra för eventuella direkta eller indirekta effekter på relevanta grundläggande rättigheter. I rapporten skulle kommissionen granska uppnådda resultat jämfört med målen och bedöma huruvida de underliggande orsakerna fortfarande är aktuella och eventuella följder för framtida alternativ.

I och med skyldigheten att samla in API-uppgifter och införandet av routern får man en tydligare bild av såväl lufttrafikföretagens insamling och överföring av API-uppgifter som medlemsstaternas efterföljande användning av API-uppgifterna i enlighet med tillämplig nationell lagstiftning och unionslagstiftning. Detta kommer att stödja Europeiska kommissionen i dess utvärderings- och tillsynsuppgifter genom att den får tillförlitlig statistik om mängden överförda uppgifter och om de flygningar för vilka API-uppgifter begärs.

•Variabel geometri

Detta förslag bygger på och vidareutvecklar Schengenregelverket i fråga om yttre gränser, eftersom det handlar om passage av de yttre gränserna. Man bör därför beakta följande konsekvenser i förhållande till protokoll nr 19 om Schengenregelverket införlivat inom Europeiska unionens ramar, fogat till EU-fördraget och EUF-fördraget, samt protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-fördraget.

Förslaget omfattas av de åtgärder i Schengenregelverket i vilka Irland deltar i enlighet med artikel 6.2 i rådets beslut 2002/192/EG av den 28 februari 2002 om Irlands begäran om att få delta i vissa bestämmelser i Schengenregelverket 28 . Irlands deltagande i detta förslag hänför sig närmare bestämt till unionens förpliktelser att vidta åtgärder för att utveckla de bestämmelser i Schengenregelverket mot olaglig invandring i vilka Irland deltar. Irland deltar särskilt eftersom det i artikel 1.1 i det rådsbeslutet finns en hänvisning till artikel 26 i konventionen om tillämpning av Schengenavtalet rörande lufttrafikföretags skyldigheter i fråga om utlänningar som nekas inresa och utlänningars innehav av de resehandlingar som krävs. Irland deltar i hela den föreslagna förordningen.

I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-fördraget, kommer Danmark inte att delta i antagandet av detta förslag, som inte är bindande för eller tillämpligt på Danmark när det har antagits. Eftersom den föreslagna förordningen är en utveckling av Schengenregelverket kommer Danmark, i enlighet med artikel 4 i det protokollet, inom sex månader efter det att rådet har beslutat om detta förslag, att besluta huruvida landet ska genomföra det i sin nationella lagstiftning.

När det gäller Cypern, Bulgarien och Rumänien samt Kroatien kommer den föreslagna förordningen att utgöra en akt som utvecklar Schengenregelverket eller som på annat sätt har samband med detta i den mening som avses i artikel 3.1 i 2003 års anslutningsakt, artikel 4.1 i 2005 års anslutningsakt respektive artikel 4.1 i 2011 års anslutningsakt.

När det gäller Island, Norge, Schweiz och Liechtenstein kommer den föreslagna förordningen att utgöra en utveckling av bestämmelserna i Schengenregelverket i den mening som avses i deras respektive associeringsavtal.

•Ingående redogörelse för de specifika bestämmelserna i förslaget

I kapitel 1 fastställs de allmänna bestämmelserna för denna förordning, först och främst regler om dess innehåll och tillämpningsområde. Det innehåller också en förteckning över definitioner.

Kapitel 2 innehåller bestämmelser om insamling och överföring av API-uppgifter, närmare bestämt tydliga regler om lufttrafikföretags insamling av API-uppgifter, om överföringen av API-uppgifter till routern, om de behöriga gränsmyndigheternas behandling av API-uppgifter och om lufttrafikföretagens och dessa myndigheters lagring och radering av API-uppgifter.

Kapitel 3 innehåller bestämmelser om överföring av API-uppgifter via routern. Närmare bestämt innehåller det en beskrivning av routerns huvudegenskaper och regler om användningen av routern, om förfarandet för överföring av API-uppgifter från routern till de behöriga gränsmyndigheterna, om radering av API-uppgifter från routern, om loggföring och om förfaranden vid partiell eller fullständig teknisk omöjlighet att använda routern. 

Kapitel 4 innehåller en rad särskilda bestämmelser om skydd av personuppgifter. Närmare bestämt anges vem som är personuppgiftsansvarig och personuppgiftsbiträde för behandlingen av API-uppgifter som utgör personuppgifter i enlighet med denna förordning. Där fastställs också de åtgärder som krävs av eu-LISA för att säkerställa säkerheten vid uppgiftsbehandlingen, i enlighet med bestämmelserna i förordning (EU) 2018/1725. Kapitlet fastställer vilka åtgärder lufttrafikföretag och behöriga gränsmyndigheter måste vidta för att säkerställa egenkontroll av efterlevnaden av de relevanta bestämmelserna i denna förordning och reglerna om revisioner.

I kapitel 5 regleras vissa specifika frågor som rör routern. Det innehåller krav på de behöriga gränsmyndigheternas och lufttrafikföretagens anslutningar till routern. Det fastställer också eu-LISA:s uppgifter när det gäller utformning, utveckling, hysning och teknisk förvaltning av routern och andra relaterade stöduppgifter. Kapitlet innehåller dessutom bestämmelser om de kostnader som eu-LISA och medlemsstaterna ådrar sig vid tillämpningen av denna förordning, särskilt när det gäller medlemsstaternas anslutningar till och integrering med routern. Det innehåller också bestämmelser om skadeståndsansvar för skador på routern, routerns driftsättning och möjligheten för lufttrafikföretag att frivilligt använda routern på vissa villkor.

Kapitel 6 innehåller bestämmelser om tillsyn, om möjliga sanktioner som tillämpas på lufttrafikföretag om de inte fullgör sina skyldigheter enligt denna förordning, om eu-LISA:s statistiska rapportering och om kommissionens utarbetande av en handbok.

I kapitel 7 regleras effekterna på andra EU-rättsakter. Närmare bestämt innehåller det bestämmelser om upphävande av direktiv 2004/82/EG och nödvändiga ändringar av andra befintliga instrument, dvs. förordning (EU) 2018/1726 29 och förordning (EU) 2019/817 30 .

Kapitel 8 innehåller förordningens slutbestämmelser, som rör antagande av delegerade akter och genomförandeakter, övervakning och utvärdering av förordningen samt dess ikraftträdande och tillämpning.

2022/0424 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om insamling och överföring av förhandsinformation om passagerare (API-uppgifter) för att förbättra och underlätta kontrollerna vid de yttre gränserna, om ändring av förordning (EU) 2019/817 och förordning (EU) 2018/1726 och om upphävande av rådets direktiv 2004/82/EG

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 77.2 b och d och 79.2 c,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande 31 ,

i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

1)Personkontroller vid de yttre gränserna bidrar avsevärt till att garantera unionens, medlemsstaternas och medborgarnas långsiktiga säkerhet och förblir därför en viktig skyddsåtgärd, särskilt i området utan inre gränskontroll (Schengenområdet). Effektiva och ändamålsenliga kontroller vid de yttre gränserna som i tillämpliga fall utförs i enlighet med särskilt Europaparlamentets och rådets förordning (EU) 2016/399 32 bidrar till att bekämpa olaglig invandring och förebygga hot mot medlemsstaternas inre säkerhet, allmänna ordning, folkhälsa och internationella förbindelser.

2)Användningen av uppgifter om resenärer och flyginformation som överförs före resenärernas ankomst – så kallad förhandsinformation om passagerare (API-uppgifter) – bidrar till att påskynda genomförandet av de kontroller som krävs under gränsövergången. Vid tillämpningen av denna förordning avser gränsövergång mer specifikt passage av gränserna mellan ett tredjeland eller en medlemsstat som inte deltar i denna förordning, å ena sidan, och en medlemsstat som deltar i denna förordning, å andra sidan. Sådan användning stärker kontrollerna vid dessa yttre gränser genom att ge tillräckligt med tid för att göra detaljerade och omfattande kontroller av alla resenärer, utan att detta får oproportionerliga negativa effekter på personer som reser med ärligt uppsåt. För att kontrollerna vid de yttre gränserna ska bli ändamålsenliga och effektiva bör därför en lämplig rättslig ram fastställas för att säkerställa att medlemsstaternas behöriga gränsmyndigheter vid sådana gränsövergångsställen vid de yttre gränserna har tillgång till API-uppgifter innan resenärer anländer.

3)Den befintliga rättsliga ramen för API-uppgifter, som består av rådets direktiv 2004/82/EG 33 och nationell lagstiftning som införlivar det direktivet, har visat sig vara viktig för att förbättra gränskontrollerna, särskilt genom att den utgör en ram för medlemsstaternas införande av bestämmelser om lufttrafikföretags skyldigheter att överföra API-uppgifter om passagerare som transporteras till deras territorium. Det finns dock fortfarande skillnader på nationell nivå. I synnerhet begärs inte API-uppgifter systematiskt från lufttrafikföretag, och lufttrafikföretagen ställs inför olika krav när det gäller vilken typ av information som ska samlas in och på vilka villkor API-uppgifter måste överföras till behöriga gränsmyndigheter. Dessa skillnader leder inte bara till onödiga kostnader och komplikationer för lufttrafikföretagen, utan är även ett hinder för att säkerställa ändamålsenliga och effektiva förhandskontroller av personer som anländer till de yttre gränserna.

4)Den befintliga rättsliga ramen bör därför uppdateras och ersättas för att säkerställa tydliga, harmoniserade och effektiva regler om insamling och överföring av API-uppgifter i syfte att förbättra och främja in- och utresekontrollernas effektivitet och ändamålsenlighet vid de yttre gränserna och i syfte att bekämpa olaglig invandring.

5)För att säkerställa ett i möjligaste mån konsekvent tillvägagångssätt på internationell nivå och mot bakgrund av de regler om insamling av API-uppgifter som är tillämpliga på den nivån bör den uppdaterade rättsliga ram som inrättas genom denna förordning ta hänsyn till relevant praxis som överenskommits internationellt med luftfartsindustrin och inom ramen för Världstullorganisationens, Internationella lufttransportorganisationens och Internationella civila luftfartsorganisationens riktlinjer om förhandsinformation om passagerare.

6)Insamling och överföring av API-uppgifter påverkar enskildas integritet och inbegriper behandling av personuppgifter. För att fullt ut respektera de grundläggande rättigheterna, särskilt rätten till respekt för privatlivet och rätten till skydd av personuppgifter, i enlighet med Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), bör lämpliga begränsningar och skyddsåtgärder föreskrivas. I synnerhet bör all behandling av API-uppgifter, framför allt API-uppgifter som utgör personuppgifter, begränsas till vad som är nödvändigt och proportionellt för att uppnå de mål som eftersträvas med denna förordning. Dessutom bör det säkerställas att de API-uppgifter som samlas in och överförs enligt denna förordning inte leder till någon form av diskriminering som är förbjuden enligt stadgan.

7)För att målen ska kunna uppnås bör denna förordning tillämpas på alla lufttrafikföretag som utför flygningar till unionen, enligt definitionen i denna förordning, både reguljära och icke-reguljära flygningar, oavsett var de lufttrafikföretag som utför dessa flygningar är etablerade.

8)För effektivitetens och rättssäkerhetens skull bör de uppgiftselement som ingår i de API-uppgifter som ska samlas in och därefter överföras enligt denna förordning förtecknas tydligt och uttömmande och omfatta både information om varje resenär och information om den resenärens flygning. Sådan flyginformation bör omfatta information om gränsövergångsstället för inresa till den berörda medlemsstatens territorium i samtliga fall som omfattas av denna förordning, men den informationen bör endast samlas in när det är tillämpligt enligt förordning (EU) [API för brottsbekämpning], dvs. inte när API-uppgifterna avser flygningar inom EU.

9)För att möjliggöra flexibilitet och innovation bör det i princip överlåtas åt varje lufttrafikföretag att fastställa hur det uppfyller sina skyldigheter när det gäller insamling av API-uppgifter enligt denna förordning. Med tanke på att det finns lämpliga tekniska lösningar som gör det möjligt att automatiskt samla in vissa API-uppgifter och samtidigt garanterar att de berörda API-uppgifterna är korrekta, fullständiga och aktuella, och med beaktande av fördelarna med att använda sådan teknik när det gäller ändamålsenlighet och effektivitet, bör lufttrafikföretagen vara skyldiga att samla in dessa API-uppgifter med automatiserade metoder genom att läsa information från de maskinläsbara uppgifterna i resehandlingen.

10)Med hjälp av automatiserade metoder kan resenärer själva lämna vissa API-uppgifter när de checkar in online. Exempel på sådana metoder är en säker app på resenärens smarttelefon, dator eller webbkamera med kapacitet att läsa de maskinläsbara uppgifterna i resehandlingen. Om resenärerna inte har checkat in online bör lufttrafikföretagen i praktiken ge dem möjlighet att lämna de maskinläsbara API-uppgifterna under incheckningen på flygplatsen med hjälp av en självbetjäningskiosk eller av flygbolagets personal vid disken.

11)Kommissionen bör ges befogenhet att anta tekniska krav och förfaranderegler som lufttrafikföretagen ska följa i samband med användningen av automatiserade metoder för insamling av maskinläsbara API-uppgifter enligt denna förordning, för att öka tydligheten och rättssäkerheten och bidra till att säkerställa uppgifternas kvalitet och en ansvarsfull användning av de automatiserade metoderna.

12)Med tanke på fördelarna med att använda automatiserade metoder för att samla in maskinläsbara API-uppgifter och den tydlighet som härrör från de tekniska krav i detta avseende som kommer att antas enligt denna förordning, bör det klargöras att lufttrafikföretag som beslutar att använda automatiserade metoder för att samla in den information som de är skyldiga att överföra enligt direktiv 2004/82/EG har möjlighet, men inte skyldighet, att sedan dessa krav antagits tillämpa dem i samband med sådan användning av automatiserade metoder, i den utsträckning som det direktivet tillåter det. Sådan frivillig tillämpning av dessa specifikationer vid tillämpningen av direktiv 2004/82/EG bör inte på något sätt anses påverka lufttrafikföretagens och medlemsstaternas skyldigheter enligt det direktivet.

13)I syfte att säkerställa att de förhandskontroller som de behöriga gränsmyndigheterna gör i förväg är ändamålsenliga och effektiva bör de API-uppgifter som överförs till dessa myndigheter innehålla uppgifter om resenärer som verkligen står i beråd att passera de yttre gränserna, dvs. resenärer som faktiskt befinner sig ombord på luftfartyget. Lufttrafikföretagen bör därför överföra API-uppgifter direkt efter det att gaten stängts. API-uppgifterna hjälper dessutom de behöriga gränsmyndigheterna att skilja legitima resenärer från resenärer som kan vara av intresse och därför kan kräva ytterligare verifiering, vilket skulle kräva ytterligare samordning och förberedelse av de uppföljningsåtgärder som ska vidtas vid ankomsten. Detta skulle till exempel kunna inträffa om antalet resenärer av intresse är oväntat stort och de fysiska kontrollerna av dem vid gränserna skulle kunna inverka negativt på in- och utresekontrollerna och väntetiderna vid gränserna för andra, legitima resenärer. För att ge de behöriga gränsmyndigheterna möjlighet att förbereda lämpliga och proportionella åtgärder vid gränsen, såsom att tillfälligt förstärka eller omfördela personalen, särskilt för flygningar där tiden mellan det att gaten stängs och passagerarna anländer till de yttre gränserna är otillräcklig för att de behöriga gränsmyndigheterna ska kunna förbereda den lämpligaste reaktionen, bör API-uppgifter också överföras före ombordstigning, vid den tidpunkt då varje resenär checkar in.

14)För att klargöra de tekniska krav som är tillämpliga på lufttrafikföretag och som behövs för att säkerställa att de API-uppgifter som de samlar in enligt denna förordning överförs till routern på ett säkert, effektivt och snabbt sätt, bör kommissionen ges befogenhet att fastställa specifikationer för de gemensamma protokoll och understödda dataformat som ska användas för dessa överföringar. 

15)För att undvika varje risk för missbruk och i enlighet med principen om ändamålsbegränsning bör de behöriga gränsmyndigheterna uttryckligen hindras från att behandla de API-uppgifter som de mottar enligt denna förordning i något annat syfte än att förbättra och främja in- och utresekontrollernas ändamålsenlighet och effektivitet vid de yttre gränserna och bekämpa olaglig invandring.

16)För att säkerställa att de behöriga gränsmyndigheterna har tillräckligt med tid för att utföra effektiva förhandskontroller av alla resenärer, även resenärer på långdistansflygningar och passagerare på anslutande flygningar, samt tillräckligt med tid för att säkerställa att de API-uppgifter som samlats in och överförts av lufttrafikföretagen är fullständiga, korrekta och aktuella, och vid behov begära ytterligare förtydliganden, korrigeringar eller kompletteringar från lufttrafikföretagen, bör de behöriga gränsmyndigheterna lagra de API-uppgifter som de mottagit enligt denna förordning under en fastställd tidsperiod som är begränsad till vad som är absolut nödvändigt för dessa ändamål. För att kunna besvara en sådan begäran bör lufttrafikföretagen också lagra de API-uppgifter som de överfört enligt denna förordning under samma fastställda och absolut nödvändiga tidsperiod. 

17)För att lufttrafikföretag inte ska behöva upprätta och upprätthålla flera anslutningar till medlemsstaternas behöriga gränsmyndigheter för överföring av API-uppgifter som samlats in enligt denna förordning, med den ineffektivitet och de säkerhetsrisker som det skulle innebära, bör bestämmelser fastställas om en gemensam router som skapas och drivs på unionsnivå och som fungerar som anslutnings- och distribueringspunkt för dessa överföringar. Av effektivitets- och kostnadseffektivitetsskäl bör routern i den mån det är tekniskt möjligt och med full respekt för reglerna i denna förordning och förordning (EU) [API för brottsbekämpning] förlita sig på tekniska komponenter från andra relevanta system som inrättats enligt unionsrätten.

18)Routern bör på ett automatiserat sätt överföra API-uppgifterna till de relevanta behöriga gränsmyndigheterna, vilka bör fastställas på grundval av det gränsövergångsställe för inresa till medlemsstatens territorium som anges i API-uppgifterna i fråga. För att underlätta distribueringsprocessen bör varje medlemsstat ange vilka gränsmyndigheter som är behöriga att ta emot API-uppgifter som överförs från routern. För att säkerställa att denna förordning fungerar korrekt och för öppenhetens skull bör denna information offentliggöras.

19)Routern bör endast användas för att underlätta överföringen av API-uppgifter från lufttrafikföretagen till de behöriga gränsmyndigheterna i enlighet med denna förordning och till enheter för passagerarinformation i enlighet med förordning (EU) [API för brottsbekämpning] och bör inte vara en databas för API-uppgifter. Därför, och för att minimera risken för obehörig åtkomst eller annat missbruk och i enlighet med principen om uppgiftsminimering, bör all lagring av API-uppgifter på routern begränsas till vad som är absolut nödvändigt av tekniska orsaker i samband med överföringen, och API-uppgifterna bör raderas från routern omedelbart, permanent och på ett automatiserat sätt det ögonblick då överföringen har slutförts eller, när så är relevant enligt förordning (EU) [API för brottsbekämpning], så bör API-uppgifterna inte överföras över huvud taget.

20)I syfte att säkerställa att överföringen av API-uppgifter från routern fungerar korrekt bör kommissionen ges befogenhet att fastställa detaljerade tekniska och förfarandemässiga regler för denna överföring. Dessa regler bör vara sådana att det säkerställs att överföringen är säker, effektiv och snabb och att den inte påverkar passagerarnas resor och lufttrafikföretagen mer än nödvändigt.

21)För att lufttrafikföretagen så snart som möjligt ska kunna dra nytta av fördelarna med att använda den router som utvecklats av eu-LISA i enlighet med denna förordning och få erfarenhet av att använda den, bör lufttrafikföretagen ges möjlighet, men inte skyldighet, att under en övergångsperiod använda routern för att överföra den information som de måste överföra enligt direktiv 2004/82/EG. Denna övergångsperiod bör inledas vid den tidpunkt då routern tas i drift och avslutas när skyldigheterna enligt det direktivet upphör att gälla. I syfte att säkerställa att all sådan frivillig användning av routern sker på ett ansvarsfullt sätt bör det krävas förhandsgodkännande från den ansvariga myndighet som ska ta emot informationen, på begäran av lufttrafikföretaget och efter det att den myndigheten vid behov har utfört kontroller och fått försäkringar. För att undvika en situation där lufttrafikföretag upprepade gånger börjar och slutar använda routern, bör ett lufttrafikföretag som frivilligt börjar använda routern vara skyldigt att fortsätta använda den, såvida det inte finns objektiva skäl att upphöra att använda den för att överföra informationen till den berörda ansvariga myndigheten, t.ex. om det blivit uppenbart att informationen inte överförs på ett lagligt, säkert, effektivt och snabbt sätt. För att denna möjlighet att frivilligt använda routern ska kunna tillämpas korrekt, med vederbörlig hänsyn till alla berörda parters rättigheter och intressen, bör nödvändiga regler för samråd och tillhandahållande av information fastställas. Sådan frivillig användning av routern vid tillämpningen av direktiv 2004/82/EG i enlighet med denna förordning bör inte på något sätt anses påverka lufttrafikföretagens och medlemsstaternas skyldigheter enligt det direktivet.

22)Den router som kommer att skapas och drivas enligt denna förordning minimerar och förenklar de tekniska anslutningar som krävs för att överföra API-uppgifter, genom att de begränsas till en enda anslutning per lufttrafikföretag och per behörig gränsmyndighet. I denna förordning föreskrivs därför en skyldighet för varje behörig gränsmyndighet och lufttrafikföretag att upprätta en sådan anslutning till och uppnå den nödvändiga integreringen med routern, för att säkerställa att det system för överföring av API-uppgifter som inrättas genom denna förordning kan fungera korrekt. För att ge verkan åt dessa skyldigheter och säkerställa att det system som inrättas genom denna förordning fungerar korrekt bör de kompletteras med detaljerade regler.

23)Med tanke på de unionsintressen som står på spel bör de kostnader som eu-LISA ådrar sig för utförandet av sina uppgifter enligt denna förordning och förordning (EU) [API för brottsbekämpning] med avseende på routern belasta unionens budget. Detsamma bör gälla för lämpliga kostnader som medlemsstaterna ådrar sig i samband med sina anslutningar till, och sin integrering med, routern, enligt kraven i denna förordning och i enlighet med tillämplig lagstiftning, med förbehåll för vissa undantag. Varje berörd medlemsstat bör själv stå för de kostnader som omfattas av dessa undantag.

24)Det kan inte uteslutas att routern eller de system eller den infrastruktur som ansluter de behöriga gränsmyndigheterna och lufttrafikföretagen till den i exceptionella omständigheter och trots att alla rimliga åtgärder har vidtagits i enlighet med denna förordning inte fungerar korrekt och att det därmed är tekniskt omöjligt att använda routern för att överföra API-uppgifter. Med tanke på att routern inte är tillgänglig och att det i allmänhet inte kommer att vara rimligen möjligt för lufttrafikföretag att överföra de API-uppgifter som påverkas av felet på ett lagligt, säkert, effektivt och snabbt sätt med alternativa metoder, bör lufttrafikföretagens skyldighet att överföra dessa API-uppgifter till routern upphöra att gälla under den tid som den tekniska omöjligheten kvarstår. För att minimera varaktigheten och de negativa konsekvenserna av detta bör de berörda parterna i sådana fall omedelbart underrätta varandra och omedelbart vidta alla nödvändiga åtgärder för att åtgärda den tekniska omöjligheten. Med tanke på att API-uppgifter om flygningar som redan anlänt inte är användbara för in- och utresekontroller finns det i ett sådant fall ingen grund för att kräva att lufttrafikföretagen samlar in och lagrar API-uppgifterna. Detta arrangemang bör inte påverka alla berörda parters skyldigheter enligt denna förordning att säkerställa att routern och deras respektive system och infrastruktur fungerar korrekt, och inte heller det faktum att lufttrafikföretag blir föremål för sanktioner när de underlåter att uppfylla dessa skyldigheter, bland annat när de försöker utnyttja detta arrangemang när det inte är motiverat. För att motverka sådant missbruk och underlätta tillsyn och vid behov införande av sanktioner bör de lufttrafikföretag som utnyttjar detta arrangemang på grund av fel i sitt eget system och sin egen infrastruktur rapportera om detta till den behöriga tillsynsmyndigheten.

25)För att säkerställa efterlevnaden av den grundläggande rätten till skydd av personuppgifter bör denna förordning ange personuppgiftsansvarig och personuppgiftsbiträde och fastställa regler för revisioner. För att säkerställa en effektiv övervakning och lämpligt skydd av personuppgifter och minimera säkerhetsriskerna bör det också fastställas regler för loggning, säkerhet vid behandling och egenkontroll. När bestämmelserna rör behandling av personuppgifter bör de tolkas som ett komplement till de allmänt tillämpliga unionsrättsakterna om skydd av personuppgifter, särskilt Europaparlamentets och rådets förordning (EU) 2016/679 34 och Europaparlamentets och rådets förordning (EU) 2018/1725 35 . Dessa akter, som också är tillämpliga på behandling av personuppgifter enligt denna förordning i enlighet med dess bestämmelser, bör inte påverkas av denna förordning.

26)Ändamålet med behandling enligt denna förordning, dvs. överföring av API-uppgifter från lufttrafikföretag via routern till medlemsstaternas behöriga gränsmyndigheter, är att hjälpa dessa myndigheter att fullgöra sina gränsförvaltningsskyldigheter och uppgifter i samband med bekämpning av olaglig invandring. De behöriga gränsmyndigheter som tar emot API-uppgifterna bör därför vara personuppgiftsansvariga för överföringen av API-uppgifter som utgör personuppgifter via routern och lagringen av dessa uppgifter på routern i den mån sådan lagring behövs av tekniska orsaker, och för all sin efterföljande behandling av dem för att förbättra och underlätta in- och utresekontrollerna vid de yttre gränserna. Lufttrafikföretagen bör i sin tur vara separata personuppgiftsansvariga för behandling de enligt denna förordning är skyldiga att utföra av API-uppgifter som utgör personuppgifter. På grundval av detta bör både lufttrafikföretagen och de behöriga gränsmyndigheterna vara separata personuppgiftsansvariga i fråga om sin behandling av API-uppgifter enligt denna förordning.

27)För att säkerställa att lufttrafikföretagen tillämpar reglerna i denna förordning på ett effektivt sätt bör det föreskrivas att nationella myndigheter utses som ges befogenhet att ansvara för tillsynen av dessa regler. Reglerna i denna förordning om sådan tillsyn, även när det gäller införande av sanktioner vid behov, bör inte påverka uppgifterna och befogenheterna för de tillsynsmyndigheter som inrättats i enlighet med förordning (EU) 2016/679, inte heller när det gäller behandling av personuppgifter enligt denna förordning.

28)Medlemsstaterna bör fastställa effektiva, proportionella och avskräckande sanktioner, även ekonomiska sanktioner, för de lufttrafikföretag som inte uppfyller sina skyldigheter med avseende på insamling och överföring av API-uppgifter enligt denna förordning.

29)Eftersom denna förordning föreskriver nya regler om de behöriga gränsmyndigheternas insamling och överföring av API-uppgifter i syfte att förbättra och främja in- och utresekontrollernas effektivitet och ändamålsenlighet vid de yttre gränserna, bör direktiv 2004/82/EG upphävas.

30)Eftersom routern bör utformas, utvecklas, hysas och tekniskt förvaltas av eu-LISA, som inrättades genom Europaparlamentets och rådets förordning (EU) 2018/1726 36 , är det nödvändigt att ändra den förordningen genom att lägga till denna uppgift till eu-LISA:s uppgifter. För att det ska gå att lagra rapporter och statistik från routern i den centrala databasen för rapporter och statistik är det nödvändigt att ändra Europaparlamentets och rådets förordning (EU) 2019/817 37 .

31)För att anta åtgärder avseende de tekniska kraven och operativa reglerna för automatiserade metoder för insamling av maskinläsbara API-uppgifter, de gemensamma protokoll och format som ska användas för lufttrafikföretagens överföring av API-uppgifter, de tekniska och förfarandemässiga reglerna för överföring av API-uppgifter från routern till de behöriga gränsmyndigheterna och till enheterna för passagerarinformation samt enheterna för passagerarinformations och lufttrafikföretagens anslutningar till och integrering med routern, bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen med avseende på artiklarna 5, 6, 11, 20 respektive 21. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning 38 . För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter erhåller Europaparlamentet och rådet alla handlingar samtidigt som medlemsstaternas experter, och deras experter ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

32)För att säkerställa enhetliga villkor för genomförandet av denna förordning, närmare bestämt när det gäller routerns driftsättning, bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 39 .

33)Alla berörda parter, särskilt lufttrafikföretagen och de behöriga gränsmyndigheterna, bör få tillräckligt med tid för att göra de förberedelser som krävs för att de ska kunna fullgöra sina respektive skyldigheter enligt denna förordning, med beaktande av att vissa av dessa förberedelser, såsom de som rör skyldigheter avseende anslutning till och integrering med routern, kan färdigställas först när routerns utformnings- och utvecklingsfaser har slutförts och routern tas i drift. Därför bör denna förordning tillämpas först från och med ett lämpligt datum efter den dag då routern tas i drift, vilket fastställs av kommissionen i enlighet med denna förordning.

34)Routerns utformnings- och utvecklingsfaser bör dock inledas och slutföras så snart som möjligt, så att routern kan tas i drift så snart som möjligt, vilket också kräver att de relevanta genomförandeakter och delegerade akter som föreskrivs i denna förordning antas. Det förtydligande som föreskrivs i denna förordning när det gäller tillämpningen av specifikationer för användning av automatiserade metoder vid tillämpning av direktiv 2004/82/EG bör också tillhandahållas utan dröjsmål. Artiklarna om dessa frågor bör därför tillämpas från och med den dag då denna förordning träder i kraft. För att möjliggöra frivillig användning av routern så snart som möjligt bör dessutom artikeln om sådan användning, liksom vissa andra artiklar som behövs för att säkerställa att denna användning sker på ett ansvarsfullt sätt, börja tillämpas tidigast möjligt, dvs. från och med den tidpunkt då routern tas i drift.

35)Denna förordning bör inte påverka medlemsstaternas möjlighet att i sin nationella lagstiftning föreskriva ett system för insamling av API-uppgifter från andra transportörer än de som anges i denna förordning, förutsatt att sådan nationell lagstiftning är förenlig med unionsrätten.

36)Eftersom målen för denna förordning, dvs. att förbättra och främja in- och utresekontrollernas ändamålsenlighet och effektivitet vid de yttre gränserna och bekämpa olaglig invandring, rör frågor som till sin natur är gränsöverskridande, kan de inte i tillräcklig utsträckning uppnås av medlemsstaterna på egen hand, utan kan uppnås bättre på unionsnivå. Unionen får därför vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

37)I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-fördraget, deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark. Eftersom denna förordning är en utveckling av Schengenregelverket ska Danmark, i enlighet med artikel 4 i det protokollet, inom sex månader efter det att rådet har beslutat om denna förordning, besluta huruvida landet ska genomföra den i sin nationella lagstiftning.

38)Irland deltar i denna förordning i enlighet med artikel 5.1 i protokoll nr 19 om Schengenregelverket införlivat inom Europeiska unionens ramar, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, och i enlighet med artikel 6.2 i rådets beslut 2002/192/EG 40 .

39) Irlands deltagande i denna förordning hänför sig, i enlighet med artikel 6.2 i beslut 2002/192/EG, till unionens förpliktelser att vidta åtgärder för att utveckla de bestämmelser i Schengenregelverket mot olaglig invandring i vilka Irland deltar.

40)När det gäller Island och Norge utgör denna förordning, i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket 41 , en utveckling av de bestämmelser i Schengenregelverket som omfattas av det område som avses i artikel 1 A i rådets beslut 1999/437/EG 42 .

41)När det gäller Schweiz utgör denna förordning, i enlighet med avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket 43 , en utveckling av de bestämmelser i Schengenregelverket som omfattas av det område som avses i artikel 1 A i beslut 1999/437/EG jämförd med artikel 3 i rådets beslut 2008/146/EG 44 .

42)När det gäller Liechtenstein utgör denna förordning, i enlighet med protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket 45 , en utveckling av de bestämmelser i Schengenregelverket som omfattas av det område som avses i artikel 1 A i rådets beslut 1999/437/EG jämförd med artikel 3 i rådets beslut 2011/350/EU 46 .

43)När det gäller Cypern, Bulgarien och Rumänien samt Kroatien utgör denna förordning en akt som utvecklar Schengenregelverket eller som på annat sätt har samband med detta i den mening som avses i artikel 3.1 i 2003 års anslutningsakt, artikel 4.1 i 2005 års anslutningsakt respektive artikel 4.1 i 2011 års anslutningsakt.

44)Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den [XX] 47 .

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL 1

ALLMÄNNA BESTÄMMELSER

Artikel 1

Innehåll

I syfte att förbättra och främja in- och utresekontrollernas ändamålsenlighet och effektivitet vid de yttre gränserna och för att bekämpa olaglig invandring fastställs i denna förordning regler om

a)lufttrafikföretags insamling av förhandsinformation om passagerare (API-uppgifter) om flygningar till unionen,

b)lufttrafikföretags överföring av API-uppgifter till routern,

c)överföring av API-uppgifter från routern till de behöriga gränsmyndigheterna.

Artikel 2

Tillämpningsområde

Denna förordning är tillämplig på lufttrafikföretag som utför reguljära eller icke-reguljära flygningar till unionen.

Artikel 3

Definitioner

I denna förordning gäller följande definitioner:

a)lufttrafikföretag: ett lufttrafikföretag som omfattas av definitionen i artikel 3.1 i direktiv (EU) 2016/681.

b)in- och utresekontroller: kontroller som omfattas av definitionen i artikel 2.11 i förordning (EU) 2016/399.

c)flygningar till unionen: flygningar som avgår från territorium som tillhör antingen ett tredjeland eller en medlemsstat som inte deltar i denna förordning och som planeras landa på territorium som tillhör en medlemsstat som deltar i denna förordning.

d)gränsövergångsställe: övergångsställe som omfattas av definitionen i artikel 2.8 i förordning (EU) 2016/399.

e)reguljär flygning: en flygning som genomförs enligt en fast tidtabell och till vilken allmänheten kan köpa biljett.

f)icke-reguljär flygning: en flygning som inte genomförs enligt en fast tidtabell och som inte nödvändigtvis ingår i en planlagd eller reguljär flyglinje.

g)behörig gränsmyndighet: den myndighet som en medlemsstat gett i uppdrag att utföra in- och utresekontroller och som utsetts och anmälts av den medlemsstaten i enlighet med artikel 11.2.

h)passagerare: varje person, förutom besättningsmedlemmar, som transporteras eller ska transporteras med ett luftfartyg med lufttrafikföretagets godkännande, vilket godkännande framgår av att personen står med på passagerarförteckningen.

i)besättning: varje person ombord på ett luftfartyg under flygningen, utom passagerare, som arbetar på eller manövrerar luftfartyget, inbegripet flygbesättning och kabinbesättning.

j)resenär: en passagerare eller besättningsmedlem.

k)förhandsinformation om passagerare eller API-uppgifter: de resenärsuppgifter och den flyginformation som avses i artikel 4.2 respektive 4.3.

l)enhet för passagerarinformation: den behöriga myndighet som avses i artikel 3 i) i förordning (EU) [API för brottsbekämpning].

m)routern: den router som avses i artikel 9.

n)personuppgifter: all information som omfattas av definitionen i artikel 4.1 i förordning (EU) 2016/679.

KAPITEL 2

INSAMLING OCH ÖVERFÖRING AV API-UPPGIFTER

Artikel 4

API-uppgifter som ska samlas in av lufttrafikföretag

1.Lufttrafikföretag ska samla in API-uppgifter, bestående av de resenärsuppgifter och den flyginformation som specificeras i punkterna 2 respektive 3 i denna artikel, om resenärer på de flygningar som avses i artikel 2, i syfte att överföra dessa API-uppgifter till routern i enlighet med artikel 6.

2.API-uppgifterna ska bestå av följande resenärsuppgifter för varje resenär på flygningen:

a)Efternamn och förnamn.

b)Födelsedatum, kön och medborgarskap.

c)Resehandlingens typ och nummer och trebokstavskoden för det land som har utfärdat den.

d)Resehandlingens sista giltighetsdag.

e)Huruvida resenären är passagerare eller besättningsmedlem (resenärens status).

f)Det identifieringsnummer för passageraruppgifter som ett lufttrafikföretag använder för att lokalisera en passagerare i sitt informationssystem (PNR-nummer).

g)Platsinformation, såsom numret på den plats i luftfartyget som tilldelats en passagerare, om lufttrafikföretaget samlar in sådan information.

h)Bagageinformation, såsom antalet incheckade väskor, om lufttrafikföretaget samlar in sådan information.

3.API-uppgifterna ska också bestå av följande flyginformation för varje resenärs flygning:

a)Flygnummer eller, om sådant nummer saknas, andra tydliga och lämpliga medel för att identifiera flygningen.

b)I tillämpliga fall gränsövergångsstället för inresa till medlemsstatens territorium.

c)Kod för flygplatsen för inresa till medlemsstatens territorium.

d)Första ombordstigningsplats.

e)Datum och beräknad tid i lokal tid för avgången.

f)Datum och beräknad tid i lokal tid för ankomsten. 

Artikel 5

Metoder för insamling av API-uppgifter

1.Lufttrafikföretagen ska samla in API-uppgifter i enlighet med artikel 4 på ett sådant sätt att de API-uppgifter som de överför i enlighet med artikel 6 är korrekta, fullständiga och aktuella.

2.Lufttrafikföretagen ska samla in de API-uppgifter som avses i artikel 4.2 a–d och använda automatiserade metoder för att samla in de maskinläsbara uppgifterna i den berörda resenärens resehandling. De ska göra detta i enlighet med de detaljerade tekniska krav och operativa regler som avses i punkt 4, när sådana regler har antagits och är tillämpliga.

När det dock inte är möjligt att använda automatiserade metoder för att resehandlingen inte innehåller maskinläsbara uppgifter ska lufttrafikföretagen samla in dessa uppgifter manuellt på ett sådant sätt att överensstämmelse med punkt 1 säkerställs.

3.Alla automatiserade metoder som används av lufttrafikföretag för att samla in API-uppgifter enligt denna förordning ska vara tillförlitliga, säkra och aktuella.

4.Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 37 för att komplettera denna förordning genom att fastställa detaljerade tekniska krav och operativa regler för insamling av de API-uppgifter som avses i artikel 4.2 a–d med hjälp av automatiserade metoder i enlighet med punkterna 2 och 3 i den här artikeln.

5.Lufttrafikföretag som använder automatiserade metoder för att samla in den information som avses i artikel 3.1 i direktiv 2004/82/EG ska ha rätt att göra detta med tillämpning av de tekniska krav för sådan användning som avses i punkt 4, i enlighet med det direktivet.

Artikel 6

Lufttrafikföretagens skyldigheter vad gäller överföring av API-uppgifter

1.Lufttrafikföretagen ska överföra API-uppgifterna till routern på elektronisk väg. De ska göra detta i enlighet med de detaljerade regler som avses i punkt 3, när sådana regler har antagits och är tillämpliga.

2.Lufttrafikföretagen ska överföra API-uppgifterna både vid incheckningen och omedelbart efter det att gaten stängts, dvs. när passagerarna har stigit ombord på luftfartyget inför avgången och det inte längre är möjligt för passagerare att stiga ombord på eller lämna luftfartyget.

3.Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 37 för att komplettera denna förordning genom att fastställa nödvändiga detaljerade regler om de gemensamma protokoll och understödda dataformat som ska användas för den överföring av API-uppgifter till routern som avses i punkt 1.

4.Om ett lufttrafikföretag efter att ha överfört uppgifter till routern får kännedom om att API-uppgifterna är inkorrekta, ofullständiga, inte längre aktuella eller har behandlats på ett olagligt sätt, eller att uppgifterna inte utgör API-uppgifter, ska det omedelbart informera Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA). Efter att ha mottagit sådan information ska eu-LISA omedelbart informera den behöriga gränsmyndighet som tog emot de API-uppgifter som överförts via routern.

Artikel 7

Behandling av mottagna API-uppgifter

De behöriga gränsmyndigheterna ska behandla API-uppgifter som överförs till dem i enlighet med denna förordning enbart för de ändamål som avses i artikel 1.

Artikel 8

Lagring och radering av API-uppgifter

1.Lufttrafikföretagen ska under en tidsperiod av 48 timmar från den tidpunkt då flygningen avgår lagra de API-uppgifter om passageraren som de samlat in i enlighet med artikel 4. Efter utgången av denna tidsperiod ska de omedelbart och permanent radera API-uppgifterna.

2.De behöriga gränsmyndigheterna ska under en tidsperiod av 48 timmar från den tidpunkt då flygningen avgår lagra de API-uppgifter om passageraren som de mottagit via routern i enlighet med artikel 11. Efter utgången av denna tidsperiod ska de omedelbart och permanent radera API-uppgifterna.

3.Om ett lufttrafikföretag eller en behörig gränsmyndighet får kännedom om att de uppgifter som har samlats in, överförts eller mottagits enligt denna förordning är inkorrekta, ofullständiga, inte längre aktuella eller har behandlats på ett olagligt sätt, eller att uppgifterna inte utgör API-uppgifter, ska företaget eller myndigheten omedelbart antingen korrigera/komplettera/uppdatera eller permanent radera API-uppgifterna. Detta påverkar inte lufttrafikföretagens möjlighet att lagra och använda uppgifterna när detta är nödvändigt för deras normala affärsverksamhet i enlighet med tillämplig lagstiftning.

KAPITEL 3

BESTÄMMELSER OM ROUTERN

Artikel 9

Routern

1.Eu-LISA ska utforma, utveckla, hysa och tekniskt förvalta, i enlighet med artiklarna 22 och 23, en router i syfte att underlätta lufttrafikföretagens överföring av API-uppgifter till de behöriga gränsmyndigheterna och enheterna för passagerarinformation i enlighet med denna förordning respektive förordning (EU) [API för brottsbekämpning].

2.Routern ska bestå av följande:

a)En central infrastruktur, inbegripet en uppsättning tekniska komponenter som möjliggör överföring av API-uppgifter.

b)En säker kommunikationskanal mellan den centrala infrastrukturen och de behöriga gränsmyndigheterna och enheterna för passagerarinformation, och en säker kommunikationskanal mellan den centrala infrastrukturen och lufttrafikföretagen, för överföring av API-uppgifter och för all kommunikation i samband därmed.

3.Utan att det påverkar tillämpningen av artikel 10 i denna förordning ska routern, i den utsträckning det är tekniskt möjligt, dela och återanvända de tekniska komponenterna, inbegripet maskinvaru- och programvarukomponenter, i den webbtjänst som avses i artikel 13 i Europaparlamentets och rådets förordning (EU) 2017/2226 48 , den nätportal för transportörer som avses i artikel 6.2 k i förordning (EU) 2018/1240 och den nätportal för transportörer som avses i artikel 2a h i Europaparlamentets och rådets förordning (EG) nr 767/2008 49 .

Artikel 10

Exklusiv användning av routern

Routern får endast användas av lufttrafikföretag för att överföra API-uppgifter och av behöriga gränsmyndigheter och enheter för passagerarinformation för att ta emot API-uppgifter, i enlighet med denna förordning respektive förordning (EU) [API för brottsbekämpning]. 

Artikel 11

Överföring av API-uppgifter från routern till de behöriga gränsmyndigheterna

1.Routern ska omedelbart och på ett automatiserat sätt överföra API-uppgifter som överförts till den i enlighet med artikel 6 till de behöriga gränsmyndigheterna i den medlemsstat som avses i artikel 4.3 c. Den ska göra detta i enlighet med de detaljerade regler som avses i punkt 4 i denna artikel, när sådana regler har antagits och är tillämpliga.

För denna överföring ska eu-LISA upprätta en jämförelsetabell mellan de olika ursprungs- och destinationsflygplatserna och de länder de tillhör och hålla den uppdaterad.

2.Medlemsstaten ska utse de behöriga gränsmyndigheter som har rätt att ta emot API-uppgifter som överförs till dem från routern i enlighet med denna förordning. De ska senast den dag då denna förordning börjar tillämpas i enlighet med artikel 39 andra stycket till eu-LISA och kommissionen anmäla de behöriga gränsmyndigheternas namn och kontaktuppgifter och ska vid behov uppdatera den anmälda informationen.

Kommissionen ska på grundval av dessa anmälningar och uppdateringar sammanställa och offentliggöra en förteckning över de anmälda behöriga gränsmyndigheterna och deras kontaktuppgifter.

3.Medlemsstaterna ska säkerställa att endast vederbörligen bemyndigade anställda vid de behöriga gränsmyndigheterna har åtkomst till de API-uppgifter som överförs till dem via routern. De ska fastställa de regler som är nödvändiga för detta ändamål. Reglerna ska bland annat gälla upprättande och regelbunden uppdatering av en förteckning över dessa anställda och deras profiler.

4.Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 37 för att komplettera denna förordning genom att fastställa nödvändiga detaljerade tekniska och förfarandemässiga regler för den överföring av API-uppgifter från routern som avses i punkt 1.

Artikel 12

Radering av API-uppgifter från routern

API-uppgifter som överförs till routern i enlighet med denna förordning och förordning (EU) [API för brottsbekämpning] ska lagras på routern endast i den mån det är nödvändigt för att slutföra överföringen till relevanta behöriga gränsmyndigheter eller enheter för passagerarinformation, beroende på vad som är tillämpligt, i enlighet med dessa förordningar och ska omedelbart, permanent och på ett automatiserat sätt raderas från routern i båda följande situationer:

a)När överföringen av API-uppgifter till relevanta behöriga gränsmyndigheter eller enheter för passagerarinformation, beroende på vad som är tillämpligt, har slutförts.

b)När det gäller förordning (EU) [API för brottsbekämpning], när API-uppgifterna avser andra flygningar inom EU än de som ingår i de förteckningar som avses i artikel 5.2 i den förordningen.

Artikel 13

Loggföring

1.Eu-LISA ska föra logg över all behandling som rör överföringen av API-uppgifter via routern enligt denna förordning och förordning (EU) [API för brottsbekämpning]. Dessa loggar ska omfatta följande: 

a)Det lufttrafikföretag som överförde API-uppgifterna till routern.

b)De behöriga gränsmyndigheter och enheter för passagerarinformation till vilka API-uppgifterna överfördes via routern.

c)Datum och tidpunkt för den överföring som avses i leden a och b samt platsen för överföringen.

d)Eventuell åtkomst för anställda vid eu-LISA som är nödvändig för underhåll av routern, i enlighet med artikel 23.3.

e)Annan information som rör denna behandling och som är nödvändig för att övervaka API-uppgifternas säkerhet och integritet och att behandlingen är laglig.

Dessa loggar får inte innehålla några andra personuppgifter än den information som krävs för att identifiera den berörda anställda vid eu-LISA som avses i första stycket led d.

2.Lufttrafikföretagen ska skapa loggar över all behandling enligt denna förordning som utförs med hjälp av de automatiserade metoder som avses i artikel 5.2. Dessa loggar ska omfatta datum, tid och plats för överföringen av API-uppgifterna.

3.De loggar som avses i punkterna 1 och 2 får endast användas för att säkerställa API-uppgifternas säkerhet och integritet och att behandlingen är laglig, särskilt när det gäller efterlevnaden av kraven i denna förordning och förordning (EU) [API för brottsbekämpning], inbegripet förfaranden för sanktioner vid överträdelser av dessa krav i enlighet med artiklarna 29 och 30 i denna förordning.

4.Eu-LISA och lufttrafikföretagen ska vidta lämpliga åtgärder för att skydda de loggar som de skapat i enlighet med punkterna 1 respektive 2 mot obehörig åtkomst och andra säkerhetsrisker.

5.Eu-LISA och lufttrafikföretagen ska behålla de loggar som de skapat i enlighet med punkterna 1 respektive 2 i ett års tid från den tidpunkt då dessa loggar skapades. Efter utgången av denna tidsperiod ska de omedelbart och permanent radera loggarna.

Om dessa loggar emellertid behövs för förfaranden för övervakning eller säkerställande av API-uppgifternas säkerhet och integritet eller av att behandlingen är laglig, som avses i punkt 2, och dessa förfaranden redan har inletts vid utgången av den tidsperiod som avses i första stycket, får eu-LISA och lufttrafikföretagen behålla dessa loggar så länge som det är nödvändigt för dessa förfaranden. I detta fall ska de omedelbart radera dessa loggar när de inte längre är nödvändiga för dessa förfaranden.

Artikel 14

Åtgärder om det är tekniskt omöjligt att använda routern

1.Om det är tekniskt omöjligt att använda routern för att överföra API-uppgifter på grund av ett fel i routern ska eu-LISA omedelbart och på ett automatiserat sätt underrätta lufttrafikföretagen och de behöriga gränsmyndigheterna om denna tekniska omöjlighet. I detta fall ska eu-LISA omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta dessa parter när den har åtgärdats.

Under tidsperioden mellan dessa underrättelser ska artikel 6.1 inte tillämpas, i den mån den tekniska omöjligheten förhindrar överföring av API-uppgifter till routern. I den mån detta är fallet ska artiklarna 4.1 och 8.1 inte heller tillämpas på de berörda API-uppgifterna under den tidsperioden.

2.Om det är tekniskt omöjligt att använda routern för att överföra API-uppgifter på grund av ett fel i de system eller den infrastruktur som avses i artikel 20 i en medlemsstat ska den medlemsstatens behöriga gränsmyndigheter omedelbart och på ett automatiserat sätt underrätta lufttrafikföretagen, de behöriga gränsmyndigheterna i de övriga medlemsstaterna, eu-LISA och kommissionen om denna tekniska omöjlighet. I detta fall ska medlemsstaten omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta dessa parter när den har åtgärdats.

Under tidsperioden mellan dessa underrättelser ska artikel 6.1 inte tillämpas, i den mån den tekniska omöjligheten förhindrar överföring av API-uppgifter till routern. I den mån detta är fallet ska artiklarna 4.1 och 8.1 inte heller tillämpas på de berörda API-uppgifterna under den tidsperioden.

3.Om det är tekniskt omöjligt att använda routern för att överföra API-uppgifter på grund av ett fel i ett lufttrafikföretags system eller infrastruktur som avses i artikel 21 ska lufttrafikföretaget omedelbart och på ett automatiserat sätt underrätta de behöriga gränsmyndigheterna, eu-LISA och kommissionen om denna tekniska omöjlighet. I detta fall ska lufttrafikföretaget omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta dessa parter när den har åtgärdats.

Under tidsperioden mellan dessa underrättelser ska artikel 6.1 inte tillämpas, i den mån den tekniska omöjligheten förhindrar överföring av API-uppgifter till routern. I den mån detta är fallet ska artiklarna 4.1 och 8.1 inte heller tillämpas på de berörda API-uppgifterna under den tidsperioden.

När den tekniska omöjligheten har åtgärdats ska det berörda lufttrafikföretaget utan dröjsmål till den behöriga nationella tillsynsmyndighet som avses i artikel 29 lämna in en rapport med alla nödvändiga uppgifter om den tekniska omöjligheten, inbegripet orsakerna till den tekniska omöjligheten, dess omfattning och konsekvenser samt de åtgärder som vidtagits för att åtgärda den.

KAPITEL 4

SÄRSKILDA BESTÄMMELSER OM SKYDD AV PERSONUPPGIFTER

Artikel 15

Personuppgiftsansvariga

De behöriga gränsmyndigheterna ska vara personuppgiftsansvariga, i den mening som avses i artikel 4.7 i förordning (EU) 2016/679, när det gäller behandling via routern av API-uppgifter som utgör personuppgifter, inbegripet överföring och lagring av dessa uppgifter i routern av tekniska skäl, samt när det gäller deras behandling av API-uppgifter som utgör personuppgifter i enlighet med artikel 7 i den här förordningen.

Lufttrafikföretagen ska vara personuppgiftsansvariga, i den mening som avses i artikel 4.7 i förordning (EU) 2016/679, när det gäller behandling av API-uppgifter som utgör personuppgifter i samband med deras insamling av dessa uppgifter och deras överföring av dessa till routern enligt den här förordningen.

Artikel 16

Personuppgiftsbiträde

Eu-LISA ska vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 för behandling via routern av API-uppgifter som utgör personuppgifter i enlighet med denna förordning och förordning (EU) [API för brottsbekämpning].

Artikel 17

Säkerhet

1.Eu-LISA ska säkerställa säkerheten för de API-uppgifter, särskilt API-uppgifter som utgör personuppgifter, som byrån behandlar i enlighet med denna förordning och förordning (EU) [API för brottsbekämpning]. De behöriga gränsmyndigheterna och lufttrafikföretagen ska säkerställa säkerheten för de API-uppgifter, särskilt API-uppgifter som utgör personuppgifter, som de behandlar i enlighet med denna förordning. Eu-LISA, de behöriga gränsmyndigheterna och lufttrafikföretagen ska, i enlighet med sina respektive ansvarsområden och unionsrätten, samarbeta med varandra för att säkerställa sådan säkerhet.

2.I synnerhet ska eu-LISA vidta nödvändiga åtgärder för att säkerställa säkerheten för routern och de API-uppgifter, särskilt API-uppgifter som utgör personuppgifter, som överförs via routern, bland annat genom att upprätta, genomföra och regelbundet uppdatera en säkerhetsplan, en kontinuitetsplan och en katastrofplan för att

a)fysiskt skydda routern, bland annat genom att utarbeta beredskapsplaner för skydd av dess kritiska komponenter,

b)förhindra obehörig behandling av API-uppgifter, inbegripet obehörig åtkomst till och kopiering, ändring eller radering av dessa, både under överföringen av API-uppgifterna till och från routern och vid lagring av API-uppgifterna på routern när så är nödvändigt för att slutföra överföringen, särskilt med hjälp av lämplig krypteringsteknik,

c)säkerställa att det är möjligt att verifiera och fastställa till vilka behöriga gränsmyndigheter eller enheter för passagerarinformation som API-uppgifterna överförs via routern,

d)korrekt rapportera till styrelsen om eventuella funktionsfel i routern,

e)övervaka effektiviteten i de säkerhetsåtgärder som krävs enligt denna artikel och enligt förordning (EU) 2018/1725, och bedöma och uppdatera dessa säkerhetsåtgärder när så är nödvändigt mot bakgrund av den tekniska eller operativa utvecklingen.

De åtgärder som avses i första stycket i denna punkt ska inte påverka artikel 33 i förordning (EU) 2018/1725 och artikel 32 i förordning (EU) 2016/679.

Artikel 18

Egenkontroll

Lufttrafikföretagen och de behöriga myndigheterna ska övervaka att de fullgör sina respektive skyldigheter enligt denna förordning, särskilt när det gäller deras behandling av API-uppgifter som utgör personuppgifter, inbegripet genom täta kontroller av de loggar som avses i artikel 13.

Artikel 19

Granskning av skyddet av personuppgifter

1.De behöriga nationella dataskyddsmyndigheter som avses i artikel 51 i förordning (EU) 2016/679 ska säkerställa att en granskning av de behöriga gränsmyndigheternas behandling av API-uppgifter som utgör personuppgifter vid tillämpningen av den här förordningen genomförs, i enlighet med relevanta internationella revisionsstandarder, minst en gång vart fjärde år.

2.Europeiska datatillsynsmannen ska säkerställa att en granskning av eu-LISA:s behandling av API-uppgifter som utgör personuppgifter vid tillämpningen av denna förordning och förordning (EU) [API för brottsbekämpning] genomförs i enlighet med relevanta internationella revisionsstandarder minst en gång om året. En rapport om granskningen ska sändas till Europaparlamentet, rådet, kommissionen, medlemsstaterna och eu-LISA. Eu-LISA ska ges tillfälle att yttra sig innan rapporterna antas.

3.När det gäller sådan behandling som avses i punkt 2 ska eu-LISA tillhandahålla Europeiska datatillsynsmannen den information som den begär, ge Europeiska datatillsynsmannen tillgång till alla handlingar som den begär och åtkomst till de loggar som avses i artikel 13.1 samt när som helst bereda Europeiska datatillsynsmannen tillträde till alla sina lokaler.

KAPITEL 5

ANSLUTNINGAR OCH YTTERLIGARE BESTÄMMELSER OM ROUTERN

Artikel 20

De behöriga gränsmyndigheternas anslutningar till routern

1.Medlemsstaterna ska säkerställa att deras behöriga gränsmyndigheter är anslutna till routern. De ska säkerställa att de behöriga gränsmyndigheternas system och infrastruktur för mottagning av API-uppgifter som överförs i enlighet med denna förordning integreras med routern.

Medlemsstaterna ska säkerställa att anslutningen till routern och integreringen med den gör det möjligt för deras behöriga gränsmyndigheter att ta emot och vidarebehandla API-uppgifterna samt att utbyta relaterad kommunikation på ett lagligt, säkert, effektivt och snabbt sätt.

2.Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 37 för att komplettera denna förordning genom att fastställa nödvändiga detaljerade regler om de anslutningar till och den integrering med routern som avses i punkt 1.

Artikel 21

Lufttrafikföretagens anslutningar till routern

1.Lufttrafikföretagen ska säkerställa att de är anslutna till routern. De ska säkerställa att deras system och infrastruktur för överföring av API-uppgifter till routern i enlighet med denna förordning integreras med routern.

Lufttrafikföretagen ska säkerställa att anslutningen till routern och integreringen med den gör det möjligt för dem att överföra API-uppgifterna samt att utbyta relaterad kommunikation på ett lagligt, säkert, effektivt och snabbt sätt.

2.Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 37 för att komplettera denna förordning genom att fastställa nödvändiga detaljerade regler om de anslutningar till och den integrering med routern som avses i punkt 1.

Artikel 22

Eu-LISA:s uppgifter i samband med utformning och utveckling av routern

1.Eu-LISA ska ansvara för utformningen av routerns fysiska arkitektur, inbegripet fastställandet av de tekniska specifikationerna.

2.Eu-LISA ska ansvara för utvecklingen av routern, inbegripet för eventuella tekniska anpassningar som behövs för routerns drift.

Utvecklingen av routern ska bestå i att utarbeta och genomföra de tekniska specifikationerna, testerna och den övergripande projektledningen och samordningen av utvecklingsfasen.

3.Eu-LISA ska säkerställa att routern utformas och utvecklas på ett sådant sätt att routern tillhandahåller de funktioner som anges i denna förordning och förordning (EU) [API för brottsbekämpning] och att routern tas i drift så snart som möjligt efter det att kommissionen antagit de delegerade akter som föreskrivs i artiklarna 5.4, 6.3, 11.4, 20.2 och 21.2.

4.När eu-LISA anser att utvecklingsfasen har slutförts ska byrån utan onödigt dröjsmål genomföra ett övergripande test av routern i samarbete med behöriga gränsmyndigheter, enheterna för passagerarinformation och andra relevanta myndigheter i medlemsstaterna och lufttrafikföretag och informera kommissionen om resultatet av detta test.

Artikel 23

Eu-LISA:s uppgifter i samband med hysning och teknisk förvaltning av routern

1.Eu-LISA ska hysa routern i sina tekniska anläggningar.

2.Eu-LISA ska ansvara för den tekniska förvaltningen av routern, inbegripet dess underhåll och tekniska utveckling, på ett sådant sätt att det säkerställs att API-uppgifterna överförs på ett säkert, effektivt och snabbt sätt via routern, i enlighet med denna förordning och förordning (EU) [API för brottsbekämpning].

Den tekniska förvaltningen av routern ska bestå i att utföra alla uppgifter och införa alla tekniska lösningar som krävs för att routern ska fungera korrekt i enlighet med denna förordning och förordning (EU) [API för brottsbekämpning] oavbrutet dygnet runt alla dagar i veckan. Den ska omfatta det underhållsarbete och den tekniska utveckling som krävs för att säkerställa att routern fungerar med tillfredsställande teknisk kvalitet, särskilt när det gäller tillgänglighet, korrekthet och tillförlitlighet i överföringen av API-uppgifter, i enlighet med de tekniska specifikationerna och i möjligaste mån i enlighet med de operativa behoven hos behöriga gränsmyndigheter, enheter för passagerarinformation och lufttrafikföretag.

3.Eu-LISA ska inte ha åtkomst till några av de API-uppgifter som överförs via routern. Detta förbud ska dock inte hindra eu-LISA från att få sådan åtkomst i den mån det är absolut nödvändigt för underhåll av routern.

4.Utan att det påverkar tillämpningen av punkt 3 i denna artikel och artikel 17 i rådets förordning (EEG, Euratom, EKSG) nr 259/68 50 ska eu-LISA tillämpa lämpliga regler om tystnadsplikt eller andra likvärdiga sekretesskrav på sina anställda som arbetar med API-uppgifter som överförs via routern. Denna skyldighet ska gälla även efter det att de anställda i fråga lämnat sin tjänst eller anställning eller upphört med sin verksamhet.

Artikel 24

Eu-LISA:s stöduppgifter avseende routern

1.Eu-LISA ska på deras begäran tillhandahålla behöriga gränsmyndigheter, enheter för passagerarinformation och andra relevanta myndigheter i medlemsstaterna och lufttrafikföretag utbildning om den tekniska användningen av routern.

2.Eu-LISA ska ge stöd till behöriga gränsmyndigheter och enheter för passagerarinformation när det gäller mottagandet av API-uppgifter via routern i enlighet med denna förordning respektive förordning (EU) [API för brottsbekämpning], särskilt när det gäller tillämpningen av artiklarna 11 och 20 i den här förordningen och artiklarna 5 och 10 i förordning (EU) [API för brottsbekämpning].

Artikel 25

Eu-LISA:s och medlemsstaternas kostnader

1.Eu-LISA:s kostnader i samband med utformning, utveckling, hysning och teknisk förvaltning av routern enligt denna förordning och förordning (EU) [API för brottsbekämpning] ska belasta unionens allmänna budget.

2.Medlemsstaternas kostnader i samband med deras anslutningar till och integrering med routern i enlighet med artikel 20 ska belasta unionens allmänna budget.

Medlemsstaterna ska dock stå för följande kostnader, som är undantagna:

a)Kostnader för projektledningskontoret, bland annat möten, tjänsteresor och kontor.

b)Kostnader för att hysa nationella it-system, bland annat utrymme, implementering, el och kylning.

c)Kostnader för drift av nationella it-system, bland annat operatörer och supportavtal.

d)Kostnader för utformning, utveckling, implementering, drift och underhåll av nationella kommunikationsnätverk.

3.Medlemsstaterna ska också stå för kostnaderna för administration, användning och underhåll av sina anslutningar till och integrering med routern.

Artikel 26

Skadeståndsansvar för routern

Om en medlemsstats eller ett lufttrafikföretags underlåtenhet att fullgöra sina skyldigheter enligt denna förordning orsakar skada på routern, ska den medlemsstaten eller det lufttrafikföretaget ansvara för denna skada, såvida inte och i den mån som eu-LISA har underlåtit att vidta rimliga åtgärder för att förhindra skadan eller för att begränsa dess verkningar.

Artikel 27

Routerns driftsättning

Kommissionen ska fastställa från och med vilket datum routern tas i drift genom en genomförandeakt utan onödigt dröjsmål sedan eu-LISA har informerat kommissionen om att det övergripande test av routern som avses i artikel 22.4 har slutförts på ett framgångsrikt sätt. Den genomförandeakten ska antas i enlighet med det granskningsförfarande som avses i artikel 36.2.

Kommissionen ska fastställa det datum som avses i första stycket till senast 30 dagar efter antagandet av genomförandeakten.

Artikel 28

Frivillig användning av routern vid tillämpning av direktiv 2004/81/EG

1.Lufttrafikföretag ska ha rätt att använda routern för att överföra den information som avses i artikel 3.1 i direktiv 2004/82/EG till en eller flera av de ansvariga myndigheter som avses i det direktivet, i enlighet med det direktivet, förutsatt att den berörda ansvariga myndigheten har samtyckt till sådan användning, från och med ett lämpligt datum som fastställs av den myndigheten. Den myndigheten ska samtycka till detta först efter att ha försäkrat sig om att informationen, i fråga om såväl myndighetens egen som det berörda lufttrafikföretagets anslutning till routern, kan överföras på ett lagligt, säkert, effektivt och snabbt sätt.

2.Om ett lufttrafikföretag börjar använda routern i enlighet med punkt 1 ska det fortsätta att använda routern för att överföra sådan information till den berörda ansvariga myndigheten fram till den dag då denna förordning börjar tillämpas i enlighet med artikel 39 andra stycket. Denna användning ska dock avbrytas från och med ett lämpligt datum som fastställs av den myndigheten om myndigheten anser att det finns objektiva skäl som kräver detta och har underrättat lufttrafikföretaget om detta.

3.Den berörda ansvariga myndigheten ska

a)samråda med eu-LISA innan den samtycker till frivillig användning av routern i enlighet med punkt 1,

b)utom i vederbörligen motiverade brådskande situationer ge det berörda lufttrafikföretaget möjlighet att lämna synpunkter om myndighetens avsikt att avbryta användningen i enlighet med punkt 2 och, när så är relevant, även samråda med eu-LISA om detta,

c)omedelbart informera eu-LISA och kommissionen om all sådan användning som den samtyckt till och om varje avbrytande av sådan användning, med all nödvändig information, inbegripet inledningsdatum för användningen, datum för avbrottet och skälen till avbrottet, beroende på vad som är tillämpligt.

KAPITEL 6

TILLSYN, SANKTIONER, STATISTIK OCH HANDBOK

Artikel 29

Nationell tillsynsmyndighet

1.Medlemsstaterna ska utse en eller flera nationella tillsynsmyndigheter med ansvar för att inom deras territorium övervaka lufttrafikföretagens tillämpning av bestämmelserna i denna förordning och säkerställa att dessa bestämmelser följs.

2.Medlemsstaterna ska säkerställa att de nationella tillsynsmyndigheterna har alla nödvändiga medel och alla nödvändiga utrednings- och verkställighetsbefogenheter för att kunna utföra sina uppgifter enligt denna förordning, även genom att när så är lämpligt införa de sanktioner som avses i artikel 30. De ska fastställa närmare regler om utförandet av dessa uppgifter och utövandet av dessa befogenheter och säkerställa att utförandet och utövandet är effektivt, proportionellt och avskräckande samt omfattas av skyddsåtgärder som är förenliga med de grundläggande rättigheter som garanteras i unionsrätten.

3.Medlemsstaterna ska senast den dag då denna förordning börjar tillämpas i enlighet med artikel 21 andra stycket underrätta kommissionen om namnet på och kontaktuppgifterna till de myndigheter som de utsett enligt punkt 1 och om de närmare regler som de fastställt i enlighet med punkt 2. De ska utan dröjsmål underrätta kommissionen om alla ändringar av dessa.

4.Denna artikel påverkar inte befogenheterna för de tillsynsmyndigheter som avses i artikel 51 i förordning (EU) 2016/679.

Artikel 30

Sanktioner

Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av bestämmelserna i denna förordning och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande.

Medlemsstaterna ska senast den dag då denna förordning börjar tillämpas i enlighet med artikel 39 andra stycket anmäla dessa regler och åtgärder till kommissionen, och utan dröjsmål anmäla eventuella senare ändringar som berör dessa.

Artikel 31

Statistik

1.Varje kvartal ska eu-LISA offentliggöra statistik om routerns funktion som i synnerhet visar resenärernas antal, medborgarskap och avreseland, särskilt för de resenärer som har stigit ombord på luftfartyget med inkorrekta, ofullständiga eller inte längre aktuella API-uppgifter, med en icke-erkänd resehandling, utan giltig visering, utan giltigt resetillstånd eller som har rapporterats ha överskridit den tillåtna perioden för vistelsen, resenärernas antal och medborgarskap.

2.Eu-LISA ska lagra den dagliga statistiken i den centrala databas för rapporter och statistik som avses i artikel 39 i förordning (EU) 2019/817.

3.I slutet av varje år ska eu-LISA sammanställa statistiska uppgifter i en årsrapport för det året. Byrån ska offentliggöra årsrapporten och översända den till Europaparlamentet, rådet, kommissionen, Europeiska datatillsynsmannen, Europeiska gräns- och kustbevakningsbyrån och de nationella tillsynsmyndigheter som avses i artikel 29.

4.På dess begäran ska eu-LISA tillhandahålla kommissionen statistik om specifika aspekter av genomförandet av denna förordning och förordning (EU) [API för brottsbekämpning] utöver den statistik som avses i punkt 3.

5.Eu-LISA ska ha rätt att få åtkomst till följande API-uppgifter som överförs via routern, endast för den rapportering som avses i artikel 38 och för att generera statistik i enlighet med den här artikeln, utan att denna åtkomst gör det möjligt att identifiera de berörda resenärerna:

a)Huruvida resenären är passagerare eller besättningsmedlem.

b)Resenärens medborgarskap, kön och födelseår.

c)Datum och plats för den första ombordstigningen samt datum och flygplats för inresan till en medlemsstats territorium.

d)Resehandlingens typ och sista giltighetsdag och trebokstavskoden för det land som har utfärdat den.

e)Antalet resenärer som checkat in på samma flygning.

f)Huruvida flygningen är en reguljär eller icke-reguljär flygning.

g)Huruvida resenärens personuppgifter är korrekta, fullständiga och aktuella.

6.För den rapportering som avses i artikel 38 och för att generera statistik i enlighet med den här artikeln ska eu-LISA lagra de uppgifter som avses i punkt 5 i den här artikeln i den centrala databas för rapporter och statistik som inrättats genom artikel 39 i förordning (EU) 2019/817. De systemöverskridande statistiska uppgifter och analysrapporter som avses i artikel 39.1 i den förordningen ska göra det möjligt för medlemsstaternas behöriga gränsmyndigheter och andra relevanta myndigheter att få anpassningsbara rapporter och statistik för de ändamål som avses i artikel 1 i den här förordningen.

7.De förfaranden som införs av eu-LISA i syfte att övervaka utvecklingen av och funktionen för den router som avses i artikel 39.1 i förordning (EU) 2019/817 ska inbegripa möjligheten att ta fram regelbunden statistik för att säkerställa denna övervakning.

Artikel 32

Handbok

Kommissionen ska, i nära samarbete med de behöriga gränsmyndigheterna, andra relevanta myndigheter i medlemsstaterna, lufttrafikföretagen och relevanta unionsbyråer, utarbeta och offentliggöra en handbok med riktlinjer, rekommendationer och bästa praxis för genomförandet av denna förordning.

Handboken ska beakta relevanta befintliga handböcker.

Kommissionen ska anta handboken i form av en rekommendation.

KAPITEL 7

FÖRHÅLLANDE TILL ANDRA BEFINTLIGA INSTRUMENT

Artikel 33

Upphävande av direktiv 2004/82/EG

Direktiv 2004/82/EG ska upphöra att gälla från och med den dag då denna förordning börjar tillämpas i enlighet med artikel 39 andra stycket.

Artikel 34

Ändringar av förordning (EU) 2018/1726

Förordning (EU) 2018/1726 ska ändras på följande sätt:

1)Följande artikel ska införas som artikel 13b:

”Artikel 13b

Uppgifter avseende routern 

När det gäller Europaparlamentets och rådets förordning (EU) …/…* [denna förordning] och förordning (EU) [API-brottsbekämpning] ska byrån utföra de uppgifter avseende routern som den ålagts genom dessa förordningar.

___________

*    Europaparlamentets och rådets förordning (EU) [nummer] av den xy om [officiell titel] (EUT L …).”

1)I artikel 17 ska punkt 3 ersättas med följande:

”3. Sätet för byrån ska vara Tallinn i Estland.

De uppgifter avseende utveckling och operativ förvaltning som avses i artiklarna 1.4, 1.5, 3–9, 11, [13a] och 13b ska utföras vid det tekniska driftstället i Strasbourg i Frankrike.

Ett reservdriftställe som kan säkerställa driften av ett stort it-system vid fel i ett sådant system ska inrättas i Sankt Johann im Pongau i Österrike.”

2)I artikel 19 ska punkt 1 ändras på följande sätt:

a)Följande led ska införas som led eeb:

”eeb) Anta rapporter om hur routerns utveckling framskrider i enlighet med artikel 38.2 i Europaparlamentets och rådets förordning (EU) .../...* [denna förordning].

___________

*    Europaparlamentets och rådets förordning (EU) [nummer] av den xy om [officiell titel] (EUT L …).”

b)Led ff ska ersättas med följande:

”ff) Anta rapporter om den tekniska funktionen hos följande:

1)SIS i enlighet med artikel 60.7 i Europaparlamentets och rådets förordning (EU) 2018/1861* och artikel 74.8 i Europaparlamentets och rådets förordning (EU) 2018/1862**.

2)VIS i enlighet med artikel 50.3 i förordning (EG) nr 767/2008 och artikel 17.3 i beslut 2008/633/RIF.

3)In- och utresesystemet i enlighet med artikel 72.4 i förordning (EU) 2017/2226.

4)Etias i enlighet med artikel 92.4 i förordning (EU) 2018/1240.

5)Ecris-TCN och Ecris referensprogramvara i enlighet med artikel 36.8 i förordning (EU) 2019/816.

6)Interoperabilitetskomponenterna i enlighet med artikel 78.3 i förordning (EU) 2019/817 och artikel 74.3 i förordning (EU) 2019/818 och routern i enlighet med artikel 79.5 i Europaparlamentets och rådets förordning (EU) .../...* [Prüm II-förordningen] och artikel 38.5 i Europaparlamentets och rådets förordning (EU) .../...* [denna förordning].

3)e-Codex-systemet i enlighet med artikel 16.1 i förordning (EU) 2022/850.

___________

*Europaparlamentets och rådets förordning (EU) 2018/1861 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området in- och utresekontroller, om ändring av konventionen om tillämpning av Schengenavtalet och om ändring och upphävande av förordning (EG) nr 1987/2006 (EUT L 312, 7.12.2018, s. 14).

**Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU ( EUT L 312, 7.12.2018, s. 56 ).”

c) Led hh ska ersättas med följande:

”hh) Anta formella kommentarer om Europeiska datatillsynsmannens granskningsrapporter enligt artikel 56.2 i förordning (EU) 2018/1861, artikel 42.2 i förordning (EG) nr 767/2008, artikel 31.2 i förordning (EU) nr 603/2013, artikel 56.2 i förordning (EU) 2017/2226, artikel 67 i förordning (EU) 2018/1240, artikel 29.2 i förordning (EU) 2019/816, artikel 52 i förordningarna (EU) 2019/817 och (EU) 2019/818, artikel 60.1 i Europaparlamentets och rådets förordning (EU) .../...* [Prüm II] och artikel 19.3 i Europaparlamentets och rådets förordning (EU) .../...* [denna förordning] samt säkerställa lämplig uppföljning av granskningarna.

___________

4)* Europaparlamentets och rådets förordning (EU) [nummer] av den xy om [officiell titel] (EUT L …)”.

Artikel 35

Ändringar av förordning (EU) 2019/817

___________

1)I artikel 39 ska punkterna 1 och 2 ersättas med följande:

”1. Det ska inrättas en central databas för rapporter och statistik (CRRS) för att stödja målen för in- och utresesystemet, VIS, Etias och SIS, i enlighet med de respektive rättsliga instrument som reglerar de systemen, och för att tillhandahålla systemöverskridande statistiska uppgifter och analysrapporter för politiska och operativa syften samt för uppgiftskvaliteten. CRRS ska också stödja målen för Europaparlamentets och rådets förordning (EU) .../...* [denna förordning].

*    Europaparlamentets och rådets förordning (EU) [nummer] av den xy om [officiell titel] (EUT L …).”

2. EU-LISA ska inrätta, implementera och i sina tekniska anläggningar hysa CRRS som innehåller de uppgifter och den statistik som avses i artikel 63 i förordning (EU) 2017/2226, artikel 17 i förordning (EG) nr 767/2008, artikel 84 i förordning (EU) 2018/1240, artikel 60 i förordning (EU) 2018/1861 och artikel 16 i förordning (EU) 2018/1860, logiskt åtskilda per EU-informationssystem. EU-LISA ska också samla in uppgifterna och statistiken från den router som avses i artikel 31.1 i förordning (EU) .../...* [denna förordning]. Åtkomst till CRRS ska beviljas via kontrollerad, säkrad åtkomst och specifika användarprofiler, enbart för rapportering och statistik, till de myndigheter som avses i artikel 63 i förordning (EU) 2017/2226, artikel 17 i förordning (EG) nr 767/2008, artikel 84 i förordning (EU) 2018/1240, artikel 60 i förordning (EU) 2018/1861 och artikel 38.2 i förordning (EU) .../... [denna förordning].”

KAPITEL 8

SLUTBESTÄMMELSER

Artikel 36

Kommittéförfarande

1.Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas. Om kommittén inte avger något yttrande, ska kommissionen inte anta utkastet till genomförandeakt och artikel 5.4 tredje stycket i förordning (EU) nr 182/2011 ska tillämpas.

Artikel 37

Utövande av delegeringen

1.Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.Den befogenhet att anta delegerade akter som avses i artiklarna 5.4, 6.3, 11.4, 20.2 och 21.2 ska ges till kommissionen för en period på fem år från och med den [dag då denna förordning antas]. Kommissionen ska utarbeta en rapport om delegeringen av befogenhet senast nio månader före utgången av perioden på fem år. Delegeringen av befogenhet ska genom tyst medgivande förlängas med perioder av samma längd, såvida inte Europaparlamentet eller rådet motsätter sig en sådan förlängning senast tre månader före utgången av perioden i fråga.

3.Den delegering av befogenhet som avses i artiklarna 5.4, 6.3, 11.4, 20.2 och 21.2 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5.Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

Artikel 38

Övervakning och utvärdering

1.Eu-LISA ska säkerställa att det finns förfaranden för att övervaka utvecklingen av routern mot bakgrund av målen vad gäller planering och kostnader samt för att övervaka routerns funktion med beaktande av målen vad gäller tekniska resultat, kostnadseffektivitet, säkerhet och tjänstekvalitet.

2.Senast [ett år efter den dag då denna förordning träder i kraft] och därefter varje år under routerns utvecklingsfas ska eu-LISA utarbeta en rapport om hur utvecklingen av routern framskrider och lämna den till Europaparlamentet och rådet. Denna rapport ska innehålla detaljerad information om de kostnader som har uppkommit och om eventuella risker som kan påverka de övergripande kostnader som ska belasta unionens allmänna budget i enlighet med artikel 25.

3.Så snart routern tagits i drift ska eu-LISA utarbeta en rapport med en ingående redogörelse för hur målen för framför allt planering och kostnader har uppfyllts samt vad eventuella avvikelser beror på och lämna den till Europaparlamentet och rådet.

4.Senast [fyra år efter den dag då denna förordning träder i kraft] och därefter vart fjärde år ska kommissionen utarbeta en rapport med en övergripande utvärdering av denna förordning, inbegripet en bedömning av

a)tillämpningen av denna förordning,

b)i vilken utsträckning denna förordnings mål har uppnåtts,

c)hur denna förordning har påverkat relevanta grundläggande rättigheter som skyddas av unionsrätten.

5.Kommissionen ska lämna utvärderingsrapporten till Europaparlamentet, rådet, Europeiska datatillsynsmannen och Europeiska unionens byrå för grundläggande rättigheter. Om så är lämpligt mot bakgrund av den utvärdering som gjorts, ska kommissionen lägga fram ett lagstiftningsförslag för Europaparlamentet och rådet i syfte att ändra denna förordning.

6.Medlemsstaterna och lufttrafikföretagen ska på begäran till eu-LISA och kommissionen lämna den information som behövs för att utarbeta de rapporter som avses i punkterna 2, 3 och 4, inbegripet information som inte utgör personuppgifter rörande resultaten av förhandskontrollerna mot unionsinformationssystem och nationella databaser vid de yttre gränserna med API-uppgifter. Medlemsstaterna får dock avstå från att lämna denna information om och i den utsträckning det är nödvändigt att inte röja konfidentiella arbetsmetoder eller äventyra de behöriga gränsmyndigheternas pågående utredningar. Kommissionen ska säkerställa att all konfidentiell information som lämnas skyddas på lämpligt sätt.

Artikel 39

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas från och med två år från det datum då routern tas i drift, vilket fastställs av kommissionen i enlighet med artikel 27.

Emellertid ska

a)artiklarna 5.4, 5.5, 6.3, 11.4, 20.2, 21.2, 22, 25.1, 27, 36 och 37 tillämpas från och med den [dag då denna förordning träder i kraft],

b)artiklarna 10, 13.1, 13.3, 13.4, 15, 16, 17, 23, 24, 26 och 28 tillämpas från och med det datum då routern tas i drift, vilket fastställs av kommissionen i enlighet med artikel 27.

Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.

Utfärdad i Strasbourg den

FINANSIERINGSÖVERSIKT FÖR RÄTTSAKT

1.GRUNDLÄGGANDE UPPGIFTER OM FÖRSLAGET ELLER INITIATIVET

1.1.Förslagets eller initiativets titel

1.2.Berörda politikområden

1.3.Förslaget eller initiativet avser

1.4.Mål

1.4.1.Allmänt/allmänna mål:

1.4.2.Specifikt/specifika mål:

1.4.3.Verkan eller resultat som förväntas

1.4.4.Prestationsindikatorer

1.5.Grunder för förslaget eller initiativet

1.5.1.Krav som ska uppfyllas på kort eller lång sikt, inbegripet en detaljerad tidsplan för genomförandet av initiativet

1.5.2.Mervärdet av en åtgärd på unionsnivå (som kan följa av flera faktorer, t.ex. samordningsfördelar, rättssäkerhet, ökad effektivitet eller komplementaritet). Med ”mervärdet av en åtgärd på unionsnivå” i denna punkt avses det värde en åtgärd från unionens sida tillför utöver det värde som annars skulle ha skapats av enbart medlemsstaterna.

1.5.3.Erfarenheter från tidigare liknande åtgärder

1.5.4.Förenlighet med den fleråriga budgetramen och eventuella synergieffekter med andra relevanta instrument

1.5.5.En bedömning av de olika finansieringsalternativ som finns att tillgå, inbegripet möjligheter till omfördelning

1.6.Beräknad varaktighet för och beräknade budgetkonsekvenser av förslaget eller initiativet

1.7.Planerad metod för genomförandet

2.FÖRVALTNING

2.1.Regler om uppföljning och rapportering

2.2.Förvaltnings- och kontrollsystem

2.2.1.Motivering av den genomförandemetod, de finansieringsmekanismer, de betalningsvillkor och den kontrollstrategi som föreslås

2.2.2.Uppgifter om identifierade risker och om det eller de interna kontrollsystem som inrättats för att begränsa riskerna

2.2.3.Beräkning och motivering av kontrollernas kostnadseffektivitet (dvs. förhållandet mellan kostnaden för kontrollerna och värdet av de medel som förvaltas) och en bedömning av den förväntade risken för fel (vid betalning och vid avslutande)

2.3.Åtgärder för att förebygga bedrägeri och oriktigheter

3.BERÄKNADE BUDGETKONSEKVENSER AV FÖRSLAGET ELLER INITIATIVET

3.1.Berörda rubriker i den fleråriga budgetramen och budgetrubriker i den årliga budgetens utgiftsdel

3.2.Förslagets beräknade budgetkonsekvenser på anslagen

3.2.1.Sammanfattning av beräknad inverkan på driftsanslagen

3.2.2.Beräknad output som finansieras med driftsanslag

3.2.3.Sammanfattning av beräknad inverkan på de administrativa anslagen

3.2.4.Förenlighet med den gällande fleråriga budgetramen

3.2.5.Bidrag från tredje part

3.3.Beräknad inverkan på inkomsterna

1.GRUNDLÄGGANDE UPPGIFTER OM FÖRSLAGEN

1.1.BAKGRUND TILL FÖRSLAGEN

1.2.Berörda politikområden 

1.3.Förslaget eller initiativet avser 

◻ en ny åtgärd 

◻ en ny åtgärd som bygger på ett pilotprojekt eller en förberedande åtgärd 51  

⌧ en förlängning av en befintlig åtgärd 

◻ en sammanslagning eller omdirigering av en eller flera åtgärder mot en annan/en ny åtgärd 

1.4.Mål

1.4.1.Allmänt/allmänna mål:

1.4.2.Specifikt/specifika mål:

1.4.3.Verkan eller resultat som förväntas

Beskriv den verkan som förslaget eller initiativet förväntas få på de mottagare eller den del av befolkningen som berörs.

1.4.4.Prestationsindikatorer

Ange indikatorer för övervakning av framsteg och resultat.

–datum för driftsättning (som kommer att prognosticeras och regelbundet rapporteras av eu-LISA:s styrelse) (mål T0 + 5 år)

–Andel flygbolag som är anslutna till den centrala routern och trafikerar rutter utanför Schengenområdet (mål 100 %)

–Antal nationella gränsförvaltningsmyndigheter som mottar information från den centrala routern

–Antal direkta anslutningar mellan flygbolag och nationella gränsförvaltningsmyndigheter för API-uppgifter (mål 0)

–Förhållande: Antal API-dataset som överförts direkt till nationella gränsförvaltningsmyndigheter/antal API-dataset som överförts till routern (mål 0 %)

–Andel flygningar där API-dataset togs emot av de nationella gränsförvaltningsmyndigheterna (mål 100 %)

–Andel flygningar där API-dataset togs emot av de nationella gränsförvaltningsmyndigheterna mindre än 30 minuter efter flygningens start (mål 100 %)

–Antal och belopp för böter som åläggs flygbolag för att de tagit ombord en resenär på grundval av en resehandling vars maskinläsbara uppgifter inte är autentiska (mål 0)

–Antal och belopp för böter som ålagts flygbolag för inkorrekta eller ofullständiga dataset (mål 0)

–Antal och belopp för böter som ålagts flygbolag för att dataset saknas (mål 0)

–Andel API-dataset med fullständiga identitetsuppgifter (100 %)

–Andel API-dataset som är syntaktiskt korrekta (100 %)

–Antal resenärer som förhandskontrollerats på inkommande flygningar som omfattas: (samma antal som inkommande resenärer)

–Andel träffar som upptäckts vid gränsen och som redan upptäckts vid förhandskontrollerna för inkommande flygningar som omfattas: mål 100 %

–Andel flygbolag som är anslutna till transportörsgränssnittet/den centrala routern och trafikerar rutter inom EU (mål 100 %)

–Antal enheter för passagerarinformation som är anslutna till den centrala routern (mål 26)

–Antal direkta anslutningar mellan flygbolag och enheter för passagerarinformation för API-uppgifter (mål 0)

–Förhållande: Antal API-dataset som överförts direkt till enheter för passagerarinformation/antal API-dataset som överförts till routern (mål 0 %)

–Andel mottagna PNR-uppgifter med motsvarande API-uppgifter (mål 100 %)

–Antal automatiserade matchningar och träffar (endast med PNR-uppgifter, endast med API-uppgifter respektive med både PNR- och API-uppgifter)

1.5.Grunder för förslaget eller initiativet 

1.5.1.Krav som ska uppfyllas på kort eller lång sikt, inbegripet en detaljerad tidsplan för genomförandet av initiativet

–För lufttrafikföretagen: anslutning och överföring av API-uppgifter till transportörsgränssnittet, systematisk insamling av uppgifter med automatiserade metoder.

–För medlemsstaterna: insamling av API-uppgifter via routern.

1.5.2.Mervärdet av en åtgärd på unionsnivå (som kan följa av flera faktorer, t.ex. samordningsfördelar, rättssäkerhet, ökad effektivitet eller komplementaritet). Med ”mervärdet av en åtgärd på unionsnivå” i denna punkt avses det värde en åtgärd från unionens sida tillför utöver det värde som annars skulle ha skapats av enbart medlemsstaterna.

1.5.3.Erfarenheter från tidigare liknande åtgärder

1.5.4.Förenlighet med den fleråriga budgetramen och eventuella synergieffekter med andra relevanta instrument

1.5.5.En bedömning av de olika finansieringsalternativ som finns att tillgå, inbegripet möjligheter till omfördelning

1.6.Beräknad varaktighet för och beräknade budgetkonsekvenser av förslaget eller initiativet

◻ begränsad varaktighet 

–◻    verkan från och med [den DD/MM]ÅÅÅÅ till och med [den DD/MM]ÅÅÅÅ

–◻    budgetkonsekvenser från och med YYYY till och med YYYY för åtagandebemyndiganden och från och med YYYY till och med YYYY för betalningsbemyndiganden.

⌧ obegränsad varaktighet

–Efter en inledande period 2024–2028,

–beräknas genomförandetakten nå en stabil nivå från och med 2029.

1.7.Planerad metod för genomförandet 54   

◻ Direkt förvaltning som sköts av kommissionen

–◻ av dess avdelningar, vilket också inbegriper personalen vid unionens delegationer;

–◻    av genomförandeorgan

⌧ Delad förvaltning med medlemsstaterna

⌧ Indirekt förvaltning genom att uppgifter som ingår i budgetgenomförandet anförtros

–◻ tredjeländer eller organ som de har utsett

–◻ internationella organisationer och organ kopplade till dem (ange vilka)

–◻ EIB och Europeiska investeringsfonden

–⌧ organ som avses i artiklarna 70 och 71 i budgetförordningen

–◻ offentligrättsliga organ

–◻ privaträttsliga organ som har anförtrotts offentliga förvaltningsuppgifter i den utsträckning som de har försetts med tillräckliga ekonomiska garantier

–◻ organ som omfattas av privaträtten i en medlemsstat, som anförtrotts genomförandeuppgifter inom ramen för ett offentlig-privat partnerskap och som har försetts med tillräckliga ekonomiska garantier

–◻ personer som anförtrotts genomförandet av särskilda åtgärder inom Gusp enligt avdelning V i fördraget om Europeiska unionen och som fastställs i den relevanta grundläggande rättsakten

–Vid fler än en metod, ange kompletterande uppgifter under ”Anmärkningar”.

Anmärkningar

2.FÖRVALTNING 

2.1.Regler om uppföljning och rapportering 

Ange intervall och andra villkor för sådana åtgärder:

2.2.Förvaltnings- och kontrollsystem 

2.2.1.Motivering av den genomförandemetod, de finansieringsmekanismer, de betalningsvillkor och den kontrollstrategi som föreslås

2.2.2.Uppgifter om identifierade risker och om det eller de interna kontrollsystem som inrättats för att begränsa riskerna

2.2.3.Beräkning och motivering av kontrollernas kostnadseffektivitet (dvs. förhållandet mellan kostnaden för kontrollerna och värdet av de medel som förvaltas) och en bedömning av den förväntade risken för fel (vid betalning och vid avslutande) 

2.3.Åtgärder för att förebygga bedrägeri och oriktigheter 

Beskriv förebyggande åtgärder (befintliga eller planerade), t.ex. från strategi för bedrägeribekämpning.

3.BERÄKNADE BUDGETKONSEKVENSER AV FÖRSLAGET ELLER INITIATIVET 

3.1.Berörda rubriker i den fleråriga budgetramen och budgetrubriker i den årliga budgetens utgiftsdel 

·Befintliga budgetrubriker (även kallade ”budgetposter”)

Redovisa enligt de berörda rubrikerna i den fleråriga budgetramen i nummerföljd

·Nya budgetrubriker som föreslås

Redovisa enligt de berörda rubrikerna i den fleråriga budgetramen i nummerföljd

3.2.Förslagets beräknade budgetkonsekvenser på anslagen 

3.2.1.Sammanfattning av beräknad inverkan på driftsanslagen 

–◻    Förslaget/initiativet kräver inte att driftsanslag tas i anspråk

–⌧    Förslaget/initiativet kräver att driftsanslag tas i anspråk enligt följande:

Miljoner euro (avrundat till tre decimaler)

Detta avsnitt ska fyllas i med hjälp av det datablad för budgetuppgifter av administrativ natur som först ska föras in i bilagan till finansieringsöversikt för rättsakt (bilaga V till de interna bestämmelserna), vilken ska laddas upp i DECIDE som underlag för samråden mellan kommissionens avdelningar.

Miljoner euro (avrundat till tre decimaler)

Miljoner euro (avrundat till tre decimaler)

3.2.2.Beräknad output som finansieras med driftsanslag 

Åtagandebemyndiganden i miljoner euro (avrundat till tre decimaler)

3.2.3.Beräknad inverkan på eu-LISA:s personalresurser 

3.2.3.1.Sammanfattning 

–◻    Förslaget/initiativet kräver inte att anslag av administrativ natur tas i anspråk

–⌧    Förslaget/initiativet kräver att anslag av administrativ natur tas i anspråk enligt följande:

Miljoner euro (avrundat till tre decimaler)

Personalbehov (heltidsekvivalenter):

Personal från eu-LISA bör stödja GD Migration och inrikes frågor i arbetet med att utarbeta sekundärlagstiftningen i början av 2024, och personalen bör därför vara operativ så snart som möjligt. Rekryteringsförfarandena ska inledas i januari 2024. En faktor på 50 % tillämpas för 2 heltidsekvivalenter som rekryteras 2024, 21 heltidsekvivalenter 2025. Resten av personalen kommer från omfördelningen från andra projekt.

3.2.4.Sammanfattning av beräknad inverkan på de administrativa anslagen (för GD HOME)

–◻    Förslaget/initiativet kräver inte att anslag av administrativ natur tas i anspråk

–⌧    Förslaget/initiativet kräver att anslag av administrativ natur tas i anspråk enligt följande:

Miljoner euro (avrundat till tre decimaler)

Personalbehov och andra administrativa kostnader ska täckas genom anslag inom generaldirektoratet vilka redan har avdelats för förvaltningen av åtgärden i fråga, eller genom en omfördelning av anslag inom generaldirektoratet, om så krävs kompletterad med ytterligare resurser som kan tilldelas det förvaltande generaldirektoratet som ett led i det årliga förfarandet för tilldelning av anslag och med hänsyn tagen till begränsningar i fråga om budgetmedel.

3.2.4.1.Beräknat personalbehov (för GD HOME)

–◻    Förslaget/initiativet kräver inte att personalresurser tas i anspråk

–⌧    Förslaget/initiativet kräver att personalresurser tas i anspråk enligt följande:

Beräkningarna ska anges i heltidsekvivalenter