Dessa två förordningar fastställer harmoniserade regler inom Europeiska unionen (EU) om lufttrafikföretags insamling och överföring av förhandsinformation om passagerare (API)1:
Förordning (EU) 2025/12 syftar till att förbättra in- och utresekontrollernas effektivitet vid de yttre gränserna samt bekämpa olaglig invandring.
Förordning (EU) 2025/13 syftar till att stödja förebyggande, upptäckt, utredning och lagföring av terroristbrott och grov brottslighet genom att komplettera befintliga regler om överföring och användning av passageraruppgifter (PNR-uppgifter)2 enligt direktiv (EU) 2016/681 (se sammanfattning).
Båda förordningarna gäller lufttrafikföretag som utför passagerarflygningar, inklusive de som transporterar passagerare som ansluter till andra destinationer (transitpassagerare) och icke-tjänstgörande besättningsmedlemmar. Förordning (EU) 2025/13 är också tillämplig på tjänstgörande besättningsmedlemmar.
Förordning (EU) 2025/12 är tillämplig på flygningar från länder utanför EU till de EU:s medlemsstater som tillämpar denna förordning och till de Schengenassocierade länderna (Island, Liechtenstein, Norge och Schweiz).
Förordning (EU) 2025/13 är tillämplig på:
flygningar mellan medlemsstater som tillämpar denna förordning och länder utanför EU (flygningar utanför EU),
utvalda flygningar inom EU (flygningar inom EU), men endast om medlemsstaten tillämpar bestämmelserna om användning av PNR-uppgifter på dessa flygningar.
Dessa förordningar gäller inte för militära flygningar, nödflygningar, medicinska flygningar eller skolflygningar.
Lufttrafikföretagens skyldigheter
Lufttrafikföretagen ska:
samla in API-uppgifter för varje passagerare och besättningsmedlem, inklusive:
Uppgifter om resehandlingen (typ, nummer, sista giltighetsdag, utfärdande land).
Flygnummer, sätesnummer, bagageinformation (om sådan finns).
Lokalisering av PNR-uppgifter (i förekommande fall).
Insamlingsmetod (automatisk/manuell).
använda automatiserade metoder (t.ex. skanning av maskinläsbara zoner i resehandlingar) för att säkerställa riktighet och fullständighet – manuell inmatning är endast tillåten under en övergångsperiod eller under exceptionella omständigheter där automatiserad insamling är tekniskt omöjlig,
överföra data elektroniskt och säkert till EU:s API/PNR-router:
en gång vid incheckningen (per passagerare) och
igen efter att flygningen stängts (för alla passagerare och besättning ombord).
Gemensam router för dataöverföring
Den gemensamma API/PNR-routern för EU, som drivs av eu-Lisa, är det exklusiva gränssnittet för överföring av API- och PNR-uppgifter. Den tar emot API- och PNR-uppgifter från lufttrafikföretag, validerar det tekniska formatet och integriteten, överför automatiskt API-uppgifter till nationella gränsmyndigheter (för förordning (EU) 2025/12) eller API- och PNR-uppgifter till nationella enheter för passagerarinformation (för förordning (EU) 2025/13). Routern är raderar data omedelbart efter överföring, och behåller den endast tillfälligt för att planera rutter.
Enligt förordning (EU) 2025/12 ska API-uppgifter användas uteslutande för att förbättra och underlätta kontrollerna vid de yttre gränserna och för att upptäcka olaglig invandring. Användning av uppgifter för profilering eller diskriminerande ändamål är förbjuden. Gränsmyndigheterna får lagra uppgifterna i upp till 48 timmar, med en eventuell förlängning på ytterligare 48 timmar i enskilda fall där en passagerare inte infinner sig vid gränsen.
Enligt förordning (EU) 2025/13 ska API-uppgifter behandlas tillsammans med PNR-uppgifter för att identifiera högriskpersoner, förebygga och upptäcka grov brottslighet och terrorism och stödja gränsöverskridande polissamarbete och rättsligt samarbete. För flygningar inom EU får API-uppgifter överföras till enheter för passagerarinformation endast om medlemsstaten tillämpar PNR-reglerna på sådana flygningar och väljer ut dem med hjälp av objektiva, riskbaserade kriterier. Detta urval måste ses över minst en gång per år. Uppgifter från icke utvalda flygningar måste raderas omedelbart från routern, och lufttrafikföretagen får inte informeras om vilka flygningar som väljs ut.
Passagerares rättigheter och dataskydd
Föreskrifterna kompletterar dataskyddsregler som fastställs i direktiv (EU) 2016/681 och kräver att all behandling av API- och PNR-uppgifter är förenlig med EU:s tillämpliga dataskyddsregler. Bland dessa ingår
förordning (EU) 2016/679 (den allmänna dataskyddsförordningen – se sammanfattning), som fastställer reglerna för hur lufttrafikföretag hanterar personuppgifter och är tillämpliga på nationella myndigheter som behandlar API-uppgifter för gränsförvaltningsändamål,
direktiv (EU) 2016/680 (se sammanfattning), som fastställer de EU-regler om dataskydd för polismyndigheter och straffrättsliga myndigheter som är tillämpliga på nationella myndigheter som behandlar API-uppgifter för brottsbekämpande ändamål,
förordning (EU) 2018/1725 (se sammanfattning), som fastställer de EU-regler om dataskydd för EU:s institutioner och byråer som är tillämpliga på eu-Lisa (som driver routern).
I förordningarna fastställs viktiga skyddsåtgärder, bland annat följande:
Strikt ändamålsbegränsning – uppgifterna får endast användas för de ändamål som anges i förordningarna.
Ett förbud mot insamling eller användning av biometriska uppgifter som en del av API-uppgifter.
Ett förbud mot diskriminering och profilering.
Rätt till information – passagerare måste informeras vid bokning och incheckning om insamlingen av deras uppgifter och deras rättigheter.
Strikta regler för hur länge uppgifterna får lagras.
Nationella myndigheter
Varje medlemsstat ska utse
en behörig gränsmyndighet som ska ta emot API-uppgifter för in- och utresekontroller,
den enheter för passagerarinformation som ska ta emot API-uppgifter för brottsbekämpande ändamål och PNR-uppgifter, i enlighet med direktiv (EU) 2016/681,
en nationell API-tillsynsmyndighet som ska övervaka efterlevnaden och se till att reglerna efterlevs.
Styrning och tillsyn
eu-Lisa ansvarar för att
utforma, utveckla, hysa och driva routern,
tillhandahålla tekniskt stöd och utbildning till berörda parter,
säkerställa systemsäkerhet och driftskompatibilitet med andra system.
eu-LISA:s styrningsstrukturer omfattar följande:
en programstyrelse som ansvarar för att övervaka genomförandet,
en rådgivande grupp för API-PNR som tillhandahåller teknisk och operativ rådgivning,
ett kontaktgrupp för API som ska underlätta berörda parters engagemang.
Dessutom måste Europeiska kommissionen upprätta en expertgrupp för API som ska möjliggöra kommunikation mellan medlemsstaterna och mellan medlemsstaterna och lufttrafikföretagen i politiska frågor som rör API och PNR.
Tillsyn och påföljder
Medlemsstaterna måste
övervaka och se till att lufttrafikföretag och myndigheter följer bestämmelserna,
påföra sanktioner vid bristande efterlevnad, inbegripet:
böter på upp till 2 % av lufttrafikföretagets totala omsättning vid återkommande underlåtenhet att överföra API-uppgifter,
andra administrativa eller korrigerande åtgärder, beroende på vad som är lämpligt.
API-tillsynsmyndigheter måste ta hänsyn till överträdelsens art, allvar och varaktighet, om den var avsiktlig eller försumlig, vilka kategorier av uppgifter som påverkades, eventuella tidigare överträdelser och graden av samarbete.
Övergångsåtgärder
Under en övergångsperiod får lufttrafikföretagen fortsätta att använda manuella metoder för att samla in API-uppgifter. De kan också välja att ansluta till EU-routern på frivillig basis, förutsatt att de har tillstånd att göra det av den berörda medlemsstaten. Kommissionen kommer att fastställa det datum från och med vilket EU:s API/PNR-router tas i drift, när eu-Lisa har informerat kommissionen om att det övergripande testet av routern har slutförts på ett framgångsrikt sätt.
avsluta övergångsperioden för manuell insamling av API-uppgifter,
fastställa regler för automatiserade metoder för insamling av maskinläsbara API-uppgifter och för manuell insamling under exceptionella omständigheter och under övergångsperioden,
fastställa regler om gemensamma protokoll och dataformat som stöds för överföring av API-uppgifter till routern,
fastställa regler för att korrigera ifyllande och uppdatering av API-uppgifter.
fastställa regler för kontroll av uppgifter och anmälningar och för överföring av API- och PNR-uppgifter från routern till medlemsstaternas behöriga myndigheter,
specificera regler för lufttrafikföretagens och medlemsstaternas anslutningar och integrering i routern,
fastställa medlemsstaternas och de gemensamt personuppgiftsansvarigas ansvar och förhållandet mellan de gemensamt personuppgiftsansvariga och eu-Lisa i egenskap av personuppgiftsbiträde.
Övervakning och utvärdering
Kommissionen kommer att bedöma förordningarnas effekter, inbegripet deras effekter på
passagerares rättigheter,
lufttrafikföretags verksamhet och konkurrenskraft,
ändamålsenligheten och effektiviteten hos EU:s API/PNR-router.
För att stödja genomförandet och övervakningen av tillämpningen av förordningarna har eu-Lisa i uppdrag att offentliggöra statistik om routerns funktion och om lufttrafikföretagens efterlevnad av de skyldigheter som anges i förordningarna. Denna statistik baseras på anonymiserade passagerar- och flygdata som automatiskt överförs till och hanteras av den centrala databasen för rapporter och statistik (CRRS). Denna statistik måste vara anonymiserad och kan inte användas för att identifiera enskilda personer.
NÄR TRÄDER FÖRORDNINGARNA I KRAFT?
Båda förordningarna trädde i kraft den . Vissa regler, särskilt de om planering, styrning och tillsyn av genomförandet, gäller från och med den dagen. De flesta operativa regler gäller endast när EU:s API/PNR-router tas i drift, enligt vad som fastställts av kommissionen. Från och med den tidpunkten ska reglerna i förordning (EU) 2025/12 tillämpas efter två år. Enligt förordning (EU) 2025/13 gäller reglerna om överföring av API-uppgifter efter två år, medan reglerna om överföring av PNR-uppgifter via routern gäller efter fyra år.
Förhandsinformation om passagerare (API). Identifieringsuppgifter, resehandlingsuppgifter och reserelaterade uppgifter som lufttrafikföretagen samlar in från passagerare och besättning under incheckningen och som överförs till de nationella myndigheterna före flygningens avgång.
Passageraruppgifter (PNR-uppgifter). Information som samlats in under bokningsprocessen för en passagerares resa, inklusive resplan, kontaktuppgifter och betalningsmetod, som används för brottsbekämpande ändamål.
EU:s API/PNR-router. Ett säkert centralt system som drivs av eu-LISA och som tar emot API- och PNR-uppgifter som samlats in av lufttrafikföretagen och överför dem till medlemsstaternas relevanta behöriga gränsmyndigheter eller enheter för passagerarinformation, beroende på tillämpliga regler.
HUVUDDOKUMENT
Europaparlamentets och rådets förordning (EU) 2025/12 av den om insamling och överföring av förhandsinformation om passagerare för att förbättra och underlätta in- och utresekontroller vid de yttre gränserna, om ändring av förordningarna (EU) 2018/1726 och (EU) 2019/817 och om upphävande av rådets direktiv 2004/82/EG (EUT L, 2025/12, ).
Europaparlamentets och rådets förordning (EU) 2025/13 av den om insamling och överföring av förhandsinformation om passagerare för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet, och om ändring av förordning (EU) 2019/818 (EUT L, 2025/13, ).
Fortlöpande ändringar av förordning (EU) 2025/13 har införlivats i originaltexten. Denna konsoliderade version har endast dokumentationsvärde.
ANKNYTANDE DOKUMENT
Europaparlamentets och rådets direktiv (EU) 2016/681 av den om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (EUT L 119, , s. 132).
Europaparlamentets och rådets förordning (EU) 2019/818 av den om inrättande av en ram för interoperabilitet mellan EU-informationssystem på området polissamarbete och straffrättsligt samarbete, asyl och migration och om ändring av förordningarna (EU) 2018/1726, (EU) 2018/1862 och (EU) 2019/816 (EUT L 135, , s. 85).
Europaparlamentets och rådets förordning (EU) 2019/817 av den om inrättande av en ram för interoperabilitet mellan EU-informationssystem på området gränser och viseringar, och om ändring av Europaparlamentets och rådets förordningar (EG) nr 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 och (EU) 2018/1861 samt rådets beslut 2004/512/EG och 2008/633/RIF (EUT L 135, , s. 27).
Europaparlamentets och rådets förordning (EU) 2018/1726 av den om Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA), om ändring av förordning (EG) nr 1987/2006 och rådets beslut 2007/533/RIF och om upphävande av förordning (EU) nr 1077/2011 (EUT L 295, , s. 99).
Europaparlamentets och rådets förordning (EU) 2018/1725 av den om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, , s. 39).
Europaparlamentets och rådets förordning (EU) 2018/1241 av den om ändring av förordning (EU) 2016/794 i syfte att inrätta ett EU-system för reseuppgifter och resetillstånd (ETIAS) (EUT L 236, , s. 72).
Europaparlamentets och rådets förordning (EU) 2018/1240 av den om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias) och om ändring av förordningarna (EU) nr 1077/2011, (EU) nr 515/2014, (EU) 2016/399, (EU) 2016/1624 och (EU) 2017/2226 (EUT L 236, , s. 1).
Europaparlamentets och rådets förordning (EU) 2017/2226 av den om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011 (EUT L 327, , s. 20).
Europaparlamentets och rådets förordning (EU) 2017/2225 av den om ändring av förordning (EU) 2016/399 vad gäller användningen av in- och utresesystemet (EUT L 327, , s. 1).
Europaparlamentets och rådets direktiv (EU) 2016/680 av den om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, , s. 89).
Europaparlamentets och rådets förordning (EU) 2016/679 av den om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, , s. 1).
Europaparlamentets och rådets förordning (EG) nr 767/2008 av den om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) (EUT L 218, , s. 60).