1.   Lufttrafikföretagen ska samla in API-uppgifter om varje passagerare och besättningsmedlem på de flygningar som avses i artikel 2, vilka ska överföras till routern i enlighet med artikel 5. Om flygningen har gemensam linjebeteckning med ett lufttrafikföretag ska skyldigheten att överföra API-uppgifter åligga det lufttrafikföretag som utför flygningen.

2.   API-uppgifterna ska bestå av endast följande uppgifter om varje passagerare och besättningsmedlem på flygningen:

3.   API-uppgifterna ska också bestå av endast följande flyginformation om varje passagerares och besättningsmedlems flygning:

4.   Lufttrafikföretagen ska samla in API-uppgifter på ett sätt som säkerställer att de API-uppgifter som de överför i enlighet med artikel 5 är korrekta, fullständiga och aktuella. Fullgörandet av denna skyldighet innebär inte att lufttrafikföretagen åläggs att kontrollera resehandlingen vid ombordstigningen på luftfartyget, utan att det påverkar tillämpningen av nationell rätt som är förenlig med unionsrätten.

5.   Denna förordning ålägger inte passagerare någon skyldighet att medföra en resehandling när de reser, utan att det påverkar tillämpningen av andra unionsrättsakter eller nationell rätt som är förenlig med unionsrätten.

6.   En medlemsstat får ålägga lufttrafikföretag att ge passagerare möjlighet att frivilligt ladda upp de uppgifter som avses i artikel 4.2 a–d i förordning (EU) 2025/12 med automatiserade metoder och att låta lagra sådana uppgifter hos lufttrafikföretaget i syfte att överföra uppgifterna för framtida flygningar i enlighet med artikel 5 i den här förordningen och på ett sätt som innebär att kraven i punkterna 4, 7 och 8 i denna artikel uppfylls. En medlemsstat som ålägger en sådan skyldighet ska fastställa regler och skyddsåtgärder för dataskydd i enlighet med förordning (EU) 2016/679, inbegripet regler om lagringsperiod. Uppgifterna ska dock raderas om passageraren inte längre samtycker till att uppgifterna lagras, eller senast resehandlingens sista giltighetsdag.

7.   Lufttrafikföretag ska samla in de API-uppgifter som avses i punkt 2 a–d med automatiserade metoder för insamling av de maskinläsbara uppgifterna i den berörda passagerarens resehandling. De ska göra detta i enlighet med de närmare tekniska krav och operativa regler som avses i punkt 12, så snart sådana regler har antagits och är tillämpliga.

Om lufttrafikföretag tillhandahåller incheckning online ska de göra det möjligt för passagerarna att lämna de API-uppgifter som avses i punkt 2 a–d med automatiserade metoder när de checkar in online. Lufttrafikföretagen ska ge passagerare som inte checkar in online möjlighet att lämna dessa API-uppgifter med automatiserade metoder under incheckningen på flygplatsen med hjälp av en självbetjäningskiosk eller lufttrafikföretagens personal vid disken.

Om det inte är tekniskt möjligt att använda automatiserade metoder ska lufttrafikföretag undantagsvis samla in de API-uppgifter som avses i punkt 2 a–d manuellt, antingen som en del av incheckningen online eller som en del av incheckningen på flygplatsen, på ett sådant sätt att överensstämmelse med punkt 4 säkerställs.

8.   Alla automatiserade metoder som används av lufttrafikföretag för att samla in API-uppgifter enligt denna förordning ska vara tillförlitliga, säkra och uppdaterade. Lufttrafikföretagen ska säkerställa att API-uppgifter är krypterade under överföringen av sådana uppgifter från passageraren till lufttrafikföretagen.

9.   Under en övergångsperiod, och utöver de automatiserade metoder som avses i punkt 7, ska lufttrafikföretagen göra det möjligt för passagerarna att lämna API-uppgifter manuellt som en del av incheckningen online. I sådana fall ska lufttrafikföretagen använda dataverifieringsteknik för att säkerställa överensstämmelse med punkt 4.

10.   Den övergångsperiod som avses i punkt 9 ska inte påverka lufttrafikföretagens rätt att, på flygplatsen före ombordstigningen på luftfartyget, kontrollera API-uppgifter som samlas in som en del av incheckningen online för att säkerställa överensstämmelse med punkt 4, i enlighet med tillämplig unionsrätt.

11.   Kommissionen ges befogenhet att, från och med den dag som infaller fyra år efter det idrifttagande av routern med avseende på API-uppgifter som avses i artikel 34, och på grundval av en utvärdering av tillgången till och tillgängligheten av automatiserade metoder för att samla in API-uppgifter, anta en delegerad akt i enlighet med artikel 43 för att avsluta den övergångsperiod som avses i punkt 9 i den här artikeln.

12.   Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 43 för att komplettera denna förordning genom att fastställa närmare tekniska krav och operativa regler för insamling av de API-uppgifter som avses i punkt 2 a–d i den här artikeln med automatiserade metoder i enlighet med punkterna 7 och 8 i den här artikeln, för manuell insamling av API-uppgifter under särskilda omständigheter i enlighet med punkt 7 i den här artikeln och under den övergångsperiod som avses i punkt 9 i den här artikeln. Dessa tekniska krav och operativa regler ska omfatta krav på datasäkerhet, och för användning av de mest funktionssäkra automatiserade metoder som finns tillgängliga för att samla in de maskinläsbara uppgifterna i en resehandling.

1.   Lufttrafikföretagen ska överföra de krypterade API-uppgifterna till routern på elektronisk väg så att de kan översändas till de behöriga gränsmyndigheterna i enlighet med artikel 12. Lufttrafikföretag ska överföra API-uppgifterna i enlighet med de närmare regler som avses i punkt 4 i den här artikeln, så snart sådana regler har antagits och är tillämpliga.

2.   När medlemsstaterna antar åtgärder i enlighet med artikel 8.1 i direktiv (EU) 2016/681 ska de ålägga lufttrafikföretagen att överföra alla andra PNR-uppgifter som dessa samlar in som en del av sin normala affärsverksamhet uteslutande till routern, i enlighet med de gemensamma protokoll och dataformat som anges i artikel 16 i det direktivet.

3.   Lufttrafikföretagen ska överföra API-uppgifterna

4.   Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 43 för att komplettera denna förordning genom att fastställa nödvändiga närmare regler om de gemensamma protokoll och understödda dataformat som ska användas för den krypterade överföring av API-uppgifter till routern som avses i punkt 1 i den här artikeln, inbegripet överföringen av API-uppgifter vid incheckningen och krav på datasäkerhet. Sådana närmare regler ska säkerställa att lufttrafikföretagen överför API-uppgifter med samma struktur och innehåll.

1.   Om ett lufttrafikföretag får kännedom om att de uppgifter som det lagrar enligt denna förordning har behandlats på ett olagligt sätt, eller inte utgör API-uppgifter, ska det omedelbart och permanent radera dessa uppgifter. Om dessa uppgifter har överförts till routern ska lufttrafikföretaget omedelbart underrätta Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-Lisa). Efter att ha tagit emot en sådan underrättelse ska eu-Lisa omedelbart underrätta den enhet för passagerarinformation som tagit emot de uppgifter som översänts via routern.

2.   Om ett lufttrafikföretag får kännedom om att de uppgifter som det lagrar enligt denna förordning är felaktiga, ofullständiga eller inaktuella ska det omedelbart korrigera, komplettera eller uppdatera dessa uppgifter. Detta påverkar inte lufttrafikföretagens möjlighet att lagra och använda uppgifterna när detta är nödvändigt för deras normala affärsverksamhet i enlighet med tillämplig rätt.

3.   Om ett lufttrafikföretag efter överföringen av API-uppgifter enligt artikel 5.3 a i, men före överföringen enligt artikel 5.3 a ii, får kännedom om att de uppgifter som det har överfört är felaktiga ska det omedelbart överföra de korrigerade API-uppgifterna till routern.

4.   Om ett lufttrafikföretag efter överföringen av API-uppgifter enligt artikel 5.3 a ii eller 5.3 b får kännedom om att de uppgifter som det har överfört är felaktiga, ofullständiga eller inaktuella ska det omedelbart överföra de korrigerade, kompletterade eller uppdaterade API-uppgifterna till routern.

5.   Kommissionen ges befogenhet att anta delegerade akter i enlighet med artikel 43 för att komplettera denna förordning genom att fastställa nödvändiga närmare regler om korrigering, komplettering och uppdatering av API-uppgifter i den mening som avses i den här artikeln.

1.   Lufttrafikföretags och behöriga myndigheters insamling och behandling av personuppgifter i enlighet med denna förordning och förordning (EU) 2025/12 får inte leda till diskriminering av personer på de grunder som anges i artikel 21 i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan).

2.   Denna förordning ska fullt ut respektera människans värdighet och de grundläggande rättigheter och principer som erkänns i stadgan, inbegripet rätten till respekt för privatlivet samt till asyl, skydd av personuppgifter, rörelsefrihet och ett effektivt rättsmedel.

3.   Särskild hänsyn ska tas till barn, äldre, personer med funktionshinder och utsatta personer. Barnets bästa ska komma i främsta rummet vid genomförandet av denna förordning.

1.   eu-Lisa ska, i enlighet med artiklarna 25 och 26, utforma, utveckla, hysa och tekniskt förvalta en router i syfte att underlätta lufttrafikföretagens överföring av krypterade API-uppgifter och andra PNR-uppgifter till enheterna för passagerarinformation i enlighet med denna förordning.

2.   Routern ska bestå av följande:

3.   Utan att det påverkar tillämpningen av artikel 10 i denna förordning ska routern, om så är lämpligt och i den utsträckning det är tekniskt möjligt, dela och återanvända de tekniska komponenterna, inbegripet maskinvaru- och programvarukomponenterna, i den webbtjänst som avses i artikel 13 i förordning (EU) 2017/2226, den nätportal för transportörer som avses i artikel 6.2 k i förordning (EU) 2018/1240 och den nätportal för transportörer som avses i artikel 45c i förordning (EG) nr 767/2008.

eu-Lisa ska, i den mån det är tekniskt och operativt möjligt, utforma routern på ett sätt som är konsekvent och förenligt med lufttrafikföretagens skyldigheter enligt förordningarna (EG) nr 767/2008, (EU) 2017/2226 och (EU) 2018/1240.

4.   Routern ska automatiskt extrahera och tillgängliggöra uppgifterna, i enlighet med artikel 39 i denna förordning, för den centrala databasen för rapporter och statistik (CRRS), som inrättats genom artikel 39 i förordning (EU) 2019/818.

5.   eu-Lisa ska utforma och utveckla routern på ett sådant sätt att API-uppgifterna och andra PNR-uppgifter är totalsträckskrypterade under varje överföring av API-uppgifter och andra PNR-uppgifter från lufttrafikföretagen till routern i enlighet med artikel 5 och under varje översändande av API-uppgifter och andra PNR-uppgifter från routern till enheterna för passagerarinformation i enlighet med artikel 12 och till CRRS i enlighet med artikel 39.2.

1.   Routern ska, på ett automatiserat sätt och baserat på flygtrafikdata i realtid, kontrollera om lufttrafikföretaget överfört API-uppgifterna i enlighet med artikel 5.1 eller andra PNR-uppgifter i enlighet med artikel 5.2.

2.   Routern ska, omedelbart och på ett automatiserat sätt, kontrollera om de API-uppgifter som överförts till routern i enlighet med artikel 5.1 överensstämmer med de närmare regler om understödda dataformat som avses i artikel 5.4.

3.   Routern ska, omedelbart och på ett automatiserat sätt, kontrollera om de andra PNR-uppgifter som överförts till routern i enlighet med artikel 5.2 överensstämmer med de regler om understödda dataformat som avses i artikel 16 i direktiv (EU) 2016/681.

4.   Om det vid den kontroll som avses i punkt 1 fastställsatt uppgifterna inte överförts av lufttrafikföretaget eller om den kontroll som avses i punkt 2 eller 3 fastställer att uppgifterna inte överensstämmer med de närmare reglerna om understödda dataformat, ska routern omedelbart och på ett automatiserat sätt underrätta det berörda lufttrafikföretaget och enheterna för passagerarinformation i de medlemsstater till vilka uppgifterna skulle översändas enligt artikel 12.1. I sådana fall ska lufttrafikföretaget omedelbart överföra API-uppgifterna och andra PNR-uppgifter i enlighet med artikel 5.

5.   Kommissionen ska anta genomförandeakter som fastställer de närmare tekniska regler och förfaranderegler som är nödvändiga för de kontroller och underrättelser som avses i punkterna 1–4 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 42.2.

1.   Efter de dataformats- och överföringskontroller som avses i artikel 11 ska routern översända de krypterade API-uppgifterna och eventuella andra PNR-uppgifter som överförts till den av lufttrafikföretag enligt artikel 5.1 och 5.2 samt, i tillämpliga fall, artikel 7.3 och 7.4 till enheterna för passagerarinformation i den medlemsstat på vars territorium flygningen kommer att landa eller från vars territorium flygningen kommer att avgå, eller bådadera om det rör sig om en flygning inom EU. Den ska översända dessa uppgifter omedelbart och på ett automatiserat sätt, utan att på något sätt ändra innehållet. Om en flygning har en eller flera mellanlandningar på territoriet i andra medlemsstater än den från vilken flygningen avgår, ska routern översända API-uppgifterna och eventuella andra PNR-uppgifter till enheterna för passagerarinformation i alla berörda medlemsstater.

För detta översändande ska eu-Lisa upprätta en jämförelsetabell över de olika ursprungs- och destinationsflygplatserna och de länder de tillhör och hålla den uppdaterad.

När det gäller flygningar inom EU ska routern dock översända API-uppgifter och andra PNR-uppgifter endast avseende de flygningar som ingår i den förteckning som avses i punkt 4 till de relevanta enheterna för passagerarinformation.

2.   Routern ska översända API-uppgifterna och andra PNR-uppgifter i enlighet med de närmare regler som avses i punkt 6, så snart sådana regler har antagits och är tillämpliga.

3.   Medlemsstaterna ska säkerställa att deras enheter för passagerarinformation, vid mottagandet av API-uppgifter och andra PNR-uppgifter i enlighet med punkt 1, omedelbart och på ett automatiserat sätt ger routern en bekräftelse på att sådana uppgifter har mottagits.

4.   Medlemsstater som beslutar att tillämpa direktiv (EU) 2016/681 på flygningar inom EU i enlighet med artikel 2 i det direktivet ska upprätta en förteckning över utvalda flygningar eller rutter inom EU. Medlemsstaterna får använda koden för avgångsflygplatsen och ankomstflygplatsen för att ange de utvalda flygningarna eller rutterna. Dessa medlemsstater ska i enlighet med artikel 2 i det direktivet och artikel 13 i denna förordning regelbundet se över och vid behov uppdatera dessa förteckningar. En medlemsstat får välja ut alla flygningar eller rutter inom EU när detta är vederbörligen motiverat, i enlighet med direktiv (EU) 2016/681 och artikel 13 i denna förordning.

Medlemsstaterna ska senast den dag då denna förordning börjar tillämpas enligt vad som avses i artikel 45 andra stycket lägga till de utvalda flygningarna eller rutterna i routern, med automatiserade metoder genom den säkra kommunikationskanal som avses i artikel 9.2 b, och därefter förse routern med eventuella uppdateringar av dessa.

5.   Den information som medlemsstaterna lägger till i routern ska behandlas konfidentiellt, och åtkomsten för eu-Lisas anställda till informationen ska begränsas till vad som är absolut nödvändigt för att lösa tekniska problem. eu-Lisa ska, när routern tar emot informationen eller eventuella uppdateringar av den från en medlemsstat, säkerställa att routern omedelbart översänder API-uppgifterna och andra PNR-uppgifter till enheten för passagerarinformation i den medlemsstaten med avseende på de utvalda flygningarna eller rutterna, i enlighet med punkt 1.

6.   Kommissionen ska anta genomförandeakter som fastställer de närmare tekniska regler och förfaranderegler som är nödvändiga för det översändande av API-uppgifter och andra PNR-uppgifter från routern som avses i punkt 1 i denna artikel och för de tillägg av information i routern som avses i punkt 4 i denna artikel, inbegripet när det gäller krav på datasäkerhet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 42.2.

1.   Medlemsstater som i enlighet med artikel 2 i direktiv (EU) 2016/681 beslutar att tillämpa det direktivet och följaktligen denna förordning på flygningar inom EU ska välja ut sådana flygningar inom EU i enlighet med den här artikeln.

2.   Medlemsstaterna får tillämpa direktiv (EU) 2016/681 och följaktligen denna förordning på alla flygningar inom EU som ankommer till eller avgår från deras territorium endast i situationer med ett verkligt och aktuellt eller förutsebart terroristhot, på grundval av ett beslut som grundar sig på en hotbedömning, som är tidsbegränsat till vad som är absolut nödvändigt och som kan bli föremål för effektiv prövning av en domstol eller ett oberoende förvaltningsorgan vars beslut är bindande.

3.   I avsaknad av ett verkligt och aktuellt eller förutsebart terroristhot ska medlemsstater som tillämpar direktiv (EU) 2016/681 och följaktligen denna förordning på flygningar inom EU välja ut sådana flygningar inom EU enligt resultatet av en bedömning som utförts på grundval av de krav som anges i punkterna 4–7 i denna artikel.

4.   Den bedömning som avses i punkt 3 ska

5.   På grundval av den bedömning som avses i punkt 3 ska medlemsstaterna välja ut endast flygningar inom EU som har anknytning till bland annat vissa rutter, resemönster eller flygplatser med avseende på vilka det finns indikationer på terroristbrott och grov brottslighet och vilka motiverar behandling av API-uppgifter och andra PNR-uppgifter. Urvalet av flygningar inom EU ska begränsas till vad som är absolut nödvändigt för att uppnå målen i direktiv (EU) 2016/681 och denna förordning.

6.   Medlemsstaterna ska bevara all dokumentation i samband med den bedömning som avses i punkt 3, inbegripet eventuella översyner av den, och på begäran göra den tillgänglig för sina oberoende tillsynsmyndigheter och nationella tillsynsmyndigheter i enlighet med direktiv (EU) 2016/680.

7.   Medlemsstaterna ska, i enlighet med artikel 2 i direktiv (EU) 2016/681, regelbundet och minst var tolfte månad se över sin bedömning enligt punkt 3 för att ta hänsyn till förändringar i de omständigheter som motiverade urvalet av flygningar inom EU och för att säkerställa att urvalet av flygningar inom EU fortsatt begränsas till vad som är absolut nödvändigt.

8.   Kommissionen ska underlätta ett regelbundet utbyte av synpunkter om urvalskriterierna för den bedömning som avses i punkt 3, inbegripet utbyte av bästa praxis, samt, på frivillig basis, utbyte av information om utvalda flygningar.

1.   Om det är tekniskt omöjligt att använda routern för att översända API-uppgifter eller andra PNR-uppgifter på grund av ett fel i routern ska eu-Lisa omedelbart och på ett automatiserat sätt underrätta lufttrafikföretagen och enheterna för passagerarinformation om denna tekniska omöjlighet. I detta fall ska eu-Lisa omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta lufttrafikföretagen och enheterna för passagerarinformation när den har åtgärdats.

Under tidsperioden mellan dessa underrättelser ska artikel 5.1 inte tillämpas, i den mån den tekniska omöjligheten förhindrar överföring av API-uppgifter eller andra PNR-uppgifter till routern. Lufttrafikföretagen ska lagra API-uppgifterna eller andra PNR-uppgifter till dess att den tekniska omöjligheten har åtgärdats. Så snart den tekniska omöjligheten har åtgärdats ska lufttrafikföretagen överföra uppgifterna till routern i enlighet med artikel 5.1.

Om det är tekniskt omöjligt att använda routern samt i undantagsfall som rör målen för denna förordning och som gör det nödvändigt för enheterna för passagerarinformation att omedelbart ta emot API-uppgifter eller andra PNR-uppgifter under den tid som det är tekniskt omöjligt att använda routern, får enheterna för passagerarinformation begära att lufttrafikföretagen använder andra lämpliga metoder som säkerställer den nivå av datasäkerhet, datakvalitet och dataskydd som är nödvändig för att överföra API-uppgifterna eller andra PNR-uppgifter direkt till enheterna för passagerarinformation. Enheterna för passagerarinformation ska behandla de API-uppgifter eller andra PNR-uppgifter som tagits emot med andra lämpliga metoder i enlighet med de regler och skyddsåtgärder som anges i direktiv (EU) 2016/681.

Efter eu-Lisas underrättelse om att den tekniska omöjligheten har åtgärdats, och när det i enlighet med artikel 12.3 bekräftas att översändandet av API-uppgifterna eller andra PNR-uppgifter via routern till den berörda enheten för passagerarinformation har slutförts, ska enheten för passagerarinformation omedelbart radera de API-uppgifter eller andra PNR-uppgifter som den tagit emot med andra lämpliga metoder.

2.   Om det är tekniskt omöjligt att använda routern för att översända API-uppgifter eller andra PNR-uppgifter på grund av ett fel i de system eller den infrastruktur som avses i artikel 23 i en medlemsstat ska den medlemsstatens enhet för passagerarinformation omedelbart och på ett automatiserat sätt underrätta de övriga enheterna för passagerarinformation, eu-Lisa och kommissionen om denna tekniska omöjlighet. I detta fall ska medlemsstaten omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta de övriga enheterna för passagerarinformation, eu-Lisa och kommissionen när den har åtgärdats. Routern ska lagra API-uppgifterna eller andra PNR-uppgifter till dess att den tekniska omöjligheten har åtgärdats. Så snart den tekniska omöjligheten har åtgärdats ska routern översända uppgifterna i enlighet med artikel 12.1.

Om det är tekniskt omöjligt att använda routern samt i undantagsfall som rör målen för denna förordning och som gör det nödvändigt för enheterna för passagerarinformation att omedelbart ta emot API-uppgifter eller andra PNR-uppgifter under den tid som det är tekniskt omöjligt att använda routern, får enheterna för passagerarinformation begära att lufttrafikföretagen använder andra lämpliga metoder som säkerställer den nivå av datasäkerhet, datakvalitet och dataskydd som är nödvändig för överföring av API-uppgifterna eller andra PNR-uppgifter direkt till enheterna för passagerarinformation. Enheterna för passagerarinformation ska behandla de API-uppgifter eller andra PNR-uppgifter som tagits emot med andra lämpliga metoder i enlighet med de regler och skyddsåtgärder som anges i direktiv (EU) 2016/681.

Efter eu-Lisas underrättelse om att den tekniska omöjligheten har åtgärdats, och när det i enlighet med artikel 12.3 bekräftas att översändandet av API-uppgifterna eller andra PNR-uppgifter via routern till den relevanta enheten för passagerarinformation har slutförts, ska enheten för passagerarinformation omedelbart radera de API-uppgifter eller andra PNR-uppgifter som den tagit emot med andra lämpliga metoder.

3.   Om det är tekniskt omöjligt att använda routern för att överföra API-uppgifter eller andra PNR-uppgifter på grund av ett fel i ett lufttrafikföretags system eller infrastruktur som avses i artikel 24 ska lufttrafikföretaget omedelbart och på ett automatiserat sätt underrätta enheterna för passagerarinformation, eu-Lisa och kommissionen om denna tekniska omöjlighet. I detta fall ska lufttrafikföretaget omedelbart vidta åtgärder för att åtgärda den tekniska omöjligheten att använda routern och omedelbart underrätta enheterna för passagerarinformation, eu-Lisa och kommissionen när den har åtgärdats.

Under tidsperioden mellan dessa underrättelser ska artikel 5.1 inte tillämpas, i den mån den tekniska omöjligheten förhindrar överföring av API-uppgifter och andra PNR-uppgifter till routern. Lufttrafikföretagen ska lagra API-uppgifterna eller andra PNR-uppgifter till dess att den tekniska omöjligheten har åtgärdats. Så snart den tekniska omöjligheten har åtgärdats ska lufttrafikföretagen överföra uppgifterna till routern i enlighet med artikel 5.1.

Om det är tekniskt omöjligt att använda routern samt i undantagsfall som rör målen för denna förordning och som gör det nödvändigt för enheterna för passagerarinformation att omedelbart ta emot API-uppgifter eller andra PNR-uppgifter under den tid som det är tekniskt omöjligt att använda routern, får enheterna för passagerarinformation begära att lufttrafikföretagen använder andra lämpliga metoder som säkerställer den nivå av datasäkerhet, datakvalitet och dataskydd som är nödvändig för överföring av API-uppgifterna eller andra PNR-uppgifter direkt till enheterna för passagerarinformation. Enheterna för passagerarinformation ska behandla de API-uppgifter eller andra PNR-uppgifter som tagits emot med andra lämpliga metoder i enlighet med de regler och skyddsåtgärder som anges i direktiv (EU) 2016/681.

Efter eu-Lisas underrättelse om att den tekniska omöjligheten har åtgärdats, och när det i enlighet med artikel 12.3 bekräftas att översändandet av API-uppgifterna eller andra PNR-uppgifter via routern till den berörda enheten för passagerarinformation har slutförts, ska enheten för passagerarinformation omedelbart radera de API-uppgifter eller andra PNR-uppgifter som den tagit emot med andra lämpliga metoder.

När den tekniska omöjligheten har åtgärdats ska det berörda lufttrafikföretaget utan dröjsmål till den nationella API-tillsynsmyndighet som avses i artikel 37 lämna in en rapport med alla nödvändiga uppgifter om den tekniska omöjligheten, inbegripet orsakerna till den tekniska omöjligheten, dess omfattning och konsekvenser samt de åtgärder som vidtagits för att åtgärda den.

1.   Lufttrafikföretagen ska skapa loggar över all behandling av API-uppgifter enligt denna förordning som utförs med de automatiserade metoder som avses i artikel 4.7. Dessa loggar ska omfatta datum, klockslag och plats för överföringen av API-uppgifterna. Dessa loggar får inte inbegripa några andra personuppgifter än den information som är nödvändig för att identifiera berörda anställda vid respektive lufttrafikföretag.

2.   eu-Lisa ska föra logg över all behandling som rör överföringen och översändandet av API-uppgifter och andra PNR-uppgifter via routern enligt denna förordning. Dessa loggar ska omfatta

Dessa loggar får inte innehålla några andra personuppgifter än den information som är nödvändig för att identifiera berörda anställda vid eu-Lisa enligt vad som avses i första stycket f.

3.   De loggar som avses i punkterna 1 och 2 i denna artikel får användas endast för att säkerställa API-uppgifternas och andra PNR-uppgifters säkerhet och integritet och att behandlingen är laglig, särskilt när det gäller efterlevnaden av kraven i denna förordning, inbegripet förfaranden för sanktioner vid överträdelser av dessa krav i enlighet med artiklarna 37 och 38.

4.   Lufttrafikföretagen och eu-Lisa ska vidta lämpliga åtgärder för att skydda de loggar som de skapat i enlighet med punkterna 1 respektive 2 mot obehörig åtkomst och andra säkerhetsrisker.

5.   Den nationella tillsynsmyndighet som avses i artikel 37 och enheterna för passagerarinformation ska ha åtkomst till de relevanta loggar som avses i punkt 1 i den här artikeln om det är nödvändigt för de ändamål som avses i punkt 3 i den här artikeln.

6.   Lufttrafikföretagen och eu-Lisa ska bevara de loggar som de skapat enligt punkterna 1 respektive 2 i ett års tid från den tidpunkt då dessa loggar skapades. Efter utgången av denna period ska de omedelbart och permanent radera loggarna.

Om dessa loggar emellertid behövs för förfaranden för övervakning eller säkerställande av API-uppgifternas säkerhet och integritet eller av att behandlingen är laglig, enligt vad som avses i punkt 3, och dessa förfaranden redan har inletts vid utgången av den tidsperiod som avses i första stycket i denna punkt, ska lufttrafikföretagen och eu-Lisa bevara dessa loggar så länge som det är nödvändigt för dessa förfaranden. I detta fall ska de omedelbart radera dessa loggar när de inte längre är nödvändiga för dessa förfaranden.

1.   Lufttrafikföretag ska vara personuppgiftsansvariga i den mening som avses i artikel 4.7 i förordning (EU) 2016/679 i fråga om behandling av API-uppgifter och andra PNR-uppgifter som utgör personuppgifter i samband med insamling av sådana uppgifter och överföring av dessa till routern enligt den här förordningen.

2.   Varje medlemsstat ska utse en behörig myndighet till personuppgiftsansvarig i enlighet med denna artikel. Medlemsstaterna ska anmäla dessa myndigheter till kommissionen, eu-Lisa och övriga medlemsstater.

Alla behöriga myndigheter som utsetts av medlemsstaterna ska vara gemensamt personuppgiftsansvariga i enlighet med artikel 21 i direktiv (EU) 2016/680 i fråga om behandling av personuppgifter i routern.

3.   eu-Lisa ska vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 i fråga om behandling via routern av API-uppgifter och andra PNR-uppgifter som utgör personuppgifter enligt den här förordningen, inbegripet översändande av uppgifter från routern till enheterna för passagerarinformation och lagring av dessa uppgifter på routern av tekniska skäl. eu-Lisa ska säkerställa att routern drivs i enlighet med denna förordning.

4.   Kommissionen ska anta genomförandeakter som fastställer de gemensamt personuppgiftsansvarigas respektive ansvar samt respektive skyldigheter mellan de gemensamt personuppgiftsansvariga och personuppgiftsbiträdet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 42.2.

1.   eu-Lisa ska säkerställa säkerheten för och krypteringen av de API-uppgifter och andra PNR-uppgifter, särskilt uppgifter som utgör personuppgifter, som eu-Lisa behandlar enligt denna förordning. Enheterna för passagerarinformation och lufttrafikföretagen ska säkerställa säkerheten för de API-uppgifter, särskilt API-uppgifter som utgör personuppgifter, som de behandlar enligt denna förordning. eu-Lisa, enheterna för passagerarinformation och lufttrafikföretagen ska, i enlighet med sina respektive ansvarsområden och med unionsrätten, samarbeta med varandra för att säkerställa sådan säkerhet.

2.   eu-Lisa ska säkerställa säkerheten och konfidentialiteten för uppgifter om flygningar och rutter som valts ut av medlemsstaterna i enlighet med artikel 12.4. Enheterna för passagerarinformation och lufttrafikföretagen ska säkerställa säkerheten för de API-uppgifter, särskilt API-uppgifter som utgör personuppgifter, som de behandlar enligt denna förordning. eu-Lisa, enheterna för passagerarinformation och lufttrafikföretagen ska, i enlighet med sina respektive ansvarsområden och med unionsrätten, samarbeta med varandra för att säkerställa sådan säkerhet.

3.   eu-Lisa ska vidta de åtgärder som är nödvändiga för att säkerställa säkerheten för routern och de API-uppgifter och andra PNR-uppgifter, särskilt uppgifter som utgör personuppgifter, som översänds via routern, inbegripet genom att upprätta, genomföra och regelbundet uppdatera en säkerhetsplan, en kontinuitetsplan och en katastrofplan för att

De åtgärder som avses i första stycket i denna punkt ska inte påverka artikel 32 i förordning (EU) 2016/679, artikel 33 i förordning (EU) 2018/1725 eller artikel 29 i direktiv (EU) 2016/680.

1.   De oberoende tillsynsmyndigheter som avses i artikel 41 i direktiv (EU) 2016/680 ska minst en gång vart fjärde år genomföra en granskning av behandlingen vid enheterna för passagerarinformation av API-uppgifter som utgör personuppgifter vid tillämpningen av denna förordning. Medlemsstaterna ska säkerställa att deras oberoende tillsynsmyndigheter har de resurser och den sakkunskap som behövs för att fullgöra de uppgifter som de anförtros enligt denna förordning.

2.   Europeiska datatillsynsmannen ska minst en gång om året genomföra en granskning av eu-Lisas behandling av API-uppgifter och andra PNR-uppgifter som utgör personuppgifter vid tillämpningen av denna förordning, i enlighet med relevanta internationella revisionsstandarder. En rapport om granskningen ska sändas till Europaparlamentet, rådet, kommissionen, medlemsstaterna och eu-Lisa. eu-Lisa ska ges tillfälle att yttra sig innan rapporterna antas.

3.   När det gäller sådan behandling som avses i punkt 2 ska eu-Lisa på begäran tillhandahålla den information som Europeiska datatillsynsmannen begär, ge tillgång till alla handlingar som Europeiska datatillsynsmannen begär och ge denne åtkomst till de loggar som avses i artikel 17.2 samt när som helst ge Europeiska datatillsynsmannen tillträde till alla sina lokaler.

1.   Medlemsstaterna ska säkerställa att deras enheter för passagerarinformation är anslutna till routern. De ska säkerställa att deras nationella system och infrastruktur för mottagande och vidarebehandling av API-uppgifter och andra PNR-uppgifter som överförts enligt med denna förordning integreras med routern.

Medlemsstaterna ska säkerställa att anslutningen till routern och integreringen med den gör det möjligt för deras enheter för passagerarinformation att ta emot och behandla de API-uppgifterna och andra PNR-uppgifter samt att utbyta relaterad kommunikation på ett lagligt, säkert, ändamålsenligt och snabbt sätt.

2.   Kommissionen ska anta genomförandeakter som fastställer nödvändiga närmare regler om de anslutningar till och den integrering med routern som avses i punkt 1 i denna artikel, inbegripet när det gäller krav på datasäkerhet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 42.2.

1.   Lufttrafikföretagen ska säkerställa att de är anslutna till routern. De ska säkerställa att deras system och infrastruktur för överföring av API-uppgifter och andra PNR-uppgifter till routern enligt denna förordning integreras med routern.

Lufttrafikföretagen ska säkerställa att anslutningen till routern och integreringen med den gör det möjligt för dem att överföra de API-uppgifterna och andra PNR-uppgifter samt att utbyta relaterad kommunikation på ett lagligt, säkert, ändamålsenligt och snabbt sätt. I detta syfte ska lufttrafikföretagen genomföra tester av överföringen av API-uppgifter och andra PNR-uppgifter till routern i samarbete med eu-Lisa i enlighet med artikel 27.3.

2.   Kommissionen ska anta genomförandeakter som fastställer nödvändiga närmare regler om de anslutningar till och den integrering med routern som avses i punkt 1 i denna artikel, inbegripet när det gäller krav på datasäkerhet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 42.2.

1.   eu-Lisa ska ansvara för utformningen av routerns fysiska arkitektur, inbegripet fastställandet av dess tekniska specifikationer.

2.   eu-Lisa ska ansvara för utvecklingen av routern, inbegripet eventuella tekniska anpassningar som behövs för routerns drift.

Utvecklingen av routern ska bestå i att utarbeta och genomföra de tekniska specifikationerna, testningen och den övergripande projektledningen och samordningen av utvecklingsfasen.

3.   eu-Lisa ska säkerställa att routern utformas och utvecklas på ett sådant sätt att den har de funktioner som anges i denna förordning och att routern tas i drift så snart som möjligt efter det att kommissionen antagit de delegerade akter som föreskrivs i artiklarna 4.12, 5.3 och 7.2, de genomförandeakter som föreskrivs i artiklarna 11.5, 12.4, 23.2 och 24.2 i denna förordning och de genomförandeakter som föreskrivs i artikel 16.3 i direktiv (EU) 2016/681, och efter genomförandet av en konsekvensbedömning avseende dataskydd i enlighet med artikel 35 i förordning (EU) 2016/679.

4.   eu-Lisa ska tillhandahålla enheterna för passagerarinformation, andra berörda myndigheter i medlemsstaterna och lufttrafikföretagen tester för provning avseende överensstämmelse. Testerna för överensstämmelse ska omfatta en testmiljö, en simulator, testdataset och en testplan. Testerna för överensstämmelse ska möjliggöra övergripande tester av routern som avses i punkterna 5 och 6, och de ska förbli tillgängliga efter det att provningen har slutförts.

5.   När eu-Lisa anser att utvecklingsfasen har slutförts när det gäller API-uppgifter ska eu-Lisa utan oskäligt dröjsmål genomföra en övergripandetest av routern i samarbete med enheterna för passagerarinformation och andra berörda myndigheter i medlemsstaterna och lufttrafikföretag och informera kommissionen om resultatet av den testen.

6.   När eu-Lisa anser att utvecklingsfasen har slutförts när det gäller andra PNR-uppgifter ska eu-Lisa utan oskäligt dröjsmål genomföra övergripande tester av routern för att säkerställa funktionssäkerheten i dess anslutningar till lufttrafikföretag och enheter för passagerarinformation, nödvändigt standardiserat översändande av andra PNR-uppgifter från lufttrafikföretagen och överföring och översändande av andra PNR-uppgifter i enlighet med artikel 16 i direktiv (EU) 2016/681, inbegripet användningen av de gemensamma protokoll och understödda standardiserade dataformat som avses i artikel 16.2 och 16.3 i det direktivet för att säkerställa läsbarheten för andra PNR-uppgifter. Sådana tester ska genomföras i samarbete med enheterna för passagerarinformation och andra berörda myndigheter i medlemsstaterna och lufttrafikföretag. eu-Lisa ska informera kommissionen om resultatet av dessa tester.

1.   eu-Lisa ska hysa routern i sina tekniska anläggningar.

2.   eu-Lisa ska ansvara för den tekniska förvaltningen av routern, inbegripet dess underhåll och tekniska utveckling, på ett sådant sätt att det säkerställs att API-uppgifterna och andra PNR-uppgifter översänds på ett säkert, ändamålsenligt och snabbt sätt via routern, i enlighet med denna förordning.

Den tekniska förvaltningen av routern ska bestå i att utföra alla uppgifter och införa alla tekniska lösningar som är nödvändiga för att routern ska fungera korrekt i enlighet med denna förordning, oavbrutet dygnet runt alla dagar i veckan. Den ska omfatta det underhållsarbete och den tekniska utveckling som är nödvändig för att säkerställa att routern fungerar med tillfredsställande teknisk kvalitet, särskilt när det gäller tillgänglighet, korrekthet och funktionssäkerhet i översändandet av API-uppgifter och andra PNR-uppgifter, i enlighet med de tekniska specifikationerna och i möjligaste mån i enlighet med de operativa behoven hos enheter för passagerarinformation och lufttrafikföretag.

3.   eu-Lisas anställda ska inte ha åtkomst till några av de API-uppgifter eller andra PNR-uppgifter som översänds via routern. Detta förbud ska dock inte hindra eu-Lisas anställda från att få sådan åtkomst i den mån det är absolut nödvändigt för underhåll och teknisk förvaltning av routern.

4.   Utan att det påverkar tillämpningen av punkt 3 i denna artikel och artikel 17 i tjänsteföreskrifterna för tjänstemän i Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (22), ska eu-Lisa tillämpa lämpliga regler om tystnadsplikt eller andra likvärdiga sekretesskrav på sina anställda som arbetar med API-uppgifter och andra PNR-uppgifter som översänds via routern. Denna skyldighet ska vara tillämplig även efter det att de anställda i fråga lämnat sin tjänst eller anställning eller efter det att deras uppdrag har avslutats.

1.   eu-Lisa ska på begäran av enheterna för passagerarinformation, andra berörda myndigheter i medlemsstaterna eller lufttrafikföretagen tillhandahålla dessa utbildningar om den tekniska användningen av routern och om anslutningen till och integreringen med routern.

2.   eu-Lisa ska ge stöd till enheter för passagerarinformation när det gäller mottagandet av API-uppgifter och andra PNR-uppgifter via routern enligt denna förordning, särskilt när det gäller tillämpningen av artiklarna 12 och 23.

3.   I enlighet med artikel 24.1 och med hjälp av de tester för överensstämmelse som avses i artikel 25.4 ska eu-Lisa i samarbete med lufttrafikföretagen genomföra tester av överföringen av API-uppgifter och andra PNR-uppgifter till routern.

1.   Senast den 28 januari 2025 ska eu-Lisas styrelse inrätta en programstyrelse. Denna ska bestå av tio ledamöter, närmare bestämt

När det gäller led a ska de ledamöter som utses av eu-Lisas styrelse väljas bland dess ledamöter eller suppleanter endast från de medlemsstater på vilka denna förordning är tillämplig.

2.   Programstyrelsen ska utarbeta sin egen arbetsordning, som ska antas av eu-Lisas styrelse.

Ordförandeskapet ska innehas av en medlemsstat som är representerad i egenskap av ledamot av programstyrelsen.

3.   Programstyrelsen ska övervaka att eu-Lisa fullgör sina uppgifter i fråga om utformning och utveckling av routern i enlighet med artikel 25.

På begäran av programstyrelsen ska eu-Lisa tillhandahålla närmare och uppdaterade uppgifter om utformningen och utvecklingen av routern, inbegripet om de resurser som tilldelats av eu-Lisa.

4.   Programstyrelsen ska regelbundet – minst tre gånger per kvartal – lämna skriftliga rapporter om framstegen i utformningen och utvecklingen av routern till eu-Lisas styrelse.

5.   Programstyrelsen ska varken ha befogenhet att fatta beslut eller mandat att företräda eu-Lisas styrelse eller dess ledamöter.

6.   Programstyrelsen ska upphöra att existera den dag då denna förordning börjar tillämpas enligt artikel 45 andra stycket.

1.   Från och med den 28 januari 2025 ska den rådgivande gruppen för API-PNR, som inrättats enligt artikel 27.1 d i förordning (EU) 2018/1726, tillhandahålla eu-Lisas styrelse nödvändig sakkunskap om API-PNR, särskilt i samband med utarbetandet av dess årliga arbetsprogram och årliga verksamhetsrapport.

2.   eu-Lisa ska tillhandahålla den rådgivande gruppen för API-PNR de tekniska specifikationer och de tester för överensstämmelse – även övergångsversioner av dessa – som avses i artikel 25.1, 25.2 och 25.4, när sådana finns tillgängliga.

3.   Den rådgivande gruppen för API-PNR ska utföra följande uppgifter:

4.   Den rådgivande gruppen för API-PNR ska inte ha vare sig befogenhet att fatta beslut eller mandat att företräda eu-Lisas styrelse eller dess ledamöter.

1.   Senast den dag då denna förordning börjar tillämpas enligt artikel 45 andra stycket ska eu-Lisas styrelse inrätta en kontaktgrupp för API-PNR.

2.   Kontaktgruppen för API-PNR ska möjliggöra kommunikation mellan medlemsstaternas berörda myndigheter och lufttrafikföretagen i tekniska frågor som rör deras respektive uppgifter och skyldigheter enligt denna förordning.

3.   Kontaktgruppen för API-PNR ska bestå av företrädare för medlemsstaternas berörda myndigheter och lufttrafikföretagen, ordföranden för den rådgivande gruppen för API-PNR och eu-Lisas experter.

4.   eu-Lisas styrelse ska fastställa arbetsordningen för kontaktgruppen för API-PNR efter ett yttrande från den rådgivande gruppen för API-PNR.

5.   Om det anses nödvändigt får eu-Lisas styrelse också inrätta undergrupper till kontaktgruppen för API-PNR för att diskutera särskilda tekniska frågor som rör respektive uppgifter och skyldigheter för medlemsstaternas berörda myndigheter och lufttrafikföretagen enligt denna förordning.

6.   Kontaktgruppen för API-PNR, inbegripet dess undergrupper, ska inte ha vare sig befogenhet att fatta beslut eller mandat att företräda eu-Lisas styrelse eller dess ledamöter.

1.   Senast den dag då denna förordning börjar tillämpas enligt artikel 45 andra stycket a ska kommissionen inrätta en expertgrupp för API i enlighet med de övergripande reglerna för inrättande av kommissionens expertgrupper och deras verksamhet.

2.   Expertgruppen för API ska möjliggöra kommunikation mellan medlemsstaternas berörda myndigheter och mellan dessa och lufttrafikföretagen i policyfrågor som rör deras respektive uppgifter och skyldigheter enligt denna förordning, även när det gäller de sanktioner som avses i artikel 38.

3.   Expertgruppen för API ska ledas av kommissionen och vara sammansatt i enlighet med de övergripande reglerna för inrättande av kommissionens expertgrupper och deras verksamhet. Den ska bestå av företrädare för medlemsstaternas berörda myndigheter, företrädare för lufttrafikföretagen och eu-Lisas experter. Expertgruppen för API får när det är relevant för gruppens verksamhet bjuda in relevanta berörda parter, särskilt företrädare för Europaparlamentet, Europeiska datatillsynsmannen och de oberoende nationella tillsynsmyndigheterna, att delta i dess arbete.

4.   Expertgruppen för API ska utföra sina uppgifter i enlighet med principen om insyn. Kommissionen ska offentliggöra protokollen från mötena i expertgruppen för API och andra relevanta dokument på kommissionens webbplats.

1.   De kostnader som eu-Lisa ådrar sig i samband med inrättandet och driften av routern enligt denna förordning ska belasta unionens allmänna budget.

2.   De kostnader som medlemsstaterna ådrar sig i samband med genomförandet av denna förordning, i synnerhet deras anslutning till och integrering med routern enligt artikel 23, ska stödjas genom unionens allmänna budget, i enlighet med de regler om stödberättigande och de medfinansieringssatser som fastställs i tillämpliga unionsrättsakter.

3.   De kostnader som Europeiska datatillsynsmannen ådrar sig i samband med de uppgifter som den anförtros enligt denna förordning ska belasta unionens allmänna budget.

4.   De kostnader som oberoende nationella tillsynsmyndigheter ådrar sig i samband med de uppgifter som de anförtros enligt denna förordning ska belasta medlemsstaterna.

1.   Lufttrafikföretagen ska ha rätt att använda routern för att översända den information som avses i artikel 3.1 och 3.2 i direktiv 2004/82/EG eller andra PNR-uppgifter som samlats in i enlighet med artikel 8 i direktiv (EU) 2016/681 till en eller flera av de ansvariga enheterna för passagerarinformation, i enlighet med de direktiven, förutsatt att den berörda medlemsstaten har samtyckt till sådan användning, från och med ett lämpligt datum som fastställs av den medlemsstaten. Den medlemsstaten ska samtycka till detta först efter att ha försäkrat sig om att informationen, särskilt i fråga om anslutningen till routern för såväl den egna enheten för passagerarinformation som det berörda lufttrafikföretaget, kan översändas på ett lagligt, säkert, ändamålsenligt och snabbt sätt.

2.   Om ett lufttrafikföretag börjar använda routern i enlighet med punkt 1 i denna artikel ska det fortsätta att använda routern för att översända sådan information till den berörda medlemsstatens enhet för passagerarinformation fram till den relevanta dag då denna förordning börjar tillämpas enligt vad som avses i artikel 45 andra stycket. Denna användning ska dock avbrytas vid ett lämpligt datum som fastställs av den medlemsstaten, om medlemsstaten anser att det finns objektiva skäl som kräver detta och har underrättat lufttrafikföretaget om detta.

3.   Den berörda medlemsstaten ska

1.   Medlemsstaterna ska utse en eller flera nationella API-tillsynsmyndigheter med ansvar för att inom deras territorium övervaka lufttrafikföretagens tillämpning av bestämmelserna i denna förordning och säkerställa att dessa bestämmelser följs.

2.   Medlemsstaterna ska säkerställa att de nationella API-tillsynsmyndigheterna har alla nödvändiga medel och alla nödvändiga utrednings- och verkställighetsbefogenheter för att kunna utföra sina uppgifter enligt denna förordning, inbegripet genom att när så är lämpligt ålägga de sanktioner som avses i artikel 38. Medlemsstaterna ska säkerställa att utövandet av de befogenheter som tilldelas den nationella API-tillsynsmyndigheten omfattas av lämpliga skyddsåtgärder som är förenliga med de grundläggande rättigheter som garanteras enligt unionsrätten.

3.   Medlemsstaterna ska senast den relevanta dag då denna förordning börjar tillämpas enligt vad som avses i artikel 45 andra stycket underrätta kommissionen om namnet på och kontaktuppgifterna till de myndigheter som de utsett enligt punkt 1 i den här artikeln. De ska utan dröjsmål underrätta kommissionen om alla ändringar av dessa.

4.   Denna artikel påverkar inte befogenheterna för de tillsynsmyndigheter som avses i artikel 51 i förordning (EU) 2016/679, artikel 41 i direktiv (EU) 2016/680 och artikel 15 i direktiv (EU) 2016/681.

1.   Medlemsstaterna ska fastställa regler om sanktioner för överträdelse av bestämmelserna i denna förordning och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande.

2.   Medlemsstaterna ska till kommissionen anmäla dessa regler och åtgärder senast den dag då denna förordning börjar tillämpas enligt artikel 45 andra stycket samt utan dröjsmål eventuella ändringar som berör dem.

3.   Medlemsstaterna ska säkerställa att de nationella API-tillsynsmyndigheterna, när de beslutar huruvida en sanktion ska åläggas och när de fastställer sanktionens typ och nivå, beaktar alla relevanta omständigheter, inbegripet

4.   Medlemsstaterna ska säkerställa att en återkommande underlåtenhet att överföra API-uppgifter i enlighet med artikel 5.1 blir föremål för proportionella böter på upp till 2 % av lufttrafikföretagets totala omsättning under det föregående räkenskapsåret. Medlemsstaterna ska säkerställa att underlåtenhet att fullgöra andra skyldigheter enligt denna förordning blir föremål för proportionella sanktioner, inbegripet böter.

1.   För att stödja genomförandet och övervakningen av tillämpningen av denna förordning, och på grundval av de statistiska uppgifter som avses i punkterna 5 och 6, ska eu-Lisa varje kvartal offentliggöra statistik om routerns funktion och om lufttrafikföretagens fullgörande av skyldigheterna enligt denna förordning. Denna statistik får inte göra det möjligt att identifiera enskilda personer.

2.   För de ändamål som anges i punkt 1 ska routern automatiskt översända de uppgifter som förtecknas i punkterna 5 och 6 till CRRS.

3.   För att stödja genomförandet och övervakningen av tillämpningen av denna förordning ska eu-Lisa varje år sammanställa statistiska uppgifter i en årsrapport för det föregående året. eu-Lisa ska offentliggöra årsrapporten och översända den till Europaparlamentet, rådet, kommissionen, Europeiska datatillsynsmannen, Europeiska gräns- och kustbevakningsbyrån och de nationella API-tillsynsmyndigheter som avses i artikel 37. Årsrapporten får inte röja konfidentiella arbetsmetoder eller äventyra pågående utredningar som görs av medlemsstaternas behöriga myndigheter.

4.   På kommissionens begäran ska eu-Lisa tillhandahålla statistik till kommissionen om specifika aspekter som rör genomförandet av denna förordning samt den statistik som avses i punkt 3.

5.   CRRS ska tillhandahålla eu-Lisa följande statistiska uppgifter, som är nödvändiga för den rapportering som avses i artikel 44 och för att generera statistik i enlighet med den här artikeln, utan sådan statistik om API-uppgifter som gör det möjligt att identifiera de berörda passagerarna:

6.   CRRS ska tillhandahålla eu-Lisa följande statistiska uppgifter som är nödvändiga för den rapportering som avses i artikel 44 och för att generera statistik i enlighet med den här artikeln, utan sådan statistik om andra PNR-uppgifter som gör det möjligt att identifiera de berörda passagerarna:

7.   För den rapportering som avses i artikel 44 och för att generera statistik i enlighet med den här artikeln ska eu-Lisa lagra de uppgifter som avses i punkterna 5 och 6 i den här artikeln i CRRS. eu-Lisa ska lagra sådana uppgifter i fem år i enlighet med punkt 2, med säkerställande av att uppgifterna inte gör det möjligt att identifiera de berörda passagerarna. CRRS ska tillhandahålla vederbörligen bemyndigade anställda vid enheterna för passagerarinformation och andra berörda myndigheter i medlemsstaterna anpassade rapporter och anpassad statistik om API-uppgifter enligt punkt 5 i den här artikeln och andra PNR-uppgifter i enlighet med punkt 6 i den här artikeln, för genomförandet och övervakningen av tillämpningen av denna förordning.

8.   Användningen av de uppgifter som avses i punkterna 5 och 6 i denna artikel får inte leda till profilering av enskilda personer enligt vad som avses i artikel 11.3 i direktiv (EU) 2016/680 eller diskriminering av personer på de grunder som anges i artikel 21 i stadgan. De uppgifter som avses i punkterna 5 och 6 i den här artikeln får inte användas för att jämföras med eller matchas mot personuppgifter eller för att kombineras med personuppgifter.

9.   De förfaranden som införs av eu-Lisa i syfte att övervaka utvecklingen av och funktionen för routern som avses i artikel 39.2 i förordning (EU) 2019/818 ska inbegripa möjligheten att ta fram regelbunden statistik för att säkerställa denna övervakning.

1.   Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.   När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas. Om kommittén inte avger något yttrande, ska kommissionen inte anta utkastet till genomförandeakt och artikel 5.4 tredje stycket i förordning (EU) nr 182/2011 ska tillämpas.

1.   Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.   Den befogenhet att anta delegerade akter som avses i artiklarna 4.11, 4.12, 5.4 och 7.5 ska ges till kommissionen för en period på fem år från och med den 28 januari 2025. Kommissionen ska utarbeta en rapport om delegeringen av befogenhet senast nio månader före utgången av perioden på fem år. Delegeringen av befogenhet ska genom tyst medgivande förlängas med perioder av samma längd, såvida inte Europaparlamentet eller rådet motsätter sig en sådan förlängning senast tre månader före utgången av perioden i fråga.

Vad gäller en delegerad akt som antagits enligt artikel 4.11 får Europaparlamentet eller rådet, om de har gjort invändningar enligt punkt 6 i den här artikeln, inte motsätta sig en förlängning genom tyst medgivande enligt första stycket i denna punkt.

3.   Den delegering av befogenhet som avses i artiklarna 4.12, 5.4 och 7.5 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.   Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5.   Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

6.   En delegerad akt som antas enligt artikel 4.11, 4.12, 5.4 eller 7.5 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

1.   eu-Lisa ska säkerställa att det finns förfaranden för att övervaka utvecklingen av routern mot bakgrund av målen vad gäller planering och kostnader samt för att övervaka routerns funktion med beaktande av målen vad gäller tekniska resultat, kostnadseffektivitet, säkerhet och tjänstekvalitet.

2.   Senast den 29 januari 2026 och därefter varje år under routerns utvecklingsfas ska eu-Lisa utarbeta en rapport om hur utvecklingen av routern framskrider och lämna denna rapport till Europaparlamentet och rådet. Rapporten ska innehålla närmare uppgifter om de kostnader som har uppkommit och om eventuella risker som kan påverka de totala kostnader som ska belasta unionens allmänna budget i enlighet med artikel 32.

3.   Så snart routern tagits i drift ska eu-Lisa utarbeta en rapport med en ingående redogörelse för hur målen vad gäller framför allt planering och kostnader har uppnåtts samt skälen till eventuella avvikelser och lämna den till Europaparlamentet och rådet.

4.   Senast den 29 januari 2029 utvärdering av denna förordning, inbegripet om behovet och mervärdet av insamlingen av API-uppgifter, inbegripet en bedömning av

Vid tillämpning av första stycket e ska kommissionens rapport också behandla hur denna förordning samspelar med andra relevanta unionslagstiftningsakter, särskilt förordningarna (EG) nr 767/2008, (EU) 2017/2226 och (EU) 2018/1240 och, i syfte att bedöma de sammantagna konsekvenserna av därtill knutna rapporteringsskyldigheter för lufttrafikföretagen, ange vilka bestämmelser som skulle kunna uppdateras och förenklas, när så är lämpligt, för att begränsa bördan för lufttrafikföretagen samt överväga vilka insatser och åtgärder som skulle kunna genomföras för att minska det totala kostnadstrycket på lufttrafikföretagen.

5.   Den utvärdering som avses i punkt 4 ska också inbegripa en bedömning av nödvändigheten, proportionaliteten och ändamålsenligheten i att inkludera obligatorisk insamling och överföring av API-uppgifter om flygningar inom EU som omfattas av denna förordning.

6.   Kommissionen ska lämna utvärderingsrapporten till Europaparlamentet, rådet, Europeiska datatillsynsmannen och Europeiska unionens byrå för grundläggande rättigheter. Om så är lämpligt mot bakgrund av den utvärdering som gjorts, ska kommissionen lägga fram ett lagstiftningsförslag för Europaparlamentet och rådet i syfte att ändra denna förordning.

7.   Medlemsstaterna och lufttrafikföretagen ska på begäran tillhandahålla eu-Lisa och kommissionen den information som är nödvändig för att utarbeta de rapporter som avses i punkterna 2, 3 och 4. Medlemsstaterna ska i synnerhet tillhandahålla kvantitativ och kvalitativ information om insamlingen av API-uppgifter ur ett operativt perspektiv. Denna information får inte inbegripa personuppgifter. Medlemsstaterna får avstå från att lämna denna information om och i den utsträckning det är nödvändigt för att inte röja konfidentiella arbetsmetoder eller äventyra pågående utredningar som görs av deras enheter för passagerarinformation eller andra behöriga myndigheter. Kommissionen ska säkerställa att all konfidentiell information som lämnas skyddas på lämpligt sätt.