(Europa-Parlamentets og Rådets forordning (EU) 2025/12 af 19. december 2024 om indsamling og overførsel af forhåndsoplysninger om passagerer med henblik på at forbedre og lette ind- og udrejsekontrollen ved de ydre grænser, om ændring af forordning (EU) 2018/1726 og (EU) 2019/817 og om ophævelse af Rådets direktiv 2004/82/EF)
Med henblik på at øge og lette virkningsfuldheden og effektiviteten af ind- og udrejsekontrollen ved de ydre grænser og bekæmpe ulovlig indvandring fastsættes der ved denne forordning regler for:
a)
luftfartsselskabernes indsamling af forhåndsoplysninger om passagerer (API-oplysninger)
b)
luftfartsselskabers overførsel af API-oplysninger til routeren
c)
transmission af API-oplysninger fra routeren til de kompetente grænsemyndigheder.
Denne forordning berører ikke forordning (EU) 2016/679 og (EU) 2018/1725.
Denne forordning finder anvendelse på luftfartsselskaber, der foretager flyvninger til Unionen.
I denne forordning forstås ved:
1)
»luftfartsselskab«: et luftfartsselskab som defineret i artikel 3, nr. 1), i Europa-Parlamentets og Rådets direktiv (EU) 2016/681
2)
»ind- og udrejsekontrol«: ind- og udrejsekontrol som defineret i artikel 2, nr. 11), i forordning (EU) 2016/399
3)
»flyvninger til Unionen«: flyvninger fra enten et tredjelands eller en af denne forordning ikke omfattet medlemsstats område, som er planlagt til landing på en eller flere af denne forordning omfattede medlemsstaters område
4)
»grænseovergangssted«: grænseovergangssted som defineret i artikel 2, nr. 8), i forordning (EU) 2016/399
5)
»ruteflyvning«: en flyvning, der gennemføres i henhold til en fast tidsplan, og hvortil den brede offentlighed kan købe billet
6)
»ikkeruteflyvning«: en flyvning, der ikke gennemføres i henhold til en fast tidsplan, og som ikke nødvendigvis er en del af en regelmæssig eller planlagt rute
7)
»kompetent grænsemyndighed«: den myndighed, som er bemyndiget af en medlemsstat til at foretage ind- og udrejsekontrol, og som er udpeget og meddelt af den pågældende medlemsstat i overensstemmelse med artikel 14, stk. 2
8)
»passager«: enhver person, bortset fra tjenestegørende besætningsmedlemmer, der befordres eller skal befordres i et luftfartøj med luftfartsselskabets samtykke, idet et sådant samtykke kommer til udtryk ved, at den pågældende person er optaget på passagerlisten
9)
»forhåndsoplysninger om passagerer« eller »API-oplysninger«: de passageroplysninger og flyveoplysninger, der er omhandlet i henholdsvis artikel 4, stk. 2 og stk. 3
10)
»routeren«: den router, der er omhandlet i artikel 11 i denne forordning og i artikel 9 i forordning (EU) 2025/13
11)
»personoplysninger«: personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679
12)
»realtidsflytrafikdata«: oplysninger om indgående og udgående flytrafik i en lufthavn, der er omfattet af denne forordning.
1. Luftfartsselskaberne indsamler de API-oplysningerne om hver enkelt passager på flyvninger til Unionen, der skal overføres til routeren i overensstemmelse med artikel 6. Hvis der for en flyvning er code-sharing mellem luftfartsselskaber, er det det luftfartsselskab, der står for flyvningen, som er forpligtet til at overføre API-oplysningerne.
2. API-oplysningerne skal udelukkende bestå af følgende oplysninger for hver enkelt passager på flyvningen:
a)
efternavn og fornavn eller fornavne
b)
fødselsdato, køn og nationalitet
c)
rejsedokumentets type og nummer samt koden på tre bogstaver for det land, der har udstedt rejsedokumentet
d)
datoen for udløbet af rejsedokumentets gyldighed
e)
det nummer til identifikation af passagerlisteoplysninger, som et luftfartsselskab anvender til at lokalisere en passager i sit informationssystem (PNR-nummer)
f)
oplysninger om flysæde svarende til det sæde i luftfartøjet, som en passager er tildelt, hvis sådanne oplysninger foreligger
g)
bagagemærkenummer eller -numre og antal indtjekkede stykker bagage og deres vægt, hvis sådanne oplysninger foreligger
h)
en kode, der angiver den metode, der anvendes til at indsamle og validere de oplysninger, der er omhandlet i litra a)-d).
3. API-oplysningerne skal også udelukkende bestå af følgende flyveoplysninger for hver enkelt passagers flyvning:
a)
flyvningens identifikationsnummer eller, hvis der for flyvningen er code-sharing mellem luftfartsselskaber, flyvningens identifikationsnumre eller, hvis et sådant nummer ikke findes, andre klare og egnede midler til at identificere flyvningen
b)
i givet fald grænseovergangsstedet for indrejse på medlemsstatens område
c)
koden for ankomstlufthavnen eller, hvis flyvningen efter planen skal lande i en eller flere lufthavne inden for en eller flere medlemsstaters områder, som denne forordning finder anvendelse på, koderne for landingslufthavnene på de pågældende medlemsstaters område
d)
koden for afgangslufthavnen for flyvningen
e)
koden for lufthavnen på det første ombordstigningssted, hvis en sådan foreligger
f)
dato og afgangstidspunkt i lokal tid
g)
dato og ankomsttidspunkt i lokal tid
h)
luftfartsselskabets kontaktoplysninger
i)
det format, der anvendes til overførslen af API-oplysninger.
1. Luftfartsselskaberne indsamler API-oplysningerne i henhold til artikel 4 på en måde, der sikrer, at de API-oplysninger, de overfører i overensstemmelse med artikel 6, er nøjagtige, fuldstændige og ajourførte.
2. Luftfartsselskaberne indsamler de i artikel 4, stk. 2, litra a)-d), omhandlede API-oplysninger ved brug af automatiserede metoder til indsamling af de maskinlæsbare data i den pågældende passagers rejsedokument. De gør dette i overensstemmelse med de detaljerede tekniske krav og operationelle regler, der er omhandlet i nærværende artikels stk. 7, når sådanne regler er blevet vedtaget og finder anvendelse.
Hvis luftfartsselskaberne tilbyder en onlineindtjekningsproces, gør de det muligt for passagererne at give de API-oplysninger, der er omhandlet i artikel 4, stk. 2, litra a)-d), ved brug af automatiserede metoder under denne onlineindtjekningsproces. For passagerer, der ikke foretager indtjekning online, gør luftfartsselskaberne det muligt for dem at give disse API-oplysninger ved brug af automatiserede metoder under indtjekningen i lufthavnen ved hjælp af en selvbetjeningskiosk eller luftfartsselskabernes personale ved skranken.
Hvis anvendelsen af automatiserede metoder ikke er teknisk mulig, indsamler luftfartsselskaberne undtagelsesvis de i artikel 4, stk. 2, litra a)-d), omhandlede API-oplysninger manuelt, enten som led i onlineindtjekningsprocessen eller som led i indtjekningen i lufthavnen, på en sådan måde, at det sikres, at nærværende artikels stk. 1 overholdes.
3. Alle automatiserede metoder, som luftfartsselskaberne anvender til at indsamle API-oplysninger i henhold til denne forordning, skal være pålidelige, sikre og tidssvarende. Luftfartsselskaberne sikrer, at API-oplysningerne er krypteret, når disse oplysninger overføres fra passageren til luftfartsselskabet.
4. I overgangsperioden og ud over de automatiserede metoder, der er omhandlet i stk. 3, giver luftfartsselskaberne passagerer mulighed for at give API-oplysninger manuelt som led i onlineindtjekningsprocessen. I sådanne tilfælde anvender luftfartsselskaberne dataverifikationsteknikker for at sikre, at stk. 1 overholdes.
5. Den overgangsperiode, der er omhandlet i stk. 4, berører ikke luftfartsselskabernes ret til i lufthavnen inden ombordstigningen i luftfartøjet at verificere API-oplysninger, der indsamles som led i onlineindtjekningen, for at sikre overholdelse af stk. 1 i overensstemmelse med gældende EU-ret.
6. Kommissionen tillægges beføjelser til, fra datoen fire år efter den i artikel 34 omhandlede idriftsættelse af routeren og på grundlag af en evaluering af tilgængeligheden af og adgangen til automatiserede metoder til indsamling af API-oplysninger, at vedtage en delegeret retsakt i overensstemmelse med artikel 44 for at bringe den overgangsperiode, der er omhandlet i nærværende artikels stk. 4, til ophør.
7. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 44 for at supplere denne forordning ved at fastsætte detaljerede tekniske krav og operationelle regler for indsamling af de API-oplysninger, der er omhandlet i artikel 4, stk. 2, litra a)-d), ved brug af automatiserede metoder i overensstemmelse med nærværende artikels stk. 2 og 3, og for den manuelle indsamling af API-oplysninger under ekstraordinære omstændigheder i overensstemmelse med nærværende artikels stk. 2 og i den overgangsperiode, der er omhandlet i nærværende artikels stk. 4. Disse tekniske krav og operationelle regler skal omfatte krav til datasikkerhed og til anvendelse af de mest pålidelige automatiserede metoder til indsamling af maskinlæsbare oplysninger i et rejsedokument.
8. De luftfartsselskaber, der anvender automatiserede metoder til at indsamle de oplysninger, der er omhandlet i artikel 3, stk. 1 og 2, i direktiv 2004/82/EF, har ret til at gøre dette under anvendelse af de i stk. 7 omhandlede tekniske krav, der vedrører en sådan anvendelse, i overensstemmelse med nævnte direktiv.
1. Luftfartsselskaberne overfører de krypterede API-oplysninger til routeren elektronisk med henblik på transmission heraf til de kompetente grænsemyndigheder i overensstemmelse med artikel 14. Luftfartsselskaberne overfører API-oplysningerne i overensstemmelse med de detaljerede regler, der er omhandlet i nærværende artikels stk. 3, når sådanne regler er blevet vedtaget og finder anvendelse.
2. Luftfartsselskaberne overfører API-oplysningerne:
a)
pr. passager på indtjekningstidspunktet, men ikke tidligere end 48 timer før det planlagte afgangstidspunkt for flyvningen, og
b)
for alle ombordstegne passagerer, omgående efter flylukningen, dvs. når passagererne er gået om bord i luftfartøjet med henblik på afrejse, og det ikke længere er muligt for passagerer at gå om bord i eller forlade luftfartøjet.
3. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 44 for at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for de fælles protokoller og understøttede dataformater, der skal anvendes til krypteret overførsel af API-oplysninger til den i nærværende artikels stk. 1 omhandlede router, herunder overførsel af API-oplysninger på indtjekningstidspunktet og datasikkerhedskrav. Sådanne detaljerede regler skal sikre, at luftfartsselskaberne overfører API-oplysningerne ved brug af den samme struktur og med det samme indhold.
De kompetente grænsemyndigheder behandler API-oplysninger, de modtager i overensstemmelse med denne forordning, udelukkende med henblik på at forbedre og lette virkningsfuldheden og effektiviteten af ind- og udrejsekontrollen ved de ydre grænser og bekæmpe ulovlig indvandring.
De kompetente grænsemyndigheder må ikke behandle API-oplysninger på en sådan måde, at det fører til profilering af enkeltpersoner som omhandlet i artikel 22 i forordning (EU) 2016/679 eller forskelsbehandling af personer af de grunde, der er anført i chartrets artikel 21.
1. Luftfartsselskaberne opbevarer i en periode på 48 timer fra det tidspunkt, hvor routeren modtager de API-oplysninger, der overføres til den i overensstemmelse med artikel 6, stk. 2, litra a) og b), de API-oplysninger, som de har indsamlet i henhold til artikel 4. De sletter omgående og permanent sådanne API-oplysninger efter udløbet af denne periode, uden at dette berører luftfartsselskabernes mulighed for at opbevare og anvende oplysningerne, hvor det er nødvendigt for deres normale drift, i overensstemmelse med gældende ret og artikel 16, stk. 1 og 3.
2. De kompetente grænsemyndigheder opbevarer i en periode på 48 timer fra tidspunktet for modtagelsen, de API-oplysninger, der er transmitteret til dem i henhold til artikel 14 efter overførslen i henhold til artikel 6, stk. 2, litra a) og b). De sletter omgående og permanent sådanne API-oplysninger efter udløbet af denne periode.
I ekstraordinære tilfælde må de kompetente grænsemyndigheder opbevare API-oplysninger i en yderligere periode på op til 48 timer, men kun for så vidt som sådanne API-oplysninger vedrører passagerer, der ikke indfandt sig ved et grænseovergangssted i den periode, der er omhandlet i første afsnit.
1. Hvis et luftfartsselskab bliver opmærksom på, at oplysninger, som det opbevarer i henhold til denne forordning, er blevet behandlet ulovligt, eller ikke udgør API-oplysninger, sletter det omgående og permanent disse oplysninger. Hvis disse oplysninger er blevet overført til routeren, underretter luftfartsselskabet omgående Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA). Efter modtagelsen af en sådan underretning underretter eu-LISA omgående den kompetente grænsemyndighed, der modtog de oplysninger, som er transmitteret via routeren. Denne kompetente grænsemyndighed sletter omgående og permanent disse oplysninger.
2. Hvor et luftfartsselskab bliver opmærksom på, at de oplysninger, som det opbevarer i henhold til denne forordning, er unøjagtige, er ufuldstændige eller ikke længere er ajourførte, skal det omgående rette, fuldstændiggøre eller ajourføre disse oplysninger. Dette berører ikke luftfartsselskabernes mulighed for at opbevare og anvende oplysningerne, hvor det er nødvendigt for deres normale drift i overensstemmelse med gældende ret.
3. Hvor et luftfartsselskab efter overførslen af API-oplysninger i henhold til artikel 6, stk. 2, litra a), men inden overførslen i henhold til artikel 6, stk. 2, litra b), bliver opmærksom på, at de oplysninger, det har videregivet, er unøjagtige, overfører luftfartsselskabet omgående de rettede API-oplysninger til routeren.
4. Hvor et luftfartsselskab efter overførslen af API-oplysninger i henhold til artikel 6, stk. 2, litra a) eller b), bliver opmærksom på, at de oplysninger, det har videregivet, er unøjagtige, er ufuldstændige eller ikke længere er ajourførte, overfører luftfartsselskabet omgående de rettede, fuldstændiggjorte eller ajourførte API-oplysninger til routeren.
5. Hvor en kompetent grænsemyndighed efter transmissionen af API-oplysninger i henhold til artikel 14 bliver opmærksom på, at oplysningerne er unøjagtige, er ufuldstændige eller ikke længere er ajourførte, sletter den omgående disse oplysninger, medmindre disse oplysninger er nødvendige for at sikre overholdelse af de forpligtelser, der er fastsat i denne forordning.
6. Kommissionen tillægges beføjelser til at vedtage delegerede retsakter i overensstemmelse med artikel 44 for at supplere denne forordning ved at fastsætte de nødvendige detaljerede regler for rettelse, fuldstændiggørelse og ajourføring af API-oplysninger som omhandlet i nærværende artikel.
1. Luftfartsselskabers og kompetente myndigheders indsamling og behandling af personoplysninger i overensstemmelse med denne forordning og forordning (EU) 2025/13 må ikke føre til forskelsbehandling af personer af de grunde, der er anført i artikel 21 i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«).
2. Denne forordning respekterer fuldt ud den menneskelige værdighed og de grundlæggende rettigheder og principper, der er anerkendt i chartret, herunder retten til respekt for privatliv, asyl, beskyttelse af personoplysninger, fri bevægelighed og effektive retsmidler.
3. Der skal tages særligt hensyn til børn, ældre, personer med handicap og sårbare personer. Hensynet til barnets tarv skal komme i første række, når denne forordning gennemføres.
1. eu-LISA designer, udvikler, hoster og teknisk forvalter i overensstemmelse med artikel 25 og 26 en router med henblik på at lette luftfartsselskabernes overførsel af krypterede API-oplysninger til de kompetente grænsemyndigheder i overensstemmelse med denne forordning.
2. Routeren skal bestå af:
a)
en central infrastruktur, herunder et sæt tekniske komponenter, der gør det muligt at modtage og transmittere krypterede API-oplysninger
b)
en sikker kommunikationskanal mellem den centrale infrastruktur og de kompetente grænsemyndigheder og en sikker kommunikationskanal mellem den centrale infrastruktur og luftfartsselskaberne til overførsel og transmission af API-oplysninger og al kommunikation i forbindelse hermed
c)
en sikker kanal til modtagelse af realtidsflytrafikdata.
3. Uden at det berører denne forordnings artikel 12, deler og videreanvender routeren, hvor det er relevant og i det omfang det er teknisk muligt, de tekniske komponenter, herunder hardware- og softwarekomponenterne, i den webtjeneste, der er omhandlet i artikel 13 i forordning (EU) 2017/2226, den gateway-facilitet for transportvirksomheder, der er omhandlet i artikel 6, stk. 2, litra k), i forordning (EU) 2018/1240, og den gatewayfacilitet for transportvirksomheder, der er omhandlet i artikel 45c i forordning (EF) nr. 767/2008.
eu-LISA designer, i det omfang det er teknisk og operationelt muligt, routeren på en måde, som er sammenhængende og forenelig med de forpligtelser for luftfartsselskaber, der er fastsat i forordning (EF) nr. 767/2008, (EU) 2017/2226 og (EU) 2018/1240.
4. Routeren udtrækker automatisk oplysningerne og stiller dem i overensstemmelse med denne forordnings artikel 38 til rådighed for det centrale register for rapportering og statistik (CRRS), der er oprettet ved artikel 39 i forordning (EU) 2019/817.
5. eu-LISA designer og udvikler routeren på en sådan måde, at API-oplysningerne ved enhver overførsel fra luftfartsselskaberne til routeren i overensstemmelse med artikel 6 og ved enhver transmission af API-oplysninger fra routeren til de kompetente grænsemyndigheder i overensstemmelse med artikel 14 og til CRRS i overensstemmelse med artikel 38, stk. 2, er end-to-end-krypteret under transit.
Med henblik på denne forordning må routeren kun anvendes af:
a)
luftfartsselskaber til at overføre krypterede API-oplysninger i overensstemmelse med denne forordning
b)
de kompetente grænsemyndigheder til at modtage krypterede API-oplysninger i overensstemmelse med denne forordning.
Denne artikel berører ikke artikel 10 i forordning (EU) 2025/13.
1. Routeren skal på en automatiseret måde og på baggrund af realtidsflytrafikdata verificere, hvorvidt luftfartsselskabet har overført API-oplysningerne i overensstemmelse med artikel 6, stk. 1.
2. Routeren skal omgående og på en automatiseret måde verificere, hvorvidt de API-oplysninger, der blev overført til den i overensstemmelse med artikel 6, stk. 1, overholder de i artikel 6, stk. 3, omhandlede detaljerede regler om de understøttede dataformater.
3. Hvor den i denne artikels stk. 1 omhandlede verifikation viser, at oplysningerne ikke blev overført af luftfartsselskabet, eller hvor den i denne artikels stk. 2 omhandlede verifikation viser, at oplysningerne ikke overholder de detaljerede regler om de understøttede dataformater, underretter routeren omgående og på en automatiseret måde det pågældende luftfartsselskab og de kompetente grænsemyndigheder i de medlemsstater, som oplysningerne skulle transmitteres til i henhold til artikel 14, stk. 1. Luftfartsselskabet skal i sådanne tilfælde omgående overføre API-oplysningerne i overensstemmelse med artikel 6.
4. Kommissionen vedtager gennemførelsesretsakter, der præciserer de nærmere tekniske og proceduremæssige regler, som er nødvendige for de verifikationer og underretninger, der er omhandlet i denne artikels stk. 1-3. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 43, stk. 2.
1. Efter den i artikel 13 omhandlede dataformat- og overførselsverifikation transmitterer routeren de krypterede API-oplysninger, der er overført til den i henhold til artikel 6 eller artikel 9, stk. 3 og 4, til medlemsstatens kompetente grænsemyndigheder eller, hvis flyvningen efter planen skal lande i en eller flere lufthavne inden for en eller flere medlemsstaters områder, som denne forordning finder anvendelse på, til medlemsstaternes kompetente grænsemyndigheder, jf. artikel 4, stk. 3, litra c). Den transmitterer omgående og på en automatiseret måde disse oplysninger uden på nogen måde at ændre deres indhold og i overensstemmelse med de detaljerede regler, der er omhandlet i nærværende artikels stk. 5, når sådanne regler er blevet vedtaget og finder anvendelse.
Med henblik på en sådan transmission udarbejder og ajourfører eu-LISA en sammenligningstabel mellem de forskellige oprindelses- og bestemmelseslufthavne og de lande, som de tilhører.
2. Medlemsstaterne udpeger de kompetente grænsemyndigheder, der er bemyndiget til at modtage de API-oplysninger, der transmitteres til dem fra routeren i overensstemmelse med denne forordning. De meddeler inden denne forordnings anvendelsesdato, der er omhandlet i artikel 46, stk. 2, eu-LISA og Kommissionen navn og kontaktoplysninger på de kompetente grænsemyndigheder og orienterer om nødvendigt eu-LISA og Kommissionen om enhver ajourføring af oplysningerne.
Kommissionen udarbejder og offentliggør på grundlag af disse underretninger og ajourføringer en liste over de underrettede kompetente grænsemyndigheder, herunder deres kontaktoplysninger.
3. Medlemsstaterne sikrer, at deres kompetente grænsemyndigheder, når de modtager API-oplysninger i overensstemmelse med stk. 1, omgående og på en automatiseret måde bekræfter modtagelsen af sådanne oplysninger til routeren.
4. Medlemsstaterne sikrer, at kun behørigt bemyndigede og uddannede medarbejdere hos deres kompetente grænsemyndigheder, der er udpeget i overensstemmelse med stk. 2, har adgang til de API-oplysninger, der transmitteres til dem via routeren. De fastsætter de nødvendige regler med henblik herpå. Disse regler skal omfatte regler om oprettelse og regelmæssig ajourføring af en liste over disse medarbejdere og deres profiler.
5. Kommissionen vedtager gennemførelsesretsakter, der præciserer de detaljerede tekniske og proceduremæssige regler, der er nødvendige for den i denne artikels stk. 1 omhandlede transmission af API-oplysninger fra routeren, herunder om krav til datasikkerhed. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 43, stk. 2.
API-oplysninger, der er overført til routeren i henhold til denne forordning, må kun opbevares på routeren i det omfang, det er nødvendigt for at gennemføre transmissionen til de relevante kompetente grænsemyndigheder i overensstemmelse med denne forordning, og slettes omgående, permanent og på en automatiseret måde fra routeren, hvor det er bekræftet, i overensstemmelse med artikel 14, stk. 3, at transmissionen af API-oplysningerne til de relevante kompetente grænsemyndigheder er gennemført.
1. Hvis det er teknisk umuligt at anvende routeren til at transmittere API-oplysninger på grund af et svigt i routeren, underretter eu-LISA omgående luftfartsselskaberne og de kompetente grænsemyndigheder om denne tekniske umulighed på en automatiseret måde. I så fald træffer eu-LISA omgående foranstaltninger til at afhjælpe den tekniske umulighed af at benytte routeren og underretter omgående luftfartsselskaberne og de kompetente grænsemyndigheder, når den er blevet afhjulpet.
I perioden mellem disse underretninger finder artikel 6, stk. 1, og artikel 8, stk. 1, ikke anvendelse, for så vidt som den tekniske umulighed forhindrer overførsel af API-oplysninger til routeren. Luftfartsselskaberne opbevarer API-oplysningerne, indtil den tekniske umulighed er blevet afhjulpet. Så snart den tekniske umulighed er blevet afhjulpet, overfører luftfartsselskaberne oplysningerne til routeren i overensstemmelse med artikel 6, stk. 1.
Hvis API-oplysningerne modtages senere end 96 timer efter afgangstidspunktet som omhandlet i artikel 4, stk. 3, litra f), transmitterer routeren ikke API-oplysningerne til de kompetente grænsemyndigheder, men sletter i stedet disse oplysninger.
Hvis det er teknisk umuligt at anvende routeren, og i ekstraordinære tilfælde, der vedrører målene for denne forordning og som gør det nødvendigt for de kompetente grænsemyndigheder omgående at modtage API-oplysninger under den tekniske umulighed af at anvende routeren, kan de kompetente grænsemyndigheder anmode luftfartsselskaberne om at anvende andre passende metoder, der sikrer det nødvendige niveau af datasikkerhed, datakvalitet og databeskyttelse, til at overføre API-oplysninger direkte til de kompetente grænsemyndigheder. De kompetente grænsemyndigheder behandler de API-oplysninger, der modtages ved brug af andre passende metoder, i overensstemmelse med de regler og garantier, der er fastsat i forordning (EU) 2016/399 og gældende national ret.
Efter underretningen fra eu-LISA om, at den tekniske umulighed er blevet afhjulpet, og hvor det er bekræftet i overensstemmelse med artikel 14, stk. 3, at transmissionen af API-oplysningerne via routeren til den kompetente grænsemyndighed er blevet gennemført, sletter den relevante kompetente grænsemyndighed omgående de API-oplysninger, som den har modtaget ved brug af andre passende metoder.
2. Hvis det er teknisk umuligt at anvende routeren til at transmittere API-oplysninger på grund af et svigt i en medlemsstats systemer eller infrastruktur omhandlet i artikel 23, underretter denne medlemsstats kompetente grænsemyndigheder omgående luftfartsselskaberne, de øvrige medlemsstaters kompetente myndigheder, eu-LISA og Kommissionen om denne tekniske umulighed på en automatiseret måde. I så fald træffer denne medlemsstat omgående foranstaltninger for at afhjælpe den tekniske umulighed af at benytte routeren og underretter omgående luftfartsselskaberne og de andre medlemsstaters kompetente myndigheder, eu-LISA og Kommissionen, når den er blevet afhjulpet. Routeren opbevarer API-oplysningerne, indtil den tekniske umulighed er blevet afhjulpet. Så snart den tekniske umulighed er blevet afhjulpet, transmitterer routeren oplysningerne i overensstemmelse med artikel 14, stk. 1.
I perioden mellem disse meddelelser finder artikel 6, stk. 1, og artikel 8, stk. 1, ikke anvendelse, for så vidt som den tekniske umulighed forhindrer overførslen af API-oplysninger til routeren. Luftfartsselskaberne opbevarer API-oplysningerne, indtil den tekniske umulighed er blevet afhjulpet. Så snart den tekniske umulighed er blevet afhjulpet, overfører luftfartsselskaberne oplysningerne til routeren i overensstemmelse med artikel 6, stk. 1.
Hvis API-oplysningerne modtages senere end 96 timer efter afgangstidspunktet som omhandlet i artikel 4, stk. 3, litra f), transmitterer routeren ikke API-oplysningerne til de kompetente grænsemyndigheder, men sletter i stedet disse oplysninger.
Hvis det er teknisk umuligt at anvende routeren, og i ekstraordinære tilfælde, som vedrører målene for denne forordning og som gør det nødvendigt for de kompetente grænsemyndigheder omgående at modtage API-oplysninger under den tekniske umulighed af at anvende routeren, kan de kompetente grænsemyndigheder anmode luftfartsselskaberne om at anvende andre passende metoder, der sikrer det nødvendige niveau af datasikkerhed, datakvalitet og databeskyttelse, til at overføre API-oplysninger direkte til de kompetente grænsemyndigheder. De kompetente grænsemyndigheder behandler de API-oplysninger, der modtages ved brug af andre passende metoder, i overensstemmelse med de regler og garantier, der er fastsat i forordning (EU) 2016/399 og gældende national ret.
Efter underretningen fra eu-LISA om, at den tekniske umulighed er blevet afhjulpet, og hvis det er bekræftet i overensstemmelse med artikel 14, stk. 3, at transmissionen af API-oplysningerne via routeren til den kompetente grænsemyndighed er blevet gennemført, sletter den relevante kompetente grænsemyndighed omgående de API-oplysninger, som den har modtaget ved brug af andre passende metoder.
3. Hvis det er teknisk umuligt at anvende routeren til at overføre API-oplysninger på grund af et svigt i et luftfartsselskabs systemer eller infrastruktur omhandlet i artikel 24, underretter dette luftfartsselskab omgående de kompetente grænsemyndigheder, eu-LISA og Kommissionen om denne tekniske umulighed på en automatiseret måde. I så fald træffer dette luftfartsselskab omgående foranstaltninger til at afhjælpe den tekniske umulighed af at benytte routeren og underretter omgående eu-LISA og Kommissionen, når den er blevet afhjulpet.
I perioden mellem disse underretninger finder artikel 6, stk. 1, og artikel 8, stk. 1, ikke anvendelse, for så vidt som den tekniske umulighed forhindrer overførsel af API-oplysninger til routeren. Luftfartsselskaberne opbevarer API-oplysningerne, indtil den tekniske umulighed er blevet afhjulpet. Så snart den tekniske umulighed er blevet afhjulpet, overfører luftfartsselskaberne oplysningerne til routeren i overensstemmelse med artikel 6, stk. 1. Routeren må imidlertid ikke transmittere API-oplysningerne til de kompetente grænsemyndigheder, men sletter i stedet slette oplysningerne, hvis de modtages senere end 96 timer efter afgangstidspunktet som omhandlet i artikel 4, stk. 3, litra f).
Hvis det er teknisk umuligt at anvende routeren, og i ekstraordinære tilfælde, som vedrører målene for denne forordning og som gør det nødvendigt for de kompetente grænsemyndigheder omgående at modtage API-oplysninger under den tekniske umulighed af at anvende routeren, kan de kompetente grænsemyndigheder anmode luftfartsselskaberne om at anvende andre passende metoder, der sikrer det nødvendige niveau af datasikkerhed, datakvalitet og databeskyttelse, til at overføre API-oplysninger direkte til de kompetente grænsemyndigheder. De kompetente grænsemyndigheder behandler de API-oplysninger, der modtages ved brug af andre passende metoder, i overensstemmelse med de regler og garantier, der er fastsat i forordning (EU) 2016/399 og gældende national ret.
Efter underretningen fra eu-LISA om, at den tekniske umulighed er blevet afhjulpet, og hvis det er bekræftet i overensstemmelse med artikel 14, stk. 3, at transmissionen af API-oplysningerne via routeren til den kompetente grænsemyndighed er blevet gennemført, sletter den relevante kompetente grænsemyndighed omgående de API-oplysninger, som den har modtaget ved brug af andre passende metoder.
Når den tekniske umulighed er blevet afhjulpet, forelægger det pågældende luftfartsselskab straks den i artikel 36 omhandlede nationale API-tilsynsmyndighed en rapport med alle nødvendige oplysninger om den tekniske umulighed, herunder årsagerne til den tekniske umulighed, dens omfang og konsekvenser samt de foranstaltninger, der er truffet for at afhjælpe den.
1. Luftfartsselskaberne opretter logfiler over alle behandlingsaktiviteter vedrørende API-oplysninger i henhold til denne forordning, der foretages ved brug af de automatiserede metoder, der er omhandlet i artikel 5, stk. 2. Disse logfiler omfatter dato, klokkeslæt og sted for overførsel af API-oplysninger. Disse logfiler må ikke indeholde andre personoplysninger end de oplysninger, der er nødvendige for at identificere luftfartsselskabets relevante medarbejder.
2. eu-LISA fører logfiler over alle behandlingsaktiviteter vedrørende overførsel og transmission af API-oplysninger gennem routeren i henhold til denne forordning. Disse logfiler omfatter:
a)
det luftfartsselskab, der har overført API-oplysningerne til routeren
b)
de kompetente grænsemyndigheder, som API-oplysningerne blev transmitteret til via routeren
c)
dato og klokkeslæt for den overførsel eller transmission, der er omhandlet i litra a) og b), og stedet for denne overførsel eller transmission
d)
enhver adgang for eu-LISA's personale, der er nødvendig for vedligeholdelsen af routeren som omhandlet i artikel 26, stk. 3
e)
alle andre oplysninger vedrørende disse behandlingsaktiviteter, der er nødvendige for at overvåge API-oplysningernes sikkerhed og integritet og lovligheden af disse behandlingsaktiviteter.
Disse logfiler må ikke indeholde andre personoplysninger end de oplysninger, der er nødvendige for at identificere eu-LISA’s relevante medarbejder, jf. første afsnit, litra d).
3. De logfiler, der er omhandlet i denne artikels stk. 1 og 2, må kun anvendes til at garantere API-oplysningernes sikkerhed og integritet og lovligheden af behandlingen, navnlig for så vidt angår overholdelse af kravene i denne forordning, herunder procedurer for sanktioner for overtrædelse af disse krav i overensstemmelse med artikel 36 og 37.
4. Luftfartsselskaberne og eu-LISA træffer passende foranstaltninger til at beskytte de logfiler, de har oprettet i henhold til henholdsvis stk. 1 og stk. 2, mod uautoriseret adgang og andre sikkerhedsrisici.
5. Den nationale API-tilsynsmyndighed, der er omhandlet i artikel 36, og de kompetente grænsemyndigheder har adgang til de relevante logfiler, der er omhandlet i nærværende artikels stk. 1, hvor det er nødvendigt af hensyn til de i nærværende artikels stk. 3 omhandlede formål.
6. Luftfartsselskaberne og eu-LISA opbevarer de logfiler, som de har oprettet i henhold til henholdsvis stk. 1 og stk. 2, i en periode på ét år fra det tidspunkt, hvor disse logfiler blev oprettet. De sletter omgående og permanent disse logfiler ved udløbet af denne periode.
Hvis disse logfiler er nødvendige for procedurer til overvågning eller sikring af API-oplysningernes sikkerhed og integritet eller lovligheden af behandlingsaktiviteterne som omhandlet i stk. 3, og disse procedurer allerede er indledt på tidspunktet for udløbet af den i nærværende stykkes første afsnit omhandlede periode, opbevarer eu-LISA og luftfartsselskaberne dog disse logfiler, så længe det er nødvendigt for disse procedurer. I så fald sletter de omgående disse logfiler, når de ikke længere er nødvendige for disse procedurer.
1. Luftfartsselskaberne er dataansvarlige som omhandlet i artikel 4, nr. 7), i forordning (EU) 2016/679 for behandling af API-oplysninger, der udgør personoplysninger, i forbindelse med indsamlingen af sådanne oplysninger og overførslen heraf til routeren i henhold til nærværende forordning.
2. Hver medlemsstat udpeger en kompetent myndighed som dataansvarlig i overensstemmelse med denne artikel. Medlemsstaterne underretter Kommissionen, eu-LISA og de øvrige medlemsstater om disse myndigheder.
Alle de kompetente myndigheder, som medlemsstaterne har udpeget, er fælles dataansvarlige i overensstemmelse med artikel 26 i forordning (EU) 2016/679 med henblik på behandling af personoplysninger i routeren.
3. eu-LISA er databehandler som omhandlet i artikel 3, nr. 12), i forordning (EU) 2018/1725, for så vidt angår behandling af API-oplysninger, der udgør personoplysninger, i henhold til nærværende forordning via routeren, herunder transmission af oplysningerne fra routeren til de kompetente grænsemyndigheder og opbevaring af disse oplysninger på routeren af tekniske årsager. eu-LISA sikrer, at routeren drives i overensstemmelse med nærværende forordning.
4. Kommissionen vedtager gennemførelsesretsakter, der fastlægger de fælles dataansvarliges respektive ansvarsområder og de respektive forpligtelser mellem de fælles dataansvarlige og databehandleren. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 43, stk. 2.
I overensstemmelse med artikel 13 i forordning (EU) 2016/679 giver luftfartsselskaber passagerer på flyvninger, der er omfattet af nærværende forordning, oplysninger om formålet med indsamlingen af deres personoplysninger, typen af indsamlede personoplysninger, modtagerne af personoplysningerne og mulighederne for udøvelse af deres rettigheder som registrerede.
Disse oplysninger bør skriftligt meddeles passagererne i et lettilgængeligt format på reservationstidspunktet og på indtjekningstidspunktet, uanset hvilke metoder der anvendes til at indsamle personoplysningerne på indtjekningstidspunktet, i overensstemmelse med artikel 5.
1. eu-LISA sørger for sikkerheden og krypteringen af de API-oplysninger, navnlig API-oplysninger, der udgør personoplysninger, som det behandler i henhold til denne forordning. De kompetente grænsemyndigheder og luftfartsselskaberne sørger for sikkerheden af de API-oplysninger, navnlig API-oplysninger, der udgør personoplysninger, som de behandler i henhold til denne forordning. eu-LISA, de kompetente grænsemyndigheder og luftfartsselskaberne samarbejder i overensstemmelse med deres respektive ansvarsområder og i overensstemmelse med EU-retten med hinanden for at sørge for en sådan sikkerhed.
2. eu-LISA træffer de foranstaltninger, der er nødvendige for at sørge for sikkerheden for routeren og API-oplysningerne, navnlig API-oplysninger, der udgør personoplysninger, og som transmitteres via routeren, herunder ved at udarbejde, gennemføre og regelmæssigt ajourføre en sikkerhedsplan, en forretningskontinuitetsplan og en katastrofeberedskabsplan, med henblik på at:
a)
fysisk beskytte routeren, herunder ved at udarbejde beredskabsplaner for beskyttelse af kritiske komponenter heraf
b)
forhindre uautoriseret behandling af API-oplysningerne, herunder uautoriseret adgang hertil og kopiering, ændring eller sletning heraf, både under overførslen af API-oplysningerne til og fra routeren og under enhver opbevaring af API-oplysninger på routeren, hvor det er nødvendigt for at gennemføre transmissionen, navnlig ved hjælp af passende krypteringsteknikker
c)
sikre, at de personer, der er bemyndiget til at få adgang til routeren, kun har adgang til de oplysninger, der er omfattet af deres adgangstilladelse
d)
sikre, at det er muligt at verificere og fastslå, til hvilke kompetente grænsemyndigheder API-oplysninger transmitteres via routeren
e)
rapportere behørigt til sin bestyrelse om eventuelle fejl i funktionen af routeren
f)
overvåge virkningsfuldheden af de sikkerhedsforanstaltninger, der kræves i henhold til denne artikel og forordning (EU) 2018/1725, og vurdere og ajourføre disse sikkerhedsforanstaltninger, hvor det er nødvendigt i lyset af den teknologiske eller operationelle udvikling.
De foranstaltninger, der er omhandlet i dette stykkes første afsnit, berører ikke artikel 32 i forordning (EU) 2016/679 eller artikel 33 i forordning (EU) 2018/1725.
Luftfartsselskaberne og de kompetente grænsemyndigheder overvåger, at de overholder deres respektive forpligtelser i henhold til denne forordning, navnlig med hensyn til deres behandling af API-oplysninger, der udgør personoplysninger. For luftfartsselskaber omfatter overvågningen hyppig verifikation af de logfiler, der er omhandlet i artikel 17, stk. 1.
1. De uafhængige tilsynsmyndigheder, der er omhandlet i artikel 51 i forordning (EU) 2016/679, foretager mindst hvert fjerde år en revision af behandlingsaktiviteter for så vidt angår API-oplysninger, der udgør personoplysninger, som foretages af de kompetente grænsemyndigheder med henblik på nærværende forordning. Medlemsstaterne sikrer, at deres uafhængige tilsynsmyndigheder har tilstrækkelige ressourcer og ekspertise til at udføre de opgaver, som er tillagt dem i henhold til nærværende forordning.
2. Den Europæiske Tilsynsførende for Databeskyttelse foretager mindst én gang om året en revision af behandlingsaktiviteter for så vidt angår API-oplysninger, der udgør personoplysninger, som foretages af eu-LISA med henblik på denne forordning, i overensstemmelse med relevante internationale revisionsstandarder. En rapport om denne revision sendes til Europa-Parlamentet, Rådet, Kommissionen, medlemsstaterne og eu-LISA. eu-LISA gives lejlighed til at fremsætte bemærkninger, inden rapporterne vedtages.
3. I forbindelse med de behandlingsaktiviteter, der er omhandlet i denne artikels stk. 2, leverer eu-LISA efter anmodning de oplysninger, som Den Europæiske Tilsynsførende for Databeskyttelse anmoder om, giver Den Europæiske Tilsynsførende for Databeskyttelse adgang til alle de dokumenter, som den anmoder om, og til de logfiler, der er omhandlet i artikel 17, stk. 2, og giver Den Europæiske Tilsynsførende for Databeskyttelse adgang til alle eu-LISA's lokaler til enhver tid.
1. Medlemsstaterne sikrer, at deres kompetente grænsemyndigheder er tilsluttet routeren. De sikrer, at de kompetente grænsemyndigheders systemer og infrastruktur til modtagelse og viderebehandling af API-oplysninger, der overføres i henhold til denne forordning, er integreret med routeren.
Medlemsstaterne sikrer, at tilslutningen til routeren og integrationen med denne gør det muligt for deres kompetente grænsemyndigheder at modtage og viderebehandle API-oplysninger samt at udveksle enhver kommunikation i forbindelse hermed på en lovlig, sikker, effektiv og hurtig måde.
2. Kommissionen vedtager gennemførelsesretsakter, der fastlægger de nødvendige detaljerede regler for den i denne artikels stk. 1 omhandlede tilslutning til og integration med routeren, herunder om krav for så vidt angår datasikkerhed. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 43, stk. 2.
1. Luftfartsselskaberne sikrer, at de er tilsluttet routeren. De sikrer, at deres systemer og infrastruktur til overførsel af API-oplysninger til routeren i henhold til denne forordning er integreret med routeren.
Luftfartsselskaberne sikrer, at tilslutningen til routeren og integrationen med denne gør det muligt for dem at overføre API-oplysningerne samt udveksle al kommunikation i forbindelse hermed på en lovlig, sikker, effektiv og hurtig måde. Med henblik herpå foretager luftfartsselskaberne test af overførslen af API-oplysninger til routeren i samarbejde med eu-LISA i overensstemmelse med artikel 27, stk. 3.
2. Kommissionen vedtager gennemførelsesretsakter, der præciserer de nødvendige detaljerede regler for den i denne artikels stk. 1 omhandlede tilslutning til og integration med routeren, herunder om krav for så vidt angår datasikkerhed. Disse gennemførelsesretsakter vedtages efter undersøgelsesproceduren, jf. artikel 43, stk. 2.
1. eu-LISA er ansvarligt for design af routerens fysiske arkitektur, herunder fastlæggelse af dens tekniske specifikationer.
2. eu-LISA er ansvarligt for udvikling af routeren, herunder for eventuelle tekniske tilpasninger, der er nødvendige for routerens drift.
Udviklingen af routeren består i udarbejdelse og gennemførelse af de tekniske specifikationer, afprøvning og overordnet projektstyring og koordinering af udviklingsfasen.
3. eu-LISA sikrer, at routeren er designet og udviklet på en sådan måde, at routeren leverer de funktioner, der er specificeret i denne forordning, og at routeren idriftsættes så snart som muligt efter Kommissionens vedtagelse af de gennemførelsesretsakter og delegerede retsakter, der er omhandlet i denne forordnings artikel 5, stk. 7, artikel 6, stk. 3, artikel 9, stk. 6, artikel 23, stk. 2, og artikel 24, stk. 2, og efter udarbejdelsen af en konsekvensanalyse vedrørende databeskyttelse i overensstemmelse med artikel 35 i forordning (EU) 2016/679.
4. eu-LISA stiller en overensstemmelsestest til rådighed for de kompetente grænsemyndigheder, medlemsstaternes andre relevante myndigheder og luftfartsselskaberne. Testen omfatter et testmiljø, en simulator, testdatasæt og en testplan. Overensstemmelsestesten gør det muligt at foretage en omfattende test af routeren som omhandlet i stk. 5, og den forbliver til rådighed efter afslutningen af denne test.
5. Hvor eu-LISA vurderer, at udviklingsfasen er afsluttet, foretager det uden unødigt ophold en omfattende test af routeren i samarbejde med de kompetente grænsemyndigheder og medlemsstaternes andre relevante myndigheder og luftfartsselskaber og underretter Kommissionen om resultatet af denne test.
1. eu-LISA hoster routeren på sine tekniske lokaliteter.
2. eu-LISA er ansvarligt for den tekniske forvaltning af routeren, herunder dens vedligeholdelse og tekniske udvikling, på en sådan måde, at det sikres, at API-oplysningerne transmitteres sikkert, effektivt og hurtigt gennem routeren under overholdelse af denne forordning.
Den tekniske forvaltning af routeren består i at udføre alle de opgaver og vedtage alle de tekniske løsninger, der er nødvendige for, at routeren kan fungere korrekt i overensstemmelse med denne forordning uden afbrydelser, 24 timer i døgnet, syv dage om ugen. Den tekniske forvaltning omfatter det vedligeholdelsesarbejde og den tekniske udvikling, der er nødvendig for at sikre, at routeren fungerer på et tilfredsstillende niveau af teknisk kvalitet, navnlig med hensyn til tilgængeligheden, nøjagtigheden og pålideligheden af transmissionen af API-oplysninger, i overensstemmelse med de tekniske specifikationer og så vidt muligt i overensstemmelse med de kompetente grænsemyndigheders og luftfartsselskabers operationelle behov.
3. eu-LISA's personale har ikke adgang til nogen af de API-oplysninger, der transmitteres gennem routeren. Dette forbud udelukker dog ikke eu-LISA's personale fra at få en sådan adgang, i det omfang det er strengt nødvendigt for vedligeholdelsen og den tekniske forvaltning af routeren.
4. Uden at det berører denne artikels stk. 3 og artikel 17 i vedtægten for tjenestemænd i Den Europæiske Union, fastsat ved Rådets forordning (EØF, Euratom, EKSF) nr. 259/68 , anvender eu-LISA passende regler for tavshedspligt eller andre tilsvarende fortrolighedskrav i forbindelse med sine ansatte, der skal arbejde med API-oplysninger, der transmitteres via routeren. Denne pligt består fortsat, efter at sådanne ansatte har fratrådt deres stilling, eller deres aktiviteter er ophørt.
1. eu-LISA sørger efter anmodning fra de kompetente grænsemyndigheder, andre relevante myndigheder i medlemsstaterne eller luftfartsselskaber for uddannelse af disse i den tekniske anvendelse af routeren og i deres tilslutning til og integration med routeren.
2. eu-LISA yder støtte til de kompetente grænsemyndigheder vedrørende modtagelsen af API-oplysninger gennem routeren i henhold til denne forordning, navnlig for så vidt angår anvendelsen af artikel 14 og 23.
3. I overensstemmelse med artikel 24, stk. 1, og under anvendelse af det sæt af overensstemmelsestest, der er omhandlet i artikel 25, stk. 4, foretager eu-LISA i samarbejde med luftfartsselskaberne test af overførslen af API-oplysninger til routeren.
1. Senest den 28. januar 2025 nedsætter eu-LISA's bestyrelse et programstyringsråd. Det skal have 10 medlemmer og bestå af:
a)
syv medlemmer udpeget af eu-LISA's bestyrelse blandt dets medlemmer eller suppleanter
b)
formanden for den i artikel 29 omhandlede Rådgivende Gruppe for API-PNR
c)
et medlem af eu-LISA's personale udpeget af dets administrerende direktør, og
d)
et medlem udpeget af Kommissionen.
For så vidt angår litra a) vælges de medlemmer, der udpeges af eu-LISA's bestyrelse, kun blandt dets medlemmer eller suppleanter fra de medlemsstater, som denne forordning finder anvendelse på.
2. Programstyringsrådet udarbejder et udkast til sin forretningsorden, der skal vedtages af eu-LISA's bestyrelse.
Formandskabet varetages af en medlemsstat, der er medlem af programstyringsrådet.
3. Programstyringsrådet fører tilsyn med den effektive udførelse af eu-LISA's opgaver i forbindelse med design og udvikling af routeren i overensstemmelse med artikel 25.
eu-LISA forelægger efter anmodning fra programstyringsrådet detaljerede og ajourførte oplysninger om designet og udviklingen af routeren, herunder om de ressourcer, som eu-LISA har tildelt.
4. Programstyringsrådet forelægger regelmæssigt og mindst tre gange pr. kvartal skriftlige rapporter om fremskridtene i designet og udviklingen af routeren for eu-LISA's bestyrelse.
5. Programstyringsrådet har ingen beslutningskompetence eller noget mandat til at repræsentere eu-LISA's bestyrelse eller dens medlemmer.
6. Programstyringsrådet ophører med at eksistere på denne forordnings anvendelsesdato, der er omhandlet i artikel 46, stk. 2.
1. Fra den 28. januar 2025 yder Den Rådgivende Gruppe for API-PNR, der er nedsat i henhold til artikel 27, stk. 1, litra de), i forordning (EU) 2018/1726, eu-LISA's bestyrelse den nødvendige ekspertise vedrørende API-PNR, navnlig i forbindelse med udarbejdelsen af dets årlige arbejdsprogram og dets årlige aktivitetsrapport.
2. eu-LISA giver, når de foreligger, Den Rådgivende Gruppe for API-PNR versioner, endog overgangsversioner, af de tekniske specifikationer og de overensstemmelsestest, der er omhandlet i artikel 25, stk. 1, 2 og 4.
3. Den Rådgivende Gruppe for API-PNR varetager følgende funktioner:
a)
yder ekspertise til eu-LISA og programstyringsrådet i forbindelse med design og udvikling af routeren i overensstemmelse med artikel 25
b)
yder ekspertise til eu-LISA om hosting og teknisk forvaltning af routeren i overensstemmelse med artikel 26
c)
afgiver udtalelse til programstyringsrådet på dettes anmodning om fremskridt med hensyn til design og udvikling af routeren, herunder om fremskridt med hensyn til de tekniske specifikationer og overensstemmelsestest, der er omhandlet i stk. 2.
4. Den Rådgivende Gruppe for API-PNR har ingen beslutningskompetence eller noget mandat til at repræsentere eu-LISA's bestyrelse eller dens medlemmer.
1. Senest på denne forordnings anvendelsesdato, der er omhandlet i artikel 46, stk. 2, nedsætter eu-LISA's bestyrelse en kontaktgruppe for API-PNR.
2. Kontaktgruppen for API-PNR muliggør kommunikation mellem medlemsstaternes relevante myndigheder og luftfartsselskaber om tekniske spørgsmål vedrørende deres respektive opgaver og forpligtelser i henhold til denne forordning.
3. Kontaktgruppen for API-PNR består af repræsentanter for medlemsstaternes relevante myndigheder og luftfartsselskaber, formanden for Den Rådgivende Gruppe for API-PNR og eu-LISA's eksperter.
4. eu-LISA's bestyrelse fastsætter forretningsordenen for Kontaktgruppen for API-PNR efter udtalelse fra Den Rådgivende Gruppe for API-PNR.
5. Hvor det skønnes nødvendigt, kan eu-LISA's bestyrelse også nedsætte undergrupper under Kontaktgruppen for API-PNR for at drøfte specifikke tekniske spørgsmål vedrørende medlemsstaternes relevante myndigheders og luftfartsselskabers respektive opgaver og forpligtelser i henhold til denne forordning.
6. Kontaktgruppen for API-PNR, herunder dens undergrupper, har ingen beslutningskompetence eller noget mandat til at repræsentere eu-LISA's bestyrelse eller dens medlemmer.
1. Senest på denne forordnings anvendelsesdato, der er omhandlet i artikel 46, stk. 2, nedsætter Kommissionen en API-ekspertgruppe i overensstemmelse med de horisontale regler om oprettelse af Kommissionens ekspertgrupper og deres funktion.
2. API-ekspertgruppen muliggør kommunikation blandt medlemsstaternes relevante myndigheder og mellem medlemsstaternes relevante myndigheder og luftfartsselskaber om politiske spørgsmål vedrørende deres respektive opgaver og forpligtelser i henhold til denne forordning, herunder i forbindelse med de sanktioner, der er omhandlet i artikel 37.
3. API-ekspertgruppen ledes af Kommissionen og sammensættes i overensstemmelse med de horisontale regler for oprettelse og drift af Kommissionens ekspertgrupper. Det består af repræsentanter for medlemsstaternes relevante myndigheder, repræsentanter for luftfartsselskaber og eu-LISA's eksperter. API-ekspertgruppen kan, hvor det er relevant for udførelsen af dens opgaver, indbyde relevante interessenter, navnlig repræsentanter for Europa-Parlamentet, Den Europæiske Tilsynsførende for Databeskyttelse og de uafhængige nationale tilsynsmyndigheder, til at deltage i dens arbejde.
4. API-ekspertgruppen udfører sine opgaver i overensstemmelse med gennemsigtighedsprincippet. Kommissionen offentliggør protokollerne fra API-ekspertgruppens møder og andre relevante dokumenter på sit websted.
1. eu-LISA's omkostninger i forbindelse med oprettelse og drift af routeren i henhold til denne forordning afholdes over Unionens almindelige budget.
2. Medlemsstaternes omkostninger i forbindelse med gennemførelsen af denne forordning, navnlig deres i artikel 23 omhandlede tilslutning til og integration med routeren, støttes af Unionens almindelige budget i overensstemmelse med de regler for støtteberettigelse og de medfinansieringssatser, der er fastsat i de gældende EU-retsakter.
3. De omkostninger, som Den Europæiske Tilsynsførende for Databeskyttelse pådrager sig i forbindelse med de opgaver, den har fået pålagt i henhold til denne forordning, afholdes over Unionens almindelige budget.
4. De omkostninger, som de uafhængige nationale tilsynsmyndigheder pådrager sig i forbindelse med de opgaver, de har fået pålagt i henhold til denne forordning, afholdes af medlemsstaterne.
Hvis en medlemsstats eller et luftfartsselskabs manglende opfyldelse af sine forpligtelser i henhold til denne forordning volder skade på routeren, er denne medlemsstat eller dette luftfartsselskab ansvarlig(t) for skaden som fastsat i gældende EU-ret eller national ret, medmindre og i det omfang det påvises, at eu-LISA, en anden medlemsstat eller et andet luftfartsselskab ikke har truffet rimelige foranstaltninger til at forhindre skaden i at ske eller til at begrænse dens omfang.
Kommissionen fastsætter uden unødigt ophold datoen for routerens idriftsættelse ved hjælp af en gennemførelsesretsakt, når eu-LISA har underrettet Kommissionen om den vellykkede gennemførelse af den i artikel 25, stk. 5, omhandlede omfattende test af routeren. Denne gennemførelsesretsakt vedtages efter undersøgelsesproceduren, jf. artikel 43, stk. 2.
Kommissionen fastsætter den dato, der er omhandlet i stk. 1, til senest 30 dage fra datoen for vedtagelsen af den pågældende gennemførelsesretsakt.
1. Luftfartsselskaber har lov til at anvende routeren til at fremsende de oplysninger, der er omhandlet i artikel 3, stk. 1 og 2, i direktiv 2004/82/EF, til en eller flere af de deri omhandlede ansvarlige myndigheder i overensstemmelse med nævnte direktiv, forudsat at den pågældende medlemsstat indvilliger heri, fra en passende dato, der fastsættes af denne medlemsstat. Denne medlemsstat må først indvillige efter at have konstateret, at oplysningerne kan fremsendes på en lovlig, sikker, effektiv og hurtig måde, navnlig hvad angår både dens egne ansvarlige myndigheders og det berørte luftfartsselskabs tilslutning til routeren.
2. Hvis et luftfartsselskab begynder at benytte routeren i overensstemmelse med denne artikels stk. 1, skal det fortsætte med at anvende routeren til at fremsende disse oplysninger til den pågældende medlemsstats ansvarlige myndigheder indtil denne forordnings anvendelsesdato, der er omhandlet i artikel 46, stk. 2. Denne anvendelse ophører dog fra en passende dato, der fastsættes af denne medlemsstat, hvis denne medlemsstat finder, at der er objektive grunde til, at et sådant ophør er nødvendigt, og har underrettet luftfartsselskabet herom.
3. Den pågældende medlemsstat skal:
a)
høre eu-LISA, inden der indgås aftale om frivillig anvendelse af routeren i overensstemmelse med stk. 1
b)
medmindre der er tale om behørigt begrundede hastetilfælde, give det pågældende luftfartsselskab mulighed for at fremsætte bemærkninger til sin hensigt om at ophøre med en sådan anvendelse i overensstemmelse med stk. 2, og, hvis det er relevant, også høre eu-LISA herom
c)
omgående underrette eu-LISA og Kommissionen om enhver sådan anvendelse, som den indvilliger i, og ethvert ophør af en sådan anvendelse og give alle nødvendige oplysninger, herunder datoen for påbegyndelse af anvendelsen, datoen for ophøret og årsagerne til ophøret, alt efter hvad der er relevant.
1. Medlemsstaterne udpeger én eller flere nationale API-tilsynsmyndigheder, der er ansvarlige for at overvåge, at luftfartsselskaberne anvender denne forordnings bestemmelser på deres område, og for at sikre, at disse bestemmelser overholdes.
2. Medlemsstaterne sikrer, at de nationale API-tilsynsmyndigheder har alle de midler og alle de undersøgelses- og håndhævelsesbeføjelser, der er nødvendige til at udføre deres opgaver i henhold til denne forordning, herunder ved at pålægge de sanktioner, der er omhandlet i artikel 37, hvor det er relevant. Medlemsstaterne sikrer, at udøvelsen af de beføjelser, der er tillagt den nationale API-tilsynsmyndighed, er underlagt passende garantier i overensstemmelse med de grundlæggende rettigheder, der er sikret ved EU-retten.
3. Medlemsstaterne meddeler senest på denne forordnings anvendelsesdato, der er omhandlet artikel 46, stk. 2, Kommissionen navn og kontaktoplysninger på de myndigheder, de har udpeget i henhold til nærværende artikels stk. 1. De underretter straks Kommissionen om eventuelle senere ændringer eller tilpasninger heraf.
4. Denne artikel berører ikke de i artikel 51 i forordning (EU) 2016/679 omhandlede tilsynsmyndigheders beføjelser.
1. Medlemsstaterne fastsætter regler om sanktioner, der skal anvendes i tilfælde af overtrædelser af bestemmelserne i denne forordning, og træffer alle nødvendige foranstaltninger for at sikre, at de anvendes. Sanktionerne skal være effektive, stå i et rimeligt forhold til overtrædelsen og have afskrækkende virkning.
2. Medlemsstaterne giver senest på denne forordnings anvendelsesdato, der er omhandlet i artikel 46, stk. 2, Kommissionen meddelelse om disse regler og foranstaltninger og underretter den straks om alle senere ændringer, der berører dem.
3. Medlemsstaterne sikrer, at de nationale API-tilsynsmyndigheder, når de træffer afgørelse om, hvorvidt der skal pålægges en sanktion, og når de fastlægger sanktionernes type og omfang, tager hensyn til relevante omstændigheder, herunder:
a)
overtrædelsens art, grovhed og varighed
b)
graden af luftfartsselskabets fejl
c)
luftfartsselskabets tidligere overtrædelser
d)
det overordnede niveau af luftfartsselskabets samarbejde med de kompetente myndigheder
e)
luftfartsselskabets størrelse såsom det årlige antal befordrede passagerer
f)
hvorvidt andre nationale API-tilsynsmyndigheder tidligere har pålagt det samme luftfartsselskab sanktioner for den samme overtrædelse.
4. Medlemsstaterne sikrer, at gentagne tilfælde af manglende overførsel af API-oplysninger i overensstemmelse med artikel 6, stk. 1, medfører forholdsmæssige økonomiske sanktioner på op til 2 % af luftfartsselskabets globale omsætning for det forudgående regnskabsår. Medlemsstaterne sikrer, at manglende overholdelse af andre forpligtelser, der er fastsat i denne forordning, straffes med forholdsmæssige sanktioner, herunder økonomiske sanktioner.
1. Med henblik på at støtte gennemførelsen af, og overvågningen af anvendelsen af, denne forordning og på baggrund af de i stk. 5 omhandlede statistiske oplysninger offentliggør eu-LISA hvert kvartal statistikker over funktionen af routeren og luftfartsselskabernes overholdelse af forpligtelserne i denne forordning. Disse statistikker må ikke give mulighed for identifikation af enkeltpersoner.
2. Routeren transmitterer med henblik på stk. 1 automatisk de oplysninger, der er anført i stk. 5, til CRRS.
3. Med henblik på at støtte gennemførelsen og overvågningen af anvendelsen af denne forordning indsamler eu-LISA hvert år statistiske data i en årlig rapport for det forudgående år. eu-LISA offentliggør denne årsrapport og sender den til Europa-Parlamentet, Rådet, Kommissionen, Den Europæiske Tilsynsførende for Databeskyttelse, Det Europæiske Agentur for Grænse- og Kystbevogtning og de i artikel 36 omhandlede nationale API-tilsynsmyndigheder. Årsrapporten må ikke afsløre fortrolige arbejdsmetoder eller bringe medlemsstaternes kompetente myndigheders igangværende undersøgelser i fare.
4. Efter anmodning fra Kommissionen forelægger eu-LISA den statistikker om specifikke aspekter i forbindelse med gennemførelsen af denne forordning samt statistikkerne i henhold til stk. 3.
5. CRRS forelægger eu-LISA følgende statistiske oplysninger, der er nødvendige for den rapportering, der er omhandlet i artikel 45, og for at generere statistikker i overensstemmelse med nærværende artikel, dog uden at sådanne statistikker om API-oplysninger giver mulighed for at identificere de berørte passagerer:
a)
passagerens nationalitet, køn og fødselsår
b)
ombordstigningsdato og første ombordstigningssted, afgangsdato og -lufthavn samt ankomstdato og -lufthavn
c)
rejsedokumentets type, koden på tre bogstaver for det udstedende land og datoen for udløbet af rejsedokumentets gyldighed
d)
antallet af indtjekkede passagerer på samme flyvning
e)
koden for det luftfartsselskab, der foretager flyvningen
f)
hvorvidt flyvningen er ruteflyvning eller en ikkeruteflyvning
g)
hvorvidt API-oplysninger blev overført omgående efter flylukningen
h)
hvorvidt passagerens personoplysninger er nøjagtige, fuldstændige og ajourførte
i)
de tekniske metoder, der anvendes til at indsamle API-oplysninger.
6. Med henblik på den rapportering, der er omhandlet i artikel 45, og med henblik på at generere statistikker i overensstemmelse med nærværende artikel opbevarer eu-LISA de oplysninger, der er omhandlet i nærværende artikels stk. 5, i CRRS. Det opbevarer sådanne oplysninger i en periode på fem år i overensstemmelse med stk. 2, idet det sikres, at oplysningerne ikke giver mulighed for at identificere de berørte passagerer. CRRS forelægger det behørigt bemyndigede personale hos medlemsstaternes kompetente grænsemyndigheder og andre relevante myndigheder skræddersyede rapporter og statistikker om API-oplysninger som omhandlet i nærværende artikels stk. 5 med henblik på gennemførelsen og overvågningen af anvendelsen af denne forordning.
7. Anvendelsen af de oplysninger, der er omhandlet i denne artikels stk. 5, må ikke føre til profilering af enkeltpersoner som omhandlet i artikel 22 i forordning (EU) 2016/679 eller forskelsbehandling af personer af de grunde, der er anført i artikel 21 i chartret. De oplysninger, der er omhandlet i nærværende artikels stk. 5, må ikke anvendes til at sammenligne eller matche dem med personoplysninger eller til at kombinere dem med personoplysninger.
8. De procedurer, som eu-LISA har indført for at overvåge udviklingen og funktionen af routeren omhandlet i artikel 39, stk. 2, i forordning (EU) 2019/817, skal omfatte muligheden for at udarbejde regelmæssige statistikker for at sikre denne overvågning.
Kommissionen udarbejder og offentliggør i tæt samarbejde med medlemsstaternes kompetente myndigheder og andre relevante myndigheder, luftfartsselskaber og relevante EU-organer og -agenturer en praktisk håndbog med retningslinjer, henstillinger og bedste praksis for gennemførelsen af denne forordning, herunder vedrørende overholdelse af de grundlæggende rettigheder og vedrørende sanktioner i overensstemmelse med artikel 37.
Den praktiske håndbog tager hensyn til andre relevante håndbøger.
Kommissionen vedtager den praktiske håndbog i form af en henstilling.
Direktiv 2004/82/EF ophæves med virkning fra denne forordnings anvendelsesdato, der er omhandlet i artikel 46, stk. 2.
I forordning (EU) 2018/1726 foretages følgende ændringer:
1)
Følgende artikel indsættes: »Artikel 13a Opgaver i forbindelse med routeren I forbindelse med Europa-Parlamentets og Rådets forordning (EU) 2025/12 og (EU) 2025/13 udfører agenturet de opgaver, der vedrører routeren, og som det er blevet pålagt ved nævnte forordninger. Europa-Parlamentets og Rådets forordning (EU) 2025/12 af 19. december 2024 om indsamling og overførsel af forhåndsoplysninger om passagerer med henblik på at forbedre og lette ind- og udrejsekontrollen ved de ydre grænser, om ændring af forordning (EU) 2018/1726 og (EU) 2019/817 og om ophævelse af Rådets direktiv 2004/82/EF (EUT L, 2025/12, 8.1.2025, ELI: http://data.europa....)." Europa-Parlamentets og Rådets forordning (EU) 2025/13 af 19. december 2024 om indsamling og overførsel af forhåndsoplysninger om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818 (EUT L, 2025/13, 8.1.2025, ELI: http://data.europa....).« "
2)
Artikel 17, stk. 3, affattes således: »3. Agenturet har hjemsted i Tallinn, Estland. Opgaverne vedrørende udvikling og operationel forvaltning, jf. artikel 1, stk. 4 og 5, og artikel 3-9, 11 og 13a, udføres på det tekniske anlæg i Strasbourg, Frankrig. Der indrettes et backupanlæg, der kan sikre driften af et stort IT-system i tilfælde af et sådant systems svigt, i Sankt Johann im Pongau, Østrig.«
3)
I artikel 19, stk. 1, foretages følgende ændringer: a) Følgende litra indsættes: »eec) vedtage rapporter om status for routerens udviklingen af ind- og udrejsesystemet i henhold til artikel 45, stk. 2, i forordning (EU) 2025/12«. b) Litra ff), nr. vi), affattes således: »vi) interoperabilitetskomponenterne i henhold til artikel 78, stk. 3, i forordning (EU) 2019/817 og artikel 74, stk. 3, i forordning (EU) 2019/818 og routeren i henhold til artikel 80, stk. 5, i forordning (EU) 2024/982 og artikel 45, stk. 5, i forordning (EU) 2025/12«. c) Litra hh) affattes således: »hh) vedtage formelle bemærkninger til Den Europæiske Tilsynsførende for Databeskyttelses rapporter om denne audits i henhold til artikel 56, stk. 2, i forordning (EU) 2018/1861, artikel 42, stk. 2, i forordning (EF) nr. 767/2008, artikel 31, stk. 2, i forordning (EU) nr. 603/2013, artikel 56, stk. 2, i forordning (EU) 2017/2226, artikel 67 i forordning (EU) 2018/1240, artikel 29, stk. 2, i forordning (EU) 2019/816, artikel 52 i forordning (EU) 2019/817 og (EU) 2019/818, artikel 58, stk. 1, i forordning (EU) 2024/982 og artikel 22, stk. 3, i forordning (EU) 2025/12 og sikre passende opfølgning på disse audits«.
4)
I artikel 27, stk. 1, indsættes følgende litra: »de) Den Rådgivende Gruppe for API-PNR.«
Artikel 39, stk. 1 og 2, i forordning (EU) 2019/817 affattes således:
»1. Der oprettes et centralt register for rapportering og statistik (CRRS) med henblik på at støtte målene for ind- og udrejsesystemet, VIS, ETIAS og SIS i overensstemmelse med de respektive retlige instrumenter, der regulerer disse systemer, og til at tilvejebringe statistiske oplysninger og analytisk rapportering på tværs af systemerne til politiske, operationelle og datakvalitetsmæssige formål. CRRS støtter også målene for Europa-Parlamentets og Rådets forordning (EU) 2025/12.
2. eu-LISA opretter, gennemfører og hoster CRRS på sine tekniske anlæg, indeholdende de oplysninger og statistikker, der er omhandlet i artikel 63 i forordning (EU) 2017/2226, artikel 17 i forordning (EF) nr. 767/2008, artikel 84 i forordning (EU) 2018/1240, artikel 60 i forordning (EU) 2018/1861 og artikel 16 i forordning (EU) 2018/1860, logisk adskilt efter EU-informationssystem. eu-LISA indsamler også de data og statistikker fra routeren, der er omhandlet i artikel 38, stk. 1, i forordning (EU) 2025/12. Der gives adgang til CRRS via en kontrolleret og sikret adgang og specifikke brugerprofiler, udelukkende med henblik på indberetning og statistikker, til de myndigheder, der er omhandlet i artikel 63 i forordning (EU) 2017/2226, artikel 17 i forordning (EF) nr. 767/2008, artikel 84 i forordning (EU) 2018/1240, artikel 60 i forordning (EU) 2018/1861 og artikel 45, stk. 2, i forordning (EU) 2025/12.
1. Kommissionen bistås af et udvalg. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.
2. Når der henvises til dette stykke, finder artikel 5 i forordning (EU) nr. 182/2011 anvendelse. Afgiver udvalget ikke nogen udtalelse, vedtager Kommissionen ikke udkastet til gennemførelsesretsakt, og artikel 5, stk. 4, tredje afsnit, i forordning (EU) nr. 182/2011 finder anvendelse.
1. Beføjelsen til at vedtage delegerede retsakter tillægges Kommissionen på de i denne artikel fastlagte betingelser.
2. Beføjelsen til at vedtage delegerede retsakter, jf. artikel 5, stk. 6 og 7, artikel 6, stk. 3, og artikel 9, stk. 6, tillægges Kommissionen for en periode på fem år fra den 28. januar 2025. Kommissionen udarbejder en rapport vedrørende delegationen af beføjelser senest ni måneder inden udløbet af femårsperioden. Delegationen af beføjelser forlænges stiltiende for perioder af samme varighed, medmindre Europa-Parlamentet eller Rådet modsætter sig en sådan forlængelse senest tre måneder inden udløbet af hver periode.
For så vidt angår en delegeret retsakt vedtaget i henhold til artikel 5, stk. 6, må Europa-Parlamentet eller Rådet ikke, hvis Europa-Parlamentet eller Rådet har gjort indsigelse i henhold til nærværende artikels stk. 6, modsætte sig den stiltiende forlængelse, der er omhandlet i nærværende stykkes første afsnit.
3. Den i artikel 5, stk. 7, artikel 6, stk. 3, og artikel 9, stk. 6, omhandlede delegation af beføjelser kan til enhver tid tilbagekaldes af Europa-Parlamentet eller Rådet. En afgørelse om tilbagekaldelse bringer delegationen af de beføjelser, der er angivet i den pågældende afgørelse, til ophør. Den får virkning dagen efter offentliggørelsen af afgørelsen i Den Europæiske Unions Tidende eller på et senere tidspunkt, der angives i afgørelsen. Den berører ikke gyldigheden af delegerede retsakter, der allerede er i kraft.
4. Inden vedtagelsen af en delegeret retsakt hører Kommissionen eksperter, som er udpeget af hver enkelt medlemsstat, i overensstemmelse med principperne i den interinstitutionelle aftale af 13. april 2016 om bedre lovgivning.
5. Så snart Kommissionen vedtager en delegeret retsakt, giver den samtidigt Europa-Parlamentet og Rådet meddelelse herom.
6. En delegeret retsakt vedtaget i henhold til artikel 5, stk. 6 eller 7, artikel 6, stk. 3, eller artikel 9, stk. 6, træder kun i kraft, hvis hverken Europa-Parlamentet eller Rådet har gjort indsigelse inden for en frist på to måneder fra meddelelsen af den pågældende retsakt til Europa-Parlamentet og Rådet, eller hvis Europa-Parlamentet og Rådet inden udløbet af denne frist begge har underrettet Kommissionen om, at de ikke agter at gøre indsigelse. Fristen forlænges med to måneder på Europa-Parlamentets eller Rådets initiativ.
1. eu-LISA sikrer, at der er indført procedurer til at overvåge udviklingen af routeren i lyset af mål vedrørende planlægning og omkostninger og til at overvåge funktionen af routeren i lyset af målene for tekniske resultater, omkostningseffektivitet, sikkerhed og tjenestekvalitet.
2. Senest den 29. januar 2026 og derefter hvert år i routerens udviklingsfase udarbejder eu-LISA en rapport om status for routerens udvikling og forelægger Europa-Parlamentet og Rådet denne rapport. Rapporten skal indeholde detaljerede oplysninger om de afholdte omkostninger og om eventuelle risici, der måtte have indvirkning på de samlede omkostninger, som skal afholdes over Unionens almindelige budget i overensstemmelse med artikel 32.
3. Når routeren er sat i drift, udarbejder eu-LISA en rapport, som i detaljer forklarer, hvordan målene, navnlig vedrørende planlægning og omkostninger, er blevet opfyldt, og angiver grundene til eventuelle afvigelser, og forelægger den for Europa-Parlamentet og Rådet.
4. Senest den 29. januar 2029 og derefter hvert fjerde år forelægger Kommissionen en rapport indeholdende en generel evaluering af denne forordning, herunder om nødvendigheden af og merværdien ved at indsamle API-oplysninger, herunder en vurdering af:
a)
anvendelsen af denne forordning
b)
i hvilket omfang denne forordning har opfyldt sine mål
c)
denne forordnings indvirkning på grundlæggende rettigheder, der er beskyttet i henhold til EU-retten
d)
denne forordnings indvirkning på legitime passagerers rejseoplevelse
e)
denne forordnings indvirkning på luftfartssektorens konkurrenceevne og den byrde, der pålægges virksomheder
f)
kvaliteten af de oplysninger, som routeren transmitterer til de kompetente grænsemyndigheder
g)
routerens præstation for så vidt angår de kompetente grænsemyndigheder.
Med henblik på første afsnits litra e) skal Kommissionens rapport også omhandle denne forordnings samspil med andre relevante EU-retsakter, navnlig forordning (EF) nr. 767/2008, (EU) 2017/2226 og (EU) 2018/1240, med henblik på at vurdere den samlede indvirkning af de dermed forbundne indberetningsforpligtelser for luftfartsselskaberne, identificere bestemmelser, der, hvor det er hensigtsmæssigt, kunne ajourføres og forenkles for at mindske byrden for luftfartsselskaberne, og overveje tiltag og foranstaltninger, der kunne iværksættes for at mindske det samlede omkostningspres på luftfartsselskaberne.
5. Kommissionen forelægger evalueringsrapporten for Europa-Parlamentet, Rådet, Den Europæiske Tilsynsførende for Databeskyttelse og Det Europæiske Agentur for Grundlæggende Rettigheder. Hvis det i lyset af den evaluering, der er foretaget, er hensigtsmæssigt, fremsætter Kommissionen for Europa-Parlamentet og Rådet et forslag til en lovgivningsmæssig retsakt med henblik på at ændre denne forordning.
6. Medlemsstaterne og luftfartsselskaberne giver efter anmodning eu-LISA og Kommissionen de oplysninger, der er nødvendige for at udarbejde de i stk. 2, 3 og 4 omhandlede rapporter, såsom oplysninger vedrørende resultaterne af den forudgående kontrol af EU-informationssystemer og nationale databaser, der foretages ved de ydre grænser ved hjælp af API-oplysninger. Medlemsstaterne giver navnlig kvantitative og kvalitative oplysninger om indsamlingen af API-oplysninger ud fra et operationelt perspektiv. Disse oplysninger må ikke omfatte personoplysninger. Medlemsstaterne kan undlade at give sådanne oplysninger, hvis og i det omfang det er nødvendigt for ikke at afsløre fortrolige arbejdsmetoder eller bringe de kompetente grænsemyndigheders igangværende undersøgelser i fare. Kommissionen sikrer, at alle fortrolige oplysninger beskyttes på passende vis.
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Den finder anvendelse fra datoen to år efter den dato, hvor routeren idriftsættes, som fastsat af Kommissionen i overensstemmelse med artikel 34.
Dog finder:
a)
artikel 5, stk. 7 og 8, artikel 6, stk. 3, artikel 9, stk. 6, artikel 13, stk. 4, artikel 14, stk. 5, artikel 18, stk. 4, artikel 23, stk. 2, artikel 24, stk. 2, artikel 25, 28 og 29, artikel 32, stk. 1, og artikel 34, 43 og 44 anvendelse fra den 28. januar 2025
b)
artikel 5, stk. 6, artikel 12 og 15, artikel 17, stk. 1, 3 og 4, artikel 18, stk. 1, 2 og 3, og artikel 19, 20, 26, 27, 33 og 35 anvendelse fra den dato, hvor routeren påbegynder driften, som fastsat af Kommissionen i overensstemmelse med artikel 34.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i medlemsstaterne i overensstemmelse med traktaterne.
Udfærdiget i Bruxelles, den 19. december 2024.
EUT C 228 af 29.6.2023, s. 97.
Europa-Parlamentets holdning af 25.4.2024 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 12.12.2024.
Europa-Parlamentets og Rådets forordning (EU) 2016/399 af 9. marts 2016 om en EU-kodeks for personers grænsepassage (Schengengrænsekodeks) (EUT L 77 af 23.3.2016, s. 1).
Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (EUT L 261 af 6.8.2004, s. 24).
Europa-Parlamentets og Rådets forordning (EU) 2019/1157 af 20. juni 2019 om styrkelse af sikkerheden af unionsborgeres identitetskort og af opholdsdokumenter, der udstedes til unionsborgere og deres familiemedlemmer, som udøver deres ret til fri bevægelighed (EUT L 188 af 12.7.2019, s. 67).
Rådets forordning (EF) nr. 2252/2004 af 13. december 2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder (EUT L 385 af 29.12.2004, s. 1).
Rådets direktiv (EU) 2019/997 af 18. juni 2019 om indførelse af et EU-nødpas og om ophævelse af afgørelse 96/409/FUSP (EUT L 163 af 20.6.2019, s. 1).
Europa-Parlamentets og Rådets forordning (EF) nr. 1107/2006 af 5. juli 2006 om handicappede og bevægelseshæmmede personers rettigheder, når de rejser med fly (EUT L 204 af 26.7.2006, s. 1).
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
Europa-Parlamentets og Rådets forordning (EU) 2025/13 af 19. december 2024 om indsamling og overførsel af forhåndsoplysninger om passagerer med henblik på at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet, og om ændring af forordning (EU) 2019/818 (EUT L, 2025/13, 8.1.2025, ELI: http://data.europa....).
Europa-Parlamentets og Rådets forordning (EU) 2017/2226 af 30. november 2017 om oprettelse af et ind- og udrejsesystem til registrering af ind- og udrejseoplysninger og oplysninger om nægtelse af indrejse vedrørende tredjelandsstatsborgere, der passerer medlemsstaternes ydre grænser, om fastlæggelse af betingelserne for adgang til ind- og udrejsesystemet til retshåndhævelsesformål og om ændring af konventionen om gennemførelse af Schengenaftalen og forordning (EF) nr. 767/2008 og (EU) nr. 1077/2011 (EUT L 327 af 9.12.2017, s. 20).
Europa-Parlamentets og Rådets forordning (EU) 2018/1240 af 12. september 2018 om oprettelse af et europæisk system vedrørende rejseinformation og rejsetilladelse (ETIAS) og om ændring af forordning (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399 (EU) 2016/1624 og (EU) 2017/2226 (EUT L 236 af 19.9.2018, s. 1).
Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008 af 9. juli 2008 om visuminformationssystemet (VIS) og udveksling af oplysninger mellem medlemsstaterne om visa til kortvarigt ophold, visa til længerevarende ophold og opholdstilladelser (VIS-forordningen) (EUT L 218 af 13.8.2008, s. 60).
Europa-Parlamentets og Rådets forordning (EU) 2018/1726 af 14. november 2018 om Den Europæiske Unions Agentur for den Operationelle Forvaltning af Store IT-Systemer inden for Området med Frihed, Sikkerhed og Retfærdighed (eu-LISA) og om ændring af forordning (EF) nr. 1987/2006 og Rådets afgørelse 2007/533/RIA og om ophævelse af forordning (EU) nr. 1077/2011 (EUT L 295 af 21.11.2018, s. 99).
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).
Europa-Parlamentets og Rådets forordning (EU) 2019/817 af 20. maj 2019 om fastsættelse af en ramme for interoperabilitet mellem EU-informationssystemer vedrørende grænser og visum og om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 og (EU) 2018/1861, Rådets beslutning 2004/512/EF og Rådets afgørelse 2008/633/RIA (EUT L 135 af 22.5.2019, s. 27).
Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
Rådets afgørelse 2002/192/EF af 28. februar 2002 om anmodningen fra Irland om at deltage i visse bestemmelser i Schengen-reglerne (EFT L 64 af 7.3.2002, s. 20).
EFT L 176 af 10.7.1999, s. 36.
Rådets afgørelse 1999/437/EF af 17. maj 1999 om visse gennemførelsesbestemmelser til den aftale, som Rådet for Den Europæiske Union har indgået med Republikken Island og Kongeriget Norge om disse to staters associering i gennemførelsen, anvendelsen og den videre udvikling af Schengen-reglerne (EFT L 176 af 10.7.1999, s. 31).
Rådets afgørelse 2008/146/EF af 28. januar 2008 om indgåelse, på Det Europæiske Fællesskabs vegne, af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne (EUT L 53 af 27.2.2008, s. 1).
EUT L 160 af 18.6.2011, s. 21.
Rådets afgørelse 2011/350/EU af 7. marts 2011 om indgåelse, på Den Europæiske Unions vegne, af protokollen mellem Den Europæiske Union, Det Europæiske Fællesskab, Det Schweiziske Forbund og Fyrstendømmet Liechtenstein om Fyrstendømmet Liechtensteins tiltrædelse af aftalen mellem Den Europæiske Union, Det Europæiske Fællesskab og Det Schweiziske Forbund om Det Schweiziske Forbunds associering i gennemførelsen, anvendelsen og udviklingen af Schengenreglerne, navnlig for så vidt angår afskaffelsen af kontrollen ved de indre grænser og personbevægelser (EUT L 160 af 18.6.2011, s. 19).
Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (EUT L 119 af 4.5.2016, s. 132).
ELI: data.europa.eu/eli/reg/2025/12/oj
ISSN 1977-0634 (electronic edition)
