CELEX:32025R0013: Regulamentul (UE) 2025/13 al Parlamentului European și al Consiliului din 19 decembrie 2024 privind colectarea și transferul de informații prealabile referitoare la pasageri în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave și de modificare a Regulamentului (UE) 2019/818
|
Redacția Lex24 |
| Publicat in Repertoriu EUR-Lex, 28/01/2025 |
| |
Informatii
Data documentului: 19/12/2024; data semnăriiData intrării în vigoare: 28/01/2025; Punere în aplicare Punere în aplicare parțială a se vedea articolul 45
Data încetării: No end date
Emitent: Parlamentul European, Consiliul Uniunii Europene
Formă: Repertoriu EUR-Lex
 |
Jurnalul Ofícial |
RO Seria L |
|
2025/13 |
8.1.2025 |
REGULAMENTUL (UE) 2025/13 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI
din 19 decembrie 2024
privind colectarea și transferul de informații prealabile referitoare la pasageri în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave și de modificare a Regulamentului (UE) 2019/818
PARLAMENTUL EUROPEAN ȘI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcționarea Uniunii Europene, în special articolul 82 alineatul (1) litera (d) și articolul 87 alineatul (2) litera (a),
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naționale,
având în vedere avizul Comitetului Economic și Social European (1),
hotărând în conformitate cu procedura legislativă ordinară (2),
întrucât:
|
(1) |
Dimensiunea transnațională a formelor grave de criminalitate și a criminalității organizate și amenințarea continuă a atacurilor teroriste pe teritoriul european necesită o acțiune la nivelul Uniunii în vederea adoptării unor măsuri adecvate pentru a asigura securitatea într-un spațiu de libertate, securitate și justiție fără frontiere interne. Informațiile privind pasagerii, cum ar fi registrele cu numele pasagerilor (PNR) și, în special, informațiile prealabile referitoare la pasageri (advance passenger information – API), sunt esențiale pentru identificarea pasagerilor care prezintă un risc ridicat, inclusiv a celor care nu sunt cunoscuți în alt mod de autoritățile de aplicare a legii, și pentru determinarea legăturilor dintre membrii grupurilor infracționale, precum și pentru combaterea activităților de terorism. |
|
(2) |
Directiva 2004/82/CE a Consiliului (3) stabilește un cadru juridic pentru colectarea și transferul datelor API de către transportatorii aerieni, cu scopul de a îmbunătăți verificările la frontiere și de a combate imigrația ilegală, și totodată prevede că statele membre au posibilitatea de a utiliza datele API în scopul asigurării respectării legii. Cu toate acestea, doar crearea unei astfel de posibilități generează o serie de lacune și deficiențe. În special, aceasta înseamnă că datele API nu sunt colectate și transferate în mod sistematic de către transportatorii aerieni în scopuri de aplicare a legii. Posibilitatea de a utiliza datele API în scopuri de aplicare a legii înseamnă, de asemenea, că, în cazul în care statele membre au acționat cu privire la această posibilitate, transportatorii aerieni se confruntă cu cerințe divergente în temeiul dreptului intern în ceea ce privește momentul și modul de colectare și de transfer al datelor API în aceste scopuri. Pe lângă faptul că generează costuri și complicații inutile pentru transportatorii aerieni, divergențele respective afectează deopotrivă securitatea internă a Uniunii și cooperarea eficace dintre autoritățile competente de aplicare a legii din statele membre. În plus, având în vedere natura diferită a scopurilor de facilitare a verificărilor la frontiere și de asigurare a respectării legii, este oportun să se stabilească un cadru juridic distinct pentru colectarea și transferul datelor API pentru fiecare dintre aceste scopuri. |
|
(3) |
Directiva (UE) 2016/681 a Parlamentului European și a Consiliului (4) stabilește norme privind utilizarea datelor din PNR pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave. În temeiul directivei menționate, statele membre trebuie să adopte măsurile necesare pentru a se asigura că transportatorii aerieni transferă datele din PNR, inclusiv datele API colectate, către unitatea națională de informații despre pasageri (UIP) constituită în temeiul directivei menționate, în măsura în care aceștia au colectat deja astfel de date în cadrul activităților lor obișnuite. În consecință, directiva menționată nu asigură colectarea și transferul datelor API în toate cazurile, întrucât transportatorii aerieni nu au niciun motiv comercial să colecteze un set complet de astfel de date. Este important să se asigure faptul că UIP primesc date API împreună cu date din PNR, deoarece prelucrarea în comun a acestor date este necesară pentru ca autoritățile competente din statele membre să fie în măsură să prevină, să depisteze, să investigheze și să urmărească penal în mod eficace infracțiunile de terorism și infracțiunile grave. În special, o astfel de prelucrare în comun permite identificarea exactă a pasagerilor cu privire la care ar putea fi necesară efectuarea unor verificări suplimentare, în conformitate cu dreptul aplicabil, de către autoritățile respective. În plus, directiva menționată nu precizează în detaliu informațiile care constituie date API. Din aceste motive, ar trebui să fie stabilite norme suplimentare care să impună transportatorilor aerieni să colecteze și, ulterior, să transfere un set de date API definit în mod specific, cerințele care ar trebui să se aplice în măsura în care transportatorilor aerieni le revine obligația, în temeiul directivei menționate, să colecteze și să transfere date din PNR cu privire la același zbor. |
|
(4) |
Prin urmare, este necesar să se stabilească norme clare, armonizate și eficace la nivelul Uniunii privind colectarea și transferul datelor API în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave. |
|
(5) |
Având în vedere legătura strânsă dintre cele două acte, prezentul regulament ar trebui să fie înțeles ca o completare a normelor prevăzute în Directiva (UE) 2016/681, astfel cum au fost interpretate de Curtea de Justiție a Uniunii Europene (CJUE). Prin urmare, datele API trebuie să fie colectate și transferate în temeiul prezentului regulament numai în conformitate cu cerințele specifice prevăzute de acesta, inclusiv în ceea ce privește situațiile și modul în care trebuie să se facă acest lucru. Cu toate acestea, normele prevăzute de directiva menționată se aplică în ceea ce privește aspectele care nu sunt reglementate în mod specific de prezentul regulament, în special cu privire la normele privind prelucrarea ulterioară a datelor API primite de UIP, schimbul de informații între statele membre, condițiile de acces al Agenției Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol), transferurile către țări terțe, păstrarea și depersonalizarea, precum și protecția datelor cu caracter personal. În măsura în care se aplică normele respective, se aplică, de asemenea, normele directivei menționate în ceea ce privește sancțiunile și autoritățile naționale de supraveghere. Prezentul regulament nu ar trebui să aducă atingere normelor respective și, prin urmare, nu ar trebui să aducă atingere cerințelor și garanțiilor aplicabile prelucrării datelor API de către UIP. |
|
(6) |
Colectarea și transferul datelor API afectează viața privată a persoanelor și implică prelucrarea datelor cu caracter personal ale acestora. Pentru a respecta pe deplin drepturile fundamentale ale acestora, în special dreptul la respectarea vieții private și dreptul la protecția datelor cu caracter personal, în conformitate cu Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), ar trebui să fie prevăzute limite și garanții adecvate. De exemplu, orice prelucrare a datelor API și, în special, a datelor API care constituie date cu caracter personal ar trebui să rămână strict limitată la ceea ce este necesar și proporțional pentru atingerea obiectivelor urmărite de prezentul regulament. În plus, ar trebui să se asigure că prelucrarea oricăror date API colectate și transferate în temeiul prezentului regulament nu conduce la nicio formă de discriminare interzisă de cartă. |
|
(7) |
Având în vedere caracterul complementar al prezentului regulament în raport cu Directiva (UE) 2016/681, obligațiile transportatorilor aerieni în temeiul prezentului regulament ar trebui să se aplice în ceea ce privește toate zborurile pentru care statele membre trebuie să impună transportatorilor aerieni obligația să transmită date din PNR în temeiul Directivei (UE) 2016/681, indiferent de locul de stabilire al transportatorilor aerieni care efectuează zborurile respective. Zborurile respective ar trebui să cuprindă zborurile regulate și neregulate, atât între statele membre și țări terțe (zboruri extra-UE), cât și între mai multe state membre (zboruri intra-UE), cu condiția ca astfel de zboruri intra-UE să decoleze, să aterizeze sau să facă o escală pe teritoriul a cel puțin unui stat membru care a notificat decizia sa de a aplica Directiva (UE) 2016/681 zborurilor intra-UE în conformitate cu articolul 2 alineatul (1) din directiva respectivă și conform jurisprudenței CJUE. În ceea ce privește zborurile intra-UE care intră sub incidența prezentului regulament, o astfel de abordare țintită, adoptată în aplicarea articolului 2 din Directiva (UE) 2016/681 și axată pe cerințele unei aplicări eficace a legii, ar trebui, de asemenea, să fie necesară având în vedere necesitatea de a asigura conformitatea cu cerințele dreptului Uniunii privind necesitatea și proporționalitatea prelucrării datelor, libera circulație a persoanelor și eliminarea verificărilor la frontierele interne. Colectarea de date de la orice alte operațiuni de transport aerian civil, cum ar fi școlile de zbor, zborurile medicale, zborurile pentru urgențe, precum și de la zborurile militare, nu intră în domeniul de aplicare al prezentului regulament. Prezentul regulament nu aduce atingere colectării de date de la astfel de zboruri, așa cum se prevede în dreptul intern compatibil cu dreptul Uniunii. Comisia ar trebui să evalueze fezabilitatea unui sistem al Uniunii care să oblige operatorii de zboruri private să colecteze și să transfere date privind pasagerii aerieni. |
|
(8) |
Obligațiile transportatorilor aerieni de a colecta și transfera date API în temeiul prezentului regulament ar trebui să includă toți pasagerii și membrii echipajului zborurilor către Uniune, pasagerii și membrii echipajului în tranzit a căror destinație finală se află în afara Uniunii, precum și orice membru al echipajului aflat în afara orelor de program, poziționat pe un zbor de către un transportator aerian în legătură cu sarcinile care îi revin. |
|
(9) |
În consecință, având în vedere că Directiva (UE) 2016/681 nu reglementează zborurile interne care decolează și aterizează pe teritoriul aceluiași stat membru fără nicio escală pe teritoriul altui stat membru sau al unei țări terțe și având în vedere dimensiunea transnațională a infracțiunilor de terorism și a infracțiunilor grave reglementate de prezentul regulament, nici astfel de zboruri nu ar trebui să intre sub incidența prezentului regulament. Prezentul regulament nu ar trebui să fie înțeles ca afectând posibilitatea statelor membre de a prevedea, în temeiul dreptului lor intern și în conformitate cu dreptul Uniunii, obligații pentru transportatorii aerieni de a colecta și de a transfera date API cu privire la astfel de zboruri interne. |
|
(10) |
Având în vedere legătura strânsă dintre actele juridice ale Uniunii și din motive de consecvență și coerență, definițiile prevăzute în prezentul regulament ar trebui, după caz, să fie aliniate, interpretate și aplicate din perspectiva definițiilor prevăzute în Directiva (UE) 2016/681 și în Regulamentul (UE) 2025/12 al Parlamentului European și al Consiliului (5). |
|
(11) |
În special, informațiile care constituie împreună datele API care urmează să fie colectate și transferate ulterior în temeiul prezentului regulament ar trebui să fie enumerate în mod clar și exhaustiv, incluzând atât informațiile referitoare la fiecare pasager și membru al echipajului, cât și informațiile privind zborul pasagerului și al membrului echipajului respectiv. În temeiul prezentului regulament și în conformitate cu standardele internaționale, astfel de informații privind zborurile ar trebui să includă informații privind locurile și bagajele, atunci când sunt disponibile, și informații privind punctul de trecere a frontierei de intrare pe teritoriul statului membru în cauză numai dacă este cazul, exceptând cazurile în care datele API se referă la zboruri intra-UE. Atunci când sunt disponibile informații privind locurile și bagajele în cadrul altor sisteme informatice de care dispune transportatorul aerian, operatorul său de gestionare, furnizorul său de sistem sau autoritatea aeroportuară, transportatorii aerieni ar trebui să integreze informațiile respective în datele API pentru a fi transferate către UIP. Datele API, astfel cum sunt definite și reglementate în temeiul prezentului regulament, nu includ datele biometrice. |
|
(12) |
Pentru a permite călătoriile fără a deține un document de călătorie în cazul în care statele membre permit o astfel de practică în temeiul dreptului intern în conformitate cu dreptul Uniunii, inclusiv pe baza unui acord internațional, ar trebui să fie posibil ca un stat membru să impună transportatorilor aerieni obligația de a oferi pasagerilor posibilitatea de a introduce în mod voluntar date API prin mijloace automatizate și de a dispune stocarea unor astfel de date de către transportatorul aerian în vederea transferării datelor în scopul zborurilor viitoare. |
|
(13) |
Pentru a permite flexibilitate și inovare, ar trebui, în principiu, să fie lăsat la latitudinea fiecărui transportator aerian să stabilească modul în care își îndeplinește obligațiile în ceea ce privește colectarea datelor API prevăzute în prezentul regulament, luând în considerare diferitele tipuri de transportatori aerieni, astfel cum sunt definite în prezentul regulament și modelele lor de afaceri respective, inclusiv perioadele de înregistrare și cooperarea cu aeroporturile. Cu toate acestea, având în vedere că există soluții tehnologice adecvate care permit colectarea automată a anumitor date API, garantând în același timp că datele API în cauză sunt exacte, complete și actualizate și având în vedere avantajele utilizării unei astfel de tehnologii în ceea ce privește eficacitatea și eficiența, transportatorilor aerieni ar trebui să le revină obligația de a colecta astfel de date API prin mijloace automatizate, prin citirea informațiilor din datele care pot fi citite automat, cuprinse în documentul de călătorie. În cazul în care utilizarea unor astfel de mijloace automatizate nu este posibilă din punct de vedere tehnic din cauza circumstanțelor excepționale, transportatorii aerieni ar trebui ca, în mod excepțional, să colecteze manual datele API, fie ca parte a procesului de înregistrare online, fie ca parte a înregistrării la aeroport, astfel încât să se asigure respectarea obligațiilor care le revin în temeiul prezentului regulament. |
|
(14) |
Colectarea datelor API prin mijloace automatizate ar trebui să fie strict limitată la datele alfanumerice conținute în documentul de călătorie și nu ar trebui să conducă la colectarea de date biometrice din acesta. Întrucât colectarea datelor API face parte din procesul de înregistrare, fie online, fie la aeroport, prezentul regulament nu impune transportatorilor aerieni obligația de a verifica un document de călătorie al pasagerului la momentul îmbarcării. Respectarea prezentului regulament nu impune pasagerilor obligația de a avea asupra lor un document de călătorie la momentul îmbarcării. Acest lucru nu ar trebui să aducă atingere obligațiilor care decurg din alte acte juridice ale Uniunii sau din dreptul intern care este compatibil cu dreptul Uniunii. |
|
(15) |
Colectarea datelor API din documentele de călătorie ar trebui să fie, de asemenea, în concordanță cu standardele Organizației Aviației Civile Internaționale (OACI) privind documentele de călătorie care pot fi citite automat, care au fost încorporate în dreptul Uniunii prin Regulamentul (UE) 2019/1157 al Parlamentului European și al Consiliului (6), prin Regulamentul (CE) nr. 2252/2004 al Consiliului (7) și prin Directiva (UE) 2019/997 a Consiliului (8). |
|
(16) |
Pentru a evita o situație în care transportatorii aerieni să fie nevoiți să stabilească și să mențină conexiuni multiple cu UIP ale statelor membre pentru transferul datelor API colectate în temeiul prezentului regulament, evitându-se astfel ineficiențele și riscurile de securitate aferente, ar trebui să se prevadă un router unic, creat și operat la nivelul Uniunii în conformitate cu prezentul regulament și cu Regulamentul (UE) 2025/12, care să servească drept punct de conectare și de distribuție pentru transferurile respective. Din motive de eficiență și rentabilitate, routerul ar trebui, în măsura în care este tehnic posibil și cu respectarea integrală a normelor prezentului regulament și ale Regulamentului (UE) 2025/12, să se bazeze pe componente tehnice din alte sisteme relevante create în temeiul dreptului Uniunii, în special pe serviciul web menționat în Regulamentul (UE) 2017/2226 al Parlamentului European și al Consiliului (9), pe portalul pentru operatorii de transport menționat în Regulamentul (UE) 2018/1240 al Parlamentului European și al Consiliului (10) și pe portalul pentru operatorii de transport menționat în Regulamentul (CE) nr. 767/2008 al Parlamentului European și al Consiliului (11). Pentru a reduce impactul asupra transportatorilor aerieni și pentru a asigura o abordare armonizată față de transportatorii aerieni, Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție, instituită prin Regulamentul (UE) 2018/1726 al Parlamentului European și al Consiliului (12), ar trebui să proiecteze routerul, în măsura în care acest lucru este posibil din punct de vedere tehnic și operațional, într-un mod care să fie corelat și concordant cu obligațiile transportatorilor aerieni stabilite în Regulamentele (CE) nr. 767/2008, (UE) 2017/2226 și (UE) 2018/1240. |
|
(17) |
Cu scopul de a asigura lizibilitatea datelor din PNR de către UIP și buna funcționare a sistemelor PNR ale acestora, mesajele digitale trimise de un transportator aerian care conțin unul sau mai multe registre cu numele pasagerilor (denumite în continuare „mesaje PNR”), ar trebui să fie transferate de transportatorii aerieni și transmise de router într-un format standardizat prin intermediul unor câmpuri sau coduri de date standardizate, atât în ceea ce privește conținutul, cât și structura. Înainte ca routerul să înceapă operațiunile legate de alte date din PNR, testele care urmează să fie efectuate de eu-LISA ar trebui să asigure capacitatea, viteza și fiabilitatea routerului pentru a oferi o astfel de standardizare. În acest scop, Comisia ar trebui să ia măsurile necesare pentru a revizui legislația de punere în aplicare existentă, adoptată în temeiul articolului 16 din Directiva (UE) 2016/681, care stabilește protocoale comune și formatele de date compatibile. O astfel de revizuire ar trebui să fie efectuată în strânsă consultare cu reprezentanții statelor membre, pentru a valorifica expertiza acestora și a garanta că cele mai bune practici pe care le-au dezvoltat la punerea în aplicare a Directivei (UE) 2016/681 la nivel național sunt luate în considerare la nivelul Uniunii în ceea ce privește funcționarea routerului. Grupul de contact API-PNR ar trebui să sprijine o astfel de revizuire. |
|
(18) |
Pentru a îmbunătăți eficiența transmiterii datelor de trafic aerian și pentru a sprijini monitorizarea datelor API transmise către UIP, routerul ar trebui să primească informații în timp real privind traficul aerian colectate de alte organizații, cum ar fi Organizația Europeană pentru Siguranța Navigației Aeriene (Eurocontrol). |
|
(19) |
Routerul ar trebui să fie folosit numai pentru a facilita transferul datelor API și al altor date din PNR de la transportatorii aerieni către UIP în conformitate cu prezentul regulament și nu ar trebui să fie un registru de date API sau de alte date din PNR. Prin urmare, pentru a reduce la minimum orice risc de acces neautorizat sau de alt tip de utilizare greșită și în conformitate cu principiul reducerii la minimum a datelor, nu ar trebui să aibă loc nicio stocare decât dacă este strict necesar pentru scopurile tehnice legate de transmitere, iar datele API sau alte date din PNR ar trebui să fie șterse de pe router, imediat, definitiv și în mod automat, din momentul în care transmiterea a fost finalizată sau, după caz, în temeiul prezentului regulament, datele API sau alte date din PNR nu trebuie să fie transmise deloc. |
|
(20) |
Pentru a permite transportatorilor aerieni să beneficieze cât mai curând posibil de avantajele oferite de utilizarea routerului dezvoltat de eu-LISA în conformitate cu prezentul regulament și cu Regulamentul (UE) 2025/12 și să dobândească experiență în utilizarea acestuia, transportatorilor aerieni ar trebui să li se ofere posibilitatea, fără să li se impună obligația, de a utiliza routerul pentru a transfera informațiile pe care trebuie să le transfere în temeiul Directivei 2004/82/CE în cursul unei perioade intermediare. Respectiva perioadă intermediară ar trebui să înceapă din momentul punerii în funcțiune a routerului și să se încheie atunci când obligațiile prevăzute în directiva menționată încetează să se mai aplice. Pentru a se asigura că orice astfel de utilizare voluntară a routerului se efectuează în mod responsabil, ar trebui să se solicite acordul scris prealabil al statului membru care urmează să primească informațiile, la cererea transportatorului aerian și după ce statul membru respectiv a efectuat verificări și a obținut asigurări, după caz. În mod similar, pentru a evita o situație în care transportatorii aerieni încep și încetează în mod repetat să utilizeze routerul, odată ce un transportator aerian începe o astfel de utilizare în mod voluntar, acesta ar trebui să aibă obligația de a o continua, cu excepția cazului în care există motive obiective de a întrerupe utilizarea routerului pentru transferarea informațiilor către statul membru în cauză, cum ar fi evidența faptului că informațiile nu sunt transferate într-un mod legal, sigur, eficace și rapid. Pentru aplicarea corespunzătoare a posibilității de utilizare voluntară a routerului, ținând seama în mod corespunzător de drepturile și interesele tuturor părților afectate, ar trebui să fie prevăzute în prezentul regulament normele necesare privind consultările și furnizarea de informații. Orice astfel de utilizare voluntară a routerului în temeiul Directivei 2004/82/CE, astfel cum se prevede în prezentul regulament, nu ar trebui să fie înțeleasă ca afectând în niciun fel obligațiile transportatorilor aerieni și ale statelor membre, prevăzute în directiva menționată. |
|
(21) |
Cerințele prevăzute de prezentul regulament și de actele delegate și de punere în aplicare corespunzătoare ar trebui să conducă la punerea în aplicare uniformă a prezentului regulament de către transportatorii aerieni, reducând astfel la minimum costul interconectării sistemelor acestora. Pentru a facilita punerea în aplicare în mod armonizat a cerințelor respective de către transportatorii aerieni, mai ales în ceea ce privește structura, formatul și protocolul de transmitere a datelor, Comisia, pe baza cooperării sale cu UIP, cu alte autorități ale statelor membre, cu transportatorii aerieni și cu agențiile relevante ale Uniunii, ar trebui să se asigure că manualul practic care urmează a fi pregătit de Comisie oferă toate îndrumările și clarificările necesare. |
|
(22) |
Pentru a îmbunătăți calitatea datelor API, routerul care urmează să fie instituit în temeiul prezentului regulament ar trebui să verifice dacă datele API care i-au fost transferate de către transportatorii aerieni respectă formatele de date compatibile. În cazul în care în urma verificării se constată că datele nu respectă formatele de date compatibile, routerul ar trebui să transmită acest lucru imediat și în mod automat transportatorului aerian în cauză. |
|
(23) |
Pasagerii ar trebui să aibă posibilitatea să furnizeze ei înșiși anumite date API prin mijloace automatizate în timpul unui proces de înregistrare online, de exemplu printr-o aplicație securizată pe un telefon inteligent al unui pasager, pe un computer sau pe o cameră web cu capacitatea de a citi datele care pot fi citite automat cuprinse în documentul de călătorie. În cazul în care pasagerii nu s-au înregistrat online, transportatorii aerieni ar trebui să le ofere posibilitatea de a furniza datele API care pot fi citite automat necesare în timpul înregistrării la aeroport, cu ajutorul unui chioșc cu autoservire sau al personalului transportatorilor aerieni la ghișeu. Fără a aduce atingere libertății transportatorilor aerieni de a stabili tarifele pentru transportul aerian de pasageri și de a-și defini politica comercială, este important ca obligațiile impuse de prezentul regulament să nu ducă la obstacole disproporționate pentru pasagerii care nu pot utiliza mijloace online pentru a furniza date API, cum ar fi taxe suplimentare pentru furnizarea de date API în aeroport. În plus, prezentul regulament ar trebui să prevadă o perioadă de tranziție în cursul căreia pasagerilor li se oferă posibilitatea de a furniza manual date API în cadrul procesului de înregistrare online. În astfel de cazuri, transportatorii aerieni ar trebui să utilizeze tehnici de verificare a datelor. |
|
(24) |
Este important ca sistemele de colectare automată a datelor și alte procese instituite în temeiul prezentului regulament să nu aibă un impact negativ asupra angajaților din industria aviatică, cărora trebuie să li se ofere posibilități de a se perfecționa și recalifica, ceea ce ar spori eficiența și fiabilitatea colectării și transferului de date, precum și condiții de muncă mai bune în sector. |
|
(25) |
Pentru a asigura prelucrarea în comun a datelor API și a datelor din PNR în scopul combaterii în mod eficace a terorismului și a infracțiunilor grave în Uniune și, în același timp, pentru a reduce la minimum atingerea adusă drepturilor fundamentale ale pasagerilor protejate în temeiul cartei, UIP ar trebui să fie autoritățile competente din statele membre cărora li se încredințează sarcina de a primi și, ulterior, de a prelucra și proteja datele API colectate și transferate în temeiul prezentului regulament. Din motive de eficiență și pentru a reduce la minimum orice risc pentru securitate, routerul, astfel cum a fost proiectat, dezvoltat, găzduit și întreținut din punct de vedere tehnic de eu-LISA, în conformitate cu prezentul regulament și cu Regulamentul (UE) 2025/12, ar trebui să transmită către UIP relevante datele API colectate și transferate de către transportatorii aerieni în temeiul prezentului regulament. Având în vedere nivelul necesar de protecție a datelor API care constituie date cu caracter personal, inclusiv pentru a asigura confidențialitatea informațiilor în cauză, datele API ar trebui să fie transmise de router către UIP relevante în mod automat. Prezentul regulament nu ar trebui să aducă atingere posibilității ca statele membre să prevadă un punct unic de intrare pentru date care să asigure conectarea la router și integrarea în acesta. |
|
(26) |
Pentru a garanta respectarea drepturilor prevăzute în cartă, precum și pentru a asigura opțiuni de călătorie accesibile și favorabile incluziunii, în special pentru grupurile vulnerabile și persoanele cu dizabilități, și în conformitate cu drepturile persoanelor cu dizabilități și ale persoanelor cu mobilitate redusă pe durata călătoriei pe calea aerului prevăzute în Regulamentul (CE) nr. 1107/2006 al Parlamentului European și al Consiliului (13), transportatorii aerieni, sprijiniți de statele membre, ar trebui să se asigure că este disponibilă în aeroport în orice moment o opțiune pentru furnizarea datelor necesare de către pasageri. |
|
(27) |
Pentru zborurile extra-UE, UIP din statul membru pe teritoriul căruia aterizează sau de unde decolează aeronavele respective ar trebui să primească datele API prin intermediul routerului pentru toate aceste zboruri pentru care datele din PNR sunt colectate în conformitate cu Directiva (UE) 2016/681. Routerul ar trebui să identifice zborul și UIP corespunzătoare utilizând informațiile conținute în codul de reper al dosarului pasagerului, un element de date comun atât pentru seturile de date API, cât și pentru seturile de date din PNR care permit prelucrarea în comun a datelor API și a datelor din PNR de către UIP. |
|
(28) |
În ceea ce privește zborurile intra-UE, în conformitate cu jurisprudența CJUE, pentru a evita atingerea nejustificată adusă drepturilor fundamentale relevante ale pasagerilor, astfel cum sunt protejate în temeiul cartei și pentru a asigura conformitatea cu cerințele dreptului Uniunii privind libera circulație a persoanelor și eliminarea verificărilor la frontierele interne, ar trebui să fie prevăzută o abordare selectivă. Având în vedere importanța asigurării faptului că datele API pot fi prelucrate împreună cu datele din PNR, această abordare ar trebui să fie armonizată cu cea a Directivei (UE) 2016/681. Din aceste motive, datele API privind zborurile respective ar trebui transmise de la router către UIP relevante numai în cazul în care statele membre au selectat zborurile în cauză în temeiul articolului 2 din Directiva (UE) 2016/681 și în conformitate cu abordarea selectivă prevăzută în prezentul regulament. Statele membre ar trebui să poată aplica Directiva (UE) 2016/681 tuturor zborurilor intra-UE care sosesc sau pleacă de pe teritoriul lor numai în situații de amenințare teroristă reală și prezentă sau previzibilă și în temeiul unei decizii care se bazează pe o evaluare a amenințării, este limitată în timp la ceea ce este strict necesar și care poate fi supusă unei proceduri de control eficace. În alte situații, ar trebui să fie prevăzută o abordare selectivă. Astfel cum a reamintit CJUE, selecția implică faptul că statele membre vizează obligațiile în cauză numai, printre altele, pe anumite rute, tipare de călătorie sau aeroporturi, sub rezerva revizuirii periodice a selecției respective. În plus, selecția ar trebui să se bazeze pe o evaluare obiectivă, motivată corespunzător și nediscriminatorie, care ia în considerare doar criteriile care sunt relevante în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave și care au o legătură obiectivă, inclusiv o legătură indirectă, cu transportul aerian de persoane. Statele membre ar trebui să păstreze toate documentele relevante legate de evaluare pentru a permite supravegherea adecvată și controlul evaluării lor în mod regulat și cel puțin o dată la 12 luni, în conformitate cu articolul 13 alineatul (7) din prezentul regulament. |
|
(29) |
Pentru a permite aplicarea abordării selective în temeiul prezentului regulament în ceea ce privește zborurile intra-UE, statele membre ar trebui să aibă obligația de a întocmi listele zborurilor sau rutelor pe care le-au selectat și să le introducă în router, astfel încât eu-LISA să se poată asigura că numai datele API pentru aceste zboruri sau rute sunt transmise prin intermediul routerului către UIP relevante și că datele API privind alte zboruri intra-UE sunt șterse imediat și definitiv. |
|
(30) |
Pentru a spori coeziunea dintre abordările selective adoptate de diferitele state membre, Comisia ar trebui să faciliteze un schimb periodic de opinii cu privire la alegerea criteriilor de selecție, inclusiv schimbul de cele mai bune practici și, în mod voluntar, schimbul de informații cu privire la zborurile selectate. |
|
(31) |
Pentru a nu periclita eficacitatea sistemului care se bazează pe colectarea și transferul datelor API instituit prin prezentul regulament și a datelor din PNR în cadrul sistemului instituit prin Directiva (UE) 2016/681, în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, în special prin crearea riscului de eludare, informațiile cu privire la zborurile intra-UE selectate de statele membre ar trebui să fie tratate în mod confidențial. Din acest motiv, astfel de informații nu ar trebui să fie comunicate transportatorilor aerieni și, prin urmare, aceștia ar trebui să aibă obligația de a colecta date API pentru toate zborurile care intră sub incidența prezentului regulament, inclusiv pentru toate zborurile intra-UE, și apoi de a le transfera către router, în cazul în care trebuie implementată selecția necesară. În plus, prin colectarea de date API privind toate zborurile intra-UE, pasagerii nu sunt informați cu privire la datele API pentru zborurile intra-UE selectate și, prin urmare, cu privire la datele din PNR care sunt transmise către UIP în conformitate cu evaluarea statelor membre. Respectiva abordare garantează, de asemenea, că orice modificare legată de selecția respectivă poate fi pusă în aplicare rapid și eficient, fără a impune nicio sarcină economică și operațională nejustificată asupra transportatorilor aerieni. |
|
(32) |
Prezentul regulament nu permite colectarea sau transferul de date API privind zborurile intra-UE în scopul combaterii imigrației ilegale, în conformitate cu dreptul Uniunii și cu jurisprudența CJUE. |
|
(33) |
În interesul asigurării respectării dreptului fundamental la protecția datelor cu caracter personal, prezentul regulament ar trebui să identifice operatorul și persoana împuternicită de operator și să stabilească norme privind auditurile. În interesul unei monitorizări eficace, al asigurării unei protecții adecvate a datelor cu caracter personal și al reducerii la minimum a riscurilor în materie de securitate, ar trebui să se prevadă, de asemenea, norme privind înregistrarea, securitatea prelucrării și automonitorizarea. În cazul în care se referă la prelucrarea datelor cu caracter personal, dispozițiile respective ar trebui să fie în concordanță cu actele juridice ale Uniunii cu aplicabilitate generală privind protecția datelor cu caracter personal, în special Regulamentele (UE) 2016/679 (14) și (UE) 2018/1725 (15) ale Parlamentului European și ale Consiliului. |
|
(34) |
Fără a aduce atingere normelor mai specifice prevăzute în prezentul regulament pentru prelucrarea datelor cu caracter personal, Regulamentul (UE) 2016/679 ar trebui să se aplice pentru prelucrarea datelor cu caracter personal de către transportatorii aerieni în temeiul prezentului regulament. Directiva (UE) 2016/680 a Parlamentului European și a Consiliului (16) ar trebui să se aplice pentru prelucrarea datelor cu caracter personal prevăzute de prezentul regulament, efectuate de către autoritățile competente naționale, așa cum sunt definite în directiva respectivă, în scopul prevenirii, depistării, investigării sau urmării penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora. Regulamentul (UE) 2018/1725 ar trebui să se aplice prelucrării datelor cu caracter personal de către eu-LISA atunci când își îndeplinește responsabilitățile care îi revin în temeiul prezentului regulament. |
|
(35) |
Ținând seama de dreptul pasagerilor de a fi informați cu privire la prelucrarea datelor lor cu caracter personal, statele membre ar trebui să se asigure că pasagerii primesc informații exacte cu privire la colectarea datelor API, la transferul unor astfel de date către UIP și la drepturile lor în calitate de persoane vizate, care să fie ușor accesibile și ușor de înțeles, în momentul rezervării zborului și în momentul înregistrării. |
|
(36) |
Auditurile privind protecția datelor cu caracter personal pentru care sunt responsabile statele membre ar trebui să fie efectuate de autoritățile de supraveghere independente menționate la articolul 41 din Directiva (UE) 2016/680 sau de către un organism de audit căruia autoritatea de supraveghere i-a încredințat această sarcină. |
|
(37) |
Scopurile operațiunilor de prelucrare în temeiul prezentului regulament, și anume transmiterea datelor API prin intermediul routerului de la transportatorii aerieni către UIP ale statelor membre, sunt de a sprijini autoritățile respective în îndeplinirea obligațiilor și sarcinilor lor în conformitate cu Directiva (UE) 2016/681. Prin urmare, statele membre ar trebui să desemneze autorități drept operatori pentru prelucrarea datelor în router, pentru transmiterea datelor de la router către UIP și pentru prelucrarea ulterioară a datelor respective în conformitate cu Directiva (UE) 2016/681. Statele membre ar trebui să comunice Comisiei și eu-LISA care sunt autoritățile respective. Pentru prelucrarea datelor cu caracter personal în router, statele membre ar trebui să fie operatori asociați în conformitate cu articolul 21 din Directiva (UE) 2016/680. Transportatorii aerieni, la rândul lor, ar trebui să fie operatori separați în ceea ce privește prelucrarea datelor API care constituie date cu caracter personal în temeiul prezentului regulament. Pe această bază, atât transportatorii aerieni, cât și UIP ar trebui să fie operatori separați în ceea ce privește operațiunile de prelucrare a datelor API în temeiul prezentului regulament. Întrucât eu-LISA este responsabilă cu proiectarea, dezvoltarea, găzduirea și gestionarea tehnică a routerului, aceasta ar trebui să fie persoana împuternicită de operator pentru prelucrarea datelor API care constituie date cu caracter personal prin intermediul routerului, inclusiv pentru transmiterea datelor de la router către UIP și pentru stocarea datelor respective pe router, în măsura în care o astfel de stocare este necesară în scopuri tehnice. |
|
(38) |
Routerul care urmează să fie creat și operat în temeiul prezentului regulament și al Regulamentului (UE) 2025/12 ar trebui să reducă și să simplifice conexiunile tehnice necesare pentru transferul datelor API în temeiul prezentului regulament, limitându-le la o singură conexiune pentru fiecare transportator aerian și pentru fiecare UIP. Prin urmare, prezentul regulament ar trebui să prevadă obligația UIP și a transportatorilor aerieni de a stabili o astfel de conexiune la router și de a realiza integrarea necesară în acesta, pentru a se asigura că sistemul de transfer al datelor API instituit prin prezentul regulament poate funcționa în mod corespunzător. Proiectarea și dezvoltarea routerului de către eu-LISA ar trebui să permită conectarea și integrarea efectivă și eficientă a sistemelor și a infrastructurii transportatorilor aerieni, prin furnizarea tuturor standardelor și cerințelor tehnice relevante. Pentru a asigura buna funcționare a sistemului instituit prin prezentul regulament, ar trebui să fie stabilite norme detaliate. Atunci când proiectează și dezvoltă routerul, eu-LISA ar trebui să se asigure că datele API și alte date din PNR transferate de transportatorii aerieni și transmise către UIP sunt criptate în tranzit. |
|
(39) |
Având în vedere interesele Uniunii în acest domeniu, toate costurile suportate de eu-LISA pentru îndeplinirea atribuțiilor sale în temeiul prezentului regulament în ceea ce privește routerul ar trebui să fie suportate din bugetul Uniunii, inclusiv proiectarea și dezvoltarea routerului, găzduirea și gestionarea tehnică a routerului, precum și structura de guvernanță a eu-LISA pentru a sprijini proiectarea, dezvoltarea, găzduirea și gestionarea tehnică a routerului. Același lucru ar putea să se aplice costurilor suportate de statele membre în legătură cu conexiunile la router și integrarea în acesta, precum și întreținerea acestora, astfel cum se prevede în prezentul regulament și în conformitate cu dreptul Uniunii aplicabil. Este important ca bugetul Uniunii să ofere statelor membre sprijin financiar adecvat pentru acoperirea costurilor respective. În acest scop, nevoile financiare ale statelor membre ar trebui să fie suportate de bugetul general al Uniunii, în conformitate cu normele de eligibilitate și cu ratele de cofinanțare stabilite în actele juridice relevante ale Uniunii. Contribuția anuală a Uniunii alocată eu-LISA ar trebui să acopere nevoile legate de găzduirea și gestionarea tehnică a routerului pe baza unei evaluări efectuate de eu-LISA. Bugetul Uniunii ar trebui să acopere și sprijinul, cum ar fi cel în domeniul formării, oferit de eu-LISA transportatorilor aerieni și UIP pentru a permite transferul și transmiterea efectivă a datelor API prin intermediul routerului. Costurile suportate de autoritățile de supraveghere naționale independente legate de sarcinile care le sunt încredințate în temeiul prezentului regulament ar trebui să fie suportate de statele membre respective. |
|
(40) |
În conformitate cu Regulamentul (UE) 2018/1726, statele membre pot încredința eu-LISA atribuția de a facilita conectivitatea cu transportatorii aerieni cu scopul de a oferi asistență statelor membre în punerea în aplicare a Directivei (UE) 2016/681, în special prin colectarea și transferul de date din PNR prin intermediul unui router. În acest scop și din motive de rentabilitate și eficiență atât pentru statele membre, cât și pentru transportatorii aerieni, prezentul regulament ar trebui să impună transportatorilor aerieni obligația să utilizeze routerul pentru transferul către bazele de date ale UIP respective al altor date din PNR care intră sub incidența Directivei (UE) 2016/681, ca parte a măsurilor naționale de punere în aplicare a dispoziției din directiva respectivă privind obligația statelor membre de a se asigura că transportatorii aerieni transferă, prin metoda „push”, datele din PNR către UIP relevante. |
|
(41) |
Pentru a se asigura că datele în cauză sunt prelucrate într-un mod legal, sigur, eficace și rapid, normele stabilite prin prezentul regulament în ceea ce privește routerul și transmiterea datelor API de la router către UIP ar trebui să se aplice în mod corespunzător și altor date din PNR. Respectivele norme includ, de asemenea, obligațiile prevăzute de prezentul regulament în ceea ce privește transferul și transmiterea de date în legătură cu zborurile intra-UE, în conformitate cu jurisprudența CJUE, precum și în ceea ce privește conexiunile transportatorilor aerieni și ale UIP cu routerul. În ceea ce privește normele privind momentele transferurilor, protocoalele de transmitere și formatele de date în care mesajele PNR urmează să fie transferate către router, se aplică dispozițiile relevante din Directiva (UE) 2016/681. |
|
(42) |
Este oportun să se clarifice faptul că utilizarea routerului în legătură cu alte date din PNR afectează numai modul în care aceste date sunt transferate și transmise către bazele de date ale UIP ale statelor membre în cauză. Obligațiile prevăzute în prezentul regulament privind colectarea datelor API nu sunt aplicabile în ceea ce privește toate aceste alte date din PNR. O astfel de colectare ar trebui, în schimb, să fie reglementată în continuare exclusiv de Directiva (UE) 2016/681, numai în măsura în care transportatorii aerieni au colectat deja astfel de date în cursul desfășurării normale a activității lor, în sensul prevederii relevante din directiva respectivă. În plus, la fel ca în cazul datelor API colectate de transportatorii aerieni și transferate către UIP în conformitate cu prezentul regulament, nu ar trebui să fie afectate normele directivei respective în ceea ce privește aspectele care nu sunt reglementate în mod specific de prezentul regulament, în special normele privind prelucrarea ulterioară a altor date din PNR primite de UIP. Prin urmare, normele respective se aplică în continuare în ceea ce privește astfel de date. |
|
(43) |
Nu se poate exclude faptul că, din cauza unor circumstanțe excepționale și în pofida faptului că au fost luate toate măsurile rezonabile în conformitate cu prezentul regulament, infrastructura centrală sau una dintre componentele tehnice ale routerului sau infrastructurile de comunicații care asigură conexiunea unităților de informații despre pasageri și a transportatorilor aerieni nu funcționează în mod corespunzător, conducând astfel la imposibilitatea tehnică pentru transportatorii aerieni de a transfera sau pentru UIP de a primi datele API. Având în vedere indisponibilitatea routerului și faptul că, în general, nu va fi posibil în mod rezonabil ca transportatorii aerieni să transfere datele API afectate de disfuncționalitate într-un mod legal, sigur, eficace și rapid prin mijloace alternative, obligația transportatorilor aerieni de a transfera astfel de date API către router ar trebui să înceteze să se aplice atât timp cât persistă imposibilitatea tehnică. Cu toate acestea, pentru a asigura disponibilitatea datelor API necesare în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, transportatorii aerieni ar trebui să continue să colecteze și să stocheze datele API, astfel încât acestea să poată fi transferate de îndată ce imposibilitatea tehnică a fost remediată. Pentru a reduce la minimum durata și consecințele negative ale oricărei imposibilități tehnice, părțile în cauză ar trebui, într-un astfel de caz, să se informeze reciproc imediat și să ia imediat toate măsurile necesare pentru a remedia imposibilitatea tehnică. Această abordare nu ar trebui să aducă atingere obligațiilor care le revin tuturor părților implicate în temeiul prezentului regulament de a se asigura că routerul și sistemele și infrastructura lor funcționează în mod corespunzător, precum și faptului că transportatorii aerieni sunt pasibili de sancțiuni dacă nu își îndeplinesc obligațiile care le revin, inclusiv atunci când încearcă să se bazeze pe respectiva abordare în situații în care acest lucru nu se justifică. Pentru a descuraja astfel de abuzuri și pentru a facilita supravegherea și, dacă este necesar, aplicarea de sancțiuni, transportatorii aerieni care se bazează pe această abordare din cauza disfuncționalității propriului sistem și a propriei infrastructuri ar trebui să raporteze acest lucru autorității de supraveghere competente. |
|
(44) |
În cazul în care transportatorii aerieni mențin conexiuni directe cu UIP pentru transferul de date API, respectivele conexiuni pot constitui mijloace adecvate care să asigure nivelul de securitate a datelor necesar pentru a transfera datele API direct către UIP, atunci când este imposibil din punct de vedere tehnic să se utilizeze routerul. UIP ar trebui să poată, în cazul excepțional al imposibilității tehnice de a utiliza routerul, să solicite transportatorilor aerieni să utilizeze astfel de mijloace adecvate, care nu implică vreo obligație a transportatorilor aerieni de a menține sau de a introduce astfel de conexiuni directe sau orice alte mijloace adecvate care să asigure nivelul necesar de securitate a datelor pentru a transfera datele API direct către UIP. Transferul excepțional de date API prin orice alte mijloace adecvate, cum ar fi e-mailul criptat sau un portal web securizat, și excluzând utilizarea formatelor electronice nestandardizate, ar trebui să asigure nivelul necesar de securitate a datelor, de calitate a datelor și de protecție a datelor. Datele API primite de UIP prin astfel de alte mijloace adecvate ar trebui să fie prelucrate ulterior în conformitate cu normele și garanțiile privind protecția datelor prevăzute în Directiva (UE) 2016/681. În urma notificării din partea eu-LISA cu privire la faptul că imposibilitatea tehnică a fost remediată și în cazul în care se confirmă că transmiterea datelor API prin intermediul routerului către UIP a fost finalizată, UIP ar trebui să șteargă imediat datele API pe care le-a primit anterior prin orice alte mijloace adecvate. Ștergerea respectivă nu ar trebui să afecteze cazurile specifice în care datele API primite între timp de UIP prin orice alte mijloace adecvate au fost prelucrate ulterior în conformitate cu Directiva (UE) 2016/681 în scopurile specifice de prevenire, depistare, investigare sau urmărire penală a infracțiunilor de terorism sau a infracțiunilor grave. |
|
(45) |
Pentru a se asigura că normele din prezentul regulament se aplică în mod eficace de către transportatorii aerieni, ar trebui să se prevadă desemnarea și împuternicirea autorităților naționale drept autorități naționale de supraveghere pentru datele API însărcinate cu monitorizarea aplicării normelor respective. Statele membre își pot desemna UIP drept autorități naționale de supraveghere pentru datele API. Normele prezentului regulament privind o astfel de monitorizare, inclusiv în ceea ce privește aplicarea de sancțiuni atunci când este necesar, ar trebui să nu afecteze sarcinile și competențele autorităților de supraveghere, care le-au fost atribuite în conformitate cu Regulamentul (UE) 2016/679 și Directiva (UE) 2016/680, inclusiv în ceea ce privește prelucrarea datelor cu caracter personal în temeiul prezentului regulament. |
|
(46) |
Statele membre ar trebui să prevadă sancțiuni efective, proporționale și cu efect de descurajare, care să includă sancțiuni financiare și nefinanciare, împotriva transportatorilor aerieni care nu își respectă obligațiile care le revin în temeiul prezentului regulament, inclusiv în ceea ce privește colectarea datelor API prin mijloace automatizate și transferul de date cu respectarea termenelor, a formatelor și a protocoalelor necesare. În special, statele membre ar trebui să se asigure că pentru nerespectarea în mod repetat de către transportatorii aerieni, în calitate de persoane juridice, a obligației lor de a transfera orice date API către router în conformitate cu prezentul regulament se aplică sancțiuni financiare proporționale de până la 2 % din cifra de afaceri globală a transportatorului aerian din exercițiul financiar precedent. În plus, statele membre ar trebui să poată aplica sancțiuni, inclusiv sancțiuni financiare, transportatorilor aerieni pentru alte forme de nerespectare a obligațiilor care le revin în temeiul prezentului regulament. |
|
(47) |
Atunci când stabilesc normele privind sancțiunile aplicabile transportatorilor aerieni în temeiul prezentului regulament, statele membre ar putea ține seama de fezabilitatea tehnică și operațională a asigurării exactității depline a datelor. În plus, în cazul aplicării unor sancțiuni, ar trebui să fie determinate aplicarea și cuantumul acestora. Autoritățile naționale de supraveghere pentru datele API ar putea lua în considerare acțiunile întreprinse de transportatorul aerian pentru a atenua problema și nivelul acestuia de cooperare cu autoritățile naționale. |
|
(48) |
Întrucât routerul ar trebui să fie proiectat, dezvoltat, găzduit și gestionat din punct de vedere tehnic de eu-LISA, este necesar să se modifice Regulamentul (UE) 2018/1726 prin adăugarea respectivei atribuții la atribuțiile eu-LISA. Pentru a stoca rapoartele și statisticile generate de router pe Registrul Central de Raportare și Statistici (CRRS), stabilit prin Regulamentul (UE) 2019/818 al Parlamentului European și al Consiliului (17), este necesar să fie modificat regulamentul menționat. Pentru a sprijini asigurarea respectării prezentului regulament de către autoritatea națională de supraveghere pentru datele API, modificarea Regulamentul (UE) 2019/818 trebuie să includă dispoziții referitoare la statistici care să indice dacă datele API sunt exacte și complete, de exemplu indicând dacă datele au fost colectate prin mijloace automatizate. Este, de asemenea, important să se colecteze statistici fiabile și utile despre punerea în aplicare a prezentului regulament pentru a sprijini obiectivele acestuia și a contribui la evaluări în temeiul prezentului regulament. La cererea Comisiei, eu-LISA ar trebui să furnizeze statistici privind aspecte specifice legate de punerea în aplicare a prezentului regulament, cum ar fi statistici agregate privind transmiterea de date API către UIP. Astfel de statistici nu ar trebui să conțină date cu caracter personal. Prin urmare, CRRS ar trebui să furnizeze statistici bazate pe date API numai pentru punerea în aplicare și monitorizarea eficace a aplicării prezentului regulament. Datele pe care routerul le transmite automat către CRRS în acest scop nu ar trebui să permită identificarea pasagerilor în cauză. |
|
(49) |
Pentru a spori claritatea și securitatea juridică, pentru a contribui la asigurarea calității datelor și la utilizarea responsabilă a mijloacelor automatizate de colectare a datelor API care pot fi citite automat în temeiul prezentului regulament și la asigurarea colectării manuale a datelor API în circumstanțe excepționale și în cursul perioadei de tranziție, pentru a oferi claritate despre cerințele tehnice aplicabile transportatorilor aerieni și care sunt necesare pentru a se asigura că datele API colectate în temeiul prezentului regulament sunt transferate către router în mod securizat, eficace și rapid astfel încât să nu afecteze călătoriile pasagerilor și transportatorii aerieni mai mult decât este necesar, și pentru a se asigura că datele inexacte sau incomplete sau datele care nu mai sunt actualizate sunt corectate, completate sau actualizate, competența de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcționarea Uniunii Europene (TFUE) ar trebui să fie delegată Comisiei în ceea ce privește încheierea perioadei de tranziție pentru colectarea manuală a datelor API; în ceea ce privește adoptarea de măsuri referitoare la cerințele tehnice și normele operaționale pe care transportatorii aerieni ar trebui să le respecte în privința utilizării mijloacelor automatizate de colectare a datelor API care pot fi citite automat în temeiul prezentului regulament și pentru colectarea manuală a datelor API în circumstanțe excepționale și în cursul perioadei de tranziție, inclusiv cerințe pentru securitatea datelor; în ceea ce privește stabilirea normelor detaliate privind protocoalele comune și formatele de date compatibile care urmează să fie folosite pentru transferurile criptate ale datelor API către router, inclusiv cerințe privind securitatea datelor, și în ceea ce privește stabilirea normelor detaliate privind corectarea, completarea și actualizarea datelor API. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate cu părțile interesate relevante, inclusiv cu transportatorii aerieni și la nivel de experți, și ca respectivele consultări să se desfășoare în conformitate cu principiile stabilite în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare (18). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European și Consiliul primesc toate documentele în același timp cu experții din statele membre, iar experții acestor instituții au acces sistematic la reuniunile grupurilor de experți ale Comisiei însărcinate cu pregătirea actelor delegate. Ținând seama de stadiul actual al tehnologiei, respectivele cerințe tehnice și norme operaționale s-ar putea modifica în timp. |
|
(50) |
În vederea asigurării unor condiții uniforme pentru punerea în aplicare a prezentului regulament, și anume în ceea ce privește punerea în funcțiune a routerului, normele tehnice și procedurale pentru verificările datelor și notificări, normele tehnice și procedurale pentru transmiterea datelor API de la router la UIP, astfel încât să se asigure că transmiterea este sigură, eficace și rapidă și că impactul asupra călătoriilor pasagerilor și a transportatorilor aerieni nu depășește ceea ce este necesar și conexiunile UIP și ale transportatorilor aerieni la router și integrarea acestora în router și în vederea precizării responsabilităților care le revin statelor membre în calitate de operatori asociați, cum ar fi identificarea și gestionarea incidentelor de securitate, inclusiv a încălcărilor securității datelor cu caracter personal și relația dintre operatorii asociați și eu-LISA în calitate de persoană împuternicită de operator, inclusiv asistența acordată de eu-LISA operatorilor prin măsuri tehnice și organizatorice adecvate, în măsura în care este posibil, pentru îndeplinirea obligațiilor operatorului de a răspunde cererilor de exercitare a drepturilor persoanei vizate, ar trebui să fie conferite competențe de executare Comisiei. Respectivele competențe ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului (19). |
|
(51) |
Tuturor părților interesate, în special transportatorilor aerieni și UIP, ar trebui să li se acorde suficient timp pentru a efectua pregătirile necesare în vederea îndeplinirii obligațiilor care le revin în temeiul prezentului regulament, ținând seama de faptul că unele dintre respectivele pregătiri, cum ar fi cele referitoare la obligațiile privind conectarea la router și integrarea în acesta, pot fi încheiate numai după finalizarea etapelor de proiectare și dezvoltare a routerului și după punerea în funcțiune a routerului. Prin urmare, prezentul regulament ar trebui să se aplice numai de la o dată adecvată după data punerii în funcțiune a routerului, astfel cum se precizează de către Comisie în conformitate cu prezentul regulament și Regulamentul (UE) 2025/12. Cu toate acestea, Comisia ar trebui să aibă posibilitatea de a adopta acte delegate și de punere în aplicare în temeiul prezentului regulament anterior datei respective, astfel încât să se asigure că sistemul instituit prin prezentul regulament este operațional cât mai curând posibil. |
|
(52) |
Etapele de proiectare și dezvoltare a routerului instituit în temeiul prezentului regulament și al Regulamentului (UE) 2025/12 ar trebui să înceapă și să se finalizeze cât mai curând posibil, astfel încât routerul să poată fi pus în funcțiune cât mai curând posibil, ceea ce necesită, de asemenea, adoptarea actelor de punere în aplicare relevante prevăzute de prezentul regulament. Pentru desfășurarea armonioasă și eficace a etapelor respective, ar trebui să fie înființat un consiliu de gestionare a programului, cu funcția de supraveghere a eu-LISA în îndeplinirea atribuțiilor sale pe parcursul respectivelor etape. Acesta ar trebui să își încheie activitatea după doi ani de la punerea în funcțiune a routerului. În plus, ar trebui să fie înființat un organ consultativ dedicat, Grupul consultativ API-PNR, în conformitate cu Regulamentul (UE) 2018/1726, cu scopul de a furniza cunoștințe de specialitate eu-LISA și Consiliului de gestionare a programului cu privire la etapele de proiectare și dezvoltare a routerului, precum și eu-LISA cu privire la găzduirea și gestionarea routerului. Consiliul de gestionare a programului și Grupul consultativ API-PNR ar trebui să fie înființate și gestionate după modelul consiliilor de administrație ale programului și al grupurilor consultative existente. |
|
(53) |
Clarificările prevăzute de prezentul regulament în ceea ce privește aplicarea specificațiilor referitoare la utilizarea mijloacelor automatizate în temeiul Directivei 2004/82/CE ar trebui, de asemenea, să fie furnizate fără întârziere. Prin urmare, dispozițiile referitoare la aceste aspecte ar trebui să se aplice de la data intrării în vigoare a prezentului regulament. În plus, pentru a permite utilizarea voluntară a routerului cât mai curând posibil, dispozițiile privind o astfel de utilizare și alte dispoziții necesare pentru a se asigura că o astfel de utilizare se desfășoară în mod responsabil, ar trebui să se aplice cât mai curând posibil, și anume din momentul punerii în funcțiune a routerului. |
|
(54) |
Ar trebui să existe o structură de guvernanță unică în sensul prezentului regulament și al Regulamentului (UE) 2025/12. Cu scopul de a permite și de a încuraja comunicarea între reprezentanții transportatorilor aerieni și reprezentanții autorităților statelor membre competente în temeiul prezentului regulament și al Regulamentului (UE) 2025/12 pentru ca datele API să fie transmise de pe router, ar trebui să se înființeze două organisme dedicate în termen de cel mult doi ani de la punerea în funcțiune a routerului. Aspectele tehnice legate de utilizarea și funcționarea routerului ar trebui să fie discutate în cadrul Grupului de contact API-PNR, la care ar trebui să fie prezenți și reprezentanți ai eu-LISA. Chestiunile de politică, cum ar fi cele legate de sancțiuni, ar trebui să fie discutate în cadrul grupului de experți API. |
|
(55) |
Prezentul regulament ar trebui să facă obiectul unor evaluări periodice pentru a se asigura monitorizarea aplicării sale efective. În special, colectarea datelor API nu ar trebui să afecteze experiența de călătorie a pasagerilor care se deplasează în scopuri legitime. Prin urmare, Comisia ar trebui să includă în rapoartele sale periodice de evaluare privind aplicarea prezentului regulament o evaluare a impactului acestuia asupra experienței de călătorie a pasagerilor care se deplasează în scopuri legitime. Evaluarea ar trebui să includă, de asemenea, o estimare a calității datelor trimise prin intermediul routerului și a performanței routerului în ceea ce privește UIP. |
|
(56) |
Având în vedere că prezentul regulament necesită costuri administrative și de adaptare suplimentare din partea transportatorilor aerieni, sarcina de reglementare globală pentru sectorul aviației ar trebui să fie monitorizată îndeaproape. În acest context, raportul de evaluare a funcționării prezentului regulament ar trebui să aprecieze măsura în care au fost îndeplinite obiectivele prezentului regulament și măsura în care acesta a influențat competitivitatea sectorului. |
|
(57) |
Întrucât obiectivele prezentului regulament, și anume contribuția la prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave, având în vedere dimensiunea transnațională a infracțiunilor respective și necesitatea cooperării la nivel transfrontalier pentru a le aborda în mod eficace, nu pot fi realizate în mod satisfăcător de către statele membre în mod individual, ci pot fi realizate mai bine la nivelul Uniunii. Prin urmare, Uniunea poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană (TUE). În conformitate cu principiul proporționalității, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depășește ceea ce este necesar pentru realizarea obiectivelor respective. |
|
(58) |
Prezentul regulament nu aduce atingere competențelor statelor membre în ceea ce privește dreptul intern privind securitatea națională, cu condiția ca acesta să respecte dreptul Uniunii. |
|
(59) |
Prezentul regulament nu aduce atingere competenței statelor membre de a colecta, în temeiul dreptului lor dreptul intern, date privind pasagerii de la alți furnizori de servicii de transport decât cei specificați în prezentul regulament, cu condiția ca dreptul intern să respecte dreptul Uniunii. |
|
(60) |
În conformitate cu articolele 1 și 2 din Protocolul nr. 22 privind poziția Danemarcei, anexat la TUE și la TFUE, Danemarca nu participă la adoptarea prezentului regulament, acesta nu este obligatoriu pentru respectivul stat membru și nu i se aplică. |
|
(61) |
În conformitate cu articolul 3 din Protocolul nr. 21 privind poziția Regatului Unit și a Irlandei cu privire la spațiul de libertate, securitate și justiție, anexat la TUE și la TFUE, Irlanda a notificat intenția sa de a participa la adoptarea și la aplicarea prezentului regulament. |
|
(62) |
Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 și a emis un aviz la 8 februarie 2023 (20), |
ADOPTĂ PREZENTUL REGULAMENT:
CAPITOLUL 1
DISPOZIȚII GENERALE
Articolul 1
Obiectul
În scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave, prezentul regulament stabilește norme privind:
|
(a) |
colectarea informațiilor prealabile referitoare la pasageri (API) de către transportatorii aerieni pentru zborurile extra-UE și zborurile intra-UE; |
|
(b) |
transferul datelor API și a altor date din PNR de către transportatorii aerieni către router; |
|
(c) |
transmiterea datelor API și a altor date din PNR de la router către unitățile de informații despre pasageri (UIP) privind zborurile extra-UE și privind zborurile intra-UE selectate în acest sens. |
Prezentul regulament nu aduce atingere Regulamentelor (UE) 2016/679 și (UE) 2018/1725 și nici Directivei (UE) 2016/680.
Articolul 2
Domeniul de aplicare
Prezentul regulament se aplică transportatorilor aerieni care efectuează:
|
(a) |
zboruri extra-UE; |
|
(b) |
zboruri intra-UE care vor decola, ateriza sau face o escală pe teritoriul a cel puțin unui stat membru care a notificat Comisiei decizia sa de a aplica Directiva (UE) 2016/681 cu privire la zborurile intra-UE în conformitate cu articolul 2 alineatul (1) din directiva respectivă. |
Articolul 3
Definiții
În sensul prezentului regulament, se aplică următoarele definiții:
|
1. |
„transportator aerian” înseamnă un transportator aerian, în sensul definiției de la articolul 3 punctul 1 din Directiva (UE) 2016/681; |
|
2. |
„zboruri extra-UE” înseamnă orice zbor extra-UE, în sensul definiției de la articolul 3 punctul 2 din Directiva (UE) 2016/681; |
|
3. |
„zboruri intra-UE” înseamnă orice zbor intra-UE, în sensul definiției de la articolul 3 punctul 3 din Directiva (UE) 2016/681; |
|
4. |
„zbor regulat” înseamnă un zbor regulat, în sensul definiției de la articolul 3 punctul 5 din Regulamentul (UE) 2025/12; |
|
5. |
„zbor neregulat” înseamnă un zbor neregulat, în sensul definiției de la articolul 3 punctul 6 din Regulamentul (UE) 2025/12; |
|
6. |
„pasager” înseamnă un pasager, în sensul definiției de la articolul 3 punctul 4 din Directiva (UE) 2016/681; |
|
7. |
„echipaj” înseamnă orice persoană aflată la bordul unei aeronave în timpul zborului, alta decât un pasager, care își desfășoară activitatea la bordul aeronavei sau care operează aeronava respectivă, inclusiv echipajul de zbor și echipajul de cabină; |
|
8. |
„informații prealabile referitoare la pasageri” sau „date API” înseamnă datele și informațiile privind zborurile menționate la articolul 4 alineatul (2) și, respectiv, alineatul (3); |
|
9. |
„alte date din registrul cu numele pasagerilor” sau „alte date din PNR” înseamnă un registru cu numele pasagerilor, în sensul definiției de la articolul 3 punctul 5 din Directiva (UE) 2016/681, astfel cum sunt enumerate în anexa I la directiva menționată, cu excepția punctului 18 din respectiva anexă; |
|
10. |
„unitate de informații despre pasageri” sau „UIP” înseamnă unitatea de informații despre pasageri, astfel cum figurează în notificările adresate de statele membre Comisiei și modificările cu privire la acestea publicate de Comisie în temeiul articolului 4 alineatul (5) din Directiva (UE) 2016/681; |
|
11. |
„infracțiuni de terorism” înseamnă infracțiunile de terorism, menționate la articolele 3-12 din Directiva (UE) 2017/541 a Parlamentului European și a Consiliului (21); |
|
12. |
„infracțiune gravă” înseamnă o infracțiune gravă, în sensul definiției de la articolul 3 punctul 9 din Directiva (UE) 2016/681; |
|
13. |
„router” înseamnă routerul menționat la articolul 9 din prezentul regulament și la articolul 11 din Regulamentul (UE) 2025/12; |
|
14. |
„date cu caracter personal” înseamnă datele cu caracter personal, astfel cum sunt definite la articolul 3 punctul 1 din Directiva (UE) 2016/680 și la articolul 4 punctul 1 din Regulamentul (UE) 2016/679; |
|
15. |
„date în timp real privind traficul aerian” înseamnă informații privind traficul zborurilor de sosire și de plecare al unui aeroport care intră sub incidența prezentului regulament. |
CAPITOLUL 2
COLECTAREA, TRANSFERUL, STOCAREA ȘI ȘTERGEREA DATELOR API
Articolul 4
Colectarea datelor API de către transportatorii aerieni
(1) Transportatorii aerieni colectează datele API ale fiecărui pasager și membru al echipajului pentru zborurile menționate la articolul 2, care urmează să fie transferate către router în conformitate cu articolul 5. În cazul unui zbor al cărui cod este partajat de transportatorii aerieni, obligația de a transfera datele API îi revine transportatorului aerian care operează zborul.
(2) Datele API constau doar în următoarele date referitoare la fiecare pasager și membru al echipajului ai zborului:
|
(a) |
numele (numele de familie), prenumele; |
|
(b) |
data nașterii, sexul și cetățenia; |
|
(c) |
tipul și numărul documentului de călătorie și codul format din trei litere al țării care a eliberat documentul de călătorie; |
|
(d) |
data expirării duratei de valabilitate a documentului de călătorie; |
|
(e) |
numărul de identificare a unui registru cu numele pasagerilor utilizat de un transportator aerian pentru a localiza un pasager în sistemul său de informații (codul de reper al dosarului pasagerului); |
|
(f) |
informațiile privind locurile corespunzătoare locului din aeronavă atribuit unui pasager, în cazul în care sunt disponibile astfel de informații; |
|
(g) |
numărul sau numerele etichetei bagajului și numărul și greutatea bagajelor înregistrate, în cazul în care sunt disponibile astfel de informații; |
|
(h) |
un cod care indică metoda utilizată pentru captarea și validarea datelor menționate la literele (a)-(d). |
(3) Datele API constau, de asemenea, doar în următoarele informații referitoare la zborul fiecărui pasager și membru al echipajului:
|
(a) |
numărul de identificare al zborului sau, în cazul în care zborul este partajat de transportatorii aerieni, numerele de identificare ale zborurilor sau, dacă nu există un astfel de număr, alte mijloace clare și adecvate de identificare a zborului; |
|
(b) |
dacă este cazul, punctul de trecere a frontierei la intrarea pe teritoriul statului membru; |
|
(c) |
codul aeroportului de sosire sau, în cazul în care zborul este planificat să aterizeze pe unul sau mai multe aeroporturi situate pe teritoriul unuia sau mai multor state membre cărora li se aplică prezentul regulament, codurile aeroporturilor de escală pe teritoriile statelor membre în cauză; |
|
(d) |
codul aeroportului de plecare al zborului; |
|
(e) |
codul aeroportului unde se află punctul de îmbarcare inițial, dacă este disponibil; |
|
(f) |
data locală și ora de plecare; |
|
(g) |
data locală și ora de sosire; |
|
(h) |
datele de contact ale transportatorului aerian; |
|
(i) |
formatul folosit pentru transferul datelor API. |
(4) Transportatorii aerieni colectează datele API într-un mod care garantează că datele API pe care le transferă în conformitate cu articolul 5 sunt exacte, complete și actualizate. Respectarea acestei obligații nu presupune ca transportatorii aerieni să verifice documentul de călătorie la momentul îmbarcării în aeronavă, fără ca aceasta să aducă atingere dreptului intern compatibil cu dreptul Uniunii.
(5) Prezentul regulament nu impune pasagerilor obligația de a avea asupra lor un document de călătorie atunci când călătoresc, fără a aduce atingere altor dispoziții de drept al Uniunii sau de drept intern compatibil cu dreptul Uniunii.
(6) Un stat membru poate impune transportatorilor aerieni obligația de a oferi pasagerilor posibilitatea de a introduce în mod voluntar datele menționate la articolul 4 alineatul (2) literele (a)-(d) din Regulamentul (UE) 2025/12 prin mijloace automatizate și de a stoca astfel de date în vederea transferului datelor în scopul zborurilor viitoare, în conformitate cu articolul 5 din prezentul regulament și într-un mod care să respecte cerințele prevăzute la alineatele (4), (7) și (8) de la prezentul articol. Un stat membru care impune o astfel de obligație stabilește normele și garanțiile privind protecția datelor, în conformitate cu Regulamentul (UE) 2016/679, inclusiv norme privind durata de stocare. Cu toate acestea, datele se șterg în cazul în care pasagerul nu mai este de acord cu stocarea datelor sau cel târziu la data expirării duratei de valabilitate a documentului de călătorie.
(7) Transportatorii aerieni colectează datele API menționate la alineatul (2) literele (a)-(d) utilizând mijloace automatizate pentru a colecta datele care pot fi citite automat din documentul de călătorie ale pasagerului în cauză. Aceștia colectează datele în conformitate cu cerințele tehnice detaliate și cu normele operaționale menționate la alineatul (12), de îndată ce astfel de norme au fost adoptate și sunt aplicabile.
În cazul în care transportatorii aerieni pun la dispoziție un proces de înregistrare online, aceștia le permit pasagerilor să furnizeze datele API menționate la alineatul (2) literele (a)-(d) prin mijloace automatizate în timpul procesului respectiv de înregistrare online. În cazul pasagerilor care nu se înregistrează online, transportatorii aerieni le permit pasagerilor respectivi să furnizeze datele API respective prin mijloace automatizate în timpul înregistrării la aeroport, cu ajutorul unui chioșc cu autoservire sau al personalului transportatorilor aerieni la ghișeu.
În cazul în care utilizarea mijloacelor automatizate nu este posibilă din punct de vedere tehnic, transportatorii aerieni colectează manual, în mod excepțional, datele API menționate la alineatul (2) literele (a)-(d), fie ca parte a procesului de înregistrare online, fie ca parte a înregistrării la aeroport, astfel încât să se asigure respectarea alineatului (4).
(8) Toate mijloacele automatizate utilizate de transportatorii aerieni pentru a colecta date API în temeiul prezentului regulament trebuie să fie fiabile, securizate și actualizate. Transportatorii aerieni se asigură că datele API sunt criptate în timpul transferului de astfel de date de la pasager la transportatorii aerieni.
(9) Pe parcursul unei perioade de tranziție și în plus față de mijloacele automatizate menționate la alineatul (7), transportatorii aerieni le oferă pasagerilor posibilitatea de a furniza manual datele API în cadrul înregistrării online. În astfel de cazuri, transportatorii aerieni utilizează tehnici de verificare a datelor pentru a asigura respectarea alineatului (4).
(10) Perioada de tranziție menționată la alineatul (9) nu afectează dreptul transportatorilor aerieni de a verifica, la aeroport, înainte de îmbarcarea în aeronavă, datele API colectate în cadrul înregistrării online pentru a asigura respectarea alineatului (4), în conformitate cu dreptul aplicabil al Uniunii.
(11) Comisia este împuternicită să adopte, după patru ani de la punerea în funcțiune a routerului în ceea ce privește datele API menționate la articolul 34 și pe baza unei evaluări a disponibilității și accesibilității mijloacelor automatizate de colectare a datelor API, un act delegat în conformitate cu articolul 43 pentru a încheia perioada de tranziție menționată la alineatul (9) de la prezentul articol.
(12) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 43 pentru a completa prezentul regulament prin stabilirea cerințelor tehnice detaliate și a normelor operaționale pentru colectarea datelor API menționate la alineatul (2) literele (a)-(d) de la prezentul articol, utilizând mijloace automatizate în conformitate cu alineatele (7) și (8) de la prezentul articol, și pentru colectarea manuală a datelor API în circumstanțe excepționale în conformitate cu alineatul (7) de la prezentul articol și în cursul perioadei de tranziție menționate la alineatul (9) de la prezentul articol. Respectivele cerințe tehnice detaliate și norme operaționale includ cerințe privind securitatea datelor și pentru utilizarea celor mai fiabile mijloace automatizate disponibile pentru colectarea datelor care pot fi citite automat dintr-un document de călătorie.
Articolul 5
Obligațiile transportatorilor aerieni privind transferurile de date API și de alte date din PNR
(1) Transportatorii aerieni transferă către router, prin mijloace electronice, datele API criptate care urmează să fie transmise UIP în conformitate cu articolul 12. Transportatorii aerieni transferă datele API în conformitate cu normele detaliate menționate la alineatul (4) de la prezentul articol, de îndată ce astfel de norme au fost adoptate și sunt aplicabile.
(2) Atunci când adoptă măsuri în conformitate cu articolul 8 alineatul (1) din Directiva (UE) 2016/681, statele membre solicită transportatorilor aerieni să transfere orice alte date din PNR pe care le colectează în desfășurarea normală a activităților lor exclusiv către router, în conformitate cu protocoalele comune și formatele de date stabilite în temeiul articolului 16 din directiva respectivă.
(3) Transportatorii aerieni transferă datele API:
|
(a) |
pentru pasageri:
|
|
(b) |
pentru toți membrii echipajului, imediat după închiderea zborului, și anume după îmbarcarea echipajului în aeronava care se pregătește de decolare și când acesta nu mai poate debarca. |
(4) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 43 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind protocoalele comune și formatele de date compatibile care trebuie să fie utilizate pentru transferurile criptate de date API către router menționate la alineatul (1) de la prezentul articol, inclusiv transferul de date API în momentul înregistrării și cerințele pentru securitatea datelor. Astfel de norme detaliate asigură că transportatorii aerieni transferă datele API utilizând aceeași structură și același conținut.
Articolul 6
Perioada de stocare și ștergerea datelor API
Transportatorii aerieni stochează pentru o perioadă de 48 de ore de la momentul primirii de către router a datelor API care i-au fost transferate în conformitate cu articolul 5 alineatul (3) litera (a) punctul (ii) și litera (b) datele API în legătură cu toți pasagerii și echipajul pe care le-au colectat în temeiul articolului 4. Transportatorii aerieni șterg imediat și definitiv astfel de date API după expirarea respectivei perioade, fără a aduce atingere posibilității ca transportatorii aerieni să păstreze și să utilizeze datele atunci când acest lucru este necesar pentru desfășurarea normală a activităților lor, în conformitate cu dreptul aplicabil și cu articolul 16 alineatele (1) și (3).
Articolul 7
Corectarea, completarea și actualizarea datelor API
(1) În cazul în care un transportator aerian ia cunoștință de faptul că datele pe care le stochează în temeiul prezentului regulament au fost prelucrate în mod ilegal sau nu constituie date API, acesta șterge imediat și definitiv datele respective. Dacă datele respective au fost transferate către router, transportatorul aerian informează imediat Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA). După primirea unor astfel de informații, eu-LISA informează imediat UIP care a primit datele transmise prin router.
(2) În cazul în care un transportator aerian ia cunoștință de faptul că datele pe care le stochează în temeiul prezentului regulament sunt inexacte, incomplete sau nu mai sunt actuale, acesta corectează, completează sau actualizează imediat datele respective. Această dispoziție nu aduce atingere posibilității ca transportatorii aerieni să păstreze și să utilizeze datele atunci când acest lucru este necesar pentru desfășurarea normală a activităților lor, în conformitate cu dreptul aplicabil.
(3) În cazul în care un transportator aerian ia cunoștință, după transferul datelor API în temeiul articolului 5 alineatul (3) litera (a) punctul (i), dar înainte de transferul în temeiul articolului 5 alineatul (3) litera (a) punctul (ii), de faptul că datele pe care le-a transferat sunt inexacte, transportatorul aerian transferă imediat datele API corectate către router.
(4) În cazul în care un transportator aerian ia cunoștință, după transferul datelor API în temeiul articolului 5 alineatul (3) litera (a) punctul (ii) sau al articolului 5 alineatul (3) litera (b), de faptul că datele pe care le-a transferat sunt inexacte, incomplete sau nu mai sunt actuale, transportatorul aerian transferă imediat datele API corectate, completate sau actualizate către router.
(5) Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 43 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind corectarea, completarea și actualizarea datelor API în sensul prezentului articol.
Articolul 8
Drepturile fundamentale
(1) Colectarea și prelucrarea datelor cu caracter personal în conformitate cu prezentul regulament și cu Regulamentul (UE) 2025/12 de către transportatorii aerieni și autoritățile competente nu conduce la discriminarea persoanelor din motivele menționate la articolul 21 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).
(2) Prezentul regulament respectă pe deplin demnitatea umană, drepturile fundamentale și principiile recunoscute de cartă, inclusiv dreptul la respectarea vieții private, la azil, la protecția datelor cu caracter personal, la libertatea de circulație și la căi de atac eficiente.
(3) Se acordă o atenție deosebită copiilor, vârstnicilor, persoanelor cu dizabilități și persoanelor vulnerabile. Interesul superior al copilului trebuie să fie considerat primordial la punerea în aplicare a prezentului regulament.
CAPITOLUL 3
DISPOZIȚII PRIVIND ROUTERUL
Articolul 9
Routerul
(1) eu-LISA proiectează, dezvoltă, găzduiește și gestionează din punct de vedere tehnic, în conformitate cu articolele 25 și 26, un router în scopul facilitării transferului de date API criptate și de alte date din PNR de către transportatorii aerieni către UIP, în conformitate cu prezentul regulament.
(2) Routerul este alcătuit din următoarele elemente:
|
(a) |
o infrastructură centrală, inclusiv un set de componente tehnice care permit primirea și transmiterea datelor API criptate și a altor date din PNR; |
|
(b) |
un canal securizat de comunicații între infrastructura centrală și UIP, precum și un canal securizat de comunicații între infrastructura centrală și transportatorii aerieni, pentru transferul și transmiterea de date API și de alte date din PNR și pentru orice fel de comunicații legate de acestea și pentru ca statele membre să introducă în router zborurile selectate menționate la articolul 12 alineatul (4) și actualizările conexe; |
|
(c) |
un canal securizat pentru primirea datelor în timp real privind traficul aerian. |
(3) Fără a aduce atingere articolului 10 din prezentul regulament, routerul partajează și reutilizează, atunci când este cazul și în măsura în care este posibil din punct de vedere tehnic, componentele tehnice, inclusiv componentele hardware și software, ale serviciului web menționat la articolul 13 din Regulamentul (UE) 2017/2226, ale portalului pentru operatorii de transport menționat la articolul 6 alineatul (2) litera (k) din Regulamentul (UE) 2018/1240 și ale portalului pentru operatorii de transport menționat la articolul 45c din Regulamentul (CE) nr. 767/2008.
eu-LISA proiectează routerul, în măsura în care acest lucru este posibil din punct de vedere tehnic și operațional, într-un mod care să fie corelat și concordant cu obligațiile transportatorilor aerieni stabilite în Regulamentele (CE) nr. 767/2008, (UE) 2017/2226 și (UE) 2018/1240.
(4) În conformitate cu articolul 39 din prezentul regulament, routerul extrage și pune datele la dispoziția registrului central de raportare și statistici (CRRS), instituit prin articolul 39 din Regulamentul (UE) 2019/818, în mod automat.
(5) eu-LISA proiectează și dezvoltă routerul astfel încât, pentru orice transfer de date API și de alte date din PNR de la transportatorii aerieni către router, în conformitate cu articolul 5, și pentru orice transmitere a datelor API și a altor date din PNR de la router către UIP, în conformitate cu articolul 12, și către CRRS, în conformitate cu articolul 39 alineatul (2), datele API și alte date din PNR să fie criptate de la un capăt la altul în timpul transferului.
Articolul 10
Utilizarea exclusivă a routerului
În sensul prezentului regulament, routerul este utilizat numai:
|
(a) |
de către transportatorii aerieni, pentru a transfera date API criptate și alte date din PNR, în conformitate cu prezentul regulament; |
|
(b) |
de către UIP, pentru a primi date API criptate și alte date din PNR, în conformitate cu prezentul regulament; |
|
(c) |
pe baza acordurilor internaționale care permit transferul de date din PNR prin intermediul routerului, încheiate de Uniune cu țări terțe care au semnat un acord care prevede asocierea acestora la punerea în aplicare, asigurarea respectării și dezvoltarea acquis-ului Schengen. |
Prezentul articol nu aduce atingere articolului 12 din Regulamentul (UE) 2025/12.
Articolul 11
Verificarea formatului datelor și a transferurilor
(1) Într-o manieră automată și pe baza datelor în timp real privind traficul aerian, routerul verifică dacă transportatorul aerian a transferat datele API în conformitate cu articolul 5 alineatul (1) sau alte date din PNR în conformitate cu articolul 5 alineatul (2).
(2) Imediat și într-o manieră automată, routerul verifică dacă datele API care i-au fost transferate în conformitate cu articolul 5 alineatul (1) respectă normele detaliate privind formatele de date compatibile, menționate la articolul 5 alineatul (4).
(3) Imediat și într-o manieră automată, routerul verifică dacă alte date din PNR care i-au fost transferate în conformitate cu articolul 5 alineatul (2) respectă normele privind formatele de date compatibile, menționate la articolul 16 din Directiva (UE) 2016/681.
(4) Dacă verificarea menționată la alineatul (1) stabilește că datele nu au fost transferate de transportatorul aerian sau dacă verificarea menționată la alineatul (2) sau (3) stabilește că datele nu respectă normele detaliate privind formatele de date compatibile, routerul notifică acest lucru imediat și automat transportatorului aerian vizat și UIP din statele membre cărora urma să li se transmită datele în temeiul articolului 12 alineatul (1). În astfel de cazuri, transportatorul aerian transferă imediat datele API și alte date din PNR în conformitate cu articolul 5.
(5) Comisia adoptă acte de punere în aplicare în care se precizează normele tehnice și procedurale detaliate necesare pentru verificările și notificările menționate la alineatele (1)-(4) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 42 alineatul (2).
Articolul 12
Transmiterea datelor API și a altor date din PNR de la router către UIP
(1) În urma verificării formatului datelor și a transferurilor menționate la articolul 11, routerul transmite datele API criptate și oricare alte date din PNR, care i-au fost transferate de către transportatorii aerieni în temeiul articolului 5 alineatele (1) și (2) și, după caz, al articolului 7 alineatele (3) și (4), către UIP din statul membru pe teritoriul căruia va ateriza zborul sau de pe teritoriul căruia va decola zborul sau către ambele, în cazul zborurilor intra-UE. Routerul transmite imediat și în mod automat datele respective, fără a le schimba conținutul în vreun fel. În cazul în care un zbor are una sau mai multe escale pe teritoriul altor state membre decât cel de unde a decolat, routerul transmite datele API și oricare alte date din PNR către UIP din toate statele membre în cauză.
În scopul unei astfel de transmiteri, eu-LISA stabilește și actualizează un tabel de corespondență între diferitele aeroporturi de origine și de destinație și țările în care sunt situate respectivele aeroporturi.
Cu toate acestea, pentru zborurile intra-UE, routerul transmite numai datele API și alte date din PNR pentru zborurile incluse pe lista menționată la alineatul (4) către UIP relevante.
(2) Routerul transmite datele API și alte date din PNR în conformitate cu normele detaliate menționate la alineatul (6), odată ce astfel de norme au fost adoptate și sunt aplicabile.
(3) Statele membre se asigură că UIP, după primirea datelor API și a altor date din PNR în conformitate cu alineatul (1), confirmă imediat și în mod automat primirea unor astfel de date routerului.
(4) Statele membre care decid să aplice Directiva (UE) 2016/681 în cazul zborurilor intra-UE, în conformitate cu articolul 2 din directiva menționată, întocmesc fiecare câte o listă a zborurilor intra-UE în cauză sau a rutelor selectate. Statele membre pot utiliza codul aeroportului de plecare și al aeroportului de sosire pentru a indica zborurile sau rutele selectate. Statele membre respective, în conformitate cu articolul 2 din directiva menționată și cu articolul 13 din prezentul regulament, revizuiesc și, dacă este necesar, actualizează periodic listele respective. Un stat membru poate selecta toate zborurile sau rutele intra-UE atunci când acest lucru se justifică în mod corespunzător, în conformitate cu Directiva (UE) 2016/681 și cu articolul 13 din prezentul regulament.
Până la data relevantă a aplicării prezentului regulament menționată la articolul 45 al doilea paragraf, statele membre introduc zborurile sau rutele selectate în router, prin mijloace automatizate prin canalul securizat de comunicații menționat la articolul 9 alineatul (2) litera (b), și, ulterior, furnizează routerului actualizările acestora.
(5) Informațiile introduse de statele membre în router sunt tratate cu confidențialitate, iar accesul personalului eu-LISA la informațiile respective se limitează la ceea ce este strict necesar pentru soluționarea problemelor tehnice. La primirea de către router a informațiilor respective sau a oricăror actualizări ale acestora de la un stat membru, eu-LISA se asigură că routerul transmite imediat datele API și alte date din PNR către UIP din statul membru respectiv în ceea ce privește zborurile sau rutele selectate, în conformitate cu alineatul (1).
(6) Comisia adoptă acte de punere în aplicare care precizează normele tehnice și procedurale detaliate necesare pentru transmiterea datelor API și a altor date din PNR de la routerul menționat la alineatul (1) de la prezentul articol și pentru introducerea informațiilor în routerul menționat la alineatul (4) de la prezentul articol, inclusiv în ceea ce privește cerințele privind securitatea datelor. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 42 alineatul (2).
Articolul 13
Selectarea zborurilor intra-UE
(1) Statele membre care decid, în conformitate cu articolul 2 din Directiva (UE) 2016/681, să aplice directiva respectivă și, în consecință, prezentul regulament zborurilor intra-UE selectează respectivele zboruri intra-UE în conformitate cu prezentul articol.
(2) Statele membre pot aplica Directiva (UE) 2016/681 și, în consecință, prezentul regulament tuturor zborurilor intra-UE care sosesc pe teritoriul lor sau pleacă de pe teritoriul lor numai în situații de amenințare teroristă reală, prezentă sau previzibilă, pe baza unei decizii întemeiate pe o evaluare a amenințării, limitată în timp la ceea ce este strict necesar și care poate face obiectul unei revizuiri efective fie de către o instanță judecătorească, fie de către un organism administrativ independent a cărui decizie este obligatorie.
(3) În absența unei amenințări teroriste reale, prezente sau previzibile, statele membre care aplică Directiva (UE) 2016/681 și, în consecință, prezentul regulament zborurilor intra-UE selectează astfel de zboruri intra-UE în funcție de rezultatul unei evaluări efectuate pe baza cerințelor prevăzute la alineatele (4)-(7) de la prezentul articol.
(4) Evaluarea prevăzută la alineatul (3):
|
(a) |
se desfășoară în mod obiectiv, justificat corespunzător și nediscriminatoriu, în conformitate cu articolul 2 din Directiva (UE) 2016/681; |
|
(b) |
ia în considerare numai criteriile care sunt relevante pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave care au o legătură obiectivă, inclusiv o legătură indirectă, cu transportul aerian de pasageri și care nu se bazează exclusiv pe motivele menționate la articolul 21 din cartă pentru orice pasager sau grup de pasageri; |
|
(c) |
utilizează numai informații care pot sprijini o evaluare obiectivă, justificată în mod corespunzător și nediscriminatorie. |
(5) Pe baza evaluării menționate la alineatul (3), statele membre selectează numai zborurile intra-UE legate, printre altele, de anumite rute, modele de călătorie sau aeroporturi pentru care există indicii de infracțiuni teroriste și infracțiuni grave și care justifică prelucrarea datelor API și a altor date din PNR. Selectarea zborurilor intra-UE se limitează la ceea ce este strict necesar pentru atingerea obiectivelor Directivei (UE) 2016/681 și ale prezentului regulament.
(6) Statele membre păstrează toată documentația evaluării menționate la alineatul (3), inclusiv, dacă este cazul, orice revizuire a acesteia, și o pun la dispoziția autorităților lor independente de supraveghere și a autorităților naționale de supraveghere, la cerere, în conformitate cu Directiva (UE) 2016/680.
(7) În conformitate cu articolul 2 din Directiva (UE) 2016/681, statele membre își revizuiesc periodic și cel puțin o dată la 12 luni evaluarea menționată la alineatul (3), pentru a ține seama de modificările circumstanțelor care au justificat selectarea zborurilor intra-UE și pentru a se asigura că selectarea zborurilor intra-UE continuă să se limiteze la ceea ce este strict necesar.
(8) Comisia facilitează un schimb periodic de opinii privind criteriile de selecție pentru evaluarea menționată la alineatul (3), inclusiv partajarea celor mai bune practici, precum și, în mod voluntar, schimbul de informații privind zborurile selectate.
Articolul 14
Ștergerea datelor API și a altor date din PNR de pe router
Datele API și alte date din PNR transferate către router în temeiul prezentului regulament se stochează pe router numai în măsura în care acest lucru este necesar pentru a finaliza transmiterea către UIP relevante în conformitate cu prezentul regulament și sunt șterse de pe router imediat, permanent și automat, în următoarele două situații:
|
(a) |
în cazul în care se confirmă, în conformitate cu articolul 12 alineatul (3), că transmiterea datelor API și a altor date din PNR către UIP relevante a fost finalizată; |
|
(b) |
în cazul în care datele API și alte date din PNR se referă la alte zboruri intra-UE decât cele incluse pe listele menționate la articolul 12 alineatul (4). |
Routerul informează automat eu-LISA și UIP despre ștergerea imediată a zborurilor intra-UE menționate la litera (b).
Articolul 15
Prelucrarea datelor API și a altor date din PNR de către UIP
Datele API și alte date din PNR transmise UIP în conformitate cu prezentul regulament sunt prelucrate ulterior de UIP în conformitate cu Directiva (UE) 2016/681, în special în ceea ce privește normele privind prelucrarea datelor API și a altor date din PNR de către UIP, printre care cele prevăzute la articolele 6, 10, 12 și 13 din respectiva directivă și exclusiv în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor de terorism și a infracțiunilor grave.
UIP sau alte autorități competente nu prelucrează sub nicio formă date API și alte date din PNR în scopul creării de profiluri, astfel cum se menționează la articolul 11 alineatul (3) din Directiva (UE) 2016/680.
Articolul 16
Acțiuni în cazul imposibilității tehnice de a utiliza routerul
(1) În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite date API sau alte date din PNR din cauza unei disfuncționalități a routerului, eu-LISA notifică imediat și în mod automat transportorii aerieni și UIP în legătură cu respectiva imposibilitate tehnică. În acest caz, eu-LISA ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul și notifică imediat transportatorii aerieni și UIP odată remediată imposibilitatea respectivă.
În perioada dintre respectivele notificări, articolul 5 alineatul (1) nu se aplică, în măsura în care imposibilitatea tehnică împiedică transferul datelor API sau al altor date din PNR către router. Transportatorii aerieni stochează datele API și alte date din PNR până la remedierea imposibilității tehnice. Imediat după remedierea imposibilității tehnice, transportatorii aerieni transferă datele către router în conformitate cu articolul 5 alineatul (1).
În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul și în cazuri excepționale legate de obiectivele prezentului regulament, care impun ca UIP să primească imediat date API sau alte date din PNR în timpul imposibilității tehnice de a utiliza routerul, UIP pot solicita transportatorilor aerieni să utilizeze orice alte mijloace adecvate care asigură nivelul necesar de securitate a datelor, de calitate a datelor și de protecție a datelor, pentru a transfera datele API sau alte date din PNR direct către UIP. UIP prelucrează datele API sau alte date din PNR primite prin orice alte mijloace adecvate, în conformitate cu normele și garanțiile prevăzute în Directiva (UE) 2016/681.
În urma notificării din partea eu-LISA cu privire la faptul că imposibilitatea tehnică a fost remediată și în cazul în care se confirmă, în conformitate cu articolul 12 alineatul (3), că transmiterea datelor API sau a altor date din PNR prin intermediul routerului către UIP relevantă a fost finalizată, UIP șterge imediat datele API sau alte date din PNR primite prin orice alte mijloace adecvate.
(2) În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite datele API sau alte date din PNR din cauza unei disfuncționalități a sistemelor sau a infrastructurilor unui stat membru, menționate la articolul 23, UIP din statul membru respectiv notifică imediat, în mod automat celelalte UIP, eu-LISA și Comisia cu privire la respectiva imposibilitate tehnică. În acest caz, respectivul stat membru ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul și notifică imediat celelalte UIP, eu-LISA și Comisia odată remediată respectiva imposibilitate. Routerul stochează datele API și alte date din PNR până la remedierea imposibilității tehnice. Imediat după remedierea imposibilității tehnice, routerul transmite datele în conformitate cu articolul 12 alineatul (1).
În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul și în cazuri excepționale legate de obiectivele prezentului regulament, care impun ca UIP să primească imediat date API sau alte date din PNR în timpul imposibilității tehnice de a utiliza routerul, UIP pot solicita transportatorilor aerieni să utilizeze orice alte mijloace adecvate care asigură nivelul necesar de securitate a datelor, calitate a datelor și protecție a datelor pentru a transfera datele API sau alte date din PNR direct către UIP. UIP prelucrează datele API sau alte date din PNR primite prin orice alte mijloace adecvate, în conformitate cu normele și garanțiile prevăzute în Directiva (UE) 2016/681.
În urma notificării din partea eu-LISA cu privire la faptul că imposibilitatea tehnică a fost remediată și în cazul în care se confirmă, în conformitate cu articolul 12 alineatul (3), că transmiterea datelor API sau a altor date din PNR prin intermediul routerului către UIP relevantă a fost finalizată, UIP șterge imediat datele API sau alte date din PNR primite prin orice alte mijloace adecvate.
(3) În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transfera datele API sau alte date din PNR din cauza unei disfuncționalități a sistemelor sau a infrastructurilor unui transportator aerian menționate la articolul 24, respectivul transportator aerian notifică imediat, în mod automat, UIP, agenția eu-LISA și Comisia în legătură cu această imposibilitate tehnică. În acest caz, respectivul transportator aerian ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul și notifică imediat UIP, eu-LISA și Comisia odată remediată imposibilitatea respectivă.
În perioada dintre respectivele notificări, articolul 5 alineatul (1) nu se aplică, în măsura în care imposibilitatea tehnică împiedică transferul datelor API sau al altor date din PNR către router. Transportatorii aerieni stochează datele API și alte date din PNR până la remedierea imposibilității tehnice. Imediat după remedierea imposibilității tehnice, transportatorii aerieni transferă datele către router în conformitate cu articolul 5 alineatul (1).
În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul și în cazuri excepționale legate de obiectivele prezentului regulament, care impun ca UIP să primească imediat date API sau alte date din PNR în timpul imposibilității tehnice de a utiliza routerul, UIP pot solicita transportatorilor aerieni să utilizeze orice alte mijloace adecvate care asigură nivelul necesar de securitate a datelor, de calitate a datelor și de protecție a datelor, pentru a transfera datele API sau alte date din PNR direct către UIP. UIP prelucrează datele API sau alte date din PNR primite prin orice alte mijloace adecvate, în conformitate cu normele și garanțiile prevăzute în Directiva (UE) 2016/681.
În urma notificării din partea eu-LISA cu privire la faptul că imposibilitatea tehnică a fost remediată și în cazul în care se confirmă, în conformitate cu articolul 12 alineatul (3), că transmiterea datelor API sau a altor date din PNR prin intermediul routerului către UIP relevantă a fost finalizată, UIP șterge imediat datele API sau alte date din PNR primite prin orice alte mijloace adecvate.
Atunci când imposibilitatea tehnică a fost remediată, transportatorul aerian în cauză prezintă fără întârziere autorității naționale de supraveghere pentru datele API menționate la articolul 37 un raport care conține toate detaliile necesare privind imposibilitatea tehnică, inclusiv motivele, amploarea și consecințele imposibilității tehnice, precum și măsurile luate pentru a o remedia.
CAPITOLUL 4
DISPOZIȚII SPECIFICE PRIVIND PROTECȚIA DATELOR CU CARACTER PERSONAL ȘI SECURITATEA
Articolul 17
Păstrarea înregistrărilor
(1) Transportatorii aerieni creează înregistrări ale tuturor operațiunilor de prelucrare legate de datele API efectuate în temeiul prezentului regulament prin utilizarea mijloacelor automatizate menționate la articolul 4 alineatul (7). Respectivele înregistrări includ data, ora și locul transferului datelor API. Respectivele înregistrări nu conțin nicio dată cu caracter personal, în afara informațiilor necesare pentru identificarea angajatului relevant al transportatorului aerian.
(2) Agenția eu-LISA păstrează înregistrări ale tuturor operațiunilor de prelucrare legate de transferul și transmiterea datelor API sau ale altor date din PNR prin intermediul routerului în temeiul prezentului regulament. Respectivele înregistrări includ următoarele elemente:
|
(a) |
transportatorul aerian care a transferat datele API și alte date din PNR către router; |
|
(b) |
transportatorul aerian care a transferat alte date din PNR către router; |
|
(c) |
UIP cărora le-au fost transmise datele API prin intermediul routerului; |
|
(d) |
UIP cărora le-au fost transmise alte date din PNR prin intermediul routerului; |
|
(e) |
data și ora transferului sau al transmiterii menționate la literele (a)-(d), precum și locul transferului sau al transmiterii; |
|
(f) |
orice acces al personalului eu-LISA necesar pentru întreținerea routerului, așa cum se menționează la articolul 26 alineatul (3); |
|
(g) |
orice alte informații referitoare la respectivele operațiuni de prelucrare necesare pentru a monitoriza securitatea și integritatea datelor API și a altor date din PNR, precum și legalitatea respectivelor operațiuni de prelucrare. |
Respectivele înregistrări nu includ alte date cu caracter personal în afara informațiilor necesare pentru identificarea membrului relevant al personalului eu-LISA menționat la primul paragraf litera (f).
(3) Înregistrările menționate la alineatele (1) și (2) de la prezentul articol se utilizează numai pentru a asigura securitatea și integritatea datelor API și a altor date din PNR și legalitatea prelucrării, în special în ceea ce privește respectarea cerințelor prevăzute în prezentul regulament, inclusiv procedurile de sancționare a încălcărilor cerințelor respective în conformitate cu articolele 37 și 38.
(4) Transportatorii aerieni și eu-LISA iau măsurile corespunzătoare pentru a proteja înregistrările pe care le-au creat în temeiul alineatului (1) și, respectiv, al alineatului (2) împotriva accesului neautorizat și a altor riscuri pentru securitate.
(5) Autoritatea națională de supraveghere pentru datele API menționată la articolul 37 și UIP au acces la înregistrările relevante menționate la alineatul (1) de la prezentul articol, în cazul în care acest lucru este necesar în scopurile menționate la alineatul (3) de la prezentul articol.
(6) Transportatorii aerieni și eu-LISA păstrează înregistrările pe care le-au creat în temeiul alineatului (1) și, respectiv, al alineatului (2) pentru o perioadă de un an de la momentul creării înregistrărilor respective. Aceștia șterg imediat și definitiv înregistrările respective după expirarea respectivei perioade.
Cu toate acestea, în cazul în care înregistrările respective sunt necesare pentru proceduri de monitorizare sau de asigurare a securității și integrității datelor API sau a legalității operațiunilor de prelucrare, astfel cum se menționează la alineatul (3), iar aceste proceduri au început deja la momentul expirării perioadei menționate la primul paragraf de la prezentul alineat, transportatorii aerieni și eu-LISA păstrează înregistrările menționate atât timp cât este necesar pentru procedurile respective. În acest caz, transportatorii aerieni șterg imediat înregistrările respective atunci când nu mai sunt necesare pentru procedurile menționate.
Articolul 18
Responsabilitățile privind protecția datelor
(1) Transportatorii aerieni sunt operatori, în sensul articolului 4 punctul 7 din Regulamentul (UE) 2016/679, în ceea ce privește prelucrarea datelor API și a altor date din PNR care constituie date cu caracter personal, ceea ce include colectarea datelor respective și transferul acestora către router în temeiul prezentului regulament.
(2) Fiecare stat membru desemnează o autoritate competentă în calitate de operator în conformitate cu prezentul articol. Statele membre notifică Comisiei, eu-LISA și celorlalte state membre autoritățile respective.
Toate autoritățile competente desemnate de statele membre sunt operatori asociați în conformitate cu articolul 21 din Directiva (UE) 2016/680 în scopul prelucrării datelor cu caracter personal în router.
(3) eu-LISA este persoană împuternicită de operator, în sensul articolului 3 punctul 12 din Regulamentul (UE) 2018/1725, în scopul prelucrării datelor API și a altor date din PNR care constituie date cu caracter personal transmise în temeiul prezentului regulament prin intermediul routerului, inclusiv transmiterea datelor de la router către UIP și stocarea datelor respective pe router din motive tehnice. eu-LISA se asigură că routerul este exploatat în conformitate cu prezentul regulament.
(4) Comisia adoptă acte de punere în aplicare care stabilesc responsabilitățile operatorilor asociați și obligațiile repartizate între operatorii asociați și persoana împuternicită de operator. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 42 alineatul (2).
Articolul 19
Informarea pasagerilor
În conformitate cu articolul 13 din Regulamentul (UE) 2016/679, transportatorii aerieni furnizează pasagerilor care folosesc zborurile care intră sub incidența prezentului regulament informații privind scopul colectării datelor lor cu caracter personal, tipul de date cu caracter personal colectate, beneficiarii datelor cu caracter personal și mijloacele de exercitare a drepturilor lor în calitate de persoane vizate.
Respectivele informații sunt comunicate pasagerilor în scris și într-un format ușor accesibil la momentul rezervării și la momentul înregistrării, indiferent de mijloacele folosite pentru colectarea datelor cu caracter personal la momentul înregistrării, în conformitate cu articolul 4.
Articolul 20
Securitatea
(1) eu-LISA asigură securitatea și criptarea datelor API și a altor date din PNR, în special a datelor care constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. UIP și transportatorii aerieni asigură securitatea datelor API, în special a datelor API care constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. eu-LISA, UIP și transportatorii aerieni cooperează, în conformitate cu responsabilitățile care le revin și în conformitate cu dreptul Uniunii, pentru a asigura securitatea datelor.
(2) eu-LISA asigură securitatea și confidențialitatea datelor referitoare la zborurile și rutele selectate de statele membre în conformitate cu articolul 12 alineatul (4). UIP și transportatorii aerieni asigură securitatea datelor API, în special a datelor API care constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. Agenția eu-LISA, UIP și transportatorii aerieni cooperează, în conformitate cu responsabilitățile care le revin și în conformitate cu dreptul Uniunii, pentru a asigura securitatea datelor.
(3) eu-LISA ia măsurile necesare pentru a asigura securitatea routerului, a datelor API și a altor date din PNR, în special a datelor care constituie date cu caracter personal, transmise prin router, inclusiv prin stabilirea, punerea în aplicare și actualizarea periodică a unui plan de securitate, a unui plan de asigurare a continuității activității și a unui plan de recuperare în caz de dezastru, pentru:
|
(a) |
a proteja fizic routerul, inclusiv prin elaborarea unor planuri de urgență pentru protecția componentelor critice ale acestuia; |
|
(b) |
a împiedica orice prelucrare neautorizată a datelor API și a altor date din PNR, inclusiv orice acces neautorizat la acestea, precum și copierea, modificarea sau ștergerea acestora, atât în timpul transferului datelor API și a altor date din PNR către și de la router, cât și în timpul oricărei stocări a datelor API și a altor date din PNR pe router, dacă acest lucru este necesar pentru finalizarea transmiterii, în special prin intermediul unor tehnici de criptare adecvate; |
|
(c) |
a asigura că persoanele autorizate să acceseze routerul au acces numai la datele care fac obiectul autorizației lor de acces; |
|
(d) |
a asigura posibilitatea de a verifica și de a stabili UIP cărora le sunt transmise datele API sau alte date din PNR prin intermediul routerului; |
|
(e) |
a raporta în mod corespunzător Consiliului său de administrație eventualele deficiențe de funcționare a routerului; |
|
(f) |
a monitoriza eficacitatea măsurilor de securitate necesare în temeiul prezentului articol și al Regulamentului (UE) 2018/1725 și pentru a evalua și actualiza măsurile de securitate respective, dacă este necesar, în lumina evoluțiilor tehnologice sau operaționale. |
Măsurile menționate la primul paragraf de la prezentul alineat nu aduc atingere articolului 32 din Regulamentul (UE) 2016/679, articolului 33 din Regulamentul (UE) 2018/1725 sau articolului 29 din Directiva (UE) 2016/680.
Articolul 21
Automonitorizarea
Transportatorii aerieni și UIP monitorizează respectarea obligațiilor care le revin în temeiul prezentului regulament, în special în ceea ce privește prelucrarea datelor API care constituie date cu caracter personal. În cazul transportatorilor aerieni, monitorizarea include verificarea frecventă a înregistrărilor menționate la articolul 17.
Articolul 22
Audituri privind protecția datelor cu caracter personal
(1) Autoritățile de supraveghere independente menționate la articolul 41 din Directiva (UE) 2016/680 efectuează, cel puțin din patru în patru ani, un audit al operațiunilor de prelucrare a datelor API care constituie date cu caracter personal, efectuate de UIP în sensul prezentului regulament. Statele membre se asigură că autoritățile lor de supraveghere independente dispun de resurse și cunoștințe suficiente pentru a îndeplini sarcinile care le-au fost încredințate în temeiul prezentului regulament.
(2) Autoritatea Europeană pentru Protecția Datelor efectuează, cel puțin o dată pe an, un audit al operațiunilor eu-LISA de prelucrare a datelor API și a altor date din PNR care constituie date cu caracter personal în sensul prezentului regulament, în conformitate cu standardele internaționale de audit relevante. Un raport al respectivului audit se trimite Parlamentului European, Consiliului, Comisiei, statelor membre și eu-LISA. Înainte de adoptarea raportului, se oferă eu-LISA posibilitatea de a formula observații.
(3) În ceea ce privește operațiunile de prelucrare menționate la alineatul (2), eu-LISA furnizează, la cerere, informațiile solicitate de Autoritatea Europeană pentru Protecția Datelor, îi acordă acesteia acces la toate documentele pe care le solicită și la înregistrările menționate la articolul 17 alineatul (2) și îi permite în orice moment accesul în toate incintele eu-LISA.
CAPITOLUL 5
ASPECTE PRIVIND ROUTERUL
Articolul 23
Conexiunile UIP la router
(1) Statele membre se asigură că UIP sunt conectate la router. Acestea se asigură că sistemele și infrastructura lor naționale pentru primirea și prelucrarea ulterioară a datelor API și a altor date din PNR transferate în temeiul prezentului regulament sunt integrate în router.
Statele membre se asigură că în urma conectării la router și a integrării în acesta, UIP pot să primească și să prelucreze ulterior respectivele date API și alte date din PNR, precum și să facă schimb de orice fel de informații legate de acestea într-un mod legal, sigur, eficace și rapid.
(2) Comisia adoptă acte de punere în aplicare care precizează normele detaliate necesare privind conexiunile la routerul menționat la alineatul (1) de la prezentul articol și integrarea în acesta, inclusiv în ceea ce privește cerințele referitoare la securitatea datelor. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 42 alineatul (2).
Articolul 24
Conexiunile transportatorilor aerieni la router
(1) Transportatorii aerieni se asigură că sunt conectați la router. Aceștia se asigură că sistemele și infrastructura lor pentru transferul datelor API și al altor date din PNR către router în temeiul prezentului regulament sunt integrate în router.
Transportatorii aerieni se asigură că în urma conectării la router și a integrării în acesta pot să transfere respectivele date API și alte date din PNR, precum și să facă schimb de orice fel de informații referitoare la acestea, într-un mod legal, sigur, eficace și rapid. În acest scop, transportatorii aerieni efectuează teste ale transferului de date API și de alte date din PNR către router, în cooperare cu eu-LISA, în conformitate cu articolul 27 alineatul (3).
(2) Comisia adoptă acte de punere în aplicare care precizează normele detaliate necesare privind conexiunile la routerul menționat la alineatul (1) de la prezentul articol și integrarea în acesta, inclusiv în ceea ce privește cerințele referitoare la securitatea datelor. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 42 alineatul (2).
Articolul 25
Atribuțiile eu-LISA cu privire la proiectarea și dezvoltarea routerului
(1) eu-LISA este responsabilă de proiectarea arhitecturii fizice a routerului, inclusiv pentru definirea specificațiilor tehnice.
(2) eu-LISA este responsabilă de dezvoltarea routerului, inclusiv pentru orice adaptare tehnică necesară pentru funcționarea routerului.
Dezvoltarea routerului constă în elaborarea și punerea în aplicare a specificațiilor tehnice, efectuarea de teste, gestionarea generală a proiectului și coordonarea fazei de dezvoltare.
(3) eu-LISA se asigură că routerul este proiectat și dezvoltat astfel încât să ofere funcționalitățile specificate în prezentul regulament și că routerul este pus în funcțiune cât mai curând posibil după adoptarea de către Comisie a actelor delegate prevăzute la articolul 4 alineatul (12), la articolul 5 alineatul (3), la articolul 7 alineatul (2), și a actelor de punere în aplicare prevăzute la articolul 11 alineatul (5), la articolul 12 alineatul (4), la articolul 23 alineatul (2), la articolul 24 alineatul (2) din prezentul regulament și a actelor de punere în aplicare prevăzute la articolul 16 alineatul (3) din Directiva (UE) 2016/681, precum și după efectuarea unei evaluări a impactului în ceea ce privește protecția datelor, în conformitate cu articolul 35 din Regulamentul (UE) 2016/679.
(4) eu-LISA furnizează UIP, altor autorități relevante ale statelor membre și transportatorilor aerieni un set de teste de conformitate. Setul de teste de conformitate include un mediu de testare, un simulator, seturi de date de testare și un plan de testare. Setul de teste de conformitate permite efectuarea unor teste cuprinzătoare ale routerului menționat la alineatele (5) și (6) și trebuie să rămână disponibil după finalizarea testelor respective.
(5) În cazul în care consideră că etapa de dezvoltare a fost încheiată în ce privește datele API, eu-LISA efectuează, fără întârzieri nejustificate, un test cuprinzător al routerului, în cooperare cu UIP și cu alte autorități relevante ale statelor membre și cu transportatorii aerieni, și informează Comisia despre rezultatul testului respectiv.
(6) În cazul în care consideră că faza de dezvoltare a fost finalizată în ce privește alte date din PNR, eu-LISA efectuează, fără întârzieri nejustificate, teste cuprinzătoare ale routerului pentru a asigura fiabilitatea conexiunilor routerului cu transportatorii aerieni și UIP, transmiterea standardizată necesară a altor date din PNR de către transportatorii aerieni și transferul și transmiterea altor date din PNR în conformitate cu articolul 16 din Directiva (UE) 2016/681, inclusiv utilizarea protocoalelor comune și a formatelor standardizate de date compatibile menționate la articolul 16 alineatele (2) și (3) din directiva respectivă, pentru a asigura lizibilitatea celorlalte date din PNR. Astfel de teste se efectuează în cooperare cu UIP și cu alte autorități relevante ale statelor membre și cu transportatori aerieni. eu-LISA informează Comisia despre rezultatul testelor respective.
Articolul 26
Atribuțiile eu-LISA cu privire la găzduirea și gestionarea tehnică a routerului
(1) eu-LISA găzduiește routerul în amplasamentele sale tehnice.
(2) eu-LISA este responsabilă de gestionarea tehnică a routerului, inclusiv de întreținerea și dezvoltarea tehnică a acestuia, astfel încât să se asigure că datele API și alte date din PNR sunt transmise în siguranță, în mod eficace și rapid prin intermediul routerului, în conformitate cu prezentul regulament.
Gestionarea tehnică a routerului constă în îndeplinirea tuturor atribuțiilor și în punerea în aplicare a tuturor soluțiilor tehnice necesare pentru buna funcționare a routerului în conformitate cu prezentul regulament fără întrerupere, 24 de ore pe zi, 7 zile pe săptămână. Gestionarea tehnică include lucrările de întreținere și dezvoltarea tehnică necesară pentru a se asigura funcționarea routerului la un nivel satisfăcător de calitate tehnică, în special în ceea ce privește disponibilitatea, acuratețea și fiabilitatea transmiterii datelor API și a altor date din PNR, în conformitate cu specificațiile tehnice și, pe cât posibil, în conformitate cu nevoile operaționale ale UIP și ale transportatorilor aerieni.
(3) Personalul eu-LISA nu are acces la niciuna dintre datele API sau la alte date din PNR transmise prin router. Respectiva interdicție nu împiedică însă personalul eu-LISA să aibă un astfel de acces în măsura în care este strict necesar pentru întreținerea și gestionarea tehnică a routerului.
(4) Fără a aduce atingere alineatului (3) de la prezentul articol și articolului 17 din Statutul funcționarilor Uniunii Europene prevăzut în Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (22), eu-LISA aplică normele corespunzătoare privind secretul profesional sau alte obligații echivalente de confidențialitate personalului său care trebuie să lucreze cu date API și cu alte date din PNR transmise prin router. Respectiva obligație se aplică și după ce astfel de persoane au încetat să mai ocupe o anumită funcție sau după ce și-au încetat activitatea.
Articolul 27
Atribuțiile eu-LISA privind asistența cu privire la router
(1) La cererea UIP, a autorităților competente din alte state membre sau a transportatorilor aerieni, eu-LISA asigură formarea acestora cu privire la utilizarea tehnică a routerului, la conectarea lor la router și la integrarea lor în acesta.
(2) eu-LISA oferă sprijin UIP în ceea ce privește primirea datelor API și a altor date din PNR prin intermediul routerului, în conformitate cu prezentul regulament, în special în ceea ce privește aplicarea articolelor 12 și 23.
(3) În conformitate cu articolul 24 alineatul (1) și utilizând setul de teste de conformitate menționat la articolul 25 alineatul (4), eu-LISA efectuează, în cooperare cu transportatorii aerieni, teste de transfer al datelor API și al altor date din PNR către router.
CAPITOLUL 6
GUVERNANȚA
Articolul 28
Consiliul de gestionare a programului
(1) Până la 28 ianuarie 2025, Consiliul de administrație al eu-LISA înființează un Consiliu de gestionare a programului. Acesta are 10 membri, fiind compus din:
|
(a) |
șapte membri numiți de Consiliul de administrație al eu-LISA din rândul membrilor săi sau al supleanților săi; |
|
(b) |
președintele Grupului consultativ API-PNR menționat la articolul 29; |
|
(c) |
un membru al personalului eu-LISA numit de directorul său executiv; și |
|
(d) |
un membru numit de Comisie. |
În ceea ce privește litera (a), membrii numiți de Consiliul de administrație al eu-LISA sunt aleși numai dintre membrii sau supleanții săi din statele membre cărora li se aplică prezentul regulament.
(2) Consiliul de gestionare a programului își elaborează regulamentul de procedură care urmează să fie adoptat de Consiliul de administrație al eu-LISA.
Președinția este deținută de un stat membru care este membru al Consiliului de gestionare a programului.
(3) Consiliul de gestionare a programului supraveghează îndeplinirea efectivă a atribuțiilor eu-LISA legate de proiectarea și dezvoltarea routerului în conformitate cu articolul 25.
La cererea Consiliului de gestionare a programului, eu-LISA furnizează informații detaliate și actualizate despre proiectarea și dezvoltarea routerului, inclusiv despre resursele alocate de eu-LISA.
(4) Consiliul de gestionare a programului prezintă periodic, de cel puțin trei ori pe trimestru, Consiliului de administrație al eu-LISA rapoarte scrise privind progresele înregistrate în proiectarea și dezvoltarea routerului.
(5) Consiliul de gestionare a programului nu are competențe decizionale și nu dispune de un mandat de reprezentare a Consiliului de administrație al eu-LISA sau al membrilor săi.
(6) Consiliul de gestionare a programului încetează să existe la data aplicării prezentului regulament menționată la articolul 45 al doilea paragraf.
Articolul 29
Grupul consultativ API-PNR
(1) De la 28 ianuarie 2025, Grupul consultativ API-PNR, înființat în temeiul articolului 27 alineatul (1) litera (de) din Regulamentul (UE) 2018/1726, furnizează Consiliului de administrație al eu-LISA cunoștințele de specialitate necesare în legătură cu API-PNR, în special în contextul pregătirii programului său anual de lucru și a raportului său anual de activitate.
(2) Ori de câte ori sunt disponibile, eu-LISA furnizează Grupului consultativ API-PNR versiuni, chiar intermediare, ale specificațiilor tehnice și ale seturilor de teste de conformitate menționate la articolul 25 alineatele (1), (2) și (4).
(3) Grupul consultativ API-PNR exercită următoarele funcții:
|
(a) |
furnizează eu-LISA și Consiliului de gestionare a programului cunoștințe de specialitate în proiectarea și dezvoltarea routerului în conformitate cu articolul 25; |
|
(b) |
furnizează eu-LISA cunoștințe de specialitate legate de găzduirea și gestionarea tehnică a routerului în conformitate cu articolul 26; |
|
(c) |
emite avize către Consiliul de gestionare a programului, la cererea acestuia, despre progresele înregistrate în proiectarea și dezvoltarea routerului, inclusiv despre progresele înregistrate cu privire la specificațiile tehnice și seturile de teste de conformitate menționate la alineatul (2). |
(4) Grupul consultativ API-PNR nu are competențe decizionale și nu dispune de un mandat de reprezentare a Consiliului de administrație al eu-LISA sau al membrilor săi.
Articolul 30
Grupul de contact API-PNR
(1) Până la data relevantă de aplicare a prezentului regulament menționată la articolul 45 al doilea paragraf, Consiliul de administrație al eu-LISA înființează un grup de contact API-PNR.
(2) Grupul de contact API-PNR permite comunicarea între autoritățile relevante ale statelor membre și transportatorii aerieni cu privire la aspectele tehnice legate de sarcinile și obligațiile care le revin în temeiul prezentului regulament.
(3) Grupul de contact API-PNR se compune din reprezentanți ai autorităților relevante ale statelor membre și ai transportatorilor aerieni, președintele Grupului consultativ API-PNR și experți ai eu-LISA.
(4) Consiliul de administrație al eu-LISA stabilește regulamentul de procedură al Grupului de contact API-PNR, în urma unui aviz al Grupului consultativ API-PNR.
(5) Atunci când se consideră necesar, Consiliul de administrație al eu-LISA poate înființa, de asemenea, subgrupuri ale Grupului de contact API-PNR pentru a discuta aspecte tehnice specifice legate de sarcinile și obligațiile respective ale autorităților relevante ale statelor membre și ale transportatorilor aerieni în temeiul prezentului regulament.
(6) Grupul de contact API-PNR și subgrupurile sale nu au competențe decizionale și nu dispun de un mandat de reprezentare a Consiliului de administrație al eu-LISA sau al membrilor săi.
Articolul 31
Grupul de experți API
(1) Până la data aplicării prezentului regulament menționată la articolul 45 al doilea paragraf litera (a), Comisia înființează un grup de experți API în conformitate cu normele orizontale privind înființarea și funcționarea grupurilor de experți ale Comisiei.
(2) Grupul de experți API permite comunicarea între autoritățile relevante ale statelor membre, precum și între autoritățile relevante ale statelor membre și transportatorii aerieni cu privire la aspectele de politică legate de sarcinile și obligațiile care le revin în temeiul prezentului regulament, inclusiv în legătură cu sancțiunile menționate la articolul 38.
(3) Grupul de experți API este prezidat de Comisie și constituit în conformitate cu normele orizontale privind înființarea și funcționarea grupurilor de experți ale Comisiei. Acesta se compune din reprezentanți ai autorităților relevante ale statelor membre, reprezentanți ai transportatorilor aerieni și experți ai eu-LISA. Dacă este important pentru îndeplinirea sarcinilor sale, Grupul de experți API poate invita să participe la lucrările sale părți interesate relevante, în special reprezentanți ai Parlamentului European, ai Autorității Europene pentru Protecția Datelor și ai autorităților independente naționale de supraveghere.
(4) Grupul de experți API își îndeplinește sarcinile în conformitate cu principiul transparenței. Comisia publică procesele-verbale ale reuniunilor Grupului de experți API și alte documente relevante pe site-ul său web.
Articolul 32
Costurile suportate de eu-LISA, de Autoritatea Europeană pentru Protecția Datelor, de autoritățile naționale de supraveghere și de statele membre
(1) Costurile suportate de eu-LISA legate de instituirea și funcționarea routerului în temeiul prezentului regulament sunt suportate din bugetul general al Uniunii.
(2) Costurile suportate de statele membre în legătură cu punerea în aplicare a prezentului regulament, în special cu conexiunea lor la routerul menționat la articolul 23 și cu integrarea în acesta sunt suportate din bugetul general al Uniunii, în conformitate cu normele de eligibilitate și cu ratele de cofinanțare stabilite în actele juridice aplicabile ale Uniunii.
(3) Costurile suportate de Autoritatea Europeană pentru Protecția Datelor legate de sarcinile care îi sunt încredințate în temeiul prezentului regulament sunt suportate din bugetul general al Uniunii.
(4) Costurile suportate de autoritățile naționale independente de supraveghere legate de sarcinile care le sunt încredințate în temeiul prezentului regulament sunt suportate de statele membre.
Articolul 33
Răspunderea în ceea ce privește routerul
În cazul în care nerespectarea de către un stat membru sau de către un transportator aerian a obligațiilor care îi revin în temeiul prezentului regulament cauzează daune routerului, respectivul stat membru sau transportator aerian este răspunzător pentru astfel de daune, astfel cum se prevede în dreptul Uniunii aplicabil sau în dreptul intern aplicabil, cu excepția cazului și în măsura în care se demonstrează că eu-LISA, un alt stat membru sau un alt transportator aerian nu a luat măsuri rezonabile pentru a împiedica producerea daunelor sau pentru a minimiza impactul acestora.
Articolul 34
Punerea în funcțiune a routerului în legătură cu datele API
Comisia stabilește, fără întârzieri nejustificate, data punerii în funcțiune a routerului în ceea ce privește datele API prin intermediul unui act de punere în aplicare, după ce eu-LISA a informat Comisia cu privire la finalizarea cu succes a testului cuprinzător al routerului menționat la articolul 25 alineatul (5). Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 42 alineatul (2).
Comisia stabilește data menționată la primul paragraf ca fiind o dată care nu depășește intervalul de 30 de zile de la data adoptării respectivului act de punere în aplicare.
Articolul 35
Punerea în funcțiune a routerului în legătură cu alte date din PNR
Comisia stabilește, fără întârzieri nejustificate, data punerii în funcțiune a routerului în ceea ce privește alte date din PNR prin intermediul unui act de punere în aplicare, după ce eu-LISA a informat Comisia cu privire la finalizarea cu succes a testelor cuprinzătoare ale routerului menționate la articolul 25 alineatul (6), inclusiv cu privire la fiabilitatea conexiunilor routerului cu transportatorii aerieni și cu UIP și la lizibilitatea altor date din PNR transferate de transportatorii aerieni și transmise de router în formatul standardizat necesar, în conformitate cu articolul 16 din Directiva (UE) 2016/681. Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menționată la articolul 42 alineatul (2).
Comisia stabilește data menționată la primul paragraf ca fiind o dată care nu depășește intervalul de 30 de zile de la data adoptării respectivului act de punere în aplicare.
Articolul 36
Utilizarea voluntară a routerului
(1) Transportatorii aerieni au dreptul de a utiliza routerul pentru a transmite informațiile menționate la articolul 3 alineatele (1) și (2) din Directiva 2004/82/CE sau alte date din PNR colectate în temeiul articolului 8 din Directiva (UE) 2016/681 către una sau mai multe dintre UIP responsabile, în conformitate cu directivele respective, cu condiția ca statul membru în cauză să fi fost de acord cu o astfel de utilizare, începând cu o dată adecvată stabilită de statul membru respectiv. Statul membru respectiv își dă acordul numai după ce a stabilit că, în special în ceea ce privește atât conexiunea propriei sale UIP la router, cât și cea a transportatorului aerian în cauză, informațiile pot fi transmise într-un mod legal, sigur, eficace și rapid.
(2) În cazul în care un transportator aerian începe să utilizeze routerul în conformitate cu alineatul (1) de la prezentul articol, acesta continuă să utilizeze routerul pentru a transmite astfel de informații către UIP din statul membru în cauză până la data relevantă de aplicare a prezentului regulament menționată la articolul 45 al doilea paragraf. Cu toate acestea, utilizarea respectivă este întreruptă începând cu o dată adecvată stabilită de statul membru respectiv, în cazul în care statul membru respectiv consideră că există motive obiective care impun o astfel de întrerupere și a informat transportatorul aerian în consecință.
(3) Statul membru în cauză:
|
(a) |
consultă eu-LISA înainte de a consimți în privința utilizării voluntare a routerului în conformitate cu alineatul (1); |
|
(b) |
cu excepția situațiilor de urgență justificate în mod corespunzător, oferă transportatorului aerian în cauză posibilitatea de a prezenta observații cu privire la intenția sa de a întrerupe o astfel de utilizare în conformitate cu alineatul (2) și, după caz, consultă, de asemenea, eu-LISA cu privire la acest aspect; |
|
(c) |
informează imediat eu-LISA și Comisia cu privire la orice astfel de utilizare pentru care și-a dat consimțământul și cu privire la orice întrerupere a utilizării, furnizând toate informațiile necesare, inclusiv data de începere a utilizării, data întreruperii și motivele întreruperii, după caz. |
CAPITOLUL 7
SUPRAVEGHERE, SANCȚIUNI, STATISTICI ȘI MANUAL
Articolul 37
Autoritatea națională de supraveghere pentru datele API
(1) Statele membre desemnează una sau mai multe autorități naționale de supraveghere pentru datele API responsabile cu monitorizarea aplicării pe teritoriul lor de către transportatorii aerieni a dispozițiilor prezentului regulament și cu asigurarea respectării respectivelor dispoziții.
(2) Statele membre se asigură că autoritățile naționale de supraveghere pentru datele API dispun de toate mijloacele și de toate competențele de investigare și de asigurare a respectării legii, necesare pentru a-și îndeplini sarcinile care le revin în temeiul prezentului regulament, inclusiv prin aplicarea sancțiunilor menționate la articolul 38, după caz. Statele membre se asigură că exercitarea competențelor conferite autorității naționale de supraveghere pentru datele API face obiectul unor garanții adecvate, în conformitate cu drepturile fundamentale garantate în temeiul dreptului Uniunii.
(3) Până la data relevantă de aplicare a prezentului regulament menționată la articolul 45 al doilea paragraf, statele membre notifică Comisiei numele și datele de contact ale autorităților pe care le-au desemnat în temeiul alineatului (1) de la prezentul articol. Statele membre informează fără întârziere Comisia cu privire la orice modificare ulterioară sau la orice amendament ulterior adus respectivelor norme.
(4) Prezentul articol nu aduce atingere competențelor autorităților de supraveghere menționate la articolul 51 din Regulamentul (UE) 2016/679, la articolul 41 din Directiva (UE) 2016/680 și la articolul 15 din Directiva (UE) 2016/681.
Articolul 38
Sancțiuni
(1) Statele membre adoptă normele privind sancțiunile care se aplică în cazul nerespectării prezentului regulament și iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancțiunile trebuie să fie efective, proporționale și cu efect de descurajare.
(2) Până la data relevantă de aplicare a prezentului regulament menționată la articolul 45 al doilea paragraf, statele membre notifică Comisiei normele și măsurile respective și îi notifică acesteia, fără întârziere, orice modificare ulterioară a acestora.
(3) Statele membre se asigură că autoritățile naționale de supraveghere pentru datele API, atunci când decid dacă să aplice o sancțiune, precum și atunci când stabilesc tipul și nivelul de gravitate ale sancțiunii, țin cont de circumstanțele relevante, care pot include:
|
(a) |
natura, gravitatea și durata încălcării; |
|
(b) |
gradul de vinovăție a transportatorului aerian; |
|
(c) |
încălcări anterioare comise de transportatorul aerian; |
|
(d) |
nivelul general al cooperării transportatorului aerian cu autoritățile competente; |
|
(e) |
dimensiunea transportatorului aerian, cum ar fi numărul anual de pasageri transportați; |
|
(f) |
dacă alte autorități naționale de supraveghere pentru datele API au aplicat deja sancțiuni aceluiași transportator aerian pentru aceeași încălcare. |
(4) Statele membre se asigură că pentru neefectuarea sistematică a transferului datelor API în conformitate cu articolul 5 alineatul (1) se aplică sancțiuni financiare proporționale de până la 2 % din cifra de afaceri globală a unui transportator aerian corespunzătoare precedentului exercițiu financiar. Statele membre se asigură că nerespectarea altor obligații prevăzute în prezentul regulament face obiectul unor sancțiuni proporționale, inclusiv sancțiuni financiare.
Articolul 39
Statistici
(1) Pentru a sprijini punerea în aplicare și monitorizarea aplicării prezentului regulament și pe baza informațiilor statistice menționate la alineatele (5) și (6), eu-LISA publică în fiecare trimestru statistici privind funcționarea routerului și respectarea de către transportatorii aerieni a obligațiilor prevăzute în prezentul regulament. Statisticile respective nu permit identificarea persoanelor fizice.
(2) În scopurile prevăzute la alineatul (1), routerul transmite automat datele enumerate la alineatele (5) și (6) către CRRS.
(3) În vederea susținerii punerii în aplicare și a monitorizării aplicării prezentului regulament, eu-LISA compilează anual datele statistice într-un raport anual pentru anul anterior. Aceasta publică raportul anual respectiv și îl transmite Parlamentului European, Consiliului, Comisiei, Autorității Europene pentru Protecția Datelor, Agenției Europene pentru Poliția de Frontieră și Garda de Coastă și autorităților naționale de supraveghere pentru datele API menționate la articolul 37. Raportul anual nu trebuie să dezvăluie metodele de lucru confidențiale și nici să pericliteze investigațiile în curs ale autorităților competente ale statelor membre.
(4) La cererea Comisiei, eu-LISA furnizează statistici privind aspecte specifice legate de punerea în aplicare a prezentului regulament, precum și statistici în temeiul alineatului (3).
(5) CRRS furnizează eu-LISA următoarele informații statistice, necesare pentru raportarea menționată la articolul 44 și pentru generarea de statistici în conformitate cu prezentul articol, fără ca astfel de statistici privind datele API să permită identificarea pasagerilor în cauză:
|
(a) |
dacă datele se referă la un pasager sau la un membru al echipajului; |
|
(b) |
cetățenia, sexul și anul nașterii pasagerului sau membrului echipajului; |
|
(c) |
data și punctul inițial de îmbarcare, data și aeroportul de plecare, precum și data și aeroportul de sosire; |
|
(d) |
tipul documentului de călătorie, codul format din trei litere al țării emitente și data expirării duratei de valabilitate a documentului de călătorie; |
|
(e) |
numărul de pasageri înregistrați pentru același zbor; |
|
(f) |
codul transportatorului aerian care operează zborul; |
|
(g) |
dacă zborul este regulat sau neregulat; |
|
(h) |
dacă datele API au fost transferate imediat după închiderea zborului; |
|
(i) |
dacă datele cu caracter personal ale pasagerului sunt exacte, complete și actualizate. |
|
(j) |
mijloacele tehnice utilizate pentru a obține datele API. |
(6) CRRS furnizează eu-LISA următoarele informații statistice necesare pentru raportarea menționată la articolul 44 și pentru generarea de statistici în conformitate cu prezentul articol, fără ca astfel de statistici privind alte date din PNR să permită identificarea pasagerilor în cauză:
|
(a) |
data și ora la care routerul a primit mesajul PNR; |
|
(b) |
informațiile de zbor cuprinse în itinerarul de călătorie din mesajul PNR specific; |
|
(c) |
informațiile privind codurile partajate cuprinse în mesajul PNR specific. |
(7) În scopul raportării menționate la articolul 44 și pentru generarea de statistici în conformitate cu prezentul articol, eu-LISA stochează în CRRS datele menționate la alineatele (5) și (6) de la prezentul articol. Aceasta stochează astfel de date pentru o perioadă de cinci ani în conformitate cu alineatul (2), asigurând că datele nu permit identificarea pasagerilor în cauză. CRRS transmite personalului autorizat corespunzător al UIP și altor autorități relevante ale statelor membre rapoarte și statistici personalizabile privind datele API menționate la alineatul (5) de la prezentul articol și alte date din PNR menționate la alineatul (6) de la prezentul articol, pentru punerea în aplicare și monitorizarea aplicării prezentului regulament.
(8) Utilizarea datelor menționate la alineatele (5) și (6) de la prezentul articol nu trebuie să conducă la crearea de profiluri ale persoanelor fizice, astfel cum se menționează la articolul 11 alineatul (3) din Directiva (UE) 2016/680 sau la discriminarea persoanelor pe baza motivelor enumerate la articolul 21 din cartă. Datele menționate la alineatele (5) și (6) de la prezentul articol nu trebuie să fie utilizate pentru a fi comparate sau corelate cu date cu caracter personal sau pentru a fi combinate cu date cu caracter personal.
(9) Procedurile instituite de eu-LISA pentru a monitoriza dezvoltarea și funcționarea routerului menționat la articolul 39 alineatul (2) din Regulamentul (UE) 2019/818 includ posibilitatea de a produce statistici periodice pentru asigurarea monitorizării respective.
Articolul 40
Manual practic
Comisia, în strânsă cooperare cu UIP, cu alte autorități relevante din statele membre, cu transportatorii aerieni și cu organele și agențiile relevante ale Uniunii, elaborează și pune la dispoziția publicului un manual practic care conține orientări, recomandări și bune practici pentru punerea în aplicare a prezentului regulament, inclusiv cu privire la respectarea drepturilor fundamentale, precum și la sancțiuni în conformitate cu articolul 38.
Manualul practic ține seama de alte manuale relevante.
Comisia adoptă manualul practic sub forma unei recomandări.
CAPITOLUL 8
LEGĂTURA CU ALTE INSTRUMENTE EXISTENTE
Articolul 41
Modificarea Regulamentului (UE) 2019/818
La articolul 39 din Regulamentul (UE) 2019/818, alineatele (1) și (2) se înlocuiesc cu următorul text:
„(1) Se instituie un registru central de raportare și statistici (CRRS) în scopul de a sprijini obiectivele SIS, Eurodac și ECRIS-TCN, în conformitate cu instrumentele juridice respective care reglementează sistemele menționate, și utilizabile între sisteme și rapoarte analitice în scop operațional, de elaborare a politicilor și de asigurare a calității datelor. De asemenea, CRRS sprijină obiectivele Regulamentului (UE) 2025/13 al Parlamentului European și al Consiliului (*1).
(2) eu-LISA creează, implementează și găzduiește în amplasamentele sale tehnice CRRS care conține datele și statisticile menționate la articolul 74 din Regulamentul (UE) 2018/1862 și la articolul 32 din Regulamentul (UE) 2019/816, separate în mod logic de sistemul de informații al UE. De asemenea, eu-LISA colectează datele și statisticile de la routerul menționat la articolul 39 alineatul (1) din Regulamentul (UE) 2025/13. Accesul la CRRS se acordă printr-un acces controlat și securizat și cu profiluri de utilizator specifice, exclusiv în scopul întocmirii de rapoarte și statistici, autorităților menționate la articolul 74 din Regulamentul (UE) 2018/1862, la articolul 32 din Regulamentul (UE) 2019/816 și la articolul 13 alineatul (1) din Regulamentul (UE) 2025/13.
CAPITOLUL 9
DISPOZIȚII FINALE
Articolul 42
Procedura comitetului
(1) Comisia este asistată de un comitet. Respectivul comitet reprezintă un comitet în înțelesul Regulamentului (UE) nr. 182/2011.
(2) În cazul în care se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011. În cazul în care comitetul nu emite un aviz, Comisia nu adoptă proiectul de act de punere în aplicare și se aplică articolul 5 alineatul (4) al treilea paragraf din Regulamentul (UE) nr. 182/2011.
Articolul 43
Exercitarea delegării de competențe
(1) Competența de a adopta acte delegate este conferită Comisiei în condițiile prevăzute la prezentul articol.
(2) Competența de a adopta actele delegate menționate la articolul 4 alineatele (11) și (12), la articolul 4 alineatul (12), la articolul 5 alineatul (4) și la articolul 7 alineatul (5) se conferă Comisiei pentru o perioadă de cinci ani de la 28 ianuarie 2025. Comisia elaborează un raport privind delegarea de competențe cu cel puțin nouă luni înainte de încheierea perioadei de cinci ani. Delegarea de competențe se prelungește tacit cu perioade de timp identice, cu excepția cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puțin trei luni înainte de încheierea fiecărei perioade.
În ceea ce privește un act delegat adoptat în temeiul articolului 4 alineatul (11), în cazul în care Parlamentul European sau Consiliul au formulat o obiecție în temeiul alineatului (6) de la prezentul articol, Parlamentul European sau Consiliul nu se opun prelungirii tacite menționate la primul paragraf de la prezentul alineat.
(3) Delegarea de competențe menționată la articolul 4 alineatul (12), la articolul 5 alineatul (4) și la articolul 7 alineatul (5) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competențe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.
(4) Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.
(5) De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.
(6) Un act delegat adoptat în temeiul articolului 4 alineatul (11) sau al articolului 4 alineatul (12), al articolului 5 alineatul (4) sau al articolului 7 alineatul (5) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de două luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu două luni la inițiativa Parlamentului European sau a Consiliului.
Articolul 44
Monitorizare și evaluare
(1) eu-LISA se asigură că există proceduri pentru a monitoriza dezvoltarea routerului din perspectiva obiectivelor legate de planificare și costuri și pentru a monitoriza funcționarea routerului din perspectiva obiectivelor legate de rezultatele tehnice, de eficacitatea din punctul de vedere al costurilor, de securitate și de calitatea serviciilor.
(2) Până la 29 ianuarie 2026 și, ulterior, în fiecare an pe parcursul fazei de dezvoltare a routerului, eu-LISA elaborează un raport privind stadiul de dezvoltare a routerului și îl prezintă Parlamentului European și Consiliului. Raportul conține informații detaliate cu privire la costurile ocazionate și la orice riscuri care pot avea un impact asupra costurilor globale care urmează să fie suportate din bugetul general al Uniunii, în conformitate cu articolul 32.
(3) După punerea în funcțiune a routerului, eu-LISA întocmește un raport pe care îl prezintă Parlamentului European și Consiliului, în care se explică în detaliu modul în care au fost îndeplinite obiectivele, în special cele referitoare la planificare și costuri, și în care se justifică eventualele abateri.
(4) Până la 29 ianuarie 2029 și, ulterior, din patru în patru ani, Comisia întocmește un raport care conține o evaluare globală a prezentului regulament, inclusiv privind necesitatea și valoarea adăugată a colectării datelor API, inclusiv o evaluare a:
|
(a) |
aplicării prezentului regulament; |
|
(b) |
măsurii în care prezentul regulament și-a atins obiectivele; |
|
(c) |
impactului prezentului regulament asupra drepturilor fundamentale protejate în temeiul dreptului Uniunii; |
|
(d) |
impactului prezentului regulament asupra experienței de călătorie a pasagerilor care călătoresc în scopuri legitime; |
|
(e) |
impactului prezentului regulament asupra competitivității sectorului aviației și a sarcinii suportate de întreprinderi; |
|
(f) |
calității datelor transmise de router către UIP; |
|
(g) |
performanței routerului față de UIP. |
În sensul literei (e) de la primul paragraf, raportul Comisiei abordează, de asemenea, interacțiunea prezentului regulament cu alte acte legislative relevante ale Uniunii, în special cu Regulamentele (CE) nr. 767/2008, (UE) 2017/2226 și (UE) 2018/1240 și, pentru a evalua impactul general al obligațiilor de informare conexe asupra transportatorilor aerieni, pentru a identifica dispozițiile care ar putea fi actualizate și simplificate, după caz, pentru a reduce sarcina asupra transportatorilor aerieni și ia în considerare acțiunile și măsurile care ar putea fi luate pentru a reduce presiunea pe care costurile totale o exercită asupra transportatorilor aerieni.
(5) Evaluarea menționată la alineatul (4) include, de asemenea, o evaluare a necesității, proporționalității și eficacității includerii colectării și transferului obligatorii de date API referitoare la zborurile intra-UE care intră în domeniul de aplicare al prezentului regulament.
(6) Comisia prezintă raportul de evaluare Parlamentului European, Consiliului, Autorității Europene pentru Protecția Datelor și Agenției pentru Drepturi Fundamentale a Uniunii Europene. Dacă este cazul, ținând seama de evaluarea efectuată, Comisia face o propunere legislativă Parlamentului European și Consiliului în vederea modificării prezentului regulament.
(7) Statele membre și transportatorii aerieni furnizează eu-Lisa și Comisiei, la cerere, informațiile necesare pentru elaborarea rapoartelor menționate la alineatele (2), (3) și (4). În special, statele membre furnizează informații cantitative și calitative privind colectarea datelor API din perspectivă operațională. Informațiile furnizate nu includ date cu caracter personal. Statele membre dispun de posibilitatea de a nu furniza astfel de informații dacă și în măsura în care acest lucru este necesar pentru a nu divulga metodele de lucru confidențiale sau pentru a nu periclita investigațiile în curs ale unităților de informații despre pasageri sau ale altor autorități competente. Comisia se asigură că orice informație confidențială furnizată este protejată în mod corespunzător.
Articolul 45
Intrare în vigoare și aplicare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Se aplică:
|
(a) |
în ceea ce privește datele API, după doi ani de la data punerii în funcțiune a routerului, stabilită de Comisie în conformitate cu articolul 34; și |
|
(b) |
în ceea ce privește alte date din PNR, după patru ani de la data punerii în funcțiune a routerului, stabilită de Comisie în conformitate cu articolul 35. |
Cu toate acestea:
|
(a) |
Articolul 4 alineatul (12), articolul 5 alineatul (3), articolul 7 alineatul (5), articolul 11 alineatul (5), articolul 12 alineatul (6), articolul 18 alineatul (4), articolul 23 alineatul (2), articolul 24 alineatul (2), articolele 25, 28 și 29, articolul 32 alineatul (1), articolele 34, 35, 42 și 43 se aplică de la 28 ianuarie 2025; |
|
(b) |
Articolul 6, articolul 17 alineatele (1), (2) și (3), articolul 18 alineatele (1), (2) și (3), articolele 19, 20, 26, 27, 33 și 36 se aplică începând cu data punerii în funcțiune a routerului, astfel cum este stabilită de Comisie în conformitate cu articolul 34 și cu articolul 35. |
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în statele membre în conformitate cu tratatele.
Adoptat la Bruxelles, 19 decembrie 2024.
Pentru Parlamentul European
Președinta
R. METSOLA
Pentru Consiliu
Președintele
BÓKA J.
(1)
JO C 228, 29.6.2023, p. 97.
(2) Poziția Parlamentului European din 25 aprilie 2024 (nepublicată încă în Jurnalul Oficial) și Decizia Consiliului din 12 decembrie 2024.
(3) Directiva 2004/82/CE a Consiliului din 29 aprilie 2004 privind obligația operatorilor de transport de a comunica datele privind pasagerii (JO L 261, 6.8.2004, p. 24).
(4) Directiva (UE) 2016/681 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea și urmărirea penală a infracțiunilor de terorism și a infracțiunilor grave (JO L 119, 4.5.2016, p. 132).
(5) Regulamentul (UE) 2025/12 al Parlamentului European și al Consiliului din 19 decembrie 2024 privind colectarea și transferul de informații prealabile referitoare la pasageri în vederea îmbunătățirii și facilitării verificărilor la frontierele externe, de modificare a Regulamentelor (UE) 2018/1726 și (UE) 2019/817și de abrogare a Directivei 2004/82/CE a Consiliului (JO L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/oj).
(6) Regulamentul (UE) 2019/1157 al Parlamentului European și al Consiliului din 20 iunie 2019 privind consolidarea securității cărților de identitate ale cetățenilor Uniunii și a documentelor de ședere eliberate cetățenilor Uniunii și membrilor de familie ai acestora care își exercită dreptul la liberă circulație (JO L 188, 12.7.2019, p. 67).
(7) Regulamentul (CE) nr. 2252/2004 al Consiliului din 13 decembrie 2004 privind standardele pentru elementele de securitate și elementele biometrice integrate în pașapoarte și în documente de călătorie emise de statele membre (JO L 385, 29.12.2004, p. 1).
(8) Directiva (UE) 2019/997 a Consiliului din 18 iunie 2019 de instituire a unui document de călătorie provizoriu al UE și de abrogare a Deciziei 96/409/PESC (JO L 163, 20.6.2019, p. 1).
(9) Regulamentul (UE) 2017/2226 al Parlamentului European și al Consiliului din 30 noiembrie 2017 de instituire a Sistemului de intrare/ieșire (EES) pentru înregistrarea datelor de intrare și de ieșire și a datelor referitoare la refuzul intrării ale resortisanților țărilor terțe care trec frontierele externe ale statelor membre, de stabilire a condițiilor de acces la EES în scopul aplicării legii și de modificare a Convenției de punere în aplicare a Acordului Schengen și a Regulamentelor (CE) nr. 767/2008 și (UE) nr. 1077/2011 (JO L 327, 9.12.2017, p. 20).
(10) Regulamentul (UE) 2018/1240 al Parlamentului European și al Consiliului din 12 septembrie 2018 de instituire a Sistemului european de informații și de autorizare privind călătoriile (ETIAS) și de modificare a Regulamentelor (UE) nr. 1077/2011, (UE) nr. 515/2014, (UE) 2016/399, (UE) 2016/1624 și (UE) 2017/2226 (JO L 236, 19.9.2018, p. 1).
(11) Regulamentul (CE) nr. 767/2008 al Parlamentului European și al Consiliului din 9 iulie 2008 privind Sistemul de informații privind vizele (VIS) și schimbul de date între statele membre cu privire la vizele de scurtă ședere (Regulamentul VIS) (JO L 218, 13.8.2008, p. 60).
(12) Regulamentul (UE) 2018/1726 al Parlamentului European și al Consiliului din 14 noiembrie 2018 privind Agenția Uniunii Europene pentru Gestionarea Operațională a Sistemelor Informatice la Scară Largă în Spațiul de Libertate, Securitate și Justiție (eu-LISA) și de modificare a Regulamentului (CE) nr. 1987/2006 și a Deciziei 2007/533/JAI a Consiliului, precum și de abrogare a Regulamentului (UE) nr. 1077/2011 (JO L 295, 21.11.2018, p. 99),
(13) Regulamentul (CE) nr. 1107/2006 al Parlamentului European și al Consiliului din 5 iulie 2006 privind drepturile persoanelor cu handicap și ale persoanelor cu mobilitate redusă pe durata călătoriei pe calea aerului (JO L 204, 26.7.2006, p. 1).
(14) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO L 119, 4.5.2016, p. 1).
(15) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(16) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).
(17) Regulamentul (UE) 2019/818 al Parlamentului European și al Consiliului din 20 mai 2019 privind instituirea unui cadru pentru interoperabilitatea dintre sistemele de informații ale UE în domeniul cooperării polițienești și judiciare, al azilului și al migrației și de modificare a Regulamentelor (UE) 2018/1726, (UE) 2018/1862 și (UE) 2019/816 (JO L 135, 22.5.2019, p. 85).
(18)
JO L 123, 12.5.2016, p. 1.
(19) Regulamentul (UE) nr. 182/2011 al Parlamentului European și al Consiliului din 16 februarie 2011 de stabilire a normelor și principiilor generale privind mecanismele de control de către statele membre al exercitării competențelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
(21) Directiva (UE) 2017/541 a Parlamentului European și a Consiliului din 15 martie 2017 privind combaterea terorismului și de înlocuire a Deciziei-cadru 2002/475/JAI a Consiliului și de modificare a Deciziei 2005/671/JAI a Consiliului (JO L 88, 31.3.2017, p. 6).
ELI: http://data.europa.eu/eli/reg/2025/13/oj
ISSN 1977-0782 (electronic edition)
