Regulamentul 13/19-dec-2024 privind colectarea şi transferul de informaţii prealabile referitoare la pasageri în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave şi de modificare a Regulamentului (UE) 2019/818
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 17 Iunie 2025
Regulamentul 13/19-dec-2024 privind colectarea şi transferul de informaţii prealabile referitoare la pasageri în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave şi de modificare a Regulamentului (UE) 2019/818
Dată act: 19-dec-2024
Emitent: Consiliul Uniunii Europene;Parlamentul European
PARLAMENTUL EUROPEAN ŞI CONSILIUL UNIUNII EUROPENE,
având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 82 alineatul (1) litera (d) şi articolul 87 alineatul (2) litera (a),
având în vedere propunerea Comisiei Europene,
după transmiterea proiectului de act legislativ către parlamentele naţionale,
având în vedere avizul Comitetului Economic şi Social European (1),
(1)JO C 228, 29.6.2023, p. 97.
hotărând în conformitate cu procedura legislativă ordinară (2),
(2)Poziţia Parlamentului European din 25 aprilie 2024 (nepublicată încă în Jurnalul Oficial) şi Decizia Consiliului din 12 decembrie 2024.
Întrucât:
(1)Dimensiunea transnaţională a formelor grave de criminalitate şi a criminalităţii organizate şi ameninţarea continuă a atacurilor teroriste pe teritoriul european necesită o acţiune la nivelul Uniunii în vederea adoptării unor măsuri adecvate pentru a asigura securitatea într-un spaţiu de libertate, securitate şi justiţie fără frontiere interne. Informaţiile privind pasagerii, cum ar fi registrele cu numele pasagerilor (PNR) şi, în special, informaţiile prealabile referitoare la pasageri (advance passenger information - API), sunt esenţiale pentru identificarea pasagerilor care prezintă un risc ridicat, inclusiv a celor care nu sunt cunoscuţi în alt mod de autorităţile de aplicare a legii, şi pentru determinarea legăturilor dintre membrii grupurilor infracţionale, precum şi pentru combaterea activităţilor de terorism.
(2)Directiva 2004/82/CE a Consiliului (3) stabileşte un cadru juridic pentru colectarea şi transferul datelor API de către transportatorii aerieni, cu scopul de a îmbunătăţi verificările la frontiere şi de a combate imigraţia ilegală, şi totodată prevede că statele membre au posibilitatea de a utiliza datele API în scopul asigurării respectării legii. Cu toate acestea, doar crearea unei astfel de posibilităţi generează o serie de lacune şi deficienţe. În special, aceasta înseamnă că datele API nu sunt colectate şi transferate în mod sistematic de către transportatorii aerieni în scopuri de aplicare a legii. Posibilitatea de a utiliza datele API în scopuri de aplicare a legii înseamnă, de asemenea, că, în cazul în care statele membre au acţionat cu privire la această posibilitate, transportatorii aerieni se confruntă cu cerinţe divergente în temeiul dreptului intern în ceea ce priveşte momentul şi modul de colectare şi de transfer al datelor API în aceste scopuri. Pe lângă faptul că generează costuri şi complicaţii inutile pentru transportatorii aerieni, divergenţele respective afectează deopotrivă securitatea internă a Uniunii şi cooperarea eficace dintre autorităţile competente de aplicare a legii din statele membre. În plus, având în vedere natura diferită a scopurilor de facilitare a verificărilor la frontiere şi de asigurare a respectării legii, este oportun să se stabilească un cadru juridic distinct pentru colectarea şi transferul datelor API pentru fiecare dintre aceste scopuri.
(3)Directiva 2004/82/CE a Consiliului din 29 aprilie 2004 privind obligaţia operatorilor de transport de a comunica datele privind pasagerii (JO L 261, 6.8.2004, p. 24).
(3)Directiva (UE) 2016/681 a Parlamentului European şi a Consiliului (4) stabileşte norme privind utilizarea datelor din PNR pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave. În temeiul directivei menţionate, statele membre trebuie să adopte măsurile necesare pentru a se asigura că transportatorii aerieni transferă datele din PNR, inclusiv datele API colectate, către unitatea naţională de informaţii despre pasageri (UIP) constituită în temeiul directivei menţionate, în măsura în care aceştia au colectat deja astfel de date în cadrul activităţilor lor obişnuite. În consecinţă, directiva menţionată nu asigură colectarea şi transferul datelor API în toate cazurile, întrucât transportatorii aerieni nu au niciun motiv comercial să colecteze un set complet de astfel de date. Este important să se asigure faptul că UIP primesc date API împreună cu date din PNR, deoarece prelucrarea în comun a acestor date este necesară pentru ca autorităţile competente din statele membre să fie în măsură să prevină, să depisteze, să investigheze şi să urmărească penal în mod eficace infracţiunile de terorism şi infracţiunile grave. În special, o astfel de prelucrare în comun permite identificarea exactă a pasagerilor cu privire la care ar putea fi necesară efectuarea unor verificări suplimentare, în conformitate cu dreptul aplicabil, de către autorităţile respective. În plus, directiva menţionată nu precizează în detaliu informaţiile care constituie date API. Din aceste motive, ar trebui să fie stabilite norme suplimentare care să impună transportatorilor aerieni să colecteze şi, ulterior, să transfere un set de date API definit în mod specific, cerinţele care ar trebui să se aplice în măsura în care transportatorilor aerieni le revine obligaţia, în temeiul directivei menţionate, să colecteze şi să transfere date din PNR cu privire la acelaşi zbor.
(4)Directiva (UE) 2016/681 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind utilizarea datelor din registrul cu numele pasagerilor (PNR) pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave (JO L 119, 4.5.2016, p. 132).
(4)Prin urmare, este necesar să se stabilească norme clare, armonizate şi eficace la nivelul Uniunii privind colectarea şi transferul datelor API în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave.
(5)Având în vedere legătura strânsă dintre cele două acte, prezentul regulament ar trebui să fie înţeles ca o completare a normelor prevăzute în Directiva (UE) 2016/681, astfel cum au fost interpretate de Curtea de Justiţie a Uniunii Europene (CJUE). Prin urmare, datele API trebuie să fie colectate şi transferate în temeiul prezentului regulament numai în conformitate cu cerinţele specifice prevăzute de acesta, inclusiv în ceea ce priveşte situaţiile şi modul în care trebuie să se facă acest lucru. Cu toate acestea, normele prevăzute de directiva menţionată se aplică în ceea ce priveşte aspectele care nu sunt reglementate în mod specific de prezentul regulament, în special cu privire la normele privind prelucrarea ulterioară a datelor API primite de UIP, schimbul de informaţii între statele membre, condiţiile de acces al Agenţiei Uniunii Europene pentru Cooperare în Materie de Aplicare a Legii (Europol), transferurile către ţări terţe, păstrarea şi depersonalizarea, precum şi protecţia datelor cu caracter personal. În măsura în care se aplică normele respective, se aplică, de asemenea, normele directivei menţionate în ceea ce priveşte sancţiunile şi autorităţile naţionale de supraveghere. Prezentul regulament nu ar trebui să aducă atingere normelor respective şi, prin urmare, nu ar trebui să aducă atingere cerinţelor şi garanţiilor aplicabile prelucrării datelor API de către UIP.
(6)Colectarea şi transferul datelor API afectează viaţa privată a persoanelor şi implică prelucrarea datelor cu caracter personal ale acestora. Pentru a respecta pe deplin drepturile fundamentale ale acestora, în special dreptul la respectarea vieţii private şi dreptul la protecţia datelor cu caracter personal, în conformitate cu Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare "carta"), ar trebui să fie prevăzute limite şi garanţii adecvate. De exemplu, orice prelucrare a datelor API şi, în special, a datelor API care constituie date cu caracter personal ar trebui să rămână strict limitată la ceea ce este necesar şi proporţional pentru atingerea obiectivelor urmărite de prezentul regulament. În plus, ar trebui să se asigure că prelucrarea oricăror date API colectate şi transferate în temeiul prezentului regulament nu conduce la nicio formă de discriminare interzisă de cartă.
(7)Având în vedere caracterul complementar al prezentului regulament în raport cu Directiva (UE) 2016/681, obligaţiile transportatorilor aerieni în temeiul prezentului regulament ar trebui să se aplice în ceea ce priveşte toate zborurile pentru care statele membre trebuie să impună transportatorilor aerieni obligaţia să transmită date din PNR în temeiul Directivei (UE) 2016/681, indiferent de locul de stabilire al transportatorilor aerieni care efectuează zborurile respective. Zborurile respective ar trebui să cuprindă zborurile regulate şi neregulate, atât între statele membre şi ţări terţe (zboruri extra-UE), cât şi între mai multe state membre (zboruri intra-UE), cu condiţia ca astfel de zboruri intra-UE să decoleze, să aterizeze sau să facă o escală pe teritoriul a cel puţin unui stat membru care a notificat decizia sa de a aplica Directiva (UE) 2016/681 zborurilor intra-UE în conformitate cu articolul 2 alineatul (1) din directiva respectivă şi conform jurisprudenţei CJUE. În ceea ce priveşte zborurile intra-UE care intră sub incidenţa prezentului regulament, o astfel de abordare ţintită, adoptată în aplicarea articolului 2 din Directiva (UE) 2016/681 şi axată pe cerinţele unei aplicări eficace a legii, ar trebui, de asemenea, să fie necesară având în vedere necesitatea de a asigura conformitatea cu cerinţele dreptului Uniunii privind necesitatea şi proporţionalitatea prelucrării datelor, libera circulaţie a persoanelor şi eliminarea verificărilor la frontierele interne. Colectarea de date de la orice alte operaţiuni de transport aerian civil, cum ar fi şcolile de zbor, zborurile medicale, zborurile pentru urgenţe, precum şi de la zborurile militare, nu intră în domeniul de aplicare al prezentului regulament. Prezentul regulament nu aduce atingere colectării de date de la astfel de zboruri, aşa cum se prevede în dreptul intern compatibil cu dreptul Uniunii. Comisia ar trebui să evalueze fezabilitatea unui sistem al Uniunii care să oblige operatorii de zboruri private să colecteze şi să transfere date privind pasagerii aerieni.
(8)Obligaţiile transportatorilor aerieni de a colecta şi transfera date API în temeiul prezentului regulament ar trebui să includă toţi pasagerii şi membrii echipajului zborurilor către Uniune, pasagerii şi membrii echipajului în tranzit a căror destinaţie finală se află în afara Uniunii, precum şi orice membru al echipajului aflat în afara orelor de program, poziţionat pe un zbor de către un transportator aerian în legătură cu sarcinile care îi revin.
(9)În consecinţă, având în vedere că Directiva (UE) 2016/681 nu reglementează zborurile interne care decolează şi aterizează pe teritoriul aceluiaşi stat membru fără nicio escală pe teritoriul altui stat membru sau al unei ţări terţe şi având în vedere dimensiunea transnaţională a infracţiunilor de terorism şi a infracţiunilor grave reglementate de prezentul regulament, nici astfel de zboruri nu ar trebui să intre sub incidenţa prezentului regulament. Prezentul regulament nu ar trebui să fie înţeles ca afectând posibilitatea statelor membre de a prevedea, în temeiul dreptului lor intern şi în conformitate cu dreptul Uniunii, obligaţii pentru transportatorii aerieni de a colecta şi de a transfera date API cu privire la astfel de zboruri interne.
(10)Având în vedere legătura strânsă dintre actele juridice ale Uniunii şi din motive de consecvenţă şi coerenţă, definiţiile prevăzute în prezentul regulament ar trebui, după caz, să fie aliniate, interpretate şi aplicate din perspectiva definiţiilor prevăzute în Directiva (UE) 2016/681 şi în Regulamentul (UE) 2025/12 al Parlamentului European şi al Consiliului (5).
(5)Regulamentul (UE) 2025/12 al Parlamentului European şi al Consiliului din 19 decembrie 2024 privind colectarea şi transferul de informaţii prealabile referitoare la pasageri în vederea îmbunătăţirii şi facilitării verificărilor la frontierele externe, de modificare a Regulamentelor (UE) 2018/1726 şi (UE) 2019/817 şi de abrogare a Directivei 2004/82/CE a Consiliului (JO L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/oj).
(11)În special, informaţiile care constituie împreună datele API care urmează să fie colectate şi transferate ulterior în temeiul prezentului regulament ar trebui să fie enumerate în mod clar şi exhaustiv, incluzând atât informaţiile referitoare la fiecare pasager şi membru al echipajului, cât şi informaţiile privind zborul pasagerului şi al membrului echipajului respectiv. În temeiul prezentului regulament şi în conformitate cu standardele internaţionale, astfel de informaţii privind zborurile ar trebui să includă informaţii privind locurile şi bagajele, atunci când sunt disponibile, şi informaţii privind punctul de trecere a frontierei de intrare pe teritoriul statului membru în cauză numai dacă este cazul, exceptând cazurile în care datele API se referă la zboruri intra-UE. Atunci când sunt disponibile informaţii privind locurile şi bagajele în cadrul altor sisteme informatice de care dispune transportatorul aerian, operatorul său de gestionare, furnizorul său de sistem sau autoritatea aeroportuară, transportatorii aerieni ar trebui să integreze informaţiile respective în datele API pentru a fi transferate către UIP. Datele API, astfel cum sunt definite şi reglementate în temeiul prezentului regulament, nu includ datele biometrice.
(12)Pentru a permite călătoriile fără a deţine un document de călătorie în cazul în care statele membre permit o astfel de practică în temeiul dreptului intern în conformitate cu dreptul Uniunii, inclusiv pe baza unui acord internaţional, ar trebui să fie posibil ca un stat membru să impună transportatorilor aerieni obligaţia de a oferi pasagerilor posibilitatea de a introduce în mod voluntar date API prin mijloace automatizate şi de a dispune stocarea unor astfel de date de către transportatorul aerian în vederea transferării datelor în scopul zborurilor viitoare.
(13)Pentru a permite flexibilitate şi inovare, ar trebui, în principiu, să fie lăsat la latitudinea fiecărui transportator aerian să stabilească modul în care îşi îndeplineşte obligaţiile în ceea ce priveşte colectarea datelor API prevăzute în prezentul regulament, luând în considerare diferitele tipuri de transportatori aerieni, astfel cum sunt definite în prezentul regulament şi modelele lor de afaceri respective, inclusiv perioadele de înregistrare şi cooperarea cu aeroporturile. Cu toate acestea, având în vedere că există soluţii tehnologice adecvate care permit colectarea automată a anumitor date API, garantând în acelaşi timp că datele API în cauză sunt exacte, complete şi actualizate şi având în vedere avantajele utilizării unei astfel de tehnologii în ceea ce priveşte eficacitatea şi eficienţa, transportatorilor aerieni ar trebui să le revină obligaţia de a colecta astfel de date API prin mijloace automatizate, prin citirea informaţiilor din datele care pot fi citite automat, cuprinse în documentul de călătorie. În cazul în care utilizarea unor astfel de mijloace automatizate nu este posibilă din punct de vedere tehnic din cauza circumstanţelor excepţionale, transportatorii aerieni ar trebui ca, în mod excepţional, să colecteze manual datele API, fie ca parte a procesului de înregistrare online, fie ca parte a înregistrării la aeroport, astfel încât să se asigure respectarea obligaţiilor care le revin în temeiul prezentului regulament.
(14)Colectarea datelor API prin mijloace automatizate ar trebui să fie strict limitată la datele alfanumerice conţinute în documentul de călătorie şi nu ar trebui să conducă la colectarea de date biometrice din acesta. Întrucât colectarea datelor API face parte din procesul de înregistrare, fie online, fie la aeroport, prezentul regulament nu impune transportatorilor aerieni obligaţia de a verifica un document de călătorie al pasagerului la momentul îmbarcării. Respectarea prezentului regulament nu impune pasagerilor obligaţia de a avea asupra lor un document de călătorie la momentul îmbarcării. Acest lucru nu ar trebui să aducă atingere obligaţiilor care decurg din alte acte juridice ale Uniunii sau din dreptul intern care este compatibil cu dreptul Uniunii.
(15)Colectarea datelor API din documentele de călătorie ar trebui să fie, de asemenea, în concordanţă cu standardele Organizaţiei Aviaţiei Civile Internaţionale (OACI) privind documentele de călătorie care pot fi citite automat, care au fost încorporate în dreptul Uniunii prin Regulamentul (UE) 2019/1157 al Parlamentului European şi al Consiliului (6), prin Regulamentul (CE) nr. 2252/2004 al Consiliului (7) şi prin Directiva (UE) 2019/997 a Consiliului (8).
(6)Regulamentul (UE) 2019/1157 al Parlamentului European şi al Consiliului din 20 iunie 2019 privind consolidarea securităţii cărţilor de identitate ale cetăţenilor Uniunii şi a documentelor de şedere eliberate cetăţenilor Uniunii şi membrilor de familie ai acestora care îşi exercită dreptul la liberă circulaţie (JO L 188, 12.7.2019, p. 67).
(7)Regulamentul (CE) nr. 2252/2004 al Consiliului din 13 decembrie 2004 privind standardele pentru elementele de securitate şi elementele biometrice integrate în paşapoarte şi în documente de călătorie emise de statele membre (JO L 385, 29.12.2004, p. 1).
(8)Directiva (UE) 2019/997 a Consiliului din 18 iunie 2019 de instituire a unui document de călătorie provizoriu al UE şi de abrogare a Deciziei 96/409/PESC (JO L 163, 20.6.2019, p. 1).
(16)Pentru a evita o situaţie în care transportatorii aerieni să fie nevoiţi să stabilească şi să menţină conexiuni multiple cu UIP ale statelor membre pentru transferul datelor API colectate în temeiul prezentului regulament, evitându-se astfel ineficienţele şi riscurile de securitate aferente, ar trebui să se prevadă un router unic, creat şi operat la nivelul Uniunii în conformitate cu prezentul regulament şi cu Regulamentul (UE) 2025/12, care să servească drept punct de conectare şi de distribuţie pentru transferurile respective. Din motive de eficienţă şi rentabilitate, routerul ar trebui, în măsura în care este tehnic posibil şi cu respectarea integrală a normelor prezentului regulament şi ale Regulamentului (UE) 2025/12, să se bazeze pe componente tehnice din alte sisteme relevante create în temeiul dreptului Uniunii, în special pe serviciul web menţionat în Regulamentul (UE) 2017/2226 al Parlamentului European şi al Consiliului (9), pe portalul pentru operatorii de transport menţionat în Regulamentul (UE) 2018/1240 al Parlamentului European şi al Consiliului (10) şi pe portalul pentru operatorii de transport menţionat în Regulamentul (CE) nr. 767/2008 al Parlamentului European şi al Consiliului (11). Pentru a reduce impactul asupra transportatorilor aerieni şi pentru a asigura o abordare armonizată faţă de transportatorii aerieni, Agenţia Uniunii Europene pentru Gestionarea Operaţională a Sistemelor Informatice la Scară Largă în Spaţiul de Libertate, Securitate şi Justiţie, instituită prin Regulamentul (UE) 2018/1726 al Parlamentului European şi al Consiliului (12), ar trebui să proiecteze routerul, în măsura în care acest lucru este posibil din punct de vedere tehnic şi operaţional, într-un mod care să fie corelat şi concordant cu obligaţiile transportatorilor aerieni stabilite în Regulamentele (CE) nr. 767/2008, (UE) 2017/2226 şi (UE) 2018/1240.
(9)Regulamentul (UE) 2017/2226 al Parlamentului European şi al Consiliului din 30 noiembrie 2017 de instituire a Sistemului de intrare/ieşire (EES) pentru înregistrarea datelor de intrare şi de ieşire şi a datelor referitoare la refuzul intrării ale resortisanţilor ţărilor terţe care trec frontierele externe ale statelor membre, de stabilire a condiţiilor de acces la EES în scopul aplicării legii şi de modificare a Convenţiei de punere în aplicare a Acordului Schengen şi a Regulamentelor (CE) nr. 767/2008 şi (UE) nr. 1077/2011 (JO L 327, 9.12.2017, p. 20).
(10)Regulamentul (UE) 2018/1240 al Parlamentului European şi al Consiliului din 12 septembrie 2018 de instituire a Sistemului european de informaţii şi de autorizare privind călătoriile (ETIAS) şi de modificare a Regulamentelor (UE) nr. 1077/2011, (UE) nr. 515/2014, (UE) 2016/399, (UE) 2016/1624 şi (UE) 2017/2226 (JO L 236, 19.9.2018, p. 1).
(11)Regulamentul (CE) nr. 767/2008 al Parlamentului European şi al Consiliului din 9 iulie 2008 privind Sistemul de informaţii privind vizele (VIS) şi schimbul de date între statele membre cu privire la vizele de scurtă şedere (Regulamentul VIS) (JO L 218, 13.8.2008, p. 60).
(12)Regulamentul (UE) 2018/1726 al Parlamentului European şi al Consiliului din 14 noiembrie 2018 privind Agenţia Uniunii Europene pentru Gestionarea Operaţională a Sistemelor Informatice la Scară Largă în Spaţiul de Libertate, Securitate şi Justiţie (eu-LISA) şi de modificare a Regulamentului (CE) nr. 1987/2006 şi a Deciziei 2007/533/JAI a Consiliului, precum şi de abrogare a Regulamentului (UE) nr. 1077/2011 (JO L 295, 21.11.2018, p. 99),
(17)Cu scopul de a asigura lizibilitatea datelor din PNR de către UIP şi buna funcţionare a sistemelor PNR ale acestora, mesajele digitale trimise de un transportator aerian care conţin unul sau mai multe registre cu numele pasagerilor (denumite în continuare "mesaje PNR"), ar trebui să fie transferate de transportatorii aerieni şi transmise de router într-un format standardizat prin intermediul unor câmpuri sau coduri de date standardizate, atât în ceea ce priveşte conţinutul, cât şi structura. Înainte ca routerul să înceapă operaţiunile legate de alte date din PNR, testele care urmează să fie efectuate de eu-LISA ar trebui să asigure capacitatea, viteza şi fiabilitatea routerului pentru a oferi o astfel de standardizare. În acest scop, Comisia ar trebui să ia măsurile necesare pentru a revizui legislaţia de punere în aplicare existentă, adoptată în temeiul articolului 16 din Directiva (UE) 2016/681, care stabileşte protocoale comune şi formatele de date compatibile. O astfel de revizuire ar trebui să fie efectuată în strânsă consultare cu reprezentanţii statelor membre, pentru a valorifica expertiza acestora şi a garanta că cele mai bune practici pe care le-au dezvoltat la punerea în aplicare a Directivei (UE) 2016/681 la nivel naţional sunt luate în considerare la nivelul Uniunii în ceea ce priveşte funcţionarea routerului. Grupul de contact API-PNR ar trebui să sprijine o astfel de revizuire.
(18)Pentru a îmbunătăţi eficienţa transmiterii datelor de trafic aerian şi pentru a sprijini monitorizarea datelor API transmise către UIP, routerul ar trebui să primească informaţii în timp real privind traficul aerian colectate de alte organizaţii, cum ar fi Organizaţia Europeană pentru Siguranţa Navigaţiei Aeriene (Eurocontrol).
(19)Routerul ar trebui să fie folosit numai pentru a facilita transferul datelor API şi al altor date din PNR de la transportatorii aerieni către UIP în conformitate cu prezentul regulament şi nu ar trebui să fie un registru de date API sau de alte date din PNR. Prin urmare, pentru a reduce la minimum orice risc de acces neautorizat sau de alt tip de utilizare greşită şi în conformitate cu principiul reducerii la minimum a datelor, nu ar trebui să aibă loc nicio stocare decât dacă este strict necesar pentru scopurile tehnice legate de transmitere, iar datele API sau alte date din PNR ar trebui să fie şterse de pe router, imediat, definitiv şi în mod automat, din momentul în care transmiterea a fost finalizată sau, după caz, în temeiul prezentului regulament, datele API sau alte date din PNR nu trebuie să fie transmise deloc.
(20)Pentru a permite transportatorilor aerieni să beneficieze cât mai curând posibil de avantajele oferite de utilizarea routerului dezvoltat de eu-LISA în conformitate cu prezentul regulament şi cu Regulamentul (UE) 2025/12 şi să dobândească experienţă în utilizarea acestuia, transportatorilor aerieni ar trebui să li se ofere posibilitatea, fără să li se impună obligaţia, de a utiliza routerul pentru a transfera informaţiile pe care trebuie să le transfere în temeiul Directivei 2004/82/CE în cursul unei perioade intermediare. Respectiva perioadă intermediară ar trebui să înceapă din momentul punerii în funcţiune a routerului şi să se încheie atunci când obligaţiile prevăzute în directiva menţionată încetează să se mai aplice. Pentru a se asigura că orice astfel de utilizare voluntară a routerului se efectuează în mod responsabil, ar trebui să se solicite acordul scris prealabil al statului membru care urmează să primească informaţiile, la cererea transportatorului aerian şi după ce statul membru respectiv a efectuat verificări şi a obţinut asigurări, după caz. În mod similar, pentru a evita o situaţie în care transportatorii aerieni încep şi încetează în mod repetat să utilizeze routerul, odată ce un transportator aerian începe o astfel de utilizare în mod voluntar, acesta ar trebui să aibă obligaţia de a o continua, cu excepţia cazului în care există motive obiective de a întrerupe utilizarea routerului pentru transferarea informaţiilor către statul membru în cauză, cum ar fi evidenţa faptului că informaţiile nu sunt transferate într-un mod legal, sigur, eficace şi rapid. Pentru aplicarea corespunzătoare a posibilităţii de utilizare voluntară a routerului, ţinând seama în mod corespunzător de drepturile şi interesele tuturor părţilor afectate, ar trebui să fie prevăzute în prezentul regulament normele necesare privind consultările şi furnizarea de informaţii. Orice astfel de utilizare voluntară a routerului în temeiul Directivei 2004/82/CE, astfel cum se prevede în prezentul regulament, nu ar trebui să fie înţeleasă ca afectând în niciun fel obligaţiile transportatorilor aerieni şi ale statelor membre, prevăzute în directiva menţionată.
(21)Cerinţele prevăzute de prezentul regulament şi de actele delegate şi de punere în aplicare corespunzătoare ar trebui să conducă la punerea în aplicare uniformă a prezentului regulament de către transportatorii aerieni, reducând astfel la minimum costul interconectării sistemelor acestora. Pentru a facilita punerea în aplicare în mod armonizat a cerinţelor respective de către transportatorii aerieni, mai ales în ceea ce priveşte structura, formatul şi protocolul de transmitere a datelor, Comisia, pe baza cooperării sale cu UIP, cu alte autorităţi ale statelor membre, cu transportatorii aerieni şi cu agenţiile relevante ale Uniunii, ar trebui să se asigure că manualul practic care urmează a fi pregătit de Comisie oferă toate îndrumările şi clarificările necesare.
(22)Pentru a îmbunătăţi calitatea datelor API, routerul care urmează să fie instituit în temeiul prezentului regulament ar trebui să verifice dacă datele API care i-au fost transferate de către transportatorii aerieni respectă formatele de date compatibile. În cazul în care în urma verificării se constată că datele nu respectă formatele de date compatibile, routerul ar trebui să transmită acest lucru imediat şi în mod automat transportatorului aerian în cauză.
(23)Pasagerii ar trebui să aibă posibilitatea să furnizeze ei înşişi anumite date API prin mijloace automatizate în timpul unui proces de înregistrare online, de exemplu printr-o aplicaţie securizată pe un telefon inteligent al unui pasager, pe un computer sau pe o cameră web cu capacitatea de a citi datele care pot fi citite automat cuprinse în documentul de călătorie. În cazul în care pasagerii nu s-au înregistrat online, transportatorii aerieni ar trebui să le ofere posibilitatea de a furniza datele API care pot fi citite automat necesare în timpul înregistrării la aeroport, cu ajutorul unui chioşc cu autoservire sau al personalului transportatorilor aerieni la ghişeu. Fără a aduce atingere libertăţii transportatorilor aerieni de a stabili tarifele pentru transportul aerian de pasageri şi de a-şi defini politica comercială, este important ca obligaţiile impuse de prezentul regulament să nu ducă la obstacole disproporţionate pentru pasagerii care nu pot utiliza mijloace online pentru a furniza date API, cum ar fi taxe suplimentare pentru furnizarea de date API în aeroport. În plus, prezentul regulament ar trebui să prevadă o perioadă de tranziţie în cursul căreia pasagerilor li se oferă posibilitatea de a furniza manual date API în cadrul procesului de înregistrare online. În astfel de cazuri, transportatorii aerieni ar trebui să utilizeze tehnici de verificare a datelor.
(24)Este important ca sistemele de colectare automată a datelor şi alte procese instituite în temeiul prezentului regulament să nu aibă un impact negativ asupra angajaţilor din industria aviatică, cărora trebuie să li se ofere posibilităţi de a se perfecţiona şi recalifica, ceea ce ar spori eficienţa şi fiabilitatea colectării şi transferului de date, precum şi condiţii de muncă mai bune în sector.
(25)Pentru a asigura prelucrarea în comun a datelor API şi a datelor din PNR în scopul combaterii în mod eficace a terorismului şi a infracţiunilor grave în Uniune şi, în acelaşi timp, pentru a reduce la minimum atingerea adusă drepturilor fundamentale ale pasagerilor protejate în temeiul cartei, UIP ar trebui să fie autorităţile competente din statele membre cărora li se încredinţează sarcina de a primi şi, ulterior, de a prelucra şi proteja datele API colectate şi transferate în temeiul prezentului regulament. Din motive de eficienţă şi pentru a reduce la minimum orice risc pentru securitate, routerul, astfel cum a fost proiectat, dezvoltat, găzduit şi întreţinut din punct de vedere tehnic de eu-LISA, în conformitate cu prezentul regulament şi cu Regulamentul (UE) 2025/12, ar trebui să transmită către UIP relevante datele API colectate şi transferate de către transportatorii aerieni în temeiul prezentului regulament. Având în vedere nivelul necesar de protecţie a datelor API care constituie date cu caracter personal, inclusiv pentru a asigura confidenţialitatea informaţiilor în cauză, datele API ar trebui să fie transmise de router către UIP relevante în mod automat. Prezentul regulament nu ar trebui să aducă atingere posibilităţii ca statele membre să prevadă un punct unic de intrare pentru date care să asigure conectarea la router şi integrarea în acesta.
(26)Pentru a garanta respectarea drepturilor prevăzute în cartă, precum şi pentru a asigura opţiuni de călătorie accesibile şi favorabile incluziunii, în special pentru grupurile vulnerabile şi persoanele cu dizabilităţi, şi în conformitate cu drepturile persoanelor cu dizabilităţi şi ale persoanelor cu mobilitate redusă pe durata călătoriei pe calea aerului prevăzute în Regulamentul (CE) nr. 1107/2006 al Parlamentului European şi al Consiliului (13), transportatorii aerieni, sprijiniţi de statele membre, ar trebui să se asigure că este disponibilă în aeroport în orice moment o opţiune pentru furnizarea datelor necesare de către pasageri.
(13)Regulamentul (CE) nr. 1107/2006 al Parlamentului European şi al Consiliului din 5 iulie 2006 privind drepturile persoanelor cu handicap şi ale persoanelor cu mobilitate redusă pe durata călătoriei pe calea aerului (JO L 204, 26.7.2006, p. 1).
(27)Pentru zborurile extra-UE, UIP din statul membru pe teritoriul căruia aterizează sau de unde decolează aeronavele respective ar trebui să primească datele API prin intermediul routerului pentru toate aceste zboruri pentru care datele din PNR sunt colectate în conformitate cu Directiva (UE) 2016/681. Routerul ar trebui să identifice zborul şi UIP corespunzătoare utilizând informaţiile conţinute în codul de reper al dosarului pasagerului, un element de date comun atât pentru seturile de date API, cât şi pentru seturile de date din PNR care permit prelucrarea în comun a datelor API şi a datelor din PNR de către UIP.
(28)În ceea ce priveşte zborurile intra-UE, în conformitate cu jurisprudenţa CJUE, pentru a evita atingerea nejustificată adusă drepturilor fundamentale relevante ale pasagerilor, astfel cum sunt protejate în temeiul cartei şi pentru a asigura conformitatea cu cerinţele dreptului Uniunii privind libera circulaţie a persoanelor şi eliminarea verificărilor la frontierele interne, ar trebui să fie prevăzută o abordare selectivă. Având în vedere importanţa asigurării faptului că datele API pot fi prelucrate împreună cu datele din PNR, această abordare ar trebui să fie armonizată cu cea a Directivei (UE) 2016/681. Din aceste motive, datele API privind zborurile respective ar trebui transmise de la router către UIP relevante numai în cazul în care statele membre au selectat zborurile în cauză în temeiul articolului 2 din Directiva (UE) 2016/681 şi în conformitate cu abordarea selectivă prevăzută în prezentul regulament. Statele membre ar trebui să poată aplica Directiva (UE) 2016/681 tuturor zborurilor intra-UE care sosesc sau pleacă de pe teritoriul lor numai în situaţii de ameninţare teroristă reală şi prezentă sau previzibilă şi în temeiul unei decizii care se bazează pe o evaluare a ameninţării, este limitată în timp la ceea ce este strict necesar şi care poate fi supusă unei proceduri de control eficace. În alte situaţii, ar trebui să fie prevăzută o abordare selectivă. Astfel cum a reamintit CJUE, selecţia implică faptul că statele membre vizează obligaţiile în cauză numai, printre altele, pe anumite rute, tipare de călătorie sau aeroporturi, sub rezerva revizuirii periodice a selecţiei respective. În plus, selecţia ar trebui să se bazeze pe o evaluare obiectivă, motivată corespunzător şi nediscriminatorie, care ia în considerare doar criteriile care sunt relevante în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave şi care au o legătură obiectivă, inclusiv o legătură indirectă, cu transportul aerian de persoane. Statele membre ar trebui să păstreze toate documentele relevante legate de evaluare pentru a permite supravegherea adecvată şi controlul evaluării lor în mod regulat şi cel puţin o dată la 12 luni, în conformitate cu articolul 13 alineatul (7) din prezentul regulament.
(29)Pentru a permite aplicarea abordării selective în temeiul prezentului regulament în ceea ce priveşte zborurile intra-UE, statele membre ar trebui să aibă obligaţia de a întocmi listele zborurilor sau rutelor pe care le-au selectat şi să le introducă în router, astfel încât eu-LISA să se poată asigura că numai datele API pentru aceste zboruri sau rute sunt transmise prin intermediul routerului către UIP relevante şi că datele API privind alte zboruri intra-UE sunt şterse imediat şi definitiv.
(30)Pentru a spori coeziunea dintre abordările selective adoptate de diferitele state membre, Comisia ar trebui să faciliteze un schimb periodic de opinii cu privire la alegerea criteriilor de selecţie, inclusiv schimbul de cele mai bune practici şi, în mod voluntar, schimbul de informaţii cu privire la zborurile selectate.
(31)Pentru a nu periclita eficacitatea sistemului care se bazează pe colectarea şi transferul datelor API instituit prin prezentul regulament şi a datelor din PNR în cadrul sistemului instituit prin Directiva (UE) 2016/681, în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave, în special prin crearea riscului de eludare, informaţiile cu privire la zborurile intra-UE selectate de statele membre ar trebui să fie tratate în mod confidenţial. Din acest motiv, astfel de informaţii nu ar trebui să fie comunicate transportatorilor aerieni şi, prin urmare, aceştia ar trebui să aibă obligaţia de a colecta date API pentru toate zborurile care intră sub incidenţa prezentului regulament, inclusiv pentru toate zborurile intra-UE, şi apoi de a le transfera către router, în cazul în care trebuie implementată selecţia necesară. În plus, prin colectarea de date API privind toate zborurile intra-UE, pasagerii nu sunt informaţi cu privire la datele API pentru zborurile intra-UE selectate şi, prin urmare, cu privire la datele din PNR care sunt transmise către UIP în conformitate cu evaluarea statelor membre. Respectiva abordare garantează, de asemenea, că orice modificare legată de selecţia respectivă poate fi pusă în aplicare rapid şi eficient, fără a impune nicio sarcină economică şi operaţională nejustificată asupra transportatorilor aerieni.
(32)Prezentul regulament nu permite colectarea sau transferul de date API privind zborurile intra-UE în scopul combaterii imigraţiei ilegale, în conformitate cu dreptul Uniunii şi cu jurisprudenţa CJUE.
(33)În interesul asigurării respectării dreptului fundamental la protecţia datelor cu caracter personal, prezentul regulament ar trebui să identifice operatorul şi persoana împuternicită de operator şi să stabilească norme privind auditurile. În interesul unei monitorizări eficace, al asigurării unei protecţii adecvate a datelor cu caracter personal şi al reducerii la minimum a riscurilor în materie de securitate, ar trebui să se prevadă, de asemenea, norme privind înregistrarea, securitatea prelucrării şi automonitorizarea. În cazul în care se referă la prelucrarea datelor cu caracter personal, dispoziţiile respective ar trebui să fie în concordanţă cu actele juridice ale Uniunii cu aplicabilitate generală privind protecţia datelor cu caracter personal, în special Regulamentele (UE) 2016/679 (14) şi (UE) 2018/1725 (15) ale Parlamentului European şi ale Consiliului.
(14)Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor) (JO L 119, 4.5.2016, p. 1).
(15)Regulamentul (UE) 2018/1725 al Parlamentului European şi al Consiliului din 23 octombrie 2018 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal de către instituţiile, organele, oficiile şi agenţiile Uniunii şi privind libera circulaţie a acestor date şi de abrogare a Regulamentului (CE) nr. 45/2001 şi a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39).
(34)Fără a aduce atingere normelor mai specifice prevăzute în prezentul regulament pentru prelucrarea datelor cu caracter personal, Regulamentul (UE) 2016/679 ar trebui să se aplice pentru prelucrarea datelor cu caracter personal de către transportatorii aerieni în temeiul prezentului regulament. Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului (16) ar trebui să se aplice pentru prelucrarea datelor cu caracter personal prevăzute de prezentul regulament, efectuate de către autorităţile competente naţionale, aşa cum sunt definite în directiva respectivă, în scopul prevenirii, depistării, investigării sau urmării penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora. Regulamentul (UE) 2018/1725 ar trebui să se aplice prelucrării datelor cu caracter personal de către eu-LISA atunci când îşi îndeplineşte responsabilităţile care îi revin în temeiul prezentului regulament.
(16)Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului (JO L 119, 4.5.2016, p. 89).
(35)Ţinând seama de dreptul pasagerilor de a fi informaţi cu privire la prelucrarea datelor lor cu caracter personal, statele membre ar trebui să se asigure că pasagerii primesc informaţii exacte cu privire la colectarea datelor API, la transferul unor astfel de date către UIP şi la drepturile lor în calitate de persoane vizate, care să fie uşor accesibile şi uşor de înţeles, în momentul rezervării zborului şi în momentul înregistrării.
(36)Auditurile privind protecţia datelor cu caracter personal pentru care sunt responsabile statele membre ar trebui să fie efectuate de autorităţile de supraveghere independente menţionate la articolul 41 din Directiva (UE) 2016/680 sau de către un organism de audit căruia autoritatea de supraveghere i-a încredinţat această sarcină.
(37)Scopurile operaţiunilor de prelucrare în temeiul prezentului regulament, şi anume transmiterea datelor API prin intermediul routerului de la transportatorii aerieni către UIP ale statelor membre, sunt de a sprijini autorităţile respective în îndeplinirea obligaţiilor şi sarcinilor lor în conformitate cu Directiva (UE) 2016/681. Prin urmare, statele membre ar trebui să desemneze autorităţi drept operatori pentru prelucrarea datelor în router, pentru transmiterea datelor de la router către UIP şi pentru prelucrarea ulterioară a datelor respective în conformitate cu Directiva (UE) 2016/681. Statele membre ar trebui să comunice Comisiei şi eu-LISA care sunt autorităţile respective. Pentru prelucrarea datelor cu caracter personal în router, statele membre ar trebui să fie operatori asociaţi în conformitate cu articolul 21 din Directiva (UE) 2016/680. Transportatorii aerieni, la rândul lor, ar trebui să fie operatori separaţi în ceea ce priveşte prelucrarea datelor API care constituie date cu caracter personal în temeiul prezentului regulament. Pe această bază, atât transportatorii aerieni, cât şi UIP ar trebui să fie operatori separaţi în ceea ce priveşte operaţiunile de prelucrare a datelor API în temeiul prezentului regulament. Întrucât eu-LISA este responsabilă cu proiectarea, dezvoltarea, găzduirea şi gestionarea tehnică a routerului, aceasta ar trebui să fie persoana împuternicită de operator pentru prelucrarea datelor API care constituie date cu caracter personal prin intermediul routerului, inclusiv pentru transmiterea datelor de la router către UIP şi pentru stocarea datelor respective pe router, în măsura în care o astfel de stocare este necesară în scopuri tehnice.
(38)Routerul care urmează să fie creat şi operat în temeiul prezentului regulament şi al Regulamentului (UE) 2025/12 ar trebui să reducă şi să simplifice conexiunile tehnice necesare pentru transferul datelor API în temeiul prezentului regulament, limitându-le la o singură conexiune pentru fiecare transportator aerian şi pentru fiecare UIP. Prin urmare, prezentul regulament ar trebui să prevadă obligaţia UIP şi a transportatorilor aerieni de a stabili o astfel de conexiune la router şi de a realiza integrarea necesară în acesta, pentru a se asigura că sistemul de transfer al datelor API instituit prin prezentul regulament poate funcţiona în mod corespunzător. Proiectarea şi dezvoltarea routerului de către eu-LISA ar trebui să permită conectarea şi integrarea efectivă şi eficientă a sistemelor şi a infrastructurii transportatorilor aerieni, prin furnizarea tuturor standardelor şi cerinţelor tehnice relevante. Pentru a asigura buna funcţionare a sistemului instituit prin prezentul regulament, ar trebui să fie stabilite norme detaliate. Atunci când proiectează şi dezvoltă routerul, eu-LISA ar trebui să se asigure că datele API şi alte date din PNR transferate de transportatorii aerieni şi transmise către UIP sunt criptate în tranzit.
(39)Având în vedere interesele Uniunii în acest domeniu, toate costurile suportate de eu-LISA pentru îndeplinirea atribuţiilor sale în temeiul prezentului regulament în ceea ce priveşte routerul ar trebui să fie suportate din bugetul Uniunii, inclusiv proiectarea şi dezvoltarea routerului, găzduirea şi gestionarea tehnică a routerului, precum şi structura de guvernanţă a eu-LISA pentru a sprijini proiectarea, dezvoltarea, găzduirea şi gestionarea tehnică a routerului. Acelaşi lucru ar putea să se aplice costurilor suportate de statele membre în legătură cu conexiunile la router şi integrarea în acesta, precum şi întreţinerea acestora, astfel cum se prevede în prezentul regulament şi în conformitate cu dreptul Uniunii aplicabil. Este important ca bugetul Uniunii să ofere statelor membre sprijin financiar adecvat pentru acoperirea costurilor respective. În acest scop, nevoile financiare ale statelor membre ar trebui să fie suportate de bugetul general al Uniunii, în conformitate cu normele de eligibilitate şi cu ratele de cofinanţare stabilite în actele juridice relevante ale Uniunii. Contribuţia anuală a Uniunii alocată eu-LISA ar trebui să acopere nevoile legate de găzduirea şi gestionarea tehnică a routerului pe baza unei evaluări efectuate de eu-LISA. Bugetul Uniunii ar trebui să acopere şi sprijinul, cum ar fi cel în domeniul formării, oferit de eu-LISA transportatorilor aerieni şi UIP pentru a permite transferul şi transmiterea efectivă a datelor API prin intermediul routerului. Costurile suportate de autorităţile de supraveghere naţionale independente legate de sarcinile care le sunt încredinţate în temeiul prezentului regulament ar trebui să fie suportate de statele membre respective.
(40)În conformitate cu Regulamentul (UE) 2018/1726, statele membre pot încredinţa eu-LISA atribuţia de a facilita conectivitatea cu transportatorii aerieni cu scopul de a oferi asistenţă statelor membre în punerea în aplicare a Directivei (UE) 2016/681, în special prin colectarea şi transferul de date din PNR prin intermediul unui router. În acest scop şi din motive de rentabilitate şi eficienţă atât pentru statele membre, cât şi pentru transportatorii aerieni, prezentul regulament ar trebui să impună transportatorilor aerieni obligaţia să utilizeze routerul pentru transferul către bazele de date ale UIP respective al altor date din PNR care intră sub incidenţa Directivei (UE) 2016/681, ca parte a măsurilor naţionale de punere în aplicare a dispoziţiei din directiva respectivă privind obligaţia statelor membre de a se asigura că transportatorii aerieni transferă, prin metoda "push", datele din PNR către UIP relevante.
(41)Pentru a se asigura că datele în cauză sunt prelucrate într-un mod legal, sigur, eficace şi rapid, normele stabilite prin prezentul regulament în ceea ce priveşte routerul şi transmiterea datelor API de la router către UIP ar trebui să se aplice în mod corespunzător şi altor date din PNR. Respectivele norme includ, de asemenea, obligaţiile prevăzute de prezentul regulament în ceea ce priveşte transferul şi transmiterea de date în legătură cu zborurile intra-UE, în conformitate cu jurisprudenţa CJUE, precum şi în ceea ce priveşte conexiunile transportatorilor aerieni şi ale UIP cu routerul. În ceea ce priveşte normele privind momentele transferurilor, protocoalele de transmitere şi formatele de date în care mesajele PNR urmează să fie transferate către router, se aplică dispoziţiile relevante din Directiva (UE) 2016/681.
(42)Este oportun să se clarifice faptul că utilizarea routerului în legătură cu alte date din PNR afectează numai modul în care aceste date sunt transferate şi transmise către bazele de date ale UIP ale statelor membre în cauză. Obligaţiile prevăzute în prezentul regulament privind colectarea datelor API nu sunt aplicabile în ceea ce priveşte toate aceste alte date din PNR. O astfel de colectare ar trebui, în schimb, să fie reglementată în continuare exclusiv de Directiva (UE) 2016/681, numai în măsura în care transportatorii aerieni au colectat deja astfel de date în cursul desfăşurării normale a activităţii lor, în sensul prevederii relevante din directiva respectivă. În plus, la fel ca în cazul datelor API colectate de transportatorii aerieni şi transferate către UIP în conformitate cu prezentul regulament, nu ar trebui să fie afectate normele directivei respective în ceea ce priveşte aspectele care nu sunt reglementate în mod specific de prezentul regulament, în special normele privind prelucrarea ulterioară a altor date din PNR primite de UIP. Prin urmare, normele respective se aplică în continuare în ceea ce priveşte astfel de date.
(43)Nu se poate exclude faptul că, din cauza unor circumstanţe excepţionale şi în pofida faptului că au fost luate toate măsurile rezonabile în conformitate cu prezentul regulament, infrastructura centrală sau una dintre componentele tehnice ale routerului sau infrastructurile de comunicaţii care asigură conexiunea unităţilor de informaţii despre pasageri şi a transportatorilor aerieni nu funcţionează în mod corespunzător, conducând astfel la imposibilitatea tehnică pentru transportatorii aerieni de a transfera sau pentru UIP de a primi datele API. Având în vedere indisponibilitatea routerului şi faptul că, în general, nu va fi posibil în mod rezonabil ca transportatorii aerieni să transfere datele API afectate de disfuncţionalitate într-un mod legal, sigur, eficace şi rapid prin mijloace alternative, obligaţia transportatorilor aerieni de a transfera astfel de date API către router ar trebui să înceteze să se aplice atât timp cât persistă imposibilitatea tehnică. Cu toate acestea, pentru a asigura disponibilitatea datelor API necesare în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave, transportatorii aerieni ar trebui să continue să colecteze şi să stocheze datele API, astfel încât acestea să poată fi transferate de îndată ce imposibilitatea tehnică a fost remediată. Pentru a reduce la minimum durata şi consecinţele negative ale oricărei imposibilităţi tehnice, părţile în cauză ar trebui, într-un astfel de caz, să se informeze reciproc imediat şi să ia imediat toate măsurile necesare pentru a remedia imposibilitatea tehnică. Această abordare nu ar trebui să aducă atingere obligaţiilor care le revin tuturor părţilor implicate în temeiul prezentului regulament de a se asigura că routerul şi sistemele şi infrastructura lor funcţionează în mod corespunzător, precum şi faptului că transportatorii aerieni sunt pasibili de sancţiuni dacă nu îşi îndeplinesc obligaţiile care le revin, inclusiv atunci când încearcă să se bazeze pe respectiva abordare în situaţii în care acest lucru nu se justifică. Pentru a descuraja astfel de abuzuri şi pentru a facilita supravegherea şi, dacă este necesar, aplicarea de sancţiuni, transportatorii aerieni care se bazează pe această abordare din cauza disfuncţionalităţii propriului sistem şi a propriei infrastructuri ar trebui să raporteze acest lucru autorităţii de supraveghere competente.
(44)În cazul în care transportatorii aerieni menţin conexiuni directe cu UIP pentru transferul de date API, respectivele conexiuni pot constitui mijloace adecvate care să asigure nivelul de securitate a datelor necesar pentru a transfera datele API direct către UIP, atunci când este imposibil din punct de vedere tehnic să se utilizeze routerul. UIP ar trebui să poată, în cazul excepţional al imposibilităţii tehnice de a utiliza routerul, să solicite transportatorilor aerieni să utilizeze astfel de mijloace adecvate, care nu implică vreo obligaţie a transportatorilor aerieni de a menţine sau de a introduce astfel de conexiuni directe sau orice alte mijloace adecvate care să asigure nivelul necesar de securitate a datelor pentru a transfera datele API direct către UIP. Transferul excepţional de date API prin orice alte mijloace adecvate, cum ar fi e-mailul criptat sau un portal web securizat, şi excluzând utilizarea formatelor electronice nestandardizate, ar trebui să asigure nivelul necesar de securitate a datelor, de calitate a datelor şi de protecţie a datelor. Datele API primite de UIP prin astfel de alte mijloace adecvate ar trebui să fie prelucrate ulterior în conformitate cu normele şi garanţiile privind protecţia datelor prevăzute în Directiva (UE) 2016/681. În urma notificării din partea eu-LISA cu privire la faptul că imposibilitatea tehnică a fost remediată şi în cazul în care se confirmă că transmiterea datelor API prin intermediul routerului către UIP a fost finalizată, UIP ar trebui să şteargă imediat datele API pe care le-a primit anterior prin orice alte mijloace adecvate. Ştergerea respectivă nu ar trebui să afecteze cazurile specifice în care datele API primite între timp de UIP prin orice alte mijloace adecvate au fost prelucrate ulterior în conformitate cu Directiva (UE) 2016/681 în scopurile specifice de prevenire, depistare, investigare sau urmărire penală a infracţiunilor de terorism sau a infracţiunilor grave.
(45)Pentru a se asigura că normele din prezentul regulament se aplică în mod eficace de către transportatorii aerieni, ar trebui să se prevadă desemnarea şi împuternicirea autorităţilor naţionale drept autorităţi naţionale de supraveghere pentru datele API însărcinate cu monitorizarea aplicării normelor respective. Statele membre îşi pot desemna UIP drept autorităţi naţionale de supraveghere pentru datele API. Normele prezentului regulament privind o astfel de monitorizare, inclusiv în ceea ce priveşte aplicarea de sancţiuni atunci când este necesar, ar trebui să nu afecteze sarcinile şi competenţele autorităţilor de supraveghere, care le-au fost atribuite în conformitate cu Regulamentul (UE) 2016/679 şi Directiva (UE) 2016/680, inclusiv în ceea ce priveşte prelucrarea datelor cu caracter personal în temeiul prezentului regulament.
(46)Statele membre ar trebui să prevadă sancţiuni efective, proporţionale şi cu efect de descurajare, care să includă sancţiuni financiare şi nefinanciare, împotriva transportatorilor aerieni care nu îşi respectă obligaţiile care le revin în temeiul prezentului regulament, inclusiv în ceea ce priveşte colectarea datelor API prin mijloace automatizate şi transferul de date cu respectarea termenelor, a formatelor şi a protocoalelor necesare. În special, statele membre ar trebui să se asigure că pentru nerespectarea în mod repetat de către transportatorii aerieni, în calitate de persoane juridice, a obligaţiei lor de a transfera orice date API către router în conformitate cu prezentul regulament se aplică sancţiuni financiare proporţionale de până la 2 % din cifra de afaceri globală a transportatorului aerian din exerciţiul financiar precedent. În plus, statele membre ar trebui să poată aplica sancţiuni, inclusiv sancţiuni financiare, transportatorilor aerieni pentru alte forme de nerespectare a obligaţiilor care le revin în temeiul prezentului regulament.
(47)Atunci când stabilesc normele privind sancţiunile aplicabile transportatorilor aerieni în temeiul prezentului regulament, statele membre ar putea ţine seama de fezabilitatea tehnică şi operaţională a asigurării exactităţii depline a datelor. În plus, în cazul aplicării unor sancţiuni, ar trebui să fie determinate aplicarea şi cuantumul acestora. Autorităţile naţionale de supraveghere pentru datele API ar putea lua în considerare acţiunile întreprinse de transportatorul aerian pentru a atenua problema şi nivelul acestuia de cooperare cu autorităţile naţionale.
(48)Întrucât routerul ar trebui să fie proiectat, dezvoltat, găzduit şi gestionat din punct de vedere tehnic de eu-LISA, este necesar să se modifice Regulamentul (UE) 2018/1726 prin adăugarea respectivei atribuţii la atribuţiile eu-LISA. Pentru a stoca rapoartele şi statisticile generate de router pe Registrul Central de Raportare şi Statistici (CRRS), stabilit prin Regulamentul (UE) 2019/818 al Parlamentului European şi al Consiliului (17), este necesar să fie modificat regulamentul menţionat. Pentru a sprijini asigurarea respectării prezentului regulament de către autoritatea naţională de supraveghere pentru datele API, modificarea Regulamentul (UE) 2019/818 trebuie să includă dispoziţii referitoare la statistici care să indice dacă datele API sunt exacte şi complete, de exemplu indicând dacă datele au fost colectate prin mijloace automatizate. Este, de asemenea, important să se colecteze statistici fiabile şi utile despre punerea în aplicare a prezentului regulament pentru a sprijini obiectivele acestuia şi a contribui la evaluări în temeiul prezentului regulament. La cererea Comisiei, eu-LISA ar trebui să furnizeze statistici privind aspecte specifice legate de punerea în aplicare a prezentului regulament, cum ar fi statistici agregate privind transmiterea de date API către UIP. Astfel de statistici nu ar trebui să conţină date cu caracter personal. Prin urmare, CRRS ar trebui să furnizeze statistici bazate pe date API numai pentru punerea în aplicare şi monitorizarea eficace a aplicării prezentului regulament. Datele pe care routerul le transmite automat către CRRS în acest scop nu ar trebui să permită identificarea pasagerilor în cauză.
(17)Regulamentul (UE) 2019/818 al Parlamentului European şi al Consiliului din 20 mai 2019 privind instituirea unui cadru pentru interoperabilitatea dintre sistemele de informaţii ale UE în domeniul cooperării poliţieneşti şi judiciare, al azilului şi al migraţiei şi de modificare a Regulamentelor (UE) 2018/1726, (UE) 2018/1862 şi (UE) 2019/816 (JO L 135, 22.5.2019, p. 85).
(49)Pentru a spori claritatea şi securitatea juridică, pentru a contribui la asigurarea calităţii datelor şi la utilizarea responsabilă a mijloacelor automatizate de colectare a datelor API care pot fi citite automat în temeiul prezentului regulament şi la asigurarea colectării manuale a datelor API în circumstanţe excepţionale şi în cursul perioadei de tranziţie, pentru a oferi claritate despre cerinţele tehnice aplicabile transportatorilor aerieni şi care sunt necesare pentru a se asigura că datele API colectate în temeiul prezentului regulament sunt transferate către router în mod securizat, eficace şi rapid astfel încât să nu afecteze călătoriile pasagerilor şi transportatorii aerieni mai mult decât este necesar, şi pentru a se asigura că datele inexacte sau incomplete sau datele care nu mai sunt actualizate sunt corectate, completate sau actualizate, competenţa de a adopta acte în conformitate cu articolul 290 din Tratatul privind funcţionarea Uniunii Europene (TFUE) ar trebui să fie delegată Comisiei în ceea ce priveşte încheierea perioadei de tranziţie pentru colectarea manuală a datelor API; în ceea ce priveşte adoptarea de măsuri referitoare la cerinţele tehnice şi normele operaţionale pe care transportatorii aerieni ar trebui să le respecte în privinţa utilizării mijloacelor automatizate de colectare a datelor API care pot fi citite automat în temeiul prezentului regulament şi pentru colectarea manuală a datelor API în circumstanţe excepţionale şi în cursul perioadei de tranziţie, inclusiv cerinţe pentru securitatea datelor; în ceea ce priveşte stabilirea normelor detaliate privind protocoalele comune şi formatele de date compatibile care urmează să fie folosite pentru transferurile criptate ale datelor API către router, inclusiv cerinţe privind securitatea datelor, şi în ceea ce priveşte stabilirea normelor detaliate privind corectarea, completarea şi actualizarea datelor API. Este deosebit de important ca, în cursul lucrărilor sale pregătitoare, Comisia să organizeze consultări adecvate cu părţile interesate relevante, inclusiv cu transportatorii aerieni şi la nivel de experţi, şi ca respectivele consultări să se desfăşoare în conformitate cu principiile stabilite în Acordul interinstituţional din 13 aprilie 2016 privind o mai bună legiferare (18). În special, pentru a asigura participarea egală la pregătirea actelor delegate, Parlamentul European şi Consiliul primesc toate documentele în acelaşi timp cu experţii din statele membre, iar experţii acestor instituţii au acces sistematic la reuniunile grupurilor de experţi ale Comisiei însărcinate cu pregătirea actelor delegate. Ţinând seama de stadiul actual al tehnologiei, respectivele cerinţe tehnice şi norme operaţionale s-ar putea modifica în timp.
(18)JO L 123, 12.5.2016, p. 1.
(50)În vederea asigurării unor condiţii uniforme pentru punerea în aplicare a prezentului regulament, şi anume în ceea ce priveşte punerea în funcţiune a routerului, normele tehnice şi procedurale pentru verificările datelor şi notificări, normele tehnice şi procedurale pentru transmiterea datelor API de la router la UIP, astfel încât să se asigure că transmiterea este sigură, eficace şi rapidă şi că impactul asupra călătoriilor pasagerilor şi a transportatorilor aerieni nu depăşeşte ceea ce este necesar şi conexiunile UIP şi ale transportatorilor aerieni la router şi integrarea acestora în router şi în vederea precizării responsabilităţilor care le revin statelor membre în calitate de operatori asociaţi, cum ar fi identificarea şi gestionarea incidentelor de securitate, inclusiv a încălcărilor securităţii datelor cu caracter personal şi relaţia dintre operatorii asociaţi şi eu-LISA în calitate de persoană împuternicită de operator, inclusiv asistenţa acordată de eu-LISA operatorilor prin măsuri tehnice şi organizatorice adecvate, în măsura în care este posibil, pentru îndeplinirea obligaţiilor operatorului de a răspunde cererilor de exercitare a drepturilor persoanei vizate, ar trebui să fie conferite competenţe de executare Comisiei. Respectivele competenţe ar trebui să fie exercitate în conformitate cu Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului (19).
(19)Regulamentul (UE) nr. 182/2011 al Parlamentului European şi al Consiliului din 16 februarie 2011 de stabilire a normelor şi principiilor generale privind mecanismele de control de către statele membre al exercitării competenţelor de executare de către Comisie (JO L 55, 28.2.2011, p. 13).
(51)Tuturor părţilor interesate, în special transportatorilor aerieni şi UIP, ar trebui să li se acorde suficient timp pentru a efectua pregătirile necesare în vederea îndeplinirii obligaţiilor care le revin în temeiul prezentului regulament, ţinând seama de faptul că unele dintre respectivele pregătiri, cum ar fi cele referitoare la obligaţiile privind conectarea la router şi integrarea în acesta, pot fi încheiate numai după finalizarea etapelor de proiectare şi dezvoltare a routerului şi după punerea în funcţiune a routerului. Prin urmare, prezentul regulament ar trebui să se aplice numai de la o dată adecvată după data punerii în funcţiune a routerului, astfel cum se precizează de către Comisie în conformitate cu prezentul regulament şi Regulamentul (UE) 2025/12. Cu toate acestea, Comisia ar trebui să aibă posibilitatea de a adopta acte delegate şi de punere în aplicare în temeiul prezentului regulament anterior datei respective, astfel încât să se asigure că sistemul instituit prin prezentul regulament este operaţional cât mai curând posibil.
(52)Etapele de proiectare şi dezvoltare a routerului instituit în temeiul prezentului regulament şi al Regulamentului (UE) 2025/12 ar trebui să înceapă şi să se finalizeze cât mai curând posibil, astfel încât routerul să poată fi pus în funcţiune cât mai curând posibil, ceea ce necesită, de asemenea, adoptarea actelor de punere în aplicare relevante prevăzute de prezentul regulament. Pentru desfăşurarea armonioasă şi eficace a etapelor respective, ar trebui să fie înfiinţat un consiliu de gestionare a programului, cu funcţia de supraveghere a eu-LISA în îndeplinirea atribuţiilor sale pe parcursul respectivelor etape. Acesta ar trebui să îşi încheie activitatea după doi ani de la punerea în funcţiune a routerului. În plus, ar trebui să fie înfiinţat un organ consultativ dedicat, Grupul consultativ API-PNR, în conformitate cu Regulamentul (UE) 2018/1726, cu scopul de a furniza cunoştinţe de specialitate eu-LISA şi Consiliului de gestionare a programului cu privire la etapele de proiectare şi dezvoltare a routerului, precum şi eu-LISA cu privire la găzduirea şi gestionarea routerului. Consiliul de gestionare a programului şi Grupul consultativ API-PNR ar trebui să fie înfiinţate şi gestionate după modelul consiliilor de administraţie ale programului şi al grupurilor consultative existente.
(53)Clarificările prevăzute de prezentul regulament în ceea ce priveşte aplicarea specificaţiilor referitoare la utilizarea mijloacelor automatizate în temeiul Directivei 2004/82/CE ar trebui, de asemenea, să fie furnizate fără întârziere. Prin urmare, dispoziţiile referitoare la aceste aspecte ar trebui să se aplice de la data intrării în vigoare a prezentului regulament. În plus, pentru a permite utilizarea voluntară a routerului cât mai curând posibil, dispoziţiile privind o astfel de utilizare şi alte dispoziţii necesare pentru a se asigura că o astfel de utilizare se desfăşoară în mod responsabil, ar trebui să se aplice cât mai curând posibil, şi anume din momentul punerii în funcţiune a routerului.
(54)Ar trebui să existe o structură de guvernanţă unică în sensul prezentului regulament şi al Regulamentului (UE) 2025/12. Cu scopul de a permite şi de a încuraja comunicarea între reprezentanţii transportatorilor aerieni şi reprezentanţii autorităţilor statelor membre competente în temeiul prezentului regulament şi al Regulamentului (UE) 2025/12 pentru ca datele API să fie transmise de pe router, ar trebui să se înfiinţeze două organisme dedicate în termen de cel mult doi ani de la punerea în funcţiune a routerului. Aspectele tehnice legate de utilizarea şi funcţionarea routerului ar trebui să fie discutate în cadrul Grupului de contact API-PNR, la care ar trebui să fie prezenţi şi reprezentanţi ai eu-LISA. Chestiunile de politică, cum ar fi cele legate de sancţiuni, ar trebui să fie discutate în cadrul grupului de experţi API.
(55)Prezentul regulament ar trebui să facă obiectul unor evaluări periodice pentru a se asigura monitorizarea aplicării sale efective. În special, colectarea datelor API nu ar trebui să afecteze experienţa de călătorie a pasagerilor care se deplasează în scopuri legitime. Prin urmare, Comisia ar trebui să includă în rapoartele sale periodice de evaluare privind aplicarea prezentului regulament o evaluare a impactului acestuia asupra experienţei de călătorie a pasagerilor care se deplasează în scopuri legitime. Evaluarea ar trebui să includă, de asemenea, o estimare a calităţii datelor trimise prin intermediul routerului şi a performanţei routerului în ceea ce priveşte UIP.
(56)Având în vedere că prezentul regulament necesită costuri administrative şi de adaptare suplimentare din partea transportatorilor aerieni, sarcina de reglementare globală pentru sectorul aviaţiei ar trebui să fie monitorizată îndeaproape. În acest context, raportul de evaluare a funcţionării prezentului regulament ar trebui să aprecieze măsura în care au fost îndeplinite obiectivele prezentului regulament şi măsura în care acesta a influenţat competitivitatea sectorului.
(57)Întrucât obiectivele prezentului regulament, şi anume contribuţia la prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave, având în vedere dimensiunea transnaţională a infracţiunilor respective şi necesitatea cooperării la nivel transfrontalier pentru a le aborda în mod eficace, nu pot fi realizate în mod satisfăcător de către statele membre în mod individual, ci pot fi realizate mai bine la nivelul Uniunii. Prin urmare, Uniunea poate adopta măsuri, în conformitate cu principiul subsidiarităţii, astfel cum este prevăzut la articolul 5 din Tratatul privind Uniunea Europeană (TUE). În conformitate cu principiul proporţionalităţii, astfel cum este prevăzut la articolul respectiv, prezentul regulament nu depăşeşte ceea ce este necesar pentru realizarea obiectivelor respective.
(58)Prezentul regulament nu aduce atingere competenţelor statelor membre în ceea ce priveşte dreptul intern privind securitatea naţională, cu condiţia ca acesta să respecte dreptul Uniunii.
(59)Prezentul regulament nu aduce atingere competenţei statelor membre de a colecta, în temeiul dreptului lor dreptul intern, date privind pasagerii de la alţi furnizori de servicii de transport decât cei specificaţi în prezentul regulament, cu condiţia ca dreptul intern să respecte dreptul Uniunii.
(60)În conformitate cu articolele 1 şi 2 din Protocolul nr. 22 privind poziţia Danemarcei, anexat la TUE şi la TFUE, Danemarca nu participă la adoptarea prezentului regulament, acesta nu este obligatoriu pentru respectivul stat membru şi nu i se aplică.
(61)În conformitate cu articolul 3 din Protocolul nr. 21 privind poziţia Regatului Unit şi a Irlandei cu privire la spaţiul de libertate, securitate şi justiţie, anexat la TUE şi la TFUE, Irlanda a notificat intenţia sa de a participa la adoptarea şi la aplicarea prezentului regulament.
(62)Autoritatea Europeană pentru Protecţia Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 şi a emis un aviz la 8 februarie 2023 (20),
(20)JO C 84, 7.3.2023, p. 2.
ADOPTĂ PREZENTUL REGULAMENT:
-****-
Art. 1: Obiectul
În scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave, prezentul regulament stabileşte norme privind:
(a)colectarea informaţiilor prealabile referitoare la pasageri (API) de către transportatorii aerieni pentru zborurile extra-UE şi zborurile intra-UE;
(b)transferul datelor API şi a altor date din PNR de către transportatorii aerieni către router;
(c)transmiterea datelor API şi a altor date din PNR de la router către unităţile de informaţii despre pasageri (UIP) privind zborurile extra-UE şi privind zborurile intra-UE selectate în acest sens.
Prezentul regulament nu aduce atingere Regulamentelor (UE) 2016/679 şi (UE) 2018/1725 şi nici Directivei (UE) 2016/680.
Art. 2: Domeniul de aplicare
Prezentul regulament se aplică transportatorilor aerieni care efectuează:
(a)zboruri extra-UE;
(b)zboruri intra-UE care vor decola, ateriza sau face o escală pe teritoriul a cel puţin unui stat membru care a notificat Comisiei decizia sa de a aplica Directiva (UE) 2016/681 cu privire la zborurile intra-UE în conformitate cu articolul 2 alineatul (1) din directiva respectivă.
Art. 3: Definiţii
În sensul prezentului regulament, se aplică următoarele definiţii:
1."transportator aerian" înseamnă un transportator aerian, în sensul definiţiei de la articolul 3 punctul 1 din Directiva (UE) 2016/681;
2."zboruri extra-UE" înseamnă orice zbor extra-UE, în sensul definiţiei de la articolul 3 punctul 2 din Directiva (UE) 2016/681;
3."zboruri intra-UE" înseamnă orice zbor intra-UE, în sensul definiţiei de la articolul 3 punctul 3 din Directiva (UE) 2016/681;
4."zbor regulat" înseamnă un zbor regulat, în sensul definiţiei de la articolul 3 punctul 5 din Regulamentul (UE) 2025/12;
5."zbor neregulat" înseamnă un zbor neregulat, în sensul definiţiei de la articolul 3 punctul 6 din Regulamentul (UE) 2025/12;
6."pasager" înseamnă un pasager, în sensul definiţiei de la articolul 3 punctul 4 din Directiva (UE) 2016/681;
7."echipaj" înseamnă orice persoană aflată la bordul unei aeronave în timpul zborului, alta decât un pasager, care îşi desfăşoară activitatea la bordul aeronavei sau care operează aeronava respectivă, inclusiv echipajul de zbor şi echipajul de cabină;
8."informaţii prealabile referitoare la pasageri" sau "date API" înseamnă datele şi informaţiile privind zborurile menţionate la articolul 4 alineatul (2) şi, respectiv, alineatul (3);
9."alte date din registrul cu numele pasagerilor" sau "alte date din PNR" înseamnă un registru cu numele pasagerilor, în sensul definiţiei de la articolul 3 punctul 5 din Directiva (UE) 2016/681, astfel cum sunt enumerate în anexa I la directiva menţionată, cu excepţia punctului 18 din respectiva anexă;
10."unitate de informaţii despre pasageri" sau "UIP" înseamnă unitatea de informaţii despre pasageri, astfel cum figurează în notificările adresate de statele membre Comisiei şi modificările cu privire la acestea publicate de Comisie în temeiul articolului 4 alineatul (5) din Directiva (UE) 2016/681;
11."infracţiuni de terorism" înseamnă infracţiunile de terorism, menţionate la articolele 3-12 din Directiva (UE) 2017/541 a Parlamentului European şi a Consiliului (21);
(21)Directiva (UE) 2017/541 a Parlamentului European şi a Consiliului din 15 martie 2017 privind combaterea terorismului şi de înlocuire a Deciziei-cadru 2002/475/JAI a Consiliului şi de modificare a Deciziei 2005/671/JAI a Consiliului (JO L 88, 31.3.2017, p. 6).
12."infracţiune gravă" înseamnă o infracţiune gravă, în sensul definiţiei de la articolul 3 punctul 9 din Directiva (UE) 2016/681;
13."router" înseamnă routerul menţionat la articolul 9 din prezentul regulament şi la articolul 11 din Regulamentul (UE) 2025/12;
14."date cu caracter personal" înseamnă datele cu caracter personal, astfel cum sunt definite la articolul 3 punctul 1 din Directiva (UE) 2016/680 şi la articolul 4 punctul 1 din Regulamentul (UE) 2016/679;
15."date în timp real privind traficul aerian" înseamnă informaţii privind traficul zborurilor de sosire şi de plecare al unui aeroport care intră sub incidenţa prezentului regulament.
Art. 4: Colectarea datelor API de către transportatorii aerieni
(1)Transportatorii aerieni colectează datele API ale fiecărui pasager şi membru al echipajului pentru zborurile menţionate la articolul 2, care urmează să fie transferate către router în conformitate cu articolul 5. În cazul unui zbor al cărui cod este partajat de transportatorii aerieni, obligaţia de a transfera datele API îi revine transportatorului aerian care operează zborul.
(2)Datele API constau doar în următoarele date referitoare la fiecare pasager şi membru al echipajului ai zborului:
a)numele (numele de familie), prenumele;
b)data naşterii, sexul şi cetăţenia;
c)tipul şi numărul documentului de călătorie şi codul format din trei litere al ţării care a eliberat documentul de călătorie;
d)data expirării duratei de valabilitate a documentului de călătorie;
e)numărul de identificare a unui registru cu numele pasagerilor utilizat de un transportator aerian pentru a localiza un pasager în sistemul său de informaţii (codul de reper al dosarului pasagerului);
f)informaţiile privind locurile corespunzătoare locului din aeronavă atribuit unui pasager, în cazul în care sunt disponibile astfel de informaţii;
g)numărul sau numerele etichetei bagajului şi numărul şi greutatea bagajelor înregistrate, în cazul în care sunt disponibile astfel de informaţii;
h)un cod care indică metoda utilizată pentru captarea şi validarea datelor menţionate la literele (a)-(d).
(3)Datele API constau, de asemenea, doar în următoarele informaţii referitoare la zborul fiecărui pasager şi membru al echipajului:
a)numărul de identificare al zborului sau, în cazul în care zborul este partajat de transportatorii aerieni, numerele de identificare ale zborurilor sau, dacă nu există un astfel de număr, alte mijloace clare şi adecvate de identificare a zborului;
b)dacă este cazul, punctul de trecere a frontierei la intrarea pe teritoriul statului membru;
c)codul aeroportului de sosire sau, în cazul în care zborul este planificat să aterizeze pe unul sau mai multe aeroporturi situate pe teritoriul unuia sau mai multor state membre cărora li se aplică prezentul regulament, codurile aeroporturilor de escală pe teritoriile statelor membre în cauză;
d)codul aeroportului de plecare al zborului;
e)codul aeroportului unde se află punctul de îmbarcare iniţial, dacă este disponibil;
f)data locală şi ora de plecare;
g)data locală şi ora de sosire;
h)datele de contact ale transportatorului aerian;
i)formatul folosit pentru transferul datelor API.
(4)Transportatorii aerieni colectează datele API într-un mod care garantează că datele API pe care le transferă în conformitate cu articolul 5 sunt exacte, complete şi actualizate. Respectarea acestei obligaţii nu presupune ca transportatorii aerieni să verifice documentul de călătorie la momentul îmbarcării în aeronavă, fără ca aceasta să aducă atingere dreptului intern compatibil cu dreptul Uniunii.
(5)Prezentul regulament nu impune pasagerilor obligaţia de a avea asupra lor un document de călătorie atunci când călătoresc, fără a aduce atingere altor dispoziţii de drept al Uniunii sau de drept intern compatibil cu dreptul Uniunii.
(6)Un stat membru poate impune transportatorilor aerieni obligaţia de a oferi pasagerilor posibilitatea de a introduce în mod voluntar datele menţionate la articolul 4 alineatul (2) literele (a)-(d) din Regulamentul (UE) 2025/12 prin mijloace automatizate şi de a stoca astfel de date în vederea transferului datelor în scopul zborurilor viitoare, în conformitate cu articolul 5 din prezentul regulament şi într-un mod care să respecte cerinţele prevăzute la alineatele (4), (7) şi (8) de la prezentul articol. Un stat membru care impune o astfel de obligaţie stabileşte normele şi garanţiile privind protecţia datelor, în conformitate cu Regulamentul (UE) 2016/679, inclusiv norme privind durata de stocare. Cu toate acestea, datele se şterg în cazul în care pasagerul nu mai este de acord cu stocarea datelor sau cel târziu la data expirării duratei de valabilitate a documentului de călătorie.
(7)Transportatorii aerieni colectează datele API menţionate la alineatul (2) literele (a)-(d) utilizând mijloace automatizate pentru a colecta datele care pot fi citite automat din documentul de călătorie ale pasagerului în cauză. Aceştia colectează datele în conformitate cu cerinţele tehnice detaliate şi cu normele operaţionale menţionate la alineatul (12), de îndată ce astfel de norme au fost adoptate şi sunt aplicabile.
În cazul în care transportatorii aerieni pun la dispoziţie un proces de înregistrare online, aceştia le permit pasagerilor să furnizeze datele API menţionate la alineatul (2) literele (a)-(d) prin mijloace automatizate în timpul procesului respectiv de înregistrare online. În cazul pasagerilor care nu se înregistrează online, transportatorii aerieni le permit pasagerilor respectivi să furnizeze datele API respective prin mijloace automatizate în timpul înregistrării la aeroport, cu ajutorul unui chioşc cu autoservire sau al personalului transportatorilor aerieni la ghişeu.
În cazul în care utilizarea mijloacelor automatizate nu este posibilă din punct de vedere tehnic, transportatorii aerieni colectează manual, în mod excepţional, datele API menţionate la alineatul (2) literele (a)-(d), fie ca parte a procesului de înregistrare online, fie ca parte a înregistrării la aeroport, astfel încât să se asigure respectarea alineatului (4).
(8)Toate mijloacele automatizate utilizate de transportatorii aerieni pentru a colecta date API în temeiul prezentului regulament trebuie să fie fiabile, securizate şi actualizate. Transportatorii aerieni se asigură că datele API sunt criptate în timpul transferului de astfel de date de la pasager la transportatorii aerieni.
(9)Pe parcursul unei perioade de tranziţie şi în plus faţă de mijloacele automatizate menţionate la alineatul (7), transportatorii aerieni le oferă pasagerilor posibilitatea de a furniza manual datele API în cadrul înregistrării online. În astfel de cazuri, transportatorii aerieni utilizează tehnici de verificare a datelor pentru a asigura respectarea alineatului (4).
(10)Perioada de tranziţie menţionată la alineatul (9) nu afectează dreptul transportatorilor aerieni de a verifica, la aeroport, înainte de îmbarcarea în aeronavă, datele API colectate în cadrul înregistrării online pentru a asigura respectarea alineatului (4), în conformitate cu dreptul aplicabil al Uniunii.
(11)Comisia este împuternicită să adopte, după patru ani de la punerea în funcţiune a routerului în ceea ce priveşte datele API menţionate la articolul 34 şi pe baza unei evaluări a disponibilităţii şi accesibilităţii mijloacelor automatizate de colectare a datelor API, un act delegat în conformitate cu articolul 43 pentru a încheia perioada de tranziţie menţionată la alineatul (9) de la prezentul articol.
(12)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 43 pentru a completa prezentul regulament prin stabilirea cerinţelor tehnice detaliate şi a normelor operaţionale pentru colectarea datelor API menţionate la alineatul (2) literele (a)-(d) de la prezentul articol, utilizând mijloace automatizate în conformitate cu alineatele (7) şi (8) de la prezentul articol, şi pentru colectarea manuală a datelor API în circumstanţe excepţionale în conformitate cu alineatul (7) de la prezentul articol şi în cursul perioadei de tranziţie menţionate la alineatul (9) de la prezentul articol. Respectivele cerinţe tehnice detaliate şi norme operaţionale includ cerinţe privind securitatea datelor şi pentru utilizarea celor mai fiabile mijloace automatizate disponibile pentru colectarea datelor care pot fi citite automat dintr-un document de călătorie.
Art. 5: Obligaţiile transportatorilor aerieni privind transferurile de date API şi de alte date din PNR
(1)Transportatorii aerieni transferă către router, prin mijloace electronice, datele API criptate care urmează să fie transmise UIP în conformitate cu articolul 12. Transportatorii aerieni transferă datele API în conformitate cu normele detaliate menţionate la alineatul (4) de la prezentul articol, de îndată ce astfel de norme au fost adoptate şi sunt aplicabile.
(2)Atunci când adoptă măsuri în conformitate cu articolul 8 alineatul (1) din Directiva (UE) 2016/681, statele membre solicită transportatorilor aerieni să transfere orice alte date din PNR pe care le colectează în desfăşurarea normală a activităţilor lor exclusiv către router, în conformitate cu protocoalele comune şi formatele de date stabilite în temeiul articolului 16 din directiva respectivă.
(3)Transportatorii aerieni transferă datele API:
a)pentru pasageri:
(i)pentru fiecare pasager în momentul înregistrării, dar nu mai devreme de 48 de ore înainte de ora prevăzută de plecare a zborului; şi
(ii)pentru toţi pasagerii îmbarcaţi, imediat după închiderea zborului, şi anume după îmbarcarea pasagerilor în aeronava care se pregăteşte de decolare şi când niciun pasager nu se mai poate îmbarca sau nu mai poate debarca;
b)pentru toţi membrii echipajului, imediat după închiderea zborului, şi anume după îmbarcarea echipajului în aeronava care se pregăteşte de decolare şi când acesta nu mai poate debarca.
(4)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 43 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind protocoalele comune şi formatele de date compatibile care trebuie să fie utilizate pentru transferurile criptate de date API către router menţionate la alineatul (1) de la prezentul articol, inclusiv transferul de date API în momentul înregistrării şi cerinţele pentru securitatea datelor. Astfel de norme detaliate asigură că transportatorii aerieni transferă datele API utilizând aceeaşi structură şi acelaşi conţinut.
Art. 6: Perioada de stocare şi ştergerea datelor API
Transportatorii aerieni stochează pentru o perioadă de 48 de ore de la momentul primirii de către router a datelor API care i-au fost transferate în conformitate cu articolul 5 alineatul (3) litera (a) punctul (ii) şi litera (b) datele API în legătură cu toţi pasagerii şi echipajul pe care le-au colectat în temeiul articolului 4. Transportatorii aerieni şterg imediat şi definitiv astfel de date API după expirarea respectivei perioade, fără a aduce atingere posibilităţii ca transportatorii aerieni să păstreze şi să utilizeze datele atunci când acest lucru este necesar pentru desfăşurarea normală a activităţilor lor, în conformitate cu dreptul aplicabil şi cu articolul 16 alineatele (1) şi (3).
Art. 7: Corectarea, completarea şi actualizarea datelor API
(1)În cazul în care un transportator aerian ia cunoştinţă de faptul că datele pe care le stochează în temeiul prezentului regulament au fost prelucrate în mod ilegal sau nu constituie date API, acesta şterge imediat şi definitiv datele respective. Dacă datele respective au fost transferate către router, transportatorul aerian informează imediat Agenţia Uniunii Europene pentru Gestionarea Operaţională a Sistemelor Informatice la Scară Largă în Spaţiul de Libertate, Securitate şi Justiţie (eu-LISA). După primirea unor astfel de informaţii, eu-LISA informează imediat UIP care a primit datele transmise prin router.
(2)În cazul în care un transportator aerian ia cunoştinţă de faptul că datele pe care le stochează în temeiul prezentului regulament sunt inexacte, incomplete sau nu mai sunt actuale, acesta corectează, completează sau actualizează imediat datele respective. Această dispoziţie nu aduce atingere posibilităţii ca transportatorii aerieni să păstreze şi să utilizeze datele atunci când acest lucru este necesar pentru desfăşurarea normală a activităţilor lor, în conformitate cu dreptul aplicabil.
(3)În cazul în care un transportator aerian ia cunoştinţă, după transferul datelor API în temeiul articolului 5 alineatul (3) litera (a) punctul (i), dar înainte de transferul în temeiul articolului 5 alineatul (3) litera (a) punctul (ii), de faptul că datele pe care le-a transferat sunt inexacte, transportatorul aerian transferă imediat datele API corectate către router.
(4)În cazul în care un transportator aerian ia cunoştinţă, după transferul datelor API în temeiul articolului 5 alineatul (3) litera (a) punctul (ii) sau al articolului 5 alineatul (3) litera (b), de faptul că datele pe care le-a transferat sunt inexacte, incomplete sau nu mai sunt actuale, transportatorul aerian transferă imediat datele API corectate, completate sau actualizate către router.
(5)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 43 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind corectarea, completarea şi actualizarea datelor API în sensul prezentului articol.
Art. 8: Drepturile fundamentale
(1)Colectarea şi prelucrarea datelor cu caracter personal în conformitate cu prezentul regulament şi cu Regulamentul (UE) 2025/12 de către transportatorii aerieni şi autorităţile competente nu conduce la discriminarea persoanelor din motivele menţionate la articolul 21 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare "carta").
(2)Prezentul regulament respectă pe deplin demnitatea umană, drepturile fundamentale şi principiile recunoscute de cartă, inclusiv dreptul la respectarea vieţii private, la azil, la protecţia datelor cu caracter personal, la libertatea de circulaţie şi la căi de atac eficiente.
(3)Se acordă o atenţie deosebită copiilor, vârstnicilor, persoanelor cu dizabilităţi şi persoanelor vulnerabile. Interesul superior al copilului trebuie să fie considerat primordial la punerea în aplicare a prezentului regulament.
Art. 9: Routerul
(1)eu-LISA proiectează, dezvoltă, găzduieşte şi gestionează din punct de vedere tehnic, în conformitate cu articolele 25 şi 26, un router în scopul facilitării transferului de date API criptate şi de alte date din PNR de către transportatorii aerieni către UIP, în conformitate cu prezentul regulament.
(2)Routerul este alcătuit din următoarele elemente:
a)o infrastructură centrală, inclusiv un set de componente tehnice care permit primirea şi transmiterea datelor API criptate şi a altor date din PNR;
b)un canal securizat de comunicaţii între infrastructura centrală şi UIP, precum şi un canal securizat de comunicaţii între infrastructura centrală şi transportatorii aerieni, pentru transferul şi transmiterea de date API şi de alte date din PNR şi pentru orice fel de comunicaţii legate de acestea şi pentru ca statele membre să introducă în router zborurile selectate menţionate la articolul 12 alineatul (4) şi actualizările conexe;
c)un canal securizat pentru primirea datelor în timp real privind traficul aerian.
(3)Fără a aduce atingere articolului 10 din prezentul regulament, routerul partajează şi reutilizează, atunci când este cazul şi în măsura în care este posibil din punct de vedere tehnic, componentele tehnice, inclusiv componentele hardware şi software, ale serviciului web menţionat la articolul 13 din Regulamentul (UE) 2017/2226, ale portalului pentru operatorii de transport menţionat la articolul 6 alineatul (2) litera (k) din Regulamentul (UE) 2018/1240 şi ale portalului pentru operatorii de transport menţionat la articolul 45c din Regulamentul (CE) nr. 767/2008.
eu-LISA proiectează routerul, în măsura în care acest lucru este posibil din punct de vedere tehnic şi operaţional, într-un mod care să fie corelat şi concordant cu obligaţiile transportatorilor aerieni stabilite în Regulamentele (CE) nr. 767/2008, (UE) 2017/2226 şi (UE) 2018/1240.
(4)În conformitate cu articolul 39 din prezentul regulament, routerul extrage şi pune datele la dispoziţia registrului central de raportare şi statistici (CRRS), instituit prin articolul 39 din Regulamentul (UE) 2019/818, în mod automat.
(5)eu-LISA proiectează şi dezvoltă routerul astfel încât, pentru orice transfer de date API şi de alte date din PNR de la transportatorii aerieni către router, în conformitate cu articolul 5, şi pentru orice transmitere a datelor API şi a altor date din PNR de la router către UIP, în conformitate cu articolul 12, şi către CRRS, în conformitate cu articolul 39 alineatul (2), datele API şi alte date din PNR să fie criptate de la un capăt la altul în timpul transferului.
Art. 10: Utilizarea exclusivă a routerului
În sensul prezentului regulament, routerul este utilizat numai:
(a)de către transportatorii aerieni, pentru a transfera date API criptate şi alte date din PNR, în conformitate cu prezentul regulament;
(b)de către UIP, pentru a primi date API criptate şi alte date din PNR, în conformitate cu prezentul regulament;
(c)pe baza acordurilor internaţionale care permit transferul de date din PNR prin intermediul routerului, încheiate de Uniune cu ţări terţe care au semnat un acord care prevede asocierea acestora la punerea în aplicare, asigurarea respectării şi dezvoltarea acquis-ului Schengen.
Prezentul articol nu aduce atingere articolului 12 din Regulamentul (UE) 2025/12.
Art. 11: Verificarea formatului datelor şi a transferurilor
(1)Într-o manieră automată şi pe baza datelor în timp real privind traficul aerian, routerul verifică dacă transportatorul aerian a transferat datele API în conformitate cu articolul 5 alineatul (1) sau alte date din PNR în conformitate cu articolul 5 alineatul (2).
(2)Imediat şi într-o manieră automată, routerul verifică dacă datele API care i-au fost transferate în conformitate cu articolul 5 alineatul (1) respectă normele detaliate privind formatele de date compatibile, menţionate la articolul 5 alineatul (4).
(3)Imediat şi într-o manieră automată, routerul verifică dacă alte date din PNR care i-au fost transferate în conformitate cu articolul 5 alineatul (2) respectă normele privind formatele de date compatibile, menţionate la articolul 16 din Directiva (UE) 2016/681.
(4)Dacă verificarea menţionată la alineatul (1) stabileşte că datele nu au fost transferate de transportatorul aerian sau dacă verificarea menţionată la alineatul (2) sau (3) stabileşte că datele nu respectă normele detaliate privind formatele de date compatibile, routerul notifică acest lucru imediat şi automat transportatorului aerian vizat şi UIP din statele membre cărora urma să li se transmită datele în temeiul articolului 12 alineatul (1). În astfel de cazuri, transportatorul aerian transferă imediat datele API şi alte date din PNR în conformitate cu articolul 5.
(5)Comisia adoptă acte de punere în aplicare în care se precizează normele tehnice şi procedurale detaliate necesare pentru verificările şi notificările menţionate la alineatele (1)-(4) de la prezentul articol. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 42 alineatul (2).
Art. 12: Transmiterea datelor API şi a altor date din PNR de la router către UIP
(1)În urma verificării formatului datelor şi a transferurilor menţionate la articolul 11, routerul transmite datele API criptate şi oricare alte date din PNR, care i-au fost transferate de către transportatorii aerieni în temeiul articolului 5 alineatele (1) şi (2) şi, după caz, al articolului 7 alineatele (3) şi (4), către UIP din statul membru pe teritoriul căruia va ateriza zborul sau de pe teritoriul căruia va decola zborul sau către ambele, în cazul zborurilor intra-UE. Routerul transmite imediat şi în mod automat datele respective, fără a le schimba conţinutul în vreun fel. În cazul în care un zbor are una sau mai multe escale pe teritoriul altor state membre decât cel de unde a decolat, routerul transmite datele API şi oricare alte date din PNR către UIP din toate statele membre în cauză.
În scopul unei astfel de transmiteri, eu-LISA stabileşte şi actualizează un tabel de corespondenţă între diferitele aeroporturi de origine şi de destinaţie şi ţările în care sunt situate respectivele aeroporturi.
Cu toate acestea, pentru zborurile intra-UE, routerul transmite numai datele API şi alte date din PNR pentru zborurile incluse pe lista menţionată la alineatul (4) către UIP relevante.
(2)Routerul transmite datele API şi alte date din PNR în conformitate cu normele detaliate menţionate la alineatul (6), odată ce astfel de norme au fost adoptate şi sunt aplicabile.
(3)Statele membre se asigură că UIP, după primirea datelor API şi a altor date din PNR în conformitate cu alineatul (1), confirmă imediat şi în mod automat primirea unor astfel de date routerului.
(4)Statele membre care decid să aplice Directiva (UE) 2016/681 în cazul zborurilor intra-UE, în conformitate cu articolul 2 din directiva menţionată, întocmesc fiecare câte o listă a zborurilor intra-UE în cauză sau a rutelor selectate. Statele membre pot utiliza codul aeroportului de plecare şi al aeroportului de sosire pentru a indica zborurile sau rutele selectate. Statele membre respective, în conformitate cu articolul 2 din directiva menţionată şi cu articolul 13 din prezentul regulament, revizuiesc şi, dacă este necesar, actualizează periodic listele respective. Un stat membru poate selecta toate zborurile sau rutele intra-UE atunci când acest lucru se justifică în mod corespunzător, în conformitate cu Directiva (UE) 2016/681 şi cu articolul 13 din prezentul regulament.
Până la data relevantă a aplicării prezentului regulament menţionată la articolul 45 al doilea paragraf, statele membre introduc zborurile sau rutele selectate în router, prin mijloace automatizate prin canalul securizat de comunicaţii menţionat la articolul 9 alineatul (2) litera (b), şi, ulterior, furnizează routerului actualizările acestora.
(5)Informaţiile introduse de statele membre în router sunt tratate cu confidenţialitate, iar accesul personalului eu-LISA la informaţiile respective se limitează la ceea ce este strict necesar pentru soluţionarea problemelor tehnice. La primirea de către router a informaţiilor respective sau a oricăror actualizări ale acestora de la un stat membru, eu-LISA se asigură că routerul transmite imediat datele API şi alte date din PNR către UIP din statul membru respectiv în ceea ce priveşte zborurile sau rutele selectate, în conformitate cu alineatul (1).
(6)Comisia adoptă acte de punere în aplicare care precizează normele tehnice şi procedurale detaliate necesare pentru transmiterea datelor API şi a altor date din PNR de la routerul menţionat la alineatul (1) de la prezentul articol şi pentru introducerea informaţiilor în routerul menţionat la alineatul (4) de la prezentul articol, inclusiv în ceea ce priveşte cerinţele privind securitatea datelor. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 42 alineatul (2).
Art. 13: Selectarea zborurilor intra-UE
(1)Statele membre care decid, în conformitate cu articolul 2 din Directiva (UE) 2016/681, să aplice directiva respectivă şi, în consecinţă, prezentul regulament zborurilor intra-UE selectează respectivele zboruri intra-UE în conformitate cu prezentul articol.
(2)Statele membre pot aplica Directiva (UE) 2016/681 şi, în consecinţă, prezentul regulament tuturor zborurilor intra-UE care sosesc pe teritoriul lor sau pleacă de pe teritoriul lor numai în situaţii de ameninţare teroristă reală, prezentă sau previzibilă, pe baza unei decizii întemeiate pe o evaluare a ameninţării, limitată în timp la ceea ce este strict necesar şi care poate face obiectul unei revizuiri efective fie de către o instanţă judecătorească, fie de către un organism administrativ independent a cărui decizie este obligatorie.
(3)În absenţa unei ameninţări teroriste reale, prezente sau previzibile, statele membre care aplică Directiva (UE) 2016/681 şi, în consecinţă, prezentul regulament zborurilor intra-UE selectează astfel de zboruri intra-UE în funcţie de rezultatul unei evaluări efectuate pe baza cerinţelor prevăzute la alineatele (4)-(7) de la prezentul articol.
(4)Evaluarea prevăzută la alineatul (3):
a)se desfăşoară în mod obiectiv, justificat corespunzător şi nediscriminatoriu, în conformitate cu articolul 2 din Directiva (UE) 2016/681;
b)ia în considerare numai criteriile care sunt relevante pentru prevenirea, depistarea, investigarea şi urmărirea penală a infracţiunilor de terorism şi a infracţiunilor grave care au o legătură obiectivă, inclusiv o legătură indirectă, cu transportul aerian de pasageri şi care nu se bazează exclusiv pe motivele menţionate la articolul 21 din cartă pentru orice pasager sau grup de pasageri;
c)utilizează numai informaţii care pot sprijini o evaluare obiectivă, justificată în mod corespunzător şi nediscriminatorie.
(5)Pe baza evaluării menţionate la alineatul (3), statele membre selectează numai zborurile intra-UE legate, printre altele, de anumite rute, modele de călătorie sau aeroporturi pentru care există indicii de infracţiuni teroriste şi infracţiuni grave şi care justifică prelucrarea datelor API şi a altor date din PNR. Selectarea zborurilor intra-UE se limitează la ceea ce este strict necesar pentru atingerea obiectivelor Directivei (UE) 2016/681 şi ale prezentului regulament.
(6)Statele membre păstrează toată documentaţia evaluării menţionate la alineatul (3), inclusiv, dacă este cazul, orice revizuire a acesteia, şi o pun la dispoziţia autorităţilor lor independente de supraveghere şi a autorităţilor naţionale de supraveghere, la cerere, în conformitate cu Directiva (UE) 2016/680.
(7)În conformitate cu articolul 2 din Directiva (UE) 2016/681, statele membre îşi revizuiesc periodic şi cel puţin o dată la 12 luni evaluarea menţionată la alineatul (3), pentru a ţine seama de modificările circumstanţelor care au justificat selectarea zborurilor intra-UE şi pentru a se asigura că selectarea zborurilor intra-UE continuă să se limiteze la ceea ce este strict necesar.
(8)Comisia facilitează un schimb periodic de opinii privind criteriile de selecţie pentru evaluarea menţionată la alineatul (3), inclusiv partajarea celor mai bune practici, precum şi, în mod voluntar, schimbul de informaţii privind zborurile selectate.
Art. 14: Ştergerea datelor API şi a altor date din PNR de pe router
Datele API şi alte date din PNR transferate către router în temeiul prezentului regulament se stochează pe router numai în măsura în care acest lucru este necesar pentru a finaliza transmiterea către UIP relevante în conformitate cu prezentul regulament şi sunt şterse de pe router imediat, permanent şi automat, în următoarele două situaţii:
(a)în cazul în care se confirmă, în conformitate cu articolul 12 alineatul (3), că transmiterea datelor API şi a altor date din PNR către UIP relevante a fost finalizată;
(b)în cazul în care datele API şi alte date din PNR se referă la alte zboruri intra-UE decât cele incluse pe listele menţionate la articolul 12 alineatul (4).
Routerul informează automat eu-LISA şi UIP despre ştergerea imediată a zborurilor intra-UE menţionate la litera (b).
Art. 15: Prelucrarea datelor API şi a altor date din PNR de către UIP
Datele API şi alte date din PNR transmise UIP în conformitate cu prezentul regulament sunt prelucrate ulterior de UIP în conformitate cu Directiva (UE) 2016/681, în special în ceea ce priveşte normele privind prelucrarea datelor API şi a altor date din PNR de către UIP, printre care cele prevăzute la articolele 6, 10, 12 şi 13 din respectiva directivă şi exclusiv în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave.
UIP sau alte autorităţi competente nu prelucrează sub nicio formă date API şi alte date din PNR în scopul creării de profiluri, astfel cum se menţionează la articolul 11 alineatul (3) din Directiva (UE) 2016/680.
Art. 16: Acţiuni în cazul imposibilităţii tehnice de a utiliza routerul
(1)În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite date API sau alte date din PNR din cauza unei disfuncţionalităţi a routerului, eu-LISA notifică imediat şi în mod automat transportorii aerieni şi UIP în legătură cu respectiva imposibilitate tehnică. În acest caz, eu-LISA ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul şi notifică imediat transportatorii aerieni şi UIP odată remediată imposibilitatea respectivă.
În perioada dintre respectivele notificări, articolul 5 alineatul (1) nu se aplică, în măsura în care imposibilitatea tehnică împiedică transferul datelor API sau al altor date din PNR către router. Transportatorii aerieni stochează datele API şi alte date din PNR până la remedierea imposibilităţii tehnice. Imediat după remedierea imposibilităţii tehnice, transportatorii aerieni transferă datele către router în conformitate cu articolul 5 alineatul (1).
În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul şi în cazuri excepţionale legate de obiectivele prezentului regulament, care impun ca UIP să primească imediat date API sau alte date din PNR în timpul imposibilităţii tehnice de a utiliza routerul, UIP pot solicita transportatorilor aerieni să utilizeze orice alte mijloace adecvate care asigură nivelul necesar de securitate a datelor, de calitate a datelor şi de protecţie a datelor, pentru a transfera datele API sau alte date din PNR direct către UIP. UIP prelucrează datele API sau alte date din PNR primite prin orice alte mijloace adecvate, în conformitate cu normele şi garanţiile prevăzute în Directiva (UE) 2016/681.
În urma notificării din partea eu-LISA cu privire la faptul că imposibilitatea tehnică a fost remediată şi în cazul în care se confirmă, în conformitate cu articolul 12 alineatul (3), că transmiterea datelor API sau a altor date din PNR prin intermediul routerului către UIP relevantă a fost finalizată, UIP şterge imediat datele API sau alte date din PNR primite prin orice alte mijloace adecvate.
(2)În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transmite datele API sau alte date din PNR din cauza unei disfuncţionalităţi a sistemelor sau a infrastructurilor unui stat membru, menţionate la articolul 23, UIP din statul membru respectiv notifică imediat, în mod automat celelalte UIP, eu-LISA şi Comisia cu privire la respectiva imposibilitate tehnică. În acest caz, respectivul stat membru ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul şi notifică imediat celelalte UIP, eu-LISA şi Comisia odată remediată respectiva imposibilitate. Routerul stochează datele API şi alte date din PNR până la remedierea imposibilităţii tehnice. Imediat după remedierea imposibilităţii tehnice, routerul transmite datele în conformitate cu articolul 12 alineatul (1).
În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul şi în cazuri excepţionale legate de obiectivele prezentului regulament, care impun ca UIP să primească imediat date API sau alte date din PNR în timpul imposibilităţii tehnice de a utiliza routerul, UIP pot solicita transportatorilor aerieni să utilizeze orice alte mijloace adecvate care asigură nivelul necesar de securitate a datelor, calitate a datelor şi protecţie a datelor pentru a transfera datele API sau alte date din PNR direct către UIP. UIP prelucrează datele API sau alte date din PNR primite prin orice alte mijloace adecvate, în conformitate cu normele şi garanţiile prevăzute în Directiva (UE) 2016/681.
În urma notificării din partea eu-LISA cu privire la faptul că imposibilitatea tehnică a fost remediată şi în cazul în care se confirmă, în conformitate cu articolul 12 alineatul (3), că transmiterea datelor API sau a altor date din PNR prin intermediul routerului către UIP relevantă a fost finalizată, UIP şterge imediat datele API sau alte date din PNR primite prin orice alte mijloace adecvate.
(3)În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul pentru a transfera datele API sau alte date din PNR din cauza unei disfuncţionalităţi a sistemelor sau a infrastructurilor unui transportator aerian menţionate la articolul 24, respectivul transportator aerian notifică imediat, în mod automat, UIP, agenţia eu-LISA şi Comisia în legătură cu această imposibilitate tehnică. În acest caz, respectivul transportator aerian ia imediat măsuri pentru a remedia imposibilitatea tehnică de a utiliza routerul şi notifică imediat UIP, eu-LISA şi Comisia odată remediată imposibilitatea respectivă.
În perioada dintre respectivele notificări, articolul 5 alineatul (1) nu se aplică, în măsura în care imposibilitatea tehnică împiedică transferul datelor API sau al altor date din PNR către router. Transportatorii aerieni stochează datele API şi alte date din PNR până la remedierea imposibilităţii tehnice. Imediat după remedierea imposibilităţii tehnice, transportatorii aerieni transferă datele către router în conformitate cu articolul 5 alineatul (1).
În cazul în care este imposibil din punct de vedere tehnic să se utilizeze routerul şi în cazuri excepţionale legate de obiectivele prezentului regulament, care impun ca UIP să primească imediat date API sau alte date din PNR în timpul imposibilităţii tehnice de a utiliza routerul, UIP pot solicita transportatorilor aerieni să utilizeze orice alte mijloace adecvate care asigură nivelul necesar de securitate a datelor, de calitate a datelor şi de protecţie a datelor, pentru a transfera datele API sau alte date din PNR direct către UIP. UIP prelucrează datele API sau alte date din PNR primite prin orice alte mijloace adecvate, în conformitate cu normele şi garanţiile prevăzute în Directiva (UE) 2016/681.
În urma notificării din partea eu-LISA cu privire la faptul că imposibilitatea tehnică a fost remediată şi în cazul în care se confirmă, în conformitate cu articolul 12 alineatul (3), că transmiterea datelor API sau a altor date din PNR prin intermediul routerului către UIP relevantă a fost finalizată, UIP şterge imediat datele API sau alte date din PNR primite prin orice alte mijloace adecvate.
Atunci când imposibilitatea tehnică a fost remediată, transportatorul aerian în cauză prezintă fără întârziere autorităţii naţionale de supraveghere pentru datele API menţionate la articolul 37 un raport care conţine toate detaliile necesare privind imposibilitatea tehnică, inclusiv motivele, amploarea şi consecinţele imposibilităţii tehnice, precum şi măsurile luate pentru a o remedia.
Art. 17: Păstrarea înregistrărilor
(1)Transportatorii aerieni creează înregistrări ale tuturor operaţiunilor de prelucrare legate de datele API efectuate în temeiul prezentului regulament prin utilizarea mijloacelor automatizate menţionate la articolul 4 alineatul (7). Respectivele înregistrări includ data, ora şi locul transferului datelor API. Respectivele înregistrări nu conţin nicio dată cu caracter personal, în afara informaţiilor necesare pentru identificarea angajatului relevant al transportatorului aerian.
(2)Agenţia eu-LISA păstrează înregistrări ale tuturor operaţiunilor de prelucrare legate de transferul şi transmiterea datelor API sau ale altor date din PNR prin intermediul routerului în temeiul prezentului regulament. Respectivele înregistrări includ următoarele elemente:
a)transportatorul aerian care a transferat datele API şi alte date din PNR către router;
b)transportatorul aerian care a transferat alte date din PNR către router;
c)UIP cărora le-au fost transmise datele API prin intermediul routerului;
d)UIP cărora le-au fost transmise alte date din PNR prin intermediul routerului;
e)data şi ora transferului sau al transmiterii menţionate la literele (a)-(d), precum şi locul transferului sau al transmiterii;
f)orice acces al personalului eu-LISA necesar pentru întreţinerea routerului, aşa cum se menţionează la articolul 26 alineatul (3);
g)orice alte informaţii referitoare la respectivele operaţiuni de prelucrare necesare pentru a monitoriza securitatea şi integritatea datelor API şi a altor date din PNR, precum şi legalitatea respectivelor operaţiuni de prelucrare.
Respectivele înregistrări nu includ alte date cu caracter personal în afara informaţiilor necesare pentru identificarea membrului relevant al personalului eu-LISA menţionat la primul paragraf litera (f).
(3)Înregistrările menţionate la alineatele (1) şi (2) de la prezentul articol se utilizează numai pentru a asigura securitatea şi integritatea datelor API şi a altor date din PNR şi legalitatea prelucrării, în special în ceea ce priveşte respectarea cerinţelor prevăzute în prezentul regulament, inclusiv procedurile de sancţionare a încălcărilor cerinţelor respective în conformitate cu articolele 37 şi 38.
(4)Transportatorii aerieni şi eu-LISA iau măsurile corespunzătoare pentru a proteja înregistrările pe care le-au creat în temeiul alineatului (1) şi, respectiv, al alineatului (2) împotriva accesului neautorizat şi a altor riscuri pentru securitate.
(5)Autoritatea naţională de supraveghere pentru datele API menţionată la articolul 37 şi UIP au acces la înregistrările relevante menţionate la alineatul (1) de la prezentul articol, în cazul în care acest lucru este necesar în scopurile menţionate la alineatul (3) de la prezentul articol.
(6)Transportatorii aerieni şi eu-LISA păstrează înregistrările pe care le-au creat în temeiul alineatului (1) şi, respectiv, al alineatului (2) pentru o perioadă de un an de la momentul creării înregistrărilor respective. Aceştia şterg imediat şi definitiv înregistrările respective după expirarea respectivei perioade.
Cu toate acestea, în cazul în care înregistrările respective sunt necesare pentru proceduri de monitorizare sau de asigurare a securităţii şi integrităţii datelor API sau a legalităţii operaţiunilor de prelucrare, astfel cum se menţionează la alineatul (3), iar aceste proceduri au început deja la momentul expirării perioadei menţionate la primul paragraf de la prezentul alineat, transportatorii aerieni şi eu-LISA păstrează înregistrările menţionate atât timp cât este necesar pentru procedurile respective. În acest caz, transportatorii aerieni şterg imediat înregistrările respective atunci când nu mai sunt necesare pentru procedurile menţionate.
Art. 18: Responsabilităţile privind protecţia datelor
(1)Transportatorii aerieni sunt operatori, în sensul articolului 4 punctul 7 din Regulamentul (UE) 2016/679, în ceea ce priveşte prelucrarea datelor API şi a altor date din PNR care constituie date cu caracter personal, ceea ce include colectarea datelor respective şi transferul acestora către router în temeiul prezentului regulament.
(2)Fiecare stat membru desemnează o autoritate competentă în calitate de operator în conformitate cu prezentul articol. Statele membre notifică Comisiei, eu-LISA şi celorlalte state membre autorităţile respective.
Toate autorităţile competente desemnate de statele membre sunt operatori asociaţi în conformitate cu articolul 21 din Directiva (UE) 2016/680 în scopul prelucrării datelor cu caracter personal în router.
(3)eu-LISA este persoană împuternicită de operator, în sensul articolului 3 punctul 12 din Regulamentul (UE) 2018/1725, în scopul prelucrării datelor API şi a altor date din PNR care constituie date cu caracter personal transmise în temeiul prezentului regulament prin intermediul routerului, inclusiv transmiterea datelor de la router către UIP şi stocarea datelor respective pe router din motive tehnice. eu-LISA se asigură că routerul este exploatat în conformitate cu prezentul regulament.
(4)Comisia adoptă acte de punere în aplicare care stabilesc responsabilităţile operatorilor asociaţi şi obligaţiile repartizate între operatorii asociaţi şi persoana împuternicită de operator. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 42 alineatul (2).
Art. 19: Informarea pasagerilor
În conformitate cu articolul 13 din Regulamentul (UE) 2016/679, transportatorii aerieni furnizează pasagerilor care folosesc zborurile care intră sub incidenţa prezentului regulament informaţii privind scopul colectării datelor lor cu caracter personal, tipul de date cu caracter personal colectate, beneficiarii datelor cu caracter personal şi mijloacele de exercitare a drepturilor lor în calitate de persoane vizate.
Respectivele informaţii sunt comunicate pasagerilor în scris şi într-un format uşor accesibil la momentul rezervării şi la momentul înregistrării, indiferent de mijloacele folosite pentru colectarea datelor cu caracter personal la momentul înregistrării, în conformitate cu articolul 4.
Art. 20: Securitatea
(1)eu-LISA asigură securitatea şi criptarea datelor API şi a altor date din PNR, în special a datelor care constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. UIP şi transportatorii aerieni asigură securitatea datelor API, în special a datelor API care constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. eu-LISA, UIP şi transportatorii aerieni cooperează, în conformitate cu responsabilităţile care le revin şi în conformitate cu dreptul Uniunii, pentru a asigura securitatea datelor.
(2)eu-LISA asigură securitatea şi confidenţialitatea datelor referitoare la zborurile şi rutele selectate de statele membre în conformitate cu articolul 12 alineatul (4). UIP şi transportatorii aerieni asigură securitatea datelor API, în special a datelor API care constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. Agenţia eu-LISA, UIP şi transportatorii aerieni cooperează, în conformitate cu responsabilităţile care le revin şi în conformitate cu dreptul Uniunii, pentru a asigura securitatea datelor.
(3)eu-LISA ia măsurile necesare pentru a asigura securitatea routerului, a datelor API şi a altor date din PNR, în special a datelor care constituie date cu caracter personal, transmise prin router, inclusiv prin stabilirea, punerea în aplicare şi actualizarea periodică a unui plan de securitate, a unui plan de asigurare a continuităţii activităţii şi a unui plan de recuperare în caz de dezastru, pentru:
a)a proteja fizic routerul, inclusiv prin elaborarea unor planuri de urgenţă pentru protecţia componentelor critice ale acestuia;
b)a împiedica orice prelucrare neautorizată a datelor API şi a altor date din PNR, inclusiv orice acces neautorizat la acestea, precum şi copierea, modificarea sau ştergerea acestora, atât în timpul transferului datelor API şi a altor date din PNR către şi de la router, cât şi în timpul oricărei stocări a datelor API şi a altor date din PNR pe router, dacă acest lucru este necesar pentru finalizarea transmiterii, în special prin intermediul unor tehnici de criptare adecvate;
c)a asigura că persoanele autorizate să acceseze routerul au acces numai la datele care fac obiectul autorizaţiei lor de acces;
d)a asigura posibilitatea de a verifica şi de a stabili UIP cărora le sunt transmise datele API sau alte date din PNR prin intermediul routerului;
e)a raporta în mod corespunzător Consiliului său de administraţie eventualele deficienţe de funcţionare a routerului;
f)a monitoriza eficacitatea măsurilor de securitate necesare în temeiul prezentului articol şi al Regulamentului (UE) 2018/1725 şi pentru a evalua şi actualiza măsurile de securitate respective, dacă este necesar, în lumina evoluţiilor tehnologice sau operaţionale.
Măsurile menţionate la primul paragraf de la prezentul alineat nu aduc atingere articolului 32 din Regulamentul (UE) 2016/679, articolului 33 din Regulamentul (UE) 2018/1725 sau articolului 29 din Directiva (UE) 2016/680.
Art. 21: Automonitorizarea
Transportatorii aerieni şi UIP monitorizează respectarea obligaţiilor care le revin în temeiul prezentului regulament, în special în ceea ce priveşte prelucrarea datelor API care constituie date cu caracter personal. În cazul transportatorilor aerieni, monitorizarea include verificarea frecventă a înregistrărilor menţionate la articolul 17.
Art. 22: Audituri privind protecţia datelor cu caracter personal
(1)Autorităţile de supraveghere independente menţionate la articolul 41 din Directiva (UE) 2016/680 efectuează, cel puţin din patru în patru ani, un audit al operaţiunilor de prelucrare a datelor API care constituie date cu caracter personal, efectuate de UIP în sensul prezentului regulament. Statele membre se asigură că autorităţile lor de supraveghere independente dispun de resurse şi cunoştinţe suficiente pentru a îndeplini sarcinile care le-au fost încredinţate în temeiul prezentului regulament.
(2)Autoritatea Europeană pentru Protecţia Datelor efectuează, cel puţin o dată pe an, un audit al operaţiunilor eu-LISA de prelucrare a datelor API şi a altor date din PNR care constituie date cu caracter personal în sensul prezentului regulament, în conformitate cu standardele internaţionale de audit relevante. Un raport al respectivului audit se trimite Parlamentului European, Consiliului, Comisiei, statelor membre şi eu-LISA. Înainte de adoptarea raportului, se oferă eu-LISA posibilitatea de a formula observaţii.
(3)În ceea ce priveşte operaţiunile de prelucrare menţionate la alineatul (2), eu-LISA furnizează, la cerere, informaţiile solicitate de Autoritatea Europeană pentru Protecţia Datelor, îi acordă acesteia acces la toate documentele pe care le solicită şi la înregistrările menţionate la articolul 17 alineatul (2) şi îi permite în orice moment accesul în toate incintele eu-LISA.
Art. 23: Conexiunile UIP la router
(1)Statele membre se asigură că UIP sunt conectate la router. Acestea se asigură că sistemele şi infrastructura lor naţionale pentru primirea şi prelucrarea ulterioară a datelor API şi a altor date din PNR transferate în temeiul prezentului regulament sunt integrate în router.
Statele membre se asigură că în urma conectării la router şi a integrării în acesta, UIP pot să primească şi să prelucreze ulterior respectivele date API şi alte date din PNR, precum şi să facă schimb de orice fel de informaţii legate de acestea într-un mod legal, sigur, eficace şi rapid.
(2)Comisia adoptă acte de punere în aplicare care precizează normele detaliate necesare privind conexiunile la routerul menţionat la alineatul (1) de la prezentul articol şi integrarea în acesta, inclusiv în ceea ce priveşte cerinţele referitoare la securitatea datelor. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 42 alineatul (2).
Art. 24: Conexiunile transportatorilor aerieni la router
(1)Transportatorii aerieni se asigură că sunt conectaţi la router. Aceştia se asigură că sistemele şi infrastructura lor pentru transferul datelor API şi al altor date din PNR către router în temeiul prezentului regulament sunt integrate în router.
Transportatorii aerieni se asigură că în urma conectării la router şi a integrării în acesta pot să transfere respectivele date API şi alte date din PNR, precum şi să facă schimb de orice fel de informaţii referitoare la acestea, într-un mod legal, sigur, eficace şi rapid. În acest scop, transportatorii aerieni efectuează teste ale transferului de date API şi de alte date din PNR către router, în cooperare cu eu-LISA, în conformitate cu articolul 27 alineatul (3).
(2)Comisia adoptă acte de punere în aplicare care precizează normele detaliate necesare privind conexiunile la routerul menţionat la alineatul (1) de la prezentul articol şi integrarea în acesta, inclusiv în ceea ce priveşte cerinţele referitoare la securitatea datelor. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 42 alineatul (2).
Art. 25: Atribuţiile eu-LISA cu privire la proiectarea şi dezvoltarea routerului
(1)eu-LISA este responsabilă de proiectarea arhitecturii fizice a routerului, inclusiv pentru definirea specificaţiilor tehnice.
(2)eu-LISA este responsabilă de dezvoltarea routerului, inclusiv pentru orice adaptare tehnică necesară pentru funcţionarea routerului.
Dezvoltarea routerului constă în elaborarea şi punerea în aplicare a specificaţiilor tehnice, efectuarea de teste, gestionarea generală a proiectului şi coordonarea fazei de dezvoltare.
(3)eu-LISA se asigură că routerul este proiectat şi dezvoltat astfel încât să ofere funcţionalităţile specificate în prezentul regulament şi că routerul este pus în funcţiune cât mai curând posibil după adoptarea de către Comisie a actelor delegate prevăzute la articolul 4 alineatul (12), la articolul 5 alineatul (3), la articolul 7 alineatul (2), şi a actelor de punere în aplicare prevăzute la articolul 11 alineatul (5), la articolul 12 alineatul (4), la articolul 23 alineatul (2), la articolul 24 alineatul (2) din prezentul regulament şi a actelor de punere în aplicare prevăzute la articolul 16 alineatul (3) din Directiva (UE) 2016/681, precum şi după efectuarea unei evaluări a impactului în ceea ce priveşte protecţia datelor, în conformitate cu articolul 35 din Regulamentul (UE) 2016/679.
(4)eu-LISA furnizează UIP, altor autorităţi relevante ale statelor membre şi transportatorilor aerieni un set de teste de conformitate. Setul de teste de conformitate include un mediu de testare, un simulator, seturi de date de testare şi un plan de testare. Setul de teste de conformitate permite efectuarea unor teste cuprinzătoare ale routerului menţionat la alineatele (5) şi (6) şi trebuie să rămână disponibil după finalizarea testelor respective.
(5)În cazul în care consideră că etapa de dezvoltare a fost încheiată în ce priveşte datele API, eu-LISA efectuează, fără întârzieri nejustificate, un test cuprinzător al routerului, în cooperare cu UIP şi cu alte autorităţi relevante ale statelor membre şi cu transportatorii aerieni, şi informează Comisia despre rezultatul testului respectiv.
(6)În cazul în care consideră că faza de dezvoltare a fost finalizată în ce priveşte alte date din PNR, eu-LISA efectuează, fără întârzieri nejustificate, teste cuprinzătoare ale routerului pentru a asigura fiabilitatea conexiunilor routerului cu transportatorii aerieni şi UIP, transmiterea standardizată necesară a altor date din PNR de către transportatorii aerieni şi transferul şi transmiterea altor date din PNR în conformitate cu articolul 16 din Directiva (UE) 2016/681, inclusiv utilizarea protocoalelor comune şi a formatelor standardizate de date compatibile menţionate la articolul 16 alineatele (2) şi (3) din directiva respectivă, pentru a asigura lizibilitatea celorlalte date din PNR. Astfel de teste se efectuează în cooperare cu UIP şi cu alte autorităţi relevante ale statelor membre şi cu transportatori aerieni. eu-LISA informează Comisia despre rezultatul testelor respective.
Art. 26: Atribuţiile eu-LISA cu privire la găzduirea şi gestionarea tehnică a routerului
(1)eu-LISA găzduieşte routerul în amplasamentele sale tehnice.
(2)eu-LISA este responsabilă de gestionarea tehnică a routerului, inclusiv de întreţinerea şi dezvoltarea tehnică a acestuia, astfel încât să se asigure că datele API şi alte date din PNR sunt transmise în siguranţă, în mod eficace şi rapid prin intermediul routerului, în conformitate cu prezentul regulament.
Gestionarea tehnică a routerului constă în îndeplinirea tuturor atribuţiilor şi în punerea în aplicare a tuturor soluţiilor tehnice necesare pentru buna funcţionare a routerului în conformitate cu prezentul regulament fără întrerupere, 24 de ore pe zi, 7 zile pe săptămână. Gestionarea tehnică include lucrările de întreţinere şi dezvoltarea tehnică necesară pentru a se asigura funcţionarea routerului la un nivel satisfăcător de calitate tehnică, în special în ceea ce priveşte disponibilitatea, acurateţea şi fiabilitatea transmiterii datelor API şi a altor date din PNR, în conformitate cu specificaţiile tehnice şi, pe cât posibil, în conformitate cu nevoile operaţionale ale UIP şi ale transportatorilor aerieni.
(3)Personalul eu-LISA nu are acces la niciuna dintre datele API sau la alte date din PNR transmise prin router. Respectiva interdicţie nu împiedică însă personalul eu-LISA să aibă un astfel de acces în măsura în care este strict necesar pentru întreţinerea şi gestionarea tehnică a routerului.
(4)Fără a aduce atingere alineatului (3) de la prezentul articol şi articolului 17 din Statutul funcţionarilor Uniunii Europene prevăzut în Regulamentul (CEE, Euratom, CECO) nr. 259/68 al Consiliului (22), eu-LISA aplică normele corespunzătoare privind secretul profesional sau alte obligaţii echivalente de confidenţialitate personalului său care trebuie să lucreze cu date API şi cu alte date din PNR transmise prin router. Respectiva obligaţie se aplică şi după ce astfel de persoane au încetat să mai ocupe o anumită funcţie sau după ce şi-au încetat activitatea.
(22)JO L 56, 4.3.1968, p. 1.
Art. 27: Atribuţiile eu-LISA privind asistenţa cu privire la router
(1)La cererea UIP, a autorităţilor competente din alte state membre sau a transportatorilor aerieni, eu-LISA asigură formarea acestora cu privire la utilizarea tehnică a routerului, la conectarea lor la router şi la integrarea lor în acesta.
(2)eu-LISA oferă sprijin UIP în ceea ce priveşte primirea datelor API şi a altor date din PNR prin intermediul routerului, în conformitate cu prezentul regulament, în special în ceea ce priveşte aplicarea articolelor 12 şi 23.
(3)În conformitate cu articolul 24 alineatul (1) şi utilizând setul de teste de conformitate menţionat la articolul 25 alineatul (4), eu-LISA efectuează, în cooperare cu transportatorii aerieni, teste de transfer al datelor API şi al altor date din PNR către router.
Art. 28: Consiliul de gestionare a programului
(1)Până la 28 ianuarie 2025, Consiliul de administraţie al eu-LISA înfiinţează un Consiliu de gestionare a programului. Acesta are 10 membri, fiind compus din:
a)şapte membri numiţi de Consiliul de administraţie al eu-LISA din rândul membrilor săi sau al supleanţilor săi;
b)preşedintele Grupului consultativ API-PNR menţionat la articolul 29;
c)un membru al personalului eu-LISA numit de directorul său executiv; şi
d)un membru numit de Comisie.
În ceea ce priveşte litera (a), membrii numiţi de Consiliul de administraţie al eu-LISA sunt aleşi numai dintre membrii sau supleanţii săi din statele membre cărora li se aplică prezentul regulament.
(2)Consiliul de gestionare a programului îşi elaborează regulamentul de procedură care urmează să fie adoptat de Consiliul de administraţie al eu-LISA.
Preşedinţia este deţinută de un stat membru care este membru al Consiliului de gestionare a programului.
(3)Consiliul de gestionare a programului supraveghează îndeplinirea efectivă a atribuţiilor eu-LISA legate de proiectarea şi dezvoltarea routerului în conformitate cu articolul 25.
La cererea Consiliului de gestionare a programului, eu-LISA furnizează informaţii detaliate şi actualizate despre proiectarea şi dezvoltarea routerului, inclusiv despre resursele alocate de eu-LISA.
(4)Consiliul de gestionare a programului prezintă periodic, de cel puţin trei ori pe trimestru, Consiliului de administraţie al eu-LISA rapoarte scrise privind progresele înregistrate în proiectarea şi dezvoltarea routerului.
(5)Consiliul de gestionare a programului nu are competenţe decizionale şi nu dispune de un mandat de reprezentare a Consiliului de administraţie al eu-LISA sau al membrilor săi.
(6)Consiliul de gestionare a programului încetează să existe la data aplicării prezentului regulament menţionată la articolul 45 al doilea paragraf.
Art. 29: Grupul consultativ API-PNR
(1)De la 28 ianuarie 2025, Grupul consultativ API-PNR, înfiinţat în temeiul articolului 27 alineatul (1) litera (de) din Regulamentul (UE) 2018/1726, furnizează Consiliului de administraţie al eu-LISA cunoştinţele de specialitate necesare în legătură cu API-PNR, în special în contextul pregătirii programului său anual de lucru şi a raportului său anual de activitate.
(2)Ori de câte ori sunt disponibile, eu-LISA furnizează Grupului consultativ API-PNR versiuni, chiar intermediare, ale specificaţiilor tehnice şi ale seturilor de teste de conformitate menţionate la articolul 25 alineatele (1), (2) şi (4).
(3)Grupul consultativ API-PNR exercită următoarele funcţii:
a)furnizează eu-LISA şi Consiliului de gestionare a programului cunoştinţe de specialitate în proiectarea şi dezvoltarea routerului în conformitate cu articolul 25;
b)furnizează eu-LISA cunoştinţe de specialitate legate de găzduirea şi gestionarea tehnică a routerului în conformitate cu articolul 26;
c)emite avize către Consiliul de gestionare a programului, la cererea acestuia, despre progresele înregistrate în proiectarea şi dezvoltarea routerului, inclusiv despre progresele înregistrate cu privire la specificaţiile tehnice şi seturile de teste de conformitate menţionate la alineatul (2).
(4)Grupul consultativ API-PNR nu are competenţe decizionale şi nu dispune de un mandat de reprezentare a Consiliului de administraţie al eu-LISA sau al membrilor săi.
Art. 30: Grupul de contact API-PNR
(1)Până la data relevantă de aplicare a prezentului regulament menţionată la articolul 45 al doilea paragraf, Consiliul de administraţie al eu-LISA înfiinţează un grup de contact API-PNR.
(2)Grupul de contact API-PNR permite comunicarea între autorităţile relevante ale statelor membre şi transportatorii aerieni cu privire la aspectele tehnice legate de sarcinile şi obligaţiile care le revin în temeiul prezentului regulament.
(3)Grupul de contact API-PNR se compune din reprezentanţi ai autorităţilor relevante ale statelor membre şi ai transportatorilor aerieni, preşedintele Grupului consultativ API-PNR şi experţi ai eu-LISA.
(4)Consiliul de administraţie al eu-LISA stabileşte regulamentul de procedură al Grupului de contact API-PNR, în urma unui aviz al Grupului consultativ API-PNR.
(5)Atunci când se consideră necesar, Consiliul de administraţie al eu-LISA poate înfiinţa, de asemenea, subgrupuri ale Grupului de contact API-PNR pentru a discuta aspecte tehnice specifice legate de sarcinile şi obligaţiile respective ale autorităţilor relevante ale statelor membre şi ale transportatorilor aerieni în temeiul prezentului regulament.
(6)Grupul de contact API-PNR şi subgrupurile sale nu au competenţe decizionale şi nu dispun de un mandat de reprezentare a Consiliului de administraţie al eu-LISA sau al membrilor săi.
Art. 31: Grupul de experţi API
(1)Până la data aplicării prezentului regulament menţionată la articolul 45 al doilea paragraf litera (a), Comisia înfiinţează un grup de experţi API în conformitate cu normele orizontale privind înfiinţarea şi funcţionarea grupurilor de experţi ale Comisiei.
(2)Grupul de experţi API permite comunicarea între autorităţile relevante ale statelor membre, precum şi între autorităţile relevante ale statelor membre şi transportatorii aerieni cu privire la aspectele de politică legate de sarcinile şi obligaţiile care le revin în temeiul prezentului regulament, inclusiv în legătură cu sancţiunile menţionate la articolul 38.
(3)Grupul de experţi API este prezidat de Comisie şi constituit în conformitate cu normele orizontale privind înfiinţarea şi funcţionarea grupurilor de experţi ale Comisiei. Acesta se compune din reprezentanţi ai autorităţilor relevante ale statelor membre, reprezentanţi ai transportatorilor aerieni şi experţi ai eu-LISA. Dacă este important pentru îndeplinirea sarcinilor sale, Grupul de experţi API poate invita să participe la lucrările sale părţi interesate relevante, în special reprezentanţi ai Parlamentului European, ai Autorităţii Europene pentru Protecţia Datelor şi ai autorităţilor independente naţionale de supraveghere.
(4)Grupul de experţi API îşi îndeplineşte sarcinile în conformitate cu principiul transparenţei. Comisia publică procesele-verbale ale reuniunilor Grupului de experţi API şi alte documente relevante pe site-ul său web.
Art. 32: Costurile suportate de eu-LISA, de Autoritatea Europeană pentru Protecţia Datelor, de autorităţile naţionale de supraveghere şi de statele membre
(1)Costurile suportate de eu-LISA legate de instituirea şi funcţionarea routerului în temeiul prezentului regulament sunt suportate din bugetul general al Uniunii.
(2)Costurile suportate de statele membre în legătură cu punerea în aplicare a prezentului regulament, în special cu conexiunea lor la routerul menţionat la articolul 23 şi cu integrarea în acesta sunt suportate din bugetul general al Uniunii, în conformitate cu normele de eligibilitate şi cu ratele de cofinanţare stabilite în actele juridice aplicabile ale Uniunii.
(3)Costurile suportate de Autoritatea Europeană pentru Protecţia Datelor legate de sarcinile care îi sunt încredinţate în temeiul prezentului regulament sunt suportate din bugetul general al Uniunii.
(4)Costurile suportate de autorităţile naţionale independente de supraveghere legate de sarcinile care le sunt încredinţate în temeiul prezentului regulament sunt suportate de statele membre.
Art. 33: Răspunderea în ceea ce priveşte routerul
În cazul în care nerespectarea de către un stat membru sau de către un transportator aerian a obligaţiilor care îi revin în temeiul prezentului regulament cauzează daune routerului, respectivul stat membru sau transportator aerian este răspunzător pentru astfel de daune, astfel cum se prevede în dreptul Uniunii aplicabil sau în dreptul intern aplicabil, cu excepţia cazului şi în măsura în care se demonstrează că eu-LISA, un alt stat membru sau un alt transportator aerian nu a luat măsuri rezonabile pentru a împiedica producerea daunelor sau pentru a minimiza impactul acestora.
Art. 34: Punerea în funcţiune a routerului în legătură cu datele API
Comisia stabileşte, fără întârzieri nejustificate, data punerii în funcţiune a routerului în ceea ce priveşte datele API prin intermediul unui act de punere în aplicare, după ce eu-LISA a informat Comisia cu privire la finalizarea cu succes a testului cuprinzător al routerului menţionat la articolul 25 alineatul (5). Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 42 alineatul (2).
Comisia stabileşte data menţionată la primul paragraf ca fiind o dată care nu depăşeşte intervalul de 30 de zile de la data adoptării respectivului act de punere în aplicare.
Art. 35: Punerea în funcţiune a routerului în legătură cu alte date din PNR
Comisia stabileşte, fără întârzieri nejustificate, data punerii în funcţiune a routerului în ceea ce priveşte alte date din PNR prin intermediul unui act de punere în aplicare, după ce eu-LISA a informat Comisia cu privire la finalizarea cu succes a testelor cuprinzătoare ale routerului menţionate la articolul 25 alineatul (6), inclusiv cu privire la fiabilitatea conexiunilor routerului cu transportatorii aerieni şi cu UIP şi la lizibilitatea altor date din PNR transferate de transportatorii aerieni şi transmise de router în formatul standardizat necesar, în conformitate cu articolul 16 din Directiva (UE) 2016/681. Respectivul act de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 42 alineatul (2).
Comisia stabileşte data menţionată la primul paragraf ca fiind o dată care nu depăşeşte intervalul de 30 de zile de la data adoptării respectivului act de punere în aplicare.
Art. 36: Utilizarea voluntară a routerului
(1)Transportatorii aerieni au dreptul de a utiliza routerul pentru a transmite informaţiile menţionate la articolul 3 alineatele (1) şi (2) din Directiva 2004/82/CE sau alte date din PNR colectate în temeiul articolului 8 din Directiva (UE) 2016/681 către una sau mai multe dintre UIP responsabile, în conformitate cu directivele respective, cu condiţia ca statul membru în cauză să fi fost de acord cu o astfel de utilizare, începând cu o dată adecvată stabilită de statul membru respectiv. Statul membru respectiv îşi dă acordul numai după ce a stabilit că, în special în ceea ce priveşte atât conexiunea propriei sale UIP la router, cât şi cea a transportatorului aerian în cauză, informaţiile pot fi transmise într-un mod legal, sigur, eficace şi rapid.
(2)În cazul în care un transportator aerian începe să utilizeze routerul în conformitate cu alineatul (1) de la prezentul articol, acesta continuă să utilizeze routerul pentru a transmite astfel de informaţii către UIP din statul membru în cauză până la data relevantă de aplicare a prezentului regulament menţionată la articolul 45 al doilea paragraf. Cu toate acestea, utilizarea respectivă este întreruptă începând cu o dată adecvată stabilită de statul membru respectiv, în cazul în care statul membru respectiv consideră că există motive obiective care impun o astfel de întrerupere şi a informat transportatorul aerian în consecinţă.
(3)Statul membru în cauză:
a)consultă eu-LISA înainte de a consimţi în privinţa utilizării voluntare a routerului în conformitate cu alineatul (1);
b)cu excepţia situaţiilor de urgenţă justificate în mod corespunzător, oferă transportatorului aerian în cauză posibilitatea de a prezenta observaţii cu privire la intenţia sa de a întrerupe o astfel de utilizare în conformitate cu alineatul (2) şi, după caz, consultă, de asemenea, eu-LISA cu privire la acest aspect;
c)informează imediat eu-LISA şi Comisia cu privire la orice astfel de utilizare pentru care şi-a dat consimţământul şi cu privire la orice întrerupere a utilizării, furnizând toate informaţiile necesare, inclusiv data de începere a utilizării, data întreruperii şi motivele întreruperii, după caz.
Art. 37: Autoritatea naţională de supraveghere pentru datele API
(1)Statele membre desemnează una sau mai multe autorităţi naţionale de supraveghere pentru datele API responsabile cu monitorizarea aplicării pe teritoriul lor de către transportatorii aerieni a dispoziţiilor prezentului regulament şi cu asigurarea respectării respectivelor dispoziţii.
(2)Statele membre se asigură că autorităţile naţionale de supraveghere pentru datele API dispun de toate mijloacele şi de toate competenţele de investigare şi de asigurare a respectării legii, necesare pentru a-şi îndeplini sarcinile care le revin în temeiul prezentului regulament, inclusiv prin aplicarea sancţiunilor menţionate la articolul 38, după caz. Statele membre se asigură că exercitarea competenţelor conferite autorităţii naţionale de supraveghere pentru datele API face obiectul unor garanţii adecvate, în conformitate cu drepturile fundamentale garantate în temeiul dreptului Uniunii.
(3)Până la data relevantă de aplicare a prezentului regulament menţionată la articolul 45 al doilea paragraf, statele membre notifică Comisiei numele şi datele de contact ale autorităţilor pe care le-au desemnat în temeiul alineatului (1) de la prezentul articol. Statele membre informează fără întârziere Comisia cu privire la orice modificare ulterioară sau la orice amendament ulterior adus respectivelor norme.
(4)Prezentul articol nu aduce atingere competenţelor autorităţilor de supraveghere menţionate la articolul 51 din Regulamentul (UE) 2016/679, la articolul 41 din Directiva (UE) 2016/680 şi la articolul 15 din Directiva (UE) 2016/681.
Art. 38: Sancţiuni
(1)Statele membre adoptă normele privind sancţiunile care se aplică în cazul nerespectării prezentului regulament şi iau toate măsurile necesare pentru a asigura aplicarea acestora. Sancţiunile trebuie să fie efective, proporţionale şi cu efect de descurajare.
(2)Până la data relevantă de aplicare a prezentului regulament menţionată la articolul 45 al doilea paragraf, statele membre notifică Comisiei normele şi măsurile respective şi îi notifică acesteia, fără întârziere, orice modificare ulterioară a acestora.
(3)Statele membre se asigură că autorităţile naţionale de supraveghere pentru datele API, atunci când decid dacă să aplice o sancţiune, precum şi atunci când stabilesc tipul şi nivelul de gravitate ale sancţiunii, ţin cont de circumstanţele relevante, care pot include:
a)natura, gravitatea şi durata încălcării;
b)gradul de vinovăţie a transportatorului aerian;
c)încălcări anterioare comise de transportatorul aerian;
d)nivelul general al cooperării transportatorului aerian cu autorităţile competente;
e)dimensiunea transportatorului aerian, cum ar fi numărul anual de pasageri transportaţi;
f)dacă alte autorităţi naţionale de supraveghere pentru datele API au aplicat deja sancţiuni aceluiaşi transportator aerian pentru aceeaşi încălcare.
(4)Statele membre se asigură că pentru neefectuarea sistematică a transferului datelor API în conformitate cu articolul 5 alineatul (1) se aplică sancţiuni financiare proporţionale de până la 2 % din cifra de afaceri globală a unui transportator aerian corespunzătoare precedentului exerciţiu financiar. Statele membre se asigură că nerespectarea altor obligaţii prevăzute în prezentul regulament face obiectul unor sancţiuni proporţionale, inclusiv sancţiuni financiare.
Art. 39: Statistici
(1)Pentru a sprijini punerea în aplicare şi monitorizarea aplicării prezentului regulament şi pe baza informaţiilor statistice menţionate la alineatele (5) şi (6), eu-LISA publică în fiecare trimestru statistici privind funcţionarea routerului şi respectarea de către transportatorii aerieni a obligaţiilor prevăzute în prezentul regulament. Statisticile respective nu permit identificarea persoanelor fizice.
(2)În scopurile prevăzute la alineatul (1), routerul transmite automat datele enumerate la alineatele (5) şi (6) către CRRS.
(3)În vederea susţinerii punerii în aplicare şi a monitorizării aplicării prezentului regulament, eu-LISA compilează anual datele statistice într-un raport anual pentru anul anterior. Aceasta publică raportul anual respectiv şi îl transmite Parlamentului European, Consiliului, Comisiei, Autorităţii Europene pentru Protecţia Datelor, Agenţiei Europene pentru Poliţia de Frontieră şi Garda de Coastă şi autorităţilor naţionale de supraveghere pentru datele API menţionate la articolul 37. Raportul anual nu trebuie să dezvăluie metodele de lucru confidenţiale şi nici să pericliteze investigaţiile în curs ale autorităţilor competente ale statelor membre.
(4)La cererea Comisiei, eu-LISA furnizează statistici privind aspecte specifice legate de punerea în aplicare a prezentului regulament, precum şi statistici în temeiul alineatului (3).
(5)CRRS furnizează eu-LISA următoarele informaţii statistice, necesare pentru raportarea menţionată la articolul 44 şi pentru generarea de statistici în conformitate cu prezentul articol, fără ca astfel de statistici privind datele API să permită identificarea pasagerilor în cauză:
a)dacă datele se referă la un pasager sau la un membru al echipajului;
b)cetăţenia, sexul şi anul naşterii pasagerului sau membrului echipajului;
c)data şi punctul iniţial de îmbarcare, data şi aeroportul de plecare, precum şi data şi aeroportul de sosire;
d)tipul documentului de călătorie, codul format din trei litere al ţării emitente şi data expirării duratei de valabilitate a documentului de călătorie;
e)numărul de pasageri înregistraţi pentru acelaşi zbor;
f)codul transportatorului aerian care operează zborul;
g)dacă zborul este regulat sau neregulat;
h)dacă datele API au fost transferate imediat după închiderea zborului;
i)dacă datele cu caracter personal ale pasagerului sunt exacte, complete şi actualizate.
j)mijloacele tehnice utilizate pentru a obţine datele API.
(6)CRRS furnizează eu-LISA următoarele informaţii statistice necesare pentru raportarea menţionată la articolul 44 şi pentru generarea de statistici în conformitate cu prezentul articol, fără ca astfel de statistici privind alte date din PNR să permită identificarea pasagerilor în cauză:
a)data şi ora la care routerul a primit mesajul PNR;
b)informaţiile de zbor cuprinse în itinerarul de călătorie din mesajul PNR specific;
c)informaţiile privind codurile partajate cuprinse în mesajul PNR specific.
(7)În scopul raportării menţionate la articolul 44 şi pentru generarea de statistici în conformitate cu prezentul articol, eu-LISA stochează în CRRS datele menţionate la alineatele (5) şi (6) de la prezentul articol. Aceasta stochează astfel de date pentru o perioadă de cinci ani în conformitate cu alineatul (2), asigurând că datele nu permit identificarea pasagerilor în cauză. CRRS transmite personalului autorizat corespunzător al UIP şi altor autorităţi relevante ale statelor membre rapoarte şi statistici personalizabile privind datele API menţionate la alineatul (5) de la prezentul articol şi alte date din PNR menţionate la alineatul (6) de la prezentul articol, pentru punerea în aplicare şi monitorizarea aplicării prezentului regulament.
(8)Utilizarea datelor menţionate la alineatele (5) şi (6) de la prezentul articol nu trebuie să conducă la crearea de profiluri ale persoanelor fizice, astfel cum se menţionează la articolul 11 alineatul (3) din Directiva (UE) 2016/680 sau la discriminarea persoanelor pe baza motivelor enumerate la articolul 21 din cartă. Datele menţionate la alineatele (5) şi (6) de la prezentul articol nu trebuie să fie utilizate pentru a fi comparate sau corelate cu date cu caracter personal sau pentru a fi combinate cu date cu caracter personal.
(9)Procedurile instituite de eu-LISA pentru a monitoriza dezvoltarea şi funcţionarea routerului menţionat la articolul 39 alineatul (2) din Regulamentul (UE) 2019/818 includ posibilitatea de a produce statistici periodice pentru asigurarea monitorizării respective.
Art. 40: Manual practic
Comisia, în strânsă cooperare cu UIP, cu alte autorităţi relevante din statele membre, cu transportatorii aerieni şi cu organele şi agenţiile relevante ale Uniunii, elaborează şi pune la dispoziţia publicului un manual practic care conţine orientări, recomandări şi bune practici pentru punerea în aplicare a prezentului regulament, inclusiv cu privire la respectarea drepturilor fundamentale, precum şi la sancţiuni în conformitate cu articolul 38.
Manualul practic ţine seama de alte manuale relevante.
Comisia adoptă manualul practic sub forma unei recomandări.
Art. 41: Modificarea Regulamentului (UE) 2019/818
La articolul 39 din Regulamentul (UE) 2019/818, alineatele (1) şi (2) se înlocuiesc cu următorul text:
"(1) Se instituie un registru central de raportare şi statistici (CRRS) în scopul de a sprijini obiectivele SIS, Eurodac şi ECRIS-TCN, în conformitate cu instrumentele juridice respective care reglementează sistemele menţionate, şi utilizabile între sisteme şi rapoarte analitice în scop operaţional, de elaborare a politicilor şi de asigurare a calităţii datelor. De asemenea, CRRS sprijină obiectivele Regulamentului (UE) 2025/13 al Parlamentului European şi al Consiliului (*1).
(*1)Regulamentul (UE) 2025/13 al Parlamentului European şi al Consiliului din 19 decembrie 2024 privind colectarea şi transferul de informaţii prealabile referitoare la pasageri în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave şi de modificare a Regulamentului (UE) 2019/818 (JO L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj).
(2)eu-LISA creează, implementează şi găzduieşte în amplasamentele sale tehnice CRRS care conţine datele şi statisticile menţionate la articolul 74 din Regulamentul (UE) 2018/1862 şi la articolul 32 din Regulamentul (UE) 2019/816, separate în mod logic de sistemul de informaţii al UE. De asemenea, eu-LISA colectează datele şi statisticile de la routerul menţionat la articolul 39 alineatul (1) din Regulamentul (UE) 2025/13. Accesul la CRRS se acordă printr-un acces controlat şi securizat şi cu profiluri de utilizator specifice, exclusiv în scopul întocmirii de rapoarte şi statistici, autorităţilor menţionate la articolul 74 din Regulamentul (UE) 2018/1862, la articolul 32 din Regulamentul (UE) 2019/816 şi la articolul 13 alineatul (1) din Regulamentul (UE) 2025/13."
Art. 42: Procedura comitetului
(1)Comisia este asistată de un comitet. Respectivul comitet reprezintă un comitet în înţelesul Regulamentului (UE) nr. 182/2011.
(2)În cazul în care se face trimitere la prezentul alineat, se aplică articolul 5 din Regulamentul (UE) nr. 182/2011. În cazul în care comitetul nu emite un aviz, Comisia nu adoptă proiectul de act de punere în aplicare şi se aplică articolul 5 alineatul (4) al treilea paragraf din Regulamentul (UE) nr. 182/2011.
Art. 43: Exercitarea delegării de competenţe
(1)Competenţa de a adopta acte delegate este conferită Comisiei în condiţiile prevăzute la prezentul articol.
(2)Competenţa de a adopta actele delegate menţionate la articolul 4 alineatele (11) şi (12), la articolul 4 alineatul (12), la articolul 5 alineatul (4) şi la articolul 7 alineatul (5) se conferă Comisiei pentru o perioadă de cinci ani de la 28 ianuarie 2025. Comisia elaborează un raport privind delegarea de competenţe cu cel puţin nouă luni înainte de încheierea perioadei de cinci ani. Delegarea de competenţe se prelungeşte tacit cu perioade de timp identice, cu excepţia cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puţin trei luni înainte de încheierea fiecărei perioade.
În ceea ce priveşte un act delegat adoptat în temeiul articolului 4 alineatul (11), în cazul în care Parlamentul European sau Consiliul au formulat o obiecţie în temeiul alineatului (6) de la prezentul articol, Parlamentul European sau Consiliul nu se opun prelungirii tacite menţionate la primul paragraf de la prezentul alineat.
(3)Delegarea de competenţe menţionată la articolul 4 alineatul (12), la articolul 5 alineatul (4) şi la articolul 7 alineatul (5) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării de competenţe specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menţionată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.
(4)Înainte de adoptarea unui act delegat, Comisia consultă experţii desemnaţi de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituţional din 13 aprilie 2016 privind o mai bună legiferare.
(5)De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European şi Consiliului.
(6)Un act delegat adoptat în temeiul articolului 4 alineatul (11) sau al articolului 4 alineatul (12), al articolului 5 alineatul (4) sau al articolului 7 alineatul (5) intră în vigoare numai în cazul în care nici Parlamentul European şi nici Consiliul nu au formulat obiecţii în termen de două luni de la notificarea acestuia către Parlamentul European şi Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European şi Consiliul au informat Comisia că nu vor formula obiecţii. Respectivul termen se prelungeşte cu două luni la iniţiativa Parlamentului European sau a Consiliului.
Art. 44: Monitorizare şi evaluare
(1)eu-LISA se asigură că există proceduri pentru a monitoriza dezvoltarea routerului din perspectiva obiectivelor legate de planificare şi costuri şi pentru a monitoriza funcţionarea routerului din perspectiva obiectivelor legate de rezultatele tehnice, de eficacitatea din punctul de vedere al costurilor, de securitate şi de calitatea serviciilor.
(2)Până la 29 ianuarie 2026 şi, ulterior, în fiecare an pe parcursul fazei de dezvoltare a routerului, eu-LISA elaborează un raport privind stadiul de dezvoltare a routerului şi îl prezintă Parlamentului European şi Consiliului. Raportul conţine informaţii detaliate cu privire la costurile ocazionate şi la orice riscuri care pot avea un impact asupra costurilor globale care urmează să fie suportate din bugetul general al Uniunii, în conformitate cu articolul 32.
(3)După punerea în funcţiune a routerului, eu-LISA întocmeşte un raport pe care îl prezintă Parlamentului European şi Consiliului, în care se explică în detaliu modul în care au fost îndeplinite obiectivele, în special cele referitoare la planificare şi costuri, şi în care se justifică eventualele abateri.
(4)Până la 29 ianuarie 2029 şi, ulterior, din patru în patru ani, Comisia întocmeşte un raport care conţine o evaluare globală a prezentului regulament, inclusiv privind necesitatea şi valoarea adăugată a colectării datelor API, inclusiv o evaluare a:
a)aplicării prezentului regulament;
b)măsurii în care prezentul regulament şi-a atins obiectivele;
c)impactului prezentului regulament asupra drepturilor fundamentale protejate în temeiul dreptului Uniunii;
d)impactului prezentului regulament asupra experienţei de călătorie a pasagerilor care călătoresc în scopuri legitime;
e)impactului prezentului regulament asupra competitivităţii sectorului aviaţiei şi a sarcinii suportate de întreprinderi;
f)calităţii datelor transmise de router către UIP;
g)performanţei routerului faţă de UIP.
În sensul literei (e) de la primul paragraf, raportul Comisiei abordează, de asemenea, interacţiunea prezentului regulament cu alte acte legislative relevante ale Uniunii, în special cu Regulamentele (CE) nr. 767/2008, (UE) 2017/2226 şi (UE) 2018/1240 şi, pentru a evalua impactul general al obligaţiilor de informare conexe asupra transportatorilor aerieni, pentru a identifica dispoziţiile care ar putea fi actualizate şi simplificate, după caz, pentru a reduce sarcina asupra transportatorilor aerieni şi ia în considerare acţiunile şi măsurile care ar putea fi luate pentru a reduce presiunea pe care costurile totale o exercită asupra transportatorilor aerieni.
(5)Evaluarea menţionată la alineatul (4) include, de asemenea, o evaluare a necesităţii, proporţionalităţii şi eficacităţii includerii colectării şi transferului obligatorii de date API referitoare la zborurile intra-UE care intră în domeniul de aplicare al prezentului regulament.
(6)Comisia prezintă raportul de evaluare Parlamentului European, Consiliului, Autorităţii Europene pentru Protecţia Datelor şi Agenţiei pentru Drepturi Fundamentale a Uniunii Europene. Dacă este cazul, ţinând seama de evaluarea efectuată, Comisia face o propunere legislativă Parlamentului European şi Consiliului în vederea modificării prezentului regulament.
(7)Statele membre şi transportatorii aerieni furnizează eu-Lisa şi Comisiei, la cerere, informaţiile necesare pentru elaborarea rapoartelor menţionate la alineatele (2), (3) şi (4). În special, statele membre furnizează informaţii cantitative şi calitative privind colectarea datelor API din perspectivă operaţională. Informaţiile furnizate nu includ date cu caracter personal. Statele membre dispun de posibilitatea de a nu furniza astfel de informaţii dacă şi în măsura în care acest lucru este necesar pentru a nu divulga metodele de lucru confidenţiale sau pentru a nu periclita investigaţiile în curs ale unităţilor de informaţii despre pasageri sau ale altor autorităţi competente. Comisia se asigură că orice informaţie confidenţială furnizată este protejată în mod corespunzător.
Art. 45: Intrare în vigoare şi aplicare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Se aplică:
(a)în ceea ce priveşte datele API, după doi ani de la data punerii în funcţiune a routerului, stabilită de Comisie în conformitate cu articolul 34; şi
(b)în ceea ce priveşte alte date din PNR, după patru ani de la data punerii în funcţiune a routerului, stabilită de Comisie în conformitate cu articolul 35.
Cu toate acestea:
a)Articolul 4 alineatul (12), articolul 5 alineatul (4), articolul 7 alineatul (5), articolul 11 alineatul (5), articolul 12 alineatul (6), articolul 18 alineatul (4), articolul 23 alineatul (2), articolul 24 alineatul (2), articolele 25, 28 şi 29, articolul 32 alineatul (1), articolele 34, 35, 42 şi 43 se aplică de la 28 ianuarie 2025;
b)Articolul 6, articolul 17 alineatele (1), (2) şi (3), articolul 18 alineatele (1), (2) şi (3), articolele 19, 20, 26, 27, 33 şi 36 se aplică începând cu data punerii în funcţiune a routerului, astfel cum este stabilită de Comisie în conformitate cu articolul 34 şi cu articolul 35.
Prezentul regulament este obligatoriu în toate elementele sale şi se aplică direct în statele membre în conformitate cu tratatele.
-****-
Adoptat la Bruxelles, 19 decembrie 2024.
Pentru Parlamentul European Preşedinta R. METSOLA Pentru Consiliu Preşedintele BÓKA J. |
Publicat în Jurnalul Oficial seria L din data de 8 ianuarie 2025