Capitolul 2 - COLECTAREA, TRANSFERUL, STOCAREA ŞI ŞTERGEREA DATELOR API - Regulamentul 13/19-dec-2024 privind colectarea şi transferul de informaţii prealabile referitoare la pasageri în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave şi de modificare a Regulamentului (UE) 2019/818
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 17 Iunie 2025
CAPITOLUL 2:COLECTAREA, TRANSFERUL, STOCAREA ŞI ŞTERGEREA DATELOR API
Art. 4: Colectarea datelor API de către transportatorii aerieni
(1)Transportatorii aerieni colectează datele API ale fiecărui pasager şi membru al echipajului pentru zborurile menţionate la articolul 2, care urmează să fie transferate către router în conformitate cu articolul 5. În cazul unui zbor al cărui cod este partajat de transportatorii aerieni, obligaţia de a transfera datele API îi revine transportatorului aerian care operează zborul.
(2)Datele API constau doar în următoarele date referitoare la fiecare pasager şi membru al echipajului ai zborului:
a)numele (numele de familie), prenumele;
b)data naşterii, sexul şi cetăţenia;
c)tipul şi numărul documentului de călătorie şi codul format din trei litere al ţării care a eliberat documentul de călătorie;
d)data expirării duratei de valabilitate a documentului de călătorie;
e)numărul de identificare a unui registru cu numele pasagerilor utilizat de un transportator aerian pentru a localiza un pasager în sistemul său de informaţii (codul de reper al dosarului pasagerului);
f)informaţiile privind locurile corespunzătoare locului din aeronavă atribuit unui pasager, în cazul în care sunt disponibile astfel de informaţii;
g)numărul sau numerele etichetei bagajului şi numărul şi greutatea bagajelor înregistrate, în cazul în care sunt disponibile astfel de informaţii;
h)un cod care indică metoda utilizată pentru captarea şi validarea datelor menţionate la literele (a)-(d).
(3)Datele API constau, de asemenea, doar în următoarele informaţii referitoare la zborul fiecărui pasager şi membru al echipajului:
a)numărul de identificare al zborului sau, în cazul în care zborul este partajat de transportatorii aerieni, numerele de identificare ale zborurilor sau, dacă nu există un astfel de număr, alte mijloace clare şi adecvate de identificare a zborului;
b)dacă este cazul, punctul de trecere a frontierei la intrarea pe teritoriul statului membru;
c)codul aeroportului de sosire sau, în cazul în care zborul este planificat să aterizeze pe unul sau mai multe aeroporturi situate pe teritoriul unuia sau mai multor state membre cărora li se aplică prezentul regulament, codurile aeroporturilor de escală pe teritoriile statelor membre în cauză;
d)codul aeroportului de plecare al zborului;
e)codul aeroportului unde se află punctul de îmbarcare iniţial, dacă este disponibil;
f)data locală şi ora de plecare;
g)data locală şi ora de sosire;
h)datele de contact ale transportatorului aerian;
i)formatul folosit pentru transferul datelor API.
(4)Transportatorii aerieni colectează datele API într-un mod care garantează că datele API pe care le transferă în conformitate cu articolul 5 sunt exacte, complete şi actualizate. Respectarea acestei obligaţii nu presupune ca transportatorii aerieni să verifice documentul de călătorie la momentul îmbarcării în aeronavă, fără ca aceasta să aducă atingere dreptului intern compatibil cu dreptul Uniunii.
(5)Prezentul regulament nu impune pasagerilor obligaţia de a avea asupra lor un document de călătorie atunci când călătoresc, fără a aduce atingere altor dispoziţii de drept al Uniunii sau de drept intern compatibil cu dreptul Uniunii.
(6)Un stat membru poate impune transportatorilor aerieni obligaţia de a oferi pasagerilor posibilitatea de a introduce în mod voluntar datele menţionate la articolul 4 alineatul (2) literele (a)-(d) din Regulamentul (UE) 2025/12 prin mijloace automatizate şi de a stoca astfel de date în vederea transferului datelor în scopul zborurilor viitoare, în conformitate cu articolul 5 din prezentul regulament şi într-un mod care să respecte cerinţele prevăzute la alineatele (4), (7) şi (8) de la prezentul articol. Un stat membru care impune o astfel de obligaţie stabileşte normele şi garanţiile privind protecţia datelor, în conformitate cu Regulamentul (UE) 2016/679, inclusiv norme privind durata de stocare. Cu toate acestea, datele se şterg în cazul în care pasagerul nu mai este de acord cu stocarea datelor sau cel târziu la data expirării duratei de valabilitate a documentului de călătorie.
(7)Transportatorii aerieni colectează datele API menţionate la alineatul (2) literele (a)-(d) utilizând mijloace automatizate pentru a colecta datele care pot fi citite automat din documentul de călătorie ale pasagerului în cauză. Aceştia colectează datele în conformitate cu cerinţele tehnice detaliate şi cu normele operaţionale menţionate la alineatul (12), de îndată ce astfel de norme au fost adoptate şi sunt aplicabile.
În cazul în care transportatorii aerieni pun la dispoziţie un proces de înregistrare online, aceştia le permit pasagerilor să furnizeze datele API menţionate la alineatul (2) literele (a)-(d) prin mijloace automatizate în timpul procesului respectiv de înregistrare online. În cazul pasagerilor care nu se înregistrează online, transportatorii aerieni le permit pasagerilor respectivi să furnizeze datele API respective prin mijloace automatizate în timpul înregistrării la aeroport, cu ajutorul unui chioşc cu autoservire sau al personalului transportatorilor aerieni la ghişeu.
În cazul în care utilizarea mijloacelor automatizate nu este posibilă din punct de vedere tehnic, transportatorii aerieni colectează manual, în mod excepţional, datele API menţionate la alineatul (2) literele (a)-(d), fie ca parte a procesului de înregistrare online, fie ca parte a înregistrării la aeroport, astfel încât să se asigure respectarea alineatului (4).
(8)Toate mijloacele automatizate utilizate de transportatorii aerieni pentru a colecta date API în temeiul prezentului regulament trebuie să fie fiabile, securizate şi actualizate. Transportatorii aerieni se asigură că datele API sunt criptate în timpul transferului de astfel de date de la pasager la transportatorii aerieni.
(9)Pe parcursul unei perioade de tranziţie şi în plus faţă de mijloacele automatizate menţionate la alineatul (7), transportatorii aerieni le oferă pasagerilor posibilitatea de a furniza manual datele API în cadrul înregistrării online. În astfel de cazuri, transportatorii aerieni utilizează tehnici de verificare a datelor pentru a asigura respectarea alineatului (4).
(10)Perioada de tranziţie menţionată la alineatul (9) nu afectează dreptul transportatorilor aerieni de a verifica, la aeroport, înainte de îmbarcarea în aeronavă, datele API colectate în cadrul înregistrării online pentru a asigura respectarea alineatului (4), în conformitate cu dreptul aplicabil al Uniunii.
(11)Comisia este împuternicită să adopte, după patru ani de la punerea în funcţiune a routerului în ceea ce priveşte datele API menţionate la articolul 34 şi pe baza unei evaluări a disponibilităţii şi accesibilităţii mijloacelor automatizate de colectare a datelor API, un act delegat în conformitate cu articolul 43 pentru a încheia perioada de tranziţie menţionată la alineatul (9) de la prezentul articol.
(12)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 43 pentru a completa prezentul regulament prin stabilirea cerinţelor tehnice detaliate şi a normelor operaţionale pentru colectarea datelor API menţionate la alineatul (2) literele (a)-(d) de la prezentul articol, utilizând mijloace automatizate în conformitate cu alineatele (7) şi (8) de la prezentul articol, şi pentru colectarea manuală a datelor API în circumstanţe excepţionale în conformitate cu alineatul (7) de la prezentul articol şi în cursul perioadei de tranziţie menţionate la alineatul (9) de la prezentul articol. Respectivele cerinţe tehnice detaliate şi norme operaţionale includ cerinţe privind securitatea datelor şi pentru utilizarea celor mai fiabile mijloace automatizate disponibile pentru colectarea datelor care pot fi citite automat dintr-un document de călătorie.
Art. 5: Obligaţiile transportatorilor aerieni privind transferurile de date API şi de alte date din PNR
(1)Transportatorii aerieni transferă către router, prin mijloace electronice, datele API criptate care urmează să fie transmise UIP în conformitate cu articolul 12. Transportatorii aerieni transferă datele API în conformitate cu normele detaliate menţionate la alineatul (4) de la prezentul articol, de îndată ce astfel de norme au fost adoptate şi sunt aplicabile.
(2)Atunci când adoptă măsuri în conformitate cu articolul 8 alineatul (1) din Directiva (UE) 2016/681, statele membre solicită transportatorilor aerieni să transfere orice alte date din PNR pe care le colectează în desfăşurarea normală a activităţilor lor exclusiv către router, în conformitate cu protocoalele comune şi formatele de date stabilite în temeiul articolului 16 din directiva respectivă.
(3)Transportatorii aerieni transferă datele API:
a)pentru pasageri:
(i)pentru fiecare pasager în momentul înregistrării, dar nu mai devreme de 48 de ore înainte de ora prevăzută de plecare a zborului; şi
(ii)pentru toţi pasagerii îmbarcaţi, imediat după închiderea zborului, şi anume după îmbarcarea pasagerilor în aeronava care se pregăteşte de decolare şi când niciun pasager nu se mai poate îmbarca sau nu mai poate debarca;
b)pentru toţi membrii echipajului, imediat după închiderea zborului, şi anume după îmbarcarea echipajului în aeronava care se pregăteşte de decolare şi când acesta nu mai poate debarca.
(4)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 43 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind protocoalele comune şi formatele de date compatibile care trebuie să fie utilizate pentru transferurile criptate de date API către router menţionate la alineatul (1) de la prezentul articol, inclusiv transferul de date API în momentul înregistrării şi cerinţele pentru securitatea datelor. Astfel de norme detaliate asigură că transportatorii aerieni transferă datele API utilizând aceeaşi structură şi acelaşi conţinut.
Art. 6: Perioada de stocare şi ştergerea datelor API
Transportatorii aerieni stochează pentru o perioadă de 48 de ore de la momentul primirii de către router a datelor API care i-au fost transferate în conformitate cu articolul 5 alineatul (3) litera (a) punctul (ii) şi litera (b) datele API în legătură cu toţi pasagerii şi echipajul pe care le-au colectat în temeiul articolului 4. Transportatorii aerieni şterg imediat şi definitiv astfel de date API după expirarea respectivei perioade, fără a aduce atingere posibilităţii ca transportatorii aerieni să păstreze şi să utilizeze datele atunci când acest lucru este necesar pentru desfăşurarea normală a activităţilor lor, în conformitate cu dreptul aplicabil şi cu articolul 16 alineatele (1) şi (3).
Art. 7: Corectarea, completarea şi actualizarea datelor API
(1)În cazul în care un transportator aerian ia cunoştinţă de faptul că datele pe care le stochează în temeiul prezentului regulament au fost prelucrate în mod ilegal sau nu constituie date API, acesta şterge imediat şi definitiv datele respective. Dacă datele respective au fost transferate către router, transportatorul aerian informează imediat Agenţia Uniunii Europene pentru Gestionarea Operaţională a Sistemelor Informatice la Scară Largă în Spaţiul de Libertate, Securitate şi Justiţie (eu-LISA). După primirea unor astfel de informaţii, eu-LISA informează imediat UIP care a primit datele transmise prin router.
(2)În cazul în care un transportator aerian ia cunoştinţă de faptul că datele pe care le stochează în temeiul prezentului regulament sunt inexacte, incomplete sau nu mai sunt actuale, acesta corectează, completează sau actualizează imediat datele respective. Această dispoziţie nu aduce atingere posibilităţii ca transportatorii aerieni să păstreze şi să utilizeze datele atunci când acest lucru este necesar pentru desfăşurarea normală a activităţilor lor, în conformitate cu dreptul aplicabil.
(3)În cazul în care un transportator aerian ia cunoştinţă, după transferul datelor API în temeiul articolului 5 alineatul (3) litera (a) punctul (i), dar înainte de transferul în temeiul articolului 5 alineatul (3) litera (a) punctul (ii), de faptul că datele pe care le-a transferat sunt inexacte, transportatorul aerian transferă imediat datele API corectate către router.
(4)În cazul în care un transportator aerian ia cunoştinţă, după transferul datelor API în temeiul articolului 5 alineatul (3) litera (a) punctul (ii) sau al articolului 5 alineatul (3) litera (b), de faptul că datele pe care le-a transferat sunt inexacte, incomplete sau nu mai sunt actuale, transportatorul aerian transferă imediat datele API corectate, completate sau actualizate către router.
(5)Comisia este împuternicită să adopte acte delegate în conformitate cu articolul 43 pentru a completa prezentul regulament prin stabilirea normelor detaliate necesare privind corectarea, completarea şi actualizarea datelor API în sensul prezentului articol.
Art. 8: Drepturile fundamentale
(1)Colectarea şi prelucrarea datelor cu caracter personal în conformitate cu prezentul regulament şi cu Regulamentul (UE) 2025/12 de către transportatorii aerieni şi autorităţile competente nu conduce la discriminarea persoanelor din motivele menţionate la articolul 21 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare "carta").
(2)Prezentul regulament respectă pe deplin demnitatea umană, drepturile fundamentale şi principiile recunoscute de cartă, inclusiv dreptul la respectarea vieţii private, la azil, la protecţia datelor cu caracter personal, la libertatea de circulaţie şi la căi de atac eficiente.
(3)Se acordă o atenţie deosebită copiilor, vârstnicilor, persoanelor cu dizabilităţi şi persoanelor vulnerabile. Interesul superior al copilului trebuie să fie considerat primordial la punerea în aplicare a prezentului regulament.