Capitolul 4 - DISPOZIŢII SPECIFICE PRIVIND PROTECŢIA DATELOR CU CARACTER PERSONAL ŞI SECURITATEA - Regulamentul 13/19-dec-2024 privind colectarea şi transferul de informaţii prealabile referitoare la pasageri în scopul prevenirii, depistării, investigării şi urmăririi penale a infracţiunilor de terorism şi a infracţiunilor grave şi de modificare a Regulamentului (UE) 2019/818
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 17 Iunie 2025
CAPITOLUL 4:DISPOZIŢII SPECIFICE PRIVIND PROTECŢIA DATELOR CU CARACTER PERSONAL ŞI SECURITATEA
Art. 17: Păstrarea înregistrărilor
(1)Transportatorii aerieni creează înregistrări ale tuturor operaţiunilor de prelucrare legate de datele API efectuate în temeiul prezentului regulament prin utilizarea mijloacelor automatizate menţionate la articolul 4 alineatul (7). Respectivele înregistrări includ data, ora şi locul transferului datelor API. Respectivele înregistrări nu conţin nicio dată cu caracter personal, în afara informaţiilor necesare pentru identificarea angajatului relevant al transportatorului aerian.
(2)Agenţia eu-LISA păstrează înregistrări ale tuturor operaţiunilor de prelucrare legate de transferul şi transmiterea datelor API sau ale altor date din PNR prin intermediul routerului în temeiul prezentului regulament. Respectivele înregistrări includ următoarele elemente:
a)transportatorul aerian care a transferat datele API şi alte date din PNR către router;
b)transportatorul aerian care a transferat alte date din PNR către router;
c)UIP cărora le-au fost transmise datele API prin intermediul routerului;
d)UIP cărora le-au fost transmise alte date din PNR prin intermediul routerului;
e)data şi ora transferului sau al transmiterii menţionate la literele (a)-(d), precum şi locul transferului sau al transmiterii;
f)orice acces al personalului eu-LISA necesar pentru întreţinerea routerului, aşa cum se menţionează la articolul 26 alineatul (3);
g)orice alte informaţii referitoare la respectivele operaţiuni de prelucrare necesare pentru a monitoriza securitatea şi integritatea datelor API şi a altor date din PNR, precum şi legalitatea respectivelor operaţiuni de prelucrare.
Respectivele înregistrări nu includ alte date cu caracter personal în afara informaţiilor necesare pentru identificarea membrului relevant al personalului eu-LISA menţionat la primul paragraf litera (f).
(3)Înregistrările menţionate la alineatele (1) şi (2) de la prezentul articol se utilizează numai pentru a asigura securitatea şi integritatea datelor API şi a altor date din PNR şi legalitatea prelucrării, în special în ceea ce priveşte respectarea cerinţelor prevăzute în prezentul regulament, inclusiv procedurile de sancţionare a încălcărilor cerinţelor respective în conformitate cu articolele 37 şi 38.
(4)Transportatorii aerieni şi eu-LISA iau măsurile corespunzătoare pentru a proteja înregistrările pe care le-au creat în temeiul alineatului (1) şi, respectiv, al alineatului (2) împotriva accesului neautorizat şi a altor riscuri pentru securitate.
(5)Autoritatea naţională de supraveghere pentru datele API menţionată la articolul 37 şi UIP au acces la înregistrările relevante menţionate la alineatul (1) de la prezentul articol, în cazul în care acest lucru este necesar în scopurile menţionate la alineatul (3) de la prezentul articol.
(6)Transportatorii aerieni şi eu-LISA păstrează înregistrările pe care le-au creat în temeiul alineatului (1) şi, respectiv, al alineatului (2) pentru o perioadă de un an de la momentul creării înregistrărilor respective. Aceştia şterg imediat şi definitiv înregistrările respective după expirarea respectivei perioade.
Cu toate acestea, în cazul în care înregistrările respective sunt necesare pentru proceduri de monitorizare sau de asigurare a securităţii şi integrităţii datelor API sau a legalităţii operaţiunilor de prelucrare, astfel cum se menţionează la alineatul (3), iar aceste proceduri au început deja la momentul expirării perioadei menţionate la primul paragraf de la prezentul alineat, transportatorii aerieni şi eu-LISA păstrează înregistrările menţionate atât timp cât este necesar pentru procedurile respective. În acest caz, transportatorii aerieni şterg imediat înregistrările respective atunci când nu mai sunt necesare pentru procedurile menţionate.
Art. 18: Responsabilităţile privind protecţia datelor
(1)Transportatorii aerieni sunt operatori, în sensul articolului 4 punctul 7 din Regulamentul (UE) 2016/679, în ceea ce priveşte prelucrarea datelor API şi a altor date din PNR care constituie date cu caracter personal, ceea ce include colectarea datelor respective şi transferul acestora către router în temeiul prezentului regulament.
(2)Fiecare stat membru desemnează o autoritate competentă în calitate de operator în conformitate cu prezentul articol. Statele membre notifică Comisiei, eu-LISA şi celorlalte state membre autorităţile respective.
Toate autorităţile competente desemnate de statele membre sunt operatori asociaţi în conformitate cu articolul 21 din Directiva (UE) 2016/680 în scopul prelucrării datelor cu caracter personal în router.
(3)eu-LISA este persoană împuternicită de operator, în sensul articolului 3 punctul 12 din Regulamentul (UE) 2018/1725, în scopul prelucrării datelor API şi a altor date din PNR care constituie date cu caracter personal transmise în temeiul prezentului regulament prin intermediul routerului, inclusiv transmiterea datelor de la router către UIP şi stocarea datelor respective pe router din motive tehnice. eu-LISA se asigură că routerul este exploatat în conformitate cu prezentul regulament.
(4)Comisia adoptă acte de punere în aplicare care stabilesc responsabilităţile operatorilor asociaţi şi obligaţiile repartizate între operatorii asociaţi şi persoana împuternicită de operator. Respectivele acte de punere în aplicare se adoptă în conformitate cu procedura de examinare menţionată la articolul 42 alineatul (2).
Art. 19: Informarea pasagerilor
În conformitate cu articolul 13 din Regulamentul (UE) 2016/679, transportatorii aerieni furnizează pasagerilor care folosesc zborurile care intră sub incidenţa prezentului regulament informaţii privind scopul colectării datelor lor cu caracter personal, tipul de date cu caracter personal colectate, beneficiarii datelor cu caracter personal şi mijloacele de exercitare a drepturilor lor în calitate de persoane vizate.
Respectivele informaţii sunt comunicate pasagerilor în scris şi într-un format uşor accesibil la momentul rezervării şi la momentul înregistrării, indiferent de mijloacele folosite pentru colectarea datelor cu caracter personal la momentul înregistrării, în conformitate cu articolul 4.
Art. 20: Securitatea
(1)eu-LISA asigură securitatea şi criptarea datelor API şi a altor date din PNR, în special a datelor care constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. UIP şi transportatorii aerieni asigură securitatea datelor API, în special a datelor API care constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. eu-LISA, UIP şi transportatorii aerieni cooperează, în conformitate cu responsabilităţile care le revin şi în conformitate cu dreptul Uniunii, pentru a asigura securitatea datelor.
(2)eu-LISA asigură securitatea şi confidenţialitatea datelor referitoare la zborurile şi rutele selectate de statele membre în conformitate cu articolul 12 alineatul (4). UIP şi transportatorii aerieni asigură securitatea datelor API, în special a datelor API care constituie date cu caracter personal, pe care le prelucrează în temeiul prezentului regulament. Agenţia eu-LISA, UIP şi transportatorii aerieni cooperează, în conformitate cu responsabilităţile care le revin şi în conformitate cu dreptul Uniunii, pentru a asigura securitatea datelor.
(3)eu-LISA ia măsurile necesare pentru a asigura securitatea routerului, a datelor API şi a altor date din PNR, în special a datelor care constituie date cu caracter personal, transmise prin router, inclusiv prin stabilirea, punerea în aplicare şi actualizarea periodică a unui plan de securitate, a unui plan de asigurare a continuităţii activităţii şi a unui plan de recuperare în caz de dezastru, pentru:
a)a proteja fizic routerul, inclusiv prin elaborarea unor planuri de urgenţă pentru protecţia componentelor critice ale acestuia;
b)a împiedica orice prelucrare neautorizată a datelor API şi a altor date din PNR, inclusiv orice acces neautorizat la acestea, precum şi copierea, modificarea sau ştergerea acestora, atât în timpul transferului datelor API şi a altor date din PNR către şi de la router, cât şi în timpul oricărei stocări a datelor API şi a altor date din PNR pe router, dacă acest lucru este necesar pentru finalizarea transmiterii, în special prin intermediul unor tehnici de criptare adecvate;
c)a asigura că persoanele autorizate să acceseze routerul au acces numai la datele care fac obiectul autorizaţiei lor de acces;
d)a asigura posibilitatea de a verifica şi de a stabili UIP cărora le sunt transmise datele API sau alte date din PNR prin intermediul routerului;
e)a raporta în mod corespunzător Consiliului său de administraţie eventualele deficienţe de funcţionare a routerului;
f)a monitoriza eficacitatea măsurilor de securitate necesare în temeiul prezentului articol şi al Regulamentului (UE) 2018/1725 şi pentru a evalua şi actualiza măsurile de securitate respective, dacă este necesar, în lumina evoluţiilor tehnologice sau operaţionale.
Măsurile menţionate la primul paragraf de la prezentul alineat nu aduc atingere articolului 32 din Regulamentul (UE) 2016/679, articolului 33 din Regulamentul (UE) 2018/1725 sau articolului 29 din Directiva (UE) 2016/680.
Art. 21: Automonitorizarea
Transportatorii aerieni şi UIP monitorizează respectarea obligaţiilor care le revin în temeiul prezentului regulament, în special în ceea ce priveşte prelucrarea datelor API care constituie date cu caracter personal. În cazul transportatorilor aerieni, monitorizarea include verificarea frecventă a înregistrărilor menţionate la articolul 17.
Art. 22: Audituri privind protecţia datelor cu caracter personal
(1)Autorităţile de supraveghere independente menţionate la articolul 41 din Directiva (UE) 2016/680 efectuează, cel puţin din patru în patru ani, un audit al operaţiunilor de prelucrare a datelor API care constituie date cu caracter personal, efectuate de UIP în sensul prezentului regulament. Statele membre se asigură că autorităţile lor de supraveghere independente dispun de resurse şi cunoştinţe suficiente pentru a îndeplini sarcinile care le-au fost încredinţate în temeiul prezentului regulament.
(2)Autoritatea Europeană pentru Protecţia Datelor efectuează, cel puţin o dată pe an, un audit al operaţiunilor eu-LISA de prelucrare a datelor API şi a altor date din PNR care constituie date cu caracter personal în sensul prezentului regulament, în conformitate cu standardele internaţionale de audit relevante. Un raport al respectivului audit se trimite Parlamentului European, Consiliului, Comisiei, statelor membre şi eu-LISA. Înainte de adoptarea raportului, se oferă eu-LISA posibilitatea de a formula observaţii.
(3)În ceea ce priveşte operaţiunile de prelucrare menţionate la alineatul (2), eu-LISA furnizează, la cerere, informaţiile solicitate de Autoritatea Europeană pentru Protecţia Datelor, îi acordă acesteia acces la toate documentele pe care le solicită şi la înregistrările menţionate la articolul 17 alineatul (2) şi îi permite în orice moment accesul în toate incintele eu-LISA.