Akty Prawne
Dziennik Urzędowy Unii Europejskiej - Seria L
Dz.U.UE.L.2025.12

Rozporządzenie 2025/12 w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu usprawnienia i ułatwienia odpraw granicznych na granicach zewnętrznych, zmiany rozporządzeń (UE) 2018/1726 i (UE) 2019/817 oraz uchylenia dyrektywy Rady 2004/82/WE

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2025/12

z dnia 19 grudnia 2024 r.

w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu usprawnienia i ułatwienia odpraw granicznych na granicach zewnętrznych, zmiany rozporządzeń (UE) 2018/1726 i (UE) 2019/817 oraz uchylenia dyrektywy Rady 2004/82/WE

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 77 ust. 2 lit. b) i d) oraz art. 79 ust. 2 lit. c),

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 1 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą 2 ,

a także mając na uwadze, co następuje:

(1) Przeprowadzanie odpraw granicznych osób na granicach zewnętrznych znacząco przyczynia się do zapewnienia długoterminowego bezpieczeństwa Unii, jej państw członkowskich i jej obywateli i jako takie pozostaje ważnym zabezpieczeniem, w szczególności na obszarze bez kontroli na granicach wewnętrznych. Odprawy graniczne przeprowadza się w stosownych przypadkach zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/399 3 , aby pomóc zwalczać nielegalną imigrację i zapobiegać zagrożeniom dla bezpieczeństwa wewnętrznego, porządku publicznego, zdrowia publicznego i stosunków międzynarodowych państw członkowskich. Takie odprawy graniczne mają być przeprowadzane z pełnym poszanowaniem godności ludzkiej i w pełnej zgodności z odpowiednimi przepisami prawa Unii, w tym z Kartą praw podstawowych Unii Europejskiej (zwaną dalej "Kartą").

(2) Wykorzystywanie danych pasażera i informacji o locie, przekazywanych przed przybyciem pasażerów, zwanych danymi pasażera przekazywanymi przed podróżą albo danymi API, przyczynia się do przyspieszenia procesu wymaganej odprawy granicznej podczas przekraczania granic. Do celów niniejszego rozporządzenia proces ten dotyczy w szczególności przekraczania granic między państwem trzecim lub państwem członkowskim, do którego niniejsze rozporządzenie nie ma zastosowania, a państwem członkowskim, do którego rozporządzenie to ma zastosowanie. Wykorzystywanie danych API usprawnia odprawy graniczne na tych granicach zewnętrznych dzięki zapewnieniu wystarczającego czasu na przeprowadzenie szczegółowych i kompleksowych odpraw granicznych wszystkich pasażerów, nie powodując przy tym nieproporcjonalnych negatywnych skutków dla pasażerów podróżujących w dobrej wierze. W związku z tym w celu zagwarantowania skuteczności i wydajności odpraw granicznych na granicach zewnętrznych należy ustanowić odpowiednie ramy prawne, aby zapewnić właściwym służbom granicznym państw członkowskich na takich przejściach granicznych na granicach zewnętrznych dostęp do danych API przed przybyciem pasażerów.

(3) Obowiązujące ramy prawne dotyczące danych API, na które składa się dyrektywa Rady 2004/82/WE 4 oraz przepisy krajowe transponujące tę dyrektywę, okazały się istotne w kontekście usprawnienia odpraw granicznych, w szczególności dzięki zapewnieniu państwom członkowskim ram służących wprowadzeniu przepisów nakładających na przewoźników lotniczych obowiązki związane z przekazywaniem danych API dotyczących pasażerów przybywających na ich terytorium. Nadal jednak na poziomie krajowym utrzymują się rozbieżne praktyki. W szczególności od przewoźników lotniczych nie wymaga się systematycznego przekazywania danych API, natomiast muszą oni spełniać różne wymogi dotyczące rodzaju gromadzonych informacji oraz warunki, na jakich dane API muszą być przekazywane właściwym służbom granicznym. Rozbieżności te nie tylko prowadzą do niepotrzebnych kosztów i komplikacji dla przewoźników lotniczych, ale także mają negatywny wpływ na zapewnienie skutecznych i wydajnych kontroli wstępnych osób przybywających na granice zewnętrzne.

(4) Należy zaktualizować i zastąpić istniejące ramy prawne, tak aby zapewnić jasne, zharmonizowane i skuteczne przepisy dotyczące gromadzenia i przekazywania danych API w celu usprawnienia i ułatwienia skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych oraz zwalczania nielegalnej imigracji, zgodnie z zasadami określonymi w rozporządzeniu (UE) 2016/399 w odniesieniu do państw członkowskich, do których ma ono zastosowanie, oraz zgodnie z prawem krajowym, jeżeli rozporządzenie to nie ma zastosowania.

(5) W celu zapewnienia w jak największym stopniu spójnego podejścia na poziomie Unii i poziomie międzynarodowym oraz w świetle obowiązujących na poziomie międzynarodowym przepisów dotyczących gromadzenia danych API w zaktualizowanych ramach prawnych ustanowionych niniejszym rozporządzeniem należy uwzględnić odpowiednie praktyki uzgodnione na poziomie międzynarodowym z branżą lotniczą, takie jak praktyki w kontekście wytycznych Światowej Organizacji Celnej, Zrzeszenia Międzynarodowego Transportu Lotniczego i Organizacji Międzynarodowego Lotnictwa Cywilnego (ICAO) w sprawie danych pasażera przekazywanych przed podróżą.

(6) Gromadzenie i przekazywanie danych API ma wpływ na prywatność osób fizycznych i wiąże się z przetwarzaniem ich danych osobowych. Aby zapewnić pełne przestrzeganie ich praw podstawowych, w szczególności prawa do poszanowania życia prywatnego i prawa do ochrony danych osobowych, zgodnie z Kartą, należy przewidzieć odpowiednie ograniczenia i zabezpieczenia. Na przykład przetwarzanie danych API, w szczególności danych API stanowiących dane osobowe, powinno bezwzględnie ograniczać się do tego, co jest konieczne i proporcjonalne do osiągnięcia celów niniejszego rozporządzenia. Ponadto należy zadbać o to, aby przetwarzanie danych API gromadzonych i przekazywanych na podstawie niniejszego rozporządzenia nie prowadziło do jakiejkolwiek formy dyskryminacji zakazanej w Karcie.

(7) Aby osiągnąć swoje cele, niniejsze rozporządzenie powinno mieć zastosowanie do wszystkich przewoźników lotniczych wykonujących loty do Unii, zgodnie z definicją zawartą w niniejszym rozporządzeniu, niezależnie od siedziby przewoźników lotniczych wykonujących te loty, oraz obsługujących zarówno loty regularne, jak i nieregularne. Gromadzenie danych z innych operacji cywilnych statków powietrznych, takich jak loty szkoleniowe, loty medyczne i loty awaryjne, a także loty wojskowe, nie należy do zakresu niniejszego rozporządzenia. Niniejsze rozporządzenie pozostaje bez uszczerbku dla gromadzenia danych z takich lotów na podstawie prawa krajowego zgodnego z prawem Unii. Komisja powinna ocenić wykonalność unijnego systemu zobowiązującego operatorów lotów prywatnych do gromadzenia i przekazywania danych pasażerów lotniczych.

(8) Obowiązki przewoźników lotniczych dotyczące gromadzenia i przekazywania danych API na podstawie niniejszego rozporządzenia powinny obejmować wszystkich pasażerów lotów do Unii, pasażerów w tranzycie, których cel podróży znajduje się poza Unią, a także członków załogi niepełniących służby, którzy znajdują się na pokładzie z polecenia przewoźnika lotniczego w związku z ich obowiązkami.

(9) W celu zagwarantowania efektywności i pewności prawa należy sporządzić jasny i wyczerpujący wykaz informacji stanowiących łącznie dane API - które mają być gromadzone, a następnie przekazywane na podstawie niniejszego rozporządzenia - obejmujący zarówno informacje dotyczące każdego pasażera, jak i informacje o jego locie. Na podstawie niniejszego rozporządzenia i zgodnie z normami międzynarodowymi takie informacje o locie powinny obejmować informacje o miejscu pasażera na pokładzie i o bagażu, jeżeli takie informacje są dostępne, oraz informacje na temat przejścia granicznego przylotu na terytorium danego państwa członkowskiego we wszystkich przypadkach objętych niniejszym rozporządzeniem. Jeżeli informacje o bagażu lub o miejscu pasażera na pokładzie są dostępne w innych systemach informatycznych, którymi dysponuje przewoźnik lotniczy, jego obsługa naziemna, jego dostawca systemu lub władze portu lotniczego, przewoźnicy lotniczy powinni włączyć te informacje do danych API przekazywanych właściwym służbom granicznym. Dane API zdefiniowane i regulowane niniejszym rozporządzeniem nie obejmują danych biometrycznych.

(10) Aby umożliwić elastyczność i innowacyjność, należy zasadniczo pozostawić każdemu przewoźnikowi lotniczemu decyzję, w jaki sposób wypełnia on swoje obowiązki w zakresie gromadzenia danych API wynikające z niniejszego rozporządzenia, z uwzględnieniem różnych rodzajów przewoźników lotniczych określonych w niniejszym rozporządzeniu, modeli biznesowych poszczególnych przewoźników, w tym terminów odpraw, oraz współpracy z portami lotniczymi. Mając jednak na uwadze fakt, że istnieją odpowiednie rozwiązania technologiczne umożliwiające automatyczne gromadzenie niektórych danych API przy jednoczesnym zapewnieniu, aby dane te były dokładne, kompletne i aktualne, a także uwzględniając korzyści wynikające z zastosowania takiej technologii pod względem skuteczności i wydajności, przewoźnicy lotniczy powinni być zobowiązani do gromadzenia takich danych API w sposób zautomatyzowany przez odczytywanie informacji z danych nadających się do odczytu maszynowego w dokumencie podróży. Jeżeli wykorzystanie takich zautomatyzowanych sposobów w wyjątkowych okolicznościach nie jest technicznie możliwe, przewoźnicy lotniczy powinni wyjątkowo gromadzić dane API manualnie, w ramach odprawy przez internet albo odprawy w porcie lotniczym, w taki sposób, aby wywiązać się z obowiązków spoczywających na nich na podstawie niniejszego rozporządzenia.

(11) Gromadzenie danych API w sposób zautomatyzowany powinno być ściśle ograniczone do danych alfanumerycznych zawartych w dokumencie podróży i nie powinno prowadzić do gromadzenia pochodzących z niego jakichkolwiek danych biometrycznych. Ponieważ gromadzenie danych API jest częścią odprawy, zarówno przez internet, jak i w porcie lotniczym, niniejsze rozporządzenie nie zawiera obowiązku sprawdzania przez przewoźników lotniczych dokumentu podróży pasażera w chwili wejścia na pokład. Przestrzeganie niniejszego rozporządzenia nie obejmuje obowiązku posiadania przez pasażerów dokumentu podróży w chwili wejścia na pokład. Powinno to pozostawać bez uszczerbku dla obowiązków wynikających z innych aktów prawa Unii lub z przepisów prawa krajowego zgodnych z prawem Unii.

(12) Gromadzenie danych API z dokumentów podróży powinno być również spójne z normami ICAO dotyczącymi dokumentów podróży nadających się do odczytu maszynowego, włączonymi do prawa Unii rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/1157 5 , rozporządzeniem Rady (WE) nr 2252/2004 6 i dyrektywą Rady (UE) 2019/997 7 .

(13) Wymogi określone w niniejszym rozporządzeniu oraz w odpowiednich aktach delegowanych i wykonawczych powinny prowadzić do jednolitego wdrożenia rozporządzenia przez przewoźników lotniczych i w ten sposób zminimalizować koszty wzajemnych połączeń między ich odpowiednimi systemami. Aby ułatwić zharmonizowane wdrożenie tych wymogów przez przewoźników lotniczych, w szczególności w odniesieniu do struktury danych, ich formatu i protokołu transmisyjnego, Komisja, we współpracy z właściwymi służbami granicznymi, organami innych państw członkowskich, przewoźnikami lotniczymi i odpowiednimi agencjami unijnymi, powinna zapewnić przygotowanie praktycznego podręcznika zawierającego wszystkie niezbędne wytyczne i wyjaśnienia.

(14) Aby poprawić jakość danych API, router, który ma zostać ustanowiony zgodnie z niniejszym rozporządzeniem, powinien weryfikować, czy dane API przekazywane przez przewoźników lotniczych są zgodne z obsługiwanymi formatami danych, w tym z polami lub kodami danych standardowych zarówno pod względem treści, jak i struktury. W przypadku stwierdzenia w wyniku weryfikacji, że dane nie są kompatybilne z tymi formatami danych, router powinien natychmiast automatycznie powiadomić o tym zainteresowanego przewoźnika lotniczego.

(15) Ważne jest, aby systemy zautomatyzowanego gromadzenia danych i inne procesy ustanowione na mocy niniejszego rozporządzenia nie wpływały negatywnie na pracowników sektora lotniczego, którym należy zapewnić możliwości podnoszenia i zmiany kwalifikacji, co zwiększyłoby skuteczność i niezawodność gromadzenia i przekazywania danych, a także poprawiłoby warunki pracy w tym sektorze.

(16) Pasażerowie powinni mieć możliwość samodzielnego przekazywania niektórych danych API w sposób zautomatyzowany podczas odprawy online, na przykład za pośrednictwem bezpiecznej aplikacji na smartfonie pasażera, komputerze lub kamerze internetowej umożliwiającej odczyt danych dokumentu podróży nadających się do odczytu maszynowego. Jeżeli pasażerowie nie odprawiają się przez internet, przewoźnicy lotniczy powinni umożliwić im podanie wymaganych danych API nadających się do odczytu maszynowego podczas odprawy w porcie lotniczym w punkcie samoobsługowym lub z pomocą personelu przewoźników lotniczych przy stanowisku odprawy. Bez uszczerbku dla swobody przewoźników lotniczych w ustalaniu taryf lotniczych i określaniu własnej polityki handlowej, jest ważne, aby obowiązki wynikające z niniejszego rozporządzenia nie prowadziły do nieproporcjonalnych przeszkód - takich jak dodatkowe opłaty za podanie danych API w porcie lotniczym - dla pasażerów, którzy nie mają możliwości podania danych APl przez internet. Ponadto w niniejszym rozporządzeniu należy przewidzieć okres przejściowy, w którym pasażerowie mogą manualnie podawać dane API w ramach odprawy przez internet. W takich przypadkach przewoźnicy lotniczy powinni stosować techniki weryfikacji danych.

(17) Aby zapewnić przestrzeganie praw przewidzianych w Karcie oraz zapewnić - zwłaszcza słabszym grupom społecznym i osobom z niepełnosprawnościami - dostępne i inkluzywne możliwości podróżowania, a także zgodnie z prawami osób niepełnosprawnych oraz osób o ograniczonej sprawności ruchowej podróżujących drogą lotniczą, określonymi w rozporządzeniu (WE) nr 1107/2006 Parlamentu Europejskiego i Rady 8 , przewoźnicy lotniczy, wspierani przez państwa członkowskie, powinni zapewnić stałą możliwość podawania niezbędnych danych przez pasażerów w porcie lotniczym.

(18) Mając na uwadze korzyści płynące z gromadzenia w sposób zautomatyzowany danych API nadających się do odczytu maszynowego oraz przejrzystość wynikającą z wymogów technicznych w tym zakresie, które mają zostać przyjęte na mocy niniejszego rozporządzenia, przewoźnicy lotniczy, którzy zdecydują się na gromadzenie w sposób zautomatyzowany informacji, które są zobowiązani przesyłać na podstawie dyrektywy 2004/82/WE, powinni otrzymać możliwość, ale nie obowiązek, stosowania tych wymogów, po ich przyjęciu, w związku z takim niepełnosprawnych oraz osób o ograniczonej sprawności ruchowej podróżujących drogą lotniczą (Dz.U. L 204 z 26.7.2006, s. 1). stosowaniem automatyzacji, w zakresie, w jakim ta dyrektywa ma zastosowanie i zezwala na to. Dobrowolnego stosowania tych specyfikacji w ramach wykonywania dyrektywy 2004/82/WE nie należy rozumieć jako mającego w jakikolwiek sposób wpływ na obowiązki przewoźników lotniczych i państw członkowskich ustanowione w tej dyrektywie.

(19) W celu zapewnienia skutecznych i wydajnych wstępnych kontroli przeprowadzanych z wyprzedzeniem przez właściwe służby graniczne dane API przekazywane tym służbom powinny zawierać dane pasażerów, którzy faktycznie mają przekroczyć granice zewnętrzne, tj. pasażerów, którzy faktycznie znajdują się na pokładzie samolotu, niezależnie od tego, czy cel podróży pasażera znajduje się na terytorium Unii czy poza nim. W związku z tym przewoźnicy lotniczy powinni przekazywać dane API natychmiast po zamknięciu lotu. Ponadto dane API umożliwiają właściwym służbom granicznym odróżnienie pasażerów podróżujących zgodnie z prawem od pasażerów, którzy mogą być przedmiotem zainteresowania i w związku z tym wymagają dodatkowych weryfikacji, co wiązałoby się z koniecznością zapewnienia większej koordynacji i przygotowania środków następczych, które powinny zostać zastosowane po przylocie. Mogłoby się tak zdarzyć, na przykład, w przypadku niespodziewanej liczby pasażerów będących przedmiotem zainteresowania, których kontrole fizyczne na granicach mogłyby niekorzystnie wpłynąć na odprawę graniczną i czas oczekiwania na granicach pasażerów podróżujących zgodnie z prawem. Aby zapewnić właściwym służbom granicznym możliwość przygotowania odpowiednich i proporcjonalnych środków na granicy, takich jak tymczasowe zwiększenie liczby lub przeniesienie pracowników, zwłaszcza w odniesieniu do lotów, w przypadku których czas pomiędzy zakończeniem odprawy a przybyciem na granicę zewnętrzną jest niewystarczający, aby umożliwić właściwym służbom granicznym przygotowanie najbardziej odpowiedniej reakcji, dane API powinny być również przesyłane przed wejściem na pokład w momencie odprawy każdego pasażera.

(20) Aby uniknąć ryzyka niewłaściwego wykorzystania oraz zgodnie z zasadą celowości, właściwym służbom granicznym należy wyraźnie zabronić przetwarzania danych API, które otrzymują na podstawie niniejszego rozporządzenia, do celów innych niż cele wyraźnie wskazane w niniejszym rozporządzeniu i zgodnie z przepisami określonymi w rozporządzeniu (UE) 2016/399 w odniesieniu do państw członkowskich, do których to rozporządzenie ma zastosowanie, albo, jeżeli to rozporządzenie nie ma zastosowania, zgodnie z odpowiednimi przepisami określonymi w prawie krajowym.

(21) Aby zapewnić właściwym służbom granicznym wystarczający czas na skuteczne przeprowadzenie wstępnych kontroli wszystkich pasażerów, w tym pasażerów podróżujących lotami długodystansowymi oraz lotami łączącymi, jak również wystarczający czas na zapewnienie, aby dane API gromadzone i przekazywane przez przewoźników lotniczych były kompletne, dokładne i aktualne, a w razie potrzeby na zwrócenie się do przewoźników lotniczych o dodatkowe wyjaśnienia, korekty lub uzupełnienie informacji, w celu zapewnienia, że dane API pozostają dostępne do chwili, gdy wszyscy podróżujący rzeczywiście stawili się na przejściu granicznym, właściwe służby graniczne powinny przechowywać dane API, które otrzymały na podstawie niniejszego rozporządzenia, przez ustalony czas, ograniczony do okresu bezwzględnie koniecznego do tych celów. W wyjątkowych okolicznościach, gdy pojedynczy pasażerowie nie stawią się po lądowaniu na przejściu granicznym w takim ustalonym czasie, państwa członkowskie powinny mieć możliwość zezwalania swoim właściwym służbom granicznym na przechowywanie danych API takich pojedynczych pasażerów do czasu, aż stawią się oni na przejściu granicznym, lub najpóźniej przez dodatkowy ustalony czas. Jeżeli państwa członkowskie chcą skorzystać z takiej możliwości, powinny mieć obowiązek wprowadzenia odpowiednich środków identyfikacji takich pojedynczych pasażerów, aby zagwarantować, że przechowywanie przez dłuższy czas konkretnych danych API tych pasażerów ogranicza się do tego, co jest absolutnie niezbędne.

(22) Aby móc odpowiedzieć na wnioski właściwych służb granicznych o przedstawienie dodatkowych wyjaśnień, wprowadzenie korekt lub uzupełnienie informacji, przewoźnicy lotniczy powinni przechowywać dane API, które przekazali na podstawie niniejszego rozporządzenia, przez ustalony i bezwzględnie niezbędny czas. Ponadto, w celu usprawnienia przebiegu podróży pasażerów podróżujących zgodnie z prawem, przewoźnicy lotniczy powinni móc zatrzymywać i wykorzystywać dane API, jeżeli jest to konieczne do normalnego prowadzenia działalności, w szczególności w celu ułatwienia podróży, zgodnie z mającym zastosowanie prawem, a w szczególności z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 9 .

(23) Aby uniknąć konieczności nawiązywania i utrzymywania przez przewoźników lotniczych wielu połączeń z właściwymi służbami granicznymi państw członkowskich w celu przekazywania danych API gromadzonych na podstawie niniejszego rozporządzenia, i w ten sposób uniknąć związanego z tym braku efektywności i ryzyka dla bezpieczeństwa, należy ustanowić jeden router, opracowany i obsługiwany na poziomie Unii zgodnie z niniejszym rozporządzeniem i rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2025/13 10 , który służy jako punkt połączenia i dystrybucji do celów przekazywania danych API. Ze względów efektywności i opłacalności router powinien - w zakresie, w jakim jest to technicznie możliwe i w pełnej zgodności z przepisami niniejszego rozporządzenia i rozporządzenia (UE) 2025/13 - opierać się na elementach technicznych pochodzących z innych odpowiednich systemów utworzonych na podstawie prawa Unii, w szczególności na usłudze sieciowej, o której mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2017/2226 11 , portalu dla przewoźników, o którym mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1240 12 , i portalu dla przewoźników, o którym mowa w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 767/2008 13 . Aby ograniczyć wpływ na przewoźników lotniczych i zapewnić zharmonizowane podejście do przewoźników lotniczych, Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA), ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1726 14 , powinna zaprojektować router, w miarę możliwości technicznych i operacyjnych, w sposób spójny i zgodny z obowiązkami przewoźników lotniczych określonymi w rozporządzeniach (WE) nr 767/2008, (UE) 2017/2226 i (UE) 2018/1240.

(24) Aby poprawić skuteczność przesyłania danych o ruchu lotniczym i wesprzeć monitorowanie danych API przesyłanych do właściwych służb granicznych, do routera powinny trafiać dane o ruchu lotniczym w czasie rzeczywistym gromadzone przez inne organizacje, takie jak Europejska Organizacja ds. Bezpieczeństwa Żeglugi Powietrznej (Eurocontrol).

(25) Na podstawie niniejszego rozporządzenia router powinien przesyłać dane API w sposób zautomatyzowany odpowiednim właściwym służbom granicznym, określonym na podstawie przejścia granicznego przylotu na terytorium państwa członkowskiego wskazanego w odpowiednich danych API. W celu ułatwienia procesu dystrybucji każde państwo członkowskie powinno wskazać, które służby graniczne są właściwe do otrzymywania danych API przesyłanych z routera. Istnieje możliwość ustanowienia przez państwa członkowskie pojedynczego punktu wprowadzania danych, który odbiera dane API z routera, a następnie natychmiastowo automatycznie przekazuje te dane dalej do właściwych służb granicznych danego państwa członkowskiego. W celu zapewnienia właściwego funkcjonowania niniejszego rozporządzenia oraz zachowania przejrzystości informacje na temat właściwych służb granicznych należy podawać do wiadomości publicznej.

(26) Router powinien służyć wyłącznie ułatwieniu przekazywania danych API przez przewoźników lotniczych właściwym służbom granicznym zgodnie z niniejszym rozporządzeniem i nie powinien pełnić funkcji repozytorium danych API. W związku z tym, a także aby zminimalizować ryzyko nieuprawnionego dostępu lub innego niewłaściwego wykorzystania oraz zgodnie z zasadą minimalizacji danych, przechowywanie żadnych danych nie powinno mieć miejsca, chyba że jest absolutnie niezbędne do celów technicznych związanych z przesyłaniem, a dane API należy usuwać z routera natychmiast, trwale i w sposób zautomatyzowany z chwilą zakończenia przesyłania.

(27) Aby przewoźnicy lotniczy mogli jak najszybciej odnieść korzyści wynikające z zastosowania routera opracowanego przez eu-LISA zgodnie z niniejszym rozporządzeniem i rozporządzeniem (UE) 2025/13 oraz zdobyć doświadczenie w jego używaniu, należy im zapewnić możliwość, ale nie wprowadzać obowiązku, korzystania z routera w celu przekazywania informacji, które są zobowiązani przekazywać na podstawie dyrektywy 2004/82/WE w okresie pośrednim. Ten okres pośredni powinien rozpocząć się z chwilą rozpoczęcia działania routera i zakończyć się z chwilą, gdy obowiązki wynikające z tej dyrektywy przestaną mieć zastosowanie. W celu zapewnienia, aby powyższe dobrowolne korzystanie z routera odbywało się w sposób odpowiedzialny, należy wymagać uprzedniej pisemnej zgody państwa członkowskiego, które ma otrzymywać informacje, na wniosek przewoźnika lotniczego oraz w razie potrzeby po przeprowadzeniu przez to państwo członkowskie weryfikacji i uzyskaniu zapewnień. Podobnie - w celu uniknięcia sytuacji, w której przewoźnicy lotniczy wielokrotnie zaczynaliby i przestawali korzystać z routera - gdy przewoźnik lotniczy rozpocznie dobrowolne korzystanie z routera, powinien być zobowiązany je kontynuować, chyba że istnieją obiektywne powody, by zaprzestać korzystania z routera do przesyłania informacji odpowiedzialnym organom danego państwa członkowskiego, na przykład jeżeli okaże się, że informacje nie są przesyłane zgodnie z prawem, bezpiecznie, skutecznie i sprawnie. W celu właściwego stosowania możliwości dobrowolnego korzystania z routera, z należytym uwzględnieniem praw i interesów wszystkich zainteresowanych stron, należy w niniejszym rozporządzeniu ustanowić niezbędne przepisy dotyczące konsultacji i przekazywania informacji. Powyższego dobrowolnego korzystania z routera w ramach wykonywania dyrektywy 2004/82/WE zgodnie z niniejszym rozporządzeniem nie należy rozumieć w ten sposób, że w jakikolwiek sposób zmienia ono obowiązki przewoźników lotniczych i państw członkowskich na podstawie tej dyrektywy.

(28) Router, który ma zostać opracowany i być obsługiwany na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2025/13, powinien ograniczyć i uprościć połączenia techniczne potrzebne do przekazywania danych API na podstawie niniejszego rozporządzenia, ograniczając je do jednego połączenia na jednego przewoźnika lotniczego i na jedną właściwą służbę graniczną. W związku z tym w niniejszym rozporządzeniu należy przewidzieć obowiązek ustanowienia przez właściwe służby graniczne i przewoźników lotniczych takiego połączenia z routerem i osiągnięcia wymaganej integracji z nim, aby zapewnić prawidłowe funkcjonowanie systemu przekazywania danych API ustanowionego niniejszym rozporządzeniem. Zaprojektowanie i opracowanie routera przez eu-LISA powinno pozwolić na skuteczne i wydajne połączenie i integrację systemów i infrastruktury przewoźników lotniczych przez udostępnienie wszystkich odpowiednich norm i wymogów technicznych. Aby zapewnić właściwe funkcjonowanie systemu ustanowionego niniejszym rozporządzeniem, należy przyjąć szczegółowe przepisy. Przy projektowaniu i opracowywaniu routera eu-LISA powinna zapewnić, aby dane API przekazywane przez przewoźników lotniczych i przesyłane właściwym służbom granicznym były przesyłane w postaci zaszyfrowanej.

(29) Ze względu na interes Unii z jej budżetu powinny być pokrywane wszystkie koszty poniesione przez eu-LISA w związku z wykonywaniem jej zadań wynikających z niniejszego rozporządzenia i dotyczących routera, co obejmuje zaprojektowanie, opracowanie i hosting routera oraz techniczne zarządzanie routerem, a także strukturę zarządczą w eu-LISA wspierającą projektowanie, opracowanie i hosting routera oraz techniczne zarządzanie routerem. To samo mogłoby mieć zastosowanie do kosztów ponoszonych przez państwa członkowskie w związku z ich połączeniami i integracją z routerem oraz z ich utrzymywaniem, stosownie do wymogów niniejszego rozporządzenia, zgodnie z mającym zastosowanie prawem Unii. Ważne jest, aby w odniesieniu do tych kosztów budżet Unii zapewniał państwom członkowskim odpowiednie wsparcie finansowe. W związku z tym potrzeby finansowe państw członkowskich powinny być pokrywane z budżetu ogólnego Unii, zgodnie z zasadami kwalifikowalności i stopami współfinansowania określonymi w odpowiednich aktach prawnych Unii. Roczny wkład Unii przydzielony eu-LISA powinien pokrywać potrzeby związane z hostingiem routera i technicznym zarządzaniem routerem na podstawie oceny przeprowadzonej przez eu-LISA. Z budżetu Unii należy również pokrywać wsparcie, np. w formie szkoleń, którego eu-LISA udziela przewoźnikom lotniczym i właściwym służbom granicznym w celu umożliwienia skutecznego przekazywania i przesyłania danych API za pośrednictwem routera. Koszty ponoszone przez niezależne krajowe organy nadzorcze w związku z zadaniami powierzonymi im na mocy niniejszego rozporządzenia powinny być pokrywane przez odpowiednie państwa członkowskie.

(30) Nie można wykluczyć, że ze względu na wyjątkowe okoliczności i pomimo zastosowania wszelkich należytych środków zgodnie z niniejszym rozporządzeniem infrastruktura centralna lub jeden z komponentów technicznych routera lub infrastruktura łączności łącząca właściwe służby graniczne i przewoźników lotniczych z routerem nie będą działać prawidłowo, co doprowadzi do braku technicznej możliwości przekazywania danych API przez przewoźnika lub ich otrzymywania przez właściwe służby graniczne. Ze względu na niedostępność routera i fakt, że zasadniczo przewoźnicy lotniczy nie będą mogli w inny zgodny z prawem, bezpieczny, skuteczny i sprawny sposób przekazywać danych API, których ze względu na awarię routera nie można przekazać, obowiązek przewoźników lotniczych dotyczący przekazywania takich danych API do routera powinien ulec zawieszeniu przez cały czas, w którym takie przekazywanie danych jest technicznie niemożliwe. Aby jednak zapewnić dostępność danych API niezbędnych do usprawnienia i ułatwienia skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych oraz zwalczania nielegalnej imigracji, przewoźnicy lotniczy powinni nadal gromadzić i przechowywać dane API, tak by można je było przekazać niezwłocznie po rozwiązaniu problemu braku możliwości technicznej. W celu ograniczenia do minimum czasu trwania i negatywnych skutków braku możliwości technicznej zainteresowane strony powinny w takim przypadku natychmiast poinformować się wzajemnie i natychmiastowo wprowadzić wszelkie środki niezbędne do rozwiązania problemu braku możliwości technicznej. Rozwiązanie to powinno pozostawać bez uszczerbku dla obowiązków wszystkich zainteresowanych stron wynikających z niniejszego rozporządzenia, dotyczących zapewnienia prawidłowego funkcjonowania routera oraz ich odpowiednich systemów i elementów infrastruktury, a także dla faktu, że przewoźnicy lotniczy podlegają karom w przypadku niewywiązania się z tych obowiązków, w tym w przypadku, gdy korzystają z tego rozwiązania w sytuacji, gdy nie jest to uzasadnione. Aby zniechęcić do takich nadużyć oraz ułatwić sprawowanie nadzoru i w stosownych przypadkach nakładanie kar, przewoźnicy lotniczy, którzy korzystają z tego rozwiązania w związku z awarią ich systemu i infrastruktury, powinni zgłaszać ten fakt właściwemu organowi nadzorczemu.

(31) Jeżeli przewoźnicy lotniczy utrzymują bezpośrednie połączenia z właściwymi służbami granicznymi w celu przekazywania danych API, połączenia te mogą stanowić odpowiednie środki zapewniające niezbędny poziom bezpieczeństwa danych na potrzeby przekazywania danych API bezpośrednio do właściwych służb granicznych w przypadku braku technicznej możliwości korzystania z routera. W wyjątkowym przypadku technicznej niemożliwości używania routera właściwe służby graniczne powinny móc zarządzić korzystanie przez przewoźników lotniczych z tego rodzaju odpowiednich środków, co nie oznacza, że przewoźnicy lotniczy mają obowiązek utrzymywać lub wprowadzić takie bezpośrednie połączenia lub jakiekolwiek inne odpowiednie środki zapewniające niezbędny poziom bezpieczeństwa danych na potrzeby przekazywania danych API bezpośrednio do właściwych służb granicznych. Wyjątkowe przekazywanie danych API innymi odpowiednimi środkami, takimi jak zaszyfrowana poczta elektroniczna lub bezpieczny portal internetowy, z wyłączeniem stosowania niestandardowych formatów elektronicznych, powinno zapewnić niezbędny poziom bezpieczeństwa, jakości i ochrony danych. Dane API otrzymane przez właściwe służby graniczne za pomocą takich innych odpowiednich środków powinny być dalej przetwarzane zgodnie z przepisami i z gwarancjami ochrony danych określonymi w rozporządzeniu (UE) 2016/399 i w mających zastosowanie przepisach krajowych. Po otrzymaniu od eu-LISA powiadomienia, że rozwiązano problem braku technicznej możliwości przesyłania, oraz jeżeli potwierdzono, że dane API przesłano za pośrednictwem routera do właściwych służb granicznych, właściwe służby graniczne powinny natychmiastowo usunąć dane API, które wcześniej otrzymały za pomocą innych odpowiednich środków. To usunięcie nie powinno obejmować konkretnych przypadków, w których dane API otrzymane przez właściwe służby graniczne za pomocą innych odpowiednich środków były w międzyczasie dalej przetwarzane zgodnie z rozporządzeniem (UE) 2016/679 do szczególnych celów usprawnienia i ułatwienia skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych oraz zwalczania nielegalnej imigracji.

(32) W celu zapewnienia przestrzegania podstawowego prawa do ochrony danych osobowych w niniejszym rozporządzeniu należy określić administratora i podmiot przetwarzający oraz przepisy dotyczące kontroli. W celu zapewnienia skutecznego monitorowania, odpowiedniej ochrony danych osobowych i ograniczenia do minimum ryzyka dla bezpieczeństwa należy również ustanowić przepisy dotyczące rejestrowania, bezpieczeństwa przetwarzania i monitorowania własnej działalności. Jeżeli przepisy te odnoszą się do przetwarzania danych osobowych, powinny być zgodne z mającymi ogólne zastosowanie aktami prawnymi Unii dotyczącymi ochrony danych osobowych, w szczególności z rozporządzeniem (UE) 2016/679 oraz rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 15 .

(33) Bez uszczerbku dla bardziej szczegółowych przepisów niniejszego rozporządzenia dotyczących przetwarzania danych osobowych, rozporządzenie (UE) 2016/679 powinno mieć zastosowanie do przetwarzania danych osobowych przez państwa członkowskie i przewoźników lotniczych na podstawie niniejszego rozporządzenia. Do przetwarzania danych osobowych przez eu-LISA podczas wykonywania przez nią obowiązków na podstawie niniejszego rozporządzenia powinno mieć zastosowanie rozporządzenie (UE) 2018/1725.

(34) Z uwagi na prawo pasażerów do informacji o przetwarzaniu ich danych osobowych państwa członkowskie powinny zapewniać, aby pasażerowie otrzymywali - w chwili rezerwacji lotu i w chwili odprawy - dokładne, łatwo dostępne i łatwo zrozumiałe informacje o gromadzeniu danych API, o przekazywaniu takich danych do właściwych służb granicznych i o swoich prawach jako osób, których dane dotyczą.

(35) Kontrole ochrony danych osobowych, za które odpowiadają państwa członkowskie, powinny być prowadzone przez niezależne organy nadzorcze, o których mowa w art. 51 rozporządzenia (UE) 2016/679, lub przez instytucję kontrolną, której organ nadzorczy powierzył to zadanie.

(36) Celami operacji przetwarzania danych na podstawie niniejszego rozporządzenia, a mianowicie przesyłania danych API przez przewoźników lotniczych za pośrednictwem routera właściwym służbom granicznym państw członkowskich, jest wspieranie tych służb w wykonywaniu ich obowiązków w zakresie zarządzania granicami oraz zadania związane ze zwalczaniem nielegalnej imigracji. W związku z tym państwa członkowskie powinny wyznaczyć organy, które będą administratorami do celów przetwarzania danych w routerze, przesyłania danych z routera do właściwych służb granicznych oraz późniejszego przetwarzania tych danych w celu usprawnienia i ułatwienia odprawy granicznej na granicach zewnętrznych. Państwa członkowskie powinny powiadomić Komisję i eu-LISA o tych organach. W odniesieniu do przetwarzania danych osobowych w routerze państwa członkowskie powinny być współadministratorami zgodnie z art. 26 rozporządzenia (UE) 2016/679. Z kolei przewoźnicy lotniczy powinni pełnić rolę odrębnych administratorów w zakresie przetwarzania danych API stanowiących dane osobowe na podstawie niniejszego rozporządzenia. W związku z tym zarówno przewoźnicy lotniczy, jak i właściwe służby graniczne powinni być odrębnymi administratorami danych w odniesieniu do prowadzonej przez siebie działalności związanej z przetwarzaniem danych API na podstawie niniejszego rozporządzenia. Ponieważ eu-LISA jest podmiotem odpowiedzialnym za zaprojektowanie, opracowanie i hosting routera oraz techniczne zarządzanie routerem, powinna ona być podmiotem przetwarzającym do celów przetwarzania za pośrednictwem routera danych API stanowiących dane osobowe, w tym przesyłania danych z routera do właściwych służb granicznych oraz przechowywania tych danych w routerze, o ile takie przechowywanie jest potrzebne do celów technicznych.

(37) Aby zapewnić skuteczne stosowanie przepisów niniejszego rozporządzenia przez przewoźników lotniczych, należy przewidzieć wyznaczenie i upoważnienie organów krajowych jako krajowych organów nadzorczych odpowiedzialnych za dane API, odpowiadających za monitorowanie przestrzegania tych przepisów. Jako krajowe organy nadzorcze odpowiedzialne za dane API państwa członkowskie mogą wyznaczyć swoje właściwe służby graniczne. Przepisy niniejszego rozporządzenia dotyczące takiego monitorowania, w tym, w stosownych przypadkach, w zakresie nakładania kar, nie powinny mieć wpływu na zadania i uprawnienia organów nadzorczych ustanowionych na mocy rozporządzenia (UE) 2016/679, również w odniesieniu do przetwarzania danych osobowych na podstawie niniejszego rozporządzenia.

(38) Państwa członkowskie powinny przewidzieć skuteczne, proporcjonalne i odstraszające kary, obejmujące kary finansowe i niefinansowe, wobec przewoźników lotniczych, którzy nie wypełniają obowiązków wynikających z niniejszego rozporządzenia, w tym dotyczących gromadzenia danych API w sposób zautomatyzowany i przekazywania danych zgodnie z wymaganymi ramami czasowymi, formatami i protokołami. W szczególności państwa członkowskie powinny zapewnić, aby powtarzające się nieprzestrzeganie przez przewoźników lotniczych będących osobami prawnymi obowiązku przekazywania danych API do routera na podstawie niniejszego rozporządzenia podlegało proporcjonalnym karom finansowym w wysokości do 2 % całkowitego obrotu przewoźnika lotniczego w poprzednim roku obrotowym. Ponadto państwa członkowskie powinny móc nakładać na przewoźników lotniczych kary, w tym kary finansowe, za niewypełnianie w inny sposób obowiązków na podstawie niniejszego rozporządzenia.

(39) Przyjmując przepisy dotyczące kar mających zastosowanie do przewoźników lotniczych na podstawie niniejszego rozporządzenia państwa członkowskie mogą wziąć pod uwagę techniczną i operacyjną wykonalność zapewnienia pełnej dokładności danych. Ponadto gdy nakładane są kary, należy ustalić ich zastosowanie i wysokość. Krajowe organy nadzorcze odpowiedzialne za dane API mogą uwzględnić działania podjęte przez przewoźnika lotniczego w celu złagodzenia problemu, a także stopień, w jakim przewoźnik współpracuje z organami krajowymi.

(40) Do celów niniejszego rozporządzenia i rozporządzenia (UE) 2025/13 powinna istnieć jedna struktura zarządzania. Aby umożliwić i ułatwić komunikację między przedstawicielami przewoźników lotniczych i przedstawicielami organów państw członkowskich właściwych na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2025/13 do otrzymywania danych API przesyłanych z routera, najpóźniej dwa lata po rozpoczęciu działania routera należy powołać dwa specjalne organy. Kwestie techniczne związane z korzystaniem z routera i jego funkcjonowaniem powinny być omawiane na forum grupy kontaktowej ds. API-PNR, w której powinni być obecni również przedstawiciele eu-LISA. Kwestie polityki, np. związane z karami, powinny być omawiane na forum grupy eksperckiej ds. API.

(41) Ponieważ niniejsze rozporządzenie przewiduje ustanowienie nowych zasad dotyczących gromadzenia i przekazywania danych API w celu usprawnienia i ułatwienia skutecznej i efektywnej odprawy granicznej na granicach zewnętrznych, należy uchylić dyrektywę 2004/82/WE.

(42) Ponieważ eu-LISA powinna zaprojektować i opracować router oraz zapewnić hosting routera i techniczne zarządzeniem routerem, konieczna jest zmiana rozporządzenia (UE) 2018/1726 polegająca na dodaniu tego zadania do wykazu zadań eu-LISA. Aby umożliwić przechowywanie sprawozdań i statystyk dotyczących routera w centralnym repozytorium sprawozdawczo-statystycznym (CRRS) powołanym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/817 16 , konieczna jest zmiana tego rozporządzenia. Aby wspierać egzekwowanie niniejszego rozporządzenia przez krajowy organ nadzorczy odpowiedzialny za dane API, koniecznej jest, by zmiany rozporządzenia (UE) 2019/817 obejmowały przepisy w zakresie statystyk dotyczących dokładności i kompletności danych API, na przykład przez wskazanie, czy dane gromadzono w sposób zautomatyzowany. Ważne jest także, aby gromadzić wiarygodne i użyteczne statystyki dotyczące wdrażania niniejszego rozporządzenia w celu wspierania realizacji jego celów i przeprowadzania ocen na jego podstawie. Statystyki te nie powinny zawierać żadnych danych osobowych. W związku z tym CRRS powinno dostarczać statystyki oparte na danych API wyłącznie do celów wdrożenia i skutecznego monitorowania stosowania niniejszego rozporządzenia. Dane, które w tym celu są automatycznie przesyłane z routera do CRRS, nie powinny pozwalać na identyfikację pasażerów.

(43) W celu zwiększenia jasności i pewności prawa, przyczynienia się do zapewnienia jakości danych, zapewnienia odpowiedzialnego korzystania ze zautomatyzowanych środków gromadzenia danych API nadających się do odczytu maszynowego na podstawie niniejszego rozporządzenia oraz zapewnienia manualnego gromadzenia danych API w wyjątkowych okolicznościach i w okresie przejściowym, zapewnienia jasności co do wymogów technicznych mających zastosowanie do przewoźników lotniczych i niezbędnych do zapewnienia bezpiecznego, skutecznego i sprawnego przekazywania danych API, zgromadzonych przez nich na podstawie niniejszego rozporządzenia, do routera, a także w celu zapewnienia, aby niedokładne lub niekompletne dane lub dane, które nie są już aktualne, były korygowane, uzupełniane lub aktualizowane, należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) w celu zakończenia okresu przejściowego manualnego gromadzenia danych API; do przyjmowania środków dotyczących wymogów technicznych i przepisów operacyjnych, których przewoźnicy lotniczy powinni przestrzegać w odniesieniu do gromadzenia w sposób zautomatyzowany na podstawie niniejszego rozporządzenia danych API nadających się do odczytu maszynowego, do manualnego gromadzenia danych API w wyjątkowych okolicznościach oraz do gromadzenia danych API w okresie przejściowym, w tym wymogów dotyczących bezpieczeństwa danych; do ustanowienia szczegółowych przepisów dotyczących wspólnych protokołów i obsługiwanych formatów danych, które mają być wykorzystywane do zaszyfrowanego przekazywania danych API przez przewoźników lotniczych, w tym wymogów dotyczących bezpieczeństwa danych; oraz do ustanowienia przepisów dotyczących korygowania, uzupełniania i aktualizowania danych API. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje z zainteresowanymi podmiotami, w tym z przewoźnikami lotniczymi, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 17 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych. Biorąc pod uwagę aktualny stan wiedzy, te wymogi techniczne i przepisy operacyjne mogą z czasem ulec zmianie.

(44) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, tj. w kwestii rozpoczęcia działania routera, przepisów technicznych i proceduralnych dotyczących weryfikacji danych i powiadomień, przepisów technicznych i proceduralnych dotyczących przesyłania danych API z routera do właściwych służb granicznych w sposób zapewniający, aby przesyłane były one bezpiecznie, skutecznie i sprawnie, a wpływ tych czynności na podróże pasażerów i na przewoźników lotniczych nie wykraczał poza to, co konieczne, a także dotyczących połączeń i integracji właściwych służb granicznych i przewoźników lotniczych z routerem, a także w celu określenia obowiązków państw członkowskich jako współadministratorów, w tym w odniesieniu do identyfikacji incydentów związanych z bezpieczeństwem, w tym naruszeń ochrony danych osobowych, oraz zarządzania nimi, a także stosunków między współadministratorami a eu-LISA jako podmiotem przetwarzającym, w tym pomocy ze strony eu-LISA na rzecz administratorów za pomocą odpowiednich środków technicznych i organizacyjnych, w zakresie, w jakim jest to możliwe, w celu wypełnienia przez administratora obowiązków w zakresie udzielania odpowiedzi na wnioski dotyczące wykonywania praw przez osobę, której dane dotyczą, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 18 .

(45) Wszystkim zainteresowanym stronom, a w szczególności przewoźnikom lotniczym i właściwym służbom granicznym, należy zapewnić wystarczający czas na podjęcie niezbędnych działań w celu przygotowania się do wypełniania obowiązków wynikających z niniejszego rozporządzenia, biorąc pod uwagę fakt, że niektóre z tych działań, np. w zakresie obowiązków dotyczących połączenia i integracji z routerem, można sfinalizować dopiero po zakończeniu fazy prac projektowych i rozwojowych nad routerem oraz po rozpoczęciu jego działania. W związku z tym niniejsze rozporządzenie powinno mieć zastosowanie dopiero po upływie odpowiedniego czasu od dnia rozpoczęcia działania routera, określonego przez Komisję zgodnie z niniejszym rozporządzeniem i z rozporządzeniem (UE) 2025/13. Komisja powinna jednak mieć możliwość przyjmowania aktów delegowanych i wykonawczych na mocy niniejszego rozporządzenia już wcześniej, aby zapewnić jak najszybsze uruchomienie systemu ustanowionego niniejszym rozporządzeniem.

(46) Fazy projektowania i opracowania routera ustanowionego na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2025/13 należy rozpocząć i zakończyć jak najszybciej, tak aby router jak najszybciej rozpoczął działanie, co wymaga również przyjęcia odpowiednich aktów delegowanych i wykonawczych przewidzianych w niniejszym rozporządzeniu. W celu sprawnego i skutecznego przeprowadzenia tych faz należy powołać specjalną komisję ds. zarządzania programem, która zajmować się będzie nadzorem nad wykonywaniem przez eu-LISA jej zadań w tych fazach. Komisję tę należy rozwiązać po upływie dwóch lat od rozpoczęcia działania routera. Ponadto należy utworzyć zgodnie z rozporządzeniem (UE) 2018/1726 specjalny organ doradczy, grupę doradczą ds. API-PNR, w celu zapewnienia eu-LISA i komisji ds. zarządzania programem wiedzy eksperckiej dotyczącej faz projektowania i opracowywania routera, a także w celu zapewnienia eu-LISA wiedzy eksperckiej dotyczącej hostingu routera i zarządzania routerem. Komisja ds. zarządzania programem oraz grupa doradcza ds. API-PNR powinny zostać powołane i działać na wzór istniejących komisji ds. zarządzania programami i grup doradczych.

(47) Niniejsze rozporządzenie powinno podlegać regularnym ocenom w celu zapewnienia monitorowania jego skutecznego stosowania. W szczególności gromadzenie danych API nie powinno odbywać się ze szkodą dla przebiegu podróży pasażerów podróżujących zgodnie z prawem. W związku z tym Komisja powinna uwzględnić w swoich regularnych sprawozdaniach z oceny stosowania niniejszego rozporządzenia ocenę jego wpływu na przebieg podróży pasażerów podróżujących zgodnie z prawem. Ocena powinna obejmować również ocenę jakości danych przesyłanych z routera, a także działanie routera w odniesieniu do właściwych służb granicznych.

(48) Należy również bezzwłocznie przedstawić przewidziane w niniejszym rozporządzeniu objaśnienie dotyczące stosowania specyfikacji w zakresie stosowania automatyzacji w ramach wykonywania dyrektywy 2004/82/WE. Przepisy dotyczące tych kwestii powinny zatem obowiązywać od dnia wejścia w życie niniejszego rozporządzenia. Ponadto, aby umożliwić jak najszybsze dobrowolne korzystanie z routera, przepisy dotyczące takiego korzystania, jak również niektóre inne przepisy mające na celu zapewnienie, aby takie korzystanie odbywało się w sposób odpowiedzialny, powinny mieć zastosowanie jak najwcześniej, tj. od chwili rozpoczęcia działania routera.

(49) Ponieważ niniejsze rozporządzenie wymaga dodatkowych dostosowań ze strony przewoźników lotniczych i wiąże się dla nich z dodatkowymi kosztami administracyjnymi, ogólne obciążenie regulacyjne dla sektora lotnictwa powinno podlegać ścisłemu przeglądowi. W tym kontekście w sprawozdaniu oceniającym funkcjonowanie niniejszego rozporządzenia należy ocenić, w jakim stopniu osiągnięto jego cele i w jakim stopniu wpłynęło to na konkurencyjność sektora.

(50) Niniejsze rozporządzenie pozostaje bez uszczerbku dla kompetencji państw członkowskich w odniesieniu do prawa krajowego dotyczącego bezpieczeństwa narodowego, pod warunkiem że prawo to jest zgodne z prawem Unii.

(51) Niniejsze rozporządzenie pozostaje bez uszczerbku dla kompetencji państw członkowskich, na podstawie prawa krajowego, w zakresie gromadzenia dotyczących pasażerów danych przekazywanych przez dostawców usług transportowych innych niż określeni w niniejszym rozporządzeniu, pod warunkiem że takie prawo krajowe jest zgodne z prawem Unii.

(52) Ponieważ cele niniejszego rozporządzenia, a mianowicie usprawnienie i ułatwienie skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych i zwalczania nielegalnej imigracji, dotyczą kwestii, które z natury mają charakter transgraniczny, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie działające indywidualnie, natomiast można je lepiej osiągnąć na poziomie Unii. Unia może zatem podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej (TEU). Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.

(53) Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do TUE i do TFUE, Dania nie uczestniczy w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje. Ponieważ niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen, zgodnie z art. 4 tego protokołu Dania - w terminie sześciu miesięcy po przyjęciu przez Radę niniejszego rozporządzenia - podejmuje decyzję, czy dokona jego transpozycji do swego prawa krajowego.

(54) Niniejsze rozporządzenie ma zastosowanie do Irlandii zgodnie z art. 5 ust. 1 Protokołu nr 19 w sprawie dorobku Schengen włączonego w ramy Unii Europejskiej, który jest załączony do TUE i do TFUE, oraz art. 6 ust. 2 decyzji Rady 2002/192/WE 19 .

(55) W odniesieniu do Islandii i Norwegii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 20 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji Rady 1999/437/WE 21 .

(56) W odniesieniu do Szwajcarii niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 22 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2008/146/WE 23 .

(57) W odniesieniu do Liechtensteinu niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie,

stosowanie i rozwój dorobku Schengen 24 , które wchodzą w zakres obszaru, o którym mowa w art. 1 lit. A decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2011/350/UE 25 .

(58) W odniesieniu do Cypru niniejsze rozporządzenie jest aktem opartym na dorobku Schengen lub w inny sposób z nim związanym w rozumieniu art. 3 ust. 1 Aktu przystąpienia z 2003 r.

(59) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię 8 lutego 2023 r. 26 ,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ 1

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot

W celu usprawnienia i ułatwienia skutecznej i wydajnej odprawy granicznej na granicach zewnętrznych oraz zwalczania nielegalnej imigracji w niniejszym rozporządzeniu ustanawia się przepisy dotyczące:

Niniejsze rozporządzenie pozostaje bez uszczerbku dla rozporządzeń (UE) 2016/679 i (UE) 2018/1725.

Artykuł 3

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

ROZDZIAŁ 2

GROMADZENIE, PRZEKAZYWANIE, PRZECHOWYWANIE I USUWANIE DANYCH API

Artykuł 4

Gromadzenie danych API przez przewoźników lotniczych

Dane API obejmują wyłącznie następujące dane dotyczące każdego pasażera lotu:

Dane API obejmują również wyłącznie następujące informacje o locie dotyczące lotu każdego pasażera:

Artykuł 5

Metody gromadzenia danych API

Przewoźnicy lotniczy gromadzą dane API, o których mowa w art. 4 ust. 2 lit. a)-d), stosując zautomatyzowane sposoby gromadzenia danych nadających się do odczytu maszynowego z dokumentu podróży danego pasażera. Odbywa się to zgodnie ze szczegółowymi wymogami technicznymi, a od momentu przyjęcia i rozpoczęcia stosowania przepisów operacyjnych, o których mowa w ust. 7 niniejszego artykułu, także zgodnie z tymi przepisami.

Jeżeli przewoźnicy lotniczy oferują możliwość odprawy przez internet, umożliwiają pasażerom podczas tej odprawy przez internet podanie danych API, o których mowa w art. 4 ust. 2 lit. a)-d), w sposób zautomatyzowany. Przewoźnicy lotniczy umożliwiają pasażerom, którzy nie odprawili się przez internet, przekazanie tych danych API w sposób zautomatyzowany podczas odprawy w porcie lotniczym w punkcie samoobsługowym lub z pomocą personelu linii lotniczych przy stanowisku odprawy.

Jeżeli wykorzystanie sposobów zautomatyzowanych nie jest technicznie możliwe, przewoźnicy lotniczy wyjątkowo gromadzą dane API, o których mowa w art. 4 ust. 2 lit. a)-d) manualnie, w ramach odprawy przez internet albo odprawy w porcie lotniczym, w sposób zapewniający zgodność z ust. 1 niniejszego artykułu.

Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 44 w celu uzupełnienia niniejszego rozporządzenia przez ustanowienie szczegółowych wymogów technicznych i przepisów operacyjnych odnoszących się do gromadzenia danych API, o których mowa w art. 4 ust. 2 lit. a)-d), w sposób zautomatyzowany zgodnie z ust. 2 i 3 niniejszego artykułu, oraz do manualnego gromadzenia danych API w wyjątkowych sytuacjach zgodnie z ust. 2 niniejszego artykułu i w okresie przejściowym, o którym mowa w ust. 4 niniejszego artykułu. Te wymogi techniczne i przepisy operacyjne obejmują wymogi dotyczące bezpieczeństwa danych oraz stosowania najbardziej niezawodnych dostępnych zautomatyzowanych sposobów gromadzenia danych z dokumentu podróży nadających się do odczytu maszynowego.

Artykuł 6

Obowiązki przewoźników lotniczych dotyczące przekazywania danych API

Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 44 w celu uzupełnienia niniejszego rozporządzenia przez określenie niezbędnych szczegółowych przepisów dotyczących wspólnych protokołów i obsługiwanych formatów danych, które mają być wykorzystywane na potrzeby przekazywania zaszyfrowanych danych API do routera, o którym mowa w ust. 1 niniejszego artykułu, w tym przekazywania danych API w momencie odprawy i wymogów bezpieczeństwa danych. Takie szczegółowe przepisy służą zapewnieniu, aby przewoźnicy lotniczy przekazywali dane API z zastosowaniem tej samej struktury i treści.

Artykuł 7

Przetwarzanie danych API przez właściwe służby graniczne

Właściwe służby graniczne przetwarzają dane API, które otrzymują zgodnie z niniejszym rozporządzeniem, wyłącznie do celów usprawnienia i ułatwienia skutecznej i efektywnej odprawy granicznej na granicach zewnętrznych oraz zwalczania nielegalnej imigracji.

Właściwe służby graniczne nie przetwarzają danych API w sposób, który prowadziłby do profilowania osób, o którym mowa w art. 22 rozporządzenia (UE) 2016/679, lub do dyskryminacji osób ze względów wymienionych w art. 21 Karty.

Artykuł 8

Okres przechowywania i usuwanie danych API

Przewoźnicy lotniczy przechowują dane API, które gromadzą zgodnie z art. 4, przez 48 godzin od otrzymania przez router danych API przekazanych do niego zgodnie z art. 6 ust. 2 lit. a) i b). Po upływie tego okresu natychmiastowo trwale usuwają oni takie dane API, bez uszczerbku dla możliwości zatrzymywania i wykorzystywania danych przez przewoźników lotniczych, jeżeli jest to konieczne do prowadzenia ich normalnej działalności, zgodnie z mającymi zastosowanie przepisami, oraz dla art. 16 ust. 1 i 3.

Właściwe służby graniczne przechowują dane API, które przesłano im zgodnie z art. 14 po przekazaniu zgodnie z art. 6 ust. 2 lit. a) i b), przez okres 48 godzin od momentu ich otrzymania. Po upływie tego okresu natychmiastowo trwale usuwają one takie dane API.

W wyjątkowych przypadkach właściwe służby graniczne mogą zatrzymywać dane API przez dodatkowy okres wynoszący do 48 godzin wyłącznie w zakresie, w jakim takie dane API odnoszą się do pasażerów, którzy nie stawili się na przejściu granicznym w okresie, o którym mowa w akapicie pierwszym.

Artykuł 9

Poprawianie, uzupełnianie i aktualizacja danych API

Jeżeli przewoźnik lotniczy dowie się, że dane, które przechowuje na podstawie niniejszego rozporządzenia, były przetwarzane niezgodnie z prawem lub nie stanowią danych API, natychmiastowo trwale usuwa te dane. Jeżeli dane te zostały przekazane do routera, przewoźnik lotniczy natychmiastowo informuje o tym Agencję Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA). Po otrzymaniu takiej informacji eu-LISA natychmiastowo informuje o tym fakcie właściwą służbę graniczną, która otrzymała dane API przesłane za pośrednictwem routera. Ta właściwa służba graniczna natychmiastowo trwale usuwa te dane.

Artykuł 10

Prawa podstawowe

ROZDZIAŁ 3

PRZEPISY DOTYCZĄCE ROUTERA

Artykuł 11

Router

Router składa się z:

Bez uszczerbku dla art. 12 niniejszego rozporządzenia router współdzieli i ponownie wykorzystuje - w stosownych przypadkach i w zakresie, w jakim jest to technicznie możliwe - elementy techniczne, w tym sprzęt i oprogramowanie usługi sieciowej, o której mowa w art. 13 rozporządzenia (UE) 2017/2226, portalu dla przewoźników, o którym mowa w art. 6 ust. 2 lit. k) rozporządzenia (UE) 2018/1240, oraz portalu dla przewoźników, o którym mowa w art. 45c rozporządzenia (WE) nr 767/2008.

eu-Lisa projektuje router, w miarę możliwości technicznych i operacyjnych, w sposób spójny i zgodny z obowiązkami przewoźników lotniczych określonych w rozporządzeniach (WE) nr 767/2008, (UE) 2017/2226 i (UE) 2018/1240.

Artykuł 13

Weryfikacje formatu i przekazywania danych

Jeżeli weryfikacja, o której mowa w ust. 1 niniejszego artykułu, wykaże, że przewoźnik lotniczy nie przekazał danych, lub jeżeli weryfikacja, o której mowa w ust. 2 niniejszego artykułu, wykaże, że dane nie są zgodne ze szczegółowymi przepisami dotyczącymi obsługiwanych formatów danych, router natychmiastowo w sposób zautomatyzowany powiadamia o tym zainteresowanego przewoźnika lotniczego i właściwe służby graniczne państw członkowskich, którym dane miały zostać przekazane zgodnie z art. 14 ust. 1. W takich przypadkach przewoźnik lotniczy natychmiastowo przekazuje dane API zgodnie z art. 6.

Artykuł 14

Przekazywanie danych API z routera do właściwych służb granicznych

Bezpośrednio po weryfikacji formatu i przekazania danych, o której mowa w art. 13, router przekazuje zaszyfrowane dane API, przesłane do niego podstawie art. 6 lub art. 9 ust. 3 i 4, właściwym służbom granicznym państwa członkowskiego lub - jeżeli planowane jest lądowanie w co najmniej jednym porcie lotniczym na terytorium co najmniej jednego państwa członkowskiego, do którego niniejsze rozporządzenie ma zastosowanie - właściwym służbom granicznym państw członkowskich, o których mowa w art. 4 ust. 3 lit. c). Router przekazuje te dane natychmiastowo w sposób zautomatyzowany, nie zmieniając w żaden sposób ich treści, a od momentu przyjęcia i rozpoczęcia stosowania szczegółowych przepisów, o których mowa w ust. 5 niniejszego artykułu, także zgodnie z takimi przepisami.

Do celów przesyłania danych eu-LISA tworzy i aktualizuje tabelę korespondencji między poszczególnymi portami lotniczymi pochodzenia i przeznaczenia oraz krajami, w których te porty się znajdują.

Państwa członkowskie wyznaczają właściwe służby graniczne upoważnione do otrzymywania danych API przesyłanych im z routera zgodnie z niniejszym rozporządzeniem. Do dnia rozpoczęcia stosowania niniejszego rozporządzenia, o którym to dniu mowa w art. 46 akapit drugi, państwa członkowskie zgłaszają eu-LISA i Komisji nazwy i dane kontaktowe właściwych służb granicznych, a w stosownych przypadkach zgłaszają eu-LISA i Komisji aktualizacje tych informacji.

Na podstawie tych zgłoszeń i aktualizacji Komisja sporządza i udostępnia publicznie wykaz zgłoszonych właściwych służb granicznych zawierający ich dane kontaktowe.

Artykuł 15

Usuwanie danych API z routera

Dane API przekazane do routera na podstawie niniejszego rozporządzenia przechowuje się w routerze tylko w zakresie niezbędnym do zakończenia procesu przesyłania ich odpowiednim właściwym służbom granicznym zgodnie z niniejszym rozporządzeniem oraz natychmiastowo, trwale usuwa się te dane z routera w sposób zautomatyzowany po potwierdzeniu zgodnie z art. 14 ust. 3, że zakończono przesyłanie danych API do odpowiednich właściwych służb granicznych.

Artykuł 16

Czynności podejmowane w przypadku braku technicznej możliwości korzystania z routera

Jeżeli korzystanie z routera do przesyłania danych API jest technicznie niemożliwe z powodu awarii routera, eu-LISA natychmiastowo w sposób zautomatyzowany powiadamia przewoźników lotniczych i właściwe służby graniczne o braku takiej technicznej możliwości. W takim przypadku eu-LISA natychmiastowo podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z routera, a w razie rozwiązania tego problemu natychmiastowo powiadamia o tym przewoźników lotniczych i właściwe służby graniczne.

W przypadku otrzymania danych API później niż 96 godzin po godzinie odlotu, o której mowa w art. 4 ust. 3 lit. f), router nie przesyła danych API właściwym służbom granicznym, lecz dane te usuwa.

W razie gdy korzystanie z routera jest technicznie niemożliwe, i w wyjątkowych przypadkach związanych z celami niniejszego rozporządzenia, które sprawiają, że właściwe służby graniczne muszą natychmiastowo otrzymać dane API, podczas gdy korzystanie z routera jest technicznie niemożliwe, właściwe służby graniczne mogą zwrócić się do przewoźników lotniczych o posłużenie się innymi odpowiednimi środkami zapewniającymi niezbędny poziom bezpieczeństwa, jakości i ochrony danych w celu przekazania danych API bezpośrednio właściwym służbom granicznym. Właściwe służby graniczne przetwarzają dane API otrzymane za pomocą wszelkich innych odpowiednich środków zgodnie z zasadami i zabezpieczeniami określonymi w rozporządzeniu (UE) 2016/399 i w mających zastosowanie przepisach krajowych.

Po otrzymaniu od eu-LISA powiadomienia, że rozwiązano problem braku technicznej możliwości przesyłania, oraz jeżeli potwierdzono zgodnie z art. 14 ust. 3, że przesyłanie danych API za pośrednictwem routera do odpowiednich właściwych służb granicznych zostało zakończone, właściwe służby graniczne natychmiastowo usuwają dane API, które otrzymały za pomocą innych odpowiednich środków.

Jeżeli korzystanie z routera do przesyłania danych API jest technicznie niemożliwe z powodu awarii systemów lub infrastruktury państwa członkowskiego, o których mowa w art. 23, właściwe służby graniczne tego państwa członkowskiego natychmiastowo w sposób zautomatyzowany powiadamiają przewoźników lotniczych, właściwe służby pozostałych państw członkowskich, eu-LISA i Komisję o tym braku technicznej możliwości. W takim przypadku dane państwo członkowskie natychmiastowo podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z routera, a o rozwiązaniu tego problemu natychmiastowo powiadamia przewoźników lotniczych, właściwe służby innych państw członkowskich, eu-LISA i Komisję. Router przechowuje dane API do czasu rozwiązania problemu braku technicznej możliwości. Bezpośrednio po rozwiązaniu problemu braku technicznej możliwości router przesyła te dane zgodnie z art. 14 ust. 1.

W razie gdy korzystanie z routera jest technicznie niemożliwe, i w wyjątkowych przypadkach związanych z celami niniejszego rozporządzenia, które sprawiają, że właściwe służby graniczne muszą natychmiastowo otrzymać dane API, podczas gdy korzystanie z routera jest technicznie niemożliwe, właściwe służby graniczne mogą zwrócić się do przewoźników lotniczych o posłużenie się innymi odpowiednimi środkami zapewniającymi niezbędny poziom bezpieczeństwa, jakości i ochrony danych w celu przekazania danych API bezpośrednio właściwym służbom granicznym. Właściwe służby graniczne przetwarzają dane API otrzymane za pomocą innych odpowiednich środków zgodnie z zasadami i zabezpieczeniami określonymi w rozporządzeniu (UE) 2016/399 i w mających zastosowanie przepisach krajowych.

Jeżeli korzystanie z routera do przekazania danych API jest technicznie niemożliwe z powodu awarii systemów lub infrastruktury przewoźnika lotniczego, o których mowa w art. 24, przewoźnik ten natychmiastowo w sposób zautomatyzowany powiadamia właściwe służby graniczne, eu-LISA i Komisję o tym braku technicznej możliwości. W takim przypadku dany przewoźnik lotniczy natychmiastowo podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z routera, a o rozwiązaniu tego problemu natychmiastowo powiadamia eu-LISA i Komisję.

W okresie pomiędzy tymi powiadomieniami art. 6 ust. 1 i art. 8 ust. 1 nie mają zastosowania w zakresie, w jakim brak technicznej możliwości korzystania z routera uniemożliwia przekazywanie danych API do routera. Przewoźnicy lotniczy przechowują dane API do czasu rozwiązania problemu braku możliwości technicznej. Bezpośrednio po rozwiązaniu problemu braku możliwości technicznej przewoźnicy lotniczy przekazują te dane do routera zgodnie z art. 6 ust. 1. Jednak w przypadku otrzymania danych API później niż 96 godzin po godzinie odlotu, o której mowa w art. 4 ust. 3 lit. f), router nie przesyła danych API właściwym służbom granicznym, lecz dane te usuwa.

Po otrzymaniu od eu-LISA powiadomienia, że rozwiązano problem braku technicznej możliwości przesyłania oraz jeżeli potwierdzono zgodnie z art. 14 ust. 3, że przesyłanie danych API za pośrednictwem routera do odpowiednich właściwych służb granicznych zostało zakończone, właściwe służby graniczne natychmiastowo usuwają dane API, które otrzymały za pomocą innych odpowiednich środków.

Po rozwiązaniu problemu braku technicznej możliwości dany przewoźnik lotniczy niezwłocznie przedkłada krajowemu organowi nadzorczemu odpowiedzialnemu za dane API, o którym mowa w art. 36, sprawozdanie opisujące wszystkie niezbędne szczegóły dotyczące braku technicznej możliwości, w tym przyczyny braku technicznej możliwości, jego zakres i konsekwencje, a także środki podjęte w celu zaradzenia temu brakowi technicznej możliwości.

ROZDZIAŁ 4

PRZEPISY SZCZEGÓŁOWE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH I BEZPIECZEŃSTWA

Artykuł 17

Prowadzenie rejestrów

eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania związanych z przekazywaniem i przesyłaniem danych API za pośrednictwem routera na podstawie niniejszego rozporządzenia. Rejestry te obejmują:

Rejestry te nie zawierają żadnych danych osobowych poza informacjami niezbędnymi do identyfikacji odpowiednich pracowników eu-LISA, o których mowa w akapicie pierwszym lit. d).

Przewoźnicy lotniczy oraz eu-LISA przechowują rejestry, które utworzyli na podstawie odpowiednio ust. 1 i 2, przez okres roku od momentu ich utworzenia. Po upływie tego okresu natychmiastowo trwale usuwają oni te rejestry.

Jeżeli jednak rejestry te są potrzebne do celów procedur monitorowania lub zapewniania bezpieczeństwa i integralności danych API lub legalności operacji przetwarzania, o których mowa w ust. 3, a w momencie upływu okresu, o którym mowa w akapicie pierwszym niniejszego ustępu, procedury te już się rozpoczęły, eu-LISA i przewoźnicy lotniczy przechowują te rejestry tak długo, jak jest to konieczne do przeprowadzenia tych procedur. W takim przypadku natychmiastowo usuwają oni te rejestry, jeżeli nie są już one konieczne do przeprowadzenia tych procedur.

Artykuł 18

Obowiązki w zakresie ochrony danych

Artykuł 19

Informacje dla pasażerów

Zgodnie z art. 13 rozporządzenia (UE) 2016/679 przewoźnicy lotniczy przekazują pasażerom korzystającym z lotów objętych niniejszym rozporządzeniem informacje na temat celu gromadzenia danych osobowych, rodzaju gromadzonych danych, odbiorców danych osobowych oraz sposobów korzystania przez nich z praw przysługujących im jako osobom, których dane dotyczą.

Informacje te przekazuje się pasażerom na piśmie i w łatwo dostępnym formacie w chwili rezerwacji i w chwili odprawy, niezależnie od środków wykorzystywanych do gromadzenia danych osobowych w momencie odprawy, zgodnie z art. 5.

Artykuł 20

Bezpieczeństwo

eu-LISA zapewnia bezpieczeństwo i szyfrowanie danych API, w szczególności danych API stanowiących dane osobowe, które to dane przetwarza zgodnie z niniejszym rozporządzeniem. Właściwe służby graniczne i przewoźnicy lotniczy zapewniają bezpieczeństwo danych API, w szczególności danych API stanowiących dane osobowe, które przetwarzają na podstawie niniejszego rozporządzenia. eu-LISA, właściwe służby graniczne i przewoźnicy lotniczy współpracują ze sobą, w ramach swoich obowiązków i zgodnie z prawem Unii, w celu zapewnienia bezpieczeństwa danych.

eu-LISA podejmuje środki niezbędne do zapewnienia bezpieczeństwa routera i danych API, a w szczególności danych API stanowiących dane osobowe, przesyłanych za pośrednictwem routera, w tym poprzez opracowanie, wdrożenie i regularne aktualizowanie planu bezpieczeństwa, planu ciągłości działania i planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, w celu:

Artykuł 22

Kontrole ochrony danych osobowych

Niezależne organy nadzorcze, o których mowa w art. 51 rozporządzenia (UE) 2016/679, co najmniej raz na cztery lata dokonują kontroli przeprowadzanych przez właściwe służby graniczne na potrzeby niniejszego rozporządzenia operacji przetwarzania danych API stanowiących dane osobowe. Państwa członkowskie zapewniają, aby ich niezależne organy nadzorcze dysponowały zasobami i wiedzą fachową wystarczającymi do wykonywania zadań powierzonych im na podstawie niniejszego rozporządzenia.

Europejski Inspektor Ochrony Danych co najmniej raz w roku dokonuje kontroli operacji przetwarzania danych API stanowiących dane osobowe przeprowadzanych przez eu-LISA na potrzeby niniejszego rozporządzenia, zgodnie z odpowiednimi międzynarodowymi standardami kontroli. Sprawozdanie z takiej kontroli przekazuje się Parlamentowi Europejskiemu, Radzie, Komisji, państwom członkowskim i eu-LISA. eu-LISA ma możliwość przedstawienia uwag dotyczących sprawozdania przed jego przyjęciem.

ROZDZIAŁ 5

KWESTIE DOTYCZĄCE ROUTERA

Artykuł 23

Połączenia właściwych służb granicznych z routerem

Państwa członkowskie zapewniają swoim właściwym służbom granicznym połączenie z routerem. Zapewniają one, aby systemy i infrastruktura właściwych służb granicznych do odbioru i dalszego przetwarzania danych API przekazywanych na podstawie niniejszego rozporządzenia były zintegrowane z routerem.

Państwa członkowskie zapewniają, by połączenie z routerem i integracja z routerem umożliwiały ich właściwym służbom granicznym otrzymywanie i dalsze przetwarzanie danych API, a także wymianę wszelkich związanych z nimi komunikatów w sposób zgodny z prawem, bezpieczny, skuteczny i sprawny.

Artykuł 24

Połączenia przewoźników lotniczych z routerem

Przewoźnicy lotniczy zapewniają, aby byli połączeni z routerem. Zapewniają oni, aby ich systemy i infrastruktura służące przekazywaniu danych API do routera na podstawie niniejszego rozporządzenia były zintegrowane z routerem.

Przewoźnicy lotniczy zapewniają, aby połączenie i integracja z routerem umożliwiały im przekazywanie danych API, jak również wymianę wszelkich powiązanych komunikatów, w sposób zgodny z prawem, bezpieczny, skuteczny i sprawny. W tym celu przewoźnicy lotniczy przeprowadzają - we współpracy z eu-LISA zgodnie z art. 27 ust. 3 - testy przekazywania danych API do routera.

Artykuł 25

Zadania eu-LISA związane z projektowaniem i opracowaniem routera

Artykuł 26

Zadania eu-LISA związane z hostingiem routera oraz z zarządzaniem technicznym routerem

eu-LISA jest odpowiedzialna za zarządzanie techniczne routerem, w tym za jego utrzymanie i rozwój techniczny, w sposób zapewniający bezpieczne, skuteczne i sprawne przesyłanie danych API za pośrednictwem routera, zgodnie z niniejszym rozporządzeniem.

Zarządzanie techniczne routerem polega na wykonywaniu wszystkich zadań i wprowadzaniu wszystkich rozwiązań technicznych niezbędnych do zapewnienia prawidłowego funkcjonowania routera zgodnie z niniejszym rozporządzeniem, w sposób nieprzerwany, przez 24 godziny na dobę, 7 dni w tygodniu. Obejmuje ono w szczególności prace konserwacyjne i zmiany techniczne konieczne do zapewnienia zadowalającego poziomu jakości technicznej funkcjonowania routera, w szczególności w zakresie dostępności, dokładności i niezawodności przesyłania danych API, zgodnie ze specyfikacją techniczną i w jak największym stopniu zgodnie z potrzebami operacyjnymi właściwych służb granicznych i przewoźników lotniczych.

Bez uszczerbku dla ust. 3 niniejszego artykułu oraz art. 17 regulaminu pracowniczego urzędników Unii Europejskiej określonego w rozporządzeniu Rady (EWG, Euratom, EWWiS) nr 259/68 28 , eu-LISA stosuje właściwe przepisy dotyczące tajemnicy zawodowej lub nakłada inne równoważne obowiązki zachowania poufności na swoich pracowników zobowiązanych do pracy z danymi API przesyłanymi za pośrednictwem routera. Obowiązki te mają zastosowanie także po odejściu takich pracowników z urzędu lub z pracy lub po zakończeniu przez nich działalności.

Artykuł 27

Zadania pomocnicze eu-LISA związane z routerem

ROZDZIAŁ 6

ZARZĄDZANIE

Artykuł 28

Komisja ds. zarządzania programem

Do dnia 28 stycznia 2025 r. zarząd eu-LISA powołuje komisję ds. zarządzania programem. W skład komisji wchodzi 10 członków:

W odniesieniu do lit. a) członkowie wyznaczeni przez zarząd eu-LISA są wybierani wyłącznie spośród jego członków lub ich zastępców z tych państw członkowskich, do których niniejsze rozporządzenie ma zastosowanie.

Artykuł 29

Grupa doradcza ds. API-PNR

Grupa doradcza ds. API-PNR pełni następujące funkcje:

Artykuł 30

Grupa kontaktowa ds. API-PNR

Artykuł 31

Grupa ekspercka ds. API

Grupie eksperckiej ds. API przewodniczy Komisja, a powołuje się ją zgodnie z przepisami horyzontalnymi dotyczącymi tworzenia i funkcjonowania grup eksperckich Komisji. W jej skład wchodzą przedstawiciele odpowiednich organów państw członkowskich, przedstawiciele przewoźników lotniczych i eksperci eu-LISA. Jeżeli jest to istotne dla wykonywania jej zadań, grupa ekspercka ds. API może zaprosić do udziału w swoich pracach odpowiednie zainteresowane strony, w szczególności przedstawicieli Parlamentu Europejskiego, Europejskiego Inspektora Ochrony Danych i niezależnych krajowych organów nadzorczych.

Artykuł 32

Koszty ponoszone przez eu-LISA, Europejskiego Inspektora Ochrony Danych, krajowe organy nadzorcze i państwa członkowskie

Artykuł 33

Odpowiedzialność za router

Jeżeli niewywiązanie się przez państwo członkowskie lub przewoźnika lotniczego z obowiązków wynikających z niniejszego rozporządzenia spowoduje szkodę w routerze, dane państwo członkowskie lub dany przewoźnik lotniczy odpowiada za taką szkodę, zgodnie z mającymi zastosowanie przepisami prawa Unii lub przepisami krajowymi, chyba że - i w zakresie w jakim - wykazano, że eu-LISA, inne państwo członkowskie lub inny przewoźnik lotniczy nie zastosowali należytych środków, by zapobiec wystąpieniu szkody lub zminimalizować jej skutki.

Artykuł 34

Rozpoczęcie działania routera

Komisja określa bez zbędnej zwłoki, w drodze aktu wykonawczego, termin rozpoczęcia działania routera po otrzymaniu informacji od eu-LISA o pomyślnym zakończeniu kompleksowego testu routera, o którym mowa w art. 25 ust. 5. Ten akt wykonawczy przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 43 ust. 2.

Komisja wyznacza termin, o którym mowa w akapicie pierwszym, na datę nie późniejszą niż 30 dni od dnia przyjęcia tego aktu wykonawczego.

Artykuł 35

Korzystanie z routera na zasadzie dobrowolności w zastosowaniu dyrektywy 2004/82/WE

Przewoźnicy lotniczy są uprawnieni do korzystania z routera w celu przesyłania informacji, o których mowa w art. 3 ust. 1 i 2 dyrektywy 2004/82/WE, co najmniej jednemu z odpowiedzialnych organów, o których mowa w tej dyrektywie, zgodnie z tą dyrektywą, pod warunkiem że dane państwo członkowskie wyraziło zgodę na takie korzystanie, od odpowiedniej daty ustalonej przez to państwo członkowskie. To państwo członkowskie wyraża zgodę dopiero po ustaleniu, że - w szczególności w odniesieniu do połączenia własnych odpowiedzialnych organów z routerem oraz połączenia danego przewoźnika lotniczego - informacje mogą być przesyłane w sposób zgodny z prawem, bezpieczny, skuteczny i sprawny.

Gdy przewoźnik lotniczy rozpocznie korzystanie z routera zgodnie z ust. 1 niniejszego artykułu, wykorzystuje router do przesyłania takich informacji odpowiedzialnym organom danego państwa członkowskiego do dnia rozpoczęcia stosowania niniejszego rozporządzenia, o którym to dniu mowa w art. 46 akapit drugi. Zaprzestaje się jednak korzystania z routera z dniem określonym przez dane państwo członkowskie, jeżeli to państwo członkowskie uzna, że istnieją obiektywne powody wymagające takiego zaprzestania, i poinformuje o tym przewoźnika lotniczego.

Zainteresowane państwo członkowskie:

ROZDZIAŁ 7

NADZÓR, KARY, STATYSTYKI I PODRĘCZNIK

Artykuł 36

Krajowy organ nadzorczy odpowiedzialny za dane API

Państwa członkowskie zapewniają, aby krajowe organy nadzorcze odpowiedzialne za dane API posiadały wszelkie środki i wszelkie uprawnienia dochodzeniowe i wykonawcze niezbędne do wykonywania swoich zadań na podstawie niniejszego rozporządzenia, w tym w stosownych przypadkach poprzez nakładanie kar, o których mowa w art. 37. Państwa członkowskie zapewniają, aby wykonywanie uprawnień przyznanych krajowemu organowi nadzorczemu odpowiedzialnemu za dane API podlegało odpowiednim zabezpieczeniom zgodnie z prawami podstawowymi zagwarantowanymi w prawie Unii.

Artykuł 37

Kary

Państwa członkowskie zapewniają, aby krajowe organy nadzorcze odpowiedzialne za dane API uwzględniały przy podejmowaniu decyzji w sprawie nałożenia kary i ustalaniu rodzaju i wysokości kary odpowiednie okoliczności, takie jak:

Artykuł 38

Statystyki

W celu wspierania wdrażania i monitorowania stosowania niniejszego rozporządzenia każdego roku eu-LISA zestawia dane statystyczne w sprawozdaniu rocznym za poprzedni rok. Sprawozdanie roczne publikuje ona i przesyła Parlamentowi Europejskiemu, Radzie, Komisji, Europejskiemu Inspektorowi Ochrony Danych, Europejskiej Agencji Straży Granicznej i Przybrzeżnej oraz krajowym organom nadzorczym odpowiedzialnym za dane API, o których mowa w art. 36. W sprawozdaniu rocznym nie ujawnia się poufnych metod pracy ani informacji mogących utrudnić prowadzenie przez właściwe organy państw członkowskich toczących się postępowań.

CRRS przekazuje eu-LISA następujące informacje statystyczne niezbędne do celów sprawozdawczości, o której mowa w art. 45, i tworzenia statystyk zgodnie z niniejszym artykułem, przy czym takie statystyki dotyczące danych API nie umożliwiają identyfikacji odpowiednich pasażerów:

Do celów sprawozdawczości, o której mowa w art. 45, i tworzenia statystyk zgodnie z niniejszym artykułem eu-LISA przechowuje w CRRS dane, o których mowa w ust. 5 niniejszego artykułu. Przechowuje ona takie dane przez okres pięciu lat zgodnie z ust. 2, zapewniając zarazem, aby dane te nie pozwalały na identyfikację odpowiednich pasażerów. CRRS dostarcza należycie upoważnionemu personelowi właściwych służb granicznych oraz innych odpowiednich organów państw członkowskich sprawozdania i statystyki, podlegające indywidualnym dostosowaniom, dotyczące danych API, o których mowa w ust. 5 niniejszego artykułu, do celów wdrażania i monitorowania stosowania niniejszego rozporządzenia.

Artykuł 39

Praktyczny podręcznik

Komisja, w ścisłej współpracy z właściwymi organami oraz innymi odpowiednimi organami państw członkowskich, przewoźnikami lotniczymi i odpowiednimi organami i agencjami Unii, przygotowuje i publicznie udostępnia praktyczny podręcznik zawierający wytyczne, zalecenia i najlepsze praktyki dotyczące wdrażania niniejszego rozporządzenia, w tym dotyczące przestrzegania praw podstawowych oraz dotyczące kar zgodnie z art. 37.

Praktyczny podręcznik uwzględnia inne odpowiednie podręczniki.

Komisja przyjmuje praktyczny podręcznik w formie zalecenia.

ROZDZIAŁ 8

ZWIĄZEK Z INNYMI OBOWIĄZUJĄCYMI INSTRUMENTAMI

Artykuł 41

Zmiany w rozporządzeniu (UE) 2018/1726

W rozporządzeniu (UE) 2018/1726 wprowadza się następujące zmiany:

w art. 19 ust. 1 wprowadza się następujące zmiany:

lit. hh) otrzymuje brzmienie:

"hh) przyjmuje oficjalne uwagi do sprawozdań Europejskiego Inspektora Ochrony Danych z audytów, na podstawie art. 56 ust. 2 rozporządzenia (UE) 2018/1861, art. 42 ust. 2 rozporządzenia (WE) nr 767/2008 i art. 31 ust. 2 rozporządzenia (UE) nr 603/2013, art. 56 ust. 2 rozporządzenia (UE) 2017/2226, art. 67 rozporządzenia (UE) 2018/1240, art. 29 ust. 2 rozporządzenia (UE) 2019/816, art. 52 rozporządzeń (UE) 2019/817 i (UE) 2019/818, art. 58 ust. 1 rozporządzenia (UE) 2024/982 i art. 22 ust. 3 rozporządzenia (UE) 2025/12, oraz zapewnia odpowiednie działania pokontrolne w sprawie tych audytów;";

Artykuł 42

Zmiana rozporządzenia (UE) 2019/817

Art. 39. ust. 1 i 2 rozporządzenia (UE) 2019/817 otrzymują brzmienie:

"1. Centralne repozytorium sprawozdawczo-statystyczne ustanawia się, aby wspierać realizację celów systemów EES, VIS, ETIAS i SIS zgodnie z odpowiednimi aktami prawnymi regulującymi te systemy oraz zapewniać międzysystemowe dane statystyczne i sprawozdania analityczne służące strategiom politycznym, celom operacyjnym i celom związanym z jakością danych. Centralne repozytorium sprawozdawczo-statystyczne wspiera ponadto realizację celów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2025/12 * .

2. eu-LISA ustanawia i wdraża centralne repozytorium sprawozdawczo-statystyczne oraz zapewnia jego hosting w swoich centrach technicznych; repozytorium to zawiera dane i statystyki, o których mowa w art. 63 rozporządzenia (UE) 2017/2226, art. 17 rozporządzenia (WE) nr 767/2008, art. 84 rozporządzenia (UE) 2018/1240, art. 60 rozporządzenia (UE) 2018/1861 oraz art. 16 rozporządzenia (UE) 2018/1860, logicznie oddzielone według systemu informacyjnego UE. eu-LISA gromadzi ponadto dane i statystyki z routera, o których mowa w art. 38 ust. 1 rozporządzenia (UE) 2025/12. Dostęp do centralnego repozytorium sprawozdawczo-statystycznego w postaci kontrolowanego, bezpiecznego dostępu i określonych profili użytkowników przyznaje się - wyłącznie w celach sprawozdawczo-statystycznych - organom, o których mowa w art. 63 rozporządzenia (UE) 2017/2226, art. 17 rozporządzenia (WE) nr 767/2008, art. 84 rozporządzenia (UE) 2018/1240, art. 60 rozporządzenia (UE) 2018/1861 i art. 45 ust. 2 rozporządzenia (UE) 2025/12.

ROZDZIAŁ 9

PRZEPISY KOŃCOWE

Artykuł 44

Wykonywanie przekazanych uprawnień

Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 5 ust. 6 i 7, art. 6 ust. 3 i art. 9 ust. 6, powierza się Komisji na okres pięciu lat od dnia 28 stycznia 2025 r. Komisja sporządza sprawozdanie dotyczące przekazania uprawnień nie później niż dziewięć miesięcy przed końcem okresu pięciu lat. Przekazanie uprawnień zostaje automatycznie przedłużone na takie same okresy, chyba że Parlament Europejski lub Rada sprzeciwią się takiemu przedłużeniu nie później niż trzy miesiące przed końcem każdego okresu.

Co się tyczy aktu delegowanego przyjętego na mocy art. 5 ust. 6, jeżeli Parlament Europejski albo Rada wyraziły sprzeciw na podstawie ust. 6 niniejszego artykułu, nie mogą one sprzeciwić się automatycznemu przedłużeniu, o którym mowa w akapicie pierwszym niniejszego ustępu.

Przekazanie uprawnień, o których mowa w art. 5 ust. 7, art. 6 ust. 3 i art. 9 ust. 6, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.

Akt delegowany przyjęty na podstawie art. 5 ust. 6 lub 7, art. 6 ust. 3 lub art. 9 ust. 6 wchodzi w życie tylko wówczas, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy przed upływem tego terminu zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o dwa miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

Artykuł 45

Monitorowanie i ocena

Do dnia 29 stycznia 2029 r., a następnie co cztery lata Komisja sporządza sprawozdanie zawierające ogólną ocenę niniejszego rozporządzenia, w tym konieczności i wartości dodanej gromadzenia danych API, a także ocenę:

Na potrzeby akapitu pierwszego lit. e) sprawozdanie Komisji odnosi się również do wzajemnego oddziaływania niniejszego rozporządzenia z innymi odpowiednimi aktami ustawodawczymi Unii, w szczególności z rozporządzeniami (WE) nr 767/2008, (UE) 2017/2226 i (UE) 2018/1240, w celu oceny ogólnego wpływu powiązanych obowiązków sprawozdawczych na przewoźników lotniczych, określenia przepisów, które można - w razie potrzeby - zaktualizować i uprościć, aby zmniejszyć obciążenia spoczywające na przewoźnikach lotniczych, oraz rozważenia działań i środków, które można podjąć w celu zmniejszenia całkowitej presji kosztowej na przewoźników lotniczych.

Państwa członkowskie i przewoźnicy lotniczy przekazują eu-LISA i Komisji, na ich wniosek, informacje niezbędne do sporządzania sprawozdań, o których mowa w ust. 2, 3 i 4, takie jak dane związane z wynikami wstępnych kontroli w unijnych systemach informacyjnych i krajowych bazach danych przeprowadzonych na granicach zewnętrznych z wykorzystaniem danych API. W szczególności państwa członkowskie przekazują ilościowe i jakościowe informacje na temat gromadzenia danych API pod kątem operacyjnym. Przekazane informacje nie obejmują danych osobowych. Państwa członkowskie mogą odmówić przekazania takich informacji, jeżeli jest to niezbędne - i w stopniu, w jakim jest to niezbędne - aby nie ujawniać poufnych metod pracy lub nie zagrażać toczącym się postępowaniom prowadzonym przez właściwe służby graniczne. Komisja zapewnia odpowiednią ochronę wszelkich przekazywanych informacji poufnych.

Artykuł 46

Wejście w życie i rozpoczęcie stosowania

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie stosuje się po upływie dwóch lat od dnia rozpoczęcia działania routera, który Komisja ustala zgodnie z art. 34.

Jednakże:

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane w państwach członkowskich zgodnie z Traktatami.

Sporządzono w Brukseli dnia 19 grudnia 2024 r.

1 Dz.U. C 228 z 29.6.2023, s. 97.

2 Stanowisko Parlamentu Europejskiego z dnia 25 kwietnia 2024 r. (dotychczas nieopublikowane w Dzienniku Urzędowym) oraz decyzja Rady z dnia 12 grudnia 2024 r.

3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/399 z dnia 9 marca 2016 r. w sprawie unijnego kodeksu zasad regulujących przepływ osób przez granice (kodeks graniczny Schengen) (Dz.U. L 77 z 23.3.2016, s. 1).

4 Dyrektywa Rady 2004/82/WE z dnia 29 kwietnia 2004 r. w sprawie zobowiązania przewoźników do przekazywania danych pasażerów (Dz.U. L 261 z 6.8.2004, s. 24).

5 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/1157 z dnia 20 czerwca 2019 r. w sprawie poprawy zabezpieczeń dowodów osobistych obywateli Unii i dokumentów pobytowych wydawanych obywatelom Unii i członkom ich rodzin korzystającym z prawa do swobodnego przemieszczania się (Dz.U. L 188 z 12.7.2019, s. 67).

6 Rozporządzenie Rady (WE) nr 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie (Dz.U. L 385 z 29.12.2004, s. 1).

7 Dyrektywa Rady (UE) 2019/997 z dnia 18 czerwca 2019 r. ustanawiająca unijny tymczasowy dokument podróży oraz uchylająca decyzję 96/409/WPZiB (Dz.U. L 163 z 20.6.2019, s. 1).

8 Rozporządzenie (WE) nr 1107/2006 Parlamentu Europejskiego i Rady z dnia 5 lipca 2006 r. w sprawie praw osób

9 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 119 z 4.5.2016, s. 1).

10 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2025/13 z dnia 19 grudnia 2024 r. w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania oraz zmieniające rozporządzenie (UE) 2019/818 (Dz.U. L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj).

11 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/2226 z dnia 30 listopada 2017 r. ustanawiające system wjazdu/wyjazdu (EES) w celu rejestrowania danych dotyczących wjazdu i wyjazdu obywateli państw trzecich przekraczających granice zewnętrzne państw członkowskich i danych dotyczących odmowy wjazdu w odniesieniu do takich obywateli oraz określające warunki dostępu do EES na potrzeby ochrony porządku publicznego i zmieniające konwencję wykonawczą do układu z Schengen i rozporządzenia (WE) nr 767/2008 i (UE) nr 1077/2011 (Dz.U. L 327 z 9.12.2017, s. 20).

12 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1240 z dnia 12 września 2018 r. ustanawiające europejski system informacji o podróży oraz zezwoleń na podróż (ETIAS) i zmieniające rozporządzenia (UE) nr 1077/2011, (UE) nr 515/2014, (UE) 2016/399, (UE) 2016/1624 i (UE) 2017/2226, (Dz.U. L 236 z 19.9.2018, s. 1).

13 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 767/2008 z dnia 9 lipca 2008 r. w sprawie Wizowego Systemu Informacyjnego (VIS) oraz wymiany informacji pomiędzy państwami członkowskimi na temat wiz krótkoterminowych, wiz długoterminowych i dokumentów pobytowych (rozporządzenie w sprawie VIS) (Dz.U. L 218 z 13.8.2008, s. 60).

14 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1726 z dnia 14 listopada 2018 r. w sprawie Agencji Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA), zmiany rozporządzenia (WE) nr 1987/2006 i decyzji Rady 2007/533/WSiSW oraz uchylenia rozporządzenia (UE) nr 1077/2011 (Dz.U. L 295 z 21.11.2018, s. 99).

15 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39).

16 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2019/817 z dnia 20 maja 2019 r. w sprawie ustanowienia ram interoperacyjności systemów informacyjnych UE w obszarze granic i polityki wizowej oraz zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726, (UE) 2018/1861 oraz decyzje Rady 2004/512/WE i 2008/633/WSiSW (Dz.U. L 135 z 22.5.2019, s. 27).

17 Dz.U. L 123 z 12.5.2016, s. 1.

18 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).

19 Decyzja Rady 2002/192/WE z dnia 28 lutego 2002 r. dotycząca wniosku Irlandii o zastosowanie wobec niej niektórych przepisów dorobku Schengen (Dz.U. L 64 z 7.3.2002, s. 20).

20 Dz.U. L 176 z 10.7.1999, s. 36.

21 Decyzja Rady 1999/437/WE z dnia 17 maja 1999 r. w sprawie niektórych warunków stosowania Układu zawartego przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącego włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 176 z 10.7.1999, s. 31).

22 Dz.U. L 53 z 27.2.2008, s. 52.

23 Decyzja Rady 2008/146/WE z dnia 28 stycznia 2008 r. w sprawie zawarcia w imieniu Wspólnoty Europejskiej Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia tego państwa we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen (Dz.U. L 53 z 27.2.2008, s. 1).

24 Dz.U. L 160 z 18.6.2011, s. 21.

25 Decyzja Rady 2011/350/UE z dnia 7 marca 2011 r. w sprawie zawarcia w imieniu Unii Europejskiej Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen, odnoszącego się do zniesienia kontroli na granicach wewnętrznych i do przemieszczania się osób (Dz.U. L 160 z 18.6.2011, s. 19).

26 Dz.U. C 84 z 7.3.2023, s. 2.

27 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/681 z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania (Dz.U. L 119 z 4.5.2016, s. 132).

28 Dz.U. L 56 z 4.3.1968, s. 1.

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2025/12 z dnia 19 grudnia 2024 r. w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu usprawnienia i ułatwienia odpraw na granicach zewnętrznych, zmieniające rozporządzenia (UE) 2018/1726 i (UE) 2019/817 oraz uchylające dyrektywę Rady 2004/82/WE (Dz.U. L, 2025/12, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/12/ oj).

*^*)Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2025/13 z dnia 19 grudnia 2024 r. w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania oraz zmieniające rozporządzenie (UE) 2019/818 (Dz. U. L, 2025/13, 8.1.2025, ELI: http://data.europa.eu/eli/reg/2025/13/oj).";

Zmiany w prawie

Zmiany w podatkach 2025 - przybędzie obowiązków sprawozdawczych

1 stycznia 2025 r. weszły w życie liczne zmiany podatkowe, m.in. nowe definicje budynku i budowli w podatku od nieruchomości, JPK CIT, globalny podatek wyrównawczy, PIT kasowy, zwolnienie z VAT dla małych firm w innych krajach UE. Dla przedsiębiorców oznacza to często nowe obowiązki sprawozdawcze i zmiany w systemach finansowo-księgowych. Firmy muszą też co do zasady przeprowadzić weryfikację nieruchomości pod kątem nowych przepisów.

Monika Pogroszewska 02.01.2025

Nowy Rok - jakie zmiany czekają nas w prawie

W 2025 roku minimalne wynagrodzenie za pracę wzrośnie tylko raz. Obniżeniu ulegnie natomiast minimalna podstawa wymiaru składki zdrowotnej płaconej przez przedsiębiorców. Grozi nam za to podwyżka podatku od nieruchomości. Wzrosną wynagrodzenia nauczycieli, a prawnicy zaczną lepiej zarabiać na urzędówkach. Wchodzą w życie zmiany dotyczące segregacji odpadów i e-doręczeń. To jednak nie koniec zmian, jakie czekają nas w Nowym Roku.

Renata Krupa-Dąbrowska 31.12.2024

Zmiana kodów na PKD 2025 rodzi praktyczne pytania

1 stycznia 2025 r. zacznie obowiązywać nowa Polska Klasyfikacja Działalności – PKD 2025. Jej ostateczny kształt poznaliśmy dopiero w tygodniu przedświątecznym, gdy opracowywany od miesięcy projekt został przekazany do podpisu premiera. Chociaż jeszcze przez dwa lata równolegle obowiązywać będzie stara PKD 2007, niektórzy już dziś powinni zainteresować się zmianami.

Tomasz Ciechoński 31.12.2024

Co się zmieni w prawie dla osób z niepełnosprawnościami w 2025 roku

Dodatek dopełniający do renty socjalnej dla niektórych osób z niepełnosprawnościami, nowa grupa uprawniona do świadczenia wspierającego i koniec przedłużonych orzeczeń o niepełnosprawności w marcu - to tylko niektóre ważniejsze zmiany w prawie, które czekają osoby z niepełnosprawnościami w 2025 roku. Drugą część zmian opublikowaliśmy 31 grudnia.

Beata Dązbłaż 28.12.2024

Stosunek prezydenta Dudy do wolnej Wigilii "uległ zawieszeniu"

Prezydent Andrzej Duda powiedział w czwartek, że ubolewa, że w sprawie ustawy o Wigilii wolnej od pracy nie przeprowadzono wcześniej konsultacji z prawdziwego zdarzenia. Jak dodał, jego stosunek do ustawy "uległ niejakiemu zawieszeniu". Wyraził ubolewanie nad tym, że pomimo wprowadzenia wolnej Wigilii, trzy niedziele poprzedzające święto mają być dniami pracującymi. Ustawa czeka na podpis prezydenta.

kk/pap 12.12.2024

ZUS: Renta wdowia - wnioski od stycznia 2025 r.

Od Nowego Roku będzie można składać wnioski o tzw. rentę wdowią, która dotyczy ustalenia zbiegu świadczeń z rentą rodzinną. Renta wdowia jest przeznaczona dla wdów i wdowców, którzy mają prawo do co najmniej dwóch świadczeń emerytalno-rentowych, z których jedno stanowi renta rodzinna po zmarłym małżonku. Aby móc ją pobierać, należy jednak spełnić określone warunki.

Grażyna J. Leśniak 20.11.2024

Identyfikator:	Dz.U.UE.L.2025.12
Rodzaj:	Rozporządzenie
Tytuł:	Rozporządzenie 2025/12 w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu usprawnienia i ułatwienia odpraw granicznych na granicach zewnętrznych, zmiany rozporządzeń (UE) 2018/1726 i (UE) 2019/817 oraz uchylenia dyrektywy Rady 2004/82/WE
Data aktu:	19/12/2024
Data ogłoszenia:	08/01/2025
Data wejścia w życie:	22/01/2025

Rozporządzenie 2025/12 w sprawie gromadzenia i przekazywania danych pasażera przekazywanych przed podróżą w celu usprawnienia i ułatwienia odpraw granicznych na granicach zewnętrznych, zmiany rozporządzeń (UE) 2018/1726 i (UE) 2019/817 oraz uchylenia dyrektywy Rady 2004/82/WE

ROZDZIAŁ 1 PRZEPISY OGÓLNE

ROZDZIAŁ 2 GROMADZENIE, PRZEKAZYWANIE, PRZECHOWYWANIE I USUWANIE DANYCH API

ROZDZIAŁ 3 PRZEPISY DOTYCZĄCE ROUTERA

ROZDZIAŁ 4 PRZEPISY SZCZEGÓŁOWE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH I BEZPIECZEŃSTWA

ROZDZIAŁ 5 KWESTIE DOTYCZĄCE ROUTERA

ROZDZIAŁ 6 ZARZĄDZANIE

ROZDZIAŁ 7 NADZÓR, KARY, STATYSTYKI I PODRĘCZNIK

ROZDZIAŁ 8 ZWIĄZEK Z INNYMI OBOWIĄZUJĄCYMI INSTRUMENTAMI

ROZDZIAŁ 9 PRZEPISY KOŃCOWE