a także mając na uwadze, co następuje:(1) Międzynarodowy wymiar poważnej przestępczości i zorganizowanej przestępczości oraz ciągłe zagrożenie atakami terrorystycznymi na terytorium europejskim wymagają działań na szczeblu Unii w celu przyjęcia odpowiednich środków, aby zapewnić bezpieczeństwo w przestrzeni wolności, bezpieczeństwa i sprawiedliwości bez granic wewnętrznych. Informacje na temat pasażerów lotniczych, takie jak dane dotyczące przelotu pasażera (PNR), a w szczególności dane pasażera przekazywane przed podróżą (API), są niezbędne do identyfikacji pasażerów stanowiących zagrożenie, w tym tych, którzy nie są w inny sposób znani organom ścigania, do identyfikacji powiązań między członkami grup przestępczych i do przeciwdziałania działalności terrorystycznej.
(2) Dyrektywa Rady 2004/82/WE 3 ustanawia ramy prawne gromadzenia i przekazywania danych API przez przewoźników lotniczych w celu poprawy kontroli granicznej i zwalczania nielegalnej imigracji, a zarazem stanowi, że państwa członkowskie mogą wykorzystywać dane API do celów ochrony porządku publicznego. Samo stworzenie takiej możliwości prowadzi jednak do powstania szeregu luk i niedociągnięć. W szczególności oznacza to, że dane API nie są systematycznie gromadzone i przekazywane przez przewoźników lotniczych do celów ochrony porządku publicznego. Możliwość wykorzystywania danych API do celów ochrony porządku publicznego oznacza również, że gdy państwa członkowskie korzystają z tej możliwości, przewoźnicy lotniczy mają do czynienia z rozbieżnymi wymogami prawa krajowego dotyczącymi tego, kiedy i w jaki sposób należy gromadzić i przekazywać dane API do tych celów. Rozbieżności te nie tylko prowadzą do niepotrzebnych kosztów i komplikacji dla przewoźników lotniczych, ale także negatywnie wpływają na bezpieczeństwo wewnętrzne Unii i skuteczną współpracę między właściwymi organami ścigania państw członkowskich. Ponadto, ze względu na odmienny charakter celów związanych z ułatwianiem kontroli granicznych i z ochroną porządku publicznego, należy ustanowić odrębne ramy prawne dotyczące gromadzenia i przekazywania danych API dla każdego z tych celów.
(3) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/681 4 ustanawia przepisy dotyczące wykorzystywania danych PNR w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania. Zgodnie z tą dyrektywą państwa członkowskie mają przyjąć środki niezbędne do tego, by przewoźnicy lotniczy przekazywali zgromadzone dane PNR, w tym dane API, ustanowionej na podstawie tej dyrektywy krajowej jednostce do spraw informacji o pasażerach (JIP) w zakresie, w jakim już gromadzą takie dane w ramach swojej normalnej działalności. W związku z tym dyrektywa ta nie zapewnia gromadzenia i przekazywania danych API we wszystkich przypadkach, ponieważ przewoźnicy lotniczy nie mają żadnego powodu związanego ze swoją działalnością, by gromadzić pełny zbiór takich danych. Należy zapewnić, by JIP otrzymywały dane API wraz z danymi PNR, ponieważ wspólne przetwarzanie takich danych jest niezbędne, aby właściwe organy państw członkowskich mogły skutecznie zapobiegać przestępstwom terrorystycznym i poważnej przestępczości, wykrywać je, prowadzić postępowania przygotowawcze w ich sprawie i je ścigać. W szczególności takie wspólne przetwarzanie pozwala na dokładną identyfikację pasażerów, którzy mogą wymagać dalszego sprawdzenia przez te organy zgodnie z mającymi zastosowanie przepisami. Dyrektywa ta ponadto nie precyzuje szczegółowo, które informacje stanowią dane API. Z tych powodów należy ustanowić przepisy uzupełniające zobowiązujące przewoźników lotniczych do gromadzenia, a następnie przekazywania określonego zbioru danych API, które to wymogi powinny mieć zastosowanie w zakresie, w jakim przewoźnicy lotniczy są na podstawie tej dyrektywy zobowiązani do gromadzenia i przekazywania danych PNR w odniesieniu do tego samego lotu.
(4) Konieczne jest zatem ustanowienie jasnych, zharmonizowanych i skutecznych przepisów na poziomie Unii dotyczących gromadzenia i przekazywania danych API do celów zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania.
(5) Biorąc pod uwagę ścisły związek między obydwoma aktami, niniejsze rozporządzenie należy rozumieć jako uzupełnienie przepisów przewidzianych w dyrektywie (UE) 2016/681, z uwzględnieniem ich wykładni przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE). Dlatego dane API należy gromadzić i przekazywać wyłącznie na podstawie niniejszego rozporządzenia zgodnie z wprowadzonymi w nim szczegółowymi wymogami, w tym wymogami określającymi, w jakich sytuacjach i w jaki sposób należy to robić. Przepisy wspomnianej dyrektywy mają jednak zastosowanie do kwestii, które nie zostały wyraźnie objęte niniejszym rozporządzeniem - zwłaszcza jeśli chodzi o przepisy regulujące późniejsze przetwarzanie danych API otrzymanych przez JIP, wymianę informacji między państwami członkowskimi, warunki dostępu Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol) oraz przekazywanie do państw trzecich, zatrzymywanie i depersonalizację, a także ochronę danych osobowych. W zakresie, w jakim przepisy te mają zastosowanie, zastosowanie mają również przepisy tej dyrektywy dotyczące kar i krajowych organów nadzorczych. Niniejsze rozporządzenie nie powinno naruszać tych przepisów i w związku z tym powinno w szczególności pozostawać bez uszczerbku dla wymogów i zabezpieczeń mających zastosowanie do przetwarzania danych API przez JIP.
(6) Gromadzenie i przekazywanie danych API ma wpływ na prywatność osób fizycznych i wiąże się z przetwarzaniem ich danych osobowych. Aby zapewnić pełne przestrzeganie ich praw podstawowych, w szczególności prawa do poszanowania życia prywatnego i prawa do ochrony danych osobowych, zgodnie z Kartą praw podstawowych Unii Europejskiej (zwanej dalej "Kartą") należy przewidzieć odpowiednie ograniczenia i zabezpieczenia. Na przykład przetwarzanie danych API, w szczególności danych API stanowiących dane osobowe, powinno bezwzględnie ograniczać się do tego, co jest konieczne i proporcjonalne do osiągnięcia celów niniejszego rozporządzenia. Ponadto należy zadbać o to, aby przetwarzanie danych API gromadzonych i przekazywanych na podstawie niniejszego rozporządzenia nie prowadziło do jakiejkolwiek formy dyskryminacji zakazanej w Karcie.
(7) Ze względu na uzupełniający charakter niniejszego rozporządzenia w stosunku do dyrektywy (UE) 2016/681 obowiązki przewoźników lotniczych wynikające z niniejszego rozporządzenia powinny mieć zastosowanie do wszystkich lotów, w odniesieniu do których państwa członkowskie muszą wymagać od przewoźników lotniczych przekazywania danych PNR na podstawie dyrektywy (UE) 2016/681, niezależnie od miejsca siedziby przewoźników lotniczych wykonujących te loty. Powinno to dotyczyć lotów zarówno regularnych, jak i nieregularnych, a także zarówno między państwami członkowskimi a państwami trzecimi (loty pozaunijne), jak i między państwami członkowskimi (loty wewnątrzunijne), pod warunkiem że w przypadku takich lotów wewnętrzunijnych miejsca odlotu, przylotu lub przerwy w podróży znajdują się na terytorium co najmniej jednego państwa członkowskiego, które powiadomiło o swojej decyzji o stosowaniu dyrektywy (UE) 2016/681 do lotów wewnątrzunijnych zgodnie z art. 2 ust. 1 tej dyrektywy oraz z orzecznictwem TSUE. Co się tyczy lotów wewnątrzunijnych objętych niniejszym rozporządzeniem, takie ukierunkowane podejście, przyjęte w ramach wykonywania art. 2 dyrektywy (UE) 2016/681 i skoncentrowane na względach związanych ze skutecznym egzekwowaniem prawa, powinno być również wymagane z uwagi na potrzebę zapewnienia zgodności z wymogami prawa Unii odnoszącymi się do konieczności i proporcjonalności przetwarzania danych, do swobodnego przepływu osób oraz do zniesienia kontroli na granicach wewnętrznych. Gromadzenie danych z innych operacji cywilnych statków powietrznych, np. z lotów szkoleniowych, lotów medycznych i lotów awaryjnych, a także z lotów wojskowych, nie jest objęte zakresem niniejszego rozporządzenia. Niniejsze rozporządzenie pozostaje bez uszczerbku dla gromadzenia danych z takich lotów zgodnie z przepisami prawa krajowego zgodnymi z prawem Unii. Komisja powinna ocenić wykonalność unijnego systemu zobowiązującego operatorów lotów prywatnych do gromadzenia i przekazywania danych pasażerów lotniczych.
(8) Obowiązki przewoźników lotniczych dotyczące gromadzenia i przekazywania danych API na podstawie niniejszego rozporządzenia powinny obejmować wszystkich pasażerów i członków załóg lotów do Unii, pasażerów w tranzycie, których cel podróży znajduje się poza Unią, a także członków załogi niepełniących służby, którzy znajdują się na pokładzie z polecenia przewoźnika lotniczego w związku z ich obowiązkami.
(9) W związku z tym, ponieważ dyrektywa (UE) 2016/681 nie obejmuje lotów krajowych, w przypadku których miejsca odlotu i przylotu znajdują się na terytorium tego samego państwa członkowskiego, bez przerwy w podróży na terytorium innego państwa członkowskiego lub państwa trzeciego, a także zważywszy na ponadnarodowy wymiar przestępstw terrorystycznych i poważnej przestępczości objętych niniejszym rozporządzeniem, loty takie również nie powinny być objęte niniejszym rozporządzeniem. Niniejszego rozporządzenia nie należy rozumieć w ten sposób, że wpływa ono na możliwość nałożenia przez państwa członkowskie, na podstawie ich prawa krajowego i zgodnie z prawem Unii, obowiązków na przewoźników lotniczych w zakresie gromadzenia i przekazywania danych API w odniesieniu do takich lotów krajowych.
(10) Ze względu na ścisły związek między odpowiednimi aktami prawnymi Unii oraz w celu zapewnienia spójności definicje zawarte w niniejszym rozporządzeniu powinny być, w stosownych przypadkach, dostosowane do definicji określonych w dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/681 i rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2025/12 5 .
(11) W szczególności informacje stanowiące łącznie dane API - które mają być gromadzone, a następnie przekazywane na podstawie niniejszego rozporządzenia - powinny być wymienione jasno i wyczerpująco i obejmować zarówno informacje dotyczące każdego pasażera i członka załogi, jak i informacje o ich locie. Na podstawie niniejszego rozporządzenia i zgodnie ze standardami międzynarodowymi takie informacje o locie powinny obejmować informacje o miejscu pasażera na pokładzie i o bagażu, jeżeli takie informacje są dostępne, oraz informacje na temat przejścia granicznego przylotu na terytorium danego państwa członkowskiego wyłącznie w stosownych przypadkach - nie wtedy, gdy dane API odnoszą się do lotów wewnątrzunijnych. Jeżeli informacje o bagażu lub o miejscu pasażera na pokładzie są dostępne w innych systemach informatycznych, którymi dysponuje przewoźnik lotniczy, jego obsługa naziemna, jego dostawca systemu lub władze portu lotniczego, przewoźnicy lotniczy powinni włączyć te informacje do danych API przekazywanych do JIP. Dane API zdefiniowane i uregulowane w niniejszym rozporządzeniu nie obejmują danych biometrycznych.
(12) Aby umożliwić podróżowanie bez dokumentu podróży, jeżeli państwa członkowskie zezwalają na taką praktykę w prawie krajowym zgodnie z prawem Unii, w tym na podstawie umowy międzynarodowej, państwo członkowskie powinno móc zobowiązać przewoźników lotniczych, by zapewniali pasażerom możliwość dobrowolnego przesyłania danych API w sposób zautomatyzowany oraz przechowywania takich danych przez przewoźnika lotniczego na potrzeby ich przekazania do celów przyszłych lotów.
(13) Aby umożliwić elastyczność i innowacyjność, należy zasadniczo pozostawić każdemu przewoźnikowi lotniczemu decyzję, w jaki sposób wypełnia on swoje obowiązki w zakresie gromadzenia danych API wynikające z niniejszego rozporządzenia, z uwzględnieniem różnych rodzajów przewoźników lotniczych określonych w niniejszym rozporządzeniu, modeli biznesowych poszczególnych przewoźników, w tym terminów odpraw, oraz współpracy z portami lotniczymi. Mając jednak na uwadze fakt, że istnieją odpowiednie rozwiązania technologiczne umożliwiające automatyczne gromadzenie niektórych danych API przy jednoczesnym zapewnieniu, aby dane te były dokładne, kompletne i aktualne, a także uwzględniając korzyści wynikające z zastosowania takiej technologii pod względem skuteczności i wydajności, przewoźnicy lotniczy powinni być zobowiązani do gromadzenia takich danych API w sposób zautomatyzowany przez odczytywanie informacji z danych nadających się do odczytu maszynowego w dokumencie podróży. Jeżeli wykorzystanie takich zautomatyzowanych sposobów nie jest technicznie możliwe ze względu na wyjątkowe okoliczności, przewoźnicy lotniczy powinni wyjątkowo gromadzić dane API manualnie, w ramach odprawy przez internet albo odprawy w porcie lotniczym, w taki sposób, aby wywiązać się z obowiązków spoczywających na nich na podstawie niniejszego rozporządzenia.
(14) Gromadzenie danych API w sposób zautomatyzowany powinno być ściśle ograniczone do danych alfanumerycznych zawartych w dokumencie podróży i nie powinno prowadzić do gromadzenia pochodzących z niego jakichkolwiek danych biometrycznych. Ponieważ gromadzenie danych API jest częścią odprawy, zarówno przez internet, jak i w porcie lotniczym, niniejsze rozporządzenie nie zawiera obowiązku sprawdzania przez przewoźników lotniczych dokumentu podróży pasażera w chwili wejścia na pokład. Przestrzeganie niniejszego rozporządzenia nie obejmuje obowiązku posiadania przez pasażerów dokumentu podróży w chwili wejścia na pokład. Powinno to pozostawać bez uszczerbku dla obowiązków wynikających z innych aktów prawa Unii lub z przepisów prawa krajowego zgodnych z prawem Unii.
(15) Gromadzenie danych API z dokumentów podróży powinno być również spójne z normami ICAO dotyczącymi dokumentów podróży nadających się do odczytu maszynowego, włączonymi do prawa Unii rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/1157 6 , rozporządzeniem Rady (WE) nr 2252/2004 7 oraz dyrektywą Rady (UE) 2019/997 8 .
(16) Aby uniknąć konieczności nawiązywania i utrzymywania przez przewoźników lotniczych wielu połączeń z JIP państw członkowskich w celu przekazywania danych API gromadzonych na podstawie niniejszego rozporządzenia, i w ten sposób uniknąć związanego z tym braku efektywności i ryzyka dla bezpieczeństwa, należy ustanowić jeden router, opracowany i obsługiwany na poziomie Unii zgodnie z niniejszym rozporządzeniem i rozporządzeniem (UE) 2025/12, który służy jako punkt połączenia i dystrybucji do celów przekazywania danych API. Ze względów efektywności i opłacalności router powinien - w zakresie, w jakim jest to technicznie możliwe i w pełnej zgodności z przepisami niniejszego rozporządzenia i rozporządzenia (UE) 2025/12 - opierać się na elementach technicznych pochodzących z innych odpowiednich systemów utworzonych na podstawie prawa Unii, w szczególności na usłudze sieciowej, o której mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2017/2226 9 , portalu dla przewoźników, o którym mowa w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1240 10 , i portalu dla przewoźników, o którym mowa w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 767/2008 11 . Aby ograniczyć wpływ na przewoźników lotniczych i zapewnić zharmonizowane podejście do przewoźników lotniczych, Agencja Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA) ustanowiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1726 12 powinna zaprojektować router, w miarę możliwości technicznych i operacyjnych, w sposób spójny i zgodny z obowiązkami przewoźników lotniczych określonych w rozporządzeniach (WE) nr 767/2008, (UE) 2017/2226 i (UE) 2018/1240.
(17) Aby umożliwić odczytywanie danych PNR przez JIP oraz zapewnić właściwe funkcjonowanie ich systemów PNR, wiadomości cyfrowe wysyłane przez przewoźnika lotniczego, zawierające dane dotyczące przelotu co najmniej jednego pasażera (zwane dalej "wiadomościami PNR"), powinny być przekazywane przez przewoźników lotniczych i przesyłane za pośrednictwem routera w standardowym formacie przy użyciu standardowych - zarówno pod względem treści, jak i struktury - pól lub kodów danych. Przed rozpoczęciem działania routera w odniesieniu do innych danych PNR testy, które ma przeprowadzić eu-LISA, powinny potwierdzić zdolność, szybkość i niezawodność routera, tak by umożliwić taką standaryzację. W tym celu Komisja powinna poczynić kroki niezbędne do przeglądu obowiązujących przepisów wykonawczych przyjętych na podstawie art. 16 dyrektywy (UE) 2016/681, określających wspólne protokoły i obsługiwane formaty danych. Taki przegląd należy przeprowadzić w ścisłym porozumieniu z przedstawicielami państw członkowskich, aby wykorzystać ich wiedzę ekspercką i zagwarantować, że najlepsze praktyki opracowane przez nich przy wdrażaniu dyrektywy (UE) 2016/681 na poziomie krajowym zostaną uwzględnione na poziomie Unii na potrzeby funkcjonowania routera. Grupa kontaktowa ds. API-PNR powinna udzielić wsparcia w takim przeglądzie.
(18) Aby poprawić skuteczność przesyłania danych o ruchu lotniczym i wesprzeć monitorowanie danych API przesyłanych do JIP, do routera powinny trafiać informacje o ruchu lotniczym w czasie rzeczywistym gromadzone przez inne organizacje, takie jak Europejska Organizacja ds. Bezpieczeństwa Żeglugi Powietrznej ("Eurocontrol").
(19) Router powinien służyć wyłącznie ułatwieniu przekazywania danych API i innych danych PNR przez przewoźników lotniczych do JIP zgodnie z niniejszym rozporządzeniem i nie powinien pełnić funkcji repozytorium danych API lub innych danych PNR. W związku z tym, a także aby zminimalizować ryzyko nieuprawnionego dostępu lub innego niewłaściwego wykorzystania oraz zgodnie z zasadą minimalizacji danych, przechowywanie żadnych danych nie powinno mieć miejsca, chyba że jest absolutnie niezbędne do celów technicznych związanych z przesyłaniem, a dane API lub inne dane PNR należy usuwać z routera natychmiast, trwale i w sposób zautomatyzowany z chwilą zakończenia przesyłania lub, jeżeli ma to zastosowanie na podstawie niniejszego rozporządzenia, danych API lub innych danych PNR nie należy przesyłać w ogóle.
(20) Aby przewoźnicy lotniczy mogli jak najszybciej odnieść korzyści wynikające z zastosowania routera opracowanego przez eu-LISA zgodnie z niniejszym rozporządzeniem i rozporządzeniem (UE) 2025/12 oraz zdobyć doświadczenie w jego używaniu, należy im zapewnić możliwość, ale nie wprowadzać obowiązku, korzystania z routera w celu przekazywania informacji, które są zobowiązani przekazywać na podstawie dyrektywy 2004/82/WE w okresie pośrednim. Ten okres pośredni powinien rozpocząć się z chwilą rozpoczęcia działania routera i zakończyć się z chwilą, gdy obowiązki wynikające z tej dyrektywy przestaną mieć zastosowanie. W celu zapewnienia, aby powyższe dobrowolne korzystanie z routera odbywało się w sposób odpowiedzialny, należy wymagać uprzedniej pisemnej zgody państwa członkowskiego, które ma otrzymywać informacje, na wniosek przewoźnika lotniczego oraz w razie potrzeby po przeprowadzeniu przez to państwo członkowskie weryfikacji i uzyskaniu zapewnień. Podobnie - w celu uniknięcia sytuacji, w którejprzewoźnicy lotniczy wielokrotnie zaczynaliby i przestawali korzystać z routera - gdy przewoźnik lotniczy rozpocznie dobrowolne korzystanie z routera, powinien być zobowiązany je kontynuować, chyba że istnieją obiektywne powody, by zaprzestać korzystania z routera do przekazywania informacji do danego państwa członkowskiego, na przykład jeżeli okaże się, że informacje nie są przekazywane zgodnie z prawem, bezpiecznie, skutecznie i sprawnie. W celu właściwego stosowania możliwości dobrowolnego korzystania z routera, z należytym uwzględnieniem praw i interesów wszystkich zainteresowanych stron, należy w niniejszym rozporządzeniu ustanowić niezbędne przepisy dotyczące konsultacji i przekazywania informacji. Powyższego dobrowolnego korzystania z routera w ramach wykonywania dyrektywy 2004/82/WE zgodnie z niniejszym rozporządzeniem nie należy rozumieć w ten sposób, że w jakikolwiek sposób zmienia ono obowiązki przewoźników lotniczych i państw członkowskich na podstawie tej dyrektywy.
(21) Wymogi określone w niniejszym rozporządzeniu oraz w odpowiednich aktach delegowanych i wykonawczych powinny prowadzić do jednolitego wdrożenia rozporządzenia przez przewoźników lotniczych i w ten sposób zminimalizować koszty wzajemnych połączeń między ich odpowiednimi systemami. Aby ułatwić zharmonizowane wdrożenie tych wymogów przez przewoźników lotniczych, w szczególności w odniesieniu do struktury danych, ich formatu i protokołu transmisyjnego, Komisja, we współpracy z JIP, organami innych państw członkowskich, przewoźnikami lotniczymi i odpowiednimi agencjami unijnymi, powinna zapewnić przygotowanie praktycznego podręcznika zawierającego wszystkie niezbędne wytyczne i wyjaśnienia.
(22) Aby poprawić jakość danych API, router, który ma zostać ustanowiony na mocy niniejszego rozporządzenia, powinien weryfikować, czy dane API przekazywane przez przewoźników lotniczych są zgodne z obsługiwanymi formatami danych. W przypadku stwierdzenia w wyniku weryfikacji, że dane nie są kompatybilne z tymi formatami danych, router powinien natychmiast automatycznie powiadomić o tym zainteresowanego przewoźnika lotniczego.
(23) Pasażerowie powinni mieć możliwość samodzielnego przekazywania niektórych danych API w sposób zautomatyzowany podczas odprawy online, na przykład za pośrednictwem bezpiecznej aplikacji na smartfonie pasażera, komputerze lub kamerze internetowej umożliwiającej odczyt danych dokumentu podróży nadających się do odczytu maszynowego. Jeżeli pasażerowie nie odprawiają się przez internet, przewoźnicy lotniczy powinni umożliwić im podanie wymaganych danych API nadających się do odczytu maszynowego podczas odprawy w porcie lotniczym w punkcie samoobsługowym lub z pomocą personelu przewoźników lotniczych przy stanowisku odprawy. Bez uszczerbku dla swobody przewoźników lotniczych w ustalaniu taryf lotniczych i określaniu własnej polityki handlowej, jest ważne, aby obowiązki wynikające z niniejszego rozporządzenia nie prowadziły do nieproporcjonalnych przeszkód - takich jak dodatkowe opłaty za podanie danych API w porcie lotniczym - dla pasażerów, którzy nie mają możliwości podania danych API przez internet. Ponadto w niniejszym rozporządzeniu należy przewidzieć okres przejściowy, w którym pasażerowie mogą manualnie podawać dane API w ramach odprawy przez internet. W takich przypadkach przewoźnicy lotniczy powinni stosować techniki weryfikacji danych.
(24) Ważne jest, aby systemy zautomatyzowanego gromadzenia danych i inne procesy ustanowione na mocy niniejszego rozporządzenia nie wpływały negatywnie na pracowników sektora lotniczego, którym należy zapewnić możliwości podnoszenia i zmiany kwalifikacji, co zwiększyłoby skuteczność i niezawodność gromadzenia i przekazywania danych, a także poprawiłoby warunki pracy w tym sektorze.
(25) Aby zapewnić wspólne przetwarzanie danych API i danych PNR w celu skutecznej walki z terroryzmem i poważną przestępczością w Unii, a jednocześnie zminimalizować ingerencję w prawa podstawowe pasażerów chronione na podstawie Karty, JIP powinny być właściwymi organami w państwach członkowskich odpowiedzialnymi za przyjmowanie, a następnie dalsze przetwarzanie i ochronę danych API gromadzonych i przekazywanych na podstawie niniejszego rozporządzenia. Ze względów efektywności oraz aby zminimalizować wszelkie ryzyko dla bezpieczeństwa, router - którego zaprojektowaniem, opracowaniem, hostingiem i utrzymaniem technicznym zajmuje się eu-LISA zgodnie z niniejszym rozporządzeniem i z rozporządzeniem (UE) 2025/12 - powinien przesyłać do odpowiednich JIP dane API gromadzone i przekazywane przez przewoźników lotniczych na podstawie niniejszego rozporządzenia. Z uwagi na niezbędny poziom ochrony danych API stanowiących dane osobowe, w tym w celu zapewnienia poufności odpowiednich informacji, dane API powinny być przesyłane za pośrednictwem routera do odpowiednich JIP w sposób zautomatyzowany. Niniejsze rozporządzenie nie powinno wpływać na możliwość utworzenia przez państwa członkowskie pojedynczego punktu wprowadzania danych, który zapewniałby połączenie i integrację tych państw z routerem.
(26) Aby zapewnić przestrzeganie praw przewidzianych w Karcie oraz zapewnić - zwłaszcza słabszym grupom społecznym i osobom z niepełnosprawnościami - dostępne i inkluzywne możliwości podróżowania, a także zgodnie z prawami osób niepełnosprawnych oraz osób o ograniczonej sprawności ruchowej podróżujących drogą lotniczą, określonymi w rozporządzeniu (WE) nr 1107/2006 Parlamentu Europejskiego i Rady 13 , przewoźnicy lotniczy, wspierani przez państwa członkowskie, powinni zapewnić stałą możliwość podawania niezbędnych danych przez pasażerów w porcie lotniczym.
(27) W przypadku lotów pozaunijnych JIP państwa członkowskiego, na którego terytorium znajduje się miejsce przylotu lub odlotu, powinna otrzymywać z routera dane API dotyczące wszystkich lotów, w odniesieniu do których zgodnie z dyrektywą (UE) 2016/681 gromadzone są dane PNR. Router powinien identyfikować lot i odpowiednie JIP, korzystając z informacji zawartych w kodzie identyfikacyjnym danych PNR - elemencie danych wspólnym dla zbiorów danych API i zbiorów danych PNR, umożliwiającym wspólne przetwarzanie danych API i danych PNR przez JIP.
(28) Co się tyczy lotów wewnątrzunijnych, zgodnie z orzecznictwem TSUE, aby uniknąć nieuzasadnionej ingerencji w odpowiednie prawa podstawowe pasażerów chronione na podstawie Karty oraz zapewnić zgodność z wymogami prawa Unii regulującymi swobodny przepływ osób i zniesienie kontroli na granicach wewnętrznych, należy przewidzieć podejście selektywne. Ponieważ ważne jest, by dane API mogły być przetwarzane wraz z danymi PNR, podejście to należy dostosować do podejścia określonego w dyrektywie (UE) 2016/681. Z tych powodów dane API dotyczące tych lotów powinny być przesyłane z routera do odpowiednich JIP tylko wtedy, gdy państwa członkowskie dokonały wyboru lotów w ramach wykonywania art. 2 dyrektywy (UE) 2016/681 i zgodnie z podejściem selektywnym przewidzianym w niniejszym rozporządzeniu. Państwa członkowskie powinny móc stosować dyrektywę (UE) 2016/681 do wszystkich lotów wewnątrzunijnych, w przypadku których miejsce przylotu lub odlotu znajduje się na ich terytorium, wyłącznie w sytuacjach rzeczywistego i aktualnego lub możliwego do przewidzenia zagrożenia terrorystycznego, na podstawie decyzji opartej na ocenie zagrożenia, ograniczonej do bezwzględnie koniecznego okresu i podlegającej skutecznemu przeglądowi. W innych sytuacjach należy przewidzieć podejście selektywne. Jak przypomniał TSUE, wybór lotów wiąże się z ukierunkowaniem przez państwa członkowskie przedmiotowych obowiązków wyłącznie na m.in. określone trasy, prawidłowości w podróżowaniu lub porty lotnicze, z zastrzeżeniem dokonywania regularnego przeglądu tego wyboru. Ponadto wybór powinien opierać się na obiektywnej, należycie uzasadnionej i niedyskryminującej ocenie uwzględniającej jedynie te kryteria, które są istotne dla zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania oraz które mają obiektywny związek, w tym związek pośredni, z lotniczym przewozem pasażerów. Państwa członkowskie powinny przechowywać całą odpowiednią dokumentację dotyczącą oceny, aby umożliwić właściwy nadzór nad tą oceną, i regularnie, przynajmniej co 12 miesięcy, przeprowadzać przeglądy tej oceny, zgodnie z art. 13 ust. 7 niniejszego rozporządzenia.
(29) Aby umożliwić stosowanie selektywnego podejścia na podstawie niniejszego rozporządzenia w odniesieniu do lotów wewnątrzunijnych, państwa członkowskie powinny być zobowiązane do sporządzenia wykazów wybranych przez nie lotów lub tras i do wprowadzenia ich do routera, tak by eu-LISA mogła zadbać o to, aby tylko dane API dotyczące tych lotów lub tras były przesyłane z routera do odpowiednich JIP oraz by dane API dotyczące innych lotów wewnątrzunijnych były natychmiast trwale usuwane.
(30) Aby zwiększyć spójność między selektywnymi podejściami stosowanymi przez poszczególne państwa członkowskie, Komisja powinna ułatwiać regularną wymianę poglądów na temat wyboru kryteriów selekcji, obejmującą dzielenie się najlepszymi praktykami, a także, na zasadzie dobrowolności, wymianę informacji na temat doboru lotów.
(31) Aby nie zaszkodzić - w szczególności przez stworzenie ryzyka obchodzenia przepisów - skuteczności systemu, który opiera się na gromadzeniu i przekazywaniu danych API, ustanowionego niniejszym rozporządzeniem, oraz danych PNR w ramach systemu ustanowionego dyrektywą (UE) 2016/681, do celów zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania, informacje na temat tego, które loty wewnątrzunijne zostały wybrane przez państwa członkowskie, powinny być traktowane w sposób poufny. Z tego powodu takie informacje nie powinny być udostępniane przewoźnikom lotniczym, którzy natomiast powinni być zobowiązani do gromadzenia danych API w odniesieniu do wszystkich lotów objętych niniejszym rozporządzeniem, w tym wszystkich lotów wewnątrzunijnych, a następnie do przekazywania tych danych do routera, w którym następuje wymagany wybór danych. Ponadto przy gromadzeniu danych API w odniesieniu do wszystkich lotów wewnątrzunijnych pasażerowie nie są informowani o tym, które loty wewnątrzunijne wybrano do przesłania danych API - a tym samym również danych PNR - do JIP zgodnie z oceną państw członkowskich. Podejście to zapewnia również sprawną i skuteczną realizację wszelkich zmian dotyczących tego wyboru, bez nakładania nadmiernych obciążeń ekonomicznych i operacyjnych na przewoźników lotniczych.
(32) Niniejsze rozporządzenie nie zezwala na gromadzenie lub przekazywanie danych API w odniesieniu do lotów wewnątrzunijnych w celu zwalczania nielegalnej imigracji, zgodnie z prawem Unii i orzecznictwem TSUE.
(33) W celu zapewnienia przestrzegania podstawowego prawa do ochrony danych osobowych w niniejszym rozporządzeniu należy określić administratora i podmiot przetwarzający oraz przepisy dotyczące kontroli. W celu zapewnienia skutecznego monitorowania, odpowiedniej ochrony danych osobowych i ograniczenia do minimum ryzyka dla bezpieczeństwa należy również ustanowić przepisy dotyczące rejestrowania, bezpieczeństwa niepełnosprawnych oraz osób o ograniczonej sprawności ruchowej podróżujących drogą lotniczą (Dz.U. L 204 z 26.7.2006, s. 1). przetwarzania i monitorowania własnej działalności. Jeżeli przepisy te odnoszą się do przetwarzania danych osobowych, powinny być one zgodne z mającymi ogólne zastosowanie aktami prawnymi Unii dotyczącymi ochrony danych osobowych, w szczególności z rozporządzeniami Parlamentu Europejskiego i Rady (UE) 2016/679 14 oraz (UE) 2018/1725 15 .
(34) Bez uszczerbku dla bardziej szczegółowych przepisów niniejszego rozporządzenia dotyczących przetwarzania danych osobowych, rozporządzenie (UE) 2016/679 powinno mieć zastosowanie do przetwarzania danych osobowych przez przewoźników lotniczych na podstawie niniejszego rozporządzenia. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 16 powinna mieć zastosowanie do przetwarzania danych osobowych na podstawie niniejszego rozporządzenia przez właściwe służby krajowe określone w tej dyrektywie do celów zapobiegania przestępstwom, prowadzenia postępowań przygotowawczych w ich sprawie, ich wykrywania lub ścigania lub do celów wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Do przetwarzania danych osobowych przez eu-LISA podczas wykonywania przez nią obowiązków na podstawie niniejszego rozporządzenia powinno mieć zastosowanie rozporządzenie (UE) 2018/1725.
(35) Z uwagi na prawo pasażerów do informacji o przetwarzaniu ich danych osobowych państwa członkowskie powinny zapewniać, aby pasażerowie otrzymywali - w chwili rezerwacji i w chwili odprawy - dokładne, łatwo dostępne i łatwo zrozumiałe informacje o gromadzeniu danych API, o przekazywaniu takich danych do JIP i o swoich prawach jako osób, których dane dotyczą.
(36) Kontrole ochrony danych osobowych, za które odpowiadają państwa członkowskie, powinny być prowadzone przez niezależne organy nadzorcze, o których mowa w art. 41 dyrektywy (UE) 2016/680, lub przez instytucję kontrolną, której organ nadzorczy powierzył to zadanie.
(37) Celem operacji przetwarzania danych na podstawie niniejszego rozporządzenia, a mianowicie przesyłania danych API przez przewoźników lotniczych za pośrednictwem routera do JIP państw członkowskich, jest wspieranie tych organów w wykonywaniu ich obowiązków i zadań zgodnie z dyrektywą (UE) 2016/681. W związku z tym państwa członkowskie powinny wyznaczyć organy, które będą administratorami do celów przetwarzania danych w routerze, przesyłania danych z routera do JIP oraz późniejszego przetwarzania tych danych zgodnie z dyrektywą (UE) 2016/681. Państwa członkowskie powinny powiadomić Komisję i eu-LISA o tych organach. W odniesieniu do przetwarzania danych osobowych w routerze państwa członkowskie powinny być współadministratorami zgodnie z art. 21 dyrektywy (UE) 2016/680. Z kolei przewoźnicy lotniczy powinni pełnić rolę odrębnych administratorów w zakresie przetwarzania danych API stanowiących dane osobowe na podstawie niniejszego rozporządzenia. W związku z tym zarówno przewoźnicy lotniczy, jak i JIP powinni być odrębnymi administratorami w odniesieniu do prowadzonej przez siebie działalności związanej z przetwarzaniem danych API na podstawie niniejszego rozporządzenia. Ponieważ eu-LISA jest podmiotem odpowiedzialnym za zaprojektowanie, opracowanie i hosting routera oraz techniczne zarządzanie routerem, powinna być ona podmiotem przetwarzającym do celów przetwarzania za pośrednictwem routera danych API stanowiących dane osobowe, w tym przesyłania danych z routera do JIP oraz przechowywania tych danych w routerze, o ile takie przechowywanie jest potrzebne do celów technicznych.
(38) Router, który ma zostać opracowany i być obsługiwany na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2025/12, powinien ograniczyć i uprościć połączenia techniczne potrzebne do przekazywania danych API na podstawie niniejszego rozporządzenia, ograniczając je do jednego połączenia na jednego przewoźnika lotniczego i na jedną JIP. W związku z tym w niniejszym rozporządzeniu należy przewidzieć obowiązek ustanowienia przez JIP i przewoźników lotniczych takiego połączenia z routerem i osiągnięcia wymaganej integracji z nim, aby zapewnić prawidłowe funkcjonowanie systemu przekazywania danych API ustanowionego niniejszym rozporządzeniem. Zaprojektowanie i opracowanie routera przez eu-LISA powinno pozwolić na skuteczne i wydajne połączenie i integrację systemów i infrastruktury przewoźników lotniczych przez udostępnienie wszystkich odpowiednich norm i wymogów technicznych. Aby zapewnić właściwe funkcjonowanie systemu ustanowionego niniejszym rozporządzeniem, należy przyjąć szczegółowe przepisy. Przy projektowaniu i opracowywaniu routera eu-LISA powinna zapewnić, aby dane API i inne dane PNR przekazywane przez przewoźników lotniczych i przesyłane do JIP były przesyłane w postaci zaszyfrowanej.
(39) Ze względu na interes Unii z jej budżetu powinny być pokrywane wszystkie koszty poniesione przez eu-LISA w związku z wykonywaniem jej zadań wynikających z niniejszego rozporządzenia i dotyczących routera, co obejmuje zaprojektowanie, opracowanie i hosting routera oraz techniczne zarządzanie routerem, a także strukturę zarządczą w eu-LISA wspierającą projektowanie, opracowanie i hosting routera oraz techniczne zarządzanie routerem. To samo mogłoby mieć zastosowanie do kosztów ponoszonych przez państwa członkowskie w związku z ich połączeniami i integracją z routerem oraz z ich utrzymywaniem, stosownie do wymogów niniejszego rozporządzenia, zgodnie z mającym zastosowanie prawem Unii. Ważne jest, aby w odniesieniu do tych kosztów budżet Unii zapewniał państwom członkowskim odpowiednie wsparcie finansowe. W związku z tym potrzeby finansowe państw członkowskich powinny być pokrywane z budżetu ogólnego Unii, zgodnie z zasadami kwalifikowalności i stopami współfinansowania określonymi w odpowiednich aktach prawnych Unii. Roczny wkład Unii przydzielony eu-LISA powinien pokrywać potrzeby związane z hostingiem routera i technicznym zarządzaniem routerem na podstawie oceny przeprowadzonej przez eu-LISA. Z budżetu Unii należy również pokrywać wsparcie, np. w formie szkoleń, którego eu-LISA udziela przewoźnikom lotniczym i JIP w celu umożliwienia skutecznego przekazywania i przesyłania danych API za pośrednictwem routera. Koszty ponoszone przez niezależne krajowe organy nadzorcze w związku z zadaniami powierzonymi im na mocy niniejszego rozporządzenia powinny być pokrywane przez odpowiednie państwa członkowskie.
(40) Zgodnie z rozporządzeniem (UE) 2018/1726 państwa członkowskie mogą powierzyć eu-LISA zadanie ułatwienia łączności z przewoźnikami lotniczymi, aby pomóc państwom członkowskim we wdrażaniu dyrektywy (UE) 2016/681, szczególnie przez gromadzenie i przekazywanie danych PNR za pośrednictwem routera. W związku z tym oraz ze względów opłacalności i efektywności zarówno dla państw członkowskich, jak i dla przewoźników lotniczych w niniejszym rozporządzeniu wymaga się od przewoźników lotniczych, aby korzystali z routera w celu przekazywania do baz danych odpowiednich JIP innych danych PNR objętych dyrektywą (UE) 2016/681, w ramach środków krajowych wdrażających przepis tej dyrektywy zobowiązujący państwa członkowskie do zapewnienia, aby przewoźnicy lotniczy przekazywali dane PNR, "metodą push", do odpowiednich JIP.
(41) W celu zapewnienia zgodnego z prawem, bezpiecznego, skutecznego i sprawnego przetwarzania przedmiotowych danych przepisy dotyczące routera i przesyłania danych API z routera do JIP określone w niniejszym rozporządzeniu powinny też mieć zastosowanie odpowiednio do innych danych PNR. Przepisy te obejmują również obowiązki wynikające z niniejszego rozporządzenia dotyczące przekazywania i przesyłania danych w związku z lotami wewnątrzunijnymi, zgodnie z orzecznictwem TSUE, a także dotyczące połączeń przewoźników lotniczych i JIP z routerem. Co się tyczy przepisów regulujących terminy przekazywania danych, protokoły transmisyjne i formaty danych na potrzeby przekazywania wiadomości PNR do routera, zastosowanie mają właściwe przepisy dyrektywy (UE) 2016/681.
(42) Należy sprecyzować, że korzystanie z routera w związku z innymi danymi PNR wpływa wyłącznie na sposób, w jaki dane te są przekazywane i przesyłane do baz danych JIP odpowiednich państw członkowskich. Do wspomnianych innych danych PNR nie mają zastosowania obowiązki wynikające z niniejszego rozporządzenia dotyczące gromadzenia danych API. Gromadzenie tych danych powinno natomiast niezmiennie podlegać wyłącznie dyrektywie (UE) 2016/681, przy założeniu, że przewoźnicy lotniczy już gromadzą takie dane w ramach swojej normalnej działalności w rozumieniu właściwego przepisu tej dyrektywy. Ponadto, podobnie jak w przypadku danych API gromadzonych przez przewoźników lotniczych i przekazywanych do JIP zgodnie z niniejszym rozporządzeniem, przepisy tej dyrektywy dotyczące kwestii nieobjętych konkretnie niniejszym rozporządzeniem, zwłaszcza przepisy dotyczące późniejszego przetwarzania innych danych PNR otrzymanych przez JIP, powinny pozostać bez zmian. W związku z tym przepisy te nadal mają zastosowanie do takich danych.
(43) Nie można wykluczyć, że ze względu na wyjątkowe okoliczności i pomimo zastosowania wszelkich należytych środków zgodnie z niniejszym rozporządzeniem infrastruktura centralna lub jeden z komponentów technicznych routera lub infrastruktura łączności łącząca JIP i przewoźników lotniczych z routerem nie będą działać prawidłowo, co doprowadzi do braku technicznej możliwości przekazywania danych API przez przewoźnika lub ich otrzymywania przez JIP. Ze względu na niedostępność routera i fakt, że zasadniczo przewoźnicy lotniczy nie będą mogli w inny zgodny z prawem, bezpieczny, skuteczny i sprawny sposób przekazywać danych API, których ze względu na awarię routera nie można przekazać, obowiązek przewoźników lotniczych dotyczący przekazywania takich danych API do routera powinien ulec zawieszeniu przez cały czas, w którym takie przekazywanie danych jest technicznie niemożliwe. Aby jednak zapewnić dostępność danych API niezbędnych do zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania, przewoźnicy lotniczy powinni nadal gromadzić i przechowywać dane API, tak by można je było przekazać niezwłocznie po rozwiązaniu problemu braku możliwości technicznej. W celu ograniczenia do minimum czasu trwania i negatywnych skutków braku możliwości technicznej zainteresowane strony powinny w takim przypadku natychmiast poinformować się wzajemnie i natychmiastowo wprowadzić wszelkie środki niezbędne do rozwiązania problemu braku możliwości technicznej. Rozwiązanie to powinno pozostawać bez uszczerbku dla obowiązków wszystkich zainteresowanych stron wynikających z niniejszego rozporządzenia, dotyczących zapewnienia prawidłowego funkcjonowania routera oraz ich odpowiednich systemów i elementów infrastruktury, a także dla faktu, że przewoźnicy lotniczy podlegają karom w przypadku niewywiązania się z tych obowiązków, w tym w przypadku, gdy korzystają z tego rozwiązania w sytuacji, gdy nie jest to uzasadnione. Aby zniechęcić do takich nadużyć oraz ułatwić sprawowanie nadzoru i w stosownych przypadkach nakładanie kar, przewoźnicy lotniczy, którzy korzystają z tego rozwiązania w związku z awarią ich systemu i infrastruktury, powinni zgłaszać ten fakt właściwemu organowi nadzorczemu.
(44) Jeżeli przewoźnicy lotniczy utrzymują bezpośrednie połączenia z JIP w celu przekazywania danych API, połączenia te mogą stanowić odpowiednie środki zapewniające niezbędny poziom bezpieczeństwa danych na potrzeby przekazywania danych API bezpośrednio do JIP w przypadku braku technicznej możliwości korzystania z routera. W wyjątkowym przypadku technicznej niemożliwości korzystania z routera JIP powinny móc zarządzić korzystanie przez przewoźników lotniczych z tego rodzaju odpowiednich środków, co nie oznacza, że przewoźnicy lotniczy mają obowiązek utrzymywać lub wprowadzić takie bezpośrednie połączenia lub jakiekolwiek inne odpowiednie środki zapewniające niezbędny poziom bezpieczeństwa danych na potrzeby przekazywania danych API bezpośrednio do JIP. Wyjątkowe przekazywanie danych API innymi odpowiednimi środkami, takimi jak zaszyfrowana poczta elektroniczna lub bezpieczny portal internetowy, z wyłączeniem stosowania niestandardowych formatów elektronicznych, powinno zapewnić niezbędny poziom bezpieczeństwa, jakości i ochrony danych. Dane API otrzymane przez JIP za pomocą takich innych odpowiednich środków powinny być dalej przetwarzane zgodnie z przepisami i z gwarancjami ochrony danych określonymi w dyrektywie (UE) 2016/681. Po otrzymaniu od eu-LISA powiadomienia, że rozwiązano problem braku możliwości technicznej, oraz jeżeli potwierdzono, że dane API przesłano za pośrednictwem routera do JIP, ta JIP powinna natychmiastowo usunąć dane API, które wcześniej otrzymała za pomocą innych odpowiednich środków. Obowiązek usunięcia danych nie powinien obejmować konkretnych przypadków, w których dane API otrzymane przez JIP za pomocą innych odpowiednich środków były w międzyczasie dalej przetwarzane zgodnie z dyrektywą (UE) 2016/681 do szczególnych celów zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania.
(45) Aby zapewnić skuteczne stosowanie przepisów niniejszego rozporządzenia przez przewoźników lotniczych, należy przewidzieć wyznaczenie i upoważnienie organów krajowych jako krajowych organów nadzorczych odpowiedzialnych za dane API, odpowiadających za monitorowanie przestrzegania tych przepisów. Jako krajowe organy nadzorcze odpowiedzialne za dane API państwa członkowskie mogą wyznaczyć swoje JIP. Przepisy niniejszego rozporządzenia dotyczące takiego monitorowania, w tym, w stosownych przypadkach, w zakresie nakładania kar, nie powinny mieć wpływu na zadania i uprawnienia organów nadzorczych ustanowionych na mocy rozporządzenia (UE) 2016/679 i dyrektywy (UE) 2016/680, również w odniesieniu do przetwarzania danych osobowych na podstawie niniejszego rozporządzenia.
(46) Państwa członkowskie powinny przewidzieć skuteczne, proporcjonalne i odstraszające kary, obejmujące kary finansowe i niefinansowe, wobec przewoźników lotniczych, którzy nie wypełniają obowiązków wynikających z niniejszego rozporządzenia, w tym dotyczących gromadzenia danych API w sposób zautomatyzowany i przekazywania danych zgodnie z wymaganymi ramami czasowymi, formatami i protokołami. W szczególności państwa członkowskie powinny zapewnić, aby powtarzające się nieprzestrzeganie przez przewoźników lotniczych, będących osobami prawnymi, obowiązku przekazywania danych API do routera na podstawie niniejszego rozporządzenia podlegało proporcjonalnym karom finansowym w wysokości do 2 % całkowitego obrotu przewoźnika lotniczego w poprzednim roku obrotowym. Ponadto państwa członkowskie powinny móc nakładać na przewoźników lotniczych kary, w tym kary finansowe, za niewypełnianie w inny sposób obowiązków na podstawie niniejszego rozporządzenia.
(47) Przyjmując przepisy dotyczące kar mających zastosowanie do przewoźników lotniczych na podstawie niniejszego rozporządzenia państwa członkowskie mogą wziąć pod uwagę techniczną i operacyjną wykonalność zapewnienia pełnej dokładności danych. Ponadto gdy nakładane są kary, należy ustalić ich zastosowanie i wysokość. Krajowe organy nadzorcze odpowiedzialne za dane API mogą uwzględnić działania podjęte przez przewoźnika lotniczego w celu złagodzenia problemu, a także stopień, w jakim przewoźnik współpracuje z organami krajowymi.
(48) Ponieważ eu-LISA powinna zaprojektować i opracować router oraz zapewnić hosting routera i techniczne zarządzeniem routerem, konieczna jest zmiana rozporządzenia (UE) 2018/1726 polegająca na dodaniu tego zadania do wykazu zadań eu-LISA. Aby umożliwić przechowywanie sprawozdań i statystyk dotyczących routera w centralnym repozytorium sprawozdawczo-statystycznym (CRRS) powołanym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/818 17 , konieczna jest zmiana tego rozporządzenia. Aby wspierać egzekwowanie niniejszego rozporządzenia przez krajowy organ nadzorczy odpowiedzialny za dane API, konieczne jest, by zmiany rozporządzenia (UE) 2019/818 obejmowały przepisy w zakresie statystyk dotyczących dokładności i kompletności danych API, na przykład przez wskazanie, czy dane gromadzono w sposób zautomatyzowany. Ważne jest także, aby gromadzić wiarygodne i użyteczne statystyki dotyczące wdrażania niniejszego rozporządzenia w celu wspierania realizacji jego celów i przeprowadzania ocen na jego podstawie. Na wniosek Komisji eu-LISA powinna przedstawiać Komisji statystyki dotyczące określonych aspektów wdrażania niniejszego rozporządzenia, takie jak zagregowane statystyki dotyczące przesyłania danych API do JIP. Statystyki te nie powinny zawierać żadnych danych osobowych. W związku z tym CRRS powinno dostarczać statystyki oparte na danych API wyłącznie do celów wdrożenia i skutecznego monitorowania stosowania niniejszego rozporządzenia. Dane, które w tym celu są automatycznie przesyłane z routera do CRRS, nie powinny pozwalać na identyfikację pasażerów.
(49) W celu zwiększenia jasności i pewności prawa, przyczynienia się do zapewnienia jakości danych, zapewnienia odpowiedzialnego korzystania ze zautomatyzowanych środków gromadzenia danych API nadających się do odczytu maszynowego na podstawie niniejszego rozporządzenia oraz zapewnienia manualnego gromadzenia danych API w wyjątkowych okolicznościach i w okresie przejściowym, zapewnienia jasności co do wymogów technicznych mających zastosowanie do przewoźników lotniczych i niezbędnych do zapewnienia bezpiecznego, skutecznego i sprawnego - oraz niewpływającego na podróże pasażerów i na przewoźników lotniczych w sposób wykraczający poza to, co konieczne - przekazywania danych API, zgromadzonych przez nich na podstawie niniejszego rozporządzenia, do routera, a także w celu zapewnienia, aby niedokładne lub niekompletne dane lub dane, które nie są już aktualne, były korygowane, uzupełniane lub aktualizowane, należy przekazać Komisji uprawnienia do przyjmowania aktów zgodnie z art. 290 Traktatu o Funkcjonowaniu Unii Europejskiej (TFUE) w celu zakończenia okresu przejściowego manualnego gromadzenia danych API; do przyjmowania środków dotyczących wymogów technicznych i przepisów operacyjnych, których przewoźnicy lotniczy powinni przestrzegać w odniesieniu do gromadzenia w sposób zautomatyzowany na podstawie niniejszego rozporządzenia danych API nadających się do odczytu maszynowego oraz do manualnego gromadzenia danych API w wyjątkowych okolicznościach i w okresie przejściowym, w tym wymogów dotyczących bezpieczeństwa danych; do ustanowienia szczegółowych przepisów dotyczących wspólnych protokołów i obsługiwanych formatów danych, które mają być wykorzystywane do przekazywania zaszyfrowanych danych API do routera, w tym wymogów dotyczących bezpieczeństwa danych; do ustanowienia szczegółowych przepisów dotyczących korygowania, uzupełniania i aktualizowania danych API. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje z zainteresowanymi podmiotami, w tym z przewoźnikami lotniczymi, w tym na poziomie ekspertów, oraz aby konsultacje te prowadzone były zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa 18 . W szczególności, aby zapewnić Parlamentowi Europejskiemu i Radzie udział na równych zasadach w przygotowaniu aktów delegowanych, instytucje te otrzymują wszelkie dokumenty w tym samym czasie co eksperci państw członkowskich, a eksperci tych instytucji mogą systematycznie brać udział w posiedzeniach grup eksperckich Komisji zajmujących się przygotowaniem aktów delegowanych. Biorąc pod uwagę aktualny stan wiedzy, te wymogi techniczne i przepisy operacyjne mogą z czasem ulec zmianie.
(50) W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia, tj. w kwestii rozpoczęcia działania routera, przepisów technicznych i proceduralnych dotyczących weryfikacji danych i powiadomień, przepisów technicznych i proceduralnych dotyczących przesyłania danych API z routera do JIP w sposób zapewniający, aby przesyłane były one bezpiecznie, skutecznie i sprawnie, a wpływ tych czynności na podróże pasażerów i na przewoźników lotniczych nie wykraczał poza to, co konieczne, a także dotyczących połączeń i integracji JIP z routerem, a także w celu określenia obowiązków państw członkowskich jako współadministratorów, w tym w odniesieniu do identyfikacji incydentów związanych z bezpieczeństwem, w tym naruszeń ochrony danych osobowych, oraz zarządzania nimi, co należy określić w akcie wykonawczym, a także stosunków między współadministratorami a eu-LISA jako podmiotem przetwarzającym, w tym pomocy ze strony eu-LISA na rzecz administratorów za pomocą odpowiednich środków technicznych i organizacyjnych, w zakresie, w jakim jest to możliwe, w celu wypełnienia przez administratora obowiązków w zakresie udzielania odpowiedzi na wnioski dotyczące wykonywania praw przez osobę, której dane dotyczą, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 19 .
(51) Wszystkim zainteresowanym stronom, a w szczególności przewoźnikom lotniczym i JIP, należy zapewnić wystarczający czas na podjęcie niezbędnych działań w celu przygotowania się do wypełniania obowiązków wynikających z niniejszego rozporządzenia, biorąc pod uwagę fakt, że niektóre z tych działań, np. w zakresie obowiązków dotyczących połączenia i integracji z routerem, można sfinalizować dopiero po zakończeniu fazy prac projektowych i rozwojowych nad routerem oraz po rozpoczęciu jego działania. W związku z tym niniejsze rozporządzenie powinno mieć zastosowanie dopiero po upływie odpowiedniego czasu od rozpoczęcia działania routera, określonego przez Komisję zgodnie z niniejszym rozporządzeniem i z rozporządzeniem (UE) 2025/12. Komisja powinna jednak mieć możliwość przyjmowania aktów delegowanych i wykonawczych na mocy niniejszego rozporządzenia już wcześniej, aby zapewnić jak najszybsze uruchomienie systemu ustanowionego niniejszym rozporządzeniem.
(52) Fazy projektowania i opracowania routera ustanowionego na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2025/12 należy rozpocząć i zakończyć jak najszybciej, tak aby router jak najszybciej rozpoczął działanie, co wymaga również przyjęcia odpowiednich aktów wykonawczych przewidzianych w niniejszym rozporządzeniu. W celu sprawnego i skutecznego przeprowadzenia tych faz należy powołać specjalną komisję ds. zarządzania programem, która zajmować się będzie nadzorem nad wykonywaniem przez eu-LISA jej zadań w tych fazach. Komisję tę należy rozwiązać po upływie dwóch lat od rozpoczęcia działania routera. Ponadto należy utworzyć zgodnie z rozporządzeniem (UE) 2018/1726 specjalny organ doradczy, grupę doradczą ds. API-PNR, w celu zapewnienia eu-LISA i komisji ds. zarządzania programem wiedzy eksperckiej dotyczącej faz projektowania i opracowywania routera, a także w celu zapewnienia eu-LISA wiedzy eksperckiej dotyczącej hostingu routera i zarządzania routerem. Komisja ds. zarządzania programem oraz grupa doradcza ds. API-PNR powinny zostać powołane i działać na wzór istniejących komisji ds. zarządzania programami i grup doradczych.
(53) Należy również bezzwłocznie przedstawić przewidziane w niniejszym rozporządzeniu objaśnienie dotyczące stosowania specyfikacji w zakresie stosowania automatyzacji w ramach wykonywania dyrektywy 2004/82/WE. Przepisy dotyczące tych kwestii powinny zatem obowiązywać od dnia wejścia w życie niniejszego rozporządzenia. Ponadto, aby umożliwić jak najszybsze dobrowolne korzystanie z routera, przepisy dotyczące takiego korzystania, jak również niektóre inne przepisy mające na celu zapewnienie, aby takie korzystanie odbywało się w sposób odpowiedzialny, powinny mieć zastosowanie jak najwcześniej, tj. od chwili rozpoczęcia działania routera.
(54) Do celów niniejszego rozporządzenia i rozporządzenia (UE) 2025/12 powinna istnieć jedna struktura zarządzania. Aby umożliwić i ułatwić komunikację między przedstawicielami przewoźników lotniczych i przedstawicielami służb państw członkowskich właściwych na podstawie niniejszego rozporządzenia i rozporządzenia (UE) 2025/12 do otrzymywania danych API przesyłanych z routera, najpóźniej dwa lata po rozpoczęciu działania routera należy powołać dwa specjalne organy. Kwestie techniczne związane z korzystaniem z routera i jego funkcjonowaniem powinny być omawiane na forum grupy kontaktowej ds. API-PNR, w której powinni być obecni również przedstawiciele eu-LISA. Kwestie polityczne, np. związane z karami, powinny być omawiane na forum grupy eksperckiej ds. API.
(55) Niniejsze rozporządzenie powinno podlegać regularnym ocenom w celu zapewnienia monitorowania jego skutecznego stosowania. W szczególności gromadzenie danych API nie powinno odbywać się ze szkodą dla przebiegu podróży pasażerów podróżujących zgodnie z prawem. W związku z tym Komisja powinna uwzględnić w swoich regularnych sprawozdaniach z oceny stosowania niniejszego rozporządzenia ocenę jego wpływu na przebieg podróży pasażerów podróżujących zgodnie z prawem. Ocena powinna obejmować również ocenę jakości danych przesyłanych z routera, a także działanie routera w odniesieniu do JIP.
(56) Ponieważ niniejsze rozporządzenie wymaga dodatkowych dostosowań ze strony przewoźników lotniczych i wiąże się dla nich z dodatkowymi kosztami administracyjnymi, ogólne obciążenie regulacyjne dla sektora lotnictwa powinno podlegać ścisłemu przeglądowi. W tym kontekście w sprawozdaniu oceniającym funkcjonowanie niniejszego rozporządzenia należy ocenić, w jakim stopniu osiągnięto jego cele i w jakim stopniu wpłynęło to na konkurencyjność sektora.
(57) Cele niniejszego rozporządzenia, a mianowicie przyczynianie się do zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania, ze względu na ponadnarodowy wymiar tych przestępstw oraz potrzebę współpracy transgranicznej w celu skutecznego ich zwalczania, nie mogą zostać osiągnięte w sposób wystarczający przez państwa członkowskie indywidualnie, natomiast możliwa jest ich lepsza realizacja na poziomie Unii. Unia może zatem podjąć działania zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu o Unii Europejskiej (TEU). Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wykracza poza to, co jest konieczne do osiągnięcia tych celów.
(58) Niniejsze rozporządzenie pozostaje bez uszczerbku dla kompetencji państw członkowskich w odniesieniu do prawa krajowego dotyczącego bezpieczeństwa narodowego, pod warunkiem że takie prawo jest zgodne z prawem Unii.
(59) Niniejsze rozporządzenie pozostaje bez uszczerbku dla kompetencji państw członkowskich, na podstawie prawa krajowego, w zakresie gromadzenia dotyczących pasażerów danych przekazywanych przez dostawców usług transportowych innych niż określeni w niniejszym rozporządzeniu, pod warunkiem że takie prawo krajowe jest zgodne z prawem Unii.
(60) Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do TUE i do TFUE, Dania nie uczestniczy w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje.
(61) Zgodnie z art. 3 Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, załączonego do TUE i do TFUE, Irlandia powiadomiła o chęci uczestniczenia w przyjęciu i stosowaniu niniejszego rozporządzenia.
(62) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia 8 lutego 2023 r. 20 ,
PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:
