Toelichting bij COM(2022)729 - Verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens (API) met het oog op het versterken en vergemakkelijken van de controles aan de buitengrenzen - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2022)729 - Verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens (API) met het oog op het versterken en ... |
|---|---|
| bron | COM(2022)729   |
| datum | 13-12-2022 |
• Motivering en doel van het voorstel
De afgelopen decennia is het aantal luchtreizigers toegenomen en zijn de vliegtuigen als gevolg van efficiëntiegerichte innovatie groter geworden. Daardoor is het zaak de passagiersstromen op de luchthavens efficiënter te verwerken. In 2019 meldde de Internationale Burgerluchtvaartorganisatie (ICAO) wereldwijd 4,5 miljard luchtpassagiers op geregelde diensten 1 . Met jaarlijks meer dan een half miljard passagiers die de EU binnenkomen of verlaten 2 , komen de luchtbuitengrenzen onder druk te staan.
De verwerking van vooraf te verstrekken passagiersgegevens (Advance Passenger Information – API) overeenkomstig de huidige API-richtlijn 3 en dit voorstel, is een instrument voor grensbeheer dat de passagiersafhandeling vergemakkelijkt en versnelt en daardoor de grenscontroles doeltreffender en efficiënter maakt, alsook een instrument om illegale immigratie tegen te gaan. API-gegevens bestaan uit een combinatie van identiteitsgegevens uit de reisdocumenten van de passagiers en vluchtgegevens die bij het inchecken worden verzameld en aan de grensautoriteiten van het land van bestemming worden doorgegeven. Omdat deze autoriteiten de API-gegevens vóór de aankomst van de vlucht ontvangen, kunnen zij de reizigers vooraf overeenkomstig de toepasselijke wetgeving screenen aan de hand van risicoprofielen, observatielijsten en databanken. Daardoor kunnen zij de grenscontroles voor bonafide reizigers versnellen en meer middelen en tijd besteden aan het identificeren van aankomende reizigers die nader onderzoek vergen.
De invoering van systemen voor het verzamelen en doorgeven van API-gegevens is sinds 2017 een internationale norm in het kader van het Verdrag inzake de internationale burgerluchtvaart 4 (Verdrag van Chicago). In de EU zijn de regels in dit verband vastgesteld bij de API-richtlijn. De richtlijn verplicht luchtvaartmaatschappijen om op verzoek API-gegevens aan de grensautoriteiten van het land van bestemming door te geven voordat de vlucht vertrekt. De richtlijn verplicht de lidstaten echter niet om API-gegevens op te vragen bij de luchtvaartmaatschappijen. Daardoor zijn er leemten en inconsistenties ontstaan in de manier waarop de gegevens worden verzameld en gebruikt, en verzamelen sommige lidstaten de API-gegevens systematisch en andere niet 5 . Naar schatting worden, voor alle lidstaten samen, API-gegevens verzameld over 65 % van de inkomende vluchten 6 . Daardoor kunnen personen die de controles willen vermijden, routes waarop consequent API-gegevens worden verzameld, gemakkelijk omzeilen en naar hun bestemming reizen via een vliegroute waarop minder vaak of helemaal nooit gebruik wordt gemaakt van API-gegevens.
Uit de recente evaluatie van de API-richtlijn blijkt dat zelfs wanneer lidstaten API-gegevens opvragen, hun nationale autoriteiten deze niet altijd consistent gebruiken. Dankzij de API-gegevens kunnen de grenswachters de identiteit van de passagiers en de geldigheid van de reisdocumenten vooraf controleren aan de hand van de databanken waarin de Schengengrenscode voorziet 7 . Toch gebeurt dat niet in alle lidstaten 8 . Ierland, dat niet deelneemt aan de Schengengrenscode, past zijn eigen, soortgelijke wetgeving toe. De voorgestelde verordening zal daar geen verandering in brengen.
In de API-richtlijn zijn slechts beperkte criteria voor het verzamelen, doorgeven en verwerken van API-gegevens opgenomen, zowel wat betreft de vluchten waarover gegevens moeten worden verzameld, als wat betreft de te verzamelen gegevenselementen en de manier waarop de gegevens worden vastgelegd. Bovendien houden die criteria geen rekening met de ontwikkelingen op het gebied van internationale normen en richtsnoeren over de verzameling van API-gegevens 9 . Daardoor lopen de werkmethoden erg uiteen, wat niet alleen afbreuk doet aan de doeltreffendheid en efficiëntie van de grenscontroles, maar ook een extra belasting voor de luchtvaartmaatschappijen met zich meebrengt omdat zij, afhankelijk van de vliegroute en de lidstaat die API-gegevens opvraagt, met verschillende voorschriften te maken krijgen. Afstemming van de regels voor de verzameling en doorgifte van API-gegevens op deze internationale normen voor API-gegevens zou de naleving van de API-voorschriften door de luchtvaartsector waarborgen. API-gegevens kunnen alleen doeltreffend worden gebruikt als ze juist, volledig en actueel zijn. Als identiteitsgegevens – zoals momenteel soms het geval is – niet betrouwbaar en geverifieerd zijn, zullen kruiscontroles in databanken geen betrouwbare operationele resultaten opleveren. Doordat online inchecken de afgelopen 20 jaar gangbaar is geworden, worden de API-gegevens van een reisdocument steeds vaker handmatig overgeschreven door de passagier zelf. Onvolledige, onjuiste of verouderde API-gegevens die aan nationale autoriteiten worden doorgegeven, kunnen leiden tot leemten in de soorten controles die de grensautoriteiten kunnen uitvoeren, en kunnen nadelig uitpakken voor de reiziger, die daardoor mogelijk aan onjuiste en onnodige controles wordt onderworpen. De vereiste dat de kwaliteit van de verzamelde API-gegevens voldoende moet zijn, hangt nauw samen met de procedés die de luchtvaartmaatschappijen gebruiken om ervoor te zorgen dat de verzamelde API-gegevens overeenstemmen met de informatie in de reisdocumenten. Het huidige API-kader schrijft niet voor volgens welk procedé de API-gegevens van reizigers moeten worden verzameld. Geautomatiseerde gegevensverzameling heeft ten opzichte van het handmatig overschrijven van informatie het voordeel dat zich minder kwaliteitsproblemen zouden voordoen en dat de API-gegevens doeltreffender en efficiënter zouden worden gebruikt, waardoor de bevoegde grensautoriteiten minder tijd zouden moeten besteden aan hun interactie met de vervoerders.
Daarom biedt de herziening van het huidige rechtskader voor de verzameling en de doorgifte van API-gegevens een gelegenheid om het beheer van de buitengrenzen en de bestrijding van illegale immigratie te verbeteren. De voorgestelde regels zouden er immers voor zorgen dat alle personen die vanuit een derde land of een niet aan de voorgestelde verordening deelnemende lidstaat naar de Unie vliegen (meer bepaald naar de landen die deel uitmaken van het Schengengebied zonder controles aan de binnengrenzen (“het Schengengebied”) en naar Ierland), d.w.z. onderdanen van derde landen, staatlozen en EU-burgers, voorafgaand aan hun aankomst aan de hand van hun API-gegevens kunnen worden gecontroleerd, en dat de lidstaten uniforme criteria toepassen voor de verzameling en de doorgifte van die gegevens met het oog op de controles aan de buitengrenzen en de bestrijding van illegale immigratie. Door de passagiersstromen op de luchthavens vlotter te laten verlopen en de grenscontroles te versnellen, draagt het voorstel bij aan een doeltreffende, systematische controle van alle luchtpassagiers overeenkomstig de toepasselijke wetgeving 10 .
• Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Dit voorstel is opgesteld omdat er gemeenschappelijke regels nodig zijn voor het verzamelen en doorgeven van API-gegevens met het oog op grensbeheer en bestrijding van illegale immigratie. Een en ander houdt verband met het bestaan van het Schengengebied en de vaststelling van gemeenschappelijke regels voor de overschrijding van de buitengrenzen door personen. Dit voorstel is in overeenstemming met de verplichtingen van de Schengengrenscode inzake personencontroles aan de buitengrenzen. De voorgestelde verordening maakt deel uit van de context van de grootschalige EU-informatiesystemen, die sinds de vaststelling van de API-richtlijn in 2004 aanzienlijk is uitgebreid. Bovendien voorzien de strategische richtsnoeren die de Europese Raad in juni 2014 heeft aangenomen, in uitbreiding van de procedures die de grenswachters aan de buitengrenzen toepassen om de controles vóór de grenscontrolepost doeltreffender te maken en nadelige gevolgen aan de grenzen te beperken. Het gaat onder meer om: het Schengeninformatiesysteem (SIS), het Visuminformatiesysteem (VIS) en het Eurodac-systeem 11 . Daarnaast zijn momenteel drie systemen in de ontwikkelingsfase: het inreis-uitreissysteem (EES), het Europees reisinformatie- en -autorisatiesysteem (Etias) en het gecentraliseerd systeem voor de vaststelling welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen (Ecris-TCN) 12 . Al deze bestaande en toekomstige systemen zijn gekoppeld via het interoperabiliteitskader voor de EU-informatiesystemen 13 op het gebied van veiligheid, grenzen en migratiebeheer, dat in 2019 is goedgekeurd en dat momenteel wordt ingevoerd. De in dit voorstel opgenomen herzieningen houden rekening met het interoperabiliteitskader.
Meer bepaald deelt de voorgestelde router componenten met het Etias-toegangsportaal voor vervoerders, waardoor duplicatie van technische componenten wordt voorkomen. Op het Etias-toegangsportaal voor vervoerders vinden de vervoerders de technische middelen om de Etias-status van niet-visumplichtige onderdanen van derde landen die naar de lidstaten reizen, na te gaan. De voorgestelde verordening zorgt ervoor dat de verschillende dataprocedés worden gedifferentieerd en strikt gescheiden worden gehouden en dat de toegangsrechten die in de verschillende EU-instrumenten zijn vastgelegd, in acht worden genomen. Bovendien koppelt de voorgestelde verordening de werkzaamheden van eu-LISA’s adviesgroep EES-Etias aan de toekomstige API-gerelateerde werkzaamheden. Deze werkwijze is bevorderlijk voor de efficiëntie en levert schaalvoordelen doordat overlapping van werkgroepen wordt voorkomen.
Zoals hierboven uiteengezet, moeten de grenscontroles die de regels van de voorgestelde verordening beogen te vergemakkelijken en te verbeteren, worden uitgevoerd op grond van de Schengengrenscode, indien van toepassing, of op grond van het nationale recht.
Bovendien zijn de algemeen toepasselijke rechtshandelingen van de EU van toepassing overeenkomstig de daarin gestelde voorwaarden. Wat de verwerking van persoonsgegevens betreft, gaat het dan met name om de algemene verordening gegevensbescherming (AVG) 14 en de EU-gegevensbeschermingsverordening 15 . Het onderhavige voorstel laat deze handelingen onverlet.
De toepasselijkheid van bovengenoemde rechtshandelingen van de EU op de verwerking van de krachtens deze verordening ontvangen API-gegevens heeft als gevolg dat de lidstaten het EU-recht ten uitvoer brengen in de zin van artikel 51, lid 1, van het Handvest, wat betekent dat ook de regels van het Handvest van toepassing zijn. Meer bepaald moeten de regels van die rechtshandelingen van de EU worden uitgelegd in het licht van het Handvest.
De ICAO-richtsnoeren 16 inzake machineleesbare reisdocumenten zijn omgezet bij Verordening (EU) 2019/1157 betreffende de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en Verordening (EG) nr. 2252/2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in paspoorten. Deze verordeningen effenen de weg voor geautomatiseerde extractie van volledige en kwalitatief hoogwaardige gegevens uit reisdocumenten.
De voorgestelde verordening zal deel blijven uitmaken van het Schengenacquis. De bevoegde grensautoriteiten van de lidstaten zullen de API-gegevens uitsluitend met het oog op de doeleinden waarvoor de API-gegevens in het kader van de voorgestelde verordening zijn verzameld, met name grensbeheer en bestrijding van illegale immigratie, blijven ontvangen en verder verwerken.
Dit voorstel houdt nauw verband met het voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, in zoverre dat beide voorstellen soortgelijke bepalingen bevatten inzake de lijst van API-gegevenselementen, de geautomatiseerde verzameling van API-gegevens en de doorgifte van de gegevens aan de router.
2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
• Rechtsgrondslag
Gezien de doelstelling van dit voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op grensbeheer en bestrijding van illegale immigratie en de in het voorstel vervatte maatregelen, is de passende rechtsgrondslag artikel 77, lid 2, punten b) en d), en artikel 79, lid 2, punt c), van het Verdrag betreffende de werking van de Europese Unie (VWEU).
Krachtens artikel 77, lid 2, respectievelijk punt b) en punt d), VWEU is de Unie bevoegd om maatregelen vast te stellen voor de controles waaraan personen bij het overschrijden van de buitengrenzen worden onderworpen, en voor de geleidelijke invoering van een geïntegreerd systeem van beheer van de buitengrenzen. Op grond van artikel 79, lid 2, punt c), VWEU is de Unie bevoegd om maatregelen vast te stellen met betrekking tot illegale immigratie.
Op deze manier is de consistentie met de huidige API-richtlijn, die op dezelfde bepalingen is gebaseerd, verzekerd.
• Subsidiariteit
Het VWEU verleent de Unie uitdrukkelijk de bevoegdheid om een gemeenschappelijk beleid te ontwikkelen inzake de controles waaraan personen bij het overschrijden van de buitengrenzen worden onderworpen. Dit is een duidelijke doelstelling die op EU-niveau moet worden nagestreefd. Tegelijkertijd is dit een gebied dat onder de gedeelde bevoegdheid van de EU en de lidstaten valt.
De behoefte aan gemeenschappelijke regels voor het verzamelen en doorgeven van API-gegevens met het oog op grensbeheer en bestrijding van illegale immigratie houdt – met name gezien en onverminderd de specifieke positie van Ierland – verband met de totstandbrenging van het Schengengebied en de vaststelling van gemeenschappelijke regels voor de overschrijding van de buitengrenzen door personen, en met name met de Schengengrenscode 17 . Omdat de besluiten die een lidstaat in dit verband neemt, gevolgen hebben voor andere lidstaten, moeten er gemeenschappelijke en duidelijke regels en operationele praktijken worden toegepast. Om efficiënte en doeltreffende controles aan de buitengrenzen te waarborgen, is een coherente aanpak in het hele Schengengebied vereist, met inbegrip van de mogelijkheid om reizigers vooraf te controleren aan de hand van API-gegevens.
Dat precies nu EU-maatregelen op het gebied van API-gegevens nodig zijn, heeft ook te maken met de recente ontwikkelingen op het gebied van wetgeving inzake het beheer van de Schengenbuitengrenzen, met name:
–Dankzij de interoperabiliteitsverordening van 2019 18 zullen systematische controles van personen die de buitengrenzen overschrijden, kunnen worden uitgevoerd aan de hand van alle beschikbare en relevante informatie in de gecentraliseerde EU-informatiesystemen voor veiligheid, grens- en migratiebeheer. De invoering van een gecentraliseerd mechanisme voor de doorzending van API-gegevens op EU-niveau is een logische voortzetting van dit concept. Volgens de concepten van de interoperabiliteitsverordeningen zou de gecentraliseerde doorzending van API-gegevens er in de toekomst toe kunnen leiden dat deze gegevens worden gebruikt voor het doorzoeken van verschillende databanken (SIS, Europol-gegevens) via het Europees zoekportaal.
–Het gebruik van API-gegevens aan de buitengrenzen zou een doeltreffende aanvulling zijn op het Europees systeem voor reisinformatie en -autorisatie (Etias) en het inreis-uitreissysteem (EES), die beide over afzienbare tijd worden ingevoerd. Het gebruik van API-gegevens zou noodzakelijk blijven voor het beheer van de buitengrenzen, omdat de grenswachters dankzij die gegevens vooraf weten of de betrokken reiziger daadwerkelijk aan boord van het vliegtuig is gegaan en dus het Schengengebied zal binnenkomen. Dit vergemakkelijkt de grenscontrole die zal plaatsvinden zodra de reiziger aan de buitengrenzen aankomt.
• Evenredigheid
Overeenkomstig het evenredigheidsbeginsel dat is vervat in artikel 5, lid 4, VEU, moeten de aard en de intensiteit van een bepaalde maatregel worden afgestemd op het geconstateerde probleem. De in dit wetgevingsinitiatief omschreven problemen vragen in alle gevallen om wetgevende maatregelen op EU-niveau waarmee de lidstaten die problemen doeltreffend kunnen aanpakken, zonder daarbij verder te gaan dan voor het oplossen van die problemen strikt noodzakelijk is.
Met dit voorstel zal het rechtskader voor het verzamelen en doorgeven van API-gegevens met het oog op het beheer van de buitengrenzen en de bestrijding van illegale immigratie worden versterkt. Het voorstel zal van de API-gegevens een krachtiger instrument maken voor het vooraf controleren van reizigers aan de buitengrenzen. Daardoor draagt het bij aan de doeltreffendheid en efficiëntie van de controles zelf, maar ook aan het doel illegale immigratie aan te pakken, met name in de context van grensoverschrijdend luchtvervoer en de verantwoordelijkheden van de luchtvaartmaatschappijen in dit verband. In overeenstemming met de internationale normen en aanbevolen praktijken verplicht dit voorstel de luchtvaartmaatschappijen om API-gegevens te verzamelen en door te geven over alle vluchten naar de Unie, zoals gedefinieerd in het voorstel. De in dit voorstel vervatte verplichtingen zijn beperkt tot wat nodig is om deze doelstelling te verwezenlijken. Meer in het bijzonder bevat dit voorstel duidelijke regels, onder meer over wat API-gegevens zijn, over welke luchtvaartmaatschappijen API-gegevens moeten verzamelen en over de doorgifte van die gegevens. Doordat het voorstel de vorm van een verordening heeft gekregen, voorziet het in een consistente aanpak ten aanzien van het gebruik van API-gegevens voor het beheer van de buitengrenzen en de bestrijding van illegale immigratie. Door de API-vereisten op die manier te standaardiseren in de verschillende lidstaten, wordt zowel de rechtszekerheid als de voorspelbaarheid bevorderd en zal bijgevolg ook de naleving door de luchtvaartmaatschappijen verbeteren.
Andere elementen in de voorgestelde verordening die borg staan voor de evenredigheid, zijn onder meer de beperking van het toepassingsgebied tot inkomende vluchten, de beperking van het verplichte gebruik van geautomatiseerde procedés tot bepaalde API-gegevens, en waarborgen inzake de manier waarop en het doel waarvoor de API-gegevens worden verwerkt.
Op grond van de voorgestelde verordening zou een router worden opgezet als enig verbindingspunt tussen de lidstaten en de luchtvaartmaatschappijen, overeenkomstig internationale aanbevelingen, en zou een EU-aanpak voor het verzamelen en doorgeven van API-gegevens worden vastgesteld. De doorzending van de API-gegevens via de router moet de kosten voor de luchtvaartsector verlagen en ervoor zorgen dat de grenswachters snel en naadloos toegang hebben tot de API-gegevens die voor voorafgaande grenscontroles vereist zijn. Hierdoor zullen de lidstaten fors minder verbindingen tot stand moeten brengen en onderhouden en zal het voor de luchtvaartmaatschappijen eenvoudiger worden om verbindingen met de bevoegde grensautoriteiten te onderhouden en schaalvoordelen te behalen. Een EU-agentschap, eu-LISA, krijgt de verantwoordelijkheid voor het ontwerpen, het ontwikkelen, het hosten en het technisch beheer van de router. De doorgifte van de API-gegevens via de router zal de vluchtmonitoring ondersteunen en zo de kans verkleinen dat een luchtvaartmaatschappij niet heeft voldaan aan de verplichting om API-gegevens overeenkomstig dit voorstel mee te delen.
• Keuze van het instrument
Als instrument wordt een verordening voorgesteld. Aangezien de voorgestelde maatregelen rechtstreeks toepasselijk moeten zijn en in alle lidstaten uniform moeten worden toegepast, is een verordening de juiste keuze voor het rechtsinstrument, zoals ook blijkt uit de effectbeoordeling bij dit voorstel.
3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
• Ex-postevaluaties van bestaande wetgeving
Uit de evaluatie van de API-richtlijn 19 is gebleken dat de reden voor het verzamelen van API-gegevens en het doorgeven ervan aan de bevoegde grensautoriteiten 15 jaar na de inwerkingtreding van de richtlijn nog steeds geldig is. De huidige doelstellingen van de richtlijn, met name het verbeteren van de grenscontroles, wat kan bijdragen tot het bestrijden van irreguliere migratie, blijven zeer relevant in het licht van de behoeften van de belanghebbende partijen en de samenleving in het algemeen. De verzameling en doorgifte van API-gegevens werd ook relevant geacht om legaal reizen te vergemakkelijken.
Volgens de evaluatie boet de richtlijn in aan doeltreffendheid en samenhang omdat de uitvoering ervan niet geharmoniseerd verloopt. De minimumeisen van de richtlijn leiden tot fragmentatie bij de implementatie van de API-systemen en het daadwerkelijke gebruik van de API-gegevens. Bovendien biedt de richtlijn de lidstaten weliswaar de mogelijkheid om API-gegevens te gebruiken voor rechtshandhavingsdoeleinden 20 , maar ze doet dit zonder dat doel duidelijk te definiëren of in een kader in te bedden, waardoor de uitvoering op nationaal niveau samenhang mist. Volgens de evaluatie veroorzaken discrepanties met andere EU-instrumenten bovendien praktische operationele problemen en onzekerheid bij de betrokken partijen, met name betrokkenen (“data subjects”). De in de API-richtlijn opgenomen vereisten inzake de bescherming van persoonsgegevens zijn niet volledig in overeenstemming met de meest recente ontwikkelingen op dit gebied. Evenmin strookt de API-richtlijn volledig met het internationale regelgevingskader inzake passagiersgegevens, met name wat betreft gegevensvelden en doorzendingsnormen.
De evaluatie bracht een aantal tekortkomingen in verband met de API-richtlijn aan het licht, namelijk het gebrek aan i) standaardisering en harmonisatie, ii) bepaalde waarborgen voor gegevensbescherming en iii) duidelijke afstemming op de meest recente beleidsmatige en juridische ontwikkelingen op EU-niveau. Deze elementen hebben gevolgen voor het effect van de richtlijn, brengen lasten met zich mee voor de belanghebbenden en leiden tot een bepaalde mate van rechtsonzekerheid, zowel voor de luchtvaartmaatschappijen die de API-gegevens verzamelen en doorgeven, en voor de bevoegde grensautoriteiten die deze ontvangen en verder verwerken, als uiteindelijk voor de passagiers.
Bij de opstelling van de effectbeoordeling en van dit voorstel is rekening gehouden met de bevindingen van de evaluatie.
• Raadpleging van belanghebbenden
Bij de voorbereiding van dit voorstel zijn belanghebbenden uit verschillende hoeken geraadpleegd, waaronder de autoriteiten van de lidstaten (bevoegde grensautoriteiten, passagiersinformatie-eenheden), vertegenwoordigers van de vervoerssector en individuele luchtvaartmaatschappijen. Ook EU-agentschappen, zoals het Europees Grens- en kustwachtagentschap (Frontex), het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol), het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) en het Bureau van de Europese Unie voor de grondrechten (FRA), hebben in het licht van hun opdracht en expertise input geleverd. In dit initiatief is daarnaast ook rekening gehouden met de standpunten en de reacties die zijn binnengekomen tijdens de openbare raadpleging die eind 2019 in het kader van de evaluatie van de API-richtlijn heeft plaatsgevonden 21 .
Bij raadplegingsactiviteiten in het kader van de voorbereiding van de effectbeoordeling ter ondersteuning van dit voorstel zijn aan de hand van verschillende methoden reacties van belanghebbenden verzameld. Deze activiteiten omvatten met name een aanvangseffectbeoordeling, een externe ondersteunende studie en een reeks technische workshops.
Op de aanvangseffectbeoordeling kon van 5 juni 2020 tot en met 14 augustus 2020 worden gereageerd. De zeven reacties hadden betrekking op de uitbreiding van het toepassingsgebied van de toekomstige API-richtlijn, de kwaliteit van de gegevens, sancties, het verband tussen API-gegevens en PNR-gegevens en de bescherming van persoonsgegevens 22 .
De externe ondersteunende studie werd uitgevoerd op basis van bureauonderzoek, enquêtes en gesprekken met deskundigen, waarbij werd onderzocht hoe API-gegevens kunnen worden verwerkt volgens duidelijke regels die legaal reizen vergemakkelijken en in overeenstemming zijn met de interoperabiliteit van de EU-informatiesystemen, de EU-voorschriften inzake de bescherming van persoonsgegevens en andere bestaande EU-instrumenten en internationale normen.
De diensten van de Commissie hebben verder een reeks technische workshops georganiseerd met deskundigen uit de lidstaten en de geassocieerde Schengenlanden. Deze workshops waren bedoeld om deskundigen bijeen te brengen voor een gedachtewisseling over de mogelijke opties om het toekomstige API-kader te versterken met het oog op grensbeheer, bestrijding van illegale immigratie en bestrijding van criminaliteit en terrorisme.
De bijgevoegde effectbeoordeling (bijlage 2) bevat een uitvoerigere beschrijving van de raadpleging van belanghebbenden.
• Effectbeoordeling
In overeenstemming met de richtsnoeren voor betere regelgeving heeft de Commissie een effectbeoordeling uitgevoerd (zie het begeleidende werkdocument van de diensten van de Commissie) 23 . De Raad voor regelgevingstoetsing heeft de ontwerp-effectbeoordeling op 28 september 2022 geëvalueerd en op 30 september 2022 een gunstig advies uitgebracht.
In het licht van de geconstateerde problemen bij de verzameling en de doorgifte van API-gegevens is in de effectbeoordeling nagegaan welke opties er zijn om de kwaliteit van API-gegevens te verbeteren en welke beleidsopties er zijn met betrekking tot de reikwijdte van de verzameling van API-gegevens voor de bovengenoemde doeleinden. Wat de verzameling van API-gegevens met het oog op het beheer van de buitengrenzen en de bestrijding van illegale immigratie betreft, zijn in de effectbeoordeling twee opties overwogen: verzameling van API-gegevens over alle vluchten vanuit niet-Schengenlanden en verzameling van API-gegevens over alle vluchten naar en vanuit niet-Schengenlanden. Daarnaast werd in de effectbeoordeling ook gekeken naar opties om de kwaliteit van de API-gegevens te verbeteren – hetzij via geautomatiseerde én handmatige, hetzij uitsluitend via geautomatiseerde verzameling van API-gegevens.
Aangezien de volledige reeks API-gegevens wordt gegenereerd zodra de passagiers zich aan boord van het vliegtuig bevinden, zouden de grenswachters de API-gegevens pas ontvangen nadat de fysieke uitreiscontroles van de reizigers zijn verricht en het paspoort van de reizigers is onderzocht, met andere woorden de gegevens zouden te laat komen om het werk van de grenswachters te ondersteunen. Daarom kwam de optie om API-gegevens te verzamelen over alle betrokken inkomende en vertrekkende vluchten niet als onderdeel van de voorkeursoptie uit de bus.
Op basis van de bevindingen van het effectbeoordelingsverslag komt de voorkeursoptie voor een API-instrument voor die doeleinden erop neer dat API-gegevens over alle betrokken inkomende vluchten worden verzameld en dat de luchtvaartmaatschappijen daarbij bepaalde API-gegevens uitsluitend aan de hand van een geautomatiseerd procedé mogen verzamelen. Dankzij een combinatie van deze opties zouden de lidstaten beter in staat zijn API-gegevens te gebruiken om luchtreizigers vóór hun aankomst aan de buitengrenzen doeltreffend en efficiënt te controleren. Standaardisering van de vereisten voor het verzamelen en doorgeven van API-gegevens zou de naleving door de luchtvaartsector verbeteren, aangezien die in alle lidstaten met dezelfde vereisten te maken zou krijgen Het gebruik van betrouwbaardere en geverifieerde API-gegevens, waaronder de geautomatiseerd verzamelde API-gegevens, zou het mogelijk maken hoogrisicoreizigers te identificeren en zowel de uitvoering van de controles aan de buitengrenzen als de afhandeling van de passagiers bij hun aankomst te versnellen. Het voorstel is in overeenstemming met de in de Europese klimaatverordening 24 vastgestelde doelstelling inzake klimaatneutraliteit en de doelstellingen van de Unie voor 2030 en 2040.
In de effectbeoordeling werden nog andere opties onderzocht, zoals het verzamelen van API-gegevens van andere soorten vervoerders (zee-, spoor- en busvervoer), maar deze werden afgewezen, onder meer met het argument dat er al EU- en internationale regels bestaan op grond waarvan vervoerders uit de maritieme sector vooraf passagiersgegevens aan de grensautoriteiten van de lidstaten moeten doorgeven over inkomende en uitgaande routes. Een extra EU-verplichting tot doorgifte van API-gegevens door vervoerders uit de maritieme sector zou dan ook overbodig zijn. In vergelijking met de luchtvervoersector is het voor vervoerders over land, zoals spoor- of busmaatschappijen, moeilijker om passagiersgegevens te verzamelen (geen incheckprocedures, geen systematische afgifte van tickets op naam). In die sectoren zou zwaar geïnvesteerd moeten worden in de fysieke infrastructuur van de vervoerders, met aanzienlijke gevolgen voor hun bedrijfsmodel en voor de passagiers. Het besluit om deze aspecten niet in de voorgestelde verordening op te nemen, doet geen afbreuk aan de praktijken van sommige lidstaten die op basis van het nationale recht passagiersgegevens over spoorverbindingen opvragen , mits deze praktijken in overeenstemming zijn met het EU-recht.
• Grondrechten en bescherming van persoonsgegevens
Dit initiatief voorziet in de verwerking van persoonsgegevens van reizigers en beperkt derhalve de uitoefening van het grondrecht op bescherming van persoonsgegevens, zoals gewaarborgd door artikel 8 van het Handvest van de grondrechten van de EU (“het Handvest”) en artikel 16 VWEU. Zoals het Hof van Justitie van de EU heeft benadrukt 25 , heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet elke beperking worden beschouwd in relatie tot de functie ervan in de samenleving en in overeenstemming zijn met de criteria van artikel 52, lid 1, van het Handvest 26 . De bescherming van persoonsgegevens hangt ook nauw samen met de eerbiediging van het recht op privacy, als onderdeel van het recht op eerbiediging van het privéleven en het familie- en gezinsleven, dat wordt beschermd door artikel 7 van het Handvest.
De verplichting voor luchtvaartmaatschappijen om API-gegevens te verzamelen over alle reizigers die de buitengrenzen overschrijden en die API-gegevens vervolgens via de router door te geven aan de bevoegde grensautoriteiten, draagt bij aan de doelstelling de voorafgaande buitengrenscontroles op alle reizigers die de lidstaten binnenkomen, doeltreffend en efficiënt uit te voeren, en dus ook aan de doelstelling illegale immigratie te bestrijden. De bevoegde grensautoriteiten zullen weliswaar geen beslissingen nemen die uitsluitend op API-gegevens zijn gebaseerd, maar zij zullen hun activiteiten wel van tevoren kunnen organiseren op grond van dit voorstel, dat de binnenkomst van bonafide passagiers en de opsporing van andere passagiers vergemakkelijkt. De inmenging in de bovengenoemde grondrechten is beperkt tot hetgeen strikt noodzakelijk is om de genoemde doelstellingen te bereiken. Meer bepaald wordt het verzamelen van identiteitsgegevens beperkt tot de informatie in het reisdocument van de reiziger en wordt de verwerking beperkt tot het noodzakelijke minimum, ook wat betreft de bewaartermijn voor de persoonsgegevens.
Door de luchtvaartmaatschappijen te verplichten om voor het verzamelen van bepaalde API-gegevens van reizigers geautomatiseerde procedés te gebruiken, kunnen er extra risico’s ontstaan op het gebied van de bescherming van persoonsgegevens. Er zijn echter maatregelen genomen om deze risico’s te beperken en te verminderen. Ten eerste is de vereiste slechts van toepassing op bepaalde API-gegevens en moeten de geautomatiseerde procedés op een verantwoorde manier worden gebruikt om de machineleesbare gegevens van de reizigersdocumenten te verkrijgen. Ten tweede bevat de voorgestelde verordening voorschriften voor de te gebruiken geautomatiseerde procedés, die verder moeten worden uitgewerkt in een gedelegeerde handeling. Tot slot wordt voorzien in verschillende waarborgen, zoals het aanleggen van logbestanden, specifieke regels voor de bescherming van persoonsgegevens en doeltreffend toezicht.
Dit voorstel bevat ook aanvullende en specifieke waarborgen om de naleving van het Handvest te waarborgen, onder meer wat betreft de beveiliging van de verwerking van persoonsgegevens, wissing, doelbinding en het recht van reizigers op informatie.
Afgezien van de bepaling die de naleving van het beginsel van doelbinding waarborgt, bevat de voorgestelde verordening geen regels over hoe de bevoegde grensautoriteiten de API-gegevens die zij op grond van de verordening ontvangen, moeten gebruiken. Deze materie wordt immers in andere wetgeving geregeld (de Schengengrenscode, de wetgeving inzake bescherming van persoonsgegevens, het Handvest). Niettemin wordt in de overwegingen er duidelijkheidshalve aan herinnerd dat dit gebruik geen aanleiding mag geven tot op grond van artikel 21 van het Handvest verboden discriminatie.
4. GEVOLGEN VOOR DE BEGROTING
Dit wetgevingsinitiatief over de verzameling en de doorgifte van API-gegevens ter vergemakkelijking van de controles aan de buitengrenzen zal gevolgen hebben voor de begroting en de personeelsbehoeften van eu-LISA en de bevoegde grensautoriteiten van de lidstaten.
Geraamd wordt dat voor eu-LISA een extra begroting nodig is van ca. 45 miljoen EUR (33 miljoen EUR in het kader van het huidige MFK) voor het opzetten van de router en 9 miljoen EUR per jaar vanaf 2029 voor het technisch beheer ervan. Bovendien zouden er ongeveer 27 extra posten nodig zijn om eu-LISA uit te rusten voor de taken die voortvloeien uit dit voorstel en uit het voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit.
De lidstaten zouden naar raming recht hebben op een vergoeding uit de middelen voor het Instrument voor grensbeheer en visumbeleid 27 ten bedrage van 27 miljoen EUR (8 miljoen EUR in het kader van het huidige MFK) om de benodigde nationale systemen en infrastructuur voor de grensbeheerautoriteiten te moderniseren. Vanaf 2028 zou deze vergoeding progressief tot 5 miljoen EUR per jaar bedragen, voor onderhoudsdoeleinden. Dit recht zal uiteindelijk moeten worden bepaald overeenkomstig de regels voor deze fondsen en de in de voorgestelde verordening vervatte regels inzake kosten.
Gezien het nauwe verband tussen dit voorstel en het voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, met name wat de doorgifte van de API-gegevens aan de router betreft, geldt voor beide voorstellen hetzelfde financieel memorandum (zie bijlage).
5. OVERIGE ELEMENTEN
• Uitvoeringsplanning en regelingen betreffende monitoring, evaluatie en rapportage
De Commissie zal ervoor zorgen dat de nodige regelingen worden getroffen om de werking van de voorgestelde maatregelen te monitoren en aan de belangrijkste beleidsdoelstellingen te toetsen. Vier jaar na de inwerkingtreding van de voorgestelde verordening, en vervolgens om de vier jaar, zal de Commissie bij het Europees Parlement en de Raad een verslag indienen met een beoordeling van de uitvoering van de verordening en de toegevoegde waarde ervan. In het verslag zal ook melding worden gemaakt van eventuele directe of indirecte gevolgen voor de betrokken grondrechten. In het verslag zullen de behaalde resultaten worden getoetst aan de doelstellingen en zal worden nagegaan of de uitgangspunten nog steeds geldig zijn en of er conclusies met het oog op toekomstige opties moeten worden getrokken.
Als gevolg van de verplichte verzameling van API-gegevens en de invoering van de API-router zal duidelijker worden wat de stand van zaken is op het vlak van de verzameling en de doorgifte van API-gegevens door luchtvaartmaatschappijen en het daaropvolgende gebruik van API-gegevens door de lidstaten overeenkomstig de toepasselijke nationale en Uniewetgeving. Hierdoor krijgt de Commissie betrouwbare statistieken in handen over het volume van de doorgegeven gegevens en over de vluchten waarover API-gegevens zouden worden opgevraagd, wat haar zal helpen bij haar evaluatie- en handhavingstaken.
• Variabele geometrie
Dit voorstel bouwt voort op en strekt tot ontwikkeling van het Schengenacquis inzake de buitengrenzen, in die zin dat het de overschrijding van de buitengrenzen betreft. Daarom moeten de hieronder uiteengezette implicaties worden overwogen in verband met Protocol nr. 19 betreffende het Schengenacquis dat is opgenomen in het kader van de Europese Unie, gehecht aan het VEU en aan het VWEU, en Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het VEU en het VWEU.
Het voorstel valt onder de maatregelen van het Schengenacquis waaraan Ierland deelneemt overeenkomstig artikel 6, lid 2, van Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis 28 . De deelname van Ierland aan dit voorstel heeft met name betrekking op de verantwoordelijkheid van de Unie voor het nemen van maatregelen ter ontwikkeling van de bepalingen van het Schengenacquis ter bestrijding van illegale immigratie, waaraan Ierland deelneemt. Ierland neemt met name deel gezien de opneming, in artikel 1, lid 1, van dat besluit van de Raad, van een verwijzing naar artikel 26 van de Schengenuitvoeringsovereenkomst, dat betrekking heeft op de verantwoordelijkheid van luchtvervoerders ten aanzien van vreemdelingen aan wie de toegang wordt geweigerd en het in het bezit van de vreemdelingen zijn van de vereiste reisdocumenten. Ierland neemt deel aan de gehele voorgestelde verordening.
Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het VEU en het VWEU, neemt Denemarken niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch, na vaststelling ervan, van toepassing is in deze lidstaat. Aangezien de voorgestelde verordening zal voortbouwen op het Schengenacquis, moet Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening, beslissen of het deze in zijn interne recht zal omzetten.
Wat Cyprus, Bulgarije, Roemenië en Kroatië betreft, vormt de voorgestelde verordening een handeling die op het Schengenacquis voortbouwt of anderszins daaraan is gerelateerd in de zin van respectievelijk artikel 3, lid 1, van de Toetredingsakte van 2003, artikel 4, lid 1, van de Toetredingsakte van 2005 en artikel 4, lid 1, van de Toetredingsakte van 2011.
Wat IJsland, Noorwegen, Zwitserland en Liechtenstein betreft, zal de voorgestelde verordening een ontwikkeling inhouden van de bepalingen van het Schengenacquis in de zin van hun respectieve associatieovereenkomsten.
• Artikelsgewijze toelichting
Hoofdstuk 1 bevat de algemene bepalingen van deze verordening, te beginnen met regels over het onderwerp en het toepassingsgebied. Het bevat ook een lijst van definities.
Hoofdstuk 2 bevat de bepalingen voor het verzamelen en doorgeven van API-gegevens, namelijk een duidelijke reeks regels voor het verzamelen van API-gegevens door de luchtvaartmaatschappijen, regels over de doorgifte van de API-gegevens aan de router, de verwerking van de API-gegevens door de bevoegde grensautoriteiten en de opslag en wissing van API-gegevens door de luchtvaartmaatschappijen en die autoriteiten.
Hoofdstuk 3 bevat bepalingen voor de doorzending van API-gegevens via de router. Het bevat met name bepalingen waarin de belangrijkste kenmerken van de router worden beschreven, regels over het gebruik van de router, de procedure voor de doorzending van de API-gegevens via de router naar de bevoegde grensautoriteiten, de wissing van API-gegevens van de router, het aanleggen van logbestanden en de procedures bij een technische storing die het gebruik van de router geheel of gedeeltelijk belet.
Hoofdstuk 4 bevat een reeks specifieke bepalingen inzake de bescherming van persoonsgegevens. Meer in het bijzonder wordt gespecificeerd wie beschouwd moet worden als verwerkingsverantwoordelijke en gegevensverwerker voor de verwerking van API-gegevens die overeenkomstig deze verordening persoonsgegevens zijn. Het hoofdstuk bevat ook maatregelen die eu-LISA moet nemen om de beveiliging van de gegevensverwerking te waarborgen overeenkomstig Verordening (EU) 2018/1725, alsook maatregelen die de luchtvaartmaatschappijen en de bevoegde grensautoriteiten moeten nemen om hun interne naleving van de betrokken bepalingen van deze verordening en de regels inzake audits te monitoren.
Hoofdstuk 5 regelt bepaalde specifieke kwesties in verband met de router. Het bevat voorschriften inzake de verbindingen van de bevoegde grensautoriteiten en de luchtvaartmaatschappijen met de router. Het zet ook de taken van eu-LISA uiteen op het gebied van het ontwerpen, ontwikkelen, hosten en technisch beheren van de router en gaat in op andere ondersteuningstaken in verband met de router. Daarnaast bevat het hoofdstuk bepalingen inzake de kosten die deze verordening met zich brengt voor eu-LISA en de lidstaten, met name wat betreft de verbindingen en de integratie met de router, en bepalingen betreffende de aansprakelijkheid voor schade aan de router, de ingebruikneming van de router en de mogelijkheid voor de luchtvaartmaatschappijen om de router onder bepaalde voorwaarden vrijwillig te gebruiken.
Hoofdstuk 6 bevat bepalingen inzake toezicht, mogelijke sancties voor luchtvaartmaatschappijen die hun verplichtingen uit hoofde van deze verordening niet nakomen, regels over statistische rapportage door eu-LISA en de opstelling van een praktische handleiding door de Commissie.
Hoofdstuk 7 bevat bepalingen in verband met de impact van deze verordening op andere rechtshandelingen van de Unie, meer bepaald betreffende de intrekking van Richtlijn 2004/82/EG en de vereiste wijzigingen van andere bestaande instrumenten, met name Verordening (EU) 2018/1726 29 en Verordening (EU) 2019/817 30 .
Hoofdstuk 8 bevat de slotbepalingen van deze verordening, inzake de vaststelling van gedelegeerde en uitvoeringshandelingen, monitoring en evaluatie van deze verordening en de inwerkingtreding en toepassing ervan.