Overwegingen bij COM(2022)731 - Verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit - Hoofdinhoud
Dit is een beperkte versie
U kijkt naar een beperkte versie van dit dossier in de EU Monitor.
| dossier | COM(2022)731 - Verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens met het oog op het voorkomen, opsporen, onderzoeken ... |
|---|---|
| document | COM(2022)731   |
| datum | 13 december 2022 |
(2) Richtlijn 2004/82/EG van de Raad 27 bevat een rechtskader voor het verzamelen en doorgeven van API-gegevens door luchtvaartmaatschappijen met als doel de grenscontroles te verbeteren en illegale immigratie tegen te gaan, maar bepaalt ook dat de lidstaten API-gegevens mogen gebruiken voor rechtshandhavingsdoeleinden. Het louter creëren van een dergelijke mogelijkheid leidt echter tot leemten en tekortkomingen. Het heeft met name tot gevolg dat luchtvaartmaatschappijen niet in alle gevallen API-gegevens verzamelen en doorgeven voor rechtshandhavingsdoeleinden, hoewel die gegevens nuttig zijn voor dat doel. Het heeft ook tot gevolg dat de luchtvaartmaatschappijen in de lidstaten die van die mogelijkheid gebruikmaken, te maken krijgen met uiteenlopende nationale wettelijke voorschriften over het tijdstip en de wijze waarop API-gegevens voor dit doel moeten worden verzameld en doorgegeven. Deze verschillen leiden niet alleen tot onnodige kosten en complicaties voor de luchtvaartmaatschappijen, maar zijn ook nadelig voor de interne veiligheid van de Unie en voor een doeltreffende samenwerking tussen de bevoegde rechtshandhavingsinstanties van de lidstaten. Bovendien zijn vergemakkelijking van grenscontroles en rechtshandhaving twee in aard verschillende doeleinden en is het daarom passend om voor elk doel apart een afzonderlijk rechtskader voor het verzamelen en doorgeven van API-gegevens vast te stellen.
(3) Bij Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad 28 zijn regels vastgesteld over het gebruik van PNR-gegevens voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Krachtens die richtlijn moeten de lidstaten de nodige maatregelen nemen om ervoor te zorgen dat de luchtvaartmaatschappijen PNR-gegevens, met inbegrip van verzamelde API-gegevens, doorgeven aan de op grond van die richtlijn opgerichte passagiersinformatie-eenheid (“PIE”) voor zover zij deze gegevens in het kader van hun normale bedrijfsvoering reeds hebben verzameld. De richtlijn waarborgt dus niet dat in alle gevallen API-gegevens worden verzameld en doorgegeven, aangezien het verzamelen van een volledige reeks van die gegevens voor de luchtvaartmaatschappijen geen zakelijk doel dient. Het is belangrijk ervoor te zorgen dat de PIE’s de API-gegevens samen met de PNR-gegevens ontvangen, aangezien die gegevens gezamenlijk moeten worden verwerkt, willen de bevoegde rechtshandhavingsinstanties van de lidstaten terroristische misdrijven en ernstige criminaliteit doeltreffend kunnen voorkomen, opsporen, onderzoeken en vervolgen. Gezamenlijke verwerking van die gegevens maakt met name een accurate identificatie mogelijk van passagiers die overeenkomstig het toepasselijke recht nader onderzoek door die instanties behoeven. In de reeds genoemde richtlijn wordt niet gespecificeerd welke informatie-elementen als API-gegevens worden beschouwd. Om die redenen moeten aanvullende regels worden vastgesteld op grond waarvan de luchtvaartmaatschappijen een specifiek omschreven reeks API-gegevens moeten verzamelen en vervolgens doorgeven. Die vereisten moeten van toepassing zijn voor zover de luchtvaartmaatschappijen krachtens die richtlijn PNR-gegevens over dezelfde vlucht moeten verzamelen en doorgeven.
(4) Op het niveau van de Unie moeten duidelijke, geharmoniseerde en doeltreffende regels worden vastgesteld over de verzameling en de doorgifte van API-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit.
(5) Deze verordening moet worden opgevat als een aanvulling op de regels van Richtlijn (EU) 2016/681, gezien het nauwe verband tussen beide handelingen. Daarom moeten de API-gegevens worden verzameld en doorgegeven overeenkomstig de specifieke vereisten van deze verordening, ook wat betreft de situaties waarin en de wijze waarop dat moet gebeuren. De regels van die richtlijn zijn echter van toepassing op onderwerpen die niet specifiek onder deze verordening vallen, met name waar het gaat om verdere verwerking van de door de PIE’s ontvangen API-gegevens, uitwisseling van informatie tussen de lidstaten, voorwaarden voor toegang van het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol), doorgifte aan derde landen, bewaring en depersonalisering, alsmede bescherming van persoonsgegevens. Voor zover die regels van toepassing zijn, zijn ook de regels van die richtlijn over sancties en de nationale toezichthoudende autoriteiten van toepassing. De onderhavige verordening mag geen afbreuk doen aan die regels.
(6) Het verzamelen en doorgeven van API-gegevens heeft gevolgen voor de persoonlijke levenssfeer van natuurlijke personen en gaat gepaard met de verwerking van persoonsgegevens. Met het oog op de volledige eerbiediging van de grondrechten, met name het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens, overeenkomstig het Handvest van de grondrechten van de Europese Unie (“Handvest”), moeten passende beperkingen en waarborgen worden vastgesteld. Met name moet de verwerking van API-gegevens, en in het bijzonder van API-gegevens die persoonsgegevens zijn, beperkt blijven tot wat noodzakelijk is voor en evenredig is aan de verwezenlijking van de doelstellingen van deze verordening. Daarnaast moet ervoor worden gezorgd dat de uit hoofde van deze verordening verzamelde en doorgegeven API-gegevens geen aanleiding geven tot op grond van het Handvest verboden discriminatie.
(7) Aangezien deze verordening complementair is aan Richtlijn (EU) 2016/681, moeten de verplichtingen die uit hoofde van deze verordening op luchtvaartmaatschappijen van toepassing zijn, gelden voor alle vluchten waarvoor de lidstaten luchtvaartmaatschappijen moeten verplichten PNR-gegevens door te geven uit hoofde van Richtlijn (EU) 2016/681, namelijk geregelde en niet-geregelde vluchten naar of vanuit derde landen en geregelde en niet-geregelde vluchten binnen de EU voor zover die laatstbedoelde vluchten zijn geselecteerd overeenkomstig Richtlijn (EU) 2016/681, ongeacht de plaats van vestiging van de luchtvaartmaatschappijen die deze vluchten uitvoeren.
(8) Aangezien Richtlijn (EU) 2016/681 niet van toepassing is op binnenlandse vluchten, d.w.z. vluchten die op het grondgebied van dezelfde lidstaat vertrekken en landen zonder tussenlanding op het grondgebied van een andere lidstaat of een derde land, en gezien de transnationale dimensie van de onder deze verordening vallende terroristische misdrijven en ernstige criminaliteit, mogen dergelijke vluchten evenmin onder deze verordening vallen. Deze verordening mag niet zodanig worden uitgelegd dat zij de lidstaten beperkt in hun mogelijkheid om krachtens hun nationale recht en in overeenstemming met het Unierecht luchtvaartmaatschappijen te verplichten API-gegevens over dergelijke binnenlandse vluchten te verzamelen en door te geven.
(9) Gezien het nauwe verband tussen de betrokken handelingen van het Unierecht en met het oog op consistentie en samenhang, moeten de definities van deze verordening zoveel mogelijk worden afgestemd op en worden uitgelegd en toegepast in het licht van de definities van Richtlijn (EU) 2016/681 en Verordening (EU) [API-gegevens voor grensbeheer] 29 .
(10) De op grond van deze verordening te verzamelen en door te geven API-gegevens moeten bestaan uit de gegevenselementen die duidelijk en volledig worden opgesomd in Verordening (EU) [API-gegevens voor grensbeheer] en die zowel informatie over elke passagier als informatie over de vlucht van die reiziger omvatten. In het kader van deze verordening moet de vluchtinformatie alleen in voorkomend geval informatie over de grensdoorlaatpost van binnenkomst op het grondgebied van de betrokken lidstaat bevatten, dat wil zeggen niet wanneer de API-gegevens betrekking hebben op vluchten binnen de EU.
(11) Met het oog op een zo consistent mogelijke aanpak bij het verzamelen en doorgeven van API-gegevens door luchtvaartmaatschappijen moeten de in deze verordening vastgestelde regels in voorkomend geval worden afgestemd op die van Verordening (EU) [API-gegevens voor grensbeheer]. Dit geldt met name voor de regels inzake de kwaliteit van de gegevens, het gebruik door de luchtvaartmaatschappijen van geautomatiseerde procedés voor de gegevensverzameling, de precieze wijze waarop zij de verzamelde API-gegevens aan de router moeten doorgeven en de wissing van de API-gegevens.
(12) Om de gezamenlijke verwerking van API-gegevens en PNR-gegevens met het oog op een doeltreffende bestrijding van terrorisme en ernstige criminaliteit in de Unie te waarborgen en tegelijkertijd de inmenging in de door het Handvest beschermde grondrechten van passagiers tot een minimum te beperken, moeten de PIE’s als bevoegde autoriteiten van de lidstaten belast worden met het ontvangen, verwerken en beschermen van de uit hoofde van deze verordening verzamelde en doorgegeven API-gegevens. Met het oog op efficiëntie en optimale beperking van veiligheidsrisico’s moet de door het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) overeenkomstig Verordening (EU) [API-gegevens voor grensbeheer] ontworpen, ontwikkelde, gehoste en technisch onderhouden router de API-gegevens die de luchtvaartmaatschappijen uit hoofde van deze verordening hebben verzameld en aan de router hebben doorgegeven, doorzenden naar de relevante PIE’s. Om API-gegevens die persoonsgegevens zijn, overeenkomstig het vereiste niveau te beschermen, onder meer om de vertrouwelijkheid van de betrokken informatie te waarborgen, moeten de API-gegevens via de router op geautomatiseerde wijze naar de relevante PIE’s worden doorgezonden.
(13) Wat vluchten naar of vanuit derde landen betreft, moeten de PIE’s van de lidstaten op het grondgebied waarvan de vluchten zullen landen en/of opstijgen, de API-gegevens over deze vluchten via de router ontvangen, aangezien voor al die vluchten PNR-gegevens worden verzameld overeenkomstig Richtlijn (EU) 2016/681. De router moet de vlucht en de betrokken PIE’s identificeren aan de hand van de informatie in de PNR-bestandslocatie, een gegevenselement dat zowel in de API- als in de PNR-dataset aanwezig is en dat de gezamenlijke verwerking van API- en PNR-gegevens door de PIE’s mogelijk maakt.
(14) Wat vluchten binnen de EU betreft, moet, in overeenstemming met de jurisprudentie van het Hof van Justitie van de Europese Unie (“HvJ-EU”), selectief te werk worden gegaan, om te voorkomen dat de betrokken door het Handvest beschermde grondrechten ten onrechte worden geschonden en om de naleving van de vereisten van het Unierecht inzake het vrije verkeer van personen en de afschaffing van controles aan de binnengrenzen te waarborgen. Gezien het belang van de gezamenlijke verwerking van API- en PNR-gegevens moet die aanpak worden afgestemd op die van Richtlijn (EU) 2016/681. Om die redenen mogen de API-gegevens over die vluchten alleen via de router naar de relevante PIE’s worden doorgezonden als de lidstaten de betrokken vluchten op grond van artikel 2 van Richtlijn (EU) 2016/681 hebben geselecteerd. Zoals het HvJ-EU in herinnering heeft gebracht, houdt de selectie in dat de lidstaten de betrokken vereisten alleen mogen toepassen op, onder meer, bepaalde routes, reispatronen of luchthavens en dat die selectie regelmatig wordt geëvalueerd.
(15) Om in het kader van deze verordening de toepassing van die selectieve aanpak op vluchten binnen de EU mogelijk te maken, moeten de lidstaten worden verplicht lijsten van de door hen geselecteerde vluchten op te stellen en bij eu-LISA in te dienen, zodat eu-LISA ervoor kan zorgen dat alleen over die vluchten API-gegevens via de router naar de relevante PIE’s worden doorgezonden en dat de API-gegevens over andere vluchten binnen de EU onmiddellijk en definitief worden gewist.
(16) Om de doeltreffendheid van het systeem voor het verzamelen en doorgeven van API-gegevens en het systeem voor het verzamelen en doorgeven van PNR-gegevens dat, respectievelijk, bij deze verordening en bij Richtlijn (EU) 2016/681 met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit is opgezet, niet in gevaar te brengen, met name door een risico op omzeiling te creëren, moet informatie over welke vluchten binnen de EU de lidstaten hebben geselecteerd, vertrouwelijk worden behandeld. Daarom mag die informatie niet met de luchtvaartmaatschappijen worden gedeeld en moeten luchtvaartmaatschappijen dus worden verplicht API-gegevens te verzamelen over alle vluchten die onder deze verordening vallen, met inbegrip van alle vluchten binnen de EU, en die gegevens vervolgens door te geven aan de router, waar de nodige selectie moet worden uitgevoerd. Doordat API-gegevens over alle vluchten binnen de EU worden verzameld, weten de passagiers bovendien niet over welke geselecteerde vluchten binnen de EU API-gegevens, en dus ook PNR-gegevens, worden doorgezonden naar de PIE’s overeenkomstig de beoordeling van de lidstaten. Met deze aanpak kan de selectie ook snel en doeltreffend worden gewijzigd, zonder dat aan de luchtvaartmaatschappijen onnodige economische en operationele lasten worden opgelegd.
(17) Met het oog op de naleving van het grondrecht op bescherming van persoonsgegevens en in overeenstemming met Verordening (EU) [API-gegevens voor grensbeheer] moet in deze verordening worden bepaald wie de verwerkingsverantwoordelijken zijn. Met het oog op doeltreffende monitoring, adequate bescherming van persoonsgegevens en optimale beperking van de beveiligingsrisico’s moeten ook regels worden vastgesteld over het aanleggen van logbestanden, de beveiliging van de verwerking en interne monitoring. Wanneer die bepalingen betrekking hebben op de verwerking van persoonsgegevens, moeten ze worden opgevat als een aanvulling op de algemeen toepasselijke handelingen van het Unierecht inzake de bescherming van persoonsgegevens, met name Verordening (EU) 2016/679 van het Europees Parlement en de Raad 30 , Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad 31 en Verordening (EU) 2018/1725 van het Europees Parlement en de Raad 32 . De onderhavige verordening mag geen afbreuk doen aan die handelingen, die ook van toepassing zijn op de verwerking van persoonsgegevens in het kader van deze verordening overeenkomstig de bepalingen ervan.
(18) De technische verbindingen voor de doorgifte van de API-gegevens worden door de router die op grond van Verordening (EU) [API-gegevens voor grensbeheer] wordt opgezet en geëxploiteerd, in aantal verminderd, vereenvoudigd en beperkt tot één verbinding per luchtvaartmaatschappij en per PIE. Daarom verplicht deze verordening de PIE’s en de luchtvaartmaatschappijen om elk zo een verbinding op te zetten die met de router kan worden geïntegreerd, zodat het bij deze verordening ingestelde systeem voor de doorgifte van API-gegevens naar behoren kan functioneren.
(19) Gezien de belangen van de Unie die op het spel staan, moeten passende kosten die de lidstaten maken voor de door deze verordening voorgeschreven verbindingen en integratie met de router, ten laste komen van de begroting van de Unie, overeenkomstig de toepasselijke wetgeving en met inachtneming van bepaalde uitzonderingen. De kosten die onder deze uitzonderingen vallen, moet de betrokken lidstaat zelf dragen.
(20) Overeenkomstig Verordening (EU) 2018/1726 kunnen de lidstaten eu-LISA belasten met de taak de connectiviteit met luchtvaartmaatschappijen te vergemakkelijken teneinde de lidstaten te helpen bij de uitvoering van Richtlijn (EU) 2016/681, met name door PNR-gegevens te verzamelen en door te geven via de router.
(21) Het kan niet worden uitgesloten dat in uitzonderlijke omstandigheden en ondanks alle redelijke maatregelen die overeenkomstig deze verordening en, wat de router betreft, overeenkomstig Verordening (EU) [API-gegevens voor grensbeheer] zijn getroffen, de router of een systeem of de infrastructuur waarmee de PIE’s en de luchtvaartmaatschappijen onderling verbonden zijn, niet naar behoren functioneert, waardoor het technisch onmogelijk is de router te gebruiken om API-gegevens door te zenden. Als de router niet beschikbaar is en het normaal gezien voor de luchtvaartmaatschappijen redelijkerwijs niet mogelijk is de API-gegevens die hinder ondervinden van de storing, op een rechtmatige, veilige, doeltreffende en snelle wijze via alternatieve procedés door te geven, moet de verplichting voor de luchtvaartmaatschappijen om die API-gegevens aan de router door te geven, vervallen zolang die doorgifte technisch onmogelijk is. Om de duur en de negatieve gevolgen van dergelijke technische storingen tot een minimum te beperken, moeten de betrokken partijen elkaar onmiddellijk ervan op de hoogte brengen en onmiddellijk alle nodige maatregelen nemen om deze te verhelpen. Deze regeling mag geen afbreuk doen aan de uit deze verordening voortvloeiende verplichtingen op grond waarvan alle betrokken partijen ervoor moeten zorgen dat de router en hun respectieve systemen en infrastructuur naar behoren functioneren, noch aan het feit dat aan luchtvaartmaatschappijen sancties worden opgelegd wanneer zij deze verplichtingen niet nakomen, ook wanneer zij ten onrechte gebruik willen maken van deze regeling. Om dergelijk misbruik tegen te gaan en het toezicht en, waar nodig, het opleggen van sancties te vergemakkelijken, moeten luchtvaartmaatschappijen die vanwege een storing in hun eigen systeem en infrastructuur gebruik maken van deze regeling, hierover verslag uitbrengen aan de bevoegde toezichthoudende autoriteit.
(22) Om ervoor te zorgen dat de luchtvaartmaatschappijen de regels van deze verordening daadwerkelijk toepassen, moet worden voorzien in de aanwijzing en machtiging van nationale autoriteiten die belast zijn met het toezicht op die regels. De in deze verordening vastgestelde regels over dit toezicht, ook wat het opleggen van sancties waar nodig betreft, mogen geen afbreuk doen aan de taken en bevoegdheden van de overeenkomstig Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 ingestelde toezichthoudende autoriteiten, onder meer op het gebied van de verwerking van persoonsgegevens in het kader van deze verordening.
(23) Ten aanzien van luchtvaartmaatschappijen die hun verplichtingen inzake de verzameling en de doorgifte van API-gegevens op grond van deze verordening niet nakomen, dienen de lidstaten te voorzien in doeltreffende, evenredige en afschrikkende sancties, met inbegrip van geldboetes.
(24) Met het oog op de vaststelling van maatregelen inzake de technische voorschriften en operationele regels voor de geautomatiseerde procedés voor het verzamelen van machineleesbare API-gegevens, inzake de gemeenschappelijke protocollen en formaten voor de doorgifte van API-gegevens door de luchtvaartmaatschappijen, inzake de technische en procedurele regels voor de doorzending van de API-gegevens via de router naar de PIE’s en inzake de verbindingen en de integratie van de PIE’s en de luchtvaartmaatschappijen met de router, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen met betrekking tot respectievelijk de artikelen 4, 5, 10 en 11. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadplegingen overgaat, onder meer op deskundigenniveau, en dat die raadplegingen gebeuren in overeenstemming met de beginselen die zijn vastgelegd in het Interinstitutioneel Akkoord van 13 april 2016 over beter wetgeven 33 . Met name om te zorgen voor gelijke deelname aan de voorbereiding van gedelegeerde handelingen ontvangen het Europees Parlement en de Raad alle documenten op hetzelfde tijdstip als de deskundigen van de lidstaten, en hebben hun deskundigen systematisch toegang tot de vergaderingen van de deskundigengroepen van de Commissie die zich bezighouden met de voorbereiding van de gedelegeerde handelingen.
(25) Alle belanghebbende partijen, en met name de luchtvaartmaatschappijen en de PIE’s, moeten voldoende tijd krijgen om de nodige voorbereidingen te treffen om aan hun respectieve verplichtingen uit hoofde van deze verordening te kunnen voldoen, temeer daar sommige van die voorbereidingen, zoals die betreffende de verplichtingen inzake de verbinding en integratie met de router, pas kunnen worden voltooid nadat de router ontworpen en ontwikkeld is en in gebruik is genomen. Daarom mag de toepassing van deze verordening pas ingaan op een passende datum na de door de Commissie overeenkomstig Verordening (EU) [API-gegevens voor grensbeheer] gespecificeerde datum van ingebruikneming van de router. De Commissie moet echter reeds vanaf een eerdere datum gedelegeerde handelingen in het kader van deze verordening kunnen vaststellen om ervoor te zorgen dat het bij deze verordening ingestelde systeem zo spoedig mogelijk operationeel is.
(26) De doelstellingen van deze verordening, namelijk bijdragen tot het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, kunnen, aangezien de betrokken strafbare feiten een transnationale dimensie hebben en slechts aan de hand van grensoverschrijdende samenwerking doeltreffend kunnen worden aangepakt, niet voldoende door de lidstaten afzonderlijk, maar beter door de Unie worden verwezenlijkt. Daarom kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan nodig is om deze doelstelling te verwezenlijken.
(27) Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, neemt Denemarken niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op Denemarken.
(28) [Overeenkomstig artikel 3 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, heeft Ierland kennis gegeven van zijn wens deel te nemen aan de vaststelling en toepassing van deze verordening.] OF [Overeenkomstig de artikelen 1 en 2 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, en onverminderd artikel 4 van dat protocol, neemt Ierland niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op Ierland.]
(29) De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 geraadpleegd en heeft op [XX] een advies uitgebracht 34 ,