PROMEMORIAINRIKEMINISTERIET9.2.2023EU/1567/2023EUROPEISKA KOMMISSIONENS FÖRSLAG TILL EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNINGAR
1
Bakgrund
Kommissionen antog den 13 december 2022 förslag till förordningar om 1) insamling och överföring av förhandsinformation om passagerare för att underlätta kontrollen av de yttre gränserna, om ändring av förordningarna (EU) 2019/817 och 2018/1726 samt om upphävande av direktiv 2004/82/EG (COM(2022)729 final) (nedan API-förslaget om gränskontroll), samt om 2) insamling och överföring av förhandsinformation om passagerare för att förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet och om ändring av förordning 2019/2018 (COM(2022) 731 final) (nedan API-förslaget om brottsbekämpning).
Antalet flygpassagerare har ökat stadigt under de senaste decennierna, och 2019 omfattade den reguljära flygtrafiken omkring 4,5 miljarder passagerare. På internationell nivå har FN:s säkerhetsråd i sina resolutioner alltsedan 2014 upprepade gånger krävt att passageraruppgiftssamlingar ska upprättas och börja användas globalt i brottsbekämpande syfte. Vikten av att använda dessa uppgifter för att bekämpa terrorism och internationell brottslighet har lyfts fram även inom Organisationen för säkerhet och samarbete i Europa (OSSE).
Kommissionen har i sina förslag konstaterat att den grova och organiserade brottsligheten har ökat inom EU och på andra håll i världen under det senaste decenniet. Karaktäristiskt för organiserad brottslighet är enligt Europols hotbedömning när det gäller grov och organiserad brottslighet inom EU att den ofta sträcker sig över gränserna och utnyttjar internationella transportförbindelser vanligtvis med målet att smuggla människor, droger eller andra olagliga varor in i EU. Inom flygtrafiken använder sig brottslingar ofta av de viktigaste flygplatserna i EU och av mindre regionala flygplatser. Även terroristbrott överskrider ofta statsgränserna och involverar antingen internationella kontakter eller resor till länder utanför EU. Informationen om flygpassagerare är således ett viktigt verktyg för brottsbekämpningsmyndigheterna när det gäller att bekämpa grov brottslighet och terroristbrott.
2
Förslagets syfte
Varje år reser drygt en miljard människor inom EU med internationella flygförbindelser. Drygt 500 miljoner människor reser med flyg över de yttre gränserna. I EU gäller sedan 2004 ett direktiv om skyldighet för transportörer som utför flygningar över de yttre gränserna att lämna uppgifter om passagerarna (2004/82/EG, nedan API-direktivet). Tillämpningen av API-direktivet varierar mellan olika medlemsstater, och vissa medlemsstater tillämpar det inte alls. Uppgifter från kommissionen ger vid handen att API-uppgifter utnyttjas endast i fråga om cirka 65 procent av alla inkommande passagerare.
I Finland sköts förhandskontrollen av uppgifter om passagerare som reser över de yttre gränserna (nedan API-uppgifter) av en särskild funktion vid Gränsbevakningsväsendet. Syftet med behandlingen av API-uppgifter är att förbättra gränskontrollerna så att de löper smidigare och effektivare och riktas ändamålsenligt. För närvarande får myndigheterna dock API-uppgifterna först när avgångsporten har stängts och det inte längre är möjligt för passagerare att stiga ombord eller lämna flyget.
År 2016 antogs ett direktiv om användning av passageraruppgiftssamlingar för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (2016/681, nedan PNR-direktivet), som kan tillämpas förutom på trafik över de yttre gränserna också på flygresor inom EU enligt vad som föreskrivs särskilt. I Finland behandlas passageraruppgiftssamlingar (nedan PNR-uppgifter) som en del av PTG-kriminalunderrättelsestrukturen av en PTG-central för passagerarinformation som leds av polisen (nedan PIU-enheten). PNR-uppgifterna lämnas till myndigheterna senast 24 timmar före avgång samt efter att avgångsporten har stängts.
API-uppgifterna och PNR-uppgifterna skiljer sig något från varandra: API-uppgifterna kontrolleras i samband med incheckningen och de innehåller bland annat uppgifter om det resedokument som personen använder, medan PNR-uppgifterna grundar sig enbart på den anmälan som passageraren gjort i samband med bokningen av flyget. De bokningsuppgifter som rese- och flygbolagen samlar in varierar till sitt innehåll. I fortsättningen ska det vara möjligt att i brottsbekämpningssyfte med hjälp av en PNR-kod som består av sex tecken behandla API-uppgifter och PNR-uppgifter parallellt.
Lufttrafikföretagen samlar in API-uppgifter om passagerarna i samband med incheckningen på webben och på flygplatsen endast när de är skyldiga att göra det. Därefter skickas uppgifterna till de behöriga gränsmyndigheterna som en förteckning över alla passagerare som varit ombord när flygplanet avgått. Inom kontrollen av de yttre gränserna utnyttjas för närvarande inte all den information som i incheckningsskedet skulle kunna fås om passagerarna i form av API-uppgifter. Lufttrafikföretagen ska skicka API-uppgifterna enligt ett specifikt system som fastställts av myndigheterna i respektive medlemsstat, vilket medför utmaningar för lufttrafikföretagen. Medan PNR-uppgifterna är icke-verifierade uppgifter som lämnats av passagerarna betraktas API-uppgifterna som verifierade uppgifter, eftersom de gäller de passagerare som stigit ombord på flygplanet. Även brottsbekämpningsmyndigheterna kan utnyttja API-uppgifter för att identifiera misstänkta och efterlysta personer. Lufttrafikföretagen ska till enheten för passagerarinformation lämna passageraruppgiftssamlingar om sina ankommande och avgående flygningar både utanför och innanför Europeiska unionen till den del dessa inte har samlats in i samband med den så kallade normala affärsverksamheten. Av denna anledning innehåller PNR-uppgifterna ofta brister, i synnerhet när det gäller den interna flygtrafiken inom Europeiska unionen.
Enligt den nuvarande EU-rättsliga ramen får PNR-uppgifter endast användas för att bekämpa grov brottslighet och terrorism. Detta är inte förenligt med bestämmelserna om API-uppgifter, som får samlas in endast inom flygtrafiken över de yttre gränserna. Enligt kommissionen leder detta till en säkerhetsbrist, eftersom lufttrafikföretagen i fråga om flygningar inom EU endast överför PNR-uppgifter till medlemsstaterna. I nuläget innebär detta att brottsbekämpningsmyndigheterna inte kan dra nytta av resultaten av den gemensamma behandlingen av API-uppgifter och PNR-uppgifter i fråga om flygningar inom EU.
En bedömning av API-direktivet som gjordes 2020 visar att EU-reglerna om insamling av API-uppgifter inte längre är ändamålsenliga. I bedömningen ansågs också att API-uppgifterna och PNR-uppgifterna med fördel skulle kunna kombineras för att förbättra de sistnämndas tillförlitlighet och slagkraft som brottsbekämpningsverktyg.
Förordningsförslagen gäller endast flygpassagerare. Andra reseformer regleras på olika rättsgrunder internationellt exempelvis i fråga om båtpassagerare (som en del av kodexen om Schengengränserna) eller nationellt exempelvis i fråga om tågpassagerare. Förordningarna omfattar reguljär och icke-reguljär flygtrafik. API-förslaget om gränskontroll gäller passagerarinformation som gränsmyndigheterna behandlar endast inom inkommande flygtrafik över EU:s yttre gränser. API-förslaget om brottsbekämpning gäller flygpassagerarinformation som behandlas av PIU-enheterna i fråga om såväl flygningar till och från EU som vissa flygningar inom EU.
Målsättningarna med förslagen är följande:
1. Enhetligare regler för en mer omfattande och noggrannare insamling och överföring av API-uppgifter om flygpassagerare införs för att på ett behörigt sätt ordna och effektivisera kontrollerna vid de yttre gränserna och för att förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.
2. API- och PNR-uppgifternas användbarhet harmoniseras och uppgifterna behandlas parallellt i brottsbekämpande syfte. På basis av förslagen får brottsbekämpningsmyndigheternas PIU-enheter mer omfattande passagerarbedömningsresultat från flygningar inom EU, om vilka både API- och PNR-uppgifter ska samlas in i fortsättningen. Den kombinerade användningen av API-uppgifter och PNR-uppgifter ger de behöriga nationella brottsbekämpningsmyndigheterna en möjlighet att bättre än tidigare kunna verifiera passagerarnas identitet, och förfarandet förbättrar PNR-uppgifternas tillförlitlighet avsevärt.
3. En centraliserad router på EU-nivå tas i bruk, och API-uppgifter överförs till myndigheterna på ett säkrare och mer förutsägbart sätt.
4. Bättre regler för lufttrafikföretagens insamling och överföring av API-uppgifter fastställs i syfte att förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet.
5. Tillsynen över och dataskyddet inom behandlingen av API-uppgifter förbättras genom höga säkerhetsstandarder, och rättssäkerheten ökar ur både passagerarnas och lufttrafikföretagens synvinkel. I förordningsförslagen, och i beredningen av dem, har man även beaktat EU-domstolens beslut om tillämpningen av PNR-direktivet. Utgångspunkten är att medlemsstaterna och deras myndigheter får behandla uppgifter endast när det är nödvändigt och befogat. Med hjälp av den nya routern kan de insamlade uppgifterna filtreras bättre så att man kan begränsa uppgiftsbehandlingen till vissa, utvalda flygningar. Målet är att säkerställa att de grundläggande rättigheter som ingår i EU:s stadga om de grundläggande rättigheterna tillgodoses, särskilt rätten till privatliv och skydd av personuppgifter, och att de krav på nödvändighet och proportionalitet som följer av dessa iakttas. API-förslagen om gränskontroll respektive brottsbekämpning är noggrant avgränsade, och de innehåller strikta begränsningar för skydd av personuppgifter och skyddsåtgärder.
3
Förslagens huvudsakliga innehåll
I) förslaget om insamling och överföring av förhandsinformation om passagerare för att effektivisera och ordna kontrollen vid de yttre gränserna (API-förslaget om gränskontroll)
Kapitel I (artiklarna 1–3) innehåller allmänna bestämmelser. Enligt artikel 1 ska det i syfte att effektivisera kontrollerna vid de yttre gränserna och göra dem smidigare och i syfte att bekämpa olaglig inresa fastställas regler för a) lufttrafikföretagens insamling av förhandsinformation om passagerare (API-uppgifter) i fråga om flygningar till EU b) lufttrafikföretagens överföring av API-uppgifter till en dataöverföringsrouter (router) samt c) överföringen av API-uppgifter från dataöverföringsroutern till de behöriga gränsmyndigheterna. Enligt artikel 2 gäller förordningsförslaget lufttrafikföretag som idkar reguljär och icke-reguljär flygtrafik till EU. I artikel 3 definieras de begrepp som används i förordningsförslaget.
Kapitel II (artiklarna 4–8) innehåller bestämmelser om insamling och överföring av API-uppgifter. Enligt artikel 4 ska de API-uppgifter som lufttrafikföretagen samlar in innefatta följande uppgifter om passageraren: efternamn och förnamn, födelsedatum, kön och nationalitet, typen av resedokument och det land som beviljat det samt resedokumentets giltighetstid, huruvida personen är en passagerare eller medlem av besättningen, PNR-bokningskod, sittplats på flygplanet (om denna information finns att tillgå) samt antal resväskor (om denna information finns att tillgå). API-uppgifterna ska också innehålla följande uppgifter om flyget: flygets nummer eller någon annan kod som tydligt identifierar flyget, det gränsövergångsställe via vilket flyget ankommer till EU-området (när detta är ändamålsenligt), koden för den flygplats via vilken flyget ankommer till medlemsstaten, den plats där personen har stigit ombord på flygplanet, flygets avgångstid (lokal tid) och flygets ankomsttid (lokal tid).
I artikel 5 definieras hur API-uppgifterna ska samlas in. Lufttrafikföretagen ska samla in de uppgifter som definieras i artikel 4 och de uppgifter som ska överföras enligt artikel 6 på ett sådant sätt att uppgifterna är exakta, integrerade och aktuella. Uppgifterna ska samlas in på ett pålitligt och säkert automatiserat sätt med hjälp av maskinläsbara uppgifter i resedokumenten. Om det inte är möjligt att utnyttja maskinläsbara uppgifter ska lufttrafikföretagen samla in uppgifterna manuellt. Kommissionen kan senare genom delegerade akter föreskriva om tekniska krav och verksamhetsregler i anslutning till insamlingen av API-uppgifter. I artikel 6 fastställs vilka skyldigheter trafikföretagen har när det gäller elektronisk överföring av API-uppgifter. API-uppgifterna ska överföras både i samband med incheckningen och genast efter att avgångsporten till flyget har stängts och passagerarna inte längre kan stiga ombord på eller lämna flygplanet. Kommissionen kan genom delegerade akter separat föreskriva om tekniska frågor i anslutning till dataöverföringen. Om trafikföretaget upptäcker att de uppgifter som det lämnat är felaktiga, bristfälliga eller föråldrade, eller att uppgifterna har behandlats olagligt, ska trafikföretaget omedelbart informera eu-LISA om detta, och eu-LISA ska omedelbart förmedla informationen vidare till de behöriga gränsmyndigheterna. Enligt artikel 7 får gränsmyndigheterna endast behandla uppgifter i enlighet med artikel 1.
I artikel 8 konstateras att trafikföretagen och de behöriga gränsmyndigheterna ska förvara API-uppgifterna i 48 timmar efter att flyget har avgått. Efter 48 timmar ska uppgifterna omedelbart förstöras permanent. Om de insamlade uppgifterna är felaktiga, inexakta, föråldrade eller har behandlats olagligt ska de antingen korrigeras, uppdateras eller förstöras permanent.
Kapitel III (artiklarna 9–14) innehåller förslag till bestämmelser om routern. Eu-LISA ska planera, verkställa och administrera ärenden som anknyter till routern och sköta den tekniska operativa förvaltningen av routern för att möjliggöra överföringen av API-uppgifter från lufttrafikföretagen till gränsmyndigheterna och från brottsbekämpningsmyndigheterna till enheterna för passagerarinformation (PIU-enheterna). Routern ska vara centraliserat konstruerad och möjliggöra en säker dataöverföring. Den ska i den mån det är möjligt utnyttja tidigare lösningar och konstruerade eller planerade tekniska komponenter (till exempel carrier gateway). Routern får inte utnyttjas för andra ändamål än överföring och mottagning av API-uppgifter. Artikel 11 gäller överföringen av data från routern till gränsmyndigheterna. Eu-LISA ska föra en motsvarighetsförteckning över flygens landsspecifika avgångs- och ankomstställen för att möjliggöra dataöverföringen. Medlemsstaterna ska utse de behöriga gränsmyndigheter som får ta emot API-uppgifter. Kommissionen ska publicera en lista över gränsmyndigheterna i fråga. Medlemsstaterna ska utarbeta regler om vem som har rätt att behandla API-uppgifter. Reglerna ska innehålla en uppdaterad lista över de personer (och deras uppgifter) som har rätt att behandla API-uppgifter. Kommissionen kan genom delegerade akter föreskriva om de tekniska och metodmässiga krav som gäller dataöverföring från routern.
Enligt artikel 12 ska API-data förstöras i routern genast när den har överförts till de behöriga myndigheterna. Enligt artikel 13 ska eu-LISA samla in logguppgifter om till exempel överföring av API-uppgifter. Logguppgifterna får inte innehålla personuppgifter om passagerare. Syftet med logguppgifterna är att säkerställa API-uppgifternas säkerhet och integritet. Logguppgifterna ska förvaras i ett år, varefter de ska förstöras (såvida de inte behövs till exempel för separata utredningar, i vilket fall de ska förstöras senast när utredningen har färdigställts). Artikel 14 gäller situationer där routern av tekniska orsaker inte är tillgänglig. Det finns inget reservsystem för överföringen av API-uppgifter, utan eventuella problem ska avhjälpas så fort som möjligt.
Kapitel IV (artiklarna 15–19) innehåller bestämmelser om dataskydd. I artikel 15 fastställs att gränsmyndigheterna och lufttrafikföretagen är personuppgiftsansvariga i enlighet med förordning (EU) 2016/679. Enligt artikel 16 är eu-LISA ett sådant personuppgiftsbiträde som avses i förordning (EU) 2018/1725. I artikel 17 konstateras att eu-LISA ska säkerställa API-uppgifternas säkerhet och bland annat fysiskt skydda routern. Eu-LISA ska också se till att byrån kan säkerställa att uppgifterna hamnar på rätt ställe. Även myndigheterna och lufttrafikföretagen ska säkerställa att uppgifterna behandlas på ett säkert sätt. Enligt artikel 18 ska myndigheterna och lufttrafikföretagen på egen hand övervaka att de behandlar uppgifterna i enlighet med förordningsförslagen.
Enligt artikel 19 ska de nationella dataskyddsmyndigheterna (förordning [EU] 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG [allmän dataskyddsförordning]) övervaka API-uppgifterna och den behandling av personuppgifter som utförs i anslutning till dem. En inspektion ska utföras minst vart fjärde år. Europeiska datatillsynsmannen ska säkerställa att behandlingen av API-uppgifter inspekteras minst en gång per år. En rapport om inspektionen ska lämnas till EU-parlamentet, rådet, kommissionen, medlemsstaterna och eu-LISA. Europeiska datatillsynsmannen har rätt att få alla de uppgifter som datatillsynsmannen begär av eu-LISA.
I kapitel V (artiklarna 20–28) föreskrivs om dataförbindelserna i anslutning till routern och separata akter. Medlemsstaterna (de behöriga gränsmyndigheterna) och lufttrafikföretagen ska säkerställa de nödvändiga förbindelserna till routern. Kommissionen kan genom delegerade akter separat föreskriva om detaljerade krav på routerförbindelserna. Eu-LISA ska på begäran erbjuda myndigheterna utbildning i tekniska frågor som gäller routern och stödja myndigheterna när det gäller att ta emot API-uppgifter via routern. Enligt artikel 25 ska de kostnader som eu-LISA orsakas på grund av routern täckas med medel ur EU:s budget. Även medlemsstaternas kostnader för routerförbindelserna och den integration som behövs ska täckas med medel ur EU:s budget. Medlemsstaterna ska dock själva stå för de nationella kostnaderna för bland annat projektpersonal, de nationella datasystemen och upprätthållandet av routerförbindelserna. Routern kan börja användas frivilligt redan innan förordningen trätt i kraft.
Kapitel VI (artiklarna 29–32) gäller övervakning, straff, statistik och utarbetandet av en handbok. Enligt artikel 29 ska medlemsstaterna utse en eller flera nationella tillsynsmyndigheter som ska övervaka att lufttrafikföretagen verkar på det sätt som förutsätts enligt förordningen i medlemsstatens ansvarsområde. Tillsynsmyndigheten ska ha de metoder och befogenheter som behövs för att påföra sanktioner. Tillsynsmyndigheterna ska agera effektivt och ändamålsenligt i enlighet med proportionalitetsprincipen. Uppgifterna om tillsynsmyndigheterna ska lämnas till kommissionen. Enligt artikel 30 ska medlemsstaterna föreskriva om påföljder för verksamhet som strider mot förordningen. Påföljderna ska vara effektiva, ändamålsenliga och avskräckande. I artikel 31 konstateras att eu-LISA ska lämna statistik om till exempel routerns funktion. Enligt artikel 32 ska kommissionen i samarbete med medlemsstaternas myndigheter, trafikföretag och andra ändamålsenliga aktörer sammanställa och offentliggöra en handbok om genomförandet av förordningen.
I kapitel VII (artiklarna 33–35) fastställs förordningsförslagets förhållande till gällande akter och redogörs för vissa nödvändiga ändringar (till exempel upphävandet av API-direktivet).
Kapitel VIII (artiklarna 36–39) innehåller slutbestämmelserna. I dessa föreskrivs bland annat om antagande av delegerade akter i enlighet med hänvisningarna i artiklarna 5, 6, 11, 20 och 21 samt om övervakning och bedömning. Enligt artikel 39 ska skyldigheten att handla enligt förordningen börja gälla två år efter att routern officiellt har tagits i bruk.
ii) förslaget om insamling och överföring av förhandsinformation om passagerare för att förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (API-förslaget om brottsbekämpning)
I kapitel I (artiklarna 1–3) finns de allmänna bestämmelserna i förordningen, först och främst bestämmelserna om ämnet och tillämpningsområdet. I artikel 1 fastställs regler för att förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Dessa regler gäller
a) lufttrafikföretagens insamling av förhandsinformation om passagerare (API-uppgifter) i fråga om flygförbindelser utanför och inom EU,
b) lufttrafikföretagens överföring av API-uppgifter till routern,
c) förmedling av API-uppgifter om flygförbindelser utanför EU och vissa utvalda flygförbindelser inom EU från routern till de nationella enheterna för passagerarinformation (PIU-enheterna).
I artikel 2 föreskrivs om förordningens tillämpningsområde: förordningen tillämpas på lufttrafikföretag som utför reguljära eller icke-reguljära flygningar från eller till länder utanför EU eller flygningar inom EU. Artikel 3 innehåller en förteckning över definitioner.
Kapitel II innehåller artiklarna 4–5. I kapitlet finns bestämmelser om hur lufttrafikföretagen ska samla in API-uppgifter och hur uppgifterna ska överföras till och tas bort från routern samt regler för hur API-uppgifterna ska överföras från routern till de nationella enheterna för passagerarinformation.
Artikel 4 innehåller bestämmelser om insamling av förhandsinformation om passagerare. Lufttrafikföretagen ska samla in API-uppgifter om passagerare på sådana flygningar som avses i artikel 2 för att dessa API-uppgifter ska kunna överföras till routern. Om en flygning har delats mellan ett eller flera lufttrafikföretag med en linjebeteckning gäller skyldigheten att överföra API-uppgifter det lufttrafikföretag som utför flygningen. I artikel 4.2 konstateras att lufttrafikföretagen ska samla in API-uppgifter så att de API-uppgifter som de överför är exakta, fullständiga och aktuella. API-uppgifterna ska samlas in genom automatiska metoder för insamling av maskinläsbara uppgifter från resedokument. Metoderna ska vara förenliga med detaljerade tekniska krav och regler, om denna typ av regler har godkänts och tillämpas. Om det dock inte är möjligt att använda automatiska metoder av den anledning att ett resedokument inte innehåller maskinläsbara uppgifter, ska lufttrafikföretagen samla in uppgifterna i fråga manuellt.
I artikeln konstateras att de automatiska metoder som lufttrafikföretagen använder för att samla in API-uppgifter ska vara tillförlitliga, säkra och aktuella. Lufttrafikföretagen ska överföra de insamlade API-uppgifterna till routern på elektronisk väg enligt detaljerade regler. Lufttrafikföretagen ska överföra API-uppgifter både i samband med incheckningen och omedelbart efter att avgångsporten till flyget har stängts, dvs. när passagerarna har stigit ombord på flygplanet och förbereder sig på avgång och ingen längre kan stiga ombord på eller lämna flygplanet.
Enligt artikel 4 ska lufttrafikföretagen omedelbart korrigera, komplettera, uppdatera eller permanent radera uppgifterna. Detta ska dock inte begränsa lufttrafikföretagens möjlighet att förvara och använda uppgifterna, om de kan anses vara nödvändiga med tanke på deras sedvanliga affärsverksamhet enligt tillämplig lag.
Artikel 5 innehåller bestämmelser om överföring av förhandsinformation om passagerare från routern vidare till de nationella enheterna för passagerarinformation. I artikeln konstateras att routern omedelbart och automatiskt ska skicka de API-uppgifter som har överförts till routern av lufttrafikföretagen till enheterna för passagerarinformation i den medlemsstat på vars område flyget landar eller avgår, eller både landar och avgår, om det är fråga om en flygning inom EU. Om flygningen innefattar en eller flera mellanlandningar i andra medlemsstater än den från vilken flyget avgår ska routern skicka API-uppgifterna till enheterna för passagerarinformation i samtliga berörda medlemsstater.
För denna typ av dataöverföring ska eu-LISA utarbeta en motsvarighetsförteckning mellan avgångs- och destinationsflygplatserna och de länder som dessa hör till och hålla den à jour. I artikel 5.2 konstateras att varje medlemsstat som beslutar att tillämpa PNR-direktivet på flygningar inom EU i enlighet med artikel 2 ska utarbeta en förteckning över flygningarna i fråga. När det gäller flygningar inom EU får routern dock till respektive enhet för passagerarinformation förmedla endast sådana API-uppgifter som gäller flygningar som ingår i förteckningen. Medlemsstaterna i fråga ska kontrollera och vid behov uppdatera förteckningarna regelbundet och omedelbart lämna alla uppdaterade förteckningar till eu-LISA. Uppgifterna i dessa förteckningar ska behandlas konfidentiellt. Routern ska skicka API-uppgifterna i enlighet med de detaljerade regler som avses i artikel 5.3.
Kapitel III innehåller artiklarna 6–9. I artikel 6 föreskrivs det om förande av loggar och vilka regler som gäller i fråga om loggar. I artikel 7 anges vilka de i förordningen avsedda personuppgiftsansvariga är i behandlingen av API-uppgifter som utgör personuppgifter enligt denna förordning. Enligt artikel 7 utgör dessa personuppgiftsansvariga nationella enheter för passagerarinformation (PIU-enheter) på det sätt som avses i artikel 3 i PNR-direktivet. Artiklarna 8 och 9 innehåller bestämmelser om säkerheten och egenkontrollen vid sådan behandling av uppgifter som utförs av lufttrafikföretagen och enheterna för passagerarinformation.
Kapitel IV (artiklarna 10–14) innehåller dessutom regler om de nationella passagerarinformationsenheternas och lufttrafikföretagens förbindelser till och integrering med routern samt de kostnader som medlemsstaterna orsakas av detta. Kapitlet innehåller också bestämmelser om en situation där det av tekniska orsaker är delvis eller helt omöjligt att använda routern. I artikel 14 föreskrivs det om ansvar för skador som orsakas routern.
Kapitel V innefattar artiklarna 15–17. I kapitel V finns bestämmelser om övervakning, eventuella påföljder som kan påföras lufttrafikföretagen om de inte uppfyller de skyldigheter som föreskrivs i förordningen samt utarbetande av en praktisk handbok i kommissionens regi.
Kapitel VI innehåller artikel 18, där det föreskrivs om ändringar i andra gällande akter, dvs. förordning (EU) 2019/818 om inrättande av en ram för interoperabilitet mellan EU-informationssystem på området polissamarbete och straffrättsligt samarbete, asyl och migration.
Kapitel VII innehåller artiklarna 19–21, som gäller antagande av delegerade akter om routern och dataöverföringen enligt artiklarna 4.5, 4.9, 5.3, 10.2 och 11.2. Vidare gäller artiklarna i kapitel VII uppföljning och utvärdering av förordningen samt dess ikraftträdande och tillämpning.
4
Förslagets rättsliga grund och förhållande till proportionalitets- och subsidiaritetsprincipen
Kommissionen föreslår att artiklarna 77.2 b och d och 79.2 c i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) ska användas som rättslig grund för API-förslaget om gränskontroll.
Med stöd av artikel 77.2 b och d ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet besluta om kontroll av de personer som passerar de yttre gränserna samt om alla nödvändiga åtgärder för att stegvis upprätta ett integrerat system för övervakning av de yttre gränserna.
Med stöd av artikel 79.2 c ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet besluta om åtgärder på områden som anknyter till olaglig invandring och olaglig vistelse samt avlägsnande av personer som vistas olagligt i landet, inklusive återsändning.
Det gällande API-direktivet bygger på samma rättsliga grund.
Kommissionen föreslår att artiklarna 82.1 d och 87.2 a i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) ska användas som rättslig grund för API-förslaget om brottsbekämpning.
Enligt artikel 82.1 d ska Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet besluta om åtgärder för att underlätta samarbetet mellan rättsliga eller likvärdiga myndigheter i medlemsstaterna inom ramen för lagföring och verkställighet av beslut.
Enligt artikel 87.2 a får Europaparlamentet och rådet i enlighet med det ordinarie lagstiftningsförfarandet föreskriva åtgärder om insamling, lagring, behandling, analys och utbyte av relevant information som gäller polissamarbete mellan alla behöriga myndigheter i medlemsstaterna, inbegripet polisen, tullen och andra brottsbekämpande organ som är specialiserade på att förhindra, upptäcka och utreda brott.
Statsrådet anser att de föreslagna rättsliga grunderna är korrekta. Förslagen behandlas i vanlig lagstiftningsordning, och rådet fattar beslut om antagandet med kvalificerad majoritet.
Kommissionen anser att förslagens syfte inte i tillräcklig utsträckning kan uppnås enbart genom medlemsstaternas åtgärder. Enligt kommissionen kan man genom åtgärder på EU-nivå säkerställa att harmoniserade bestämmelser om de grundläggande rättigheterna, särskilt skyddet av personuppgifter, tillämpas i medlemsstaterna. Om medlemsstaterna använder olika system kan detta få negativa konsekvenser för lufttrafikföretagen, eftersom de kan bli tvungna att följa flera nationella krav som avviker från varandra. Dessa krav kan gälla till exempel vilka typer av uppgifter som ska överföras och under vilka förutsättningar dessa uppgifter ska lämnas till medlemsstaterna. Enligt kommissionen hindrar dessa skillnader medlemsstaterna från att samarbeta effektivt för att förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. Enhetliga regler kan endast fastställas på EU-nivå.
Enligt kommissionen har förslagens tillämpningsområde också begränsats till vad som är absolut nödvändigt, med andra ord till områden som kräver ett enhetligt tillvägagångssätt på EU-nivå, såsom användning, insamling och överföring av API-uppgifter. Kommissionen konstaterar att förordningsförslagen innehåller flera förslag på skyddsåtgärder, genom vilka ingripandet i passagerarnas rättigheter har begränsats till vad som är absolut nödvändigt.
Statsrådet anser att förslagen överensstämmer med subsidiaritets- och proportionalitetsprinciperna.
5
Förslagens konsekvenser
i) Konsekvenser för den nationella lagstiftningen
EU-förordningarna är direkt tillämplig rätt.
Förordningarna medför behov av att se över lagen om behandling av personuppgifter vid Gränsbevakningsväsendet (2019/639).
Även utlänningslagen (2004/301) behöver ses över med avseende på de påföljdsavgifter som kan påföras lufttrafikföretag.
PNR-direktivet har genomförts genom lagen om användning av flygpassageraruppgifter för bekämpning av terroristbrott och grov brottslighet (657/2019). Lagen ska granskas när API-förslagen träder i kraft. Även lagen om behandling av personuppgifter i polisens verksamhet (616/2019) ska granskas i detta sammanhang.
ii) Ekonomiska konsekvenser
a) Konsekvenser på EU-nivå
Enligt kommissionen påverkar förordningsförslagen eu-LISA:s och medlemsstaternas behöriga myndigheters budget och personalbehov.
Kommissionen anser att det för eu-LISA:s del behövs cirka 45 miljoner euro (33 miljoner euro inom den nuvarande fleråriga budgetramen) i tilläggsanslag för uppbyggandet av routern och, från och med 2029, 9 miljoner euro per år för den tekniska förvaltningen av routern. Vidare behövs det cirka 27 tilläggstjänster för att säkerställa att eu-LISA har de resurser som byrån behöver för att kunna utföra de uppgifter som den åläggs i förordningsförslagen.
Enligt kommissionens bedömning kan medlemsstaternas gränsmyndigheter anvisas 27 miljoner euro ur finansieringsinstrumentet för gränsförvaltning och visering (BMVI) för nationella systemuppdateringar och uppbyggandet av nödvändig infrastruktur. Sammanlagt 5 miljoner euro kan anvisas i årlig finansiering för underhållet av systemen. Vidare anser kommissionen att medlemsstaterna kan få 11 miljoner euro i ersättning från fonden för inre säkerhet (ISF) (3 miljoner euro inom den nuvarande fleråriga budgetramen) för uppdatering av de nationella system och infrastrukturer som enheterna för passagerarinformation behöver samt, stegvis från och med 2028, uppskattningsvis 2 miljoner euro per år. Dessa belopp ska i sista hand fastställas i enlighet med de regler som styr fonderna i fråga och de kostnadsregler som ingår i de föreslagna förordningarna.
I beräkningen av kostnaderna ska det noteras att många medlemsstater redan klarar av att behandla API-uppgifter. I de fallen behövs finansiering främst för uppdateringar som gör det möjligt att ta emot större mängder uppgifter.
Kommissionen uppskattar att medlemsstaterna kommer att orsakas kostnader för utveckling och uppdatering av informationssystem till ett genomsnittligt belopp på cirka 2 miljoner euro under åren 2027–2030 (inklusive gränsmyndigheterna och PIU-enheten). Efter det uppskattas de årliga kostnaderna uppgå till i genomsnitt cirka 400 000 euro.
Kommissionen uppskattar att medlemsstaterna kommer att orsakas kostnader framför allt under åren 2027–2030.
b) Konsekvenser på nationell nivå
Enligt en preliminär bedömning antas genomförandet av förslagen medföra kostnader för polisen och Gränsbevakningsväsendet.
För polisens del uppskattas kostnaderna för uppbyggandet och utvecklingen av systemet uppgå till 550 000–700 000 euro och kostnaderna för systemunderhåll till 110 000–150 000 euro per år.
Uppbyggnads- och utvecklingskostnaderna består bland annat av personalkostnader för utvecklingsprojektet (1 årsverke), kostnader för datasystemsutveckling och kostnader för anskaffning av server. Kostnaderna för systemunderhåll består av personalkostnader (0,5 årsverken) samt datakommunikations- och serverkostnader.
Enligt en preliminär bedömning orsakas Gränsbevakningsväsendet en kostnad på 500 000–1 000 000 euro för uppbyggandet av en anslutning mellan de nationella systemen och routern samt uppbyggandet och ibruktagandet av ett system med kapacitet för mottagning av de uppgifter som routern skickar ut. Bedömningen preciseras i takt med att de planerade datasystemsreformerna framskrider. Underhållskostnaderna uppskattas uppgå till cirka 50 000 euro per år för Gränsbevakningsväsendets del.
Enligt en preliminär bedömning kommer dataombudsmannen att behöva tilläggspersonalresurser. Behovet uppskattas för närvarande till 0,25–1 årsverken per år. Inga andra kostnader än personalkostnader uppskattas uppstå i nämnvärd grad.
Beslut om eventuella tilläggsanslagsbehov fattas i samband med beredningen av planen för de offentliga finanserna och statsbudgeten.
iii) Konsekvenser för myndigheternas verksamhet
Den kombinerade användningen av API-uppgifter och PNR-uppgifter ger de behöriga nationella myndigheterna möjlighet att bättre än tidigare kunna verifiera passagerarnas identitet, och förfarandet förbättrar avsevärt PNR-uppgifternas tillförlitlighet. Denna typ av kombinerad användning före ankomst gör det också möjligt för brottsbekämpningsmyndigheterna att göra en bedömning och noggrannare sållning endast i fråga om de personer som, utifrån objektiva bedömningskriterier och bedömningsförfaranden och enligt tillämplig lag, med största sannolikhet utgör ett hot mot säkerheten. Detta underlättar resandet för alla passagerare och minskar risken för att passagerarna i samband med ankomsten blir granskade av de behöriga myndigheterna på grundval av avvägningsfaktorer, såsom ras eller etniskt ursprung, som brottsbekämpningsmyndigheterna felaktigt kan koppla till säkerhetsrisker.
Av kommissionens rapport framgår att brottsbekämpningsmyndigheternas kombinerade behandling av API- och PNR-uppgifter i hög grad effektiviserar bekämpningen av grova brott och terroristbrott i EU.
Både gräns- och brottsbekämpningsmyndigheterna bör kunna utnyttja API-uppgifter i fråga om flygningar inom Schengen-området, om gränskontrollerna vid de inre gränserna återinförs. Medlemsstaterna bör också kunna föreskriva även på nationell nivå om insamling av API-uppgifter i större utsträckning än vad den aktuella förordningen ger möjlighet till. Detta gäller bland annat API-uppgifter i fråga om avgående flygtrafik över de yttre gränserna.
Dataombudsmannens byrå orsakas extra arbete i och med de nya uppgifterna och därigenom ett behov av tilläggspersonalresurser.
iv) Konsekvenser för flygbolagen
För att förslagen ska kunna genomföras måste informations- och incheckningssystemen utvecklas eller uppdateras. De rätta parametrarna måste ställas in i systemen enligt kraven i förordningarna och tekniska krav som föreskrivs i ett senare skede. Om man på vissa flygplatser på grund av bristfällig infrastruktur blir tvungen att samla in informationen manuellt är det möjligt att incheckningen och ombordstigningen fördröjs, vilket kan få konsekvenser även för passagerarna.
Flygbolagen blir i och med förordningsförslagen tvungna att betala kostnaderna för insamlingen och vidareförmedlingen av API-uppgifter. Flygbolagen betalar en avgift till förmedlingsbolagen för varje försändelse av data, och det är sannolikt att antalet försändelser ökar avsevärt, till och med mer än fördubblas.
v) Konsekvenser för gällande resepraxis i de nordiska länderna
Passfrihet har gällt i Norden alltsedan 1954 (statsfördrag 17/1954). Det innebär att medborgarna i de nordiska länderna är befriade från skyldigheten att medföra pass eller annat resedokument under resor mellan de nordiska länderna. API-förslaget om brottsbekämpning verkar stå i konflikt med detta, eftersom passagerarnas API-uppgifter ska samlas in utifrån deras resedokument även i fråga om vissa utvalda flygningar mellan de nordiska länderna.
6
Förslagens förhållande till grundlagen samt till de grundläggande och mänskliga rättigheterna
Förordningsförslagen påverkar skyddet för personuppgifter, som det föreskrivs om i artikel 8 i EU:s stadga om de grundläggande rättigheterna och i artikel 16 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) samt i artikel 8 i Europakonventionen. Enligt artikel 8 i stadgan om de grundläggande rättigheterna ska personuppgifter behandlas lagenligt för bestämda ändamål. En relevant aspekt av principen om ändamålsbundenhet är att personuppgifter inte senare kan behandlas på ett sätt som inte är förenligt med det ursprungliga användningsändamålet. Skyddet för personuppgifter hänger också intimt samman med artikel 7 om respekt för privatlivet och familjelivet i EU:s stadga om de grundläggande rättigheterna. I artikel 8 i Europakonventionen (FördrS 19/1990) fastslås att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Denna artikel har i Europadomstolens rättspraxis ansetts täcka även skyddet för personuppgifter.
Kommissionen konstaterar att enligt avgörandet av Europeiska unionens domstol i de kombinerade fallen C-92/09 och C-93/09 (Volker und Markus Schecke och Eifert (2010)) är skyddet av personuppgifter dock inte en absolut rättighet, utan det ska bedömas i förhållande till dess uppgift i samhället. Begränsningarna måste uppfylla de villkor som ställs i artikel 52.1 i EU:s stadga om de grundläggande rättigheterna. Enligt artikel 52.1 i stadgan om de grundläggande rättigheterna ska varje begränsning i utövandet av de rättigheter och friheter som erkänns i stadgan vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
De föreslagna bestämmelserna måste också bedömas med tanke på skyddet för privatliv och personuppgifter i enlighet med 10 § i grundlagen. Enligt 10 § 1 mom. i grundlagen utfärdas närmare bestämmelser om skydd för personuppgifter genom lag. Grundlagsutskottets vedertagna praxis har varit att lagstiftarens handlingsutrymme begränsas både av den här bestämmelsen och av att skyddet för personuppgifter delvis ingår i skyddet för privatlivet, som tryggas i samma moment. Grundlagsutskottet har framhävt behovet av att säkerställa genomförandet av principen om ändamålsbundenhet vid behandlingen av personuppgifter (t.ex. GrUU 14/2017 rd och GrUU 33/2016 rd och utskottets tidigare utlåtanden som det där hänvisas till). Grundlagsutskottet har ansett det möjligt att göra endast exakt avgränsade och mycket små undantag från ändamålsbundenheten (GrUU 40/2021 rd, stycke 15). Bestämmelserna får inte heller leda till att någon annan verksamhet än den som är förknippad med det ursprungliga ändamålet blir det huvudsakliga ändamålet eller ens ett viktigt ändamål för registret (se GrUU 23/2022 rd, stycke 18 och GrUU 15/2018 rd, s. 45, GrUU 1/2018 rd, s. 4, GrUU 14/2017 rd, s. 5—6, till vilka det hänvisats i detta).
Grundlagsutskottet har betonat att skydd för privatlivet och personuppgifter bör ställas i relation till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen, såsom intressen som gäller allmän säkerhet, som i extrema fall kan handla om att trygga den personliga säkerheten (GrUU 5/1999 rd, sid. 2/II). Lagstiftaren bör trygga skyddet av privatlivet och av personuppgifter på ett sätt som kan anses godtagbart med hänsyn till systemet med grundläggande rättigheter som helhet (se till exempel GrUU 13/2016 rd s. 3–4). Skyddet av privatlivet och personuppgifter har inte företräde i förhållande till andra grundläggande rättigheter. Vid bedömningen måste två eller flera bestämmelser om de grundläggande fri- och rättigheterna samordnas och avvägas (GrUU 14/2018 rd och utskottets tidigare utlåtanden som det där hänvisas till). Grundlagsutskottet anser att det inte finns skäl att avvika från den förhållandevis etablerade tolkningspraxisen som gäller ändamålsbundenhet, särskilt inte i fråga om grunderna för regleringen, utan tillräckliga motiveringar och omsorgsfull prövning. En eventuell reglering som begränsar ändamålsbundenheten ska när godtagbara motiveringar föreligger motiveras och utarbetas omsorgsfullt genom ändamålsenliga konsekvensbedömningar och bedömningar av förenligheten med både de grundläggande fri- och rättigheterna och de mänskliga rättigheterna med beaktande även av konsekvenserna av EU:s dataskyddslagstiftning (se GrUU 23/2022 rd, stycke 21). I sitt utlåtande om den nationella lagen för genomförande av PNR-direktivet har grundlagsutskottet bedömt att särskilt bekämpning av terrorism och allvarliga brott kan betraktas som ett sådant tungt vägande intresse att det i sig kan anses finnas ett godtagbart syfte för behandling av personuppgifter och inskränkningar i skyddet för privatlivet (GrUU 29/2018 rd, s. 3). Grundlagsutskottet har också betonat att förhindrande, avslöjande eller utredning av särskilt allvarliga brott kan vara förenade med sådana vägande samhälleliga intressen som går tillbaka till systemet med de grundläggande fri- och rättigheterna och som i tillräcklig mån motiverar ett undantag från ändamålsbundenheten. Grundlagsutskottet anser att det till dessa delar är möjligt i konstitutionellt hänseende att göra begränsade undantag från principen om ändamålsbundenhet, om en omsorgsfullt uppgjord reglering som helhet betraktad uppfyller kraven på de grundläggande fri- och rättigheterna och de mänskliga rättigheterna och är förenlig med kraven i EU-rätten. (GrUU 23/2022 rd, stycke 23)
Kommissionen lyfter fram att förordningsförslagens tillämpningsområde är noggrant avgränsat för att säkerställa att de grundläggande rättigheter som garanteras i stadgan om de grundläggande rättigheterna, särskilt integritetsskyddet och skyddet för personuppgifter, tillgodoses. Förslagen innehåller strikta begränsningar och skyddsåtgärder för att skydda personuppgifterna. API-uppgifter kan på grundval av de föreslagna förordningarna samlas in och överföras endast för att förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet. I bestämmelserna fastställs enhetliga kriterier för insamling och överföring av API-uppgifter i fråga om dels flygningar från och till länder utanför EU, dels vissa utvalda flygningar inom EU. De föreslagna bestämmelserna om insamling och överföring av API-uppgifter är i linje med bestämmelserna i PNR-direktivet och beaktar EU-domstolens senaste avgörandepraxis, särskilt de begränsningar av behandlingen av PNR-uppgifter i fråga om flygningar inom EU som förutsattes i avgörandet C-817/19 (Ligue des droits humains). Enligt avgörandet C-817/19 kan det system som införts genom PNR-direktivet inte utvidgas utan åtskillnad till alla flygningar inom EU när medlemsstaten i fråga inte är utsatt för ett verkligt och direkt eller förutsägbart terrorhot. Valet av flygningar inom EU ska ske på det sätt som förutsätts i avgörandet utifrån medlemsstaternas bedömning. Lufttrafikföretagens skyldighet att samla in och överföra API-uppgifter till routern omfattar alla flygningar inom EU. Överföringen av uppgifter från routern till PIU-enheterna begränsas emellertid tekniskt sett endast till vissa utvalda flygningar.
Kommissionen lyfter fram att lufttrafikföretagens skyldighet att automatiskt samla in API-uppgifter kan medföra risker bland annat med tanke på skyddet för personuppgifter. För att begränsa och kontrollera riskerna har skyldigheten dock begränsats till att gälla endast vissa API-uppgifter, som kan samlas in på ett tillförlitligt automatiserat sätt (maskinläsbara uppgifter i resedokument). I förordningarna föreskrivs vidare om de förutsättningar som gäller för automatisk insamling av uppgifter, och förutsättningarna preciseras genom delegerade akter. Förordningsförslagen innehåller också flera skyddsåtgärder, såsom bestämmelser om insamling av logguppgifter, skydd för personuppgifter och effektiv tillsyn. Enligt kommissionens bedömning förbättrar routerns funktioner, och särskilt dess förmåga att samla in och producera täckande statistik, möjligheterna att övervaka genomförandet av förordningen vid lufttrafikföretagen och PIU-enheterna.
Behandlingen av API-uppgifter vid PIU-enheterna efter överföringen utförs med iakttagande av de begränsningar och skyddsåtgärder som förutsätts i PNR-direktivet och i avgörandet C-817/19. På behandlingen av uppgifterna för brottsbekämpande ändamål tillämpas vid PIU-enheterna bestämmelserna i PNR-direktivet, som gäller till exempel behandlingsändamålen, förvaringstiden, radering av uppgifter, utbyte av information mellan medlemsstater, överföring av uppgifter till tredje länder samt skydd för personuppgifter. På behandlingen av personuppgifter tillämpas dessutom EU:s allmänna dataskyddsförordning (EU) 2016/679, dataskyddsdirektivet för brottsbekämpande myndigheter (EU) 2016/680 samt dataskyddsförordningen för EU:s institutioner, organ och byråer (EU) 2018/1725 i enlighet med tillämpningsområdet för dessa akter.
7
Ålands behörighet
Enligt 18 § 6 punkten i självstyrelselagen för Åland (1144/1991) har landskapet lagstiftningsbehörighet i fråga om allmän ordning och säkerhet med de undantag som nämns i 27 § 27, 34 och 35 punkten. Enligt 27 § 26 och 34 punkten i samma lag har riket lagstiftningsbehörighet i fråga om utlänningslagstiftningen och gränsbevakningen.
8
Behandling av förslaget i Europeiska unionens institutioner och de övriga medlemsstaternas ståndpunkter
Kommissionen presenterade den 20 december 2022 förordningsförslagen om insamling och överföring av förhandsinformation om passagerare i rådets arbetsgrupp för informationsutbyte (IXIM). Behandlingen av förordningsförslagen inleds under Sveriges EU-ordförandeskapsperiod.
9
Nationell behandling av förslaget
Utkastet till U-skrivelse har behandlats genom skriftligt förfarande i sektionerna EU 7 (rättsliga och inrikes frågor) och EU 22 (transportsektionen) den 17–20 januari 2023.
10
Statsrådets ståndpunkt
Statsrådet anser att det är viktigt att man vidtar åtgärder för att förbättra den inre säkerheten i unionen genom att utveckla verktyg som kan användas för bekämpningen av grov brottslighet och terroristbrott. Statsrådet betonar vikten av att EU har starka yttre gränser och anser att det är viktigt att åtgärder vidtas på EU-nivå för att underlätta kontrollen av de yttre gränserna. Syftet med lagstiftningsförslagen kan enligt statsrådets åsikt understödas.
Statsrådet anser det också vara positivt att den kombinerade användningen och parallella behandlingen av API-uppgifter och PNR-uppgifter dels gör det möjligt för brottsbekämpningsmyndigheterna att göra en bedömning och noggrannare sållning utifrån objektiva bedömningskriterier och bedömningsförfaranden, dels minskar risken för att passagerare blir inspekterade på grundval av avvägningsfaktorer. Statsrådet understöder målet att förbättra passagerarnas likvärdighet.
Statsrådet anser att förslaget om en ny router är motiverat. I förmedlingen av passagerarinformation bör man i den mån det är möjligt utnyttja de fördelar som de övriga EU-datasystemen erbjuder så att de tjänar de behöriga myndigheternas dagliga arbete och minskar den administrativa börda som orsakas lufttrafikföretagen och myndigheterna samt begränsar den totala mängden data som ska överföras.
Statsrådet understöder förslaget att bestämmelserna om insamling och överföring av API-uppgifter ska harmoniseras och att passagerarinformationen ska behandlas gemensamt med PNR-uppgifterna.
Statsrådet anser det vara viktigt att passagerarinformationen används i kontrollen av de yttre gränserna och i brottsbekämpande syfte på ett sätt som respekterar de grundläggande och mänskliga rättigheterna. Statsrådet poängterar betydelsen av ett starkt dataskydd. Det är viktigt att tillsynen över och dataskyddet vid behandlingen av API-uppgifter förbättras genom höga säkerhetsstandarder och att rättssäkerheten ökar ur passagerarnas och lufttrafikföretagens synvinkel. Enligt statsrådets bedömning är förordningsförslagen i princip godtagbara med tanke på skyddet för personuppgifter. I samband med förhandlingarna måste det säkerställas att förordningsförslagen är förenliga med den dom som Europeiska unionens domstol gett om PNR-direktivet och att de uppfyller de krav som ställs i EU:s dataskyddslagstiftning.
Statsrådet förhåller sig positivt till de föreslagna åtgärder som är avsedda att minska den administrativa börda som insamlingen och förmedlingen av uppgifter orsakar lufttrafikföretagen. I den fortsatta beredningen ska det fästas vikt vid att de kostnader och den övergripande administrativa börda som orsakas av de skyldigheter som åläggs lufttrafikföretagen inte blir för stora i förhållande till förslagens syften. Kraven på de uppgifter som ska samlas in och överföras bör vara så enhetliga som möjligt internationellt sett, så att passagerarinformationen kan lämnas till myndigheterna i olika stater på ett enhetligt sätt.
Statsrådet anser det vara viktigt att man på nationell nivå kan ange en eller flera kontaktpunkter som tar emot API-uppgifter.
När det gäller förslaget om insamling av förhandsinformation om passagerare anser statsrådet att det är nödvändigt att i förhandlingsskedet utreda om formuleringarna om detta står i konflikt med passfriheten i Norden. Statsrådet anser viktigt att förordningarna inte äventyrar praxis av den nordiska passfrihetens förverkligande.
Finansieringen av byrån eu-LISA och finansieringen ur BMVI- och ISF-programmen ska i första hand organiseras genom en omallokering av medel inom ramen för EU-budgeten. Under förhandlingarna gäller det att säkerställa att förslagen kan finansieras som helhet genom omallokering av medel under respektive rubrik inom EU:s budgetram. Statsrådet anser att förvaltningsutgiftsnivån och antalet anställda måste hållas på en måttlig nivå vid EU:s institutioner, organ och byråer.