Ny API-forordning

Status

Forslaget behandles nå i rådsarbeidsgruppen IXIM (informasjonsutveksling). Forslaget er Schengen-relevant, slik at Norge deltar i diskusjonene på alle nivåer i rådsstrukturen i EU.

Sammendrag av innhold

Europakommisjonen la 13. desember 2022 frem forslag til to nye forordninger om innsamling og overføring av advance passenger information (API). Etter forslaget skal den ene forordningen regulere innsamling og overføring av API-opplysninger med formål om forbedring og fasilitering av ytre grensekontroll. Forordningen opphever API-direktivet 2004/82/EC, som er gjennomført i norsk rett i grenseloven §§ 8 og 16 og grenseforskriften § 4-9. Forslaget innebærer også endringer i forordningene (EU) 2019/817 og (EU) 2018/1726. Forslaget anses som en videreutvikling av Schengen-avtalen. Den andre forordningen skal regulere innsamling og overføring av API-opplysninger med formål om forebygging, avdekking, etterforsking og straffeforfølgning av terrorvirksomhet og annen alvorlig kriminalitet. Forordningen anses foreløpig ikke som en videreutvikling av Schengen-avtalen.

Forslaget til forordning om innsamling og overføring av API-opplysninger med formål om å forbedre og fasilitere ytre grensekontroll, innebærer en videreutvikling av reglene i API-direktivet fra 2004. Den største endringen er at den nye forordningen legger opp til at transportører av luftfartøy skal overføre API-opplysninger til en felles "ruter" som eu-LISA skal drifte. Etter forslaget skal ruteren fungere som en plattform for videreformidling av API-opplysninger til kompetente myndigheter i Schengen-landene. Ruteren skal bare lagre opplysningene inntil de er overført til kompetente myndigheter. Deretter skal opplysningene slettes fra ruteren. Formålet med ruteren er å strømlinjeforme informasjonsflyten. Det fremgår av forslaget, og evalueringene som er gjort av API-direktivet, at det er stor variasjon når det kommer til innsamling av API-opplysninger, både blant medlemslandene og luftfartsselskapene. API-direktivet påla medlemslandene å regulere at kompetente myndigheter kunne kreve API-opplysninger fra transportører. Etter det nye forslaget skal slik overføring være obligatorisk, og kompetente myndigheter skal ikke lenger måtte kreve slike opplysninger utlevert.

API-opplysninger er opplysninger som hovedsakelig samles inn i forbindelse med sjekk inn, og omfatter opplysninger om den reisende og om flyreisen. Etter forslaget skal opplysningene overføres til ruteren ved innsjekking og umiddelbart etter at passasjerene har gått ombord og det ikke lenger er mulig å gå av flyet. Formålet med overføringen av API-opplysninger er å gi grensekontrollmyndighetene anledning til å vurdere de reisende opp mot aktuelle registre, slik at den reelle grensekontrollen kan gjennomføres på en effektiv og ressursbesparende måte. Grensekontrollmyndighetene kan bruke opplysningene til å prioritere kontroll av enkelte reisende, slik at reisende som ikke krever nærmere kontroll kan passere ytre Schengen-grense raskere. Etter forslaget plikter både flyselskapene og kompetente myndigheter å slette opplysningene 48 timer etter flyets avgang. Den foreslåtte forordningen gir bare anledning til innsamling av API-opplysninger på flyvninger som kommer fra utenfor Schengen-området. 

Kapittel 1 gir generelle regler, herunder regler om formål og virkeområde. Etter artikkel 1 er formålet med forordningen å forbedre og fasilitere effektiv gjennomføring av grensekontroll på ytre grense, og for å bekjempe ulovlig innvandring. På den bakgrunn gir forordningen regler om lufttransportørenes ansvar for innsamling av API-opplysninger, overføringen av disse opplysningene til ruteren, og overføringen fra ruteren til kompetente grensekontrollmyndigheter i medlemslandene. Artikkel 2 slår fast at forordningen skal gjelde for lufttransportører som gjennomfører planlagte og ikke-planlagte flyvninger inn i unionen. Artikkel 3 inneholder definisjoner, herunder definisjoner av lufttransportører, grensekontroll, flyvninger inn i unionen, grensekontrollsted, planlagt flyvning og kompetent grensekontrollmyndighet. Definisjonene  er i stor grad knyttet opp til definisjoner i andre rettsakter. 

Kapittel 2 gir regler om innsamlingen av API-opplysninger. Artikkel 4 definerer hva som regnes som API-opplysninger. Artikkelen er delt i to; opplysninger om den reisende ombord på flyvningen og opplysninger om selve flyvningen. Det skal samles inn opplysninger om både reisende og "crew". Artikkel 3 gir regler om hvordan API-opplysninger skal samles inn. Her er det blant annet foreslått regulert at API skal innsamles ved bruk av automatiserte metoder. Artikkel 6 gir regler om hvordan luftfartsselskapene skal overføre API-opplysninger til ruteren. Det er blant annet foreslått regulert at opplysninger skal overføres både ved sjekk inn og umiddelbart etter "flight closure". Artikkel 7 bestemmer at opplysningene som samles inn bare kan behandles for formål som fremgår av artikkel 1. Artikkel 8 gir regler om lagring og sletting av data. Her er det foreslått å bestemme at både luftfartsselskapene og kompetente myndigheter skal slette opplysningene etter 48 timer. 

Kapittel 3 gir regler om ruteren. Det fremgår av forslaget til artikkel 9 at ruteren skal designes, utvikles og driftes av eu-LISA. Etter forslaget til artikkel 10 skal ruteren bare brukes til overføring av API-opplysninger i tråd med forordningen, men også forordningen om innsamling og overføring av API-opplysninger med kriminalitetsbekjempelse som formål. Artikkel 11 gir regler om ruterens overføring av opplysninger til kompetente myndigheter. Det fremgår her at dette skal skje umiddelbart og med automatiserte metoder. Medlemsstatene må derfor angi hvilke myndigheter som anses som kompetente, og som skal motta opplysninger fra ruteren. Artikkel 12 bestemmer at opplysningene skal lagres i ruteren bare så lenge det er nødvendig for å få overført opplysningene til kompetente myndigheter. Deretter skal opplysningene slettes. Artikkel 13 gir regler om loggføring av behandlingen av opplysninger i ruteren. Artikkel 14 gir regler om fremgangsmåte ved tekniske feil i ruteren. I slike tilfeller eu-LISA å gi beskjed til luftfartsselskapene og kompetente myndigheter om dette, samt å reparere feilene. Dersom feilen skyldes forhold på medlemslandenes side, plikter medlemslandene å gi beskjed om dette, samt å utbedre feilene. Tilsvarende skal også gjelde for luftfartsselskapene. 

Kapittel 4 gir regler om beskyttelsen av personopplysninger. Det følger av artikkel 15 at de kompetente grensekontrollmyndighetene skal være behandlingsansvarlige, jf. GDPR. Dette gjelder for behandlingen av opplysninger fra ruteren og til kompetente myndigheter, og behandlingen som skjer etter formålet, som definert i artikkel 7 og 1. Luftfartsselskapene er behandlingsansvarlige for behandlingen som skjer frem til opplysningene er overført til ruteren. Etter artikkel 16 skal eu-LISA anses som databehandler for behandlingen av personopplysninger som skjer via ruteren. Det følger av forslaget til artikkel 17 at eu-LISA, kompetente myndigheter og luftfartsselskapene skal sørge for sikkerheten til API-opplysningene, og særlig opplysningene som utgjør personopplysninger. Etter bestemmelsen bærer eu-LISA et særlig ansvar for sikkereten til behandlingen som skjer i ruteren. Etter artikkel 18 plikter luftfartsselskapene og de kompetente myndighetene i medlemslandene å monitorere sin egen overholdelse av reglene som følger af forordningen, og særlig behandlingen av personopplysninger. Artikkel 19 slår fast at nasjonale tilsynsmyndigheter (Datatilsynet i Norge), jf. GDPR artikkel 51, skal gjennomføre en "audit" av behandlingen av personopplysninger. Etter forslaget er Det europeiske personvernrådet (EDPB) gitt tilsvarende oppgaver for eu-LISAs behandling av opplysninger i ruteren.

Kapittel 5 gir regler om oppkobling til ruteren mv. Etter forslaget til artikkel 20 bærer medlemslandene et ansvar for at kompetente myndigheter koblet til ruteren, samt at den nasjonale infrastrukturen er integrert med ruteren. Etter forslaget gis Kommisjonen kompetanse til å gi delegerte rettsakter for å gi detaljerte regler om hvordan denne oppkoblingen skal skje. Artikkel 21 gir tilsvarende regler for luftfartsselskapenes oppkobling til ruteren. Etter forslaget til artikkel 22 skal eu-LISA ha ansvaret for design av den fysiske arkitekturen til ruteren, samt utviklingen av denne, herunder nødvendige tekniske endringer. Det følger videre av forslaget til artikkel 23 at eu-LISA skal drifte ruteren og dens tekniske sider. Etter forslaget til artikkel 24 skal eu-LISA også tilby trening for kompetente myndigheter og andre relevante aktører i teknisk bruk av ruteren, samt rådgivning til kompetente myndigheter og PNR-enheter i deres bruk av ruteren. Artikkel 25 gir regler om kostnader. Kostnader knyttet til eu-LISAs design, utvikling, drift og teknisk ledelse etter forordningen og forordningen om innsamling og overføring av API med kriminalitetsbekjempelse som formål, skal bæres av EUs budsjett. Det samme gjelder kostnader som påløper i relasjon til medlemslandenes oppkobling og integrering til/av ruteren. Medlemsstatene skal derimot blant annet bære kostnadene for drift av nasjonale IT-systemer, og design, utvikling, implementering, drift og vedlikehold av nasjonale kommunikasjonsnettverk. Etter forslaget skal medlemslandene også bære kostnadene for administrasjon, bruk og vedlikehold av deres kontakt og integrasjon med ruteren. Artikkel 26 bestemmer videre at medlemsland eller flyselskap som sørger for skader på ruteren, selv skal bære ansvaret for dette. Artikkel 27 gir regler om oppstart av drift av ruteren. Etter forslaget gis Kommisjonen myndighet til å bestemme dette, via en implementeringsrettsakt. Etter forslaget til artikkel 28 legges det opp til frivillig bruk av ruteren etter direktiv 2004/81/EC (API-direktivet) i en periode etter at ruteren er operativ, men før regelverket trer i kraft.

Kapittel 6 gir regler om kontroll, sanksjoner, statistikk og nærmere retningslinjer. Etter forslaget til artikkel 29 skal medlemslandene utnevne en eller flere nasjonale kontrollorganer som har ansvaret for å monitorere gjennomføringen av forordningen. Etter forslaget til artikkel 30 skal medlemslandene gi egne regler om sanksjoner dersom regelverket ikke overholdes. Sanksjoneneskal være effektive, forholdsmessige og preventive. Forslaget til artikkel 31 gir eu-LISA et ansvar for å føre statistikk om bruk av ruteren. Forslaget til artikkel 32 gir regler om Kommisjonens plikt til å utforme en praktisk håndbok med retningslinjer og anbefalinger om implementering av forordningen.

Kapittel 7 foreslår nødvendige endringer i annet regelverk. Her foreslås opphevelsen av direktiv 2004/82/EC, samt endringer i forordning (EU) 2018/1726 (forordningen om eu-LISA sine oppgaver) og forordning (EU) 2019/817 (interoperabilitet). 

Kapittel 8 inneholder avsluttende bestemmelser, hvor det foreslås å gi regler om vedtakelse av delegerte kommisjonsforordninger og implementeringsrettsakter, monitorering og evaluering av forordningen, og dens ikrafttredelse.

Merknader
Rettslige konsekvenser

Dersom forordningen vedtas etter forslaget, vil det være behov for å gjøre endringer i grenseloven og grenseforskriften. 

Økonomiske og administrative konsekvenser

Det er foreløpig antydet at det nye regelverket vil kunne tre i kraft i 2028. Det fremgår av forslagene at Kommisjonen har estimert at forslaget vil medføre utgifter på 27 millioner Euro for medlemsland for oppgradering av nødvendige nasjonale systemer og infrastruktur for grensekontroll (8 millioner under gjeldende Multiannual Financial Framework), og progressivt opp til 5 millioner euro per år fra 2028 og fremover. I senere møter har Kommisjonen understreket at dette er usikre tall, og at det vil variere vesentlig mellom medlemsland hvor store utgiftene vil bli. Utover dette er de økonomiske og administrative kostnadene fortsatt til utredning. 

Sakkyndige instansers merknader

Vurdering

Andre opplysninger

Nøkkelinformasjon

Type sak	Regelverk under utvikling i Rådet
KOM-nr.:	KOM(2022)729
Basis rettsaktnr.:

Norsk regelverk

Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Lenker

• Kommisjonens forslag
• Høringsbrev