Toelichting bij COM(2022)731 - Verzameling en de doorgifte van vooraf te verstrekken passagiersgegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit

Dit is een beperkte versie

U kijkt naar een beperkte versie van dit dossier in de EU Monitor.

1. ACHTERGROND VAN HET VOORSTEL

Motivering en doel van het voorstel

Gedurende de laatste tien jaar is de ernstige en georganiseerde criminaliteit binnen en buiten de EU in omvang toegenomen. Europol constateerde in zijn EU-dreigingsevaluatie van de ernstige en georganiseerde criminaliteit dat georganiseerde criminaliteit meestal gepaard gaat met internationaal verkeer, doorgaans met het oogmerk mensen, drugs of andere verboden goederen de EU binnen te smokkelen. Wat de EU betreft, maken criminelen daarvoor vaak gebruik van de grote luchthavens en van kleine regionale luchthavens waar lagekostenmaatschappijen actief zijn 1 . Uit het rapport van Europol over de stand van zaken en de tendensen op het vlak van terrorisme blijkt dat de terroristische dreiging in de EU nog steeds reëel en ernstig is 2 en dat de meeste terreurcampagnes transnationaal van aard zijn, in die zin dat ze gepaard gaan met transnationale contacten of met reizen buiten de EU. Vandaar dat het zo belangrijk is dat de rechtshandhavingsinstanties toegang tot informatie over luchtreizigers hebben om ernstige criminaliteit en terrorisme in de EU te bestrijden.

Onder “gegevens van luchtreizigers” wordt verstaan de vooraf te verstrekken gegevens (Advance Passenger Information – API) en de persoonsgegevens (Passenger Name Records – PNR) van de reizigers. Samen gebruikt vormen deze gegevens een bijzonder doeltreffend instrument om hoogrisicoreizigers te identificeren en het reispatroon van verdachte personen te bevestigen. Als een passagier een ticket koopt bij een luchtvaartmaatschappij, maakt het boekingssysteem van de maatschappij ten behoeve van de eigen bedrijfsvoering een PNR-bestand aan met gegevens over de volledige reisroute, betalingsgegevens, contactgegevens en speciale verzoeken van de passagier. Zo nodig worden deze PNR-gegevens doorgegeven aan de passagiersinformatie-eenheid (PIE) van het land van bestemming en vaak ook van het land van vertrek.

In de EU moet de in 2016 aangenomen PNR-richtlijn 3 ervoor zorgen dat alle lidstaten regels voor het verzamelen van PNR-gegevens van luchtvaartmaatschappijen toepassen met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, onverminderd de in de API-richtlijn 4 vastgestelde EU-regels inzake de verplichte verzameling van API-gegevens door luchtvaartmaatschappijen. Krachtens de PNR-richtlijn moeten de lidstaten de nodige maatregelen nemen om ervoor te zorgen dat luchtvaartmaatschappijen PNR-gegevens doorgeven voor zover zij deze gegevens in het kader van hun normale bedrijfsvoering reeds hebben verzameld. De PNR-richtlijn staat de gezamenlijke verwerking van API-gegevens en PNR-gegevens toe, aangezien de in die richtlijn opgenomen definitie van PNR-gegevens “alle verzamelde API-gegevens” 5 omvat. De PNR-richtlijn verplicht luchtvaartmaatschappijen echter niet om gegevens te verzamelen buiten het kader van hun normale bedrijfsvoering. Daardoor wordt op grond van de PNR-richtlijn niet de volledige reeks API-gegevens verzameld, aangezien het verzamelen van die gegevens voor de luchtvaartmaatschappijen geen zakelijk doel dient.

Alleen wanneer een luchtvaartmaatschappij daartoe verplicht is, verzamelt zij API-gegevens wanneer de passagier (online en op de luchthaven) incheckt. De gegevens worden vervolgens aan de bevoegde grensautoriteiten doorgegeven in de vorm van een passagierslijst of passagiersmanifest waarin alle passagiers die bij het vertrek van het vliegtuig aan boord zijn, worden vermeld. API-gegevens worden als “geverifieerde” informatie beschouwd omdat zij overeenstemmen met de reizigers die uiteindelijk aan boord van het vliegtuig zijn gegaan. Ze kunnen ook door rechtshandhavingsinstanties worden gebruikt voor het identificeren van verdachte en gezochte personen. Bij PNR-gegevens daarentegen gaat het om “niet-geverifieerde” informatie die door passagiers wordt verstrekt. De PNR-gegevens van een bepaalde passagier bevatten doorgaans niet alle mogelijke PNR-gegevens, maar alleen die welke door de passagier worden verstrekt en/of noodzakelijk zijn voor de boeking en bijgevolg ook voor de normale bedrijfsvoering van de luchtvaartmaatschappij.

Sinds de vaststelling van de API-richtlijn in 2004 bestaat er een wereldwijde consensus dat API-gegevens niet alleen een essentieel instrument voor grensbeheer zijn, maar ook een belangrijk instrument voor rechtshandhavingsdoeleinden, met name bij de bestrijding van ernstige criminaliteit en terrorisme. Zo wordt in de resoluties van de Veiligheidsraad van de Verenigde Naties sinds 2014 herhaaldelijk opgeroepen tot de invoering en wereldwijde uitrol van API- en PNR-systemen voor rechtshandhavingsdoeleinden 6 . Ook de toezegging van de deelnemende landen van de Organisatie voor Veiligheid en Samenwerking in Europa (OVSE) om API-systemen op te zetten, bevestigt hoe belangrijk het gebruik van deze gegevens is in de strijd tegen terrorisme en grensoverschrijdende criminaliteit. 7

Uit het verslag van de Commissie over de evaluatie van de PNR-richtlijn blijkt dat ernstige criminaliteit en terrorisme in de EU veel doeltreffender bestreden kunnen worden als de bevoegde rechtshandhavingsinstanties API- en PNR-gegevens gezamenlijk kunnen verwerken – wat betekent dat de verzameling van PNR-gegevens door luchtvaartmaatschappijen in het kader van hun normale bedrijfsvoering en de doorgifte van die gegevens aan de bevoegde rechtshandhavingsinstanties worden aangevuld met een verplichting voor luchtvaartmaatschappijen om API-gegevens te verzamelen en door te geven 8 . Door API-gegevens en PNR-gegevens gecombineerd te gebruiken, kunnen de bevoegde nationale autoriteiten de identiteit van passagiers bevestigen. Bovendien maakt gecombineerd gebruik de PNR-gegevens veel betrouwbaarder. Gecombineerd gebruik vóór aankomst stelt de rechtshandhavingsinstanties ook in staat om een beoordeling te verrichten en een diepgaander veiligheidsonderzoek in te stellen met betrekking tot alleen die personen die, gelet op objectieve beoordelingscriteria en -praktijken en op grond van het toepasselijke recht, het grootste veiligheidsrisico vormen. Dit komt het reisgemak van alle andere passagiers ten goede en vermindert de kans dat passagiers bij aankomst aan een onderzoek door de bevoegde autoriteiten worden onderworpen op grond van discretionaire elementen als ras of etnische afstamming, die rechtshandhavingsinstanties wellicht ten onrechte in verband brengen met veiligheidsrisico’s.

Het huidige rechtskader van de EU regelt echter alleen het gebruik van PNR-gegevens voor de bestrijding van ernstige criminaliteit en terrorisme, maar doet dit niet specifiek voor API-gegevens, die alleen kunnen worden opgevraagd voor vluchten uit derde landen. Hierdoor is er een leemte in de beveiliging ontstaan, met name voor vluchten binnen de EU waarvoor lidstaten luchtvaartmaatschappijen verzoeken PNR-gegevens door te geven. Passagiersinformatie-eenheden boeken de meest doeltreffende operationele resultaten met betrekking tot vluchten waarover zowel API- als PNR-gegevens worden verzameld. Dit betekent dat de bevoegde rechtshandhavingsinstanties niet kunnen profiteren van de resultaten van de gezamenlijke verwerking van API-gegevens en PNR-gegevens als het gaat om vluchten binnen de EU, aangezien voor die vluchten alleen PNR-gegevens worden doorgegeven.

Om deze leemte te vullen, heeft de Commissie in juni 2021 in haar strategie voor een volledig functionerend en veerkrachtig Schengengebied een oproep gedaan om API-gegevens in combinatie met PNR-gegevens intensiever te gebruiken voor vluchten binnen het Schengengebied, teneinde de interne veiligheid aanzienlijk te verbeteren, met inachtneming van het grondrecht op bescherming van persoonsgegevens en het grondrecht op vrij verkeer 9 .

De voorgestelde verordening heeft derhalve tot doel betere regels vast te stellen voor het verzamelen en doorgeven van API-gegevens door luchtvaartmaatschappijen met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Om de naleving van de betrokken, in het Handvest van de grondrechten van de EU (“het Handvest”) verankerde grondrechten, met name het recht op eerbiediging van het recht op privacy en op bescherming van persoonsgegevens, te waarborgen en om de naleving van de daaruit voortvloeiende vereisten van noodzakelijkheid en evenredigheid te waarborgen, is het toepassingsgebied van het voorstel, zoals hieronder nader wordt toegelicht, zorgvuldig beperkt en bevat het voorstel strikte beperkingen en waarborgen op het gebied van de bescherming van persoonsgegevens.

Verenigbaarheid met bestaande bepalingen op het beleidsterrein

De voorgestelde regels voor het verzamelen en doorgeven van API-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit zijn afgestemd op de toepasselijke regels voor de verwerking van PNR-gegevens, zoals vastgesteld in de PNR-richtlijn 10 . Bij het vaststellen van de regels is rekening gehouden met de uitlegging die het Hof van Justitie van de Europese Unie in zijn recente jurisprudentie, met name met betrekking tot de verwerking van PNR-gegevens voor vluchten binnen de EU, heeft gegeven en die inhoudt dat de doorgifte van PNR-gegevens aan de bevoegde autoriteiten van de lidstaten voor vluchten binnen de EU selectief moet zijn en niet systematisch mag zijn, tenzij dit gerechtvaardigd is op grond van een werkelijke en actuele of voorzienbare terroristische dreiging 11 .

Voor zover er overlapping zou zijn tussen de voorgestelde verordening en de regels van de PNR-richtlijn gelet op het feit dat de definitie van “PNR-gegevens” “alle verzamelde API-gegevens” omvat, hebben de regels van de voorgestelde verordening voorrang, aangezien deze zowel lex specialis als lex posterior is. De PNR-richtlijn verplicht de lidstaten de nodige maatregelen te treffen om ervoor te zorgen dat luchtvaartmaatschappijen PNR-gegevens doorgeven voor zover zij deze gegevens in het kader van hun normale bedrijfsvoering reeds hebben verzameld. De voorgestelde verordening verplicht de luchtvaartmaatschappijen in specifieke situaties API-gegevens te verzamelen en op een specifieke manier door te geven. De voorgestelde verordening vormt derhalve een aanvulling op de PNR-richtlijn, aangezien zij ervoor zorgt dat in alle gevallen waarin de bevoegde rechtshandhavingsinstanties – d.w.z. de passagiersinformatie-eenheden – PNR-gegevens ontvangen uit hoofde van de PNR-richtlijn, de luchtvaartmaatschappijen ook API-gegevens moeten verzamelen en aan deze bevoegde autoriteiten moeten doorgeven.

De bij de PNR-richtlijn opgerichte passagiersinformatie-eenheden (PIE’s) verwerken de aan hen doorgezonden API-gegevens overeenkomstig de desbetreffende beperkte vereisten van de voorgestelde verordening en de in de PNR-richtlijn vastgestelde regels voor verdere verwerking van API-gegevens door de PIE’s. Zoals gezegd staat de PNR-richtlijn de gezamenlijke verwerking van API-gegevens en PNR-gegevens toe, aangezien de definitie van PNR-gegevens “alle verzamelde API-gegevens”, en dus ook de API-gegevens die de PIE’s uit hoofde van de voorgestelde verordening ontvangen, omvat. Bijgevolg zijn de regels van artikel 6 en de artikelen 9 e.v. van de PNR-richtlijn van toepassing, die onder meer betrekking hebben op de precieze doeleinden van de verwerking, bewaartermijnen, wissing van gegevens, uitwisseling van informatie, doorgifte door de lidstaten aan derde landen en bescherming van persoonsgegevens.

Bovendien zijn de algemeen toepasselijke rechtshandelingen van de EU van toepassing overeenkomstig de daarin gestelde voorwaarden. Wat de verwerking van persoonsgegevens betreft, gaat het dan met name om de algemene verordening gegevensbescherming (AVG) 12 , de richtlijn gegevensbescherming bij rechtshandhaving (LED) 13 en de EU-gegevensbeschermingsverordening 14 . Het onderhavige voorstel laat deze handelingen onverlet.

De toepasselijkheid van bovengenoemde rechtshandelingen van de EU op de verwerking van de krachtens deze verordening ontvangen API-gegevens heeft als gevolg dat de lidstaten het EU-recht ten uitvoer brengen in de zin van artikel 51, lid 1, van het Handvest, wat betekent dat ook de regels van het Handvest van toepassing zijn. Meer bepaald moeten de regels van die rechtshandelingen van de EU worden uitgelegd in het licht van het Handvest.

Om te waarborgen dat de hier voorgestelde regels consistent zijn met die in het voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens voor grenscontroledoeleinden, en dat de API-gegevens efficiënt worden doorgezonden, verplicht dit voorstel de luchtvaartmaatschappijen om dezelfde reeks API-gegevens te verzamelen en deze aan dezelfde router door te geven als in het kader van de andere voorgestelde verordening is voorgeschreven.

Het verzamelen van API-gegevens uit reisdocumenten is ook in overeenstemming met de ICAO-richtsnoeren betreffende machineleesbare reisdocumenten 15 , die zijn omgezet in Verordening (EU) 2019/1157 betreffende de versterking van de beveiliging van identiteitskaarten van burgers van de Unie, Richtlijn 2019/997 van de Raad tot vaststelling van een EU-noodreisdocument en Verordening (EG) nr. 2252/2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in paspoorten. Deze verordeningen effenen de weg voor geautomatiseerde extractie van volledige en kwalitatief hoogwaardige gegevens uit reisdocumenten.

2. RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID

Rechtsgrondslag

Gezien de doelstelling van dit voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit en de in het voorstel vervatte maatregelen, is de passende rechtsgrondslag artikel 82, lid 1, punt d), en artikel 87, lid 2, punt a), van het Verdrag betreffende de werking van de Europese Unie (VWEU).

Krachtens artikel 82, lid 1, punt d), VWEU is de Unie bevoegd om maatregelen vast te stellen die ertoe strekken in het kader van strafvervolging en tenuitvoerlegging van beslissingen de samenwerking tussen de justitiële of gelijkwaardige autoriteiten van de lidstaten te bevorderen. Krachtens artikel 87, lid 2, punt a), VWEU is de Unie bevoegd om maatregelen vast te stellen voor de verzameling, opslag, verwerking, analyse en uitwisseling van relevante informatie ten behoeve van de politiële samenwerking in de EU.

De rechtsgrondslag voor dit voorstel is dan ook dezelfde als die voor de PNR-richtlijn, hetgeen passend is aangezien de voorgestelde verordening in wezen hetzelfde doel nastreeft als de PNR-richtlijn en bovendien ook bedoeld is als aanvulling op die richtlijn.

Subsidiariteit

Rechtshandhavingsinstanties moeten doeltreffende instrumenten aangereikt krijgen voor de bestrijding van terrorisme en ernstige criminaliteit. De meeste ernstige misdrijven en terreurdaden gaan gepaard met internationaal verkeer – vaak luchtverkeer. PNR-gegevens blijken een erg efficiënt instrument te zijn bij de bescherming van de interne veiligheid van de EU. Bovendien zijn onderzoeken die door de bevoegde autoriteiten van de lidstaten worden verricht met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit in hoge mate afhankelijk van internationale en grensoverschrijdende samenwerking.

In een ruimte zonder controles aan de binnengrenzen wordt het ontbreken van die controles ook efficiënt gecompenseerd doordat de lidstaten passagiersgegevens, met inbegrip van PNR-gegevens en API-gegevens, verzamelen, verwerken en uitwisselen. Door een coherent optreden op EU-niveau te bevorderen, zal het voorstel bijdragen tot het versterken van de veiligheid van de lidstaten en bijgevolg van de EU in haar geheel.

De API-richtlijn maakt deel uit van het Schengenacquis inzake het overschrijden van de buitengrenzen. Zij regelt dus niet de verzameling en doorgifte van API-gegevens over vluchten binnen de EU. Omdat ze voor deze vluchten alleen over PNR-gegevens en niet over API-gegevens beschikken, hebben de lidstaten uiteenlopende maatregelen genomen om het gebrek aan identiteitsgegevens van de passagiers te compenseren. Zo worden er onder meer fysieke conformiteitscontroles uitgevoerd om de identiteitsgegevens van de reisdocumenten en de instapkaarten met elkaar te vergelijken, maar deze controles leveren nieuwe problemen op zonder het onderliggende probleem, het ontbreken van API-gegevens, op te lossen.

Actie op EU-niveau zal bijdragen tot de toepassing van geharmoniseerde bepalingen inzake het waarborgen van grondrechten in de lidstaten, met name wat de bescherming van persoonsgegevens betreft. De verschillen tussen de systemen van de lidstaten die dergelijke mechanismen al hebben ingevoerd, of dit in de toekomst zullen doen, kunnen nadelige gevolgen hebben voor de luchtvaartmaatschappijen, aangezien zij wellicht zullen moeten voldoen aan meerdere nationale voorschriften die onderling kunnen afwijken, bijvoorbeeld wat betreft de soorten informatie die moet worden doorgegeven en de voorwaarden waaronder deze informatie aan de lidstaten moet worden verstrekt. Deze verschillen vormen een belemmering voor doeltreffende samenwerking tussen de lidstaten bij het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Dergelijke geharmoniseerde regels kunnen alleen op EU-niveau worden vastgesteld.

Aangezien de doelstellingen van dit voorstel niet op toereikende wijze door de lidstaten kunnen worden verwezenlijkt en beter op het niveau van de Unie kunnen worden verwezenlijkt, is de EU bevoegd om op te treden en hiertoe bovendien beter in staat dan de onafhankelijk handelende lidstaten. Het voorstel is derhalve in overeenstemming met het subsidiariteitsbeginsel zoals neergelegd in artikel 5 van het Verdrag betreffende de Europese Unie.

Evenredigheid

Overeenkomstig het evenredigheidsbeginsel dat is vervat in artikel 5, lid 4, VEU, moeten de aard en de intensiteit van een bepaalde maatregel worden afgestemd op het geconstateerde probleem. De in dit wetgevingsinitiatief omschreven problemen vragen in alle gevallen om wetgevende maatregelen op EU-niveau waarmee de lidstaten die problemen doeltreffend kunnen aanpakken.

De voorgestelde regels voor de verzameling en de doorgifte van API-gegevens zullen, mits strikte beperkingen en waarborgen worden toegepast, de preventie, de opsporing, het onderzoek en de vervolging van terroristische misdrijven en ernstige criminaliteit versterken. De voorgestelde regels bieden een doeltreffende oplossing voor het probleem dat is ontstaan doordat API-gegevens en PNR-gegevens niet gezamenlijk worden verwerkt, en komen dus tegemoet aan de noodzaak de interne veiligheid te versterken. Dit geldt ook voor vluchten binnen de EU waarover de lidstaten PNR-gegevens ontvangen.

Het toepassingsgebied van het voorstel is beperkt tot wat strikt noodzakelijk is, d.w.z. tot de elementen die een geharmoniseerde EU-aanpak vereisen, namelijk de doeleinden waarvoor de passagiersinformatie-eenheden API mogen gebruiken, de gegevenselementen die moeten worden verzameld en de middelen voor het verzamelen en doorgeven van de API-gegevens van reizigers. De doorgifte van de API-gegevens aan de router maakt het voor de luchtvaartmaatschappijen eenvoudiger om verbindingen met de passagiersinformatie-eenheden te onderhouden, brengt schaalvoordelen met zich mee en beperkt de kans op fouten en misbruik. Het onderwerp van het voorstel is beperkt tot de in het voorstel gedefinieerde terroristische misdrijven en ernstige criminaliteit, in het licht van de ernst en de transnationale dimensie van dit soort criminaliteit.

Om de inmenging in de rechten van passagiers tot het strikt noodzakelijke te beperken, is in het voorstel een aantal waarborgen opgenomen. Zo mag, wat de verwerking van API-gegevens op grond van de verordening betreft, slechts een exhaustieve en beperkte lijst van API-gegevens worden verwerkt. Alleen de daarin opgenomen identiteitsgegevens mogen worden verzameld. Bovendien regelt de voorgestelde verordening alleen de verzameling van API-gegevens en de doorzending ervan via de router naar de PIE’s voor de beperkte, in de verordening omschreven doeleinden, en niet de verdere verwerking van de API-gegevens door de PIE’s. De verdere verwerking valt, zoals hierboven uiteengezet, onder andere EU-rechtshandelingen (de PNR-richtlijn, de wetgeving inzake de bescherming van persoonsgegevens, het Handvest). De router zal dankzij zijn functionaliteiten en met name zijn capaciteit om uitgebreide statistische informatie te verzamelen en te verstrekken, ook een ondersteunende rol spelen bij het monitoren van de toepassing van deze verordening door de luchtvaartmaatschappijen en de passagiersinformatie-eenheden. Het voorstel voorziet tevens in bepaalde specifieke waarborgen, zoals regels inzake het aanleggen van logbestanden, bescherming van persoonsgegevens en beveiliging.

Om ervoor te zorgen dat de gegevensverwerking in het kader van de voorgestelde verordening, meer in het bijzonder wat betreft het verzamelen en doorgeven van API-gegevens over vluchten binnen de EU, noodzakelijk en evenredig is, zullen de lidstaten alleen API-gegevens ontvangen over vluchten binnen de EU die zij overeenkomstig de bovengenoemde jurisprudentie van het HvJ-EU hebben geselecteerd. Bovendien gelden voor de verdere verwerking van de API-gegevens door de PIE’s de beperkingen en waarborgen van de PNR-richtlijn, zoals het HvJ-EU deze in de zaak Ligue des droits humains 16 in het licht van het Handvest heeft uitgelegd.

Keuze van het instrument

Aangezien de voorgestelde maatregelen rechtstreeks toepasselijk moeten zijn en in alle lidstaten uniform moeten worden toegepast, is een verordening de juiste keuze voor het rechtsinstrument.

3. EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

Evaluatie van bestaande wetgeving

De API-richtlijn belet niet dat API-gegevens voor rechtshandhavingsdoeleinden worden verwerkt overeenkomstig de nationale wetgeving en de voorschriften inzake de bescherming van persoonsgegevens. Uit de evaluatie van de API-richtlijn 17 is echter gebleken dat de toepassing van deze mogelijkheid in de lidstaten problemen oplevert en tot leemten in de beveiliging leidt omdat EU-criteria voor de verzameling en de doorgifte van API-gegevens voor rechtshandhavingsdoeleinden ontbreken:

–Rechtshandhaving als doel wordt in de nationale wetgeving van sommige lidstaten breed opgevat, gaande van het optreden tegen administratieve overtredingen en het verbeteren van de binnenlandse veiligheid en de openbare orde, tot het bestrijden van terrorisme en het beschermen van nationale veiligheidsbelangen. Uit de evaluatie van de API-richtlijn is ook gebleken dat voor een doeltreffend gebruik van API-gegevens voor rechtshandhavingsdoeleinden een specifiek daarop gericht rechtsinstrument nodig zou zijn 18 .

–Omdat API-gegevens voor zoveel doeleinden kunnen worden verzameld, is het des te complexer de naleving van het EU-kader voor de bescherming van persoonsgegevens te waarborgen. De verplichting om API-gegevens binnen 24 uur te wissen, geldt alleen voor het gebruik van API-gegevens voor het hoofddoel van de API-richtlijn, namelijk het beheer van de buitengrenzen. Het is niet duidelijk of deze eis ook geldt voor de verwerking voor rechtshandhavingsdoeleinden.

–De API-dataset die bij luchtvaartmaatschappijen voor rechtshandhavingsdoeleinden kan worden opgevraagd en de praktijk van sommige lidstaten om nog andere API-gegevens op te vragen dan in de niet-uitputtende lijst van de API-richtlijn zijn opgenomen, maken het voor de luchtvaartmaatschappijen nog moeilijker om bij het vervoer van passagiers naar de EU aan de verschillende vereisten te voldoen.

–Bovendien laat de API-richtlijn in het midden voor welke vluchten API-gegevens kunnen worden opgevraagd, aan welke autoriteit de API-gegevens moeten worden doorgegeven of volgens welke voorwaarden deze gegevens toegankelijk zijn voor rechtshandhavingsdoeleinden.

Raadpleging van belanghebbenden

Bij de voorbereiding van dit voorstel zijn belanghebbenden uit verschillende hoeken geraadpleegd, waaronder de autoriteiten van de lidstaten (bevoegde grensautoriteiten, passagiersinformatie-eenheden), vertegenwoordigers van de vervoerssector en individuele luchtvaartmaatschappijen. Ook EU-agentschappen, zoals het Europees Grens- en kustwachtagentschap (Frontex), het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol), het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) en het Bureau van de Europese Unie voor de grondrechten (FRA), hebben input geleverd. In dit initiatief is daarnaast ook rekening gehouden met de standpunten en de reacties die zijn binnengekomen tijdens de openbare raadpleging die eind 2019 in het kader van de evaluatie van de API-richtlijn heeft plaatsgevonden 19 .

Bij raadplegingsactiviteiten in het kader van de voorbereiding van de effectbeoordeling ter ondersteuning van dit voorstel zijn aan de hand van verschillende methoden reacties van belanghebbenden verzameld. Deze activiteiten omvatten met name een aanvangseffectbeoordeling, een externe ondersteunende studie en een reeks technische workshops.

Op de aanvangseffectbeoordeling kon van 5 juni 2020 tot en met 14 augustus 2020 worden gereageerd. De zeven reacties hadden betrekking op de uitbreiding van het toepassingsgebied van de toekomstige API-richtlijn, de kwaliteit van de gegevens, sancties, het verband tussen API-gegevens en PNR-gegevens en de bescherming van persoonsgegevens 20 .

De externe ondersteunende studie werd uitgevoerd op basis van bureauonderzoek, enquêtes en gesprekken met deskundigen, waarbij werd onderzocht hoe API-gegevens kunnen worden verwerkt volgens duidelijke regels die legaal reizen vergemakkelijken en in overeenstemming zijn met de interoperabiliteit van de EU-informatiesystemen, de EU-voorschriften inzake de bescherming van persoonsgegevens en andere bestaande EU-instrumenten en internationale normen.

De diensten van de Commissie hebben verder een reeks technische workshops georganiseerd met deskundigen uit de lidstaten en de geassocieerde Schengenlanden. Deze workshops waren bedoeld om deskundigen bijeen te brengen voor een gedachtewisseling over de mogelijke opties om het toekomstige API-kader te versterken voor grensbeheerdoeleinden en voor de bestrijding van criminaliteit en terrorisme.

De bijgevoegde effectbeoordeling (bijlage 2) bevat een uitvoerigere beschrijving van de raadpleging van belanghebbenden.

Effectbeoordeling

In overeenstemming met de richtsnoeren voor betere regelgeving heeft de Commissie een effectbeoordeling uitgevoerd (zie het begeleidende werkdocument van de diensten van de Commissie) [referentie]. De Raad voor regelgevingstoetsing heeft de ontwerp-effectbeoordeling op 28 september 2022 geëvalueerd en op 30 september 2022 een gunstig advies uitgebracht.

In het licht van de geconstateerde problemen bij de verzameling en de doorgifte van API-gegevens is in de effectbeoordeling een evaluatie verricht van de beleidsopties voor wat de reikwijdte van de verzameling van API-gegevens voor het beheer van de buitengrenzen en voor rechtshandhavingsdoeleinden betreft, en van de opties om de kwaliteit van API-gegevens te verbeteren. Wat de verzameling van API-gegevens voor rechtshandhavingsdoeleinden betreft, zijn in de effectbeoordeling twee opties overwogen: verzameling van API-gegevens over alle vluchten naar of vanuit derde landen en verzameling van API-gegevens over alle vluchten naar of vanuit derde landen en over geselecteerde vluchten binnen de EU. Daarnaast werd in de effectbeoordeling ook gekeken naar opties om de kwaliteit van de API-gegevens te verbeteren – hetzij geautomatiseerde én handmatige, hetzij uitsluitend geautomatiseerde verzameling van API-gegevens.

Wat een API-instrument voor rechtshandhavingsdoeleinden betreft, komt uit het effectbeoordelingsverslag een voorkeur naar voren voor het verzamelen van API-gegevens over alle vluchten naar of vanuit derde landen, alsook over geselecteerde vluchten binnen de EU waarover PNR-gegevens worden doorgegeven. Hierdoor wordt de vereiste analyse van relevante gegevens over luchtreizigers in het kader van de strijd tegen ernstige criminaliteit en terrorisme aanzienlijk versterkt, doordat de passagiersinformatie-eenheden over geverifieerde en dus kwalitatief betere API-gegevens kunnen beschikken om personen die bij ernstige criminaliteit of terrorisme betrokken zijn, te identificeren. Voor de verzameling en de doorgifte van de API-gegevens voor rechtshandhavingsdoeleinden wordt gebruikgemaakt van de capaciteiten die zijn ontwikkeld voor het doorgeven van API-gegevens, via de router, met het oog op het beheer van de buitengrenzen. Er komen geen extra kosten voor eu-LISA. De luchtvaartmaatschappijen geven de API-gegevens alleen door aan de router, die deze vervolgens zou doorzenden naar de passagiersinformatie-eenheid van elke betrokken lidstaat. Deze oplossing – zo blijkt uit de effectbeoordeling – vermindert een deel van de doorzendingskosten van de luchtvaartmaatschappijen en is voor hen dus kostenefficiënt, en beperkt tegelijkertijd de kans op fouten of misbruik. Een verschil ten opzichte van de huidige situatie is dat de luchtvaartmaatschappijen in het kader van de voorgestelde verordening API-gegevens moeten verzamelen en doorgeven over alle vluchten waarop de verordening betrekking heeft, met inbegrip van vluchten binnen de EU, ongeacht hun normale bedrijfsvoering. Het voorstel is in overeenstemming met de in de Europese klimaatverordening 21 vastgestelde doelstelling inzake klimaatneutraliteit en de doelstellingen van de Unie voor 2030 en 2040.

Grondrechten

Dit initiatief voorziet in de verwerking van persoonsgegevens van reizigers en beperkt derhalve de uitoefening van het grondrecht op bescherming van persoonsgegevens, zoals gewaarborgd door artikel 8 van het Handvest en artikel 16 VWEU. Zoals het Hof van Justitie van de EU heeft benadrukt 22 , heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet elke beperking worden beschouwd in relatie tot de functie ervan in de samenleving en in overeenstemming zijn met de criteria van artikel 52, lid 1, van het Handvest 23 . De bescherming van persoonsgegevens hangt ook nauw samen met de eerbiediging van het recht op privacy, als onderdeel van het recht op eerbiediging van het privéleven en het familie- en gezinsleven, dat wordt beschermd door artikel 7 van het Handvest.

Wat het verzamelen en doorgeven van API-gegevens over geselecteerde vluchten binnen de EU betreft, heeft dit initiatief ook gevolgen voor de uitoefening van het in artikel 45 van het Handvest en artikel 21 VWEU vastgestelde grondrecht op vrij verkeer. Volgens het HvJ-EU kan een belemmering van het vrije verkeer van personen alleen worden gerechtvaardigd indien zij is gebaseerd op objectieve overwegingen en evenredig is aan het door het nationale recht rechtmatig nagestreefde doel 24 .

Krachtens deze verordening mogen API-gegevens alleen worden verzameld en doorgegeven voor het voorkomen, opsporen, onderzoeken en vervolgen van terrorisme en ernstige criminaliteit, zoals gedefinieerd in de PNR-richtlijn. Bij dit voorstel worden uniforme criteria voor het verzamelen en doorgeven van API-gegevens over vluchten naar of vanuit derde landen enerzijds en geselecteerde vluchten binnen de EU anderzijds vastgesteld op basis van een beoordeling door de lidstaten en een regelmatige herziening, in overeenstemming met de vereisten die het Hof van Justitie in het kader van de zaak Ligue des droits humains heeft vastgesteld. De verplichting voor de luchtvaartmaatschappijen om API-gegevens te verzamelen en aan de router door te geven, geldt voor alle vluchten binnen de EU. De doorzending via de router naar de PIE’s is een technische oplossing om de doorzending van API-gegevens naar passagiersinformatie-eenheden te beperken tot geselecteerde vluchten, zonder dat vertrouwelijke informatie wordt bekendgemaakt over welke vluchten binnen de EU zijn geselecteerd. Dergelijke informatie moet vertrouwelijk worden behandeld vanwege het risico op omzeiling dat zou ontstaan als de informatie bekend zou worden bij het grote publiek of, meer in het bijzonder, bij personen die betrokken zijn bij ernstige criminaliteit of terroristische activiteiten.

Door de luchtvaartmaatschappijen te verplichten om voor het verzamelen van bepaalde API-gegevens van reizigers geautomatiseerde procedés te gebruiken, kunnen er risico’s ontstaan, ook vanuit het oogpunt van de bescherming van persoonsgegevens. Deze risico’s zijn echter beperkt en verminderd. Ten eerste is de vereiste slechts van toepassing op bepaalde API-gegevens die op een verantwoordelijke manier met geautomatiseerde procedés kunnen worden verzameld, d.w.z. machineleesbare gegevens in reizigersdocumenten. Ten tweede bevat de voorgestelde verordening voorschriften voor de te gebruiken geautomatiseerde procedés, die verder moeten worden uitgewerkt in een gedelegeerde handeling. Tot slot wordt voorzien in verschillende waarborgen, zoals het aanleggen van logbestanden, specifieke regels voor de bescherming van persoonsgegevens en doeltreffend toezicht.

Afgezien van de bepaling die de naleving van het beginsel van doelbinding waarborgt, bevat de voorgestelde verordening geen regels over hoe de bevoegde grensautoriteiten de API-gegevens die zij op grond van de verordening ontvangen, moeten gebruiken. Deze materie wordt immers al in andere wetgeving geregeld. Niettemin wordt in de overwegingen er duidelijkheidshalve aan herinnerd dat dit gebruik geen aanleiding mag geven tot op grond van artikel 21 van het Handvest verboden discriminatie.

4. GEVOLGEN VOOR DE BEGROTING

Dit wetgevingsinitiatief over de verzameling en de doorgifte van API-gegevens, respectievelijk om de controles aan de buitengrenzen te vergemakkelijken en om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen, zal gevolgen hebben voor de begroting en de personeelsbehoeften van eu-LISA en de bevoegde autoriteiten van de lidstaten.

Geraamd wordt dat voor eu-LISA een extra begroting nodig is van ca. 45 miljoen EUR (33 miljoen EUR in het kader van het huidige MFK) voor het opzetten van de router en 9 miljoen EUR per jaar vanaf 2029 voor het technisch beheer ervan. Bovendien zouden er ongeveer 27 extra posten nodig zijn om eu-LISA uit te rusten voor de taken die voortvloeien uit dit voorstel en uit het voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op het vergemakkelijken van de controles aan de buitengrenzen.

De lidstaten zouden recht hebben op een vergoeding uit het Fonds voor interne veiligheid 25 ten bedrage van naar schatting 11 miljoen EUR (3 miljoen EUR in het kader van het huidige MFK) om de benodigde nationale systemen en infrastructuur voor de PIE’s te moderniseren. Vanaf 2028 zou deze vergoeding progressief tot naar raming 2 miljoen EUR per jaar bedragen. Dit recht zal uiteindelijk moeten worden bepaald overeenkomstig de regels voor deze fondsen en de in de voorgestelde verordening vervatte regels inzake kosten.

Gezien het nauwe verband tussen dit voorstel en het voorstel voor een verordening betreffende de verzameling en de doorgifte van API-gegevens met het oog op het vergemakkelijken van de controles aan de buitengrenzen, met name wat de doorgifte van de API-gegevens aan de router betreft, geldt voor beide voorstellen hetzelfde financieel memorandum (zie de betrokken bijlage).

5. OVERIGE ELEMENTEN

Uitvoeringsplanning en regelingen betreffende monitoring, evaluatie en rapportage

De Commissie zal ervoor zorgen dat de nodige regelingen worden getroffen om de werking van de voorgestelde maatregelen te monitoren en aan de belangrijkste beleidsdoelstellingen te toetsen. Vier jaar na de inwerkingtreding van de voorgestelde API-verordening, en vervolgens om de vier jaar, zal de Commissie bij het Europees Parlement en de Raad een verslag indienen met een beoordeling van de uitvoering van de verordening en de toegevoegde waarde ervan. In het verslag zal ook melding worden gemaakt van eventuele directe of indirecte gevolgen voor de grondrechten. In het verslag zullen de behaalde resultaten worden getoetst aan de doelstellingen en zal worden nagegaan of de uitgangspunten nog steeds geldig zijn en of er conclusies met het oog op toekomstige opties moeten worden getrokken.

Door luchtvaartmaatschappijen te verplichten API-gegevens over vluchten naar of vanuit derde landen en over geselecteerde vluchten binnen de EU te verzamelen en door de API-router in te voeren, zal duidelijker worden wat de stand van zaken is op het vlak van de doorgifte van API-gegevens door luchtvaartmaatschappijen en het gebruik van API-gegevens door de lidstaten overeenkomstig de toepasselijke nationale en Uniewetgeving. Hierdoor krijgt de Commissie betrouwbare statistieken in handen over het volume van de doorgegeven gegevens en over de vluchten waarover API-gegevens zouden zijn opgevraagd, wat haar zal helpen bij haar evaluatie- en handhavingstaken.

Artikelsgewijze toelichting

Hoofdstuk 1 bevat de algemene bepalingen van deze verordening, te beginnen met regels over het onderwerp en het toepassingsgebied. Het bevat ook een lijst van definities.

Hoofdstuk 2 bevat de bepalingen voor de verzameling, doorgifte aan de router en wissing van API-gegevens door luchtvaartmaatschappijen, en regels voor de doorzending van de API-gegevens via de router naar de passagiersinformatie-eenheden.

Hoofdstuk 3 bevat specifieke bepalingen over logbestanden, over wie de verwerkingsverantwoordelijken zijn voor API-gegevens die krachtens deze verordening persoonsgegevens zijn, over beveiliging en over interne monitoring door de luchtvaartmaatschappijen en de PIE’s.

Hoofdstuk 4 bevat regels inzake de verbindingen en de integratie van de passagiersinformatie-eenheden en de luchtvaartmaatschappijen met de router, en inzake de daarmee samenhangende kosten van de lidstaten. Het bevat ook bepalingen over wat er moet gebeuren als de router door een technische storing slechts gedeeltelijk of helemaal niet kan worden gebruikt, en over de aansprakelijkheid voor schade aan de router.

Hoofdstuk 5 bevat bepalingen inzake toezicht, mogelijke sancties voor luchtvaartmaatschappijen die hun verplichtingen uit hoofde van deze verordening niet nakomen, en de opstelling van een praktische handleiding door de Commissie.

Hoofdstuk 6 voorziet in wijzigingen van andere bestaande instrumenten, i.e. Verordening (EU) 2019/818.

Hoofdstuk 7 bevat de slotbepalingen van deze verordening, inzake vaststelling van gedelegeerde handelingen, monitoring en evaluatie van deze verordening en inwerkingtreding en toepassing ervan.