32025R0013[1]

Az Európai Parlament és a Tanács (EU) 2025/13 rendelete (2024. december 19.) az előzetes utasinformációknak a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása céljából történő gyűjtéséről és átadásáról, valamint az (EU) 2019/818 rendelet módosításáról

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2025/13 RENDELETE

(2024. december 19.)

az előzetes utasinformációknak a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása céljából történő gyűjtéséről és átadásáról, valamint az (EU) 2019/818 rendelet módosításáról

1. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy

A terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása céljából ez a rendelet a következőkre vonatkozó szabályokat állapítja meg:

a) az EU-n kívüli légi járatokra és az EU-n belüli légi járatokra vonatkozó előzetes utasinformációk (a továbbiakban: API) légi fuvarozók általi gyűjtése;

b) az API-adatok és egyéb PNR-adatok légi fuvarozók általi átadása a routernek;

c) az EU-n kívüli légi járatokra és a kiválasztott EU-n belüli légi járatokra vonatkozó API-adatok és egyéb PNR-adatok továbbítása a routerből az utasadat-információs egységeknek.

Ez a rendelet nem érinti az (EU) 2016/679 rendeletet, az (EU) 2018/1725 rendeletet és az (EU) 2016/680 irányelvet.

2. cikk

Hatály

Ez a rendelet a következő légi járatokat üzemeltető légi fuvarozókra alkalmazandó:

a) EU-n kívüli légi járatok;

b) olyan EU-n belüli légi járatok, amelyek legalább egy olyan tagállam területéről indulnak, ott szállnak le vagy ott közbenső leszállást hajtanak végre, amely az (EU) 2016/681 irányelv 2. cikkének (1) bekezdésével összhangban értesítette a Bizottságot arról a döntéséről, hogy az említett irányelvet az EU-n belüli légi járatokra alkalmazza.

3. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

1. "légi fuvarozó": az (EU) 2016/681 irányelv 3. cikkének 1. pontjában meghatározott légi fuvarozó;

2. "EU-n kívüli légi járat": az (EU) 2016/681 irányelv 3. cikkének 2. pontjában meghatározott bármely EU-n kívüli légi járat;

3. "EU-n belüli légi járat": az (EU) 2016/681 irányelv 3. cikkének 3. pontjában meghatározott bármely EU-n belüli légi járat;

4. "menetrend szerinti légi járat": az (EU) 2025/12 rendelet 3. cikkének 5. pontjában meghatározott menetrend szerinti légi járat;

5. "nem menetrend szerinti légi járat": az (EU) 2025/12 rendelet+ 3. cikkének 6. pontjában meghatározott nem menetrend szerinti légi járat;

6. "utas": az (EU) 2016/681 irányelv 3. cikkének 4. pontjában meghatározott utas;

7. "személyzet": a repülés ideje alatt a légi jármű fedélzetén tartózkodó, az utasoktól eltérő bármely személy, aki a légi járművön dolgozik vagy azt üzemelteti, beleértve a repülő személyzetet és a légiutas-kísérő személyzetet is;

8. "előzetes utasinformációk" vagy "API-adatok": a 4. cikk (2), illetve (3) bekezdésében említett adatok, illetve járatinformációk;

9. "az utasnyilvántartási adatállományban szereplő egyéb adatok" vagy "egyéb PNR-adatok": az (EU) 2016/681 irányelv 3. cikkének 5. pontjában meghatározott, és az említett irányelv I. mellékletében - az ugyanazon melléklet 18. pontjának kivételével - felsoroltak szerinti utasnyilvántartási adatállomány;

10. "utasadat-információs egység": az (EU) 2016/681 irányelv 4. cikkének (5) bekezdése alapján a tagállamok által a Bizottságnak küldött - és a Bizottság által közzétett - értesítésekben és azok módosításaiban szereplő utasadat-információs egység;

11. "terrorista bűncselekmények": az (EU) 2017/541 európai parlamenti és tanácsi irányelv ( 1 ) 3-12. cikkében említett terrorista bűncselekmények;

12. "súlyos bűncselekmény": az (EU) 2016/681 irányelv 3. cikkének 9. pontjában meghatározott súlyos bűncselekmény;

13. "router": az e rendelet 9. cikkében és az (EU) 2025/12 rendelet 11. cikkében említett router;

14. "személyes adat": az (EU) 2016/680 rendelet 3. cikkének 1. pontjában és az (EU) 2016/679 rendelet 4. cikkének 1. pontjában meghatározott személyes adat;

15. "valós idejű repülési forgalmi adatok": az e rendelet hatálya alá tartozó repülőterek érkező és induló légi forgalmára vonatkozó információk.

2. FEJEZET

AZ API-ADATOK GYŰJTÉSE, ÁTADÁSA, TÁROLÁSA ÉS TÖRLÉSE

4. cikk

Az API-adatok légi fuvarozók általi gyűjtése

(1) A légi fuvarozók a 2. cikkben említett járatok tekintetében gyűjtik minden utas és a személyzet minden egyes tagjának olyan API-adatait, amelyeket az 5. cikkel összhangban át kell adni a routernek. A légi fuvarozók közös járataként közlekedő légi járatok esetében az API-adatok átadásának kötelezettsége a légi járatot üzemeltető légi fuvarozót terheli.

(2) Az API-adatok a légi járaton utazó egyes utasokra és a személyzet tagjaira vonatkozóan kizárólag a következő adatokat foglalják magukban:

a) vezetéknév (családi név), utónév vagy utónevek (keresztnevek);

b) születési idő, nem és állampolgárság;

c) az úti okmány típusa és száma, valamint az úti okmányt kiállító ország három betűből álló kódja;

d) az úti okmány érvényességének lejárati napja;

e) az utasnyilvántartási adatállományban használt azonosító szám, amelyet a légi fuvarozó az utas azonosítására használ információs rendszerén belül (nyilvántartási helymeghatározó kód);

f) az utas számára a légi járművön kijelölt ülés számának megfelelő, ülőhellyel kapcsolatos információ, amennyiben ilyen információ rendelkezésre áll;

g) a poggyászcímke száma vagy számai, valamint a feladott poggyászok száma és súlya, amennyiben ilyen információ rendelkezésre áll;

h) az a)-d) pontban említett adatok rögzítésére és érvényességének igazolására használt módszert jelölő kód.

(3) Az API-adatok emellett az egyes utasok és a személyzet tagjainak légi járatára vonatkozóan csak a következő járatinformációkat foglalják magukban:

a) járatazonosító szám vagy - a légi fuvarozók közös járataként közlekedő légi járat esetében - járatazonosító számok, vagy ilyen szám hiányában a légi járat azonosítására szolgáló más egyértelmű és megfelelő eszköz;

b) adott esetben a tagállam területére való belépés helye szerinti határátkelőhely;

c) az érkezési repülőtér kódja, vagy - ha a légi járat a tervek szerint az e rendelet alkalmazási körébe tartozó, egy vagy több tagállam területén található, egy vagy több repülőtéren száll le - az érintett tagállamok területén található, fogadó repülőterek kódjai;

d) a légi járat indulási repülőterének kódja;

e) az első beszállási hely szerinti repülőtér kódja, amennyiben rendelkezésre áll;

f) az indulás napja és időpontja helyi idő szerint;

g) az érkezés napja és időpontja helyi idő szerint;

h) a légi fuvarozó kapcsolattartási adatai;

i) az API-adatok átadásához használt formátum.

(4) A légi fuvarozók oly módon gyűjtik az API-adatokat, amely biztosítja, hogy az 5. cikkel összhangban általuk átadott API-adatok pontosak, hiánytalanok és naprakészek legyenek. E kötelezettség teljesítése - az uniós joggal összeegyeztethető nemzeti jog sérelme nélkül - nem jelenti azt, hogy a légi fuvarozóknak az úti okmányt a légi járműbe való beszálláskor ellenőrizniük kell.

(5) Ez a rendelet - az egyéb uniós jogi aktusok vagy az uniós joggal összeegyeztethető nemzeti jog sérelme nélkül - nem kötelezi az utasokat arra, hogy utazásuk során úti okmányt tartsanak maguknál.

(6) A tagállamok kötelezhetik a légi fuvarozókat arra, hogy lehetővé tegyék az utasok számára, hogy önkéntesen feltöltsék az (EU) 2025/12 rendelet 4. cikke (2) bekezdésének a)-d) pontjában említett adatokat automatizált eszközökkel, valamint arra, hogy ezen adatokat a légi fuvarozónál tárolják azzal a céllal, hogy azokat jövőbeli légi járatok céljára átadják e rendelet 5. cikkével összhangban és az e cikk (4), (7) és (8) bekezdésében meghatározott követelményeknek megfelelő módon. Az ilyen kötelezettséget előíró tagállam az (EU) 2016/679 rendelettel összhangban meghatározza az adatvédelemre vonatkozó szabályokat és biztosítékokat, beleértve az adattárolás időtartamára vonatkozó szabályokat is. Az adatokat azonban törölni kell, ha az utas már nem járul hozzá az adatok tárolásához, vagy legkésőbb az úti okmány érvényességének lejárati napján.

(7) A légi fuvarozók a (2) bekezdés a)-d) pontjában említett API-adatokat az érintett utas úti okmányában szereplő, géppel olvasható adatok gyűjtésére szolgáló automatizált eszközökkel gyűjtik. Ezt a (12) bekezdésben említett részletes technikai követelményekkel és működési szabályokkal összhangban hajtják végre, amint sor került ilyen szabályok elfogadására és azok alkalmazandók.

Amennyiben a légi fuvarozók online utasfelvételi eljárást biztosítanak, lehetővé kell tenniük, hogy az utasok ezen online utasfelvételi eljárás során automatizált eszközökkel bocsássák rendelkezésre a (2) bekezdés a)-d) pontjában említett API-adatokat. Az online utasfelvételt igénybe nem vevő utasok számára a légi fuvarozóknak lehetővé kell tenniük, hogy a repülőtéri utasfelvétel során egy önkiszolgáló terminál vagy a légi fuvarozó utasfelvételt végző személyzete segítségével adják meg automatizált eszközökkel az említett API-adatokat.

Amennyiben az automatizált eszközök használata technikailag nem lehetséges, a légi fuvarozók a (2) bekezdés a)-d) pontjában említett API-adatokat - akár az online utasfelvétel, akár a repülőtéri utasfelvétel részeként - kivételesen manuálisan gyűjtik oly módon, amely biztosítja a (4) bekezdésnek való megfelelést.

(8) A légi fuvarozók megbízható, biztonságos és naprakész automatizált eszközöket használnak az API-adatok e rendelet szerinti gyűjtése céljából. A légi fuvarozók biztosítják az API-adatok titkosítását az ilyen adatoknak az utastól a légi fuvarozóhoz történő átadása során.

(9) Egy átmeneti időszak alatt és a (7) bekezdésben említett automatizált eszközökön túlmenően a légi fuvarozóknak lehetővé kell tenniük az utasok számára, hogy az online utasfelvétel részeként manuálisan adják meg az API-adatokat. Ilyen esetekben a légi fuvarozóknak adatellenőrzési technikákat kell alkalmazniuk a (4) bekezdésnek való megfelelés biztosítása céljából.

(10) A (9) bekezdésben említett átmeneti időszak nem érinti a légi fuvarozók azon jogát, hogy a (4) bekezdésnek való megfelelés biztosítása érdekében az online utasfelvétel keretében gyűjtött API-adatokat az alkalmazandó uniós joggal összhangban a légi járműbe történő beszállás előtt a repülőtéren ellenőrizzék.

(11) A Bizottság felhatalmazást kap arra, hogy a router 34. cikkben említett, API-adatokkal kapcsolatos működésbe lépésétől számított négy évet követően és az API-adatok gyűjtésére szolgáló automatizált eszközök rendelkezésre állásának és hozzáférhetőségének értékelése alapján a 43. cikkel összhangban felhatalmazáson alapuló jogi aktust fogadjon el az e cikk (9) bekezdésében említett átmeneti időszak megszüntetése céljából.

(12) A Bizottság felhatalmazást kap arra, hogy a 43. cikknek megfelelően felhatalmazáson alapuló jogi aktusok elfogadása révén kiegészítse ezt a rendeletet azáltal, hogy megállapítja az e cikk (2) bekezdésének a)-d) pontjában említett API-adatoknak az e cikk (7) és (8) bekezdésének megfelelő, automatizált eszközök használatával történő gyűjtésére, valamint az API-adatok kivételes körülmények között, az e cikk (7) bekezdésével összhangban és az e cikk (9) bekezdésében említett átmeneti időszakban történő manuális gyűjtésére vonatkozó részletes technikai követelményeket és működési szabályokat. E technikai követelmények és működési szabályok magukban foglalnak adatbiztonsági követelményeket, valamint az úti okmány géppel olvasható adatainak gyűjtésére rendelkezésre álló legmegbízhatóbb automatizált eszközök használatára vonatkozó követelményeket.

5. cikk

A légi fuvarozók API-adatok és egyéb PNR-adatok átadásával kapcsolatos kötelezettségei

(1) A légi fuvarozók a titkosított API-adatokat elektronikus úton adják át a routernek abból a célból, hogy azokat a 12. cikkel összhangban továbbítsák az utasadat-információs egységeknek. A légi fuvarozók az API-adatokat az e cikk (4) bekezdésében említett részletes szabályokkal összhangban adják át, amint sor került az említett szabályok elfogadására és azok alkalmazandók.

(2) Az (EU) 2016/681 irányelv 8. cikkének (1) bekezdése szerinti intézkedések elfogadásakor a tagállamok előírják a légi fuvarozók számára, hogy szokásos üzleti tevékenységük során általuk gyűjtött bármely egyéb PNR-adatot kizárólag a routernek adjanak át, az említett irányelv 16. cikkében meghatározott közös protokolloknak és adatformátumoknak megfelelően.

(3) A légi fuvarozók a következők szerint adják át az API-adatokat:

a) az utasokra vonatkozóan:

i. utasonként, az utasfelvétel időpontjában, de legkorábban 48 órával a menetrend szerinti járatindulási időpont előtt; és

ii. közvetlenül a beszállás lezárását követően az összes utasra vonatkozóan, azaz amikor az utasok már beszálltak a felszállásra készülő légi járműre, és az utasok beszállása vagy leszállása többé már nem lehetséges;

b) a személyzet minden tagjára vonatkozóan, közvetlenül a beszállás lezárását követően, azaz amikor a személyzet már beszállt a felszállásra készülő repülőgépbe, és a beszállásuk vagy leszállásuk többé már nem lehetséges.

(4) A Bizottság felhatalmazást kap arra, hogy a 43. cikknek megfelelően felhatalmazáson alapuló jogi aktusok elfogadása révén kiegészítse ezt a rendeletet azáltal, hogy megállapítja az API-adatoknak az e cikk (1) bekezdésében említett, routernek történő titkosított átadásához - ezen belül az API-adatok utasfelvétel pillanatában történő továbbítása és az adatbiztonságra vonatkozó követelmények tekintetében - használandó közös protokollokra és támogatott adatformátumokra vonatkozó szükséges részletes szabályokat. Az említett részletes szabályoknak biztosítaniuk kell, hogy a légi fuvarozók ugyanazon struktúra és tartalom használatával adják át az API-adatokat.

6. cikk

Az API-adatok tárolási ideje és törlése

A légi fuvarozók az 5. cikk (3) bekezdése a) pontjának ii. alpontjával és b) pontjával összhangban a routernek átadott, az összes utasra és a személyzet valamennyi tagjára vonatkozó, a 4. cikk alapján gyűjtött API-adatokat ezen adatok routerhez történő beérkezésének időpontjától számítva 48 órán keresztül tárolják. Az említett időtartam lejárta után - a 16. cikk (1) és (3) bekezdésének sérelme nélkül és a légi fuvarozók azon lehetőségének sérelme nélkül, hogy amennyiben az a szokásos üzleti tevékenységükhöz szükséges, az alkalmazandó joggal összhangban megőrizzék és felhasználják az adatokat - haladéktalanul és véglegesen törölniük kell ezeket az API-adatokat.

7. cikk

Az API-adatok helyesbítése, kiegészítése és frissítése

(1) Amennyiben a légi fuvarozó tudomására jut, hogy az e rendelet alapján általa tárolt adatokat jogellenesen kezelték, vagy hogy az adatok nem minősülnek API-adatoknak, haladéktalanul és véglegesen törli az említett adatokat. Ha ezeket az adatokat már átadták a routernek, a légi fuvarozó haladéktalanul tájékoztatja a szabadságon, a biztonságon és a jog érvényesülésén alapuló térség nagyméretű IT-rendszereinek üzemeltetési igazgatását végző európai uniós ügynökséget (eu-LISA). Ezen információ kézhezvételét követően az eu-LISA haladéktalanul tájékoztatja azokat az utasadat-információs egységeket, amelyek megkapták a routeren keresztül továbbított adatokat.

(2) Ha egy légi fuvarozó tudomására jut, hogy az általa e rendelet alapján tárolt adatok pontatlanok, hiányosak vagy már nem naprakészek, haladéktalanul helyesbíti, kiegészíti vagy frissíti ezeket az adatokat. Ez nem érinti a légi fuvarozók azon lehetőségét, hogy az alkalmazandó joggal összhangban megőrizzék és felhasználják az adatokat, amennyiben ez a szokásos üzleti tevékenységükhöz szükséges.

(3) Amennyiben egy légi fuvarozó az API-adatoknak az 5. cikk (3) bekezdése a) pontjának i. alpontja szerinti átadását követően, de az 5. cikk (3) bekezdése a) pontjának ii. alpontja szerinti átadás előtt szerez tudomást arról, hogy az általa átadott adatok pontatlanok, a légi fuvarozó haladéktalanul átadja a routernek a helyesbített API-adatokat.

(4) Amennyiben egy légi fuvarozó az API-adatoknak az 5. cikk (3) bekezdése a) pontjának ii. alpontja vagy b) pontja szerinti átadását követően szerez tudomást arról, hogy az általa átadott adatok pontatlanok, hiányosak vagy már nem naprakészek, a légi fuvarozó haladéktalanul átadja a routernek a helyesbített, kiegészített vagy frissített API-adatokat.

(5) A Bizottság felhatalmazást kap arra, hogy a 43. cikknek megfelelően felhatalmazáson alapuló jogi aktusok elfogadása révén kiegészítse ezt a rendeletet azáltal, hogy megállapítja az API-adatok e cikk értelmében vett helyesbítésére, kiegészítésére és frissítésére vonatkozó szükséges részletes szabályokat.

8. cikk

Alapjogok

(1) A személyes adatok e rendelettel és az (EU) 2025/12 rendelettel összhangban történő, légi fuvarozók és illetékes hatóságok általi gyűjtése és kezelése nem eredményezheti a személyeknek az Európai Unió Alapjogi Chartájának (a továbbiakban: a Charta) 21. cikkében említett okok alapján történő megkülönböztetését.

(2) E rendelet teljes mértékben tiszteletben tartja az emberi méltóságot és a Charta által elismert alapvető jogokat és elveket, többek között a magánélet tiszteletben tartásához, a személyes adatok védelméhez, a mozgás szabadságához és a hatékony jogorvoslathoz való jogot, valamint a menedékjogot.

(3) Különös figyelmet kell fordítani a gyermekekre, az idősekre, a fogyatékossággal élő és a kiszolgáltatott személyekre. E rendelet végrehajtása során elsődlegesen a gyermek mindenek felett álló érdekét kell szem előtt tartani.

3. FEJEZET

A ROUTERREL KAPCSOLATOS RENDELKEZÉSEK

9. cikk

A router

(1) Az eu-LISA a 25. és a 26. cikkel összhangban kialakítja, fejleszti és műszakilag üzemelteti a routert, valamint tárhelyszolgáltatást nyújt számára azzal a céllal, hogy megkönnyítse a titkosított API-adatok és egyéb PNR-adatok légi fuvarozók általi, e rendelettel összhangban történő átadását az utasadat-információs egységek részére.

(2) A router a következőkből áll:

a) egy központi infrastruktúra, amely magában foglalja a titkosított API-adatok és egyéb PNR-adatok fogadását és továbbítását lehetővé tevő műszaki elemeket;

b) egy biztonságos kommunikációs csatorna a központi infrastruktúra és az utasadat-információs egységek között, valamint egy biztonságos kommunikációs csatorna a központi infrastruktúra és a légi fuvarozók között az API-adatok és egyéb PNR-adatok átadása és továbbítása, továbbá a kapcsolódó kommunikáció céljából, valamint a 12. cikk (4) bekezdésében említett kiválasztott járatok és az esetleges kapcsolódó frissítések routerbe történő, tagállamok általi bevitele céljából;

c) egy biztonságos csatorna a valós idejű repülési forgalmi adatok fogadására.

(3) E rendelet 10. cikkének sérelme nélkül a router adott esetben és a technikai szempontból lehetséges mértékben megosztja és tovább hasznosítja az (EU) 2017/2226 rendelet 13. cikkében említett webes szolgáltatás, az (EU) 2018/1240 rendelet 6. cikke (2) bekezdésének k) pontjában említett fuvarozói portál és a 767/2008/EK rendelet 45c. cikkében említett fuvarozói portál műszaki elemeit, beleértve a hardver- és szoftverelemeket is.

Az eu-LISA a technikai és működési szempontból lehetséges mértékben úgy alakítja ki a routert, hogy az koherens legyen és összhangban álljon a légi fuvarozóknak a 767/2008/EK, az (EU) 2017/2226 és az (EU) 2018/1240 rendeletben meghatározott kötelezettségeivel.

(4) A router automatikusan kinyeri és e rendelet 39. cikkével összhangban hozzáférhetővé teszi az adatokat a jelentések és statisztikák (EU) 2019/818 rendelet 39. cikke által létrehozott központi adattára (CRRS) számára.

(5) Az eu-LISA úgy alakítja ki és fejleszti a routert, hogy az API-adatoknak és egyéb PNR-adatoknak a légi fuvarozóktól a router számára az 5. cikkel összhangban történő átadása, valamint az API-adatoknak és egyéb PNR-adatoknak a routertől a 12. cikkel összhangban az utasadat-információs egységekhez, illetve a 39. cikk (2) bekezdésével összhangban a CRRS-hez történő továbbítása során az API-adatok és egyéb PNR-adatok a továbbítás ideje alatt végponttól végpontig titkosítva legyenek.

10. cikk

A router kizárólagos használata

E rendelet alkalmazásában a router kizárólag a következő célokra használható:

a) a légi fuvarozók által a titkosított API-adatok és egyéb PNR-adatok e rendelettel összhangban történő átadására;

b) az utasadat-információs egységek által titkosított API-adatok és egyéb PNR-adatok e rendelettel összhangban történő fogadására;

c) a PNR-adatok routeren keresztül történő átadását lehetővé tevő nemzetközi megállapodások alapján, amelyeket az Unió olyan harmadik országokkal kötött, amelyek megállapodást kötöttek a schengeni vívmányok végrehajtásához, alkalmazásához és fejlesztéséhez való társulásukról.

Ez a cikk nem érinti az (EU) 2025/12 rendelet 12. cikkét.

11. cikk

Adatformátum és az adatátadás ellenőrzése

(1) A router automatizált módon és valós idejű repülési forgalmi adatok alapján ellenőrzi, hogy a légi fuvarozó az 5. cikk (1) bekezdésével összhangban átadta-e az API-adatokat, vagy az 5. cikk (2) bekezdésével összhangban átadta-e az egyéb PNR-adatokat.

(2) A router haladéktalanul és automatizált módon ellenőrzi, hogy az 5. cikk (1) bekezdésével összhangban neki átadott API-adatok megfelelnek-e a támogatott adatformátumokra vonatkozó, az 5. cikk (4) bekezdésében említett részletes szabályoknak.

(3) A router haladéktalanul és automatizált módon ellenőrzi, hogy az 5. cikk (2) bekezdésével összhangban neki átadott egyéb PNR-adatok megfelelnek-e a támogatott adatformátumokra vonatkozó, az (EU) 2016/681 irányelv 16. cikkében említett szabályoknak.

(4) Amennyiben az (1) bekezdésben említett ellenőrzés megállapítja, hogy a légi fuvarozó nem adta át az adatokat, vagy ha a (2) és a (3) bekezdésben említett ellenőrzés megállapítja, hogy az adatok nem felelnek meg a támogatott adatformátumokra vonatkozó részletes szabályoknak, a router haladéktalanul és automatizált módon értesíti az érintett légi fuvarozót és azon tagállamok utasadat-információs egységeit, amelyek számára az adatokat a 12. cikk (1) bekezdése alapján továbbítani kellett. Ilyen esetekben a légi fuvarozó az 5. cikkel összhangban haladéktalanul átadja az API-adatokat és az egyéb PNR-adatokat.

(5) A Bizottság végrehajtási jogi aktusokat fogad el, amelyekben meghatározza az e cikk (1)-(4) bekezdésében említett ellenőrzésekhez és értesítésekhez szükséges részletes technikai és eljárási szabályokat. Ezeket a végrehajtási jogi aktusokat a 42. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

12. cikk

Az API-adatok és egyéb PNR-adatok továbbítása a routerből az utasadat-információs egységeknek

(1) Az adatformátum és az adatátadás 11. cikkben említett ellenőrzését követően a router továbbítja a légi fuvarozók által az 5. cikk (1) és (2) bekezdése, valamint adott esetben a 7. cikk (3) és (4) bekezdése alapján számára átadott titkosított API-adatokat és egyéb PNR-adatokat azon tagállam utasadat-információs egységeinek, amelynek területén a légi járat le fog szállni vagy amelynek területéről fel fog szállni, illetve EU-n belüli légi járatok esetében mindkét tagállam utasadat-információs egységeinek. Ezeket az adatokat haladéktalanul és automatizált módon, tartalmuk megváltoztatása nélkül továbbítja. Amennyiben egy légi járat egy vagy több közbenső leszállást hajt végre az indulás helye szerinti tagállamtól eltérő tagállamok területén, a router valamennyi érintett tagállam utasadat-információs egységének továbbítja az API-adatokat és egyéb PNR-adatokat.

E továbbítás céljából az eu-LISA-nak létre kell hoznia és naprakészen kell tartania egy megfelelési táblázatot, a különböző származási és érkezési repülőterekről és a hozzájuk tartozó országokról.

Az EU-n belüli légi járatok esetében azonban a router csak a (4) bekezdésben említett jegyzékben szereplő légi járatok API-adatait és egyéb PNR-adatait továbbítja az érintett utasadat-információs egységeknek.

(2) A router a (6) bekezdésben említett részletes szabályokkal összhangban továbbítja az API-adatokat és egyéb PNR-adatokat, amint sor került ilyen szabályok elfogadására és azok alkalmazandók.

(3) A tagállamok biztosítják, hogy utasadat-információs egységei az API-adatok és egyéb PNR-adatok (1) bekezdéssel összhangban történő beérkezésekor haladéktalanul és automatizált módon visszaigazolják a routernek az ilyen adatok beérkezését.

(4) Azok a tagállamok, amelyek az (EU) 2016/681 irányelv 2. cikkével összhangban az említett irányelv EU-n belüli légi járatokra való alkalmazása mellett döntenek, összeállítják az érintett EU-n belüli légi járatok vagy kiválasztott útvonalak jegyzékét. A tagállamok a kiválasztott járatok vagy útvonalak jelzésére használhatják az indulási és az érkezési repülőtér kódját. Ezek a tagállamok az említett irányelv 2. cikkével és e rendelet 13. cikkével összhangban rendszeresen felülvizsgálják és szükség esetén frissítik az említett jegyzékeket. A tagállamok kellően indokolt esetben az (EU) 2016/681 irányelvvel és e rendelet 13. cikkével összhangban az összes EU-n belüli légi járatot vagy útvonalat kiválaszthatják.

A tagállamok e rendelet alkalmazásának a 45. cikk második bekezdésében említett vonatkozó kezdőnapjáig a 9. cikk (2) bekezdésének b) pontjában említett biztonságos kommunikációs csatornán keresztül automatizált módon beviszik a kiválasztott járatokat vagy útvonalakat a routerbe, majd ezt követően a router rendelkezésére bocsátják azok frissítéseit.

(5) A tagállamok által a routerbe bevitt információkat bizalmasan kell kezelni, és az eu-LISA személyzetének az ezen információkhoz való hozzáférését a műszaki problémák megoldásához feltétlenül szükséges mértékre kell korlátozni. Az eu-LISA biztosítja, hogy a router a tagállamtól kapott ezen információk és azok frissítései kézhezvételét követően az (1) bekezdéssel összhangban haladéktalanul továbbítsa az API-adatokat és egyéb PNR-adatokat az adott tagállam utasadat-információs egységéhez a kiválasztott légi járatok vagy útvonalak tekintetében.

(6) A Bizottság végrehajtási jogi aktusokat fogad el, amelyek megállapítják az API-adatoknak és egyéb PNR-adatoknak a routerből történő, e cikk (1) bekezdésében említett továbbítására - ezen belül az adatbiztonsági követelményekre - valamint az e cikk (4) bekezdésében említett információknak a routerbe történő bevitelére vonatkozó szükséges részletes technikai és eljárási szabályokat. Ezeket a végrehajtási jogi aktusokat a 42. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

13. cikk

Az EU-n belüli légi járatok kiválasztása

(1) Azok a tagállamok, amelyek az (EU) 2016/681 irányelv 2. cikkével összhangban úgy döntenek, hogy az említett irányelvet és következésképpen ezt a rendeletet az EU-n belüli légi járatokra alkalmazzák, az ilyen EU-n belüli légi járatokat e cikknek megfelelően választják ki.

(2) A tagállamok az (EU) 2016/681 irányelvet és következésképpen ezt a rendeletet csak akkor alkalmazhatják valamennyi, a területükre érkező vagy onnan induló EU-n belüli légi járatra, ha valódi és közvetlen vagy előrelátható terrorfenyegetettség helyzete áll fenn, fenyegetésértékelésen alapuló olyan határozat alapján, amely időben a feltétlenül szükséges mértékre korlátozódik, és amely bíróság vagy kötelező erejű határozatot hozó független közigazgatási szerv általi hatékony felülvizsgálatnak alávethető.

(3) Valódi és közvetlen vagy előre látható terrorfenyegetettség hiányában az (EU) 2016/681 irányelvet és következésképpen e rendeletet az EU-n belüli légi járatokra alkalmazó tagállamok az e cikk (4)-(7) bekezdésében meghatározott követelmények alapján elvégzett értékelés eredménye alapján választják ki ezeket az EU-n belüli légi járatokat.

(4) A (3) bekezdésben említett értékelés:

a) elvégzése az (EU) 2016/681 irányelv 2. cikkével összhangban objektív, kellően indokolt és megkülönböztetésmentes módon kell, hogy történjen;

b) csak azokat a kritériumokat veheti figyelembe, amelyek a légi személyszállítással objektív - többek között közvetett - kapcsolatban álló terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása szempontjából relevánsak, és amelyek valamely utas vagy utascsoport kapcsán nem pusztán a Charta 21. cikkében felsorolt okokon alapulnak;

c) csak olyan információkat használhat fel, amelyek objektív, megfelelően indokolt és megkülönböztetésmentes értékelés alapjául szolgálhatnak.

(5) A (3) bekezdésben említett értékelés alapján a tagállamok csak olyan EU-n belüli légi járatokat választhatnak ki, amelyek többek között olyan konkrét útvonalakhoz, utazási mintákhoz vagy repülőterekhez kapcsolódnak, amelyek esetében terrorista bűncselekményekre és súlyos bűncselekményekre utaló jelek állnak fenn, és amelyek indokolják az API- és az egyéb PNR-adatok kezelését. Az EU-n belüli légi járatok kiválasztásának az (EU) 2016/681 irányelv és az e rendelet célkitűzéseinek eléréséhez feltétlenül szükséges mértékre kell korlátozódnia.

(6) A tagállamok megőrzik a (3) bekezdésben említett értékelés valamennyi dokumentációját, beleértve adott esetben annak felülvizsgálatát, és azt az (EU) 2016/680 irányelvvel összhangban kérésre a független felügyeleti hatóságaik és a nemzeti felügyeleti hatóságok rendelkezésére bocsátják.

(7) A tagállamok az (EU) 2016/681 irányelv 2. cikkével összhangban rendszeresen, de legalább 12 havonta felülvizsgálják a (3) bekezdésben említett értékelésüket az EU-n belüli légi járatok kiválasztását indokló körülmények változásainak figyelembevétele érdekében, valamint annak biztosítása érdekében, hogy az EU-n belüli légi járatok kiválasztása továbbra is a feltétlenül szükséges mértékre korlátozódjon.

(8) A Bizottság elősegíti a rendszeres véleménycserét a (3) bekezdésben említett értékelésre vonatkozó kiválasztási kritériumokról, beleértve a bevált gyakorlatok megosztását, valamint önkéntes alapon a kiválasztott járatokra vonatkozó információcserét.

14. cikk

Az API-adatok és egyéb PNR-adatok törlése a routerből

Az e rendelet alapján a routernek átadott API-adatok és egyéb PNR-adatok csak annyiban tárolhatók a routerben, amennyiben az érintett utasadat-információs egységeknek az e rendelettel összhangban történő továbbítás befejezéséhez szükséges, és azokat a routerből haladéktalanul, véglegesen és automatizált módon törölni kell a routerből mindkét alábbi helyzetben:

a) amennyiben a 12. cikk (3) bekezdésével összhangban megerősítést nyer, hogy az API-adatok és egyéb PNR-adatoknak az érintett utasadat-információs egységek részére történő továbbítása befejeződött;

b) amennyiben az API-adatok és egyéb PNR-adatok olyan EU-n belüli légi járatokra vonatkoznak, amelyek nem szerepelnek a 12. cikk (4) bekezdésében említett jegyzékekben.

A router automatikusan tájékoztatja az eu-LISA-t és az utasadat-információs egységeket a b) pontban említettek szerinti EU-n belüli légi járatok haladéktalan törléséről.

15. cikk

Az API-adatok és egyéb PNR-adatok utasadat-információs egységek általi kezelése

Az utasadat-információs egységek részére e rendelettel összhangban továbbított API-adatokat és egyéb PNR-adatokat az utasadat-információs egységek ezt követően az (EU) 2016/681 irányelvvel összhangban - különös tekintettel az API-adatok és egyéb PNR-adatok utasadat-információs egységek általi kezelésére vonatkozó szabályokra, többek között az említett irányelv 6., 10., 12. és 13. cikkében foglalt szabályokra -, és kizárólag a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása céljából kezelik.

Az utasadat-információs egységek vagy más illetékes hatóságok semmilyen körülmények között nem kezelhetik az API-adatokat és egyéb PNR-adatokat az (EU) 2016/680 irányelv 11. cikkének (3) bekezdésében említettek szerinti profilalkotás céljából.

16. cikk

A router használatának technikai kivitelezhetetlensége esetén foganatosítandó intézkedések

(1) Amennyiben a router meghibásodása miatt a router API-adatok vagy egyéb PNR-adatok továbbítására való használata technikailag kivitelezhetetlen, az eu-LISA automatizált módon haladéktalanul értesíti a légi fuvarozókat és az utasadat-információs egységeket az említett technikai kivitelezhetetlenségről. Ebben az esetben az eu-LISA haladéktalanul intézkedéseket hoz a router használatát gátló technikai kivitelezhetetlenség elhárítására, és haladéktalanul értesíti a légi fuvarozókat és az utasadat-információs egységeket a sikeres elhárításról.

Az említett értesítések közötti időszakban az 5. cikk (1) bekezdése nem alkalmazandó, amennyiben a technikai kivitelezhetetlenség megakadályozza az API-adatok vagy egyéb PNR-adatok routernek történő átadását. A légi fuvarozók mindaddig tárolják az API-adatokat vagy más PNR-adatokat, amíg a technikai kivitelezhetetlenség elhárítása sikeresen meg nem történt. Amint a technikai kivitelezhetetlenség elhárítása sikeresen megtörtént, a légi fuvarozók az 5. cikk (1) bekezdésével összhangban átadják az adatokat a routernek.

Amennyiben technikailag kivitelezhetetlen a router használata és az e rendelet célkitűzéseihez kapcsolódó olyan kivételes esetekben, amelyek szükségessé teszik, hogy az utasadat-információs egységek azonnal megkapják az API-adatokat vagy egyéb PNR-adatokat, miközben a router használata technikailag kivitelezhetetlen, az utasadat-információs egységek felkérhetik a légi fuvarozókat, hogy az API-adatoknak vagy egyéb PNR-adatoknak közvetlenül az utasadat-információs egységeknek történő átadásához az adatbiztonság, az adatminőség és az adatvédelem szükséges szintjét biztosító bármely más megfelelő eszközt használjanak. Az utasadat-információs egységek az (EU) 2016/681 irányelvben meghatározott szabályokkal és biztosítékokkal összhangban kezelik a más megfelelő eszköz révén megkapott API-adatokat vagy egyéb PNR-adatokat.

Miután az eu-LISA értesítést küld arról, hogy a technikai kivitelezhetetlenség elhárítása sikeresen megtörtént, és amennyiben a 12. cikk (3) bekezdésével összhangban megerősítést nyer, hogy az API-adatoknak vagy egyéb PNR-adatoknak a routeren keresztül az érintett utasadat-információs egység részére történő továbbítása befejeződött, az utasadat-információs egység haladéktalanul törli az általa bármely más megfelelő eszköz révén kapott API-adatokat vagy egyéb PNR-adatokat.

(2) Amennyiben egy tagállam 23. cikkben említett rendszereinek vagy infrastruktúrájának meghibásodása miatt a router API-adatok vagy egyéb PNR-adatok továbbítására való használata technikailag kivitelezhetetlen, az adott tagállam utasadat-információs egysége automatizált módon haladéktalanul értesíti a többi utasadat-információs egységet, az eu-LISA-t és a Bizottságot az említett technikai kivitelezhetetlenségről. Ebben az esetben az adott tagállam haladéktalanul intézkedéseket hoz a router használatát gátló technikai kivitelezhetetlenség elhárítására, és haladéktalanul értesíti a többi utasadat-információs egységet, az eu-LISA-t és a Bizottságot a sikeres elhárításról. A router mindaddig tárolja az API-adatokat vagy más PNR-adatokat, amíg a technikai kivitelezhetetlenség elhárítása sikeresen meg nem történt. Amint a technikai kivitelezhetetlenség elhárítása sikeresen megtörtént, a router a 12. cikk (1) bekezdésének megfelelően továbbítja az adatokat.

(3) Amennyiben egy légi fuvarozó 24. cikkben említett rendszereinek vagy infrastruktúrájának meghibásodása miatt a router API-adatok vagy egyéb PNR-adatok átadására való használata technikailag kivitelezhetetlen, az adott légi fuvarozó automatizált módon haladéktalanul értesíti az utasadat-információs egységeket, az eu-LISA-t és a Bizottságot a technikai kivitelezhetetlenségről. Ebben az esetben az adott légi fuvarozó haladéktalanul intézkedéseket hoz a router használatát gátló technikai kivitelezhetetlenség elhárítására, és haladéktalanul értesíti az utasadat-információs egységeket, az eu-LISA-t és a Bizottságot a sikeres elhárításról.

Amennyiben a technikai kivitelezhetetlenség elhárítása sikeresen megtörtént, az érintett légi fuvarozó haladéktalanul jelentést nyújt be a 37. cikkben említett nemzeti API-felügyeleti hatóságnak, amely tartalmazza a technikai kivitelezhetetlenséggel kapcsolatos valamennyi szükséges részletet, beleértve a technikai kivitelezhetetlenség okait, mértékét és következményeit, valamint az elhárítás érdekében hozott intézkedéseket.

4. FEJEZET

A SZEMÉLYES ADATOK VÉDELMÉRE ÉS A BIZTONSÁGRA VONATKOZÓ KÜLÖNÖS RENDELKEZÉSEK

17. cikk

Naplózás

(1) A légi fuvarozók az e rendelet szerinti, a 4. cikk (7) bekezdésében említett automatizált eszközök használatával végzett, az API-adatokhoz kapcsolódó valamennyi adatkezelési műveletet naplózzák. Ezek a naplók tartalmazzák az API-adatok átadásának napját, időpontját és helyét. Az említett naplók a légi fuvarozó érintett személyzeti tagjának azonosításához szükséges információkon kívül semmilyen személyes adatot nem tartalmazhatnak.

(2) Az eu-LISA naplót vezet az API-adatoknak és egyéb PNR-adatoknak a routeren keresztül történő, e rendelet szerinti átadásával és továbbításával kapcsolatos valamennyi adatkezelési műveletről. Az említett napló a következőket tartalmazza:

a) az API-adatokat és egyéb PNR-adatokat a routernek átadó légi fuvarozó;

b) az egyéb PNR-adatokat a routernek átadó légi fuvarozó;

c) azok az utasadat-információs egységek, amelyekhez a routeren keresztül továbbították az API-adatokat;

d) azok az utasadat-információs egységek, amelyekhez a routeren keresztül továbbították az egyéb PNR-adatokat;

e) az a)-d) pontban említett átadás vagy továbbítás napja és időpontja, valamint az átadás vagy továbbítás helye;

f) az eu-LISA személyzetének a router karbantartásához szükséges, a 26. cikk (3) bekezdésében említett bármely hozzáférése;

g) az említett adatkezelési műveletekkel kapcsolatos bármely egyéb információ, amely az API-adatok és egyéb PNR-adatok biztonságának és integritásának, valamint az említett adatkezelési műveletek jogszerűségének nyomon követéséhez szükséges.

Az említett naplók az eu-LISA érintett személyzeti tagjának azonosításához szükséges, az első albekezdés f) pontjában említett információkon kívül semmilyen személyes adatot nem tartalmazhatnak.

(3) Az e cikk (1) és (2) bekezdésében említett naplók kizárólag az API-adatok és egyéb PNR-adatok biztonságának és integritásának, valamint az adatkezelés jogszerűségének biztosítására használhatók fel, különös tekintettel az e rendeletben meghatározott követelményeknek való megfelelésre, beleértve az e követelmények megsértése esetén a 37. és 38. cikkel összhangban alkalmazandó szankciókkal kapcsolatos eljárásokat is.

(4) A légi fuvarozók és az eu-LISA megfelelő intézkedéseket hoznak annak érdekében, hogy védjék az általuk az (1), illetve a (2) bekezdés alapján létrehozott naplókat a jogosulatlan hozzáféréssel és más biztonsági kockázatokkal szemben.

(5) A 37. cikkben említett nemzeti API-felügyeleti hatóság és az utasadat-információs egységek az e cikk (3) bekezdésében említett célokból szükség esetén hozzáférhetnek az e cikk (1) bekezdésében említett, érintett naplókhoz.

(6) A légi fuvarozók és az eu-LISA az általuk az (1), illetve a (2) bekezdés alapján létrehozott naplókat az említett naplók létrehozásának időpontjától számított egy évig megőrzik. Ezen időtartam lejárta után a légi fuvarozók és az eu-LISA haladéktalanul és véglegesen törlik az említett naplókat.

Ha azonban az API-adatok biztonságának és integritásának vagy az adatkezelési műveletek jogszerűségének nyomon követésére vagy biztosítására irányuló eljárásokhoz szükség van ezekre a naplókra a (3) bekezdésben említettek szerint, és ezek az eljárások az e bekezdés első albekezdésében említett időtartam lejártakor már megkezdődtek, a légi fuvarozók és az eu-Lisa az említett eljárásokhoz szükséges ideig megőrzik ezeket a naplókat. Ebben az esetben a légi fuvarozók és az eu-Lisa haladéktalanul törlik ezeket a naplókat, amint azokra már nincs szükség az említett eljárásokhoz.

18. cikk

Adatvédelmi felelősség

(1) A légi fuvarozók az (EU) 2016/679 rendelet 4. cikkének 7. pontja értelmében vett adatkezelők a személyes adatnak minősülő API-adatok és egyéb PNR-adatok általuk történő, e rendelet szerinti gyűjtésével és azok routernek való átadásával kapcsolatos kezelése tekintetében.

(2) E cikkel összhangban minden tagállam kijelöl egy illetékes hatóságot adatkezelőnek. A tagállamoknak értesíteniük kell a Bizottságot, az eu-LISA-t és a többi tagállamot ezekről a hatóságokról.

A tagállamok által kijelölt valamennyi illetékes hatóság az (EU) 2016/680 irányelv 21. cikkével összhangban közös adatkezelő a személyes adatoknak a routerben történő kezelése céljából.

(3) Az eu-LISA az (EU) 2018/1725 irányelv 3. cikkének 12. pontja értelmében vett adatfeldolgozó a személyes adatnak minősülő API-adatok és a személyes adatnak minősülő egyéb PNR-adatok e rendelet szerinti, routeren keresztül történő kezelése tekintetében, beleértve az adatok routerből az utasadat-információs egységeknek történő továbbítását, valamint ezen adatoknak a routerben technikai okokból történő tárolását. Az eu-LISA biztosítja a router e rendeletnek megfelelő üzemeltetését.

(4) A Bizottság végrehajtási jogi aktusokat fogad el, amelyekben meghatározza a közös adatkezelők felelősségi körét, valamint a közös adatkezelők és az adatfeldolgozó egymással szembeni kötelezettségeit. Ezeket a végrehajtási jogi aktusokat a 42. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

19. cikk

Az utasok tájékoztatása

Az (EU) 2016/679 rendelet 13. cikkével összhangban a légi fuvarozók az e rendelet hatálya alá tartozó légi járatokon tájékoztatják az utasokat a személyes adataik gyűjtésének céljáról, a gyűjtött személyes adatok típusáról, a személyes adatok címzettjeiről és az érintettként őket megillető jogok gyakorlásának módjáról.

Az említett információkat írásban és könnyen hozzáférhető formátumban kell közölni az utasokkal a foglaláskor és az utasfelvételkor, függetlenül attól, hogy az utasfelvétel időpontjában a 4. cikkel összhangban milyen módon gyűjtik a személyes adatokat.

20. cikk

Biztonság

(1) Az eu-LISA garantálja az e rendelet szerint általa kezelt API-adatok és egyéb PNR-adatok, különösen a személyes adatnak minősülő adatok biztonságát és titkosítását. Az utasadat-információs egységek és a légi fuvarozók garantálják az e rendelet szerint általuk kezelt API-adatok, különösen a személyes adatnak minősülő API-adatok biztonságát. E biztonság garantálása érdekében az eu-LISA, az utasadat-információs egységek és a légi fuvarozók saját felelősségi körüknek megfelelően és az uniós joggal összhangban együttműködnek egymással.

(2) Az eu-LISA garantálja a tagállamok által a 12. cikk (4) bekezdésével összhangban kiválasztott légi járatokra és útvonalakra vonatkozó adatok biztonságát és bizalmas kezelését. Az utasadat-információs egységek és a légi fuvarozók garantálják az e rendelet szerint általuk kezelt API-adatok, különösen a személyes adatnak minősülő API-adatok biztonságát. E biztonság garantálása érdekében az eu-LISA, az utasadat-információs egységek és a légi fuvarozók saját felelősségi körüknek megfelelően és az uniós joggal összhangban együttműködnek egymással.

(3) Az eu-LISA megteszi a router és a routeren keresztül továbbított API-adatok és egyéb PNR-adatok - különösen a személyes adatnak minősülő API-adatok és a személyes adatnak minősülő egyéb PNR-adatok - biztonságának garantálásához szükséges intézkedéseket, többek között egy biztonsági terv, egy üzletmenet-folytonossági terv és egy katasztrófa utáni helyreállítási terv kidolgozása, végrehajtása és rendszeres frissítése révén, annak érdekében, hogy:

a) biztosítsa a router fizikai védelmét, többek között a kritikus elemeinek védelmét szolgáló vészhelyzeti tervek kidolgozása által;

b) megelőzze az API-adatok vagy egyéb PNR-adatok jogosulatlan kezelését, beleértve az azokhoz való jogosulatlan hozzáférést, valamint azok másolását, módosítását vagy törlését, mind az API-adatok vagy egyéb PNR-adatok routernek, illetve routerből történő átadása, mind pedig az API-adatok vagy egyéb PNR-adatok routerben történő tárolása során - amennyiben ez a továbbítás befejezéséhez szükséges -, különösen megfelelő titkosítási technikák alkalmazásával;

c) biztosítsa, hogy a routerhez való hozzáférésre jogosult személyek csak a hozzáférési engedélyük hatálya alá tartozó adatokhoz férjenek hozzá;

d) biztosítsa, hogy ellenőrizhető és megállapítható legyen, hogy a routeren keresztül mely utasadat-információs egységeknek továbbítják az API-adatokat vagy egyéb PNR-adatokat;

e) megfelelően jelentse igazgatótanácsának a router működésével kapcsolatos hibákat;

f) nyomon kövesse az e cikkben és az (EU) 2018/1725 rendeletben előírt biztonsági intézkedések hatékonyságát, és szükség esetén a technológiai vagy operatív fejlemények fényében értékelje és frissítse ezeket a biztonsági intézkedéseket.

Az e bekezdés első albekezdésében említett intézkedések nem érintik sem az (EU) 2016/679 rendelet 32. cikkét, sem az (EU) 2018/1725 rendelet 33. cikkét, sem az (EU) 2016/680 irányelv 29. cikkét.

21. cikk

Önellenőrzés

A légi fuvarozók és az utasadat-információs egységek nyomon követik az e rendelet szerinti kötelezettségeik teljesítését, különösen a személyes adatnak minősülő API-adatok általuk történő kezelése tekintetében. A légi fuvarozók esetében a nyomon követésnek magában kell foglalnia a 17. cikkben említett naplók gyakori ellenőrzését.

22. cikk

A személyes adatok védelmére vonatkozó ellenőrzések

(1) Az (EU) 2016/680 irányelv 41. cikkében említett független felügyeleti hatóságok legalább négyévente elvégzik az utasadat-információs egységek által e rendelet alkalmazásában végzett, személyes adatnak minősülő API-adatokkal kapcsolatos adatkezelési műveletek ellenőrzését. A tagállamok biztosítják, hogy független felügyeleti hatóságaik rendelkezzenek az e rendelet alapján rájuk ruházott feladatok ellátásához szükséges elegendő erőforrással és szakértelemmel.

(2) Az európai adatvédelmi biztos legalább évente egyszer a vonatkozó nemzetközi ellenőrzési standardoknak megfelelően elvégzi a személyes adatnak minősülő API-adatokat és egyéb PNR-adatokat érintő, az eu-LISA által e rendelet alkalmazásában végzett adatkezelési műveletek ellenőrzését. Az említett ellenőrzésről készült jelentést meg kell küldeni az Európai Parlament, a Tanács, a Bizottság, a tagállamok és az eu-LISA számára. Az eu-LISA számára a jelentések elfogadása előtt lehetőséget kell adni észrevételeinek megtételére.

(3) A (2) bekezdésben említett adatkezelési műveletek kapcsán az eu-LISA kérésre az európai adatvédelmi biztos rendelkezésére bocsátja az általa igényelt információkat, hozzáférést biztosít az európai adatvédelmi biztos számára minden általa igényelt dokumentumhoz és a 17. cikk (2) bekezdésében említett naplókhoz, valamint mindenkor lehetővé teszi az európai adatvédelmi biztos számára az eu-LISA összes létesítményébe való belépést.

5. FEJEZET

A ROUTERREL KAPCSOLATOS KÉRDÉSEK

23. cikk

Az utasadat-információs egységek kapcsolata a routerrel

(1) A tagállamok biztosítják, hogy utasadat-információs egységeik kapcsolatban legyenek a routerrel. A tagállamok biztosítják az e rendelet alapján átadott API-adatok és egyéb PNR-adatok fogadására és azok további kezelésére szolgáló nemzeti rendszereik és infrastruktúrájuk integrálva legyenek a routerrel.

A tagállamok biztosítják, hogy a routerrel való kapcsolat és integráció lehetővé tegye az utasadat-információs egységeik számára az említett API-adatok és egyéb PNR-adatok fogadásának és további kezelésének, valamint a kapcsolódó kommunikációnak a jogszerű, biztonságos, hatékony és gyors végrehajtását.

(2) A Bizottság végrehajtási jogi aktusokat fogad el, amelyek megállapítják a routerhez való, az e cikk (1) bekezdésében említett kapcsolódásra és integrációra - ezen belül az adatbiztonsági követelményekre - vonatkozó szükséges részletes szabályokat. Ezeket a végrehajtási jogi aktusokat a 42. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

24. cikk

A légi fuvarozók kapcsolata a routerrel

(1) A légi fuvarozók biztosítják a routerrel való kapcsolatukat. A légi fuvarozók biztosítják, hogy az API-adatok és egyéb PNR-adatok routernek történő, e rendelet szerinti átadására szolgáló rendszereik és infrastruktúrájuk integrálva legyenek a routerrel.

A légi fuvarozók biztosítják, hogy a routerrel való kapcsolat és integráció lehetővé tegye számukra az említett API-adatok és egyéb PNR-adatok átadásának, valamint a kapcsolódó kommunikációnak a jogszerű, biztonságos, hatékony és gyors végrehajtását. E célból a légi fuvarozók az eu-LISA-val együttműködve a 27. cikk (3) bekezdésével összhangban tesztelik az API-adatok és egyéb PNR-adatok routernek történő átadását.

25. cikk

Az eu-LISA-nak a router kialakításával és fejlesztésével kapcsolatos feladatai

(1) Az eu-LISA felel a router fizikai architektúrájának kialakításáért, beleértve műszaki előírásainak meghatározását is.

(2) Az eu-LISA felel a router fejlesztéséért, beleértve a router működéséhez szükséges technikai kiigazításokat is.

A router fejlesztése magában foglalja a műszaki előírások kidolgozását és végrehajtását, a tesztelést és az átfogó projektirányítást és -koordinációt a fejlesztési szakasz során.

(3) Az eu-LISA biztosítja, hogy a router kialakítása és fejlesztése olyan módon történjen, hogy a router rendelkezzen az e rendeletben meghatározott funkciókkal, és hogy a router az e rendelet 4. cikkének (12) bekezdésében, 5. cikkének (3) bekezdésében, 7. cikkének (2) bekezdésében előírt felhatalmazáson alapuló jogi aktusok, valamint az e rendelet 11. cikkének (5) bekezdésében, 12. cikkének (4) bekezdésében, 23. cikkének (2) bekezdésében, 24. cikkének (2) bekezdésében előírt végrehajtási jogi aktusok és az (EU) 2016/681 irányelv 16. cikkének (3) bekezdésében előírt végrehajtási jogi aktusok Bizottság általi elfogadását, valamint az (EU) 2016/679 rendelet 35. cikkének megfelelő adatvédelmi hatásvizsgálat elvégzését követően a lehető leghamarabb működésbe lépjen.

(4) Az eu-LISA megfelelőségi tesztkészletet biztosít az utasadat-információs egységek, más érintett tagállami hatóságok és a légi fuvarozók számára. A megfelelőségi tesztkészlet magában foglal egy vizsgálati környezetet, egy szimulátort, tesztadatkészleteket és egy vizsgálati tervet. A megfelelőségi tesztkészletnek lehetővé kell tennie a router (5) és (6) bekezdésben említett átfogó teszteléseit és annak e tesztelések befejezése után is rendelkezésre kell állnia.

(5) Az eu-LISA, amennyiben megítélése szerint az API-adatokkal kapcsolatban a fejlesztési szakasz lezárult, indokolatlan késedelem nélkül átfogóan teszteli a routert az utasadat-információs egységekkel és más érintett tagállami hatóságokkal, valamint a légi fuvarozókkal együttműködve, és tájékoztatja a Bizottságot e tesztelés eredményéről.

(6) Amennyiben az eu-LISA úgy ítéli meg, hogy az egyéb PNR-adatokkal kapcsolatban a fejlesztési szakasz lezárult, az eu-LISA indokolatlan késedelem nélkül átfogóan teszteli a routert a router légi fuvarozókkal és utasadat-információs egységekhez való kapcsolódásai megbízhatóságának, az egyéb PNR-adatok légi fuvarozók általi szükséges szabványosított továbbításának, valamint az egyéb PNR-adatoknak az (EU) 2016/681 irányelv 16. cikkével összhangban történő átadásának és továbbításának biztosítása érdekében, beleértve az említett irányelv 16. cikkének (2) és (3) bekezdésében említett - a PNR- adatok olvashatóságának biztosítását szolgáló - közös protokollok és támogatott szabványosított adatformátumok használatát is. Ezeket a teszteket az utasadat-információs egységekkel és más érintett tagállami hatóságokkal és a légi fuvarozókkal együttműködésben kell elvégezni. Az eu-LISA tájékoztatja a Bizottságot e tesztelések eredményéről.

26. cikk

Az eu-LISA-nak a router tárhelyszolgáltatásával és műszaki igazgatásával kapcsolatos feladatai

(1) Az eu-LISA technikai telephelyein tárhelyszolgáltatást biztosít a router számára.

(2) Az eu-LISA felel a router műszaki igazgatásáért - beleértve annak karbantartását és műszaki fejlesztését - oly módon, hogy biztosított legyen az API-adatok és egyéb PNR-adatok routeren keresztül történő biztonságos, hatékony és gyors továbbítása, e rendelettel összhangban.

A router műszaki igazgatása magában foglalja a router megfelelő, a hét minden napján napi 24 órában történő megszakítás nélküli, e rendelettel összhangban történő működéséhez szükséges valamennyi feladat elvégzését és valamennyi műszaki megoldás bevezetését. A router műszaki igazgatása magában foglalja a router kielégítő műszaki minőségű működésének biztosításához szükséges karbantartási munkákat és műszaki fejlesztéseket, különösen az API-adatok és egyéb PNR-adatok továbbításának rendelkezésre állása, pontossága és megbízhatósága tekintetében, összhangban a műszaki előírásokkal, és lehetőség szerint az utasadat-információs egységek és a légi fuvarozók operatív igényeinek megfelelően.

(3) Az eu-LISA személyzete nem rendelkezhet hozzáféréssel a routeren keresztül továbbított API-adatokhoz és egyéb PNR-adatokhoz. Ez a tilalom azonban nem zárja ki az eu-LISA személyzetének ilyen hozzáférését, amennyiben az a router karbantartásához és műszaki igazgatásához feltétlenül szükséges.

(4) E cikk (3) bekezdésének és az Európai Unió tisztviselőinek személyzeti szabályzatát megállapító 259/68/EGK, Euratom, ESZAK tanácsi rendelet ( 2 ) 17. cikkének sérelme nélkül, az eu-LISA megfelelő szakmai titoktartási vagy azzal egyenértékű titoktartási szabályokat alkalmaz személyzetének azon tagjaira, akik a routeren keresztül továbbított API-adatokkal és egyéb PNR-adatokkal dolgoznak. Ez a kötelezettség a személyzet ezen tagjaira hivatali vagy munkaviszonyuk megszűnését, vagy tevékenységük megszűnését követően is fennáll.

27. cikk

Az eu-LISA-nak a routerrel kapcsolatos támogatási feladatai

(1) Az eu-LISA az utasadat-információs egységek, más érintett tagállami hatóságok vagy a légi fuvarozók kérésére képzést nyújt számukra a router műszaki használatáról, valamint a routerhez való kapcsolódásukkal és integrációjukkal kapcsolatban.

(2) Az eu-LISA támogatást nyújt az utasadat-információs egységeknek az API-adatok és egyéb PNR-adatok routeren keresztül történő, e rendelet szerinti fogadásához, különösen a 12. és 23. cikk alkalmazása tekintetében.

(3) A 24. cikk (1) bekezdésével összhangban és a 25. cikk (4) bekezdésében említett megfelelési tesztkészlet alkalmazásával az eu-LISA a légi fuvarozókkal együttműködve teszteli az API-adatok és más PNR-adatok routernek történő átadását.

6. FEJEZET

IRÁNYÍTÁS

28. cikk

Programirányítási tanács

(1) 2025. január 28-ig az eu-LISA igazgatótanácsa létrehoz egy programirányítási tanácsot. A programirányítási tanács a következő 10 tagból áll:

a) az eu-LISA igazgatótanácsa által a tagjai vagy póttagjai közül kinevezett hét tag;

b) a 29. cikkben említett API-PNR tanácsadó csoport elnöke;

c) az eu-LISA személyzetének az eu-LISA ügyvezető igazgatója által kinevezett egy tagja; valamint

d) egy, a Bizottság által kijelölt tag.

Az a) pont tekintetében az eu-LISA igazgatótanácsa által kinevezendő tagokat kizárólag az e rendelet alkalmazási körébe tartozó tagállamokból származó tagjai vagy póttagjai közül lehet kiválasztani.

(2) A programirányítási tanács kidolgozza az eu-LISA igazgatótanácsa által elfogadandó eljárási szabályzatát.

Az elnöki tisztséget egy, a programirányítási tanácsban tagsággal rendelkező tagállam tölti be.

(3) A programirányítási tanács a 25. cikkel összhangban felügyeli az eu-LISA-nak a router kialakításával és fejlesztésével kapcsolatos feladatai tényleges teljesítését.

A programirányítási tanács kérésére az eu-LISA részletes és naprakész információkat nyújt a router kialakításáról és fejlesztéséről, többek között az eu-LISA által elkülönített forrásokról.

(4) A programirányítási tanács rendszeresen és negyedévente legalább három alkalommal írásbeli jelentéseket nyújt be az eu-LISA igazgatótanácsának a router kialakítása és fejlesztése terén elért eredményekről.

(5) A programirányítási tanács nem rendelkezik döntéshozatali hatáskörrel, és az eu-LISA igazgatótanácsát vagy annak tagjait nem képviselheti.

(6) A programirányítási tanács legkésőbb e rendelet alkalmazásának a 45. cikk második bekezdésében említett kezdőnapján megszűnik.

29. cikk

Az API-PNR tanácsadó csoport

(1) 2025. január 28-tól kezdődően az (EU) 2018/1726 rendelet 27. cikke (1) bekezdésének de) pontja alapján létrehozott API-PNR tanácsadó csoport támogatja az eu-LISA igazgatótanácsát az API-PNR-rel kapcsolatos szükséges szakértelmével, különösen az eu-LISA éves munkaprogramjának és éves tevékenységi jelentésének elkészítésével összefüggésben.

(2) Amennyiben rendelkezésre áll, az eu-LISA az API-PNR tanácsadó csoport rendelkezésére bocsátja a 25. cikk (1), (2) és (4) bekezdésében említett műszaki előírások és megfelelőségi tesztkészletek különböző, akár köztes verzióit.

(3) Az API-PNR tanácsadó csoport a következő feladatokat látja el:

a) a 25. cikkel összhangban szakértelemmel támogatja az eu-LISA-t és a programirányítási tanácsot a router kialakításával és fejlesztésével kapcsolatban;

b) a 26. cikkel összhangban szakértelemmel támogatja az eu-LISA-t a router tárhelyszolgáltatásával és műszaki igazgatásával kapcsolatban;

c) kérésre véleményt nyilvánít a programirányítási tanács számára a router kialakításának és fejlesztésének előrehaladásáról, többek között a (2) bekezdésben említett műszaki előírások és megfelelőségi tesztkészletek előrehaladásáról.

(4) Az API-PNR tanácsadó csoport nem rendelkezik döntéshozatali hatáskörrel, és az eu-LISA igazgatótanácsát vagy annak tagjait nem képviselheti.

30. cikk

Az API-PNR kapcsolattartó csoport

(1) E rendelet alkalmazásának a 45. cikk második bekezdésében említett vonatkozó kezdőnapjáig az eu-LISA igazgatótanácsa létrehoz egy API-PNR kapcsolattartó csoportot.

(2) Az API-PNR kapcsolattartó csoport lehetővé teszi a tagállamok illetékes hatóságai és a légi fuvarozók közötti kommunikációt az e rendelet szerinti feladataikkal és kötelezettségeikkel kapcsolatos technikai kérdésekben.

(3) Az API-PNR kapcsolattartó csoport a tagállamok érintett hatóságainak képviselőiből és a légi fuvarozók képviselőiből, az API-PNR tanácsadó csoport elnökéből és az eu-LISA szakértőiből áll.

(4) Az eu-LISA igazgatótanácsa az API-PNR tanácsadó csoport véleményét követően megállapítja az API-PNR kapcsolattartó csoport eljárási szabályzatát.

(5) Szükség esetén az eu-LISA igazgatótanácsa az API-PNR kapcsolattartó csoport alcsoportjait is létrehozhatja az érintett tagállami hatóságok és a légi fuvarozók e rendelet szerinti feladataival és kötelezettségeivel kapcsolatos konkrét technikai kérdések megvitatása céljából.

(6) Az API-PNR kapcsolattartó csoport - beleértve annak alcsoportjait - nem rendelkezik döntéshozatali hatáskörrel, és az eu-LISA igazgatótanácsát vagy annak tagjait nem képviselheti.

31. cikk

API-adatokkal foglalkozó szakértői csoport

(1) E rendelet alkalmazásának a 45. cikk második bekezdésének a) pontjában említett kezdőnapjáig a Bizottság a bizottsági szakértői csoportok létrehozására és működésére vonatkozó horizontális szabályokkal összhangban létrehoz egy API-adatokkal foglalkozó szakértői csoportot.

(2) Az API-adatokkal foglalkozó szakértői csoport lehetővé teszi a tagállamok releváns hatóságai, valamint a tagállamok releváns hatóságai és a légi fuvarozók közötti kommunikációt az e rendelet szerinti feladataikkal és kötelezettségeikkel kapcsolatos szakpolitikai kérdésekben, többek között a 38. cikkben említett szankciókkal kapcsolatban.

(3) Az API-adatokkal foglalkozó szakértői csoport elnöki tisztét a Bizottság látja el, és azt a bizottsági szakértői csoportok létrehozására és működésére vonatkozó horizontális szabályokkal összhangban kell megalakítani. Az API-adatokkal foglalkozó szakértői csoport a tagállamok releváns hatóságainak képviselőiből, a légi fuvarozók képviselőiből és az eu-LISA szakértőiből áll. Amennyiben feladatai ellátásához szükséges, az API-adatokkal foglalkozó szakértői csoport felkérhet érintett érdekelt feleket - különösen az Európai Parlament, az európai adatvédelmi biztos és a független nemzeti felügyeleti hatóságok képviselőit -, hogy vegyenek részt a csoport munkájában.

(4) Az API-adatokkal foglalkozó szakértői csoport az átláthatóság elvével összhangban látja el feladatait. A Bizottság a honlapján közzéteszi az API-adatokkal foglalkozó szakértői csoport üléseinek jegyzőkönyvét és az egyéb releváns dokumentumokat.

32. cikk

Az eu-LISA, az európai adatvédelmi biztos, a nemzeti felügyeleti hatóságok és a tagállamok költségei

(1) A router e rendelet szerinti létrehozásával és működtetésével kapcsolatban az eu-LISA-nál felmerülő költségek az Unió általános költségvetését terhelik.

(2) Az e rendelet végrehajtásával - különösen a routerhez való, a 23. cikkben említett kapcsolódásukkal és a routerrel való integrációval - kapcsolatban a tagállamoknál felmerülő költségeket az Unió általános költségvetéséből kell támogatni, az alkalmazandó uniós jogi aktusokban meghatározott támogathatósági szabályoknak és társfinanszírozási arányoknak megfelelően.

(3) Az e rendelet értelmében rábízott feladatokkal kapcsolatban az európai adatvédelmi biztosnál felmerülő költségek az Unió általános költségvetését terhelik.

(4) Az e rendelet értelmében rájuk bízott feladatokkal kapcsolatban a független nemzeti felügyeleti hatóságoknál felmerülő költségeket a tagállamok viselik.

33. cikk

A routerrel kapcsolatos felelősség

Ha egy tagállam vagy egy légi fuvarozó e rendelet szerinti kötelezettségei teljesítésének elmulasztása a router károsodásához vezet, az adott tagállam vagy légi fuvarozó felel az okozott kárért, az alkalmazandó uniós vagy nemzeti jogban meghatározottak szerint, kivéve, ha és amilyen mértékben bebizonyosodik, hogy az eu-LISA, egy másik tagállam vagy egy másik légi fuvarozó elmulasztotta meghozni a kár megelőzéséhez vagy hatásának minimalizálásához szükséges észszerű intézkedéseket.

34. cikk

A router API-adatokkal kapcsolatos működésbe lépése

Amint az eu-LISA tájékoztatta a Bizottságot a router 25. cikk (5) bekezdésében említett átfogó tesztelésének sikeres befejezéséről, a Bizottság indokolatlan késedelem nélkül, végrehajtási jogi aktus révén meghatározza azt az időpontot, amikor a router az API-adatokkal kapcsolatban működésbe lép. Az említett végrehajtási jogi aktust a 42. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

A Bizottság az első bekezdésben említett időpontot úgy határozza meg, hogy az az említett végrehajtási jogi aktus elfogadásának napjától számított 30 napon belülre essen.

35. cikk

A router egyéb PNR-adatokkal kapcsolatos működésbe lépése

Amint az eu-LISA tájékoztatta a Bizottságot a routernek a 25. cikk (6) bekezdésében említett átfogó - többek között a router légi fuvarozókhoz és utasadat-információs egységekhez való kapcsolódásának megbízhatóságával, valamint a légi fuvarozók által átadott és a router által a szükséges szabványosított formátumban továbbított egyéb PNR-adatoknak az (EU) 2016/681 irányelv 16. cikkének megfelelő olvashatóságával kapcsolatos - tesztelésének sikeres befejezéséről, a Bizottság indokolatlan késedelem nélkül, végrehajtási jogi aktus révén meghatározza azt az időpontot, amikor a router az egyéb PNR-adatokkal kapcsolatban működésbe lép. Az említett végrehajtási jogi aktust a 42. cikk (2) bekezdésében említett vizsgálóbizottsági eljárás keretében kell elfogadni.

A Bizottság az első bekezdésben említett időpontot úgy határozza meg, hogy az az említett végrehajtási jogi aktus elfogadásának napjától számított 30 napon belülre essen.

36. cikk

A router önkéntes használata

(1) A légi fuvarozók jogosultak használni a routert abból a célból, hogy a 2004/82/EK irányelv 3. cikkének (1) és (2) bekezdésében említett információkat vagy az (EU) 2016/681 irányelv 8. cikke értelmében gyűjtött egyéb PNR-adatokat egy vagy több felelős utasadat-információs egységnek az említett irányelvekkel összhangban továbbítsák, feltéve, hogy az érintett tagállam hozzájárult a router ilyen használatához egy általa meghatározott megfelelő időponttól kezdődően. Az említett tagállam csak akkor adja hozzájárulását, miután megbizonyosodott arról, hogy - különösen saját utasadat-információs egységének a routerhez való kapcsolódása és az érintett légi fuvarozó routerhez való kapcsolódása tekintetében - az információk jogszerűen, biztonságosan, hatékonyan és gyorsan továbbíthatók.

(2) Amennyiben egy légi fuvarozó e cikk (1) bekezdésével összhangban megkezdi a router használatát, az ilyen információkat továbbra is a routeren keresztül kell továbbítania az érintett tagállam utasadat-információs egységének, e rendelet alkalmazásának a 45. cikk második bekezdésében említett vonatkozó kezdőnapjáig. Ezt a használatot azonban az említett tagállam által meghatározott megfelelő időponttól kezdődően meg kell szakítani, amennyiben az említett tagállam megítélése szerint a megszakítást objektív okok indokolják, és erről tájékoztatta a légi fuvarozót.

(3) Az érintett tagállam:

a) a router (1) bekezdésnek megfelelő önkéntes használatához való hozzájárulást megelőzően konzultál az eu-LISA-val;

b) a kellően indokolt sürgős helyzetek kivételével lehetőséget biztosít az érintett légi fuvarozó számára, hogy az észrevételeket tegyen az ilyen használat (2) bekezdéssel összhangban történő megszakítására irányuló szándékával kapcsolatban, és adott esetben erről az eu-LISA-val is konzultál;

c) haladéktalanul tájékoztatja az eu-LISA-t és a Bizottságot minden olyan használatról, amelyhez hozzájárulását adta, valamint az ilyen használat megszakításáról, megadva minden szükséges információt, beleértve - esettől függően - a használat kezdetének időpontját, a megszakítás időpontját és a megszakítás okait.

7. FEJEZET

FELÜGYELET, SZANKCIÓK, STATISZTIKÁK ÉS KÉZIKÖNYV

37. cikk

Nemzeti API-felügyeleti hatóság

(1) A tagállamok kijelölnek egy vagy több nemzeti API-felügyeleti hatóságot, amelyek felelősek e rendelet rendelkezéseinek légi fuvarozók általi, területükön történő alkalmazásának nyomon követéséért és az említett rendelkezéseknek való megfelelés biztosításáért.

(2) A tagállamok biztosítják, hogy a nemzeti API-felügyeleti hatóságok rendelkezzenek az e rendelet szerinti feladataik ellátásához - köztük adott esetben a 38. cikkben említett szankciók kiszabásához - szükséges valamennyi eszközzel, illetve valamennyi vizsgálati és végrehajtási hatáskörrel. A tagállamok biztosítják, hogy a nemzeti API-felügyeleti hatóságra ruházott hatáskörök gyakorlása az uniós jog által garantált alapvető jogokkal összhangban álló megfelelő biztosítékok hatálya alá tartozzon.

(3) A tagállamok e rendelet alkalmazásának a 45. cikk második bekezdésében említett vonatkozó kezdőnapjáig értesítik a Bizottságot az e cikk (1) bekezdése szerint általuk kijelölt hatóságok nevéről és elérhetőségéről. Az azokban bekövetkező minden későbbi változásról vagy módosításról haladéktalanul értesítik a Bizottságot.

(4) Ez a cikk nem érinti az (EU) 2016/679 rendelet 51. cikkében, az (EU) 2016/680 irányelv 41. cikkében és az (EU) 2016/681 irányelv 15. cikkében említett felügyeleti hatóságok hatásköreit.

38. cikk

Szankciók

(1) A tagállamok megállapítják az e rendelet megsértése esetén alkalmazandó szankciókra vonatkozó szabályokat, és meghoznak minden szükséges intézkedést ezek végrehajtására. Az előírt szankcióknak hatékonyaknak, arányosaknak és visszatartó erejűeknek kell lenniük.

(2) A tagállamok e rendelet alkalmazásának a 45. cikk második bekezdésében említett vonatkozó kezdőnapjáig tájékoztatják a Bizottságot e szabályokról és intézkedésekről, és haladéktalanul tájékoztatják a Bizottságot az e szabályokat és intézkedéseket érintő minden későbbi módosításról.

(3) A tagállamok biztosítják, hogy a nemzeti API-felügyeleti hatóságok a szankciók kiszabására vonatkozó döntés meghozatalakor, valamint a szankciók típusának és mértékének meghatározásakor minden releváns körülményt figyelembe vegyenek, amelyekbe a következők is beletartozhatnak:

a) a jogsértés jellege, súlyossága és időtartama;

b) a légi fuvarozó vétkességének mértéke;

c) a légi fuvarozó által korábban elkövetett jogsértések;

d) a légi fuvarozó illetékes hatóságokkal való együttműködésének általános szintje;

e) a légi fuvarozó mérete, például a szállított utasok éves száma;

f) az, hogy más nemzeti API-felügyeleti hatóságok ugyanazon jogsértés miatt alkalmaztak-e már szankciókat ugyanarra a légi fuvarozóra.

(4) A tagállamok biztosítják, hogy az API-adatok 5. cikk (1) bekezdésének megfelelő átadásának ismétlődő elmulasztása következtében a légi fuvarozó az előző pénzügyi évben elért globális árbevételének legfeljebb 2 %-áig terjedő, arányos pénzügyi szankcióval legyen sújtható. A tagállamok biztosítják, hogy az e rendeletben meghatározott egyéb kötelezettségek teljesítésének elmulasztására arányos - többek között pénzügyi - szankciók vonatkozzanak.

39. cikk

Statisztikák

(1) E rendelet végrehajtásának és alkalmazása nyomon követésének támogatása érdekében, valamint az (5) és (6) bekezdésben említett statisztikai információk alapján az eu-LISA negyedévente statisztikákat tesz közzé a router működéséről és a légi fuvarozók e rendeletben megállapított kötelezettségeknek való megfeleléséről. Ezek a statisztikák nem tehetik lehetővé egyének személyazonosságának megállapítását.

(2) Az (1) bekezdésben meghatározott célokból a router automatikusan továbbítja az (5) és (6) bekezdésben felsorolt adatokat a CRRS-nek.

(3) E rendelet végrehajtásának és alkalmazása nyomon követésének támogatása érdekében az eu-LISA minden évben összesíti a statisztikai adatokat az előző évre vonatkozó éves jelentésben. Ezt az éves jelentést közzéteszi, és továbbítja az Európai Parlamentnek, a Tanácsnak, a Bizottságnak, az európai adatvédelmi biztosnak, az Európai Határ- és Partvédelmi Ügynökségnek és a 37. cikkben említett nemzeti API-felügyeleti hatóságoknak. Az éves jelentés nem fedhet fel bizalmas munkamódszereket, és nem veszélyeztetheti a tagállamok illetékes hatóságainak folyamatban lévő vizsgálatait.

(4) A Bizottság kérésére az eu-LISA a Bizottság rendelkezésére bocsátja az e rendelet végrehajtásával kapcsolatos konkrét szempontokra vonatkozó statisztikákat, valamint a (3) bekezdés szerinti statisztikákat.

(5) A CRRS az eu-LISA rendelkezésére bocsátja a 44. cikkben említett jelentéstételhez és a statisztikák e cikkel összhangban történő előállításához szükséges következő statisztikai információkat, anélkül, hogy az API-adatokra vonatkozó ilyen statisztikák lehetővé tennék az érintett utasok személyazonosságának megállapítását:

a) az adatok utasra vagy a személyzet tagjára vonatkoznak-e;

b) az utas vagy a személyzet tagjának állampolgársága, neme és születési éve;

c) az első beszállás időpontja és helye, az indulás időpontja és az indulási repülőtér, valamint az érkezés időpontja és az érkezési repülőtér;

d) az úti okmány típusa, a kiállító ország három betűből álló kódja, és az úti okmány érvényességének lejárati napja;

e) az ugyanazon légi járatra felvett utasok száma;

f) a légi járatot üzemeltető légi fuvarozó kódja;

g) az, hogy a légi járat menetrend szerinti vagy nem menetrend szerinti járat-e;

h) az, hogy az API-adatokat közvetlenül a beszállás lezárását követően átadták-e;

i) az, hogy az utasok személyes adatai pontosak, teljesek és naprakészek-e;

j) az API-adatok rögzítésére használt technikai eszközök.

(6) A CRRS az eu-LISA rendelkezésére bocsátja a 44. cikkben említett jelentéstételhez és a statisztikák e cikkel összhangban történő előállításához szükséges következő statisztikai információkat, anélkül, hogy az egyéb PNR-adatokra vonatkozó ilyen statisztikák lehetővé tennék az érintett utasok személyazonosságának megállapítását:

a) a PNR-üzenet routerhez történő beérkezésének dátuma és időpontja;

b) az adott PNR-üzenetben szereplő útiterv repülési adatai;

c) az adott PNR-üzenetben szereplő kódmegosztási információk.

(7) A 44. cikkben említett jelentéstétel és a statisztikák e cikkel összhangban történő előállítása céljából az eu-LISA az e cikk (5) és (6) bekezdésében említett adatokat a CRRS-ben tárolja. Ezeket az adatokat a (2) bekezdéssel összhangban öt évig tárolja biztosítva, hogy az adatok ne tegyék lehetővé az érintett utasok személyazonosságának megállapítását. A CRRS az utasadat-információs egységek és más érintett tagállami hatóságok megfelelően felhatalmazott személyzete rendelkezésére bocsátja az e cikk (5) bekezdésében említett, az API-adatokra, és az e cikk (6) bekezdésében említett, az egyéb PNR-adatokra vonatkozó, testre szabható jelentéseket és statisztikákat e rendelet végrehajtása és alkalmazásának nyomon követése céljából.

(8) Az e cikk (5) és (6) bekezdésében említett adatok felhasználása nem eredményezhet az egyénekről történő, az (EU) 2016/680 irányelv 11. cikkének (3) bekezdése szerinti profilalkotást, sem a személyeknek a Charta 21. cikkében felsorolt alapokon történő megkülönböztetését. Az e cikk (5) és (6) bekezdésében említett adatok nem használhatók fel személyes adatokkal való összehasonlításra vagy összevetésre, vagy azok személyes adatokkal való kombinálására.

(9) Az eu-LISA által az (EU) 2019/818 rendelet 39. cikkének (2) bekezdésében említett router fejlesztésének és működésének nyomon követése érdekében bevezetett eljárások magukban foglalják azt a lehetőséget, hogy e nyomon követés biztosítása érdekében rendszeres időközönként statisztikákat készítsenek.

40. cikk

Gyakorlati kézikönyv

A Bizottság az utasadat-információs egységekkel, a tagállamok más érintett hatóságaival, a légi fuvarozókkal és az érintett uniós szervekkel és ügynökségekkel szorosan együttműködve összeállít és nyilvánosan elérhetővé tesz egy gyakorlati kézikönyvet, amely e rendelet végrehajtására vonatkozó iránymutatásokat, ajánlásokat és bevált gyakorlatokat tartalmaz, többek között az alapvető jogok tiszteletben tartása, valamint a 38. cikknek megfelelő szankciók tekintetében.

A gyakorlati kézikönyv figyelembe veszi az egyéb releváns kézikönyvek tartalmát.

A Bizottság a gyakorlati kézikönyvet ajánlás formájában fogadja el.

8. FEJEZET

MÁS MEGLÉVŐ JOGI AKTUSOKKAL VALÓ KAPCSOLAT

41. cikk

Az (EU) 2019/818 rendelet módosítása

Az (EU) 2019/818 rendelet 39. cikke (1) és (2) bekezdésének helyébe a következő szöveg lép:

"(1) A SIS-t, az Eurodac-ot és az ECRIS-TCN-t szabályozó jogi eszközökkel összhangban e rendszerek célkitűzéseinek támogatása, valamint a rendszerek közötti statisztikai adatok és elemzési jelentések szakpolitikai, működési és adatminőségi célokból történő biztosítása érdekében létrejön a jelentések és statisztikák központi adattára (CRRS). A CRRS az (EU) 2025/13 európai parlamenti és tanácsi rendelet ( *1 ) célkitűzéseit is támogatja.

(2) Az CRRS-t, amely az (EU) 2018/1862 rendelet 74. cikkében, valamint az (EU) 2019/816 rendelet 32. cikkében említett adatokat és statisztikákat uniós információs rendszer szerint logikailag különválasztva tartalmazza, az eu-LISA hozza létre és valósítja meg, és biztosít technikai telephelyein tárhelyszolgáltatást a CRRS számára. Az eu-LISA emellett adatokat és statisztikákat gyűjt az (EU) 2025/13 rendelet 39. cikkének (1) bekezdésében említett routerből. A CRRS-hez ellenőrzött és biztonságos módon, egyedi felhasználói profilokkal, kizárólag jelentések és statisztikák készítése céljából biztosítható hozzáférés az (EU) 2018/1862 rendelet 74. cikkében, az (EU) 2019/816 rendelet 32. cikkében és az (EU) 2025/13 rendelet 13. cikkének (1) bekezdésében említett hatóságok számára.

9. FEJEZET

ZÁRÓ RENDELKEZÉSEK

42. cikk

A bizottsági eljárás

(1) A Bizottságot egy bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.

(2) Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni. Ha a bizottság nem nyilvánít véleményt, a Bizottság nem fogadhatja el a végrehajtási jogi aktus tervezetét, és a 182/2011/EU rendelet 5. cikke (4) bekezdésének harmadik albekezdése alkalmazandó.

43. cikk

A felhatalmazás gyakorlása

(1) A felhatalmazáson alapuló jogi aktusok elfogadására vonatkozóan a Bizottság részére adott felhatalmazás feltételeit ez a cikk határozza meg.

(2) A Bizottságnak az 4. cikk (11) és (12) bekezdésében, az 5. cikk (4) bekezdésében és a 7. cikk (5) bekezdésében említett, felhatalmazáson alapuló jogi aktusok elfogadására vonatkozó felhatalmazása ötéves időtartamra szól 2025. január 28-tól kezdődő hatállyal. A Bizottság legkésőbb kilenc hónappal az ötéves időtartam letelte előtt jelentést készít a felhatalmazásról. A felhatalmazás hallgatólagosan meghosszabbodik a korábbival megegyező időtartamra, amennyiben az Európai Parlament vagy a Tanács nem ellenzi a meghosszabbítást legkésőbb három hónappal minden egyes időtartam letelte előtt.

Ha az Európai Parlament vagy a Tanács e cikk (6) bekezdése szerint kifogást emel a 4. cikk (11) bekezdése alapján elfogadott felhatalmazáson alapuló jogi aktus vonatkozásában, az Európai Parlament vagy a Tanács nem ellenezheti az e bekezdés első albekezdésében említett hallgatólagos meghosszabbodást.

(3) Az Európai Parlament vagy a Tanács bármikor visszavonhatja a 4. cikk (12) bekezdésében, az 5. cikk (4) bekezdésében és a 7. cikk (5) bekezdésében említett felhatalmazást. A visszavonásról szóló határozat megszünteti az abban meghatározott felhatalmazást. A határozat az Európai Unió Hivatalos Lapjában való kihirdetését követő napon, vagy a benne megjelölt későbbi időpontban lép hatályba. A határozat nem érinti a már hatályban lévő, felhatalmazáson alapuló jogi aktusok érvényességét.

(4) A felhatalmazáson alapuló jogi aktus elfogadása előtt a Bizottság a jogalkotás minőségének javításáról szóló, 2016. április 13-i intézményközi megállapodásban megállapított elvekkel összhangban konzultál az egyes tagállamok által kijelölt szakértőkkel.

(5) A Bizottság a felhatalmazáson alapuló jogi aktus elfogadását követően haladéktalanul és egyidejűleg értesíti arról az Európai Parlamentet és a Tanácsot.

(6) A 4. cikk (11) vagy (12) bekezdése, az 5. cikk (4) bekezdése vagy a 7. cikk (5) bekezdése értelmében elfogadott, felhatalmazáson alapuló jogi aktus csak akkor lép hatályba, ha az Európai Parlamentnek és a Tanácsnak a jogi aktusról való értesítését követő két hónapon belül sem az Európai Parlament, sem a Tanács nem emelt ellene kifogást, illetve ha az említett időtartam lejártát megelőzően mind az Európai Parlament, mind a Tanács arról tájékoztatta a Bizottságot, hogy nem fog kifogást emelni. Az Európai Parlament vagy a Tanács kezdeményezésére ez az időtartam két hónappal meghosszabbodik.

44. cikk

Nyomon követés és értékelés

(1) Az eu-LISA biztosítja azon eljárások meglétét, amelyek a router fejlesztésének a tervezéssel és a költségekkel kapcsolatos célok tekintetében történő nyomon követését, illetve működésének a műszaki eredmények, a költséghatékonyság, a biztonság és a szolgáltatás minősége tekintetében történő nyomon követését szolgálják.

(2) Az eu-LISA 2026. január 29-ig, majd azt követően a router fejlesztési szakasza folyamán évente jelentést készít a router fejlesztésének aktuális állásáról, és azt benyújtja az Európai Parlamentnek és a Tanácsnak. A jelentés részletes információkat tartalmaz a felmerült költségekről, valamint azokról az esetleges kockázatokról, amelyek hatással lehetnek a 32. cikkel összhangban az Unió általános költségvetését terhelő összköltségre.

(3) Amint a router működésbe lépett, az eu-LISA jelentést készít és nyújt be az Európai Parlamentnek és a Tanácsnak, amelyben részletesen bemutatja, hogy a célok - különösen a tervezéssel és a költségekkel kapcsolatos célok - hogyan valósultak meg, és megindokolja az esetleges eltéréseket.

(4) A Bizottság 2029. január 29-ig, majd azt követően négyévente jelentést készít, amely átfogó értékelést tartalmaz e rendeletről, többek között az API-adatok gyűjtésének szükségességéről és hozzáadott értékéről, beleértve a következők értékelését:

a) e rendelet alkalmazása;

b) az e rendeletben kitűzött célok megvalósulásának mértéke;

c) e rendelet hatása az uniós jog szerint védelmet élvező alapvető jogokra;

d) e rendeletnek a jogszerűen utazó utasok utazási élményére gyakorolt hatása;

e) e rendelet hatása a légi közlekedési ágazat versenyképességére és a vállalkozásokra nehezedő terhek;

f) a router által az utasadat-információs egységeknek továbbított adatok minősége;

g) a router teljesítménye az utasadat-információs egységek tekintetében.

Az első albekezdés e) pontjának alkalmazásában a Bizottság jelentése kitér e rendeletnek az egyéb vonatkozó uniós jogalkotási aktusokkal, különösen a 767/2008/EK, az (EU) 2017/2226 és az (EU) 2018/1240 rendelettel való kölcsönhatására is annak érdekében, hogy felmérje a kapcsolódó jelentéstételi kötelezettségek légi fuvarozókra gyakorolt általános hatását, azonosítsa azokat a rendelkezéseket, amelyek a légi fuvarozókra nehezedő terhek csökkentése érdekében adott esetben aktualizálhatók és egyszerűsíthetők, valamint mérlegelje a légi fuvarozókra nehezedő teljes költségnyomás csökkentése érdekében hozható fellépéseket és intézkedéseket.

(5) A (4) bekezdésben említett értékelés keretében fel kell mérni e rendelet hatályának az EU-n belüli légi járatokra vonatkozó API-adatok kötelező gyűjtésére és átadására történő kiterjesztésének szükségességét, arányosságát és hatékonyságát is.

(6) A Bizottság az értékelő jelentést benyújtja az Európai Parlamentnek, a Tanácsnak, az európai adatvédelmi biztosnak és az Európai Unió Alapjogi Ügynökségének. A Bizottság az elvégzett értékelés fényében adott esetben e rendelet módosítására irányuló jogalkotási javaslatot terjeszt az Európai Parlament és a Tanács elé.

(7) A tagállamok és a légi fuvarozók kérésre az eu-LISA és a Bizottság rendelkezésére bocsátják a (2), (3) és (4) bekezdésben említett jelentések elkészítéséhez szükséges információkat. A tagállamok különösen operatív szempontból mennyiségi és minőségi információkat szolgáltatnak az API-adatok gyűjtéséről. A szolgáltatott információk nem tartalmazhatnak személyes adatokat. A tagállamok eltekinthetnek az ilyen információk szolgáltatásától, ha és amennyiben ez utasadat-információs egységeik vagy más illetékes hatóságaik bizalmas munkamódszerei felfedésének, valamint folyamatban lévő vizsgálatai veszélyeztetésének elkerüléséhez szükséges. A Bizottság biztosítja a rendelkezésre bocsátott bizalmas információk megfelelő védelmét.

45. cikk

Hatálybalépés és alkalmazás

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ez a rendelet:

a) az API-adatok vonatkozásában két évvel azt az időpontot követően válik alkalmazandóvá, hogy a router a Bizottság által a 34. cikkel összhangban meghatározottak szerinti időpontban működésbe lép; és

b) az egyéb PNR-adatok vonatkozásában négy évvel azt az időpontot követően válik alkalmazandóvá, hogy a router a Bizottság által a 35. cikkel összhangban meghatározottak szerinti időpontban működésbe lép.

Azonban:

a) a 4. cikk (12) bekezdése, az 5. cikk (4) bekezdése, a 7. cikk (5) bekezdése, a 11. cikk (5) bekezdése, a 12. cikk (6) bekezdése, a 18. cikk (4) bekezdése, a 23. cikk (2) bekezdése, a 24. cikk (2) bekezdése, a 25. cikk, a 28. cikk, a 29. cikk, a 32. cikk (1) bekezdése, a 34. cikk, a 35. cikk, a 42. cikk és a 43. cikk 2025. január 28-tól alkalmazandó;

b) a 6. cikk, a 17. cikk (1), (2) és (3) bekezdése, a 18. cikk (1), (2) és (3) bekezdése, a 19. cikk, a 20. cikk, a 26. cikk, a 27. cikk, a 33. cikk és a 36. cikk attól az időponttól alkalmazandó, amikor a router a Bizottság által a 34. és a 35. cikkel összhangban meghatározottak szerinti időpontban működésbe lép.

Ez a rendelet a Szerződéseknek megfelelően teljes egészében kötelező és közvetlenül alkalmazandó a tagállamokban.

( ) Az Európai Parlament és a Tanács (EU) 2017/541 irányelve (2017. március 15.) a terrorizmus elleni küzdelemről, a 2002/475/IB tanácsi kerethatározat felváltásáról, valamint a 2005/671/IB tanácsi határozat módosításáról (HL L 88., 2017.3.31., 6. o.).

( ) HL L 56., 1968.3.4., 1. o.

( *1 ) Az Európai Parlament és a Tanács (EU) 2025/13 rendelete (2024. december 19.) az előzetes utasinformációknak a terrorista bűncselekmények és súlyos bűncselekmények megelőzése, felderítése, nyomozása és a vádeljárás lefolytatása céljából történő gyűjtéséről és átadásáról, valamint az (EU) 2019/818 rendelet módosításáról (HL L, 2025/13, 2025.1.8., ELI: http://data.europa.eu/eli/reg/2025/13/oj)."

Lábjegyzetek:

[1] A dokumentum eredetije megtekinthető CELEX: 32025R0013 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32025R0013&locale=hu Utolsó elérhető, magyar nyelvű konszolidált változat CELEX: 02025R0013-20250108 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:02025R0013-20250108&locale=hu

Tippek

Tartalomjegyzék nézet

Bíró, ügytárgy keresése

Közhiteles cégkivonat

PREC, BH stb. ikonok elrejtése

Keresés "elvi tartalomban"

Mínuszjel keresésben

Link jogszabályhelyre

BH-kban bírónévre, ügytárgyra

Egy bíró ítéletei

Jogszabály paragrafusára ugrás

Önnek 2 Jogkódexe van!

Veszélyhelyzeti jogalkotás

Változásfigyelési funkció

Módosult §-ok megtekintése

Iratminták a Pp. szövegéből

Döntvényláncolatok

AI Szinonimák

Elgépelés kijavítása AI-jal