ISSN 1977-0626

Úřední věstník

Evropské unie

L 135

European flag  

České vydání

Právní předpisy

Ročník 62
22. května 2019


Obsah

 

I   Legislativní akty

Strana

 

 

NAŘÍZENÍ

 

*

Nařízení Evropského parlamentu a Rady (EU) 2019/816 ze dne 17. dubna 2019, kterým se zřizuje centralizovaný systém pro identifikaci členských států, jež mají informace o odsouzeních státních příslušníků třetích zemí a osob bez státní příslušnosti (ECRIS-TCN), na doplnění Evropského informačního systému rejstříků trestů, a kterým se mění nařízení (EU) 2018/1726

1

 

*

Nařízení Evropského parlamentu a Rady (EU) 2019/817 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti hranic a víz a mění nařízení Evropského parlamentu a Rady (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV

27

 

*

Nařízení Evropského parlamentu a Rady (EU) 2019/818 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti policejní a justiční spolupráce, azylu a migrace a kterým se mění nařízení (EU) 2018/1726, (EU) 2018/1862 a (EU) 2019/816

85

CS

Akty, jejichž název není vyti_těn tučně, se vztahují ke každodennímu řízení záležitostí v zemědělství a obecně platí po omezenou dobu.

Názvy všech ostatních aktů jsou vytištěny tučně a předchází jim hvězdička.


I Legislativní akty

NAŘÍZENÍ

22.5.2019   

CS

Úřední věstník Evropské unie

L 135/1


NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2019/816

ze dne 17. dubna 2019,

kterým se zřizuje centralizovaný systém pro identifikaci členských států, jež mají informace o odsouzeních státních příslušníků třetích zemí a osob bez státní příslušnosti (ECRIS-TCN), na doplnění Evropského informačního systému rejstříků trestů, a kterým se mění nařízení (EU) 2018/1726

EVROPSKÝ PARLAENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 82 odst. 1 druhý pododstavec písm. d) této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

v souladu s řádným legislativním postupem (1),

vzhledem k těmto důvodům:

(1)

Unie si stanovila za cíl poskytnout svým občanům prostor svobody, bezpečnosti a práva bez vnitřních hranic, ve kterém je zajištěn volný pohyb osob. Tohoto cíle by mělo být dosaženo mimo jiné vhodnými opatřeními pro předcházení trestné činnosti, včetně organizované trestné činnosti a terorismu, a pro její potírání.

(2)

Tento cíl vyžaduje, aby informace týkající se odsouzení vydaných v členských státech byly zohledňovány i mimo odsuzující členský stát jak při novém trestním řízení, jak stanoví rámcové rozhodnutí Rady 2008/675/SVV (2), tak za účelem předcházení dalším trestným činům.

(3)

Předpokladem tohoto cíle je výměna informací z rejstříků trestů mezi příslušnými orgány členských států. Taková výměna informací je organizována a usnadňována podle pravidel stanovených v rámcovém rozhodnutí Rady 2009/315/SVV (3) a prostřednictvím Evropského informačního systému rejstříků trestů (ECRIS), který byl zřízen rozhodnutím Rady 2009/316/SVV (4).

(4)

Stávající právní rámec ECRIS však dostatečně nezohledňuje zvláštní aspekty žádostí týkajících se státních příslušníků třetích zemí. Ačkoli je již možné vyměňovat si informace o státních příslušnících třetích zemí prostřednictvím ECRIS, neexistuje společný unijní postup či mechanismus, jak tuto výměnu účinně, rychle a přesně provádět.

(5)

Informace o státních příslušnících třetích zemí se v Unii neshromažďují stejně jako u státních příslušníků členských států, totiž v členském státě jejich státní příslušnosti, ale uchovávají se pouze v členských státech, kde bylo vydáno odsouzení. Celkový přehled o trestní minulosti určitého státního příslušníka třetí země lze proto zjistit pouze tak, že se o tyto informace požádají všechny členské státy.

(6)

Takové plošné žádosti však představují nepřiměřenou administrativní zátěž pro všechny členské státy, včetně těch, které o dotčeném státním příslušníku třetí země nemají žádné informace. V praxi tato zátěž členské státy odrazuje od toho, aby žádaly jiné členské státy o informace o státních příslušnících třetích zemí, což výměnu informací mezi nimi vážně ztěžuje, neboť to omezuje jejich přístup k informacím z rejstříků trestů na informace uložené v jejich vnitrostátním rejstříku. Proto stoupá riziko, že výměna informací mezi členskými státy je neefektivní a neúplná, což se odráží na úrovni bezpečnosti a ochrany občanů a osob s bydlištěm v Unii.

(7)

Aby se situace zlepšila, měl by být zřízen systém, jehož prostřednictvím by ústřední orgán členského státu mohl neprodleně a účinně zjistit, které jiné členské státy uchovávají informace z rejstříku trestů o státním příslušníku třetí země (ECRIS-TCN). K vyžádání informací z rejstříku trestů od těchto členských států by mohl být v souladu s rámcovým rozhodnutím 2009/315/SVV použit stávající rámec ECRIS.

(8)

Toto nařízení by proto mělo stanovit pravidla zavádějící centralizovaný systém na úrovni Unie, který obsahuje osobní údaje, a pravidla pro rozdělení povinností mezi členský stát a organizaci odpovědnou za vývoj a údržbu tohoto centralizovaného systému, jakož i zvláštní ustanovení o ochraně údajů potřebná k doplnění stávající úpravy ochrany údajů a zajištění odpovídající celkové úrovně ochrany a zabezpečení údajů a ochrany základních práv dotčených osob.

(9)

Cíl poskytnout občanům Unie prostor svobody, bezpečnosti a práva bez vnitřních hranic, ve kterém je zaručen volný pohyb osob, také vyžaduje, aby byly uchovávány úplné informace o odsouzení občanů Unie, kteří jsou zároveň státními příslušníky některé třetí země. Vzhledem k tomu, že by se tyto osoby mohly vykazovat více než jednou státní příslušností a že v odsuzujícím členském státě nebo v členském státě jejich státní příslušnosti by se mohla uchovávat různá odsouzení, je třeba začlenit do oblasti působnosti tohoto nařízení i občany Unie, kteří jsou zároveň státními příslušníky třetí země. Vyloučení těchto osob by vedlo k tomu, že by informace uchovávané v ECRIS-TCN byly neúplné. To by ohrozilo spolehlivost tohoto systému. Jelikož však tyto osoby mají občanství Unie, měly by být podmínky, za nichž mohou být údaje o jejich otiscích prstů zahrnuty do ECRIS-TCN, srovnatelné s podmínkami, za nichž jsou mezi členskými státy v rámci ECRIS, zavedeného rámcovým rozhodnutím 2009/315/SVV a rozhodnutím 2009/316/SVV, vyměňovány údaje o otiscích prstů občanů Unie. Proto by údaje o otiscích prstů týkající se občanů Unie, kteří jsou zároveň státními příslušníky třetí země, měly být zahrnuty do ECRIS-TCN pouze tehdy, pokud byly pořízeny v souladu s vnitrostátním právem v rámci trestního řízení, přičemž se rozumí, že pro takové zahrnutí by mělo být členským státům umožněno používat údaje o otiscích prstů pořízených pro jiné účely, než je trestní řízení, pokud je toto použití povoleno podle vnitrostátního práva.

(10)

ECRIS-TCN by měl umožňovat zpracovávat údaje o otiscích prstů za účelem identifikace členských států, které mají v rejstříku trestů informace o určitém státním příslušníku třetí země. Měl by rovněž umožňovat zpracovávání zobrazení obličeje za účelem potvrzení totožnosti státního příslušníka třetí země. Je zásadní, aby vkládání a použití údajů o otiscích prstů a zobrazení obličeje nepřekročilo rozsah nezbytný k tomu, aby bylo dosaženo stanoveného cíle, respektovalo základní práva, jakož i nejlepší zájem dítěte, a bylo v souladu s platnými pravidly Unie pro ochranu údajů.

(11)

Vývojem a provozováním ECRIS-TCN by měla být pověřena Agentura Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (dále jen „agentura eu-LISA“), zřízená nařízením Evropského parlamentu a Rady (EU) 2018/1726 (5), vzhledem k jejím zkušenostem s řízením jiných rozsáhlých systémů v oblasti spravedlnosti a vnitřních věcí. Její mandát by se měl změnit, aby tyto nové úkoly odrážel.

(12)

Pro výkon povinností podle tohoto nařízení by měly být agentuře eu-LISA poskytnuty odpovídající finanční a personální zdroje.

(13)

Vzhledem k potřebě vytvořit těsná technická spojení mezi ECRIS-TCN a ECRIS by agentuře eu-LISA měl být rovněž uložen úkol zajišťovat další vývoj a údržbu referenčního provedení ECRIS a její mandát by se měl změnit, aby tuto skutečnost odrážel.

(14)

Čtyři členské státy vyvinuly vlastní vnitrostátní software pro provedení ECRIS v souladu s rozhodnutím 2009/316/SVV, přičemž tento software používají pro výměnu informací z rejstříků trestů namísto referenčního provedení ECRIS. S ohledem na specifické prvky, které tyto členské státy zavedly do svých systémů pro vnitrostátní užití, a na investice, které vynaložily, by jim mělo být umožněno používat pro účely ECRIS-TCN rovněž jejich vnitrostátní software pro provedení ECRIS za předpokladu, že budou splněny podmínky stanovené v tomto nařízení.

(15)

ECRIS-TCN by měl obsahovat pouze informace o totožnosti státních příslušníků třetích zemí odsouzených trestním soudem v Unii. Tyto informace o totožnosti by měly zahrnovat alfanumerické údaje a údaje o otiscích prstů. Mělo by být rovněž možné, aby byla zahrnuta zobrazení obličeje, pokud právo členského státu, v němž je vydáno rozhodnutí o odsouzení, umožňuje shromažďovat a uchovávat zobrazení obličeje odsouzeného.

(16)

Alfanumerické údaje, které mají členské státy vložit do centrálního systému, by měly zahrnovat příjmení a jména odsouzené osoby, jakož i její pseudonymy nebo přezdívky, má-li ústřední orgán tuto informaci. Pokud jsou dotčenému členskému státu známy odlišné osobní údaje, jako je například jiný způsob psaní jména v jiné abecedě, mělo by být možné vložit tyto údaje do centrálního systému jakožto doplňující informace.

(17)

Alfanumerické údaje by měly jako doplňující informace rovněž obsahovat identifikační číslo, nebo druh a číslo dokladů totožnosti dané osoby, jakož i název vydávajícího orgánu, má-li ústřední orgán tyto informace. Před vložením příslušných informací do centrálního systému by měl členský stát ověřit pravost dokladů totožnosti. Vzhledem k tomu, že tyto informace by mohly být nespolehlivé, mělo by se s nimi v každém případě zacházet obezřetně.

(18)

Ústřední orgány by měly používat ECRIS-TCN k identifikaci členských států, které mají v rejstříku trestů informace o státním příslušníku třetí země, pokud jsou informace o této osobě z rejstříku trestů v dotčeném členském státě požadovány pro účely trestního řízení proti této osobě nebo pro účely uvedené v tomto nařízení. Zatímco ECRIS-TCN by měl být v zásadě používán ve všech těchto případech, měl by orgán příslušný pro vedení trestního řízení moci rozhodnout, že ECRIS-TCN by se neměl použít, pokud by to za okolností daného případu nebylo vhodné, například v některých případech zkráceného trestního řízení, v případech tranzitu, pokud byly informace z rejstříku trestů získány prostřednictvím ECRIS v nedávné době, nebo pokud jde o méně závažné delikty, zejména méně závažné dopravní delikty, méně závažné delikty proti obecně závazným právním předpisům obcí a méně závažné delikty proti veřejnému pořádku.

(19)

Členské státy by rovněž měly mít možnost používat ECRIS-TCN pro jakékoliv jiné účely než účely stanovené v tomto nařízení, pokud jsou stanoveny vnitrostátním právem a jsou s ním v souladu. S cílem zvýšit transparentnost při používání ECRIS-TCN by však členské státy měly tyto účely oznámit Komisi, která by měla zajistit zveřejnění všech těchto oznámení v Úředním věstníku Evropské unie.

(20)

Mělo by být rovněž možné, aby další orgány žádající o informace z rejstříku trestů rozhodly, že použití ECRIS-TCN by vzhledem k okolnostem daného případu nebylo vhodné, například v případě, že je třeba provést určité standardní správní kontroly týkající se odborné kvalifikace určité osoby, zejména pokud je známo, že o informace z rejstříku trestů nebudou žádat jiné členské státy, a to bez ohledu na výsledek vyhledávání v ECRIS-TCN. ECRIS-TCN by se však měl použít vždy v případě, kdy žádost o informace z rejstříku trestů iniciovala osoba, která žádá o informace o svých vlastních záznamech v rejstříku trestů, v souladu s rámcovým rozhodnutím 2009/315/SVV, nebo byla-li žádost podána s cílem získat informace z rejstříku trestů v souladu se směrnicí Evropského parlamentu a Rady 2011/93/EU (6).

(21)

Státní příslušníci třetích zemí by měli mít právo získat písemné informace o svých vlastních záznamech v rejstříku trestů v souladu s právem členského státu, v němž žádají o poskytnutí těchto informací, v souladu s rámcovým rozhodnutím 2009/315/SVV. Dříve než dotčený členský stát tyto informace státnímu příslušníku třetí země poskytne, měl by provést vyhledávání v ECRIS-TCN.

(22)

Občané Unie, kteří jsou zároveň státními příslušníky třetí země, budou zahrnuti do ECRIS-TCN pouze tehdy, pokud je příslušným orgánům známo, že tyto osoby mají státní příslušnost třetí země. Skutečnost, že příslušným orgánům není známo, že občané Unie jsou zároveň státními příslušníky třetí země, však nevylučuje, že tyto osoby již byly dříve odsouzeny jako státní příslušníci třetí země. S cílem zajistit, aby příslušné orgány měly ucelený přehled o rejstřících trestů, by mělo být možné vyhledávat v ECRIS-TCN za účelem ověření, zda v případě občana Unie má některý z členských států informace z rejstříku trestů týkající se této osoby jako státního příslušníka třetí země.

(23)

V případě shody mezi údaji zaznamenanými v centrálním systému a údaji použitými členským státem pro vyhledávání (pozitivní nález) by se informace o totožnosti, u nichž byl pozitivní nález zaznamenán, měly poskytnout spolu s pozitivním nálezem. Výsledek vyhledávání by měly používat ústřední orgány pouze za účelem podání žádosti prostřednictvím ECRIS, nebo Agentura Evropské unie pro justiční spolupráci v trestních věcech (Eurojust), zřízená nařízením Evropského parlamentu a Rady (EU) 2018/1727 (7), Agentura Evropské unie pro spolupráci v oblasti prosazování práva (Europol), zřízená nařízením Evropského parlamentu a Rady (EU) 2016/794 (8), a Úřad evropského veřejného žalobce, zřízený nařízením Rady (EU) 2017/1939 (9), pouze za účelem podání žádosti o informace o odsouzeních podle tohoto nařízení.

(24)

V počáteční fázi by zobrazení obličeje vložená do ECRIS-TCN měla být používána pouze k potvrzení totožnosti státního příslušníka třetí země za účelem identifikace členských států, jež mají informace o předchozích odsouzeních tohoto státního příslušníka třetí země. V budoucnosti by mělo být možné, aby se zobrazení obličeje používalo pro automatické porovnávání biometrických údajů, pokud budou splněny technické a politické požadavky na toto porovnávání. Komise by s přihlédnutím k nezbytnosti a proporcionalitě, jakož i k technickému vývoji v oblasti softwaru pro rozpoznávání obličeje měla vyhodnotit dostupnost a připravenost požadované technologie dříve, než přijme akt v přenesené pravomoci týkající se využívání zobrazení obličeje ke zjištění totožnosti státních příslušníků třetích zemí za účelem identifikace členských států, jež mají informace o předchozích odsouzeních týkajících se těchto osob.

(25)

Používání biometrických údajů je nezbytné, protože představují nejspolehlivější metodu zjišťování totožnosti státních příslušníků třetích zemí na území členských států, kteří často nemají dokumenty nebo jiné prostředky pro zjištění totožnosti, a umožňují spolehlivější porovnání shody údajů o státních příslušnících třetích zemí.

(26)

Členské státy by měly do centrálního systému vkládat údaje o otiscích prstů odsouzených státních příslušníků třetích zemí, které byly sejmuty v souladu s vnitrostátním právem v rámci trestního řízení. Aby v centrálním systému byly k dispozici co nejúplnější identifikační informace, měly by mít členské státy možnost do něho rovněž vkládat údaje o otiscích prstů, které byly sejmuty pro jiné účely, než je trestní řízení, pokud jsou tyto údaje o otiscích prstů v souladu s vnitrostátním právem k dispozici pro použití v trestním řízení.

(27)

Toto nařízení by mělo stanovit minimální kritéria, pokud jde o údaje o otiscích prstů, které by členské státy měly vkládat do centrálního systému. Členské státy by měly mít možnost volby: vložit buď údaje o otiscích prstů státních příslušníků třetích zemí, kterým byl uložen trest odnětí svobody v délce nejméně šesti měsíců, nebo údaje o otiscích prstů státních příslušníků třetích zemí, kteří byli odsouzeni za trestný čin, za nějž lze podle práva dotčeného členského státu uložit trest odnětí svobody s horní hranicí sazby nejméně dvanáct měsíců.

(28)

Členské státy by měly v ECRIS-TCN pořizovat záznamy týkající se odsouzených státních příslušníků třetích zemí. Tam, kde je to možné, by tyto záznamy měly být pořizovány automaticky a bez zbytečného prodlení poté, co je informace o jejich odsouzení vložena do vnitrostátního rejstříku trestů. Členské státy by měly v souladu s tímto nařízením vkládat do centrálního systému alfanumerické údaje a údaje o otiscích prstů související s odsouzeními vydanými po dni zahájení vkládání údajů do ECRIS-TCN. Od téhož dne a kdykoliv později by členské státy měly mít možnost vkládat do centrálního systému zobrazení obličeje.

(29)

Aby se zajistila maximální efektivnost systému, měly by členské státy v souladu s tímto nařízením pořizovat v ECRIS-TCN také záznamy týkající se státních příslušníků třetích zemí odsouzených ještě přede dnem zahájení vkládání údajů. Členské státy by však neměly být povinny získávat za tímto účelem informace, které přede dnem zahájení vkládání údajů v souladu s tímto nařízením ještě nebyly v jejich rejstříku trestů. Údaje o otiscích prstů státních příslušníků třetích zemí sejmutých v souvislosti s těmito předchozími odsouzeními by měly být zahrnuty pouze v případě, že otisky byly sejmuty během trestního řízení, a v případě, kdy se dotčený členský stát domnívá, že je lze jednoznačně přiřadit k jiným informacím o totožnosti uvedeným v rejstříku trestů.

(30)

Zlepšení výměny informací o odsouzeních by mělo členským státům pomoci v provádění rámcového rozhodnutí 2008/675/SVV, které členským státům ukládá, aby během nových trestních řízení zohledňovaly předchozí odsouzení vydaná v jiných členských státech v rozsahu, v jakém se předchozí vnitrostátní odsouzení zohledňují podle vnitrostátního práva.

(31)

Pozitivní nález zjištěný ECRIS-TCN by neměl sám o sobě znamenat, že dotyčný státní příslušník třetí země byl ve zjištěných členských státech odsouzen. Existence předchozích odsouzení by měla být potvrzena pouze na základě informací obdržených z rejstříku trestů příslušných členských států.

(32)

Aniž je vyloučena možnost využít v souladu s platnými pravidly finanční programy Unie, každý členský stát by měl nést vlastní náklady související s prováděním, správou, používáním a údržbou své databáze rejstříku trestů a vnitrostátních databází otisků prstů a s prováděním, správou, používáním a údržbou technických úprav nezbytných k využívání ECRIS-TCN, včetně připojení těchto databází k vnitrostátnímu ústřednímu přístupovému místu.

(33)

Do ECRIS-TCN by za účelem identifikace členských států, jež mají informace z rejstříku trestů o státních příslušnících třetích zemí, měly mít přístup Eurojust, Europol a Úřad evropského veřejného žalobce, aby se podpořilo plnění jejich úkolů uložených právními předpisy. Eurojust by měl mít přímý přístup do ECRIS-TCN i za účelem plnění svého úkolu podle tohoto nařízení, totiž jednat jako kontaktní místo pro třetí země a mezinárodní organizace, aniž je dotčeno uplatňování zásad justiční spolupráce v trestních věcech, včetně pravidel vzájemné právní pomoci. Zatímco je třeba brát v úvahu postoj členských států, které se neúčastní posílené spolupráce za účelem zřízení Úřadu evropského veřejného žalobce, neměl by být tomuto úřadu odepřen přístup k informacím o odsouzeních pouze proto, že se dotčený členský stát uvedené posílené spolupráce neúčastní.

(34)

Toto nařízení stanoví přísná pravidla přístupu k ECRIS-TCN a nezbytná ochranná opatření, včetně odpovědnosti členských států v souvislosti se shromažďováním a využíváním údajů. Stanoví rovněž, jakým způsobem mohou fyzické osoby uplatňovat své právo na náhradu újmy, na přístup k údajům, jejich opravu, výmaz a nápravu, zejména právo na účinnou právní ochranu, jakož i dozor nad všemi operacemi zpracování údajů vykonávanými nezávislými orgány veřejné moci. Respektuje tudíž základní práva a svobody zakotvené především v Listině základních práv Evropské unie, včetně práva na ochranu osobních údajů, zásady rovnosti před zákonem a obecného zákazu diskriminace. V této souvislosti rovněž zohledňuje Evropskou úmluvu o ochraně lidských práv a základních svobod, Mezinárodní pakt o občanských a politických právech a další závazky v oblasti lidských práv podle mezinárodního práva.

(35)

Směrnice Evropského parlamentu a Rady (EU) 2016/680 (10) by se měla vztahovat na zpracování osobních údajů příslušnými vnitrostátními orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Nařízení Evropského parlamentu a Rady (EU) 2016/679 (11) by se mělo vztahovat na zpracování osobních údajů vnitrostátními orgány, pokud takové zpracování nespadá do oblasti působnosti směrnice (EU) 2016/680. Koordinovaný dozor by měl být zajištěn v souladu s nařízením (EU) Evropského parlamentu a Rady 2018/1725 (12), jež by se mělo vztahovat i na zpracovávání osobních údajů agenturou eu-LISA.

(36)

Pokud jde o předchozí odsouzení, měly by ústřední orgány vložit alfanumerické údaje do konce období pro vkládání údajů podle tohoto nařízení a údaje o otiscích prstů do dvou let po dni zahájení provozu ECRIS-TCN. Za podmínky, že budou tyto lhůty dodrženy, by členské státy měly mít možnost vložit všechny údaje současně.

(37)

Měla by být stanovena pravidla týkající se odpovědnosti členských států, Eurojustu, Europolu, Úřadu evropského veřejného žalobce a agentury eu-LISA za újmu, která vznikne na základě jakéhokoli porušení tohoto nařízení.

(38)

Za účelem zlepšení identifikace členských států, jež mají informace o předchozích odsouzeních státních příslušníků třetích zemí, by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie (dále jen „Smlouva o fungování EU“), pokud jde o doplnění tohoto nařízení ustanovením o používání zobrazení obličeje ke zjišťování totožnosti státních příslušníků třetích zemí za účelem identifikace členských států, jež mají informace o předchozích odsouzeních. Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (13). Zejména pro zajištění rovné účasti na vypracování aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(39)

Za účelem zajištění jednotných podmínek pro zřízení a provozní řízení ECRIS-TCN by měly být Komisi svěřeny prováděcí pravomoci. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (14).

(40)

Členské státy by měly co nejdříve přijmout opatření nezbytná k zajištění souladu s tímto nařízením, aby bylo možné zajistit řádné fungování ECRIS-TCN, s přihlédnutím k době, kterou agentura eu-LISA potřebuje pro vývoj a zavedení ECRIS-TCN. Pro přijetí opatření k zajištění souladu s tímto nařízením by však členské státy měly mít alespoň 36 měsíců od vstupu tohoto nařízení v platnost.

(41)

Jelikož cíle tohoto nařízení, totiž umožnění rychlé a účinné výměny přesných informací z rejstříku trestů týkajících se státních příslušníků třetích zemí, nemůže být dosaženo uspokojivě členskými státy, ale spíše jej může být zavedením společných pravidel lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii (dále jen „Smlouva o EU“). V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné pro dosažení tohoto cíle.

(42)

V souladu s články 1 a 2 Protokolu č. 22 o postavení Dánska, připojeného ke Smlouvě o EU a ke Smlouvě o fungování EU, se Dánsko neúčastní přijímání tohoto nařízení a toto nařízení pro ně není závazné ani použitelné.

(43)

V souladu s články 1 a 2 a čl. 4a odst. 1 Protokolu č. 21 o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o EU a ke Smlouvě o fungování EU, a aniž je dotčen článek 4 uvedeného protokolu, se Irsko neúčastní přijímání tohoto nařízení a toto nařízení pro ně není závazné ani použitelné.

(44)

V souladu s článkem 3 a čl. 4a odst. 1 Protokolu č. 21 oznámilo Spojené království své přání účastnit se přijímání a používání tohoto nařízení.

(45)

V souladu s čl. 28 odst. 2 nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (15) byl konzultován evropský inspektor ochrany údajů a dne 12. prosince 2017 vydal stanovisko (16),

PŘIJALY TOTO NAŘÍZENÍ:

KAPITOLA I

Obecná ustanovení

Článek 1

Předmět

Tímto nařízením se:

a)

zřizuje systém pro identifikaci členských států, jež mají informace o předchozích odsouzeních státních příslušníků třetích zemí (ECRIS-TCN);

b)

stanovují podmínky, za nichž ústřední orgány používají ECRIS-TCN, aby získaly informace o takových předchozích odsouzeních prostřednictvím Evropského informačního systému rejstříků trestů (ECRIS), který byl zřízen rozhodnutím 2009/316/SVV, jakož i podmínky, za kterých ECRIS-TCN používají Eurojust, Europol a Úřad evropského veřejného žalobce.

Článek 2

Oblast působnosti

Toto nařízení se vztahuje na zpracovávání informací o totožnosti státních příslušníků třetích zemí, kteří byli odsouzeni v členských státech, za účelem identifikace členských států, v nichž byla tato odsouzení vydána. S výjimkou čl. 5 odst. 1 písm. b) bodu ii) se ustanovení tohoto nařízení, která se vztahují na státní příslušníky třetích zemí, vztahují rovněž na občany Unie, kteří jsou zároveň státními příslušníky třetí země a kteří byli odsouzeni v členských státech.

Článek 3

Definice

Pro účely tohoto nařízení se rozumí:

1)

„odsouzením“ jakékoli konečné rozhodnutí trestního soudu proti fyzické osobě v souvislosti s trestným činem, jestliže se toto rozhodnutí zaznamenává do rejstříku trestů odsuzujícího členského státu;

2)

„trestním řízením“ přípravné řízení, řízení před soudem a výkon odsouzení;

3)

„rejstříkem trestů“ vnitrostátní rejstřík nebo rejstříky, do nichž se podle vnitrostátního práva zaznamenávají odsouzení;

4)

„odsuzujícím členským státem“ členský stát, v němž je vydáno odsouzení;

5)

„ústředním orgánem“ orgán určený v souladu s čl. 3 odst. 1 rámcového rozhodnutí 2009/315/SVV;

6)

„příslušnými orgány“ ústřední orgány a Eurojust, Europol a Úřad evropského veřejného žalobce, které jsou příslušné k přístupu do ECRIS-TCN a k vyhledávání v něm v souladu s tímto nařízením;

7)

„státním příslušníkem třetí země“ osoba, jež není občanem Unie ve smyslu čl. 20 odst. 1 Smlouvy o fungování EU, osoba bez státní příslušnosti nebo osoba, jejíž státní příslušnost není známa;

8)

„centrálním systémem“ jedna nebo více databází, které obsahují informace o totožnosti státních příslušníků třetích zemí, kteří byli odsouzeni v členských státech, vyvíjené a udržované agenturou eu-LISA;

9)

„softwarem rozhraní“ software používaný příslušnými orgány, který jim umožňuje přístup do centrálního systému prostřednictvím komunikační infrastruktury uvedené v čl. 4 odst. 1 písm. d);

10)

„informacemi o totožnosti“ alfanumerické údaje, údaje o otiscích prstů a zobrazení obličeje, které jsou použity ke zjištění spojitosti mezi těmito údaji a fyzickou osobou;

11)

„alfanumerickými údaji“ údaje vyjádřené písmeny, číslicemi, zvláštními znaky, mezerami a interpunkčními znaménky;

12)

„údaji o otiscích prstů“ údaje o plochých a valených otiscích každého prstu dané osoby;

13)

„zobrazením obličeje“ digitální zobrazení obličeje dané osoby;

14)

„pozitivním nálezem“ shoda nebo shody zjištěné srovnáním informací o totožnosti zaznamenaných v centrálním systému s informacemi o totožnosti použitými pro vyhledávání;

15)

„vnitrostátním ústředním přístupovým místem“ vnitrostátní místo připojení ke komunikační infrastruktuře uvedené v čl. 4 odst. 1 písm. d);

16)

„referenčním provedením ECRIS“ software vyvinutý Komisí a zpřístupněný členským státům pro výměnu informací z rejstříku trestů prostřednictvím ECRIS;

17)

„vnitrostátním dozorovým orgánem“ nezávislý orgán veřejné moci zřízený ve členském státě podle použitelných pravidel Unie pro ochranu údajů;

18)

„dozorovými orgány“ evropský inspektor ochrany údajů a vnitrostátní dozorové orgány.

Článek 4

Technická architektura ECRIS-TCN

1.   ECRIS-TCN se skládá z:

a)

centrálního systému, v němž jsou uloženy informace o totožnosti odsouzených státních příslušníků třetích zemí;

b)

vnitrostátního ústředního přístupového místa v každém členském státě;

c)

softwaru rozhraní umožňujícího připojení příslušných orgánů k centrálnímu systému přes vnitrostátní ústřední přístupová místa a komunikační infrastrukturu uvedenou v písmeni d);

d)

komunikační infrastruktury mezi centrálním systémem a vnitrostátními ústředními přístupovými místy.

2.   Centrální systém je provozován v technických prostorách agentury eu-LISA.

3.   Software rozhraní je začleněn do referenčního provedení ECRIS. Členské státy používají referenční provedení ECRIS, nebo v situaci a za podmínek stanovených v odstavcích 4 až 8 vnitrostátní software pro provedení ECRIS, k vyhledávání v ECRIS-TCN a k zasílání následných žádostí o informace z rejstříku trestů.

4.   Členské státy, které používají svůj vnitrostátní software pro provedení ECRIS, odpovídají za zajištění toho, aby jejich vnitrostátní software pro provedení ECRIS umožňoval jejich vnitrostátním orgánům, které vedou rejstříky trestů, používat ECRIS-TCN, s výjimkou softwaru rozhraní, v souladu s tímto nařízením. Přede dnem zahájení provozu ECRIS-TCN v souladu s čl. 35 odst. 4 tyto členské státy za tímto účelem zajistí, aby jejich vnitrostátní software pro provedení ECRIS fungoval v souladu s protokoly a technickými specifikacemi stanovenými v prováděcích aktech podle článku 10 a v souladu s veškerými dalšími technickými požadavky stanovenými agenturou eu-LISA podle tohoto nařízení založenými na uvedených prováděcích aktech.

5.   Pokud nepoužívají referenční provedení ECRIS, zajistí členské státy, které používají svůj vnitrostátní software pro provedení ECRIS, rovněž bez zbytečného odkladu provedení veškerých dalších technických úprav svého vnitrostátního softwaru provedení ECRIS nezbytných v důsledku jakýchkoliv změn technických specifikací stanovených prováděcími akty uvedenými v článku 10 nebo v důsledku změn jakýchkoli dalších technických požadavků stanovených agenturou eu-LISA podle tohoto nařízení založenými na uvedených prováděcích aktech.

6.   Členské státy, které používají svůj vnitrostátní software pro provedení ECRIS, nesou veškeré náklady spojené s prováděním, údržbou a dalším vývojem tohoto softwaru a jeho propojení s ECRIS-TCN, s výjimkou softwaru rozhraní.

7.   Pokud členský stát používající svůj vnitrostátní software pro provedení ECRIS není schopen plnit své povinnosti podle tohoto článku, je k využívání ECRIS-TCN povinen používat referenční provedení ECRIS, včetně integrovaného softwaru rozhraní.

8.   Pro účely posouzení, které má být provedeno Komisí podle čl. 36 odst. 10 písm. b), poskytnou dotčené členské státy Komisi veškeré nezbytné informace.

KAPITOLA II

Vkládání a používání údajů ústředními orgány

Článek 5

Vkládání údajů do ECRIS-TCN

1.   V případě každého odsouzeného státního příslušníka třetí země ústřední orgán odsuzujícího členského státu pořídí datový záznam v centrálním systému. Datový záznam musí zahrnovat:

a)

pokud jde o alfanumerické údaje:

i)

informace, které je třeba vložit s výjimkou jednotlivých případů, kdy tyto informace nejsou ústřednímu orgánu známy (povinné informace):

příjmení,

jméno (jména),

datum narození,

místo narození (obec a země),

státní příslušnost (příslušnosti),

pohlaví,

případná předchozí jméno (jména) nebo příjmení,

kód odsuzujícího členského státu;

ii)

informace, které je třeba vložit, pokud jsou uvedeny v rejstříku trestů (nepovinné informace):

jména rodičů;

iii)

informace, které je třeba vložit, pokud je má ústřední orgán k dispozici (další informace):

identifikační číslo, nebo druh a číslo dokladů totožnosti dané osoby, jakož i název vydávajícího orgánu,

pseudonymy nebo přezdívky;

b)

pokud jde o údaje o otiscích prstů:

i)

údaje o otiscích prstů, které byly sejmuty v souladu s vnitrostátním právem v rámci trestního řízení;

ii)

alespoň údaje o otiscích prstů, které byly sejmuty na základě jednoho z těchto kritérií:

pokud byl státnímu příslušníku třetí země uložen trest odnětí svobody v délce nejméně šest měsíců,

nebo

pokud byl státní příslušník třetí země odsouzen za trestný čin, za který lze podle práva členského státu uložit trest odnětí svobody s horní hranicí sazby nejméně dvanáct měsíců.

2.   Údaje o otiscích prstů uvedené v odst. 1 písm. b) tohoto článku musí splňovat technické specifikace týkající se kvality, rozlišení a zpracování údajů o otiscích prstů stanovené v prováděcím aktu uvedeném v čl. 10 odst. 1 písm. b). Referenční číslo údajů o otiscích prstů odsouzeného zahrnuje kód odsuzujícího členského státu.

3.   Datový záznam může obsahovat také zobrazení obličeje odsouzeného státního příslušníka třetí země, pokud právo odsuzujícího členského státu umožňuje shromažďovat a uchovávat zobrazení obličeje odsouzených.

4.   Odsuzující členský stát pořídí datový záznam automaticky, pokud je to možné, a bez zbytečného odkladu po zaznamenání odsouzení do rejstříku trestů.

5.   Odsuzující členský stát pořídí datové záznamy i o odsouzeních vydaných přede dnem zahájení vkládání údajů v souladu s čl. 35 odst. 1 v takovém rozsahu, v jakém se tyto údaje týkající se odsouzených uchovávají v jejich vnitrostátních databázích. V těchto případech by údaje o otiscích prstů měly být zahrnuty, pouze pokud byly sejmuty v rámci trestního řízení v souladu s vnitrostátním právem a pokud je lze jednoznačně přiřadit k jiným informacím o totožnosti uvedeným v rejstříku trestů.

6.   Za účelem splnění povinností stanovených v odst. 1 písm. b) bodech i) a ii) a v odstavci 5 mohou členské státy použít údaje o otiscích prstů sejmutých pro jiné účely, než je trestní řízení, pokud je toto použití povoleno podle vnitrostátního práva.

Článek 6

Zobrazení obličeje

1.   Dokud nevstoupí v platnost akt v přenesené pravomoci podle odstavce 2, lze zobrazení obličeje používat pouze k potvrzení totožnosti státního příslušníka třetí země, jehož totožnost byla zjištěna pomocí alfanumerického vyhledávání nebo vyhledávání s použitím údajů o otiscích prstů.

2.   Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 37 doplňující toto nařízení, pokud jde o používání zobrazení obličeje ke zjištění totožnosti státních příslušníků třetích zemí za účelem identifikace členských států, jež mají informace o předchozích odsouzeních těchto osob, až to bude technicky možné. Před výkonem této pravomoci Komise s přihlédnutím k nezbytnosti a proporcionalitě, jakož i k technickému vývoji v oblasti softwaru pro rozpoznávání obličeje, posoudí dostupnost a připravenost potřebné technologie.

Článek 7

Používání ECRIS-TCN pro identifikaci členských států, jež mají informace z rejstříku trestů

1.   Ústřední orgány používají ECRIS-TCN pro identifikaci členských států, jež mají informace z rejstříku trestů o státním příslušníku třetí země, s cílem získat informace o předchozích odsouzeních prostřednictvím ECRIS, pokud jsou informace o této osobě z rejstříku trestů v dotčeném členském státě požadovány pro účely trestního řízení vedeného proti této osobě, nebo za některým z následujících účelů, je-li stanoven vnitrostátním právem a je s ním v souladu:

kontrola záznamů v rejstříku trestů týkajících se určité osoby na její žádost,

bezpečnostní prověrka,

získání licence nebo povolení,

prověření pro potřeby zaměstnavatele,

prověření pro účely dobrovolných činností, jejichž součástí jsou přímé a pravidelné kontakty s dětmi nebo zranitelnými osobami,

postupy související s vízy, získáním občanství a migrací, včetně azylových řízení, a

kontroly související s veřejnými zakázkami a veřejným výběrovým řízením.

Nicméně v určitých případech jiných než těch, kdy státní příslušník třetí země žádá ústřední orgán o informace o svých vlastních záznamech v rejstříku trestů, nebo kdy je žádost podána za účelem získání informací z rejstříku trestů podle čl. 10 odst. 2 směrnice 2011/93/EU, může orgán žádající o informace z rejstříku trestů rozhodnout, že takové použití ECRIS-TCN není vhodné.

2.   Kterýkoliv členský stát, který se rozhodne, pokud je to stanoveno vnitrostátním právem a je to s ním v souladu, používat ECRIS-TCN pro jiné účely, než které jsou stanoveny v odstavci 1, k získání informací o předchozích odsouzeních prostřednictvím ECRIS, oznámí tyto jiné účely a veškeré jejich změny Komisi do dne zahájení provozu podle čl. 35 odst. 4, nebo kdykoliv poté. Komise tato oznámení zveřejní v Úředním věstníku Evropské unie do 30 dnů od jejich obdržení.

3.   Eurojust, Europol, a Úřad evropského veřejného žalobce mají právo vyhledávat v ECRIS-TCN za účelem identifikace členských států, jež mají informace z rejstříku trestů o státním příslušníku třetí země, v souladu s články 14 až 18. Nevkládají však do ECRIS-TCN žádné údaje ani je neopravují ani nevymazávají.

4.   Pro účely uvedené v odstavcích 1, 2 a 3 mohou příslušné orgány rovněž vyhledávat v ECRIS-TCN s cílem ověřit, zda má o určité osobě, která je občanem Unie, kterýkoli členský stát informace z rejstříku trestů týkající se této osoby jako státního příslušníka třetí země.

5.   Při vyhledávání v ECRIS-TCN mohou příslušné orgány využít všechny údaje uvedené v čl. 5 odst. 1 nebo pouze některé z nich. Minimální soubor údajů nezbytných pro vyhledávání v systému se stanoví v prováděcím aktu přijatém podle čl. 10 odst. 1 písm. g).

6.   Příslušné orgány mohou v ECRIS-TCN vyhledávat rovněž s použitím zobrazení obličeje, pokud byla tato funkce zavedena v souladu s čl. 6 odst. 2.

7.   V případě pozitivního nálezu poskytne centrální systém příslušnému orgánu automaticky informace o členských státech, jež mají informace z rejstříku trestů o státním příslušníku třetí země, spolu se souvisejícími referenčními čísly a odpovídajícími informacemi o totožnosti. Tyto informace o totožnosti se použijí pouze za účelem ověření totožnosti dotyčného státního příslušníka třetí země. Výsledek vyhledávání v centrálním systému lze využít pouze pro účely podání žádosti podle článku 6 rámcového rozhodnutí 2009/315/SVV nebo žádosti podle čl. 17 odst. 3 tohoto nařízení.

8.   Nevyskytne-li se pozitivní nález, centrální systém o tom automaticky informuje příslušný orgán.

KAPITOLA III

Uchovávání a pozměňování údajů

Článek 8

Doba uchování uložených údajů

1.   Každý datový záznam se uchovává v centrálním systému, dokud jsou údaje o odsouzeních dotyčné osoby uloženy v rejstříku trestů.

2.   Po uplynutí doby uchovávání uvedené v odstavci 1 ústřední orgán odsuzujícího členského státu datový záznam z centrálního systému vymaže, včetně případných údajů o otiscích prstů nebo zobrazení obličeje. Výmaz se provádí pokud možno automaticky a v každém případě nejpozději jeden měsíc po uplynutí doby uchovávání.

Článek 9

Pozměňování a výmaz údajů

1.   Členské státy mohou změnit nebo vymazat údaje, které do ECRIS-TCN vložily.

2.   Jakákoli změna informací v rejstříku trestů, které vedly k pořízení datového záznamu v souladu s článkem 5, zahrnuje stejnou změnu informací uložených v tomto datovém záznamu v centrálním systému, již odsuzující členský stát provede bez zbytečného odkladu.

3.   Má-li odsuzující členský stát důvod se domnívat, že údaje, které zaznamenal do centrálního systému, nejsou přesné nebo že byly v centrálním systému zpracovány v rozporu s tímto nařízením:

a)

okamžitě zahájí kontrolu přesnosti dotyčných údajů nebo zákonnosti jejich zpracování;

b)

v případě potřeby tyto údaje bez zbytečného odkladu opraví nebo vymaže z centrálního systému.

4.   Pokud má členský stát jiný než odsuzující členský stát, který údaje vložil, důvod se domnívat, že údaje zaznamenané v centrálním systému nejsou přesné nebo že byly v centrálním systému zpracovány v rozporu s tímto nařízením, bez zbytečného odkladu kontaktuje ústřední orgán odsuzujícího členského státu.

Odsuzující členský stát:

a)

okamžitě zahájí kontrolu přesnosti dotčených údajů nebo zákonnosti jejich zpracování;

b)

v případě potřeby tyto údaje bez zbytečného odkladu opraví nebo vymaže z centrálního systému;

c)

bez zbytečného odkladu informuje dotyčný jiný členský stát, že údaje byly opraveny nebo vymazány, nebo mu sdělí důvody, proč se tak nestalo.

KAPITOLA IV

Vývoj, provoz a povinnosti

Článek 10

Prováděcí akty přijaté Komisí

1.   Komise co nejdříve přijme prováděcí akty nezbytné pro technický vývoj a provedení ECRIS-TCN, a zejména akty týkající se:

a)

technických specifikací pro zpracování alfanumerických údajů;

b)

technických specifikací pro kvalitu, rozlišení a zpracování údajů o otiscích prstů;

c)

technických specifikací softwaru rozhraní;

d)

technických specifikací pro kvalitu, rozlišení a zpracování zobrazení obličeje pro účely uvedené v článku 6 a v souladu s podmínkami stanovenými v uvedeném článku;

e)

kvality údajů, včetně mechanismu a postupů pro provádění kontrol kvality údajů;

f)

vkládání údajů podle článku 5;

g)

přístupu k ECRIS-TCN a vyhledávání v tomto systému podle článku 7;

h)

pozměňování a výmazu údajů podle článků 8 a 9;

i)

vedení protokolů a přístupu k nim podle článku 31;

j)

fungování centrálního úložiště a pravidla platná pro zabezpečení a ochranu údajů týkající se tohoto úložiště podle článku 32;

k)

poskytování statistik podle článku 32;

l)

požadavků na výkonnost a dostupnost ECRIS-TCN, včetně minimálních specifikací a požadavků týkajících se biometrického ověřování v ECRIS-TCN, zejména pokud jde o požadovanou míru falešných pozitivních identifikací a míru falešných negativních identifikací.

2.   Prováděcí akty uvedené v odstavci 1 se přijímají přezkumným postupem podle čl. 38 odst. 2.

Článek 11

Vývoj a provozní řízení ECRIS-TCN

1.   Za vývoj ECRIS-TCN odpovídá agentura eu-LISA v souladu se zásadou záměrné a standardní ochrany údajů. Agentura eu-LISA kromě toho odpovídá za provozní řízení ECRIS-TCN. Vývoj sestává z vypracování a provedení technických specifikací, testování a celkové projektové koordinace.

2.   Agentura eu-LISA odpovídá i za další vývoj a údržbu referenčního provedení ECRIS.

3.   Agentura eu-LISA navrhne fyzickou architekturu ECRIS-TCN, včetně jeho technických specifikací a vývoje, pokud jde o centrální systém, vnitrostátní ústřední přístupové místo a software rozhraní. Tento návrh přijme správní rada s výhradou příznivého stanoviska Komise.

4.   Agentura eu-LISA vyvine a zavede ECRIS-TCN co nejdříve po vstupu tohoto nařízení v platnost a poté, co Komise přijme prováděcí akty uvedené v článku 10.

5.   Správní rada agentury eu-LISA ustaví před fází návrhu a vývoje ECRIS-TCN radu pro řízení programu složenou z deseti členů.

Tato rada pro řízení programu se skládá z osmi členů jmenovaných správní radou, předsedy poradní skupiny uvedené v článku 39 a jednoho člena jmenovaného Komisí. Členové jmenovaní správní radou se volí pouze z těch členských států, které jsou plně vázány právními nástroji podle práva Unie upravujícími ECRIS a které budou zapojeny do ECRIS-TCN. Správní rada zajistí, aby členové, jež jmenuje do rady pro řízení programu, měli potřebné zkušenosti a odborné znalosti v oblasti vývoje a řízení informačních systémů využívaných justičními orgány a orgány, jež vedou rejstříky trestů.

Agentura eu-LISA se podílí na činnosti rady pro řízení programu. Za tím účelem se její zástupci účastní zasedání rady pro řízení programu s cílem podávat zprávy o práci související s návrhem a vývojem ECRIS-TCN a o jakékoliv další související práci a činnostech.

Rada pro řízení programu se schází nejméně jednou za tři měsíce a v případě potřeby častěji. Zajišťuje přiměřené řízení fáze návrhu a vývoje ECRIS-TCN a soudržnost mezi centrálními a vnitrostátními projekty ECRIS-TCN a s vnitrostátním softwarem pro provedení ECRIS. Rada pro řízení programu předkládá pravidelně, a pokud možno každý měsíc, správní radě eu-LISA písemné zprávy o pokroku projektu. Rada pro řízení programu nemá rozhodovací pravomoc ani není zmocněna zastupovat členy správní rady.

6.   Rada pro řízení programu stanoví svůj jednací řád, který zahrnuje zejména pravidla pro:

a)

předsednictví;

b)

místa zasedání;

c)

přípravu jednání;

d)

přizvání odborníků na zasedání;

e)

komunikační plány zajišťující plné informování nezúčastněných členů správní rady.

7.   Radě pro řízení programu předsedá některý z členských států, který je podle práva Unie v plné míře vázán legislativními nástroji upravujícími ECRIS a legislativními nástroji upravujícími vývoj, zřízení, provoz a používání všech rozsáhlých informačních systémů řízených agenturou eu-LISA.

8.   Všechny cestovní výdaje a výdaje na pobyt, které vzniknou členům rady pro řízení programu, hradí agentura eu-LISA. Článek 10 jednacího řádu agentury eu-LISA se použije obdobně. Sekretariát rady pro řízení programu zajišťuje agentura eu-LISA.

9.   Poradní skupina uvedená v článku 39 se během fáze návrhu a vývoje skládá z národních projektových manažerů ECRIS-TCN a předsedá jí agentura eu-LISA. V průběhu fáze návrhu a vývoje se schází pravidelně, pokud možno alespoň jednou za měsíc, až do zahájení provozu ECRIS-TCN. Po každém zasedání podává zprávu radě pro řízení programu. Poskytuje odborné znalosti na podporu úkolů rady pro řízení programu a podniká kroky v návaznosti na stav připravenosti členských států.

10.   Za účelem nepřetržitého zajištění důvěrnosti a integrity údajů uchovávaných v ECRIS-TCN zajišťuje agentura eu-LISA ve spolupráci s členskými státy vhodná technická a organizační opatření se zohledněním aktuálního stavu techniky, nákladů na provedení a rizik spojených se zpracováním.

11.   Agentura eu-LISA odpovídá za tyto úkoly týkající se komunikační infrastruktury uvedené v čl. 4 odst. 1 písm. d):

a)

dozor;

b)

bezpečnost;

c)

koordinaci vztahů mezi členskými státy a poskytovatelem komunikační infrastruktury.

12.   Komise odpovídá za všechny ostatní úkoly týkající se komunikační infrastruktury uvedené v čl. 4 odst. 1 písm. d), zejména za:

a)

úkoly související s plněním rozpočtu;

b)

pořizování a obnovu;

c)

smluvní záležitosti.

13.   Agentura eu-LISA vyvine a spravuje mechanismus a postupy pro provádění kontrol kvality údajů uchovávaných v ECRIS-TCN a pravidelně předkládá zprávy členským státům. Agentura eu-LISA pravidelně předkládá Komisi zprávy o zjištěných problémech a o tom, kterých členských států se týkají.

14.   Provozní řízení ECRIS-TCN sestává ze všech úkolů nezbytných pro zachování jeho funkčnosti v souladu s tímto nařízením, zejména z údržby a technického rozvoje, potřebných k tomu, aby ECRIS-TCN fungoval na uspokojivé úrovni v souladu s technickými specifikacemi.

15.   Agentura eu-LISA plní úkoly související s odbornou přípravou zaměřenou na technické aspekty používání ECRIS-TCN a referenční provedení ECRIS.

16.   Aniž je dotčen článek 17 služebního řádu úředníků Evropské unie, stanovený nařízením Rady (EHS, Euratom, ESUO) č. 259/68 (17), uplatňuje agentura eu-LISA na všechny své pracovníky, kteří musí pracovat s údaji uloženými v centrálním systému, vhodná pravidla týkající se služebního tajemství nebo jiných srovnatelných povinností zachovávání důvěrnosti. Tato povinnost trvá i poté, co dotyčné osoby opustí svou funkci nebo zaměstnanecký poměr, nebo poté, co ukončí svou činnost.

Článek 12

Povinnosti členských států

1.   Každý členský stát odpovídá za:

a)

zajištění bezpečného spojení mezi svými vnitrostátními rejstříky trestů a databázemi otisků prstů a vnitrostátním ústředním přístupovým místem;

b)

vývoj, provoz a údržbu spojení uvedeného v písmeni a);

c)

zajištění spojení mezi svými vnitrostátními systémy a referenčním provedením ECRIS;

d)

řízení a pravidla přístupu pro řádně zmocněné pracovníky ústředních orgánů do ECRIS-TCN v souladu s tímto nařízením a vypracování a pravidelnou aktualizaci seznamu těchto pracovníků a profilů uvedených v čl. 19 odst. 3 písm. g).

2.   Každý členský stát poskytne pracovníkům svého ústředního orgánu, kteří mají právo na přístup do ECRIS-TCN, předtím, než jim udělí oprávnění zpracovávat údaje uchovávané v centrálním systému, vhodnou odbornou přípravu týkající se zejména zabezpečení údajů, pravidel pro ochranu údajů a souvisejících základních práv.

Článek 13

Odpovědnost za používání údajů

1.   V souladu s platnými pravidly Unie pro ochranu údajů každý členský stát zajistí, aby se údaje zaznamenané v ECRIS-TCN zpracovávaly zákonným způsobem, a zejména aby:

a)

přístup k údajům měli pouze řádně zmocnění pracovníci za účelem plnění svých úkolů;

b)

se údaje shromažďovaly zákonným způsobem, který plně respektuje lidskou důstojnost a základní práva státního příslušníka třetí země;

c)

se údaje vkládaly do ECRIS-TCN zákonným způsobem;

d)

byly údaje při vkládání do ECRIS-TCN přesné a aktuální.

2.   Agentura eu-LISA zajistí, aby se ECRIS-TCN provozoval v souladu s tímto nařízením, aktem v přenesené pravomoci uvedeným v čl. 6 odst. 2 a prováděcími akty uvedenými v článku 10, jakož i v souladu s nařízením (EU) 2018/1725. Agentura eu-LISA zejména přijme nezbytná opatření k zajištění zabezpečení centrálního systému a komunikační infrastruktury uvedené v čl. 4 odst. 1 písm. d), aniž jsou dotčeny povinnosti jednotlivých členských států.

3.   Agentura eu-LISA informuje Evropský parlament, Radu, Komisi a evropského inspektora ochrany údajů co nejdříve o opatřeních, jež přijala podle odstavce 2 za účelem zahájení provozu ECRIS-TCN.

4.   Komise poskytuje informace uvedené v odstavci 3 členským státům a veřejnosti prostřednictvím pravidelně aktualizovaných veřejných internetových stránek.

Článek 14

Přístup Eurojustu, Europolu a Úřadu evropského veřejného žalobce

1.   Eurojust má přímý přístup do ECRIS-TCN za účelem uplatňování článku 17 a plnění svých úkolů podle článku 2 nařízení (EU) 2018/1727 pro identifikaci členských států, jež mají informace o předchozích odsouzeních státních příslušníků třetích zemí.

2.   Europol má přímý přístup do ECRIS-TCN za účelem plnění svých úkolů podle čl. 4 odst. 1 písm. a) až e) a h) nařízení (EU) 2016/794 pro identifikaci členských států, jež mají informace o předchozích odsouzeních státních příslušníků třetích zemí.

3.   Úřad evropského veřejného žalobce má přímý přístup do ECRIS-TCN za účelem plnění svých úkolů podle článku 4 nařízení (EU) 2017/1939 pro identifikaci členských států, jež mají informace o předchozích odsouzeních státních příslušníků třetích zemí.

4.   Vyskytne-li se pozitivní nález poukazující na členské státy, jež mají informace z rejstříku trestů o státním příslušníku třetí země, mohou Eurojust, Europol a Úřad evropského veřejného žalobce využít své kontakty s vnitrostátními orgány těchto členských států a získat od nich způsobem stanoveným jejich zřizovacím aktem informace z rejstříku trestů.

Článek 15

Přístup oprávněných pracovníků Eurojustu, Europolu a Úřadu evropského veřejného žalobce

Eurojust, Europol a Úřad evropského veřejného žalobce odpovídají za řízení a pravidla přístupu řádně zmocněných pracovníků do ECRIS-TCN v souladu s tímto nařízením a za vypracování a pravidelnou aktualizaci seznamu těchto pracovníků a jejich profilů.

Článek 16

Povinnosti Eurojustu, Europolu a Úřadu evropského veřejného žalobce

Eurojust, Europol a Úřad evropského veřejného žalobce:

a)

zajišťují technické prostředky pro připojení k ECRIS-TCN a odpovídají za údržbu tohoto připojení;

b)

poskytují svým pracovníkům, kteří mají právo na přístup do ECRIS-TCN, předtím, než jim udělí oprávnění zpracovávat údaje uchovávané v centrálním systému, odbornou přípravu týkající se zejména pravidel pro zabezpečení a ochranu údajů a souvisejících základních práv;

c)

zajišťují, aby osobní údaje, které zpracovávají podle tohoto nařízení, byly chráněny v souladu s platnými pravidly pro ochranu údajů.

Článek 17

Kontaktní místo pro třetí země a mezinárodní organizace

1.   Třetí země a mezinárodní organizace mohou pro účely trestního řízení své žádosti o informaci o tom, které případné členské státy mají informace z rejstříku trestů o státním příslušníku třetí země, podat Eurojustu. Použijí k tomu standardní formulář, který je obsažen v příloze tohoto nařízení.

2.   Obdrží-li Eurojust žádost uvedenou v odstavci 1, použije ECRIS-TCN pro identifikaci případných členských států, jež mají informace z rejstříku trestů o dotyčném státním příslušníku třetí země.

3.   Vyskytne-li se pozitivní nález, Eurojust se dotáže členského státu, který má o dotčeném státním příslušníku třetí země informace z rejstříku trestů, zda souhlasí s tím, aby Eurojust informoval třetí zemi nebo mezinárodní organizaci, o který dotčený členský stát se jedná. Pokud s tím tento členský stát souhlasí, informuje Eurojust třetí zemi nebo mezinárodní organizaci o tomto členském státě a o způsobu, jak mohou v tomto členském státě podat v souladu s platnými postupy žádost o výpisy z rejstříků trestů.

4.   Pokud se pozitivní nález nevyskytne nebo Eurojust nemůže žádosti podané podle tohoto článku zodpovědět způsobem uvedeným v odstavci 3, informuje dotčenou třetí zemi nebo mezinárodní organizaci, že vyřizování žádosti ukončil, aniž by jakkoliv naznačil, zda má některý členský stát informace z rejstříku trestů týkající se dotčené osoby.

Článek 18

Poskytování informací třetí zemi, mezinárodní organizaci nebo soukromému subjektu

Eurojust, Europol, Úřad evropského veřejného žalobce ani žádný ústřední orgán nesmí třetí zemi, mezinárodní organizaci nebo soukromému subjektu předat nebo zpřístupnit informace získané z ECRIS-TCN a týkající se státního příslušníka třetí země. Tímto článkem není dotčen čl. 17 odst. 3.

Článek 19

Zabezpečení údajů

1.   Agentura eu-LISA přijme nezbytná opatření, aby zajistila zabezpečení ECRIS-TCN, aniž jsou dotčeny povinnosti každého členského státu, přičemž zohlední bezpečnostní opatření uvedená v odstavci 3.

2.   Pokud jde o provoz ECRIS-TCN, přijme agentura eu-LISA opatření nezbytná k dosažení cílů stanovených v odstavci 3, včetně přijetí bezpečnostního plánu, plánu kontinuity provozu a plánu pro obnovení provozu po havárii, a k zajištění toho, aby instalované systémy mohly být v případě výpadku obnoveny.

3.   Členské státy zajistí bezpečnost údajů před jejich přenosem do a z vnitrostátního ústředního přístupového místa a během něj. Každý členský stát je povinen zejména:

a)

údaje fyzicky chránit, mimo jiné vypracováním plánů pro nepředvídané situace, za účelem ochrany infrastruktury;

b)

odepřít neoprávněným osobám přístup do vnitrostátních zařízení, v nichž členský stát vykonává činnosti související s ECRIS-TCN;

c)

zabránit neoprávněnému čtení, kopírování, pozměňování či odstraňování nosičů údajů;

d)

zabránit neoprávněnému vkládání údajů a neoprávněnému prohlížení, pozměňování nebo výmazu uložených osobních údajů;

e)

zabránit neoprávněnému zpracovávání údajů v ECRIS-TCN a jakémukoli neoprávněnému pozměňování nebo výmazu údajů zpracovávaných v ECRIS-TCN;

f)

zajistit, aby osoby oprávněné k přístupu do ECRIS-TCN měly přístup pouze k údajům, na které se vztahuje jejich oprávnění k přístupu, a pouze prostřednictvím individuálního uživatelského hesla a chráněných režimů přístupu k informacím;

g)

zajistit, aby všechny orgány s právem přístupu do ECRIS-TCN vytvořily profily popisující funkce a povinnosti osob, jež jsou oprávněny údaje vkládat, opravovat, vymazávat, prohlížet nebo vyhledávat, a aby tyto profily bez zbytečného odkladu zpřístupnily vnitrostátním dozorovým orgánům, pokud o ně požádají;

h)

zajistit, aby bylo možné ověřit a zjistit, kterým institucím a jiným subjektům Unie lze osobní údaje předávat prostřednictvím zařízení pro přenos údajů;

i)

zajistit, aby bylo možné ověřit a zjistit, které údaje byly zpracovány v ECRIS-TCN, kdy, kým a pro jaký účel;

j)

zabránit neoprávněnému čtení, kopírování, pozměňování nebo výmazu osobních údajů při jejich přenosu do ECRIS-TCN a z něj nebo při přepravě nosičů údajů, zejména prostřednictvím vhodných technik šifrování;

k)

sledovat účinnost bezpečnostních opatření uvedených v tomto odstavci a přijímat nezbytná organizační opatření související s vlastní kontrolou a dozorem s cílem zajistit soulad s tímto nařízením.

4.   Agentura eu-LISA a členské státy spolupracují s cílem zajistit soudržný přístup k zabezpečení údajů založený na postupu řízení bezpečnostních rizik, který zahrnuje celý ECRIS-TCN.

Článek 20

Odpovědnost

1.   Každá osoba nebo členský stát, jimž vznikla hmotná či nehmotná újma v důsledku nezákonného zpracování nebo jiného činu neslučitelného s tímto nařízením, má nárok na náhradu vzniklé újmy od:

a)

členského státu, který za ni odpovídá, nebo

b)

agentury eu-LISA v případě, že nesplnila povinnosti stanovené tímto nařízením nebo nařízením (EU) 2018/1725.

Členský stát odpovědný za vzniklou újmu nebo případně agentura eu-LISA jsou zcela nebo zčásti zproštěny odpovědnosti, pokud prokáží, že za událost vedoucí ke vzniku újmy nenesou odpovědnost.

2.   Pokud jakékoli nesplnění povinností členského státu, Eurojustu, Europolu nebo Úřadu evropského veřejného žalobce podle tohoto nařízení způsobí ECRIS-TCN újmu, odpovídají za ni tento členský stát, Eurojust, Europol nebo Úřad evropského veřejného žalobce, ledaže by agentura eu-LISA nebo jiný členský stát účastnící se ECRIS-TCN opomenuly přijmout přiměřená opatření pro zabránění vzniku újmy nebo zmírnění jejích následků.

3.   Uplatnění nároku vůči členskému státu na náhradu újmy uvedenou v odstavcích 1 a 2 se řídí právem žalovaného členského státu. Uplatnění nároku vůči agentuře eu-LISA, Eurojustu, Europolu nebo Úřadu evropského veřejného žalobce na náhradu újmy uvedenou v odstavcích 1 a 2 se řídí podmínkami stanovenými v jejich zřizovacích aktech.

Článek 21

Vlastní kontrola

Členské státy zajistí, aby každý ústřední orgán přijal opatření nezbytná pro dodržování tohoto nařízení a v případě potřeby spolupracoval s dozorovými orgány.

Článek 22

Sankce

Za jakékoli zneužití údajů vložených do ECRIS-TCN se v souladu s vnitrostátním právem nebo právem Unie uloží účinné, přiměřené a odrazující sankce nebo disciplinární opatření.

KAPITOLA V

Práva a dozor v oblasti ochrany údajů

Článek 23

Správci a zpracovatelé údajů

1.   Každý ústřední orgán je považován za správce v souladu s platnými pravidly Unie pro ochranu údajů, pokud jde o zpracovávání osobních údajů členským státem daného ústředního orgánu podle tohoto nařízení.

2.   Agentura eu-LISA je považována za zpracovatele údajů v souladu s nařízením (EU) 2018/1725, pokud jde o osobní údaje, které členské státy vložily do centrálního systému.

Článek 24

Účel zpracování osobních údajů

1.   Údaje vložené do centrálního systému se zpracovávají pouze za účelem identifikace členských států, jež mají informace z rejstříku trestů o státních příslušnících třetích zemí.

2.   S výjimkou řádně zmocněných pracovníků Eurojustu, Europolu nebo Úřadu evropského veřejného žalobce, kteří mají přístup do ECRIS-TCN pro účely tohoto nařízení, je přístup do ECRIS-TCN výlučně vyhrazen řádně zmocněným pracovníkům ústředních orgánů. Přístup je omezen na rozsah nezbytný pro plnění úkolů v souladu s účelem uvedeným v odstavci 1 a na to, co je nezbytné a přiměřené s ohledem na sledované cíle.

Článek 25

Právo na přístup k osobním údajům, jejich opravu a vymazání a omezení jejich zpracování

1.   Žádosti státních příslušníků třetích zemí týkající se práv na přístup k osobním údajům, na jejich opravu a vymazání a na omezení jejich zpracování, jež jsou stanovena v platných pravidlech Unie pro ochranu údajů, mohou být podány ústřednímu orgánu kteréhokoli členského státu.

2.   Je-li žádost podána jinému než odsuzujícímu členskému státu, postoupí ji tento členský stát bez zbytečného odkladu a v každém případě do deseti pracovních dnů od obdržení odsuzujícímu členskému státu. Po obdržení žádosti odsuzující členský stát:

a)

okamžitě zahájí postup kontroly přesnosti dotčených údajů nebo zákonnosti jejich zpracování v ECRIS-TCN a

b)

bez zbytečného odkladu odpoví členskému státu, který mu žádost postoupil.

3.   V případě, že údaje zaznamenané v ECRIS-TCN jsou nepřesné, nebo byly zpracovány nezákonným způsobem, odsuzující členský stát je v souladu s článkem 9 opraví nebo vymaže. Odsuzující členský stát nebo případně členský stát, kterému byla žádost podána, dotčené osobě bez zbytečného odkladu písemně potvrdí, že byla přijata opatření za účelem opravy nebo vymazání údajů, které se jí týkají. Odsuzující členský stát rovněž bez zbytečného odkladu informuje o přijatých opatřeních všechny další členské státy, které obdržely informace o odsouzení získané na základě vyhledávání v ECRIS-TCN.

4.   Pokud odsuzující členský stát nesouhlasí s tím, že údaje zaznamenané v ECRIS-TCN jsou nepřesné, nebo že byly zpracovány nezákonným způsobem, přijme správní nebo soudní rozhodnutí a písemně informuje dotčenou osobu, proč nehodlá opravit nebo vymazat údaje, které se jí týkají. Je-li to vhodné, může být o těchto případech informován vnitrostátní dozorový orgán.

5.   Členský stát, který přijal rozhodnutí podle odstavce 4, také dotčenou osobu informuje o krocích, které může učinit, pokud pro ni odůvodnění poskytnuté podle odstavce 4 není přijatelné. To zahrnuje informace o postupu podání žaloby nebo stížnosti příslušným orgánům nebo soudům daného členského státu a o veškeré pomoci dostupné v souladu s vnitrostátním právem daného členského státu, včetně pomoci vnitrostátních dozorových orgánů.

6.   Jakákoli žádost podaná podle odstavce 1 musí obsahovat informace nezbytné pro zjištění totožnosti dotčené osoby. Tyto informace se použijí výhradně za účelem umožnění výkonu práv uvedených v odstavci 1 a ihned poté se vymaží.

7.   Pokud se použije odstavec 2, ústřední orgán, kterému byla žádost podána, uchová písemný záznam o jejím podání, o způsobu jejího řešení a o orgánu, kterému byla postoupena. Ústřední orgán tento záznam neprodleně zpřístupní vnitrostátnímu dozorovému orgánu, pokud o to požádá. Ústřední orgán a vnitrostátní dozorový orgán tyto záznamy vymaží po uplynutí tří let od jejich pořízení.

Článek 26

Spolupráce k zajištění dodržování práv v oblasti ochrany údajů

1.   Ústřední orgány vzájemně spolupracují za účelem zajištění dodržování práv stanovených v článku 25.

2.   Vnitrostátní dozorový orgán v každém členském státě na požádání informuje dotčenou osobu o tom, jak má uplatnit své právo na opravu nebo výmaz údajů, které se jí týkají, v souladu s platnými pravidly Unie pro ochranu údajů.

3.   Vnitrostátní dozorový orgán členského státu, který údaje předal, a vnitrostátní dozorové orgán členského státu, kterému byla žádost podána, vzájemně spolupracují pro účely tohoto článku.

Článek 27

Právní ochrana

Každá osoba má právo podat stížnost a právo na právní ochranu v odsuzujícím členském státě, který odepřel právo na přístup k údajům, které se jí týkají, uvedeným v článku 25, nebo právo na jejich opravu nebo výmaz, v souladu s vnitrostátním právem či právem Unie.

Článek 28

Dozor vykonávaný vnitrostátními dozorovými orgány

1.   Každý členský stát zajistí, aby vnitrostátní dozorové orgány určené podle platných pravidel Unie pro ochranu údajů dohlížely na zákonnost zpracování osobních údajů podle článků 5 a 6 dotčeným členským státem, včetně jejich přenosu do ECRIS-TCN a z něj.

2.   Vnitrostátní dozorový orgán zajistí, aby byl alespoň jednou za tři roky ode dne zahájení provozu ECRIS-TCN proveden podle příslušných mezinárodních auditorských standardů audit operací zpracování údajů ve vnitrostátním rejstříku trestů a databázích otisků prstů týkajících se výměny údajů mezi těmito systémy a ECRIS-TCN.

3.   Členské státy zajistí, aby jejich vnitrostátní dozorové orgány měly dostatek zdrojů k plnění úkolů, které jim toto nařízení ukládá.

4.   Každý členský stát poskytne veškeré informace, které si jeho vnitrostátní dozorové orgány vyžádají, a zejména informace o činnostech prováděných v souladu s články 12, 13 a 19. Každý členský stát poskytne svým vnitrostátním dozorovým orgánům přístup ke svým záznamům podle čl. 25 odst. 7 a ke svým protokolům podle čl. 31 odst. 6 a umožní jim kdykoliv přístup do všech prostor souvisejících s jeho ECRIS-TCN.

Článek 29

Dozor vykonávaný evropským inspektorem ochrany údajů

1.   Evropský inspektor ochrany údajů sleduje, zda jsou činnosti agentury eu-LISA související se zpracováním osobních údajů v ECRIS-TCN prováděny v souladu s tímto nařízením.

2.   Evropský inspektor ochrany údajů zajistí, aby byl alespoň jednou za tři roky v souladu s příslušnými mezinárodními auditorskými standardy proveden audit činností agentury eu-LISA souvisejících se zpracováváním osobních údajů. Zpráva o tomto auditu se zasílá Evropskému parlamentu, Radě, Komisi, agentuře eu-LISA a dozorovým orgánům. Agentura eu-LISA má možnost se ke zprávě před jejím přijetím vyjádřit.

3.   Agentura eu-LISA poskytuje evropskému inspektorovi ochrany údajů informace, o které požádá, a poskytuje mu přístup ke všem dokumentům a ke svým protokolům pořízeným podle článku 31 a nepřetržitý přístup do všech svých prostor.

Článek 30

Spolupráce vnitrostátních dozorových orgánů s evropským inspektorem ochrany údajů

Koordinovaný dozor nad ECRIS-TCN je zajišťován v souladu s článkem 62 nařízení (EU) 2018/1725.

Článek 31

Vedení protokolů

1.   Agentura eu-LISA a příslušné orgány, každý ve své působnosti, zajistí, aby všechny operace zpracování údajů v ECRIS-TCN byly zaprotokolovány v souladu s odstavcem 2 pro účely kontroly přípustnosti žádosti, sledování integrity a zabezpečení údajů a zákonnosti zpracování údajů, jakož i pro účely vlastní kontroly.

2.   Protokol musí obsahovat:

a)

účel žádosti o přístup k údajům ECRIS-TCN;

b)

předané údaje podle článku 5;

c)

odkaz na vnitrostátní spis;

d)

datum a přesný čas operace;

e)

údaje použité pro dotaz;

f)

identifikační značku úředníka, který vyhledávání provedl.

3.   Protokol o operacích nahlížení do systému a poskytování údajů umožní určit důvody těchto operací.

4.   Protokoly se použijí pouze pro sledování zákonnosti zpracování údajů a pro zajištění integrity a zabezpečení údajů. Pro sledování a hodnocení uvedené v článku 36 smějí být použity pouze protokoly obsahující jiné než osobní údaje. Tyto protokoly musí být chráněny vhodnými opatřeními proti neoprávněnému přístupu a vymazány po uplynutí tří let, pokud nejsou nezbytné pro již zahájené kontrolní postupy.

5.   Na požádání zpřístupní agentura eu-LISA protokoly o svých operacích zpracování údajů bez zbytečného odkladu ústředním orgánům.

6.   Příslušné vnitrostátní dozorové orgány odpovědné za kontrolu přípustnosti žádosti a sledování zákonnosti zpracování údajů a integrity a zabezpečení údajů mají na požádání přístup k protokolům za účelem plnění svých povinností. Ústřední orgány na požádání zpřístupní příslušným vnitrostátním dozorovým orgánům bez zbytečného odkladu protokoly o svých operacích zpracování údajů.

KAPITOLA VI

Vizávěrečná ustanovení

Článek 32

Používání údajů pro účely hlášení a statistik

1.   Řádně zmocnění pracovníci agentury eu-LISA, příslušných orgánů a Komise mají přístup k údajům zpracovávaným v rámci ECRIS-TCN výlučně pro účely hlášení a statistik bez možnosti zjistit totožnost jednotlivých osob.

2.   Pro účely odstavce 1 agentura eu-LISA zřídí, realizuje a provozuje ve svých technických zařízeních centrální úložiště obsahující údaje uvedené v odstavci 1, které by umožnilo získávat přizpůsobitelné zprávy a statistiky bez možnosti zjistit totožnost jednotlivých osob. Přístup do centrálního úložiště je umožněn přes zabezpečený přístup s kontrolovaným přístupem a specifickými uživatelskými profily, a to výhradně pro účely hlášení a statistik.

3.   Postupy zavedené agenturou eu-LISA ke sledování fungování ECRIS-TCN uvedené v článku 36, jakož i referenčního provedení ECRIS zahrnují možnost vydávat pravidelné statistiky za účelem tohoto sledování.

Agentura eu-LISA předkládá Komisi každý měsíc statistiky zaznamenávání, uchovávání a výměny informací, které byly získány z rejstříku trestů, prostřednictvím ECRIS-TCN a referenčního provedení ECRIS. Agentura eu-LISA zajistí, aby na základě těchto statistik nebylo možné zjistit totožnost jednotlivých osob. Na žádost Komise poskytne agentura eu-LISA statistiky o konkrétních aspektech týkajících se provádění tohoto nařízení.

4.   Členské státy poskytnou agentuře eu-LISA statistiky, které potřebuje k plnění svých povinností uvedených v tomto článku. Komisi poskytnou statistiky o počtu odsouzených státních příslušníků třetích zemí na jejich území, jakož i o počtu odsouzení státních příslušníků třetích zemí vydaných na jejich území.

Článek 33

Náklady

1.   Náklady spojené se zřízením a provozem centrálního systému, komunikační infrastruktury uvedené v čl. 4 odst. 1 písm. d), softwaru rozhraní a referenčního provedení ECRIS jsou hrazeny ze souhrnného rozpočtu Unie.

2.   Náklady připojení Eurojustu, Europolu a Úřadu evropského veřejného žalobce k ECRIS-TCN jsou hrazeny z jejich rozpočtů.

3.   Ostatní náklady hradí členské státy, zejména náklady vzniklé připojením stávajících vnitrostátních rejstříků trestů, databází otisků prstů a ústředních orgánů k ECRIS-TCN, jakož i náklady na umístění referenčního provedení ECRIS.

Článek 34

Oznámení

1.   Každý členský stát oznámí agentuře eu-LISA svůj ústřední orgán nebo orgány, které jsou oprávněny vkládat, opravovat, vymazávat, prohlížet či vyhledávat údaje, jakož i veškeré změny, k nimž v tomto ohledu dojde.

2.   Agentura eu-LISA zajistí zveřejnění seznamu ústředních orgánů oznámených členskými státy v Úředním věstníku Evropské unie i na svých internetových stránkách. Když agentura eu-LISA obdrží oznámení o změně ústředního orgánu členského státu, bez zbytečného odkladu seznam aktualizuje.

Článek 35

Vkládání údajů a zahájení činnosti

1.   Komise stanoví den, od kterého členské státy začnou do ECRIS-TCN vkládat údaje uvedené v článku 5, jakmile se ujistí, že jsou splněny tyto podmínky:

a)

byly přijaty relevantní prováděcí akty uvedené v článku 10;

b)

členské státy potvrdily, že byla provedena nezbytná technická a právní opatření pro shromažďování údajů uvedených v článku 5 a jejich předávání do ECRIS-TCN, a oznámily tato opatření Komisi;

c)

agentura eu-LISA ve spolupráci s členskými státy provedla souhrnný test ECRIS-TCN s použitím anonymních testovacích údajů.

2.   Jakmile Komise stanoví den zahájení vkládání údajů v souladu s odstavcem 1, sdělí jej členským státům. Do dvou měsíců od tohoto dne členské státy vloží do ECRIS-TCN údaje uvedené v článku 5, přičemž zohlední čl. 41 odst. 2.

3.   Po uplynutí doby uvedené v odstavci 2 provede agentura eu-LISA ve spolupráci s členskými státy závěrečný test ECRIS-TCN.

4.   Pokud bude test uvedený v odstavci 3 úspěšně dokončen a agentura eu-LISA se domnívá, že ECRIS-TCN je připraven na zahájení provozu, oznámí to Komisi. Komise informuje Evropský parlament a Radu o výsledcích testu a rozhodne o dni zahájení provozu ECRIS-TCN.

5.   Rozhodnutí Komise o dni zahájení provozu ECRIS-TCN podle odstavce 4 se zveřejní v Úředním věstníku Evropské unie.

6.   Členské státy začnou používat ECRIS-TCN ode dne stanoveného Komisí v souladu s odstavcem 4.

7.   Při přijímání rozhodnutí podle tohoto článku může Komise stanovit různé dny pro zahájení vkládání alfanumerických údajů a údajů o otiscích prstů, které jsou uvedeny v článku 5, do ECRIS-TCN a pro zahájení provozu v souvislosti s těmito různými kategoriemi údajů.

Článek 36

Sledování a hodnocení

1.   Agentura eu-LISA zajistí zavedení postupů, které budou sledovat vývoj ECRIS-TCN, pokud jde o cíle v oblasti plánování a nákladů, a dále budou sledovat fungování ECRIS-TCN a referenčního provedení ECRIS, pokud jde o cíle v oblasti technických výstupů, nákladové efektivnosti, zabezpečení a kvality služeb.

2.   S cílem sledovat fungování ECRIS-TCN a jeho technickou údržbu má agentura eu-LISA přístup k potřebným informacím týkajícím se operací zpracování údajů prováděných v ECRIS-TCN a v referenčním provedení ECRIS.

3.   Do 12. prosince 2019 a poté každých šest měsíců během fáze návrhu a vývoje předloží agentura eu-LISA zprávu Evropskému parlamentu a Radě o aktuálním stavu návrhu a vývoje ECRIS-TCN a referenčního provedení ECRIS.

4.   Zpráva uvedená v odstavci 3 obsahuje přehled aktuálních nákladů a průběhu projektu, posouzení finančních dopadů a informace o jakýchkoli technických problémech a rizicích, které by mohly ovlivnit celkové náklady na ECRIS-TCN hrazené ze souhrnného rozpočtu Unie podle článku 33.

5.   V případě podstatných prodlev v procesu vývoje informuje agentura eu-LISA Evropský parlament a Radu co nejdříve o důvodech těchto prodlev a jejich časových a finančních dopadech.

6.   Po ukončení vývoje ECRIS-TCN a referenčního provedení ECRIS předloží agentura eu-LISA Evropskému parlamentu a Radě zprávu, v níž vysvětlí, jak byly splněny cíle, zejména cíle v oblasti plánování a nákladů, a odůvodní případné odchylky.

7.   V případě technické aktualizace ECRIS-TCN, jež by mohla znamenat podstatné náklady, o tom agentura eu-LISA informuje Evropský parlament a Radu.

8.   Dva roky po zahájení provozu ECRIS-TCN a poté každé dva roky předloží agentura eu-LISA Komisi zprávu o technickém fungování ECRIS-TCN a referenčního provedení ECRIS, včetně jejich zabezpečení, vycházející především ze statistik o fungování a používání ECRIS-TCN a o výměně informací, které byly získány z rejstříku trestů, prostřednictvím referenčního provedení ECRIS.

9.   Čtyři roky po zahájení provozu ECRIS-TCN a poté každé čtyři roky provede Komise celkové hodnocení ECRIS-TCN a referenčního provedení ECRIS. Zpráva o celkovém hodnocení vypracovaná na tomto základě zahrne posouzení uplatňování tohoto nařízení, přezkum dosažených výsledků ve vztahu ke stanoveným cílům a posouzení dopadu na základní práva. Zpráva rovněž zahrne posouzení skutečnosti, zda je výchozí princip fungování ECRIS-TCN nadále platný, posouzení přiměřenosti používání biometrických údajů pro účely ECRIS-TCN a posouzení zabezpečení ECRIS-TCN a všech bezpečnostních faktorů, jež mohou mít dopad na budoucí operace. Hodnocení zahrnuje veškerá nezbytná doporučení. Komise uvedenou zprávu předloží Evropskému parlamentu, Radě, evropskému inspektorovi ochrany údajů a Agentuře Evropské unie pro základní práva.

10.   První celkové hodnocení podle odstavce 9 kromě toho obsahuje posouzení:

a)

míry, v jaké zahrnutí informací o totožnosti občanů Unie, kteří jsou zároveň státními příslušníky třetí země, do ECRIS-TCN přispělo k dosažení cílů tohoto nařízení, a to na základě relevantních statistických údajů a dalších informací od členských států;

b)

možnosti, aby některé členské státy nadále používaly vnitrostátní software pro provedení ECRIS v souladu s článkem 4;

c)

vložení údajů o otiscích prstů do ECRIS-TCN, a zejména pak použití minimálních kritérií uvedených v čl. 5 odst. 1 písm. b) bodě ii);

d)

dopadu ECRIS a ECRIS-TCN na ochranu osobních údajů.

K posouzení lze v případě potřeby připojit legislativní návrhy. Následná celková hodnocení mohou obsahovat posouzení kteréhokoli či všech těchto aspektů.

11.   Členské státy, Eurojust a Europol a Úřad evropského veřejného žalobce poskytnou agentuře eu-LISA a Komisi informace nezbytné pro vypracování zpráv uvedených v odstavcích 3, 8 a 9 v souladu s kvantitativními ukazateli předem stanovenými Komisí, agenturou eu-LISA nebo oběma. Tyto informace nesmějí ohrozit pracovní metody ani obsahovat informace, které prozrazují zdroje, pracovníky nebo vyšetřování určených orgánů.

12.   V relevantních případech poskytnou dozorové orgány agentuře eu-LISA a Komisi informace nezbytné pro vypracování zpráv uvedených v odstavci 9 v souladu s kvantitativními ukazateli předem stanovenými Komisí, agenturou eu-LISA nebo oběma. Tyto informace nesmějí ohrozit pracovní metody ani obsahovat informace, které prozrazují zdroje, pracovníky nebo vyšetřování.

13.   Agentura eu-LISA poskytne Komisi informace nezbytné k vypracování celkových hodnocení podle odstavce 9.

Článek 37

Výkon přenesené pravomoci

1.   Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.

2.   Pravomoc přijímat akty v přenesené pravomoci uvedené v čl. 6 odst. 2 je svěřena Komisi na dobu neurčitou od 11. června 2019.

3.   Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 6 odst. 2 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4.   Před přijetím aktu v přenesené pravomoci vede Komise konzultace s odborníky jmenovanými jednotlivými členskými státy v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů.

5.   Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

6.   Akt v přenesené pravomoci přijatý podle čl. 6 odst. 2 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se uvedená lhůta prodlouží o dva měsíce.

Článek 38

Postup projednávání ve výboru

1.   Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.   Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

Pokud výbor nevydá žádné stanovisko, Komise návrh prováděcího aktu nepřijme a použije se čl. 5 odst. 4 třetí pododstavec nařízení (EU) č. 182/2011.

Článek 39

Poradní skupina

Agentura eu-LISA zřídí poradní skupinu, aby získala odborné poznatky související se ECRIS-TCN a referenčním provedením ECRIS, zejména v souvislosti s přípravou svého ročního pracovního programu a výroční zprávy o činnosti. Během fáze návrhu a vývoje se použije čl. 11 odst. 9.

Článek 40

Změny nařízení (EU) 2018/1726

Nařízení (EU) 2018/1726 se mění takto:

1)

V článku 1 se odstavec 4 nahrazuje tímto:

„4.   Agentura odpovídá za přípravu, vývoj nebo provozní řízení systému vstupu/výstupu (EES), sítě DubliNet, evropského systému pro cestovní informace a povolení (ETIAS), ECRIS-TCN a referenčního provedení ECRIS.“

2)

Vkládá se nový článek, který zní:

„Článek 8a

Úkoly související se ECRIS-TCN a referenčním provedením ECRIS

V souvislosti se ECRIS-TCN a referenčním provedením ECRIS agentura plní:

a)

úkoly, kterými ji pověřuje nařízení Evropského parlamentu a Rady (EU) 2019/816 (*1)

b)

úkoly související s odbornou přípravou zaměřenou na technické aspekty používání ECRIS-TCN a referenčního provedení ECRIS.

(*1)  Nařízení Evropského parlamentu a Rady (EU) 2019/816 ze dne 17. dubna 2019, kterým se zřizuje centralizovaný systém pro identifikaci členských států, jež mají informace o odsouzeních státních příslušníků třetích zemí a osob bez státní příslušnosti (ECRIS-TCN), na doplnění Evropského informačního systému rejstříků trestů, a kterým se mění nařízení (EU) 2018/1726 (Úř. věst. L 135, 22.5.2019, s. 1).“"

3)

V článku 14 se odstavec 1 nahrazuje tímto:

„1.   Agentura sleduje vývoj v oblasti výzkumu, který je důležitý pro provozní řízení SIS II, VIS, Eurodacu, EES, ETIAS, sítě DubliNet, ECRIS-TCN a jiných rozsáhlých informačních systémů uvedených v čl. 1 odst. 5.“

4)

V článku 19 se odstavec 1 mění takto:

a)

písmeno ee) se nahrazuje tímto:

„ee)

přijímá zprávy o vývoji EES podle čl. 72 odst. 2 nařízení (EU) 2017/2226, o vývoji ETIAS podle čl. 92 odst. 2 nařízení (EU) 2018/1240 a zprávy o vývoji ECRIS-TCN a referenčního provedení ECRIS podle čl. 36 odst. 3 nařízení (EU) 2019/816;“

b)

písmeno ff) se nahrazuje tímto:

„ff)

přijímá zprávy o technickém fungování SIS II podle čl. 50 odst. 4 nařízení (ES) č. 1987/2006 a čl. 66 odst. 4 rozhodnutí 2007/533/SVV, o technickém fungování VIS podle čl. 50 odst. 3 nařízení (ES) č. 767/2008 a čl. 17 odst. 3 rozhodnutí 2008/633/SVV, o technickém fungování EES podle čl. 72 odst. 4 nařízení (EU) 2017/2226, o technickém fungování ETIAS podle čl. 92 odst. 4 nařízení (EU) 2018/1240 a o technickém fungování ECRIS-TCN a referenčního provedení ECRIS podle čl. 36 odst. 8 nařízení (EU) 2019/816;“

c)

písmeno hh) se nahrazuje tímto:

„hh)

přijímá oficiální připomínky ke zprávám evropského inspektora ochrany údajů o auditech provedených podle čl. 45 odst. 2 nařízení (ES) č. 1987/2006, čl. 42 odst. 2 nařízení (ES) č. 767/2008, čl. 31 odst. 2 nařízení (EU) č. 603/2013 a čl. 56 odst. 2 nařízení (EU) 2017/2226, článku 67 nařízení (EU) 2018/1240 a čl. 29 odst. 2 nařízení (EU) 2019/816 a zajišťuje patřičná opatření v návaznosti na tyto audity;“

d)

vkládá se nové písmeno, které zní:

„lla)

předkládá Komisi statistiky týkající se ECRIS-TCN a referenčního provedení ECRIS podle čl. 32 odst. 3 druhého pododstavce nařízení (EU) 2019/816;“

e)

písmeno mm) se nahrazuje tímto:

„mm)

zajišťuje každoroční zveřejnění seznamu příslušných orgánů, které jsou oprávněny přímo vyhledávat v údajích obsažených v SIS II podle čl. 31 odst. 8 nařízení (ES) č. 1987/2006 a čl. 46 odst. 8 rozhodnutí 2007/533/SVV, spolu se seznamem úřadů vnitrostátních systémů SIS II (úřady N.SIS II) a centrál SIRENE podle čl. 7 odst. 3 nařízení (ES) č. 1987/2006 a čl. 7 odst. 3 rozhodnutí 2007/533/SVV, jakož i se seznamem příslušných orgánů podle čl. 65 odst. 2 nařízení (EU) 2017/2226, seznamem příslušných orgánů podle čl. 87 odst. 2 nařízení (EU) 2018/1240 a seznamem ústředních orgánů podle čl. 34 odst. 2 nařízení (EU) 2019/816;“.

5)

V čl. 22 odst. 4 se za třetí pododstavec vkládá nový pododstavec, který zní:

„Eurojust, Europol a Úřad evropského veřejného žalobce se mohou také účastnit zasedání správní rady jako pozorovatelé, jsou-li na pořadu jednání otázky týkající se ECRIS-TCN ve vztahu k uplatňování nařízení (EU) 2019/816.“

6)

V čl. 24 odst. 3 se písmeno p) nahrazuje tímto:

„p)

aniž je dotčen článek 17 služebního řádu, stanovení požadavků na důvěrnost údajů k zajištění souladu s článkem 17 nařízení (ES) č. 1987/2006, článkem 17 rozhodnutí 2007/533/SVV, čl. 26 odst. 9 nařízení (ES) č. 767/2008, čl. 4 odst. 4 nařízení (EU) č. 603/2013, čl. 37 odst. 4 nařízení (EU) 2017/2226, čl. 74 odst. 2 nařízení (EU) 2018/1240 a čl. 11 odst. 16 nařízení (EU) 2019/816;“.

7)

V čl. 27 odst. 1 se vkládá nové písmeno, které zní:

„da)

poradní skupina pro ECRIS-TCN;“.

Článek 41

Provádění a přechodná ustanovení

1.   Členské státy přijmou co nejdříve opatření nezbytná pro dosažení souladu s tímto nařízením s cílem zajistit řádné fungování ECRIS-TCN.

2.   U odsouzení vydaných přede dnem zahájení vkládání údajů určeným podle čl. 35 odst. 1 pořídí ústřední orgány jednotlivé datové záznamy v centrálním systému takto:

a)

alfanumerické údaje vloží do centrálního systému do konce období uvedeného v čl. 35 odst. 2;

b)

údaje o otiscích prstů vloží do centrálního systému do dvou let po zahájení provozu v souladu s čl. 35 odst. 4.

Článek 42

Vstup v platnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Toto nařízení je závazné v celém rozsahu a přímo použitelné v členských státech v souladu se Smlouvami.

Ve Štrasburku dne 17. dubna 2019.

Za Evropský parlament

předseda

A. TAJANI

Za Radu

předseda

G. CIAMBA


(1)  Postoj Evropského parlamentu ze dne 12. března 2019 (dosud nezveřejněn v Úředním věstníku) a rozhodnutí Rady ze dne 19. dubna 2019.

(2)  Rámcové rozhodnutí Rady 2008/675/SVV ze dne 24. července 2008 o zohledňování odsouzení v členských státech Evropské unie při novém trestním řízení (Úř. věst. L 220, 15.8.2008, s. 32).

(3)  Rámcové rozhodnutí Rady 2009/315/SVV ze dne 26. února 2009 o organizaci a obsahu výměny informací z rejstříku trestů mezi členskými státy (Úř. věst. L 93, 7.4.2009, s. 23).

(4)  Rozhodnutí Rady 2009/316/SVV ze dne 6. dubna 2009 o zřízení Evropského informačního systému rejstříků trestů (ECRIS) podle článku 11 rámcového rozhodnutí 2009/315/SVV (Úř. věst. L 93, 7.4.2009, s. 33).

(5)  Nařízení Evropského parlamentu a Rady (EU) 2018/1726 ze dne 14. listopadu 2018 o Agentuře Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (eu-LISA) a o změně nařízení (ES) č. 1987/2006 a rozhodnutí Rady 2007/533/SVV a zrušení nařízení (EU) č. 1077/2011 (Úř. věst. L 295, 21.11.2018, s. 99).

(6)  Směrnice Evropského parlamentu a Rady 2011/93/EU ze dne 13. prosince 2011 o boji proti pohlavnímu zneužívání a pohlavnímu vykořisťování dětí a proti dětské pornografii, kterou se nahrazuje rámcové rozhodnutí Rady 2004/68/SVV (Úř. věst. L 335, 17.12.2011, s. 1).

(7)  Nařízení Evropského parlamentu a Rady (EU) 2018/1727 ze dne 14. listopadu 2018 o Agentuře Evropské unie pro justiční spolupráci v trestních věcech (Eurojust) a o nahrazení a zrušení rozhodnutí Rady 2002/187/SVV (Úř. věst. L 295, 21.11.2018, s. 138).

(8)  Nařízení Evropského parlamentu a Rady (EU) 2016/794 ze dne 11. května 2016 o Agentuře Evropské unie pro spolupráci v oblasti prosazování práva (Europol) a o zrušení a nahrazení rozhodnutí Rady 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV (Úř. věst. L 135, 24.5.2016, s. 53).

(9)  Nařízení Rady (EU) 2017/1939 ze dne 12. října 2017, kterým se provádí posílená spolupráce za účelem zřízení Úřadu evropského veřejného žalobce (dále jen „EPPO“) (Úř. věst. L 283, 31.10.2017, s. 1).

(10)  Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).

(11)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(12)  Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).

(13)  Úř. věst. L 123, 12.5.2016, s. 1.

(14)  Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(15)  Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(16)  Úř. věst. C 55, 14.2.2018, s. 4.

(17)  Úř. věst. L 56, 4.3.1968, s. 1.


PŘÍLOHA

STANDARDNÍ FORMULÁŘ ŽÁDOSTI O INFORMACE PODLE ČL. 17 ODST. 1 NAŘÍZENÍ (EU) 2019/816 S CÍLEM ZÍSKAT INFORMACE, KTERÝ ČLENSKÝ STÁT PŘÍPADNĚ MÁ INFORMACE Z REJSTŘÍKU TRESTŮ O STÁTNÍM PŘÍSLUŠNÍKU TŘETÍ ZEMĚ

Image 1 Text obrazu

22.5.2019   

CS

Úřední věstník Evropské unie

L 135/27


NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2019/817

ze dne 20. května 2019,

kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti hranic a víz a mění nařízení Evropského parlamentu a Rady (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2, článek 74 a čl. 77 odst. 2 písm. a), b), d) a e) této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru (1),

po konzultaci s Výborem regionů,

v souladu s řádným legislativním postupem (2),

vzhledem k těmto důvodům:

(1)

Komise ve svém sdělení ze dne 6. dubna 2016 nazvaném Silnější a inteligentnější informační systémy pro ochranu hranic a bezpečnost zdůraznila potřebu zlepšit unijní architekturu správy údajů pro správu hranic a bezpečnost. Toto sdělení zahájilo proces směřující k dosažení interoperability mezi informačními systémy EU pro bezpečnost, správu hranic a řízení migrace s cílem vyřešit strukturální nedostatky související s těmito systémy, které ztěžují práci vnitrostátních orgánů, a zajistit, aby příslušníci pohraniční stráže, celní úřady, policisté a justiční orgány měli k dispozici nezbytné informace.

(2)

Ve svém Plánu na posílení výměny informací a správy informací včetně řešení interoperability v oblasti spravedlnosti a vnitřních věcí ze dne 6. dubna 2016 Rada určila různé právní, technické a provozní problémy týkající se interoperability informačních systémů EU a vyzvala k hledání řešení.

(3)

Ve svém usnesení ze dne 6. července 2016 o strategických prioritách pro pracovní program Komise na rok 2017 (3) požadoval Evropský parlament návrhy na zdokonalení a rozvoj stávajících informačních systémů EU, vyřešení mezer v informacích a pokrok směrem k interoperabilitě těchto systémů, jakož i návrhy na závazné sdílení informací na úrovni EU doprovázené nezbytnými zárukami v oblasti ochrany údajů.

(4)

Ve svých závěrech ze dne 15. prosince 2016 Evropská rada vyzvala k dalšímu zlepšování interoperability informačních systémů a databází EU.

(5)

Ve své závěrečné zprávě ze dne 11. května 2017 dospěla expertní skupina na vysoké úrovni pro informační systémy a interoperabilitu k závěru, že je nezbytné a technicky proveditelné vypracovat praktická řešení pro interoperabilitu, a že interoperabilita by mohla v zásadě mít operativní přínosy a současně být vytvořena v souladu s požadavky na ochranu údajů.

(6)

Ve svém sdělení ze dne 16. května 2017 nazvaném Sedmá zpráva o pokroku na cestě k účinné a skutečné bezpečnostní unii Komise v souladu se svým sdělením ze dne 6. dubna 2016 a na základě zjištění a doporučení expertní skupiny na vysoké úrovni pro informační systémy a interoperabilitu stanovila nový přístup ke správě údajů pro ochranu hranic, bezpečnost a migraci, v němž jsou všechny informační systémy EU pro bezpečnost, správu hranic a řízení migrace interoperabilní, a to při plném dodržování základních práv.

(7)

Ve svých závěrech ze dne 9. června 2017 o dalším postupu s cílem zlepšit výměnu informací a zajistit interoperabilitu informačních systémů EU vyzvala Rada Komisi, aby usilovala o řešení interoperability tak, jak je navrhla expertní skupina na vysoké úrovni.

(8)

Ve svých závěrech ze dne 23. června 2017 Evropská rada zdůraznila potřebu zlepšovat interoperabilitu mezi databázemi a vyzvala Komisi, aby na základě návrhů předložených expertní skupinou na vysoké úrovni pro informační systémy a interoperabilitu vypracovala co nejdříve návrh právního předpisu.

(9)

Aby bylo možné zlepšit efektivitu a účinnost kontrol na vnějších hranicích, přispět k prevenci a potírání nedovoleného přistěhovalectví a přispět k vysoké úrovni bezpečnosti v oblasti svobody, bezpečnosti a práva Unie, včetně udržování veřejné bezpečnosti a veřejného pořádku a zajišťování bezpečnosti na území členských států, zlepšit provádění společné vízové politiky, pomáhat při posuzování žádostí o mezinárodní ochranu, přispět k prevenci, odhalování a vyšetřování teroristických trestných činů a jiných závažných trestných činů, usnadnit zjišťování totožnosti neznámých osob, které nejsou schopny samy prokázat svou totožnost, nebo identifikaci lidských pozůstatků v případě přírodní katastrofy, nehody nebo teroristického útoku a zachovat důvěru veřejnosti v migrační a azylový systém Unie, bezpečnostní opatření Unie a v její schopnost spravovat vnější hranice, je třeba zajistit interoperabilitu mezi informačními systémy EU, zejména Systému vstupu/výstupu (systém EES), Vízového informačního systému (VIS), Evropského systému pro cestovní informace a povolení (ETIAS), systému Eurodac (Eurodac), Schengenského informačního systému (SIS) a Evropského informačního systému rejstříků trestů pro státní příslušníky třetích zemí (ECRIS-TCN), tak aby se tyto informační systémy EU a jejich údaje navzájem doplňovaly, a to při současném dodržení základních práv jednotlivců, zejména práva na ochranu osobních údajů. V zájmu dosažení uvedeného cíle by se měl zřídit Evropský vyhledávací portál (ESP), sdílená služba pro porovnávání biometrických údajů (sdílená BMS), společné úložiště údajů o totožnosti (CIR) a detektor vícenásobné totožnosti (MID) jako složky interoperability.

(10)

Interoperabilita mezi informačními systémy EU by měla umožnit, aby se uvedené systémy navzájem doplňovaly s cílem usnadnit správné zjištění totožnosti osob, včetně totožnosti neznámých osob, které nejsou schopny samy prokázat svou totožnost, nebo identifikaci lidských pozůstatků, přispět k boji proti podvodnému zneužívání totožnosti, zlepšit a harmonizovat požadavky na kvalitu údajů příslušných informačních systémů EU, usnadnit technické a provozní provádění informačních systémů EU členskými státy, posílit záruky pro zabezpečení a ochranu údajů vztahující se na příslušné informační systémy EU, zjednodušit přístup pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů k EES, VIS, ETIAS a Eurodac a podpořit účely EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN.

(11)

Složky interoperability by měly pokrývat EES, VIS, ETIAS, Eurodac, SIS a ECRIS-TCN. Rovněž by měly pokrývat údaje Europolu, ale pouze v takovém rozsahu, aby se umožnilo souběžné vyhledávání v údajích Europolu a v uvedených informačních systémech EU.

(12)

Složky interoperability by měly zpracovávat osobní údaje osob, jejichž osobní údaje jsou zpracovávány v základních informačních systémech EU a Europolem.

(13)

ESP by měl být zřízen s cílem technicky usnadnit rychlý, plynulý, účinný, systematický a řízený přístup orgánů členských států a agentur Unie k informačním systémům EU, k údajům Europolu a k databázím Mezinárodní organizace kriminální policie (Interpolu), a to v rozsahu, který v souladu se svými přístupovými právy potřebují k plnění svých úkolů. ESP by měl být rovněž zřízen s cílem podpořit účely EES, VIS, ETIAS, Eurodacu, SIS, ECRIS-TCN a údajů Europolu. Tím, že umožní souběžné vyhledávání ve všech příslušných informačních systémech EU, údajích Europolu a databázích Interpolu, měl by ESP fungovat jako jednotný portál nebo „zprostředkovatel zpráv“ pro vyhledávání v různých centrálních systémech, přičemž by plynule při plném dodržování požadavků na kontrolu přístupu a ochranu údajů základních systémů získával nezbytné informace.

(14)

Architektura ESP by měla zaručit, aby při vyhledávání v databázích Interpolu nebyly údaje používané uživatelem ESP k zahájení vyhledávání sdíleny s majiteli údajů Interpolu. Architektura ESP by měla rovněž zaručit, aby bylo vyhledávání v databázích Interpolu prováděno pouze v souladu s použitelným unijním a vnitrostátním právem.

(15)

Databáze odcizených a ztracených cestovních dokladů vedená Interpolem (dále jen „databáze SLTD“) umožňuje zmocněným pracovníkům v členských státech odpovědným za prevenci, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů, včetně imigračních úředníků a úředníků hraniční kontroly, zjišťovat platnost určitého cestovního dokladu. ETIAS vyhledává v databázi SLTD a databázi cestovních dokladů s údaji uvedenými v oběžnících vedené Interpolem (dále jen „databáze TDAWN“) v souvislosti s posuzováním, zda je pravděpodobné, že by se osoba žádající o cestovní povolení mohla dopustit nedovolené migrace nebo by mohla představovat bezpečnostní hrozbu. ESP by měl umožnit vyhledávání v databázích SLTD a TDAWN s použitím údajů o totožnosti určité osoby nebo údajů o cestovním dokladu. Pokud jsou osobní údaje prostřednictvím ESP předány Unií Interpolu, měla by se použít ustanovení o mezinárodním předávání v kapitole V nařízení Evropského parlamentu a Rady (EU) 2016/679 (4), nebo vnitrostátní ustanovení, kterými se provádí kapitola V směrnice Evropského parlamentu a Rady (EU) 2016/680 (5). Tím by neměla být dotčena zvláštní pravidla stanovená společným postojem Rady 2005/69/SVV (6) a rozhodnutím Rady 2007/533/SVV (7).

(16)

ESP by měl být vyvinut a nastaven tak, aby umožňoval pouze vyhledávání, které je prováděno za použití údajů týkajících se osob nebo cestovních dokladů obsažených v některém informačním systému EU, v údajích Europolu nebo v databázi Interpolu.

(17)

Aby se zajistilo systematické využívání příslušných informačních systémů EU, měl by se ESP používat pro vyhledávání v CIR, EES, VIS, ETIAS, Eurodacu a ECRIS-TCN. Vnitrostátní spojení s jednotlivými informačními systémy EU by však mělo zůstat zachováno, aby se zajistilo technické záložní řešení. ESP by také měly využívat agentury Unie k vyhledávání v centrálním SIS v souladu se svými přístupovými právy a za účelem plnění svých úkolů. ESP by měl být dalším prostředkem pro vyhledávání v centrálním SIS, údajích Europolu a databázích Interpolu, čímž doplní stávající vyhrazená rozhraní.

(18)

Biometrické údaje, jako jsou otisky prstů a zobrazení obličeje, jsou jedinečné, a pro účely zjištění totožnosti osob tedy mnohem spolehlivější než alfanumerické údaje. Sdílená BMS by měla představovat technický nástroj, který posílí a zjednoduší fungování příslušných informačních systémů EU a ostatních složek interoperability. Hlavním účelem sdílené BMS by mělo být usnadnění zjištění totožnosti osob, které jsou registrovány v několika databázích, s využitím jediné technické složky k porovnání biometrických údajů dané osoby v různých systémech, namísto několika složek. Sdílená BMS by měla přispět k bezpečnosti a rovněž přinést výhody v oblasti financí, údržby a provozu. Všechny systémy automatizované identifikace otisků prstů včetně těch, které se v současnosti používají pro Eurodac, VIS a SIS, využívají biometrické šablony složené z údajů odvozených extrakcí rysů ze skutečných biometrických vzorků. Sdílená BMS by měla všechny tyto biometrické šablony – logicky oddělené podle informačního systému, z něhož údaje pocházejí – seskupit a uložit na jediném místě, čímž se usnadní porovnávání mezi systémy na základě biometrických šablon a umožní značné úspory z rozsahu při vývoji a údržbě centrálních systémů Unie.

(19)

Biometrické šablony uložené ve sdílené BMS by měly být složeny z údajů odvozených na základě extrakce rysů ze skutečných biometrických vzorků a získávány způsobem, který neumožňuje zpětný proces extrakce. Biometrické šablony by měly být získávány z biometrických údajů, avšak nemělo by být možné získat tytéž biometrické údaje z biometrických šablon. Vzhledem k tomu, že údaje o otiscích dlaní a profily DNA jsou ukládány pouze v SIS a nemohou být používány k vzájemnému porovnávání s údaji uchovávanými v jiných informačních systémech podle zásady nezbytnosti a proporcionality, neměla by sdílená BMS uchovávat profily DNA nebo biometrické šablony získané z otisků dlaní.

(20)

Biometrické údaje představují citlivé osobní údaje. Toto nařízení by mělo stanovit základy a záruky pro zpracování takových údajů pro účely zjištění jediné totožnosti dotčených osob.

(21)

EES, VIS, ETIAS, Eurodac a ECRIS-TCN vyžadují přesné zjištění totožnosti osob, jejichž osobní údaje jsou v nich uloženy. CIR by tedy mělo usnadnit správné zjišťování totožnosti osob registrovaných v těchto systémech.

(22)

Osobní údaje uložené v těchto informačních systémech EU se mohou vztahovat k týmž osobám, ale k jejich různým nebo neúplně uvedeným totožnostem. Členské státy mají k dispozici účinné způsoby ke zjištění totožnosti svých občanů nebo registrovaných osob s povolením k trvalému pobytu na jejich území. Interoperabilita mezi informačními systémy EU by měla přispět ke správnému zjištění totožnosti osob vyskytujících se v těchto systémech. CIR by mělo ukládat osobní údaje, které jsou nezbytné pro umožnění přesnějšího zjištění totožnosti těchto osob, jejichž údaje jsou uloženy v těchto systémech, včetně údajů o jejich totožnosti, údajů o cestovním dokladu a biometrických údajů, bez ohledu na to, v jakém systému byly údaje původně shromážděny. V CIR by se měly zaznamenávat pouze ty osobní údaje, které jsou k provedení přesné kontroly totožnosti nezbytně nutné. Osobní údaje zaznamenané v CIR by neměly být uchovávány déle, než je nezbytně nutné pro účely základních systémů, a měly by se automaticky vymazat, když se údaje vymaží v základním systému, a to v souladu s jejich logickým oddělením.

(23)

Tento nový postup zpracování, sestávající z ukládání takových údajů do CIR, namísto jejich ukládání v jednotlivých oddělených systémech, je nezbytný, má-li se zvýšit přesnost zjišťování totožnosti díky automatizovanému porovnávání a zjišťování shod těchto údajů. Skutečnost, že údaje o totožnosti, údaje o cestovním dokladu a biometrické údaje jsou ukládány do CIR, by nijak neměla zpomalit zpracování údajů pro účely EES, VIS, ETIAS, Eurodacu nebo ECRIS-TCN, jelikož CIR by mělo být novou sdílenou složkou těchto základních systémů.

(24)

Je proto nezbytné v CIR vytvořit pro každou osobu, která je registrována v EES, VIS, ETIAS, Eurodacu nebo ECRIS-TCN, individuální soubor, aby bylo možné splnit účel správného zjištění totožnosti osob v schengenském prostoru a podpořit MID s dvojím cílem, kterým je usnadnění kontrol totožnosti cestujících v dobré víře a potírání podvodného zneužívání totožnosti. Individuální soubor by měl všechny informace o totožnosti spojené s určitou osobou uložit na jediném místě a zpřístupnit je řádně zmocněným koncovým uživatelům.

(25)

CIR by tedy mělo usnadnit a urychlit přístup orgánů odpovědných za prevenci, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů k informačním systémům EU, které nejsou zřízeny výlučně pro účely prevence, odhalování nebo vyšetřování závažné trestné činnosti.

(26)

CIR by mělo zahrnovat sdílenou schránku pro údaje o totožnosti, údaje o cestovních dokladech a biometrické údaje osob registrovaných v EES, VIS, ETIAS, Eurodacu a ECRIS-TCN. Mělo by tvořit součást technické architektury těchto systémů a sloužit jako sdílená složka mezi těmito systémy pro účely ukládání a vyhledávání údajů o totožnosti, údajů o cestovních dokladech a biometrických údajů, které zpracovávají.

(27)

Všechny záznamy v CIR by měly být logicky odděleny prostřednictvím automatizovaného označování každého záznamu uvádějícího název základního systému, který je jeho vlastníkem. Toto označení by se mělo používat při kontrole přístupu do CIR za účelem určení, zda umožnit přístup k danému záznamu.

(28)

Pokud policejní orgán členského státu není schopen zjistit totožnost osoby, protože tato osoba nemá cestovní doklad ani jiný důvěryhodný doklad totožnosti, nebo pokud existují pochybnosti o údajích o totožnosti poskytnutých touto osobou nebo o pravosti cestovního dokladu a totožnosti jeho držitele, nebo pokud tato osoba není schopna nebo odmítá spolupracovat, měl by mít tento policejní orgán pravomoc vyhledávat údaje v CIR za účelem zjištění totožnosti této osoby. Za tímto účelem by policejní orgány měly snímat otisky prstů za použití technik pro přímé skenování otisků prstů, za předpokladu, že tento postup je zahájen za přítomnosti této osoby. Takovéto vyhledávání v CIR by nemělo být povoleno pro účely zjištění totožnosti nezletilých osob mladších dvanácti let, ledaže je to v nejlepším zájmu dítěte.

(29)

Pokud nelze biometrické údaje osoby použít nebo pokud vyhledávání na základě těchto údajů není úspěšné, měly by se pro vyhledávání použít údaje o totožnosti dané osoby ve spojení s údaji o cestovním dokladu. Pokud vyhledávání ukáže, že údaje o této osobě jsou uložené v CIR, měly by mít orgány členského státu přístup do CIR za účelem nahlížení do údajů o totožnosti a údajů o cestovním dokladu této osoby, aniž by bylo v CIR jakkoli uvedeno, do kterého informačního systému EU tyto údaje patří.

(30)

Členské státy by měly přijmout vnitrostátní legislativní opatření, kterými určí orgány příslušné pro provádění kontrol totožnosti s využitím CIR a stanoví postupy, podmínky a kritéria těchto kontrol, které budou v souladu se zásadou proporcionality. Vnitrostátní právo by mělo zejména stanovit pravomoc, která zaměstnancům těchto orgánů umožní shromažďovat biometrické údaje při kontrole totožnosti osoby za její přítomnosti.

(31)

Toto nařízení by mělo také zavést novou možnost jednoduššího přístupu orgánů odpovědných za prevenci, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů určených členskými státy a Europolu k jiným údajům, než jsou údaje o totožnosti nebo údaje o cestovním dokladu, uloženým v EES, VIS, ETIAS nebo Eurodacu. Tyto údaje mohou být v konkrétních případech nezbytné pro prevenci, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů, pokud existují oprávněné důvody se domnívat, že přístup k nim přispěje k prevenci, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů, zejména existuje-li podezření, že podezřelá osoba, pachatel nebo oběť teroristického trestného činu nebo jiného závažného trestného činu je osobou, jejíž údaje jsou uloženy v EES, VIS, ETIAS nebo Eurodacu.

(32)

Plný přístup, který je nezbytný pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů, k potřebným údajům obsaženým v EES, VIS, ETIAS nebo Eurodacu jiným, než jsou příslušné údaje o totožnosti nebo údaje o cestovním dokladu obsažené v CIR, by měl být i nadále upraven příslušnými právními nástroji. Určené orgány odpovědné za prevenci, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů a Europol předem nevědí, který informační systém EU obsahuje údaje o osobě, kterou potřebují vyhledat. Výsledkem jsou prodlevy a nedostatečná efektivita při plnění úkolů. Koncový uživatel zmocněný určeným orgánem by tedy měl mít právo vidět, ve kterém z těchto informačních systémů EU jsou údaje odpovídající výsledku vyhledávání zaznamenány. Dotčený systém by se tak označil na základě automatizovaného ověření výskytu shody v systému (tzv. funkce označení shody).

(33)

V této souvislosti by odpověď CIR neměla být vykládána ani použita jakožto podklad nebo odůvodnění pro to, aby byly vyvozeny závěry nebo přijata opatření vůči dané osobě, nýbrž by měla sloužit pouze pro účel podání žádosti o přístup k základním informačním systémům EU, a to za podmínek a na základě postupů stanovených v příslušných právních nástrojích upravujících tento přístup. Na jakoukoli žádost o přístup by se měla vztahovat kapitola VII tohoto nařízení a případně nařízení (EU) 2016/679, směrnice (EU) 2016/680 nebo nařízení Evropského parlamentu a Rady (EU) 2018/1725 (8).

(34)

Zpravidla by v případě, kdy označená shoda ukáže, že jsou údaje zaznamenány v EES, VIS, ETIAS nebo Eurodacu, měly určené orgány nebo Europol požádat o plný přístup do nejméně jednoho z dotyčných informačních systémů EU. Pokud není ve výjimečných případech plný přístup požadován, například proto, že určené orgány nebo Europol již údaje získaly jiným způsobem, nebo získání těchto údajů není již podle vnitrostátního práva povoleno, měl by být proveden záznam odůvodnění, proč o přístup nebylo požádáno.

(35)

Z protokolů o vyhledávání v CIR by měl vyplývat účel vyhledávání. Pokud bylo takové vyhledávání provedeno s využitím dvoufázového postupu pro nahlížení do údajů, měly by protokoly obsahovat odkaz na vnitrostátní vyšetřovací spis nebo řízení, čímž by se označilo, že vyhledávání bylo zahájeno pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů.

(36)

Vyhledávání v CIR prováděné určenými orgány a Europolem s cílem obdržet odpověď s označením shody a uvedením informace, že údaje jsou zaznamenány v EES, VIS, ETIAS nebo Eurodacu, vyžaduje automatizované zpracovávání osobních údajů. Označení shody by nemělo odhalit osobní údaje dotčené osoby, pouze by mělo ukázat, že některé z jejích údajů jsou uložené v jednom ze systémů. Oprávněný koncový uživatel by neměl přijmout žádné nepříznivé rozhodnutí v souvislosti s dotčenou osobou pouze na základě prostého označení shody. Přístup koncového uživatele k označení shody bude tedy znamenat velmi omezené narušení práva na ochranu osobních údajů dotčené osoby, i když bude určeným orgánům a Europolu umožněno, aby mohly účinněji žádat o přístup k osobním údajům.

(37)

MID by měl být zřízen s cílem podpořit fungování CIR a účely EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN. K zajištění toho, aby všechny uvedené informační systémy EU mohly účinně plnit příslušné cíle, je nezbytné přesné zjištění totožnosti osob, jejichž osobní údaje jsou v nich uloženy.

(38)

K lepšímu dosažení cílů informačních systémů EU by orgány využívající tyto systémy měly mít možnost dostatečně spolehlivě ověřit totožnost osob, jejichž údaje jsou uloženy v různých systémech. Soubor údajů o totožnosti nebo údajů o cestovním dokladu uložený v jednom konkrétním systému může být nesprávný, neúplný nebo podvodný, přičemž tyto nesprávné, neúplné nebo podvodné údaje o totožnosti nebo údaje o cestovním dokladu není možné v současnosti odhalit porovnáním s údaji uloženými v jiném systému. Pro nápravu této situace je zapotřebí zavést technický nástroj na úrovni Unie, který umožní přesné zjištění totožnosti osob pro tyto účely.

(39)

MID by měl vytvářet a uchovávat propojení mezi údaji v různých informačních systémech EU pro účely odhalování vícenásobných totožností, a to s dvojím účelem, kterým je usnadnění kontrol totožnosti cestujících v dobré víře a potírání podvodného zneužívání totožnosti. MID by měl obsahovat pouze propojení mezi údaji jednotlivců, kteří se vyskytují ve více než jednom informačním systému EU. Propojené údaje by měly být přísně omezeny na údaje nutné k ověření, zda je daná osoba zaznamenána pod různými totožnostmi v různých systémech oprávněně nebo neoprávněně, nebo k určení, zda dvě osoby s podobnými údaji o totožnosti nemohou být touž osobou. Zpracování údajů prostřednictvím ESP a sdílené BMS za účelem propojení individuálních souborů v různých systémech by mělo zůstat naprosto minimální, a omezí se tedy na zjištění vícenásobných totožností v okamžiku, kdy se do jednoho ze systémů, který má údaje uložené v CIR nebo doplněné do SIS, doplní nové údaje. MID by měl obsahovat záruky proti možné diskriminaci nebo nepříznivým rozhodnutím pro osoby s vícenásobnými zákonnými totožnostmi.

(40)

Toto nařízení stanoví nové postupy zpracování údajů zaměřené na správné zjištění totožnosti dotčených osob. To přináší narušení jejich základních práv chráněných články 7 a 8 Listiny základních práv Evropské unie. Jelikož účinné zavedení informačních systémů EU závisí na správném zjištění totožnosti dotčených jednotlivců, je toto narušení odůvodněno stejnými cíli, pro které byly jednotlivé systémy zřízeny, a sice účinnou správou hranic Unie, vnitřní bezpečností Unie a účinným prováděním azylové a vízové politiky Unie.

(41)

ESP a sdílená BMS by měly porovnávat údaje o osobách v CIR a SIS, jestliže vnitrostátní orgán nebo agentura Unie vytvoří nebo nahrají nové záznamy. Toto porovnávání by mělo být automatizované. CIR a SIS by měly využívat sdílené BMS k zjištění možných propojení na základě biometrických údajů. CIR a SIS by měly využívat ESP k zjištění možných propojení na základě alfanumerických údajů. CIR a SIS by měly být schopny identifikovat stejné nebo podobné údaje o dané osobě uložené v několika systémech. V takovém případě by se mělo vytvořit propojení signalizující, že jde o tutéž osobu. CIR a SIS by měly být nastaveny tak, aby byly odhalovány drobné chyby v přepisu nebo pravopisu, aniž by tím vytvářely nedůvodná omezení pro dotčenou osobu.

(42)

Vnitrostátní orgán nebo agentura Unie, které údaj zaznamenaly do příslušného informačního systému EU, by měly tato propojení potvrdit nebo změnit. Takový vnitrostátní orgán nebo agentura Unie by měly mít přístup k údajům uloženým v CIR nebo SIS a v MID pro účely manuálního ověření různých totožností.

(43)

Manuální ověření různých totožností by mělo být zajištěno orgánem, který vytváří nebo aktualizuje údaje, jež vedly ke shodě a následně k propojení s údaji, které jsou již uloženy v jiném informačním systému EU. Orgán odpovědný za manuální ověření různých totožností by měl posoudit, zda existují vícenásobné totožnosti oprávněně nebo neoprávněně odkazující k téže osobě. Takové posouzení by mělo proběhnout pokud možno za přítomnosti dotčené osoby a, je-li to nutné, mělo by se požadovat další vysvětlení nebo doplňující informace. Toto posouzení by mělo proběhnout neprodleně, v souladu s právními požadavky na přesnost informací podle unijního a vnitrostátního práva. Pohyb dotčených osob, a to zejména pohyb přes hranice, bude po dobu ověřování omezen, přičemž tato doba by neměla trvat neomezeně. Existence žlutého propojení v MID by sama o sobě neměla být důvodem pro odepření vstupu a každé rozhodnutí o povolení nebo odepření vstupu by se mělo výlučně zakládat na příslušných ustanoveních nařízení Evropského parlamentu a Rady (EU) 2016/399 (9).

(44)

U propojení získaných přes SIS týkajících se záznamů o osobách hledaných za účelem zatčení a předání nebo vydání, o pohřešovaných nebo zranitelných osobách, o osobách hledaných za účelem zajištění jejich spolupráce v soudním řízení nebo záznamů o osobách pořízených pro účely skrytých, dotazovacích nebo zvláštních kontrol, by měla být orgánem odpovědným za manuální ověření různých totožností centrála SIRENE členského státu, který záznam vytvořil. Tyto kategorie záznamů v SIS jsou citlivé a neměly by se nezbytně sdílet s orgány, které vytvářejí nebo aktualizují údaje s nimi propojené v jednom z dalších informačních systémů EU. Vytvoření propojení s údaji SIS by mělo proběhnout bez ohledu na činnosti, které je nutno vykonat v souladu s nařízeními Evropského parlamentu a Rady (EU) 2018/1860 (10), (EU) 2018/1861 (11) a (EU) 2018/1862 (12).

(45)

Vytvoření těchto propojení vyžaduje transparentnost ve vztahu k dotčeným osobám. S cílem usnadnit provádění nezbytných záruk v souladu s platnými pravidly Unie pro ochranu údajů by osoby, v jejichž případě vzniklo po manuálním ověření různých totožností červené nebo bílé propojení, měly být písemně informovány, aniž by byla dotčena omezení z důvodu ochrany bezpečnosti a veřejného pořádku, prevence trestné činnosti a zaručení řádného průběhu vnitrostátních vyšetřování. Tyto osoby by měly obdržet jediné identifikační číslo, jež jim umožní určit orgán, na který by se měly obrátit za účelem vykonání svých práv.

(46)

Je-li vytvořeno žluté propojení, orgán odpovědný za manuální ověření různých totožností by měl mít přístup k MID. Existuje-li červené propojení, orgány členského státu a agentury Unie, které mají přístup alespoň do jednoho informačního systému EU zapojeného do CIR nebo do SIS, by měly mít přístup k MID. Červené propojení by mělo signalizovat, že daná osoba používá neoprávněně různé totožnosti nebo že daná osoba používá totožnost někoho jiného.

(47)

Existuje-li bílé nebo zelené propojení mezi údaji ze dvou informačních systémů EU, orgány členských států a agentury Unie by měly mít přístup k MID, pokud má dotčený orgán nebo agentura přístup k oběma informačním systémům. Tento přístup by měl být udělen za jediným účelem, a sice aby mohl uvedený orgán nebo agentura odhalit potenciální případy, kdy byly údaje propojeny nesprávně nebo zpracovány v MID, CIR a SIS v rozporu s tímto nařízením, a aby mohl přijmout opatření k nápravě této situace a propojení aktualizovat nebo vymazat.

(48)

Agentura Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (dále jen „agentura eu-LISA“) by měla zavést automatizované mechanismy kontroly kvality údajů a společné ukazatele kvality údajů. Agentura eu-LISA by měla odpovídat za vývoj centrální monitorovací kapacity kvality údajů a pravidelně vypracovávat zprávy o analýze údajů s cílem zlepšit kontrolu nad prováděním a uplatňováním informačních systémů EU členskými státy. Společné ukazatele kvality údajů by měly zahrnovat minimální normy kvality pro uchovávání údajů v informačních systémech EU nebo ve složkách interoperability. Cílem takových norem kvality údajů by mělo být, aby informační systémy EU a složky interoperability automaticky zjišťovaly zjevně nesprávné nebo nekonzistentní předložené údaje tak, aby členský stát původu mohl údaje ověřit a provést veškeré nezbytné kroky k nápravě.

(49)

Komise by měla vyhodnotit zprávy o kvalitě předkládané agenturou eu-LISA a ve vhodných případech vydat doporučení pro členské státy. Členské státy by měly být odpovědné za přípravu akčního plánu, který popíše kroky směřující k nápravě jakýchkoli nedostatků v kvalitě údajů, a měly by pravidelně podávat zprávy o jeho pokroku.

(50)

Univerzální formát pro zprávy (UMF) by měl sloužit jako norma strukturované přeshraniční výměny informací mezi informačními systémy, orgány nebo organizacemi v oblasti justice a vnitřních věcí. Aby se usnadnila interoperabilita, měl by UMF definovat společný slovník a logické struktury pro běžně vyměňované informace tím, že umožní vytvoření a přečtení obsahu výměny jednotným a sémanticky odpovídajícím způsobem.

(51)

Zavedení normy UMF může být zváženo v případě VIS, SIS a v jakýchkoli jiných stávajících nebo nových modelech pro přeshraniční výměnu informací a v informačních systémech v oblasti justice a vnitřních věcí, které vyvíjejí členské státy.

(52)

Mělo by být zřízeno centrální úložiště pro podávání zpráv a statistiky (CRRS) s cílem vytvářet mezisystémové statistické údaje a analytické zprávy pro účely politiky, provozu a kvality údajů, a to v souladu s příslušnými právními nástroji. Agentura eu-LISA by měla zřídit, provést a ve svých technických prostorách provozovat CRRS. CRRS by mělo obsahovat anonymizované statistické údaje z informačních systémů EU, CIR, MID a sdílené BMS. Údaje obsažené v CRRS by neměly umožnit zjištění totožnosti jednotlivců. Agentura eu-LISA by měla zajistit automatizovanou anonymizaci údajů a anonymizované údaje zaznamenat do CRRS Anonymizace údajů by měla probíhat automatizovaně a pracovníkům agentury eu-LISA by neměl být udělen přímý přístup k žádným osobním údajům uloženým v informačních systémech EU nebo ve složkách interoperability.

(53)

Na zpracování osobních údajů vnitrostátními orgány pro účely interoperability podle tohoto nařízení se vztahuje nařízení (EU) 2016/679, pokud je neprovádějí určené orgány nebo ústřední přístupové body členských států pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů.

(54)

Pokud je zpracování osobních údajů členskými státy za účelem interoperability podle tohoto nařízení prováděno příslušnými orgány pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů či jiných závažných trestných činů, použije se směrnice (EU) 2016/680.

(55)

Nařízení (EU) 2016/679, nařízení (EU) 2018/1725 nebo případně směrnice (EU) 2016/680 by se měly vztahovat na veškeré předávání osobních údajů třetím zemím nebo mezinárodním organizacím, které je prováděno podle tohoto nařízení. Aniž jsou dotčeny důvody pro předání podle kapitoly V nařízení (EU) 2016/679 nebo případně podle směrnice (EU) 2016/680, mělo by být jakékoli rozhodnutí soudu a jakékoli rozhodnutí správního orgánu třetí země požadující, aby správce nebo zpracovatel předal nebo zveřejnil osobní údaje, uznáno nebo jakýmkoli způsobem vymáháno pouze tehdy, zakládá-li se na platné mezinárodní dohodě mezi žádající třetí zemí a Unií nebo členským státem.

(56)

Zvláštní ustanovení o ochraně údajů nařízení Evropského parlamentu a Rady (EU) 2017/2226 (13), (ES) č. 767/2008 (14) a (EU) 2018/1240 (15) a nařízení (EU) 2018/1861 by se měla použít pro zpracování osobních údajů v systémech, které se řídí uvedenými nařízeními.

(57)

Nařízení (EU) 2018/1725 se vztahuje na zpracování osobních údajů agenturou eu-LISA a dalšími orgány a institucemi Unie při plnění jejich povinností podle tohoto nařízení, aniž je tím dotčeno nařízení Evropského parlamentu a Rady (EU) 2016/794 (16), které se vztahuje na zpracování osobních údajů Europolem.

(58)

Vnitrostátní dozorové úřady uvedené v nařízení (EU) 2016/679 nebo směrnici (EU) 2016/680 by měly monitorovat zákonnost zpracování osobních údajů členskými státy. Evropský inspektor ochrany údajů by měl monitorovat činnost orgánů a institucí Unie související se zpracováním osobních údajů. Evropský inspektor ochrany údajů a dozorové úřady by měly při monitorování zpracovávání osobních údajů složkami interoperability vzájemně spolupracovat. Evropskému inspektorovi ochrany údajů je nutno k tomu, aby mohl plnit úkoly jemu svěřené podle tohoto nařízení, přidělit dostatečné zdroje, a to jak lidské, tak finanční.

(59)

V souladu s čl. 28 odst. 2 nařízení Evropského parlamentu a Rady (ES) č. 45/2001 (17)16. dubna 2018 byl konzultován evropský inspektor ochrany údajů, který své stanovisko předložil dne 16. dubna 2018 (18).

(60)

Pracovní skupina pro ochranu údajů podle článku 29 vydala dne 11. dubna 2018 své stanovisko.

(61)

Členské státy i agentura eu-LISA by měly mít bezpečnostní plány s cílem usnadnit provádění bezpečnostních povinností a měly by navzájem spolupracovat na řešení bezpečnostních otázek. Agentura eu-LISA by také měla zajistit průběžné využívání nejnovějšího technologického vývoje pro zajištění integrity údajů, pokud jde o vývoj, návrh a správu složek interoperability. K povinnostem agentury eu-LISA by v tomto ohledu mělo patřit přijímání opatření nezbytných k tomu, aby se neoprávněným osobám, jako jsou externí poskytovatelé služeb, zabránilo v přístupu k osobním údajům zpracovávaným s využitím složek interoperability. Při zadávání zakázek na poskytování služeb by členské státy a agentura eu-LISA měly zvažovat veškerá opatření nezbytná k zajištění souladu s právními předpisy týkajícími se ochrany osobních údajů a soukromí jednotlivců nebo ochrany základních bezpečnostních zájmů podle nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 (19) a platných mezinárodních úmluv. Při vývoji složek interoperability by agentura eu-LISA měla uplatňovat zásady záměrné a standardní ochrany osobních údajů.

(62)

Zavádění složek interoperability stanovených v tomto nařízení bude mít dopad na způsob provádění kontrol na hraničních přechodech. Tento dopad bude výsledkem kombinovaného uplatňování stávajících pravidel stanovených v nařízení (EU) 2016/399 a pravidel týkajících se interoperability, která stanoví toto nařízení.

(63)

V důsledku tohoto kombinovaného uplatňování pravidel by ESP měl být hlavním přístupovým bodem pro povinné systematické vyhledávání ohledně osob v databázích na hraničních přechodech, jak stanoví nařízení (EU) 2016/399. Kromě toho musí příslušníci pohraniční stráže pro účely posuzování toho, zda osoba splňuje či nesplňuje podmínky pro vstup vymezené v nařízení (EU) 2016/399, vzít v úvahu údaje o totožnosti nebo údaje o cestovním dokladu, na jejichž základě bylo propojení v MID označeno jako červené propojení. Výskyt červeného propojení by však sám o sobě neměl představovat důvod pro odepření vstupu, a stávající důvody pro odepření vstupu uvedené v nařízení (EU) 2016/399 by tedy neměly být změněny.

(64)

Bylo by vhodné aktualizovat Praktickou příručku pro příslušníky pohraniční stráže, aby tato objasnění byla jednoznačná.

(65)

Pokud je výsledkem vyhledávání v MID prostřednictvím ESP žluté propojení nebo je zjištěno červené propojení, měl by příslušník pohraniční stráže nahlédnout do CIR nebo do SIS nebo do obou z nich s cílem posoudit informace o kontrolované osobě, manuálně ověřit její údaje o totožnosti a v případě potřeby upravit barvu propojení.

(66)

Na podporu účelů statistik a podávání zpráv je nutné udělit přístup zmocněným pracovníkům příslušných orgánů, institucí a agentur Unie uvedených v tomto nařízení k nahlížení do určitých údajů v souvislosti s určitými složkami interoperability bez umožnění zjištění totožnosti osob.

(67)

Aby se orgány členských států a agentury Unie mohly přizpůsobit novým požadavkům kladeným na používání ESP, je nutné stanovit přechodné období. Obdobně pak, aby se zajistilo soudržné a optimální fungování MID, je nutné stanovit přechodná opatření pro spuštění jeho provozu.

(68)

Jelikož cíle této směrnice, totiž zřízení rámce pro interoperabilitu mezi informačními systémy EU, nemůže být dosaženo uspokojivě členskými státy, ale spíše jej, z důvodu rozsahu a účinků činnosti, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné k dosažení tohoto cíle.

(69)

Zbývající částka v rozpočtu vyčleněná pro inteligentní hranice v nařízení Evropského parlamentu a Rady (EU) č. 515/2014 (20) by měla být přerozdělena na toto nařízení v souladu s čl. 5 odst. 5 písm. b) nařízení (EU) č. 515/2014, aby se pokryly náklady na vývoj složek interoperability.

(70)

Za účelem doplnění určitých podrobných technických aspektů tohoto nařízení by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie, pokud jde o“

prodloužení přechodného období pro používání ESP,

prodloužení přechodného období pro odhalování vícenásobné totožnosti ústřední jednotkou ETIAS,

postupy při určování případů, kdy lze údaje o totožnosti považovat za stejné nebo podobné,

pravidla pro provoz CRRS, včetně zvláštních záruk pro zpracování osobních údajů a bezpečnostních pravidel týkajících se úložiště a

podrobná pravidla pro fungování internetového portálu.

Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (21). Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(71)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci, aby stanovila data, od nichž bude zahájen provoz ESP, sdílené BMS, CIR, MID a CRRS.

(72)

Prováděcí pravomoci by měly být svěřeny Komisi, pokud jde o přijetí podrobných pravidel pro: technické detaily profilů uživatelů ESP; specifikace technického řešení umožňující vyhledávání v informačních systémech EU, údajích Europolu a databázích Interpolu prostřednictvím ESP a pro formát odpovědí ESP; technická pravidla pro vytvoření propojení v MID mezi údaji z různých informačních systémů EU; obsah a formu formuláře a způsoby informování daného subjektu údajů v případě, kdy je vytvořeno červené propojení; požadavky na výkonnost a sledování výkonnosti sdílené BMS; mechanismy a postupy automatizované kontroly kvality a ukazatele kontroly kvality; vývoj normy UMF; postup spolupráce v případě bezpečnostních incidentů; a specifikace technického řešení pro členské státy, aby mohly vyřizovat žádosti uživatelů o přístup. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (22).

(73)

Vzhledem k tomu, že složky interoperability budou zahrnovat zpracování velkého množství citlivých osobních údajů, je důležité, aby osoby, jejichž údaje jsou zpracovávány prostřednictvím těchto složek, mohly účinně vykonávat svá práva jako subjekty údajů podle nařízení (EU) 2016/679, směrnice (EU) 2016/680 a nařízení (ES) 2018/1725. Tyto subjekty údajů by měly mít k dispozici internetový portál, který jim usnadňuje výkon jejich práv na přístup k jejich osobním údajům, na jejich opravu, výmaz a omezení jejich zpracování. Takový internetový portál by měla zřídit a provozovat agentura eu-LISA.

(74)

Jednou ze základních zásad ochrany údajů je minimalizace údajů. Podle čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679 musí být zpracování osobních údajů přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Z tohoto důvodu by složky interoperability neměly umožňovat ukládání jakýchkoli nových osobních údajů s výjimkou propojení, která budou uložena v MID a která představují minimum nezbytné pro účely tohoto nařízení.

(75)

Toto nařízení by mělo obsahovat jasná ustanovení týkající se odpovědnosti a práva na náhradu újmy za nezákonné zpracování osobních údajů nebo jakýkoli čin neslučitelný s tímto nařízením. Tato ustanovení by se neměla dotýkat práva na náhradu újmy správcem nebo zpracovatelem a jejich odpovědnosti podle nařízení (EU) 2016/679, směrnice (EU) 2016/680 a nařízení (EU) 2018/1725. Agentura eu-LISA by měla odpovídat za jakoukoli újmu, kterou způsobí jakožto zpracovatel údajů, pokud nesplnila povinnosti, jež jí byly zvláště uloženy tímto nařízením, nebo pokud jednala nad rámec zákonných pokynů členského státu, který je správcem údajů, nebo v rozporu s nimi.

(76)

Tímto nařízením není dotčeno použití směrnice Evropského parlamentu a Rady 2004/38/ES (23).

(77)

V souladu s články 1 a 2 Protokolu č. 22 o postavení Dánska, připojeného ke Smlouvě o Evropské unii a ke Smlouvě o fungování Evropské unie, se Dánsko neúčastní přijímání tohoto nařízení a toto nařízení pro ně není závazné ani použitelné. Vzhledem k tomu, že toto nařízení navazuje na schengenské acquis, rozhodne se Dánsko v souladu s článkem 4 uvedeného protokolu do šesti měsíců po rozhodnutí Rady o tomto nařízení, zda je provede ve svém vnitrostátním právu.

(78)

Toto nařízení rozvíjí ta ustanovení schengenského acquis, kterých se neúčastní Spojené království v souladu s rozhodnutím Rady 2000/365/ES (24); Spojené království se tedy nepodílí na jeho přijímání a toto nařízení pro ně není závazné ani použitelné.

(79)

Toto nařízení rozvíjí ta ustanovení schengenského acquis, kterých se neúčastní Irsko v souladu s rozhodnutím Rady 2002/192/ES (25); Irsko se tedy nepodílí na jeho přijímání a toto nařízení pro ně není závazné ani použitelné.

(80)

Pokud jde o Island a Norsko, rozvíjí toto nařízení ustanovení schengenského acquis ve smyslu Dohody uzavřené Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis (26), která spadají do oblasti působnosti uvedené v čl. 1 bodech A, B a G rozhodnutí Rady 1999/437/ES (27).

(81)

Pokud jde o Švýcarsko, rozvíjí toto nařízení ta ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (28), která spadají do oblasti uvedené v čl. 1 bodech A, B, C a G rozhodnutí 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2008/146/ES (29).

(82)

Pokud jde o Lichtenštejnsko, rozvíjí toto nařízení ta ustanovení schengenského acquis ve smyslu Protokolu podepsaného mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k Dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (30), která spadají do oblasti uvedené v čl. 1 bodech A, B, C a G rozhodnutí 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2011/350/EU (31).

(83)

Toto nařízení dodržuje základní práva a ctí zásady uznané zejména Listinou základních práv Evropské unie a mělo by být uplatňováno v souladu s těmito právy a zásadami.

(84)

Aby bylo toto nařízení v souladu se stávajícím právním rámcem, měla by být odpovídajícím způsobem změněna nařízení (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES (32) a 2008/633/SVV (33),

PŘIJALY TOTO NAŘÍZENÍ:

KAPITOLA I

Obecná ustanovení

Článek 1

Předmět

1.   Toto nařízení zřizuje společně s nařízením Evropského parlamentu a Rady (EU) 2019/818 (34) rámec, který má zajistit interoperabilitu mezi Systémem vstupu/výstupu (EES), Vízovým informačním systémem (VIS), Evropským systémem pro cestovní informace a povolení (ETIAS), systémem Eurodac (Eurodac), Schengenským informačním systémem (SIS) a Evropským informačním systémem rejstříků trestů pro státní příslušníky třetích zemí (ECRIS-TCN).

2.   Tento rámec zahrnuje tyto složky interoperability:

a)

Evropský vyhledávací portál (ESP);

b)

sdílenou službu pro porovnávání biometrických údajů (sdílená BMS);

c)

společné úložiště údajů o totožnosti (CIR);

d)

detektor vícenásobné totožnosti (MID).

3.   Toto nařízení dále upravuje požadavky na kvalitu údajů, univerzální formát pro zprávy (UMF), centrální úložiště pro podávání zpráv a statistiky (CRRS) a povinnosti členských států a Agentury Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (eu-LISA) s ohledem na návrh, vývoj a provoz složek interoperability.

4.   Toto nařízení rovněž upravuje postupy a podmínky pro přístup určených orgánů a Agentury Evropské unie pro spolupráci v oblasti prosazování práva (Europol) k EES, VIS, ETIAS a Eurodacu pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů.

5.   Toto nařízení dále stanoví rámec pro ověřování a zjišťování totožnosti osob.

Článek 2

Cíle

1.   Zajištěním interoperability sleduje toto nařízení tyto cíle:

a)

zlepšit účinnost a účelnost hraničních kontrol na vnějších hranicích;

b)

pomáhat při prevenci a potírání nedovoleného přistěhovalectví;

c)

přispívat k vysoké úrovni bezpečnosti v oblasti svobody, bezpečnosti a práva Unie, včetně udržování veřejné bezpečnosti a veřejného pořádku a zajišťování bezpečnosti na území členských států;

d)

zlepšit provádění společné vízové politiky;

e)

pomáhat při posuzování žádostí o mezinárodní ochranu;

f)

přispívat k prevenci, odhalování a vyšetřování teroristických trestných činů a jiných závažných trestných činů;

g)

usnadňovat zjišťování totožnosti neznámých osob, které nejsou schopny samy prokázat svou totožnost, nebo identifikaci lidských pozůstatků v případě přírodní katastrofy, nehody nebo teroristického útoku.

2.   Cílů uvedených v odstavci 1 se dosahuje těmito kroky:

a)

zajištěním správného zjištění totožnosti osob;

b)

přispíváním k potírání podvodného zneužívání totožnosti;

c)

zlepšováním kvality údajů uložených v informačních systémech EU a slaďováním požadavků na kvalitu těchto údajů při dodržení požadavků na zpracování údajů stanovených právními nástroji upravujícími jednotlivé systémy a se standardy a zásadami ochrany údajů;

d)

usnadněním a podporou technického a provozního zavádění informačních systémů EU členskými státy;

e)

zpřísněním, zjednodušením a sjednocením podmínek pro zabezpečení a ochranu údajů, kterými se řídí jednotlivé informační systémy EU, aniž jsou dotčena zvláštní ochranná opatření a záruky vyžadované u některých kategorií údajů;

f)

zjednodušováním podmínek pro přístup určených orgánů k EES, VIS, ETIAS a Eurodacu při zajištění nezbytných a přiměřených podmínek tohoto přístupu;

g)

podporou účelů EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN.

Článek 3

Oblast působnosti

1.   Toto nařízení se vztahuje na EES, VIS, ETIAS a SIS.

2.   Toto nařízení se vztahuje na osoby, jejichž osobní údaje mohou být zpracovávány v informačních systémech EU uvedených v odstavci 1 tohoto článku a jejichž údaje jsou shromažďovány za účelem stanoveným v článcích 1 a 2 nařízení (ES) č. 767/2008, článku 1 nařízení (EU) 2017/2226, článcích 1 a 4 nařízení (EU) 2018/1240, článku 1 nařízení (EU) 2018/1860 a článku 1 nařízení (EU) 2018/1861.

Článek 4

Definice

Pro účely tohoto nařízení se rozumí:

1)

„vnějšími hranicemi“ vnější hranice ve smyslu čl. 2 bodu 2 nařízení (EU) 2016/399;

2)

„hraničními kontrolami“ hraniční kontroly ve smyslu čl. 2 bodu 11 nařízení (EU) 2016/399;

3)

„pohraničním orgánem“ pohraniční stráž, která je v souladu s vnitrostátním právem pověřena prováděním hraničních kontrol;

4)

„dozorovými úřady“ dozorový úřad uvedený v čl. 51 odst. 1 nařízení (EU) 2016/679 a dozorový úřad uvedený v čl. 41 odst. 1 směrnice (EU) 2016/680;

5)

„ověřením“ proces porovnání souborů údajů, jehož účelem je zjistit, zda je deklarovaná totožnost správná (kontrola porovnáním dvou údajů);

6)

„zjištěním totožnosti“ proces určení totožnosti osoby pomocí prohledávání databáze podle vícenásobných souborů údajů (kontrola porovnáním více údajů);

7)

„alfanumerickými údaji“ údaje vyjádřené písmeny, číslicemi, zvláštními znaky, mezerami a interpunkčními znaménky;

8)

„údaji o totožnosti“ údaje uvedené v čl. 27 odst. 3 písm. a) až e);

9)

„údaji o otiscích prstů“ zobrazení otisků prstů a zobrazení latentních otisků prstů, které vzhledem ke své jedinečné povaze a charakteristickým znakům umožňují přesné a průkazné porovnání týkající se totožnosti osoby;

10)

„zobrazením obličeje“ digitální zobrazení obličeje;

11)

„biometrickými údaji“ údaje o otiscích prstů nebo zobrazení obličeje nebo obojí;

12)

„biometrickou šablonou“ matematické vyjádření získané extrakcí rysů z biometrických údajů omezených na charakteristiky, které jsou nezbytné pro zjištění totožnosti a ověření;

13)

„cestovním dokladem“ pas nebo jiný rovnocenný doklad, který držitele opravňuje překračovat vnější hranice a do kterého lze vyznačit vízum;

14)

„údaji o cestovním dokladu“ druh, číslo a země vydání cestovního dokladu, datum konce platnosti cestovního dokladu a trojmístný kód země, která cestovní doklad vydala;

15)

„informačními systémy EU“ EES, VIS, ETIAS, Eurodac, SIS a ECRIS-TCN;

16)

„údaji Europolu“ osobní údaje, které zpracovává Europol pro účely uvedené v čl. 18 odst. 2 písm. a), b) a c) nařízení (EU) 2016/794;

17)

„databázemi Interpolu“ databáze odcizených a ztracených cestovních dokladů vedená Interpolem (databáze SLTD) a databáze cestovních dokladů s údaji uvedenými v oběžnících vedená Interpolem (databáze TDAWN);

18)

„shodou“ existence odpovídajícího údaje zjištěná automatizovaným porovnáním osobních údajů, které jsou zaznamenány v informačním systému či databázi nebo jejichž záznam právě probíhá;

19)

„policejním orgánem“ příslušný orgán ve smyslu čl. 3 bodu 7 směrnice (EU) 2016/680;

20)

„určenými orgány“ určené orgány členského státu ve smyslu čl. 3 odst. 1 bodu 26 nařízení (EU) 2017/2226, čl. 2 odst. 1 písm. e) rozhodnutí 2008/633/SVV a čl. 3 odst. 1 bodu 21 nařízení (EU) 2018/1240;

21)

„teroristickým trestným činem“ trestný čin, který odpovídá nebo je rovnocenný jednomu z trestných činů uvedených ve směrnici Evropského parlamentu a Rady (EU) 2017/541 (35);

22)

„závažným trestným činem“ trestný čin, který odpovídá nebo je rovnocenný jednomu z trestných činů uvedených v čl. 2 odst. 2 rámcového rozhodnutí Rady 2002/584/SVV (36), pokud za něj lze podle vnitrostátního práva uložit trest odnětí svobody s horní hranicí sazby v délce nejméně tři roky nebo ochranné opatření spojené s omezením svobody ve stejné délce;

23)

„Systémem vstupu/výstupu“ nebo „EES“ Systém vstupu/výstupu zřízený nařízením (EU) 2017/2226;

24)

„Vízovým informačním systémem“ nebo „VIS“ Vízový informační systém zřízený nařízením (ES) č. 767/2008;

25)

„Evropským systémem pro cestovní informace a povolení“ nebo „ETIAS“ Evropský systém pro cestovní informace a povolení zřízený nařízením (EU) 2018/1240;

26)

„Eurodacem“ systém Eurodac zřízený nařízením Evropského parlamentu a Rady (EU) č. 603/2013 (37);

27)

„Schengenským informačním systémem“ nebo „SIS“ Schengenský informační systém zřízený nařízeními (EU) 2018/1860, (EU) 2018/1861 a (EU) 2018/1862;

28)

„ECRIS-TCN“ centralizovaný systém identifikace členských států, které mají informace o odsouzení státních příslušníků třetích zemí a osob bez státní příslušnosti, zřízený nařízením Evropského parlamentu a Rady (EU) 2019/816 (38).

Článek 5

Zákaz diskriminace a základní práva

Zpracování osobních údajů pro účely tohoto nařízení nesmí vést k diskriminaci osob na základě pohlaví, rasy, barvy pleti, etnického nebo sociálního původu, genetických rysů, jazyka, náboženského vyznání nebo přesvědčení, politických nebo jakýchkoli jiných názorů, příslušnosti k národnostní menšině, majetku, narození, zdravotního postižení, věku nebo sexuální orientace. Musí plně respektovat lidskou důstojnost a integritu a základní práva, včetně práva na respektování soukromého života a práva na ochranu osobních údajů. Zvláštní pozornost se musí věnovat dětem, starším osobám, osobám se zdravotním postižením a osobám, které potřebují mezinárodní ochranu. Na prvním místě musí vždy být nejlepší zájem dítěte.

KAPITOLA II

Evropský vyhledávací portál

Článek 6

Evropský vyhledávací portál

1.   Zřizuje se Evropský vyhledávací portál (ESP), jehož účelem je usnadnit rychlý, plynulý, účinný, systematický a řízený přístup orgánů členských států a agentur Unie, v souladu s jejich přístupovými právy, k informačním systémům EU, k údajům Europolu a k databázím Interpolu, který potřebují k plnění svých úkolů, v souladu s cíli a účely EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN.

2.   ESP se skládá:

a)

z centrální infrastruktury včetně vyhledávacího portálu, který umožňuje souběžné vyhledávání v EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN a rovněž v údajích Europolu a databázích Interpolu;

b)

ze zabezpečeného komunikačního kanálu mezi ESP, členskými státy a agenturami Unie, které jsou oprávněny využívat ESP;

c)

ze zabezpečené komunikační infrastruktury mezi ESP a EES, VIS, ETIAS, Eurodacem, centrálním SIS, ECRIS-TCN, údaji Europolu a databázemi Interpolu, jakož i mezi ESP a centrálními infrastrukturami CIR a MID.

3.   ESP vyvine a jeho technickou správu zajištuje agentura eu-LISA.

Článek 7

Používání Evropského vyhledávacího portálu

1.   Používání ESP je vyhrazeno orgánům členských států a agenturám Unie s přístupem alespoň do jednoho z informačních systémů EU v souladu s právními nástroji upravujícími tyto informační systémy EU, do CIR a MID v souladu s tímto nařízením, k údajům Europolu v souladu s nařízením (EU) 2016/794 nebo k databázím Interpolu v souladu s unijním či vnitrostátním právem upravujícím takový přístup.

Tyto orgány členských států a agentury Unie mohou využívat ESP a údaje, které poskytuje, pouze pro cíle a účely stanovené v právních nástrojích upravujících informační systémy EU, v nařízení (EU) 2016/794 a v tomto nařízení.

2.   Orgány členských států a agentury Unie uvedené v odstavci 1 využívají ESP k vyhledávání údajů souvisejících s osobami nebo jejich cestovními doklady v centrálních systémech EES, VIS a ETIAS v souladu se svými přístupovými právy uvedenými v právních nástrojích, jimiž se řídí tyto informační systémy EU, a ve vnitrostátním právu. Využívají ESP také k vyhledávání v CIR v souladu se svými přístupovými právy podle tohoto nařízení pro účely uvedené v článcích 20, 21 a 22.

3.   Orgány členských států uvedené v odstavci 1 mohou využívat ESP k vyhledávání údajů souvisejících s osobami nebo jejich cestovními doklady v centrálním SIS uvedeném v nařízeních (EU) 2018/1860 a (EU) 2018/1861.

4.   Stanoví-li tak unijní právo, využívají agentury Unie uvedené v odstavci 1 ESP k vyhledávání údajů týkajících se osob nebo jejich cestovních dokladů v centrálním SIS.

5.   Orgány členských států a agentury Unie uvedené v odstavci 1 mohou využívat ESP k vyhledávání údajů týkajících cestovních dokladů v databázích Interpolu, a stanoví-li tak unijní a vnitrostátní právo, v souladu se svými přístupovými právy podle tohoto práva.

Článek 8

Profily uživatelů Evropského vyhledávacího portálu

1.   Aby umožnila používání ESP, vytvoří agentura eu-LISA ve spolupráci s členskými státy profil každé kategorie uživatelů ESP a pro účely jejich vyhledávání v souladu s technickými podrobnostmi a přístupovými právy uvedenými v odstavci 2. Každý profil obsahuje v souladu s unijním a vnitrostátním právem tyto informace:

a)

datová pole používaná při vyhledávání;

b)

ty informační systémy EU, údaje Europolu a databáze Interpolu, v nichž se má vyhledávat, ty, v nichž lze vyhledávat, a ty, které mají uživateli poskytnout odpověď;

c)

konkrétní údaje v informačních systémech EU, údaje Europolu a databáze Interpolu, v nichž lze vyhledávat;

d)

kategorie údajů, které mohou být uvedeny v každé odpovědi.

2.   Komise přijme prováděcí akty, jimiž stanoví technické podrobnosti profilů uvedených v odstavci 1 v souladu s přístupovými právy uživatelů ESP podle právních nástrojů upravujících informační systémy EU a podle vnitrostátního práva. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 74 odst. 2.

3.   Agentura eu-LISA ve spolupráci s členskými státy pravidelně a nejméně jednou ročně přezkoumává profily uvedené v odstavci 1 a v případě potřeby je aktualizuje.

Článek 9

Vyhledávání

1.   Uživatelé ESP zahájí vyhledávání tak, že do něj zadají alfanumerické, nebo biometrické údaje. Po zahájení vyhledávání začne ESP na základě údajů zadaných uživatelem a v souladu s profilem uživatele prohledávat souběžně EES, ETIAS, VIS, SIS, Eurodac, ECRIS-TCN, CIR, údaje Europolu a databáze Interpolu.

2.   Kategorie údajů použitých k zahájení vyhledávání prostřednictvím ESP musí odpovídat kategoriím údajů týkajících se osob nebo cestovních dokladů, které lze používat pro vyhledávání v různých informačních systémech EU, údajích Europolu a databázích Interpolu v souladu s právními nástroji upravujícími tyto systémy.

3.   Agentura eu-LISA zavede ve spolupráci s členskými státy pro účely ESP dokument pro ovládání rozhraní založený na UMF uvedeném v článku 38.

4.   Při zahájení vyhledávání uživatelem ESP poskytnou EES, ETIAS, VIS, SIS, Eurodac, ECRIS-TCN, CIR, MID, údaje Europolu a databáze Interpolu jako odpověď na vyhledávání relevantní údaje, které mají.

Aniž je dotčen článek 20, uvede se v odpovědi od ESP, do kterého informačního systému EU nebo do které databáze daný údaj patří.

ESP neposkytuje žádné informace o údajích v informačních systémech EU, údajích Europolu a databázích Interpolu, k nimž uživatel nemá podle unijního ani vnitrostátního práva přístup.

5.   Veškeré vyhledávání v databázích Interpolu zahájené prostřednictvím ESP se provádí tak, aby majiteli záznamu Interpolu nebyly odhaleny žádné informace.

6.   ESP uživateli odpoví, jakmile má k dispozici údaje z jednoho z informačních systémů EU, údajů Europolu nebo databází Interpolu. Tato odpověď obsahuje pouze údaje, k nimž má uživatel přístup podle unijního a vnitrostátního práva.

7.   Komise přijme prováděcí akt, jímž stanoví technický postup pro ESP při vyhledávání v informačních systémech EU, údajích Europolu a databázích Interpolu a formát odpovědí ESP. Tento prováděcí akt se přijme přezkumným postupem podle čl. 74 odst. 2.

Článek 10

Vedení a uchovávání protokolů

1.   Aniž je dotčen článek 46 nařízení (EU) 2017/2226, článek 34 nařízení (ES) č. 767/2008, článek 69 nařízení (EU) 2018/1240 a články 12 a 18 nařízení (EU) 2018/1861, agentura eu-LISA vede a uchovává protokoly o všech operacích při zpracování údajů v rámci ESP. V těchto protokolech se uvádí:

a)

členský stát nebo agentura Unie, které zahájily vyhledávání, a použitý profil ESP;

b)

datum a čas vyhledávání;

c)

informační systémy EU a databáze Interpolu, v nichž vyhledávání proběhlo.

2.   Každý členský stát vede a uchovává protokoly o vyhledávání, jež provádějí jeho orgány a jejich pracovníci řádně zmocnění k používání ESP. Každá agentura Unie vede a uchovává protokoly o vyhledávání, které provádějí její řádně zmocnění pracovníci.

3.   Protokoly uvedené v odstavcích 1 a 2 lze použít pouze pro účely monitorování ochrany údajů, včetně kontroly přípustnosti žádostí a zákonnosti zpracování údajů, a pro zabezpečení údajů a zajištění jejich integrity. Tyto protokoly musí být chráněny vhodnými opatřeními proti neoprávněnému přístupu a vymazány po uplynutí jednoho roku od vytvoření. Pokud jsou však nezbytné pro zahájené monitorovací postupy, vymaží se v okamžiku, kdy již pro ně nebudou zapotřebí.

Článek 11

Záložní postupy pro případ technické nemožnosti použít Evropský vyhledávací portál

1.   Pokud je technicky nemožné použít ESP k vyhledávání v jednom či více informačních systémech EU nebo CIR z důvodu selhání ESP, agentura eu-LISA o tom automaticky uvědomí uživatele ESP.

2.   Pokud je technicky nemožné použít ESP k vyhledávání v jednom či více informačních systémech EU nebo v CIR z důvodu selhání vnitrostátní infrastruktury v členském státě, členský stát o této skutečnosti automaticky uvědomí agenturu eu-LISA a Komisi.

3.   V případech uvedených v odstavci 1 nebo 2 tohoto článku a až do vyřešení technického selhání se neuplatní povinnost uvedená v čl. 7 odst. 2 a 4 a členské státy získají v případě, že tak musí podle unijního nebo vnitrostátního práva učinit, přímý přístup k informačním systémům EU nebo CIR.

4.   Pokud je technicky nemožné použít ESP k vyhledávání v jednom či více informačních systémech EU nebo v CIR z důvodu selhání infrastruktury některé agentury Unie, tato agentura o tom automaticky uvědomí agenturu eu-LISA a Komisi.

KAPITOLA III

Sdílená služba pro porovnávání biometrických údajů

Článek 12

Sdílená služba pro porovnávání biometrických údajů

1.   Na podporu CIR a MID a cílů EES, VIS, Eurodacu, SIS a ECRIS-TCN se zřizuje sdílená služba pro porovnávání biometrických údajů (sdílená BMS), která ukládá biometrické šablony získané na základě biometrických údajů uvedených v článku 13, které jsou uchovávány v CIR a SIS, a umožňuje vyhledávání s využitím biometrických údajů v několika informačních systémech EU.

2.   Sdílenou BMS tvoří:

a)

centrální infrastruktura, která nahrazuje příslušné centrální systémy EES, VIS, SIS, Eurodacu a ECRIS-TCN v takovém rozsahu, v jakém uchovává biometrické šablony a umožňuje vyhledávat s využitím biometrických údajů;

b)

zabezpečená komunikační infrastruktura mezi sdílenou BMS, centrálním SIS a CIR.

3.   Sdílenou BMS vyvine a její technickou správu zajištuje agentura eu-LISA.

Článek 13

Ukládání biometrických šablon ve sdílené službě pro porovnávání biometrických údajů

1.   Sdílená BMS ukládá biometrické šablony, které získá z těchto biometrických údajů:

a)

údajů uvedených v čl. 16 odst. 1 písm. d), čl. 17 odst. 1 písm. b) a c) a čl. 18 odst. 2 písm. a), b) a c) nařízení (EU) 2017/2226;

b)

údajů uvedených v čl. 9 bodě 6 nařízení (ES) č. 767/2008;

c)

údajů uvedených v čl. 20 odst. 2 písm. w) a x) nařízení (EU) 2018/1861, kromě údajů o otiscích dlaní;

d)

údajů uvedených v čl. 4 odst. 1 písm. u) a v) nařízení (EU) 2018/1860, kromě údajů o otiscích dlaní.

Biometrické šablony se ukládají ve sdílené BMS logicky odděleně podle informačního systému EU, z něhož údaje pocházejí.

2.   Pro každý soubor údajů uvedený v odstavci 1 obsahuje sdílená BMS v každé biometrické šabloně odkaz na informační systémy EU, v nichž jsou odpovídající biometrické údaje uloženy, a odkaz na vlastní záznamy v těchto informačních systémech EU.

3.   Biometrické šablony lze zadávat do sdílené BMS pouze po automatizované kontrole kvality biometrických údajů přidaných do jednoho z informačních systémů EU, kterou sdílená BMS provede, aby se ověřilo, zda jsou splněny minimální normy kvality údajů.

4.   Ukládání údajů uvedených v odstavci 1 musí splňovat normy kvality uvedené v čl. 37 odst. 2.

5.   Komise stanoví prostřednictvím prováděcího aktu požadavky na výkonnost a praktické postupy při sledování výkonnosti sdílené BMS, aby bylo zajištěno, že účinnost biometrického vyhledávání odpovídá naléhavosti postupů, jako jsou hraniční kontroly a identifikace. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 74 odst. 2.

Článek 14

Vyhledávání biometrických údajů s využitím sdílené služby pro porovnávání biometrických údajů

CIR a SIS používají k vyhledání biometrických údajů v nich uložených biometrické šablony uložené ve sdílené BMS. Vyhledávání na základě biometrických údajů probíhá v souladu s účely stanovenými v tomto nařízení a v nařízeních (ES) č. 767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 a (EU) 2019/816.

Článek 15

Uchovávání údajů ve sdílené službě pro porovnávání biometrických údajů

Údaje uvedené v čl. 13 odst. 1 a 2 jsou ve sdílené BMS uloženy jen tak dlouho, dokud jsou odpovídající biometrické údaje uloženy v CIR nebo SIS. Vymaží se ze sdílené BMS automaticky.

Článek 16

Vedení a uchovávání protokolů

1.   Aniž jsou dotčeny článek 46 nařízení (EU) 2017/2226, článek 34 nařízení (ES) č. 767/2008 a články 12 a 18 nařízení (EU) 2018/1861, agentura eu-LISA vede a uchovává protokoly o všech operacích při zpracovávání údajů ve sdílené BMS. V těchto protokolech se uvádí:

a)

členský stát nebo agentura Unie, která zahájila vyhledávání;

b)

historie vytváření a ukládání biometrických šablon;

c)

informační systémy EU, v nichž se vyhledává s použitím biometrických šablon uložených ve sdílené BMS;

d)

datum a čas vyhledávání;

e)

druh biometrických údajů použitých k zahájení vyhledávání;

f)

výsledky vyhledávání a datum a čas výsledku.

2.   Každý členský stát vede a uchovává protokoly o vyhledávání, jež provádějí jeho orgány a jejich pracovníci řádně zmocnění k používání sdílené BMS. Každá agentura Unie vede a uchovává protokoly o vyhledávání, které provádějí její řádně zmocnění pracovníci.

3.   Protokoly uvedené v odstavcích 1 a 2 lze použít pouze pro účely monitorování ochrany údajů, včetně kontroly přípustnosti žádostí a zákonnosti zpracování údajů, a pro zabezpečení údajů a zajištění jejich integrity. Tyto protokoly musí být chráněny vhodnými opatřeními proti neoprávněnému přístupu a vymazány po uplynutí jednoho roku od vytvoření. Pokud jsou však nezbytné pro zahájené monitorovací postupy, vymaží se v okamžiku, kdy již pro ně nebudou zapotřebí.

KAPITOLA IV

Společné úložiště údajů o totožnosti

Článek 17

Společné úložiště údajů o totožnosti

1.   Zřizuje se společné úložiště údajů o totožnosti (CIR), které vytváří samostatný soubor pro každou osobu zaznamenanou v EES, VIS, ETIAS, Eurodacu nebo ECRIS-TCN a obsahuje údaje uvedené v článku 18, s cílem usnadnit v souladu s článkem 20 správné zjištění totožnosti osob registrovaných v EES, VIS, ETIAS, Eurodacu a ECRIS-TCN a napomáhat k němu, podpořit v souladu s článkem 21 fungování MID a v souladu s článkem 22 usnadnit a zjednodušit přístup určených orgánů a Europolu k EES, VIS, ETIAS a Eurodacu, pokud je to nezbytné k prevenci, odhalování nebo vyšetřování teroristických trestných činů či jiných závažných trestných činů.

2.   CIR se skládá:

a)

z centrální infrastruktury, která nahrazuje příslušné centrální systémy EES, VIS, ETIAS, Eurodacu a ECRIS-TCN v takovém rozsahu, v jakém uchovává údaje uvedené v článku 18;

b)

ze zabezpečeného komunikačního kanálu mezi CIR, členskými státy a agenturami Unie, které jsou oprávněny používat CIR v souladu s unijním a vnitrostátním právem;

c)

ze zabezpečené komunikační infrastruktury mezi CIR a EES, VIS, ETIAS, Eurodacem a ECRIS-TCN, jakož i centrálními infrastrukturami ESP, sdílené BMS a MID.

3.   CIR vyvine a jeho technickou správu zajištuje agentura eu-LISA.

4.   Pokud je z důvodu selhání CIR technicky nemožné v něm vyhledávat pro účely zjištění totožnosti určité osoby podle článku 20, pro odhalování vícenásobné totožnosti podle článku 21 nebo pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů podle článku 22, agentura eu-LISA o tom automaticky uvědomí uživatele CIR.

5.   Agentura eu-LISA zavede ve spolupráci s členskými státy pro účely CIR dokument pro ovládání rozhraní založený na UMF uvedeném v článku 38.

Článek 18

Údaje společného úložiště údajů o totožnosti

1.   CIR ukládá následující údaje logicky odděleně podle informačního systému, z něhož pocházejí:

a)

údaje uvedené v čl. 16 odst. 1 písm. a) až d), čl. 17 odst. 1 písm. a), b) a c) a čl. 18 odst. 1 a 2 nařízení (EU) 2017/2226;

b)

údaje uvedené v čl. 9 bodě 4 písm. a) až c) a bodech 5 a 6 nařízení (ES) č. 767/2008;

c)

údaje uvedené v čl. 17 odst. 2 písm. a) až e) nařízení (ES) 2018/1240;

2.   Pro každý soubor údajů uvedený v odstavci 1 obsahuje CIR odkaz na informační systémy EU, do kterých údaje patří.

3.   Orgány vstupující do CIR tak činí v souladu se svými přístupovými právy podle právních nástrojů upravujících informační systémy EU a podle vnitrostátního práva a pro účely uvedené v článcích 20, 21 a 22 v souladu se svými přístupovými právy podle tohoto nařízení.

4.   Pro každý soubor údajů uvedený v odstavci 1 obsahuje CIR odkaz na vlastní záznam v informačních systémech EU, do nichž údaje patří.

5.   Ukládání údajů uvedených v odstavci 1 musí splňovat normy kvality uvedené v čl. 37 odst. 2.

Článek 19

Doplnění, změna a výmaz údajů ve společném úložišti údajů o totožnosti

1.   Pokud jsou údaje v EES, VIS a ETIAS doplněny, změněny nebo vymazány, automaticky se odpovídajícím způsobem doplní, změní nebo vymaží údaje uvedené v článku 18 uložené v individuálním souboru CIR.

2.   Pokud je v MID vytvořeno v souladu s článkem 32 nebo 33 bílé nebo červené propojení mezi údaji dvou nebo více informačních systémů EU, z nichž se CIR skládá, CIR namísto vytvoření nového individuálního souboru doplní nové údaje do individuálního souboru propojených údajů.

Článek 20

Přístup do společného úložiště údajů o totožnosti pro účely zjištění totožnosti

1.   Policejní orgán provede vyhledávání v CIR v souladu s odstavci 2 a 5 pouze za těchto okolností:

a)

pokud policejní orgán není schopen zjistit totožnost osoby, protože tato osoba nemá cestovní doklad ani jiný důvěryhodný doklad prokazující její totožnost;

b)

pokud existují pochybnosti o údajích o totožnosti poskytnutých určitou osobou;

c)

pokud existují pochybnosti o pravosti cestovního dokladu nebo jiného důvěryhodného dokladu poskytnutého určitou osobou;

d)

pokud existují pochybnosti o totožnosti držitele cestovního dokladu nebo jiného věrohodného dokladu, nebo

e)

pokud určitá osoba není schopna nebo odmítá spolupracovat.

Toto vyhledávání není povoleno v případě nezletilých osob mladších 12 let, ledaže je to v nejlepším zájmu dítěte.

2.   Pokud nastane jedna z okolností uvedených v odstavci 1 a policejní orgán je k tomu zmocněn vnitrostátními legislativními opatřeními uvedenými v odstavci 5, může výhradně pro účely zjištění totožnosti osoby vyhledávat v CIR s využitím biometrických údajů této osoby, které získal přímo během kontroly totožnosti, za podmínky, že daný postup byl zahájen v přítomnosti této osoby.

3.   Pokud vyhledávání ukáže, že údaje o určité osobě jsou uloženy v CIR, má policejní orgán přístup k údajům uvedeným v čl. 18 odst. 1.

Pokud nelze biometrické údaje osoby použít nebo pokud vyhledávání na základě těchto údajů není úspěšné, měly by se pro vyhledávání použít údaje o totožnosti této osoby ve spojení s údaji o cestovním dokladu nebo s použitím údajů o totožnosti poskytnutých touto osobou.

4.   Pokud je k tomu policejní orgán zmocněn vnitrostátními legislativními opatřeními uvedenými v odstavci 6, může v případě přírodní katastrofy, nehody nebo teroristického útoku vyhledávat v CIR s využitím biometrických údajů, a to výhradně pro účely zjištění totožnosti neznámých osob, které nejsou schopny samy svou totožnost prokázat, nebo identifikaci lidských pozůstatků.

5.   Členské státy, které si přejí využít možnost stanovenou v odstavci 2, přijmou příslušná vnitrostátní legislativní opatření. Členské státy přitom zohlední potřebu zamezit jakékoli diskriminaci státních příslušníků třetích zemí. Taková legislativní opatření vymezí přesné účely zjištění totožnosti v rámci účelů uvedených v čl. 2 odst. 1 písm. b) a c). Členské státy určí příslušné policejní orgány a stanoví postupy, podmínky a kritéria takových kontrol.

6.   Členské státy, které si přejí využít možnost stanovenou v odstavci 4, přijmou vnitrostátní legislativní opatření stanovující postupy, podmínky a kritéria.

Článek 21

Přístup do společného úložiště údajů o totožnosti pro odhalování vícenásobných totožností

1.   Pokud je výsledkem vyhledávání v CIR žluté propojení v souladu s čl. 28 odst. 4, orgán odpovědný za manuální ověření různých totožností v souladu s článkem 29 má výhradně pro účely takového ověření přístup k údajům uvedeným ve čl. 18 odst. 1 a 2, které jsou uloženy v CIR a spojeny žlutým propojením.

2.   Pokud je výsledkem vyhledávání v CIR červené propojení v souladu s článkem 32, mají orgány uvedené v čl. 26 odst. 2 výhradně pro účely boje proti podvodnému zneužívání totožnosti přístup k údajům uvedeným ve čl. 18 odst. 1 a 2, které jsou uloženy v CIR a spojeny červeným propojením.

Článek 22

Vyhledávání ve společném úložišti údajů o totožnosti pro účely prevence, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů

1.   Ve zvláštním případě, kdy existují oprávněné důvody se domnívat, že nahlédnutí do informačních systémů EU přispěje k prevenci, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů, zejména pokud existuje důvodné podezření, že podezřelý, pachatel nebo oběť teroristického trestného činu nebo jiného závažného trestného činu je osobou, jejíž údaje jsou uloženy v EES, VIS nebo ETIAS, určené orgány členských států a Europol mohou nahlédnout do CIR za účelem získání informací o tom, zda se údaje týkající se konkrétní osoby vyskytují v EES, VIS nebo ETIAS.

2.   Pokud CIR v odpovědi na vyhledávání uvede, že se údaje o dané osobě vyskytují v EES, VIS nebo ETIAS, poskytne určeným orgánům a Europolu odpověď v podobě odkazu podle čl. 18 odst. 2 uvádějícího, který z těchto informačních systémů EU obsahuje odpovídající údaje. CIR odpoví takovým způsobem, aby nebylo narušeno zabezpečení těchto údajů.

Odpověď, že se v některém z informačních systémů EU uvedených v odstavci 1 vyskytují údaje o dané osobě, lze použít pouze pro podání žádosti o plný přístup v souladu s podmínkami a postupy stanovenými v příslušných právních nástrojích upravujících takový přístup.

V případě shody nebo více shod požádá určený orgán nebo Europol o plný přístup do nejméně jednoho z informačních systémů, které shodu nahlásily.

Pokud není ve výjimečných případech plný přístup požadován, určené orgány zaznamenají odůvodnění, proč o plný přístup nepožádaly, které musí být dohledatelné ve vnitrostátním spisu. Europol zaznamená odůvodnění do příslušného spisu.

3.   Plný přístup k údajům obsaženým v EES, VIS nebo ETIAS pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů nadále podléhá podmínkám a postupům stanoveným v příslušných právních nástrojích upravujících takový přístup.

Článek 23

Uchovávání údajů ve společném úložišti údajů o totožnosti

1.   Údaje uvedené v čl. 18 odst. 1, 2 a 4 se z CIR automaticky vymaží v souladu s příslušnými ustanoveními o uchovávání údajů nařízení (EU) 2017/2226, (ES) č. 767/2008 a (EU) 2018/1240.

2.   Individuální soubor je v CIR uložen jen tak dlouho, dokud jsou odpovídající údaje uloženy alespoň v jednom z informačních systémů EU, jejichž údaje jsou obsaženy v CIR. Vytvoření propojení nemá vliv na dobu uchovávání jednotlivých položek propojených údajů.

Článek 24

Vedení a uchovávání protokolů

1.   Aniž jsou dotčeny článek 46 nařízení (EU) 2017/2226, článek 34 nařízení (ES) č. 767/2008 a článek 69 nařízení (EU) 2018/1240, agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů v rámci CIR v souladu s odstavci 2, 3 a 4 tohoto článku.

2.   Agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů podle článku 20 v rámci CIR. V těchto protokolech se uvádí:

a)

členský stát nebo agentura Unie, která zahájila vyhledávání;

b)

účel přístupu uživatele, který vyhledává prostřednictvím CIR;

c)

datum a čas vyhledávání;

d)

druh údajů použitých k zahájení vyhledávání;

e)

výsledky vyhledávání.

3.   Agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů podle článku 21 v rámci CIR. V těchto protokolech se uvádí:

a)

členský stát nebo agentura Unie, která zahájila vyhledávání;

b)

účel přístupu uživatele, který vyhledává prostřednictvím CIR;

c)

datum a čas vyhledávání;

d)

údaje použité k zahájení vyhledávání, pokud je vytvořeno propojení, a výsledky vyhledávání uvádějící informační systém EU, ze kterého údaje pocházejí.

4.   Agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů podle článku 22 v CIR. V těchto protokolech se uvádí:

a)

datum a čas vyhledávání;

b)

údaje použité k zahájení vyhledávání;

c)

výsledky vyhledávání;

d)

členský stát nebo agentura Unie vyhledávající v CIR.

Protokoly o takovém přístupu pravidelně ověřuje příslušný dozorový úřad v souladu s článkem 41 směrnice (EU) 2016/680 nebo evropský inspektor ochrany údajů v souladu s článkem 43 nařízení (EU) 2016/794, a to s odstupy nepřekračujícími šest měsíců, s cílem ověřit, zda jsou dodržovány postupy a podmínky stanovené v čl. 22 odst. 1 a 2 tohoto nařízení.

5.   Každý členský stát vede a uchovává protokoly o vyhledávání, jež provádějí jeho orgány a jejich pracovníci řádně zmocnění k používání CIR podle článků 20, 21 a 22. Každá agentura Unie vede a uchovává protokoly o vyhledávání, které provádějí její řádně zmocnění pracovníci podle článků 21 a 22.

Kromě toho v souvislosti s jakýmkoli přístupem do CIR podle článku 22 každý členský stát vede a uchovává protokoly, v nichž se uvádí:

a)

odkaz na vnitrostátní spis;

b)

účel přístupu;

c)

v souladu s vnitrostátními pravidly jedinečný identifikátor pracovníka, který provedl vyhledání, a pracovníka, který vyhledání nařídil.

6.   V souladu s nařízením (EU) 2016/794 Europol vede a uchovává pro jakýkoli přístup do CIR podle článku 22 tohoto nařízení protokoly s jedinečným identifikátorem pracovníka, který vyhledání provedl, a pracovníka, který vyhledání nařídil.

7.   Protokoly uvedené v odstavcích 2 až 6 lze použít pouze pro účely monitorování ochrany údajů, včetně kontroly přípustnosti vyhledávání a zákonnosti zpracování údajů, a pro zabezpečení údajů a zajištění jejich integrity. Tyto protokoly musí být chráněny vhodnými opatřeními proti neoprávněnému přístupu a vymazány po uplynutí jednoho roku od vytvoření. Pokud jsou však nezbytné pro zahájené monitorovací postupy, vymaží se v okamžiku, kdy již pro ně nebudou zapotřebí.

8.   Agentura eu-LISA ukládá protokoly související s historií údajů do individuálních souborů. Automaticky je vymaže, jakmile jsou vymazány údaje.

KAPITOLA V

Detektor vícenásobné totožnosti

Článek 25

Detektor vícenásobné totožnosti

1.   Na podporu fungování CIR a cílů EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN se zřizuje detektor vícenásobné totožnosti (MID), který vytváří a ukládá soubory údajů souvisejících s potvrzením totožnosti uvedené v článku 34 obsahující propojení mezi údaji v informačních systémech EU zahrnutých v CIR a v SIS a umožňující odhalení vícenásobné totožnosti s dvojím účelem, kterým je usnadnění kontrol totožnosti a potírání podvodného zneužívání totožnosti.

2.   MID se skládá:

a)

z centrální infrastruktury, která ukládá propojení a odkazy na informační systémy EU;

b)

ze zabezpečené komunikační infrastruktury k propojení MID se SIS a centrálními infrastrukturami ESP a CIR.

3.   MID vyvine a jeho technickou správu zajištuje agentura eu-LISA.

Článek 26

Přístup k detektoru vícenásobné totožnosti

1.   Pro účely manuálního ověření různých totožností uvedeného v článku 29 se přístup k údajům uvedeným v článku 34 uloženým v MID udělí:

a)

příslušným orgánům určeným v souladu s čl. 9 odst. 2 nařízení (ES) 2017/2226 při vytváření nebo aktualizaci individuálního souboru v EES v souladu s článkem 14 uvedeného nařízení;

b)

vízovým orgánům uvedeným v čl. 6 odst. 1 nařízení (ES) č. 767/2008 při vytváření nebo aktualizaci souboru žádosti ve VIS v souladu s uvedeným nařízením;

c)

ústřední jednotce ETIAS a národním jednotkám ETIAS při zpracovávání uvedeném v článcích 22 a 26 nařízení (EU) 2018/1240;

d)

centrále SIRENE členského státu, která vytváří nebo aktualizuje záznam v SIS v souladu s nařízeními (EU) 2018/1860 a (EU) 2018/1861.

2.   Orgány členských států a agentury Unie s přístupem alespoň do jednoho informačního systému EU, který je součástí CIR, nebo do SIS mají přístup k údajům uvedeným v čl. 34 písm. a) a b), pokud jde o červená propojení uvedená v článku 32.

3.   Orgány členských států a agentury Unie mají přístup k bílým propojením uvedeným ve článku 33, pokud mají přístup k těm dvěma informačním systémům EU obsahujícím údaje, mezi nimiž bylo bílé propojení vytvořeno.

4.   Orgány členských států a agentury Unie mají přístup k zeleným propojením uvedeným ve článku 31, pokud mají přístup k těm dvěma informačním systémům EU obsahujícím údaje, mezi nimiž bylo zelené propojení vytvořeno, a vyhledávání v těchto informačních systémech odhalilo shodu se dvěma soubory propojených údajů.

Článek 27

Odhalování vícenásobné totožnosti

1.   Odhalování vícenásobné totožnosti v CIR a v SIS je zahájeno, je-li:

a)

v EES v souladu s článkem 14 nařízení (EU) 2017/2226 vytvořen nebo aktualizován individuální soubor;

b)

ve VIS v souladu s nařízením (ES) č. 767/2008 vytvořen nebo aktualizován soubor žádosti;

c)

v ETIAS v souladu s článkem 19 nařízení (EU) 2018/1240 vytvořen nebo aktualizován soubor žádosti;

d)

v SIS vytvořen nebo aktualizován záznam o určité osobě v souladu s článkem 3 nařízení (EU) 2018/1860 a kapitolou V nařízení (EU) 2018/1861.

2.   Pokud údaje obsažené v informačním systému EU uvedeném v odstavci 1 obsahují biometrické údaje, CIR a centrální SIS použijí sdílenou BMS, aby odhalily vícenásobnou totožnost. Sdílená BMS porovnává biometrické šablony získané ze všech nových biometrických údajů s biometrickými šablonami již obsaženými ve sdílené BMS, aby se ověřilo, zda údaje patřící téže osobě jsou již uloženy v CIR nebo v centrálním SIS.

3.   Vedle postupu uvedeného v odstavci 2 CIR a centrální SIS využívají ESP k vyhledání údajů uložených v centrálním SIS nebo případně v CIR s využitím následujících údajů:

a)

příjmení, jméno nebo jména, datum narození, státní příslušnost nebo příslušnosti, a pohlaví uvedené v čl. 16 odst. 1 písm. a), čl. 17 odst. 1 a čl. 18 odst. 1 nařízení (EU) 2017/2226;

b)

příjmení, jméno (jména), datum narození, pohlaví, místo a země narození, a státní příslušnosti uvedené v čl. 9 bodě 4 písm. a) a aa) nařízení (ES) č. 767/2008;

c)

příjmení, jméno (jména), rodné příjmení, přezdívka (přezdívky), datum narození, místo narození, pohlaví a současná státní příslušnost uvedené v čl. 17 odst. 2 nařízení (EU) 2018/1240;

d)

příjmení, jméno (jména), rodné (rodná) příjmení, dříve užívaná jména a alias, místo narození, datum narození, pohlaví a veškeré státní příslušnosti dotčené osoby uvedené v čl. 20 odst. 2 nařízení (EU) 2018/1861;

e)

příjmení, jméno (jména), rodné (rodná) příjmení, dříve užívaná jména a alias, místo narození, datum narození, pohlaví a veškeré státní příslušnosti dotčené osoby uvedené v článku 4 nařízení (EU) 2018/1860.

4.   Vedle postupu uvedeného v odstavcích 2 a 3 CIR a centrální SIS využívají ESP k vyhledání údajů uložených v centrálním SIS a v CIR s využitím údajů o cestovních dokladech.

5.   Odhalování vícenásobné totožnosti lze zahájit pouze za účelem porovnání údajů dostupných v jednom informačním systému EU s údaji dostupnými v jiných informačních systémech EU.

Článek 28

Výsledky odhalení vícenásobné totožnosti

1.   Pokud vyhledávání uvedené v čl. 27 odst. 2, 3 a 4 nevykáže žádnou shodu, pokračují postupy uvedené v čl. 27 odst. 1 v souladu s právními nástroji, které je upravují.

2.   Pokud vyhledávání uvedené v čl. 27 odst. 2, 3 a 4 vykáže jednu či více shod, CIR a tam, kde je to relevantní, i SIS vytvoří propojení mezi údaji použitými k zahájení vyhledávání a údaji, které vedly ke shodě.

Pokud je vykázáno více shod, vytvoří se propojení mezi všemi údaji, které ke shodě vedly. Pokud propojení mezi údaji již bylo vytvořeno, stávající propojení se rozšíří i na údaje použité k zahájení vyhledávání.

3.   Pokud vyhledávání uvedené v čl. 27 odst. 2, 3 a 4 vykáže jednu či více shod a údaje o totožnosti v propojených souborech jsou stejné nebo podobné, vytvoří se v souladu s článkem 33 bílé propojení.

4.   Pokud vyhledávání uvedené v čl. 27 odst. 2, 3 a 4 vykáže jednu či více shod a údaje o totožnosti v propojených souborech nelze považovat za podobné, vytvoří se v souladu s článkem 30 žluté propojení a použije se postup uvedený v článku 29.

5.   Komise přijme akty v přenesené pravomoci v souladu s článkem 73, kterými stanoví postupy pro určení případů, kdy lze údaje o totožnosti považovat za stejné nebo podobné.

6.   Propojení se ukládají v souboru údajů souvisejících s potvrzením totožnosti uvedeném v článku 34.

7.   Komise stanoví ve spolupráci s agenturou eu-LISA technická pravidla pro vytváření propojení mezi údaji z různých informačních systémů EU prostřednictvím prováděcích aktů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 74 odst. 2.

Článek 29

Manuální ověření různých totožností a odpovědné orgány

1.   Aniž je dotčen odstavec 2, jsou orgány odpovědnými za manuální ověření různých totožností:

a)

příslušný orgán určený v souladu s čl. 9 odst. 2 nařízení (ES) 2017/2226 v případě shod, které se vyskytnou při vytváření nebo aktualizaci individuálního souboru v EES v souladu s uvedeným nařízením;

b)

vízové orgány uvedené v čl. 6 odst. 1 nařízení (ES) č. 767/2008 v případě shod, které se vyskytnou při vytváření nebo aktualizaci souboru žádosti ve VIS v souladu s uvedeným nařízením;

c)

ústřední jednotka ETIAS a národní jednotky ETIAS v případě shod, které se vyskytnou při vytváření nebo aktualizaci souboru žádosti v souladu s nařízením (EU) 2018/1240;

d)

centrála SIRENE členského státu v případě shod, které se vyskytnou při vytváření nebo aktualizaci záznamu v SIS v souladu s nařízeními (EU) 2018/1860 a (EU) 2018/1861.

MID označí orgán odpovědný za manuální ověření různých totožností v souboru údajů souvisejících s potvrzením totožnosti.

2.   Orgánem odpovědným za manuální ověření různých totožností v souboru údajů souvisejících s potvrzením totožnosti je centrála SIRENE členského státu, který vytvořil záznam, v němž je vytvořeno propojení s údaji obsaženými v záznamu:

a)

o osobách hledaných za účelem zatčení a předání nebo vydání uvedeném v článku 26 nařízení (EU) 2018/1862;

b)

o pohřešovaných nebo zranitelných osobách uvedeném v článku 32 nařízení (EU) 2018/1862;

c)

o osobách hledaných za účelem zajištění jejich spolupráce v soudním řízení uvedeném v článku 34 nařízení (EU) 2018/1862;

d)

o osobách pro účely skrytých, dotazovacích nebo zvláštních kontrol uvedeném v článku 36 nařízení (EU) 2018/1862.

3.   Aniž je dotčen odstavec 4 tohoto článku, má orgán odpovědný za manuální ověření různých totožností přístup k propojeným údajům obsaženým v příslušném souboru údajů souvisejících s potvrzením totožnosti a k údajům o totožnosti spojeným v CIR a případně v SIS. Bezodkladně posuzuje různé totožnosti. Jakmile je toto posouzení dokončeno, v souladu s články 31, 32 a 33 aktualizuje propojení a neprodleně je doplní do souboru údajů souvisejících s potvrzením totožnosti.

4.   Pokud je orgánem odpovědným za manuální ověření různých totožností v souboru údajů souvisejících s potvrzením totožnosti příslušný orgán určený v souladu s čl. 9 odst. 2 nařízení (EU) 2017/2226, který v souladu s článkem 14 uvedeného nařízení vytváří nebo aktualizuje individuální soubor v EES, a pokud je vytvořeno žluté propojení, provede tento orgán dodatečné ověření. Pouze pro tyto účely má přístup k souvisejícím údajům obsaženým v příslušném souboru údajů souvisejících s potvrzením totožnosti. Posoudí různé totožnosti, v souladu s články 31, 32 a 33 tohoto nařízení aktualizuje propojení a neprodleně je doplní do souboru údajů souvisejících s potvrzením totožnosti.

Toto manuální ověření různých totožností se zahajuje za přítomnosti dotyčné osoby, které musí být poskytnuta příležitost okolnosti vysvětlit odpovědnému orgánu, který toto vysvětlení vezme v úvahu.

Manuální ověření různých totožností prováděné na hranicích proběhne pokud možno do 12 hodin od vytvoření žlutého propojení podle čl. 28 odst. 4.

5.   Pokud je vytvořeno více než jedno propojení, posoudí orgán odpovědný za manuální ověření různých totožností každé propojení zvlášť.

6.   Pokud již byly údaje vykazující shodu propojeny, orgán odpovědný za manuální ověření různých totožností stávající propojení zohlední při posuzování potřeby vytvořit nová propojení.

Článek 30

Žluté propojení

1.   Neproběhlo-li ještě manuální ověření různých totožností, propojení údajů ze dvou či více informačních systémů EU se označí jako žluté ve všech těchto případech:

a)

propojené údaje sdílejí stejné biometrické údaje, ale mají podobné nebo odlišné údaje o totožnosti;

b)

propojené údaje mají odlišné údaje o totožnosti, ale sdílejí stejné údaje o cestovním dokladu, a alespoň jeden z informačních systémů EU neobsahuje biometrické údaje o dotčené osobě;

c)

propojené údaje sdílejí stejné údaje o totožnosti, ale mají odlišné biometrické údaje;

d)

propojené údaje mají podobné nebo odlišné údaje o totožnosti a sdílejí stejné údaje o cestovním dokladu, ale mají odlišné biometrické údaje.

2.   Pokud se propojení označí v souladu s odstavcem 1 jako žluté, použije se postup stanovený v článku 29.

Článek 31

Zelené propojení

1.   Propojení mezi údaji ze dvou či více informačních systémů EU se označí jako zelené, pokud:

a)

propojené údaje mají odlišné biometrické údaje, ale sdílejí stejné údaje o totožnosti a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje odkazují na dvě různé osoby;

b)

propojené údaje mají odlišné biometrické údaje, mají podobné nebo odlišné údaje o totožnosti, sdílejí stejné údaje o cestovním dokladu a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje odkazují na dvě různé osoby;

c)

propojené údaje mají odlišné údaje o totožnosti, ale sdílejí stejné údaje o cestovním dokladu, alespoň jeden z informačních systémů EU neobsahuje biometrické údaje o dotčené osobě a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje odkazují na dvě různé osoby.

2.   Pokud se vyhledávání uskuteční v CIR nebo v SIS a pokud existuje zelené propojení mezi údaji ve dvou či více informačních systémech EU, uvede MID, že údaje o totožnosti propojených údajů neodpovídají téže osobě.

3.   Pokud má orgán členského státu důkazy, z nichž vyplývá, že zelené propojení bylo v MID zaznamenáno nesprávně, není aktuální nebo že údaje byly v MID nebo v informačních systémech EU zpracovány v rozporu s tímto nařízením, zkontroluje příslušné údaje uložené v CIR a v SIS a v případě potřeby propojení v MID neprodleně opraví nebo vymaže. Orgán členského státu neprodleně uvědomí členský stát odpovědný za manuální ověření různých totožností.

Článek 32

Červené propojení

1.   Propojení mezi údaji ze dvou či více informačních systémů EU se označí jako červené ve všech těchto případech:

a)

propojené údaje sdílejí stejné biometrické údaje, ale mají podobné nebo odlišné údaje o totožnosti a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje neoprávněně odkazují na tutéž osobu;

b)

propojené údaje mají stejné, podobné nebo odlišné údaje o totožnosti a sdílejí stejné údaje o cestovním dokladu, ale mají odlišné biometrické údaje a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje odkazují na dvě odlišné osoby a alespoň jedna z nich používá stejný cestovní doklad neoprávněně;

c)

propojené údaje sdílejí stejné údaje o totožnosti, ale mají odlišné biometrické údaje, mají odlišné nebo nemají žádné údaje o cestovním dokladu a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje neoprávněně odkazují na dvě různé osoby;

d)

propojené údaje mají odlišné údaje o totožnosti, ale sdílejí stejné údaje o cestovním dokladu, alespoň jeden z informačních systémů EU neobsahuje biometrické údaje o dotčené osobě a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje neoprávněně odkazují na tutéž osobu.

2.   Pokud se vyhledávání uskuteční v CIR nebo v SIS a pokud existuje červené propojení mezi údaji ve dvou či více informačních systémech EU, uvede MID údaje uvedené v článku 34. Opatření v návaznosti na červené propojení se provádějí v souladu s unijním a vnitrostátním právem a jakékoli právní důsledky pro dotčenou osobu se zakládají jen na údajích pro ni relevantních. Pro dotčenou osobu nevyplývají z pouhé existence červeného propojení žádné právní důsledky.

3.   Pokud se vytvoří červené propojení mezi údaji v EES, VIS, ETIAS, Eurodacu nebo ECRIS-TCN, individuální soubor uložený v CIR se aktualizuje v souladu s čl. 19 odst. 2.

4.   Aniž jsou dotčena ustanovení nařízení (EU) 2018/1860, (EU) 2018/1861 a (EU) 2018/1862 o zpracování záznamů v SIS a aniž jsou dotčena omezení nutná z důvodu ochrany bezpečnosti a veřejného pořádku, prevence trestné činnosti a zaručení řádného průběhu vnitrostátních vyšetřování, pokud se vytvoří červené propojení, informuje orgán odpovědný za manuální ověření různých totožností dotčenou osobu o existenci údajů o nezákonné vícenásobné totožnosti a poskytne jí jediné identifikační číslo uvedené ve čl. 34 písm. c) tohoto nařízení, odkaz na orgán odpovědný za manuální ověření různých totožností uvedený ve čl. 34 písm. d) tohoto nařízení a internetovou adresu internetového portálu zřízeného v souladu s článkem 49 tohoto nařízení.

5.   Informace uvedené v odstavci 4 poskytne orgán odpovědný za manuální ověření různých totožností písemně prostřednictvím standardního formuláře. Komise stanoví obsah a formu tohoto formuláře prostřednictvím prováděcích aktů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 74 odst. 2.

6.   Pokud se vytvoří červené propojení, oznámí to MID automaticky orgánům odpovědným za propojené údaje.

7.   Mají-li orgán členského státu nebo agentura Unie s přístupem k CIR nebo SIS důkaz nasvědčující tomu, že červené propojení bylo v MID zaznamenáno nesprávně nebo že údaje byly zpracovány v MID, CIR nebo SIS v rozporu s tímto nařízením, zkontroluje relevantní údaje uložené v CIR a SIS a:

a)

informují okamžitě příslušnou centrálu SIRENE členského státu, který záznam v SIS vytvořil, pokud se propojení týká jednoho ze záznamů v SIS uvedených ve čl. 29 odst. 2;

b)

ve všech ostatních případech propojení v MID okamžitě opraví či vymaží.

Je-li kontaktována centrála SIRENE podle prvního pododstavce písm. a), ověří důkazy poskytnuté orgánem členského státu nebo agenturou Unie a v případě potřeby okamžitě propojení v MID opraví nebo vymaže.

Orgán členského státu, který získá uvedený důkaz, neprodleně informuje orgán členského státu odpovědný za manuální ověření různých totožností o jakýchkoli relevantních opravách nebo výmazech červeného propojení.

Článek 33

Bílé propojení

1.   Propojení údajů ze dvou či více informačních systémů EU se označí jako bílé ve všech těchto případech:

a)

propojené údaje sdílejí stejné biometrické údaje a stejné nebo podobné údaje o totožnosti;

b)

propojené údaje sdílejí stejné nebo podobné údaje o totožnosti a stejné údaje o cestovním dokladu a alespoň jeden z informačních systémů EU neobsahuje biometrické údaje o dané osobě;

c)

propojené údaje sdílejí stejné biometrické údaje a stejné údaje o cestovním dokladu a mají podobné údaje o totožnosti;

d)

propojené údaje sdílejí stejné biometrické údaje, ale mají podobné nebo odlišné údaje o totožnosti a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje oprávněně odkazují na tutéž osobu.

2.   Pokud se vyhledávání uskuteční v CIR nebo v SIS a pokud existuje bílé propojení mezi údaji ve dvou či více informačních systémech EU, uvede MID, že údaje o totožnosti propojených údajů odpovídají téže osobě. Prohledávané informační systémy EU v relevantních případech v odpovědi uvedou veškeré propojené údaje o dané osobě, což povede ke shodě na základě údajů, které jsou propojeny bílým propojením, jestliže má orgán, který vyhledávání zahájil, podle unijního nebo vnitrostátního práva k propojeným údajům přístup.

3.   Pokud se vytvoří bílé propojení mezi údaji v EES, VIS, ETIAS, Eurodacu nebo ECRIS-TCN, individuální soubor uložený v CIR se aktualizuje v souladu s čl. 19 odst. 2.

4.   Aniž jsou dotčena ustanovení nařízení (EU) 2018/1860, (EU) 2018/1861 a (EU) 2018/1862 o zpracování záznamů v SIS a aniž jsou dotčena omezení nutná z důvodu ochrany bezpečnosti a veřejného pořádku, prevence trestné činnosti a zaručení řádného průběhu vnitrostátních vyšetřování, pokud se po manuálním ověření různých totožností vytvoří bílé propojení, informuje orgán odpovědný za manuální ověření různých totožností dotčenou osobu o podobných nebo odlišných údajích o totožnosti a poskytne jí jediné identifikační číslo uvedené ve čl. 34 písm. c) tohoto nařízení, odkaz na orgán odpovědný za manuální ověření různých totožností uvedený ve čl. 34 písm. d) tohoto nařízení a internetovou adresu internetového portálu zřízeného v souladu s článkem 49 tohoto nařízení.

5.   Pokud má orgán členského státu důkazy, z nichž vyplývá, že bílé propojení bylo v MID zaznamenáno nesprávně, že není aktuální nebo že údaje byly v MID nebo v informačních systémech EU zpracovány v rozporu s tímto nařízením, zkontroluje relevantní údaje uložené v CIR a v SIS a v případě potřeby propojení v MID neprodleně opraví nebo vymaže. Orgán členského státu neprodleně uvědomí členský stát odpovědný za manuální ověření různých totožností.

6.   Informace uvedené v odstavci 4 poskytne orgán odpovědný za manuální ověření různých totožností písemně prostřednictvím standardního formuláře. Komise stanoví obsah a formu tohoto formuláře prostřednictvím prováděcích aktů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 74 odst. 2.

Článek 34

Soubor údajů souvisejících s potvrzením totožnosti

Soubor údajů souvisejících s potvrzením totožnosti obsahuje tyto údaje:

a)

propojení uvedená v článcích 30 až 33;

b)

odkaz na informační systémy EU, v nichž jsou uchovávány propojené údaje;

c)

jediné identifikační číslo umožňující získat propojené údaje z odpovídajících informačních systémů EU;

d)

orgán odpovědný za manuální ověření různých totožností;

e)

datum vytvoření nebo aktualizace propojení.

Článek 35

Uchovávání údajů v detektoru vícenásobné totožnosti

Soubory údajů souvisejících s potvrzením totožnosti a údaje v nich, včetně propojení, jsou v MID uloženy jen tak dlouho, dokud jsou propojené údaje uloženy ve dvou či více informačních systémech EU. Vymaží se z MID automaticky.

Článek 36

Vedení a uchovávání protokolů

1.   Agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů v MID. V těchto protokolech se uvádí:

a)

členský stát, který zahájil vyhledávání;

b)

účel přístupu uživatele;

c)

datum a čas vyhledávání;

d)

druh údajů použitých k zahájení vyhledávání;

e)

odkaz na propojené údaje;

f)

historie souboru údajů souvisejících s potvrzením totožnosti.

2.   Každý členský stát vede a uchovává protokoly o vyhledávání, jež provádějí jeho orgány a jejich pracovníci řádně zmocnění k používání MID. Každá agentura Unie vede a uchovává protokoly o vyhledávání, které provádějí její řádně zmocnění pracovníci.

3.   Protokoly uvedené v odstavcích 1 a 2 lze použít pouze pro účely monitorování ochrany údajů, včetně kontroly přípustnosti vyhledávání a zákonnosti zpracování údajů, a pro zabezpečení údajů a zajištění jejich integrity. Tyto protokoly musí být chráněny vhodnými opatřeními proti neoprávněnému přístupu a vymazány po uplynutí jednoho roku od vytvoření. Pokud jsou však nezbytné pro zahájené monitorovací postupy, vymaží se v okamžiku, kdy již pro ně nebudou zapotřebí.

KAPITOLA VI

Opatření na podporu interoperability

Článek 37

Kvalita údajů

1.   Aniž je dotčena odpovědnost členských států za kvalitu údajů vkládaných do systémů, zavede agentura eu-LISA mechanismy a postupy pro automatizovanou kontrolu kvality údajů, jež se budou vztahovat na údaje uložené v EES, VIS, ETIAS, SIS, sdílené BMS a CIR.

2.   Agentura eu-LISA zavede mechanismy pro hodnocení přesnosti sdílené BMS, společné ukazatele kvality údajů a minimální normy kvality pro ukládání údajů v EES, VIS, ETIAS, SIS, sdílené BMS a CIR.

Do EES, VIS, ETIAS, SIS, sdílené BMS, CIR a MID mohou být vkládány pouze údaje, které splňují minimální normy kvality.

3.   Agentura eu-LISA pravidelně předkládá členským státům zprávy o mechanismech a postupech pro automatizovanou kontrolu kvality údajů a o společných ukazatelích kvality údajů. Agentura eu-LISA rovněž pravidelně předkládá Komisi zprávu o vzniklých problémech a dotčených členských státech. Tuto zprávu na požádání předloží rovněž Evropskému parlamentu a Radě. Zprávy předkládané podle tohoto odstavce nesmějí obsahovat osobní údaje.

4.   Podrobnosti o mechanismech a postupech pro automatizovanou kontrolu kvality údajů, společných ukazatelích kvality údajů a minimálních normách kvality pro ukládání údajů v EES, VIS, ETIAS, SIS, sdílené BMS a CIR, zejména v souvislosti s biometrickými údaji, se stanoví v prováděcích aktech. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 74 odst. 2.

5.   Po uplynutí jednoho roku od zavedení mechanismů a postupů pro automatizovanou kontrolu kvality údajů, společných ukazatelů kvality údajů a minimálních standardů kvality údajů a poté každý rok Komise vyhodnotí zavádění kvality údajů členskými státy a učiní nezbytná doporučení. Členské státy poskytnou Komisi akční plán na nápravu nedostatků zjištěných v hodnotící zprávě, a zejména problémů s kvalitou údajů plynoucích z výskytu chybných údajů v informačních systémech EU. Členské státy podávají pravidelně zprávu o pokroku v plnění tohoto akčního plánu až do jeho plného provedení.

Komise předá hodnotící zprávu Evropskému parlamentu, Radě, evropskému inspektorovi ochrany údajů, Evropskému sboru pro ochranu osobních údajů a Agentuře Evropské unie pro základní práva, zřízené nařízením Rady (ES) č. 168/2007 (39).

Článek 38

Univerzální formát pro zprávy

1.   Zavádí se norma univerzálního formátu pro zprávy (UMF). UMF vymezuje standardy pro určité prvky obsahu přeshraniční výměny informací mezi informačními systémy, orgány nebo organizacemi v oblasti justice a vnitřních věcí.

2.   Norma UMF se použije při vývoji EES, ETIAS, ESP, CIR, MID a případně, je-li to vhodné, při vývoji nových modelů pro výměnu informací a informačních systémů v oblasti justice a vnitřních věcí agenturou eu-LISA nebo jakoukoli jinou agenturou Unie.

3.   Komise přijme prováděcí akt, kterým stanoví a vypracuje normu UMF uvedenou v odstavci 1 tohoto článku. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 74 odst. 2.

Článek 39

Centrální úložiště pro podávání zpráv a statistiky

1.   Zřizuje se centrální úložiště pro podávání zpráv a statistiky (CRRS) na podporu cílů EES, VIS, ETIAS a SIS, v souladu s příslušnými právními nástroji upravujícími tyto systémy, a poskytování mezisystémových statistických údajů a analytických zpráv pro politické a provozní účely a pro účely kvality údajů.

2.   Agentura eu-LISA zřídí, provede a provozuje ve svých technických prostorách CRRS obsahující údaje a statistiky uvedené v článku 63 nařízení (EU) 2017/2226, článku 17 nařízení (ES) č. 767/2008, článku 84 nařízení (EU) 2018/1240, článku 60 nařízení (EU) 2018/1861 a článku 16 nařízení (EU) 2018/1860, které jsou logicky odděleny podle informačního systému EU. Přístup k CRRS je poskytován pomocí kontrolovaného zabezpečeného přístupu se specifickými uživatelskými profily, a to výlučně pro podávání zpráv a statistiky, orgánům uvedeným v článku 63 nařízení (EU) 2017/2226, článku 17 nařízení (ES) č. 767/2008, článku 84 nařízení (EU) 2018/1240 a článku 60 nařízení (EU) 2018/1861.

3.   Agentura eu-LISA údaje anonymizuje a tyto anonymizované údaje zaznamená v CRRS. Anonymizace údajů je automatizovaná.

Údaje obsažené v CRRS nesmějí umožnit zjištění totožnosti jednotlivců.

4.   CRRS se skládá:

a)

z nástrojů sloužících k anonymizaci údajů;

b)

z centrální infrastruktury, kterou tvoří úložiště anonymizovaných údajů;

c)

ze zabezpečené komunikační infrastruktury pro připojení CRRS k EES, VIS, ETIAS a SIS, jakož i k centrálním infrastrukturám sdílené BMS, CIR a MID.

5.   Komise přijme akt v přenesené pravomoci v souladu s článkem 73, kterým stanoví podrobná pravidla pro fungování CRRS, včetně ochranných opatření pro zpracovávání osobních údajů podle odstavců 2 a 3 tohoto článku a bezpečnostních pravidel týkajících se úložiště.

KAPITOLA VII

Ochrana údajů

Článek 40

Správce údajů

1.   V souvislosti se zpracováním údajů ve sdílené BMS jsou orgány členských států, které jsou správci pro EES, VIS a SIS, správci ve smyslu čl. 4 bodu 7 nařízení (EU) 2016/679 nebo čl. 3 bodu 8 směrnice (EU) 2016/680, pokud jde o biometrické šablony získané z údajů uvedených v článku 13 tohoto nařízení, které zadávají do základních systémů, a odpovídají za zpracování biometrických šablon ve sdílené BMS.

2.   V souvislosti se zpracováním údajů v CIR jsou orgány členských států, které jsou správci pro EES, VIS a ETIAS, správci ve smyslu čl. 4 bodu 7 nařízení (EU) 2016/679, pokud jde o údaje uvedené v článku 18 tohoto nařízení, které zadávají do základních systémů, a odpovídají za zpracování těchto osobních údajů v CIR.

3.   V souvislosti se zpracováním údajů v MID:

a)

Evropská agentura pro pohraniční a pobřežní stráž je správcem údajů ve smyslu čl. 3 bodu 8 nařízení (ES) 2018/1725 ve vztahu ke zpracování osobních údajů ústřední jednotkou ETIAS.

b)

orgány členského státu, které doplňují nebo mění údaje v souboru údajů souvisejících s potvrzením totožnosti, jsou správci ve smyslu čl. 4 bodu 7 nařízení (EU) 2016/679 nebo čl. 3 bodu 8 směrnice (EU) 2016/680 a odpovídají za zpracování osobních údajů v MID.

4.   Pro účely monitorování ochrany údajů, včetně kontroly přípustnosti vyhledávání a zákonnosti zpracování údajů, mají správci údajů přístup k protokolům uvedeným v článcích 10, 16, 24 a 36 za účelem vlastní kontroly podle článku 44.

Článek 41

Zpracovatel údajů

V souvislosti se zpracováním osobních údajů ve sdílené BMS, v CIR a MID je zpracovatelem údajů ve smyslu čl. 3 bodu 12 písm. a) nařízení (EU) 2018/1725 agentura eu-LISA.

Článek 42

Bezpečnost zpracování

1.   Agentura eu-LISA, ústřední jednotka ETIAS, Europol a orgány členských států zajistí bezpečnost zpracování osobních údajů, k němuž dochází v souladu s tímto nařízením. Spolupracují rovněž na úkolech týkajících se bezpečnosti údajů.

2.   Aniž je dotčen článek 33 nařízení (EU) 2018/1725, přijme agentura eu-LISA nezbytná opatření k zajištění bezpečnosti složek interoperability a jejich související komunikační infrastruktury.

3.   Agentura eu-LISA zejména přijme nezbytná opatření, včetně bezpečnostního plánu, plánu kontinuity provozu a plánu pro obnovení provozu po havárii, aby:

a)

údaje fyzicky chránila, mimo jiné vypracováním plánů pro mimořádné situace pro ochranu kritické infrastruktury;

b)

zabránila neoprávněným osobám v přístupu k zařízení a instalacím pro zpracování údajů;

c)

zabránila neoprávněnému čtení, kopírování, změnám či odstranění nosičů dat;

d)

zabránila neoprávněnému vkládání údajů a neoprávněnému prohlížení, pozměňování nebo vymazávání zaznamenaných osobních údajů;

e)

zabránila neoprávněnému zpracovávání údajů a jakémukoli neoprávněnému kopírování, změnám nebo vymazávání údajů;

f)

zabránila neoprávněným osobám využívajícím zařízení pro přenos údajů v použití automatizovaných systémů zpracování údajů;

g)

zajistila, aby osoby oprávněné k přístupu ke složkám interoperability měly přístup pouze k údajům, na které se vztahuje jejich oprávnění k přístupu, a pouze na základě jedinečných totožností uživatelů a chráněných režimů přístupu k informacím;

h)

zajistila, aby bylo možné ověřit a zjistit, kterým subjektům se mohou osobní údaje předávat prostřednictvím zařízení pro přenos údajů;

i)

zajistila, aby bylo možné ověřit a zjistit, které údaje byly zpracovány složkami interoperability, kdy, kým a pro jaký účel;

j)

zabránila neoprávněnému čtení, kopírování, změnám nebo vymazávání osobních údajů během jejich přenosu do složek interoperability a z nich nebo během přepravy nosičů dat, zejména pomocí vhodných technik šifrování;

k)

zajistila, aby v případě přerušení bylo možné obnovit běžný provoz nainstalovaných systémů;

l)

zajistila spolehlivost tím, že zaručí, aby veškeré závady fungování složek interoperability byly řádně nahlášeny;

m)

sledovala účinnost bezpečnostních opatření uvedených v tomto odstavci a přijala nezbytná organizační opatření související s interním sledováním pro zajištění dodržování tohoto nařízení a vyhodnocení bezpečnostních opatření s ohledem na nový technický vývoj.

4.   Členské státy, Europol a ústřední jednotka ETIAS přijmou bezpečnostní opatření rovnocenná opatřením uvedeným v odstavci 3, pokud jde o zpracování osobních údajů orgány s oprávněným přístupem k jakýmkoli složkám interoperability.

Článek 43

Bezpečnostní incidenty

1.   Každá událost, která má nebo může mít dopad na zabezpečení složek interoperability a může poškodit údaje v nich uchovávané nebo způsobit jejich ztrátu, je považována za bezpečnostní incident, zejména v případě, kdy mohlo dojít k neoprávněnému přístupu k údajům nebo pokud byla či mohla být ohrožena dostupnost, integrita a důvěrnost údajů.

2.   Bezpečnostní incidenty musí být řešeny tak, aby byla zajištěna rychlá, účinná a náležitá odezva.

3.   Aniž je dotčeno ohlašování a oznamování případů porušení zabezpečení osobních údajů podle článku 33 nařízení (EU) 2016/679 nebo článku 30 směrnice (EU) 2016/680 či podle obou ustanovení, ohlásí členské státy veškeré bezpečnostní incidenty neprodleně Komisi, agentuře eu-LISA, příslušným dozorovým úřadům a evropskému inspektorovi ochrany údajů.

Aniž jsou dotčeny články 34 a 35 nařízení (EU) 2018/1725 a článek 34 nařízení (EU) 2016/794, ohlásí ústřední jednotka ETIAS a Europol jakékoli bezpečnostní incidenty neprodleně Komisi, agentuře eu-LISA a evropskému inspektorovi ochrany údajů.

Jakékoli bezpečnostní incidenty v souvislosti s centrální infrastrukturou složek interoperability ohlásí agentura eu-LISA neprodleně Komisi a evropskému inspektorovi ochrany údajů.

4.   Informace o bezpečnostním incidentu, který má nebo může mít dopad na provoz složek interoperability nebo na dostupnost, integritu a důvěrnost údajů, se neprodleně poskytnou členským státům, ústřední jednotce ETIAS a Europolu a nahlásí v souladu s plánem pro řešení incidentů poskytnutým agenturou eu-LISA.

5.   V případě bezpečnostního incidentu dotyčné členské státy, ústřední jednotka ETIAS, Europol a agentura eu-LISA spolupracují. Komise stanoví parametry tohoto procesu spolupráce prostřednictvím prováděcích aktů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 74 odst. 2.

Článek 44

Vlastní kontrola

Členské státy a příslušné agentury Unie zajistí, aby každý orgán, který má právo na přístup ke složkám interoperability, přijal opatření nezbytná pro monitorování dodržování tohoto nařízení a v případě potřeby spolupracoval s dozorovým úřadem.

Správci údajů uvedení v článku 40 přijmou nezbytná opatření pro monitorování zpracování údajů v souladu s tímto nařízením, včetně časté kontroly protokolů uvedených v článcích 10, 16, 24 a 36, a spolupracují podle potřeby s dozorovými úřady a s evropským inspektorem ochrany údajů.

Článek 45

Sankce

Členské státy zajistí, aby jakékoli zneužití údajů či jakékoli zpracování údajů nebo jejich výměna v rozporu s tímto nařízením byly trestné podle vnitrostátního práva. Stanovené sankce musí být účinné, přiměřené a odrazující.

Článek 46

Odpovědnost

1.   Aniž je dotčeno právo na náhradu újmy správcem nebo zpracovatelem a jejich odpovědnost podle nařízení (EU) 2016/679, směrnice (EU) 2016/680 a nařízení (EU) 2018/1725:

a)

každá osoba nebo členský stát, jimž vznikla majetková či nemajetková újma v důsledku nezákonného zpracování osobních údajů nebo jiného činu některého členského státu neslučitelného s tímto nařízením, má nárok na náhradu vzniklé újmy od tohoto členského státu;

b)

každá osoba nebo členský stát, jimž vznikla majetková či nemajetková újma v důsledku jakéhokoli činu Europolu, Evropské agentury pro pohraniční a pobřežní stráž nebo agentury eu-LISA neslučitelného s tímto nařízením, má nárok na náhradu vzniklé újmy od dotyčné agentury.

Dotčený členský stát, Europol nebo Evropská agentura pro pohraniční a pobřežní stráž jsou zcela nebo zčásti zproštěny odpovědnosti podle prvního pododstavce, pokud prokáží, že nenesou odpovědnost za událost vedoucí ke vzniku újmy.

2.   Pokud jakékoli nesplnění povinností členského státu podle tohoto nařízení způsobí složkám interoperability újmu, odpovídá za ni tento členský stát, ledaže agentura eu-LISA nebo jiný členský stát, který je vázán tímto nařízením, opomenuly přijmout přiměřená opatření k zabránění vzniku újmy nebo zmírnění jejích následků.

3.   Uplatnění nároku na náhradu újmy uvedené v odstavcích 1 a 2 vůči členskému státu se řídí vnitrostátním právem žalovaného členského státu. Uplatnění nároku na náhradu újmy uvedené v odstavcích 1 a 2 vůči správci nebo agentuře eu-LISA podléhá podmínkám stanoveným ve Smlouvách.

Článek 47

Právo na informace

1.   Orgán shromažďující osobní údaje, jež mají být uloženy ve sdílené BMS, v CIR nebo v MID, poskytne osobám, jejichž údaje byly shromážděny, informace požadované podle článků 13 a 14 nařízení (EU) 2016/679, článků 12 a 13 směrnice (EU) 2016/680 a článků 15 a 16 nařízení (EU) 2018/1725. Učiní tak v době, kdy jsou tyto údaje shromažďovány.

2.   Veškeré informace se zpřístupní s použitím jasných a jednoduchých formulací v jazykové verzi, které dotčená osoba rozumí nebo lze důvodně předpokládat, že jí rozumí. To zahrnuje poskytnutí informací způsobem, který je přiměřený věku nezletilých subjektů údajů.

3.   Osoby, jejichž údaje jsou zaznamenány v EES, VIS nebo ETIAS, musí být informovány o zpracovávání osobních údajů pro účely tohoto nařízení v souladu s odstavcem 1, pokud je:

a)

v EES v souladu s článkem 14 nařízení (EU) 2017/2226 vytvořen nebo aktualizován individuální soubor;

b)

ve VIS v souladu s článkem 8 nařízení (ES) č. 767/2008 vytvořen nebo aktualizován soubor žádosti;

c)

v ETIAS v souladu s článkem 19 nařízení (EU) 2018/1240 vytvořen nebo aktualizován soubor žádosti.

Článek 48

Právo na přístup k osobním údajům uloženým v MID, na jejich opravu a výmaz a na omezení jejich zpracování

1.   Za účelem výkonu svých práv podle článků 15 až 18 nařízení (EU) 2016/679, článků 17 až 20 nařízení (EU) 2018/1725 a článků 14, 15 a 16 směrnice (EU) 2016/680 má každá osoba právo obrátit se na příslušný orgán členského státu, který žádost prověří a odpoví na ni.

2.   Členský stát, který žádost prověřuje, na ni odpoví bez zbytečného prodlení, v každém případě do 45 dnů od obdržení žádosti. Tuto lhůtu lze v případě potřeby prodloužit o dalších 15 dní s ohledem na složitost a počet žádostí. Členský stát, který žádost prověřuje, informuje subjekt údajů o každém takovém prodloužení a o důvodech pro ně do 45 dnů od obdržení žádosti. Členské státy mohou rozhodnout, že tyto odpovědi mají poskytovat ústřední úřady.

3.   Pokud je žádost o opravu nebo výmaz osobních údajů podána jinému členskému státu, než je členský stát odpovědný za manuální ověření různých totožností, obrátí se členský stát, kterému byla žádost podána, na orgány členského státu odpovědného za manuální ověření různých totožností do sedmi dnů. Členský stát odpovědný za manuální ověření různých totožností zkontroluje přesnost údajů a zákonnost zpracování údajů bez zbytečného odkladu a v každém případě do 30 dní ode dne, kdy se na něj jiný členský stát obrátil. Tuto lhůtu lze v případě potřeby prodloužit o dalších 15 dní s ohledem na složitost a počet žádostí. Členský stát odpovědný za manuální ověření různých totožností uvědomí členský stát, který se na něj obrátil, o každém takovém prodloužení a o důvodech pro ně. Členský stát, který se obrátil na orgán členského státu odpovědného za manuální ověření různých totožností, informuje dotčenou osobu o dalším postupu.

4.   Pokud je žádost o opravu nebo výmaz osobních údajů podána členskému státu, kde byla za manuální ověření různých totožností odpovědná ústřední jednotka ETIAS, obrátí se členský stát, jemuž byla žádost podána, do sedmi dnů na ústřední jednotku ETIAS se žádostí o stanovisko. Ústřední jednotka ETIAS vydá své stanovisko bez zbytečného odkladu a v každém případě do 30 dní ode dne, kdy se na ni členský stát obrátil. Tuto lhůtu lze v případě potřeby prodloužit o dalších 15 dní s ohledem na složitost a počet žádostí. Členský stát, který se na ústřední jednotku ETIAS obrátil, informuje dotčenou osobu o dalším postupu.

5.   Pokud je po prověření zjištěno, že údaje uložené v MID jsou nepřesné nebo že byly zaznamenány nezákonně, členský stát odpovědný za manuální ověření různých totožností nebo, pokud za manuální ověření různých totožností nebyl odpovědný žádný členský stát či za ně byla odpovědná ústřední jednotka ETIAS, členský stát, kterému byla žádost podána, tyto údaje bez zbytečného odkladu opraví nebo vymaže. Dotčená osoba je o tom, že její údaje byly opraveny nebo vymazány, informována písemně.

6.   Pokud jsou údaje uložené v MID členským státem během doby jejich uchovávání pozměněny, provede tento členský stát zpracování stanovené v článku 27 a tam, kde je to relevantní, v článku 29, aby se určilo, zda se pozměněné údaje mají propojit. Pokud zpracování nevykáže žádnou shodu, vymaže tento členský stát údaje ze souboru údajů souvisejících s potvrzením totožnosti. Pokud automatizované zpracování vykáže jednu či více shod, vytvoří tento členský stát odpovídající propojení nebo je aktualizuje v souladu s příslušnými ustanoveními tohoto nařízení.

7.   Pokud se členský stát odpovědný za manuální ověření různých totožností nebo případně členský stát, kterému byla žádost podána, domnívá, že údaje uložené v MID nejsou nepřesné, ani nebyly zaznamenány nezákonně, neprodleně přijme správní rozhodnutí a písemně vyrozumí dotčenou osobu, proč není ochoten opravit nebo vymazat údaje, které se jí týkají.

8.   V rozhodnutí uvedeném v odstavci 7 se dotčené osobě poskytnou rovněž informace o tom, že má možnost napadnout rozhodnutí přijaté ve vztahu k žádosti o přístup k osobním údajům, jejich opravu či výmaz nebo omezení jejich zpracování, a případně informace o tom, jakým způsobem podat žalobu nebo stížnost u příslušných orgánů nebo soudů a o veškeré pomoci, kterou má k dispozici, včetně pomoci od dozorových úřadů.

9.   Každá žádost o přístup k osobním údajům, jejich opravu či výmaz nebo omezení jejich zpracování musí obsahovat nezbytné informace pro zjištění totožnosti dotčené osoby. Tyto informace se použijí výhradně k umožnění výkonu práv uvedených v tomto článku a ihned poté se vymaží.

10.   Členský stát odpovědný za manuální ověření různých totožností nebo případně členský stát, kterému byla žádost podána, uchová písemný záznam o podání žádosti o přístup k osobním údajům, jejich opravu či výmaz nebo omezení jejich zpracování a o způsobu, jakým byla vyřešena, a neprodleně tento záznam zpřístupní dozorovým úřadům.

11.   Tímto článkem nejsou dotčena omezení práv uvedených v tomto článku podle nařízení (EU) 2016/679 a směrnice (EU) 2016/680.

Článek 49

Internetový portál

1.   Zřizuje se internetový portál pro usnadnění výkonu práv na přístup k osobním údajům, jejich opravu či výmaz nebo omezení jejich zpracování.

2.   Internetový portál obsahuje informace o právech a postupech uvedených v článcích 47 a 48 a uživatelské rozhraní, jehož prostřednictvím mohou osoby, jejichž údaje jsou zpracovávány v MID a které byly informovány o výskytu červeného propojení v souladu s čl. 32 odst. 4, obdržet kontaktní údaje příslušného orgánu členského státu odpovědného za manuální ověření různých totožností.

3.   Pro získání kontaktních údajů příslušného orgánu členského státu odpovědného za manuální ověření různých totožností by měla osoba, jejíž údaje jsou zpracovávány v MID, zadat odkaz na orgán odpovědný za manuální ověření různých totožností uvedený v čl. 34 písm. d). Internetový portál pomocí tohoto odkazu získá kontaktní údaje příslušného orgánu členského státu odpovědného za manuální ověření různých totožností. Internetový portál rovněž obsahuje šablonu e-mailu pro usnadnění komunikace mezi uživatelem portálu a příslušným orgánem členského státu odpovědného za manuální ověření různých totožností. Tento e-mail obsahuje pole pro jediné identifikační číslo uvedené v čl. 34 písm. c), které příslušnému orgánu členského státu odpovědného za manuální ověření různých totožností umožní určit údaje, o které se jedná.

4.   Členské státy poskytnou agentuře eu-LISA kontaktní údaje všech orgánů příslušných k prověřování a zodpovídání žádostí uvedených v článcích 47 a 48 a pravidelně ověřují, zda jsou aktuální.

5.   Internetový portál vyvine a jeho technickou správu zajišťuje agentura eu-LISA.

6.   Komise přijme akt v přenesené pravomoci v souladu s článkem 73, který stanoví podrobná pravidla fungování internetového portálu, včetně uživatelského rozhraní, jazyků, v nichž je internetový portál k dispozici, a šablony e-mailu.

Článek 50

Předávání osobních údajů třetím zemím, mezinárodním organizacím a soukromým subjektům

Aniž jsou dotčeny článek 65 nařízení (EU) 2018/1240, články 25 a 26 nařízení (EU) 2016/794, článek 41 nařízení (EU) 2017/2226, článek 31 nařízení (ES) č. 767/2008 a vyhledávání v databázích Interpolu prostřednictvím ESP v souladu s čl. 9 odst. 5 tohoto nařízení, které dodržují kapitolu V nařízení (EU) 2018/1725 a kapitolu V nařízení (EU) 2016/679, nesmějí být osobní údaje uložené ve složkách interoperability nebo jimi zpracovávané nebo přístupné jejich prostřednictvím předány ani zpřístupněny žádné třetí zemi, mezinárodní organizaci ani soukromému subjektu.

Článek 51

Dohled dozorových úřadů

1.   Každý členský stát zajistí, aby dozorové úřady nezávisle dohlížely na zákonnost zpracovávání osobních údajů podle tohoto nařízení dotčeným členským státem, včetně jejich přenosu do složek interoperability a ze složek operability.

2.   Každý členský stát zajistí, aby byly vnitrostátní právní a správní předpisy přijaté podle směrnice (EU) 2016/680 použitelné, je-li to relevantní, také na přístup policejních orgánů a určených orgánů do složek interoperability, a to i ve vztahu k právům osob, k jejichž údajům je takto umožněn přístup.

3.   Dozorové úřady zajistí, aby byl alespoň jednou za čtyři roky v souladu s příslušnými mezinárodními auditorskými standardy proveden audit operací zpracování osobních údajů příslušnými vnitrostátními orgány pro účely tohoto nařízení.

Dozorové úřady každoročně zveřejní informace o počtu žádostí o opravu či výmaz osobních údajů nebo omezení jejich zpracovávání, následně přijatých opatřeních a o počtu oprav či výmazů osobních údajů nebo omezení jejich zpracovávání provedených v reakci na žádosti dotčených osob.

4.   Členské státy zajistí, aby jejich dozorové úřady měly dostatek zdrojů a odborných znalostí k plnění úkolů, které jim toto nařízení ukládá.

5.   Členské státy poskytnou veškeré informace, které si vyžádá dozorový úřad uvedený v čl. 51 odst. 1 nařízení (EU) 2016/679, a zejména mu poskytnou informace o činnostech prováděných v souladu s jejich povinnostmi podle tohoto nařízení. Členské státy poskytnou dozorovým úřadům uvedeným v čl. 51 odst. 1 nařízení (EU) 2016/679 přístup ke svým protokolům uvedeným v článcích 10, 16, 24 a 36 tohoto nařízení a k odůvodněním uvedeným v čl. 22 odst. 2 tohoto nařízení a umožní jim kdykoli přístup do všech svých prostor využívaných pro účely interoperability.

Článek 52

Audity prováděné evropským inspektorem ochrany údajů

Evropský inspektor ochrany údajů zajistí, aby byl alespoň jednou za čtyři roky v souladu s příslušnými mezinárodními auditorskými standardy proveden audit operací zpracování osobních údajů agenturou eu-LISA, ústřední jednotkou ETIAS a Europolem pro účely tohoto nařízení. Zpráva o tomto auditu se zasílá Evropskému parlamentu, Radě, agentuře eu-LISA, Komisi, členským státům a dotčené agentuře Unie. Agentura eu-LISA, ústřední jednotka ETIAS a Europol mají možnost se ke zprávám před jejich přijetím vyjádřit.

Agentura eu-LISA, ústřední jednotka ETIAS a Europol poskytují evropskému inspektorovi ochrany údajů informace, o které požádá, udělují mu přístup ke všem dokumentům, o které požádá, a ke svým protokolům podle článků 10, 16, 24 a 36 a umožňují mu nepřetržitý přístup do všech svých prostor.

Článek 53

Spolupráce dozorových úřadů s evropským inspektorem ochrany údajů

1.   Dozorové úřady a evropský inspektor ochrany údajů, každý v rozsahu svých pravomocí, aktivně spolupracují v rámci svých povinností a zajišťují koordinovaný dohled nad používáním složek interoperability a uplatňováním dalších ustanovení tohoto nařízení, zejména pokud evropský inspektor ochrany údajů nebo dozorový úřad zjistí značné nesrovnalosti mezi postupy členských států nebo potenciálně nezákonné předávání údajů komunikačními kanály složek interoperability.

2.   V případech uvedených v odstavci 1 tohoto článku se zajistí koordinovaný dozor v souladu s článkem 62 nařízení (EU) 2018/1725.

3.   Evropský sbor pro ochranu osobních údajů zašle Evropskému parlamentu, Radě, Komisi, Europolu, Evropské agentuře pro pohraniční a pobřežní stráž a agentuře eu-LISA do 12. června 2021 a poté každé dva roky společnou zprávu o svých činnostech podle tohoto článku. V uvedené zprávě je každému členskému státu věnována jedna kapitola, kterou vypracuje dozorový úřad daného členského státu.

KAPITOLA VIII

Povinnosti

Článek 54

Povinnosti agentury eu-LISA během fáze návrhu a vývoje

1.   Agentura eu-LISA zajistí, aby centrální infrastruktury složek interoperability byly provozovány v souladu s tímto nařízením.

2.   Složky interoperability jsou provozovány v technických prostorách agentury eu-LISA a zajišťují funkce stanovené tímto nařízením v souladu s podmínkami bezpečnosti, dostupnosti, kvality a výkonu uvedenými v čl. 55 odst. 1.

3.   Agentura eu-LISA odpovídá za vývoj složek interoperability a za veškeré změny nezbytné k zajištění interoperability mezi centrálními systémy EES, VIS, ETIAS, SIS, Eurodacu a ECRIS-TCN a ESP, sdílenou BMS, CIR, MID a CRRS.

Aniž je dotčen článek 66, nemá agentura eu-LISA přístup k osobním údajům zpracovávaným prostřednictvím ESP, sdílené BMS, CIR nebo MID.

Agentura eu-LISA navrhne fyzickou architekturu složek interoperability, včetně jejich komunikačních infrastruktur, jakož i technické specifikace a jejich vývoj s ohledem na centrální infrastrukturu a zabezpečenou komunikační infrastrukturu, které přijme správní rada po obdržení kladného stanoviska Komise. Agentura eu-LISA rovněž provede veškeré nezbytné úpravy EES, VIS, ETIAS nebo SIS vyplývající ze zavedení interoperability a stanovené tímto nařízením.

Agentura eu-LISA vyvine a realizuje složky interoperability co nejdříve po vstupu tohoto nařízení v platnost a poté, co Komise přijme opatření stanovená v čl. 8 odst. 2, čl. 9 odst. 7, čl. 28 odst. 5 a 7, čl. 37 odst. 4, čl. 38 odst. 3, čl. 39 odst. 5, čl. 43 odst. 5 a čl. 78 odst. 10.

Vývoj sestává z vypracování a realizace technických specifikací, testování a celkové projektové správy a koordinace.

4.   Během fáze návrhu a vývoje se ustaví rada pro řízení programu složená nejvýše z deseti členů. Skládá se ze sedmi členů jmenovaných správní radou agentury eu-LISA, vybraných z jejích členů nebo náhradníků, dále z předsedy Poradní skupiny pro interoperabilitu uvedené v článku 75, z jednoho člena zastupujícího agenturu eu-LISA jmenovaného jejím výkonným ředitelem a z jednoho člena jmenovaného Komisí. Členové jmenovaní správní radou agentury eu-LISA jsou voleni pouze z těch členských států, které jsou podle práva Unie v plné míře vázány právními nástroji upravujícími vývoj, zřizování, provoz a používání všech informačních systémů EU a které budou zapojeny do složek interoperability.

5.   Rada pro řízení programu se schází pravidelně a nejméně třikrát za čtvrtletí. Zajistí přiměřené řízení fáze návrhu a vývoje složek interoperability.

Rada pro řízení programu předkládá správní radě agentury eu-LISA každý měsíc písemné zprávy o pokroku projektu. Nemá rozhodovací pravomoc ani není zmocněna zastupovat členy správní rady agentury eu-LISA.

6.   Správní rada agentury eu-LISA stanoví jednací řád rady pro řízení programu, který zahrnuje zejména pravidla pro:

a)

předsednictví;

b)

místa zasedání;

c)

přípravu jednání;

d)

přizvání odborníků na zasedání;

e)

komunikační plány zajišťující plné informování nezúčastněných členů správní rady.

Radě předsedá některý z členských států, který je podle práva Unie v plné míře vázán právními nástroji upravujícími vývoj, zřizování, provoz a používání všech informačních systémů EU a který bude zapojen do složek interoperability.

Všechny cestovní výdaje a výdaje na pobyt členů rady pro řízení programu hradí agentura eu-LISA a článek 10 jednacího řádu agentury eu-LISA se použije obdobně. Sekretariát rady pro řízení programu zajišťuje agentura eu-LISA.

Poradní skupina pro interoperabilitu uvedená v článku 75 se schází pravidelně až do zahájení provozu složek interoperability. Po každé schůzi podává zprávu radě pro řízení programu. Zajišťuje odborné znalosti pro podporu úkolů rady pro řízení programu a podniká kroky v návaznosti na stav připravenosti členských států.

Článek 55

Povinnosti agentury eu-LISA po zahájení provozu

1.   Po zahájení provozu každé ze složek interoperability odpovídá agentura eu-LISA za technickou správu centrální infrastruktury složek interoperability, včetně jejich údržby a technického vývoje. Ve spolupráci s členskými státy zajišťuje, aby byla používána nejlepší dostupná technologie určená na základě analýzy nákladů a přínosů. Agentura eu-LISA rovněž odpovídá za technickou správu komunikační infrastruktury uvedené v článcích 6, 12, 17, 25 a 39.

Technická správa složek interoperability sestává ze všech úkolů a technických řešení nezbytných pro zachování funkčnosti složek interoperability a poskytování nepřetržité služby členským státům a agenturám Unie, 24 hodin denně, sedm dní v týdnu, v souladu s tímto nařízením. To zahrnuje údržbu a technický rozvoj nezbytný k tomu, aby složky fungovaly na uspokojivé úrovni technické kvality, zejména co se týče doby odezvy na dotazování v centrálních databázích v souladu s technickými specifikacemi.

Všechny složky interoperability musí být vytvořeny a spravovány tak, aby zajišťovaly rychlý, bezproblémový, účinný a řízený přístup, plnou, nepřetržitou dostupnost složek a údajů uložených v MID, sdílené BMS a CIR a takovou dobu odezvy, která odpovídá provozním potřebám orgánů členských států a agentur Unie.

2.   Aniž je dotčen článek 17 služebního řádu úředníků Evropské unie, použije agentura eu-LISA na své pracovníky, u nichž je vyžadováno, aby pracovali s údaji uloženými ve složkách interoperability, vhodná pravidla zachování služebního tajemství nebo jiné srovnatelné povinnosti zachování důvěrnosti. Tato povinnost platí i poté, co dotyčné osoby opustí svou funkci nebo zaměstnanecký poměr, nebo poté, co ukončí svou činnost.

Aniž je dotčen článek 66, nemá agentura eu-LISA přístup k osobním údajům zpracovávaným prostřednictvím ESP, sdílené BMS, CIR a MID.

3.   Agentura eu-LISA vyvine a spravuje mechanismus a postupy pro provádění kontrol kvality údajů uložených ve sdílené BMS a CIR v souladu s článkem 37.

4.   Agentura eu-LISA plní rovněž úkoly související s odbornou přípravou zaměřenou na technické aspekty používání složek interoperability.

Článek 56

Povinnosti členských států

1.   Každý členský stát zajistí:

a)

připojení ke komunikační infrastruktuře ESP a CIR;

b)

začlenění stávajících vnitrostátních systémů a infrastruktur do ESP, CIR a MID;

c)

organizaci, správu, provoz a údržbu své stávající vnitrostátní infrastruktury a jejího propojení se složkami interoperability;

d)

správu a úpravu přístupu pro řádně zmocněné pracovníky příslušných vnitrostátních orgánů do ESP, CIR a MID v souladu s tímto nařízením a vypracovávání a pravidelnou aktualizaci seznamu těchto pracovníků a jejich profilů;

e)

přijetí legislativních opatření uvedených v čl. 20 odst. 5 a 6, aby byl zajištěn přístup do CIR pro účely zjištění totožnosti;

f)

manuální ověření různých totožností uvedené v článku 29;

g)

soulad s požadavky na kvalitu údajů stanovenými na základě práva Unie;

h)

dodržování pravidel jednotlivých informačních systémů EU pro zajištění bezpečnosti a integrity osobních údajů;

i)

nápravu veškerých nedostatků zjištěných v hodnotící zprávě Komise o kvalitě údajů uvedené v čl. 37 odst. 5.

2.   Každý členský stát propojí své určené orgány s CIR.

Článek 57

Povinnosti ústřední jednotky ETIAS

Ústřední jednotka ETIAS zajistí:

a)

manuální ověření různých totožností v souladu s článkem 29;

b)

odhalování vícenásobných totožností mezi údaji uloženými v EES, VIS, Eurodacu a SIS uvedené v článku 69.

KAPITOLA IX

Změny jiných nástrojů Unie

Článek 58

Změny nařízení (ES) č. 767/2008

Nařízení (ES) č. 767/2008 se mění takto:

1)

V článku 1 se doplňuje nový pododstavec, který zní:

„Ukládáním údajů o totožnosti, údajů o cestovních dokladech a biometrických údajů do společného úložiště údajů o totožnosti (CIR) zřízeného čl. 17 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2019/817 (*1) VIS přispívá k usnadnění a podpoře správného zjištění totožnosti osob registrovaných ve VIS za podmínek a pro účely článku 20 uvedeného nařízení.

(*1)  Nařízení Evropského parlamentu a Rady (EU) 2019/817 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti hranic a víz a mění nařízení Evropského parlamentu a Rady (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV (Úř. věst. L 135, 22.5.2019, s. 27).“;"

2)

V článku 4 se doplňují nové body, které znějí:

„12)

„údaji VIS“ všechny údaje uložené v ústředním systému VIS a v CIR v souladu s články 9 až 14;

13)

„údaji o totožnosti“ údaje uvedené v čl. 9 odst. 4 písm. a) a aa);

14)

„údaji o otiscích prstů“ údaje týkající se pěti otisků ukazováčku, prostředníčku, prsteníčku, malíčku a palce pravé ruky, nechybějí-li, a levé ruky;“;

3)

V článku 5 se vkládá nový odstavec, který zní:

„1a.   CIR obsahuje údaje uvedené v čl. 9 odst. 4 písm. a) až c ) a odst. 5 a 6. Zbývající údaje VIS se ukládají v ústředním systému VIS.“

4)

V článku 6 se odstavec 2 se nahrazuje tímto:

„2.   Přístup do VIS k nahlížení do údajů je vyhrazen výlučně řádně zmocněným pracovníkům vnitrostátních orgánů každého členského státu, které jsou příslušné pro účely stanovené v článcích 15 až 22, a řádně zmocněným pracovníkům vnitrostátních orgánů každého členského státu a agentur Unie, které jsou příslušné pro účely stanovené v článcích 20 a 21 nařízení (EU) 2019/817. Tento přístup je omezen rozsahem, v jakém jsou tyto údaje nezbytné k plnění jejich úkolů pro tyto účely, a musí být přiměřený sledovaným cílům.“

5)

V čl. 9 bodě 4 se písmena a) až c) nahrazují tímto:

„a)

příjmení, jméno (jména), datum narození, pohlaví;

aa)

rodné příjmení (dřívější příjmení), místo a země narození, současná státní příslušnost a státní příslušnost při narození;

b)

druh a číslo cestovního dokladu nebo dokladů a třípísmenný kód země, která vydala cestovní doklad nebo doklady;

c)

datum skončení platnosti cestovního dokladu nebo dokladů;

ca)

orgán, který cestovní doklad vydal, a datum jeho vydání;“.

Článek 59

Změny nařízení (EU) 2016/399

V článku 8 se vkládá nový odstavec, který zní:

„4a.   Pokud je při vstupu nebo výstupu výsledkem nahlížení do příslušných databází včetně detektoru vícenásobné totožnosti prostřednictvím evropského vyhledávacího portálu zřízeného čl. 25 odst. 1 a čl. 6 odst. 1 nařízení Evropského parlamentu a Rady 2019/817 (*2) žluté propojení nebo pokud je zjištěno červené propojení, příslušníci pohraniční stráže provedou vyhledávání v detektoru vícenásobné totožnosti zřízeném podle čl. 17 odst. 1 uvedeného nařízení nebo v SIS nebo v obou nástrojích, aby posoudili rozdíly v údajích o totožnosti nebo údajích o cestovních dokladech. Příslušníci pohraniční stráže provedou jakékoli další ověření nezbytné pro přijetí rozhodnutí o statusu a barvě propojení.

V souladu s čl. 69 odst. 1 nařízení (EU) 2019/817 se tento odstavec použije ode dne zahájení provozu detektoru vícenásobné totožnosti podle čl. 72 odst. 4 uvedeného nařízení.

Článek 60

Změny nařízení (EU) 2017/2226

Nařízení (EU) 2017/2226 se mění takto:

1)

V článku 1 se doplňuje nový odstavec, který zní:

„3.   Ukládáním údajů o totožnosti, údajů o cestovních dokladech a biometrických údajů do společného úložiště údajů o totožnosti (CIR) zřízeného čl. 17 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2019/817 (*3) systém EES přispívá k usnadnění a podpoře správného zjištění totožnosti osob registrovaných v systému EES za podmínek a pro účely článku 20 uvedeného nařízení.

(*3)  Nařízení Evropského parlamentu a Rady (EU) 2019/817 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti hranic a víz a mění nařízení Evropského parlamentu a Rady (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV (Úř. věst. L 135, 22.5.2019, s. 27).“"

2)

V článku 3 se odstavec 1 mění takto:

a)

bod 22 se nahrazuje tímto:

„22)

„údaji EES“ všechny údaje uložené v ústředním systému EES a v CIR v souladu s články 15 až 20;“

b)

vkládá se nový bod, který zní:

„22a)

„údaji o totožnosti“ údaje uvedené v čl. 16 odst. 1 písm. a) a příslušné údaje uvedené v čl. 17 odst. 1 a čl. 18 odst. 1;“

c)

doplňují se nové body, které znějí:

„32)

„ESP“ evropský vyhledávací portál zřízený čl. 6 odst. 1 nařízení 2019/817;

33)

„CIR“ společné úložiště údajů o totožnosti zřízené čl. 17 odst. 1 nařízení 2019/817“

3)

V čl. 6 odst. 1 se doplňuje nové písmeno, které zní:

„j)

zajistit správné zjištění totožnosti osob.“

4)

Článek 7 se mění takto:

a)

odstavec 1 se mění takto:

i)

vkládá se nové písmeno, které zní:

„aa)

z centrální infrastruktury CIR uvedené v čl. 17 odst. 2 písm. a) nařízení (EU) 2019/817;“

ii)

písmeno f) se nahrazuje tímto:

„f)

ze zabezpečené komunikační infrastruktury mezi ústředním systémem EES a centrálními infrastrukturami EPS a CIR.“;

b)

vkládá se nový odstavec, který zní:

„1a.   CIR obsahuje údaje uvedené v čl. 16 odst. 1 písm. a) až d), čl. 17 odst. 1 písm. a), b) a c) a čl. 18 odst. 1 a 2. Zbývající údaje EES se ukládají v ústředním systému EES.“

5)

V článku 9 se doplňuje nový odstavec, který zní:

„4.   Přístup k údajům EES uloženým v CIR je vyhrazen výlučně řádně zmocněným pracovníkům vnitrostátních orgánů každého členského státu a řádně zmocněným pracovníkům agentur Unie, které jsou příslušné pro účely stanovené v článcích 20 a 21 nařízení (EU) 2019/817. Tento přístup je omezen rozsahem, v jakém jsou tyto údaje potřebné k plnění jejich úkolů pro tyto účely, a musí být přiměřený sledovaným cílům.“

6)

Článek 21 se mění takto:

a)

odstavec 1 se nahrazuje tímto:

„1.   Pokud je vkládání údajů do ústředního systému EES nebo CIR technicky nemožné nebo pokud dojde k selhání ústředního systému EES nebo CIR, uloží se údaje uvedené v článcích 16 až 20 dočasně v národním jednotném rozhraní. Není-li to možné, údaje se dočasně uloží lokálně v elektronické podobě. V obou případech se údaje do ústředního systému EES nebo CIR vloží okamžitě, jakmile se technický problém či selhání systému vyřeší. Členské státy přijmou vhodná opatření a zapojí potřebnou infrastrukturu, vybavení a zdroje, aby zajistily, že toto dočasné lokální ukládání může být provedeno kdykoli a pro kterýkoli z jejich hraničních přechodů.“;

b)

v odstavci 2 se první pododstavec nahrazuje tímto:

„2.   Aniž je dotčena povinnost provádět hraniční kontroly podle nařízení (EU) 2016/399, uloží pohraniční orgán ve výjimečných situacích, kdy je technicky nemožné vložit údaje buď do ústředního systému EES a CIR, nebo do národního jednotného rozhraní, a navíc je technicky nemožné údaje dočasně uložit v elektronické podobě, údaje o vstupu/výstupu uvedené v článcích 16 až 20 tohoto nařízení ručně, s výjimkou biometrických údajů, a cestovní doklad státního příslušníka třetí země opatří vstupním nebo výstupním razítkem. Tyto údaje se do ústředního systému EES a CIR vloží, jakmile to je technicky možné.“

7)

Článek 23 se mění takto:

a)

vkládá se nový odstavec, který zní:

„2a.   Pro účely ověření podle odstavce 1 tohoto článku zahájí pohraniční orgán vyhledávání pomocí ESP s cílem porovnat údaje o státním příslušníkovi třetí země s relevantními údaji v systému EES a ve VIS.“;

b)

v odstavci 4 se první pododstavec nahrazuje tímto:

„4.   Pokud vyhledávání pomocí alfanumerických údajů uvedených v odstavci 2 tohoto článku ukáže, že údaje o státním příslušníkovi třetí země nejsou zaznamenány v systému EES, je pohraničním orgánům v případech, kdy ověření státního příslušníka třetí země podle odstavce 2 tohoto článku nevede k výsledku nebo vzniknou pochybnosti o totožnosti státního příslušníka třetí země, umožněn přístup k údajům pro účely zjišťování totožnosti podle článku 27 s cílem vytvořit nebo aktualizovat individuální soubor v souladu s článkem 14.“

8)

V článku 32 se vkládá nový odstavec, který zní:

„1a.   V případech, kdy určené orgány zahájily vyhledávání v CIR v souladu s článkem 22 nařízení (EU) 2019/817, mohou nahlížet do systému EES, pokud jsou splněny podmínky stanovené v tomto článku a pokud přijatá odpověď uvedená v čl. 22 odst. 2 nařízení (EU) 2019/817 ukáže, že údaje jsou uloženy v systému EES.“

9)

V článku 33 se vkládá nový odstavec, který zní:

„1a.   V případech, kdy Europol zahájil vyhledávání v CIR v souladu s článkem 22 nařízení (EU) 2019/817, může nahlížet do systému EES, pokud jsou splněny podmínky stanovené v tomto článku a pokud přijatá odpověď uvedená v čl. 22 odst. 2 nařízení (EU) 2019/817 ukáže, že údaje jsou uloženy v systému EES.“

10)

Článek 34 se mění takto:

a)

v odstavcích 1 a 2 se slova „v ústředním systému EES“ nahrazují slovy „v CIR a v ústředním systému EES“;

b)

v odstavci 5 se slova „z ústředního systému EES“ nahrazují slovy „z ústředního systému EES a z CIR.“

11)

V článku 35 se odstavec 7 nahrazuje tímto:

„7.   Ústřední systém EES a CIR neprodleně informují všechny členské státy o vymazání údajů EES nebo údajů CIR a případně je odstraní ze seznamu identifikovaných osob uvedeného v čl. 12 odst. 3.“

12)

V článku 36 se slova „ústředního systému EES“ nahrazují slovy „ústředního systému EES a CIR“.

13)

Článek 37 se mění takto:

a)

první pododstavec odstavce 1 se nahrazuje tímto:

„1.   Za vývoj ústředního systému EES a CIR, národních jednotných rozhraní, komunikační infrastruktury a zabezpečeného komunikačního kanálu mezi ústředním systémem EES a ústředním systémem VIS je odpovědná agentura eu-LISA. Agentura eu-LISA odpovídá rovněž za vývoj internetové služby uvedené v článku 13 a úložiště údajů uvedeného v čl. 63 odst. 2 v souladu s podrobnými pravidly uvedenými v čl. 13 odst. 7 a specifikacemi a podmínkami přijatými podle čl. 36 prvního pododstavce písm. h) a j) a za vývoj úložiště údajů uvedeného v čl. 63 odst. 2.“;

b)

v odstavci 3 se první pododstavec nahrazuje tímto:

„3.   Agentura eu-LISA odpovídá za provozní řízení ústředního systému EES a CIR, národních jednotných rozhraní a zabezpečeného komunikačního kanálu mezi ústředním systémem EES a ústředním systémem VIS. Ve spolupráci s členskými státy zajišťuje, aby se pro ústřední systém EES a CIR, národní jednotná rozhraní, komunikační infrastrukturu, zabezpečený komunikační kanál mezi ústředním systémem EES a ústředním systémem VIS, internetovou službu uvedenou v článku 13 a úložiště údajů uvedené v čl. 63 odst. 2 vždy využívaly nejlepší dostupné technologie určené na základě analýzy nákladů a přínosů. Agentura eu-LISA je rovněž odpovědná za provozní řízení komunikační infrastruktury mezi ústředním systémem EES a národními jednotnými rozhraními, za internetovou službu uvedenou v článku 13 a úložiště údajů uvedené v čl. 63 odst. 2.“

14)

V čl. 46 odst. 1 se doplňuje nové písmeno, které zní:

„f)

odkaz na použití ESP za účelem vyhledávání v systému EES, jak je uvedeno v čl. 7 odst. 2 nařízení (EU) 2019/817.“

15)

Článek 63 se mění tímto:

a)

odstavec 2 se nahrazuje tímto:

„2.   Pro účely odstavce 1 tohoto článku ukládá agentura eu-LISA údaje podle uvedeného odstavce v centrálním úložišti pro podávání zpráv a statistiky uvedeném v článku 39 nařízení (EU) 2019/817.“;

b)

v odstavci 4 se doplňuje nový pododstavec, který zní:

„Denní statistiky se ukládají do centrálního úložiště pro podávání zpráv a statistiky.“

Článek 61

Změny nařízení (EU) 2018/1240

Nařízení (EU) 2018/1240 se mění takto:

1)

V článku 1 se doplňuje nový odstavec, který zní:

„3.   Ukládáním údajů o totožnosti a údajů o cestovních dokladech do společného úložiště údajů o totožnosti (CIR), zřízeného čl. 17 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2019/817 (*4), ETIAS přispívá k usnadnění a podpoře správného zjištění totožnosti osob registrovaných v ETIAS za podmínek a pro účely článku 20 uvedeného nařízení.

(*4)  Nařízení Evropského parlamentu a Rady (EU) 2019/817 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti hranic a víz a mění nařízení Evropského parlamentu a Rady (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV (Úř. věst. L 135, 22.5.2019, s. 27).“"

2)

V čl. 3 odst. 1 se doplňují nové body, které znějí:

„23)

„CIR“ společné úložiště údajů o totožnosti zřízené čl. 17 odst. 1 nařízení (EU) 2019/817;

24)

„ESP“ Evropský vyhledávací portál zřízený čl. 6 odst. 1 nařízení (EU) 2019/817;

25)

„ústředním systémem ETIAS“ ústřední systém uvedený v čl. 6 odst. 2 písm. a) společně s CIR v rozsahu, v jakém CIR obsahuje údaje uvedené v čl. 6 odst. 2a;

26)

„údaji o totožnosti“ údaje uvedené v čl. 17 odst. 2 písm. a), b) a c);

27)

„údaji o cestovním dokladu“ údaje uvedené v čl. 17 odst. 2 písm. d) a e) a třípísmenný kód země, která vydala cestovní doklad uvedený v čl. 19 odst. 3 písm. c);“.

3)

V článku 4 se doplňuje nové písmeno, které zní:

„g)

přispívá ke správnému zjištění totožnosti osob;“.

4)

Článek 6 se mění takto:

a)

odstavec 2 se mění takto:

i)

bod a) se nahrazuje tímto:

„a)

ústředního systému ETIAS, včetně seznamu zájmových osob ETIAS uvedeného v článku 34;“

ii)

vkládá nové písmeno, které zní:

„aa)

CIR;“

iii)

písmeno d) se nahrazuje tímto:

„d)

zabezpečené komunikační infrastruktury mezi ústředním systémem a centrálními infrastrukturami ESP a CIR;“

b)

vkládá nový odstavec, který zní:

„2a.   CIR obsahuje údaje o totožnosti a údaje o cestovních dokladech. Zbývající údaje se ukládají v ústředním systému.“

5)

Článek 13 se mění takto:

a)

vkládá se nový odstavec, který zní:

„4a.   Přístup k údajům ETIAS týkajícím se totožnosti a cestovního dokladu uloženým v CIR je rovněž vyhrazen výlučně řádně pověřeným pracovníkům vnitrostátních orgánů každého členského státu a řádně pověřeným pracovníkům agentur Unie, které jsou příslušné pro účely stanovené v článcích 20 a 21 nařízení (EU) 2019/817. Tento přístup je omezen rozsahem, v jakém jsou tyto údaje potřebné k plnění jejich úkolů pro tyto účely, a musí být přiměřený sledovaným cílům.“;

b)

odstavec 5 se nahrazuje tímto:

„5.   Každý členský stát určí příslušné vnitrostátní orgány uvedené v odstavcích 1, 2, 4 a 4a tohoto článku a neprodleně sdělí seznam těchto orgánů agentuře eu-LISA v souladu s čl. 87 odst. 2. V tomto seznamu se uvede, za jakým účelem mají řádně pověření pracovníci jednotlivých orgánů přístup k údajům v informačním systému ETIAS v souladu s odstavci 1, 2, 4 a 4a tohoto článku.“

6)

V článku 17 se odstavec 2 mění takto:

a)

písmeno a) se nahrazuje tímto:

„a)

příjmení, jméno (jména), rodné příjmení, datum narození, místo narození, pohlaví, současná státní příslušnost;“;

b)

vkládá se nové písmeno, které zní:

„aa)

země narození, jméno (jména) rodičů žadatele;“.

7)

V čl. 19 odst. 4 se slova „čl. 17 odst. 2 písm. a)“ nahrazují slovy „čl. 17 odst. 2 písm. a) a aa)“.

8)

Článek 20 se mění takto:

a)

v odstavci 2 se první pododstavec nahrazuje tímto:

„2.   Ústřední systém ETIAS zahájí vyhledávání pomocí ESP, aby porovnal příslušné údaje uvedené v čl. 17 odst. 2 písm. a), aa), b), c), d), f), g), j), k) a m) a v čl. 17 odst. 8 s údaji uvedenými v záznamu nebo souboru registrovaném v souboru žádosti, jenž je uchováván v ústředním systému ETIAS, SIS, EES, VIS, Eurodacu, v údajích Europolu a v databázích SLTD a TDAWN Interpolu.“

b)

v odstavci 4 se slova „čl. 17 odst. 2 písm. a), b), c), d), f), g), j), k), m)“ nahrazují slovy „čl. 17 odst. 2 písm. a), aa), b), c), d), f), g), j), k) a m)“;

c)

v odstavci 5 se slova „čl. 17 odst. 2 písm. a), c), f), h) a i)“ nahrazují slovy „čl. 17 odst. 2 písm. a), aa), c), f), h) a i)“.

9)

V článku 23 se odstavec 1 nahrazuje tímto:

„1.   Ústřední systém ETIAS zahájí vyhledávání pomocí ESP s cílem porovnat relevantní údaje uvedené v čl. 17 odst. 2 písm. a), aa), b) a d) s údaji zaznamenanými v SIS, aby mohl určit, zda nebyl v souvislosti se žadatelem pořízen některý z těchto záznamů:

a)

záznam o pohřešovaných osobách;

b)

záznam o osobách hledaných za účelem zajištění jejich spolupráce v soudním řízení;

c)

záznam o osobách pořízený pro účely skrytých nebo zvláštních kontrol.“

10)

V článku 52 se vkládá nový odstavec, který zní:

„1a.   V případech, kdy určené orgány zahájily vyhledávání v CIR v souladu s článkem 22 nařízení (EU) 2019/817, mohou nahlížet do souborů žádostí uchovávaných v ústředním systému ETIAS v souladu s tímto článkem, pokud přijatá odpověď uvedená v čl. 22 odst. 2 nařízení (EU) 2019/817 ukáže, že údaje jsou uloženy v těchto souborech.“

11)

V článku 53 se vkládá nový odstavec, který zní:

„1a.   V případech, kdy Europol zahájil vyhledávání v CIR v souladu s článkem 22 nařízení (EU) 2019/817, může nahlížet do souborů žádostí uchovávaných v ústředním systému ETIAS v souladu s tímto článkem, pokud přijatá odpověď uvedená v čl. 22 odst. 2 nařízení (EU) 2019/817 ukáže, že údaje jsou uloženy v těchto souborech.“

12)

V čl. 65 odst. 3 pátém pododstavci se slova „čl. 17 odst. 2 písm. a), b), d), e) a f)“ nahrazují slovy „čl. 17 odst. 2 písm. a), aa), b), d), e) a f)“.

13)

V čl. 69 odst. 1 se vkládá nové písmeno, které zní:

„ca)

v příslušných případech odkaz na použití ESP za účelem vyhledávání v ústředním systému ETIAS, jak je uvedeno v čl. 7 odst. 2 nařízení (EU) 2019/817;“.

14)

V čl. 73 odst. 2 se slova „centrálního úložiště údajů“ nahrazují slovy „centrálního úložiště pro podávání zpráv a statistiky uvedené v článku 39 nařízení (EU) 2019/817 v rozsahu, v jakém obsahuje údaje získané z ústředního systému ETIAS v souladu s článkem 84 tohoto nařízení.“

15)

V čl. 74 odst. 1 se první pododstavec nahrazuje tímto:

„1.   Po zprovoznění ETIAS agentura eu-LISA odpovídá za technickou správu ústředního systému ETIAS a národních jednotných rozhraní. Odpovídá také za veškeré technické testování požadované pro zavedení a aktualizaci prověřovacích pravidel ETIAS. Ve spolupráci s členskými státy zajišťuje, aby se vždy využívaly nejlepší dostupné technologie určené na základě analýzy nákladů a přínosů. Agentura eu-LISA rovněž odpovídá za technickou správu komunikační infrastruktury zajišťující kontakt mezi ústředním systémem ETIAS a národními jednotnými rozhraními a za veřejné internetové stránky, aplikaci pro mobilní zařízení, e-mailovou službu, zabezpečený uživatelský účet, ověřovací nástroj pro žadatele, nástroj umožňující žadatelům udělit souhlas, nástroj hodnocení pro seznam zájmových osob ETIAS, bránu pro dopravce, internetovou službu a software pro zpracovávání žádostí.“

16)

V čl. 84 odst. 2 se první pododstavec nahrazuje tímto:

„2.   Pro účely odstavce 1 tohoto článku ukládá agentura eu-LISA údaje uvedené v odstavci 1 do centrálního úložiště pro podávání zpráv a statistiky uvedeného v článku 39 nařízení (EU) 2019/817. V souladu s čl. 39 odst. 1 uvedeného nařízení poskytování mezisystémových statistických údajů a analytických zpráv umožní orgánům uvedeným v odstavci 1 tohoto článku získávat přizpůsobitelné zprávy a statistiky za účelem podpory provádění prověřovacích pravidel ETIAS uvedených v článku 33, zlepšení posuzování bezpečnostního rizika, rizika nedovoleného přistěhovalectví a vysokého epidemického rizika, zvýšení účinnosti hraničních kontrol a pomoci ústřední jednotce ETIAS a národním jednotkám ETIAS při zpracovávání žádostí o cestovní povolení.“

17)

V čl. 84 odst. 4 se doplňuje nový pododstavec, který zní:

„Denní statistiky se ukládají do centrálního úložiště pro podávání zpráv a statistiky uvedeného v článku 39 nařízení (EU) 2019/817.“

Článek 62

Změny nařízení (EU) 2018/1726

Nařízení (EU) 2018/1726 se mění takto:

1)

Článek 12 se nahrazuje tímto:

„Článek 12

Kvalita údajů

1.   Aniž jsou dotčeny povinnosti členských států v souvislosti s údaji zadávanými do systémů, za jejichž provoz agentura odpovídá, zavede agentura za intenzivní účasti svých poradních skupin automatizované mechanismy a postupy pro kontrolu kvality údajů a společné ukazatele kvality údajů a minimální normy kvality pro uchovávání údajů pro všechny systémy, za jejichž provoz odpovídá, v souladu s příslušnými ustanoveními právních nástrojů upravujících tyto informační systémy a článkem 37 nařízení Evropského parlamentu a Rady (EU) 2019/817 (*5) a (EU) 2019/818 (*6).

2.   Agentura zřídí centrální úložiště obsahující pouze anonymizované údaje pro podávání zpráv a statistiky v souladu s článkem 39 nařízení (EU) 2019/817 a (EU) 2019/818, s výhradou zvláštních ustanovení právních nástrojů upravujících vývoj, zřízení, provoz a používání rozsáhlých informačních systémů řízených agenturou.

(*5)  Nařízení Evropského parlamentu a Rady (EU) 2019/817 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti hranic a víz a mění nařízení Evropského parlamentu a Rady (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV (Úř. věst. L 135, 22.5.2019, s. 27)."

(*6)  Nařízení Evropského parlamentu a Rady (EU) 2019/818 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti policejní a justiční spolupráce, azylu a migrace a kterým se mění nařízení (EU) 2018/1726, (EU) 2018/1862 a (EU) 2019/816 (Úř. věst. L 135, 22.5.2019, s. 85).“"

2)

V článku 19 se odstavec 1 mění takto:

a)

vkládá se nové písmeno, které zní:

„eea)

přijímá zprávy o aktuálním stavu vývoje složek interoperability podle čl. 78 odst. 2 nařízení (EU) 2019/817“ a čl. 74 odst. 2 nařízení (EU) 2019/818“

b)

písmeno ff) se nahrazuje tímto:

„ff)

přijímá zprávy o technickém fungování SIS podle čl. 60 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2018/1861 (*7) a čl. 74 odst. 8 nařízení Evropského parlamentu a Rady (EU) 2018/1862 (*8), o technickém fungování VIS podle čl. 50 odst. 3 nařízení (ES) č. 767/2008 a čl. 17 odst. 3 rozhodnutí 2008/633/SVV, o technickém fungování EES podle čl. 72 odst. 4 nařízení (EU) 2017/2226, o technickém fungování ETIAS podle čl. 92 odst. 4 nařízení (EU) 2018/1240, o technickém fungování ECRIS-TCN a referenčního provedení ECRIS podle čl. 36 odst. 8 nařízení Evropského parlamentu a Rady (EU) 2019/816 (*9) a o technickém fungování složek interoperability podle čl. 78 odst. 3 nařízení (EU) 2019/817 a čl. 74 odst. 3 nařízení (EU) 2019/818;

(*7)  Nařízení Evropského parlamentu a Rady (EU) 2018/1861 ze dne 28. listopadu 2018 o zřízení, provozu a využívání Schengenského informačního systému (SIS) v oblasti hraničních kontrol, o změně Úmluvy k provedení Schengenské dohody a o změně a zrušení nařízení (ES) č. 1987/2006 (Úř. věst. L 312, 7.12.2018, s. 14)."

(*8)  Nařízení Evropského parlamentu a Rady (EU) 2018/1862 ze dne 28. listopadu 2018 o zřízení, provozu a využívání Schengenského informačního systému (SIS) v oblasti policejní spolupráce a justiční spolupráce v trestních věcech, o změně a o zrušení rozhodnutí Rady 2007/533/SVV a o zrušení nařízení Evropského parlamentu a Rady (ES) č. 1986/2006 a rozhodnutí Komise 2010/261/EU (Úř. věst. L 312, 7.12.2018, s. 56)."

(*9)  Nařízení Evropského parlamentu a Rady (EU) 2019/816 ze dne 17. dubna 2019, kterým se zřizuje centralizovaný systém pro identifikaci členských států, jež mají informace o odsouzeních státních příslušníků třetích zemí a osob bez státní příslušnosti (ECRIS-TCN), na doplnění Evropského informačního systému rejstříků trestů, a kterým se mění nařízení (EU) 2018/1726 (Úř. věst. L 135, 22.5.2019, s. 1).“;"

c)

písmeno hh) se nahrazuje tímto:

„hh)

přijímá formální připomínky ke zprávám evropského inspektora ochrany údajů o auditech podle čl. 56 odst. 2 nařízení (EU) 2018/1861, čl. 42 odst. 2 nařízení (ES) č. 767/2008, čl. 31 odst. 2 nařízení (EU) č. 603/2013, čl. 56 odst. 2 nařízení (EU) 2017/2226, článku 67 nařízení (EU) 2018/1240, čl. 29 odst. 2 nařízení (EU) 2019/816 a článku 52 nařízení (EU) 2019/817 a (EU) 2019/818 a zajišťuje patřičná opatření v návaznosti na tyto audity;“

d)

písmeno mm) se nahrazuje tímto:

„mm)

zajišťuje každoroční zveřejnění seznamu příslušných orgánů, které jsou oprávněny přímo vyhledávat v údajích obsažených v SIS podle čl. 41 odst. 8 nařízení (EU) 2018/1861 a čl. 56 odst. 7 nařízení (EU) 2018/1862, spolu se seznamem úřadů vnitrostátních systémů SIS (N.SIS) a centrál SIRENE podle čl. 7 odst. 3 nařízení (EU) 2018/1861 a čl. 7 odst. 3 nařízení (EU) 2018/1862, seznamem příslušných orgánů podle č. 65 odst. 2 nařízení (EU) 2017/2226, seznamem příslušných orgánů podle čl. 87 odst. 2 nařízení (EU) 2018/1240, seznamem ústředních orgánů podle čl. 34 odst. 2 nařízení (EU) 2019/816 a seznamem orgánů podle čl. 71 odst. 1 nařízení (EU) 2019/817 a čl. 67 odst. 1 nařízení (EU) 2019/818.“

3)

V článku 22 se odstavec 4 nahrazuje tímto:

„4.   Europol a Eurojust se mohou účastnit zasedání správní rady jako pozorovatelé, jsou-li na pořadu jednání otázky týkající se SIS II v souvislosti s uplatňováním rozhodnutí 2007/533/SVV.

Evropská agentura pro pohraniční a pobřežní stráž se může účastnit zasedání správní rady jako pozorovatelka, jsou-li na pořadu jednání otázky týkající se SIS v souvislosti s uplatňováním nařízení (EU) 2016/1624.

Europol se může účastnit zasedání správní rady jako pozorovatel, jsou-li na pořadu jednání otázky týkající se VIS v souvislosti s uplatňováním rozhodnutí 2008/633/SVV nebo otázky týkající se Eurodacu v souvislosti s uplatňováním nařízení (EU) č. 603/2013.

Europol se může účastnit zasedání správní rady jako pozorovatel, jsou-li na pořadu jednání otázky týkající se EES v souvislosti s uplatňováním nařízení (EU) 2017/2226 nebo otázky týkající se ETIAS související s nařízením (EU) 2018/1240.

Evropská agentura pro pohraniční a pobřežní stráž se může účastnit zasedání správní rady jako pozorovatelka, jsou-li na pořadu jednání otázky týkající se ETIAS v souvislosti s uplatňováním nařízení (EU) 2018/1240.

Eurojust, Europol a Úřad evropského veřejného žalobce se mohou účastnit zasedání správní rady jako pozorovatelé, jsou-li na pořadu jednání otázky týkající se nařízení (EU) 2019/816.

Europol, Eurojust a Evropská agentura pro pohraniční a pobřežní stráž se mohou účastnit zasedání správní rady jako pozorovatelé, jsou-li na pořadu jednání otázky týkající se nařízení (EU) 2019/817 a (EU) 2019/818.

Správní rada může na zasedání jako pozorovatele pozvat jakoukoli další osobu, jejíž stanovisko může být předmětem zájmu.“

4)

V čl. 24 odst. 3 se písmeno p) nahrazuje tímto:

„p)

aniž je dotčen článek 17 služebního řádu úředníků, stanovení požadavků na zachování důvěrnosti údajů k zajištění souladu s článkem 17 nařízení (ES) č. 1987/2006, článkem 17 rozhodnutí 2007/533/SVV, čl. 26 odst. 9 nařízení (ES) č. 767/2008, čl. 4 odst. 4 nařízení (EU) č. 603/2013, čl. 37 odst. 4 nařízení (EU) 2017/2226, čl. 74 odst. 2 nařízení (EU) 2018/1240, čl. 11 odst. 16 nařízení (EU) 2019/816 a čl. 55 odst. 2 nařízení (EU) 2019/817 a (EU) 2019/818;“.

5)

Článek 27 se mění takto:

a)

v odstavci 1 se vkládá nové písmeno, které zní:

„da)

Poradní skupina pro interoperabilitu;“

b)

odstavec 3 se nahrazuje tímto:

„3.   Europol, Eurojust a Evropská agentura pro pohraniční a pobřežní stráž mohou každý jmenovat svého zástupce do poradní skupiny pro SIS II.

Europol může také jmenovat svého zástupce do poradních skupin pro VIS a Eurodac a EES-ETIAS.

Evropská agentura pro pohraniční a pobřežní stráž může také jmenovat svého zástupce do poradní skupiny pro EES-ETIAS.

Eurojust, Europol a Úřad evropského veřejného žalobce mohou každý jmenovat svého zástupce do poradní skupiny pro ECRIS-TCN.

Europol, Eurojust a Evropská agentura pro pohraniční a pobřežní stráž mohou každý jmenovat svého zástupce do Poradní skupiny pro interoperabilitu.“

Článek 63

Změny nařízení (EU) 2018/1861

Nařízení (EU) 2018/1861 se mění takto:

1)

V článku 3 se doplňují nové body, které znějí:

„22)

„ESP“ Evropský vyhledávací portál zřízený čl. 6 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2019/817 (*10)

23)

„sdílenou BMS“ sdílená služba pro porovnávání biometrických údajů zřízená čl. 12 odst. 1 nařízení (EU) 2019/817.

24)

„CIR“ společné úložiště údajů o totožnosti zřízené čl. 17 odst. 1 nařízení (EU) 2019/817;

25)

„MID“ detektor vícenásobné totožnosti zřízený čl. 25 odst. 1 nařízení (EU) 2019/817.

(*10)  Nařízení Evropského parlamentu a Rady (EU) 2019/817 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti hranic a víz a mění nařízení Evropského parlamentu a Rady (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV (Úř. věst. L 135, 22.5.2019, s. 27).“"

2)

Článek 4 se mění takto:

a)

v odstavci 1 se písmena b) a c) nahrazují tímto:

„b)

vnitrostátního systému (dále jen „N.SIS“) v každém členském státě, sestávajícího z vnitrostátních datových systémů, které komunikují s centrálním SIS, včetně alespoň jednoho vnitrostátního nebo sdíleného záložního N.SIS;

c)

komunikační infrastruktury mezi CS-SIS, záložní CS-SIS a NI-SIS (dále jen „komunikační infrastruktura“), která poskytuje šifrovanou virtuální síť vyhrazenou pro údaje SIS a výměnu údajů mezi centrálami SIRENE uvedenými v čl. 7 odst. 2, a

d)

zabezpečené komunikační infrastruktury mezi CS-SIS a centrálními infrastrukturami ESP, sdílené BMS a MID.“;

b)

doplňují se nové odstavce, které znějí:

„8.   Aniž jsou dotčeny odstavce 1 až 5, lze údaje SIS vyhledávat rovněž prostřednictvím ESP.

9.   Aniž jsou dotčeny odstavce 1 až 5, lze údaje SIS předávat rovněž prostřednictvím zabezpečené komunikační infrastruktury uvedené v odst. 1 písm. d). Tato předávání se omezí na rozsah, v jakém jsou údaje nezbytné pro účely nařízení (EU) 2019/817.“

3)

V článku 7 se vkládá nový odstavec, který zní:

„2a.   Centrály SIRENE rovněž zajistí manuální ověření různých totožností v souladu s článkem 29 nařízení (EU) 2019/817. V rozsahu nezbytném pro plnění tohoto úkolu mají centrály SIRENE přístup k údajům uloženým v CIR a MID pro účely stanovené v článcích 21 a 26 nařízení (EU) 2019/817.“;

4)

V článku 12 se odstavec 1 nahrazuje tímto:

„1.   Členské státy zajistí, aby každý přístup k osobním údajům a všechny výměny osobních údajů v rámci CS-SIS byly zaprotokolovány v jejich N.SIS za účelem kontroly, zda je vyhledávání zákonné, za účelem sledování zákonnosti zpracovávání údajů, pro vlastní kontrolu, pro zajištění řádného fungování N.SIS a pro integritu údajů a jejich zabezpečení. Tento požadavek se nepoužije na automatizované postupy uvedené v čl. 4 odst. 6 písm. a), b) a c).

Členské státy zajistí, aby byl za účelem kontroly, zda je vyhledávání zákonné, za účelem sledování zákonnosti zpracovávání údajů, pro vlastní kontrolu a pro integritu údajů a jejich zabezpečení zaprotokolován rovněž každý přístup k osobním údajům prostřednictvím ESP.“

5)

V čl. 34 odst. 1 se doplňuje nové písmeno, které zní:

„g)

ověření různých totožností a potírání podvodného zneužívání totožnosti v souladu s kapitolou V nařízení (EU) 2019/817.“

6)

V článku 60 se odstavec 6 nahrazuje tímto:

„6.   Pro účely čl. 15 odst. 4 a odstavců 3, 4 a 5 tohoto článku agentura eu-LISA ukládá údaje uvedené v čl. 15 odst. 4 a v odstavci 3 tohoto článku, které neumožňují individuální identifikaci, v centrálním úložišti pro podávání zpráv a statistiky uvedeném v článku 39 nařízení (EU) 2019/817.

Agentura eu-LISA umožní Komisi a subjektům uvedeným v odstavci 5 tohoto článku získat zmíněné zprávy a statistiky. Na žádost udělí členským státům, Komisi, Europolu a Evropské agentuře pro pohraniční a pobřežní stráž přístup do centrálního úložiště pro zprávy a statistiky v souladu s článkem 39 nařízení (EU) 2019/817.“

Článek 64

Změny rozhodnutí Rady 2004/512/ES

V článku 1 rozhodnutí Rady 2004/512/ES se odstavec 2 nahrazuje tímto:

„2.   Vízový informační systém je založen na centralizované architektuře a skládá se:

a)

z centrální infrastruktury společného úložiště údajů o totožnosti uvedené v čl. 17 odst. 2 písm. a) nařízení Evropského parlamentu a Rady (EU) 2019/817 (*11);

b)

z ústředního informačního systému (dále jen „Ústřední vízový informační systém“, CS-VIS);

c)

z uživatelského rozhraní v každém členském státě (dále jen „národní uživatelské rozhraní“, NI-VIS), které umožní připojení příslušného ústředního vnitrostátního orgánu daného členského státu;

d)

z komunikační infrastruktury mezi Ústředním vízovým informačním systémem a národními uživatelskými rozhraními;

e)

ze zabezpečeného komunikačního kanálu mezi ústředním systémem EES a CS-VIS;

f)

ze zabezpečené komunikační infrastruktury mezi ústředním systémem VIS a centrální infrastrukturou Evropského vyhledávacího portálu zřízeného čl. 6 odst. 1 nařízení (EU) 2019/817 a společného úložiště údajů zřízeného čl. 17 odst. 1 uvedeného nařízení.

Článek 65

Změny rozhodnutí 2008/633/SVV

Rozhodnutí 2008/633/SVV se mění takto:

1)

V článku 5 se vkládá nový odstavec, který zní:

„1a.   V případech, kdy určené orgány zahájily vyhledávání ve společném úložišti údajů o totožnosti (CIR) v souladu s článkem 22 nařízení Evropského parlamentu a Rady (EU) 2019/817 (*12) a kdy jsou splněny podmínky přístupu stanovené v tomto článku, mohou nahlížet do VIS, pokud přijatá odpověď uvedená v čl. 22 odst. 2 zmíněného nařízení ukáže, že údaje jsou uloženy ve VIS.

(*12)  Nařízení Evropského parlamentu a Rady (EU) 2019/817 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti hranic a víz a mění nařízení Evropského parlamentu a Rady (ES) č. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 a (EU) 2018/1861 a rozhodnutí Rady 2004/512/ES a 2008/633/SVV (Úř. věst. L 135, 22.5.2019, s. 27).“;"

2)

V článku 7 se vkládá nový odstavec, který zní:

„1a.   V případech, kdy Europol zahájil vyhledávání v CIR v souladu s článkem 22 nařízení (EU) 2019/817 a kdy jsou splněny podmínky přístupu stanovené v tomto článku, může nahlížet do VIS, pokud přijatá odpověď uvedená v čl. 22 odst. 2 uvedeného nařízení ukáže, že údaje jsou uloženy ve VIS.“

KAPITOLA X

Závěrečná ustanovení

Článek 66

Podávání zpráv a statistiky

1.   Výhradně pro účely podávání zpráv a statistiky mají řádně zmocnění pracovníci příslušných orgánů členských států, Komise a agentury eu-LISA přístup k těmto údajům souvisejícím s ESP:

a)

počet vyhledávání na uživatele profilu ESP;

b)

počet vyhledávání v jednotlivých databázích Interpolu.

Z těchto údajů nesmí být možné identifikovat jednotlivce.

2.   Výhradně pro účely podávání zpráv a statistiky mají řádně zmocnění pracovníci příslušných orgánů členských států, Komise a agentury eu-LISA přístup k těmto údajům souvisejícím s CIR:

a)

počet vyhledávání pro účely článků 20, 21 a 22;

b)

státní příslušnost, pohlaví a rok narození osoby;

c)

druh cestovního dokladu a třípísmenný kód země, která jej vydala;

d)

počet vyhledávání provedených s biometrickými údaji a bez nich.

Z těchto údajů nesmí být možné identifikovat jednotlivce.

3.   Výhradně pro účely podávání zpráv a statistiky mají řádně zmocnění pracovníci příslušných orgánů členských států, Komise a agentury eu-LISA přístup k těmto údajům souvisejícím s MID:

a)

počet vyhledávání provedených s biometrickými údaji a bez nich;

b)

počet jednotlivých typů propojení a informačních systémů EU obsahujících propojené údaje;

c)

doba, po kterou zůstalo žluté a červené propojení v systému.

Z těchto údajů nesmí být možné identifikovat jednotlivce.

4.   Řádně zmocnění pracovníci Evropské agentury pro pohraniční a pobřežní stráž mají přístup k údajům uvedeným v odstavcích 1, 2 a 3 tohoto článku pro účely provádění analýz rizik a hodnocení zranitelnosti podle článků 11 a 13 nařízení Evropského parlamentu a Rady (EU) 2016/1624 (40).

5.   Řádně zmocnění pracovníci Europolu mají přístup k údajům uvedeným v odstavcích 2 a 3 tohoto článku pro účely provádění strategických, tematických a operačních analýz podle čl. 18 odst. 2 písm. b) a c) nařízení (EU) 2016/794.

6.   Pro účely odstavců 1, 2 a 3 ukládá agentura eu-LISA údaje uvedené ve zmíněných odstavcích do CRRS. Z údajů v CRRS nesmí být možné identifikovat jednotlivce, ale tyto údaje musí umožnit orgánům uvedeným v odstavcích 1, 2 a 3 získávat přizpůsobitelné zprávy a statistiky s cílem zvýšit účinnost hraničních kontrol, usnadnit orgánům zpracovávání žádostí o víza a podpořit vytváření fakticky podložených politik Unie v oblasti migrace a bezpečnosti.

7.   Komise zpřístupní Agentuře Evropské unie pro základní práva na její žádost relevantní informace za účelem vyhodnocení dopadu tohoto nařízení na základní práva.

Článek 67

Přechodné období pro používání Evropského vyhledávacího portálu

1.   Po dobu dvou let ode dne zahájení provozu ESP se neuplatní povinnosti uvedené v čl. 7 odst. 2 a 4 a používání ESP je nepovinné.

2.   Komisi je svěřena pravomoc přijmout akt v přenesené pravomoci v souladu s článkem 73, kterým změní toto nařízení tak, že se jednou prodlouží doba uvedená v odstavci 1 tohoto článku o nejvýše jeden rok, jestliže z posouzení uplatňování ESP vyplyne, že toto prodloužení je nezbytné, zejména s ohledem na dopad, který by mělo uvedení ESP do provozu na organizaci a délku hraničních kontrol.

Článek 68

Přechodné období pro přístup ke společnému úložišti údajů o totožnosti pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů

Článek 22, čl. 60 body 8 a 9, čl. 61 body 10 a 11 a článek 65 se použijí ode dne zahájení provozu CIR uvedeného v čl. 72 odst. 3.

Článek 69

Přechodné období pro odhalování vícenásobné totožnosti

1.   Po dobu jednoho roku poté, co agentura eu-LISA oznámí dokončení testu MID uvedeného v čl. 72 odst. 4 písm. b), a před zahájením provozu MID odpovídá za zjišťování vícenásobné totožnosti s použitím údajů uložených v EES, VIS, Eurodacu a SIS ústřední jednotka ETIAS. Odhalování vícenásobné totožnosti se provádí pouze s použitím biometrických údajů.

2.   Pokud vyhledávání vykáže jednu či více shod a údaje o totožnosti v propojených souborech jsou stejné nebo podobné, vytvoří se v souladu s článkem 33 bílé propojení.

Pokud vyhledávání vykáže jednu či více shod a údaje o totožnosti v propojených souborech nelze považovat za podobné, vytvoří se v souladu s článkem 30 žluté propojení a použije se postup uvedený v článku 29.

Pokud je vykázáno více shod, vytvoří se propojení mezi všemi údaji, které vedly ke shodě.

3.   Pokud se vytvoří žluté propojení, MID udělí přístup k údajům o totožnosti vyskytujícím se v různých informačních systémech EU ústřední jednotce ETIAS.

4.   Pokud se vytvoří propojení se záznamem v SIS, který je jiný než záznam vytvořený podle článku 3 nařízení (EU) 2018/1860, článků 24 a 25 nařízení (EU) 2018/1861 a článku 38 nařízení (EU) 2018/1862, MID udělí přístup k údajům o totožnosti vyskytujícím se v různých informačních systémech centrále SIRENE členského státu, který záznam vytvořil.

5.   Ústřední jednotka ETIAS nebo v případech uvedených v odstavci 4 tohoto článku centrála SIRENE členského státu, který záznam vytvořil, má přístup k údajům obsaženým v souboru údajů souvisejících s potvrzením totožnosti, posuzuje různé totožnosti, aktualizuje propojení v souladu s články 31, 32 a 33 a doplní ho do souboru údajů souvisejících s potvrzením totožnosti.

6.   Ústřední jednotka ETIAS učiní oznámení Komisi v souladu s čl. 71 odst. 3 poté, co byla všechna žlutá propojení manuálně ověřena a jejich status aktualizován na zelená, bílá nebo červená propojení.

7.   Při odhalování vícenásobné totožnosti uvedené podle tohoto článku jsou ústřední jednotce ETIAS podle potřeby nápomocny členské státy.

8.   Komisi je svěřena pravomoc přijmout akt v přenesené pravomoci v souladu s článkem 73, kterým změní toto nařízení tak, že se prodlouží doba uvedená v odstavci 1 tohoto článku o šest měsíců, přičemž ji lze prodloužit dvakrát, pokaždé o šest měsíců. Toto prodloužení smí být povoleno pouze na základě posouzení odhadované doby k dokončení odhalování vícenásobné totožnosti podle tohoto článku, které ukazuje, že odhalování vícenásobné totožnosti nebude možné dokončit před dobou zbývající podle odstavce 1 tohoto článku nebo během probíhajícího prodloužení z důvodu nezávislých na ústřední jednotce ETIAS a že nelze uplatnit žádná nápravná opatření. Posouzení se provede nejpozději tři měsíce před uplynutím této doby nebo probíhajícího prodloužení.

Článek 70

Náklady

1.   Náklady vzniklé ve spojení se zřízením a provozem ESP, sdílené BMS, CIR a MID jsou hrazeny ze souhrnného rozpočtu Unie.

2.   Náklady vzniklé v souvislosti s integrací stávajících vnitrostátních infrastruktur a jejich připojením k vnitrostátním jednotným rozhraním, jakož i náklady vzniklé v souvislosti s provozováním vnitrostátních jednotných rozhraní, jsou hrazeny ze souhrnného rozpočtu Unie.

Vyloučeny jsou tyto náklady:

a)

projektové řízení v členských státech (schůze, služební cesty, kanceláře);

b)

náklady na provozování vnitrostátních informačních systémů (prostory, instalace, elektřina, chlazení);

c)

provoz vnitrostátních informačních systémů (smlouvy s operátory a technickou podporou);

d)

návrh, vývoj, realizace, provoz a údržba vnitrostátních komunikačních sítí.

3.   Aniž je dotčeno poskytnutí dalších finančních prostředků na tento účel z jiných zdrojů souhrnného rozpočtu Unie, uvolňuje se z krytí ve výši 791 000 000 EUR přiděleného podle čl. 5 odst. 5 písm. b) nařízení (EU) č. 515/2014 na pokrytí nákladů provádění tohoto nařízení podle odstavců 1 a 2 tohoto článku částka ve výši 32 077 000 EUR.

4.   Z krytí uvedeného v odstavci 3 se přidělí 22 861 000 EUR agentuře eu-LISA, 9 072 000 EUR Europolu a 144 000 EUR Agentuře Evropské unie pro vzdělávání a výcvik v oblasti prosazování práva (CEPOL) na podporu plnění úkolů těchto agentur podle tohoto nařízení. Toto financování je plněno v nepřímém řízení.

5.   Náklady na určené orgány hradí jednotlivé určující členské státy. Náklady na připojení každého určeného orgánu k CIR hradí příslušný členský stát.

Europol hradí své vlastní náklady, včetně nákladů na připojení k CIR.

Článek 71

Oznámení

1.   Členské státy oznámí agentuře eu-LISA orgány uvedené v článcích 7, 20, 21 a 26, které mohou využívat ESP, CIR a MID nebo k nim mít přístup.

Konsolidovaný seznam uvedených orgánů se zveřejní v Úředním věstníku Evropské unie do tří měsíců ode dne zahájení provozu jednotlivých složek interoperability v souladu s článkem 72. V případě změn v tomto seznamu zveřejní agentura eu-LISA jednou za rok aktualizovaný konsolidovaný seznam.

2.   Agentura eu-LISA oznámí Komisi úspěšné dokončení testů uvedených v čl. 72 odst. 1 písm. b), odst. 2 písm. b), odst. 3 písm. b), odst. 4 písm. b), odst. 5 písm. b) a odst. 6 písm. b).

3.   Ústřední jednotka ETIAS oznámí Komisi úspěšné dokončení přechodného období stanoveného v článku 69.

4.   Komise zpřístupní členským státům a veřejnosti informace oznámené podle odstavce 1 na nepřetržitě aktualizované veřejné internetové stránce.

Článek 72

Zahájení provozu

1.   Komise stanoví datum zahájení provozu ESP prostřednictvím prováděcího aktu, jakmile jsou splněny tyto podmínky:

a)

byla přijata opatření uvedená v čl. 8 odst. 2, čl. 9 odst. 7 a čl. 43 odst. 5;

b)

agentura eu-LISA oznámila úspěšné dokončení souhrnného testu ESP, který provedla ve spolupráci s orgány členských států a agenturami Unie, které mohou ESP používat;

c)

agentura eu-LISA potvrdila, že byla provedena nezbytná technická a právní opatření týkající se shromažďování a předávání údajů uvedených v čl. 8 odst. 1, a oznámila je Komisi.

ESP smí vyhledávat v databázích Interpolu, jakmile technická opatření umožňují soulad s čl. 9 odst. 5. Není-li možné dodržet čl. 9 odst. 5, má to za následek, že ESP nevyhledává v databázích Interpolu, ale zahájení provozu ESP tím není odloženo.

Komise stanoví datum uvedené v prvním pododstavci tak, aby spadalo do 30 dnů od přijetí prováděcího aktu.

2.   Komise stanoví datum zahájení provozu sdílené BMS prostřednictvím prováděcího aktu, jakmile jsou splněny tyto podmínky:

a)

byla přijata opatření uvedená v čl. 13 odst. 5 a čl. 43 odst. 5;

b)

agentura eu-LISA oznámila úspěšné dokončení souhrnného testu sdílené BSM, který provedla ve spolupráci s orgány členských států;

c)

agentura eu-LISA potvrdila, že byla provedena nezbytná technická a právní opatření týkající se shromažďování a předávání údajů uvedených v článku 13, a oznámila je Komisi;

d)

agentura eu-LISA oznámila Komisi úspěšné dokončení testu uvedeného v odst. 5 písm. b).

Komise stanoví datum uvedené v prvním pododstavci tak, aby spadalo do 30 dnů od přijetí prováděcího aktu.

3.   Komise stanoví datum zahájení provozu CIR prostřednictvím prováděcího aktu, jakmile jsou splněny tyto podmínky:

a)

byla přijata opatření uvedená v čl. 43 odst. 5 a čl. 78 odst. 10;

b)

agentura eu-LISA oznámila úspěšné dokončení souhrnného testu CIR, který provedla ve spolupráci s orgány členských států;

c)

agentura eu-LISA potvrdila, že byla provedena nezbytná technická a právní opatření týkající se shromažďování a předávání údajů uvedených v článku 18, a oznámila je Komisi;

d)

agentura eu-LISA oznámila Komisi úspěšné dokončení testu uvedeného v odst. 5 písm. b).

Komise stanoví datum uvedené v prvním pododstavci tak, aby spadalo do 30 dnů od přijetí prováděcího aktu.

4.   Komise stanoví datum zahájení provozu CIR prostřednictvím prováděcího aktu, jakmile jsou splněny tyto podmínky:

a)

byla přijata opatření uvedená v čl. 28 odst. 5 a 7, čl. 32 odst. 5, čl. 33 odst. 6, čl. 43 odst. 5 a čl. 49 odst. 6;

b)

agentura eu-LISA oznámila úspěšné dokončení souhrnného testu MID, který provedla ve spolupráci s orgány členských států a ústřední jednotkou ETIAS;

c)

agentura eu-LISA potvrdila, že byla provedena nezbytná technická a právní opatření týkající se shromažďování a předávání údajů uvedených v článku 34, a oznámila je Komisi;

d)

ústřední jednotka ETIAS učinila oznámení Komisi v souladu s čl. 71 odst. 3;

e)

agentura eu-LISA oznámila Komisi úspěšné dokončení testu uvedeného v odst. 1 písm. b), odst. 2 písm. b), odst. 3 písm. b) a odst. 5 písm. b) tohoto článku.

Komise stanoví datum uvedené v prvním pododstavci tak, aby spadalo do 30 dnů od přijetí prováděcího aktu.

5.   Komise stanoví prostřednictvím prováděcích aktů datum, od něhož se použijí automatizované mechanismy a postup kontroly kvality údajů, společné ukazatele kvality údajů a minimální normy kvality údajů, jakmile jsou splněny tyto podmínky:

a)

byla přijata opatření uvedená v čl. 37 odst. 4;

b)

agentura eu-LISA oznámila úspěšné dokončení souhrnného testu mechanismů a postupů automatizované kontroly kvality údajů, společných ukazatelů kvality údajů a minimálních norem kvality údajů, který provedla ve spolupráci s orgány členských států.

Komise stanoví datum uvedené v prvním pododstavci tak, aby spadalo do 30 dnů od přijetí prováděcího aktu.

6.   Komise stanoví datum zahájení provozu CRRS prostřednictvím prováděcího aktu, jakmile jsou splněny tyto podmínky:

a)

byla přijata opatření uvedená v čl. 39 odst. 5 a čl. 43 odst. 5;

b)

agentura eu-LISA oznámila úspěšné dokončení souhrnného testu CRRS, který provedla ve spolupráci s orgány členských států;

c)

agentura eu-LISA potvrdila, že byla provedena nezbytná technická a právní opatření týkající se shromažďování a předávání údajů uvedených v článku 39, a oznámila je Komisi.

Komise stanoví datum uvedené v prvním pododstavci tak, aby spadalo do 30 dnů od přijetí prováděcího aktu.

7.   Komise sdělí Evropskému parlamentu a Radě výsledky testů provedených v souladu s odst. 1 písm. b), odst. 2 písm. b), odst. 3 písm. b), odst. 4 písm. b), odst. 5 písm. b) a odst. 6 písm. b).

8.   Členské státy, ústřední jednotka ETIAS a Europol začnou používat každou ze složek interoperability ode dne stanoveného Komisí v souladu s odstavci 1, 2, 3 a 4.

Článek 73

Výkon přenesené pravomoci

1.   Pravomoc přijímat akty v přenesené pravomoci je svěřena Komisi za podmínek stanovených v tomto článku.

2.   Pravomoc přijímat akty v přenesené pravomoci uvedená v čl. 28 odst. 5, čl. 39 odst. 5, čl. 49 odst. 6, čl. 67 odst. 2 a čl. 69 odst. 8 je svěřena Komisi na dobu pěti let od 11. června 2019. Komise vypracuje zprávu o výkonu přenesené pravomoci nejpozději devět měsíců před koncem tohoto pětiletého období. Přenesení pravomoci se automaticky prodlužuje o stejně dlouhá období, pokud Evropský parlament nebo Rada nevysloví proti tomuto prodloužení námitku nejpozději tři měsíce před koncem každého z těchto období.

3.   Evropský parlament nebo Rada mohou přenesení pravomoci uvedené v čl. 28 odst. 5, čl. 39 odst. 5, čl. 49 odst. 6, čl. 67 odst. 2 a čl. 69 odst. 8 kdykoli zrušit. Rozhodnutím o zrušení se ukončuje přenesení pravomoci v něm určené. Rozhodnutí nabývá účinku prvním dnem po zveřejnění v Úředním věstníku Evropské unie, nebo k pozdějšímu dni, který je v něm upřesněn. Nedotýká se platnosti již platných aktů v přenesené pravomoci.

4.   Před přijetím aktu v přenesené pravomoci Komise vede konzultace s odborníky jmenovanými jednotlivými členskými státy v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů.

5.   Přijetí aktu v přenesené pravomoci Komise neprodleně oznámí současně Evropskému parlamentu a Radě.

6.   Akt v přenesené pravomoci přijatý podle čl. 28 odst. 5, čl. 39 odst. 5, čl. 49 odst. 6, čl. 67 odst. 2 a čl. 69 odst. 8 vstoupí v platnost pouze tehdy, pokud proti němu Evropský parlament nebo Rada nevysloví námitky ve lhůtě dvou měsíců ode dne, kdy jim byl tento akt oznámen, nebo pokud Evropský parlament i Rada před uplynutím této lhůty informují Komisi o tom, že námitky nevysloví. Z podnětu Evropského parlamentu nebo Rady se tato lhůta prodlouží o dva měsíce.

Článek 74

Postup projednávání ve výboru

1.   Komisi je nápomocen výbor. Tento výbor je výborem ve smyslu nařízení (EU) č. 182/2011.

2.   Odkazuje-li se na tento odstavec, použije se článek 5 nařízení (EU) č. 182/2011.

Pokud výbor nevydá žádné stanovisko, Komise navrhovaný prováděcí akt nepřijme a použije se čl. 5 odst. 4 třetí pododstavec nařízení (EU) č. 182/2011.

Článek 75

Poradní skupina

Agentura eu-LISA zřídí Poradní skupinu pro interoperabilitu. Během fáze návrhu a vývoje složek interoperability se použije čl. 54 odst. 4, 5 a 6.

Článek 76

Odborná příprava

Agentura eu-LISA plní úkoly související s poskytováním odborné přípravy zaměřené na technické aspekty používání složek interoperability podle nařízení (EU) 2018/1726.

Orgány členských států a agentury Unie organizují pro své pracovníky zmocněné ke zpracovávání údajů za použití složek interoperability vhodné vzdělávací programy v oblasti bezpečnosti údajů, kvality údajů, pravidel pro ochranu údajů, postupů použitelných pro zpracovávání údajů a povinností poskytovat informace podle čl. 32 odst. 4, čl. 33 odst. 4 a článku 47.

Ve vhodných případech jsou na úrovni Unie pořádány společné vzdělávací kurzy věnované těmto tématům s cílem prohloubit spolupráci a výměnu osvědčených postupů mezi pracovníky orgánů členských států a agentur Unie, kteří jsou zmocnění ke zpracovávání údajů za použití složek interoperability. Zvláštní pozornost je věnována procesu odhalování vícenásobné totožnosti včetně manuálního ověření různých totožností a s tím související nutnosti zachovat vhodné záruky základních práv.

Článek 77

Praktická příručka

Komise v úzké spolupráci s členskými státy, agenturou eu-LISA a dalšími příslušnými agenturami Unie vypracuje praktickou příručku pro provádění a řízení složek interoperability. Praktická příručka poskytne technické a operativní pokyny, doporučení a osvědčené postupy. Komise ji přijme formou doporučení.

Článek 78

Sledování a hodnocení

1.   Agentura eu-LISA zajistí zavedení postupů ke sledování vývoje složek interoperability a jejich připojení k vnitrostátnímu jednotnému rozhraní vzhledem k cílům v oblasti plánování a nákladů a ke sledování fungování složek interoperability, pokud jde o porovnání jejich technických výstupů, nákladové efektivnosti, bezpečnosti a kvality služeb se stanovenými cíli.

2.   Do 12. prosince 2019 a poté každých šest měsíců během fáze vývoje složek interoperability předloží agentura eu-LISA Evropskému parlamentu a Radě zprávu o stavu vývoje složek interoperability a jejich připojení k vnitrostátnímu jednotnému rozhraní. Po ukončení vývoje předloží Evropskému parlamentu a Radě zprávu, ve které podrobně vysvětlí, jak byly splněny cíle týkající se zejména plánování a nákladů, a odůvodní případné odchylky.

3.   Čtyři roky po zahájení provozu jednotlivých složek interoperability v souladu s článkem 72 a poté každé čtyři roky předloží agentura eu-LISA Evropskému parlamentu, Radě a Komisi zprávu o technickém fungování složek interoperability, včetně jejich zabezpečení.

4.   Dále pak po uplynutí jednoho roku od jednotlivých zpráv agentury eu-LISA vytvoří Komise celkové hodnocení složek interoperability, které obsahují:

a)

posouzení uplatňování tohoto nařízení;

b)

posouzení dosažených výsledků ve vztahu k cílům tohoto nařízení a jeho dopadu na základní práva, včetně zejména posouzení dopadu složek interoperability na právo na nediskriminaci;

c)

posouzení fungování internetového portálu včetně údajů o jeho používání a počet žádostí, které byly vyřízeny;

d)

posouzení trvající platnosti důvodu pro vznik složek interoperability;

e)

posouzení zabezpečení složek interoperability;

f)

posouzení využívání CIR ke zjišťování totožnosti;

g)

posouzení využívání CIR k prevenci, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů;

h)

posouzení všech důsledků, včetně případných nepřiměřených dopadů na plynulost provozu na hraničních přechodech a faktorů majících dopady na souhrnný rozpočet Unie;

i)

hodnocení vyhledávání v databázích Interpolu prostřednictvím ESP, včetně informací o počtu shod v databázích Interpolu a informací o veškerých problémech, které se vyskytly.

Celkové hodnocení podle prvního pododstavce tohoto odstavce zahrnuje případná nezbytná doporučení. Komise předloží tuto hodnotící zprávu Evropskému parlamentu, Radě, evropskému inspektorovi ochrany údajů a Agentuře Evropské unie pro základní práva.

5.   Do 12. června 2020 a poté každý rok až do přijetí prováděcích aktů Komise uvedených v článku 72 předkládá Komise Evropskému parlamentu a Radě zprávu o aktuálním stavu příprav na provedení tohoto nařízení v plném rozsahu. Tato zpráva obsahuje rovněž podrobné informace o vzniklých nákladech a informace o rizicích, která mohou mít dopad na celkové náklady.

6.   Do dvou let ode dne zahájení provozu MID v souladu s čl. 72 odst. 4 vypracuje Komise posouzení dopadu MID na právo na nediskriminaci. Po první zprávě se posouzení dopadu MID na právo na nediskriminaci stává součástí posouzení uvedeného v odst. 4 písm. b) tohoto článku.

7.   Členské státy a Europol poskytnou agentuře eu-LISA a Komisi informace nezbytné k vypracování zpráv uvedených v odstavcích 3 až 6. Tyto informace nesmějí ohrozit pracovní metody ani obsahovat informace, které prozrazují zdroje, pracovníky nebo informace o vyšetřování určených orgánů.

8.   Agentura eu-LISA poskytne Komisi informace nezbytné k vypracování celkového hodnocení uvedeného v odstavci 4.

9.   Každý členský stát a Europol vypracují, při dodržení vnitrostátních právních předpisů o zveřejňování citlivých informací a aniž jsou dotčena omezení nutná z důvodu ochrany bezpečnosti a veřejného pořádku, prevence trestné činnosti a zaručení řádného průběhu vnitrostátních vyšetřování, výroční zprávu o účinnosti přístupu k údajům uloženým v CIR pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů; tato zpráva obsahuje informace a statistiky o:

a)

přesných účelech nahlížení do údajů, včetně typů teroristických trestných činů nebo jiných závažných trestných činů,

b)

oprávněných důvodech pro důvodné podezření, že se na podezřelou osobu, pachatele nebo oběť vztahuje nařízení (EU) 2017/2226, nařízení (ES) č. 767/2008 nebo nařízení (EU) 2018/1240;

c)

počtu žádostí o přístup do CIR pro účely prevence, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů;

d)

počtu a typech případů, které byly završeny úspěšným zjištěním totožnosti;

e)

potřebě a využití postupů pro výjimečně naléhavé případy včetně případů, kdy ústřední přístupový bod při následném ověření výjimečnou naléhavost neuznal.

Výroční zprávy vypracované členskými státy a Europolem se předají Komisi do 30. června následujícího roku.

10.   Členským státům je poskytnuto technické řešení k řízení žádostí uživatelů o přístup podle článku 22 a k usnadnění shromažďování informací podle odstavců 7 a 9 tohoto článku pro účely vytváření zpráv a statistik uvedených ve zmíněných odstavcích. Komise přijme prováděcí akty, jimiž stanoví specifikace tohoto technického řešení. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 74 odst. 2.

Článek 79

Vstup v platnost a použitelnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Ustanovení tohoto nařízení týkající se ESP se použijí ode dne stanoveného Komisí v souladu s čl. 72 odst. 1.

Ustanovení tohoto nařízení týkající se sdílené BMS se použijí ode dne stanoveného Komisí v souladu s čl. 72 odst. 2.

Ustanovení tohoto nařízení týkající se CIR se použijí ode dne stanoveného Komisí v souladu s čl. 72 odst. 3.

Ustanovení tohoto nařízení týkající se MID se použijí ode dne stanoveného Komisí v souladu s čl. 72 odst. 4.

Ustanovení tohoto nařízení týkající se automatizovaných mechanismů a postupů kontroly kvality údajů, společných ukazatelů kvality údajů a minimálních norem kvality údajů se použijí ode dnů stanovených Komisí v souladu s čl. 72 odst. 5.

Ustanovení tohoto nařízení týkající se CRRS se použijí ode dne stanoveného Komisí v souladu s čl. 72 odst. 6.

Články 6, 12, 17, 25, 38, 42, 54, 56, 57, 70, 71, 73, 74, 75, 77 a 78 odst. 1 se použijí ode dne 11. června 2019.

Toto nařízení se použije na Eurodac ode dne použitelnosti přepracovaného znění nařízení (EU) č. 603/2013.

Toto nařízení je závazné v celém rozsahu a přímo použitelné v členských státech v souladu se Smlouvami.

V Bruselu dne 20. května 2019.

Za Evropský parlament

předseda

A. TAJANI

Za Radu

předseda

G. CIAMBA


(1)  Úř. věst. C 283, 10.8.2018, s. 48.

(2)  Postoj Evropského parlamentu ze dne 16. dubna 2019. (dosud nezveřejněný v Úředním věstníku) a rozhodnutí Rady ze dne 14. května 2019.

(3)  Úř. věst. C 101, 16.3.2018, s. 116.

(4)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).

(5)  Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. L 119, 4.5.2016, s. 89).

(6)  Společný postoj Rady 2005/69/SVV ze dne 24. ledna 2005 o výměně některých údajů s Interpolem (Úř. věst. L 27, 29.1.2005, s. 61).

(7)  Rozhodnutí Rady 2007/533/SVV ze dne 12. června 2007 o zřízení, provozování a využívání Schengenského informačního systému druhé generace (SIS II) (Úř. věst. L 205, 7.8.2007, s. 63).

(8)  Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).

(9)  Nařízení Evropského parlamentu a Rady (EU) 2016/399 ze dne 9. března 2016, kterým se stanoví kodex Unie o pravidlech upravujících přeshraniční pohyb osob (Schengenský hraniční kodex) (Úř. věst. L 77, 23.3.2016, s. 1).

(10)  Nařízení Evropského parlamentu a Rady (EU) 2018/1860 ze dne 28. listopadu 2018 o využívání Schengenského informačního systému při navracení neoprávněně pobývajících státních příslušníků třetích zemí (Úř. věst. L 312, 7.12.2018, s. 1).

(11)  Nařízení Evropského parlamentu a Rady (EU) 2018/1861 ze dne 28. listopadu 2018 o zřízení, provozu a využívání Schengenského informačního systému (SIS) v oblasti hraničních kontrol, o změně Úmluvy k provedení Schengenské dohody a o změně a zrušení nařízení (ES) č. 1987/2006 (Úř. věst. L 312, 7.12.2018, s. 14).

(12)  Nařízení Evropského parlamentu a Rady (EU) 2018/1862 ze dne 28. listopadu 2018 o zřízení, provozu a využívání Schengenského informačního systému (SIS) v oblasti policejní spolupráce a justiční spolupráce v trestních věcech, o změně a o zrušení rozhodnutí Rady 2007/533/SVV a o zrušení nařízení Evropského parlamentu a Rady (ES) č. 1986/2006 a rozhodnutí Komise 2010/261/EU (Úř. věst. L 312, 7.12.2018, s. 56).

(13)  Nařízení Evropského parlamentu a Rady (EU) 2017/2226 ze dne 30. listopadu 2017, kterým se zřizuje Systém vstupu/výstupu (EES) pro registraci údajů o vstupu a výstupu a údajů o odepření vstupu, pokud jde o státní příslušníky třetích zemí překračující vnější hranice členských států, kterým se stanoví podmínky přístupu do systému EES pro účely vymáhání práva a kterým se mění Úmluva k provedení Schengenské dohody a nařízení (ES) č. 767/2008 a (EU) č. 1077/2011 (Úř. věst. L 327, 9.12.2017, s. 20).

(14)  Nařízení Evropského parlamentu a Rady (ES) č. 767/2008 ze dne 9. července 2008 o Vízovém informačním systému (VIS) a o výměně údajů o krátkodobých vízech mezi členskými státy (nařízení o VIS) (Úř. věst. L 218, 13.8.2008, s. 60).

(15)  Nařízení Evropského parlamentu a Rady (EU) 2018/1240 ze dne 12. září 2018, kterým se zřizuje Evropský systém pro cestovní informace a povolení (ETIAS) a kterým se mění nařízení (EU) č. 1077/2011, (EU) č. 515/2014, (EU) 2016/399, (EU) 2016/1624 a (EU) 2017/2226 (Úř. věst. L 236, 19.9.2018, s. 1).

(16)  Nařízení Evropského parlamentu a Rady (EU) 2016/794 ze dne 11. května 2016 o Agentuře Evropské unie pro spolupráci v oblasti prosazování práva (Europol) a o zrušení a nahrazení rozhodnutí 2009/371/SVV, 2009/934/SVV, 2009/935/SVV, 2009/936/SVV a 2009/968/SVV (Úř. věst. L 135, 24.5.2016, S. 53).

(17)  Nařízení Evropského parlamentu a Rady (ES) č. 45/2001 ze dne 18. prosince 2000 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů (Úř. věst. L 8, 12.1.2001, s. 1).

(18)  Úř. věst. C 233, 4.7.2018, s. 12.

(19)  Nařízení Evropského parlamentu a Rady (EU, Euratom) 2018/1046 ze dne 18. července 2018, kterým se stanoví finanční pravidla pro souhrnný rozpočet Unie, mění nařízení (EU) č. 1296/2013, (EU) č. 1301/2013, (EU) č. 1303/2013, (EU) č. 1304/2013, (EU) č. 1309/2013, (EU) č. 1316/2013, (EU) č. 223/2014 a (EU) č. 283/2014 a rozhodnutí č. 541/2014/EU a zrušuje nařízení (EU, Euratom) č. 966/2012 (Úř. věst. L 193, 30.7.2018, s. 1).

(20)  Nařízení Evropského parlamentu a Rady (EU) č. 515/2014 ze dne 16. dubna 2014, kterým se jako součást Fondu pro vnitřní bezpečnost zřizuje nástroj pro finanční podporu v oblasti vnějších hranic a víz a zrušuje rozhodnutí č. 574/2007/ES (Úř. věst. L 150, 20.5.2014, s. 143).

(21)  Úř. věst. L 123, 12.5.2016, s. 1.

(22)  Nařízení Evropského parlamentu a Rady (EU) č. 182/2011 ze dne 16. února 2011, kterým se stanoví pravidla a obecné zásady způsobu, jakým členské státy kontrolují Komisi při výkonu prováděcích pravomocí (Úř. věst. L 55, 28.2.2011, s. 13).

(23)  Směrnice Evropského parlamentu a Rady 2004/38/ES ze dne 29. dubna 2004 o právu občanů Unie a jejich rodinných příslušníků svobodně se pohybovat a pobývat na území členských států, o změně nařízení (EHS) č. 1612/68 a o zrušení směrnic 64/221/EHS, 68/360/EHS, 72/194/EHS, 73/148/EHS, 75/34/EHS, 75/35/EHS, 90/364/EHS, 90/365/EHS a 93/96/EHS (Úř. věst. L 158, 30.4.2004, s. 77).

(24)  Rozhodnutí Rady 2000/365/ES ze dne 29. května 2000 o žádosti Spojeného království Velké Británie a Severního Irska, aby se na ně vztahovala některá ustanovení schengenského acquis (Úř. věst. L 131, 1.6.2000, s. 43).

(25)  Rozhodnutí Rady 2002/192/ES ze dne 28. února 2002 o žádosti Irska, aby se na ně vztahovala některá ustanovení schengenského acquis (Úř. věst. L 64, 7.3.2002, s. 20).

(26)  Úř. věst. L 176, 10.7.1999, s. 36.

(27)  Rozhodnutí Rady 1999/437/ES ze dne 17. května 1999 o některých opatřeních pro uplatňování Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis (Úř. věst. L 176, 10.7.1999, s. 31).

(28)  Úř. věst. L 53, 27.2.2008, s. 52.

(29)  Rozhodnutí Rady 2008/146/ES ze dne 28. ledna 2008 o uzavření Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis jménem Evropského společenství (Úř. věst. L 53, 27.2.2008, s. 1).

(30)  Úř. věst. L 160, 18.6.2011, s. 21.

(31)  Rozhodnutí Rady 2011/350/EU ze dne 7. března 2011 o uzavření Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis jménem Evropské unie, pokud jde o zrušení kontrol na vnitřních hranicích a pohyb osob (Úř. věst. L 160, 18.6.2011, s. 19).

(32)  Rozhodnutí Rady 2004/512/ES ze dne 8. června 2004 o zřízení Vízového informačního systému (VIS) (Úř. věst. L 213, 15.6.2004, s. 5).

(33)  Rozhodnutí Rady 2008/633/SVV ze dne 23. června 2008 o konzultačním přístupu určených orgánů členských států a Europolu do Vízového informačního systému (VIS) pro účely prevence, odhalování a vyšetřování teroristických trestných činů a jiných závažných trestných činů (Úř. věst. L 218, 13.8.2008, s. 129).

(34)  Nařízení Evropského parlamentu a Rady (EU) 2019/818 ze dne 20. května 2019, kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti policejní a justiční spolupráce, azylu a migrace a mění nařízení (EU) 2018/1726, (EU) 2018/1862 a (EU) 2019/816 (viz strana 85 v tomto čísle Úředního věstníku).

(35)  Směrnice Evropského parlamentu a Rady (EU) 2017/541 ze dne 15. března 2017 o boji proti terorismu, kterou se nahrazuje rámcové rozhodnutí Rady 2002/475/SVV a mění rozhodnutí Rady 2005/671/SVV (Úř. věst. L 88, 31.3.2017, s. 6).

(36)  Rámcové rozhodnutí Rady 2002/584/SVV ze dne 13. června 2002 o evropském zatýkacím rozkazu a postupech předávání mezi členskými státy (Úř. věst. L 190, 18.7.2002, s. 1).

(37)  Nařízení Evropského parlamentu a Rady (EU) č. 603/2013 ze dne 26. června 2013 o zřízení systému „Eurodac“ pro porovnávání otisků prstů za účelem účinného uplatňování nařízení (EU) č. 604/2013 kterým se stanoví kritéria a postupy pro určení členského státu příslušného k posuzování žádosti o mezinárodní ochranu podané státním příslušníkem třetí země nebo osobou bez státní příslušnosti v některém z členských států, a pro podávání žádostí orgánů pro vymáhání práva členských států a Europolu o porovnání údajů s údaji systému Eurodac pro účely vymáhání práva a o změně nařízení (EU) č. 1077/2011, kterým se zřizuje Evropská agentura pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (Úř. věst. L 180, 29.6.2013, s. 1).

(38)  Nařízení Evropského parlamentu a Rady (EU) 2019/816 ze dne 17. dubna 2019, kterým se zřizuje centralizovaný systém pro identifikaci členských států, jež mají informace o odsouzeních státních příslušníků třetích zemí a osob bez státní příslušnosti (ECRIS-TCN), na doplnění Evropského informačního systému rejstříků trestů, a kterým se mění nařízení (EU) 2018/1726 (viz strana 1 v tomto čísle Úředního věstníku).

(39)  Nařízení Rady (ES) č. 168/2007 ze dne 15. února 2007, kterým se zřizuje Agentura Evropské unie pro základní práva (Úř. věst. L 53, 22.2.2007, s. 1).

(40)  Nařízení Evropského parlamentu a Rady (EU) 2016/1624 ze dne 14. září 2016 o Evropské pohraniční a pobřežní stráži a o změně nařízení Evropského parlamentu a Rady (EU) 2016/399 a zrušení nařízení Evropského parlamentu a Rady (ES) č. 863/2007, nařízení Rady (ES) č. 2007/2004 a rozhodnutí Rady 2005/267/ES (Úř. věst. L 251, 16.9.2016, s. 1).


22.5.2019   

CS

Úřední věstník Evropské unie

L 135/85


NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2019/818

ze dne 20. května 2019,

kterým se zřizuje rámec pro interoperabilitu mezi informačními systémy EU v oblasti policejní a justiční spolupráce, azylu a migrace a kterým se mění nařízení (EU) 2018/1726, (EU) 2018/1862 a (EU) 2019/816

EVROPSKÝ PARLAMENT A RADA EVROPSKÉ UNIE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na čl. 16 odst. 2, článek 74, čl. 78 odst. 2 písm. e), čl. 79 odst. 2 písm. c), čl. 82 odst. 1 písm. d), čl. 85 odst. 1, čl. 87 odst. 2 písm. a) a čl. 88 odst. 2 této smlouvy,

s ohledem na návrh Evropské komise,

po postoupení návrhu legislativního aktu vnitrostátním parlamentům,

s ohledem na stanovisko Evropského hospodářského a sociálního výboru (1),

po konzultaci s Výborem regionů,

v souladu s řádným legislativním postupem (2),

vzhledem k těmto důvodům:

(1)

Komise ve svém sdělení ze dne 6. dubna 2016 nazvaném Silnější a inteligentnější informační systémy pro ochranu hranic a bezpečnost zdůraznila potřebu zlepšit unijní architekturu správy údajů pro správu hranic a bezpečnost. Toto sdělení zahájilo proces směřující k dosažení interoperability mezi informačními systémy EU pro bezpečnost, správu hranic a řízení migrace s cílem vyřešit strukturální nedostatky související s těmito systémy, které ztěžují práci vnitrostátních orgánů, a zajistit, aby příslušníci pohraniční stráže, celní úřady, policisté a justiční orgány měli k dispozici nezbytné informace.

(2)

Ve svém Plánu na posílení výměny informací a správy informací včetně řešení interoperability v oblasti spravedlnosti a vnitřních věcí ze dne 6. dubna 2016 Rada určila různé právní, technické a provozní problémy týkající se interoperability informačních systémů EU a vyzvala k hledání řešení.

(3)

Ve svém usnesení ze dne 6. července 2016 o strategických prioritách pro pracovní program Komise na rok 2017 (3) požadoval Evropský parlament návrhy na zdokonalení a rozvoj stávajících informačních systémů EU, vyřešení mezer v informacích a pokrok směrem k interoperabilitě těchto systémů, jakož i návrhy na závazné sdílení informací na úrovni EU doprovázené nezbytnými zárukami v oblasti ochrany údajů.

(4)

Ve svých závěrech ze dne 15. prosince 2016 Evropská rada vyzvala k dalšímu zlepšování interoperability informačních systémů a databází EU.

(5)

Ve své závěrečné zprávě ze dne 11. května 2017 dospěla expertní skupina na vysoké úrovni pro informační systémy a interoperabilitu k závěru, že je nezbytné a technicky proveditelné vypracovat praktická řešení pro interoperabilitu, a že interoperabilita by mohla v zásadě mít operativní přínosy a současně být vytvořena v souladu s požadavky na ochranu údajů.

(6)

Ve svém sdělení ze dne 16. května 2017 nazvaném Sedmá zpráva o pokroku na cestě k účinné a skutečné bezpečnostní unii Komise v souladu se svým sdělením ze dne 6. dubna 2016 a na základě zjištění a doporučení expertní skupiny na vysoké úrovni pro informační systémy a interoperabilitu stanovila nový přístup ke správě údajů pro ochranu hranic, bezpečnost a migraci, v němž jsou všechny informační systémy EU pro bezpečnost, správu hranic a řízení migrace interoperabilní, a to při plném dodržování základních práv.

(7)

Ve svých závěrech ze dne 9. června 2017 o dalším postupu s cílem zlepšit výměnu informací a zajistit interoperabilitu informačních systémů EU vyzvala Rada Komisi, aby usilovala o řešení interoperability tak, jak je navrhla expertní skupina na vysoké úrovni.

(8)

Ve svých závěrech ze dne 23. června 2017 Evropská rada zdůraznila potřebu zlepšovat interoperabilitu mezi databázemi a vyzvala Komisi, aby na základě návrhů předložených expertní skupinou na vysoké úrovni pro informační systémy a interoperabilitu vypracovala co nejdříve návrh právního předpisu.

(9)

Aby bylo možné zlepšit efektivitu a účinnost kontrol na vnějších hranicích, přispět k prevenci a potírání nedovoleného přistěhovalectví a přispět k vysoké úrovni bezpečnosti v oblasti svobody, bezpečnosti a práva Unie, včetně udržování veřejné bezpečnosti a veřejného pořádku a zajišťování bezpečnosti na území členských států, zlepšit provádění společné vízové politiky, pomáhat při posuzování žádostí o mezinárodní ochranu, přispět k prevenci, odhalování a vyšetřování teroristických trestných činů a jiných závažných trestných činů, usnadnit zjišťování totožnosti neznámých osob, které nejsou schopny samy prokázat svou totožnost, nebo identifikaci lidských pozůstatků v případě přírodní katastrofy, nehody nebo teroristického útoku a zachovat důvěru veřejnosti v migrační a azylový systém Unie, bezpečnostní opatření Unie a v její schopnost spravovat vnější hranice, je třeba zajistit interoperabilitu mezi informačními systémy EU, zejména Systému vstupu/výstupu (systém EES), Vízového informačního systému (VIS), Evropského systému pro cestovní informace a povolení (ETIAS), systému Eurodac (Eurodac), Schengenského informačního systému (SIS) a Evropského informačního systému rejstříků trestů pro státní příslušníky třetích zemí (ECRIS-TCN), tak aby se tyto informační systémy EU a jejich údaje navzájem doplňovaly, a to při současném dodržení základních práv jednotlivců, zejména práva na ochranu osobních údajů. V zájmu dosažení uvedeného cíle by se měl zřídit Evropský vyhledávací portál (ESP), sdílená služba pro porovnávání biometrických údajů (sdílená BMS), společné úložiště údajů o totožnosti (CIR) a detektor vícenásobné totožnosti (MID) jako složky interoperability.

(10)

Interoperabilita mezi informačními systémy EU by měla umožnit, aby se uvedené systémy navzájem doplňovaly s cílem usnadnit správné zjištění totožnosti osob, včetně totožnosti neznámých osob, které nejsou schopny samy prokázat svou totožnost, nebo identifikaci lidských pozůstatků, přispět k boji proti podvodnému zneužívání totožnosti, zlepšit a harmonizovat požadavky na kvalitu údajů příslušných informačních systémů EU, usnadnit technické a provozní provádění informačních systémů EU členskými státy, posílit záruky pro zabezpečení a ochranu údajů vztahující se na příslušné informační systémy EU, zjednodušit přístup pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů k EES, VIS, ETIAS a Eurodac a podpořit účely EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN.

(11)

Složky interoperability by měly pokrývat EES, VIS, ETIAS, Eurodac, SIS a ECRIS-TCN. Rovněž by měly pokrývat údaje Europolu, ale pouze v takovém rozsahu, aby se umožnilo souběžné vyhledávání v údajích Europolu a v uvedených informačních systémech EU.

(12)

Složky interoperability by měly zpracovávat osobní údaje osob, jejichž osobní údaje jsou zpracovávány v základních informačních systémech EU a Europolem.

(13)

ESP by měl být zřízen s cílem technicky usnadnit rychlý, plynulý, účinný, systematický a řízený přístup orgánů členských států a agentur Unie k informačním systémům EU, k údajům Europolu a k databázím Mezinárodní organizace kriminální policie (Interpolu), a to v rozsahu, který v souladu se svými přístupovými právy potřebují k plnění svých úkolů. ESP by měl být rovněž zřízen s cílem podpořit účely EES, VIS, ETIAS, Eurodacu, SIS, ECRIS-TCN a údajů Europolu. Tím, že umožní souběžné vyhledávání ve všech příslušných informačních systémech EU, v údajích Europolu a databázích Interpolu, měl by ESP fungovat jako jednotný portál nebo „zprostředkovatel zpráv“ pro vyhledávání v různých centrálních systémech, přičemž by plynule při plném dodržování požadavků na kontrolu přístupu a ochranu údajů základních systémů získával nezbytné informace.

(14)

Architektura ESP by měla zaručit, aby při vyhledávání v databázích Interpolu nebyly údaje používané uživatelem ESP k zahájení vyhledávání sdíleny s majiteli údajů Interpolu. Architektura ESP by měla rovněž zaručit, aby bylo vyhledávání v databázích Interpolu prováděno pouze v souladu s použitelným unijním a vnitrostátním právem.

(15)

Uživatelé ESP, kteří mají právo na přístup k údajům Europolu podle nařízení Evropského parlamentu a Rady (EU) 2016/794 (4), by měli mít možnost vyhledávat v údajích Europolu souběžně s informačními systémy EU, k nimž mají přístup. Jakékoli další zpracování údajů po takovém vyhledávání by mělo probíhat v souladu s nařízením (EU) 2016/794, včetně omezení uložených poskytovatelem údajů, pokud jde o přístup k údajům nebo jejich využití.

(16)

ESP by měl být vyvinut a nastaven tak, aby umožňoval pouze vyhledávání, které je prováděno za použití údajů týkajících se osob nebo cestovních dokladů obsažených v některém informačním systému EU, v údajích Europolu nebo v databázi Interpolu.

(17)

Aby se zajistilo systematické využívání příslušných informačních systémů EU, měl by se ESP používat pro vyhledávání v CIR, EES, VIS, ETIAS, Eurodacu a ECRIS-TCN. Vnitrostátní spojení s jednotlivými informačními systémy EU by však mělo zůstat zachováno, aby se zajistilo technické záložní řešení. ESP by také měly využívat agentury Unie k vyhledávání v centrálním SIS v souladu se svými přístupovými právy a za účelem plnění svých úkolů. ESP by měl být dalším prostředkem pro vyhledávání v centrálním SIS, údajích Europolu a databázích Interpolu, čímž doplní stávající vyhrazená rozhraní.

(18)

Biometrické údaje, jako jsou otisky prstů a zobrazení obličeje, jsou jedinečné, a pro účely zjištění totožnosti osob tedy mnohem spolehlivější než alfanumerické údaje. Sdílená BMS by měla představovat technický nástroj, který posílí a zjednoduší fungování příslušných informačních systémů EU a ostatních složek interoperability. Hlavním účelem sdílené BMS by mělo být usnadnění zjištění totožnosti osob, které jsou registrovány v několika databázích, s využitím jediné technické složky k porovnání biometrických údajů dané osoby v různých systémech, namísto několika složek. Sdílená BMS by měla přispět k bezpečnosti a rovněž přinést výhody v oblasti financí, údržby a provozu. Všechny systémy automatizované identifikace otisků prstů včetně těch, které se v současnosti používají pro Eurodac, VIS a SIS, využívají biometrické šablony složené z údajů odvozených na základě extrakce rysů ze skutečných biometrických vzorků. Sdílená BMS by měla všechny tyto biometrické šablony – logicky oddělené podle informačního systému, z něhož údaje pocházejí – seskupit a uložit na jediném místě, čímž se usnadní porovnávání mezi systémy na základě biometrických šablon a umožní značné úspory z rozsahu při vývoji a údržbě centrálních systémů Unie.

(19)

Biometrické šablony uložené ve sdílené BMS by měly být složeny z údajů odvozených na základě extrakce rysů ze skutečných biometrických vzorků a získávány způsobem, který neumožňuje zpětný proces extrakce. Biometrické šablony by měly být získávány z biometrických údajů, avšak nemělo by být možné získat tytéž biometrické údaje z biometrických šablon. Vzhledem k tomu, že údaje o otiscích dlaní a profily DNA jsou ukládány pouze v SIS a nemohou být používány k vzájemnému porovnávání s údaji uchovávanými v jiných informačních systémech podle zásady nezbytnosti a proporcionality, neměla by sdílená BMS uchovávat profily DNA nebo biometrické šablony získané z otisků dlaní.

(20)

Biometrické údaje představují citlivé osobní údaje. Toto nařízení by mělo stanovit základy a záruky pro zpracování takových údajů pro účely zjištění jediné totožnosti dotčených osob.

(21)

EES, VIS, ETIAS, Eurodac a ECRIS-TCN vyžadují přesné zjištění totožnosti osob, jejichž osobní údaje jsou v nich uloženy. CIR by tedy měl usnadnit správné zjišťování totožnosti osob registrovaných v těchto systémech.

(22)

Osobní údaje uložené v těchto informačních systémech EU se mohou vztahovat k týmž osobám, ale k jejich různým nebo neúplně uvedeným totožnostem. Členské státy mají k dispozici účinné způsoby ke zjištění totožnosti svých občanů nebo registrovaných osob s povolením k trvalému pobytu na jejich území. Interoperabilita mezi informačními systémy EU by měla přispět ke správnému zjištění totožnosti osob vyskytujících se v těchto systémech. CIR by mělo ukládat osobní údaje, které jsou nezbytné pro umožnění přesnějšího zjištění totožnosti těchto osob, jejichž údaje jsou uloženy v těchto systémech, včetně údajů o jejich totožnosti, údajů o cestovním dokladu a biometrických údajů, bez ohledu na to, v jakém systému byly údaje původně shromážděny. V CIR by se měly zaznamenávat pouze ty osobní údaje, které jsou k provedení přesné kontroly totožnosti nezbytně nutné. Osobní údaje zaznamenané v CIR by neměly být uchovávány déle, než je nezbytně nutné pro účely základních systémů, a měly by se automaticky vymazat, když se údaje vymaží v základním systému, a to v souladu s jejich logickým oddělením.

(23)

Tento nový postup zpracování, sestávající z ukládání takových údajů do CIR, namísto jejich ukládání v jednotlivých oddělených systémech, je nezbytný, má-li se zvýšit přesnost zjišťování totožnosti díky automatizovanému porovnávání a zjišťování shod těchto údajů. Skutečnost, že údaje o totožnosti, údaje o cestovním dokladu a biometrické údaje jsou ukládány do CIR, by nijak neměla zpomalit zpracování údajů pro účely EES, VIS, ETIAS, Eurodacu nebo ECRIS-TCN, jelikož CIR by mělo být novou sdílenou složkou těchto základních systémů.

(24)

Je proto nezbytné v CIR vytvořit pro každou osobu, která je registrována v EES, VIS, ETIAS, Eurodacu nebo ECRIS-TCN, individuální soubor, aby bylo možné splnit účel správného zjištění totožnosti osob v schengenském prostoru a podpořit MID s dvojím cílem, kterým je usnadnění kontrol totožnosti cestujících v dobré víře a potírání podvodného zneužívání totožnosti. Individuální soubor by měl všechny informace o totožnosti spojené s určitou osobou uložit na jediném místě a zpřístupnit je řádně zmocněným koncovým uživatelům.

(25)

CIR by tedy mělo usnadnit a urychlit přístup orgánů odpovědných za prevenci, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů k informačním systémům EU, které nejsou zřízeny výlučně pro účely prevence, odhalování nebo vyšetřování závažné trestné činnosti.

(26)

CIR by mělo zahrnovat sdílenou schránku pro údaje o totožnosti, cestovních dokladech a biometrické údaje osob registrovaných v EES, VIS, ETIAS, Eurodacu a ECRIS-TCN. Mělo by tvořit součást technické architektury těchto systémů a sloužit jako sdílená složka mezi těmito systémy pro účely ukládání a vyhledávání údajů o totožnosti, údajů o cestovních dokladech a biometrických údajů, které zpracovávají.

(27)

Všechny záznamy v CIR by měly být logicky odděleny prostřednictvím automatizovaného označování každého záznamu uvádějícího název základního systému, který je jeho vlastníkem. Toto označení by se mělo používat při kontrole přístupu do CIR za účelem určení, zda umožnit přístup k danému záznamu.

(28)

Pokud policejní orgán členského státu není schopen zjistit totožnost osoby, protože tato osoba nemá cestovní doklad ani jiný důvěryhodný doklad totožnosti, nebo pokud existují pochybnosti o údajích o totožnosti poskytnutých touto osobou nebo o pravosti cestovního dokladu a totožnosti jeho držitele, nebo pokud tato osoba není schopna nebo odmítá spolupracovat, měl by mít tento policejní orgán pravomoc vyhledávat údaje v CIR za účelem zjištění totožnosti této osoby. Za tímto účelem by policejní orgány měly snímat otisky prstů za použití technik pro přímé skenování otisků prstů, za předpokladu, že tento postup je zahájen za přítomnosti této osoby. Takovéto vyhledávání v CIR by nemělo být povoleno pro účely zjištění totožnosti nezletilých osob mladších dvanácti let, ledaže je to v nejlepším zájmu dítěte.

(29)

Pokud nelze biometrické údaje osoby použít nebo pokud vyhledávání na základě těchto údajů není úspěšné, měly by se pro vyhledávání použít údaje o totožnosti dané osoby ve spojení s údaji v cestovním dokladu. Pokud vyhledávání ukáže, že údaje o této osobě jsou uložené v CIR, měly by mít orgány členského státu přístup do CIR za účelem nahlížení do údajů o totožnosti a údajů o cestovním dokladu této osoby, aniž by bylo v CIR jakkoli uvedeno, do kterého informačního systému EU tyto údaje patří.

(30)

Členské státy by měly přijmout vnitrostátní legislativní opatření, kterými určí orgány příslušné pro provádění kontrol totožnosti s využitím CIR a stanoví postupy, podmínky a kritéria těchto kontrol, které budou v souladu se zásadou proporcionality. Vnitrostátní právo by mělo zejména stanovit pravomoc, která zaměstnancům těchto orgánů umožní shromažďovat biometrické údaje při kontrole totožnosti osoby za její přítomnosti.

(31)

Toto nařízení by mělo také zavést novou možnost jednoduššího přístupu orgánů odpovědných za prevenci, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů určených členskými státy a Europolu k jiným údajům, než jsou údaje o totožnosti nebo údaje o cestovním dokladu, uloženým v EES, VIS, ETIAS nebo Eurodacu. Tyto údaje mohou být v konkrétních případech nezbytné pro prevenci, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů, pokud existují oprávněné důvody se domnívat, že přístup k nim přispěje k prevenci, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů, zejména existuje-li podezření, že podezřelá osoba, pachatel nebo oběť teroristického trestného činu nebo jiného závažného trestného činu je osobou, jejíž údaje jsou uloženy v EES, VIS, ETIAS nebo Eurodacu.

(32)

Plný přístup, který je nezbytný pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů, k potřebným údajům obsaženým v informačních systémech EU jiným, než jsou příslušné údaje o totožnosti nebo údaje o cestovním dokladu obsažené v CIR, by měl být i nadále upraven příslušnými právními nástroji. Určené orgány odpovědné za prevenci, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů a Europol předem nevědí, který informační systém EU obsahuje údaje o osobě, kterou potřebují vyhledat. Výsledkem jsou prodlevy a nedostatečná efektivita při plnění úkolů. Koncový uživatel zmocněný určeným orgánem by tedy měl mít právo vidět, ve kterém z těchto informačních systémů EU jsou údaje odpovídající výsledku vyhledávání zaznamenány. Dotčený systém by se tak označil na základě automatizovaného ověření výskytu shody v systému (tzv. funkce označení shody).

(33)

V této souvislosti by odpověď CIR neměla být vykládána ani použita jakožto podklad nebo odůvodnění pro to, aby byly vyvozeny závěry nebo přijata opatření vůči dané osobě, nýbrž by měla sloužit pouze pro účel podání žádosti o přístup k základním informačním systémům EU, a to za podmínek a na základě postupů stanovených v příslušných právních nástrojích upravujících tento přístup. Na jakoukoli žádost o přístup by se měla vztahovat kapitola VII tohoto nařízení a případně nařízení Evropského parlamentu a Rady (EU) 2016/679 (5), směrnice Evropského parlamentu a Rady (EU) 2016/680 (6) nebo v nařízení Evropského parlamentu a Rady (EU) 2018/1725 (7).

(34)

Zpravidla by v případě, kdy označená shoda ukáže, že jsou údaje zaznamenány v Eurodacu, měly určené orgány nebo Europol požádat o plný přístup do nejméně jednoho z dotyčných informačních systémů EU. Pokud není ve výjimečných případech plný přístup požadován, například proto, že určené orgány nebo Europol již údaje získaly jiným způsobem, nebo získání těchto údajů není již podle vnitrostátního práva povoleno, měl by být proveden záznam odůvodnění, proč o přístup nebylo požádáno.

(35)

Z protokolů o vyhledávání v CIR by měl vyplývat účel vyhledávání. Pokud bylo takové vyhledávání provedeno s využitím dvoufázového postupu pro nahlížení do údajů, měly by protokoly obsahovat odkaz na vnitrostátní vyšetřovací spis nebo řízení, čímž by se označilo, že vyhledávání bylo zahájeno pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů.

(36)

Vyhledávání v CIR prováděné určenými orgány a Europolem s cílem obdržet odpověď s označením shody a uvedením informace, že údaje jsou zaznamenány v EES, VIS, ETIAS nebo Eurodacu, vyžaduje automatizované zpracovávání osobních údajů. Označení shody by nemělo odhalit osobní údaje dotčené osoby, pouze by mělo ukázat, že některé z jejích údajů jsou uložené v jednom ze systémů. Oprávněný koncový uživatel by neměl přijmout žádné nepříznivé rozhodnutí v souvislosti s dotčenou osobou pouze na základě prostého označení shody. Přístup koncového uživatele k označení shody bude tedy znamenat velmi omezené narušení práva na ochranu osobních údajů dotčené osoby, i když bude určeným orgánům a Europolu umožněno, aby mohly účinněji žádat o přístup k osobním údajům.

(37)

MID by měl být zřízen s cílem podpořit fungování CIR a účely EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN. K zajištění toho, aby všechny uvedené informační systémy EU mohly účinně plnit příslušné cíle, je nezbytné přesné zjištění totožnosti osob, jejichž osobní údaje jsou v nich uloženy.

(38)

K lepšímu dosažení cílů informačních systémů EU by orgány využívající tyto systémy měly mít možnost dostatečně spolehlivě ověřit totožnost osob, jejichž údaje jsou uloženy v různých systémech. Soubor údajů o totožnosti nebo údajů o cestovním dokladu uložený v jednom konkrétním systému může být nesprávný, neúplný nebo podvodný, přičemž tyto nesprávné, neúplné nebo podvodné údaje o totožnosti nebo údaje o cestovním dokladu není možné v současnosti odhalit porovnáním s údaji uloženými v jiném systému. Pro nápravu této situace je zapotřebí zavést technický nástroj na úrovni Unie, který umožní přesné zjištění totožnosti osob pro tyto účely.

(39)

MID by měl vytvářet a uchovávat propojení mezi údaji v různých informačních systémech EU pro účely odhalování vícenásobných totožností, a to s dvojím účelem, kterým je usnadnění kontrol totožnosti cestujících v dobré víře a potírání podvodného zneužívání totožnosti. MID by měl obsahovat pouze propojení mezi údaji jednotlivců, kteří se vyskytují ve více než jednom informačním systému EU. Propojené údaje by měly být přísně omezeny na údaje nutné k ověření, zda je daná osoba zaznamenána pod různými totožnostmi v různých systémech oprávněně nebo neoprávněně, nebo k určení, zda dvě osoby s podobnými údaji o totožnosti nemohou být touž osobou. Zpracování údajů prostřednictvím ESP a sdílené služby za účelem propojení individuálních souborů v různých systémech by mělo zůstat naprosto minimální a omezí se tedy na zjištění vícenásobných totožností v okamžiku, kdy se do jednoho ze systémů, který má údaje uložené v CIR nebo doplněné do SIS, doplní nové údaje. MID by měl obsahovat záruky proti možné diskriminaci nebo nepříznivým rozhodnutím pro osoby s vícenásobnými zákonnými totožnostmi.

(40)

Toto nařízení stanoví nové postupy zpracování údajů zaměřené na správné zjištění totožnosti dotčených osob. To přináší narušení jejich základních práv chráněných články 7 a 8 Listiny základních práv Evropské unie. Jelikož účinné zavedení informačních systémů EU závisí na správném zjištění totožnosti dotčených jednotlivců, je toto narušení odůvodněno stejnými cíli, pro které byly jednotlivé systémy zřízeny, a sice účinnou správou hranic Unie, vnitřní bezpečností Unie a účinným prováděním azylové a vízové politiky Unie.

(41)

ESP a sdílená BMS by měly porovnávat údaje o osobách v CIR a SIS, jestliže vnitrostátní orgán nebo agentura Unie vytvoří nebo nahrají nové záznamy. Toto porovnávání by mělo být automatizované. CIR a SIS by měly využívat sdílené BMS k zjištění možných propojení na základě biometrických údajů. CIR a SIS by měly využívat ESP k zjištění možných propojení na základě alfanumerických údajů. CIR a SIS by měly být schopny identifikovat stejné nebo podobné údaje o dané osobě uložené v několika systémech. V takovém případě by se mělo vytvořit propojení signalizující, že jde o tutéž osobu. CIR a SIS by měly být nastaveny tak, aby byly odhalovány drobné chyby v přepisu nebo pravopisu, aniž by tím vytvářely nedůvodná omezení pro dotčenou osobu.

(42)

Vnitrostátní orgán nebo agentura Unie, které údaj zaznamenaly do příslušného informačního systému EU, by měly tato propojení potvrdit nebo změnit. Takový vnitrostátní orgán nebo agentura Unie by měly mít přístup k údajům uloženým v CIR nebo SIS a v MID pro účely manuálního ověření různých totožností.

(43)

Manuální ověření různých by mělo být zajištěno orgánem, který vytváří nebo aktualizuje údaje, jež vedly ke shodě a následně k propojení s údaji, které jsou již uloženy v jiném informačním systému EU. Orgán odpovědný za manuální ověření různých totožností by měl posoudit, zda existují vícenásobné totožnosti oprávněně nebo neoprávněně odkazující k téže osobě. Takové posouzení by mělo proběhnout pokud možno za přítomnosti dotčené osoby a, je-li to nutné, mělo by se požadovat další vysvětlení nebo doplňující informace. Toto posouzení by mělo proběhnout neprodleně, v souladu s právními požadavky na přesnost informací podle unijního a vnitrostátního práva.

(44)

U propojení získaných přes SIS týkajících se záznamů o osobách hledaných za účelem zatčení a předání nebo vydání, o pohřešovaných nebo zranitelných osobách, o osobách hledaných za účelem zajištění jejich spolupráce v soudním řízení nebo záznamů o osobách pořízených pro účely skrytých, dotazovacích a zvláštních kontrol, by měla být orgánem odpovědným za manuální ověření různých totožností centrála SIRENE členského státu, který záznam vytvořil. Tyto kategorie záznamů v SIS jsou citlivé a neměly by se nezbytně sdílet s orgány, které vytvářejí nebo aktualizují údaje s nimi propojené v jednom z dalších informačních systémů EU. Vytvoření propojení s údaji SIS by mělo proběhnout bez ohledu na činnosti, které je nutno vykonat v souladu s nařízeními Evropského parlamentu a Rady (EU) 2018/1860 (8), (EU) 2018/1861 (9) a (EU) 2018/1862 (10).

(45)

Vytvoření těchto propojení vyžaduje transparentnost ve vztahu k dotčeným osobám. S cílem usnadnit provádění nezbytných záruk v souladu s platnými pravidly Unie pro ochranu údajů by osoby, v jejichž případě vzniklo po manuálním ověření různých totožností červené nebo bílé propojení, měly být písemně informovány, aniž by byla dotčena omezení z důvodu ochrany bezpečnosti a veřejného pořádku, prevence trestné činnosti a zaručení řádného průběhu vnitrostátních vyšetřování. Tyto osoby by měly obdržet jediné identifikační číslo, jež jim umožní určit orgán, na který by se měly obrátit za účelem vykonání svých práv.

(46)

Je-li vytvořeno žluté propojení, orgán odpovědný za manuální ověření různých totožností by měl mít přístup k MID. Existuje-li červené propojení, orgány členského státu a agentury Unie, které mají přístup alespoň do jednoho informačního systému EU zapojeného do CIR nebo do SIS, by měly mít přístup k MID. Červené propojení by mělo signalizovat, že daná osoba používá neoprávněně různé totožnosti nebo že daná osoba používá totožnost někoho jiného.

(47)

Existuje-li bílé nebo zelené propojení mezi údaji ze dvou informačních systémů EU, orgány členských států a agentury Unie by měly mít přístup k MID, pokud má dotčený orgán nebo agentura přístup k oběma informačním systémům. Tento přístup by měl být udělen za jediným účelem, a sice aby mohl uvedený orgán nebo agentura odhalit potenciální případy, kdy byly údaje propojeny nesprávně nebo zpracovány v MID, CIR a SIS v rozporu s tímto nařízením, a aby mohl přijmout opatření k nápravě této situace a propojení aktualizovat nebo vymazat.

(48)

Agentura Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (dále jen „agentura eu-LISA“) by měla zavést automatizované mechanismy kontroly kvality údajů a společné ukazatele kvality údajů. Agentura eu-LISA by měla odpovídat za vývoj centrální monitorovací kapacity kvality údajů a pravidelně vypracovávat zprávy o analýze údajů s cílem zlepšit kontrolu nad prováděním a uplatňováním informačních systémů EU členskými státy. Společné ukazatele kvality údajů by měly zahrnovat minimální normy kvality pro uchovávání údajů v informačních systémech EU nebo ve složkách interoperability. Cílem takových norem kvality údajů by mělo být, aby informační systémy EU a složky interoperability automaticky zjišťovaly zjevně nesprávné nebo nekonzistentní předložené údaje tak, aby členský stát původu mohl údaje ověřit a provést veškeré nezbytné kroky k nápravě.

(49)

Komise by měla vyhodnotit zprávy o kvalitě předkládané agenturou eu-LISA a ve vhodných případech vydat doporučení pro členské státy. Členské státy by měly být odpovědné za přípravu akčního plánu, který popíše kroky směřující k nápravě jakýchkoli nedostatků v kvalitě údajů, a měly by pravidelně podávat zprávy o jeho pokroku.

(50)

Univerzální formát pro zprávy (UMF) by měl sloužit jako norma strukturované přeshraniční výměny informací mezi informačními systémy, orgány nebo organizacemi v oblasti justice a vnitřních věcí. Aby se usnadnila interoperabilita, měl by UMF definovat společný slovník a logické struktury pro běžně vyměňované informace tím, že umožní vytvoření a přečtení obsahu výměny jednotným a sémanticky odpovídajícím způsobem.

(51)

Zavedení normy UMF může být zváženo v případě systému VIS, SIS a v jakýchkoli jiných stávajících nebo nových modelech pro přeshraniční výměnu informací a v informačních systémech v oblasti justice a vnitřních věcí, které vyvíjejí členské státy.

(52)

Mělo by být zřízeno centrální úložiště pro podávání zpráv a statistiky (CRRS) s cílem vytvářet mezisystémové statistické údaje a analytické zprávy pro účely politiky, provozu a kvality údajů, a to v souladu s příslušnými právními nástroji. Agentura eu-LISA by měla zřídit, provést a ve svých technických prostorách provozovat CRRS. CRRS by mělo obsahovat anonymizované statistické údaje z informačních systémů EU, CIR, MID a sdílené BMS. Údaje obsažené v CRRS by neměly umožnit zjištění totožnosti jednotlivců. Agentura eu-LISA by měla zajistit automatizovanou anonymizaci údajů a anonymizované údaje zaznamenat do CRRS Anonymizace údajů by měla probíhat automatizovaně a pracovníkům agentury eu-LISA by neměl být udělen přímý přístup k žádným osobním údajům uloženým v informačních systémech EU nebo ve složkách interoperability.

(53)

Na zpracování osobních údajů vnitrostátními orgány pro účely interoperability podle tohoto nařízení se vztahuje nařízení (EU) 2016/679, pokud je neprovádějí určené orgány nebo ústřední přístupové body členských států pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů.

(54)

Pokud je zpracování osobních údajů členskými státy za účelem interoperability podle tohoto nařízení prováděno příslušnými orgány pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů či jiných závažných trestných činů, použije se směrnice (EU) 2016/680.

(55)

Nařízení (EU) 2016/679, nařízení (EU) 2018/1725 nebo případně směrnice (EU) 2016/680 by se měly vztahovat na veškeré předávání osobních údajů třetím zemím nebo mezinárodním organizacím, které je prováděno podle tohoto nařízení. Aniž jsou dotčeny důvody pro předání podle kapitoly V nařízení (EU) 2016/679 nebo případně podle směrnice (EU) 2016/680, mělo by být jakékoli rozhodnutí soudu a jakékoli rozhodnutí správního orgánu třetí země požadující, aby správce nebo zpracovatel předal nebo zveřejnil osobní údaje, uznáno nebo jakýmkoli způsobem vymáháno pouze tehdy, zakládá-li se na platné mezinárodní dohodě mezi žádající třetí zemí a Unií nebo členským státem.

(56)

Zvláštní ustanovení o ochraně údajů nařízení (EU) 2018/1862 a nařízení Evropského parlamentu a Rady (EU) 2019/816 (11) by se měla použít pro zpracování osobních údajů v systémech, které se řídí uvedenými nařízeními.

(57)

Nařízení (EU) 2018/1725 se vztahuje na zpracování osobních údajů agenturou eu-LISA a dalšími orgány a institucemi Unie při plnění jejich povinností podle tohoto nařízení, aniž je tím dotčeno nařízení (EU) 2016/794, které se vztahuje na zpracování osobních údajů Europolem.

(58)

Vnitrostátní dozorové úřady uvedené v nařízení (EU) 2016/679 nebo směrnici (EU) 2016/680 by měly monitorovat zákonnost zpracování osobních údajů členskými státy. Evropský inspektor ochrany údajů by měl monitorovat činnost orgánů a institucí Unie související se zpracováním osobních údajů. Evropský inspektor ochrany údajů a dozorové úřady by měly při monitorování zpracovávání osobních údajů složkami interoperability vzájemně spolupracovat. Evropskému inspektorovi ochrany údajů je nutno k tomu, aby mohl plnit úkoly jemu svěřené podle tohoto nařízení, přidělit dostatečné zdroje, a to jak lidské, tak finanční.

(59)

V souladu s čl. 28 odst. 2 nařízení Evropského parlamentu a Rady (ES) č. 45/2001 16. dubna 2018 (12) byl konzultován evropský inspektor ochrany údajů, který své stanovisko předložil dne 16. dubna 2018 (13).

(60)

Pracovní skupina pro ochranu údajů podle článku 29 vydala dne 11. dubna 2018 své stanovisko.

(61)

Členské státy i agentura eu-LISA by měly mít bezpečnostní plány s cílem usnadnit provádění bezpečnostních povinností a měly by navzájem spolupracovat na řešení bezpečnostních otázek. Agentura eu-LISA by také měla zajistit průběžné využívání nejnovějšího technologického vývoje pro zajištění integrity údajů, pokud jde o vývoj, návrh a správu složek interoperability. K povinnostem agentury eu-LISA by v tomto ohledu mělo patřit přijímání opatření nezbytných k tomu, aby se neoprávněným osobám, jako jsou externí poskytovatelé služeb, zabránilo v přístupu k osobním údajům zpracovávaným s využitím složek interoperability. Při zadávání zakázek na poskytování služeb by členské státy a agentura eu-LISA měly zvažovat veškerá opatření nezbytná k zajištění souladu s právními předpisy týkajícími se ochrany osobních údajů a soukromí jednotlivců nebo ochrany základních bezpečnostních zájmů podle nařízení Evropského parlamentu a Rady (EU) 2018/1046 (14) a platných mezinárodních úmluv. Při vývoji složek interoperability by agentura eu-LISA měla uplatňovat zásady záměrné a standardní ochrany osobních údajů.

(62)

Na podporu účelů statistik a podávání zpráv je nutné udělit přístup zmocněným pracovníkům příslušných orgánů, institucí a agentur Unie uvedených v tomto nařízení k nahlížení do určitých údajů v souvislosti s určitými složkami interoperability bez umožnění zjištění totožnosti osob.

(63)

Aby se orgány členských států a agentury Unie mohly přizpůsobit novým požadavkům kladeným na používání ESP, je nutné stanovit přechodné období. Obdobně pak, aby se zajistilo soudržné a optimální fungování MID, je nutné stanovit přechodná opatření pro spuštění jeho provozu.

(64)

Jelikož cíle této směrnice, totiž zřízení rámce pro interoperabilitu mezi informačními systémy EU, nemůže být dosaženo uspokojivě členskými státy, ale spíše jej, z důvodu rozsahu a účinků činnosti, může být lépe dosaženo na úrovni Unie, může Unie přijmout opatření v souladu se zásadou subsidiarity stanovenou v článku 5 Smlouvy o Evropské unii. V souladu se zásadou proporcionality stanovenou v uvedeném článku nepřekračuje toto nařízení rámec toho, co je nezbytné k dosažení tohoto cíle.

(65)

Zbývající částka v rozpočtu vyčleněná pro inteligentní hranice v nařízení Evropského parlamentu a Rady (EU) č. 515/2014 (15) by měla být přerozdělena na toto nařízení v souladu s čl. 5 odst. 5 písm. b) nařízení (EU) č. 515/2014, aby se pokryly náklady na vývoj složek interoperability.

(66)

Za účelem doplnění určitých podrobných technických aspektů tohoto nařízení by měla být na Komisi přenesena pravomoc přijímat akty v souladu s článkem 290 Smlouvy o fungování Evropské unie, pokud jde o

prodloužení přechodného období pro používání ESP;

prodloužení přechodného období pro odhalování vícenásobné totožnosti ústřední jednotkou ETIAS;

postupy při určování případů, kdy lze údaje o totožnosti považovat za stejné nebo podobné;

pravidla pro provoz CRRS, včetně zvláštních záruk pro zpracování osobních údajů a bezpečnostních pravidel týkajících se úložiště, a

podrobná pravidla pro fungování internetového portálu.

Je obzvláště důležité, aby Komise v rámci přípravné činnosti vedla odpovídající konzultace, a to i na odborné úrovni, a aby tyto konzultace probíhaly v souladu se zásadami stanovenými v interinstitucionální dohodě ze dne 13. dubna 2016 o zdokonalení tvorby právních předpisů (16). Pro zajištění rovné účasti na vypracovávání aktů v přenesené pravomoci obdrží Evropský parlament a Rada veškeré dokumenty současně s odborníky z členských států a jejich odborníci mají automaticky přístup na zasedání skupin odborníků Komise, jež se věnují přípravě aktů v přenesené pravomoci.

(67)

Za účelem zajištění jednotných podmínek k provedení tohoto nařízení by měly být Komisi svěřeny prováděcí pravomoci, aby stanovila data, od nichž bude zahájen provoz ESP, sdílené BMS, CIR, MID a CRRS.

(68)

Prováděcí pravomoci by měly být svěřeny Komisi rovněž, pokud jde o přijetí podrobných pravidel pro technické detaily profilů uživatelů ESP; specifikace technických řešení umožňující vyhledávání v informačních systémech EU, údajích Europolu a databázích Interpolu prostřednictvím ESP a pro formát odpovědí ESP; technická pravidla pro vytvoření propojení v MID mezi údaji z různých informačních systémů EU; obsah a formu formuláře a způsoby informování daného subjektu údajů v případě, kdy je vytvořeno červené propojení; požadavky na výkonnost a sledování výkonnosti sdílené BMS; mechanismy a postupy automatizované kontroly kvality a ukazatele kontroly kvality; vývoj normy UMF; postup spolupráce v případě bezpečnostních incidentů; a specifikace technických řešení pro členské státy, aby mohly vyřizovat žádosti uživatelů o přístup. Tyto pravomoci by měly být vykonávány v souladu s nařízením Evropského parlamentu a Rady (EU) č. 182/2011 (17)

(69)

Vzhledem k tomu, že složky interoperability budou zahrnovat zpracování velkého množství citlivých osobních údajů, je důležité, aby osoby, jejichž údaje jsou zpracovávány prostřednictvím těchto složek, mohly účinně vykonávat svá práva jako subjekty údajů podle nařízení (EU) 2016/679, směrnice (EU) 2016/680 a nařízení (ES) 2018/1725. Tyto subjekty údajů by měly mít k dispozici internetový portál, který jim usnadňuje výkon jejich práv na přístup k jejich osobním údajům, na jejich opravu, výmaz a omezení jejich zpracování. Takový internetový portál by měla zřídit a provozovat agentura eu-LISA.

(70)

Jednou ze základních zásad ochrany údajů je minimalizace údajů. Podle čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679 musí být zpracování osobních údajů přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Z tohoto důvodu by složky interoperability neměly umožňovat ukládání jakýchkoli nových osobních údajů s výjimkou propojení, která budou uložena v MID, a které představují minimum nezbytné pro účely tohoto nařízení.

(71)

Toto nařízení by mělo obsahovat jasná ustanovení týkající se odpovědnosti a práva na náhradu újmy za nezákonné zpracování osobních údajů nebo jakýkoli čin neslučitelný s tímto nařízením. Tato ustanovení by se neměla dotýkat práva na náhradu újmy správcem nebo zpracovatelem a jejich odpovědnosti podle nařízení (EU) 2016/679, směrnice (EU) 2016/680 a nařízení (EU) 2018/1725. Agentura eu-LISA by měla odpovídat za jakoukoli újmu, kterou způsobí jakožto zpracovatel údajů, pokud nesplnila povinnosti, jež jí byly zvláště uloženy tímto nařízením, nebo pokud jednala nad rámec zákonných pokynů členského státu, který je správcem údajů, nebo v rozporu s nimi.

(72)

Tímto nařízením není dotčeno použití směrnice Evropského parlamentu a Rady 2004/38/ES (18).

(73)

V souladu s články 1 a 2 Protokolu č. 22 o postavení Dánska, připojeného ke Smlouvě o Evropské unii a ke Smlouvě o fungování Evropské unie, se Dánsko neúčastní přijímání tohoto nařízení a toto nařízení pro ně není závazné ani použitelné. Vzhledem k tomu, že toto nařízení, v rozsahu, v jakém se jeho ustanovení týkají SIS ve smyslu úpravy obsažené v nařízení (EU) 2018/1862, navazuje na schengenské acquis, rozhodne se Dánsko v souladu s článkem 4 uvedeného protokolu do šesti měsíců po rozhodnutí Rady o tomto nařízení, zda je provede ve svém vnitrostátním právu.

(74)

V rozsahu, v jakém se ustanovení tohoto nařízení týkají SIS ve smyslu úpravy obsažené v nařízení (EU) 2018/1862, se Spojené království tohoto nařízení účastní v souladu s čl. 5 odst. 1 Protokolu č. 19 o schengenském acquis začleněném do rámce Evropské unie, připojeného ke Smlouvě o Evropské unii a ke Smlouvě o fungování Evropské unie, a v souladu s čl. 8 odst. 2 rozhodnutí Rady 2000/365/ES (19). Dále pak v rozsahu, v jakém se ustanovení tohoto nařízení týkají Eurodacu a ECRIS-TCN, v souladu s článkem 3 Protokolu č. 21 o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o Evropské unii a ke Smlouvě o fungování Evropské unie, oznámilo Spojené království dopisem ze dne 18. května 2018 své přání účastnit se přijímání a používání tohoto nařízení.

(75)

V rozsahu, v jakém se ustanovení nařízení týkají SIS ve smyslu úpravy obsažené v nařízení (EU) 2018/1862, by se Irsko v zásadě mohlo účastnit tohoto nařízení v souladu s čl. 5 odst. 1 Protokolu č. 19 o schengenském acquis začleněném do rámce Evropské unie, připojeného ke Smlouvě o Evropské unii a ke Smlouvě o fungování Evropské unie, a v souladu s čl. 6 odst. 2 rozhodnutí Rady 2002/192/ES (20). Dále pak v rozsahu, v jakém se ustanovení tohoto nařízení týkají Eurodacu a ECRIS-TCN, v souladu s články 1 a 2 Protokolu č. 21 o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o Evropské unii a Smlouvě o fungování Evropské unie, a aniž je dotčen článek 4 uvedeného protokolu, se Irsko neúčastní přijímání tohoto nařízení a toto nařízení není pro ně závazné ani použitelné. Jelikož není za těchto okolností možné zajistit, aby bylo toto nařízení v celém rozsahu použitelné na Irsko, jak to vyžaduje článek 288 Smlouvy o fungování Evropské unie, neúčastní se Irsko přijímání tohoto nařízení a toto nařízení není pro něj závazné ani použitelné, aniž jsou dotčena práva Irska podle protokolů č. 19 a č. 21.

(76)

Pokud jde o Island a Norsko, rozvíjí toto nařízení v rozsahu, v jakém se ustanovení nařízení týkají SIS ve smyslu úpravy obsažené v nařízení (EU) 2018/1862, ustanovení schengenského acquis ve smyslu Dohody uzavřené Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k uplatňování a rozvoji schengenského acquis (21), která spadají do oblasti uvedené v čl. 1 bodu G rozhodnutí Rady 1999/437/ES (22).

(77)

Pokud jde o Švýcarsko, rozvíjí toto nařízení v rozsahu, v jakém se ustanovení nařízení týkají SIS ve smyslu úpravy obsažené v nařízení (EU) 2018/1862, ta ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (23), která spadají do oblasti uvedené v čl. 1 bodě G rozhodnutí 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2008/146/ES (24).

(78)

Pokud jde o Lichtenštejnsko, rozvíjí toto nařízení v rozsahu, v jakém se ustanovení nařízení týkají SIS ve smyslu úpravy obsažené v nařízení (EU) 2018/1862, ta ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k Dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (25), která spadají do oblasti uvedené v čl. 1 bodu G rozhodnutí 1999/437/ES ve spojení s článkem 3 rozhodnutí Rady 2011/350/EU (26).

(79)

Toto nařízení dodržuje základní práva a ctí zásady uznané zejména Listinou základních práv Evropské unie a mělo by být uplatňováno v souladu s těmito právy a zásadami.

(80)

Aby toto nařízení odpovídalo stávajícímu právními rámci, měla by být odpovídajícím způsobem změněna nařízení Evropského parlamentu a Rady (EU) 2018/1726 (27) a nařízení (EU) 2018/1862 a (EU) 2019/816,

PŘIJALY TOTO NAŘÍZENÍ:

KAPITOLA I

Obecná ustanovení

Článek 1

Předmět

1.   Toto nařízení zřizuje společně s nařízením Evropského parlamentu a Rady (EU) 2019/817 (28) rámec, který má zajistit interoperabilitu mezi Systémem vstupu/výstupu (EES), Vízovým informačním systémem (VIS), Evropským systémem pro cestovní informace a povolení (ETIAS), systémem Eurodac (Eurodac), Schengenským informačním systémem (SIS) a Evropským informačním systémem rejstříků trestů pro státní příslušníky třetích zemí (ECRIS-TCN).

2.   Tento rámec zahrnuje tyto složky interoperability:

a)

Evropský vyhledávací portál (ESP);

b)

sdílenou službu pro porovnávání biometrických údajů (sdílená BMS);

c)

společné úložiště údajů o totožnosti (CIR);

d)

detektor vícenásobné totožnosti (MID).

3.   Toto nařízení dále upravuje požadavky na kvalitu údajů, univerzální formát pro zprávy (UMF), centrální úložiště pro podávání zpráv a statistiky (CRRS) a povinnosti členských států a Agentury Evropské unie pro provozní řízení rozsáhlých informačních systémů v prostoru svobody, bezpečnosti a práva (eu-LISA) s ohledem na návrh, vývoj a provoz složek interoperability.

4.   Toto nařízení rovněž upravuje postupy a podmínky pro přístup určených orgánů a Agentury Evropské unie pro spolupráci v oblasti prosazování práva (Europol) k EES, VIS, ETIAS a Eurodacu pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů.

5.   Toto nařízení dále stanoví rámec pro ověřování a zjišťování totožnosti osob.

Článek 2

Cíle

1.   Zajištěním interoperability sleduje toto nařízení tyto cíle:

a)

zlepšit účinnost a účelnost hraničních kontrol na vnějších hranicích;

b)

pomáhat při prevenci a potírání nedovoleného přistěhovalectví;

c)

přispívat k vysoké úrovni bezpečnosti v oblasti svobody, bezpečnosti a práva Unie, včetně udržování veřejné bezpečnosti a veřejného pořádku a zajišťování bezpečnosti na území členských států;

d)

zlepšit provádění společné vízové politiky;

e)

pomáhat při posuzování žádostí o mezinárodní ochranu;

f)

přispívat k prevenci, odhalování a vyšetřování teroristických trestných činů a jiných závažných trestných činů;

g)

usnadňovat zjišťování totožnosti neznámých osob, které nejsou schopny samy prokázat svou totožnost, nebo identifikaci lidských pozůstatků v případě přírodní katastrofy, nehody nebo teroristického útoku.

2.   Cílů uvedených v odstavci 1 se dosahuje těmito kroky:

a)

zajištěním správného zjištění totožnosti osob;

b)

přispíváním k potírání podvodného zneužívání totožnosti;

c)

zlepšováním kvality údajů uložených v informačních systémech EU a slaďováním požadavků na kvalitu těchto údajů při dodržení požadavků na zpracování údajů stanovených právními nástroji upravujícími jednotlivé systémy a se standardy a zásadami ochrany údajů;

d)

usnadněním a podporou technického a provozního zavádění informačních systémů EU členskými státy;

e)

zpřísněním, zjednodušením a sjednocením podmínek pro zabezpečení a ochranu údajů, kterými se řídí jednotlivé informační systémy EU, aniž jsou dotčena zvláštní ochranná opatření a záruky vyžadované u některých kategorií údajů;

f)

zjednodušováním podmínek pro přístup určených orgánů k EES, VIS, ETIAS a Eurodacu při zajištění nezbytných a přiměřených podmínek tohoto přístupu;

g)

podporou účelů EES, VIS, ETIAS, Eurodac, SIS a ECRIS-TCN.

Článek 3

Oblast působnosti

1.   Toto nařízení se vztahuje na Eurodac, SIS a ECRIS-TCN.

2.   Toto nařízení se rovněž vztahuje na údaje Europolu v rozsahu, který umožňuje jejich vyhledávání souběžně s informačními systémy EU uvedenými v odstavci 1.

3.   Toto nařízení se vztahuje na osoby, jejichž osobní údaje mohou být zpracovávány v informačních systémech EU uvedených v odstavci 1 a v rámci údajů Europolu uvedených v odstavci 2.

Článek 4

Definice

Pro účely tohoto nařízení se rozumí:

1)

„vnějšími hranicemi“ vnější hranice ve smyslu čl. 2 bodu 2 nařízení Evropského parlamentu a Rady (EU) 2016/399 (29);

2)

„hraničními kontrolami“ hraniční kontroly ve smyslu čl. 2 bodu 11 nařízení (EU) 2016/399;

3)

„pohraničním orgánem“ pohraniční stráž, která je v souladu s vnitrostátním právem pověřena prováděním hraničních kontrol;

4)

„dozorovými úřady“ dozorový úřad uvedený v čl. 51 odst. 1 nařízení (EU) 2016/679 a dozorový úřad uvedený v čl. 41 odst. 1 směrnice (EU) 2016/680;

5)

„ověřením“ proces porovnání souborů údajů, jehož účelem je zjistit, zda je deklarovaná totožnost správná (kontrola porovnáním dvou údajů);

6)

„zjištěním totožnosti“ proces určení totožnosti osoby pomocí prohledávání databáze podle vícenásobných souborů údajů (kontrola porovnáním více údajů);

7)

„alfanumerickými údaji“ údaje vyjádřené písmeny, číslicemi, zvláštními znaky, mezerami a interpunkčními znaménky;

8)

„údaji o totožnosti“ údaje uvedené v čl. 27 odst. 3 písm. a) až e);

9)

„údaji o otiscích prstů“ zobrazení otisků prstů a zobrazení latentních otisků prstů, které vzhledem ke své jedinečné povaze a charakteristickým znakům umožňují přesné a průkazné porovnání týkající se totožnosti osoby;

10)

„zobrazením obličeje“ digitální zobrazení obličeje;

11)

„biometrickými údaji“ údaje o otiscích prstů nebo zobrazení obličeje nebo obojí;

12)

„biometrickou šablonou“ matematické vyjádření získané extrakcí rysů z biometrických údajů omezených na charakteristiky, které jsou nezbytné pro zjištění totožnosti a ověření;

13)

„cestovním dokladem“ pas nebo jiný rovnocenný doklad, který držitele opravňuje překračovat vnější hranice a do kterého lze vyznačit vízum;

14)

„údaji o cestovním dokladu“ druh, číslo a země vydání cestovního dokladu, datum konce platnosti cestovního dokladu a trojmístný kód země, která cestovní doklad vydala;

15)

„informačními systémy EU“ EES, VIS, ETIAS, Eurodac, SIS a ECRIS-TCN;

16)

„údaji Europolu“ osobní údaje, které zpracovává Europol pro účely uvedené v čl. 18 odst. 2 písm. a), b) a c) nařízení (EU) 2016/794;

17)

„databázemi Interpolu“ databáze odcizených a ztracených cestovních dokladů vedená Interpolem (databáze SLTD) a databáze cestovních dokladů s údaji uvedenými v oběžnících vedená Interpolem (databáze TDAWN);

18)

„shodou“ existence odpovídajícího údaje zjištěná automatizovaným porovnáním osobních údajů, které jsou zaznamenány v informačním systému či databázi nebo jejichž záznam právě probíhá;

19)

„policejním orgánem“ příslušný orgán ve smyslu čl. 3 bodu 7 směrnice (EU) 2016/680;

20)

„určenými orgány“ určené orgány členského státu ve smyslu čl. 3 odst. 1 bodu 26 nařízení Evropského parlamentu a Rady (EU) 2017/2226 (30), čl. 2 odst. 1 písm. e) rozhodnutí Rady 2008/633/SVV (31) a čl. 3 odst. 1 bodu 21 nařízení Evropského parlamentu a Rady (EU) 2018/1240 (32);

21)

„teroristickým trestným činem“ trestný čin, který odpovídá nebo je rovnocenný jednomu z trestných činů uvedených ve směrnici Evropského parlamentu a Rady (EU) 2017/541 (33);

22)

„závažným trestným činem“ trestný čin, který odpovídá nebo je rovnocenný jednomu z trestných činů uvedených v čl. 2 odst. 2 rámcového rozhodnutí Rady 2002/584/SVV (34), pokud za něj lze podle vnitrostátního práva uložit trest odnětí svobody s horní hranicí sazby v délce nejméně tři roky nebo ochranné opatření spojené s omezením svobody ve stejné délce;

23)

„Systémem vstupu/výstupu“ nebo „EES“ Systém vstupu/výstupu zřízený nařízením (EU) 2017/2226;

24)

„Vízovým informačním systémem“ nebo „VIS“ Vízový informační systém zřízený nařízením Evropského parlamentu a Rady (ES) č. 767/2008 (35);

25)

„Evropským systémem pro cestovní informace a povolení“ nebo „ETIAS“ evropský systém pro cestovní informace a povolení zřízený nařízením (EU) 2018/1240;

26)

„Eurodacem“ systém Eurodac zřízený nařízením Evropského parlamentu a Rady (EU) č. 603/2013 (36);

27)

„Schengenským informačním systémem“ nebo „SIS“ Schengenský informační systém zřízený nařízeními (EU) 2018/1860, (EU) 2018/1861 a (EU) 2018/1862;

28)

„ECRIS-TCN“ centralizovaný systém identifikace členských států, které mají informace o odsouzení státních příslušníků třetích zemí a osob bez státní příslušnosti, zřízený nařízením (EU) 2019/816.

Článek 5

Zákaz diskriminace a základní práva

Zpracování osobních údajů pro účely tohoto nařízení nesmí vést k diskriminaci osob na základě pohlaví, rasy, barvy pleti, etnického nebo sociálního původu, genetických rysů, jazyka, náboženského vyznání nebo přesvědčení, politických nebo jakýchkoli názorů, příslušnosti k národnostní menšině, majetku, narození, zdravotního postižení, věku nebo sexuální orientace. Musí plně respektovat lidskou důstojnost a integritu a základní práva, včetně práva na respektování soukromého života a práva na ochranu osobních údajů. Zvláštní pozornost se musí věnovat dětem, starším osobám, osobám se zdravotním postižením a osobám, které potřebují mezinárodní ochranu. Na prvním místě musí vždy být nejlepší zájem dítěte.

KAPITOLA II

Evropský vyhledávací portál

Článek 6

Evropský vyhledávací portál

1.   Zřizuje se Evropský vyhledávací portál (ESP), jehož účelem je usnadnit rychlý, plynulý, účinný, systematický a řízený přístup orgánů členských států a agentur Unie, v souladu s jejich přístupovými právy, k informačním systémům EU, k údajům Europolu a k databázím Interpolu, který potřebují k plnění svých úkolů, v souladu s cíli a účely EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN.

2.   ESP se skládá:

a)

z centrální infrastruktury včetně vyhledávacího portálu, který umožňuje souběžné vyhledávání v EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN a rovněž v údajích Europolu a databázích Interpolu;

b)

ze zabezpečeného komunikačního kanálu mezi ESP, členskými státy a agenturami Unie, které jsou oprávněny využívat ESP;

c)

ze zabezpečené komunikační infrastruktury mezi ESP a EES, VIS, ETIAS, Eurodacem, centrálním SIS, ECRIS-TCN, údaji Europolu a databázemi Interpolu, jakož i mezi ESP a centrálními infrastrukturami CIR a MID.

3.   ESP vyvine a jeho technickou správu zajištuje agentura eu-LISA.

Článek 7

Používání Evropského vyhledávacího portálu

1.   Používání ESP je vyhrazeno orgánům členských států a agenturám Unie s přístupem alespoň do jednoho z informačních systémů EU v souladu s právními nástroji upravujícími tyto informační systémy EU, do CIR a MID v souladu s tímto nařízením, k údajům Europolu v souladu s nařízením (EU) 2016/794 nebo k databázím Interpolu v souladu s unijním či vnitrostátním právem upravujícím takový přístup.

Tyto orgány členských států a agentury Unie mohou využívat ESP a údaje, které poskytuje, pouze pro cíle a účely stanovené v právních nástrojích upravujících informační systémy EU, v nařízení (EU) 2016/794 a v tomto nařízení.

2.   Orgány členských států a agentury Unie uvedené v odstavci 1 využívají ESP k vyhledávání údajů souvisejících s osobami nebo jejich cestovními doklady v centrálních systémech Eurodacu a ECRIS-TCN v souladu se svými přístupovými právy uvedenými v právních nástrojích, jimiž se řídí tyto informační systémy EU, a ve vnitrostátním právu. Využívají ESP také k vyhledávání v CIR v souladu se svými přístupovými právy podle tohoto nařízení pro účely uvedené v článcích 20, 21 a 22.

3.   Orgány členských států uvedené v odstavci 1 mohou využívat ESP k vyhledávání údajů souvisejících s osobami nebo jejich cestovními doklady v centrálním SIS uvedeném v nařízeních (EU) 2018/1860 a (EU) 2018/1861.

4.   Stanoví-li tak unijní právo, využívají agentury Unie uvedené v odstavci 1 ESP k vyhledávání údajů týkajících se osob nebo jejich cestovních dokladů v centrálním SIS.

5.   Orgány členských států a agentury Unie uvedené v odstavci 1 mohou využívat ESP k vyhledávání údajů týkajících se osob nebo jejich cestovních dokladů v údajích Europolu v souladu se svými přístupovými právy podle unijního a vnitrostátního práva.

Článek 8

Profily uživatelů Evropského vyhledávacího portálu

1.   Aby umožnila používání ESP, vytvoří agentura eu-LISA ve spolupráci s členskými státy profil každé kategorie uživatelů ESP a pro účely jejich vyhledávání v souladu s technickými podrobnostmi a přístupovými právy uvedenými v odstavci 2. Každý profil obsahuje v souladu s unijním a vnitrostátním právem tyto informace:

a)

datová pole používaná při vyhledávání;

b)

ty informační systémy EU, údaje Europolu a databáze Interpolu, v nichž se má vyhledávat, ty, v nichž lze vyhledávat, a ty, které mají uživateli poskytnout odpověď;

c)

konkrétní údaje v informačních systémech EU, údaje Europolu a databáze Interpolu, v nichž lze vyhledávat;

d)

kategorie údajů, které mohou být uvedeny v každé odpovědi.

2.   Komise přijme prováděcí akty, jimiž stanoví technické podrobnosti profilů uvedených v odstavci 1 v souladu s přístupovými právy uživatelů ESP podle právních nástrojů upravujících informační systémy EU a podle vnitrostátního práva. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 70 odst. 2.

3.   Agentura eu-LISA ve spolupráci s členskými státy pravidelně a nejméně jednou ročně přezkoumává profily uvedené v odstavci 1 a v případě potřeby je aktualizuje.

Článek 9

Vyhledávání

1.   Uživatelé ESP zahájí vyhledávání tak, že do něj zadají alfanumerické nebo biometrické údaje. Po zahájení vyhledávání začne ESP na základě údajů zadaných uživatelem a v souladu s profilem uživatele prohledávat souběžně EES, ETIAS, VIS, SIS, Eurodac, ECRIS-TCN, CIR, údaje Europolu a databáze Interpolu.

2.   Kategorie údajů použitých k zahájení vyhledávání prostřednictvím ESP musí odpovídat kategoriím údajů týkajících se osob nebo cestovních dokladů, které lze používat pro vyhledávání v různých informačních systémech EU, údajích Europolu a databázích Interpolu v souladu s právními nástroji upravujícími tyto systémy.

3.   Agentura eu-LISA zavede ve spolupráci s členskými státy pro účely ESP dokument pro ovládání rozhraní založený na UMF uvedeném v článku 38.

4.   Při zahájení vyhledávání uživatelem ESP poskytnou EES, ETIAS, VIS, SIS, Eurodac, ECRIS-TCN, CIR, MID, údaje Europolu a databáze Interpolu jako odpověď na vyhledávání relevantní údaje, které mají.

Aniž je dotčen článek 20, uvede se v odpovědi od ESP, do kterého informačního systému EU nebo do které databáze daný údaj patří.

ESP neposkytuje žádné informace o údajích v informačních systémech EU, údajích Europolu a databázích Interpolu, k nimž uživatel nemá podle unijního ani vnitrostátního práva přístup.

5.   Veškeré vyhledávání v databázích Interpolu zahájené prostřednictvím ESP se provádí tak, aby majiteli záznamu Interpolu nebyly odhaleny žádné informace.

6.   ESP uživateli odpoví, jakmile má k dispozici údaje z jednoho z informačních systémů EU, údajů Europolu nebo databází Interpolu. Tato odpověď obsahuje pouze údaje, k nimž má uživatel přístup podle unijního a vnitrostátního práva.

7.   Komise přijme prováděcí akt, jímž stanoví technický postup pro ESP při vyhledávání v informačních systémech EU, údajích Europolu a databázích Interpolu a formát odpovědí ESP. Tento prováděcí akt se přijme přezkumným postupem podle čl. 70 odst. 2.

Článek 10

Vedení a uchovávání protokolů

1.   Aniž jsou dotčeny články 12 a 18 nařízení (EU) 2018/1862, článek 29 nařízení (EU) 2019/816 a článek 40 nařízení (EU) 2016/794, agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů v rámci ESP. V těchto protokolech se uvádí:

a)

členský stát nebo agentura Unie, které zahájily vyhledávání, a použitý profil ESP;

b)

datum a čas vyhledávání;

c)

informační systémy EU a údaje Europolu, v nichž vyhledávání proběhlo.

2.   Každý členský stát vede a uchovává protokoly o vyhledávání, jež provádějí jeho orgány a jejich pracovníci řádně zmocnění k používání ESP. Každá agentura Unie vede a uchovává protokoly o vyhledávání, které provádějí její řádně zmocnění pracovníci.

3.   Protokoly uvedené v odstavcích 1 a 2 lze použít pouze pro účely monitorování ochrany údajů, včetně kontroly přípustnosti žádostí a zákonnosti zpracování údajů, a pro zabezpečení údajů a zajištění jejich integrity. Tyto protokoly musí být chráněny vhodnými opatřeními proti neoprávněnému přístupu a vymazány po uplynutí jednoho roku od vytvoření. Pokud jsou však nezbytné pro zahájené monitorovací postupy, vymaží se v okamžiku, kdy již pro ně nebudou zapotřebí.

Článek 11

Záložní postupy pro případ technické nemožnosti použít Evropský vyhledávací portál

1.   Pokud je technicky nemožné použít ESP k vyhledávání v jednom či více informačních systémech EU nebo CIR z důvodu selhání ESP, agentura eu-LISA o tom automaticky uvědomí uživatele ESP.

2.   Pokud je technicky nemožné použít ESP k vyhledávání v jednom či více informačních systémech EU nebo v CIR z důvodu selhání vnitrostátní infrastruktury v členském státě, členský stát o této skutečnosti automaticky uvědomí agenturu eu-LISA a Komisi.

3.   V případech uvedených v odstavci 1 nebo 2 tohoto článku a až do vyřešení technického selhání se neuplatní povinnost uvedená v čl. 7 odst. 2 a 4 a členské státy získají v případě, že tak musí podle unijního nebo vnitrostátního práva učinit, přímý přístup k informačním systémům EU nebo CIR.

4.   Pokud je technicky nemožné použít ESP k vyhledávání v jednom či více informačních systémech EU nebo v CIR z důvodu selhání infrastruktury některé agentury Unie, tato agentura o tom automaticky uvědomí agenturu eu-LISA a Komisi.

KAPITOLA III

Sdílená služba pro porovnávání biometrických údajů

Článek 12

Sdílená služba pro porovnávání biometrických údajů

1.   Na podporu CIR a MID a cílů EES, VIS, Eurodacu, SIS a ECRIS-TCN se zřizuje sdílená služba pro porovnávání biometrických údajů (sdílená BMS), která ukládá biometrické šablony získané na základě biometrických údajů uvedených v článku 13, které jsou uchovávány v CIR a SIS, a umožňuje vyhledávání s využitím biometrických údajů v několika informačních systémech EU.

2.   Sdílenou BMS tvoří:

a)

centrální infrastruktura, která nahrazuje příslušné centrální systémy EES, VIS, SIS, Eurodacu a ECRIS-TCN v takovém rozsahu, v jakém uchovává biometrické šablony a umožňuje vyhledávat s využitím biometrických údajů;

b)

zabezpečená komunikační infrastruktura mezi sdílenou BMS, centrálním SIS a CIR.

3.   Sdílenou BMS vyvine a její technickou správu zajištuje agentura eu-LISA.

Článek 13

Ukládání biometrických šablon ve sdílené službě pro porovnávání biometrických údajů

1.   Sdílená BMS ukládá biometrické šablony, které získá z těchto biometrických údajů::

a)

údajů uvedených v čl. 20 odst. 3 písm. w) a y) nařízení (EU) 2018/1862, kromě údajů o otiscích dlaní;

b)

údajů uvedených v čl. 5 odst. 1 písm. b) a odst. 2 nařízení (EU) 2019/816.

Biometrické šablony se ukládají ve sdílené BMS logicky odděleně podle informačního systému EU, z něhož údaje pocházejí.

2.   Pro každý soubor údajů uvedený v odstavci 1 obsahuje sdílená BMS v každé biometrické šabloně odkaz na informační systémy EU, v nichž jsou odpovídající biometrické údaje uloženy, a odkaz na vlastní záznamy v těchto informačních systémech EU.

3.   Biometrické šablony lze zadávat do sdílené BMS pouze po automatizované kontrole kvality biometrických údajů přidaných do jednoho z informačních systémů EU, kterou sdílená BMS provede, aby se ověřilo, zda jsou splněny minimální normy kvality údajů.

4.   Ukládání údajů uvedených v odstavci 1 musí splňovat normy kvality uvedené v čl. 37 odst. 2.

5.   Komise stanoví prostřednictvím prováděcího aktu požadavky na výkonnost a praktické postupy při sledování výkonnosti sdílené BMS, aby bylo zajištěno, že účinnost biometrického vyhledávání odpovídá naléhavosti postupů, jako jsou hraniční kontroly a identifikace. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 70 odst. 2.

Článek 14

Vyhledávání biometrických údajů s využitím sdílené služby pro porovnávání biometrických údajů

CIR a SIS používají k vyhledání biometrických údajů v nich uložených biometrické šablony uložené ve sdílené BMS. Vyhledávání na základě biometrických údajů probíhá v souladu s účely stanovenými v tomto nařízení a v nařízeních (ES) č. 767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 a (EU) 2019/816.

Článek 15

Uchovávání údajů ve sdílené službě pro porovnávání biometrických údajů

Údaje uvedené v čl. 13 odst. 1 a 2 jsou ve sdílené BMS uloženy jen tak dlouho, dokud jsou odpovídající biometrické údaje uloženy v CIR nebo SIS. Vymaží se ze sdílené BMS automaticky.

Článek 16

Vedení a uchovávání protokolů

1.   Aniž jsou dotčeny články 12 a 18 nařízení (EU) 2018/1862 a článek 29 nařízení (EU) 2019/816, agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů ve sdílené BMS. V těchto protokolech se uvádí:

a)

členský stát nebo agentura Unie, která zahájila vyhledávání;

b)

historie vytváření a ukládání biometrických šablon;

c)

informační systémy EU, v nichž se vyhledává s použitím biometrických šablon uložených ve sdílené BMS;

d)

datum a čas vyhledávání;

e)

druh biometrických údajů použitých k zahájení vyhledávání;

f)

výsledky vyhledávání a datum a čas výsledku.

2.   Každý členský stát vede a uchovává protokoly o vyhledávání, jež provádějí jeho orgány a jejich pracovníci řádně zmocnění k používání sdílené BMS. Každá agentura Unie vede a uchovává protokoly o vyhledávání, které provádějí její řádně zmocnění pracovníci.

3.   Protokoly uvedené v odstavcích 1 a 2 lze použít pouze pro účely monitorování ochrany údajů, včetně kontroly přípustnosti žádostí a zákonnosti zpracování údajů, a pro zabezpečení údajů a zajištění jejich integrity. Tyto protokoly musí být chráněny vhodnými opatřeními proti neoprávněnému přístupu a vymazány po uplynutí jednoho roku od vytvoření. Pokud jsou však nezbytné pro zahájené monitorovací postupy, vymaží se v okamžiku, kdy již pro ně nebudou zapotřebí.

KAPITOLA IV

Společné úložiště údajů o totožnosti

Článek 17

Společné úložiště údajů o totožnosti

1.   Zřizuje se společné úložiště údajů o totožnosti (CIR), které vytváří samostatný soubor pro každou osobu zaznamenanou v EES, VIS, ETIAS, Eurodacu nebo ECRIS-TCN a obsahuje údaje uvedené v článku 18, s cílem usnadnit v souladu s článkem 20 správné zjištění totožnosti osob registrovaných v EES, VIS, ETIAS, Eurodacu a ECRIS-TCN a napomáhat k němu, podpořit v souladu s článkem 21 fungování MID a v souladu s článkem 22 usnadnit a zjednodušit přístup určených orgánů a Europolu k EES, VIS, ETIAS a Eurodacu, pokud je to nezbytné k prevenci, odhalování nebo vyšetřování teroristických trestných činů či jiných závažných trestných činů.

2.   CIR se skládá:

a)

z centrální infrastruktury, která nahrazuje příslušné centrální systémy EES, VIS, ETIAS, Eurodacu a ECRIS-TCN v takovém rozsahu, v jakém uchovává údaje uvedené v článku 18;

b)

ze zabezpečeného komunikačního kanálu mezi CIR, členskými státy a agenturami Unie, které jsou oprávněny používat CIR v souladu s unijním a vnitrostátním právem;

c)

ze zabezpečené komunikační infrastruktury mezi CIR a EES, VIS, ETIAS, Eurodacem a ECRIS-TCN, jakož i centrálními infrastrukturami ESP, sdílené BMS a MID.

3.   CIR vyvine a jeho technickou správu zajištuje agentura eu-LISA.

4.   Pokud je z důvodu selhání CIR technicky nemožné v něm vyhledávat pro účely zjištění totožnosti určité osoby podle článku 20, pro odhalování vícenásobné totožnosti podle článku 21 nebo pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů podle článku 22, agentura eu-LISA o tom automaticky uvědomí uživatele CIR.

5.   Agentura eu-LISA zavede ve spolupráci s členskými státy pro účely CIR dokument pro ovládání rozhraní založený na UMF uvedeném v článku 38.

Článek 18

Údaje společného úložiště údajů o totožnosti

1.   CIR ukládá následující údaje logicky odděleně podle informačního systému, z něhož pocházejí: údaje uvedené v čl. 5 odst. 1 písm. b) a odst. 2 a následující údaje uvedené v čl. 5 odst. 1 písm. a) nařízení (EU) 2019/816: příjmení, jméno (jména), datum narození, místo narození (obec a země), státní příslušnost (příslušnosti), pohlaví, případné předchozí jméno (jména) nebo příjmení, pseudonymy nebo přezdívky, existují-li, případně informace uvedené v cestovních dokladech.

2.   Pro každý soubor údajů uvedený v odstavci 1 obsahuje CIR odkaz na informační systémy EU, do kterých údaje patří.

3.   Orgány vstupující do CIR tak činí v souladu se svými přístupovými právy podle právních nástrojů upravujících informační systémy EU a podle vnitrostátního práva a pro účely uvedené v článcích 20, 21 a 22 v souladu se svými přístupovými právy podle tohoto nařízení.

4.   Pro každý soubor údajů uvedený v odstavci 1 obsahuje úložiště CIR odkaz na vlastní záznam v informačních systémech EU, do nichž údaje patří.

5.   Ukládání údajů uvedených v odstavci 1 musí splňovat normy kvality uvedené v čl. 37 odst. 2.

Článek 19

Doplnění, změna a výmaz údajů ve společném úložišti údajů o totožnosti

1.   Pokud jsou údaje v Eurodacu nebo v ECRIS-TCN doplněny, změněny nebo vymazány, automaticky se odpovídajícím způsobem doplní, změní nebo vymaží údaje uvedené v článku 18 uložené v individuálním souboru CIR.

2.   Pokud je v MID vytvořeno v souladu s článkem 32 nebo 33 bílé nebo červené propojení mezi údaji dvou nebo více informačních systémů EU, z nichž se CIR skládá, CIR namísto vytvoření nového individuálního souboru doplní nové údaje do individuálního souboru propojených údajů.

Článek 20

Přístup do společného úložiště údajů o totožnosti pro účely zjištění totožnosti

1.   Policejní orgán provede vyhledávání v CIR v souladu s odstavci 2 a 5 pouze za těchto okolností:

a)

pokud policejní orgán není schopen zjistit totožnost osoby, protože tato osoba nemá cestovní doklad ani jiný důvěryhodný doklad prokazující její totožnost;

b)

pokud existují pochybnosti o údajích o totožnosti poskytnutých určitou osobou;

c)

pokud existují pochybnosti o pravosti cestovního dokladu nebo jiného důvěryhodného dokladu poskytnutého určitou osobou;

d)

pokud existují pochybnosti o totožnosti držitele cestovního dokladu nebo jiného věrohodného dokladu, nebo

e)

pokud určitá osoba není schopna nebo odmítá spolupracovat.

Toto vyhledávání není povoleno v případě nezletilých osob mladších 12 let, ledaže je to v nejlepším zájmu dítěte.

2.   Pokud nastane jedna z okolností uvedených v odstavci 1 a policejní orgán je k tomu zmocněn vnitrostátními legislativními opatřeními uvedenými v odstavci 5, může výhradně pro účely zjištění totožnosti osoby vyhledávat v CIR s využitím biometrických údajů této osoby, které získal přímo během kontroly totožnosti za podmínky, že daný postup byl zahájen v přítomnosti této osoby.

3.   Pokud vyhledávání ukáže, že údaje o určité osobě jsou uloženy v CIR, má policejní orgán přístup k údajům uvedeným v čl. 18 odst. 1.

Pokud nelze biometrické údaje osoby použít nebo pokud vyhledávání na základě těchto údajů není úspěšné, měly by se pro vyhledávání použít údaje o totožnosti této osoby ve spojení s údaji v cestovním dokladu nebo s použitím údajů o totožnosti poskytnutých touto osobou.

4.   Pokud je k tomu policejní orgán zmocněn vnitrostátními legislativními opatřeními uvedenými v odstavci 6, může v případě přírodní katastrofy, nehody nebo teroristického útoku vyhledávat v CIR s využitím biometrických údajů, a to výhradně pro účely zjištění totožnosti neznámých osob, které nejsou schopny samy svou totožnost prokázat, nebo identifikaci lidských pozůstatků.

5.   Členské státy, které si přejí využít možnost stanovenou v odstavci 2, přijmou příslušná vnitrostátní legislativní opatření. Členské státy přitom zohlední potřebu zamezit jakékoli diskriminaci státních příslušníků třetích zemí. Taková legislativní opatření vymezí přesné účely zjištění totožnosti v rámci účelů uvedených v čl. 2 odst. 1 písm. b) a c). Členské státy určí příslušné policejní orgány a stanoví postupy, podmínky a kritéria takových kontrol.

6.   Členské státy, které si přejí využít možnost stanovenou v odstavci 4, přijmou vnitrostátní legislativní opatření stanovující postupy, podmínky a kritéria.

Článek 21

Přístup do společného úložiště údajů o totožnosti pro odhalování vícenásobných totožností

1.   Pokud je výsledkem vyhledávání v CIR žluté propojení v souladu s čl. 28 odst. 4, orgán odpovědný za manuální ověření různých totožností určený v souladu s článkem 29 má výhradně pro účely takového ověření přístup k údajům uvedeným ve čl. 18 odst. 1 a 2, které jsou uloženy v CIR a spojeny žlutým propojením.

2.   Pokud je výsledkem vyhledávání v CIR červené propojení v souladu s článkem 32, mají orgány uvedené v čl. 26 odst. 2 výhradně pro účely boje proti podvodnému zneužívání totožnosti přístup k údajům uvedeným ve čl. 18 odst. 1 a 2, které jsou uloženy v CIR a spojeny červeným propojením.

Článek 22

Vyhledávání ve společném úložišti údajů o totožnosti pro účely prevence, odhalování a vyšetřování teroristických trestných činů nebo jiných závažných trestných činů

1.   Ve zvláštním případě, kdy existují oprávněné důvody se domnívat, že nahlédnutí do informačních systémů EU přispěje k prevenci, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů, zejména pokud existuje důvodné podezření, že podezřelý, pachatel nebo oběť teroristického trestného činu nebo jiného závažného trestného činu je osobou, jejíž údaje jsou uloženy v Eurodacu, určené orgány členských států a Europol mohou nahlédnout do CIR za účelem získání informací o tom, zda se údaje týkající se konkrétní osoby vyskytují v Eurodacu.

2.   Pokud CIR v odpovědi na vyhledávání uvede, že se údaje o dané osobě vyskytují v Eurodacu, poskytne určeným orgánům a Europolu odpověď v podobě odkazu podle čl. 18 odst. 2 uvádějícího, že Eurodac obsahuje odpovídající údaje. CIR odpoví takovým způsobem, aby nebylo narušeno zabezpečení těchto údajů.

Odpověď, že se v Eurodacu vyskytují údaje o dané osobě, lze použít pouze pro podání žádosti o plný přístup v souladu s podmínkami a postupy stanovenými v právním nástroji upravujícím takový přístup.

V případě shody nebo více shod požádá určený orgán nebo Europol o plný přístup do nejméně jednoho z informačních systémů, které shodu nahlásily.

Pokud není ve výjimečných případech plný přístup požadován, určené orgány zaznamenají odůvodnění, proč o plný přístup nepožádaly, které musí být dohledatelné ve vnitrostátním spisu. Europol zaznamená odůvodnění do příslušného spisu.

3.   Plný přístup k údajům obsaženým v Eurodacu pro účely prevence, odhalování nebo vyšetřování teroristických trestných činů nebo jiných závažných trestných činů nadále podléhá podmínkám a postupům stanoveným v právním nástroji upravujícím takový přístup.

Článek 23

Uchovávání údajů ve společném úložišti údajů o totožnosti

1.   Údaje uvedené v čl. 18 odst. 1, 2 a 4 se z CIR automaticky vymaží v souladu s příslušnými ustanoveními o uchovávání údajů nařízení (EU) 2019/816.

2.   Individuální soubor je v CIR uložen jen tak dlouho, dokud jsou odpovídající údaje uloženy alespoň v jednom z informačních systémů EU, jejichž údaje jsou obsaženy v CIR. Vytvoření propojení nemá vliv na dobu uchovávání jednotlivých položek propojených údajů.

Článek 24

Vedení a uchovávání protokolů

1.   Aniž je dotčen článek 29 nařízení (EU) 2019/816, agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů v rámci CIR v souladu s odstavci 2, 3 a 4 tohoto článku.

2.   Agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů podle článku 20 v rámci CIR. V těchto protokolech se uvádí:

a)

členský stát nebo agentura Unie, která zahájila vyhledávání;

b)

účel přístupu uživatele, který vyhledává prostřednictvím CIR;

c)

datum a čas vyhledávání;

d)

druh údajů použitých k zahájení vyhledávání;

e)

výsledky vyhledávání.

3.   Agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů podle článku 21 v rámci CIR. V těchto protokolech se uvádí:

a)

členský stát nebo agentura Unie, která zahájila vyhledávání;

b)

účel přístupu uživatele, který vyhledává prostřednictvím CIR;

c)

datum a čas vyhledávání;

d)

údaje použité k zahájení vyhledávání, pokud je vytvořeno propojení, a výsledky vyhledávání uvádějící informační systém EU, ze kterého údaje pocházejí.

4.   Agentura eu-LISA vede a uchovává protokoly o všech operacích zpracování údajů podle článku 22 v CIR. V těchto protokolech se uvádí:

a)

datum a čas vyhledávání;

b)

údaje použité k zahájení vyhledávání;

c)

výsledky vyhledávání;

d)

členský stát nebo agentura Unie vyhledávající v CIR.

Protokoly o takovém přístupu pravidelně ověřuje příslušný dozorový úřad v souladu s článkem 41 směrnice (EU) 2016/680 nebo evropský inspektor ochrany údajů v souladu s článkem 43 nařízení (EU) 2016/794, a to s odstupy nepřekračujícími šest měsíců, s cílem ověřit, zda jsou dodržovány postupy a podmínky stanovené v čl. 22 odst. 1 a 2 tohoto nařízení.

5.   Každý členský stát vede a uchovává protokoly o vyhledávání, jež provádějí jeho orgány a jejich pracovníci řádně zmocnění k používání CIR podle článků 20, 21 a 22. Každá agentura Unie vede a uchovává protokoly o vyhledávání, které provádějí její řádně zmocnění pracovníci podle článků 21 a 22.

Kromě toho v souvislosti s jakýmkoli přístupem do CIR podle článku 22 každý členský stát vede a uchovává protokoly, v nichž se uvádí:

a)

odkaz na vnitrostátní spis;

b)

účel přístupu;

c)

v souladu s vnitrostátními pravidly jedinečný identifikátor pracovníka, který provedl vyhledání, a pracovníka, který vyhledání nařídil.

6.   V souladu s nařízením (EU) 2016/794 Europol vede a uchovává pro jakýkoli přístup do CIR podle článku 22 tohoto nařízení protokoly s jedinečným identifikátorem pracovníka, který vyhledávání provedl, a pracovníka, který vyhledávání nařídil.

7.   Protokoly uvedené v odstavcích 2 až 6 lze použít pouze pro účely monitorování ochrany údajů, včetně kontroly přípustnosti vyhledávání a zákonnosti zpracování údajů, a pro zabezpečení údajů a zajištění jejich integrity. Tyto protokoly musí být chráněny vhodnými opatřeními proti neoprávněnému přístupu a vymazány po uplynutí jednoho roku od vytvoření. Pokud jsou však nezbytné pro zahájené monitorovací postupy, vymaží se v okamžiku, kdy již pro ně nebudou zapotřebí.

8.   Agentura eu-LISA ukládá protokoly související s historií údajů do individuálních souborů. Automaticky je vymaže, jakmile jsou vymazány údaje.

KAPITOLA V

Detektor vícenásobné totožnosti

Článek 25

Detektor vícenásobné totožnosti

1.   Na podporu fungování CIR a cílů EES, VIS, ETIAS, Eurodacu, SIS a ECRIS-TCN se zřizuje detektor vícenásobné totožnosti (MID), který vytváří a ukládá soubory údajů souvisejících s potvrzením totožnosti uvedené v článku 34 obsahující propojení mezi údaji v informačních systémech EU zahrnutých v CIR a v SIS a umožňující odhalení vícenásobné totožnosti s dvojím účelem, kterým je usnadnění kontrol totožnosti a potírání podvodného zneužívání totožnosti.

2.   MID se skládá:

a)

z centrální infrastruktury, která ukládá propojení a odkazy na informační systémy EU;

b)

ze zabezpečené komunikační infrastruktury k propojení MID se SIS a centrálními infrastrukturami ESP a CIR.

3.   MID vyvine a jeho technickou správu zajištuje agentura eu-LISA.

Článek 26

Přístup k detektoru vícenásobné totožnosti

1.   Pro účely manuálního ověření různých totožností uvedeného v článku 29 se přístup k údajům uvedeným v článku 34 uloženým v MID udělí:

a)

centrále SIRENE členského státu, která vytváří nebo aktualizuje záznam v souladu s nařízením (EU) 2018/1862;

b)

ústředním orgánům odsuzujícího členského státu při záznamu nebo změně údajů v ECRIS-TCN v souladu s článkem 5 nebo 9 nařízení (EU) 2019/816.

2.   Orgány členských států a agentury Unie s přístupem alespoň do jednoho informačního systému EU, který je součástí CIR, nebo do SIS mají přístup k údajům uvedeným v čl. 34 písm. a) a b), pokud jde o červená propojení uvedená v článku 32.

3.   Orgány členských států a agentury Unie mají přístup k bílým propojením uvedeným ve článku 33, pokud mají přístup k těm dvěma informačním systémům EU, které obsahují údaje, mezi nimiž bylo bílé propojení vytvořeno.

4.   Orgány členských států a agentury Unie mají přístup k zeleným propojením uvedeným ve článku 31, pokud mají přístup k těm dvěma informačním systémům EU obsahujícím údaje, mezi nimiž bylo zelené propojení vytvořeno, a vyhledávání v těchto informačních systémech odhalilo shodu se dvěma soubory propojených údajů.

Článek 27

Odhalování vícenásobné totožnosti

1.   Odhalování vícenásobné totožnosti v CIR a v SIS je zahájeno, je-li:

a)

v SIS vytvořen nebo aktualizován záznam o určité osobě v souladu s článkem kapitolami VI až IX nařízení (EU) 2018/1862;

b)

v ECRIS-TCN je vytvořen nebo změněn datový záznam v souladu s článkem 5 nebo 9 nařízení (EU) 2019/816.

2.   Pokud údaje obsažené v informačním systému EU uvedeném v odstavci 1 obsahují biometrické údaje, CIR a centrální SIS použijí sdílenou BMS, aby odhalily vícenásobnou totožnost. Sdílená BMS porovnává biometrické šablony získané ze všech nových biometrických údajů s biometrickými šablonami již obsaženými ve sdílené BMS, aby se ověřilo, zda údaje patřící téže osobě jsou již uloženy v CIR nebo v centrálním SIS.

3.   Vedle postupu uvedeného v odstavci 2 CIR a centrální SIS využívají ESP k vyhledání údajů uložených v centrálním SIS nebo případně v CIR s využitím následujících údajů:

a)

příjmení, jméno (jména), rodné (rodná) příjmení, dříve užívané (užívaná) jméno (jména) a alias, místo narození, datum narození, pohlaví a veškeré státní příslušnosti dotčené osoby uvedené v čl. 20 odst. 3 nařízení (EU) 2018/1862;

b)

příjmení, jméno (jména), datum narození, místo narození (obec a země), státní příslušnost (příslušnosti) a pohlaví uvedené v čl. 5 odst. 1 písm. a) nařízení (EU) 2019/816.

4.   Vedle postupu uvedeného v odstavcích 2 a 3 CIR a centrální SIS využívají ESP k vyhledání údajů uložených v centrálním SIS a v CIR s využitím údajů o cestovních dokladech.

5.   Odhalování vícenásobné totožnosti lze zahájit pouze za účelem porovnání údajů dostupných v jednom informačním systému EU s údaji dostupnými v jiných informačních systémech EU.

Článek 28

Výsledky odhalení vícenásobné totožnosti

1.   Pokud vyhledávání uvedené v čl. 27 odst. 2, 3 a 4 nevykáže žádnou shodu, pokračují postupy uvedené v čl. 27 odst. 1 v souladu s právními nástroji, které je upravují.

2.   Pokud vyhledávání uvedené v čl. 27 odst. 2, 3 a 4 vykáže jednu či více shod, CIR a tam, kde je to relevantní, i SIS vytvoří propojení mezi údaji použitými k zahájení vyhledávání a údaji, které vedly ke shodě.

Pokud je více shod, vytvoří se propojení mezi všemi údaji, které ke shodě vedly. Pokud propojení mezi údaji již bylo vytvořeno, stávající propojení se rozšíří i na údaje použité k zahájení vyhledávání.

3.   Pokud vyhledávání uvedené v čl. 27 odst. 2, 3 a 4 vykáže jednu či více shod a údaje o totožnosti v propojených souborech jsou stejné nebo podobné, vytvoří se v souladu s článkem 33 bílé propojení.

4.   Pokud vyhledávání uvedené v čl. 27 odst. 2, 3 a 4 vykáže jednu či více shod a údaje o totožnosti v propojených souborech nelze považovat za podobné, vytvoří se v souladu s článkem 30 žluté propojení a použije se postup uvedený v článku 29.

5.   Komise přijme akty v přenesené pravomoci v souladu s článkem 69, kterými stanoví postupy pro určení případů, kdy lze údaje o totožnosti považovat za stejné nebo podobné.

6.   Propojení se ukládají v souboru údajů souvisejících s potvrzením totožnosti uvedeném v článku 34.

7.   Komise stanoví ve spolupráci s agenturou eu-LISA technická pravidla pro vytváření propojení mezi údaji z různých informačních systémů EU prostřednictvím prováděcích aktů. Tyto prováděcí akty se přijímají přezkumným postupem podle čl. 70 odst. 2.

Článek 29

Manuální ověření různých totožností a odpovědné orgány

1.   Aniž je dotčen odstavec 2, jsou orgány odpovědnými za manuální ověření různých totožností:

a)

centrála SIRENE členského státu v případě shod, které se vyskytnou při vytváření nebo aktualizaci záznamu v SIS v souladu s nařízením (EU) 2018/1862;

b)

ústřední orgány odsuzujícího členského státu v případě shod, které se vyskytnou při zaznamenávání nebo změně údajů v ECRIS-TCN v souladu s článkem 5 nebo 9 nařízení (EU) 2019/816.

MID označí orgán odpovědný za manuální ověření různých totožností v souboru údajů souvisejících s potvrzením totožnosti.

2.   Orgánem odpovědným za manuální ověření různých totožností v souboru údajů souvisejících s potvrzením totožnosti je centrála SIRENE členského státu, který vytvořil záznam, v němž je vytvořeno propojení s údaji obsaženými v záznamu:

a)

o osobách hledaných za účelem zatčení a předání nebo vydání uvedeném v článku 26 nařízení (EU) 2018/1862;

b)

o pohřešovaných nebo zranitelných osobách uvedeném v článku 32 nařízení (EU) 2018/1862;

c)

o osobách hledaných za účelem zajištění jejich spolupráce v soudním řízení uvedeném v článku 34 nařízení (EU) 2018/1862;

d)

o osobách pro účely skrytých, dotazovacích nebo zvláštních kontrol uvedeném v článku 36 nařízení (EU) 2018/1862.

3.   Orgán odpovědný za manuální ověření různých totožností má přístup k propojeným údajům obsaženým v příslušném souboru údajů souvisejících s potvrzením totožnosti a k údajům o totožnosti spojeným v CIR a případně v SIS. Bezodkladně posuzuje různé totožnosti. Jakmile je toto posouzení dokončeno, v souladu s články 31, 32 a 33 aktualizuje propojení a neprodleně je doplní do souboru údajů souvisejících s potvrzením totožnosti

4.   Pokud je vytvořeno více než jedno propojení, posoudí orgán odpovědný za manuální ověření různých totožností každé propojení zvlášť.

5.   Pokud již byly údaje vykazující shodu propojeny, orgán odpovědný za manuální ověření různých totožností stávající propojení zohlední při posuzování potřeby vytvořit nová propojení.

Článek 30

Žluté propojení

1.   Neproběhlo-li ještě manuální ověření různých totožností, propojení údajů ze dvou či více informačních systémů EU se označí jako žluté ve všech těchto případech:

a)

propojené údaje sdílejí stejné biometrické údaje, ale mají podobné nebo odlišné údaje o totožnosti;

b)

propojené údaje mají odlišné údaje o totožnosti, ale sdílejí stejné údaje o cestovním dokladu, a alespoň jeden z informačních systémů EU neobsahuje biometrické údaje o dotčené osobě;

c)

propojené údaje sdílejí stejné údaje o totožnosti, ale mají odlišné biometrické údaje;

d)

propojené údaje mají podobné nebo odlišné údaje o totožnosti a sdílejí stejné údaje o cestovním dokladu, ale mají odlišné biometrické údaje.

2.   Pokud se propojení označí v souladu s odstavcem 1 jako žluté, použije se postup stanovený v článku 29.

Článek 31

Zelené propojení

1.   Propojení mezi údaji ze dvou či více informačních systémů EU se označí jako zelené, pokud:

a)

propojené údaje mají odlišné biometrické údaje, ale sdílejí stejné údaje o totožnosti, a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje odkazují na dvě různé osoby;

b)

propojené údaje mají odlišné biometrické údaje, mají podobné nebo odlišné údaje o totožnosti, sdílejí stejné údaje o cestovním dokladu a orgán odpovědný za manuální ověření různých totožností dospěl k závěru, že tyto propojené údaje odkazují na dvě různé osoby;