1.   Ovom Uredbom, zajedno s Uredbom (EU) 2019/818 Europskog parlamenta i Vijeća (34), uspostavlja se okvir za osiguravanje interoperabilnosti između sustava ulaska/izlaska (EES), viznog informacijskog sustava (VIS), europskog sustava za informacije o putovanjima i odobravanje putovanja (ETIAS), Eurodaca, schengenskog informacijskog sustava (SIS) i Europskog informacijskog sustava kaznene evidencije za državljane trećih zemalja (ECRIS-TCN).

2.   Okvir uključuje sljedeće komponente interoperabilnosti:

3.   Ovom se Uredbom utvrđuju i odredbe o zahtjevima u pogledu kvalitete podataka, o univerzalnom formatu poruka, o središnjem repozitoriju podataka za izvješćivanje i statistiku (CRRS) i o odgovornosti država članica i Agencije Europske unije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA) u pogledu oblikovanja, razvoja i rada komponenata interoperabilnosti.

4.   Ovom Uredbom također se prilagođavaju postupci i uvjeti za pristup imenovanih tijela i Agencije Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) EES-u, VIS-u, ETIAS-u i Eurodacu za potrebe sprječavanja, otkrivanja ili istraga kaznenih djela terorizma ili drugih teških kaznenih djela.

5.   Ovom Uredbom također se utvrđuje okvir za provjeru identiteta osoba i identifikaciju osoba.

1.   Osiguravanjem interoperabilnosti ovom Uredbom ostvaruju se sljedeći ciljevi:

2.   Ciljevi iz stavka 1. postižu se na sljedeće načine:

1.   Ova Uredba primjenjuje se na EES, VIS, ETIAS i SIS.

2.   Ova Uredba primjenjuje se na osobe čiji se osobni podaci mogu obrađivati u informacijskim sustavima EU-a iz stavka 1. ovog članka i čiji se podaci prikupljaju za potrebe utvrđene u člancima 1. i 2. Uredbe (EZ) br. 767/2008, članku 1. Uredbe (EU) 2017/2226, člancima 1. i 4. Uredbe (EU) 2018/1240, članku 1. Uredbe (EU) 2018/1860 i članku 1. Uredbe (EU) 2018/1861.

1.   Uspostavlja se europski portal za pretraživanje (ESP) kako bi se nadležnim tijelima država članica i agencijama Unije olakšao brz, neometan, učinkovit, sustavan i kontroliran pristup informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka radi obavljanja njihovih zadaća i u skladu s njihovim pravima pristupa te ciljevima i svrhama EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

2.   ESP se sastoji od sljedećeg:

3.   Agencija eu-LISA razvija ESP i osigurava tehničko upravljanje njime.

1.   Uporaba ESP-a rezervirana je za nadležna tijela država članica i agencije Unije koje imaju pristup barem jednom od informacijskih sustava EU-a, u skladu s pravnim instrumentima kojima se uređuju ti informacijski sustavi EU-a, koje imaju pristup CIR-u i MID-u, u skladu s ovom Uredbom, koje imaju pristup podacima Europola, u skladu s Uredbom (EU) 2016/679 ili-koje imaju pristup Interpolovim bazama podataka u skladu s pravom Unije ili nacionalnim pravom kojim se uređuje takav pristup.

Ta tijela država članica i agencije Unije mogu upotrebljavati ESP i podatke koje je ESP pružio samo za ciljeve i potrebe utvrđene u pravnim instrumentima kojima se uređuju ti informacijski sustavi EU-a, u Uredbi (EU) 2016/794 i u ovoj Uredbi.

2.   Tijela država članica i agencije Unije iz stavka 1. upotrebljavaju ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u središnjim sustavima EES-a, VIS-a i ETIAS-a u skladu sa svojim pravima pristupa, kako je navedeno u pravnim instrumentima kojima se uređuju ti informacijski sustavi EU-a i u nacionalnom pravu. Ta tijela upotrebljavaju ESP i za postavljanje upita CIR-u u skladu sa svojim pravima pristupa u okviru ove Uredbe za potrebe iz članaka 20., 21. i 22.

3.   Tijela država članica iz stavka 1. mogu upotrebljavati ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u središnjem SIS-u iz uredaba (EU) 2018/1860 i (EU) 2018/1861.

4.   Ako je tako predviđeno pravom Unije, agencije Unije iz stavka 1. upotrebljavaju ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u središnjem SIS-u.

5.   Tijela država članica i agencije Unije iz stavka 1. mogu upotrebljavati ESP za pretraživanje podataka povezanih s putnim ispravama u Interpolovim bazama podataka u skladu sa svojim pravima pristupa na temelju prava Unije i nacionalnog prava.

1.   Kako bi se omogućila uporaba ESP-a, agencija eu-LISA, u suradnji s državama članicama, stvara profil na temelju svake kategorije korisnika ESP-a i na temelju svrhe upitâ, u skladu s tehničkim pojedinostima i pravima pristupa iz stavka 2. Svaki profil u skladu s pravom Unije i nacionalnim pravom sadržava sljedeće informacije:

2.   Komisija donosi provedbene akte kako bi precizirala tehničke pojedinosti profilâ iz stavka 1. u skladu s pravima pristupa korisnika ESP-a na temelju pravnih instrumenata kojima se uređuju informacijski sustavi EU-a i na temelju nacionalnog prava. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

3.   Agencija eu-LISA u suradnji s državama članicama redovito, a najmanje jednom godišnje, preispituje profile iz stavka 1. te ih ažurira ako je to potrebno.

1.   Korisnici ESP-a pokreću upit unošenjem alfanumeričkih ili biometrijskih podataka u ESP. Kada je upit pokrenut, ESP, s pomoću podataka koje je unio korisnik i u skladu s profilom korisnika, istodobno postavlja upit EES-u, ETIAS-u, VIS-u, SIS-u, Eurodacu, ECRIS-TCN-u, CIR-u te podacima Europola i Interpolovim bazama podataka.

2.   Kategorije podataka koje se upotrebljavaju za pokretanje upita putem ESP-a odgovaraju kategorijama podataka povezanima s osobama ili putnim ispravama koje se mogu upotrebljavati za postavljanje upita različitim informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka u skladu s pravnim instrumentima kojima su oni uređeni.

3.   Agencija eu-LISA u suradnji s državama članicama provodi specifikaciju sučelja za ESP na temelju UMF-a iz članka 38.

4.   Kada je upit pokrenuo korisnik ESP-a, EES, ETIAS,VIS, SIS, Eurodac, ECRIS-TCN, CIR i MID, podaci Europola i Interpolove baze podataka u odgovoru na upit pružaju podatke koje posjeduju.

Ne dovodeći u pitanje članak 20., u odgovoru ESP-a navodi se iz kojeg informacijskog sustava EU-a ili baze podataka podaci potječu.

ESP ne pruža nikakve informacije o podacima u informacijskim sustavima EU-a, u podacima Europola ili Interpolovim bazama podataka kojima korisnik nema pristup na temelju primjenjivog prava Unije i nacionalnog prava.

5.   Svi upiti u Interpolove baze podataka pokrenuti putem ESP-a provode se tako da se nikakve informacije ne otkriju osobi na koju se odnosi upozorenje Interpola.

6.   ESP korisniku pruža odgovore čim podaci iz nekog od informacijskih sustava EU-a, podataka Europola ili Interpolovih baza podataka postanu dostupni. Ti odgovori sadržavaju samo podatke kojima korisnik ima pristup na temelju prava Unije i nacionalnog prava.

7.   Komisija donosi provedbeni akt kako bi detaljnije utvrdila tehnički postupak za postavljanje upita informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka od strane ESP-a i oblik odgovorâ iz ESP-a. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 74. stavka 2.

1.   Ne dovodeći u pitanje članak 46. Uredbe (EU) 2017/2226, članak 34. Uredbe (EZ) br. 767/2008, članak 69. Uredbe (EU) 2018/1240 i članke 12. i 18. Uredbe (EU) 2018/1861, agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u okviru ESP-a. Ta evidencija uključuje sljedeće:

2.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu ESP-a. Svaka agencija Unije vodi evidenciju upita koje postavi njezino propisno ovlašteno osoblje.

3.   Evidencije iz stavaka 1. i 2. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za jamčenje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

1.   Ako je zbog kvara ESP-a tehnički nemoguće upotrijebiti ESP za postavljanje upita jednom ili više informacijskih sustava EU-a ili CIR-u, agencija eu-LISA o tome automatski obavješćuje korisnike ESP-a.

2.   Ako je zbog kvara u nacionalnoj infrastrukturi neke države članice tehnički nemoguće upotrijebiti ESP za postavljanje upita jednom ili više informacijskih sustava ili CIR-u, ta država članica o tome automatski obavješćuje agenciju eu-LISA i Komisiju.

3.   U slučajevima iz stavka 1. ili stavka 2. ovog članka, i dok ne bude riješen tehnički kvar, obveza iz članka 7. stavaka 2. i 4. ne primjenjuje se i države članice pristupaju informacijskim sustavima EU-a ili CIR-u izravno kada su to dužne učiniti na temelju prava Unije ili nacionalnog prava.

4.   Ako je zbog kvara u infrastrukturi neke agencije Unije tehnički nemoguće upotrijebiti ESP za postavljanje upita jednom ili više informacijskih sustava EU-a ili CIR-u, ta agencija o tome automatski obavješćuje agenciju eu-LISA i Komisiju.

1.   Zajednička usluga uspoređivanja biometrijskih podataka (zajednički BMS), čija je svrha pohranjivanje biometrijskih modela dobivenih iz biometrijskih podataka iz članka 13. koji su pohranjeni u CIR-u i SIS-u i omogućivanje postavljanja upita s pomoću biometrijskih podataka u više informacijskih sustava EU-a, uspostavlja se radi podupiranja CIR-a i MID-a te radi podupiranja ciljeva EES-a, VIS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

2.   Zajednički BMS sastoji se od sljedećeg:

3.   Agencija eu-LISA razvija zajednički BMS i osigurava tehničko upravljanje njime.

1.   U zajedničkom BMS-u pohranjuju se biometrijski modeli koje BMS dobiva iz sljedećih biometrijskih podataka:

Biometrijski modeli pohranjuju se u zajedničkom BMS-u u logički odvojenom obliku s obzirom na informacijski sustav EU-a iz kojega podaci potječu.

2.   Za svaki skup podataka iz stavka 1. zajednički BMS uključuje u svakom biometrijskom modelu upućivanje na informacijske sustave EU-a u kojima su pohranjeni odgovarajući biometrijski podaci i upućivanje na stvarnu evidenciju u tim informacijskim sustavima EU-a.

3.   Biometrijski modeli unose se u zajednički BMS tek nakon automatizirane provjere kvalitete biometrijskih podataka dodanih u jedan od informacijskih sustava EU-a koju obavlja zajednički BMS kako bi se utvrdilo da su ispunjeni minimalni standardi kvalitete podataka.

4.   Pohrana podataka iz stavka 1. mora ispunjavati standarde kvalitete iz članka 37. stavka 2.

5.   Komisija provedbenim aktom utvrđuje zahtjeve u pogledu uspješnosti i praktične aranžmane za praćenje uspješnosti zajedničkog BMS-a kako bi se osiguralo da se djelotvornošću biometrijskih pretraživanja poštuju vremenski osjetljivi postupci kao što su granična kontrola i identifikacije. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 74. stavka 2.

1.   Ne dovodeći u pitanje članak 46. Uredbe (EU) 2017/2226, članak 34. Uredbe (EZ) br. 767/2008 i članke 12. i 18. Uredbe (EU) 2018/1861, agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u zajedničkom BMS-u. Ta evidencija uključuje sljedeće:

2.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu zajedničkog BMS-a. Svaka agencija Unije čuva evidenciju upita koje postavi njezino propisno ovlašteno osoblje

3.   Evidencije iz stavaka 1. i 2. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za jamčenje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

1.   Zajednički repozitorij podataka o identitetu (CIR), u kojem se stvara pojedinačni spis za svaku osobu koja je registrirana u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u, koji sadržava podatke iz članka 18., uspostavlja se za potrebe olakšavanja točne identifikacije osoba registriranih u EES-u, VIS-u, ETIAS-u, Eurodacu i ECRIS-TCN-u i pomaganja pri toj identifikaciji u skladu s člankom 20., za potrebe podupiranja funkcioniranja MID-a u skladu s člankom 21. i olakšavanja i usklađivanja pristupa imenovanih tijela i Europola EES-u, VIS-u, ETIAS-u i Eurodacu, prema potrebi radi sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela u skladu s člankom 22.

2.   CIR se sastoji od sljedećeg:

3.   Agencija eu-LISA razvija CIR i osigurava tehničko upravljanje njime.

4.   Ako je zbog kvara CIR-a tehnički nemoguće postaviti upit CIR-u u svrhu identifikacije pojedine osobe na temelju članka 20., otkrivanja višestrukih identiteta na temelju članka 21. ili za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela na temelju članka 22., agencija eu-LISA o tome automatski obavješćuje korisnike CIR-a.

5.   Agencija eu-LISA u suradnji s državama članicama provodi specifikaciju sučelja za CIR na temelju UMF-a iz članka 38.

1.   CIR pohranjuje sljedeće podatke, koji se logički odvajaju s obzirom na informacijski sustav iz kojeg podaci potječu:

2.   Za svaki skup podataka iz stavka 1. CIR uključuje upućivanje na informacijske sustave EU-a kojima podaci pripadaju.

3.   Nadležna tijela koja pristupaju CIR-u to čine u skladu sa svojim pravima pristupa na temelju pravnih instrumenata kojima se uređuju informacijski sustavi EU-a i na temelju nacionalnog prava te u skladu sa svojim pravima pristupa na temelju ove Uredbe za potrebe iz članaka 20., 21. i 22.

4.   Za svaki skup podataka iz stavka 1. CIR uključuje upućivanje na stvarnu evidenciju u informacijskim sustavima EU-a kojima podaci pripadaju.

5.   Pohrana podataka iz stavka 1. mora ispunjavati standarde kvalitete iz članka 37. stavka 2.

1.   Ako se podaci dodaju, mijenjaju ili brišu u EES-u, VIS-u i ETIAS-u, podaci iz članka 18. pohranjeni u pojedinačnom spisu CIR-a automatski se, u skladu s time, dodaju, mijenjaju ili brišu.

2.   Ako se umjesto stvaranja novog pojedinačnog spisa u MID-u stvori bijela ili crvena poveznica u skladu s člankom 32. ili člankom 33. između podataka iz dvaju ili više informacijskih sustava EU-a koji čine CIR, CIR dodaje nove podatke pojedinačnom spisu povezanih podataka.

1.   Upite CIR-u provodi policijsko tijelo u skladu sa stavcima 2. i 5. samo u sljedećim okolnostima:

Takvi upiti nisu dopušteni u slučaju maloljetnika mlađih od 12 godina, osim ako je to u najboljem interesu djeteta.

2.   Ako dođe do neke od okolnosti iz stavka 1. i ako je policijsko tijelo za to ovlašteno u skladu s nacionalnim zakonodavnim mjerama iz stavka 5., to tijelo smije, isključivo u svrhu identifikacije osobe, postaviti upit CIR-u s pomoću biometrijskih podataka te osobe prikupljenih uživo tijekom provjere identiteta, pod uvjetom da je postupak započet u prisutnosti te osobe.

3.   Ako se upitom utvrdi da su podaci o toj osobi pohranjeni u CIR-u, policijsko tijelo ima pristup radi ostvarivanja uvida u podatke iz članka 18. stavka 1.

Ako se biometrijski podaci osobe ne mogu upotrijebiti ili ako je upit s pomoću tih podataka bio neuspješan, upit se provodi s pomoću podataka o identitetu te osobe u kombinaciji s podacima o putnoj ispravi ili s podacima o identitetu koje je dala ta osoba.

4.   Ako je policijsko tijelo za to ovlašteno nacionalnim zakonodavnim mjerama iz stavka 6., ono smije, u slučaju prirodne katastrofe, nesreće ili terorističkog napada i isključivo u svrhu identifikacije nepoznatih osoba koje se ne mogu same identificirati ili identifikacije neidentificiranih ljudskih posmrtnih ostataka, postaviti upit CIR-u s pomoću biometrijskih podataka tih osoba.

5.   Države članice koje žele iskoristiti mogućnost predviđenu u stavku 1. donose nacionalne zakonodavne mjere. Države članice pritom uzimaju u obzir da je nužno izbjegavati bilo kakvu diskriminaciju državljana trećih zemalja. U takvim zakonodavnim mjerama precizno se navode svrhe identifikacije u okviru svrha navedenih u članku 2. stavku 1. točkama (b) i (c). U njima se određuju nadležna policijska tijela i propisuju postupci, uvjeti i kriteriji za takve provjere.

6.   Države članice koje žele iskoristiti mogućnost predviđenu u stavku 4. donose nacionalne zakonodavne mjere kojima se propisuju postupci, uvjeti i kriteriji.

1.   Ako se upitom CIR-u dobije žuta poveznica u skladu s člankom 28. stavkom 4., tijelo nadležno za ručnu provjeru različitih identiteta u skladu s člankom 29. ima pristup, isključivo za potrebe te provjere, podacima iz članka 18. stavaka 1. i 2. koji su pohranjeni u CIR-u i povezani žutom poveznicom.

2.   Ako se upitom CIR-u dobije crvena poveznica u skladu s člankom 32., tijela iz članka 26. stavka 2. imaju pristup, isključivo za potrebe suzbijanja prijevara povezanih s identitetom, podacima iz članka 18. stavaka 1. i 2. koji su pohranjeni u CIR-u i povezani crvenom poveznicom.

1.   Ako se u određenom predmetu, kada postoje opravdani razlozi za vjerovati da će ostvarivanje uvida u informacijske sustave EU-a doprinijeti sprječavanju, otkrivanju ili istrazi kaznenih djela terorizma ili drugih teških kaznenih djela, a osobito kada postoji sumnja da je osumnjičenik, počinitelj ili žrtva kaznenog djela terorizma ili drugih teških kaznenih djela osoba čiji su podaci pohranjeni u EES-u, VIS-u ili ETIAS-u, imenovana tijela i Europol mogu ostvariti uvid u CIR radi prikupljanja informacija o tome nalaze li se podaci o određenoj osobi u EES-u, VIS-u ili ETIAS-u.

2.   Ako CIR u odgovoru na upit navede da se podaci o određenoj osobi nalaze u EES-u, VIS-u i ETIAS-u, CIR imenovanim tijelima i Europolu dostavlja odgovor u obliku upućivanja, kako je navedeno u članku 18. stavku 2., u kojem se navodi koji od navedenih informacijskih sustave EU-a sadržava podatke koji se podudaraju. Odgovor iz CIR-a mora biti takav da se njime ne ugrožava sigurnost podataka.

Odgovor u kojem se navodi da postoje podaci o toj osobi u nekom od informacijskih sustava EU-a iz stavka 1. upotrebljava se samo za potrebe podnošenja zahtjeva za puni pristup koje podliježe uvjetima i postupcima propisanima u pravnom instrumentu kojim se uređuje taj pristup.

U slučaju jedne ili više podudarnosti, imenovano tijelo ili Europol podnose zahtjev za puni pristup barem jednom od informacijskih sustava za koji je utvrđena podudarnost.

Ako se, iznimno, ne podnese zahtjev za takav puni pristup, imenovana tijela evidentiraju obrazloženje za nepodnošenje zahtjeva, koje se mora moći povezati s nacionalnim spisom. Europol evidentira obrazloženje u relevantnom spisu.

3.   Potpuni pristup podacima sadržanima u EES-u, VIS-u ili ETIAS-u za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela i dalje podliježe uvjetima i postupcima propisanima u odgovarajućim pravnim instrumentima kojima se uređuje taj pristup.

1.   Podaci iz članka 18. stavaka 1., 2. i 4. brišu se iz CIR-a automatski u skladu s odredbama o zadržavanju podataka iz uredaba (EU) 2017/2226, (EZ) br. 767/2008 odnosno (EU) 2018/1240.

2.   Pojedinačni spis pohranjuje se u CIR-u samo onoliko dugo koliko su odgovarajući podaci pohranjeni u barem jednom od informacijskih sustava EU-a čiji su podaci sadržani u CIR-u. Stvaranje poveznice ne utječe na razdoblje zadržavanja svake stavke povezanih podataka.

1.   Ne dovodeći u pitanje članak 46. Uredbe (EU) 2017/2226, članak 34. Uredbe (EZ) br. 767/2008 i članak 69. Uredbe (EU) 2018/1240, agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u okviru CIR-a u skladu sa stavcima 2., 3. i 4. ovog članka.

2.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u CIR-u na temelju članka 20. Ta evidencija uključuje sljedeće:

3.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u CIR-u na temelju članka 21. Ta evidencija uključuje sljedeće:

4.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u CIR-u na temelju članka 22. Ta evidencija uključuje sljedeće:

Evidenciju o takvom pristupu redovito provjerava nadležno nadzorno tijelo u skladu s člankom 41. Direktive (EU) 2016/680 ili Europski nadzornik za zaštitu podataka u skladu s člankom 43. Uredbe (EU) 2016/794 u razmacima ne dužima od šest mjeseci, kako bi se provjerilo jesu li ispunjeni postupci i uvjeti iz članka 22. stavaka 1. i 3. ove Uredbe.

5.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu CIR-a na temelju članaka 20., 21. i 22. Svaka agencija Unije vodi evidenciju upita koje postavi njezino propisno ovlašteno osoblje na temelju članaka 21. i 22.

Osim toga, svaka država članica za svako pristupanje CIR-u na temelju članka 22. vodi sljedeću evidenciju:

6.   U skladu s Uredbom (EU) 2016/794, za svako pristupanje CIR-u na temelju članka 22. ove Uredbe, Europol vodi evidenciju o jedinstvenom korisničkom identitetu službenika koji je postavio upit i službenika koji je naložio postavljanje upita.

7.   Evidencije iz stavaka od 2. do 6. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za jamčenje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

8.   Agencija eu-LISA pohranjuje evidenciju o povijesti podataka u pojedinačne spise. Agencija eu-LISA automatski briše takvu evidenciju nakon brisanja tih podataka.

1.   Detektor višestrukih identiteta (MID), u kojem se stvaraju i pohranjuju spisi za potvrdu identiteta iz članka 34. sadržava poveznice između podataka iz informacijskih sustava EU-a koji su uključeni u CIR i SIS i omogućuje otkrivanje višestrukih identiteta, s dvojnom svrhom olakšavanja provjera identiteta i suzbijanja prijevara povezanih s identitetom, uspostavlja se u svrhu potpore funkcioniranju CIR-a i ciljevima EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

2.   MID se sastoji od sljedećeg:

3.   Agencija eu-LISA razvija MID i osigurava tehničko upravljanje njime.

1.   Za potrebe ručne provjere različitih identiteta iz članka 29. sljedećim tijelima odobrava se pristup podacima iz članka 34. pohranjenima u MID-u:

2.   Tijela država članica i agencije Unije koje imaju pristup barem jednom informacijskom sustavu EU-a koji je uključen u CIR ili SIS-u imaju pristup podacima iz članka 34. točaka (a) i (b) u pogledu crvenih poveznica iz članka 32.

3.   Tijela država članica i agencije Unije imaju pristup bijelim poveznicama iz članka 33. ako imaju pristup dvama informacijskim sustavima EU-a koji sadržavaju podatke između kojih je stvorena bijela poveznica.

4.   Tijela država članica i agencije Unije imaju pristup zelenim poveznicama iz članka 31. ako imaju pristup dvama informacijskim sustavima EU-a koji sadržavaju podatke između kojih je stvorena zelena poveznica i ako je upitom u te informacijske sustave otkrivena podudarnost s dvama skupovima povezanih podataka.

1.   Otkrivanje višestrukih identiteta u CIR-u i SIS-u pokreće se u sljedećim slučajevima:

2.   Ako podaci sadržani u informacijskom sustavu EU-a iz stavka 1. sadržavaju biometrijske podatke, CIR i središnji SIS upotrebljavaju zajednički BMS za otkrivanje višestrukih identiteta. Zajednički BMS uspoređuje biometrijske modele dobivene iz novih biometrijskih podataka s biometrijskim modelima koji se već nalaze u zajedničkom BMS-u kako bi provjerio jesu li podaci o istoj osobi već pohranjeni u CIR-u ili središnjem SIS-u.

3.   Uz postupak iz stavka 2. CIR i središnji SIS upotrebljavaju ESP za pretraživanje podataka pohranjenih u središnjem SIS-u, odnosno u CIR-u s pomoću sljedećih podataka:

4.   Uz postupak iz stavaka 2. i 3. CIR i središnji SIS upotrebljavaju ESP za pretraživanje podataka pohranjenih u središnjem SIS-u, odnosno u CIR-u s pomoću podataka o putnoj ispravi.

5.   Otkrivanje višestrukih identiteta pokreće se samo radi usporedbe podataka dostupnih u jednom informacijskom sustavu EU-a s podacima dostupnima u drugim informacijskim sustavima EU-a.

1.   Ako se upitima iz članka 27. stavaka 2., 3. i 4. ne pronađe nikakva podudarnost, postupci iz članka 27. stavka 1. nastavljaju se u skladu s pravnim instrumentima kojima su uređeni.

2.   Ako se upitom iz članka 27. stavaka 2., 3. i 4. pronađe jedna ili više podudarnosti, u CIR-u i, ako je to relevantno, u SIS-u stvara se poveznica između podataka upotrijebljenih za pokretanje upita i podataka na temelju kojih je pronađena podudarnost.

U slučaju više pronađenih podudarnosti, stvara se poveznica među svim podacima na temelju kojih je pronađena podudarnost. Ako su podaci već povezani, postojeća poveznica proširuje se na podatke upotrijebljene za pokretanje upita.

3.   Ako se upitom iz članka 27. stavaka 2., 3. i 4. pronađe jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa isti su ili slični, stvara se bijela poveznica u skladu s člankom 33.

4.   Ako se upitom iz članka 27. stavaka 2., 3. i 4. pronađe jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa ne mogu se smatrati sličnima, stvara se žuta poveznica u skladu s člankom 30. i primjenjuje se postupak iz članka 29.

5.   Komisija donosi delegirane akte u skladu s člankom 73. kojima se utvrđuju postupci za određivanje slučajeva u kojima se podaci o identitetu mogu smatrati istima ili sličnima.

6.   Poveznice se pohranjuju u spis za potvrdu identiteta iz članka 34.

7.   Komisija u suradnji s agencijom eu-LISA provedbenim aktima utvrđuje tehnička pravila za stvaranje poveznica između podataka iz različitih informacijskih sustava EU-a. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

1.   Ne dovodeći u pitanje stavak 2. sljedeća su tijela nadležna za ručnu provjeru različitih identiteta:

U MID-u se navodi tijelo nadležno za ručnu provjeru različitih identiteta u spisu za potvrdu identiteta.

2.   Tijelo nadležno za ručnu provjeru različitih identiteta u spisu za potvrdu identiteta jest ured SIRENE države članice koja je stvorila upozorenje ako je stvorena poveznica na podatke sadržane u upozorenju:

3.   Ne dovodeći u pitanje stavak 4. ovog članka, tijelo nadležno za ručnu provjeru različitih identiteta ima pristup povezanim podacima sadržanima u relevantnom spisu za potvrdu identiteta i podacima o identitetu povezanima u CIR-u i, ako je to relevantno, u SIS-u. To tijelo bez odgode ocjenjuje različite identitete. Nakon što dovrši takvo ocjenjivanje, ono ažurira poveznicu u skladu s člancima 31., 32. i 33. i bez odgode je dodaje spisu za potvrdu identiteta.

4.   Ako je tijelo nadležno za ručnu provjeru različitih identiteta u spisu za potvrdu identiteta nadležno tijelo imenovano u skladu s člankom 9. stavkom 2. Uredbe (EU) 2017/2226 koje stvara ili ažurira pojedinačni spis u EES-u u skladu s člankom 14. te uredbe i ako je stvorena žuta poveznica, to tijelo obavlja dodatne provjere. To tijelo samo u tu svrhu ima pristup povezanim podacima sadržanima u relevantnom spisu za potvrdu identiteta. Ono ocjenjuje različite identitete, ažurira poveznicu u skladu s člancima od 31., 32. i 33. ove Uredbe i bez odgode je dodaje spisu za potvrdu identiteta.

Takva ručna provjera različitih identiteta pokreće se u prisutnosti predmetne osobe kojoj se daje mogućnost da objasni okolnosti odgovornom tijelu koje mora uzeti u obzir ta objašnjenja.

U slučajevima u kojima se ručna provjera različitih identiteta provodi na granici, ona se obavlja u roku od 12 sati od stvaranja žute poveznice u skladu s člankom 28. stavkom 4., ako je to moguće.

5.   Ako je stvoreno više poveznica, tijelo nadležno za ručnu provjeru različitih identiteta zasebno ocjenjuje svaku poveznicu.

6.   Ako su podaci na temelju kojih je pronađena podudarnost već povezani, tijelo nadležno za ručnu provjeru različitih identiteta uzima u obzir postojeće poveznice pri procjeni stvaranja novih poveznica.

1.   Ako još nije obavljena ručna provjera različitih identiteta, poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao žuta poveznica u sljedećim slučajevima:

2.   Ako je poveznica razvrstana kao žuta poveznica u skladu sa stavkom 1., primjenjuje se postupak iz članka 29.

1.   Poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao zelena poveznica ako:

2.   Ako se upit postavlja CIR-u ili SIS-u i ako postoji zelena poveznica između podataka iz dvaju ili više informacijskih sustava EU-a, u MID-u se navodi da podaci o identitetu povezanih podataka ne odgovaraju istoj osobi.

3.   Ako tijelo države članice ima dokaze koji upućuju na to da je zelena poveznica netočno zabilježena u MID, da nije ažurirana ili da je obradom podataka u MID-u ili informacijskim sustavima EU-a prekršena ova Uredba, ono provjerava relevantne podatke pohranjene u CIR-u i SIS-u i, ako je to potrebno, ispravlja ili briše poveznicu iz MID-a bez odgode. To tijelo države članice bez odgode obavješćuje državu članicu nadležnu za ručnu provjeru različitih identiteta.

1.   Poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao crvena poveznica u sljedećim slučajevima:

2.   Ako se upit postavlja CIR-u ili SIS-u i ako postoji crvena poveznica između podataka iz dvaju ili više informacijskih sustava EU-a, MID navodi podatke iz članka 34. Daljnji postupak u slučaju crvene poveznice provodi se u skladu s pravom Unije i nacionalnim pravom, pri čemu se sve pravne posljedice za predmetnu osobu smiju temeljiti samo na relevantnim podacima o toj osobi. Nikakve pravne posljedice za predmetnu osobu ne smiju proizlaziti isključivo iz postojanja crvene poveznice.

3.   Ako je stvorena crvena poveznica između podataka u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u, pojedinačni spis pohranjen u CIR-u ažurira se u skladu s člankom 19. stavkom 2.

4.   Ne dovodeći u pitanje odredbe povezane s postupanjem s upozorenjima u SIS-u sadržane u uredbama (EU) 2018/1860, (EU) 2018/1861 i (EU) 2018/1862 i ne dovodeći u pitanje ograničenja koja su potrebna za zaštitu sigurnosti i javnog poretka, sprječavanje zločina i jamčenje da se neće ugroziti nacionalne istrage, u slučaju stvaranja crvene poveznice tijelo nadležno za ručnu provjeru različitih identiteta obavješćuje predmetnu osobu o postojanju podatka o višestrukom nezakonitom identitetu te toj osobi pruža jedinstveni identifikacijski broj iz članka 34. točke (c) ove Uredbe, upućivanje na tijelo nadležno za ručnu provjeru različitih identiteta iz članka 34. točke (d) ove Uredbe i adresu internetskog portala uspostavljenog u skladu s člankom 49. ove Uredbe.

5.   Informacije iz stavka 4. u pisanom obliku putem standardnog obrasca pruža tijelo nadležno za ručnu provjeru različitih identiteta. Komisija provedbenim aktima utvrđuje sadržaj i izgled tog obrasca. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

6.   Ako je stvorena crvena poveznica, MID automatski obavješćuje tijela nadležna za povezane podatke.

7.   Ako tijelo države članice ili agencija Unije koji imaju pristup CIR-u ili SIS-u ima dokaze koji ukazuju na to da je crvena poveznica netočno zabilježena u MID-u ili da je obradom podataka u MID-u, CIR-u ili SIS-u prekršena ova Uredba, to tijelo ili ta agencija provjerava relevantne podatke pohranjene u CIR-u ili SIS-u i:

Ako je uspostavljen kontakt s uredom SIRENE na temelju prvog podstavka točke (a), taj ured provjerava dokaze koje su mu dostavili tijelo države članice ili agencija Unije, i ako je to relevantno, odmah ispravlja ili briše poveznicu u MID-u.

Tijelo države članice koje dobije dokaze bez odgode obavješćuje tijelo države članice nadležno za ručnu provjeru različitih identiteta o eventualnom odgovarajućem ispravku ili brisanju crvene poveznice.

1.   Poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao bijela poveznica u sljedećim slučajevima:

2.   Ako se upit postavlja CIR-u ili SIS-u i ako postoji bijela poveznica između podataka iz dvaju ili više informacijskih sustava EU-a, u MID-u se navodi da podaci o identitetu povezanih podataka odgovaraju istoj osobi. Informacijski sustavi EU-a kojima je postavljen upit odgovaraju navođenjem, ako je to relevantno, svih povezanih podataka o osobi čime se dobiva podudarnost na temelju podataka koji su povezani bijelom poveznicom, ako tijelo koje je pokrenulo upit ima pristup povezanim podacima u skladu s pravom Unije ili nacionalnim pravom.

3.   Ako je stvorena bijela poveznica između podataka u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u, pojedinačni spis pohranjen u CIR-u ažurira se u skladu s člankom 19. stavkom 2.

4.   Ne dovodeći u pitanje odredbe o postupanju s upozorenjima u SIS-u sadržane u uredbama (EU) 2018/1860, (EU) 2018/1861 i (EU) 2018/1862 i ne dovodeći u pitanje ograničenja koja su potrebna za zaštitu sigurnosti i javnog poretka, sprječavanje kaznenih djela i jamčenje da se neće ugroziti nacionalne istrage, ako je nakon ručne provjere različitih identiteta stvorena bijela poveznica, tijelo nadležno za ručnu provjeru različitih identiteta obavješćuje predmetnu osobu o postojanju sličnih ili različitih podataka o identitetu te toj osobi pruža jedinstveni identifikacijski broj iz članka 34. točke (c) ove Uredbe, upućivanje na tijelo nadležno za ručnu provjeru različitih identiteta iz članka 34. točke (d) ove Uredbe i adresu internetskog portala uspostavljenog u skladu s člankom 49. ove Uredbe

5.   Ako tijelo države članice ima dokaze koji ukazuju na to da je bijela poveznica netočno zabilježena u MID-u, da bijela poveznica nije ažurirana ili da je obradom podataka u MID-u ili informacijskim sustavima EU-a prekršena ova Uredba, ono provjerava relevantne podatke pohranjene u CIR-u i SIS-u i, ako je to potrebno, ispravlja ili briše poveznicu u MID-u bez odgode. To tijelo države članice bez odgode obavješćuje državu članicu nadležnu za ručnu provjeru različitih identiteta.

6.   Informacije iz stavka 4. u pisanom obliku putem standardnog obrasca pruža tijelo nadležno za ručnu provjeru različitih identiteta. Komisija provedbenim aktima utvrđuje sadržaj i izgled tog obrasca. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

1.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u okviru MID-a. Ta evidencija uključuje sljedeće:

2.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu MID-a. Svaka agencija Unije vodi evidenciju upita koje postavi njezino propisno ovlašteno osoblje.

3.   Evidencije iz stavaka 1. i 2. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za osiguravanje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

1.   Ne dovodeći u pitanje odgovornost država članica u pogledu kvalitete podataka unesenih u sustave, agencija eu-LISA uspostavlja automatizirane mehanizme i postupke za kontrolu kvalitete podataka pohranjenih u EES-u, VIS-u, ETIAS-u, SIS-u, zajedničkom BMS-u i CIR-u.

2.   Agencija eu-LISA provodi mehanizme za evaluaciju točnosti zajedničkog BMS-a, zajedničke pokazatelje kvalitete podataka i minimalne standarde kvalitete za pohranu podataka u EES-u, VIS-u, ETIAS-u, SIS-u, zajedničkom BMS-u i CIR-u.

U EES, VIS, ETIAS, SIS, zajednički BMS, CIR i MID smiju se unositi samo podaci koji ispunjavaju minimalne standarde kvalitete.

3.   Agencija eu-LISA državama članicama dostavlja redovita izvješća o automatiziranim mehanizmima i postupcima za kontrolu kvalitete podataka te zajedničkim pokazateljima kvalitete podataka. Agencija eu-LISA također dostavlja redovito izvješće Komisiji o problemima i državama članicama koje su se s njima suočile. Agencija eu-LISA na zahtjev također dostavlja to izvješće Europskom parlamentu i Vijeću. Izvješća iz ovog stavka ne smiju sadržavati nikakve osobne podatke.

4.   Pojedinosti o automatiziranim mehanizmima i postupcima za kontrolu kvalitete podataka, zajedničkim pokazateljima kvalitete podataka i minimalnim standardima kvalitete za pohranu podataka u EES-u, VIS-u, ETIAS-u, SIS-u, zajedničkom BMS-u i CIR-u, posebno u pogledu biometrijskih podataka, utvrđuju se u provedbenim aktima. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

5.   Godinu dana nakon uspostave automatiziranih mehanizama i postupaka za kontrolu kvalitete podataka, zajedničkih pokazatelja kvalitete podataka i minimalnih standarda kvalitete podataka te svake godine nakon toga Komisija provodi evaluaciju provedbe kvalitete podataka u državama članicama i daje potrebne preporuke. Države članice dostavljaju Komisiji akcijski plan za ispravljanje eventualnih nedostataka utvrđenih u izvješću o evaluaciji, a osobito problema povezanih s kvalitetom podataka koji proizlaze iz pogrešnih podataka u informacijskim sustavima EU-a. Države članice redovito izvješćuju Komisiju o svakom napretku u provedbi akcijskog plana do njegove potpune provedbe.

Komisija dostavlja izvješće o evaluaciji Europskom parlamentu, Vijeću, Europskom nadzorniku za zaštitu podataka, Europskom odboru za zaštitu podataka i Agenciji Europske unije za temeljna prava osnovanoj Uredbom Vijeća (EZ) br. 168/2007 (39).

1.   Uspostavlja se standard univerzalnog formata poruka (UMF). UMF definira standarde za određene elemente sadržaja za prekograničnu razmjenu informacija među informacijskim sustavima, tijelima ili organizacijama u području pravosuđa i unutarnjih poslova.

2.   Standard UMF-a upotrebljava se u razvoju EES-a, ETIAS-a, ESP-a, CIR-a, MID-a i, prema potrebi, u razvoju novih modela razmjene informacija i informacijskih sustava u području pravosuđa i unutarnjih poslova koji provodi agencija eu-LISA ili bilo koja druga agencija Unije.

3.   Komisija donosi provedbeni akt kako bi utvrdila i razvila standard UMF-a iz stavka 1. ovog članka. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 74. stavka 2.

1.   Središnji repozitorij podataka za izvješćivanje i statistiku (CRRS) uspostavlja se za potrebe podupiranja ciljeva EES-a, VIS-a, ETIAS-a i SIS-a, u skladu s odgovarajućim pravnim instrumentima kojima se uređuju ti sustavi, i za pružanje međusustavnih statističkih podataka i analitičkog izvješćivanja za potrebe politike, operativne potrebe i potrebe kvalitete podataka.

2.   Agencija eu-LISA uspostavlja i provodi CRRS te ga udomljuje na poslužitelju na svojim tehničkim pogonima koji sadržavaju podatke i statistike iz članka 63. Uredbe (EU) 2017/2226, članka 17. Uredbe (EZ) br. 767/2008, članka 84. Uredbe (EU) 2018/1240, članka 60. Uredbe (EU) 2018/1861 i članka 16. Uredbe (EU) 2018/1860, logički odvojene po informacijskom sustavu EU-a. Pristup CRRS-u odobrava se s pomoću kontroliranog, sigurnog pristupa i posebnih korisničkih profila, isključivo za potrebe izvješćivanja i statistike, tijelima iz članka 63. Uredbe (EU) 2017/2226, članka 17. Uredbe (EZ) br. 767/2008, članka 84. Uredbe (EU) 2018/1240 i članka 60. Uredbe (EU) 2018/1861.

3.   Agencija eu-LISA anonimizira podatke i bilježi te anonimizirane podatke u CRRS. Postupak anonimizacije podataka je automatiziran.

Podaci sadržani u CRRS-u ne omogućuju identifikaciju osoba.

4.   CRRS se sastoji od sljedećeg:

5.   Komisija donosi delegirani akt u skladu s postupkom iz članka 73. kojim se utvrđuju podrobna pravila za rad CRRS-a, između ostalog posebne zaštitne mjere za obradu osobnih podataka u skladu sa stavcima 2. i 3. ovog članka i sigurnosna pravila koja se primjenjuju na repozitorij.

1.   U pogledu obrade podataka u zajedničkom BMS-u tijela država članica koja su voditelji obrade za EES, VIS, odnosno za SIS voditelji su obrade u skladu s člankom 4. točkom 7. Uredbe (EU) 2016/679 ili člankom 3. točkom 8. Direktive (EU) 2016/680 u pogledu biometrijskih modela izrađenih na temelju podataka iz članka 13.ove Uredbe koje ta tijela unose u osnovne sustave te su nadležna za obradu biometrijskih modela u zajedničkom BMS-u.

2.   U pogledu obrade podataka u CIR-u tijela država članica koja su voditelji obrade za EES, VIS, odnosno ETIAS voditelji su obrade u skladu s člankom 4. točkom 7. Uredbe (EU) 2016/679 u pogledu podataka iz članka 18. ove Uredbe koje ta tijela unose u osnovne sustave te su nadležna za obradu tih osobnih podataka u CIR-u.

3.   U pogledu obrade podataka u MID-u:

4.   Za potrebe praćenja zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, voditelji obrade podataka imaju pristup evidencijama iz članaka 10., 16., 24. i 36. radi samopraćenja kako je navedeno u članku 44.

1.   Agencija eu-LISA, središnja jedinica ETIAS-a, Europol i tijela država članica osiguravaju sigurnost obrade osobnih podataka koja se odvija na temelju ove Uredbe. Agencija eu-LISA, središnja jedinica ETIAS-a, Europol i tijela država članica surađuju u obavljanju zadaća povezanih sa sigurnošću.

2.   Ne dovodeći u pitanje članak 33. Uredbe (EU) br. 2018/1725, agencija eu-LISA poduzima potrebne mjere kako bi osigurala sigurnost komponenata interoperabilnosti i s njima povezane komunikacijske infrastrukture.

3.   Agencija eu-LISA posebno donosi potrebne mjere, uključujući plan sigurnosti, plan kontinuiteta poslovanja i plan oporavka u slučaju katastrofe kako bi:

4.   Države članice, Europol i središnja jedinica ETIAS-a poduzimaju mjere koje su istovjetne mjerama iz stavka 3. u pogledu sigurnosti obrade osobnih podataka koju obavljaju tijela koja imaju pravo pristupa bilo kojoj komponenti interoperabilnosti.

1.   Svaki događaj koji utječe na sigurnost komponenata interoperabilnosti ili bi mogao utjecati na njihovu sigurnost i koji može uzrokovati oštećenje ili gubitak podataka pohranjenih u njima smatra se sigurnosnim incidentom, osobito u slučaju mogućeg neovlaštenog pristupa podacima ili mogućeg ugrožavanja dostupnosti, cjelovitosti i povjerljivosti podataka.

2.   Sigurnosnim incidentima upravlja se na način da se osigura brz, djelotvoran i pravilan odgovor.

3.   Ne dovodeći u pitanje izvješćivanje i priopćivanje o povredi osobnih podataka u skladu s člankom 33. Uredbe (EU) 2016/679, člankom 30. Direktive (EU) 2016/680, ili u skladu s obama člancima, države članice o svim sigurnosnim incidentima bez odgode obavješćuju Komisiju, agenciju eu-LISA, nadležna nadzorna tijela i Europskog nadzornika za zaštitu podataka.

Ne dovodeći u pitanje članke 34. i 35. Uredbe (EU) 2018/1725 i članak 34. Uredbe (EU) 2016/794, središnja jedinica ETIAS-a i Europol o svim sigurnosnim incidentima bez odgode obavješćuju Komisiju, agenciju eu-LISA i Europskog nadzornika za zaštitu podataka.

U slučaju sigurnosnog incidenta povezanog sa središnjom infrastrukturom komponenata interoperabilnosti, agencija eu-LISA o njemu bez odgode obavješćuje Komisiju i Europskog nadzornika za zaštitu podataka.

4.   Informacije o sigurnosnom incidentu koji utječe ili bi mogao utjecati na rad komponenata interoperabilnosti ili na dostupnost, cjelovitost i povjerljivost podataka dostavljaju se državama članicama, središnjoj jedinici ETIAS-a i Europolu bez odgode te se prijavljuju u skladu s planom upravljanja incidentima koji treba osigurati agencija eu-LISA.

5.   Dotične države članice, središnja jedinica ETIAS-a, Europol i agencija eu-LISA surađuju u slučaju sigurnosnog incidenta. Komisija provedbenim aktima utvrđuje pojedinosti tog postupka suradnje. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

1.   Ne dovodeći u pitanje pravo na naknadu štete od voditelja obrade ili izvršitelja obrade i njihovu odgovornost u skladu s Uredbom (EU) 2016/679, Direktivom (EU) 2016/680 i Uredbom (EZ) br. 2018/1725:

Predmetna država članica, Europol, Agencija za europsku graničnu i obalnu stražu ili agencija eu-LISA oslobađaju se, u cijelosti ili djelomično, od odgovornosti u skladu s prvim podstavkom ako dokažu da nisu odgovorni za događaj koji je prouzročio nastanak štete.

2.   Ako neka država članica ne ispuni svoje obveze u skladu s ovom Uredbom i time nanese štetu komponentama interoperabilnosti, ta je država članica odgovorna za takvu štetu, osim ako i u mjeri u kojoj je agencija eu-LISA ili druga država članica koja je obvezana ovom Uredbom propustila poduzeti razumne mjere za sprječavanje nastanka štete ili svođenja njezina učinka na najmanju moguću mjeru.

3.   Zahtjevi za naknadu štete protiv države članice zbog štete iz stavaka 1. i 2. uređeni su nacionalnim pravom tužene države članice. Zahtjevi za naknadu štete protiv voditelja obrade ili agencije eu-LISA zbog štete iz stavaka 1. i 2. podliježu uvjetima predviđenima u Ugovorima.

1.   Tijelo koje prikuplja osobne podatke koji trebaju biti pohranjeni u zajedničkom BMS-u, CIR-u ili MID-u pruža osobama čiji se podaci prikupljaju informacije koje se zahtijevaju u skladu s člancima 13. i 14. Uredbe (EU) 2016/679, člancima 12. i 13. Direktive (EU) 2016/680 te člancima 15. i 16. Uredbe (EU) 2018/1725. Tijelo pruža informacije u trenutku prikupljanja tih podataka.

2.   Sve informacije stavljaju se na raspolaganje, uz upotrebu jasnog i jednostavnog jezika, u jezičnoj verziji koju predmetna osoba razumije ili za koju se razumno očekuje da je razumije. To uključuje i pružanje informacija na način prikladan dobi maloljetnih ispitanika.

3.   Osobe čiji su podaci zabilježeni u EES-u, VIS-u ili ETIAS-u obavješćuju se o obradi osobnih podataka za potrebe ove Uredbe u skladu sa stavkom 1. u sljedećim slučajevima:

1.   Kako bi mogla ostvariti svoja prava iz članaka od 15. do 18. Uredbe (EU) 2016/679, članaka od 17. do 20. Uredbe (EU) 2018/1725 i članaka 14., 15. i 16. Direktive (EU) 2016/680, svaka osoba ima pravo obratiti se nadležnom tijelu bilo koje države članice, koja razmatra zahtjev i odgovara na njega.

2.   Država članica koja razmatra takav zahtjev odgovara bez nepotrebne odgode, a u svakom slučaju u roku od 45 dana od primitka zahtjeva. Taj se rok može prema potrebi produljiti za dodatnih 15 dana, uzimajući u obzir složenost i broj zahtjevâ. Država članica koja razmatra zahtjev u roku od 45 dana od zaprimanja zahtjeva obavješćuje ispitanika o svakom takvom produljenju i razlozima odgode. Države članice mogu odlučiti da te odgovore moraju dati središnji uredi.

3.   Ako je zahtjev za ispravljanje ili brisanje osobnih podataka podnesen državi članici koja nije država članica nadležna za ručnu provjeru različitih identiteta, država članica kojoj je podnesen zahtjev stupa u kontakt s tijelima države članice nadležne za ručnu provjeru različitih identiteta u roku od sedam dana. Država članica nadležna za ručnu provjeru različitih identiteta bez odgode, a u svakom slučaju u roku od 30 dana od takvog kontakta, provjerava točnost podataka i zakonitost obrade podataka. Taj se rok može prema potrebi produljiti za dodatnih 15 dana, uzimajući u obzir složenost i broj zahtjevâ. Država članica nadležna za ručnu provjeru različitih identiteta obavješćuje državu članicu koja je s njom stupila u kontakt o svakom takvom produljenju i razlozima odgode. Država članica koja je stupila u kontakt s tijelom države članice nadležne za ručnu provjeru različitih identiteta obavješćuje predmetnu osobu o daljnjem postupku.

4.   Ako je zahtjev za ispravljanje ili brisanje osobnih podataka podnesen državi članici u kojoj je središnja jedinica ETIAS-a bila nadležna za ručnu provjeru različitih identiteta, država članica kojoj je podnesen zahtjev stupa u kontakt sa središnjom jedinicom ETIAS-a u roku od sedam dana kako bi zatražila njezino mišljenje. Središnja jedinica ETIAS-a daje svoje mišljenje bez nepotrebne odgode, a u svakom slučaju u roku od 30 dana nakon što se s njom stupilo u kontakt. Taj se rok može prema potrebi produljiti za dodatnih 15 dana, uzimajući u obzir složenost i broj zahtjevâ. Država članica koja je stupila u kontakt sa središnjom jedinicom ETIAS-a obavješćuje predmetnu osobu o daljnjem postupku.

5.   Ako se nakon pregleda utvrdi da su podaci pohranjeni u MID-u netočni ili da su zabilježeni nezakonito, država članica nadležna za ručnu provjeru različitih identiteta ili, ako nijedna država članica nije bila nadležna za ručnu provjeru različitih identiteta ili ako je središnja jedinica ETIAS-a bila nadležna za ručnu provjeru različitih identiteta, država članica kojoj je podnesen zahtjev, ispravlja ili briše te podatke bez odgode. Predmetnu osobu obavješćuje se u pisanom obliku o tome da su njezini podaci ispravljeni ili izbrisani.

6.   Ako je pojedina država članica izmijenila podatke pohranjene u MID-u tijekom razdoblja njihova zadržavanja, ta država članica provodi obradu utvrđenu u članku 27. i, ako je to relevantno, članku 29. kako bi utvrdila treba li izmijenjene podatke povezati. Ako se obradom ne pronađe nijedna podudarnost, ta država članica briše podatke iz spisa za potvrdu identiteta. Ako se automatiziranom obradom pronađe jedna ili više podudaranosti, ta država članica stvara ili ažurira relevantnu poveznicu u skladu s odgovarajućim odredbama ove Uredbe.

7.   Ako se država članica nadležna za ručnu provjeru različitih identiteta ili, ako je to primjenjivo, država članica kojoj je podnesen zahtjev ne slaže s time da su podaci pohranjeni u MID-u netočni ili da su nezakonito zabilježeni, ona bez odgode donosi upravnu odluku kojom u pisanom obliku objašnjava predmetnoj osobi zbog čega nije spremna ispraviti ili izbrisati podatke koji se odnose na tu osobu.

8.   U odluci iz stavka 7. predmetnu osobu također se obavješćuje o tome da može osporiti odluku donesenu u pogledu zahtjeva za pristup osobnim podacima ili za njihovo ispravljanje, brisanje ili ograničavanje njihove obrade i, ako je to relevantno, o tome kako podnijeti tužbu ili prigovor nadležnim tijelima ili sudovima te o pomoći, između ostalog od nadzornih tijela.

9.   Svaki zahtjev za pristup osobnim podacima ili za njihovo ispravljanje, brisanje ili ograničavanje njihove obrade mora sadržavati informacije nužne za identifikaciju predmetne osobe. Te se informacije upotrebljavaju isključivo kako bi se omogućilo ostvarivanje pravâ iz ovog članka i brišu se odmah nakon toga.

10.   Država članica nadležna za ručnu provjeru različitih identiteta ili, ako je to primjenjivo, država članica kojoj je podnesen zahtjev vodi pisanu evidenciju o tome da je podnesen zahtjev za pristup osobnim podacima, njihovo ispravljanje, brisanje ili ograničavanje njihove obrade i o tome kako se rješavao te tu evidenciju bez odgode stavlja na raspolaganje nadzornim tijelima.

11.   Ovim se člankom ne dovode u pitanje granice i ograničenja prava utvrđenih u ovom članku u skladu s Uredbom (EU) 2016/679 i Direktivom (EU) 2016/680.

1.   Internetski portal uspostavlja se s ciljem lakšeg ostvarivanja prava na pristup osobnim podacima, njihova ispravljanja, brisanja ili ograničavanja njihove obrade.

2.   Internetski portal sadržava informacije o pravima i postupcima iz članaka 47. i 48. te korisničko sučelje koje osobama čiji se podaci obrađuju u MID-u i koje su obaviještene o prisutnosti crvene poveznice u skladu s člankom 32. stavkom 4. omogućuje da dobiju podatke za kontakt nadležnog tijela države članice nadležne za ručnu provjeru različitih identiteta.

3.   Radi dobivanja podataka za kontakt nadležnog tijela države članice nadležne za ručnu provjeru različitih identiteta, osoba čiji se podaci obrađuju u MID-u trebala bi unijeti upućivanje na tijelo nadležno za ručnu provjeru različitih identiteta iz članka 34. točke (d). Internetski portal koristi to upućivanje kako bi preuzeo podatke za kontakt nadležnog tijela države članice nadležne za ručnu provjeru različitih identiteta. Internetski portal sadržava i predložak elektroničke poruke kako bi se olakšala komunikacija između korisnika portala i nadležnog tijela države članice nadležne za ručnu provjeru različitih identiteta. Takva elektronička poruka sadržava polje za jedinstveni identifikacijski broj iz članka 34. točke (c) kako bi se nadležnom tijelu države članice nadležne za ručnu provjeru različitih identiteta omogućilo da identificira predmetne podatke.

4.   Države članice agenciji eu-LISA dostavljaju podatke za kontakt svih tijela koja su nadležna za razmatranje zahtjeva iz članaka 47. i 48. i odgovaranje na njih te redovito provjeravaju jesu li ti podaci za kontakt ažurirani.

5.   Agencija eu-LISA izrađuje internetski portal i osigurava tehničko upravljanje njime.

6.   Komisija donosi delegirani akt u skladu s člankom 73. kojim se utvrđuju detaljna pravila o radu internetskog portala, uključujući korisničko sučelje, jezicima na kojima internetski portal mora biti dostupan i predložak elektroničke poruke.

1.   Svaka država članica osigurava da nadzorna tijela neovisno prate zakonitost obrade osobnih podataka u okviru ove Uredbe koju provodi dotična država članica, uključujući prijenos tih podataka iz komponenata interoperabilnosti i u njih.

2.   Svaka država članica osigurava da se nacionalni zakoni i drugi propisi doneseni na temelju Direktive (EU) 2016/680 primjenjuju, ako je to relevantno, i na pristup policijskih tijela i imenovanih tijela komponentama interoperabilnosti, među ostalim u vezi s pravima osoba čijim se podacima tako pristupa.

3.   Nadzorna tijela osiguravaju da se revizija postupaka obrade osobnih podataka koje za potrebe ove Uredbe provode za to odgovorna nacionalna tijela obavlja u skladu s relevantnim međunarodnim revizijskim standardima barem svake četiri godine.

Nadzorna tijela svake godine objavljuju informacije o broju zahtjeva za ispravak, brisanje ili ograničavanje obrade osobnih podataka, o postupcima poduzetima nakon toga i broju ispravaka, brisanja i ograničavanja obrade provedenih slijedom zahtjevâ predmetnih osoba.

4.   Države članice osiguravaju da njihova nadzorna tijela imaju dostatna sredstva i stručnost za izvršavanje zadaća koje su im povjerene u skladu s ovom Uredbom.

5.   Države članice dostavljaju sve informacije koje zatraži nadzorno tijelo iz članka 51. stavka 1. Uredbe (EU) 2016/679, a posebno informacije o aktivnostima provedenima u skladu s njihovim odgovornostima iz ove Uredbe. Države članice nadzornim tijelima iz članka 51. stavka 1. Uredbe (EU) 2016/679 odobravaju pristup svojim evidencijama iz članaka 10., 16., 24. i 36. ove Uredbe, obrazloženjima iz članka 22. stavka 2. ove Uredbe te im u svakom trenutku omogućuju pristup svim svojim prostorijama koje se koriste za potrebe interoperabilnosti.

1.   Nadzorna tijela i Europski nadzornik za zaštitu podataka, svatko u okviru svojih ovlasti, aktivno surađuju u okviru svojih odgovornosti te osiguravaju koordinirani nadzor nad uporabom komponenata interoperabilnosti i primjenom drugih odredaba ove Uredbe, posebno ako Europski nadzornik za zaštitu podataka ili nadzorno tijelo utvrde velike razlike između praksi država članica ili utvrde moguće nezakonite prijenose uporabom komunikacijskih kanala komponenata interoperabilnosti.

2.   U slučajevima iz stavka 1. ovog članka osigurava se koordinirani nadzor u skladu s člankom 62. Uredbe (EU) 2018/1725.

3.   Europski odbor za zaštitu podataka šalje zajedničko izvješće o svojim aktivnostima iz ovog članka Europskom parlamentu, Vijeću, Komisiji, Europolu, Agenciji za europsku graničnu i obalnu stražu i agenciji eu-LISA do 12. lipnja 2021. i svake dvije godine nakon tog datuma. To izvješće uključuje poglavlje o svakoj državi članici koje je pripremilo nadzorno tijelo dotične države članice.

1.   Agencija eu-LISA osigurava da se središnjim infrastrukturama komponenata interoperabilnosti upravlja u skladu s ovom Uredbom.

2.   Agencija eu-LISA udomljuje komponente interoperabilnosti na poslužitelju na svojim tehničkim pogonima i osigurava funkcionalnosti utvrđene u ovoj Uredbi u skladu s uvjetima sigurnosti, dostupnosti, kvalitete i uspješnosti iz članka 55. stavka 1.

3.   Agencija eu-LISA odgovorna je za razvoj komponenata interoperabilnosti i za sve prilagodbe potrebne za uspostavu interoperabilnosti središnjih sustava EES-a, VIS-a, ETIAS-a, SIS-a, Eurodaca, ECRIS-TCN-a i ESP-a, zajedničkog BMS-a, CIR-a, MID-a i CRRS-a.

Ne dovodeći u pitanje članak 66., agencija eu-LISA nema pristup osobnim podacima obrađenima putem ESP-a, zajedničkog BMS-a, CIR-a ili MID-a.

Agencija eu-LISA određuje oblik fizičke arhitekture komponenata interoperabilnosti, uključujući njihove komunikacijske infrastrukture i tehničke specifikacije i njihov razvoj u pogledu središnje infrastrukture i sigurne komunikacijske infrastrukture, a taj oblik donosi upravni odbor podložno pozitivnom mišljenju Komisije. Agencija eu-LISA provodi i potrebne prilagodbe EES-a, VIS-a, ETIAS-a ili SIS-a koje proizlaze iz uspostave interoperabilnosti i predviđene su ovom Uredbom.

Agencija eu-LISA razvija i provodi komponente interoperabilnosti što prije nakon stupanja na snagu ove Uredbe i nakon što Komisija donese mjere predviđene u članku 8. stavku 2., članku 9. stavku 7., članku 28. stavcima 5. i 7., članku 37. stavku 4., članku 38. stavku 3., članku 39. stavku 5., članku 43. stavku 5. i članku 78. stavku 10.

Razvoj se sastoji od razrade i provedbe tehničkih specifikacija, testiranja i općeg upravljanja i koordinacije projektom.

4.   Tijekom faze projektiranja i razvoja osniva se odbor za upravljanje programom koji ima najviše deset članova. Odbor je sastavljen od sedam članova koje među svojim članovima ili njihovim zamjenicima imenuje upravni odbor agencije eu-LISA, predsjednika savjetodavne skupine za interoperabilnost iz članka 75., člana koji zastupa Agenciju eu-LISA kojeg je imenovao njezin izvršni direktor i jednog člana kojeg imenuje Komisija. Članovi koje imenuje upravni odbor agencije eu-LISA biraju se samo iz onih država članica koje, u skladu s pravom Unije, potpuno obvezuju pravni instrumenti kojima se uređuju razvoj, uspostava, rad i uporaba svih informacijskih sustava EU-a i koje će sudjelovati u komponentama interoperabilnosti.

5.   Odbor za upravljanje programom sastaje se redovito, a najmanje tri puta po tromjesečju. On osigurava odgovarajuće upravljanje fazom projektiranja i razvoja komponenata interoperabilnosti.

Odbor za upravljanje programom svaki mjesec podnosi upravnom odboru agencije eu-LISA pisana izvješća o napretku u provedbi projekta. Odbor za upravljanje programom nema ovlast za donošenje odluka ni mandat za zastupanje članova upravnog odbora agencije eu-LISA.

6.   Upravni odbor agencije eu-LISA utvrđuje poslovnik odbora za upravljanje programom koji osobito uključuje pravila o:

Odborom predsjedava država članica koju na temelju prava Unije u potpunosti obvezuju pravni instrumenti kojima se uređuju razvoj, uspostava, rad i uporaba svih informacijskih sustava EU-a i koja će sudjelovati u komponentama interoperabilnosti.

Sve putne troškove i dnevnice članova odbora za upravljanje programom plaća agencija eu-LISA, te se mutatis mutandis primjenjuje članak 10. Poslovnika agencije eu-LISA. Agencija eu-LISA osigurava tajništvo odbora za upravljanje programom.

Savjetodavna skupina za interoperabilnost iz članka 75. sastaje se redovito do početka rada komponenata interoperabilnosti. Nakon svakog sastanka ta skupina podnosi izvješće odboru za upravljanje programom. Ona osigurava tehničko stručno znanje radi pružanja potpore u obavljanju zadaća odbora za upravljanje programom i izvješćuje o spremnosti država članica.

1.   Nakon početka rada svake komponente interoperabilnosti agencija eu-LISA odgovorna je za tehničko upravljanje središnjom infrastrukturom komponenata interoperabilnosti, uključujući njihovo održavanje i integraciju tehnološkog razvoja. Ona u suradnji s državama članicama osigurava da se upotrebljava najbolja dostupna tehnologija, podložno analizi troškova i koristi. Agencija eu-LISA odgovorna je i za tehničko upravljanje komunikacijskom infrastrukturom iz članaka 6., 12., 17., 25. i 39.

Tehničko upravljanje komponentama interoperabilnosti sastoji se od svih zadaća i tehničkih rješenja potrebnih za održavanje funkcioniranja komponenata interoperabilnosti i pružanje neprekidnih usluga državama članicama i agencijama Unije 24 sata dnevno, 7 dana u tjednu u skladu s ovom Uredbom. Ono uključuje održavanje i tehničke promjene koje su potrebne kako bi se osiguralo funkcioniranje komponenata na odgovarajućoj razini tehničke kvalitete, posebno u pogledu vremena odgovora za pretraživanje središnjih infrastruktura u skladu s tehničkim specifikacijama.

Sve komponente interoperabilnosti moraju se razvijati i njima se mora upravljati na način kojim se jamči brz, neometan, učinkovit i kontroliran pristup, potpuna i neprekidna dostupnost komponenata i podataka pohranjenih u MID-u, zajedničkom BMS-u i CIR-u te vrijeme odgovora usklađeno s operativnim potrebama nadležnih tijela država članica i agencija Unije.

2.   Ne dovodeći u pitanje članak 17. Pravilnika o osoblju za dužnosnike Europske unije, agencija eu-LISA primjenjuje odgovarajuća pravila čuvanja profesionalne tajne ili druge istovjetne dužnosti čuvanja povjerljivosti na svoje osoblje koje je dužno raditi s podacima pohranjenima u komponentama interoperabilnosti. Ta se obveza primjenjuje i nakon što takvo osoblje napusti radno mjesto ili zaposlenje te po prestanku njegovih aktivnosti.

Ne dovodeći u pitanje članak 66., agencija eu-LISA nema pristup osobnim podacima obrađenima putem ESP-a, zajedničkog BMS-a, CIR-a i MID-a.

3.   Agencija eu-LISA razvija i održava mehanizam i postupke za obavljanje kontrole kvalitete podatka pohranjenih u zajedničkom BMS-u i CIR-u u skladu s člankom 37.

4.   Agencija eu-LISA obavlja i zadaće povezane s osposobljavanjem za tehničku uporabu komponenata interoperabilnosti.

1.   Svaka država članica odgovorna je za sljedeće:

2.   Svaka država članica povezuje svoja imenovana tijela s CIR-om.

1.   Propisno ovlašteno osoblje nadležnih tijela država članica, Komisije i agencije eu-LISA ima pristup, u svrhu ostvarivanja uvida, sljedećim podacima povezanima s ESP-om, isključivo za potrebe izvješćivanja i u statističke svrhe:

Identifikacija osoba ne smije biti moguća na temelju tih podataka.

2.   Propisno ovlašteno osoblje nadležnih tijela država članica, Komisije i agencije eu-LISA ima pristup, u svrhu ostvarivanja uvida, sljedećim podacima povezanima s CIR-om, isključivo za potrebe izvješćivanja i u statističke svrhe:

Identifikacija osoba ne smije biti moguća na temelju tih podataka.

3.   Propisno ovlašteno osoblje nadležnih tijela država članica, Komisije i agencije eu-LISA ima pristup, u svrhu ostvarivanja uvida, sljedećim podacima povezanima s MID-om, isključivo za potrebe izvješćivanja i u statističke svrhe:

Identifikacija osoba ne smije biti moguća na temelju tih podataka.

4.   Propisno ovlašteno osoblje Agencije za europsku graničnu i obalnu stražu ima pristup, u svrhu ostvarivanja uvida, podacima iz stavaka 1., 2. i 3. ovog članka za potrebe provedbe analiza rizika i procjena osjetljivosti kako je navedeno u člancima 11. i 13. Uredbe (EU) 2016/1624 Europskog parlamenta i Vijeća (40).

5.   Propisno ovlašteno osoblje Europola ima pristup, u svrhu ostvarivanja uvida, podacima iz stavaka 2. i 3. ovog članka za potrebe provedbe strateških, tematskih i operativnih analiza kako je navedeno u članku 18. stavku 2. točkama (b) i (c) Uredbe (EU) 2016/794.

6.   Za potrebe stavaka 1., 2. i 3. agencija eu-LISA pohranjuje podatke iz tih stavaka u CRRS-u. Identifikacija osoba ne smije biti moguća na temelju podataka iz CRRS-a, ali podaci tijelima iz stavaka 1., 2. i 3. omogućuju da dobiju izvješća i statističke podatke koji se mogu prilagoditi kako bi se poboljšala učinkovitost granične kontrole, pomoglo tim tijelima pri obradi zahtjevâ za vize i poduprlo donošenje politika o migraciji i sigurnosti u Uniji koje je potkrijepljeno dokazima.

7.   Komisija Agenciji Europske unije za temeljna prava na njezin zahtjev stavlja na raspolaganje relevantne informacije kako bi se provela evaluacija učinka ove Uredbe na temeljna prava.

1.   U razdoblju od dvije godine od početka rada ESP-a obveze iz članka 7. stavaka 2. i 4. ne primjenjuju se, a uporaba ESP-a je fakultativna.

2.   Komisija je ovlaštena za donošenje delegiranog akta u skladu s člankom 73. kako bi izmijenila ovu Uredbu jednokratnim produljenjem roka iz stavka 1. ovog članka za najviše godinu dana ako se u procjeni provedbe ESP-a pokaže da je takvo produljenje potrebno, posebice s obzirom na učinak koji bi pokretanje rada ESP-a imalo na organizaciju i duljinu granične kontrole.

1.   Tijekom razdoblja od godine dana nakon što je agencija eu-LISA obavijestila o dovršetku testiranja MID-a iz članka 72. stavka 4. točke (b) i prije početka rada MID-a, središnja jedinica ETIAS-a nadležna je za provedbu otkrivanja višestrukih identiteta uporabom podataka pohranjenih u EES-u, VIS-u, Eurodacu i SIS-u. Otkrivanje višestrukih identiteta obavlja se isključivo uporabom biometrijskih podataka.

2.   Ako je upitom dobivena jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa isti su ili slični, stvara se bijela poveznica u skladu s člankom 33.

Ako je upitom dobivena jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa ne mogu se smatrati sličnima, stvara se žuta poveznica u skladu s člankom 30. te se primjenjuje postupak iz članka 29.

Ako je prijavljeno nekoliko podudarnosti, stvara se poveznica sa svakim podatkom temeljem kojeg je pronađena podudarnost.

3.   Ako je stvorena žuta poveznica, MID središnjoj jedinici ETIAS-a odobrava pristup podacima o identitetu u različitim informacijskim sustavima EU-a.

4.   Ako je stvorena poveznica na upozorenje u SIS-u, osim upozorenja iz članka 3. Uredbe (EU) 2018/1860, članaka 24. i 25. Uredbe (EU) 2018/1861 ili članka 38. Uredbe (EU) 2018/1862, MID uredu SIRENE države članice koja je stvorila upozorenje odobrava pristup podacima o identitetu koji se nalaze u različitim informacijskim sustavima.

5.   Središnja jedinica ETIAS-a ili, u slučajevima iz stavka 4. ovog članka, ured SIRENE države članice koja je stvorila upozorenje imaju pristup povezanim podacima sadržanima u spisu za potvrdu identiteta te ocjenjuju različite identitete i ažuriraju poveznicu u skladu s člancima 31. 32. i 33. i dodaju je spisu za potvrdu identiteta.

6.   Središnja jedinica ETIAS-a obavješćuje Komisiju u skladu s člankom 71. stavkom 3. tek nakon što su sve žute poveznice ručno provjerene i njihov status ažuriran u zelenu, bijelu ili crvenu poveznicu.

7.   Države članice prema potrebi pomažu središnjoj jedinici ETIAS-a u otkrivanju višestrukih identiteta u skladu s ovim člankom.

8.   Komisija je ovlaštena za donošenje delegiranog akta u skladu s člankom 73. kako bi izmijenila ovu Uredbu produljenjem roka iz stavka 1. ovog članka za šest mjeseci, što se može produljiti još dva puta, svaki put za po šest mjeseci. Takvo produljenje odobrava se samo na temelju procjene vremena predviđenog za otkrivanje višestrukih identiteta u skladu s ovim člankom, što dokazuje da se otkrivanje višestrukih identiteta ne može provesti prije isteka bilo preostalog razdoblja iz stavka 1. ovog članka, bilo produljenja koje je u tijeku, zbog razloga koji ne ovise o središnjoj jedinici ETIAS-a i da se ne mogu primijeniti korektivne mjere. Procjena se provodi najkasnije tri mjeseca prije isteka takvog razdoblja ili produljenja koje je u tijeku.

1.   Troškove povezane s uspostavom i radom ESP-a, zajedničkog BMS-a, CIR-a i MID-a snosi opći proračun Unije.

2.   Troškove nastale u vezi s integracijom postojećih nacionalnih infrastruktura i njihovim povezivanjem s nacionalnim jedinstvenim sučeljima te u vezi s udomljavanjem nacionalnih jedinstvenih sučelja na poslužitelju snosi opći proračun Unije.

Isključeni su sljedeći troškovi:

3.   Ne dovodeći u pitanje daljnje financiranje u tu svrhu iz drugih izvora općeg proračuna Europske unije, iz omotnice u iznosu od 791 000 000 EUR mobilizira se iznos od 32 077 000 EUR predviđen u skladu s člankom 5. stavkom 5. točkom (b) Uredbe (EU) br. 515/2014 Europskog parlamenta i Vijeća kako bi se pokrili troškovi provedbe ove Uredbe, kako je predviđeno u stavcima 1. i 2. ovog članka.

4.   Iz omotnice iz stavka 3. agenciji eu-LISA dodjeljuje se 22 861 000 EUR, Europolu 9 072 000 EUR, a Agenciji Europske unije za osposobljavanje u području izvršavanja zakonodavstva (CEPOL) 144 000 EUR kako bi se tim agencijama pružila potpora pri obavljanju njihovih zadaća u skladu s ovom Uredbom. To se financiranje provodi pod neizravnim upravljanjem.

5.   Troškove imenovanih tijela pojedinačno snosi svaka država članica imenovanja. Troškove povezivanja svakog imenovanog tijela s CIR-om snose pojedinačne države članice.

Troškove Europola, između ostalog troškove povezivanja s CIR-om, snosi Europol.

1.   Države članice obavješćuju agenciju eu-LISA o tijelima iz članaka 7., 20., 21. i 26. koja mogu upotrebljavati ESP, CIR i MID ili imati pristup ESP-u, CIR-u i MID-u.

Konsolidirani popis tih tijela objavljuje se u Službenom listu Europske unije u roku od tri mjeseca od datuma početka rada svake od komponenti interoperabilnosti u skladu s člankom 72. U slučaju izmjena popisa agencija eu-LISA jednom godišnje objavljuje ažurirani konsolidirani popis.

2.   Agencija eu-LISA obavješćuje Komisiju o uspješnom dovršetku testiranja iz članka 72. stavka 1. točke (b), stavka 2. točke (b), stavka 3. točke (b), stavka 4. točke (b), stavka 5. točke (b) i stavka 6. točke (b).

3.   Središnja jedinica ETIAS-a obavješćuje Komisiju o uspješnom okončanju prijelaznog razdoblja utvrđenog u članku 69.

4.   Komisija informacije dostavljene na temelju stavka 1. stavlja na raspolaganje državama članicama i javnosti na javnom web-mjestu koje se stalno ažurira.

1.   Komisija provedbenim aktom utvrđuje datum od kojeg ESP treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

ESP postavlja upite u Interpolovim bazama podataka tek kada tehnički dogovori omoguće usklađenost s člankom 9. stavkom 5. Svaka nemogućnost ostvarivanja usklađenosti s člankom 9. stavkom 5. ima za posljedicu da ESP ne postavlja upite u Interpolovim bazama podataka, ali to ne odgađa početak rada ESP-a.

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

2.   Komisija provedbenim aktom utvrđuje datum od kojeg zajednički BMS treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

3.   Komisija provedbenim aktom utvrđuje datum od kojeg CIR treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

4.   Komisija provedbenim aktom utvrđuje datum od kojeg MID treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

5.   Komisija provedbenim aktima utvrđuje datum od kojeg se trebaju upotrebljavati automatizirani mehanizmi i postupci za kontrolu kvalitete podataka, zajednički pokazatelji kvalitete podataka i minimalni standardi kvalitete, nakon što su ispunjeni sljedeći uvjeti:

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

6.   Komisija provedbenim aktom utvrđuje datum od kojeg CRRS treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

7.   Komisija obavješćuje Europski parlament i Vijeće o rezultatima testiranja provedenih na temelju stavka 1. točke (b), stavka 2. točke (b), stavka 3. točke (b), stavka 4. točke (b), stavka 5. točke (b) i stavka 6. točke (b).

8.   Države članice, središnja jedinica ETIAS-a i Europol počinju upotrebljavati svaku od komponenti interoperabilnosti od datuma koji je odredila Komisija u skladu sa stavkom 1., stavkom 2., stavkom 3., odnosno stavkom 4.

1.   Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

2.   Ovlast za donošenje delegiranih akata iz članka 28. stavka 5., članka 39. stavka 5., članka 49. stavka 6., članka 67. stavka 2. i članka 69. stavka 8. dodjeljuje se Komisiji na razdoblje od pet godina počevši od 11. lipnja 2019. Komisija izrađuje izvješće o delegiranju ovlasti najkasnije devet mjeseci prije kraja razdoblja od pet godina. Delegiranje ovlasti prešutno se produljuje za razdoblja jednakog trajanja, osim ako se Europski parlament ili Vijeće tom produljenju usprotive najkasnije tri mjeseca prije kraja svakog razdoblja.

3.   Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 28. stavka 5., članka 39. stavka 5., članka 49. stavka 6., članka 67. stavka 2. i članka 69. stavka 8. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4.   Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5.   Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6.   Delegirani akt donesen na temelju članka 28. stavka 5., članka 39. stavka 5., članka 49. stavka 6., članka 67. stavka 2. i članka 69. stavka 8. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća.

1.   Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.   Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Ako odbor ne da nikakvo mišljenje, Komisija ne donosi nacrt provedbenog akta i primjenjuje se članak 5. stavak 4. treći podstavak Uredbe (EU) br. 182/2011.

1.   Agencija eu-LISA osigurava uspostavu postupaka za praćenje razvoja komponenata interoperabilnosti i njihovu vezu s nacionalnim jedinstvenim sučeljem s obzirom na ciljeve koji se odnose na planiranje i troškove te za praćenje funkcioniranja komponenata interoperabilnosti s obzirom na ciljeve koji se odnose na tehničke rezultate, troškovnu učinkovitost, sigurnost i kvalitetu usluge.

2.   Do 12. prosinca 2019. te svakih šest mjeseci nakon tog datuma tijekom faze razvoja komponenata, agencija eu-LISA Europskom parlamentu i Vijeću podnosi izvješće o trenutačnom stanju u pogledu razvoja svake komponente interoperabilnosti kao i njihove veze s nacionalnim jedinstvenim sučeljem. Nakon završetka faze razvoja, Europskom parlamentu i Vijeću podnosi se izvješće u kojem se podrobno objašnjava na koji su način ispunjeni ciljevi, a posebno oni koji se odnose na planiranje i troškove, te se obrazlažu eventualna odstupanja.

3.   Četiri godine nakon početka rada svake komponente interoperabilnosti u skladu s člankom 72. i svake četiri godine nakon toga agencija eu-LISA podnosi Europskom parlamentu, Vijeću i Komisiji izvješće o tehničkom funkcioniranju komponenata interoperabilnosti i o njihovoj sigurnosti.

4.   Nadalje, jednu godinu nakon svakog izvješća agencije eu-LISA Komisija izrađuje sveobuhvatnu evaluaciju komponenata interoperabilnosti, koja uključuje sljedeće:

Sveobuhvatna evaluacija iz prvog podstavka ovog stavka uključuje sve potrebne preporuke. Komisija podnosi izvješće o evaluaciji Europskom parlamentu, Vijeću, Europskom nadzorniku za zaštitu podataka i Agenciji Europske unije za temeljna prava.

5.   Komisija do 12. lipnja 2020. i svake godine nakon tog datuma sve dok se ne donesu provedbeni akti Komisije iz članka 72. podnosi izvješće Europskom parlamentu i Vijeću o trenutačnom stanju priprema za potpunu provedbu ove Uredbe. To izvješće sadržava i detaljne informacije o nastalim troškovima i informacije o svim rizicima koji mogu utjecati na sveukupne troškove.

6.   Dvije godine nakon početka rada MID-a u skladu s člankom 72. stavkom 4., Komisija izrađuje analizu učinka MID-a na pravo na nediskriminaciju. Nakon tog prvog izvješća analiza učinka MID-a na pravo na nediskriminaciju postaje dio analize iz stavka 4. točke (b) ovog članka.

7.   Države članice i Europol dostavljaju agenciji eu-LISA i Komisiji informacije koje su potrebne za sastavljanje izvješća iz stavaka od 3. do 6. Te informacije ne ugrožavaju metode rada i ne uključuju informacije koje otkrivaju izvore, članove osoblja ili istrage imenovanih tijela.

8.   Agencija eu-LISA Komisiji dostavlja informacije potrebne za izradu sveobuhvatne evaluacije iz stavka 4.

9.   Uz poštovanje odredaba nacionalnog prava o objavi osjetljivih informacija i ne dovodeći u pitanje ograničenja koja su potrebna za zaštitu sigurnosti i javni poretka, sprječavanje kaznenih djela i jamčenje da se neće ugroziti nacionalne istrage, svaka država članica i Europol izrađuju godišnja izvješća o učinkovitosti pristupa podacima pohranjenima u CIR-u za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela, koji uključuju informacije i statističke podatke o sljedećem:

Godišnja izvješća koja pripremaju države članice i Europol šalju se Komisiji do 30. lipnja sljedeće godine.

10.   Državama članicama na raspolaganje se stavlja tehničko rješenje kako bi se olakšalo upravljanje zahtjevima za pristup korisnika iz članka 22. i olakšalo prikupljanje informacija u skladu sa stavcima 7. i 9. ovog članka u svrhu sastavljanja izvješća i statističkih podataka iz tih stavaka. Komisija donosi provedbene akte kako bi utvrdila specifikacije tehničkog rješenja. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.