ISSN 1977-0847

Službeni list

Europske unije

L 135

European flag  

Hrvatsko izdanje

Zakonodavstvo

Godište 62.
22. svibnja 2019.


Sadržaj

 

I.   Zakonodavni akti

Stranica

 

 

UREDBE

 

*

Uredba (EU) 2019/816 Europskog parlamenta i Vijeća od 17. travnja 2019. o uspostavi centraliziranog sustava za utvrđivanje država članica koje imaju podatke o osuđujućim presudama protiv državljana trećih zemalja i osoba bez državljanstva (sustav ECRIS-TCN) za dopunu Europskog informacijskog sustava kaznene evidencije te o izmjeni Uredbe (EU) 2018/1726

1

 

*

Uredba (EU) 2019/817 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području granica i viza i izmjeni uredaba (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 i (EU) 2018/1861 Europskog parlamenta i Vijeća te odluka Vijeća 2004/512/EZ i 2008/633/PUP

27

 

*

Uredba (EU) 2019/818 Europskog parlamenta i vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području policijske i pravosudne suradnje, azila i migracija i izmjeni uredaba (EU) 2018/1726, (EU) 2018/1862 i (EU) 2019/816

85

HR

Akti čiji su naslovi tiskani običnim slovima su oni koji se odnose na svakodnevno upravljanje poljoprivrednim pitanjima, a općenito vrijede ograničeno razdoblje.

Naslovi svih drugih akata tiskani su masnim slovima, a prethodi im zvjezdica.


I. Zakonodavni akti

UREDBE

22.5.2019   

HR

Službeni list Europske unije

L 135/1


UREDBA (EU) 2019/816 EUROPSKOG PARLAMENTA I VIJEĆA

od 17. travnja 2019.

o uspostavi centraliziranog sustava za utvrđivanje država članica koje imaju podatke o osuđujućim presudama protiv državljana trećih zemalja i osoba bez državljanstva (sustav ECRIS-TCN) za dopunu Europskog informacijskog sustava kaznene evidencije te o izmjeni Uredbe (EU) 2018/1726

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 82. stavak 1. drugi podstavak točku (d),

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

u skladu s redovnim zakonodavnim postupkom (1),

budući da:

(1)

Unija si je postavila cilj da svojim građanima ponudi područje slobode, sigurnosti i pravde bez unutarnjih granica na kojem je osigurano slobodno kretanje osoba. Taj bi cilj, među ostalim, trebalo postići s pomoću odgovarajućih mjera za sprječavanje i suzbijanje kriminaliteta, uključujući organizirani kriminalitet i terorizam.

(2)

Za ostvarivanje tog cilja potrebno je da se podaci o osuđujućim presudama izrečenima u državama članicama uzmu u obzir izvan države članice koja je izrekla osuđujuću presudu tijekom novog kaznenog postupka, kako je utvrđeno u Okvirnoj odluci Vijeća 2008/675/PUP (2), kao i radi sprječavanja novih kaznenih djela.

(3)

Taj cilj podrazumijeva razmjenu podataka iz kaznene evidencije među nadležnim tijelima država članica. Takva se razmjena podataka organizira i olakšava s pomoću pravila utvrđenih u Okvirnoj odluci Vijeća 2009/315/PUP (3) i s pomoću Europskog informacijskog sustava kaznene evidencije (ECRIS) koji je uspostavljen Odlukom Vijeća 2009/316/PUP (4).

(4)

Međutim, postojećim pravnim okvirom za ECRIS ne razmatraju se dovoljno posebnosti zahtjeva koji se odnose na državljane trećih zemalja. Iako je već moguće razmjenjivati podatke o državljanima trećih zemalja putem ECRIS-a, ne postoji zajednički postupak ili mehanizam Unije kojim se to može obavljati učinkovito, brzo i točno.

(5)

U Uniji se podaci o državljanima trećih zemalja ne prikupljaju kao što je to slučaj za državljane država članica u državama članicama državljanstva, nego se samo pohranjuju u državama članicama u kojima su izrečene osuđujuće presude. Potpuni pregled kaznene evidencije državljanina treće zemlje može se stoga utvrditi samo ako se takvi podaci zatraže od svih država članica.

(6)

Takvim se „općim zahtjevima” nameće nerazmjerno administrativno opterećenje svim državama članicama, među ostalim i onima koje nemaju podatke o određenom državljaninu treće zemlje. U praksi se tim opterećenjem države članice odvraća od toga da zatraže podatke o državljanima trećih zemalja od drugih država članica, čime se ozbiljno ometa razmjena podataka među njima, a njihov se pristup podacima iz kaznene evidencije ograničava na podatke koji su pohranjeni u njihovu nacionalnom registru. Posljedica je toga povećan rizik od neučinkovite i nepotpune razmjene podataka među državama članicama, što potom utječe na razinu sigurnosti i zaštite koja se pruža građanima i osobama koje borave u Uniji.

(7)

Kako bi se stanje poboljšalo, trebalo bi uspostaviti sustav s pomoću kojega središnje tijelo države članice može odmah i učinkovito saznati koje druge države članice imaju podatke iz kaznene evidencije o državljaninu treće zemlje („sustav ECRIS-TCN”). Postojeći okvir ECRIS-a mogao bi se tada upotrijebiti da se od tih država članica zatraže podaci iz kaznene evidencije u skladu s Okvirnom odlukom 2009/315/PUP.

(8)

Ovom bi Uredbom stoga trebalo utvrditi pravila o uspostavi centraliziranog sustava na razini Unije koji sadržava osobne podatke te pravila o podjeli odgovornosti između države članice i organizacije odgovorne za razvoj i održavanje centraliziranog sustava, kao i sve posebne odredbe o zaštiti podataka potrebne kako bi se dopunilo postojeće aranžmane za zaštitu podataka i osiguralo prikladnu cjelokupnu razinu zaštite podataka, sigurnosti podataka te zaštite temeljnih prava dotičnih osoba.

(9)

Kako bi se ostvario cilj kojim se građanima Unije nudi područje slobode, sigurnosti i pravde bez unutarnjih granica u kojem je osigurano slobodno kretanje osoba, potrebni su i potpuni podaci o osuđujućim presudama i u vezi s građanima Unije koji imaju i državljanstvo treće zemlje. U područje primjene ove Uredbe potrebno je uključiti građane Unije koji imaju i državljanstvo treće zemlje s obzirom na to da postoji mogućnost da bi se te osobe mogle predstaviti kao da imaju jedno državljanstvo ili nekoliko državljanstava, a različite osuđujuće presude mogle bi biti pohranjene u državi članici koja je izrekla osuđujuću presudu ili u državi članici državljanstva. Isključenjem tih osoba podaci pohranjeni u sustavu ECRIS-TCN bili bi nepotpuni. Time bi se ugrozila pouzdanost sustava. Međutim, budući da takve osobe imaju državljanstvo Unije, uvjeti pod kojima se podaci o otiscima prstiju mogu uključiti u sustav ECRIS-TCN s obzirom na te osobe trebali bi biti usporedivi s uvjetima pod kojima se podaci o otiscima prstiju građana Unije razmjenjuju među državama članicama u okviru sustava ECRIS uspostavljenog Okvirnom odlukom 2009/315/PUP i Odlukom 2009/316/PUP. Stoga bi, u odnosu na građane Unije koji imaju i državljanstvo treće zemlje, podatke o otiscima prstiju trebalo uključiti u sustav ECRIS-TCN samo ako su prikupljeni u skladu s nacionalnim pravom tijekom kaznenog postupka, pri čemu se podrazumijeva da bi se za takvo uključivanje države članice trebale moći koristiti podacima o otiscima prstiju prikupljenima za druge svrhe osim kaznenog postupka, ako je takva upotreba dopuštena nacionalnim pravom.

(10)

Sustavom ECRIS-TCN trebalo bi omogućiti obradu podataka o otiscima prstiju u svrhu utvrđivanja država članica koje posjeduju podatke iz kaznene evidencije o državljaninu treće zemlje. Njime bi također trebalo omogućiti obradu prikaza lica kako bi se potvrdio njihov identitet. Ključno je da se unošenjem i upotrebom podataka o otiscima prstiju i prikaza lica ne premašuje ono što je nužno potrebno za ostvarivanje cilja, poštuju temeljna prava, kao i najbolji interesi djece, te poštuju primjenjiva pravila Unije o zaštiti podataka.

(11)

S obzirom na njezino iskustvo u upravljanju drugim opsežnim sustavima u području pravosuđa i unutarnjih poslova, zadaću razvoja sustava ECRIS-TCN i rada s njime trebalo bi povjeriti Agenciji Europske unije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (agencija eu-LISA), osnovanoj Uredbom (EU) 2018/1726 Europskog parlamenta i Vijeća (5). Njezin bi se mandat trebalo izmijeniti tako da se uvaže te nove zadaće.

(12)

Agencija eu-LISA trebalo bi dobiti primjerena financijska sredstava i osoblje za ispunjavanje odgovornosti na temelju ove Uredbe.

(13)

S obzirom na potrebu stvaranja bliskih tehničkih poveznica između sustava ECRIS-TCN i sustava ECRIS, agenciji eu-LISA trebalo bi povjeriti i zadaću daljnjeg razvoja i održavanja referentnog implementacijskog računalnog programa za ECRIS te bi njezin mandat trebalo izmijeniti kako bi se to uvažilo.

(14)

Četiri države članice razvile su vlastiti nacionalni implementacijski računalni program za ECRIS u skladu s Odlukom 2009/316/PUP te se za razmjenu podataka iz kaznene evidencije koriste njime umjesto referentnim implementacijskim računalnim programom za ECRIS. Imajući u vidu posebna obilježja koja su te države članice uvele u svoje sustave za nacionalnu upotrebu, kao i njihova ulaganja, trebalo bi im omogućiti da se koriste svojim nacionalnim implementacijskim računalnim programom za ECRIS i za potrebe sustava ECRIS-TCN, pod uvjetom da se poštuju uvjeti utvrđeni ovom Uredbom.

(15)

Sustav ECRIS-TCN trebao bi sadržavati samo podatke o identitetu državljana trećih zemalja kojima je osuđujuću presudu izrekao kazneni sud u Uniji. Takvi podaci o identitetu trebali bi uključivati alfanumeričke podatke i podatke o otiscima prstiju. Trebalo bi biti moguće uključiti i prikaze lica u onoj mjeri u kojoj se pravom države članice u kojoj je izrečena osuđujuća presuda dopušta prikupljanje i pohranjivanje prikaza lica osuđene osobe.

(16)

Alfanumerički podaci koje države članice trebaju unijeti u središnji sustav trebali bi se uključivati prezime i imena osuđene osobe, kao i, ako su takvi podaci dostupni središnjem tijelu, bilo koji pseudonim ili drugo ime te osobe. Ako dotična država članica ima saznanja o drukčijim osobnim podacima, poput različitog pisanja imena na drugom pismu, trebalo bi biti moguće uključiti takve podatke u središnji sustav kao dodatne podatke.

(17)

Alfanumerički podaci također bi trebali kao dodatne podatke uključivati identifikacijski broj ili vrstu i broj identifikacijskih isprava dotične osobe, kao i naziv tijela koje je izdalo te isprave, ako su takvi podaci dostupni središnjem tijelu. Država članica trebala bi nastojati provjeriti vjerodostojnost identifikacijskih isprava prije unošenja relevantnih podataka u središnji sustav. U svakom slučaju, s obzirom na to da bi takvi podaci mogli biti nepouzdani, trebalo bi ih upotrebljavati s oprezom.

(18)

Središnja tijela trebala bi upotrebljavati sustav ECRIS-TCN za utvrđivanje država članica koje imaju podatke iz kaznene evidencije o državljaninu treće zemlje ako su u dotičnoj državi članici zatraženi podaci iz kaznene evidencije o toj osobi u svrhe kaznenog postupka protiv te osobe ili u svrhe navedene u ovoj Uredbi. Iako bi se u svim takvim slučajevima načelno trebao upotrebljavati sustav ECRIS-TCN, tijelo odgovorno za provedbu kaznenog postupka trebalo bi moći odlučiti da se sustav ECRIS-TCN ne bi smio upotrebljavati ako to ne bi bilo primjereno u okolnostima slučaja, npr. u određenim vrstama hitnog kaznenog postupka, u slučajevima provoza, ako su podaci iz kaznene evidencije nedavno dobiveni putem ECRIS-a, ili u pogledu lakših kažnjivih djela, osobito manjih prometnih prekršaja, lakših kažnjivih djela u vezi s općim općinskim propisima i manjih prekršaja javnog reda.

(19)

Države članice trebale bi moći upotrebljavati sustav ECRIS-TCN i za druge svrhe uz one utvrđene u ovoj Uredbi, ako je to predviđeno na temelju nacionalnog prava i u skladu s njim. Međutim, kako bi se unaprijedila transparentnost upotrebe sustava ECRIS-TCN, države članice trebale bi o takvim drugim svrhama obavijestiti Komisiju koja bi trebala osigurati objavu svih obavijesti u Službenom listu Europske unije.

(20)

Druga tijela koja traže podatke iz kaznene evidencije također bi trebala moći odlučiti da se sustav ECRIS-TCN ne bi smio upotrebljavati ako to ne bi bilo primjereno u okolnostima slučaja, npr. ako je potrebno obaviti određene standardne administrativne provjere u pogledu stručnih kvalifikacija osobe, posebice ako je poznato da se podaci iz kaznene evidencije neće tražiti od drugih država članica, neovisno o rezultatu pretraživanja u sustavu ECRIS-TCN. Međutim, sustav ECRIS-TCN trebalo bi uvijek upotrebljavati ako je zahtjev za podatke iz kaznene evidencije podnijela osoba koja traži podatke o vlastitoj kaznenoj evidenciji u skladu s Okvirnom odlukom 2009/315/PUP, ili ako je taj zahtjev podnesen kako bi se dobili podaci iz kaznene evidencije u skladu s Direktivom 2011/93/EU Europskog parlamenta i Vijeća (6).

(21)

Državljani trećih zemalja trebali bi imati pravo dobiti podatke u pisanom obliku o vlastitoj kaznenoj evidenciji u skladu s pravom države članice u kojoj traže da im se dostave takvi podaci i u skladu s Okvirnom odlukom 2009/315/PUP. Prije dostavljanja takvih podataka državljaninu treće zemlje dotična država članica trebala bi poslati upit sustavu ECRIS-TCN.

(22)

Građane Unije koji imaju i državljanstvo treće zemlje uključit će se u sustav ECRIS-TCN samo ako nadležna tijela imaju saznanja da takve osobe imaju državljanstvo treće zemlje. Ako nadležna tijela nemaju saznanja da građani Unije imaju i državljanstvo treće zemlje, ipak je moguće da takve osobe imaju prethodne osuđujuće presude kao državljani treće zemlje. Kako bi se osiguralo da nadležna tijela imaju potpun pregled kaznene evidencije, trebala bi postojati mogućnost slanja upita sustavu ECRIS-TCN kako bi se u pogledu građanina Unije provjerilo ima li neka država članica podatke iz kaznene evidencije o toj osobi kao državljaninu treće zemlje.

(23)

U slučaju da se podaci zabilježeni u središnjem sustavu podudaraju s podacima koje je država članica upotrijebila za pretraživanje (pogodak), podatke o identitetu u vezi s kojima je zabilježen pogodak trebalo bi dostaviti zajedno s pogotkom. Rezultat pretraživanja trebala bi upotrebljavati središnja tijela samo u svrhu podnošenja zahtjeva putem sustava ECRIS ili Agencija Europske unije za suradnju u kaznenom pravosuđu (Eurojust) osnovana Uredbom (EU) 2018/1727 Europskog parlamenta i Vijeća (7), Agencija Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) osnovana Uredbom (EU) 2016/794 Europskog parlamenta i Vijeća (8) i Ured europskog javnog tužitelja („EPPO”) osnovan Uredbom Vijeća (EU) 2017/1939 (9) samo u svrhu podnošenja zahtjeva za podatke o osuđujućim presudama, kako je navedeno u ovoj Uredbi.

(24)

U prvom redu, prikazi lica uključeni u sustav ECRIS-TCN trebali se upotrebljavati samo u svrhe potvrđivanja identiteta državljanina treće zemlje kako bi se utvrdile države članice koje imaju podatke o prethodnim osuđujućim presudama koje se odnose na tog državljanina treće zemlje. U budućnosti bi se prikazi lica trebali moći upotrebljavati za automatizirano biometrijsko traženje podudarnosti, pod uvjetom da tehnički i politički zahtjevi za to budu ispunjeni. Uzimajući u obzir nužnost i proporcionalnost, kao i tehnička kretanja u području računalnih programa za prepoznavanje lica, Komisija bi trebala procijeniti dostupnost i spremnost potrebne tehnologije prije donošenja delegiranog akta o upotrebi prikaza lica u svrhu identificiranja državljana trećih zemalja kako bi se utvrdile države članice koje imaju podatke o prethodnim osuđujućim presudama koje se odnose na te osobe.

(25)

Upotreba biometrijskih podataka potrebna je zbog toga što je to najpouzdanija metoda za identifikaciju državljana trećih zemalja na državnom području država članica koji često nemaju isprave ni bilo kakva druga sredstva identifikacije, kao i za pouzdanije traženje podudarnosti među podacima o državljanima trećih zemalja.

(26)

Države članice trebale bi u središnji sustav unijeti podatke o otiscima prstiju osuđenih državljana trećih zemalja koji su prikupljeni u skladu s nacionalnim pravom tijekom kaznenog postupka. Kako bi im u središnjem sustavu bili dostupni što je moguće potpuniji podaci o identitetu, države članice trebale bi moći u središnji sustav unijeti i podatke o otiscima prstiju koji su prikupljeni za druge svrhe osim za kazneni postupak, ako su ti podaci o otiscima prstiju dostupni za upotrebu u okviru kaznenog postupka u skladu s nacionalnim pravom.

(27)

Ovom Uredbom trebali bi se utvrditi minimalni kriteriji u pogledu podataka o otiscima prstiju koje bi države članice trebale uključiti u središnji sustav. Države članice trebale bi moći odabrati hoće li unijeti podatke o otiscima prstiju državljana trećih zemalja koji su osuđeni na kaznu zatvora u trajanju od najmanje šest mjeseci ili unijeti podatke o otiscima prstiju državljana trećih zemalja koji su osuđeni za kazneno djelo koje je u skladu s pravom dotične države članice kažnjivo kaznom zatvora u maksimalnom trajanju od najmanje 12 mjeseci.

(28)

Države članice trebale bi u sustavu ECRIS-TCN izraditi evidenciju o osuđenim državljanima trećih zemalja. Ako je moguće, to bi se trebalo raditi automatski i bez nepotrebne odgode nakon što se njihova osuđujuća presuda unese u nacionalnu kaznenu evidenciju. Države članice trebale bi, u skladu s ovom Uredbom, unijeti u središnji sustav alfanumeričke podatke i podatke o otiscima prstiju koji se odnose na osuđujuće presude izrečene nakon datuma početka unosa podataka u sustav ECRIS-TCN. Od istog datuma, i u bilo kojem trenutku nakon toga, države članice trebale bi moći u središnji sustav unijeti prikaze lica.

(29)

Države članice također bi trebale, u skladu s ovom Uredbom, u sustavu ECRIS-TCN izraditi evidenciju o državljanima trećih zemalja osuđenima prije datuma početka unosa podataka kako bi se osigurala najveća moguća učinkovitost sustava. Međutim, države članice ne bi trebale imati obvezu prikupljati u tu svrhu podatke koji nisu već bili uneseni u njihovu kaznenu evidenciju prije datuma početka unosa podataka. Podatke o otiscima prstiju državljana trećih zemalja prikupljene u vezi s takvim prethodnim osuđujućim presudama trebalo bi uključiti samo ako su prikupljeni tijekom kaznenog postupka te ako dotična država članica smatra da se može ustanoviti njihova jasna podudarnost s drugim podacima o identitetu iz kaznene evidencije.

(30)

Poboljšanjem razmjene podataka o osuđujućim presudama trebalo bi se državama članicama pomoći u provedbi Okvirne odluke 2008/675/PUP, u skladu s kojom su države članice tijekom novog kaznenog postupka dužne uzeti u obzir prethodne osuđujuće presude u drugim državama članicama, u mjeri u kojoj se prethodne nacionalne osuđujuće presude uzimaju u obzir u skladu s nacionalnim pravom.

(31)

Ako se u sustavu ECRIS-TCN prikaže pogodak, to samo po sebi ne bi trebalo značiti da je dotični državljanin treće zemlje osuđen u naznačenim državama članicama. Postojanje prethodnih osuđujućih presuda trebalo bi se potvrditi samo na temelju podataka dobivenih iz kaznene evidencije dotičnih država članica.

(32)

Neovisno o mogućnosti upotrebe financijskih programa Unije u skladu s primjenjivim pravilima, svaka država članica trebala bi snositi svoje troškove koji proizlaze iz provedbe, upravljanja, upotrebe i održavanja vlastite baze podataka kaznenih evidencija i nacionalnih baza podataka otisaka prstiju, kao i iz provedbe, upravljanja, upotrebe i održavanja tehničkih prilagodbi potrebnih za upotrebu sustava ECRIS-TCN, uključujući njihova povezivanja sa središnjom nacionalnom pristupnom točkom.

(33)

Eurojust, Europol i EPPO trebali bi imati pristup sustavu ECRIS-TCN u svrhu utvrđivanja država članica koje imaju podatke iz kaznene evidencije o državljaninu treće zemlje kako bi imali potporu za svoje propisane zadaće. Eurojust bi također trebao imati izravan pristup sustavu ECRIS-TCN za potrebe obavljanja zadaće u okviru ove Uredbe da djeluje kao kontaktna točka za treće zemlje i međunarodne organizacije, ne dovodeći u pitanje primjenu načelâ pravosudne suradnje u kaznenim stvarima, uključujući pravila o uzajamnoj pravnoj pomoći. Iako bi trebalo uzeti u obzir stajalište država članica koje ne sudjeluju u pojačanoj suradnji u vezi s osnivanjem EPPO-a, EPPO-u ne bi trebalo odbiti pristup podacima o osuđujućim presudama samo na temelju činjenice da dotična država članica ne sudjeluje u toj pojačanoj suradnji.

(34)

Ovom se Uredbom uspostavljaju stroga pravila o pristupu sustavu ECRIS-TCN i potrebne zaštitne mjere, uključujući odgovornost država članica u pogledu prikupljanja i upotrebe podataka. Njome se također utvrđuje na koji način pojedinci mogu ostvariti svoje pravo na naknadu štete, pristup, ispravak, brisanje i pravnu zaštitu, a posebno pravo na djelotvoran pravni lijek i nadzor nad postupcima obrade od strane neovisnih javnih tijela. Njome se stoga poštuju temeljna prava i slobode sadržana osobito u Povelji Europske unije o temeljnim pravima, uključujući pravo na zaštitu osobnih podataka, načelo jednakosti pred zakonom i opću zabranu diskriminacije. U tom se pogledu njome također uzimaju u obzir Europska konvencija za zaštitu ljudskih prava i temeljnih sloboda, Međunarodni pakt o građanskim i političkim pravima te druge obveze povezane s ljudskim pravima u skladu s međunarodnim pravom.

(35)

Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća (10) trebala bi se primjenjivati na obradu osobnih podataka koju provode nadležna nacionalna tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (11) trebala bi se primjenjivati na obradu osobnih podataka koju provode nacionalna tijela ako takva obrada nije obuhvaćena područjem primjene Direktive (EU) 2016/680. Koordinirani nadzor trebalo bi osigurati u skladu s Uredbom (EU) 2018/1725 Europskog parlamenta i Vijeća (12), koju bi trebalo primjenjivati i na obradu osobnih podataka koju provodi agencija eu-LISA.

(36)

U pogledu prethodnih osuđujućih presuda, središnja tijela trebala bi unijeti alfanumeričke podatke do isteka razdoblja za unos podataka u skladu s ovom Uredbom, dok bi podatke o otiscima prstiju trebala unijeti u roku od dvije godine od datuma početka rada sustava ECRIS-TCN. Države članice trebale bi moći sve podatke istodobno unijeti, pod uvjetom da se poštuju ti rokovi.

(37)

Trebalo bi utvrditi pravila o odgovornosti za štetu država članica, Eurojusta, Europola, EPPO-a i agencije eu-LISA u odnosu na štetu nastalu zbog bilo koje povrede ove Uredbe.

(38)

Kako bi se poboljšalo utvrđivanje država članica koje imaju podatke o prethodnim osuđujućim presudama koje se odnose na državljane trećih zemalja, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije (UFEU) u vezi s dopunom ove Uredbe na način da se predvidi upotreba prikaza lica u svrhu identificiranja državljana trećih zemalja radi utvrđivanja država članica koje imaju podatke o prethodnim osuđujućim presudama. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016. (13). Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(39)

Radi osiguranja jedinstvenih uvjeta za uspostavu sustava ECRIS-TCN i operativno upravljanje njime, provedbene ovlasti trebalo bi dodijeliti Komisiji. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (14).

(40)

Države članice trebale bi što je prije moguće poduzeti mjere potrebne za usklađivanje s ovom Uredbom kako bi se osiguralo pravilno funkcioniranje sustava ECRIS-TCN, uzimajući u obzir vrijeme koje je potrebno agenciji eu-LISA za razvoj i provedbu sustava ECRIS-TCN. Međutim, države članice trebale bi imati najmanje 36 mjeseci nakon stupanja na snagu ove Uredbe da poduzmu mjere radi usklađivanja s ovom Uredbom.

(41)

S obzirom na to da cilj ove Uredbe, to jest omogućivanje brze i učinkovite razmjene točnih podataka iz kaznene evidencije o državljanima trećih zemalja, ne mogu dostatno ostvariti države članice, nego se uspostavom zajedničkih pravila on na bolji način može ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji (UEU). U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tog cilja.

(42)

U skladu s člancima 1. i 2. Protokola br. 22 o stajalištu Danske, priloženog UEU-u i UFEU-u, Danska ne sudjeluje u donošenju ove Uredbe te ona za nju nije obvezujuća niti se na nju primjenjuje.

(43)

U skladu s člancima 1. i 2. te člankom 4.a stavkom 1. Protokola br. 21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područje slobode, sigurnosti i pravde, priloženog UEU-u i UFEU-u, i ne dovodeći u pitanje članak 4. navedenog protokola, Irska ne sudjeluje u donošenju ove Uredbe te ona za nju nije obvezujuća niti se na nju primjenjuje.

(44)

U skladu s člankom 3. i člankom 4.a stavkom 1. Protokola br. 21, Ujedinjena Kraljevina je obavijestila da želi sudjelovati u donošenju i primjeni ove Uredbe.

(45)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 Europskog parlamenta i Vijeća (15) te je on dao mišljenje 12. prosinca 2017. (16),

DONIJELI SU OVU UREDBU:

POGLAVLJE I.

Opće odredbe

Članak 1.

Predmet

Ovom se Uredbom uspostavljaju:

(a)

sustav za utvrđivanje država članica koje imaju podatke o prethodnim osuđujućim presudama koje se odnose na državljane trećih zemalja („sustav ECRIS-TCN”);

(b)

uvjeti na temelju kojih se središnja tijela koriste sustavom ECRIS-TCN kako bi dobila podatke o takvim prethodnim osuđujućim presudama s pomoću Europskog informacijskog sustava kaznene evidencije (ECRIS) koji je uspostavljen Odlukom 2009/316/PUP, kao i uvjeti na temelju kojih se Eurojust, Europol i EPPO koriste sustavom ECRIS-TCN.

Članak 2.

Područje primjene

Ova Uredba primjenjuje se na obradu podataka o identitetu državljana trećih zemalja kojima su izrečene osuđujuće presude u državama članicama u svrhu utvrđivanja država članica u kojima su takve osuđujuće presude izrečene. Uz iznimku članka 5. stavka 1. točke (b) podtočke ii., one odredbe ove Uredbe koje se primjenjuju na državljane trećih zemalja primjenjuju se i na građane Unije koji imaju i državljanstvo treće zemlje i kojima su izrečene osuđujuće presude u državama članicama.

Članak 3.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

1.

„osuđujuća presuda” znači bilo koja pravomoćna odluka kaznenog suda protiv fizičke osobe s obzirom na kazneno djelo, u mjeri u kojoj je ta odluka upisana u kaznenu evidenciju države članice koja je izrekla osuđujuću presudu;

2.

„kazneni postupak” znači faza koja prethodi suđenju, faza suđenja i izvršenje osuđujuće presude;

3.

„kaznena evidencija” znači nacionalni registar ili nacionalni registri u kojima su evidentirane osuđujuće presude u skladu s nacionalnim pravom;

4.

„država članica koja je izrekla osuđujuću presudu” znači država članica u kojoj je izrečena osuđujuća presuda;

5.

„središnje tijelo” znači tijelo imenovano u skladu s člankom 3. stavkom 1. Okvirne odluke 2009/315/PUP;

6.

„nadležna tijela” znači središnja tijela te Eurojust, Europol i EPPO, koji imaju ovlasti za pristup ili slanje upita sustavu ECRIS-TCN u skladu s ovom Uredbom;

7.

„državljanin treće zemlje” znači osoba koja nije građanin Unije u smislu članka 20. stavka 1. UFEU-a ili koja je osoba bez državljanstva ili osoba čije državljanstvo nije poznato;

8.

„središnji sustav” znači baza podataka, odnosno baze podataka, koje razvija i održava agencija eu-LISA, a u kojima su drže podaci o identitetu državljana trećih zemalja kojima su izrečene osuđujuće presude u državama članicama;

9.

„softver sučelja” znači računalni program koji imaju nadležna tijela i koji im omogućuje pristup središnjem sustavu putem komunikacijske infrastrukture iz članka 4. stavka 1. točke (d);

10.

„podaci o identitetu” znači alfanumerički podaci, podaci o otiscima prstiju i prikazi lica koji se upotrebljavaju kako bi se uspostavila veza između tih podataka i fizičke osobe;

11.

„alfanumerički podaci” znači podaci izraženi slovima, brojkama, posebnim znakovima, razmacima između znakova i interpunkcijskim znakovima;

12.

„podaci o otiscima prstiju” znači podaci koji se odnose na ravne otiske i otiske uzete zakretanjem svih prstiju osobe;

13.

„prikaz lica” znači digitalni prikaz lica osobe;

14.

„pogodak” znači podudarnost ili podudarnosti utvrđene usporedbom podataka o identitetu zabilježenih u središnjem sustavu i podataka o identitetu upotrijebljenih za pretraživanje;

15.

„središnja nacionalna pristupna točka” znači nacionalna točka povezivanja s komunikacijskom infrastrukturom iz članka 4. stavka 1. točke (d);

16.

„referentni implementacijski računalni program za ECRIS” znači računalni program koji je Komisija razvila i stavila na raspolaganje državama članicama za razmjenu podataka iz kaznene evidencije putem ECRIS-a;

17.

„nacionalno nadzorno tijelo” znači neovisno javno tijelo koje je država članica osnovala na temelju primjenjivih pravila Unije o zaštiti podataka;

18.

„nadzorna tijela” znači Europski nadzornik za zaštitu podataka i nacionalna nadzorna tijela.

Članak 4.

Tehnička struktura sustava ECRIS-TCN

1.   Sustav ECRIS-TCN sastoji se od:

(a)

središnjeg sustava, u kojem su pohranjeni podaci o identitetu osuđenih državljana trećih zemalja;

(b)

središnje nacionalne pristupne točke u svakoj državi članici;

(c)

softvera sučelja kojim se omogućuje povezivanje nadležnih tijela sa središnjim sustavom putem središnjih nacionalnih pristupnih točki i komunikacijske infrastrukture iz točke (d);

(d)

komunikacijske infrastrukture između središnjeg sustava i središnjih nacionalnih pristupnih točki.

2.   Središnji sustav smješten je u tehničkim pogonima agencije eu-LISA.

3.   Softver sučelja integrira se s referentnim implementacijskim računalnim programom za ECRIS. Za slanje upita sustavu ECRIS-TCN te za slanje naknadnih zahtjeva za podatke iz kaznene evidencije države članice koriste se referentnim implementacijskim računalnim programom za ECRIS ili, u okolnostima i pod uvjetima utvrđenima u stavcima od 4. do 8., nacionalnim implementacijskim računalnim programom za ECRIS.

4.   Odgovornost je država članica koje upotrebljavaju svoj nacionalni implementacijski računalni program za ECRIS da osiguraju da se njihovim nacionalnim implementacijskim računalnim programom za ECRIS omogućuje njihovim nacionalnim tijelima nadležnima za kaznenu evidenciju korištenje sustavom ECRIS-TCN, uz iznimku softvera sučelja, u skladu s ovom Uredbom. U tu svrhu, prije datuma početka rada sustava ECRIS-TCN u skladu s člankom 35. stavkom 4., one osiguravaju da njihov nacionalni implementacijski računalni program za ECRIS funkcionira u skladu s protokolima i tehničkim specifikacijama utvrđenima u provedbenim aktima iz članka 10. kao i u skladu sa svim daljnjim tehničkim zahtjevima koje na osnovi tih provedbenih akata utvrdi agencija eu-LISA na temelju ove Uredbe.

5.   Sve dok ne upotrebljavaju referentni implementacijski računalni program za ECRIS, države članice koje upotrebljavaju svoj nacionalni implementacijski računalni program za ECRIS također osiguravaju, bez nepotrebne odgode, provedbu svih naknadnih tehničkih prilagodbi svojeg nacionalnog implementacijskog računalnog programa za ECRIS koje su potrebne zbog bilo kojih promjena tehničkih specifikacija utvrđenih u provedbenim aktima iz članka 10. ili zbog promjena bilo kojih daljnjih tehničkih zahtjeva koje na osnovi tih provedbenih akata utvrdi agencija eu-LISA na temelju ove Uredbe.

6.   Države članice koje upotrebljavaju svoj nacionalni implementacijski računalni program za ECRIS snose sve troškove u odnosu na provedbu, održavanje i daljnji razvoj svojeg nacionalnog implementacijskog računalnog programa za ECRIS te njegovu povezanost sa sustavom ECRIS-TCN, uz iznimku softvera sučelja.

7.   Ako država članica koja upotrebljava svoj nacionalni implementacijski računalni program za ECRIS nije u mogućnosti ispuniti svoje obveze na temelju ovog članka, ona je obvezna upotrebljavati referentni implementacijski računalni program za ECRIS, uključujući integrirani softver sučelja, kako bi se mogla koristiti sustavom ECRIS-TCN.

8.   Dotične države članice dostavljaju Komisiji sve potrebne informacije s obzirom na procjenu koju Komisija treba provesti u skladu s člankom 36. stavkom 10. točkom (b).

POGLAVLJE II.

Unošenje i upotreba podataka od strane središnjih tijela

Članak 5.

Unos podataka u sustav ECRIS-TCN

1.   Za svakog osuđenog državljanina treće zemlje središnje tijelo države članice koja je izrekla osuđujuću presudu izrađuje zapis podataka u središnjem sustavu. Taj zapis podataka uključuje:

(a)

kad je riječ o alfanumeričkim podacima:

i.

podatke koje treba uključiti osim ako u pojedinačnim slučajevima takvi podaci nisu poznati središnjem tijelu (obvezni podaci):

prezime,

ime (imena),

datum rođenja,

mjesto rođenja (grad i zemlja),

državljanstvo ili državljanstva,

spol,

prethodna imena ako je primjenjivo,

oznaku države članice koja je izrekla osuđujuću presudu;

ii.

podatke koje treba uključiti ako su uneseni u kaznenu evidenciju (neobvezni podaci):

imena roditelja;

iii.

podatke koje treba uključiti ako su dostupni središnjem tijelu (dodatni podaci):

identifikacijski broj ili vrstu i broj identifikacijskih isprava osobe, kao i naziv tijela koje je izdalo te isprave,

pseudonimi ili druga imena;

(b)

kad je riječ o podacima o otiscima prstiju:

i.

podatke o otiscima prstiju koji su prikupljeni u skladu s nacionalnim pravom tijekom kaznenog postupka;

ii.

barem podatke o otiscima prstiju prikupljene na osnovi bilo kojeg od sljedećih kriterija:

ako je državljanin treće zemlje osuđen na kaznu zatvora u trajanju od najmanje šest mjeseci,

ili

ako je državljanin treće zemlje osuđen za kazneno djelo koje je u skladu s pravom države članice kažnjivo kaznom zatvora u maksimalnom trajanju od najmanje 12 mjeseci.

2.   Podaci o otiscima prstiju iz stavka 1. točke (b) ovog članka imaju tehničke specifikacije za kvalitetu, razlučivost i obradu podataka o otiscima prstiju predviđene u provedbenom aktu iz članka 10. stavka 1. točke (b). Referentni broj podataka o otiscima prstiju osuđene osobe uključuje oznaku države članice koja je izrekla osuđujuću presudu.

3.   Zapis podataka može sadržavati i prikaze lica osuđenog državljanina treće zemlje ako se pravom države članice koja je izrekla osuđujuću presudu dopušta prikupljanje i pohranjivanje prikaza lica osuđenih osoba.

4.   Država članica koja je izrekla osuđujuću presudu izrađuje zapis podataka automatski, ako je to moguće, i bez nepotrebne odgode nakon što se osuđujuća presuda unese u kaznenu evidenciju.

5.   Države članice koje su izrekle osuđujuće presude izrađuju zapise podataka i za osuđujuće presude izrečene prije datuma početka unosa podataka u skladu s člankom 35. stavkom 1. u mjeri u kojoj su podaci povezani s osuđenim osobama pohranjeni u njihovim nacionalnim bazama podataka. U tim slučajevima podatke o otiscima prstiju uključuje se samo ako su prikupljeni tijekom kaznenog postupka u skladu s nacionalnim pravom te ako se može ustanoviti njihova jasna podudarnost s drugim podacima o identitetu iz kaznene evidencije.

6.   Kako bi ispunile obveze utvrđene u stavku 1. točki (b) podtočkama i. i ii. te stavku 5., države članice mogu upotrebljavati podatke o otiscima prstiju koji su prikupljeni u druge svrhe osim kaznenog postupka, ako je takva upotreba dopuštena nacionalnim pravom.

Članak 6.

Prikazi lica

1.   Do stupanja na snagu delegiranog akta predviđenog u stavku 2. prikazi lica mogu se upotrebljavati samo za potvrđivanje identiteta državljanina treće zemlje koji je identificiran na temelju alfanumeričkog pretraživanja ili pretraživanja upotrebom podataka o otiscima prstiju.

2.   Komisija je ovlaštena za donošenje delegiranih akata u skladu s člankom 37. kojima se ova Uredba dopunjuje u pogledu upotrebe prikaza lica u svrhu identificiranja državljana trećih zemalja kako bi se, kada to postane tehnički moguće, utvrdile države članice koje imaju podatke o prethodnim osuđujućim presudama koje se odnose na takve osobe. Prije izvršavanja te ovlasti i vodeći računa o nužnosti i proporcionalnosti, kao i o tehničkim kretanjima u području računalnih programa za prepoznavanje lica, Komisija procjenjuje dostupnost i spremnost potrebne tehnologije.

Članak 7.

Upotreba sustava ECRIS-TCN za utvrđivanje država članica koje imaju podatke iz kaznene evidencije

1.   Središnja tijela koriste se sustavom ECRIS-TCN za utvrđivanje država članica koje imaju podatke iz kaznene evidencije o državljaninu treće zemlje kako bi dobila podatke o prethodnim osuđujućim presudama putem ECRIS-a, ako su u dotičnoj državi članici zatraženi podaci iz kaznene evidencije o toj osobi u svrhu kaznenog postupka protiv te osobe, ili u bilo koju od sljedećih svrha, ako je to predviđeno na temelju nacionalnog prava i u skladu s njim:

provjere vlastite kaznene evidencije osobe na njezin zahtjev,

sigurnosnog odobrenja,

dobivanja dozvole ili odobrenja,

provjere u svrhu zapošljavanja,

provjere za dobrovoljne aktivnosti koje uključuju izravne i redovite kontakte s djecom ili ranjivim osobama,

vize, stjecanja državljanstva i migracijskih postupaka, uključujući postupke azila, i

provjera u vezi s ugovorima o javnoj nabavi i javnim ispitivanjima.

Međutim, u posebnim slučajevima osim onih u kojima državljanin treće zemlje zatraži od središnjeg tijela podatke o vlastitoj kaznenoj evidenciji, ili ako se zahtjev podnosi u svrhu dobivanja podataka iz kaznene evidencije u skladu s člankom 10. stavkom 2. Direktive 2011/93/EU, tijelo koje traži podatke iz kaznene evidencije može odlučiti da takva upotreba sustava ECRIS-TCN nije primjerena.

2.   Ako je to predviđeno na temelju nacionalnog prava i u skladu s njim, svaka država članica koja odluči upotrebljavati sustav ECRIS-TCN u bilo koje druge svrhe osim onih iz stavka 1. kako bi dobila podatke o prethodnim osuđujućim presudama putem ECRIS-a obavješćuje Komisiju o takvim drugim svrhama i svim promjenama u vezi s tim svrhama do datuma početka rada, kako je navedeno u članku 35. stavku 4., ili u bilo koje doba nakon toga. Komisija objavljuje takve obavijesti u Službenom listu Europske unije u roku od 30 dana od primitka obavijesti.

3.   Eurojust, Europol i EPPO imaju pravo slati upite sustavu ECRIS-TCN radi utvrđivanja država članica koje imaju podatke iz kaznene evidencije o državljaninu treće zemlje u skladu s člancima od 14. do 18. Međutim, oni ne smiju unositi nikakve podatke u sustav ECRIS-TCN, niti ih ispravljati ili brisati.

4.   U svrhe iz stavaka 1., 2. i 3. nadležna tijela također mogu slati upite sustavu ECRIS-TCN kako bi u pogledu građanina Unije provjerila ima li bilo koja država članica podatke iz kaznene evidencije o toj osobi kao državljaninu treće zemlje.

5.   Prilikom slanja upita sustavu ECRIS-TCN nadležna tijela mogu se služiti svim ili samo nekim od podataka iz članka 5. stavka 1. Najmanji skup podataka koji je potreban za slanje upita sustavu utvrđuje se u provedbenom aktu donesenom u skladu s člankom 10. stavkom 1. točkom (g).

6.   Nadležna tijela također mogu slati upite sustavu ECRIS-TCN koristeći se prikazima lica, pod uvjetom da je takva funkcija ugrađena u skladu s člankom 6. stavkom 2.

7.   U slučaju pogotka središnji sustav nadležnom tijelu automatski dostavlja podatke o državama članicama koje imaju podatke iz kaznene evidencije o državljaninu treće zemlje, zajedno s pridruženim referentnim brojevima i svim pripadajućim podacima o identitetu. Takvi podaci o identitetu upotrebljavaju se samo za potrebe provjere identiteta dotičnog državljanina treće zemlje. Rezultat pretraživanja u središnjem sustavu može se upotrijebiti samo u svrhu podnošenja zahtjeva u skladu s člankom 6. Okvirne odluke 2009/315/PUP ili zahtjeva iz članka 17. stavka 3. ove Uredbe.

8.   Ako nema pogotka, središnji sustav automatski o tome obavješćuje nadležno tijelo.

POGLAVLJE III.

Zadržavanje i mijenjanje podataka

Članak 8.

Razdoblje zadržavanja za pohranu podataka

1.   Svaki zapis podataka pohranjuje se u središnjem sustavu sve dok su podaci povezani s osuđujućim presudama protiv dotične osobe pohranjeni u kaznenoj evidenciji.

2.   Po isteku razdoblja zadržavanja iz stavka 1. središnje tijelo države članice koja je izrekla osuđujuću presudu briše zapis podataka iz središnjeg sustava, uključujući sve podatke o otiscima prstiju ili prikaze lica. To se brisanje prema mogućnosti čini automatski, a u svakom slučaju najkasnije mjesec dana nakon isteka razdoblja zadržavanja.

Članak 9.

Mijenjanje i brisanje podataka

1.   Države članice mogu mijenjati ili brisati podatke koje su unijele u sustav ECRIS-TCN.

2.   Za svako mijenjanje podataka iz kaznene evidencije zbog kojih je izrađen zapis podataka u skladu s člankom 5., država članica koja je izrekla osuđujuću presudu bez nepotrebne odgode provodi istovjetno mijenjanje podataka pohranjenih u tom zapisu podataka u središnjem sustavu.

3.   Ako država članica koja je izrekla osuđujuću presudu opravdano smatra da su podaci koje je zabilježila u središnjem sustavu netočni ili da su ti podaci u središnjem sustavu obrađeni protivno ovoj Uredbi, ona:

(a)

odmah pokreće postupak za provjeru točnosti dotičnih podataka ili zakonitosti njihove obrade, ovisno o slučaju;

(b)

prema potrebi i bez nepotrebne odgode ispravlja ili briše podatke iz središnjeg sustava.

4.   Ako država članica, koja nije država članica koja je izrekla osuđujuću presudu i unijela podatke, opravdano smatra da su podaci zabilježeni u središnjem sustavu netočni ili da su ti podaci u središnjem sustavu obrađeni protivno ovoj Uredbi, ona bez nepotrebne odgode kontaktira središnje tijelo države članice koja je izrekla osuđujuću presudu.

Država članica koja je izrekla osuđujuću presudu:

(a)

odmah pokreće postupak za provjeru točnosti dotičnih podataka ili zakonitosti njihove obrade, ovisno o slučaju;

(b)

prema potrebi i bez nepotrebne odgode ispravlja ili briše podatke iz središnjeg sustava;

(c)

bez nepotrebne odgode obavješćuje drugu državu članicu o tome da su podaci ispravljeni ili izbrisani, ili o razlozima zbog kojih podaci nisu ispravljeni ili izbrisani.

POGLAVLJE IV.

Razvoj, rad i odgovornosti

Članak 10.

Donošenje provedbenih akata Komisije

1.   Komisija što je prije moguće donosi provedbene akte potrebne za tehnički razvoj i provedbu sustava ECRIS-TCN, a posebno akte o:

(a)

tehničkim specifikacijama za obradu alfanumeričkih podataka;

(b)

tehničkim specifikacijama za kvalitetu, razlučivost i obradu podataka o otiscima prstiju;

(c)

tehničkim specifikacijama za softver sučelja;

(d)

tehničkim specifikacijama za kvalitetu, razlučivost i obradu prikaza lica u svrhe navedene i pod uvjetima navedenima u članku 6.;

(e)

kvaliteti podataka, uključujući mehanizam i postupke za provjere kvalitete podataka;

(f)

unosu podataka u skladu s člankom 5.;

(g)

pristupu i slanju upita sustavu ECRIS-TCN u skladu s člankom 7.;

(h)

mijenjanju i brisanju podataka u skladu s člancima 8. i 9.;

(i)

vođenju evidencije i pristupu evidenciji u skladu s člankom 31.;

(j)

radu središnjeg repozitorija te pravilima o sigurnosti podataka i zaštiti podataka koja se primjenjuju na repozitorij, u skladu s člankom 32.;

(k)

pružanju statističkih podataka u skladu s člankom 32.;

(l)

zahtjevima u pogledu funkcioniranja i dostupnosti sustava ECRIS-TCN, uključujući minimalne specifikacije i zahtjeve u vezi s biometrijskom učinkovitosti sustava ECRIS-TCN, posebice u pogledu tražene stope lažno pozitivnih rezultata identifikacije i stope lažno negativnih rezultata identifikacije.

2.   Provedbeni akti iz stavka 1. donose se u skladu s postupkom ispitivanja iz članka 38. stavka 2.

Članak 11.

Razvoj sustava ECRIS-TCN i operativno upravljanje njime

1.   Agencija eu-LISA odgovorna je za razvoj sustava ECRIS-TCN u skladu s načelom tehničke i integrirane zaštite podataka. Povrh toga, agencija eu-LISA odgovorna je za operativno upravljanje sustavom ECRIS-TCN. Razvoj se sastoji od razrade i provedbe tehničkih specifikacija, testiranja i sveobuhvatne koordinacije projekta.

2.   Agencija eu-LISA odgovorna je i za daljnji razvoj i održavanje referentnog implementacijskog računalnog programa za ECRIS.

3.   Agencija eu-LISA određuje oblikovanje fizičke strukture sustava ECRIS-TCN, uključujući njegove tehničke specifikacije i razvoj u pogledu središnjeg sustava, središnje nacionalne pristupne točke te softvera sučelja. To oblikovanje usvaja njezin upravni odbor, podložno pozitivnom mišljenju Komisije.

4.   Agencija eu-LISA razvija i provodi sustav ECRIS-TCN što je prije moguće nakon stupanja na snagu ove Uredbe te nakon što Komisija donese provedbene akte predviđene u članku 10.

5.   Prije faze oblikovanja i razvoja sustava ECRIS-TCN upravni odbor agencije eu-LISA osniva Odbor za upravljanje programom koji se sastoji od deset članova.

Odbor za upravljanje programom sastoji se od osam članova koje imenuje upravni odbor, predsjednika savjetodavne skupine iz članka 39. i jednog člana kojeg imenuje Komisija. Članovi koje imenuje upravni odbor biraju se isključivo iz onih država članica za koje su u skladu s pravom Unije u potpunosti obvezujući zakonodavni instrumenti kojima se uređuje ECRIS i koje će sudjelovati u sustavu ECRIS-TCN. Upravni odbor osigurava da članovi koje imenuje u Odbor za upravljanje programom imaju potrebno iskustvo i stručno znanje u području razvoja informatičkih sustava kojima se podupiru pravosudna tijela i tijela nadležna za kaznenu evidenciju, i upravljanja tim sustavima.

Agencija eu-LISA sudjeluje u radu Odbora za upravljanje programom. Predstavnici agencije eu-LISA u tu svrhu prisustvuju sastancima Odbora za upravljanje programom kako bi izvješćivali o radu na oblikovanju i razvoju sustava ECRIS-TCN te o svim drugim povezanim aktivnostima i radu.

Odbor za upravljanje programom sastaje se najmanje svaka tri mjeseca te češće ako je to potrebno. Odbor osigurava prikladno upravljanje fazom oblikovanja i razvoja sustava ECRIS-TCN te osigurava usklađenost između središnjih i nacionalnih projekata sustava ECRIS-TCN te usklađenost s nacionalnim implementacijskim računalnim programom za ECRIS. Odbor za upravljanje programom redovito, po mogućnosti svakog mjeseca, upravnom odboru agencije eu-LISA podnosi pisana izvješća o napretku projekta. Odbor za upravljanje programom nema ovlasti za donošenje odluka ni mandat za zastupanje članova upravnog odbora.

6.   Odbor za upravljanje programom utvrđuje svoj poslovnik, koji osobito uključuje pravila o:

(a)

predsjedavanju;

(b)

mjestima sastanaka;

(c)

pripremi sastanaka;

(d)

prisustvovanju stručnjaka sastancima;

(e)

planovima za komuniciranje kojima se osigurava da su članovi upravnog odbora koji ne sudjeluju u projektu u potpunosti obaviješteni.

7.   Odborom za upravljanje programom predsjeda država članica za koju su u skladu s pravom Unije u potpunosti obvezujući zakonodavni instrumenti kojima se uređuje sustav ECRIS i zakonodavni instrumenti kojima se uređuju razvoj, uspostava, rad i upotreba svih opsežnih informacijskih sustava kojima upravlja agencija eu-LISA.

8.   Agencija članovima Odbora za upravljanje programom plaća sve njihove putne troškove i troškove boravka. Članak 10. Poslovnika agencije eu-LISA primjenjuje se mutatis mutandis. Agencija eu-LISA vodi tajništvo Odbora za upravljanje programom.

9.   Tijekom faze oblikovanja i razvoja savjetodavna skupina iz članka 39. sastoji se od nacionalnih voditelja projekta za sustav ECRIS-TCN, a njome predsjedava agencija eu-LISA. Ona se tijekom faze oblikovanja i razvoja sastaje redovito, prema mogućnosti najmanje jednom mjesečno, sve do početka rada sustava ECRIS-TCN. Nakon svakog sastanka ona podnosi izvješće Odboru za upravljanje programom. Ona osigurava tehničko stručno znanje za pružanje podrške u obavljanju zadaća Odbora za upravljanje programom te prati stanje priprema u državama članicama.

10.   Kako bi se osigurala povjerljivost i cjelovitost podataka pohranjenih u sustavu ECRIS-TCN u svakom trenutku, agencija eu-LISA u suradnji s državama članicama osigurava odgovarajuće tehničke i organizacijske mjere, uzimajući u obzir najnovija dostignuća, trošak provedbe i rizike koje predstavlja obrada.

11.   Agencija eu-LISA odgovorna je za sljedeće zadaće povezane s komunikacijskom infrastrukturom iz članka 4. stavka 1. točke (d):

(a)

nadzor;

(b)

sigurnost;

(c)

koordinaciju odnosa između država članica i pružatelja komunikacijske infrastrukture.

12.   Komisija je odgovorna za sve druge zadaće povezane s komunikacijskom infrastrukturom iz članka 4. stavka 1. točke (d), a osobito za:

(a)

zadaće povezane s izvršenjem proračuna;

(b)

nabavu i obnovu;

(c)

ugovorna pitanja.

13.   Agencija eu-LISA razvija i održava mehanizam i postupke za provjere kvalitete podataka pohranjenih u sustavu ECRIS-TCN te podnosi redovita izvješća državama članicama. Agencija eu-LISA Komisiji redovito podnosi izvješća u kojima se navode uočeni problemi i države članice na koje se ti problemi odnose.

14.   Operativno upravljanje sustavom ECRIS-TCN sastoji se od svih zadaća potrebnih za rad sustava ECRIS-TCN u skladu s ovom Uredbom, a posebno rada na održavanju i tehničkog razvoja koji su potrebni kako bi se osiguralo da sustav ECRIS-TCN radi na zadovoljavajućoj razini u skladu s tehničkim specifikacijama.

15.   Agencija eu-LISA obavlja zadaće povezane s pružanjem osposobljavanja u vezi s tehničkom upotrebom sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS.

16.   Ne dovodeći u pitanje članak 17. Pravilnika o osoblju za dužnosnike Europske unije, utvrđenog Uredbom Vijeća (EEZ, Euratom, EZUČ) br. 259/68 (17), agencija eu-LISA primjenjuje odgovarajuća pravila za čuvanje profesionalne tajne ili druge jednakovrijedne obveze u pogledu povjerljivosti na svoje cjelokupno osoblje koje mora raditi s podacima registriranima u središnjem sustavu. Ta se obveza nastavlja primjenjivati i nakon što to osoblje napusti dužnost ili radno mjesto odnosno po prestanku njihovih aktivnosti.

Članak 12.

Odgovornosti država članica

1.   Svaka je država članica odgovorna za:

(a)

osiguravanje sigurne veze između svoje nacionalne kaznene evidencije i baza podataka otisaka prstiju te središnje nacionalne pristupne točke;

(b)

razvoj, rad i održavanje veze iz točke (a);

(c)

osiguravanje veze između svojih nacionalnih sustava i referentnog implementacijskog računalnog programa za ECRIS;

(d)

upravljanje i mehanizme za pristup propisno ovlaštenog osoblja središnjih tijela sustavu ECRIS-TCN u skladu s ovom Uredbom te za uspostavu i redovito ažuriranje popisa tog osoblja i profilâ iz članka 19. stavka 3. točke (g).

2.   Prije nego li osoblju svojeg središnjeg tijela koje ima pravo pristupa sustavu ECRIS-TCN odobri obradu podataka pohranjenih u središnjem sustavu, svaka država članica tom osoblju osigurava odgovarajuće osposobljavanje, koje osobito obuhvaća pravila o sigurnosti podataka i zaštiti podataka te primjenjiva temeljna prava.

Članak 13.

Odgovornost za upotrebu podataka

1.   U skladu s primjenjivim pravilima Unije o zaštiti podataka, svaka država članica osigurava da se podaci zabilježeni u sustavu ECRIS-TCN zakonito obrađuju, a posebno:

(a)

da pristup podacima ima samo propisno ovlašteno osoblje radi obavljanja svojih zadaća;

(b)

da se podaci prikupljaju zakonito i uz potpuno poštovanje ljudskog dostojanstva i temeljnih prava državljanina treće zemlje;

(c)

da se podaci zakonito unose u sustav ECRIS-TCN;

(d)

da su podaci točni i ažurirani u trenutku unošenja u sustav ECRIS-TCN.

2.   Agencija eu-LISA osigurava da se sustavom ECRIS-TCN upravlja u skladu s ovom Uredbom, delegiranim aktom iz članka 6. stavka 2. i provedbenim aktima iz članka 10. te u skladu s Uredbom (EU) 2018/1725. Agencija eu-LISA osobito poduzima potrebne mjere kako bi osigurala sigurnost središnjeg sustava i komunikacijske infrastrukture iz članka 4. stavka 1. točke (d), ne dovodeći u pitanje odgovornosti svake države članice.

3.   Agencija eu-LISA što je prije moguće obavješćuje Europski parlament, Vijeće i Komisiju, kao i Europskog nadzornika za zaštitu podataka o mjerama koje poduzima u skladu sa stavkom 2. u svrhu početka rada sustava ECRIS-TCN.

4.   Komisija podatke iz stavka 3. stavlja na raspolaganje državama članicama i javnosti na javnim internetskim stranicama koje se redovito ažuriraju.

Članak 14.

Pristup Eurojusta, Europola i EPPO-a

1.   Eurojust ima izravan pristup sustavu ECRIS-TCN za potrebe provedbe članka 17., te za izvršavanje svojih zadaća iz članka 2. Uredbe (EU) 2018/1727, radi utvrđivanja država članica koje imaju podatke o prethodnim osuđujućim presudama koje se odnose na državljane trećih zemalja.

2.   Europol ima izravan pristup sustavu ECRIS-TCN za potrebe izvršavanja svojih zadaća iz članka 4. stavka 1. točaka od (a) do (e) i (h) Uredbe (EU) 2016/794 radi utvrđivanja država članica koje imaju podatke o prethodnim osuđujućim presudama koje se odnose na državljane trećih zemalja.

3.   EPPO ima izravan pristup sustavu ECRIS-TCN za potrebe izvršavanja svojih zadaća iz članka 4. Uredbe (EU) 2017/1939 radi utvrđivanja država članica koje imaju podatke o prethodnim osuđujućim presudama koje se odnose na državljane trećih zemalja.

4.   U slučaju pogotka kojim se naznačuju države članice koje u imaju podatke iz kaznene evidencije o određenom državljaninu treće zemlje, Eurojust, Europol i EPPO mogu se poslužiti svojim kontaktima s nacionalnim tijelima tih država članica kako bi zatražili podatke iz kaznene evidencije na način predviđen u njihovim osnivačkim aktima.

Članak 15.

Pristup ovlaštenog osoblja Eurojusta, Europola i EPPO-a

Eurojust, Europol i EPPO odgovorni su za upravljanje pristupom propisno ovlaštenog osoblja sustavu ECRIS-TCN i s njime povezane aranžmane u skladu s ovom Uredbom te za uspostavu i redovito ažuriranje popisa takvog osoblja i njihovih profila.

Članak 16.

Odgovornosti Eurojusta, Europola i EPPO-a

Eurojust, Europol i EPPO:

(a)

uspostavljaju tehnička sredstva za povezivanje sa sustavom ECRIS-TCN i odgovorni su za održavanje te poveznice;

(b)

osiguravaju odgovarajuće osposobljavanje, koje osobito obuhvaća pravila o sigurnosti podataka i zaštiti podataka te primjenjiva temeljna prava, članovima svojeg osoblja koji imaju pravo pristupa sustavu ECRIS-TCN prije nego ih ovlaste za obradu podataka pohranjenih u središnjem sustavu;

(c)

osiguravaju da su osobni podaci koje obrađuju na temelju ove Uredbe zaštićeni u skladu s primjenjivim pravilima o zaštiti podataka.

Članak 17.

Kontaktna točka za treće zemlje i međunarodne organizacije

1.   Treće zemlje i međunarodne organizacije mogu, za potrebe kaznenog postupka, uputiti Eurojustu svoje zahtjeve za podatke o tome koje države članice, ako postoje, imaju podatke iz kaznene evidencije o državljaninu treće zemlje. U tu svrhu koriste se standardnim obrascem koji je naveden u Prilogu ovoj Uredbi.

2.   Kada Eurojust zaprimi zahtjev u skladu sa stavkom 1., on upotrebljava sustav ECRIS-TCN kako bi utvrdio koje države članice, ako postoje, imaju podatke iz kaznene evidencije o dotičnom državljaninu treće zemlje.

3.   U slučaju pogotka Eurojust provjerava s državom članicom koja ima podatke iz kaznene evidencije o dotičnom državljaninu treće zemlje je li suglasna s time da Eurojust obavijesti treću zemlju ili međunarodnu organizaciju o nazivu dotične države članice. Ako ta država članica da svoju suglasnost, Eurojust obavješćuje treću zemlju ili međunarodnu organizaciju o nazivu te države članice i o tome kako može toj državi članici uputiti zahtjev za izvatke iz kaznene evidencije u skladu s primjenjivim postupcima.

4.   Ako nema pogotka ili ako Eurojust ne može dati odgovor u skladu sa stavkom 3. na zahtjeve podnesene u skladu s ovim člankom, Eurojust obavješćuje dotičnu treću zemlju ili međunarodnu organizaciju da je dovršio postupak, a pri tome ne naznačuje ima li jedna od država članica podatke iz kaznene evidencije o dotičnoj osobi.

Članak 18.

Dostavljanje podataka trećoj zemlji, međunarodnoj organizaciji ili privatnoj stranci

Ni Eurojust, ni Europol, ni EPPO ni bilo koje središnje tijelo ne smiju trećoj zemlji, međunarodnoj organizaciji ili privatnoj stranci prenijeti ili staviti na raspolaganje podatke dobivene iz sustava ECRIS-TCN o državljaninu treće zemlje. Ovim člankom ne dovodi se u pitanje članak 17. stavak 3.

Članak 19.

Sigurnost podataka

1.   Agencija eu-LISA poduzima potrebne mjere kako bi osigurala sigurnost sustava ECRIS-TCN, ne dovodeći u pitanje odgovornosti svake države članice i uzimajući u obzir zaštitne mjere navedene u stavku 3.

2.   U pogledu rada sustava ECRIS-TCN, agencija eu-LISA poduzima potrebne mjere kako bi se ostvarili ciljevi utvrđeni u stavku 3., uključujući donošenje sigurnosnog plana te plana kontinuiteta poslovanja i oporavka u slučaju katastrofe, te kako bi se osiguralo da se ugrađeni sustavi mogu ponovno uspostaviti u slučaju prekida.

3.   Države članice osiguravaju sigurnost podataka prije i tijekom njihova prijenosa do središnje nacionalne pristupne točke i primanja s te točke. Svaka država članica osobito:

(a)

fizički zaštićuje podatke, među ostalim izradom planova za zaštitu infrastrukture u nepredviđenim situacijama;

(b)

neovlaštenim osobama uskraćuje pristup nacionalnim objektima u kojima država članica provodi djelatnosti povezane sa sustavom ECRIS-TCN;

(c)

sprječava neovlašteno čitanje, umnožavanje, mijenjanje ili uklanjanje nosača podataka;

(d)

sprječava neovlašten unos podataka i neovlašteno pregledavanje, mijenjanje ili brisanje pohranjenih osobnih podataka;

(e)

sprječava neovlaštenu obradu podataka u sustavu ECRIS-TCN i svaku neovlaštenu mijenjanje ili brisanje podataka obrađenih u sustavu ECRIS-TCN;

(f)

osigurava da osobe koje su ovlaštene pristupiti sustavu ECRIS-TCN imaju pristup samo podacima obuhvaćenima svojim odobrenjem pristupa, i to isključivo s pomoću identiteta pojedinačnih korisnika i povjerljivih načina pristupa;

(g)

osigurava da sva nadležna tijela koja imaju pravo pristupa sustavu ECRIS-TCN izrade profile u kojima se opisuju funkcije i odgovornosti osoba koje su ovlaštene za unos, ispravak, brisanje, pregledavanje i pretraživanje podataka te da te profile bez nepotrebne odgode stave na raspolaganje nacionalnim nadzornim tijelima na njihov zahtjev;

(h)

osigurava mogućnost provjere i utvrđivanja kojim se tijelima, uredima i agencijama Unije mogu slati osobni podaci upotrebom opreme za priopćivanje podataka;

(i)

osigurava mogućnost da se provjeri i utvrdi koji su se podaci obrađivali u sustavu ECRIS-TCN, kada su se obrađivali, tko ih je obrađivao i u koju svrhu;

(j)

sprječava neovlašteno čitanje, umnožavanje, mijenjanje ili brisanje osobnih podataka tijekom prijenosa osobnih podataka u sustav ECRIS-TCN ili iz njega ili tijekom prijenosa podatkovnih medija, posebice odgovarajućim tehnikama šifriranja;

(k)

prati učinkovitost sigurnosnih mjera iz ovog stavka i poduzima potrebne organizacijske mjere koje se odnose na samopraćenje i nadzor kako bi se osigurala usklađenost s ovom Uredbom.

4.   Agencija eu-LISA i države članice surađuju kako bi osigurale dosljedan pristup sigurnosti podataka utemeljen na procesu upravljanja sigurnosnim rizikom kojim se obuhvaća cijeli sustav ECRIS-TCN.

Članak 20.

Odgovornost za štetu

1.   Svaka osoba ili svaka država članica koja je pretrpjela materijalnu ili nematerijalnu štetu zbog nezakonitih postupaka obrade ili bilo koje druge radnje koja nije u skladu s ovom Uredbom ima pravo na naknadu štete od:

(a)

države članice odgovorne za pretrpljenu štetu; ili

(b)

agencije eu-LISA ako agencija eu-LISA nije poštovala svoje obveze iz ove Uredbe ili iz Uredbe (EU) 2018/1725.

Država članica odgovorna za pretrpljenu štetu odnosno agencija eu-LISA u cijelosti ili djelomično oslobađa se od odgovornosti za štetu ako dokaže da nije odgovorna za događaj koji je prouzročio nastanak štete.

2.   Ako neka država članica, Eurojust, Europol ili EPPO ne ispune svoje obveze u skladu s ovom Uredbom i time nanesu štetu sustavu ECRIS-TCN, tu se državu članicu, Eurojust, Europol odnosno EPPO smatra odgovornim za takvu štetu, osim ako i u mjeri u kojoj agencija eu-LISA ili neka druga država članica koja sudjeluje u sustavu ECRIS-TCN nije poduzela razumne mjere za sprječavanje nastanka štete ili smanjivanje njezina učinka na najmanju moguću mjeru.

3.   Zahtjevi za naknadu štete prema državi članici za štetu iz stavaka 1. i 2. uređuju se pravom države članice kojoj je zahtjev upućen. Zahtjevi za naknadu štete prema agenciji eu-LISA, Eurojustu, Europolu i EPPO-u za štetu iz stavaka 1. i 2. uređuju se njihovim osnivačkim aktima.

Članak 21.

Samopraćenje

Države članice osiguravaju da svako središnje tijelo poduzme mjere potrebne za usklađivanje s ovom Uredbom te da prema potrebi surađuje s nadzornim tijelima.

Članak 22.

Sankcije

Svaka zloupotreba podataka unesenih u sustav ECRIS-TCN podliježe sankcijama ili stegovnim mjerama, u skladu s nacionalnim pravom ili pravom Unije, koje su učinkovite, proporcionalne i odvraćajuće.

POGLAVLJE V.

Prava i nadzor u vezi sa zaštitom podataka

Članak 23.

Voditelj obrade podataka i izvršitelj obrade podataka

1.   Svako središnje tijelo smatra se voditeljem obrade podataka u skladu s primjenjivim pravilima Unije o zaštiti podataka u pogledu obrade osobnih podataka koju država članica tog središnjeg tijela provodi na temelju ove Uredbe.

2.   Agencija eu-LISA smatra se izvršiteljem obrade podataka u skladu s Uredbom (EU) 2018/1725 u pogledu osobnih podataka koje u središnji sustav unesu države članice.

Članak 24.

Svrha obrade osobnih podataka

1.   Podaci uneseni u središnji sustav smiju se obrađivati samo radi utvrđivanja država članica koje imaju podatke iz kaznene evidencije o državljanima trećih zemalja.

2.   Uz iznimku propisno ovlaštenog osoblja Eurojusta, Europola i EPPO-a koje ima pristup sustavu ECRIS-TCN za potrebe ove Uredbe, pristup sustavu ECRIS-TCN ograničava se isključivo na propisno ovlašteno osoblje središnjih tijela. Pristup je ograničen na ono što je potrebno za obavljanje zadaća u skladu sa svrhom iz stavka 1. te na ono što je nužno i proporcionalno ciljevima koji se žele postići.

Članak 25.

Pravo na pristup, ispravak, brisanje i ograničavanje obrade

1.   Državljani trećih zemalja mogu središnjem tijelu bilo koje države članice podnositi zahtjeve u pogledu prava pristupa osobnim podacima, ispravka i brisanja tih podataka te ograničavanja njihove obrade, koja su navedena u primjenjivim pravilima Unije o zaštiti podataka.

2.   Ako je zahtjev podnesen državi članici koja nije država članica koja je izrekla osuđujuću presudu, država članica kojoj je zahtjev podnesen prosljeđuje ga državi članici koja je izrekla osuđujuću presudu bez nepotrebne odgode, a u svakom slučaju u roku od deset radnih dana od primitka zahtjeva. Nakon primitka zahtjeva država članica koja je izrekla osuđujuću presudu:

(a)

odmah pokreće postupak za provjeru točnosti dotičnih podataka ili zakonitosti njihove obrade u sustavu ECRIS-TCN; i

(b)

bez nepotrebne odgode odgovara državi članici koja je proslijedila zahtjev.

3.   Ako su podaci zabilježeni u sustavu ECRIS-TCN netočni ili su bili nezakonito obrađeni, država članica koja je izrekla osuđujuću presudu ispravlja ili briše te podatke u skladu s člankom 9. Država članica koja je izrekla osuđujuću presudu ili, ako je to primjenjivo, država članica kojoj je zahtjev podnesen bez nepotrebne odgode u pisanom obliku potvrđuje dotičnoj osobi da su poduzete mjere za ispravljanje ili brisanje podataka koji se odnose na tu osobu. Država članica koja je izrekla osuđujuću presudu također bez nepotrebne odgode o poduzetim mjerama obavješćuje sve druge države članice koje su primile podatke o osuđujućim presudama dobivene na temelju upita poslanog sustavu ECRIS-TCN.

4.   Ako se država članica koja je izrekla osuđujuću presudu ne slaže s tim da su podaci zabilježeni u sustavu ECRIS-TCN netočni ili da su bili nezakonito obrađeni, ona donosi upravnu ili sudsku odluku kojom u pisanom obliku objašnjava dotičnoj osobi zbog čega nije spremna ispraviti ili izbrisati podatke koji se odnose na nju. Nacionalno nadzorno tijelo može prema potrebi biti obaviješteno o takvim slučajevima.

5.   Država članica koja donese odluku u skladu sa stavkom 4. dotičnoj osobi dostavlja i informacije kojima objašnjava koje korake ta osoba može poduzeti ako joj nije prihvatljivo objašnjenje dano u skladu sa stavkom 4. To uključuje informacije o tome kako pokrenuti postupak ili podnijeti pritužbu nadležnim tijelima ili sudovima te države članice te o svoj pomoći, među ostalim o pomoći nacionalnih nadzornih tijela, koja je dostupna u skladu s nacionalnim pravom te države članice.

6.   Svaki zahtjev podnesen u skladu sa stavkom 1. sadržava podatke potrebne za identifikaciju dotične osobe. Ti se podaci upotrebljavaju isključivo kako bi se omogućilo ostvarivanje prava iz stavka 1. te se odmah nakon toga brišu.

7.   Ako se primjenjuje stavak 2., središnje tijelo kojem je zahtjev upućen vodi pisanu evidenciju o tome da je takav zahtjev podnesen, načinu postupanja u vezi s njim i kojem je tijelu proslijeđen. Na zahtjev nacionalnog nadzornog tijela središnje tijelo bez odgode tom nacionalnom nadzornom tijelu stavlja na raspolaganje tu evidenciju. Središnje tijelo i nacionalno nadzorno tijelo brišu takvu evidenciju tri godine nakon njezine izrade.

Članak 26.

Suradnja radi osiguravanja poštovanja pravâ zaštite podataka

1.   Središnja tijela međusobno surađuju kako bi se osiguralo poštovanje prava utvrđenih u članku 25.

2.   Nacionalno nadzorno tijelo u svakoj državi članici na zahtjev dotičnoj osobi na raspolaganje stavlja informacije o tome kako može ostvariti svoje pravo na ispravljanje ili brisanje podataka koji se odnose na nju, u skladu s primjenjivim pravilima Unije o zaštiti podataka.

3.   Za potrebe ovog članka, nacionalno nadzorno tijelo države članice koja je dostavila podatke surađuje s nacionalnim nadzornim tijelom države članice kojem je zahtjev podnesen.

Članak 27.

Pravna sredstva

Sve osobe imaju pravo podnijeti pritužbu i pravo na pravni lijek u državi članici koja je izrekla osuđujuću presudu, a koja je odbila pravo na pristup ili pravo na ispravljanje ili brisanje podataka koji se odnose na tu osobu, navedeno u članku 25., u skladu s nacionalnim pravom ili pravom Unije.

Članak 28.

Nadzor koji provode nacionalna nadzorna tijela

1.   Svaka država članica osigurava da nacionalna nadzorna tijela imenovana u skladu s primjenjivim pravilima Unije o zaštiti podataka prate zakonitost obrade osobnih podataka iz članaka 5. i 6. koju obavlja dotična država članica, uključujući prijenos tih podataka u sustav ECRIS-TCN i iz njega.

2.   Nacionalno nadzorno tijelo osigurava da se revizija postupaka obrade podataka u nacionalnoj kaznenoj evidenciji i bazama podataka otisaka prstiju koji se odnose na razmjenu podataka između tih sustava i sustava ECRIS-TCN provodi u skladu s odgovarajućim međunarodnim revizijskim standardima najmanje svake tri godine od datuma početka rada sustava ECRIS-TCN.

3.   Države članice osiguravaju da njihova nacionalna nadzorna tijela imaju dostatne resurse za izvršenje zadaća koje su im povjerene na temelju ove Uredbe.

4.   Svaka država članica dostavlja sve podatke koje zatraže njezina nacionalna nadzorna tijela, a posebno podatke o aktivnostima izvršenima u skladu s člancima 12., 13. i 19. Svaka država članica svojim nacionalnim nadzornim tijelima odobrava pristup svojoj evidenciji na temelju članka 25. stavka 7. i članka 31. stavka 6. te im omogućuje da u svakom trenutku imaju pristup svim njezinim objektima povezanima sa sustavom ECRIS-TCN.

Članak 29.

Nadzor koji provodi Europski nadzornik za zaštitu podataka

1.   Europski nadzornik za zaštitu podataka prati izvršavaju li se u skladu s ovom Uredbom aktivnosti obrade osobnih podataka koje u pogledu sustava ECRIS-TCN provodi agencija eu-LISA.

2.   Europski nadzornik za zaštitu podataka osigurava da se revizija aktivnosti obrade osobnih podataka koje izvršava agencija eu-LISA provodi u skladu s odgovarajućim međunarodnim revizijskim standardima najmanje svake tri godine. Izvješće o toj reviziji šalje se Europskom parlamentu, Vijeću, Komisiji, agenciji eu-LISA i nadzornim tijelima. Agenciji eu-LISA omogućuje se iznošenje primjedaba prije donošenja izvješća.

3.   Agencija eu-LISA dostavlja podatke koje zatraži Europski nadzornik za zaštitu podataka, odobrava mu pristup svim dokumentima i svojoj evidenciji iz članka 31. te mu omogućuje pristup svim svojim objektima u svakom trenutku.

Članak 30.

Suradnja nacionalnih nadzornih tijela i Europskog nadzornika za zaštitu podataka

Koordinirani nadzor nad sustavom ECRIS-TCN osigurava se u skladu s člankom 62. Uredbe (EU) 2018/1725.

Članak 31.

Vođenje evidencije

1.   Agencija eu-LISA i nadležna tijela osiguravaju, svatko u skladu sa svojim nadležnostima, da se svi postupci obrade podataka u sustavu ECRIS-TCN evidentiraju u skladu sa stavkom 2. za potrebe provjere dopuštenosti zahtjeva, praćenja cjelovitosti i sigurnosti podataka te zakonitosti obrade podataka, kao i za potrebe samopraćenja.

2.   Evidencija sadržava:

(a)

svrhu zahtjeva za pristup podacima u sustavu ECRIS-TCN;

(b)

podatke prenesene kako je navedeno u članku 5.;

(c)

upućivanje na nacionalni spis;

(d)

datum i točno vrijeme radnje;

(e)

podatke upotrijebljene u upitu;

(f)

identifikacijsku oznaku službenika koji je izvršio pretraživanje.

3.   Evidencija o pregledavanju i otkrivanju omogućuje da se utvrdi obrazloženje za takve radnje.

4.   Evidencija se upotrebljava samo za praćenje zakonitosti obrade podataka te za osiguravanje cjelovitosti i sigurnosti podataka. Samo se evidencija koja ne sadržava osobne podatke može upotrijebiti za praćenje i evaluaciju iz članka 36. Ta evidencija štiti se odgovarajućim mjerama protiv neovlaštenog pristupa te se briše nakon tri godine ako više nije potrebna za postupke praćenja koji su već započeti.

5.   Agencija eu-LISA bez nepotrebne odgode i na zahtjev središnjim tijelima stavlja na raspolaganje evidenciju svojih postupaka obrade.

6.   Nadležna nacionalna nadzorna tijela odgovorna za provjeru dopuštenosti zahtjeva i praćenje zakonitosti obrade podataka te cjelovitosti i sigurnosti podataka imaju pristup evidenciji na vlastiti zahtjev za potrebe ispunjavanja svojih dužnosti. Središnja tijela bez nepotrebne odgode i na zahtjev nadležnim nacionalnim nadzornim tijelima stavljaju na raspolaganje evidenciju svojih postupaka obrade.

POGLAVLJE VI.

Završne odredbe

Članak 32.

Upotreba podataka za izvješćivanje i u statističke svrhe

1.   Propisno ovlašteno osoblje agencije eu-LISA, nadležnih tijela i Komisije ima pristup podacima obrađenima u sustavu ECRIS-TCN isključivo u svrhu izvješćivanja i u statističke svrhe, a da pritom nije moguća identifikacija pojedinaca.

2.   Za potrebe stavka 1. agencija eu-LISA uspostavlja i uvodi središnji repozitorij koji se nalazi u njezinim tehničkim pogonima i koji sadržava podatke iz stavka 1. kojim se omogućuje dobivanje izvješća i statističkih podataka koji se mogu prilagoditi, a da pri tom nije moguća identifikacija pojedinaca. Pristup središnjem repozitoriju odobrava se sigurnim pristupom uz kontrolu pristupa i posebne korisničke profile, i to isključivo u svrhu izvješćivanja i u statističke svrhe.

3.   Postupci koje je agencija eu-LISA uspostavila s ciljem praćenja funkcioniranja sustava ECRIS-TCN iz članka 36. te referentnog implementacijskog računalnog programa za ECRIS uključuju mogućnost redovite izrade statističkih podataka za potrebe praćenja.

Agencija eu-LISA Komisiji svaki mjesec dostavlja statističke podatke koji se odnose na bilježenje, pohranu i razmjenu podataka iz kaznene evidencije putem sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS. Agencija eu-LISA osigurava da na temelju tih statističkih podataka nije moguća identifikacija pojedinaca. Na zahtjev Komisije agencija eu-LISA dostavlja statističke podatke o određenim aspektima koji se odnose na provedbu ove Uredbe.

4.   Države članice agenciji eu-LISA dostavljaju statističke podatke potrebne za izvršavanje njezinih obveza iz ovog članka. One Komisiji dostavljaju statističke podatke o broju osuđenih državljana trećih zemalja te o broju osuđujućih presuda izrečenih protiv državljana trećih zemalja na svojem državnom području.

Članak 33.

Troškovi

1.   Troškovi nastali u vezi s uspostavom i radom središnjeg sustava, komunikacijske infrastrukture iz članka 4. stavka 1. točke (d), softvera sučelja i referentnog implementacijskog računalnog programa za ECRIS pokrivaju se iz općeg proračuna Unije.

2.   Troškovi povezivanja Eurojusta, Europola i EPPO-a sa sustavom ECRIS-TCN pokrivaju se iz proračuna svakog od tih tijela.

3.   Ostale troškove snose države članice, posebno troškove nastale povezivanjem postojećih nacionalnih kaznenih evidencija, baza podataka otisaka prstiju i središnjih tijela sa sustavom ECRIS-TCN, kao i troškove udomljavanja referentnog implementacijskog računalnog programa za ECRIS.

Članak 34.

Obavješćivanje

1.   Svaka država članica obavješćuje agenciju eu-LISA o svojem središnjem tijelu ili tijelima koja imaju pristup za unos, ispravljanje, brisanje, pregledavanje ili pretraživanje podataka, kao i o svakoj promjeni u vezi s tim.

2.   Agencija eu-LISA osigurava objavu popisa središnjih tijela koje su prijavile države članice u Službenom listu Europske unije te na svojim internetskim stranicama. Kada zaprimi obavijest o promjeni središnjeg tijela države članice, agencija eu-LISA ažurira popis bez nepotrebne odgode.

Članak 35.

Unos podataka i početak rada

1.   Nakon što se Komisija uvjeri da su ispunjeni sljedeći uvjeti, ona utvrđuje datum od kojeg države članice počinju unositi podatke iz članka 5. u sustav ECRIS-TCN:

(a)

doneseni su relevantni provedbeni akti iz članka 10.;

(b)

države članice potvrdile su tehničke i pravne aranžmane za prikupljanje i prijenos podataka iz članka 5. u sustav ECRIS-TCN te su o njima obavijestile Komisiju;

(c)

Agencija eu-LISA provela je, u suradnji s državama članicama, opsežno testiranje sustava ECRIS-TCN, pri čemu se koristila anonimnim testnim podacima.

2.   Nakon što Komisija utvrdi datum početka unosa podataka u skladu sa stavkom 1., ona obavješćuje države članice o tom datumu. U roku od dva mjeseca od tog datuma države članice unose podatke iz članka 5. u sustav ECRIS-TCN, uzimajući u obzir članak 41. stavak 2.

3.   Nakon završetka razdoblja iz stavka 2. agencija eu-LISA, u suradnji s državama članicama, provodi završno testiranje sustava ECRIS-TCN.

4.   Nakon uspješnog dovršetka testiranja iz stavka 3. i nakon što agencija eu-LISA zaključi da je sustav ECRIS-TCN spreman za početak rada, ona o tome obavješćuje Komisiju. Komisija obavješćuje Europski parlament i Vijeće o rezultatima testiranja i donosi odluku o datumu od kojeg sustav ECRIS-TCN treba početi s radom.

5.   Odluka Komisije o datumu početka rada sustava ECRIS-TCN, kako je navedeno u stavku 4., objavljuje se u Službenom listu Europske unije.

6.   Države članice počinju upotrebljavati sustav ECRIS-TCN od datuma koji odredi Komisija u skladu sa stavkom 4.

7.   Prilikom donošenja odluka iz ovog članka Komisija može odrediti različite datume za unošenje alfanumeričkih podataka i podataka o otiscima prstiju u sustav ECRIS-TCN, kako je navedeno u članku 5., kao i za početak rada u odnosu na te različite kategorije podataka.

Članak 36.

Praćenje i evaluacija

1.   Agencija eu-LISA osigurava da su uspostavljeni postupci za praćenje razvoja sustava ECRIS-TCN s obzirom na ciljeve povezane s planiranjem i troškovima te za praćenje funkcioniranja sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS s obzirom na ciljeve povezane s tehničkim rezultatima, troškovnom učinkovitošću, sigurnošću i kvalitetom usluge.

2.   Za potrebe praćenja funkcioniranja sustava ECRIS-TCN i njegova tehničkog održavanja agencija eu-LISA ima pristup potrebnim podacima koji se odnose na postupke obrade podataka koji se provode u sustavu ECRIS-TCN i u referentnom implementacijskom računalnom programu za ECRIS.

3.   Agencija eu-LISA do 12. prosinca 2019. te svakih šest mjeseci nakon toga tijekom faze oblikovanja i razvoja Europskom parlamentu i Vijeću podnosi izvješće o trenutačnom stanju u pogledu razvoja sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS.

4.   Izvješće iz stavka 3. sadržava pregled trenutačnih troškova i napretka projekta, procjenu financijskih učinaka kao i informacije o svim tehničkim problemima i rizicima koji bi mogli utjecati na sveukupne troškove sustava ECRIS-TCN, koji se pokrivaju iz općeg proračuna Unije u skladu s člankom 33.

5.   U slučaju znatnog kašnjenja u procesu razvoja, agencija eu-LISA obavješćuje Europski parlament i Vijeće što je prije moguće o razlozima kašnjenja i njihovom učinku na rokove i financiranje.

6.   Nakon završetka faze razvoja sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS, agencija eu-LISA podnosi izvješće Europskom parlamentu i Vijeću u kojem se objašnjava na koji su način ispunjeni ciljevi, a posebno oni koji se odnose na planiranje i troškove, te se obrazlažu eventualna odstupanja.

7.   U slučaju tehničke nadogradnje sustava ECRIS-TCN koja bi mogla prouzročiti znatne troškove agencija eu-LISA obavješćuje Europski parlament i Vijeće.

8.   Dvije godine nakon početka rada sustava ECRIS-TCN i svake godine nakon toga agencija eu-LISA Komisiji podnosi izvješće o tehničkom funkcioniranju sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS, uključujući njihovu sigurnost, posebno na temelju statističkih podataka o funkcioniranju i upotrebi sustava ECRIS-TCN te o razmjeni podataka iz kaznene evidencije putem referentnog implementacijskog računalnog programa za ECRIS.

9.   Četiri godine nakon početka rada sustava ECRIS-TCN i svake četiri godine nakon toga Komisija provodi cjelovitu evaluaciju sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS. Izvješćem o cjelovitoj evaluaciji sastavljenim na toj osnovi obuhvaćaju se procjena primjene ove Uredbe te ispitivanje ostvarenih rezultata u odnosu na zadane ciljeve i utjecaja na temeljna prava. Izvješćem se obuhvaća i procjena toga jesu li i dalje valjana temeljna načela za rad sustava ECRIS-TCN, procjena primjerenosti upotrebe biometrijskih podataka za svrhe sustava ECRIS-TCN, procjena sigurnosti sustava ECRIS-TCN i procjena svih sigurnosnih učinaka na budući rad. Evaluacijom se obuhvaćaju sve potrebne preporuke. Komisija šalje izvješće Europskom parlamentu, Vijeću, Europskom nadzorniku za zaštitu podataka i Agenciji Europske unije za temeljna prava.

10.   Osim toga, prvom cjelovitom evaluacijom iz stavka 9. obuhvaća se procjena sljedećeg:

(a)

u kojoj mjeri se, na temelju relevantnih statističkih podataka i dodatnih informacija koje su dostavile države članice, doprinijelo ostvarenju ciljeva ove Uredbe uključivanjem u sustav ECRIS-TCN podataka o identitetu građana Unije koji imaju i državljanstvo treće zemlje;

(b)

mogućnosti, za neke države članice, da nastave upotrebljavati nacionalni implementacijski računalni program za ECRIS, kako je navedeno u članku 4.;

(c)

unosa podataka o otiscima prstiju u sustav ECRIS-TCN, posebice primjene minimalnih kriterija iz članka 5. stavka 1. točke (b) podtočke ii.;

(d)

učinka ECRIS-a i sustava ECRIS-TCN na zaštitu osobnih podataka.

Procjeni se, prema potrebi, mogu priložiti zakonodavni prijedlozi. Naknadne cjelovite evaluacije mogu obuhvaćati procjenu bilo kojeg od tih aspekata ili svih njih.

11.   Države članice, Eurojust, Europol i EPPO agenciji eu-LISA i Komisiji dostavljaju podatke potrebne za sastavljanje izvješćâ iz stavaka 3., 8. i 9. u skladu s kvantitativnim pokazateljima koje su prethodno definirali Komisija ili agencija eu-LISA ili i jedni i drugi. Tim podacima ne smiju se ugroziti metode rada niti obuhvaćati podaci koji otkrivaju izvore, članove osoblja ili istrage.

12.   Ako je to relevantno, nadzorna tijela agenciji eu-LISA i Komisiji dostavljaju podatke potrebne za sastavljanje izvješćâ iz stavka 9. u skladu s kvantitativnim pokazateljima koje su prethodno definirali Komisija ili agencija eu-LISA ili i jedni i drugi. Tim podacima ne smiju se ugroziti metode rada niti obuhvaćati podaci koji otkrivaju izvore, članove osoblja ili istrage.

13.   Agencija eu-LISA Komisiji dostavlja podatke potrebne za pripremu cjelovitih evaluacija iz stavka 9.

Članak 37.

Izvršavanje delegiranja ovlasti

1.   Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

2.   Ovlast za donošenje delegiranih akata iz članka 6. stavka 2. dodjeljuje se Komisiji na neodređeno vrijeme počevši od 11. lipnja 2019.

3.   Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 6. stavka 2. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4.   Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5.   Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6.   Delegirani akt donesen na temelju članka 6. stavka 2. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća.

Članak 38.

Postupak odbora

1.   Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.   Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Ako odbor ne da nikakvo mišljenje, Komisija ne donosi nacrt provedbenog akta i primjenjuje se članak 5. stavak 4. treći podstavak Uredbe (EU) br. 182/2011.

Članak 39.

Savjetodavna skupina

Agencija eu-LISA osniva savjetodavnu skupinu kako bi stekla stručna znanja povezana sa sustavom ECRIS-TCN i referentnim implementacijskim računalnim programom za ECRIS, posebice u kontekstu pripreme njezina godišnjeg programa rada i godišnjeg izvješća o radu. Tijekom faze oblikovanja i razvoja primjenjuje se članak 11. stavak 9.

Članak 40.

Izmjene Uredbe (EU) 2018/1726

Uredba (EU) 2018/1726 mijenja se kako slijedi:

1.

u članku 1. stavak 4. zamjenjuje se sljedećim:

„4.   Agencija je odgovorna za pripremanje i razvijanje sustava ulaska/izlaska (EES), DubliNeta, europskog sustava za informacije o putovanjima i odobravanje putovanja (ETIAS), sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS ili operativno upravljanje tim sustavima.”;

2.

umeće se sljedeći članak:

„Članak 8.a

Zadaće u vezi sa sustavom ECRIS-TCN i referentnim implementacijskim računalnim programom za ECRIS

U vezi sa sustavom ECRIS-TCN i referentnim implementacijskim računalnim programom za ECRIS Agencija izvršava:

(a)

zadaće koje su joj dodijeljene Uredbom (EU) 2019/816 Europskog parlamenta i Vijeća (*1);

(b)

zadaće u vezi s osposobljavanjem za tehničku uporabu sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS.

(*1)  Uredba (EU) 2019/816 Europskog parlamenta i Vijeća od 17. travnja 2019. o uspostavi centraliziranog sustava za utvrđivanje država članica koje imaju podatke o osuđujućim presudama protiv državljana trećih zemalja i osoba bez državljanstva (sustav ECRIS-TCN) za dopunu Europskog informacijskog sustava kaznene evidencije te o izmjeni Uredbe (EU) 2018/1726 (SL L 135, 22.5.2019., str. 1.).”;"

3.

u članku 14. stavak 1. zamjenjuje se sljedećim:

„1.   Agencija prati razvoj istraživanja koja su relevantna za operativno upravljanje SIS-om II, VIS-om, Eurodacom, EES-om, ETIAS-om, DubliNetom, sustavom ECRIS-TCN i drugim opsežnim informacijskim sustavima iz članka 1. stavka 5.”;

4.

u članku 19. stavak 1. mijenja se kako slijedi:

(a)

točka (ee) zamjenjuje se sljedećim:

„(ee)

donosi izvješća o razvoju EES-a na temelju članka 72. stavka 2. Uredbe (EU) 2017/2226, izvješća o razvoju ETIAS-a na temelju članka 92. stavka 2. Uredbe (EU) 2018/1240 i izvješća o razvoju sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS na temelju članka 36. stavka 3. Uredbe (EU) 2019/816;”;

(b)

točka (ff) zamjenjuje se sljedećim:

„(ff)

donosi izvješća o tehničkom funkcioniranju SIS-a II na temelju članka 50. stavka 4. Uredbe (EZ) br. 1987/2006 odnosno članka 66. stavka 4. Odluke 2007/533/PUP, VIS-a na temelju članka 50. stavka 3. Uredbe (EZ) br. 767/2008 i članka 17. stavka 3. Odluke 2008/633/PUP, EES-a na temelju članka 72. stavka 4. Uredbe (EU) 2017/2226, ETIAS-a na temelju članka 92. stavka 4. Uredbe (EU) 2018/1240 te sustava ECRIS-TCN i referentnog implementacijskog računalnog programa za ECRIS na temelju članka 36. stavka 8. Uredbe (EU) 2019/816;”;

(c)

točka (hh) zamjenjuje se sljedećim:

„(hh)

daje formalne primjedbe na izvješća Europskog nadzornika za zaštitu podataka o revizijama provedenima na temelju članka 45. stavka 2. Uredbe (EZ) br. 1987/2006, članka 42. stavka 2. Uredbe (EZ) br. 767/2008 i članka 31. stavka 2. Uredbe (EU) br. 603/2013, članka 56. stavka 2. Uredbe (EU) 2017/2226, članka 67. Uredbe (EU) 2018/1240 i članka 29. stavka 2. Uredbe (EU) 2019/816 te osigurava odgovarajuće postupanje nakon tih revizija;”;

(d)

umeće se sljedeća točka:

„(lla)

Komisiji dostavlja statističke podatke povezane sa sustavom ECRIS-TCN i referentnim implementacijskim računalnim programom za ECRIS na temelju članka 32. stavka 3. drugog podstavka Uredbe (EU) 2019/816;”;

(e)

točka (mm) zamjenjuje se sljedećim:

„(mm)

osigurava godišnju objavu popisa nadležnih tijela ovlaštenih za izravno pretraživanje podataka pohranjenih u SIS-u II na temelju članka 31. stavka 8. Uredbe (EZ) br. 1987/2006 i članka 46. stavka 8. Odluke 2007/533/PUP, zajedno s popisom ureda nacionalnih sustava SIS-a II (uredi N.SIS II) i ureda SIRENE na temelju članka 7. stavka 3. Uredbe (EZ) br. 1987/2006 odnosno članka 7. stavka 3. Odluke 2007/533/PUP, kao i popisa nadležnih tijela na temelju članka 65. stavka 2. Uredbe (EU) 2017/2226, popisa nadležnih tijela na temelju članka 87. stavka 2. Uredbe (EU) 2018/1240 te popisa središnjih tijela na temelju članka 34. stavka 2. Uredbe (EU) 2019/816;”;

5.

u članku 22. stavku 4. iza trećeg podstavka umeće se sljedeći podstavak:

„Eurojust, Europol i EPPO mogu biti nazočni na sastancima upravnog odbora kao promatrači kada je na dnevnom redu pitanje koje se odnosi na sustav ECRIS-TCN u pogledu primjene Uredbe (EU) 2019/816.”;

6.

u članku 24. stavku 3. točka (p) zamjenjuje se sljedećim:

„(p)

ne dovodeći u pitanje članak 17. Pravilnika o osoblju za dužnosnike, utvrđivanje zahtjeva povjerljivosti radi usklađivanja s člankom 17. Uredbe (EZ) br. 1987/2006, člankom 17. Odluke 2007/533/PUP, člankom 26. stavkom 9. Uredbe (EZ) br. 767/2008, člankom 4. stavkom 4. Uredbe (EU) br. 603/2013, člankom 37. stavkom 4. Uredbe (EU) 2017/2226, člankom 74. stavkom 2. Uredbe 2018/1240 i člankom 11. stavkom 16. Uredbe (EU) 2019/816;”;

7.

u članku 27. stavku 1. umeće se sljedeća točka:

„(da)

savjetodavna skupina za sustav ECRIS-TCN;”.

Članak 41.

Provedba i prijelazne odredbe

1.   Države članice poduzimaju mjere koje su potrebne radi usklađivanja s ovom Uredbom što je prije moguće, kako bi se osiguralo pravilno funkcioniranje sustava ECRIS-TCN.

2.   Za osuđujuće presude izrečene prije datuma početka unosa podataka u skladu s člankom 35. stavkom 1., središnja tijela u središnjem sustavu stvaraju pojedinačne zapise podataka kako slijedi:

(a)

alfanumerički podaci unose se u središnji sustav do kraja razdoblja iz članka 35. stavka 2.;

(b)

podaci o otiscima prstiju unose se u središnji sustav u roku od dvije godine od početka rada u skladu s člankom 35. stavkom 4.

Članak 42.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u državama članicama u skladu s Ugovorima.

Sastavljeno u Strasbourgu 17. travnja 2019.

Za Europski parlament

Predsjednik

A. TAJANI

Za Vijeće

Predsjednik

G. CIAMBA


(1)  Stajalište Europskog parlamenta od 12. ožujka 2019. (još nije objavljeno u Službenom listu) i odluka Vijeća od 9. travnja 2019.

(2)  Okvirna odluka Vijeća 2008/675/PUP od 24. srpnja 2008. o poštovanju presuda među državama članicama Europske unije u novom kaznenom postupku (SL L 220, 15.8.2008., str. 32.).

(3)  Okvirna odluka Vijeća 2009/315/PUP od 26. veljače 2009. o organizaciji i sadržaju razmjene podataka iz kaznene evidencije između država članica (SL L 93, 7.4.2009., str. 23.).

(4)  Odluka Vijeća 2009/316/PUP od 6. travnja 2009. o uspostavi Europskog informacijskog sustava kaznene evidencije (ECRIS) na temelju članka 11. Okvirne odluke 2009/315/PUP (SL L 93, 7.4.2009., str. 33.).

(5)  Uredba (EU) 2018/1726 Europskog parlamenta i Vijeća od 14. studenoga 2018. o Agenciji Europske unije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA) te izmjeni Uredbe (EZ) br. 1987/2006 i Odluke Vijeća 2007/533/PUP i stavljanju izvan snage Uredbe (EU) br. 1077/2011 (SL L 295, 21.11.2018., str. 99.).

(6)  Direktiva 2011/93/EU Europskog parlamenta i Vijeća od 13. prosinca 2011. o suzbijanju seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije, te o zamjeni Okvirne odluke Vijeća 2004/68/PUP (SL L 335, 17.12.2011., str. 1.).

(7)  Uredba (EU) 2018/1727 Europskog parlamenta i Vijeća od 14. studenoga 2018. o Agenciji Europske unije za suradnju u kaznenom pravosuđu (Eurojust) te zamjeni i stavljanju izvan snage Odluke Vijeća 2002/187/PUP (SL L 295, 21.11.2018., str. 138.).

(8)  Uredba (EU) 2016/794 Europskog parlamenta i Vijeća od 11. svibnja 2016. o Agenciji Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) te zamjeni i stavljanju izvan snage odluka Vijeća 2009/371/PUP, 2009/934/PUP, 2009/935/PUP, 2009/936/PUP i 2009/968/PUP (SL L 135, 24.5.2016., str. 53.).

(9)  Uredba Vijeća (EU) 2017/1939 od 12. listopada 2017. o provedbi pojačane suradnje u vezi s osnivanjem Ureda europskog javnog tužitelja („EPPO”) (SL L 283, 31.10.2017., str. 1.).

(10)  Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).

(11)  Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(12)  Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).

(13)  SL L 123, 12.5.2016., str. 1.

(14)  Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(15)  Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).

(16)  SL C 55, 14.2.2018., str. 4.

(17)  SL L 56, 4.3.1968., str. 1.


PRILOG

STANDARDNI OBRAZAC ZAHTJEVA ZA DOSTAVU INFORMACIJA IZ ČLANKA 17. STAVKA 1. UREDBE (EU) 2019/816 RADI DOBIVANJA INFORMACIJA O TOME KOJA DRŽAVA ČLANICA, AKO POSTOJI, IMA PODATKE IZ KAZNENE EVIDENCIJE O DRŽAVLJANINU TREĆE ZEMLJE

Image 1 Tekst slike

22.5.2019   

HR

Službeni list Europske unije

L 135/27


UREDBA (EU) 2019/817 EUROPSKOG PARLAMENTA I VIJEĆA

od 20. svibnja 2019.

o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području granica i viza i izmjeni uredaba (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 i (EU) 2018/1861 Europskog parlamenta i Vijeća te odluka Vijeća 2004/512/EZ i 2008/633/PUP

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 16. stavak 2., članak 74. i članak 77. stavak 2. točke (a), (b), (d) i (e),

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1),

nakon savjetovanja s Odborom regija,

u skladu s redovnim zakonodavnim postupkom (2),

budući da:

(1)

U komunikaciji od 6. travnja 2016. pod naslovom Jači i pametniji informacijski sustavi za granice i sigurnost Komisija je istaknula potrebu za poboljšanjem arhitekture upravljanja podacima Unije za upravljanje granicama i sigurnost. Tom je komunikacijom pokrenut postupak za postizanje interoperabilnosti informacijskih sustava EU-a za upravljanje sigurnošću, granicama i migracijama s ciljem uklanjanja strukturnih nedostataka povezanih s tim sustavima koji ometaju rad nacionalnih tijela i kako bi se osiguralo da su službenicima graničnog nadzora, policijskim službenicima te carinskim i pravosudnim tijelima dostupne informacije koje su im potrebne.

(2)

Vijeće je u Planu za pojačanu razmjenu informacija i upravljanje informacijama, uključujući interoperabilna rješenja, u području pravosuđa i unutarnjih poslova od 6. lipnja 2016. utvrdilo različite pravne, tehničke i operativne izazove povezane s interoperabilnošću informacijskih sustava EU-a i pozvalo na traženje rješenja.

(3)

Europski parlament u Rezoluciji od 6. srpnja 2016. o strateškim prioritetima za program rada Komisije za 2017. (3) pozvao je na podnošenje prijedlogâ za poboljšanje i razvoj postojećih informacijskih sustava EU-a, rješavanje informacijskih praznina i kretanje u smjeru interoperabilnosti, kao i prijedlogâ za obveznu razmjenu informacija na razini EU-a, uz nužne mjere za zaštitu podataka.

(4)

Europsko vijeće pozvalo je u svojim zaključcima od 15. prosinca 2016. na daljnja nastojanja ka postizanju interoperabilnosti informacijskih sustava i baza podataka EU-a.

(5)

U završnom izvješću od 11. svibnja 2017. skupina stručnjaka na visokoj razini za informacijske sustave i interoperabilnost zaključila je da je nužno i tehnički izvedivo izraditi praktična rješenja za interoperabilnost, te da bi se interoperabilnošću, u načelu, mogle ostvariti kako operativne koristi tako i da bi se ona mogla uspostaviti u skladu sa zahtjevima za zaštitu podataka.

(6)

Komisija je u komunikaciji od 16. svibnja 2017. pod naslovom „Sedmo izvješće o napretku prema uspostavi učinkovite i istinske sigurnosne unije”, u skladu s komunikacijom od 6. travnja 2016. te nalazima i preporukama skupine stručnjaka na visokoj razini za informacijske sustave i interoperabilnost, utvrdila nov pristup upravljanju podacima za granice, sigurnost i migracije prema kojem su svi informacijski sustavi EU-a za sigurnost, granice i upravljanje migracijama trebali biti interoperabilni, na način kojim se u potpunosti poštuju temeljna prava.

(7)

U Zaključcima od 9. lipnja 2017. o daljnjim koracima za poboljšanje razmjene informacija i osiguravanje interoperabilnosti informacijskih sustava EU-a Vijeće je pozvalo Komisiju da provede rješenja za interoperabilnost koja je predložila skupina stručnjaka na visokoj razini.

(8)

Europsko vijeće istaknulo je u svojim zaključcima od 23. lipnja 2017. potrebu poboljšanja interoperabilnosti baza podataka i pozvalo Komisiju da što prije, na temelju prijedloga skupine stručnjaka na visokoj razini za informacijske sustave i interoperabilnost, izradi nacrt zakonodavnog teksta.

(9)

Radi unapređivanja djelotvornosti i učinkovitosti kontrole na vanjskim granicama, kako bi se pridonijelo sprječavanju i suzbijanju nezakonite imigracije i visokoj razini sigurnosti u području slobode, sigurnosti i pravde u Uniji, između ostalog održavanju javne sigurnosti i javnog poretka te zaštiti sigurnosti na državnim područjima država članica, radi unapređivanja provedbe zajedničke vizne politike, pružanja pomoći pri razmatranju zahtjeva za međunarodnu zaštitu, doprinošenja sprječavanju, otkrivanju i istrazi terorističkih kaznenih djela i ostalih teških kaznenih djela, olakšavanja identifikacije nepoznatih osoba koje se ne mogu same identificirati ili neidentificiranih ljudskih posmrtnih ostataka u slučaju prirodne katastrofe, nesreće ili terorističkog napada, kako bi se održalo povjerenje javnosti u Unijin sustav migracija i azila, sigurnosne mjere Unije i sposobnost Unije za upravljanje vanjskim granicama, trebalo bi uspostaviti interoperabilnost informacijskih sustava EU-a, odnosno sustava ulaska/izlaska (EES), viznog informacijskog sustava (VIS), europskog sustava za informacije o putovanjima i odobravanje putovanja (ETIAS), Eurodaca, Schengenskog informacijskog sustava (SIS) i Europskog informacijskog sustava kaznene evidencije državljana trećih zemalja (ECRIS-TCN) kako bi se ti informacijski sustavi EU-a i njihovi podaci mogli uzajamno dopunjavati, uz poštovanje temeljnih prava osoba, osobito prava na zaštitu osobnih podataka. Kako bi se to postiglo, trebalo bi kao komponente interoperabilnosti uspostaviti europski portal za pretraživanje (ESP), zajedničku uslugu uspoređivanja biometrijskih podataka (zajednički BMS), zajednički repozitorij podataka o identitetu (CIR) i detektor višestrukih identiteta (MID).

(10)

Interoperabilnost informacijskih sustava EU-a trebala bi tim sustavima omogućiti da se dopunjuju kako bi se olakšala točna identifikacija osoba, uključujući nepoznatih osoba koje se ne mogu same identificirati ili neidentificiranih posmrtnih ljudskih ostataka, kako bi se pridonijelo suzbijanju prijevara povezanih s identitetom, kako bi se poboljšali i uskladili zahtjevi u pogledu kvalitete podataka u odgovarajućim informacijskim sustavima EU-a, kako bi se olakšala tehnička i operativna provedba informacijskih sustava EU-a od strane država članica, kako bi se pojačale sigurnost podataka i mjere za zaštitu podataka koje se primjenjuju na odgovarajuće informacijske sustave EU-a, kako bi se za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela uskladio pristup EES-u, VIS-u, ETIAS-u i Eurodacu i poduprle svrhe EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

(11)

Komponente interoperabilnosti trebale bi obuhvaćati EES, VIS, ETIAS, Eurodac, SIS i ECRIS-TCN. Njima bi trebali biti obuhvaćeni i podaci Europola, ali isključivo u mjeri u kojoj bi se omogućilo postavljanje upita o podacima Europola istodobno s navedenim informacijskim sustavima EU-a.

(12)

Komponente interoperabilnosti trebale bi obrađivati osobne podatke osoba čiji se osobni podaci obrađuju u osnovnim informacijskim sustavima EU-a i čije podatke obrađuje Europol.

(13)

Trebalo bi uspostaviti ESP kako bi se tehnički olakšala mogućnost tijela država članica i agencija Unije da brzo, neometano, dosljedno, učinkovito, sustavno i kontrolirano pristupaju informacijskim sustavima EU-a, podacima Europola i bazama podataka Međunarodne organizacije kriminalističke policije (Interpol), u onoj mjeri u kojoj je to potrebno za obavljanje njihovih zadaća, u skladu s njihovim pravima pristupa. ESP bi također trebalo uspostaviti kako bi se poduprli ciljevi EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a i podataka Europola. Omogućujući istodobno postavljanje upita svim relevantnim informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka, ESP bi trebao djelovati kao jedinstveni prozor ili „posrednik za poruke” za pretraživanje različitih središnjih sustava i neometano preuzimanje potrebnih informacija uz puno poštovanje zahtjeva za kontrolu pristupa i zaštitu podataka osnovnih sustava.

(14)

Strukturom ESP-a trebalo bi osigurati da se pri postavljanju upita u bazama podataka Interpola podaci kojima se korisnik ESP-a koristi za pokretanje upita ne dijele s vlasnicima podataka Interpola. Strukturom ESP-a trebalo bi također osigurati da se upiti u bazama podataka Interpola postavljaju isključivo u skladu s mjerodavnim pravom Unije i nacionalnim pravom.

(15)

Interpolova baza podataka o ukradenim i izgubljenim putnim ispravama (baza podataka SLTD) omogućuje ovlaštenim subjektima nadležnima za sprječavanje, otkrivanje ili istragu kaznenih djela terorizma ili drugih teških kaznenih djela u državama članicama, uključujući imigracijske službenike i tijela graničnog nadzora, da provjeravaju valjanost putne isprave. ETIAS postavlja upit u bazu podataka SLTD-a i Interpolovu bazu podataka putnih isprava povezanih s obavijestima (baza podataka TDAWN) u kontekstu procjene postojanja vjerojatnosti da bi osoba koja podnosi zahtjev za odobrenje za putovanje mogla nezakonito migrirati ili toga da bi mogla predstavljati prijetnju sigurnosti. ESP-om bi se trebalo omogućiti postavljanje upita u baze podataka SLTD i TDAWN uporabom podataka o identitetu i podataka o putnoj ispravi pojedine osobe. Ako se osobni podaci prenose iz Unije u Interpol putem ESP-a, trebale bi se primjenjivati odredbe o međunarodnim prijenosima iz poglavlja V. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (4) ili nacionalne odredbe kojima se prenosi poglavlje V. Direktive (EU) 2016/680 Europskog parlamenta i Vijeća (5). Time se ne bi trebala dovoditi u pitanje posebna pravila utvrđena u Zajedničkom stajalištu Vijeća 2005/69/PUP (6) i Odluci Vijeća 2007/533/PUP (7).

(16)

ESP bi trebalo razviti i konfigurirati na način kojim se omogućuje samo postavljanje upita uporabom podataka koji se odnose na osobe ili putne isprave i koji postoje u pojedinom informacijskom sustavu EU-a, u podacima Europola ili u Interpolovim bazama podataka.

(17)

Kako bi se omogućila sustavna uporaba relevantnih informacijskih sustava EU-a, ESP bi trebalo upotrebljavati za postavljanje upita CIR-u, EES-u, VIS-u, ETIAS-u, Eurodacu i ECRIS-TCN-u. Međutim, trebalo bi zadržati nacionalnu vezu s različitim informacijskim sustavima EU-a kako bi se osiguralo rezervno tehničko rješenje. Agencije Unije trebale bi upotrebljavati ESP i za postavljanje upita središnjem SIS-u u skladu sa svojim pravima pristupa i radi obavljanja svojih zadaća. ESP bi trebao biti dodatno sredstvo za postavljanje upita središnjem SIS-u, podacima Europola i Interpolovim bazama podataka, čime dopunjuje postojeća posebna sučelja.

(18)

Biometrijski podaci, kao što su otisci prstiju i prikazi lica, jedinstveni su i stoga su za potrebe identifikacije osoba mnogo pouzdaniji od alfanumeričkih podataka. Zajednički BMS trebao bi biti tehnički alat za jačanje i olakšavanje rada relevantnih informacijskih sustava EU-a i ostalih komponenata interoperabilnosti. Glavna svrha zajedničkog BMS-a trebala bi biti olakšavanje identifikacije osobe koja je registrirana u više baza podataka oslanjanjem na jedinstvenu tehnološku komponentu kako bi se utvrdila podudarnost biometrijskih podataka te osobe u različitim sustavima, umjesto na nekoliko komponenti. Zajednički BMS trebao bi pridonijeti sigurnosti i donijeti financijske koristi, koristi u pogledu održavanja i operativne koristi. Svi sustavi za automatsku identifikaciju otisaka prstiju, uključujući one koji se trenutačno upotrebljavaju za Eurodac, VIS i SIS, upotrebljavaju biometrijske modele koji se sastoje od podataka dobivenih ekstrakcijom obilježja iz stvarnih biometrijskih uzoraka. Zajednički BMS trebao bi reorganizirati sve te biometrijske modele – logički odvojene s obzirom na informacijski sustav iz kojeg podaci potječu – i pohraniti ih na jednom mjestu, čime će se olakšati usporedbe među sustavima na temelju biometrijskih modela i omogućiti ekonomije razmjera u razvoju i održavanju središnjih sustava Unije.

(19)

Biometrijski modeli pohranjeni u zajedničkom BMS-u trebali bi se sastojati od podataka dobivenih ekstrakcijom obilježja iz stvarnih biometrijskih uzoraka i prikupljati postupkom ekstrakcije koji nije reverzibilan. Biometrijski modeli trebali bi se moći dobiti iz biometrijskih podataka, ali te iste biometrijske podatke ne bi trebalo biti moguće dobiti iz biometrijskih modela. S obzirom na to da se podaci o otiscima dlanova i profili DNK pohranjuju samo u SIS-u i ne mogu se koristiti za uspoređivanje s podacima koji se nalaze u drugim informacijskim sustavima sukladno načelima nužnosti i proporcionalnosti, u zajednički BMS ne bi se trebali pohranjivati profili DNK ili biometrijski modeli dobiveni iz podataka o otiscima dlanova.

(20)

Biometrijski podaci osjetljivi su osobni podaci. Ovom Uredbom trebale bi se utvrditi osnova i zaštitne mjere za obradu takvih podataka za potrebe jedinstvene identifikacije predmetnih osoba.

(21)

EES, VIS, ETIAS, Eurodac i ECRIS-TCN iziskuju točnu identifikaciju osoba čiji su osobni podaci u njima pohranjeni. CIR bi stoga trebao olakšati točnu identifikaciju osoba registriranih u tim sustavima.

(22)

Osobni podaci pohranjeni u navedenim informacijskim sustavima EU-a mogu se odnositi na iste osobe, ali pod različitim ili nepotpunim identitetima. Države članice imaju učinkovite načine identifikacije svojih državljana ili osoba koje su prijavile trajno boravište na njihovu državnom području. Interoperabilnost među informacijskim sustavima EU-a trebala bi pridonijeti točnoj identifikaciji osoba obuhvaćenih tim sustavima. U CIR-u bi trebali biti pohranjeni osobni podaci koji su potrebni za točniju identifikaciju osoba čiji su podaci pohranjeni u tim sustavima, a koji uključuju podatke o njihovu identitetu, podatke o putnoj ispravi i biometrijske podatke, neovisno o sustavu u kojem su podaci bili izvorno prikupljeni. U CIR-u bi trebali biti pohranjeni samo osobni podaci koji su nužni za točnu provjeru identiteta. Osobni podaci evidentirani u CIR-u ne bi se trebali čuvati dulje nego što je nužno za potrebe osnovnih sustava i trebali bi se automatski brisati prilikom brisanja podataka iz osnovnih sustava u skladu s njihovim logičkim odvajanjem.

(23)

Novi postupak obrade koji se sastoji od pohrane takvih podataka u CIR umjesto pohrane u svaki od zasebnih sustava potreban je kako bi se omogućilo poboljšavanje točnosti identifikacije automatiziranom usporedbom i utvrđivanjem podudarnosti podataka. To što se podaci o identitetu, podaci o putnoj ispravi i biometrijski podaci pohranjuju u CIR ne bi trebalo ni na koji način sprječavati obradu podataka za potrebe EES-a, VIS-a, ETIAS-a, Eurodaca ili ECRIS-TCN-a jer bi CIR trebao biti nova zajednička komponenta tih osnovnih sustava.

(24)

Stoga je potrebno u CIR-u stvoriti pojedinačni spis za svaku osobu koja je registrirana u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u kako bi se postigla svrha točne identifikacije osoba na schengenskom području i pružila potpora MID-u, s dvojnom svrhom olakšavanja provjera identiteta osoba koje putuju u dobroj vjeri i suzbijanja prijevara povezanih s identitetom. U pojedinačnom spisu trebalo bi na jednom mjestu pohraniti sve informacije o identitetu povezane s pojedinom osobom te bi ih pojedinačnim spisom trebalo učiniti dostupnima propisno ovlaštenim krajnjim korisnicima

(25)

CIR bi stoga trebao olakšati i uskladiti pristup, za tijela nadležna za sprječavanje, otkrivanje ili istragu kaznenih djela terorizma ili drugih teških kaznenih djela, informacijskim sustavima koji nisu uspostavljeni isključivo za potrebe sprječavanja, otkrivanja ili istrage teških kaznenih djela.

(26)

Unutar CIR-a trebalo bi osigurati zajednički spremnik za podatke o identitetu, podatke o putnoj ispravi i biometrijske podatke osoba koje su registrirane u EES-u, VIS-u, ETIAS-u, Eurodacu i ECRIS-TCN-u. Zajednički spremnik trebao bi biti dio tehničke arhitekture tih sustava i služiti kao njihova zajednička komponenta za pohranu podataka o identitetu, podataka o putnoj ispravi i biometrijskih podataka koje oni obrađuju te za postavljanje upita u vezi s tim podacima.

(27)

Sve evidencije u CIR-u trebale bi biti logički odvojene automatskim označivanjem svake evidencije imenom osnovnog sustava kojem ona pripada. Sustav za kontrolu pristupa u okviru CIR-a trebao bi se koristiti tim oznakama kako bi odredio hoće li se omogućiti pristup evidenciji.

(28)

Ako policijsko tijelo države članice ne može identificirati pojedinu osobu zbog nepostojanja putne isprave ili drugog vjerodostojnog dokumenta kojim se dokazuje identitet te osobe ili ako postoje sumnje u vjerodostojnost podataka o identitetu koje je ta osoba pružila ili sumnje u vjerodostojnost putne isprave ili identitet njezina nositelja ili ako ta osoba nije u mogućnosti ili odbija surađivati, to policijsko tijelo trebalo bi moći postaviti upit u CIR-u u svrhu identifikacije te osobe. U tu svrhu, policijska tijela trebala bi uzimati otiske prstiju elektroničkim putem, pod uvjetom da je postupak pokrenut u prisutnosti te osobe. Takvi upiti u CIR-u nisu dopušteni u svrhu identifikacije maloljetnika mlađih od 12 godina, osim ako je to u najboljem interesu djeteta.

(29)

Ako se biometrijski podaci pojedine osobe ne mogu upotrijebiti ili ako je postavljanje upita s tim podacima bilo neuspješno, upit bi trebalo provesti na temelju podataka o identitetu te osobe u kombinaciji s podacima o putnoj ispravi. Ako se upitom utvrdi da su podaci o toj osobi pohranjeni u CIR-u, nadležna tijela države članice trebala bi imati pristup CIR-u radi provjere podataka o identitetu i podataka o putnoj ispravi te osobe, a da se pritom u CIR-u ne navodi kojem informacijskom sustavu EU-a podaci pripadaju.

(30)

Države članice trebale bi donijeti nacionalne zakonodavne mjere za imenovanje tijela nadležnih za obavljanje provjera identiteta uporabom CIR-a te propisati postupke, uvjete i kriterije za takve provjere koji bi trebali slijediti načelo proporcionalnosti. Konkretnije, nacionalnim pravom trebalo bi utvrditi ovlast za prikupljanje biometrijskih podataka tijekom provjere identiteta osobe koja se nalazi pred članom osoblja tih tijela.

(31)

Ovom Uredbom trebala bi se također uvesti nova mogućnost za usklađen pristup, za tijela koja su imenovale države članice i koja su nadležna za sprječavanje, otkrivanje ili istragu kaznenih djela terorizma ili drugih teških kaznenih djela i za Europol, podacima koji ne uključuju samo podatke o identitetu ili podatke o putnoj ispravi i koji se nalaze se u EES-u, VIS-u, ETIAS-u ili Eurodacu. Takvi podaci mogu biti potrebni za sprječavanje, otkrivanje ili istragu kaznenih djela terorizma ili drugih teških kaznenih djela u pojedinačnom slučaju kada se na temelju opravdanih razloga smatra da će ostvarivanje uvida u te podatke pridonijeti sprječavanju, otkrivanju ili istrazi kaznenih djela terorizma ili drugih teških kaznenih djela, a posebice ako postoji sumnja da je osumnjičenik, počinitelj ili žrtva kaznenog djela terorizma ili drugog teškog kaznenog djela osoba čiji su podaci pohranjeni u EES-u, VIS-u, ETIAS-u ili Eurodacu.

(32)

Puni pristup podacima sadržanima u EES-u, VIS-u, ETIAS-u ili Eurodacu koji su potrebni u svrhu sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela, povrh pristupa podacima o identitetu ili podacima o putnoj ispravi koji se nalaze u CIR-u, trebao bi i dalje biti uređen mjerodavnim pravnim instrumentima. Imenovana tijela nadležna za sprječavanje, otkrivanje ili istragu kaznenih djela terorizma ili drugih teških kaznenih djela i Europol ne znaju unaprijed koji od informacijskih sustava EU-a sadržava podatke o osobama o kojima trebaju postaviti upit. Zbog toga dolazi do kašnjenja i neučinkovitosti. Krajnjem korisniku kojeg je ovlastilo imenovano tijelo trebalo bi stoga omogućiti da vidi u kojem su od tih informacijskih sustava EU-a zabilježeni podaci koji odgovaraju rezultatima pojedinog upita. Predmetni sustav stoga bi bio označen nakon automatizirane provjere postojanja podudarnosti u sustavu (takozvana funkcija oznake o pronađenoj podudarnosti).

(33)

U tom kontekstu, odgovor CIR-a ne bi trebalo tumačiti ili koristiti kao osnovu ili razlog za donošenje zaključaka ili poduzimanje mjera u odnosu na pojedinu osobu, nego bi ga trebalo koristiti samo u svrhu podnošenja zahtjeva za pristup osnovnim informacijskim sustavima EU-a, podložno uvjetima i postupcima propisanima u odgovarajućim pravnim instrumentima kojima se uređuje taj pristup. Svaki takav zahtjev za pristup trebao bi podlijegati poglavlju VII. ove Uredbe te, ako je to primjenjivo, Uredbi (EU) 2016/679, Direktivi (EU) 2016/680 ili Uredbi (EU) 2018/1725 Europskog parlamenta i Vijeća (8).

(34)

U načelu, ako oznaka o pronađenoj podudarnosti pokazuje da su podaci zabilježeni u EES-u, VIS-u, ETIAS-u ili Eurodacu, imenovana tijela ili Europol trebali bi podnijeti zahtjev za puni pristup barem jednom od predmetnih informacijskih sustava EU-a. Ako se, iznimno, ne podnese zahtjev za takav puni pristup, primjerice zbog toga što su imenovana tijela ili Europol već dobili podatke na drugi način, ili dobivanje podataka više nije dopušteno nacionalnim pravom, trebalo bi evidentirati opravdanje za nepodnošenje zahtjeva za pristup.

(35)

U evidencijama upita u CIR-u trebala bi biti navedena svrha upitâ. Ako je takav upit proveden uporabom pristupa provjere u dva koraka, evidencija bi trebala uključivati upućivanje na nacionalni spis o istrazi ili predmetu, čime se naznačuje da je upit pokrenut za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela.

(36)

Postavljanje upita CIR-u od strane imenovanih tijela država članica i Europola radi dobivanja odgovora u obliku oznake o pronađenoj podudarnosti, u kojem se naznačuje da su podaci zabilježeni u EES-u, VIS-u, ETIAS-u ili Eurodacu, iziskuje automatsku obradu osobnih podataka. Oznaka o pronađenoj podudarnosti ne bi trebala otkrivati osobne podatke predmetne osobe, već bi samo trebala sadržavati naznaku da su neki podaci o toj osobi pohranjeni u jednom od sustava. Ovlašteni krajnji korisnik ne bi smio donijeti nikakvu negativnu odluku o predmetnoj osobi samo na temelju pojave oznake o pronađenoj podudarnosti. Pristup krajnjeg korisnika oznaci o pronađenoj podudarnosti imat će stoga vrlo ograničen utjecaj na pravo na zaštitu osobnih podataka predmetne osobe, a njime će se istodobno imenovanim tijelima i Europolu omogućiti da učinkovitije zahtijevaju pristup osobnim podacima.

(37)

Trebalo bi uspostaviti MID kako bi se poduprlo funkcioniranje CIR-a i poduprli ciljevi EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a. Kako bi djelotvorno ostvarivali svoje ciljeve, svi ti informacijski sustavi EU-a iziskuju točnu identifikaciju osoba čiji su osobni podaci u njima pohranjeni.

(38)

Radi uspješnijeg ostvarivanja ciljeva informacijskih sustava EU-a tijela koja upotrebljavaju te sustave trebala bi moći obavljati dostatno pouzdane provjere identiteta osoba čiji su podaci pohranjeni u različitim sustavima. Skup podataka o identitetu ili podataka o putnoj ispravi pohranjen u određenom pojedinačnom sustavu može biti netočan, nepotpun ili lažan te trenutačno ne postoji način da se usporedbom s podacima pohranjenima u drugom sustavu otkriju netočni, nepotpuni ili lažni podaci o identitetu ili podaci o putnoj ispravi. Kako bi se to stanje ispravilo, nužno je na razini Unije uspostaviti tehnički instrument koji će omogućiti točnu identifikaciju osoba u te svrhe.

(39)

MID bi trebao stvarati i pohranjivati poveznice među podacima u različitim informacijskim sustavima EU-a s ciljem otkrivanja višestrukih identiteta, s dvojnom svrhom olakšavanja provjera identiteta osoba koje putuju u dobroj vjeri i suzbijanja prijevara povezanih s identitetom. MID bi trebao sadržavati samo poveznice između podataka o osobama evidentiranima u više informacijskih sustava EU-a. Povezani podaci trebali bi biti strogo ograničeni na podatke koji su potrebni za provjeru je li osoba opravdano ili neopravdano evidentirana u različitim sustavima pod različitim identitetima ili kako bi se razjasnilo da dvije osobe sa sličnim podacima nisu ista osoba. Obrada podataka putem ESP-a i zajedničkog BMS-a s ciljem povezivanja pojedinačnih spisa u različitim sustavima trebala bi biti minimalna i stoga ograničena na otkrivanje višestrukih identiteta, koje se treba provoditi u trenutku dodavanja novih podataka u jedan od sustava čiji su podaci pohranjeni u CIR-u ili dodani u SIS. MID bi trebao uključivati zaštitne mjere protiv moguće diskriminacije i nepovoljnih odluka za osobe s više zakonitih identiteta.

(40)

Ovom Uredbom predviđeni su novi postupci obrade podataka s ciljem točne identifikacije predmetnih osoba. Time se zadire u temeljna prava tih osoba kako su zaštićena člancima 7. i 8. Povelje Europske unije o temeljnim pravima. Budući da djelotvorna provedba informacijskih sustava EU-a ovisi o točnoj identifikaciji predmetnih osoba, takvo zadiranje opravdava se istim ciljevima radi kojih su ti sustavi uspostavljeni, odnosno radi djelotvornog upravljanja granicama Unije, unutarnje sigurnosti Unije te djelotvorne provedbe politike azila i vizne politike Unije.

(41)

ESP i zajednički BMS trebali bi uspoređivati podatke o osobama u CIR-u i SIS-u kada nacionalno tijelo ili agencija Unije stvore ili učitaju nove unose. Takva usporedba trebala bi biti automatska. CIR i SIS trebali bi se koristiti zajedničkim BMS-om za otkrivanje mogućih poveznica na temelju biometrijskih podataka. CIR i SIS trebali bi se koristiti zajedničkim ESP-om za otkrivanje mogućih poveznica na temelju alfanumeričkih podataka. CIR i SIS trebali bi moći prepoznati iste ili slične podatke o pojedinoj osobi pohranjene u nekoliko sustava. U tom slučaju trebala bi se uspostaviti poveznica koja označuje da je riječ o istoj osobi. CIR i SIS trebali bi biti konfigurirani na način da se otkriju male pogreške u transliteraciji ili male pogreške u pisanju kako za predmetnu osobu ne bi nastale neopravdane teškoće.

(42)

Nacionalno tijelo ili agencija Unije koji su zabilježili podatke u odgovarajućem informacijskom sustavu EU-a trebali bi potvrditi ili izmijeniti poveznice. To nacionalno tijelo ili agencija Unije trebali bi za potrebe ručne provjere različitih identiteta imati pristup podacima pohranjenima u CIR-u ili u SIS-u i u MID-u.

(43)

Ručnu provjeru različitih identiteta trebalo bi obavljati tijelo koje stvara ili ažurira podatke na temelju kojih je pronađena podudarnost temeljem koje je uspostavljena poveznica s podacima koji su pohranjeni u drugom informacijskom sustavu EU-a. Tijelo nadležno za ručnu provjeru različitih identiteta trebalo bi procijeniti je li riječ o višestrukim identitetima koji se opravdano ili neopravdano odnose na istu osobu. Takvu procjenu trebalo bi obaviti, ako je to moguće, u prisutnosti predmetne osobe i, prema potrebi, traženjem dodatnih pojašnjenja ili informacija. Procjenu bi trebalo obaviti bez odgode u skladu s pravnim zahtjevima u pogledu točnosti informacija u skladu s pravom Unije i nacionalnim pravom. Kretanje predmetnih osoba, osobito na granicama, bit će ograničeno tijekom provjere, a provjera stoga ne bi smjela trajati neograničeno. Postojanje žute poveznice u MID-u ne bi samo po sebi trebalo biti razlog zabrane ulaska te bi svaku odluku o odobrenju ili odbijanju ulaska trebalo donijeti isključivo na temelju mjerodavnih odredbi Uredbe (EU) 2016/399 Europskog parlamenta i Vijeća (9).

(44)

Kada je riječ o poveznicama dobivenima putem SIS-a koje se odnose na upozorenja o osobama za koje se traži uhićenje radi predaje ili izručenja, o nestalim ili ranjivim osobama, o osobama koje se traže radi pomoći u sudskom postupku ili o osobama radi skrivenih provjera, obavijesnih provjera ili posebnih provjera, tijelo nadležno za ručnu provjeru različitih identiteta trebao bi biti ured SIRENE države članice koja je stvorila upozorenje. Te kategorije upozorenja u sustavu SIS osjetljive su i ne bi ih nužno trebalo dijeliti s tijelima koja unose podatke ili ažuriraju podatke povezane s njima u jednom od drugih informacijskih sustava EU-a. Stvaranjem poveznice s podacima u sustavu SIS ne bi se trebale dovoditi u pitanje mjere koje treba poduzeti u skladu s uredbama (EU) 2018/1860 (10), (EU) 2018/1861 (11) i (EU) 2018/1862 (12) Europskog parlamenta i Vijeća.

(45)

Stvaranje takvih poveznica iziskuje transparentnost prema predmetnim osobama. Kako bi se olakšala provedba potrebnih zaštitnih mjera u skladu s primjenjivim pravilima Unije o zaštiti podataka, osobe na koje se odnose crvena ili bijela poveznica nakon ručne provjere različitih identiteta trebale bi o tome dobiti pisanu obavijest, ne dovodeći u pitanje ograničenja radi zaštite sigurnosti i javnog poretka, sprječavanja kaznenih djela i jamčenja da nisu ugrožene nacionalne istrage. Te bi osobe trebale dobiti jedinstveni identifikacijski broj koji im omogućuje da utvrde tijelo kojemu bi se trebale obratiti radi ostvarivanja svojih prava.

(46)

U slučaju stvaranja žute poveznice, tijela nadležna za ručnu provjeru različitih identiteta trebala bi imati pristup MID-u. U slučaju postojanja crvene poveznice, tijela država članica i agencije Unije koje imaju pristup barem jednom informacijskom sustavu EU-a koji je uključen u CIR ili SIS-u trebala bi imati pristup MID-u. Crvena poveznica trebala bi upućivati na to da se pojedina osoba neopravdano koristi različitim identitetima ili da se pojedina osoba koristi tuđim identitetom.

(47)

Ako postoji bijela ili zelena poveznica između podataka iz dvaju informacijskih sustava EU-a, tijela država članica i agencije Unije trebale bi imati pristup MID-u kada dotično tijelo ili dotična agencija ima pristup obama informacijskim sustavima. Takav bi se pristup trebao odobriti isključivo kako bi se tom tijelu ili toj agenciji omogućilo otkrivanje potencijalnih slučajeva u kojima su podaci netočno povezani ili u kojima je obradom tih podataka u MID-u, CIR-u i SIS-u prekršena ova Uredba te kako bi se poduzele mjere za ispravljanje stanja i ažuriranje ili brisanje poveznice.

(48)

Agencije Europske unije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA) trebala bi uspostaviti automatizirane mehanizme za kontrolu kvalitete podataka i zajedničke pokazatelje kvalitete podataka. Trebala bi biti odgovorna za razvoj kapaciteta za praćenje kvalitete podataka na središnjoj razini i za izradu redovitih izvješća o analizi podataka radi poboljšanja kontrole provedbe informacijskih sustava EU-a od strane država članica. Zajednički pokazatelji kvalitete podataka trebali bi uključivati minimalne standarde kvalitete za pohranu podataka u informacijske sustave EU-a ili komponente interoperabilnosti. Takvim standardima kvalitete podataka nastoji se postići da informacijski sustavi EU-a i komponente interoperabilnosti automatski utvrđuju očito netočne ili nedosljedne podneske s podacima kako bi država članica podrijetla mogla provjeriti podatke i poduzeti potrebne korektivne mjere.

(49)

Komisija bi trebala provoditi evaluaciju izvješća agencije eu-LISA o kvaliteti i prema potrebi izdavati preporuke državama članicama. Države članice trebale bi biti odgovorne za izradu akcijskog plana u kojem se opisuju mjere za ispravljanje nedostataka u kvaliteti podataka te bi trebale redovito izvješćivati o njegovu napretku.

(50)

Univerzalni format poruka (UMF) trebao bi služiti kao standard za strukturiranu, prekograničnu razmjenu informacija među informacijskim sustavima, tijelima ili organizacijama u području pravosuđa i unutarnjih poslova. U okviru UMF-a trebalo bi definirati zajedničku terminologiju i logičke strukture za informacije koje se uobičajeno razmjenjuju s ciljem olakšavanja interoperabilnosti tako što će se omogućiti stvaranje i čitanje sadržaja tih razmjena na dosljedan način i s istim značenjem.

(51)

Provedba standarda UMF-a mogla bi se razmotriti u VIS-u, SIS-u i u bilo kojim drugim postojećim ili novim modelima za prekograničnu razmjenu informacija i informacijskim sustavima u području pravosuđa i unutarnjih poslova koje su razvile države članice.

(52)

Trebalo bi uspostaviti središnji repozitorij podataka za izvješćivanje i statistiku (CRSS) za stvaranje međusustavnih statističkih podataka i analitičko izvješćivanje za potrebe politike, operativne potrebe i potrebe kvalitete podataka, u skladu s mjerodavnim pravnim instrumentima. Agencija eu-LISA trebala bi uspostaviti i provoditi CRRS te ga smjestiti na poslužitelju na svojim tehničkim pogonima. CRSS bi trebao sadržavati anonimizirane statističke podatke iz informacijskih sustava EU-a, CIR-a, MID-a i zajedničkog BMS-a. Podaci sadržani u CRRS-u ne bi trebali omogućivati identifikaciju osoba. Agencija eu-LISA trebala bi automatski anonimizirati te podatke i zabilježiti ih u CRRS-u u tom anonimiziranom obliku. Proces anonimizacije podataka trebao bi biti automatski i osoblje agencije eu-LISA ne bi trebalo imati izravan pristup osobnim podacima pohranjenima u informacijskim sustavima EU-a ili u komponentama interoperabilnosti.

(53)

Uredba (EU) 2016/679 primjenjuje se na obradu osobnih podataka koju u svrhu interoperabilnosti u skladu s ovom Uredbom obavljaju nacionalna tijela, osim ako tu obradu obavljaju imenovana tijela ili središnje pristupne točke država članica za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela.

(54)

Ako obradu osobnih podataka koju obavljaju države članice u svrhu interoperabilnosti u skladu s ovom Uredbom obavljaju nadležna tijela za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela, primjenjuje se Direktiva (EU) 2016/680.

(55)

Uredba (EU) 2016/679, Uredba (EU) 2018/1725 ili, ako je to relevantno, Direktiva (EU) 2016/680, primjenjuju se na prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama koji se provodi u skladu s ovom Uredbom. Ne dovodeći u pitanje razloge za prijenos na temelju poglavlja V. Uredbe (EU) 2016/679 ili, ako je to relevantno, Direktive (EU) 2016/680, sve presude nekog suda i sve odluke nekog upravnog tijela treće zemlje kojima se od voditelja obrade ili izvršitelja obrade zahtijeva prijenos ili otkrivanje osobnih podataka trebale bi se priznati ili biti izvršive na bilo koji način samo ako se temelje na nekom međunarodnom sporazumu koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili pojedine države članice.

(56)

Posebne odredbe o zaštiti podataka iz uredaba (EU) 2017/2226 (13), (EZ) br. 767/2008 (14), (EU) 2018/1240 (15) Europskog parlamenta i Vijeća i Uredbe(EU) 2018/1861 primjenjuju se na obradu osobnih podataka u sustavima uređenima tim uredbama.

(57)

Uredba (EU) 2018/1725 primjenjuje se na obradu osobnih podataka koju obavljaju agencija eu-LISA i druge institucije i tijela Unije kada izvršavaju svoje dužnosti u skladu s ovom Uredbom, ne dovodeći u pitanje Uredbu (EU) 2016/794 Europskog parlamenta i Vijeća (16), koja se primjenjuje na obradu osobnih podataka koju obavlja Europol.

(58)

Nadzorna tijela iz Uredbe (EU) 2016/679 ili Direktive (EU) 2016/680 trebala bi pratiti zakonitost obrade osobnih podataka koju obavljaju države članice. Europski nadzornik za zaštitu podataka trebao bi pratiti aktivnosti institucija i tijela Unije povezane s obradom osobnih podataka. Europski nadzornik za zaštitu podataka i nadzorna tijela trebali bi međusobno surađivati u praćenju obrade osobnih podataka koju obavljaju komponente interoperabilnosti. Kako bi Europski nadzornik za zaštitu podataka ispunio zadaće koje su mu povjerene u skladu s ovom Uredbom, potrebna su dostatna sredstva, između ostalog ljudski i financijski resursi.

(59)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 Europskog parlamenta i Vijeća (17) te je on dao mišljenje 16. travnja 2018. (18)

(60)

Radna skupina za zaštitu podataka iz članka 29. dostavila je 11. travnja 2018. svoje mišljenje.

(61)

Države članice i agencija eu-LISA trebale bi imati planove sigurnosti kako bi se olakšala provedba obveza zaštite sigurnosti i trebale bi međusobno surađivati na uklanjanju sigurnosnih problema. Agencija eu-LISA trebala bi osigurati i trajnu uporabu najnovijih tehnoloških postignuća za osiguranje cjelovitosti podataka u kontekstu razvoja i oblikovanja komponenata interoperabilnosti te upravljanja tim komponentama. U tom bi pogledu obveze agencije eu-LISA trebale uključivati donošenje mjera potrebnih za sprječavanje pristupa neovlaštenih osoba, kao što je osoblje vanjskih pružatelja usluga, osobnim podacima koji se obrađuju putem komponenata interoperabilnosti. Pri dodjeli ugovora o pružanju usluga države članice i agencija eu-LISA trebale bi razmotriti sve potrebne mjere za osiguravanje usklađenosti sa zakonima ili propisima koji se odnose na zaštitu osobnih podataka i privatnost osoba ili za zaštitu ključnih sigurnosnih interesa, u skladu s Uredbom (EU, Euratom) 2018/1046 Europskog parlamenta i Vijeća (19) i primjenjivim međunarodnim konvencijama. Agencija eu-LISA trebala bi primjenjivati načela integrirane i zadane privatnosti tijekom razvoja komponenata interoperabilnosti.

(62)

Provedba komponenata interoperabilnosti predviđenih u ovoj Uredbi utjecat će na način provođenja kontrole na graničnim prijelazima. Taj utjecaj posljedica je kombinirane primjene postojećih pravila Uredbe (EU) 2016/399 i pravila o interoperabilnosti predviđenih u ovoj Uredbi.

(63)

Zbog te kombinirane primjene pravila ESP bi trebao biti glavna pristupna točka za obvezne sustavne provjere baza podataka u vezi s osobama na graničnim prijelazima koje su predviđene u Uredbi (EU) 2016/399. Nadalje, kako bi mogli procijeniti ispunjava li osoba uvjete za ulazak utvrđene u Uredbi (EU) 2016/399, službenici graničnog nadzora trebali bi uzeti u obzir podatke o identitetu ili podatke o putnoj ispravi koji su doveli do toga da je poveznica u MID-u razvrstana kao crvena poveznica. Međutim, postojanje crvene poveznice ne bi trebalo samo po sebi biti razlog zabrane ulaska i stoga ne bi trebalo izmijeniti postojeće razloge zabrane ulaska navedene u Uredbi (EU) 2016/399.

(64)

Trebalo bi ažurirati Praktični priručnik za službenike graničnog nadzora kako bi se uključila navedena pojašnjenja.

(65)

Ako se upitom MID-u putem ESP-a otkrije žuta ili crvena poveznica, službenik graničnog nadzora trebao bi provjeriti CIR ili SIS ili oba sustava kako bi procijenio informacije o osobi koja je predmetom provjere, ručno potvrdio njezine podatke o identitetu i prema potrebi prilagodio boju poveznice.

(66)

Za potrebe prikupljanja statističkih podataka i izvješćivanja potrebno je ovlaštenom osoblju nadležnih tijela, institucija i agencija Unije iz ove Uredbe odobriti pristup određenim podacima povezanima s određenim komponentama interoperabilnosti, a da se pritom ne omogući identifikacija osoba.

(67)

Kako bi se tijelima država članica i agencijama Unije omogućilo da se prilagode novim zahtjevima za uporabu ESP-a, potrebno je predvidjeti prijelazno razdoblje. Slično tomu, kako bi se omogućilo usklađeno i optimalno funkcioniranje MID-a, trebalo bi uspostaviti prijelazne mjere za početak njegova rada.

(68)

S obzirom na to da cilj ove Uredbe, odnosno osnivanje okvira za interoperabilnost informacijskih sustava EU-a, ne mogu dostatno ostvariti države članice, nego se zbog opsega i učinaka djelovanja on na bolji način može ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji (UEU). U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tog cilja.

(69)

Preostali iznos u proračunu namijenjen za pametne granice u Uredbi (EU) br. 515/2014 Europskog parlamenta i Vijeća (20) trebao bi se preraspodijeliti na ovu Uredbu, na temelju članka 5. stavka 5. točke (b) Uredbe (EU) br. 515/2014 kako bi se pokrili troškovi za razvoj komponenata interoperabilnosti.

(70)

Kako bi se dopunili određeni detaljni tehnički aspekti ove Uredbe, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije (UFEU) u pogledu:

produljenja prijelaznog razdoblja za uporabu ESP-a;

produljenja prijelaznog razdoblja za otkrivanje višestrukih identiteta koje provodi središnja jedinica ETIAS-a;

postupaka za utvrđivanje slučajeva u kojima se podaci o identitetu mogu smatrati istima ili sličnima;

pravila za rad CRRS-a, uključujući posebne zaštitne mjere za obradu osobnih podataka i sigurnosna pravila koja se primjenjuju na repozitorij; i

detaljnih pravila o radu internetskog portala.

Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016 (21). Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(71)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Uredbe, provedbene ovlasti trebalo bi dodijeliti Komisiji za određivanje datumâ početka rada ESP-a, zajedničkog BMS-a, CIR-a, MID-a i CRSS-a.

(72)

Komisiji bi također trebalo dodijeliti provedbene ovlasti za donošenje detaljnih pravila o: tehničkim pojedinostima o profilima korisnika ESP-a; specifikacijama tehničkih rješenja za olakšavanje postavljanja upita informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka putem ESP-a i obliku odgovora ESP-a; tehničkim pravilima za stvaranje poveznica u MID-u među podacima iz različitih informacijskih sustava EU-a; sadržaju i izgledu obrasca koji se koristi za obavješćivanje ispitanika prilikom stvaranja crvene poveznice; zahtjevima u pogledu uspješnosti i praćenju uspješnosti zajedničkog BMS-a; automatiziranim mehanizmima, postupcima i pokazateljima kontrole kvalitete podataka; razvoju standarda UMF-a; postupku suradnje koji se koristi u slučaju sigurnosnog incidenta; te specifikacijama tehničkog rješenja za države članice kako bi mogle upravljati zahtjevima za pristup korisnika. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (22).

(73)

Budući da će komponente interoperabilnosti obuhvaćati obradu znatnih količina osjetljivih osobnih podataka, važno je da osobe čiji se podaci obrađuju s pomoću tih komponenata mogu učinkovito ostvarivati svoja prava kao ispitanici u skladu s Uredbom (EU) 2016/679, Direktivom (EU) 2016/680 i Uredbom (EU) br. 2018/1725. Trebao bi postojati internetski portal za ispitanike kojim se ispitanicima olakšava ostvarivanje njihovih prava na pristup njihovim osobnim podacima, ispravak, brisanje i ograničavanje obrade tih podataka. Agencija eu-LISA trebala bi uspostaviti takav internetski portal i upravljati njime.

(74)

Jedno od temeljnih načela zaštite podataka jest smanjenje količine podataka: u skladu s člankom 5. stavkom 1. točkom (c) Uredbe (EU) 2016/679 obrada osobnih podataka mora biti primjerena, relevantna i ograničena na ono što je nužno u odnosu na svrhe u koje se osobni podaci obrađuju. Iz tog se razloga komponentama interoperabilnosti ne bi trebala predvidjeti pohrana nikakvih novih osobnih podataka osim poveznica koje će biti pohranjene u MID-u i koje predstavljaju minimum koji je nužan za potrebe ove Uredbe.

(75)

Ova Uredba trebala bi sadržavati jasne odredbe o odgovornosti i pravu na naknadu štete zbog nezakonite obrade osobnih podataka i zbog bilo kojeg drugog djela koje nije usklađeno s njome. Takvim odredbama ne bi trebalo dovoditi u pitanje pravo na naknadu štete od voditelja obrade ili izvršitelja obrade i njihovu odgovornost u skladu s Uredbom (EU) 2016/679, Direktivom (EU) 2016/680 i Uredbom (EU) br. 2018/1725. Agencija eu-LISA trebala bi, kao izvršitelj obrade, biti odgovorna za štetu koju je uzrokovala ako nije ispunila specifične obveze koje su joj dodijeljene ovom Uredbom ili ako je djelovala izvan zakonskih uputa države članice koja je voditeljica obrade ili protivno njima.

(76)

Ovom Uredbom ne dovodi se u pitanje primjena Direktive 2004/38/EZ Europskog parlamenta i Vijeća (23).

(77)

U skladu s člancima 1. i 2. Protokola br. 22 o stajalištu Danske, priloženog UEU-u i UFEU-u, Danska ne sudjeluje u donošenju ove Uredbe te ona za nju nije obvezujuća niti se na nju primjenjuje. S obzirom na to da ova Uredba predstavlja daljnji razvoj schengenske pravne stečevine, Danska, u skladu s člankom 4. navedenog Protokola, u roku od šest mjeseci nakon što Vijeće odluči o ovoj Uredbi odlučuje hoće li je provesti u svojem nacionalnom pravu.

(78)

Ova Uredba predstavlja razvoj odredaba schengenske pravne stečevine u kojoj Ujedinjena Kraljevina ne sudjeluje, u skladu s odlukom Vijeća 2000/365/EZ (24); Ujedinjena Kraljevina stoga ne sudjeluje u donošenju ove Uredbe te ona za nju nije obvezujuća niti se na nju primjenjuje.

(79)

Ova Uredba predstavlja razvoj odredaba schengenske pravne stečevine u kojima Irska ne sudjeluje, u skladu s Odlukom Vijeća 2002/192/EZ (25); Irska stoga ne sudjeluje u donošenju ove Uredbe te ona za nju nije obvezujuća niti se na nju primjenjuje.

(80)

U pogledu Islanda i Norveške, ova Uredba predstavlja razvoj odredaba schengenske pravne stečevine u smislu Sporazuma između Vijeća Europske unije i Republike Islanda i Kraljevine Norveške o pridruživanju tih država provedbi, primjeni i razvoju schengenske pravne stečevine (26), koje pripadaju području iz članka 1. točaka A, B, C i G Odluke Vijeća 1999/437/EZ (27).

(81)

U pogledu Švicarske, ova Uredba predstavlja razvoj odredaba schengenske pravne stečevine u smislu Sporazuma potpisanog između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (28), koje pripadaju području iz članka 1. točaka A, B, C i G Odluke Vijeća 1999/437/EZ u vezi s člankom stavkom 3. Odluke Vijeća 2008/146/EZ (29).

(82)

U pogledu Lihtenštajna, ova Uredba predstavlja razvoj odredaba schengenske pravne stečevine u smislu Protokola između Europske unije, Europske zajednice, Švicarske Konfederacije i Kneževine Lihtenštajna o pristupanju Kneževine Lihtenštajna Sporazumu između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (30), što spada u područje iz članka 1. točaka A, B, C i G Odluke 1999/437/EZ u vezi s člankom 3. Odluke Vijeća 2011/350/EU (31).

(83)

Ovom se Uredbom poštuju temeljna prava i načela priznata posebno Poveljom Europske unije o temeljnim pravima i ona bi se trebala primjenjivati u skladu s tim pravima i načelima.

(84)

Kako bi se ova Uredba uklopila u postojeći pravni okvir, uredbe (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 i (EU) 2018/1861, te odluke Vijeća 2004/512/EZ (32) i 2008/633/PUP (33) trebalo bi na odgovarajući način izmijeniti,

DONIJELI SU OVU UREDBU:

POGLAVLJE I.

Opće odredbe

Članak 1.

Predmet

1.   Ovom Uredbom, zajedno s Uredbom (EU) 2019/818 Europskog parlamenta i Vijeća (34), uspostavlja se okvir za osiguravanje interoperabilnosti između sustava ulaska/izlaska (EES), viznog informacijskog sustava (VIS), europskog sustava za informacije o putovanjima i odobravanje putovanja (ETIAS), Eurodaca, schengenskog informacijskog sustava (SIS) i Europskog informacijskog sustava kaznene evidencije za državljane trećih zemalja (ECRIS-TCN).

2.   Okvir uključuje sljedeće komponente interoperabilnosti:

(a)

europski portal za pretraživanje (ESP);

(b)

zajedničku uslugu uspoređivanja biometrijskih podataka (zajednički BMS);

(c)

zajednički repozitorij podataka o identitetu (CIR);

(d)

detektor višestrukih identiteta (MID).

3.   Ovom se Uredbom utvrđuju i odredbe o zahtjevima u pogledu kvalitete podataka, o univerzalnom formatu poruka, o središnjem repozitoriju podataka za izvješćivanje i statistiku (CRRS) i o odgovornosti država članica i Agencije Europske unije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA) u pogledu oblikovanja, razvoja i rada komponenata interoperabilnosti.

4.   Ovom Uredbom također se prilagođavaju postupci i uvjeti za pristup imenovanih tijela i Agencije Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) EES-u, VIS-u, ETIAS-u i Eurodacu za potrebe sprječavanja, otkrivanja ili istraga kaznenih djela terorizma ili drugih teških kaznenih djela.

5.   Ovom Uredbom također se utvrđuje okvir za provjeru identiteta osoba i identifikaciju osoba.

Članak 2.

Ciljevi

1.   Osiguravanjem interoperabilnosti ovom Uredbom ostvaruju se sljedeći ciljevi:

(a)

poboljšati djelotvornost i učinkovitost granične kontrole na vanjskim granicama;

(b)

pridonijeti sprječavanju i suzbijanju nezakonite imigracije;

(c)

pridonijeti visokoj razini sigurnosti u području slobode, sigurnosti i pravde Unije, između ostalog održavanju javne sigurnosti i javnog poretka te zaštiti sigurnosti na državnim područjima država članica;

(d)

poboljšati provedbu zajedničke vizne politike;

(e)

pomoći u ispitivanju zahtjevâ za međunarodnu zaštitu;

(f)

pridonijeti sprječavanju, otkrivanju i istrazi kaznenih djela terorizma i drugih teških kaznenih djela;

(g)

olakšati identifikaciju nepoznatih osoba koje se ne mogu same identificirati ili identifikaciju neidentificiranih ljudskih posmrtnih ostataka u slučaju prirodne katastrofe, nesreće ili terorističkog napada.

2.   Ciljevi iz stavka 1. postižu se na sljedeće načine:

(a)

osiguravanjem točne identifikacije osoba;

(b)

pridonošenjem suzbijanju prijevara povezanih s identitetom;

(c)

poboljšanjem kvalitete podataka i usklađivanjem zahtjeva povezanih s kvalitetom za podatke pohranjene u informacijskim sustavima EU-a, poštujući pritom zahtjeve u pogledu obrade podataka iz pravnih instrumenata kojima se uređuju pojedinačni sustavi te standarde i načela zaštite podataka;

(d)

olakšavanjem i podupiranjem tehničke i operativne provedbe informacijskih sustava EU-a od strane država članica;

(e)

jačanjem, pojednostavnjenjem i ujednačavanjem uvjeta povezanih sa sigurnošću podataka i zaštitom podataka kojima se uređuju predmetni informacijski sustavi EU-a, ne utječući pritom na posebnu zaštitu i zaštitne mjere koje su predviđene za određene kategorije podataka;

(f)

usklađivanjem uvjeta za pristup imenovanih tijela EES-u, VIS-u, ETIAS-u i Eurodacu, uz istodobno jamčenje nužnih i proporcionalnih uvjeta za taj pristup;

(g)

podupiranjem svrha EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

Članak 3.

Područje primjene

1.   Ova Uredba primjenjuje se na EES, VIS, ETIAS i SIS.

2.   Ova Uredba primjenjuje se na osobe čiji se osobni podaci mogu obrađivati u informacijskim sustavima EU-a iz stavka 1. ovog članka i čiji se podaci prikupljaju za potrebe utvrđene u člancima 1. i 2. Uredbe (EZ) br. 767/2008, članku 1. Uredbe (EU) 2017/2226, člancima 1. i 4. Uredbe (EU) 2018/1240, članku 1. Uredbe (EU) 2018/1860 i članku 1. Uredbe (EU) 2018/1861.

Članak 4.

Definicije

Za potrebe ove Uredbe, primjenjuju se sljedeće definicije:

1.

„vanjske granice” znači vanjske granice kako su definirane u članku 2. točki 2. Uredbe (EU) 2016/399;

2.

„granična kontrola” znači granična kontrola kako je definirana u članku 2. točki 11. Uredbe (EU) 2016/399;

3.

„granično tijelo” znači službenik graničnog nadzora raspoređen u skladu s nacionalnim pravom za provođenje granične kontrole;

4.

„nadzorna tijela” znači nadzorno tijelo iz članka 51. stavka 1. Uredbe (EU) 2016/679 i nadzorno tijelo iz članka 41. stavka 1. Direktive (EU) 2016/680;

5.

„provjera” znači postupak uspoređivanja skupova podataka kako bi se ustanovila valjanost identiteta na koji se osoba poziva (kontrola usporedbom dvaju uzoraka);

6.

„identifikacija” znači postupak utvrđivanja identiteta osobe uspoređivanjem s višestrukim skupovima podataka u bazi podataka (kontrola usporedbom više uzoraka);

7.

„alfanumerički podaci” znači podaci izraženi slovima, brojkama, posebnim znakovima, razmacima između znakova i interpunkcijskim znakovima;

8.

„podaci o identitetu” znači podaci iz članka 27. stavka 3. točaka od (a) do (e);

9.

„podaci o otiscima prstiju” znači prikazi otisaka prstiju i prikazi latentnih otisaka prstiju koji zbog svoje jedinstvenosti i referentnih točaka koje sadržavaju omogućuju točne i nepobitne usporedbe u vezi s identitetom osobe;

10.

„prikaz lica” znači digitalne snimke lica;

11.

„biometrijski podaci” znači podaci o otiscima prstiju ili prikazi lica ili i jedno i drugo;

12.

„biometrijski model” znači matematički prikaz dobiven izvlačenjem obilježja iz biometrijskih podataka ograničen na značajke koje su nužne za obavljanje postupaka identifikacije i provjere;

13.

„putna isprava” znači putovnica ili neka druga ekvivalentna isprava na temelju koje njezin nositelj ima pravo prelaziti vanjske granice i na koju se može nalijepiti viza;

14.

„podaci o putnoj ispravi” znači vrsta, broj putne isprave te zemlja koja je izdala putnu ispravu, datum isteka valjanosti putne isprave i troslovna oznaka zemlje koja je izdala putnu ispravu;

15.

„informacijski sustavi EU-a” znači EES, VIS, ETIAS, Eurodac, SIS i ECRIS-TCN;

16.

„podaci Europola” znači osobni podaci koje obrađuje Europol u svrhe iz članka 18. stavka 2. točaka (a), (b) i (c) Uredbe (EU) 2016/794;

17.

„Interpolove baze podataka” znači Interpolova baza podataka o ukradenim i izgubljenim putnim ispravama (baza podataka SLTD) i Interpolova baza podataka o putnim ispravama povezanima s obavijestima (baza podataka TDAWN);

18.

„podudarnost” znači postojanje korespondencije nastale automatskom usporedbom osobnih podataka koji su zabilježeni u informacijskom sustavu ili bazi podataka ili se bilježe u informacijskom sustavu ili bazi podataka;

19.

„policijsko tijelo” znači „nadležno tijelo” kako je definirano u članku 3. točki 7. Direktive (EU) 2016/680;

20.

„imenovana tijela” znači imenovana tijela država članica kako su definirana u članku 3. stavku 1. točki 26. Uredbe (EU) 2017/2226, članku 2. stavku 1. točki (e) Odluke 2008/633/PUP i članku 3. stavku 1. točki 21. Uredbe (EU) 2018/1240;

21.

„kazneno djelo terorizma” znači kazneno djelo prema nacionalnom pravu koje odgovara ili je istovjetno jednom od kaznenih djela iz Direktive (EU) 2017/541 Europskog parlamenta i Vijeća (35);

22.

„teško kazneno djelo” znači kazneno djelo koje odgovara ili je istovjetno jednom od kaznenih djela iz članka 2. stavka 2. Okvirne odluke Vijeća 2002/584/PUP (36) ako je prema nacionalnom pravu kažnjivo kaznom zatvora ili mjerom oduzimanja slobode na maksimalno razdoblje od najmanje tri godine;

23.

„sustav ulaska/izlaska” ili „EES” znači sustav ulaska/izlaska kako je uspostavljen Uredbom (EU) 2017/2226;

24.

„vizni informacijski sustav” ili „VIS” znači vizni informacijski sustav uspostavljen Uredbom (EZ) br. 767/2008;

25.

„europski sustav za informacije o putovanjima i odobravanje putovanja” ili „ETIAS” znači europski sustav za informacije o putovanjima i odobravanje putovanja uspostavljen Uredbom (EU) 2018/1240;

26.

„Eurodac” znači Eurodac uspostavljen Uredbom (EU) br. 603/2013 Europskog parlamenta i Vijeća (37);

27.

„Schengenski informacijski sustav” ili „SIS” znači Schengenski informacijski sustav uspostavljen uredbama (EU) 2018/1860, (EU) 2018/1861 i (EU) 2018/1862;

28.

„ECRIS-TCN” znači centralizirani sustav država članica za identifikaciju koje imaju podatke o osudama državljana trećih zemalja i osoba bez državljanstva uspostavljen Uredbom (EU) 2019/816 Europskog parlamenta i Vijeća (38).

Članak 5.

Nediskriminacija i temeljna prava

Obradom osobnih podataka za potrebe ove Uredbe ne smije se uzrokovati diskriminacija osoba na osnovi spola, rase, boje kože, etničkog ili socijalnog podrijetla, genetskih osobina, jezika, religije ili uvjerenja, političkih ili bilo kojih drugih mišljenja, pripadnosti nacionalnoj manjini, imovine, rođenja, invaliditeta, dobi ili spolne orijentacije. Njome se moraju potpuno poštovati ljudsko dostojanstvo i integritet te temeljna prava, uključujući pravo na poštovanje privatnog života i pravo na zaštitu osobnih podataka. Posebna pozornost posvećuje se djeci, starijim osobama, osobama s invaliditetom te osobama kojima je potrebna međunarodna zaštita. Najbolji interesi djeteta moraju biti na prvom mjestu.

POGLAVLJE II.

Europski portal za pretraživanje

Članak 6.

Europski portal za pretraživanje

1.   Uspostavlja se europski portal za pretraživanje (ESP) kako bi se nadležnim tijelima država članica i agencijama Unije olakšao brz, neometan, učinkovit, sustavan i kontroliran pristup informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka radi obavljanja njihovih zadaća i u skladu s njihovim pravima pristupa te ciljevima i svrhama EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

2.   ESP se sastoji od sljedećeg:

(a)

središnje infrastrukture, uključujući portal za pretraživanje koji omogućuje istodobno postavljanje upita EES-u, VIS-u, ETIAS-u, Eurodacu, SIS-u, ECRIS-TCN-u te podacima Europola i Interpolovim bazama podataka;

(b)

sigurnog komunikacijskog kanala između ESP-a, država članica i agencija Unije koje imaju pravo upotrebljavati ESP;

(c)

sigurne komunikacijske infrastrukture između ESP-a i EES-a, VIS-a, ETIAS-a, Eurodaca, središnjeg SIS-a, ECRIS-TCN-a, podataka Europola i Interpolovih baza podataka te između ESP-a i središnjih infrastruktura CIR-a i MID-a.

3.   Agencija eu-LISA razvija ESP i osigurava tehničko upravljanje njime.

Članak 7.

Uporaba europskog portala za pretraživanje

1.   Uporaba ESP-a rezervirana je za nadležna tijela država članica i agencije Unije koje imaju pristup barem jednom od informacijskih sustava EU-a, u skladu s pravnim instrumentima kojima se uređuju ti informacijski sustavi EU-a, koje imaju pristup CIR-u i MID-u, u skladu s ovom Uredbom, koje imaju pristup podacima Europola, u skladu s Uredbom (EU) 2016/679 ili-koje imaju pristup Interpolovim bazama podataka u skladu s pravom Unije ili nacionalnim pravom kojim se uređuje takav pristup.

Ta tijela država članica i agencije Unije mogu upotrebljavati ESP i podatke koje je ESP pružio samo za ciljeve i potrebe utvrđene u pravnim instrumentima kojima se uređuju ti informacijski sustavi EU-a, u Uredbi (EU) 2016/794 i u ovoj Uredbi.

2.   Tijela država članica i agencije Unije iz stavka 1. upotrebljavaju ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u središnjim sustavima EES-a, VIS-a i ETIAS-a u skladu sa svojim pravima pristupa, kako je navedeno u pravnim instrumentima kojima se uređuju ti informacijski sustavi EU-a i u nacionalnom pravu. Ta tijela upotrebljavaju ESP i za postavljanje upita CIR-u u skladu sa svojim pravima pristupa u okviru ove Uredbe za potrebe iz članaka 20., 21. i 22.

3.   Tijela država članica iz stavka 1. mogu upotrebljavati ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u središnjem SIS-u iz uredaba (EU) 2018/1860 i (EU) 2018/1861.

4.   Ako je tako predviđeno pravom Unije, agencije Unije iz stavka 1. upotrebljavaju ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u središnjem SIS-u.

5.   Tijela država članica i agencije Unije iz stavka 1. mogu upotrebljavati ESP za pretraživanje podataka povezanih s putnim ispravama u Interpolovim bazama podataka u skladu sa svojim pravima pristupa na temelju prava Unije i nacionalnog prava.

Članak 8.

Profili korisnika europskog portala za pretraživanje

1.   Kako bi se omogućila uporaba ESP-a, agencija eu-LISA, u suradnji s državama članicama, stvara profil na temelju svake kategorije korisnika ESP-a i na temelju svrhe upitâ, u skladu s tehničkim pojedinostima i pravima pristupa iz stavka 2. Svaki profil u skladu s pravom Unije i nacionalnim pravom sadržava sljedeće informacije:

(a)

polja podataka koja se trebaju koristiti za postavljanje upita;

(b)

informacijske sustave EU-a, podatke Europola i Interpolove baze podataka kojima se trebaju postavljati upiti, one kojima se mogu postavljati upiti i one koje korisniku trebaju pružiti odgovor;

(c)

specifične podatke u informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka kojima se mogu postavljati upiti;

(d)

kategorije podataka koji se mogu dati u svakom odgovoru.

2.   Komisija donosi provedbene akte kako bi precizirala tehničke pojedinosti profilâ iz stavka 1. u skladu s pravima pristupa korisnika ESP-a na temelju pravnih instrumenata kojima se uređuju informacijski sustavi EU-a i na temelju nacionalnog prava. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

3.   Agencija eu-LISA u suradnji s državama članicama redovito, a najmanje jednom godišnje, preispituje profile iz stavka 1. te ih ažurira ako je to potrebno.

Članak 9.

Upiti

1.   Korisnici ESP-a pokreću upit unošenjem alfanumeričkih ili biometrijskih podataka u ESP. Kada je upit pokrenut, ESP, s pomoću podataka koje je unio korisnik i u skladu s profilom korisnika, istodobno postavlja upit EES-u, ETIAS-u, VIS-u, SIS-u, Eurodacu, ECRIS-TCN-u, CIR-u te podacima Europola i Interpolovim bazama podataka.

2.   Kategorije podataka koje se upotrebljavaju za pokretanje upita putem ESP-a odgovaraju kategorijama podataka povezanima s osobama ili putnim ispravama koje se mogu upotrebljavati za postavljanje upita različitim informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka u skladu s pravnim instrumentima kojima su oni uređeni.

3.   Agencija eu-LISA u suradnji s državama članicama provodi specifikaciju sučelja za ESP na temelju UMF-a iz članka 38.

4.   Kada je upit pokrenuo korisnik ESP-a, EES, ETIAS,VIS, SIS, Eurodac, ECRIS-TCN, CIR i MID, podaci Europola i Interpolove baze podataka u odgovoru na upit pružaju podatke koje posjeduju.

Ne dovodeći u pitanje članak 20., u odgovoru ESP-a navodi se iz kojeg informacijskog sustava EU-a ili baze podataka podaci potječu.

ESP ne pruža nikakve informacije o podacima u informacijskim sustavima EU-a, u podacima Europola ili Interpolovim bazama podataka kojima korisnik nema pristup na temelju primjenjivog prava Unije i nacionalnog prava.

5.   Svi upiti u Interpolove baze podataka pokrenuti putem ESP-a provode se tako da se nikakve informacije ne otkriju osobi na koju se odnosi upozorenje Interpola.

6.   ESP korisniku pruža odgovore čim podaci iz nekog od informacijskih sustava EU-a, podataka Europola ili Interpolovih baza podataka postanu dostupni. Ti odgovori sadržavaju samo podatke kojima korisnik ima pristup na temelju prava Unije i nacionalnog prava.

7.   Komisija donosi provedbeni akt kako bi detaljnije utvrdila tehnički postupak za postavljanje upita informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka od strane ESP-a i oblik odgovorâ iz ESP-a. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 74. stavka 2.

Članak 10.

Vođenje evidencije

1.   Ne dovodeći u pitanje članak 46. Uredbe (EU) 2017/2226, članak 34. Uredbe (EZ) br. 767/2008, članak 69. Uredbe (EU) 2018/1240 i članke 12. i 18. Uredbe (EU) 2018/1861, agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u okviru ESP-a. Ta evidencija uključuje sljedeće:

(a)

državu članicu ili agenciju Unije koja pokreće upit i profil ESP-a koji se koristi;

(b)

datum i vrijeme postavljanja upita;

(c)

informacijske sustave EU-a i Interpolovu bazu podataka kojima se postavlja upit.

2.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu ESP-a. Svaka agencija Unije vodi evidenciju upita koje postavi njezino propisno ovlašteno osoblje.

3.   Evidencije iz stavaka 1. i 2. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za jamčenje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

Članak 11.

Rezervni postupci u slučaju tehničke nemogućnosti uporabe europskog portala za pretraživanje

1.   Ako je zbog kvara ESP-a tehnički nemoguće upotrijebiti ESP za postavljanje upita jednom ili više informacijskih sustava EU-a ili CIR-u, agencija eu-LISA o tome automatski obavješćuje korisnike ESP-a.

2.   Ako je zbog kvara u nacionalnoj infrastrukturi neke države članice tehnički nemoguće upotrijebiti ESP za postavljanje upita jednom ili više informacijskih sustava ili CIR-u, ta država članica o tome automatski obavješćuje agenciju eu-LISA i Komisiju.

3.   U slučajevima iz stavka 1. ili stavka 2. ovog članka, i dok ne bude riješen tehnički kvar, obveza iz članka 7. stavaka 2. i 4. ne primjenjuje se i države članice pristupaju informacijskim sustavima EU-a ili CIR-u izravno kada su to dužne učiniti na temelju prava Unije ili nacionalnog prava.

4.   Ako je zbog kvara u infrastrukturi neke agencije Unije tehnički nemoguće upotrijebiti ESP za postavljanje upita jednom ili više informacijskih sustava EU-a ili CIR-u, ta agencija o tome automatski obavješćuje agenciju eu-LISA i Komisiju.

POGLAVLJE III.

Zajednička usluga uspoređivanja biometrijskih podataka

Članak 12.

Zajednička usluga uspoređivanja biometrijskih podataka

1.   Zajednička usluga uspoređivanja biometrijskih podataka (zajednički BMS), čija je svrha pohranjivanje biometrijskih modela dobivenih iz biometrijskih podataka iz članka 13. koji su pohranjeni u CIR-u i SIS-u i omogućivanje postavljanja upita s pomoću biometrijskih podataka u više informacijskih sustava EU-a, uspostavlja se radi podupiranja CIR-a i MID-a te radi podupiranja ciljeva EES-a, VIS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

2.   Zajednički BMS sastoji se od sljedećeg:

(a)

središnje infrastrukture, koja zamjenjuje središnje sustave EES-a, VIS-a, SIS-a, Eurodaca odnosno ECRIS-TCN-a u mjeri u kojoj pohranjuje biometrijske modele i omogućuje pretraživanja s pomoću biometrijskih podataka;

(b)

sigurne komunikacijske infrastrukture između zajedničkog BMS-a, središnjeg SIS-a i CIR-a.

3.   Agencija eu-LISA razvija zajednički BMS i osigurava tehničko upravljanje njime.

Članak 13.

Pohrana biometrijskih modela u zajedničkoj usluzi uspoređivanja biometrijskih podataka

1.   U zajedničkom BMS-u pohranjuju se biometrijski modeli koje BMS dobiva iz sljedećih biometrijskih podataka:

(a)

podataka iz članka 16. stavka 1. točke (d), članka 17. stavka 1. točaka (b) i (c) i članka 18. stavka 2. točaka (a), (b) i (c) Uredbe (EU) 2017/2226;

(b)

podataka iz članka 9. točke 6. Uredbe (EZ) br. 767/2008;

(c)

podataka iz članka 20. stavka 2. točaka (w) i (x) Uredbe (EU) 2018/1861, osim podataka o otiscima dlanova;

(d)

podataka iz članka 4. stavka 1. točaka (u) i (v) Uredbe (EU) 2018/1860, osim podataka o otiscima dlanova.

Biometrijski modeli pohranjuju se u zajedničkom BMS-u u logički odvojenom obliku s obzirom na informacijski sustav EU-a iz kojega podaci potječu.

2.   Za svaki skup podataka iz stavka 1. zajednički BMS uključuje u svakom biometrijskom modelu upućivanje na informacijske sustave EU-a u kojima su pohranjeni odgovarajući biometrijski podaci i upućivanje na stvarnu evidenciju u tim informacijskim sustavima EU-a.

3.   Biometrijski modeli unose se u zajednički BMS tek nakon automatizirane provjere kvalitete biometrijskih podataka dodanih u jedan od informacijskih sustava EU-a koju obavlja zajednički BMS kako bi se utvrdilo da su ispunjeni minimalni standardi kvalitete podataka.

4.   Pohrana podataka iz stavka 1. mora ispunjavati standarde kvalitete iz članka 37. stavka 2.

5.   Komisija provedbenim aktom utvrđuje zahtjeve u pogledu uspješnosti i praktične aranžmane za praćenje uspješnosti zajedničkog BMS-a kako bi se osiguralo da se djelotvornošću biometrijskih pretraživanja poštuju vremenski osjetljivi postupci kao što su granična kontrola i identifikacije. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 74. stavka 2.

Članak 14.

Pretraživanje biometrijskih podataka s pomoću zajedničke usluge uspoređivanja biometrijskih podataka

Za pretraživanje biometrijskih podataka pohranjenih u CIR-u i SIS-u, CIR i SIS upotrebljavaju biometrijske modele pohranjene u zajedničkom BMS-u. Upiti s pomoću biometrijskih podataka obavljaju se u skladu sa svrhama predviđenima u ovoj Uredbi i u uredbama (EZ) br.767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 i (EU) 2019/816.

Članak 15.

Zadržavanje podataka u zajedničkoj usluzi uspoređivanja biometrijskih podataka

Podaci iz članka 13. stavaka 1. i 2. pohranjuju se u zajedničkom BMS-u samo onoliko dugo koliko se odgovarajući biometrijski podaci pohranjuju u CIR-u ili SIS-u. Podaci se iz zajedničkog BMS-a brišu automatski.

Članak 16.

Vođenje evidencije

1.   Ne dovodeći u pitanje članak 46. Uredbe (EU) 2017/2226, članak 34. Uredbe (EZ) br. 767/2008 i članke 12. i 18. Uredbe (EU) 2018/1861, agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u zajedničkom BMS-u. Ta evidencija uključuje sljedeće:

(a)

državu članicu ili agenciju Unije koja je pokrenula upit;

(b)

povijest stvaranja i pohranjivanja biometrijskih modela;

(c)

informacijske sustave EU-a kojima se postavlja upit s pomoću biometrijskih modela pohranjenih u zajedničkom BMS-u;

(d)

datum i vrijeme postavljanja upita;

(e)

vrstu biometrijskih podataka koji su upotrijebljeni za pokretanje upita;

(f)

rezultate upita te datum i vrijeme rezultata.

2.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu zajedničkog BMS-a. Svaka agencija Unije čuva evidenciju upita koje postavi njezino propisno ovlašteno osoblje

3.   Evidencije iz stavaka 1. i 2. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za jamčenje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

POGLAVLJE IV.

Zajednički repozitorij podataka o identitetu

Članak 17.

Zajednički repozitorij podataka o identitetu

1.   Zajednički repozitorij podataka o identitetu (CIR), u kojem se stvara pojedinačni spis za svaku osobu koja je registrirana u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u, koji sadržava podatke iz članka 18., uspostavlja se za potrebe olakšavanja točne identifikacije osoba registriranih u EES-u, VIS-u, ETIAS-u, Eurodacu i ECRIS-TCN-u i pomaganja pri toj identifikaciji u skladu s člankom 20., za potrebe podupiranja funkcioniranja MID-a u skladu s člankom 21. i olakšavanja i usklađivanja pristupa imenovanih tijela i Europola EES-u, VIS-u, ETIAS-u i Eurodacu, prema potrebi radi sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela u skladu s člankom 22.

2.   CIR se sastoji od sljedećeg:

(a)

središnje infrastrukture koja zamjenjuje središnje sustave EES-a, VIS-a, ETIAS-a, Eurodaca odnosno ECRIS-TCN-a u mjeri u kojoj pohranjuje podatke iz članku 18.;

(b)

sigurnog komunikacijskog kanala između CIR-a, država članica i agencija Unije koje imaju pravo upotrebljavati CIR u skladu s pravom Unije i nacionalnim pravom;

(c)

sigurne infrastrukture za komunikaciju između CIR-a i EES-a, VIS-a, ETIAS-a, Eurodaca i ECRIS-TCN-a te središnjih infrastruktura ESP-a, zajedničkog BMS-a i MID-a.

3.   Agencija eu-LISA razvija CIR i osigurava tehničko upravljanje njime.

4.   Ako je zbog kvara CIR-a tehnički nemoguće postaviti upit CIR-u u svrhu identifikacije pojedine osobe na temelju članka 20., otkrivanja višestrukih identiteta na temelju članka 21. ili za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela na temelju članka 22., agencija eu-LISA o tome automatski obavješćuje korisnike CIR-a.

5.   Agencija eu-LISA u suradnji s državama članicama provodi specifikaciju sučelja za CIR na temelju UMF-a iz članka 38.

Članak 18.

Podaci u zajedničkom repozitoriju podataka o identitetu

1.   CIR pohranjuje sljedeće podatke, koji se logički odvajaju s obzirom na informacijski sustav iz kojeg podaci potječu:

(a)

podatke iz članka 16. stavka 1. točaka od (a) do (d), članka 17. stavka 1. točaka (a), (b) i (c) i članka 18. stavaka 1. i 2. Uredbe (EU) 2017/2226;

(b)

podatke iz članka 9. točke 4. podtočaka od (a) do (c) i članka 9. točaka 5. i 6. Uredbe (EZ) br. 767/2008;

(c)

podatke iz članka 17. stavka 2. točaka od (a) do (e) Uredbe (EU) br. 2018/1240;

2.   Za svaki skup podataka iz stavka 1. CIR uključuje upućivanje na informacijske sustave EU-a kojima podaci pripadaju.

3.   Nadležna tijela koja pristupaju CIR-u to čine u skladu sa svojim pravima pristupa na temelju pravnih instrumenata kojima se uređuju informacijski sustavi EU-a i na temelju nacionalnog prava te u skladu sa svojim pravima pristupa na temelju ove Uredbe za potrebe iz članaka 20., 21. i 22.

4.   Za svaki skup podataka iz stavka 1. CIR uključuje upućivanje na stvarnu evidenciju u informacijskim sustavima EU-a kojima podaci pripadaju.

5.   Pohrana podataka iz stavka 1. mora ispunjavati standarde kvalitete iz članka 37. stavka 2.

Članak 19.

Dodavanje, izmjene i brisanje podataka u zajedničkom repozitoriju podataka o identitetu

1.   Ako se podaci dodaju, mijenjaju ili brišu u EES-u, VIS-u i ETIAS-u, podaci iz članka 18. pohranjeni u pojedinačnom spisu CIR-a automatski se, u skladu s time, dodaju, mijenjaju ili brišu.

2.   Ako se umjesto stvaranja novog pojedinačnog spisa u MID-u stvori bijela ili crvena poveznica u skladu s člankom 32. ili člankom 33. između podataka iz dvaju ili više informacijskih sustava EU-a koji čine CIR, CIR dodaje nove podatke pojedinačnom spisu povezanih podataka.

Članak 20.

Pristup zajedničkom repozitoriju podataka o identitetu radi identifikacije

1.   Upite CIR-u provodi policijsko tijelo u skladu sa stavcima 2. i 5. samo u sljedećim okolnostima:

(a)

ako policijsko tijelo ne može identificirati osobu zbog nepostojanja putne isprave ili drugog vjerodostojnog dokumenta kojim se dokazuje identitet te osobe;

(b)

ako postoje sumnje u pogledu podataka o identitetu koje je osoba pružila;

(c)

ako postoje sumnje u vjerodostojnost putne isprave ili drugog vjerodostojnog dokumenta koji je osoba pružila;

(d)

ako postoje sumnje u pogledu identiteta nositelja putne isprave ili drugog vjerodostojnog dokumenta; ili

(e)

ako osoba ne može surađivati ili odbija surađivati.

Takvi upiti nisu dopušteni u slučaju maloljetnika mlađih od 12 godina, osim ako je to u najboljem interesu djeteta.

2.   Ako dođe do neke od okolnosti iz stavka 1. i ako je policijsko tijelo za to ovlašteno u skladu s nacionalnim zakonodavnim mjerama iz stavka 5., to tijelo smije, isključivo u svrhu identifikacije osobe, postaviti upit CIR-u s pomoću biometrijskih podataka te osobe prikupljenih uživo tijekom provjere identiteta, pod uvjetom da je postupak započet u prisutnosti te osobe.

3.   Ako se upitom utvrdi da su podaci o toj osobi pohranjeni u CIR-u, policijsko tijelo ima pristup radi ostvarivanja uvida u podatke iz članka 18. stavka 1.

Ako se biometrijski podaci osobe ne mogu upotrijebiti ili ako je upit s pomoću tih podataka bio neuspješan, upit se provodi s pomoću podataka o identitetu te osobe u kombinaciji s podacima o putnoj ispravi ili s podacima o identitetu koje je dala ta osoba.

4.   Ako je policijsko tijelo za to ovlašteno nacionalnim zakonodavnim mjerama iz stavka 6., ono smije, u slučaju prirodne katastrofe, nesreće ili terorističkog napada i isključivo u svrhu identifikacije nepoznatih osoba koje se ne mogu same identificirati ili identifikacije neidentificiranih ljudskih posmrtnih ostataka, postaviti upit CIR-u s pomoću biometrijskih podataka tih osoba.

5.   Države članice koje žele iskoristiti mogućnost predviđenu u stavku 1. donose nacionalne zakonodavne mjere. Države članice pritom uzimaju u obzir da je nužno izbjegavati bilo kakvu diskriminaciju državljana trećih zemalja. U takvim zakonodavnim mjerama precizno se navode svrhe identifikacije u okviru svrha navedenih u članku 2. stavku 1. točkama (b) i (c). U njima se određuju nadležna policijska tijela i propisuju postupci, uvjeti i kriteriji za takve provjere.

6.   Države članice koje žele iskoristiti mogućnost predviđenu u stavku 4. donose nacionalne zakonodavne mjere kojima se propisuju postupci, uvjeti i kriteriji.

Članak 21.

Pristup zajedničkom repozitoriju identiteta radi otkrivanja višestrukih identiteta

1.   Ako se upitom CIR-u dobije žuta poveznica u skladu s člankom 28. stavkom 4., tijelo nadležno za ručnu provjeru različitih identiteta u skladu s člankom 29. ima pristup, isključivo za potrebe te provjere, podacima iz članka 18. stavaka 1. i 2. koji su pohranjeni u CIR-u i povezani žutom poveznicom.

2.   Ako se upitom CIR-u dobije crvena poveznica u skladu s člankom 32., tijela iz članka 26. stavka 2. imaju pristup, isključivo za potrebe suzbijanja prijevara povezanih s identitetom, podacima iz članka 18. stavaka 1. i 2. koji su pohranjeni u CIR-u i povezani crvenom poveznicom.

Članak 22.

Postavljanje upita u zajednički repozitorij podataka o identitetu za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela

1.   Ako se u određenom predmetu, kada postoje opravdani razlozi za vjerovati da će ostvarivanje uvida u informacijske sustave EU-a doprinijeti sprječavanju, otkrivanju ili istrazi kaznenih djela terorizma ili drugih teških kaznenih djela, a osobito kada postoji sumnja da je osumnjičenik, počinitelj ili žrtva kaznenog djela terorizma ili drugih teških kaznenih djela osoba čiji su podaci pohranjeni u EES-u, VIS-u ili ETIAS-u, imenovana tijela i Europol mogu ostvariti uvid u CIR radi prikupljanja informacija o tome nalaze li se podaci o određenoj osobi u EES-u, VIS-u ili ETIAS-u.

2.   Ako CIR u odgovoru na upit navede da se podaci o određenoj osobi nalaze u EES-u, VIS-u i ETIAS-u, CIR imenovanim tijelima i Europolu dostavlja odgovor u obliku upućivanja, kako je navedeno u članku 18. stavku 2., u kojem se navodi koji od navedenih informacijskih sustave EU-a sadržava podatke koji se podudaraju. Odgovor iz CIR-a mora biti takav da se njime ne ugrožava sigurnost podataka.

Odgovor u kojem se navodi da postoje podaci o toj osobi u nekom od informacijskih sustava EU-a iz stavka 1. upotrebljava se samo za potrebe podnošenja zahtjeva za puni pristup koje podliježe uvjetima i postupcima propisanima u pravnom instrumentu kojim se uređuje taj pristup.

U slučaju jedne ili više podudarnosti, imenovano tijelo ili Europol podnose zahtjev za puni pristup barem jednom od informacijskih sustava za koji je utvrđena podudarnost.

Ako se, iznimno, ne podnese zahtjev za takav puni pristup, imenovana tijela evidentiraju obrazloženje za nepodnošenje zahtjeva, koje se mora moći povezati s nacionalnim spisom. Europol evidentira obrazloženje u relevantnom spisu.

3.   Potpuni pristup podacima sadržanima u EES-u, VIS-u ili ETIAS-u za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela i dalje podliježe uvjetima i postupcima propisanima u odgovarajućim pravnim instrumentima kojima se uređuje taj pristup.

Članak 23.

Zadržavanje podataka u zajedničkom repozitoriju podataka o identitetu

1.   Podaci iz članka 18. stavaka 1., 2. i 4. brišu se iz CIR-a automatski u skladu s odredbama o zadržavanju podataka iz uredaba (EU) 2017/2226, (EZ) br. 767/2008 odnosno (EU) 2018/1240.

2.   Pojedinačni spis pohranjuje se u CIR-u samo onoliko dugo koliko su odgovarajući podaci pohranjeni u barem jednom od informacijskih sustava EU-a čiji su podaci sadržani u CIR-u. Stvaranje poveznice ne utječe na razdoblje zadržavanja svake stavke povezanih podataka.

Članak 24.

Vođenje evidencije

1.   Ne dovodeći u pitanje članak 46. Uredbe (EU) 2017/2226, članak 34. Uredbe (EZ) br. 767/2008 i članak 69. Uredbe (EU) 2018/1240, agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u okviru CIR-a u skladu sa stavcima 2., 3. i 4. ovog članka.

2.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u CIR-u na temelju članka 20. Ta evidencija uključuje sljedeće:

(a)

državu članicu ili agenciju Unije koja je pokrenula upit;

(b)

svrhu pristupa korisnika koji postavlja upit putem CIR-a;

(c)

datum i vrijeme postavljanja upita;

(d)

vrstu podataka koji su upotrijebljeni za pokretanje upita;

(e)

rezultate upita.

3.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u CIR-u na temelju članka 21. Ta evidencija uključuje sljedeće:

(a)

državu članicu ili agenciju Unije koja je pokrenula upit;

(b)

svrhu pristupa korisnika koji postavlja upit putem CIR-a;

(c)

datum i vrijeme postavljanja upita;

(d)

ako se stvara poveznica, podatke koji su upotrijebljeni za pokretanje upita i rezultate upita u kojima se navodi informacijski sustav EU-a iz kojeg su podaci dobiveni.

4.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u CIR-u na temelju članka 22. Ta evidencija uključuje sljedeće:

(a)

datum i vrijeme postavljanja upita;

(b)

podatke koji su upotrijebljeni za pokretanje upita;

(c)

rezultate upita;

(d)

državu članicu ili agenciju Unije koja postavlja upit u CIR-u.

Evidenciju o takvom pristupu redovito provjerava nadležno nadzorno tijelo u skladu s člankom 41. Direktive (EU) 2016/680 ili Europski nadzornik za zaštitu podataka u skladu s člankom 43. Uredbe (EU) 2016/794 u razmacima ne dužima od šest mjeseci, kako bi se provjerilo jesu li ispunjeni postupci i uvjeti iz članka 22. stavaka 1. i 3. ove Uredbe.

5.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu CIR-a na temelju članaka 20., 21. i 22. Svaka agencija Unije vodi evidenciju upita koje postavi njezino propisno ovlašteno osoblje na temelju članaka 21. i 22.

Osim toga, svaka država članica za svako pristupanje CIR-u na temelju članka 22. vodi sljedeću evidenciju:

(a)

upućivanje na nacionalni spis;

(b)

svrha pristupa;

(c)

u skladu s nacionalnim pravilima, jedinstveni korisnički identitet službenika koji je postavio upit i službenika koji je naložio postavljanje upita.

6.   U skladu s Uredbom (EU) 2016/794, za svako pristupanje CIR-u na temelju članka 22. ove Uredbe, Europol vodi evidenciju o jedinstvenom korisničkom identitetu službenika koji je postavio upit i službenika koji je naložio postavljanje upita.

7.   Evidencije iz stavaka od 2. do 6. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za jamčenje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

8.   Agencija eu-LISA pohranjuje evidenciju o povijesti podataka u pojedinačne spise. Agencija eu-LISA automatski briše takvu evidenciju nakon brisanja tih podataka.

POGLAVLJE V.

Detektor višestrukih identiteta

Članak 25.

Detektor višestrukih identiteta

1.   Detektor višestrukih identiteta (MID), u kojem se stvaraju i pohranjuju spisi za potvrdu identiteta iz članka 34. sadržava poveznice između podataka iz informacijskih sustava EU-a koji su uključeni u CIR i SIS i omogućuje otkrivanje višestrukih identiteta, s dvojnom svrhom olakšavanja provjera identiteta i suzbijanja prijevara povezanih s identitetom, uspostavlja se u svrhu potpore funkcioniranju CIR-a i ciljevima EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

2.   MID se sastoji od sljedećeg:

(a)

središnje infrastrukture u kojoj su pohranjene poveznice i upućivanja na informacijske sustave EU-a;

(b)

sigurne komunikacijske infrastrukture za povezivanje MID-a sa SIS-om i središnjim infrastrukturama ESP-a i CIR-a.

3.   Agencija eu-LISA razvija MID i osigurava tehničko upravljanje njime.

Članak 26.

Pristup detektoru višestrukih identiteta

1.   Za potrebe ručne provjere različitih identiteta iz članka 29. sljedećim tijelima odobrava se pristup podacima iz članka 34. pohranjenima u MID-u:

(a)

nadležnim tijelima imenovanima u skladu s člankom 9. stavkom 2. Uredbe (EU) 2017/2226 kada stvaraju ili ažuriraju pojedinačni spis u EES-u u skladu s člankom 14. te uredbe;

(b)

tijelima nadležnima za vize iz članka 6. stavka 1. Uredbe (EZ) br. 767/2008 kada stvaraju ili ažuriraju spis zahtjeva u VIS-u u skladu s tom uredbom;

(c)

središnjoj jedinici ETIAS-a i nacionalnim jedinicama ETIAS-a kada obavljaju obradu iz članaka 22. i 26. Uredbe (EU) 2018/1240;

(d)

uredu SIRENE države članice kada stvara ili ažurira upozorenje u SIS-u u skladu s uredbama (EU) 2018/1860 i (EU) 2018/1861.

2.   Tijela država članica i agencije Unije koje imaju pristup barem jednom informacijskom sustavu EU-a koji je uključen u CIR ili SIS-u imaju pristup podacima iz članka 34. točaka (a) i (b) u pogledu crvenih poveznica iz članka 32.

3.   Tijela država članica i agencije Unije imaju pristup bijelim poveznicama iz članka 33. ako imaju pristup dvama informacijskim sustavima EU-a koji sadržavaju podatke između kojih je stvorena bijela poveznica.

4.   Tijela država članica i agencije Unije imaju pristup zelenim poveznicama iz članka 31. ako imaju pristup dvama informacijskim sustavima EU-a koji sadržavaju podatke između kojih je stvorena zelena poveznica i ako je upitom u te informacijske sustave otkrivena podudarnost s dvama skupovima povezanih podataka.

Članak 27.

Otkrivanje višestrukih identiteta

1.   Otkrivanje višestrukih identiteta u CIR-u i SIS-u pokreće se u sljedećim slučajevima:

(a)

pojedinačni spis stvoren je ili ažuriran u EES-u u skladu s člankom 14. Uredbe (EU) 2017/2226;

(b)

spis zahtjeva stvoren je ili ažuriran u VIS-u u skladu s Uredbom (EZ) br. 767/2008;

(c)

spis zahtjeva stvoren je ili ažuriran u ETIAS-u u skladu s člankom 19. Uredbe (EU) 2018/1240;

(d)

upozorenje o osobi stvoreno je ili ažurirano u SIS-u u skladu s člankom 3. Uredbe (EU) 2018/1860 i poglavljem V. Uredbe (EU) 2018/1861.

2.   Ako podaci sadržani u informacijskom sustavu EU-a iz stavka 1. sadržavaju biometrijske podatke, CIR i središnji SIS upotrebljavaju zajednički BMS za otkrivanje višestrukih identiteta. Zajednički BMS uspoređuje biometrijske modele dobivene iz novih biometrijskih podataka s biometrijskim modelima koji se već nalaze u zajedničkom BMS-u kako bi provjerio jesu li podaci o istoj osobi već pohranjeni u CIR-u ili središnjem SIS-u.

3.   Uz postupak iz stavka 2. CIR i središnji SIS upotrebljavaju ESP za pretraživanje podataka pohranjenih u središnjem SIS-u, odnosno u CIR-u s pomoću sljedećih podataka:

(a)

prezime (obiteljsko ime); ime ili imena (osobna imena); datum rođenja; državljanstvo ili državljanstva i spol, kako je navedeno u članku 16. stavku 1. točki (a), članku 17. stavku 1. i članku 18. stavku 1. Uredbe (EU) 2017/2226;

(b)

prezime (obiteljsko ime); ime ili imena (osobna imena); datum rođenja; spol; mjesto i zemlja rođenja i državljanstva, kako je navedeno u članku 9. stavku 4. točkama (a) i (aa) Uredbe (EZ) br. 767/2008;

(c)

prezime; ime(imena); prezime pri rođenju; pseudonim(i); datum rođenja, mjesto rođenja, spol i trenutačno državljanstvo, kako je navedeno u članku 17. stavku 2. Uredbe (EU) 2018/1240;

(d)

prezimena, imena, imena pri rođenju, prethodno upotrebljavana prezimena i imena i pseudonimi, mjesto rođenja, datum rođenja, rod i sva državljanstva koja osoba ima, kako je navedeno u članku 20. stavku 2. Uredbe (EU) 2018/1861;

(e)

prezimena, imena, imena pri rođenju, prethodno upotrebljavana prezimena i imena i pseudonimi, mjesto rođenja, datum rođenja, rod i sva državljanstva koja osoba ima, kako je navedeno u članku 4. Uredbe (EU) 2018/1860.

4.   Uz postupak iz stavaka 2. i 3. CIR i središnji SIS upotrebljavaju ESP za pretraživanje podataka pohranjenih u središnjem SIS-u, odnosno u CIR-u s pomoću podataka o putnoj ispravi.

5.   Otkrivanje višestrukih identiteta pokreće se samo radi usporedbe podataka dostupnih u jednom informacijskom sustavu EU-a s podacima dostupnima u drugim informacijskim sustavima EU-a.

Članak 28.

Rezultati otkrivanja višestrukih identiteta

1.   Ako se upitima iz članka 27. stavaka 2., 3. i 4. ne pronađe nikakva podudarnost, postupci iz članka 27. stavka 1. nastavljaju se u skladu s pravnim instrumentima kojima su uređeni.

2.   Ako se upitom iz članka 27. stavaka 2., 3. i 4. pronađe jedna ili više podudarnosti, u CIR-u i, ako je to relevantno, u SIS-u stvara se poveznica između podataka upotrijebljenih za pokretanje upita i podataka na temelju kojih je pronađena podudarnost.

U slučaju više pronađenih podudarnosti, stvara se poveznica među svim podacima na temelju kojih je pronađena podudarnost. Ako su podaci već povezani, postojeća poveznica proširuje se na podatke upotrijebljene za pokretanje upita.

3.   Ako se upitom iz članka 27. stavaka 2., 3. i 4. pronađe jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa isti su ili slični, stvara se bijela poveznica u skladu s člankom 33.

4.   Ako se upitom iz članka 27. stavaka 2., 3. i 4. pronađe jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa ne mogu se smatrati sličnima, stvara se žuta poveznica u skladu s člankom 30. i primjenjuje se postupak iz članka 29.

5.   Komisija donosi delegirane akte u skladu s člankom 73. kojima se utvrđuju postupci za određivanje slučajeva u kojima se podaci o identitetu mogu smatrati istima ili sličnima.

6.   Poveznice se pohranjuju u spis za potvrdu identiteta iz članka 34.

7.   Komisija u suradnji s agencijom eu-LISA provedbenim aktima utvrđuje tehnička pravila za stvaranje poveznica između podataka iz različitih informacijskih sustava EU-a. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

Članak 29.

Ručna provjera različitih identiteta i nadležna tijela

1.   Ne dovodeći u pitanje stavak 2. sljedeća su tijela nadležna za ručnu provjeru različitih identiteta:

(a)

nadležno tijelo imenovano u skladu s člankom 9. stavkom 2. Uredbe (EU) 2017/2226 za podudarnosti pronađene pri stvaranju ili ažuriranju pojedinačnog spisa u EES-u u skladu s tom uredbom;

(b)

tijela nadležna za vize iz članka 6. stavka 1. Uredbe (EZ) br. 767/2008 za podudarnosti pronađene pri stvaranju ili ažuriranju spisa zahtjeva u VIS-u u skladu s tom uredbom;

(c)

središnja jedinica ETIAS-a i nacionalne jedinice ETIAS-a za podudarnosti pronađene pri stvaranju ili ažuriranju spisa zahtjeva u skladu s Uredbom (EU) 2018/1240;

(d)

ured SIRENE države članice za podudarnosti pronađene pri stvaranju ili ažuriranju upozorenja u SIS-u u skladu s uredbama (EU) 2018/1860 i (EU) 2018/1861.

U MID-u se navodi tijelo nadležno za ručnu provjeru različitih identiteta u spisu za potvrdu identiteta.

2.   Tijelo nadležno za ručnu provjeru različitih identiteta u spisu za potvrdu identiteta jest ured SIRENE države članice koja je stvorila upozorenje ako je stvorena poveznica na podatke sadržane u upozorenju:

(a)

u pogledu osoba za koje se traži uhićenje radi predaje ili izručenja iz članka 26. Uredbe (EU) 2018/1862;

(b)

o nestalim ili ranjivim osobama iz članka 32. Uredbe (EU) 2018/1862;

(c)

o osobama koje se traže radi pomoći u sudskom postupku iz članka 34. Uredbe (EU) 2018/1862;

(d)

o osobama radi skrivenih provjera, obavijesnih provjera ili posebnih provjera iz članka 36. Uredbe (EU) 2018/1862.

3.   Ne dovodeći u pitanje stavak 4. ovog članka, tijelo nadležno za ručnu provjeru različitih identiteta ima pristup povezanim podacima sadržanima u relevantnom spisu za potvrdu identiteta i podacima o identitetu povezanima u CIR-u i, ako je to relevantno, u SIS-u. To tijelo bez odgode ocjenjuje različite identitete. Nakon što dovrši takvo ocjenjivanje, ono ažurira poveznicu u skladu s člancima 31., 32. i 33. i bez odgode je dodaje spisu za potvrdu identiteta.

4.   Ako je tijelo nadležno za ručnu provjeru različitih identiteta u spisu za potvrdu identiteta nadležno tijelo imenovano u skladu s člankom 9. stavkom 2. Uredbe (EU) 2017/2226 koje stvara ili ažurira pojedinačni spis u EES-u u skladu s člankom 14. te uredbe i ako je stvorena žuta poveznica, to tijelo obavlja dodatne provjere. To tijelo samo u tu svrhu ima pristup povezanim podacima sadržanima u relevantnom spisu za potvrdu identiteta. Ono ocjenjuje različite identitete, ažurira poveznicu u skladu s člancima od 31., 32. i 33. ove Uredbe i bez odgode je dodaje spisu za potvrdu identiteta.

Takva ručna provjera različitih identiteta pokreće se u prisutnosti predmetne osobe kojoj se daje mogućnost da objasni okolnosti odgovornom tijelu koje mora uzeti u obzir ta objašnjenja.

U slučajevima u kojima se ručna provjera različitih identiteta provodi na granici, ona se obavlja u roku od 12 sati od stvaranja žute poveznice u skladu s člankom 28. stavkom 4., ako je to moguće.

5.   Ako je stvoreno više poveznica, tijelo nadležno za ručnu provjeru različitih identiteta zasebno ocjenjuje svaku poveznicu.

6.   Ako su podaci na temelju kojih je pronađena podudarnost već povezani, tijelo nadležno za ručnu provjeru različitih identiteta uzima u obzir postojeće poveznice pri procjeni stvaranja novih poveznica.

Članak 30.

Žuta poveznica

1.   Ako još nije obavljena ručna provjera različitih identiteta, poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao žuta poveznica u sljedećim slučajevima:

(a)

povezani podaci imaju iste biometrijske podatke, ali slične ili različite podatke o identitetu;

(b)

povezani podaci imaju različite podatke o identitetu, ali iste podatke o putnoj ispravi i barem jedan od informacijskih sustava EU-a ne sadržava biometrijske podatke o predmetnoj osobi;

(c)

povezani podaci imaju iste podatke o identitetu, ali različite biometrijske podatke;

(d)

povezani podaci imaju slične ili različite podatke o identitetu i iste podatke o putnoj ispravi, ali različite biometrijske podatke.

2.   Ako je poveznica razvrstana kao žuta poveznica u skladu sa stavkom 1., primjenjuje se postupak iz članka 29.

Članak 31.

Zelena poveznica

1.   Poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao zelena poveznica ako:

(a)

povezani podaci imaju različite biometrijske podatke, ali iste podatke o identitetu i tijelo nadležno za provjeru različitih identiteta zaključilo je da se povezani podaci odnose na dvije različite osobe;

(b)

povezani podaci imaju različite biometrijske podatke, slične ili različite podatke o identitetu i iste podatke o putnoj ispravi, a tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci odnose na dvije različite osobe;

(c)

povezani podaci imaju različite podatke o identitetu, ali imaju iste podatke o putnoj ispravi i barem jedan od informacijskih sustava EU-a ne sadržava biometrijske podatke o predmetnoj osobi, a tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci odnose na dvije različite osobe.

2.   Ako se upit postavlja CIR-u ili SIS-u i ako postoji zelena poveznica između podataka iz dvaju ili više informacijskih sustava EU-a, u MID-u se navodi da podaci o identitetu povezanih podataka ne odgovaraju istoj osobi.

3.   Ako tijelo države članice ima dokaze koji upućuju na to da je zelena poveznica netočno zabilježena u MID, da nije ažurirana ili da je obradom podataka u MID-u ili informacijskim sustavima EU-a prekršena ova Uredba, ono provjerava relevantne podatke pohranjene u CIR-u i SIS-u i, ako je to potrebno, ispravlja ili briše poveznicu iz MID-a bez odgode. To tijelo države članice bez odgode obavješćuje državu članicu nadležnu za ručnu provjeru različitih identiteta.

Članak 32.

Crvena poveznica

1.   Poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao crvena poveznica u sljedećim slučajevima:

(a)

povezani podaci imaju iste biometrijske podatke, ali slične ili različite podatke o identitetu i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci neopravdano odnose na istu osobu;

(b)

povezani podaci imaju iste, slične ili različite podatke o identitetu i iste podatke o putnoj ispravi, ali različite biometrijske podatke i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci odnose na dvije različite osobe od kojih se barem jedna neopravdano koristi istom putnom ispravom;

(c)

povezani podaci imaju iste podatke o identitetu, ali različite biometrijske podatke, dok su podaci o putnoj ispravi različiti ili ih uopće nema i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci neopravdano odnose na dvije različite osobe;

(d)

povezani podaci imaju različite podatke o identitetu, ali iste podatke o putnoj ispravi, te barem jedan od informacijskih sustava EU-a ne sadržava biometrijske podatke o predmetnoj osobi i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci neopravdano odnose na istu osobu.

2.   Ako se upit postavlja CIR-u ili SIS-u i ako postoji crvena poveznica između podataka iz dvaju ili više informacijskih sustava EU-a, MID navodi podatke iz članka 34. Daljnji postupak u slučaju crvene poveznice provodi se u skladu s pravom Unije i nacionalnim pravom, pri čemu se sve pravne posljedice za predmetnu osobu smiju temeljiti samo na relevantnim podacima o toj osobi. Nikakve pravne posljedice za predmetnu osobu ne smiju proizlaziti isključivo iz postojanja crvene poveznice.

3.   Ako je stvorena crvena poveznica između podataka u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u, pojedinačni spis pohranjen u CIR-u ažurira se u skladu s člankom 19. stavkom 2.

4.   Ne dovodeći u pitanje odredbe povezane s postupanjem s upozorenjima u SIS-u sadržane u uredbama (EU) 2018/1860, (EU) 2018/1861 i (EU) 2018/1862 i ne dovodeći u pitanje ograničenja koja su potrebna za zaštitu sigurnosti i javnog poretka, sprječavanje zločina i jamčenje da se neće ugroziti nacionalne istrage, u slučaju stvaranja crvene poveznice tijelo nadležno za ručnu provjeru različitih identiteta obavješćuje predmetnu osobu o postojanju podatka o višestrukom nezakonitom identitetu te toj osobi pruža jedinstveni identifikacijski broj iz članka 34. točke (c) ove Uredbe, upućivanje na tijelo nadležno za ručnu provjeru različitih identiteta iz članka 34. točke (d) ove Uredbe i adresu internetskog portala uspostavljenog u skladu s člankom 49. ove Uredbe.

5.   Informacije iz stavka 4. u pisanom obliku putem standardnog obrasca pruža tijelo nadležno za ručnu provjeru različitih identiteta. Komisija provedbenim aktima utvrđuje sadržaj i izgled tog obrasca. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

6.   Ako je stvorena crvena poveznica, MID automatski obavješćuje tijela nadležna za povezane podatke.

7.   Ako tijelo države članice ili agencija Unije koji imaju pristup CIR-u ili SIS-u ima dokaze koji ukazuju na to da je crvena poveznica netočno zabilježena u MID-u ili da je obradom podataka u MID-u, CIR-u ili SIS-u prekršena ova Uredba, to tijelo ili ta agencija provjerava relevantne podatke pohranjene u CIR-u ili SIS-u i:

(a)

ako se poveznica odnosi na jedno od upozorenja u SIS-u iz članka 29. stavka 2., odmah obavješćuje relevantni ured SIRENE države članice koja je stvorila upozorenje u SIS-u;

(b)

u svim ostalim slučajevima, odmah ispravlja ili briše poveznicu u MID-u.

Ako je uspostavljen kontakt s uredom SIRENE na temelju prvog podstavka točke (a), taj ured provjerava dokaze koje su mu dostavili tijelo države članice ili agencija Unije, i ako je to relevantno, odmah ispravlja ili briše poveznicu u MID-u.

Tijelo države članice koje dobije dokaze bez odgode obavješćuje tijelo države članice nadležno za ručnu provjeru različitih identiteta o eventualnom odgovarajućem ispravku ili brisanju crvene poveznice.

Članak 33.

Bijela poveznica

1.   Poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao bijela poveznica u sljedećim slučajevima:

(a)

povezani podaci imaju iste biometrijske podatke i iste ili slične podatke o identitetu;

(b)

povezani podaci imaju iste ili slične podatke o identitetu, iste podatke o putnoj ispravi i barem jedan od informacijskih sustava EU-a nema biometrijske podatke o predmetnoj osobi;

(c)

povezani podaci imaju iste biometrijske podatke, iste podatke o putnoj ispravi i slične podatke o identitetu;

(d)

povezani podaci imaju iste biometrijske podatke, ali slične ili različite podatke o identitetu i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci opravdano odnose na istu osobu.

2.   Ako se upit postavlja CIR-u ili SIS-u i ako postoji bijela poveznica između podataka iz dvaju ili više informacijskih sustava EU-a, u MID-u se navodi da podaci o identitetu povezanih podataka odgovaraju istoj osobi. Informacijski sustavi EU-a kojima je postavljen upit odgovaraju navođenjem, ako je to relevantno, svih povezanih podataka o osobi čime se dobiva podudarnost na temelju podataka koji su povezani bijelom poveznicom, ako tijelo koje je pokrenulo upit ima pristup povezanim podacima u skladu s pravom Unije ili nacionalnim pravom.

3.   Ako je stvorena bijela poveznica između podataka u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u, pojedinačni spis pohranjen u CIR-u ažurira se u skladu s člankom 19. stavkom 2.

4.   Ne dovodeći u pitanje odredbe o postupanju s upozorenjima u SIS-u sadržane u uredbama (EU) 2018/1860, (EU) 2018/1861 i (EU) 2018/1862 i ne dovodeći u pitanje ograničenja koja su potrebna za zaštitu sigurnosti i javnog poretka, sprječavanje kaznenih djela i jamčenje da se neće ugroziti nacionalne istrage, ako je nakon ručne provjere različitih identiteta stvorena bijela poveznica, tijelo nadležno za ručnu provjeru različitih identiteta obavješćuje predmetnu osobu o postojanju sličnih ili različitih podataka o identitetu te toj osobi pruža jedinstveni identifikacijski broj iz članka 34. točke (c) ove Uredbe, upućivanje na tijelo nadležno za ručnu provjeru različitih identiteta iz članka 34. točke (d) ove Uredbe i adresu internetskog portala uspostavljenog u skladu s člankom 49. ove Uredbe

5.   Ako tijelo države članice ima dokaze koji ukazuju na to da je bijela poveznica netočno zabilježena u MID-u, da bijela poveznica nije ažurirana ili da je obradom podataka u MID-u ili informacijskim sustavima EU-a prekršena ova Uredba, ono provjerava relevantne podatke pohranjene u CIR-u i SIS-u i, ako je to potrebno, ispravlja ili briše poveznicu u MID-u bez odgode. To tijelo države članice bez odgode obavješćuje državu članicu nadležnu za ručnu provjeru različitih identiteta.

6.   Informacije iz stavka 4. u pisanom obliku putem standardnog obrasca pruža tijelo nadležno za ručnu provjeru različitih identiteta. Komisija provedbenim aktima utvrđuje sadržaj i izgled tog obrasca. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

Članak 34.

Spis za potvrdu identiteta

Spis za potvrdu identiteta sadržava sljedeće podatke:

(a)

poveznice iz članaka od 30. do 33.;

(b)

upućivanje na informacijske sustave EU-a u kojima se povezani podaci čuvaju;

(c)

jedinstveni identifikacijski broj s pomoću kojeg se povezani podaci mogu preuzeti iz odgovarajućih informacijskih sustava EU-a;

(d)

podatke o tijelu nadležnom za ručnu provjeru različitih identiteta;

(e)

datum stvaranja poveznice ili svakog njezina ažuriranja.

Članak 35.

Zadržavanje podataka u detektoru višestrukih identiteta

Spisi za potvrdu identiteta i podaci sadržani u njima, uključujući poveznice, pohranjuju se u MID-u samo dok su povezani podaci pohranjeni u dvama ili više informacijskih sustava EU-a. Automatski se brišu iz MID-a.

Članak 36.

Vođenje evidencije

1.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u okviru MID-a. Ta evidencija uključuje sljedeće:

(a)

državu članicu koja je pokrenula upit;

(b)

svrhu pristupa korisnika;

(c)

datum i vrijeme postavljanja upita;

(d)

vrstu podataka koji su upotrijebljeni za pokretanje upita;

(e)

upućivanje na povezane podatke;

(f)

povijest spisa za potvrdu identiteta.

2.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu MID-a. Svaka agencija Unije vodi evidenciju upita koje postavi njezino propisno ovlašteno osoblje.

3.   Evidencije iz stavaka 1. i 2. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za osiguravanje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

POGLAVLJE VI.

Mjere za potporu interoperabilnosti

Članak 37.

Kvaliteta podataka

1.   Ne dovodeći u pitanje odgovornost država članica u pogledu kvalitete podataka unesenih u sustave, agencija eu-LISA uspostavlja automatizirane mehanizme i postupke za kontrolu kvalitete podataka pohranjenih u EES-u, VIS-u, ETIAS-u, SIS-u, zajedničkom BMS-u i CIR-u.

2.   Agencija eu-LISA provodi mehanizme za evaluaciju točnosti zajedničkog BMS-a, zajedničke pokazatelje kvalitete podataka i minimalne standarde kvalitete za pohranu podataka u EES-u, VIS-u, ETIAS-u, SIS-u, zajedničkom BMS-u i CIR-u.

U EES, VIS, ETIAS, SIS, zajednički BMS, CIR i MID smiju se unositi samo podaci koji ispunjavaju minimalne standarde kvalitete.

3.   Agencija eu-LISA državama članicama dostavlja redovita izvješća o automatiziranim mehanizmima i postupcima za kontrolu kvalitete podataka te zajedničkim pokazateljima kvalitete podataka. Agencija eu-LISA također dostavlja redovito izvješće Komisiji o problemima i državama članicama koje su se s njima suočile. Agencija eu-LISA na zahtjev također dostavlja to izvješće Europskom parlamentu i Vijeću. Izvješća iz ovog stavka ne smiju sadržavati nikakve osobne podatke.

4.   Pojedinosti o automatiziranim mehanizmima i postupcima za kontrolu kvalitete podataka, zajedničkim pokazateljima kvalitete podataka i minimalnim standardima kvalitete za pohranu podataka u EES-u, VIS-u, ETIAS-u, SIS-u, zajedničkom BMS-u i CIR-u, posebno u pogledu biometrijskih podataka, utvrđuju se u provedbenim aktima. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

5.   Godinu dana nakon uspostave automatiziranih mehanizama i postupaka za kontrolu kvalitete podataka, zajedničkih pokazatelja kvalitete podataka i minimalnih standarda kvalitete podataka te svake godine nakon toga Komisija provodi evaluaciju provedbe kvalitete podataka u državama članicama i daje potrebne preporuke. Države članice dostavljaju Komisiji akcijski plan za ispravljanje eventualnih nedostataka utvrđenih u izvješću o evaluaciji, a osobito problema povezanih s kvalitetom podataka koji proizlaze iz pogrešnih podataka u informacijskim sustavima EU-a. Države članice redovito izvješćuju Komisiju o svakom napretku u provedbi akcijskog plana do njegove potpune provedbe.

Komisija dostavlja izvješće o evaluaciji Europskom parlamentu, Vijeću, Europskom nadzorniku za zaštitu podataka, Europskom odboru za zaštitu podataka i Agenciji Europske unije za temeljna prava osnovanoj Uredbom Vijeća (EZ) br. 168/2007 (39).

Članak 38.

Univerzalni format poruka

1.   Uspostavlja se standard univerzalnog formata poruka (UMF). UMF definira standarde za određene elemente sadržaja za prekograničnu razmjenu informacija među informacijskim sustavima, tijelima ili organizacijama u području pravosuđa i unutarnjih poslova.

2.   Standard UMF-a upotrebljava se u razvoju EES-a, ETIAS-a, ESP-a, CIR-a, MID-a i, prema potrebi, u razvoju novih modela razmjene informacija i informacijskih sustava u području pravosuđa i unutarnjih poslova koji provodi agencija eu-LISA ili bilo koja druga agencija Unije.

3.   Komisija donosi provedbeni akt kako bi utvrdila i razvila standard UMF-a iz stavka 1. ovog članka. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 74. stavka 2.

Članak 39.

Središnji repozitorij podataka za izvješćivanje i statistiku

1.   Središnji repozitorij podataka za izvješćivanje i statistiku (CRRS) uspostavlja se za potrebe podupiranja ciljeva EES-a, VIS-a, ETIAS-a i SIS-a, u skladu s odgovarajućim pravnim instrumentima kojima se uređuju ti sustavi, i za pružanje međusustavnih statističkih podataka i analitičkog izvješćivanja za potrebe politike, operativne potrebe i potrebe kvalitete podataka.

2.   Agencija eu-LISA uspostavlja i provodi CRRS te ga udomljuje na poslužitelju na svojim tehničkim pogonima koji sadržavaju podatke i statistike iz članka 63. Uredbe (EU) 2017/2226, članka 17. Uredbe (EZ) br. 767/2008, članka 84. Uredbe (EU) 2018/1240, članka 60. Uredbe (EU) 2018/1861 i članka 16. Uredbe (EU) 2018/1860, logički odvojene po informacijskom sustavu EU-a. Pristup CRRS-u odobrava se s pomoću kontroliranog, sigurnog pristupa i posebnih korisničkih profila, isključivo za potrebe izvješćivanja i statistike, tijelima iz članka 63. Uredbe (EU) 2017/2226, članka 17. Uredbe (EZ) br. 767/2008, članka 84. Uredbe (EU) 2018/1240 i članka 60. Uredbe (EU) 2018/1861.

3.   Agencija eu-LISA anonimizira podatke i bilježi te anonimizirane podatke u CRRS. Postupak anonimizacije podataka je automatiziran.

Podaci sadržani u CRRS-u ne omogućuju identifikaciju osoba.

4.   CRRS se sastoji od sljedećeg:

(a)

alata nužnih za anonimiziranje podataka;

(b)

središnje infrastrukture koja se sastoji od repozitorija anonimnih podataka;

(c)

sigurne komunikacijske infrastrukture za povezivanje CRRS-a s EES-om, VIS-om, ETIAS-om i SIS-om te sa središnjim infrastrukturama zajedničkog BMS-a, CIR-a i MID-a.

5.   Komisija donosi delegirani akt u skladu s postupkom iz članka 73. kojim se utvrđuju podrobna pravila za rad CRRS-a, između ostalog posebne zaštitne mjere za obradu osobnih podataka u skladu sa stavcima 2. i 3. ovog članka i sigurnosna pravila koja se primjenjuju na repozitorij.

POGLAVLJE VII.

Zaštita podataka

Članak 40.

Voditelj obrade

1.   U pogledu obrade podataka u zajedničkom BMS-u tijela država članica koja su voditelji obrade za EES, VIS, odnosno za SIS voditelji su obrade u skladu s člankom 4. točkom 7. Uredbe (EU) 2016/679 ili člankom 3. točkom 8. Direktive (EU) 2016/680 u pogledu biometrijskih modela izrađenih na temelju podataka iz članka 13.ove Uredbe koje ta tijela unose u osnovne sustave te su nadležna za obradu biometrijskih modela u zajedničkom BMS-u.

2.   U pogledu obrade podataka u CIR-u tijela država članica koja su voditelji obrade za EES, VIS, odnosno ETIAS voditelji su obrade u skladu s člankom 4. točkom 7. Uredbe (EU) 2016/679 u pogledu podataka iz članka 18. ove Uredbe koje ta tijela unose u osnovne sustave te su nadležna za obradu tih osobnih podataka u CIR-u.

3.   U pogledu obrade podataka u MID-u:

(a)

Agencija za europsku graničnu i obalnu stražu voditelj je obrade podataka u smislu članka 3. točke 8. Uredbe (EU) br. 2018/1725 u pogledu obrade osobnih podataka u središnjoj jedinici ETIAS-a;

(b)

nadležna tijela država članica koja dodaju ili mijenjaju podatke u spisu za potvrdu identiteta voditelji su obrade u skladu s člankom 4. točkom 7. Uredbe (EU) 2016/679 ili člankom 3. točkom 8. Direktive (EU) 2016/680 i nadležna su za obradu osobnih podataka u MID-u.

4.   Za potrebe praćenja zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, voditelji obrade podataka imaju pristup evidencijama iz članaka 10., 16., 24. i 36. radi samopraćenja kako je navedeno u članku 44.

Članak 41.

Izvršitelj obrade

U pogledu obrade osobnih podataka u zajedničkom BMS-u, CIR-u i MID-u, agencija eu-LISA je izvršitelj obrade u smislu članka 3. točke 12. podtočke (a) Uredbe (EU) 2018/1725.

Članak 42.

Sigurnost obrade

1.   Agencija eu-LISA, središnja jedinica ETIAS-a, Europol i tijela država članica osiguravaju sigurnost obrade osobnih podataka koja se odvija na temelju ove Uredbe. Agencija eu-LISA, središnja jedinica ETIAS-a, Europol i tijela država članica surađuju u obavljanju zadaća povezanih sa sigurnošću.

2.   Ne dovodeći u pitanje članak 33. Uredbe (EU) br. 2018/1725, agencija eu-LISA poduzima potrebne mjere kako bi osigurala sigurnost komponenata interoperabilnosti i s njima povezane komunikacijske infrastrukture.

3.   Agencija eu-LISA posebno donosi potrebne mjere, uključujući plan sigurnosti, plan kontinuiteta poslovanja i plan oporavka u slučaju katastrofe kako bi:

(a)

fizički zaštitila podatke, među ostalim izradom planova za zaštitu ključne infrastrukture u nepredviđenim situacijama;

(b)

neovlaštenim osobama uskratila pristup opremi i uređajima za obradu podataka;

(c)

spriječila neovlašteno čitanje, umnožavanje, izmjenu ili uklanjanje podatkovnih medija;

(d)

spriječila neovlašteni unos podataka i neovlašteni pregled, izmjenu ili brisanje unesenih osobnih podataka;

(e)

spriječila neovlaštenu obradu podataka i neovlašteno umnožavanje, izmjenu ili brisanje podataka;

(f)

spriječila da neovlaštene osobe koje se koriste opremom za prijenos podataka upotrebljavaju automatizirane sustave za obradu podataka;

(g)

osigurala da osobe ovlaštene za pristup komponentama interoperabilnosti imaju pristup samo onim podacima koji su obuhvaćeni njihovim odobrenjem za pristup, i to isključivo s pomoću pojedinačnih korisničkih identiteta i tajnih načina pristupa;

(h)

osigurala da je moguće provjeriti i utvrditi kojim se tijelima mogu prenositi osobni podaci korištenjem opreme za prijenos podataka;

(i)

osigurala da je moguće provjeriti i utvrditi koji su se podaci obrađivali u komponentama interoperabilnosti, kada su se obrađivali, tko ih je obrađivao i u koju svrhu;

(j)

spriječila neovlašteno čitanje, umnožavanje, izmjenu ili brisanje osobnih podataka tijekom prijenosa osobnih podataka u komponente interoperabilnosti ili iz njih ili za vrijeme prijevoza podatkovnih medija, a posebno s pomoću odgovarajućih tehnika šifriranja;

(k)

osigurala da se u slučaju prekida instalirani sustavi mogu osposobiti za nastavak normalnog funkcioniranja;

(l)

osigurala pouzdanost jamčenjem pravilne prijave svih grešaka u funkcioniranju komponenata interoperabilnosti;

(m)

pratila djelotvornost sigurnosnih mjera iz ovog stavka i poduzela potrebne organizacijske mjere povezane s unutarnjim praćenjem kako bi se osigurala usklađenost s ovom Uredbom i radi ocjenjivanja tih sigurnosnih mjera u kontekstu razvoja novih tehnologija.

4.   Države članice, Europol i središnja jedinica ETIAS-a poduzimaju mjere koje su istovjetne mjerama iz stavka 3. u pogledu sigurnosti obrade osobnih podataka koju obavljaju tijela koja imaju pravo pristupa bilo kojoj komponenti interoperabilnosti.

Članak 43.

Sigurnosni incidenti

1.   Svaki događaj koji utječe na sigurnost komponenata interoperabilnosti ili bi mogao utjecati na njihovu sigurnost i koji može uzrokovati oštećenje ili gubitak podataka pohranjenih u njima smatra se sigurnosnim incidentom, osobito u slučaju mogućeg neovlaštenog pristupa podacima ili mogućeg ugrožavanja dostupnosti, cjelovitosti i povjerljivosti podataka.

2.   Sigurnosnim incidentima upravlja se na način da se osigura brz, djelotvoran i pravilan odgovor.

3.   Ne dovodeći u pitanje izvješćivanje i priopćivanje o povredi osobnih podataka u skladu s člankom 33. Uredbe (EU) 2016/679, člankom 30. Direktive (EU) 2016/680, ili u skladu s obama člancima, države članice o svim sigurnosnim incidentima bez odgode obavješćuju Komisiju, agenciju eu-LISA, nadležna nadzorna tijela i Europskog nadzornika za zaštitu podataka.

Ne dovodeći u pitanje članke 34. i 35. Uredbe (EU) 2018/1725 i članak 34. Uredbe (EU) 2016/794, središnja jedinica ETIAS-a i Europol o svim sigurnosnim incidentima bez odgode obavješćuju Komisiju, agenciju eu-LISA i Europskog nadzornika za zaštitu podataka.

U slučaju sigurnosnog incidenta povezanog sa središnjom infrastrukturom komponenata interoperabilnosti, agencija eu-LISA o njemu bez odgode obavješćuje Komisiju i Europskog nadzornika za zaštitu podataka.

4.   Informacije o sigurnosnom incidentu koji utječe ili bi mogao utjecati na rad komponenata interoperabilnosti ili na dostupnost, cjelovitost i povjerljivost podataka dostavljaju se državama članicama, središnjoj jedinici ETIAS-a i Europolu bez odgode te se prijavljuju u skladu s planom upravljanja incidentima koji treba osigurati agencija eu-LISA.

5.   Dotične države članice, središnja jedinica ETIAS-a, Europol i agencija eu-LISA surađuju u slučaju sigurnosnog incidenta. Komisija provedbenim aktima utvrđuje pojedinosti tog postupka suradnje. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

Članak 44.

Samopraćenje

Države članice i relevantne agencije Unije osiguravaju da svako tijelo koje je ovlašteno za pristup komponentama interoperabilnosti poduzima mjere potrebne za praćenje svoje usklađenosti s ovom Uredbom te, prema potrebi, surađuje s nadzornim tijelom.

Voditelji obrade podataka iz članka 40. poduzimaju potrebne mjere za praćenje usklađenosti obrade podataka u skladu s ovom Uredbom, između ostalog čestom provjerom evidencija iz članaka 10., 16., 24. i 36. i surađuju, prema potrebi, s nadzornim tijelima i s Europskim nadzornikom za zaštitu podataka.

Članak 45.

Sankcije

Države članice osiguravaju da se svaka zlouporaba podataka, obrada podataka ili razmjena podataka koja je u suprotnosti s ovom Uredbom sankcionira u skladu s nacionalnim pravom. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.

Članak 46.

Odgovornost

1.   Ne dovodeći u pitanje pravo na naknadu štete od voditelja obrade ili izvršitelja obrade i njihovu odgovornost u skladu s Uredbom (EU) 2016/679, Direktivom (EU) 2016/680 i Uredbom (EZ) br. 2018/1725:

(a)

svaka osoba ili država članica koja je pretrpjela materijalnu ili nematerijalnu štetu zbog nezakonitog postupka obrade osobnih podataka ili bilo koje druge radnje neke države članice koja nije u skladu s ovom Uredbom ima pravo na naknadu štete od te države članice;

(b)

svaka osoba ili država članica koja je pretrpjela materijalnu ili nematerijalnu štetu zbog bilo koje radnje Europola, Agencije za europsku graničnu i obalnu stražu ili agencije eu-LISA koja nije u skladu s ovom Uredbom ima pravo na naknadu štete od predmetne agencije.

Predmetna država članica, Europol, Agencija za europsku graničnu i obalnu stražu ili agencija eu-LISA oslobađaju se, u cijelosti ili djelomično, od odgovornosti u skladu s prvim podstavkom ako dokažu da nisu odgovorni za događaj koji je prouzročio nastanak štete.

2.   Ako neka država članica ne ispuni svoje obveze u skladu s ovom Uredbom i time nanese štetu komponentama interoperabilnosti, ta je država članica odgovorna za takvu štetu, osim ako i u mjeri u kojoj je agencija eu-LISA ili druga država članica koja je obvezana ovom Uredbom propustila poduzeti razumne mjere za sprječavanje nastanka štete ili svođenja njezina učinka na najmanju moguću mjeru.

3.   Zahtjevi za naknadu štete protiv države članice zbog štete iz stavaka 1. i 2. uređeni su nacionalnim pravom tužene države članice. Zahtjevi za naknadu štete protiv voditelja obrade ili agencije eu-LISA zbog štete iz stavaka 1. i 2. podliježu uvjetima predviđenima u Ugovorima.

Članak 47.

Pravo na informacije

1.   Tijelo koje prikuplja osobne podatke koji trebaju biti pohranjeni u zajedničkom BMS-u, CIR-u ili MID-u pruža osobama čiji se podaci prikupljaju informacije koje se zahtijevaju u skladu s člancima 13. i 14. Uredbe (EU) 2016/679, člancima 12. i 13. Direktive (EU) 2016/680 te člancima 15. i 16. Uredbe (EU) 2018/1725. Tijelo pruža informacije u trenutku prikupljanja tih podataka.

2.   Sve informacije stavljaju se na raspolaganje, uz upotrebu jasnog i jednostavnog jezika, u jezičnoj verziji koju predmetna osoba razumije ili za koju se razumno očekuje da je razumije. To uključuje i pružanje informacija na način prikladan dobi maloljetnih ispitanika.

3.   Osobe čiji su podaci zabilježeni u EES-u, VIS-u ili ETIAS-u obavješćuju se o obradi osobnih podataka za potrebe ove Uredbe u skladu sa stavkom 1. u sljedećim slučajevima:

(a)

pojedinačni spis izrađen je ili ažuriran u EES-u u skladu s člankom 14. Uredbe (EU) 2017/2226;

(b)

spis zahtjeva stvoren je ili ažuriran u VIS-u u skladu s člankom 8. Uredbe (EZ) br. 767/2008;

(c)

spis zahtjeva stvoren je ili ažuriran u ETIAS-u u skladu s člankom 19. Uredbe (EU) 2018/1240.

Članak 48.

Pravo pristupa osobnim podacima pohranjenima u MID-u, njihova ispravljanja i brisanja te ograničavanja obrade tih podataka

1.   Kako bi mogla ostvariti svoja prava iz članaka od 15. do 18. Uredbe (EU) 2016/679, članaka od 17. do 20. Uredbe (EU) 2018/1725 i članaka 14., 15. i 16. Direktive (EU) 2016/680, svaka osoba ima pravo obratiti se nadležnom tijelu bilo koje države članice, koja razmatra zahtjev i odgovara na njega.

2.   Država članica koja razmatra takav zahtjev odgovara bez nepotrebne odgode, a u svakom slučaju u roku od 45 dana od primitka zahtjeva. Taj se rok može prema potrebi produljiti za dodatnih 15 dana, uzimajući u obzir složenost i broj zahtjevâ. Država članica koja razmatra zahtjev u roku od 45 dana od zaprimanja zahtjeva obavješćuje ispitanika o svakom takvom produljenju i razlozima odgode. Države članice mogu odlučiti da te odgovore moraju dati središnji uredi.

3.   Ako je zahtjev za ispravljanje ili brisanje osobnih podataka podnesen državi članici koja nije država članica nadležna za ručnu provjeru različitih identiteta, država članica kojoj je podnesen zahtjev stupa u kontakt s tijelima države članice nadležne za ručnu provjeru različitih identiteta u roku od sedam dana. Država članica nadležna za ručnu provjeru različitih identiteta bez odgode, a u svakom slučaju u roku od 30 dana od takvog kontakta, provjerava točnost podataka i zakonitost obrade podataka. Taj se rok može prema potrebi produljiti za dodatnih 15 dana, uzimajući u obzir složenost i broj zahtjevâ. Država članica nadležna za ručnu provjeru različitih identiteta obavješćuje državu članicu koja je s njom stupila u kontakt o svakom takvom produljenju i razlozima odgode. Država članica koja je stupila u kontakt s tijelom države članice nadležne za ručnu provjeru različitih identiteta obavješćuje predmetnu osobu o daljnjem postupku.

4.   Ako je zahtjev za ispravljanje ili brisanje osobnih podataka podnesen državi članici u kojoj je središnja jedinica ETIAS-a bila nadležna za ručnu provjeru različitih identiteta, država članica kojoj je podnesen zahtjev stupa u kontakt sa središnjom jedinicom ETIAS-a u roku od sedam dana kako bi zatražila njezino mišljenje. Središnja jedinica ETIAS-a daje svoje mišljenje bez nepotrebne odgode, a u svakom slučaju u roku od 30 dana nakon što se s njom stupilo u kontakt. Taj se rok može prema potrebi produljiti za dodatnih 15 dana, uzimajući u obzir složenost i broj zahtjevâ. Država članica koja je stupila u kontakt sa središnjom jedinicom ETIAS-a obavješćuje predmetnu osobu o daljnjem postupku.

5.   Ako se nakon pregleda utvrdi da su podaci pohranjeni u MID-u netočni ili da su zabilježeni nezakonito, država članica nadležna za ručnu provjeru različitih identiteta ili, ako nijedna država članica nije bila nadležna za ručnu provjeru različitih identiteta ili ako je središnja jedinica ETIAS-a bila nadležna za ručnu provjeru različitih identiteta, država članica kojoj je podnesen zahtjev, ispravlja ili briše te podatke bez odgode. Predmetnu osobu obavješćuje se u pisanom obliku o tome da su njezini podaci ispravljeni ili izbrisani.

6.   Ako je pojedina država članica izmijenila podatke pohranjene u MID-u tijekom razdoblja njihova zadržavanja, ta država članica provodi obradu utvrđenu u članku 27. i, ako je to relevantno, članku 29. kako bi utvrdila treba li izmijenjene podatke povezati. Ako se obradom ne pronađe nijedna podudarnost, ta država članica briše podatke iz spisa za potvrdu identiteta. Ako se automatiziranom obradom pronađe jedna ili više podudaranosti, ta država članica stvara ili ažurira relevantnu poveznicu u skladu s odgovarajućim odredbama ove Uredbe.

7.   Ako se država članica nadležna za ručnu provjeru različitih identiteta ili, ako je to primjenjivo, država članica kojoj je podnesen zahtjev ne slaže s time da su podaci pohranjeni u MID-u netočni ili da su nezakonito zabilježeni, ona bez odgode donosi upravnu odluku kojom u pisanom obliku objašnjava predmetnoj osobi zbog čega nije spremna ispraviti ili izbrisati podatke koji se odnose na tu osobu.

8.   U odluci iz stavka 7. predmetnu osobu također se obavješćuje o tome da može osporiti odluku donesenu u pogledu zahtjeva za pristup osobnim podacima ili za njihovo ispravljanje, brisanje ili ograničavanje njihove obrade i, ako je to relevantno, o tome kako podnijeti tužbu ili prigovor nadležnim tijelima ili sudovima te o pomoći, između ostalog od nadzornih tijela.

9.   Svaki zahtjev za pristup osobnim podacima ili za njihovo ispravljanje, brisanje ili ograničavanje njihove obrade mora sadržavati informacije nužne za identifikaciju predmetne osobe. Te se informacije upotrebljavaju isključivo kako bi se omogućilo ostvarivanje pravâ iz ovog članka i brišu se odmah nakon toga.

10.   Država članica nadležna za ručnu provjeru različitih identiteta ili, ako je to primjenjivo, država članica kojoj je podnesen zahtjev vodi pisanu evidenciju o tome da je podnesen zahtjev za pristup osobnim podacima, njihovo ispravljanje, brisanje ili ograničavanje njihove obrade i o tome kako se rješavao te tu evidenciju bez odgode stavlja na raspolaganje nadzornim tijelima.

11.   Ovim se člankom ne dovode u pitanje granice i ograničenja prava utvrđenih u ovom članku u skladu s Uredbom (EU) 2016/679 i Direktivom (EU) 2016/680.

Članak 49.

Internetski portal

1.   Internetski portal uspostavlja se s ciljem lakšeg ostvarivanja prava na pristup osobnim podacima, njihova ispravljanja, brisanja ili ograničavanja njihove obrade.

2.   Internetski portal sadržava informacije o pravima i postupcima iz članaka 47. i 48. te korisničko sučelje koje osobama čiji se podaci obrađuju u MID-u i koje su obaviještene o prisutnosti crvene poveznice u skladu s člankom 32. stavkom 4. omogućuje da dobiju podatke za kontakt nadležnog tijela države članice nadležne za ručnu provjeru različitih identiteta.

3.   Radi dobivanja podataka za kontakt nadležnog tijela države članice nadležne za ručnu provjeru različitih identiteta, osoba čiji se podaci obrađuju u MID-u trebala bi unijeti upućivanje na tijelo nadležno za ručnu provjeru različitih identiteta iz članka 34. točke (d). Internetski portal koristi to upućivanje kako bi preuzeo podatke za kontakt nadležnog tijela države članice nadležne za ručnu provjeru različitih identiteta. Internetski portal sadržava i predložak elektroničke poruke kako bi se olakšala komunikacija između korisnika portala i nadležnog tijela države članice nadležne za ručnu provjeru različitih identiteta. Takva elektronička poruka sadržava polje za jedinstveni identifikacijski broj iz članka 34. točke (c) kako bi se nadležnom tijelu države članice nadležne za ručnu provjeru različitih identiteta omogućilo da identificira predmetne podatke.

4.   Države članice agenciji eu-LISA dostavljaju podatke za kontakt svih tijela koja su nadležna za razmatranje zahtjeva iz članaka 47. i 48. i odgovaranje na njih te redovito provjeravaju jesu li ti podaci za kontakt ažurirani.

5.   Agencija eu-LISA izrađuje internetski portal i osigurava tehničko upravljanje njime.

6.   Komisija donosi delegirani akt u skladu s člankom 73. kojim se utvrđuju detaljna pravila o radu internetskog portala, uključujući korisničko sučelje, jezicima na kojima internetski portal mora biti dostupan i predložak elektroničke poruke.

Članak 50.

Priopćavanje osobnih podataka trećim zemljama, međunarodnim organizacijama i privatnim osobama

Ne dovodeći u pitanje članak 65. Uredbe (EU) 2018/1240, članke 25. i 26. Uredbe (EU) 2016/794, članak 41. Uredbe (EU) 2017/2226, članak 31. Uredbe (EZ) br. 767/2008 i postavljanje upita Interpolovim bazama podataka putem ESP-a u skladu s člankom 9. stavkom 5. ove Uredbe kojima se poštuju odredbe poglavlja V. Uredbe (EU) 2018/1725 i poglavlja V. Uredbe (EU) 2016/679, osobni podaci pohranjeni ili obrađeni u komponentama interoperabilnosti ili kojima se pristupa putem komponenti interoperabilnosti ne smiju se prenositi niti davati na raspolaganje ni jednoj trećoj zemlji, međunarodnoj organizaciji ili privatnoj osobi.

Članak 51.

Nadzor koji provode nadzorna tijela

1.   Svaka država članica osigurava da nadzorna tijela neovisno prate zakonitost obrade osobnih podataka u okviru ove Uredbe koju provodi dotična država članica, uključujući prijenos tih podataka iz komponenata interoperabilnosti i u njih.

2.   Svaka država članica osigurava da se nacionalni zakoni i drugi propisi doneseni na temelju Direktive (EU) 2016/680 primjenjuju, ako je to relevantno, i na pristup policijskih tijela i imenovanih tijela komponentama interoperabilnosti, među ostalim u vezi s pravima osoba čijim se podacima tako pristupa.

3.   Nadzorna tijela osiguravaju da se revizija postupaka obrade osobnih podataka koje za potrebe ove Uredbe provode za to odgovorna nacionalna tijela obavlja u skladu s relevantnim međunarodnim revizijskim standardima barem svake četiri godine.

Nadzorna tijela svake godine objavljuju informacije o broju zahtjeva za ispravak, brisanje ili ograničavanje obrade osobnih podataka, o postupcima poduzetima nakon toga i broju ispravaka, brisanja i ograničavanja obrade provedenih slijedom zahtjevâ predmetnih osoba.

4.   Države članice osiguravaju da njihova nadzorna tijela imaju dostatna sredstva i stručnost za izvršavanje zadaća koje su im povjerene u skladu s ovom Uredbom.

5.   Države članice dostavljaju sve informacije koje zatraži nadzorno tijelo iz članka 51. stavka 1. Uredbe (EU) 2016/679, a posebno informacije o aktivnostima provedenima u skladu s njihovim odgovornostima iz ove Uredbe. Države članice nadzornim tijelima iz članka 51. stavka 1. Uredbe (EU) 2016/679 odobravaju pristup svojim evidencijama iz članaka 10., 16., 24. i 36. ove Uredbe, obrazloženjima iz članka 22. stavka 2. ove Uredbe te im u svakom trenutku omogućuju pristup svim svojim prostorijama koje se koriste za potrebe interoperabilnosti.

Članak 52.

Revizije koje provodi Europski nadzornik za zaštitu podataka

Europski nadzornik za zaštitu podataka osigurava da se revizija postupaka obrade osobnih podataka koje za potrebe ove Uredbe obavljaju agencija eu-LISA, središnja jedinica ETIAS-a i Europol provodi u skladu s odgovarajućim međunarodnim revizijskim standardima najmanje svake četiri godine. Izvješće o toj reviziji šalje se Europskom parlamentu, Vijeću, agenciji eu-LISA, Komisiji, državama članicama i dotičnoj agenciji Unije. Agencija eu-LISA, središnja jedinica ETIAS-a i Europol imaju mogućnost davanja primjedbi prije donošenja izvješća.

Agencija eu-LISA, središnja jedinica ETIAS-a i Europol dostavljaju Europskom nadzorniku za zaštitu podataka informacije koje zatraži, dodjeljuju Europskom nadzorniku za zaštitu podataka pristup svim dokumentima koje zatraži i svojim evidencijama iz članaka 10., 16., 24. i 36. te Europskom nadzorniku za zaštitu podataka omogućuju pristup svim svojim prostorijama u svakom trenutku.

Članak 53.

Suradnja nadzornih tijela i Europskog nadzornika za zaštitu podataka

1.   Nadzorna tijela i Europski nadzornik za zaštitu podataka, svatko u okviru svojih ovlasti, aktivno surađuju u okviru svojih odgovornosti te osiguravaju koordinirani nadzor nad uporabom komponenata interoperabilnosti i primjenom drugih odredaba ove Uredbe, posebno ako Europski nadzornik za zaštitu podataka ili nadzorno tijelo utvrde velike razlike između praksi država članica ili utvrde moguće nezakonite prijenose uporabom komunikacijskih kanala komponenata interoperabilnosti.

2.   U slučajevima iz stavka 1. ovog članka osigurava se koordinirani nadzor u skladu s člankom 62. Uredbe (EU) 2018/1725.

3.   Europski odbor za zaštitu podataka šalje zajedničko izvješće o svojim aktivnostima iz ovog članka Europskom parlamentu, Vijeću, Komisiji, Europolu, Agenciji za europsku graničnu i obalnu stražu i agenciji eu-LISA do 12. lipnja 2021. i svake dvije godine nakon tog datuma. To izvješće uključuje poglavlje o svakoj državi članici koje je pripremilo nadzorno tijelo dotične države članice.

POGLAVLJE VIII.

Odgovornosti

Članak 54.

Odgovornosti agencije eu-LISA tijekom faze projektiranja i razvoja

1.   Agencija eu-LISA osigurava da se središnjim infrastrukturama komponenata interoperabilnosti upravlja u skladu s ovom Uredbom.

2.   Agencija eu-LISA udomljuje komponente interoperabilnosti na poslužitelju na svojim tehničkim pogonima i osigurava funkcionalnosti utvrđene u ovoj Uredbi u skladu s uvjetima sigurnosti, dostupnosti, kvalitete i uspješnosti iz članka 55. stavka 1.

3.   Agencija eu-LISA odgovorna je za razvoj komponenata interoperabilnosti i za sve prilagodbe potrebne za uspostavu interoperabilnosti središnjih sustava EES-a, VIS-a, ETIAS-a, SIS-a, Eurodaca, ECRIS-TCN-a i ESP-a, zajedničkog BMS-a, CIR-a, MID-a i CRRS-a.

Ne dovodeći u pitanje članak 66., agencija eu-LISA nema pristup osobnim podacima obrađenima putem ESP-a, zajedničkog BMS-a, CIR-a ili MID-a.

Agencija eu-LISA određuje oblik fizičke arhitekture komponenata interoperabilnosti, uključujući njihove komunikacijske infrastrukture i tehničke specifikacije i njihov razvoj u pogledu središnje infrastrukture i sigurne komunikacijske infrastrukture, a taj oblik donosi upravni odbor podložno pozitivnom mišljenju Komisije. Agencija eu-LISA provodi i potrebne prilagodbe EES-a, VIS-a, ETIAS-a ili SIS-a koje proizlaze iz uspostave interoperabilnosti i predviđene su ovom Uredbom.

Agencija eu-LISA razvija i provodi komponente interoperabilnosti što prije nakon stupanja na snagu ove Uredbe i nakon što Komisija donese mjere predviđene u članku 8. stavku 2., članku 9. stavku 7., članku 28. stavcima 5. i 7., članku 37. stavku 4., članku 38. stavku 3., članku 39. stavku 5., članku 43. stavku 5. i članku 78. stavku 10.

Razvoj se sastoji od razrade i provedbe tehničkih specifikacija, testiranja i općeg upravljanja i koordinacije projektom.

4.   Tijekom faze projektiranja i razvoja osniva se odbor za upravljanje programom koji ima najviše deset članova. Odbor je sastavljen od sedam članova koje među svojim članovima ili njihovim zamjenicima imenuje upravni odbor agencije eu-LISA, predsjednika savjetodavne skupine za interoperabilnost iz članka 75., člana koji zastupa Agenciju eu-LISA kojeg je imenovao njezin izvršni direktor i jednog člana kojeg imenuje Komisija. Članovi koje imenuje upravni odbor agencije eu-LISA biraju se samo iz onih država članica koje, u skladu s pravom Unije, potpuno obvezuju pravni instrumenti kojima se uređuju razvoj, uspostava, rad i uporaba svih informacijskih sustava EU-a i koje će sudjelovati u komponentama interoperabilnosti.

5.   Odbor za upravljanje programom sastaje se redovito, a najmanje tri puta po tromjesečju. On osigurava odgovarajuće upravljanje fazom projektiranja i razvoja komponenata interoperabilnosti.

Odbor za upravljanje programom svaki mjesec podnosi upravnom odboru agencije eu-LISA pisana izvješća o napretku u provedbi projekta. Odbor za upravljanje programom nema ovlast za donošenje odluka ni mandat za zastupanje članova upravnog odbora agencije eu-LISA.

6.   Upravni odbor agencije eu-LISA utvrđuje poslovnik odbora za upravljanje programom koji osobito uključuje pravila o:

(a)

načinu predsjedanja;

(b)

mjestima održavanja sastanaka;

(c)

pripremi sastanaka;

(d)

dopuštanju sudjelovanja stručnjaka na sastancima;

(e)

komunikacijskim planovima kojima se osigurava potpuno informiranje članova upravnog odbora koji ne sudjeluju na sastancima.

Odborom predsjedava država članica koju na temelju prava Unije u potpunosti obvezuju pravni instrumenti kojima se uređuju razvoj, uspostava, rad i uporaba svih informacijskih sustava EU-a i koja će sudjelovati u komponentama interoperabilnosti.

Sve putne troškove i dnevnice članova odbora za upravljanje programom plaća agencija eu-LISA, te se mutatis mutandis primjenjuje članak 10. Poslovnika agencije eu-LISA. Agencija eu-LISA osigurava tajništvo odbora za upravljanje programom.

Savjetodavna skupina za interoperabilnost iz članka 75. sastaje se redovito do početka rada komponenata interoperabilnosti. Nakon svakog sastanka ta skupina podnosi izvješće odboru za upravljanje programom. Ona osigurava tehničko stručno znanje radi pružanja potpore u obavljanju zadaća odbora za upravljanje programom i izvješćuje o spremnosti država članica.

Članak 55.

Odgovornosti agencije eu-LISA nakon početka rada

1.   Nakon početka rada svake komponente interoperabilnosti agencija eu-LISA odgovorna je za tehničko upravljanje središnjom infrastrukturom komponenata interoperabilnosti, uključujući njihovo održavanje i integraciju tehnološkog razvoja. Ona u suradnji s državama članicama osigurava da se upotrebljava najbolja dostupna tehnologija, podložno analizi troškova i koristi. Agencija eu-LISA odgovorna je i za tehničko upravljanje komunikacijskom infrastrukturom iz članaka 6., 12., 17., 25. i 39.

Tehničko upravljanje komponentama interoperabilnosti sastoji se od svih zadaća i tehničkih rješenja potrebnih za održavanje funkcioniranja komponenata interoperabilnosti i pružanje neprekidnih usluga državama članicama i agencijama Unije 24 sata dnevno, 7 dana u tjednu u skladu s ovom Uredbom. Ono uključuje održavanje i tehničke promjene koje su potrebne kako bi se osiguralo funkcioniranje komponenata na odgovarajućoj razini tehničke kvalitete, posebno u pogledu vremena odgovora za pretraživanje središnjih infrastruktura u skladu s tehničkim specifikacijama.

Sve komponente interoperabilnosti moraju se razvijati i njima se mora upravljati na način kojim se jamči brz, neometan, učinkovit i kontroliran pristup, potpuna i neprekidna dostupnost komponenata i podataka pohranjenih u MID-u, zajedničkom BMS-u i CIR-u te vrijeme odgovora usklađeno s operativnim potrebama nadležnih tijela država članica i agencija Unije.

2.   Ne dovodeći u pitanje članak 17. Pravilnika o osoblju za dužnosnike Europske unije, agencija eu-LISA primjenjuje odgovarajuća pravila čuvanja profesionalne tajne ili druge istovjetne dužnosti čuvanja povjerljivosti na svoje osoblje koje je dužno raditi s podacima pohranjenima u komponentama interoperabilnosti. Ta se obveza primjenjuje i nakon što takvo osoblje napusti radno mjesto ili zaposlenje te po prestanku njegovih aktivnosti.

Ne dovodeći u pitanje članak 66., agencija eu-LISA nema pristup osobnim podacima obrađenima putem ESP-a, zajedničkog BMS-a, CIR-a i MID-a.

3.   Agencija eu-LISA razvija i održava mehanizam i postupke za obavljanje kontrole kvalitete podatka pohranjenih u zajedničkom BMS-u i CIR-u u skladu s člankom 37.

4.   Agencija eu-LISA obavlja i zadaće povezane s osposobljavanjem za tehničku uporabu komponenata interoperabilnosti.

Članak 56.

Odgovornosti država članica

1.   Svaka država članica odgovorna je za sljedeće:

(a)

povezivanje komunikacijske infrastrukture s ESP-om i CIR-om;

(b)

integraciju postojećih nacionalnih sustava i infrastruktura s ESP-om, CIR-om i MID-om;

(c)

organizaciju postojeće nacionalne infrastrukture i njezinu vezu s komponentama interoperabilnosti te za upravljanje tom infrastrukturom, njezin rad i održavanje;

(d)

upravljanje pristupom propisno ovlaštenog osoblja nadležnih nacionalnih tijela ESP-u, CIR-u i MID-u u skladu s ovom Uredbom i za mehanizme za ostvarivanje tog pristupa te za uspostavu i redovito ažuriranje popisa tog osoblja i njihovih profila;

(e)

donošenje zakonodavnih mjera iz članka 20. stavaka 5. i 6. za pristup CIR-u za potrebe identifikacije;

(f)

ručnu provjeru različitih identiteta iz članka 29.;

(g)

usklađenost sa zahtjevima u pogledu kvalitete podataka utvrđenima pravom Unije;

(h)

usklađenost s pravilima svakog informacijskog sustava EU-a o sigurnosti i integritetu osobnih podataka;

(i)

ispravljanje nedostataka utvrđenih u izvješću o evaluaciji koje je izradila Komisija o kvaliteti podataka iz članka 37. stavka 5.

2.   Svaka država članica povezuje svoja imenovana tijela s CIR-om.

Članak 57.

Odgovornosti središnje jedinice ETIAS-a

Središnja jedinica ETIAS-a odgovorna je za sljedeće:

(a)

ručnu provjeru različitih identiteta u skladu s člankom 29.;

(b)

otkrivanje višestrukih identiteta među podacima pohranjenima u EES-u, VIS-u, Eurodacu i SIS-u, kako je navedeno u članku 69.

POGLAVLJE IX.

Izmjene ostalih instrumenata Unije

Članak 58.

Izmjene Uredbe (EZ) br. 767/2008

Uredba (EZ) br. 767/2008 mijenja se kako slijedi:

1.

u članku 1. dodaje se sljedeći stavak:

„Pohranjivanjem podataka o identitetu, podataka o putnoj ispravi i biometrijskih podataka u zajednički repozitorij podataka o identitetu (CIR), uspostavljen člankom 17. stavkom 1. Uredbe (EU) 2019/817 Europskog parlamenta i Vijeća (*1), VIS pridonosi olakšavanju točne identifikacije osoba registriranih u VIS-u i pomaže u toj identifikaciji pod uvjetima i za potrebe iz članka 20. te uredbe.

(*1)  Uredba (EU) 2019/817 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području granica i viza i izmjeni uredaba (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726, i (EU) 2018/1861 Europskog parlamenta i Vijeća te odluka Vijeća 2004/512/EZ i 2008/633/PUP (SL L 135, 22.5.2019., str. 27.).”;"

2.

u članku 4. dodaju se sljedeće točke:

„12.

„podaci iz VIS-a” znači svi podaci pohranjeni u središnjem sustavu VIS-a i u CIR-u skladu s člancima od 9. do 14.;

13.

„podaci o identitetu” znači podaci iz članka 9. stavka 4. točaka (a) i (aa);

14.

„podaci o otiscima prstiju” znači podaci koji se odnose na otiske pet prstiju odnosno kažiprsta, srednjeg prsta, prstenjaka, malog prsta i palca desne ruke, i, ako su dostupni, lijeve ruke;”;

3.

u članku 5. umeće se sljedeći stavak:

„1.a   CIR sadržava podatke iz članka 9. stavka 4. točaka od (a) do (c), članka 9. stavaka 5. i 6. Preostali podaci iz VIS-a pohranjuju se u središnjem sustavu VIS-a.”;

4.

u članku 6. stavak 2. zamjenjuje se sljedećim:

„2.   Pristup VIS-u za potrebe uvida u podatke ograničen je isključivo na propisno ovlašteno osoblje nacionalnih tijela svake države članice koja su nadležna u svrhe utvrđene u člancima od 15. do 22. i na propisno ovlašteno osoblje nacionalnih tijela svake države članice i agencija Unije koji su nadležni u svrhe utvrđene u člancima 20. i 21. Uredbe (EU) 2019/817. Takav je pristup ograničen u mjeri u kojoj su podaci potrebni za obavljanje njihovih zadaća u navedene svrhe i proporcionalan ciljevima koji se nastoje postići.”;

5.

u članku 9. točki 4. podtočke od (a) do (c) zamjenjuju se sljedećim:

„(a)

prezime (obiteljsko ime); ime ili imena (osobna imena); datum rođenja; spol;

(aa)

prezime pri rođenju (bivše prezime ili bivša prezimena); mjesto i zemlja rođenja; sadašnje državljanstvo i državljanstvo pri rođenju;

(b)

vrsta i broj putne isprave ili putnih isprava te troslovna oznaka zemlje koja je izdala putnu ispravu ili putne isprave;

(c)

datum isteka valjanosti putne isprave ili putnih isprava;

(ca)

tijelo koje je izdalo putnu ispravu i datum izdavanja putne isprave;”.

Članak 59.

Izmjena Uredbe (EU) 2016/399

U članku 8. umeće se sljedeći stavak:

„4.a   Ako se pri ulasku ili izlasku provjerom u relevantnim bazama podataka, uključujući detektor višestrukih identiteta putem europskog portala za pretraživanje uspostavljenog člankom 25. stavkom 1. odnosno člankom 6. stavkom 1. Uredbe (EU) 2019/817 Europskog parlamenta i Vijeća (*2) uvede žuta poveznica ili otkrije crvena poveznica, službenik graničnog nadzora ostvaruje uvid u zajednički repozitorij podataka o identitetu uspostavljen člankom 17. stavkom 1. te uredbe ili u SIS ili u oba ta sustava kako bi procijenio razlike u povezanim podacima o identitetu ili podacima o putnoj ispravi. Službenik graničnog nadzora obavlja sve dodatne provjere koje su potrebne za donošenje odluke o statusu i boji poveznice.

U skladu s člankom 69. stavkom 1. Uredbe (EU) 2019/817 ovaj stavak primjenjuje se tek od puštanja u rad detektora višestrukih identiteta na temelju članka 72. stavka 4. te uredbe.

Članak 60.

Izmjene Uredbe (EU) 2017/2226

Uredba (EU) 2017/2226 mijenja se kako slijedi:

1.

u članku 1. dodaje se sljedeći stavak:

„3.   Pohranjivanjem podataka o identitetu, podataka o putnoj ispravi i biometrijskih podataka u zajednički repozitorij podataka o identitetu (CIR), uspostavljen člankom 17. stavkom 1. Uredbe (EU) 2019/817 Europskog parlamenta i Vijeća (*3), EES pridonosi olakšavanju točne identifikacije osoba registriranih u EES-u i pomaže u toj identifikaciji pod uvjetima i za potrebe iz članka 20. te uredbe.

(*3)  Uredba (EU) 2019/817 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području granica i viza i izmjeni uredaba (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726, i (EU) 2018/1861 Europskog parlamenta i Vijeća te odluka Vijeća 2004/512/EZ i 2008/633/PUP (SL L 135, 22.5.2019., str. 27.).”;"

2.

u članku 3. stavak 1. mijenja se kako slijedi:

(a)

točka 22. zamjenjuje se sljedećim:

„22.

„podaci iz EES-a” znači svi podaci pohranjeni u središnjem sustavu EES-a i u CIR-u skladu s člancima od 15. do 20.;”;

(b)

umeće se sljedeća točka:

„22.a

„podaci o identitetu” znači podaci iz članka 16. stavka 1. točke (a), kao i relevantni podaci iz članka 17. stavka 1. i članka 18. stavka 1.;”;

(c)

dodaju se sljedeće točke:

„32.

„ESP” znači europski portal za pretraživanje uspostavljen člankom 6. stavkom 1. Uredbe (EU) 2019/817;

33.

„CIR” znači zajednički repozitorij podataka o identitetu uspostavljen člankom 17. stavkom 1. Uredbe (EU) 2019/817.”;

3.

u članku 6. stavku 1. dodaje se sljedeća točka:

„(j)

osiguravanje točne identifikacije osoba.”;

4.

članak 7. mijenja se kako slijedi:

(a)

stavak 1. mijenja se kako slijedi:

i.

umeće se sljedeća točka:

„(aa)

središnje infrastrukture CIR-a, kako je navedeno u članku 17. stavku 2. točki (a) Uredbe (EU) 2019/817”;

ii.

točka (f) zamjenjuje se sljedećim:

„(f)

sigurne komunikacijske infrastrukture između središnjeg sustava EES-a i središnjih infrastruktura ESP-a i CIR-a.”;

(b)

umeće se sljedeći stavak:

„1.a   CIR sadržava podatke iz članka 16. stavka 1. točaka od (a) do (d), članka 17. stavka 1. točaka od (a), (b) i (c) i članka 18. stavaka 1. i 2. Preostali podaci EES-a pohranjuju se u središnjem sustavu EES-a.”;

5.

u članku 9. dodaje se sljedeći stavak:

„4.   Pristup podacima iz EES-a pohranjenima u CIR-u ograničen je isključivo na propisno ovlašteno osoblje nacionalnih tijela svake države članice i propisno ovlašteno osoblje agencija Unije koji su nadležni u svrhe utvrđene u člancima 20. i 21. Uredbe (EU) 2019/817. Takav je pristup ograničen u mjeri u kojoj su podaci potrebni za obavljanje njihovih zadaća u navedene svrhe i proporcionalan ciljevima koji se nastoje postići.”;

6.

članak 21. mijenja se kako slijedi:

(a)

stavak 1 zamjenjuje se sljedećim:

„1   Ako je tehnički nemoguće unijeti podatke u središnji sustav EES-a ili CIR ili u slučaju kvara središnjeg sustava EES-a ili CIR-a, podaci iz članaka od 16. do 20. privremeno se pohranjuju u nacionalno jedinstveno sučelje. Ako to nije moguće, podaci se privremeno pohranjuju lokalno u elektroničkom obliku. U obama slučajevima podaci se unose u središnji sustav EES-a ili CIR čim to postane tehnički moguće ili odmah nakon otklanjanja kvara. Države članice poduzimaju odgovarajuće mjere i raspoređuju potrebnu infrastrukturu, opremu i resurse kako bi osigurale da se takvo privremeno lokalno pohranjivanje može provesti u svakom trenutku i za svaki od njihovih graničnih prijelaza.”;

(b)

u stavku 2. prvi podstavak zamjenjuje se sljedećim:

„2.   Ne dovodeći u pitanje obvezu provođenja granične kontrole u skladu s Uredbom (EU) 2016/399, u iznimnoj situaciji kada zbog tehničkih razloga unos podataka u središnji sustav EES-a i CIR, s jedne strane, i u nacionalno jedinstveno sučelje, s druge strane nije moguć i kada zbog tehničkih razloga nije moguće privremeno pohranjivati podatke lokalno u elektroničkom obliku, granično tijelo ručno pohranjuje podatke iz članaka od 16. do 20. ove Uredbe, uz iznimku biometrijskih podataka, te stavlja ulazni ili izlazni pečat u putnu ispravu državljanina treće zemlje. Ti se podaci unose u središnji sustav EES-a i CIR čim je to tehnički moguće.”;

7.

članak 23. mijenja se kako slijedi:

(a)

umeće se sljedeći stavak:

„2.a   Za potrebe provjera u skladu sa stavkom 1. ovog članka granično tijelo pokreće upit s pomoću ESP-a radi usporedbe podataka o državljaninu treće zemlje s relevantnim podacima iz EES-a i VIS-a.”;

(b)

u stavku 4. prvi podstavak zamjenjuje se sljedećim:

„4.   Ako se pri pretraživanju s pomoću alfanumeričkih podataka navedenih u stavku 2. ovog članka pokaže da podaci o državljaninu treće zemlje nisu zabilježeni u EES-u, ako provjera državljanina treće zemlje na temelju stavka 2. ovog članka nije bila uspješna ili ako postoji sumnja u identitet državljanina treće zemlje, granična tijela imaju pristup podacima u svrhu identifikacije u skladu s člankom 27. kako bi se stvorio ili ažurirao pojedinačni spis u skladu s člankom 14.”;

8.

u članku 32. dodaje se sljedeći stavak:

„1.a   U slučajevima kada su imenovana tijela pokrenula upit u CIR-u u skladu s člankom 22. Uredbe (EU) 2019/817 ona mogu pristupiti EES-u radi ostvarivanja uvida ako su ispunjeni uvjeti utvrđeni u ovom članku i ako odgovor koji su zaprimila kako je navedeno u članku 22. stavku 2. Uredbe (EU) 2019/817 pokaže da su podaci pohranjeni u EES-u.”;

9.

u članku 33. umeće se sljedeći stavak:

„1.a   U slučajevima kada je Europol pokrenuo upit u CIR-u u skladu s člankom 22. Uredbe (EU) 2019/817, on može pristupiti EES-u radi ostvarivanja uvida ako su ispunjeni uvjeti utvrđeni u ovom članku i ako odgovor koji je zaprimio kako je navedeno u članku 22. stavku 2. Uredbe (EU) 2019/817 pokaže da su podaci pohranjeni u EES-u.”;

10.

članak 34. mijenja se kako slijedi:

(a)

u stavcima 1. i 2. riječi „u središnjem sustavu EES-a” zamjenjuju se riječima „u CIR-u i u središnjem sustavu EES-a”;

(b)

u stavku 5. riječi „iz središnjeg sustava EES-a” zamjenjuju se riječima „iz središnjeg sustava EES-a i CIR-a”;

11.

u članku 35. stavak 7. zamjenjuje se sljedećim:

„7.   Središnji sustav EES-a i CIR odmah obavješćuju sve države članice o brisanju podataka iz EES-a ili CIR-a te, ako je to primjenjivo, s popisa identificiranih osoba iz članka 12. stavka 3.”;

12.

u članku 36. riječi „središnjeg sustava EES-a” zamjenjuju se riječima „središnjeg sustava EES-a i CIR-a”;

13.

članak 37. mijenja se kako slijedi:

(a)

u stavku 1. prvi podstavak zamjenjuje se sljedećim:

„1.   Agencija eu-LISA odgovorna je za razvoj središnjeg sustava EES-a, nacionalnih jedinstvenih sučelja i CIR-a, komunikacijske infrastrukture i sigurnog komunikacijskog kanala između središnjeg sustava EES-a i središnjeg sustava VIS-a. Agencija eu-LISA odgovorna je i za razvoj mrežne usluge iz članka 13. u skladu s detaljnim pravilima iz članka 13. stavka 7. te specifikacijama i uvjetima donesenima u skladu s člankom 36. prvim stavkom točkom (h) i za razvoj repozitorija podataka iz članka 63. stavka 2.”;

(b)

stavak 3. prvi podstavak zamjenjuju se sljedećim:

„3.   Agencija eu-LISA odgovorna je za operativno upravljanje središnjim sustavom EES-a i CIR-om, nacionalnim jedinstvenim sučeljima i sigurnim komunikacijskim kanalom između središnjeg sustava EES-a i središnjeg sustava VIS-a. U suradnji s državama članicama osigurava da se u svakom trenutku za središnji sustav EES-a i CIR, nacionalna jedinstvena sučelja, komunikacijsku infrastrukturu, sigurni komunikacijski kanal između središnjeg sustava EES-a i središnjeg sustava VIS-a, mrežnu uslugu iz članka 13. i repozitorij podataka iz članka 63. stavka 2. upotrebljava, podložno analizi troškova i koristi, najbolja dostupna tehnologija. Agencija eu-LISA odgovorna je i za operativno upravljanje komunikacijskom infrastrukturom između središnjeg sustava EES-a i nacionalnih jedinstvenih sučelja, za mrežnu uslugu iz članka 13. i za repozitorij podataka iz članka 63. stavka 2.”;

14.

u članku 46. stavku 1. dodaje se sljedeća točka:

„(f)

upućivanje na uporabu ESP-a za postavljanje upita u EES-u kako je navedeno u članku 7. stavku 2. Uredbe (EU) 2019/817.”;

15.

članak 63. mijenja se kako slijedi:

(a)

stavak 2. zamjenjuje se sljedećim:

„2.   Za potrebe stavka 1. ovog članka agencija eu-LISA pohranjuje podatke iz tog stavka u središnjem repozitoriju podataka za izvješćivanje i statistiku iz članka 39. Uredbe (EU) 2019/817.”;

(b)

u stavku 4. dodaje se sljedeći podstavak:

„Dnevna statistika pohranjuje se u središnjem repozitoriju za izvješćivanje i statistiku.”.

Članak 61.

Izmjene Uredbe (EU) 2018/1240

Uredba (EU) 2018/1240 mijenja se kako slijedi:

1.

u članku 1. dodaje se sljedeći stavak:

„3.   Pohranjivanjem podataka o identitetu i podataka o putnoj ispravi u zajednički repozitorij podataka o identitetu (CIR), uspostavljen člankom 17. stavkom 1. Uredbe (EU) 2019/817 Europskog parlamenta i Vijeća (*4), ETIAS pridonosi olakšavanju točne identifikacije osoba registriranih u ETIAS-u i pomaže u toj identifikaciji pod uvjetima i za potrebe iz članka 20. te Uredbe.

(*4)  Uredba (EU) 2019/817 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području granica i viza i izmjeni uredaba (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726, i (EU) 2018/1861 Europskog parlamenta i Vijeća te odluka Vijeća 2004/512/EZ i 2008/633/PUP (SL L 135, 22.5.2019., str. 27.).”;"

2.

u članku 3. stavku 1. dodaju se sljedeće točke:

„23.

‚CIR’ znači zajednički repozitorij podataka o identitetu uspostavljen člankom 17. stavkom 1. Uredbe (EU) 2019/817;

24.

‚ESP’ znači europski portal za pretraživanje uspostavljen člankom 6. stavkom 1. Uredbe (EU) 2019/817;

25.

‚središnji sustav ETIAS-a’ znači središnji sustav iz članka 6. stavka 2. točke (a) zajedno s CIR-om u mjeri u kojoj CIR sadržava podatke iz članka 6. stavka 2.a;

26.

‚podaci o identitetu’ znači podaci iz članka 17. stavka 2. točaka (a), (b) i (c);

27.

‚podaci o putnoj ispravi’ znači podaci iz članka 17. stavka 2. točaka (d) i (e) i troslovna oznaka zemlje koja je izdala putnu ispravu kako je navedeno u članku 19. stavku 3. točki (c).”;

3.

u članku 4. dodaje se sljedeća točka:

„(g)

doprinosi točnoj identifikaciji osoba.”;

4.

Članak 6. mijenja se kako slijedi:

(a)

stavak 2. mijenja se kako slijedi:

i.

točka (a) zamjenjuje se sljedećim:

„(a)

središnjeg sustava, uključujući ETIAS-ov popis za praćenje iz članka 34.;”;

ii.

umeće se sljedeća točka:

„(aa)

CIR-a;”;

iii.

točka (d) zamjenjuje se sljedećim:

„(d)

sigurne komunikacijske infrastrukture između središnjeg sustava i središnjih infrastruktura ESP-a i CIR-a;”;

(b)

umeće se sljedeći stavak:

„2.a   CIR sadržava podatke o identitetu i podatke o putnoj ispravi. Preostali podaci pohranjuju se u središnjem sustavu.”;

5.

članak 13. mijenja se kako slijedi:

(a)

umeće se sljedeći stavak:

„4.a   Pristup ETIAS-ovim podacima o identitetu i podacima o putnoj ispravi koji su pohranjeni u CIR-u ograničen je isključivo na propisno ovlašteno osoblje nacionalnih tijela svake države članice i na propisno ovlašteno osoblje agencija Unije koji su nadležni u svrhe utvrđene u člancima 20. i 21. Uredbe (EU) 2019/817. Takav je pristup ograničen u mjeri u kojoj su podaci potrebni za obavljanje njihovih zadaća u navedene svrhe i proporcionalan ciljevima koji se nastoje postići.”;

(b)

stavak 5. zamjenjuje se sljedećim:

„5.   Svaka država članica imenuje nadležna nacionalna tijela iz stavaka 1., 2., 4. i 4.a ovog članka te bez odgode prosljeđuje popis tih tijela agenciji eu-LISA u skladu s člankom 87. stavkom 2. Na tom se popisu točno naznačuje u koju svrhu propisno ovlašteno osoblje svakog od tih tijela ima pristup podacima u informacijskom sustavu ETIAS-a u skladu sa stavcima 1., 2., 4. i 4.a ovog članka.”;

6.

u članku 17. stavak 2. mijenja se kako slijedi:

(a)

točka (a) zamjenjuje se sljedećim:

„(a)

prezime, ime (imena), prezime pri rođenju; datum rođenja, mjesto rođenja, spol, trenutačno državljanstvo;”;

(b)

umeće se sljedeća točka:

„(aa)

zemlja rođenja, ime(na) roditelja podnositelja zahtjeva;”;

7.

u članku 19. stavku 4. riječi „članka 17. stavka 2. točke (a)” zamjenjuju se riječima „članka 17. stavka 2. točaka (a) i (aa)”;

8.

članak 20. mijenja se kako slijedi:

(a)

u stavku 2. prvi podstavak zamjenjuje se sljedećim:

„2.   Središnji sustav ETIAS-a pokreće upit uporabom ESP-a kako bi se relevantni podaci iz članka 17. stavka 2. točaka (a), (aa), (b), (c), (d), (f), (g), (j), (k) i (m) i članka 17. stavka 8. usporedili s podacima iz evidencije, spisa ili upozorenja registriranog u spisu zahtjeva pohranjenom u središnjem sustavu ETIAS-a, SIS-u, EES-u, VIS-u, Eurodacu, podacima Europola i Interpolovim bazama SLTD i TDAWN.”;

(b)

u stavku 4. riječi „članka 17. stavka 2. točaka (a), (b), (c), (d), (f), (g), (j), (k) i (m)” zamjenjuju se riječima „članka 17. stavka 2. točaka (a), (aa), (b), (c), (d), (f), (g), (j), (k) i (m)”;

(c)

u stavku 5. riječi „članka 17. stavka 2. točaka (a), (c), (f), (h) i (i)” zamjenjuju se riječima „članka 17. stavka 2. točaka (a), (aa), (b), (c), (f), (h) i (i)”;

9.

u članku 23. stavak 1. zamjenjuje se sljedećim:

„1.   Središnji sustav ETIAS-a pokreće upit uporabom ESP-a kako bi se relevantni podaci iz članka 17. stavka 2. točaka (a), (aa), (b) i (d) usporedili s podacima iz sustava SIS kako bi se utvrdilo je li podnositelj zahtjeva predmetom jednog od sljedećih upozorenja:

(a)

upozorenja o nestalim osobama;

(b)

upozorenja o osobama koje se traže zbog sudjelovanja sudskom postupku;

(c)

upozorenje o osobama radi skrivenih provjera ili namjenskih provjera.”;

10.

u članku 52. umeće se sljedeći stavak:

„1.a   U slučajevima kada su imenovana tijela pokrenula upit u CIR-u u skladu s člankom 22. Uredbe (EU) 2019/817, ona mogu pristupiti spisima zahtjeva pohranjenima u središnjem sustavu ETIAS-a u skladu s ovim člankom radi ostvarivanja uvida ako odgovor koji su primila kako je navedeno u članku 22. stavku 2. Uredbe (EU) 2019/817 pokaže da su podaci pohranjeni u spisima zahtjeva pohranjenima u središnjem sustavu ETIAS-a.”;

11.

u članku 53. umeće se sljedeći stavak:

„1.a   U slučajevima kada je Europol pokrenuo upit u CIR-u u skladu s člankom 22. Uredbe (EU) 2019/817, on može pristupiti spisima zahtjeva pohranjenima u središnjem sustavu ETIAS-a u skladu s ovim člankom radi ostvarivanja uvida ako odgovor koji je primio kako je navedeno u članku 22. stavku 2. Uredbe (EU) 2019/817 pokaže da su podaci pohranjeni u spisima zahtjeva pohranjenima u središnjem sustavu ETIAS-a.”;

12.

u članku 65. stavku 3. petom podstavku riječi „članka 17. stavka 2. točaka (a), (b), (d), (e) i (f)” zamjenjuju se riječima „članka 17. stavka 2. točaka (a), (aa), (b), (d), (e) i (f)”;

13.

u članku 69. stavku 1. umeće se sljedeća točka:

„(ca)

ako je to relevantno, upućivanje na uporabu ESP-a radi postavljanja upita u središnjem sustavu ETIAS-a kako je navedeno u članku 7. stavku 2. Uredbe (EU) 2019/817;”;

14.

u članku 73. stavku 2. riječi „središnji repozitorij podataka” zamjenjuju se riječima „središnji repozitorij za izvješćivanje i statistiku iz članka 39. Uredbe (EU) 2019/817 u mjeri u kojoj sadržava podatke dobivene iz središnjeg sustava ETIAS-a iz članka 84. ove Uredbe”;

15.

u članku 74. stavku 1. prvi podstavak zamjenjuje se sljedećim:

„1.   Nakon početka rada ETIAS-a agencija eu-LISA odgovorna je za tehničko upravljanje središnjim sustavom ETIAS-a i nacionalnim jedinstvenim sučeljima. Ona je također odgovorna za sva tehnička testiranja koja su potrebna za utvrđivanje i ažuriranje ETIAS-ovih pravila o provjerama. U suradnji s državama članicama osigurava da se u svakom trenutku upotrebljava najbolja dostupna tehnologija, podložno analizi troškova i koristi. Agencija eu-LISA odgovorna je i za tehničko upravljanje komunikacijskom infrastrukturom između središnjeg sustava ETIAS-a i nacionalnih jedinstvenih sučelja, kao i za javne internetske stranice, aplikaciju za mobilne uređaje, uslugu elektroničke pošte, uslugu sigurnog računa, alat za provjeru za podnositelje zahtjeva, alat za davanje privole za podnositelje zahtjeva, alat za procjenu za ETIAS-ov popis za praćenje, portal za prijevoznike, mrežnu uslugu i softver za obradu zahtjeva.”;

16.

u članku 84. stavku 2. prvi podstavak zamjenjuje se sljedećim:

„2.   Za potrebe stavka 1. ovog članka, agencija eu-LISA pohranjuje podatke iz tog stavka u središnjem repozitoriju podataka za izvješćivanje i statistiku iz članka 39. Uredbe (EU) 2019/817. U skladu s člankom 39. stavkom 1. te uredbe međusustavnim statističkim podacima i analitičkim izvješćivanjem tijelima iz stavka 1. ovog članka omogućuje se dobivanje prilagođenih izvješća i statističkih podataka, podupiranje provedbe pravila ETIAS-a o provjerama iz članka 33., poboljšanje procjene rizika povezanih sa sigurnošću i nezakonitim useljavanjem i visokih rizika od epidemije, jačanje učinkovitosti granične kontrole te pomaganje središnjoj jedinici ETIAS-a i nacionalnim jedinicama ETIAS-a u obradi zahtjeva za odobrenje putovanja.”;

17.

u članku 84. stavku 4. dodaje se sljedeći podstavak:

„Dnevna statistika pohranjuje se u središnjem repozitoriju za izvješćivanje i statistiku iz članka 39. Uredbe (EU) 2019/817.”.

Članak 62.

Izmjene Uredbe (EU) 2018/1726

Uredba (EU) 2018/1726 mijenja se kako slijedi:

1.

Članak 12. zamjenjuje se sljedećim:

„Članak 12.

Kvaliteta podataka

1.   Ne dovodeći u pitanje odgovornosti država članica u vezi s podacima unesenima u sustave u okviru operativne odgovornosti Agencije, Agencija, u bliskoj suradnji sa svojim savjetodavnim skupinama, za sve sustave za koje snosi operativnu odgovornost utvrđuje automatizirane mehanizme i postupke kontrole kvalitete, zajedničke pokazatelje kvalitete podataka i minimalne standarde kvalitete za pohranu podataka, u skladu s relevantnim odredbama pravnih instrumenata kojima se uređuju ti informacijski sustavi i člankom 37. uredaba (EU) 2019/817 (*5) i (EU) 2019/818 (*6) Europskog parlamenta i Vijeća.

2.   Agencija uspostavlja središnji repozitorij za izvješćivanje i statistiku koji sadržava samo anonimizirane podatke u skladu s člankom 39. uredaba (EU) 2019/817 i (EU) 2019/818 na koji se primjenjuju posebne odredbe u pravnim instrumentima kojima se uređuju razvoj, uspostavljanje, djelovanje i uporaba opsežnih IT sustava pod upravljanjem Agencije.

(*5)  Uredba (EU) 2019/817 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području granica i viza i izmjeni uredaba (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726, i (EU) 2018/1861 Europskog parlamenta i Vijeća te odluka Vijeća 2004/512/EZ i 2008/633/PUP (SL L 135, 22.5.2019., str. 27.)."

(*6)  Uredba (EU) 2019/818 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području policijske i pravosudne suradnje, azila i migracija i izmjeni uredaba (EU) 2018/1726, (EU) 2018/1862 i (EU) 2019/816 (SL L 135, 22.5.2019., str. 85.).”;"

2.

članak 19. stavak 1. mijenja se kako slijedi:

(a)

umeće se sljedeća točka:

„(eea)

donosi izvješća o stanju razvoja komponenata interoperabilnosti na temelju članka 78. stavka 2. Uredbe (EU) 2019/817 i članka 74. stavka 2. Uredbe (EU) 2019/818”;

(b)

točka (ff) zamjenjuje se sljedećim:

„(ff)

donosi izvješća o tehničkom funkcioniranju sustava SIS II na temelju članka 60. stavka 7. Uredbe (EU) 2018/1861 Europskog parlamenta i Vijeća (*7) i članka 74. stavka 8. Uredbe (EU) 2018/1862 Europskog parlamenta i Vijeća (*8), sustava VIS na temelju članka 50. stavka 3. Uredbe (EZ) br. 767/2008 i članka 17. stavka 3. Odluke Vijeća 2008/633/PUP, sustava EES na temelju članka 72. stavka 4. Uredbe (EU) 2017/2226, sustava ETIAS na temelju članka 92. stavka 4. Uredbe (EU) 2018/1240, sustava ECRIS-TCN i referentnog implementacijskog računalnog programa sustava ECRIS na temelju članka 36. stavka 8. Uredbe (EU) 2019/816 Europskog parlamenta i Vijeća (*9) i komponenata interoperabilnosti na temelju članka 78. stavka 3. Uredbe (EU) 2019/817 i članka 74. stavka 3. Uredbe (EU) 2019/818;

(*7)  Uredba (EU) 2018/1861 Europskog parlamenta i Vijeća od 28. studenoga 2018. o uspostavi, radu i upotrebi Schengenskog informacijskog sustava (SIS) u području granične kontrole i o izmjeni Konvencije o provedbi Schengenskog sporazuma te o izmjeni i stavljanju izvan snage Uredbe (EZ) br. 1987/2006 (SL L 312, 7.12.2018., str. 14.)."

(*8)  Uredba (EU) 2018/1862 Europskog parlamenta i Vijeća od 28. studenoga 2018. o uspostavi, radu i upotrebi Schengenskog informacijskog sustava (SIS) u području policijske suradnje i pravosudne suradnje u kaznenim stvarima, izmjeni i stavljanju izvan snage Odluke Vijeća 2007/533/PUP i stavljanju izvan snage Uredbe (EZ) br. 1986/2006 Europskog parlamenta i Vijeća i Odluke Komisije 2010/261/EU (SL L 312, 7.12.2018., str. 56.)."

(*9)  Uredba (EU) 2019/816 Europskog parlamenta i Vijeća od 17. travnja 2019. o uspostavi centraliziranog sustava za utvrđivanje država članica koje imaju podatke o osuđujućim presudama protiv državljana trećih zemalja i osoba bez državljanstva (sustav ECRIS-TCN) za dopunu Europskog informacijskog sustava kaznene evidencije te o izmjeni Uredbe (EU) 2018/1726 (SL L 135, 22.5.2019., str. 1.).”;"

(c)

točka (hh) zamjenjuje se sljedećim:

„(hh)

daje službene primjedbe na izvješća o revizijama Europskog nadzornika za zaštitu podataka na temelju članka 56. stavka 2. Uredbe (EU) 2018/1861, članka 42. stavka 2. Uredbe (EZ) br. 767/2008, članka 31. stavka 2. Uredbe (EU) br. 603/2013, članka 56. stavka 2. Uredbe (EU) 2017/2226, članka 67. Uredbe (EU) 2018/1240, članka 29. stavka 2. Uredbe (EU) 2019/816, članka 52. uredaba (EU) 2019/817 i (EU) 2019/818 te osigurava odgovarajuće postupanje nakon tih revizija;”;

(d)

točka (mm) zamjenjuje se sljedećim:

„(mm)

osigurava godišnju objavu popisa nadležnih tijela ovlaštenih za izravno pretraživanje podataka iz SIS-a na temelju članka 41. stavka 8. Uredbe (EU) 2018/1861 i članka 56. stavka 7. Uredbe (EU) 2018/1862, zajedno s popisom ureda nacionalnih sustava SIS-a (N.SIS) i ureda SIRENE na temelju članka 7. stavka 3. Uredbe (EU) 2018/1861 i članka 7. stavka 3. Uredbe (EU) 2018/1862, kao i popisom nadležnih tijela na temelju članka 65. stavka 2. Uredbe (EU) 2017/2226, popisom središnjih tijela na temelju članka 87. stavka 2. Uredbe (EU) 2018/1240, popisom nadležnih tijela na temelju članka 34. stavka 2. Uredbe (EU) 2019/816 te popisom nadležnih tijela na temelju članka 71. stavka 1. Uredbe (EU) 2019/817 i članka 67. stavka 1. Uredbe (EU) 2019/818;”;

3.

u članku 22. stavak 4. zamjenjuje se sljedećim:

„4.   Europol i Eurojust mogu biti nazočni na sastancima upravnog odbora kao promatrači kada je na dnevnom redu pitanje koje se odnosi na SIS II u pogledu primjene Odluke Vijeća 2007/533/PUP.

Agencija za europsku graničnu i obalnu stražu može biti nazočna na sastancima upravnog odbora kao promatrač kada je na dnevnom redu pitanje koje se odnosi na SIS u pogledu primjene Uredbe (EU) 2016/1624.

Europol može biti nazočan na sastancima upravnog odbora kao promatrač kada je na dnevnom redu pitanje koje se odnosi na VIS u pogledu primjene Odluke Vijeća 2008/633/PUP ili pitanje koje se odnosi na Eurodac u pogledu primjene Uredbe (EU) br. 603/2013.

Europol može biti nazočan na sastancima upravnog odbora kao promatrač kada je na dnevnom redu pitanje koje se odnosi na EES u pogledu primjene Uredbe (EU) 2017/2226 ili pitanje koje se odnosi na ETIAS u pogledu Uredbe (EU) 2018/1240.

Agencija za europsku graničnu i obalnu stražu može biti nazočna na sastancima upravnog odbora kao promatrač kada je na dnevnom redu pitanje koje se odnosi na ETIAS u pogledu primjene Uredbe (EU) 2018/1240.

Eurojust, Europol i Ured europskog javnog tužitelja mogu biti nazočni na sastancima upravnog odbora kao promatrači kada je na dnevnom redu pitanje koje se odnosi na Uredbu (EU) 2019/816.

Europol, Eurojust i Agencija za europsku graničnu i obalnu stražu mogu biti nazočni na sastancima upravnog odbora kao promatrači kada je na dnevnom redu pitanje koje se odnosi na uredbe (EU) 2019/817 i (EU) 2019/818.

Upravni odbor na svoje sastanke može pozvati kao promatrača bilo koju osobu čije bi mišljenje moglo biti od interesa.”;

4.

u članku 24. stavku 3. točka (p) zamjenjuje se sljedećim:

„(p)

ne dovodeći u pitanje članak 17. Pravilnika o osoblju za dužnosnike, utvrđivanje uvjeta povjerljivosti radi usklađivanja sa člankom 17. Uredbe (EZ) br. 1987/2006, člankom 17. Odluke 2007/533/PUP, člankom 26. stavkom 9. Uredbe (EZ) br. 767/2008, člankom 4. stavkom 4. Uredbe (EU) br. 603/2013, člankom 37. stavkom 4. Uredbe (EU) 2017/2226, člankom 74. stavkom 2. Uredbe (EU) 2018/1240, člankom 11. stavkom 16. Uredbe (EU) 2019/816 i člankom 55. stavkom 2. uredaba (EU) 2019/817 i (EU) 2019/818;”;

5.

članak 27. mijenja se kako slijedi:

(a)

u stavku 1. umeće se sljedeća točka:

„(da)

savjetodavna skupina za interoperabilnost;”;

(b)

stavak 3. zamjenjuje se sljedećim:

„3.   Europol, Eurojust i Agencija za europsku graničnu i obalnu stražu mogu imenovati svaki svojeg predstavnika u savjetodavnoj skupini za SIS II.

Europol može imenovati i predstavnika u savjetodavnim skupinama za VIS, Eurodac i EES-ETIAS.

Europska granična i obalna straža također može imenovati svojeg predstavnika u savjetodavnoj skupini za EES-ETIAS.

Eurojust, Europol i Ured europskog javnog tužitelja također mogu imenovati svaki svojeg predstavnika u savjetodavnoj skupini ECRIS-TCN.

Europol, Eurojust i Agencija za europsku graničnu i obalnu stražu mogu imenovati svaki svojeg predstavnika u savjetodavnoj skupini za interoperabilnost.”.

Članak 63.

Izmjene Uredbe (EU) 2018/1861

Uredba (EU) 2018/1861 mijenja se kako slijedi:

1.

u članku 3. dodaju se sljedeće točke:

„22.

‚ESP’ znači europski portal za pretraživanje uspostavljen člankom 6. stavkom 1. Uredbe (EU) 2019/817 Europskog parlamenta i Vijeća (*10);

23.

„zajednički BMS” znači zajednička usluga uspoređivanja biometrijskih podataka uspostavljena člankom 12. stavkom 1. Uredbe (EU) 2019/817;

24.

„CIR” znači zajednički repozitorij podataka o identitetu uspostavljen člankom 17. stavkom 1. Uredbe (EU) 2019/817;

25.

„MID” znači detektor višestrukih identiteta uspostavljen člankom 25. stavkom 1. Uredbe (EU) 2019/817.

(*10)  Uredba (EU) 2019/817 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području granica i viza i izmjeni uredaba (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726, i (EU) 2018/1861 Europskog parlamenta i Vijeća te odluka Vijeća 2004/512/EZ i 2008/633/PUP (SL L 135, 22.5.2019., str. 27.).”;"

2.

članak 4. mijenja se kako slijedi:

(a)

u stavku 1. točke (b) i (c) zamjenjuju se sljedećim:

„(b)

nacionalnog sustava (N.SIS) u svakoj državi članici, koji se sastoji od nacionalnih podatkovnih sustava povezanih sa središnjim SIS-om, uključujući najmanje jedan nacionalni ili zajednički rezervni N.SIS;

(c)

komunikacijske infrastrukture između CS-SIS-a, rezervnog CS-SIS-a i NI-SIS-a („komunikacijska infrastruktura”), kojom se osigurava šifrirana virtualna mreža namijenjena podacima u SIS-u i razmjeni podataka među uredima SIRENE, kako je navedeno u članku 7. stavku 2.; i

(d)

sigurne komunikacijske infrastrukture između CS-SIS-a i središnjih infrastruktura ESP-a, zajedničkog BMS-a i MID-a.”;

(b)

dodaju se sljedeći stavci:

„8.   Ne dovodeći u pitanje stavke od 1. do 5., podaci iz sustava SIS mogu se pretraživati i putem ESP-a.

9.   Ne dovodeći u pitanje članke od 1. do 5., podaci iz sustava SIS mogu se prenositi i putem sigurne komunikacijske infrastrukture iz stavka 1. točke (d). Prijenos tih podataka ograničen je na mjeru u kojoj su podaci potrebni u svrhe Uredbe (EU) 2019/817.”;

3.

u članak 7. umeće se sljedeći stavak:

„2.a   Uredi SIRENE također osiguravaju ručnu provjeru različitih identiteta u skladu s člankom 29. Uredbe (EU) 2019/817. U mjeri u kojoj je to potrebno za izvršavanje te zadaće uredi SIRENE imaju pristup podacima pohranjenima u CIR-u i MID-u u svrhe utvrđene u člancima 21. i 26. Uredbe (EU) 2019/817.”;

4.

u članku 12. stavak 1. zamjenjuje se sljedećim:

„1.   Države članice osiguravaju da se svaki pristup osobnih podacima unutar CS-SIS-a i svaka razmjena tih podataka evidentiraju u njihovu sustavu N.SIS radi provjere zakonitosti pretraživanja, praćenja zakonitosti obrade podataka, samopraćenja, osiguravanja ispravnog funkcioniranja sustava N.SIS te radi cjelovitosti i sigurnosti podataka. Taj se zahtjev ne primjenjuje na automatske procese iz članka 4. stavka 6. točaka (a), (b) i (c).

Države članice osiguravaju da se svaki pristup osobnim podacima putem ESP-a također evidentira radi provjere zakonitosti pretraživanja, praćenja zakonitosti obrade podataka, samopraćenja te cjelovitosti i sigurnosti podataka.”;

5.

u članku 34. stavku 1. dodaje se sljedeća točka:

„(g)

provjere različitih identiteta i suzbijanja prijevara povezanih s identitetom u skladu s poglavljem V. Uredbe (EU) 2019/817.”;

6.

U članku 60. stavak 6. zamjenjuje se sljedećim:

„6.   Za potrebe članka 15. stavka 4. i stavaka 3., 4. i 5. ovog članka agencija eu-LISA pohranjuje podatke iz članka 15. stavka 4. i stavka 3. ovog članka koji ne omogućuju identifikaciju osoba u središnjem repozitoriju za izvješćivanje i statistiku iz članka 39. Uredbe (EU) 2019/817.

Agencija eu-LISA omogućuje da Komisija i tijela iz stavka 5. ovog članka dobiju izvješća i statističke podatke po mjeri. Agencija eu-LISA državama članicama, Komisiji, Europolu i Agenciji za europsku graničnu i obalnu stražu na zahtjev odobrava pristup središnjem repozitoriju za izvješćivanje i statistiku u skladu s člankom 39. Uredbe (EU) 2019/817.”.

Članak 64.

Izmjene Odluke 2004/512/EZ

U članku 1. Odluke Vijeća stavak 2. zamjenjuje se sljedećim:

„2.   Vizni informacijski sustav temelji se na centraliziranom ustroju i sastoji se od:

(a)

zajedničkog repozitorija podataka o identitetu kako je navedeno u članku 17. stavku 2. točki (a) Uredbe (EU) 2019/817 Europskog parlamenta i Vijeća (*11);

(b)

središnjeg informacijskog sustava, dalje u tekstu „središnji vizni informacijski sustav” (CS-VIS);

(c)

sučelja u svakoj državi članici, dalje u tekstu „nacionalno sučelje” (NI-VIS), radi osiguravanja veze s mjerodavnim središnjim nacionalnim tijelom odnosne države članice;

(d)

komunikacijske infrastrukture između središnjeg viznog informacijskog sustava i nacionalnih sučelja;

(e)

sigurnog komunikacijskog kanala između središnjeg sustava EES-a i CS-VIS-a;

(f)

sigurne komunikacijske infrastrukture između središnjeg sustava EES-a i središnjih infrastruktura europskog portala za pretraživanje uspostavljenog člankom 6. stavkom 1. Uredbe (EU) 2019/817 i zajedničkog repozitorija podataka o identitetu uspostavljenog člankom 17. stavkom 1. Uredbe (EU) 2019/817.

Članak 65.

Izmjene Odluke 2008/633/PUP

Odluka 2008/633/PUP mijenja se kako slijedi:

1.

u članku 5. umeće se sljedeći stavak:

„1.a   U slučajevima kada su imenovana tijela pokrenula upit u zajedničkom repozitoriju podataka o identitetu (CIR) u skladu s člankom 22. Uredbe (EU) 2019/817 Europskog parlamenta i Vijeća (*12) i ako su ispunjeni uvjeti za pristup utvrđeni u ovom članku, ona mogu pristupiti VIS-u radi ostvarivanja uvida ako odgovor koji su primila kako je navedeno u članku 22. stavku 2. te uredbe pokaže da su podaci pohranjeni u VIS-u.

(*12)  Uredba (EU) 2019/817 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području granica i viza i izmjeni uredaba (EZ) br. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726, i (EU) 2018/1861 Europskog parlamenta i Vijeća te odluka Vijeća 2004/512/EZ i 2008/633/PUP (SL L 135, 22.5.2019., str. 27.).”;"

2.

u članku 7. umeće se sljedeći stavak:

„1.a   U slučajevima kada je Europol postavio upit u CIR-u u skladu s člankom 22. Uredbe (EU) 2019/817 i ako su ispunjeni uvjeti za pristup utvrđeni u ovom članku, Europol može pristupiti VIS-u radi ostvarivanja uvida ako odgovor koji je zaprimio kako je navedeno u članku 22. stavku 2. te uredbe pokaže da su podaci pohranjeni u VIS-u.”.

POGLAVLJE X.

Završne odredbe

Članak 66.

Izvješćivanje i statistički podaci

1.   Propisno ovlašteno osoblje nadležnih tijela država članica, Komisije i agencije eu-LISA ima pristup, u svrhu ostvarivanja uvida, sljedećim podacima povezanima s ESP-om, isključivo za potrebe izvješćivanja i u statističke svrhe:

(a)

broju upita po korisniku profila u ESP-u;

(b)

broju upita u svakoj od Interpolovih baza podataka.

Identifikacija osoba ne smije biti moguća na temelju tih podataka.

2.   Propisno ovlašteno osoblje nadležnih tijela država članica, Komisije i agencije eu-LISA ima pristup, u svrhu ostvarivanja uvida, sljedećim podacima povezanima s CIR-om, isključivo za potrebe izvješćivanja i u statističke svrhe:

(a)

broju upita za potrebe članaka 20., 21. i 22.;

(b)

podacima o državljanstvu, spolu i godini rođenja osobe;

(c)

podacima o vrsti putne isprave i troslovnoj oznaci zemlje koja je izdala putnu ispravu;

(d)

broju pretraživanja obavljenih s biometrijskim podacima ili bez njih.

Identifikacija osoba ne smije biti moguća na temelju tih podataka.

3.   Propisno ovlašteno osoblje nadležnih tijela država članica, Komisije i agencije eu-LISA ima pristup, u svrhu ostvarivanja uvida, sljedećim podacima povezanima s MID-om, isključivo za potrebe izvješćivanja i u statističke svrhe:

(a)

broju pretraživanja obavljenih s biometrijskim podacima i bez njih;

(b)

broju svake vrste poveznice i informacijskim sustavima EU-a koji sadržavaju povezane podatke;

(c)

razdoblju u kojem su žuta i crvena poveznica ostale u sustavu.

Identifikacija osoba ne smije biti moguća na temelju tih podataka.

4.   Propisno ovlašteno osoblje Agencije za europsku graničnu i obalnu stražu ima pristup, u svrhu ostvarivanja uvida, podacima iz stavaka 1., 2. i 3. ovog članka za potrebe provedbe analiza rizika i procjena osjetljivosti kako je navedeno u člancima 11. i 13. Uredbe (EU) 2016/1624 Europskog parlamenta i Vijeća (40).

5.   Propisno ovlašteno osoblje Europola ima pristup, u svrhu ostvarivanja uvida, podacima iz stavaka 2. i 3. ovog članka za potrebe provedbe strateških, tematskih i operativnih analiza kako je navedeno u članku 18. stavku 2. točkama (b) i (c) Uredbe (EU) 2016/794.

6.   Za potrebe stavaka 1., 2. i 3. agencija eu-LISA pohranjuje podatke iz tih stavaka u CRRS-u. Identifikacija osoba ne smije biti moguća na temelju podataka iz CRRS-a, ali podaci tijelima iz stavaka 1., 2. i 3. omogućuju da dobiju izvješća i statističke podatke koji se mogu prilagoditi kako bi se poboljšala učinkovitost granične kontrole, pomoglo tim tijelima pri obradi zahtjevâ za vize i poduprlo donošenje politika o migraciji i sigurnosti u Uniji koje je potkrijepljeno dokazima.

7.   Komisija Agenciji Europske unije za temeljna prava na njezin zahtjev stavlja na raspolaganje relevantne informacije kako bi se provela evaluacija učinka ove Uredbe na temeljna prava.

Članak 67.

Prijelazno razdoblje za uporabu europskog portala za pretraživanje

1.   U razdoblju od dvije godine od početka rada ESP-a obveze iz članka 7. stavaka 2. i 4. ne primjenjuju se, a uporaba ESP-a je fakultativna.

2.   Komisija je ovlaštena za donošenje delegiranog akta u skladu s člankom 73. kako bi izmijenila ovu Uredbu jednokratnim produljenjem roka iz stavka 1. ovog članka za najviše godinu dana ako se u procjeni provedbe ESP-a pokaže da je takvo produljenje potrebno, posebice s obzirom na učinak koji bi pokretanje rada ESP-a imalo na organizaciju i duljinu granične kontrole.

Članak 68.

Prijelazno razdoblje koje se primjenjuje na odredbe o pristupu zajedničkom repozitoriju podataka o identitetu za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela.

Članak 22., članak 60. točke 8. i 9., članak 61.točke 10. i 11. i članak 65. primjenjuju se od datuma početka rada CIR-a iz članka 72. stavka 3.

Članak 69.

Prijelazno razdoblje za otkrivanje višestrukih identiteta

1.   Tijekom razdoblja od godine dana nakon što je agencija eu-LISA obavijestila o dovršetku testiranja MID-a iz članka 72. stavka 4. točke (b) i prije početka rada MID-a, središnja jedinica ETIAS-a nadležna je za provedbu otkrivanja višestrukih identiteta uporabom podataka pohranjenih u EES-u, VIS-u, Eurodacu i SIS-u. Otkrivanje višestrukih identiteta obavlja se isključivo uporabom biometrijskih podataka.

2.   Ako je upitom dobivena jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa isti su ili slični, stvara se bijela poveznica u skladu s člankom 33.

Ako je upitom dobivena jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa ne mogu se smatrati sličnima, stvara se žuta poveznica u skladu s člankom 30. te se primjenjuje postupak iz članka 29.

Ako je prijavljeno nekoliko podudarnosti, stvara se poveznica sa svakim podatkom temeljem kojeg je pronađena podudarnost.

3.   Ako je stvorena žuta poveznica, MID središnjoj jedinici ETIAS-a odobrava pristup podacima o identitetu u različitim informacijskim sustavima EU-a.

4.   Ako je stvorena poveznica na upozorenje u SIS-u, osim upozorenja iz članka 3. Uredbe (EU) 2018/1860, članaka 24. i 25. Uredbe (EU) 2018/1861 ili članka 38. Uredbe (EU) 2018/1862, MID uredu SIRENE države članice koja je stvorila upozorenje odobrava pristup podacima o identitetu koji se nalaze u različitim informacijskim sustavima.

5.   Središnja jedinica ETIAS-a ili, u slučajevima iz stavka 4. ovog članka, ured SIRENE države članice koja je stvorila upozorenje imaju pristup povezanim podacima sadržanima u spisu za potvrdu identiteta te ocjenjuju različite identitete i ažuriraju poveznicu u skladu s člancima 31. 32. i 33. i dodaju je spisu za potvrdu identiteta.

6.   Središnja jedinica ETIAS-a obavješćuje Komisiju u skladu s člankom 71. stavkom 3. tek nakon što su sve žute poveznice ručno provjerene i njihov status ažuriran u zelenu, bijelu ili crvenu poveznicu.

7.   Države članice prema potrebi pomažu središnjoj jedinici ETIAS-a u otkrivanju višestrukih identiteta u skladu s ovim člankom.

8.   Komisija je ovlaštena za donošenje delegiranog akta u skladu s člankom 73. kako bi izmijenila ovu Uredbu produljenjem roka iz stavka 1. ovog članka za šest mjeseci, što se može produljiti još dva puta, svaki put za po šest mjeseci. Takvo produljenje odobrava se samo na temelju procjene vremena predviđenog za otkrivanje višestrukih identiteta u skladu s ovim člankom, što dokazuje da se otkrivanje višestrukih identiteta ne može provesti prije isteka bilo preostalog razdoblja iz stavka 1. ovog članka, bilo produljenja koje je u tijeku, zbog razloga koji ne ovise o središnjoj jedinici ETIAS-a i da se ne mogu primijeniti korektivne mjere. Procjena se provodi najkasnije tri mjeseca prije isteka takvog razdoblja ili produljenja koje je u tijeku.

Članak 70.

Troškovi

1.   Troškove povezane s uspostavom i radom ESP-a, zajedničkog BMS-a, CIR-a i MID-a snosi opći proračun Unije.

2.   Troškove nastale u vezi s integracijom postojećih nacionalnih infrastruktura i njihovim povezivanjem s nacionalnim jedinstvenim sučeljima te u vezi s udomljavanjem nacionalnih jedinstvenih sučelja na poslužitelju snosi opći proračun Unije.

Isključeni su sljedeći troškovi:

(a)

ured država članica za upravljanje projektom (sastanci, misije, uredi);

(b)

udomljavanje nacionalnih IT sustava (prostor, provedba, električna energija, sustav hlađenja);

(c)

rad nacionalnih IT sustava (operateri i ugovori o podršci);

(d)

projektiranje, razvoj, provedba, rad i održavanje nacionalnih komunikacijskih mreža.

3.   Ne dovodeći u pitanje daljnje financiranje u tu svrhu iz drugih izvora općeg proračuna Europske unije, iz omotnice u iznosu od 791 000 000 EUR mobilizira se iznos od 32 077 000 EUR predviđen u skladu s člankom 5. stavkom 5. točkom (b) Uredbe (EU) br. 515/2014 Europskog parlamenta i Vijeća kako bi se pokrili troškovi provedbe ove Uredbe, kako je predviđeno u stavcima 1. i 2. ovog članka.

4.   Iz omotnice iz stavka 3. agenciji eu-LISA dodjeljuje se 22 861 000 EUR, Europolu 9 072 000 EUR, a Agenciji Europske unije za osposobljavanje u području izvršavanja zakonodavstva (CEPOL) 144 000 EUR kako bi se tim agencijama pružila potpora pri obavljanju njihovih zadaća u skladu s ovom Uredbom. To se financiranje provodi pod neizravnim upravljanjem.

5.   Troškove imenovanih tijela pojedinačno snosi svaka država članica imenovanja. Troškove povezivanja svakog imenovanog tijela s CIR-om snose pojedinačne države članice.

Troškove Europola, između ostalog troškove povezivanja s CIR-om, snosi Europol.

Članak 71.

Obavješćivanje

1.   Države članice obavješćuju agenciju eu-LISA o tijelima iz članaka 7., 20., 21. i 26. koja mogu upotrebljavati ESP, CIR i MID ili imati pristup ESP-u, CIR-u i MID-u.

Konsolidirani popis tih tijela objavljuje se u Službenom listu Europske unije u roku od tri mjeseca od datuma početka rada svake od komponenti interoperabilnosti u skladu s člankom 72. U slučaju izmjena popisa agencija eu-LISA jednom godišnje objavljuje ažurirani konsolidirani popis.

2.   Agencija eu-LISA obavješćuje Komisiju o uspješnom dovršetku testiranja iz članka 72. stavka 1. točke (b), stavka 2. točke (b), stavka 3. točke (b), stavka 4. točke (b), stavka 5. točke (b) i stavka 6. točke (b).

3.   Središnja jedinica ETIAS-a obavješćuje Komisiju o uspješnom okončanju prijelaznog razdoblja utvrđenog u članku 69.

4.   Komisija informacije dostavljene na temelju stavka 1. stavlja na raspolaganje državama članicama i javnosti na javnom web-mjestu koje se stalno ažurira.

Članak 72.

Početak rada

1.   Komisija provedbenim aktom utvrđuje datum od kojeg ESP treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

(a)

donesene su mjere iz članka 8. stavka 2., članka 9. stavka 7. i članka 43. stavka 5.;

(b)

agencija eu-LISA izvijestila je o uspješnom dovršetku opsežnog testiranja ESP-a koje je provela u suradnji s tijelima država članica i agencijama Unije koje mogu upotrebljavati ESP;

(c)

agencija eu-LISA potvrdila je tehničke i pravne mehanizme za prikupljanje i prijenos podataka iz članka 8. stavka 1. i o njima je obavijestila Komisiju.

ESP postavlja upite u Interpolovim bazama podataka tek kada tehnički dogovori omoguće usklađenost s člankom 9. stavkom 5. Svaka nemogućnost ostvarivanja usklađenosti s člankom 9. stavkom 5. ima za posljedicu da ESP ne postavlja upite u Interpolovim bazama podataka, ali to ne odgađa početak rada ESP-a.

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

2.   Komisija provedbenim aktom utvrđuje datum od kojeg zajednički BMS treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

(a)

donesene su mjere iz članka 13. stavka 5. i članka 43. stavka 5.;

(b)

agencija eu-LISA izvijestila je o uspješnom dovršetku opsežnog testiranja zajedničkog BMS-a koje je provela u suradnji s tijelima država članica;

(c)

agencija eu-LISA potvrdila je tehničke i pravne mehanizme za prikupljanje i prijenos podataka iz članka 13. i o njima je obavijestila Komisiju;

(d)

agencija eu-LISA izvijestila je o uspješnom dovršetku testiranja iz stavka 5. točke (b).

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

3.   Komisija provedbenim aktom utvrđuje datum od kojeg CIR treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

(a)

donesene su mjere iz članka 43. stavka 5. i članka 78. stavka 10.;

(b)

agencija eu-LISA izvijestila je o uspješnom dovršetku opsežnog testiranja CIR-a koje je provela u suradnji s tijelima država članica;

(c)

agencija eu-LISA potvrdila je tehničke i pravne mehanizme za prikupljanje i prijenos podataka iz članka 18. i o njima je obavijestila Komisiju;

(d)

agencija eu-LISA izvijestila je o uspješnom dovršetku testiranja iz stavka 5. točke (b).

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

4.   Komisija provedbenim aktom utvrđuje datum od kojeg MID treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

(a)

donesene su mjere iz članka 28. stavaka 5. i 7., članka 32. stavka 5., članka 33. stavka 6., članka 43. stavka 5. i članka 49. stavka 6.;

(b)

agencija eu-LISA izvijestila je o uspješnom dovršetku opsežnog testiranja MID-a koje je provela u suradnji s tijelima država članica i središnjom jedinicom ETIAS-;

(c)

agencija eu-LISA potvrdila je tehničke i pravne mehanizme za prikupljanje i prijenos podataka iz članka 34. i o njima je obavijestila Komisiju;

(d)

središnja jedinica ETIAS-a obavijestila je Komisiju u skladu s člankom 71. stavkom 3.;

(e)

agencija eu-LISA izvijestila je o uspješnom dovršetku testiranja iz stavka 1. točke (b), stavka 2. točke (b), stavka 3. točke (b) i stavka 5. točke (b).

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

5.   Komisija provedbenim aktima utvrđuje datum od kojeg se trebaju upotrebljavati automatizirani mehanizmi i postupci za kontrolu kvalitete podataka, zajednički pokazatelji kvalitete podataka i minimalni standardi kvalitete, nakon što su ispunjeni sljedeći uvjeti:

(a)

donesene su mjere iz članka 37. stavka 4.;

(b)

agencija eu-LISA izvijestila je o uspješnom dovršetku opsežnog testiranja automatiziranih mehanizama i postupaka za kontrolu kvalitete podataka, zajedničkih pokazatelja kvalitete podataka i minimalnih standarda kvalitete podataka, koje je provela u suradnji s tijelima država članica.

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

6.   Komisija provedbenim aktom utvrđuje datum od kojeg CRRS treba početi s radom, nakon što su ispunjeni sljedeći uvjeti:

(a)

donesene su mjere iz članka 39. stavka 5. i članka 43. stavka 5.;

(b)

agencija eu-LISA izvijestila je o uspješnom dovršetku opsežnog testiranja CRRS-a koje je provela u suradnji s tijelima država članica;

(c)

agencija eu-LISA potvrdila je tehničke i pravne mehanizme za prikupljanje i prijenos podataka iz članka 39. i o njima je obavijestila Komisiju.

Komisija datum iz prvog podstavka određuje tako da bude unutar 30 dana od donošenja provedbenog akta.

7.   Komisija obavješćuje Europski parlament i Vijeće o rezultatima testiranja provedenih na temelju stavka 1. točke (b), stavka 2. točke (b), stavka 3. točke (b), stavka 4. točke (b), stavka 5. točke (b) i stavka 6. točke (b).

8.   Države članice, središnja jedinica ETIAS-a i Europol počinju upotrebljavati svaku od komponenti interoperabilnosti od datuma koji je odredila Komisija u skladu sa stavkom 1., stavkom 2., stavkom 3., odnosno stavkom 4.

Članak 73.

Izvršavanje delegiranja ovlasti

1.   Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku.

2.   Ovlast za donošenje delegiranih akata iz članka 28. stavka 5., članka 39. stavka 5., članka 49. stavka 6., članka 67. stavka 2. i članka 69. stavka 8. dodjeljuje se Komisiji na razdoblje od pet godina počevši od 11. lipnja 2019. Komisija izrađuje izvješće o delegiranju ovlasti najkasnije devet mjeseci prije kraja razdoblja od pet godina. Delegiranje ovlasti prešutno se produljuje za razdoblja jednakog trajanja, osim ako se Europski parlament ili Vijeće tom produljenju usprotive najkasnije tri mjeseca prije kraja svakog razdoblja.

3.   Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 28. stavka 5., članka 39. stavka 5., članka 49. stavka 6., članka 67. stavka 2. i članka 69. stavka 8. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Opoziv počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi.

4.   Prije donošenja delegiranog akta Komisija se savjetuje sa stručnjacima koje je imenovala svaka država članica u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016.

5.   Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću.

6.   Delegirani akt donesen na temelju članka 28. stavka 5., članka 39. stavka 5., članka 49. stavka 6., članka 67. stavka 2. i članka 69. stavka 8. stupa na snagu samo ako ni Europski parlament ni Vijeće u roku od dva mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće podnijeti prigovore. Taj se rok produljuje za dva mjeseca na inicijativu Europskog parlamenta ili Vijeća.

Članak 74.

Postupak odbora

1.   Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.   Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Ako odbor ne da nikakvo mišljenje, Komisija ne donosi nacrt provedbenog akta i primjenjuje se članak 5. stavak 4. treći podstavak Uredbe (EU) br. 182/2011.

Članak 75.

Savjetodavna skupina

Agencija eu-LISA osniva savjetodavnu skupinu za interoperabilnost. Tijekom faze projektiranja i razvoja komponenata interoperabilnosti primjenjuje se članak 54. stavci 4., 5. i 6.

Članak 76.

Osposobljavanje

Agencija eu-LISA obavlja zadaće povezane s pružanjem osposobljavanja za tehničku uporabu komponenti interoperabilnosti u skladu s Uredbom (EU) 2018/1726.

Tijela država članica i agencije Unije za svoje osoblje koje je ovlašteno za obradu podataka uporabom komponenti interoperabilnosti organiziraju odgovarajuće programe osposobljavanja o sigurnosti podataka, kvaliteti podataka, pravilima o zaštiti podataka, postupcima primjenjivima na obradu podataka i obvezama obavješćivanja iz članka 32. stavka 4., članka 33. stavka 4. i članka 47.

Prema potrebi, zajednički tečajevi osposobljavanja o navedenim temama organiziraju se na razini Unije kako bi se poboljšala suradnja i razmjena najboljih praksi između osoblja u tijelima državama članica i agencijama Unije koje je ovlašteno za obradu podataka uporabom komponenti interoperabilnosti. Posebna pozornost posvećuje se postupku otkrivanja višestrukih identiteta, među ostalim ručnoj provjeri različitih identiteta i s time povezanoj potrebi da se zadrže prikladne mjere zaštite u pogledu temeljnih prava.

Članak 77.

Praktični priručnik

Komisija u bliskoj suradnji s državama članicama, agencijom eu-LISA i drugim relevantnim agencijama Unije na raspolaganje stavlja praktični priručnik za provedbu komponenata interoperabilnosti i upravljanja njima. U praktičnom priručniku navode se tehničke i operativne smjernice, preporuke i najbolja praksa. Komisija donosi praktični priručnik u obliku preporuke.

Članak 78.

Praćenje i evaluacija

1.   Agencija eu-LISA osigurava uspostavu postupaka za praćenje razvoja komponenata interoperabilnosti i njihovu vezu s nacionalnim jedinstvenim sučeljem s obzirom na ciljeve koji se odnose na planiranje i troškove te za praćenje funkcioniranja komponenata interoperabilnosti s obzirom na ciljeve koji se odnose na tehničke rezultate, troškovnu učinkovitost, sigurnost i kvalitetu usluge.

2.   Do 12. prosinca 2019. te svakih šest mjeseci nakon tog datuma tijekom faze razvoja komponenata, agencija eu-LISA Europskom parlamentu i Vijeću podnosi izvješće o trenutačnom stanju u pogledu razvoja svake komponente interoperabilnosti kao i njihove veze s nacionalnim jedinstvenim sučeljem. Nakon završetka faze razvoja, Europskom parlamentu i Vijeću podnosi se izvješće u kojem se podrobno objašnjava na koji su način ispunjeni ciljevi, a posebno oni koji se odnose na planiranje i troškove, te se obrazlažu eventualna odstupanja.

3.   Četiri godine nakon početka rada svake komponente interoperabilnosti u skladu s člankom 72. i svake četiri godine nakon toga agencija eu-LISA podnosi Europskom parlamentu, Vijeću i Komisiji izvješće o tehničkom funkcioniranju komponenata interoperabilnosti i o njihovoj sigurnosti.

4.   Nadalje, jednu godinu nakon svakog izvješća agencije eu-LISA Komisija izrađuje sveobuhvatnu evaluaciju komponenata interoperabilnosti, koja uključuje sljedeće:

(a)

procjenu primjene ove Uredbe;

(b)

analizu postignutih rezultata u odnosu na ciljeve ove Uredbe i njezin učinak na temeljna prava, posebno uključujući procjenu učinka komponenti interoperabilnosti na pravo na nediskriminaciju;

(c)

procjenu funkcioniranja internetskog portala, uključujući podatke o uporabi internetskog portala i broju riješenih zahtjeva;

(d)

procjenu daljnje valjanosti temeljnih načela komponenata interoperabilnosti;

(e)

procjenu sigurnosti komponenata interoperabilnosti;

(f)

procjenu uporabe CIR-a za identifikaciju;

(g)

procjenu uporabe CIR-a za sprječavanje, otkrivanje ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela;

(h)

procjenu svih posljedica, uključujući svaki neproporcionalan utjecaj na protok prometa na graničnim prijelazima i onih koje utječu na opći proračun Unije;

(i)

procjenu pretraživanja Interpolovih baza podataka putem ESP-a, uključujući informacije o broju pronađenih podudarnosti u Interpolovim bazama podataka i informacije o svim uočenim problemima;

Sveobuhvatna evaluacija iz prvog podstavka ovog stavka uključuje sve potrebne preporuke. Komisija podnosi izvješće o evaluaciji Europskom parlamentu, Vijeću, Europskom nadzorniku za zaštitu podataka i Agenciji Europske unije za temeljna prava.

5.   Komisija do 12. lipnja 2020. i svake godine nakon tog datuma sve dok se ne donesu provedbeni akti Komisije iz članka 72. podnosi izvješće Europskom parlamentu i Vijeću o trenutačnom stanju priprema za potpunu provedbu ove Uredbe. To izvješće sadržava i detaljne informacije o nastalim troškovima i informacije o svim rizicima koji mogu utjecati na sveukupne troškove.

6.   Dvije godine nakon početka rada MID-a u skladu s člankom 72. stavkom 4., Komisija izrađuje analizu učinka MID-a na pravo na nediskriminaciju. Nakon tog prvog izvješća analiza učinka MID-a na pravo na nediskriminaciju postaje dio analize iz stavka 4. točke (b) ovog članka.

7.   Države članice i Europol dostavljaju agenciji eu-LISA i Komisiji informacije koje su potrebne za sastavljanje izvješća iz stavaka od 3. do 6. Te informacije ne ugrožavaju metode rada i ne uključuju informacije koje otkrivaju izvore, članove osoblja ili istrage imenovanih tijela.

8.   Agencija eu-LISA Komisiji dostavlja informacije potrebne za izradu sveobuhvatne evaluacije iz stavka 4.

9.   Uz poštovanje odredaba nacionalnog prava o objavi osjetljivih informacija i ne dovodeći u pitanje ograničenja koja su potrebna za zaštitu sigurnosti i javni poretka, sprječavanje kaznenih djela i jamčenje da se neće ugroziti nacionalne istrage, svaka država članica i Europol izrađuju godišnja izvješća o učinkovitosti pristupa podacima pohranjenima u CIR-u za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela, koji uključuju informacije i statističke podatke o sljedećem:

(a)

točnim svrhama ostvarivanja uvida, između ostalog o vrstama kaznenih djela terorizma ili drugih teških kaznenih djela;

(b)

opravdanim razlozima za utemeljenu sumnju da su osumnjičenik, počinitelj ili žrtva obuhvaćeni Uredbom (EU) 2017/2226, Uredbom (EZ) br. 767/2008 ili Uredbom (EU) 2018/1240;

(c)

broju zahtjeva za pristup CIR-u za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela;

(d)

broju i vrsti predmeta koji su okončani uspješnom identifikacijom;

(e)

potrebi za izuzeća za žurne slučajeve i njihovoj primjeni, uključujući slučajeve kada žurnost nije prihvaćena tijekom ex-post provjere koju obavlja središnja pristupna točka.

Godišnja izvješća koja pripremaju države članice i Europol šalju se Komisiji do 30. lipnja sljedeće godine.

10.   Državama članicama na raspolaganje se stavlja tehničko rješenje kako bi se olakšalo upravljanje zahtjevima za pristup korisnika iz članka 22. i olakšalo prikupljanje informacija u skladu sa stavcima 7. i 9. ovog članka u svrhu sastavljanja izvješća i statističkih podataka iz tih stavaka. Komisija donosi provedbene akte kako bi utvrdila specifikacije tehničkog rješenja. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 74. stavka 2.

Članak 79.

Stupanje na snagu i primjenjivost

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Odredbe ove Uredbe koje se odnose na ESP primjenjuju se od datuma koji odredi Komisija u skladu s člankom 72. stavkom 1.

Odredbe ove Uredbe koje se odnose na zajednički BMS primjenjuju se od datuma koji odredi Komisija u skladu s člankom 72. stavkom 2.

Odredbe ove Uredbe koje se odnose na CIR primjenjuju se od datuma koji odredi Komisija u skladu s člankom 72. stavkom 3.

Odredbe ove Uredbe koje se odnose na MID primjenjuju se od datuma koji odredi Komisija u skladu s člankom 72. stavkom 4.

Odredbe ove Uredbe koje se odnose na automatizirane mehanizme i postupke za kontrolu kvalitete podataka, zajedničke pokazatelje kvalitete podataka i minimalne standarde kvalitete podataka primjenjuju se od datuma koje odredi Komisija u skladu s člankom 72. stavkom 5.

Odredbe ove Uredbe koje se odnose na CRRS primjenjuju se od datuma koji odredi Komisija u skladu s člankom 72. stavkom 6.

Članci 6., 12., 17., 25., 38., 42., 54., 56., 57., 70., 71., 73., 74., 75., 77. i članak 78. stavak 1. primjenjuju se od 11. lipnja 2019.

Ova se Uredba primjenjuje u odnosu na Eurodac od datuma na koji se počinje primjenjivati preinaka Uredbe (EU) br. 603/2013.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u državama članicama u skladu s Ugovorima.

Sastavljeno u Bruxellesu 20. svibnja 2019.

Za Europski parlament

Predsjednik

A. TAJANI

Za Vijeće

Predsjednik

G. CIAMBA


(1)  SL C 283, 10.8.2018., str. 48.

(2)  Stajalište Europskog parlamenta od 16. travnja 2019. (još nije objavljeno u Službenom listu) i odluka Vijeća od 14. svibnja 2019.

(3)  SL C 101, 16.3.2018., str. 116.

(4)  Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(5)  Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).

(6)  Zajedničko stajalište Vijeća 2005/69/PUP od 24. siječnja 2005. o razmjeni određenih podataka s Interpolom (SL L 27, 29.1.2005., str. 61.).

(7)  Odluka Vijeća 2007/533/PUP od 12. lipnja 2007. o osnivanju, radu i korištenju druge generacije Schengenskog informacijskog sustava (SIS II) (SL L 205, 7.8.2007., str. 63.).

(8)  Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).

(9)  Uredba (EU) 2016/399 Europskog parlamenta i Vijeća od 9. ožujka 2016. o Zakoniku Unije o pravilima kojima se uređuje kretanje osoba preko granica (Zakonik o schengenskim granicama) (SL L 77, 23.3.2016., str. 1.).

(10)  Uredba (EU) 2018/1860 Europskog parlamenta i Vijeća od 28. studenoga 2018. o upotrebi Schengenskog informacijskog sustava za vraćanje državljana trećih zemalja s nezakonitim boravkom (SL L 312, 7.12.2018., str. 1.).

(11)  Uredba (EU) 2018/1861 Europskog parlamenta i Vijeća od 28. studenoga 2018. o uspostavi, radu i upotrebi Schengenskog informacijskog sustava (SIS) u području granične kontrole i o izmjeni Konvencije o provedbi Schengenskog sporazuma te o izmjeni i stavljanju izvan snage Uredbe (EZ) br. 1987/2006 (SL L 312, 7.12.2018., str. 14.).

(12)  Uredba (EU) 2018/1862 Europskog parlamenta i Vijeća od 28. studenoga 2018. o uspostavi, radu i upotrebi Schengenskog informacijskog sustava (SIS) u području policijske suradnje i pravosudne suradnje u kaznenim stvarima, izmjeni i stavljanju izvan snage Odluke Vijeća 2007/533/PUP i stavljanju izvan snage Uredbe (EZ) br. 1986/2006 Europskog parlamenta i Vijeća i Odluke Komisije 2010/261/EU (SL L 312, 7.12.2018., str. 56.).

(13)  Uredba (EU) 2017/2226 Europskog parlamenta i Vijeća od 30. studenoga 2017. o uspostavi sustava ulaska/izlaska (EES) za registraciju podataka o ulasku i izlasku te podataka o odbijanju ulaska za državljane trećih zemalja koji prelaze vanjske granice država članica i određivanju uvjeta za pristup EES-u za potrebe izvršavanja zakonodavstva te o izmjeni Konvencije o provedbi Schengenskog sporazuma i uredbi (EZ) br. 767/2008 i (EU) br. 1077/2011 (Uredba o EES-u) (SL L 327, 9.12.2017., str. 20.).

(14)  Uredba (EZ) br. 767/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o viznom informacijskom sustavu (VIS) i razmjeni podataka među državama članicama o vizama za kratkotrajni boravak (Uredba o VIS-u) (SL L 218, 13.8.2008., str. 60.).

(15)  Uredba (EU) 2018/1240 Europskog parlamenta i Vijeća od 12. rujna 2018. o uspostavi europskog sustava za informacije o putovanjima i odobravanje putovanja (ETIAS) i izmjeni uredaba (EU) br. 1077/2011, (EU) br. 515/2014, (EU) 2016/399, (EU) 2016/1624 i (EU) 2017/2226 (SL L 236, 19.9.2018., str. 1.).

(16)  Uredba (EU) 2016/794 Europskog parlamenta i Vijeća od 11. svibnja 2016. o Agenciji Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) te zamjeni i stavljanju izvan snage odluka Vijeća 2009/371/PUP, 2009/934/PUP, 2009/935/PUP, 2009/936/PUP i 2009/968/PUP (SL L 135, 24.5.2016., str. 53.).

(17)  Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).

(18)  SL C 233, 4.7.2018., str. 12.

(19)  Uredba (EU, Euratom) 2018/1046 Europskog parlamenta i Vijeća od 18. srpnja 2018. o financijskim pravilima koja se primjenjuju na opći proračun Unije, o izmjeni uredaba (EU) br. 1296/2013, (EU) br. 1301/2013, (EU) br. 1303/2013, (EU) br. 1304/2013, (EU) br. 1309/2013, (EU) br. 1316/2013, (EU) br. 223/2014, (EU) br. 283/2014 i Odluke br. 541/2014/EU te o stavljanju izvan snage Uredbe (EU, Euratom) br. 966/2012 (SL L 193, 30.7.2018., str. 1.).

(20)  Uredba (EU) br. 515/2014 Europskog parlamenta i Vijeća od 16. travnja 2014. o uspostavljanju, u okviru Fonda za unutarnju sigurnost, instrumenta za financijsku potporu u području vanjskih granica i viza i stavljanju izvan snage Odluke br. 574/2007/EZ (SL L 150, 20.5.2014., str. 143.).

(21)  SL L 123, 12.5.2016., str. 1.

(22)  Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(23)  Direktiva 2004/38/EZ Europskog parlamenta i Vijeća od 29. travnja 2004. o pravu građana Unije i članova njihovih obitelji slobodno se kretati i boraviti na državnom području država članica, o izmjeni Uredbe (EEZ) br. 1612/68 i stavljanju izvan snage direktiva 64/221/EEZ, 68/360/EEZ, 72/194/EEZ, 73/148/EEZ, 75/34/EEZ, 75/35/EEZ, 90/364/EEZ, 90/365/EEZ i 93/96/EEZ (SL L 158, 30.4.2004., str. 77.).

(24)  Odluka Vijeća 2000/365/EZ od 29. svibnja 2000. o zahtjevu Ujedinjene Kraljevine Velike Britanije i Sjeverne Irske za sudjelovanje u pojedinim odredbama schengenske pravne stečevine (SL L 131, 1.6.2000., str. 43.).

(25)  Odluka Vijeća 2002/192/EZ od 28. veljače 2002. o zahtjevu Irske za sudjelovanje u pojedinim odredbama schengenske pravne stečevine (SL L 64, 7.3.2002., str. 20.).

(26)  SL L 176, 10.7.1999., str. 36.

(27)  Odluka Vijeća 1999/437/EZ od 17. svibnja 1999. o određenim aranžmanima za primjenu Sporazuma sklopljenog između Vijeća Europske unije i Republike Islanda i Kraljevine Norveške o pridruživanju tih dviju država provedbi, primjeni i razvoju schengenske pravne stečevine (SL L 176, 10.7.1999., str. 31.).

(28)  SL L 53, 27.2.2008., str. 52.

(29)  Odluka Vijeća 2008/146/EZ od 28. siječnja 2008. o sklapanju, u ime Europske zajednice, Sporazuma između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (SL L 53, 27.2.2008., str. 1.).

(30)  SL L 160, 18.6.2011., str. 21.

(31)  Odluka Vijeća 2011/350/EU od 7. ožujka 2011. o sklapanju Protokola između Europske unije, Europske zajednice, Švicarske Konfederacije i Kneževine Lihtenštajna o pristupanju Kneževine Lihtenštajna Sporazumu Europske unije, Europske zajednice i Švicarske Konfederacije o pristupanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine, u vezi s ukidanjem kontrola na unutarnjim granicama i kretanju osoba, u ime Europske unije (SL L 160, 18.6.2011., str. 19.).

(32)  Odluka Vijeća 2004/512/EZ od 8. lipnja 2004. o uspostavi viznog informacijskog sustava (VIS) (SL L 213, 15.6.2004., str. 5.).

(33)  Odluka Vijeća 2008/633/PUP od 23. lipnja 2008. o pristupu određenih tijela država članica i Europola viznom informacijskom sustavu (VIS) za traženje podataka u svrhu sprečavanja, otkrivanja i istraga terorističkih kaznenih djela i ostalih teških kaznenih djela (SL L 218, 13.8.2008., str. 129.).

(34)  Uredba (EU) 2019/818 Europskog parlamenta i Vijeća od 20. svibnja 2019. o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području policijske i pravosudne suradnje, azila i migracija i izmjeni uredaba (EU) 2018/1726, (EU) 2018/1862 i (EU) 2019/816 (vidjeti stranicu 85. ovoga Službenog lista).

(35)  Direktiva (EU) 2017/541 Europskog parlamenta i Vijeća od 15. ožujka 2017. o suzbijanju terorizma i zamjeni Okvirne odluke Vijeća 2002/475/PUP i o izmjeni Odluke Vijeća 2005/671/PUP (SL L 88, 31.3.2017., str. 6.).

(36)  Okvirna odluka Vijeća 2002/584/PUP od 13. lipnja 2002. o Europskom uhidbenom nalogu i postupcima predaje između država članica (SL L 190, 18.7.2002., str. 1.).

(37)  Uredba (EU) br. 603/2013 Europskog parlamenta i Vijeća od 26. lipnja 2013. o uspostavi sustava „Eurodac” za usporedbu otisaka prstiju za učinkovitu primjenu Uredbe (EU) br. 604/2013 o utvrđivanju kriterija i mehanizama za određivanje države članice odgovorne za razmatranje zahtjeva za međunarodnu zaštitu koji je u jednoj od država članica podnio državljanin treće zemlje ili osoba bez državljanstva i o zahtjevima za usporedbu s podacima iz Eurodaca od strane tijela kaznenog progona država članica i Europola u svrhu kaznenog progona te o izmjeni Uredbe (EU) br. 1077/2011 o osnivanju Europske agencije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (SL L 180, 29.6.2013., str. 1.).

(38)  Uredba (EU) 2019/816 Europskog parlamenta i Vijeća od 17. travnja 2019. o uspostavi centraliziranog sustava za utvrđivanje država članica koje imaju podatke o osuđujućim presudama protiv državljana trećih zemalja i osoba bez državljanstva (sustav ECRIS-TCN) za dopunu Europskog informacijskog sustava kaznene evidencije te o izmjeni Uredbe (EU) 2018/1726 (vidjeti stranicu 1. ovoga Službenog lista).

(39)  Uredba Vijeća (EZ) br. 168/2007 od 15. veljače 2007. o osnivanju Agencije Europske unije za temeljna prava (SL L 53, 22.2.2007., str. 1.).

(40)  Uredba (EU) 2016/1624 Europskog parlamenta i Vijeća od 14. rujna 2016. o europskoj graničnoj i obalnoj straži i o izmjeni Uredbe (EU) 2016/399 Europskog parlamenta i Vijeća te o stavljanju izvan snage Uredbe (EZ) br. 863/2007 Europskog parlamenta i Vijeća, Uredbe Vijeća (EZ) br. 2007/2004 i Odluke Vijeća 2005/267/EZ (SL L 251, 16.9.2016., str. 1.).


22.5.2019   

HR

Službeni list Europske unije

L 135/85


UREDBA (EU) 2019/818 EUROPSKOG PARLAMENTA I VIJEĆA

od 20. svibnja 2019.

o uspostavi okvira za interoperabilnost informacijskih sustava EU-a u području policijske i pravosudne suradnje, azila i migracija i izmjeni uredaba (EU) 2018/1726, (EU) 2018/1862 i (EU) 2019/816

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 16. stavak 2., članak 74., članak 78. stavak 2. točku (e), članak 79. stavak 2. točku (c), članak 82. stavak 1. točku (d), članak 85. stavak 1., članak 87. stavak 2. točku (a) i članak 88. stavak 2.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1),

nakon savjetovanja s Odborom regija,

u skladu s redovnim zakonodavnim postupkom (2),

budući da:

(1)

U komunikaciji od 6. travnja 2016. pod naslovom Jači i pametniji informacijski sustavi za granice i sigurnost Komisija je istaknula potrebu za poboljšanjem arhitekture upravljanja podacima Unije za upravljanje granicama i sigurnost. Tom je komunikacijom pokrenut postupak za postizanje interoperabilnosti informacijskih sustava EU-a za upravljanje sigurnošću, granicama i migracijama s ciljem uklanjanja strukturnih nedostataka povezanih s tim sustavima koji ometaju rad nacionalnih tijela i kako bi se osiguralo da su službenicima graničnog nadzora, policijskim službenicima te carinskim i pravosudnim tijelima dostupne informacije koje su im potrebne.

(2)

Vijeće je u Planu za pojačanu razmjenu informacija i upravljanje informacijama, uključujući interoperabilna rješenja, u području pravosuđa i unutarnjih poslova od 6. lipnja 2016. utvrdilo različite pravne, tehničke i operativne izazove povezane s interoperabilnošću informacijskih sustava EU-a i pozvalo na traženje rješenja.

(3)

Europski parlament u Rezoluciji od 6. srpnja 2016. o strateškim prioritetima za program rada Komisije za 2017. (3) pozvao je na podnošenje prijedlogâ za poboljšanje i razvoj postojećih informacijskih sustava EU-a, rješavanje informacijskih praznina i kretanje u smjeru interoperabilnosti, kao i prijedlogâ za obveznu razmjenu informacija na razini EU-a, uz nužne mjere za zaštitu podataka.

(4)

Europsko vijeće pozvalo je u svojim zaključcima od 15. prosinca 2016. na daljnja nastojanja ka postizanju interoperabilnosti informacijskih sustava i baza podataka EU-a.

(5)

U završnom izvješću od 11. svibnja 2017. skupina stručnjaka na visokoj razini za informacijske sustave i interoperabilnost zaključila je da je nužno i tehnički izvedivo izraditi praktična rješenja za interoperabilnost te da bi se interoperabilnošću, u načelu, mogle ostvariti kako operativne koristi tako i da bi se ona mogla uspostaviti u skladu sa zahtjevima za zaštitu podataka.

(6)

Komisija je u komunikaciji od 16. svibnja 2017. pod naslovom „Sedmo izvješće o napretku prema uspostavi učinkovite i istinske sigurnosne unije”, u skladu s komunikacijom od 6. travnja 2016. te nalazima i preporukama skupine stručnjaka na visokoj razini za informacijske sustave i interoperabilnost, utvrdila nov pristup upravljanju podacima za granice, sigurnost i migracije prema kojem su svi informacijski sustavi EU-a za sigurnost, granice i upravljanje migracijama trebali biti interoperabilni, na način kojim se u potpunosti poštuju temeljna prava.

(7)

U Zaključcima od 9. lipnja 2017. o daljnjim koracima za poboljšanje razmjene informacija i osiguravanje interoperabilnosti informacijskih sustava EU-a Vijeće je pozvalo Komisiju da provede rješenja za interoperabilnost koja je predložila skupina stručnjaka na visokoj razini.

(8)

Europsko vijeće istaknulo je u svojim zaključcima od 23. lipnja 2017. potrebu poboljšanja interoperabilnosti baza podataka i pozvalo Komisiju da što prije na temelju prijedloga skupine stručnjaka na visokoj razini za informacijske sustave i interoperabilnost izradi nacrt zakonodavnog teksta.

(9)

Radi unapređivanja djelotvornosti i učinkovitosti kontrole na vanjskim granicama, kako bi se pridonijelo sprječavanju i suzbijanju nezakonite imigracije i visokoj razini sigurnosti u području slobode, sigurnosti i pravde u Uniji, između ostalog održavanju javne sigurnosti i javnog poretka te zaštiti sigurnosti na državnim područjima država članica, radi unapređivanja provedbe zajedničke vizne politike, pružanja pomoći pri razmatranju zahtjeva za međunarodnu zaštitu, doprinošenja sprječavanju, otkrivanju i istrazi terorističkih kaznenih djela i ostalih teških kaznenih djela, olakšavanja identifikacije nepoznatih osoba koje se ne mogu same identificirati ili neidentificiranih ljudskih posmrtnih ostataka u slučaju prirodne katastrofe, nesreće ili terorističkog napada, kako bi se održalo povjerenje javnosti u Unijin sustav migracija i azila, sigurnosne mjere Unije i sposobnost Unije za upravljanje vanjskim granicama, trebalo bi uspostaviti interoperabilnost informacijskih sustava EU-a, odnosno sustava ulaska/izlaska (EES), viznog informacijskog sustava (VIS), europskog sustava za informacije o putovanjima i odobravanja putovanja (ETIAS), Eurodaca, Schengenskog informacijskog sustava (SIS) i Europskog informacijskog sustava kaznene evidencije državljana trećih zemalja (ECRIS-TCN) kako bi se ti informacijski sustavi EU-a i njihovi podaci mogli uzajamno dopunjavati, uz poštovanje temeljnih prava osoba, osobito prava na zaštitu osobnih podataka. Kako bi se to postiglo, trebalo bi kao komponente interoperabilnosti uspostaviti europski portal za pretraživanje (ESP), zajedničku uslugu uspoređivanja biometrijskih podataka (zajednički BMS), zajednički repozitorij podataka o identitetu (CIR) i detektor višestrukih identiteta (MID).

(10)

Interoperabilnost informacijskih sustava EU-a trebala bi tim sustavima omogućiti da se dopunjuju kako bi se olakšala točna identifikacija osoba, uključujući nepoznatih osoba koje se ne mogu same identificirati ili neidentificiranih posmrtnih ljudskih ostataka, kako bi se pridonijelo suzbijanju prijevara povezanih s identitetom, kako bi se poboljšali i uskladili zahtjevi u pogledu kvalitete podataka u odgovarajućim informacijskim sustavima EU-a, kako bi se olakšala tehnička i operativna provedba informacijskih sustava EU-a od strane država članica, kako bi se pojačale sigurnost podataka i mjere za zaštitu podataka koje se primjenjuju na odgovarajuće informacijske sustave EU-a, kako bi se za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela uskladio pristup EES-u, VIS-u, ETIAS-u i Eurodacu i poduprle svrhe EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

(11)

Komponente interoperabilnosti trebale bi obuhvaćati EES, VIS, ETIAS, Eurodac, SIS i ECRIS-TCN. Njima bi trebali biti obuhvaćeni i podaci Europola, ali isključivo u mjeri u kojoj bi se omogućilo postavljanje upita o podacima Europola istodobno s navedenim informacijskim sustavima EU-a.

(12)

Komponente interoperabilnosti trebale bi obrađivati osobne podatke osoba čiji se osobni podaci obrađuju u osnovnim informacijskim sustavima EU-a i čije podatke obrađuje Europol.

(13)

Trebalo bi uspostaviti ESP kako bi se tehnički olakšala mogućnost tijela država članica i agencija Unije da brzo, neometano, dosljedno, učinkovito, sustavno i kontrolirano pristupaju informacijskim sustavima EU-a, podacima Europola i bazama podataka Međunarodne organizacije kriminalističke policije (Interpol), u onoj mjeri u kojoj je to potrebno za obavljanje njihovih zadaća, u skladu sa njihovim pravima pristupa. ESP bi također trebalo uspostaviti kako bi se poduprli ciljevi EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a i podataka Europola. Omogućujući istodobno postavljanje upita svim relevantnim informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka, ESP bi trebao djelovati kao jedinstveni prozor ili „posrednik za poruke” za pretraživanje različitih središnjih sustava i neometano preuzimanje potrebnih informacija uz puno poštovanje zahtjeva za kontrolu pristupa i zaštitu podataka osnovnih sustava.

(14)

Strukturom ESP-a trebalo bi osigurati da se pri postavljanju upita u bazama podataka Interpola podaci kojima se korisnik ESP-a koristi za pokretanje upita ne dijele s vlasnicima podataka Interpola. Strukturom ESP-a trebalo bi također osigurati da se upiti u bazama podataka Interpola postavljaju isključivo u skladu s mjerodavnim pravom Unije i nacionalnim pravom.

(15)

Oni korisnici ESP-a koji imaju pravo pristupa podacima Europola u skladu s Uredbom (EU) 2016/794 Europskog parlamenta i Vijeća (4) trebali bi moći postavljati upite podacima Europola istodobno s postavljanjem upita informacijskim sustavima EU-a kojima imaju pristup. Sva daljnja obrada podataka nakon takvog upita trebala bi se provoditi u skladu s Uredbom (EU) 2016/794, uključujući ograničenja pristupa ili upotrebe koja je uveo pružatelj podataka.

(16)

ESP bi trebalo bi razviti i konfigurirati na način kojim se omogućuje samo postavljanje upita uporabom podataka koji se odnose na osobe ili putne isprave i koji postoje u pojedinom informacijskom sustavu EU-a, u podacima Europola ili u Interpolovim bazama podataka.

(17)

Kako bi se omogućila sustavna uporaba relevantnih informacijskih sustava EU-a, ESP bi trebalo upotrebljavati za postavljanje upita CIR-u, EES-u, VIS-u, ETIAS-u, Eurodacu i ECRIS-TCN-u. Međutim, trebalo bi zadržati nacionalnu vezu s različitim informacijskim sustavima EU-a kako bi se osiguralo rezervno tehničko rješenje. Agencije Unije trebale bi upotrebljavati ESP i za postavljanje upita središnjem SIS-u u skladu sa svojim pravima pristupa i radi obavljanja svojih zadaća. ESP bi trebao biti dodatno sredstvo za postavljanje upita središnjem SIS-u, podacima Europola i Interpolovim bazama podataka, čime dopunjuje postojeća posebna sučelja.

(18)

Biometrijski podaci, kao što su otisci prstiju i prikazi lica, jedinstveni su i stoga su za potrebe identifikacije osoba mnogo pouzdaniji od alfanumeričkih podataka. Zajednički BMS trebao bi biti tehnički alat za jačanje i olakšavanje rada relevantnih informacijskih sustava EU-a i ostalih komponenata interoperabilnosti. Glavna svrha zajedničkog BMS-a trebala bi biti olakšavanje identifikacije osobe koja je registrirana u više baza podataka oslanjanjem na jedinstvenu tehnološku komponentu kako bi se utvrdila podudarnost biometrijskih podataka te osobe u različitim sustavima, umjesto na nekoliko komponenti. Zajednički BMS trebao bi pridonijeti sigurnosti i donijeti financijske koristi, koristi u pogledu održavanja i operativne koristi. Svi sustavi za automatsku identifikaciju otisaka prstiju, uključujući one koji se trenutačno upotrebljavaju za Eurodac, VIS i SIS, upotrebljavaju biometrijske modele koji se sastoje od podataka dobivenih ekstrakcijom obilježja iz stvarnih biometrijskih uzoraka. Zajednički BMS trebao bi reorganizirati sve te biometrijske modele – logički odvojene s obzirom na informacijski sustav iz kojeg podaci potječu – i pohraniti ih na jednom mjestu, čime će se olakšati usporedbe među sustavima na temelju biometrijskih modela i omogućiti ekonomije razmjera u razvoju i održavanju središnjih sustava Unije.

(19)

Biometrijski modeli pohranjeni u zajedničkom BMS-u trebali bi se sastojati od podataka dobivenih ekstrakcijom obilježja iz stvarnih biometrijskih uzoraka i prikupljati postupkom ekstrakcije koji nije reverzibilan. Biometrijski modeli trebali bi se moći dobiti iz biometrijskih podataka, ali te iste biometrijske podatke ne bi trebalo biti moguće dobiti iz biometrijskih modela. S obzirom na to da se podaci o otiscima dlanova i profili DNK pohranjuju samo u SIS-u i ne mogu se koristiti za uspoređivanje s podacima koji se nalaze u drugim informacijskim sustavima sukladno načelima nužnosti i proporcionalnosti, u zajednički BMS ne bi se trebali pohranjivati profili DNK ili biometrijski modeli dobiveni iz podataka o otiscima dlanova.

(20)

Biometrijski podaci osjetljivi su osobni podaci. Ovom Uredbom trebale bi se utvrditi osnova i zaštitne mjere za obradu takvih podataka za potrebe jedinstvene identifikacije predmetnih osoba.

(21)

EES, VIS, ETIAS, Eurodac i ECRIS-TCN iziskuju točnu identifikaciju osoba čiji su osobni podaci u njima pohranjeni. CIR bi stoga trebao olakšati točnu identifikaciju osoba registriranih u tim sustavima.

(22)

Osobni podaci pohranjeni u navedenim informacijskim sustavima EU-a mogu se odnositi na iste osobe, ali pod različitim ili nepotpunim identitetima. Države članice imaju učinkovite načine identifikacije svojih državljana ili osoba koje su prijavile trajno boravište na njihovu državnom području. Interoperabilnost među informacijskim sustavima EU-a trebala bi pridonijeti točnoj identifikaciji osoba obuhvaćenih tim sustavima. U CIR-u bi trebali biti pohranjeni osobni podaci koji su potrebni za točniju identifikaciju osoba čiji su podaci pohranjeni u tim sustavima, a koji uključuju podatke o njihovu identitetu, podatke o putnoj ispravi i biometrijske podatke, neovisno o sustavu u kojem su podaci bili izvorno prikupljeni. U CIR-u bi trebali biti pohranjeni samo osobni podaci koji su nužni za točnu provjeru identiteta. Osobni podaci evidentirani u CIR-u ne bi se trebali čuvati dulje nego što je nužno za potrebe osnovnih sustava i trebali bi se automatski brisati prilikom brisanja podataka iz osnovnih sustava u skladu s njihovim logičkim odvajanjem.

(23)

Nova postupak obrade koja se sastoji od pohrane takvih podataka u CIR umjesto pohrane u svaki od zasebnih sustava potreban je kako bi se omogućilo poboljšavanje točnosti identifikacije automatiziranom usporedbom i utvrđivanjem podudarnosti podataka. To što se podaci o identitetu, podaci o putnoj ispravi i biometrijski podaci pohranjuju u CIR ne bi trebalo ni na koji način sprječavati obradu podataka za potrebe EES-a, VIS-a, ETIAS-a, Eurodaca ili ECRIS-TCN-a jer bi CIR trebao biti nova zajednička komponenta tih osnovnih sustava.

(24)

Stoga je potrebno u CIR-u stvoriti pojedinačni spis za svaku osobu koja je registrirana u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u kako bi se postigla svrha točne identifikacije osoba na schengenskom području i pružila potpora MID-u, s dvojnom svrhom olakšavanja provjera identiteta osoba koje putuju u dobroj vjeri i suzbijanja prijevara povezanih s identitetom. U pojedinačnom spisu trebalo bi na jednom mjestu pohraniti sve informacije o identitetu povezane s pojedinom osobom te bi ih pojedinačnim spisom trebalo učiniti dostupnima propisno ovlaštenim krajnjim korisnicima.

(25)

CIR bi stoga trebao olakšati i uskladiti pristup, za tijela nadležna za sprječavanje, otkrivanje ili istragu kaznenih djela terorizma ili drugih teških kaznenih djela, informacijskim sustavima koji nisu uspostavljeni isključivo za potrebe sprječavanja, otkrivanja ili istrage teških kaznenih djela.

(26)

Unutar CIR-a trebalo bi osigurati zajednički spremnik za podatke o identitetu, podatke o putnoj ispravi i biometrijske podatke osoba koje su registrirane u EES-u, VIS-u, ETIAS-u, Eurodacu i ECRIS-TCN-u. Zajednički spremnik trebao bi biti dio tehničke arhitekture tih sustava i služiti kao njihova zajednička komponenta za pohranu podataka o identitetu, podataka o putnoj ispravi i biometrijskih podataka koje oni obrađuju te za postavljanje upita u vezi s tim podacima.

(27)

Sve evidencije u CIR-u trebale bi biti logički odvojene automatskim označivanjem svake evidencije imenom osnovnog sustava kojem ona pripada. Sustav za kontrolu pristupa u okviru CIR-a trebao bi se koristiti tim oznakama kako bi odredio hoće li se omogućiti pristup evidenciji.

(28)

Ako policijsko tijelo države članice ne može identificirati pojedinu osobu zbog nepostojanja putne isprave ili drugog vjerodostojnog dokumenta kojim se dokazuje identitet te osobe ili ako postoje sumnje u vjerodostojnost podataka o identitetu koje je ta osoba pružila ili sumnje u vjerodostojnost putne isprave ili identitet njezina nositelja ili ako ta osoba nije u mogućnosti ili odbija surađivati, to policijsko tijelo trebalo bi moći postaviti upit u CIR-u u svrhu identifikacije te osobe. U tu svrhu, policijska tijela trebala bi uzimati otiske prstiju elektroničkim putem, pod uvjetom da je postupak pokrenut u prisutnosti te osobe. Takvi upiti CIR-u nisu dopušteni u svrhu identifikacije maloljetnika mlađih od 12 godina, osim ako je to u najboljem interesu djeteta.

(29)

Ako se biometrijski podaci pojedine osobe ne mogu upotrijebiti ili ako je postavljanje upita s tim podacima bilo neuspješno, upit bi trebalo provesti na temelju podataka o identitetu te osobe u kombinaciji s podacima o putnoj ispravi. Ako se upitom utvrdi da su podaci o toj osobi pohranjeni u CIR-u, nadležna tijela države članice trebala bi imati pristup CIR-u radi provjere podataka o identitetu i podataka o putnoj ispravi te osobe, a da se pritom u CIR-u ne navodi kojem informacijskom sustavu EU-a podaci pripadaju.

(30)

Države članice trebale bi donijeti nacionalne zakonodavne mjere za imenovanje tijela nadležnih za obavljanje provjera identiteta uporabom CIR-a te propisati postupke, uvjete i kriterije za takve provjere koji bi trebali slijediti načelo proporcionalnosti. Konkretnije, nacionalnim pravom trebalo bi utvrditi ovlast za prikupljanje biometrijskih podataka tijekom provjere identiteta osobe koja se nalazi pred članom osoblja tih tijela.

(31)

Ovom Uredbom trebala bi se također uvesti nova mogućnost za usklađen pristup, za tijela koja su imenovale države članice i koja nadležna za sprječavanje, otkrivanje ili istragu kaznenih djela terorizma ili drugih teških kaznenih djela i za Europol, podacima koji ne uključuju samo podatke o identitetu ili podatke o putnoj ispravi i koji se nalaze se u EES-u, VIS-u, ETIAS-u ili Eurodacu. Takvi podaci mogu biti potrebni za sprječavanje, otkrivanje ili istragu kaznenih djela terorizma ili drugih teških kaznenih djela u pojedinačnom slučaju kada se na temelju opravdanih razloga smatra da će ostvarivanje uvida u te podatke pridonijeti sprječavanju, otkrivanju ili istrazi kaznenih djela terorizma ili drugih teških kaznenih djela, a posebice ako postoji sumnja da je osumnjičenik, počinitelj ili žrtva kaznenog djela terorizma ili drugog teškog kaznenog djela osoba čiji su podaci pohranjeni u EES-u, VIS-u, ETIAS-u ili Eurodacu.

(32)

Puni pristup podacima sadržanima u informacijskim sustavima EU-a koji su potrebni u svrhu sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela, povrh pristupa podacima o identitetu ili podacima o putnoj ispravi koji se nalaze u CIR-u, trebao bi i dalje biti uređen mjerodavnim pravnim instrumentima. Imenovana tijela nadležna za sprječavanje, otkrivanje ili istragu kaznenih djela terorizma ili drugih teških kaznenih djela i Europol ne znaju unaprijed koji od informacijskih sustava EU-a sadržava podatke o osobama o kojima trebaju postaviti upit. Zbog toga dolazi do kašnjenja i neučinkovitosti. Krajnjem korisniku kojeg je ovlastilo imenovano tijelo trebalo bi stoga omogućiti da vidi u kojem su od tih informacijskih sustava EU-a zabilježeni podaci koji odgovaraju rezultatima pojedinog upita. Predmetni sustav stoga bi bio označen nakon automatizirane provjere postojanja podudarnosti u sustavu (takozvana funkcija oznake o pronađenoj podudarnosti).

(33)

U tom kontekstu, odgovor CIR-a ne bi trebalo tumačiti ili koristiti kao osnovu ili razlog za donošenje zaključaka ili poduzimanje mjera u odnosu na pojedinu osobu, nego bi ga trebalo koristiti samo u svrhu podnošenja zahtjeva za pristup osnovnim informacijskim sustavima EU-a, podložno uvjetima i postupcima propisanima u odgovarajućim pravnim instrumentima kojima se uređuje taj pristup. Svaki takav zahtjev za pristup trebao bi podlijegati poglavlju VII. ove Uredbe te, ako je to primjenjivo, Uredbi (EU) 2016/679 Europskog parlamenta i Vijeća (5), Direktivi (EU) 2016/680 Europskog parlamenta i Vijeća (6) ili Uredbi (EU) 2018/1725 Europskog parlamenta i Vijeća (7).

(34)

U načelu, ako oznaka o pronađenoj podudarnosti pokazuje da su podaci zabilježeni u Eurodacu, imenovana tijela ili Europol trebali bi podnijeti zahtjev za puni pristup barem jednom od predmetnih informacijskih sustava EU-a. Ako se, iznimno, ne podnese zahtjev za takav puni pristup, primjerice zbog toga što su imenovana tijela ili Europol već dobili podatke na drugi način, ili dobivanje podataka više nije dopušteno nacionalnim pravom, trebalo bi evidentirati opravdanje za nepodnošenje zahtjeva za pristup.

(35)

U evidencijama upita u CIR-u trebala bi biti navedena svrha upitâ. Ako je takav upit proveden uporabom pristupa provjere u dva koraka, evidencija bi trebala uključivati upućivanje na nacionalni spis o istrazi ili predmetu, čime se naznačuje da je upit pokrenut za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela.

(36)

Postavljanje upita CIR-u od strane imenovanih tijela država članica i Europola radi dobivanja odgovora u obliku oznake o pronađenoj podudarnosti, u kojem se naznačuje da su podaci zabilježeni u EES-u, VIS-u, ETIAS-u ili Eurodacu, iziskuje automatsku obradu osobnih podataka. Oznaka o pronađenoj podudarnosti ne bi trebala otkrivati osobne podatke predmetne osobe, već bi samo trebala sadržavati naznaku da su neki podaci o toj osobi pohranjeni u jednom od sustava. Ovlašteni krajnji korisnik ne bi smio donijeti nikakvu negativnu odluku o predmetnoj osobi samo na temelju pojave oznake o pronađenoj podudarnosti. Pristup krajnjeg korisnika oznaci o pronađenoj podudarnosti imat će stoga vrlo ograničen utjecaj na pravo na zaštitu osobnih podataka predmetne osobe, a njime će se istodobno imenovanim tijelima i Europolu omogućiti da učinkovitije zahtijevaju pristup osobnim podacima.

(37)

Trebalo bi uspostaviti MID kako bi se poduprlo funkcioniranje CIR-a i poduprli ciljevi EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a. Kako bi djelotvorno ostvarivali svoje ciljeve, svi ti informacijski sustavi EU-a iziskuju točnu identifikaciju osoba čiji su osobni podaci u njima pohranjeni.

(38)

Radi uspješnijeg ostvarivanja ciljeva informacijskih sustava EU-a tijela koja upotrebljavaju te sustave trebala bi moći obavljati dostatno pouzdane provjere identiteta osoba čiji su podaci pohranjeni u različitim sustavima. Skup podataka o identitetu ili podataka o putnoj ispravi pohranjen u određenom pojedinačnom sustavu može biti netočan, nepotpun ili lažan te trenutačno ne postoji način da se usporedbom s podacima pohranjenima u drugom sustavu otkriju netočni, nepotpuni ili lažni podaci o identitetu ili podaci o putnoj ispravi. Kako bi se to stanje ispravilo, nužno je na razini Unije uspostaviti tehnički instrument koji će omogućiti točnu identifikaciju osoba u te svrhe.

(39)

MID bi trebao stvarati i pohranjivati poveznice među podacima u različitim informacijskim sustavima EU-a s ciljem otkrivanja višestrukih identiteta, s dvojnom svrhom olakšavanja provjera identiteta osoba koje putuju u dobroj vjeri i suzbijanja prijevara povezanih s identitetom. MID bi trebao sadržavati samo poveznice između podataka o osobama evidentiranima u više informacijskih sustava EU-a. Povezani podaci trebali bi biti strogo ograničeni na podatke koji su potrebni za provjeru je li osoba opravdano ili neopravdano evidentirana u različitim sustavima pod različitim identitetima ili kako bi se razjasnilo da dvije osobe sa sličnim podacima nisu ista osoba. Obrada podataka putem ESP-a i zajedničkog BMS-a s ciljem povezivanja pojedinačnih spisa u različitim sustavima trebala bi biti minimalna i stoga ograničena na otkrivanje višestrukih identiteta, koje se treba provoditi u trenutku dodavanja novih podataka u jedan od sustava čiji su podaci pohranjeni u CIR-u ili dodani u SIS. MID bi trebao uključivati zaštitne mjere protiv moguće diskriminacije i nepovoljnih odluka za osobe s više zakonitih identiteta.

(40)

Ovom Uredbom predviđeni su novi postupci obrade podataka s ciljem točne identifikacije predmetnih osoba. Time se zadire u temeljna prava tih osoba kako su zaštićena člancima 7. i 8. Povelje Europske unije o temeljnim pravima. Budući da djelotvorna provedba informacijskih sustava EU-a ovisi o točnoj identifikaciji predmetnih osoba, takvo zadiranje opravdava se istim ciljevima radi kojih su ti sustavi uspostavljeni, odnosno radi djelotvornog upravljanja granicama Unije, unutarnje sigurnosti Unije te djelotvorne provedbe politike azila i vizne politike Unije.

(41)

ESP i zajednički BMS trebali bi uspoređivati podatke o osobama u CIR-u i SIS-u kada nacionalno tijelo ili agencija Unije stvore ili učitaju nove unose. Takva usporedba trebala bi biti automatska. CIR i SIS trebali bi se koristiti zajedničkim BMS-om za otkrivanje mogućih poveznica na temelju biometrijskih podataka. CIR i SIS trebali bi se koristiti zajedničkim ESP-om za otkrivanje mogućih poveznica na temelju alfanumeričkih podataka. CIR i SIS trebali bi moći prepoznati iste ili slične podatke o pojedinoj osobi pohranjene u nekoliko sustava. U tom slučaju trebala bi se uspostaviti poveznica koja označuje da je riječ o istoj osobi. CIR i SIS trebali bi biti konfigurirani na način da se otkriju male pogreške u transliteraciji ili male pogreške u pisanju kako za predmetnu osobu ne bi nastale neopravdane teškoće.

(42)

Nacionalno tijelo ili agencija Unije koji su zabilježili podatke u odgovarajućem informacijskom sustavu EU-a trebali bi potvrditi ili izmijeniti poveznice. To nacionalno tijelo ili agencija Unije trebali bi za potrebe ručne provjere različitih identiteta imati pristup podacima pohranjenima u CIR-u ili u SIS-u i u MID-u.

(43)

Ručnu provjeru različitih identiteta trebalo bi obavljati tijelo koje stvara ili ažurira podatke na temelju kojih je pronađena podudarnost temeljem koje je uspostavljena poveznica s podacima koji su pohranjeni u drugom informacijskom sustavu EU-a. Tijelo nadležno za ručnu provjeru različitih identiteta trebalo bi procijeniti je li riječ o višestrukim identitetima koji se opravdano ili neopravdano odnose na istu osobu. Takvu procjenu trebalo bi obaviti, ako je to moguće, u prisutnosti predmetne osobe i, prema potrebi, traženjem dodatnih pojašnjenja ili informacija. Procjenu bi trebalo obaviti bez odgode u skladu s pravnim zahtjevima u pogledu točnosti informacija u skladu s pravom Unije i nacionalnim pravom.

(44)

Kada je riječ o poveznicama dobivenima putem SIS-a koje se odnose na upozorenja o osobama za koje se traži uhićenje radi predaje ili izručenja, o nestalim ili ranjivim osobama, o osobama koje se traže radi pomoći u sudskom postupku ili o osobama radi skrivenih provjera, obavijesnih provjera ili posebnih provjera, tijelo nadležno za ručnu provjeru različitih identiteta trebao bi biti ured SIRENE države članice koja je stvorila upozorenje. Te kategorije upozorenja u sustavu SIS osjetljive su i ne bi ih nužno trebalo dijeliti s tijelima koja unose podatke ili ažuriraju podatke povezane s njima u jednom od drugih informacijskih sustava EU-a. Stvaranjem poveznice s podacima u sustavu SIS ne bi se trebale dovoditi u pitanje mjere koje treba poduzeti u skladu s uredbama (EU) 2018/1860 (8), (EU) 2018/1861 (9) i (EU) 2018/1862 (10) Europskog parlamenta i Vijeća.

(45)

Stvaranje takvih poveznica iziskuje transparentnost prema predmetnim osobama. Kako bi se olakšala provedba potrebnih zaštitnih mjera u skladu s primjenjivim pravilima Unije o zaštiti podataka, osobe na koje se odnose crvena ili bijela poveznica nakon ručne provjere različitih identiteta trebale bi o tome dobiti pisanu obavijest, ne dovodeći u pitanje ograničenja radi zaštite sigurnosti i javnog poretka, sprječavanja kaznenih djela i jamčenja da nisu ugrožene nacionalne istrage. Te bi osobe trebale dobiti jedinstveni identifikacijski broj koji im omogućuje da utvrde tijelo kojemu bi se trebale obratiti radi ostvarivanja svojih prava.

(46)

U slučaju stvaranja žute poveznice, tijela nadležna za ručnu provjeru različitih identiteta trebala bi imati pristup MID-u. U slučaju postojanja crvene poveznice, tijela država članica i agencije Unije koje imaju pristup barem jednom informacijskom sustavu EU-a koji je uključen u CIR ili SIS-u trebala bi imati pristup MID-u. Crvena poveznica trebala bi upućivati na to da se pojedina osoba neopravdano koristi različitim identitetima ili da se pojedina osoba koristi tuđim identitetom.

(47)

Ako postoji bijela ili zelena poveznica između podataka iz dvaju informacijskih sustava EU-a, tijela država članica i agencije Unije trebale bi imati pristup MID-u kada dotično tijelo ili dotična agencija ima pristup obama informacijskim sustavima. Takav bi se pristup trebao odobriti isključivo kako bi se tom tijelu ili toj agenciji omogućilo otkrivanje potencijalnih slučajeva u kojima su podaci netočno povezani ili u kojima je obradom tih podataka u MID-u, CIR-u i SIS-u prekršena ova Uredba te kako bi se poduzele mjere za ispravljanje stanja i ažuriranje ili brisanje poveznice.

(48)

Agencije Europske unije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA) trebala bi uspostaviti automatizirane mehanizme za kontrolu kvalitete podataka i zajedničke pokazatelje kvalitete podataka. Trebala bi biti odgovorna za razvoj kapaciteta za praćenje kvalitete podataka na središnjoj razini i za izradu redovitih izvješća o analizi podataka radi poboljšanja kontrole provedbe informacijskih sustava EU-a od strane država članica. Zajednički pokazatelji kvalitete podataka trebali bi uključivati minimalne standarde kvalitete za pohranu podataka u informacijske sustave EU-a ili komponente interoperabilnosti. Takvim standardima kvalitete podataka nastoji se postići da informacijski sustavi EU-a i komponente interoperabilnosti automatski utvrđuju očito netočne ili nedosljedne podneske s podacima kako bi država članica podrijetla mogla provjeriti podatke i poduzeti potrebne korektivne mjere.

(49)

Komisija bi trebala provoditi evaluaciju izvješća agencije eu-LISA o kvaliteti i prema potrebi izdavati preporuke državama članicama. Države članice trebale bi biti odgovorne za izradu akcijskog plana u kojem se opisuju mjere za ispravljanje nedostataka u kvaliteti podataka te bi trebale redovito izvješćivati o njegovu napretku.

(50)

Univerzalni format poruka (UMF) trebao bi služiti kao standard za strukturiranu, prekograničnu razmjenu informacija među informacijskim sustavima, tijelima ili organizacijama u području pravosuđa i unutarnjih poslova. U okviru UMF-a trebalo bi definirati zajedničku terminologiju i logičke strukture za informacije koje se uobičajeno razmjenjuju s ciljem olakšavanja interoperabilnosti tako što će se omogućiti stvaranje i čitanje sadržaja tih razmjena na dosljedan način i s istim značenjem.

(51)

Provedba standarda UMF-a mogla bi se razmotriti u VIS-u, SIS-u i u bilo kojim drugim postojećim ili novim modelima za prekograničnu razmjenu informacija i informacijskim sustavima u području pravosuđa i unutarnjih poslova koje su razvile države članice.

(52)

Trebalo bi uspostaviti središnji repozitorij podataka za izvješćivanje i statistiku (CRSS) za stvaranje međusustavnih statističkih podataka i analitičko izvješćivanje za potrebe politike, operativne potrebe i potrebe kvalitete podataka, u skladu s mjerodavnim pravnim instrumentima. Agencija eu-LISA trebala bi uspostaviti i provoditi CRRS te ga smjestiti na poslužitelju na svojim tehničkim pogonima. CRSS bi trebao sadržavati anonimizirane statističke podatke iz informacijskih sustava EU-a, CIR-a, MID-a i zajedničkog BMS-a. Podaci sadržani u CRRS-u ne bi trebali omogućivati identifikaciju osoba. Agencija eu-LISA trebala bi automatski anonimizirati te podatke i zabilježiti ih u CRRS-u u tom anonimiziranom obliku. Proces anonimizacije podataka trebao bi biti automatski i osoblje agencije eu-LISA ne bi trebalo imati izravan pristup osobnim podacima pohranjenima u informacijskim sustavima EU-a ili u komponentama interoperabilnosti.

(53)

Uredba (EU) 2016/679 primjenjuje se na obradu osobnih podataka koju u svrhu interoperabilnosti u skladu s ovom Uredbom obavljaju nacionalna tijela, osim ako tu obradu obavljaju imenovana tijela ili središnje pristupne točke država članica za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela,.

(54)

Ako obradu osobnih podataka koju obavljaju države članice u svrhu interoperabilnosti u skladu s ovom Uredbom obavljaju nadležna tijela za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela, primjenjuje se Direktiva (EU) 2016/680.

(55)

Uredba (EU) 2016/679, Uredba (EU) 2018/1725 ili, ako je to relevantno, Direktiva (EU) 2016/680, primjenjuju se na prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama koji se provodi u skladu s ovom Uredbom. Ne dovodeći u pitanje razloge za prijenos na temelju poglavlja V. Uredbe (EU) 2016/679 ili, ako je to relevantno, Direktive (EU) 2016/680, sve presude nekog suda i sve odluke nekog upravnog tijela treće zemlje kojima se od voditelja obrade ili izvršitelja obrade zahtijeva prijenos ili otkrivanje osobnih podataka trebale bi se priznati ili biti izvršive na bilo koji način samo ako se temelje na nekom međunarodnom sporazumu koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili pojedine države članice.

(56)

Posebne odredbe o zaštiti podataka iz Uredbe (EU) 2018/1862 i Uredbe (EU) 2019/816 Europskog parlamenta i Vijeća (11) primjenjuju se na obradu osobnih podataka u sustavima uređenima tim uredbama.

(57)

Uredba (EU) 2018/1725 primjenjuje se na obradu osobnih podataka koju obavljaju agencija eu-LISA i druge institucije i tijela Unije kada izvršavaju svoje dužnosti u skladu s ovom Uredbom, ne dovodeći u pitanje Uredbu (EU) 2016/794, koja se primjenjuje na obradu osobnih podataka koju obavlja Europol.

(58)

Nadzorna tijela iz Uredbe (EU) 2016/679 ili Direktive (EU) 2016/680 trebala bi pratiti zakonitost obrade osobnih podataka koju obavljaju države članice. Europski nadzornik za zaštitu podataka trebao bi pratiti aktivnosti institucija i tijela Unije povezane s obradom osobnih podataka. Europski nadzornik za zaštitu podataka i nadzorna tijela trebali bi međusobno surađivati u praćenju obrade osobnih podataka koju obavljaju komponente interoperabilnosti. Kako bi Europski nadzornik za zaštitu podataka ispunio zadaće koje su mu povjerene u skladu s ovom Uredbom, potrebna su dostatna sredstva, između ostalog ljudski i financijski resurs0i.

(59)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 Europskog parlamenta i Vijeća (12) te je on dao mišljenje 16. travnja 2018. (13)

(60)

Radna skupina za zaštitu podataka iz članka 29. dostavila je 11. travnja 2018. svoje mišljenje.

(61)

Države članice i agencija eu-LISA trebale bi imati planove sigurnosti kako bi se olakšala provedba obveza zaštite sigurnosti i trebale bi međusobno surađivati na uklanjanju sigurnosnih problema. Agencija eu-LISA trebala bi osigurati i trajnu uporabu najnovijih tehnoloških postignuća za osiguranje cjelovitosti podataka u kontekstu razvoja i oblikovanja komponenata interoperabilnosti te upravljanja tim komponentama. U tom bi pogledu obveze agencije eu-LISA trebale uključivati donošenje mjera potrebnih za sprječavanje pristupa neovlaštenih osoba, kao što je osoblje vanjskih pružatelja usluga, osobnim podacima koji se obrađuju putem komponenata interoperabilnosti. Pri dodjeli ugovora o pružanju usluga države članice i agencija eu-LISA trebale bi razmotriti sve potrebne mjere za osiguravanje usklađenosti sa zakonima ili propisima koji se odnose na zaštitu osobnih podataka i privatnost osoba ili za zaštitu ključnih sigurnosnih interesa, u skladu s Uredbom (EU) 2018/1046 Europskog parlamenta i Vijeća (14) i primjenjivim međunarodnim konvencijama. Agencija eu-LISA trebala bi primjenjivati načela integrirane i zadane privatnosti tijekom razvoja komponenata interoperabilnosti.

(62)

Za potrebe prikupljanja statističkih podataka i izvješćivanja potrebno je ovlaštenom osoblju nadležnih tijela, institucija i agencija Unije iz ove Uredbe odobriti pristup određenim podacima povezanima s određenim komponentama interoperabilnosti, a da se pritom ne omogući identifikacija osoba.

(63)

Kako bi se tijelima država članica i agencijama Unije omogućilo da se prilagode novim zahtjevima za uporabu ESP-a, potrebno je predvidjeti prijelazno razdoblje. Slično tomu, kako bi se omogućilo usklađeno i optimalno funkcioniranje MID-a, trebalo bi uspostaviti prijelazne mjere za početak njegova rada.

(64)

S obzirom na to da cilj ove Uredbe, odnosno osnivanje okvira za interoperabilnost informacijskih sustava EU-a, ne mogu dostatno ostvariti države članice, nego se zbog opsega i učinaka djelovanja on na bolji način može ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji (UEU). U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tog cilja.

(65)

Preostali iznos u proračunu namijenjen za pametne granice u Uredbi (EU) br. 515/2014 Europskog parlamenta i Vijeća (15) trebao bi se preraspodijeliti na ovu Uredbu, na temelju članka 5. stavka 5. točke (b) Uredbe (EU) br. 515/2014 kako bi se pokrili troškovi za razvoj komponenata interoperabilnosti.

(66)

Kako bi se dopunili određeni detaljni tehnički aspekti ove Uredbe, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije (UFEU) u pogledu:

produljenja prijelaznog razdoblja za uporabu ESP-a,

produljenja prijelaznog razdoblja za otkrivanje višestrukih identiteta koje provodi središnja jedinica ETIAS-a;

postupaka za utvrđivanje slučajeva u kojima se podaci o identitetu mogu smatrati istima ili sličnima;

pravila za rad CRRS-a, uključujući posebne zaštitne mjere za obradu osobnih podataka i sigurnosna pravila koja se primjenjuju na repozitorij; i

detaljnih pravila o radu internetskog portala.

Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka, te da se ta savjetovanja provedu u skladu s načelima utvrđenima u Međuinstitucijskom sporazumu o boljoj izradi zakonodavstva od 13. travnja 2016 (16). Osobito, s ciljem osiguravanja ravnopravnog sudjelovanja u pripremi delegiranih akata, Europski parlament i Vijeće primaju sve dokumente istodobno kada i stručnjaci iz država članica te njihovi stručnjaci sustavno imaju pristup sastancima stručnih skupina Komisije koji se odnose na pripremu delegiranih akata.

(67)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Uredbe, provedbene ovlasti trebalo bi dodijeliti Komisiji za određivanje datumâ početka rada ESP-a, zajedničkog BMS-a, CIR-a, MID-a i CRSS-a.

(68)

Komisiji bi također trebalo dodijeliti provedbene ovlasti za donošenje detaljnih pravila o: tehničkim pojedinostima o profilima korisnika ESP-a; specifikacijama tehničkih rješenja za olakšavanje postavljanja upita informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka putem ESP-a i obliku odgovora ESP-a; tehničkim pravilima za stvaranje poveznica u MID-u među podacima iz različitih informacijskih sustava EU-a; sadržaju i izgledu obrasca koji se koristi za obavješćivanje ispitanika prilikom stvaranja crvene poveznice; zahtjevima u pogledu uspješnosti i praćenju uspješnosti zajedničkog BMS-a, automatiziranim mehanizmima, postupcima i pokazateljima kontrole kvalitete podataka; razvoju standarda UMF-a; postupku suradnje koji se koristi u slučaju sigurnosnog incidenta; te specifikacijama tehničkog rješenja za države članice kako bi mogle upravljati zahtjevima za pristup korisnika. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (17).

(69)

Budući da će komponente interoperabilnosti obuhvaćati obradu znatnih količina osjetljivih osobnih podataka, važno je da osobe čiji se podaci obrađuju s pomoću tih komponenata mogu učinkovito ostvarivati svoja prava kao ispitanici u skladu s Uredbom (EU) 2016/679, Direktivom (EU) 2016/680 i Uredbom (EU) br. 2018/1725. Trebao bi postojati internetski portal za ispitanike koji ispitanicima olakšava ostvarivanje njihovih prava na pristup njihovim osobnim podacima, ispravak, brisanje i ograničavanje obrade tih podataka. Agencija eu-LISA trebala bi uspostaviti takav internetski portal i upravljati njime.

(70)

Jedno od temeljnih načela zaštite podataka jest smanjenje količine podataka: u skladu s člankom 5. stavkom 1. točkom (c) Uredbe (EU) 2016/679 obrada osobnih podataka mora biti primjerena, relevantna i ograničena na ono što je nužno u odnosu na svrhe u koje se osobni podaci obrađuju. Iz tog se razloga komponentama interoperabilnosti ne bi trebala predvidjeti pohrana nikakvih novih osobnih podataka osim poveznica koje će biti pohranjene u MID-u i koje predstavljaju minimum koji je nužan za potrebe ove Uredbe.

(71)

Ova Uredba trebala bi sadržavati jasne odredbe o odgovornosti i pravu na naknadu štete zbog nezakonite obrade osobnih podataka i zbog bilo kojeg drugog djela koje nije usklađeno s njome. Takvim odredbama ne bi trebalo dovoditi u pitanje pravo na naknadu štete od voditelja obrade ili izvršitelja obrade i njihovu odgovornost u skladu s Uredbom (EU) 2016/679, Direktivom (EU) 2016/680 i Uredbom (EU) br. 2018/1725. Agencija eu-LISA trebala bi, kao izvršitelj obrade, biti odgovorna za štetu koju je uzrokovala ako nije ispunila specifične obveze koje su joj dodijeljene ovom Uredbom ili ako je djelovala izvan zakonskih uputa države članice koja je voditeljica obrade ili protivno njima.

(72)

Ovom Uredbom ne dovodi se u pitanje primjena Direktive 2004/38/EZ Europskog parlamenta i Vijeća (18).

(73)

U skladu s člancima 1. i 2. Protokola br. 22 o stajalištu Danske, priloženog UEU-u i UFEU-u, Danska ne sudjeluje u donošenju ove Uredbe te ona za nju nije obvezujuća niti se na nju primjenjuje. S obzirom na to da ova Uredba predstavlja daljnji razvoj schengenske pravne stečevine u mjeri u kojoj se njezine odredbe odnose na SIS kako je uređen Uredbom (EU) 2018/18662, Danska, u skladu s člankom 4. navedenog Protokola, u roku od šest mjeseci nakon što Vijeće odluči o ovoj Uredbi odlučuje hoće li je provesti u svojem nacionalnom pravu.

(74)

U mjeri u kojoj se njezine odredbe odnose na SIS kako je uređen Uredbom (EU) 2018/1862, Ujedinjena Kraljevina sudjeluje u ovoj Uredbi u skladu s člankom 5. stavkom 1. Protokola br. 19 o schengenskoj pravnoj stečevini uključenoj u okvir Europske unije, priloženog UEU-u i UFEU-u, i člankom 8. stavkom 2. Odluke Vijeća 2000/365/EZ (19). Nadalje, u mjeri u kojoj se njezine odredbe odnose na Eurodac i ECTRIS-TCN, u skladu s člankom 3. Protokola br. 21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područje slobode, sigurnosti i pravde, priloženog UEU-u i UFEU-u, Ujedinjena Kraljevina obavijestila je pismom od 18. svibnja 2018. da želi sudjelovati u donošenju i primjeni ove Uredbe.

(75)

U mjeri u kojoj se njezine odredbe odnose na sustav SIS kako je uređen Uredbom (EU) 2018/1862, Irska bi, u načelu, mogla sudjelovati u ovoj Uredbi, u skladu s člankom 5. stavkom 1. Protokola br. 19 o schengenskoj pravnoj stečevini uključenoj u okvir Europske unije, priloženog UEU-u i UFEU-u, i člankom 6. stavkom 2. Odluke Vijeća 2002/192/EZ (20). Nadalje, u mjeri u kojoj se njezine odredbe odnose na Eurodac i ECRIS-TCN, u skladu s člancima 1. i 2. Protokola br. 21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područje slobode, sigurnosti i pravde priloženog UEU-u i UFEU-u, i ne dovodeći u pitanje članak 4. navedenog protokola, Irska ne sudjeluje u donošenju ove Uredbe te ona za nju nije obvezujuća niti se na nju primjenjuje. S obzirom da pod ovim okolnostima nije moguće osigurati da je ova Uredba u cijelosti primjenjiva na Irsku, kako se zahtjeva u članku 288. UFEU, Irska ne sudjeluje u donošenju ove Uredbe te ona za nju nije obvezujuća niti se na nju primjenjuje, ne dovodeći u pitanje njezina prava na temelju protokola br. 19. i br. 21.

(76)

U pogledu Islanda i Norveške ova Uredba predstavlja, u mjeri u kojoj se odnosi na SIS kako je uređen Uredbom (EU) 2018/1862, razvoj odredaba schengenske pravne stečevine u smislu Sporazuma između Vijeća Europske unije i Republike Islanda i Kraljevine Norveške pridruživanju tih država provedbi, primjeni i razvoju schengenske pravne stečevine (21), koje pripadaju području iz članka 1. točke G Odluke Vijeća 1999/437/EZ (22) U.

(77)

U pogledu Švicarske, ova Uredba predstavlja, u mjeri u kojoj se odnosi na SIS kako je uređen Uredbom (EU) 2018/1862, razvoj odredaba schengenske pravne stečevine u smislu Sporazuma između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (23), koje pripadaju području iz članka 1. točke G Odluke Vijeća 1999/437/EZ u vezi s člankom 3. Odluke Vijeća 2008/146/EZ (24).

(78)

U pogledu Lihtenštajna, ova Uredba predstavlja, u mjeri u kojoj se odnosi na SIS kako je uređen Uredbom (EU) 2018/1862, razvoj odredaba schengenske pravne stečevine u smislu Protokola između Europske unije, Europske zajednice, Švicarske Konfederacije i Kneževine Lihtenštajna o pristupanju Kneževine Lihtenštajna Sporazumu između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (25), koje pripadaju području iz članka 1. točke G Odluke Vijeća 1999/437/EZ u vezi s člankom 3. Odluke Vijeća 2011/350/EU (26).

(79)

Ovom se Uredbom poštuju temeljna prava i načela priznata posebno Poveljom Europske unije o temeljnim pravima i ona bi se trebala primjenjivati u skladu s tim pravima i načelima.

(80)

Kako bi se ova Uredba uklopila u postojeći pravni okvir, Uredbu (EU) 2018/1726 Europskog parlamenta i Vijeća (27) i te uredbe (EU) 2018/1862 i (EU) 2019/816 trebalo bi na odgovarajući način izmijeniti,

DONIJELI SU OVU UREDBU:

POGLAVLJE I.

Opće odredbe

Članak 1.

Predmet

1.   Ovom Uredbom, zajedno s Uredbom (EU) 2019/817 Europskog parlamenta i Vijeća (28), uspostavlja se okvir za osiguravanje interoperabilnosti između sustava ulaska/izlaska (EES), viznog informacijskog sustava (VIS), europskog sustava za informacije o putovanjima i odobravanje putovanja (ETIAS), Eurodaca, schengenskog informacijskog sustava (SIS) i Europskog informacijskog sustava kaznene evidencije za državljane trećih zemalja (ECRIS-TCN).

2.   Okvir uključuje sljedeće komponente interoperabilnosti:

(a)

europski portal za pretraživanje (ESP);

(b)

zajedničku uslugu uspoređivanja biometrijskih podataka (zajednički BMS);

(c)

zajednički repozitorij podataka o identitetu (CIR);

(d)

detektor višestrukih identiteta (MID).

3.   Ovom Uredbom utvrđuju se i odredbe o zahtjevima u pogledu kvalitete podataka, o univerzalnom formatu poruka, o središnjem repozitoriju podataka za izvješćivanje i statistiku (CRRS) i o odgovornosti država članica i Agencije Europske unije za operativno upravljanje opsežnim informacijskim sustavima u području slobode, sigurnosti i pravde (eu-LISA) u pogledu oblikovanja, razvoja i rada komponenata interoperabilnosti.

4.   Ovom Uredbom također se prilagođavaju postupci i uvjeti za pristup imenovanih tijela i Agencije Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) EES-u, VIS-u, ETIAS-u i Eurodacu za potrebe sprječavanja, otkrivanja ili istraga kaznenih djela terorizma ili drugih teških kaznenih djela.

5.   Ovom Uredbom također se utvrđuje okvir za provjeru identiteta osoba i identifikaciju osoba.

Članak 2.

Ciljevi

1.   Osiguravanjem interoperabilnosti ovom Uredbom ostvaruju se sljedeći ciljevi:

(a)

poboljšati djelotvornost i učinkovitost granične kontrole na vanjskim granicama;

(b)

pridonijeti sprječavanju i suzbijanju nezakonite imigracije;

(c)

pridonijeti visokoj razini sigurnosti u području slobode, sigurnosti i pravde Unije, između ostalog održavanju javne sigurnosti i javnog poretka te zaštiti sigurnosti na državnim područjima država članica;

(d)

poboljšati provedbu zajedničke vizne politike;

(e)

pomoći u ispitivanju zahtjevâ za međunarodnu zaštitu;

(f)

pridonijeti sprječavanju, otkrivanju i istrazi kaznenih djela terorizma i drugih teških kaznenih djela;

(g)

olakšati identifikaciju nepoznatih osoba koje se ne mogu same identificirati ili identifikaciju neidentificiranih ljudskih posmrtnih ostataka u slučaju prirodne katastrofe, nesreće ili terorističkog napada.

2.   Ciljevi iz stavka 1. postižu se na sljedeće načine:

(a)

osiguravanjem točne identifikacije osoba;

(b)

pridonošenjem suzbijanju prijevara povezanih s identitetom;

(c)

poboljšanjem kvalitete podataka i usklađivanjem zahtjeva povezanih s kvalitetom za podatke pohranjene u informacijskim sustavima EU-a, poštujući pritom zahtjeve u pogledu obrade podataka iz pravnih instrumenata kojima se uređuju pojedinačni sustavi te standarde i načela zaštite podataka;

(d)

olakšavanjem i podupiranjem tehničke i operativne provedbe informacijskih sustava EU-a od strane država članica;

(e)

jačanjem, pojednostavnjenjem i ujednačavanjem uvjeta povezanih sa sigurnošću podataka i zaštitom podataka kojima se uređuju predmetni informacijski sustavi EU-a, ne utječući pritom na posebnu zaštitu i zaštitne mjere koje su predviđene za određene kategorije podataka;

(f)

usklađivanjem uvjeta za pristup imenovanih tijela EES-u, VIS-u, ETIAS-u i Eurodacu, uz istodobno jamčenje nužnih i proporcionalnih uvjeta za taj pristup;

(g)

podupiranjem svrha EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

Članak 3.

Područje primjene

1.   Ova se Uredba primjenjuje na Eurodac, SIS i ECRIS-TCN.

2.   Ova se Uredba primjenjuje i na podatke Europola u mjeri u kojoj se njome omogućuje omogućeno istodobno postavljanje upita u podacima Europola i informacijskim sustavima EU-a iz stavka 1.

3.   Ova Uredba primjenjuje se na osobe čiji se osobni podaci mogu obrađivati u informacijskim sustavima EU-a iz stavka 1. i u podacima Europola iz stavka 2.

Članak 4.

Definicije

Za potrebe ove Uredbe, primjenjuju se sljedeće definicije:

1.

„vanjske granice” znači vanjske granice kako su definirane u članku 2. točki 2. Uredbe (EU) 2016/399 Europskog parlamenta i Vijeća (29);

2.

„granična kontrola” znači granična kontrola kako je definirana u članku 2. točki 11. Uredbe (EU) 2016/399;

3.

„granično tijelo” znači službenik graničnog nadzora raspoređen u skladu s nacionalnim pravom za provođenje granične kontrole;

4.

„nadzorna tijela” znači nadzorno tijelo iz članka 51. stavka 1. Uredbe (EU) 2016/679 i nadzorno tijelo iz članka 41. stavka 1. Direktive (EU) 2016/680;

5.

„provjera” znači postupak uspoređivanja skupova podataka kako bi se ustanovila valjanost identiteta na koji se osoba poziva (kontrola usporedbom dvaju uzoraka);

6.

„identifikacija” znači postupak utvrđivanja identiteta osobe uspoređivanjem s višestrukim skupovima podataka u bazi podataka (kontrola usporedbom više uzoraka);

7.

„alfanumerički podaci” znači podaci izraženi slovima, brojkama, posebnim znakovima, razmacima između znakova i interpunkcijskim znakovima;

8.

„podaci o identitetu” znači podaci iz članka 27. stavka 3. točaka od (a) do (e);

9.

„podaci o otiscima prstiju” znači prikazi otisaka prstiju i prikazi latentnih otisaka prstiju koji zbog svoje jedinstvenosti i referentnih točaka koje sadržavaju omogućuju točne i nepobitne usporedbe u vezi s identitetom osobe;

10.

„prikaz lica” znači digitalne snimke lica;

11.

„biometrijski podaci” znači podaci o otiscima prstiju ili prikazi lica ili i jedno i drugo;

12.

„biometrijski model” znači matematički prikaz dobiven izvlačenjem obilježja iz biometrijskih podataka ograničen na značajke koje su nužne za obavljanje postupaka identifikacije i provjere;

13.

„putna isprava” znači putovnica ili neka druga ekvivalentna isprava na temelju koje njezin nositelj ima pravo prelaziti vanjske granice i na koju se može nalijepiti viza;

14.

„podaci o putnoj ispravi” znači vrsta, broj putne isprave te zemlja koja je izdala putnu ispravu, datum isteka valjanosti putne isprave i troslovna oznaka zemlje koja je izdala putnu ispravu;

15.

„informacijski sustavi EU-a” znači EES, VIS, ETIAS, Eurodac, SIS i ECRIS-TCN;

16.

„podaci Europola” znači osobni podaci koje obrađuje Europol u svrhe iz članka 18. stavka 2. točaka (a), (b) i (c) Uredbe (EU) 2016/794;

17.

„Interpolove baze podataka” znači Interpolova baza podataka o ukradenim i izgubljenim putnim ispravama (baza podataka SLTD) i Interpolova baza podataka o putnim ispravama povezanima s obavijestima (baza podataka TDAWN);

18.

„podudarnost” znači postojanje korespondencije nastale automatskom usporedbom osobnih podataka koji su zabilježeni u informacijskom sustavu ili bazi podataka ili se bilježe u informacijskom sustavu ili bazi podataka;

19.

„policijsko tijelo” znači „nadležno tijelo” kako je definirano u članku 3. točki 7. Direktive (EU) 2016/680;

20.

„imenovana tijela” znači imenovana tijela država članica kako su definirana u članku 3. stavku 1. točki 26. Uredbe (EU) 2017/2226 Europskog parlamenta i Vijeća (30), članku 2. stavku 1. točki (e) Odluke Vijeća 2008/633/PUP (31) i članku 3. stavku 1. točki 21. Uredbe (EU) 2018/1240 Europskog parlamenta i Vijeća (32);

21.

„kazneno djelo terorizma” znači kazneno djelo prema nacionalnom pravu koje odgovara ili je istovjetno jednom od kaznenih djela iz Direktive (EU) 2017/541 Europskog parlamenta i Vijeća (33);

22.

„teško kazneno djelo” znači kazneno djelo koje odgovara ili je istovjetno jednom od kaznenih djela iz članka 2. stavka 2. Okvirne odluke Vijeća 2002/584/PUP (34) ako je prema nacionalnom pravu kažnjivo kaznom zatvora ili mjerom oduzimanja slobode na maksimalno razdoblje od najmanje tri godine;

23.

„sustav ulaska/izlaska” ili „EES” znači sustav ulaska/izlaska kako je uspostavljen Uredbom (EU) 2017/2226;

24.

„vizni informacijski sustav” ili „VIS” znači vizni informacijski sustav uspostavljen Uredbom (EZ) br. 767/2008 Europskog parlamenta i Vijeća (35);

25.

„europski sustav za informacije o putovanjima i odobravanje putovanja” ili „ETIAS” znači europski sustav za informacije o putovanjima i odobravanje putovanja uspostavljen Uredbom (EU) 2018/1240;

26.

„Eurodac” znači Eurodac uspostavljen Uredbom (EU) br. 603/2013 Europskog parlamenta i Vijeća (36);

27.

„Schengenski informacijski sustav” ili „SIS” znači Schengenski informacijski sustav uspostavljen uredbama (EU) 2018/1860, (EU) 2018/1861 i (EU) 2018/1862;

28.

„ECRIS-TCN” znači centralizirani sustav država članica za identifikaciju koje imaju podatke o osudama državljana trećih zemalja i osoba bez državljanstva uspostavljen Uredbom (EU) 2019/816.

Članak 5.

Nediskriminacija i temeljna prava

Obradom osobnih podataka za potrebe ove Uredbe ne smije se uzrokovati diskriminacija osoba na osnovi spola, rase, boje kože, etničkog ili socijalnog podrijetla, genetskih osobina, jezika, religije ili uvjerenja, političkih ili bilo kakvih drugih mišljenja, pripadnosti nacionalnoj manjini, imovine, rođenja, invaliditeta, dobi ili spolne orijentacije. Njome se moraju potpuno poštovati ljudsko dostojanstvo i integritet te temeljna prava, uključujući pravo na poštovanje privatnog života i pravo na zaštitu osobnih podataka. Posebna pozornost posvećuje se djeci, starijim osobama, osobama s invaliditetom te osobama kojima je potrebna međunarodna zaštita. Najbolji interesi djeteta moraju biti na prvom mjestu.

POGLAVLJE II.

Europski portal za pretraživanje

Članak 6.

Europski portal za pretraživanje

1.   Uspostavlja se europski portal za pretraživanje (ESP) kako bi se nadležnim tijelima država članica i agencijama Unije olakšao brz, neometan, učinkovit, sustavan i kontroliran pristup informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka radi obavljanja njihovih zadaća i u skladu s njihovim pravima pristupa te ciljevima i svrhama EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a, i ECRIS-TCN-a.

2.   ESP se sastoji od sljedećeg:

(a)

središnje infrastrukture, uključujući portal za pretraživanje koji omogućuje istodobno postavljanje upita EES-u, VIS-u, ETIAS-u, Eurodacu, SIS-u, ECRIS-TCN-u te podacima Europola i Interpolovim bazama podataka;

(b)

sigurnog komunikacijskog kanala između ESP-a, država članica i agencija Unije koje imaju pravo upotrebljavati ESP;

(c)

sigurne komunikacijske infrastrukture između ESP-a i EES-a, VIS-a, ETIAS-a, Eurodaca, središnjeg SIS-a, ECRIS-TCN-a, podataka Europola i Interpolovih baza podataka te između ESP-a i središnjih infrastruktura CIR-a i MID-a.

3.   Agencija eu-LISA razvija ESP i osigurava tehničko upravljanje njime.

Članak 7.

Uporaba europskog portala za pretraživanje

1.   Uporaba ESP-a rezervirana je za nadležna tijela država članica i agencije Unije koje imaju pristup barem jednom od informacijskih sustava EU-a, u skladu s pravnim instrumentima kojima se uređuju ti informacijski sustavi EU-a, koje imaju pristup CIR-u i MID-u, u skladu s ovom Uredbom, koje imaju pristup podacima Europola, u skladu s Uredbom (EU) 2016/679 ili koje imaju pristup Interpolovim bazama podataka u skladu s pravom Unije ili nacionalnim pravom kojim se uređuje takav pristup.

Ta tijela država članica i agencije Unije mogu upotrebljavati ESP i podatke koje je ESP pružio samo za ciljeve i potrebe utvrđene u pravnim instrumentima kojima se uređuju ti informacijski sustavi EU-a, u Uredbi (EU) 2016/794 i u ovoj Uredbi.

2.   Tijela država članica i agencije Unije iz stavka 1. upotrebljavaju ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u središnjim sustavima Eurodaca i ECRIS-TCN-a u skladu sa svojim pravima pristupa, kako je navedeno u pravnim instrumentima kojima se uređuju ti informacijski sustavi EU-a i u nacionalnom pravu. Ta tijela upotrebljavaju ESP i za postavljanje upita CIR-u u skladu sa svojim pravima pristupa u okviru ove Uredbe za potrebe iz članaka 20., 21. i 22.

3.   Tijela država članica iz stavka 1. mogu upotrebljavati ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u središnjem SIS-u iz uredaba (EU) 2018/1860 i (EU) 2018/1861.

4.   Ako je tako predviđeno pravom Unije, agencije Unije iz stavka 1. upotrebljavaju ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u središnjem SIS-u.

5.   Tijela država članica i agencije Unije iz stavka 1. mogu upotrebljavati ESP za pretraživanje podataka povezanih s osobama ili njihovim putnim ispravama u podacima Europola u skladu sa svojim pravima pristupa na temelju prava Unije i nacionalnog prava.

Članak 8.

Profili korisnika europskog portala za pretraživanje

1.   Kako bi omogućila uporaba ESP-a, agencija eu-LISA, u suradnji s državama članicama, stvara profil na temelju svake kategorije korisnika ESP-a i na temelju svrhe upitâ, u skladu s tehničkim pojedinostima i pravima pristupa iz stavka 2. Svaki profil, u skladu s pravom Unije i nacionalnim pravom, sadržava sljedeće informacije:

(a)

polja podataka koja se trebaju koristiti za postavljanje upita;

(b)

informacijske sustave EU-a, podatke Europola i Interpolove baze podataka kojima se trebaju postavljati upiti, one kojima se mogu postavljati upiti i one koje korisniku trebaju pružiti odgovor;

(c)

specifične podatke u informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka kojima se mogu postavljati upiti;

(d)

kategorije podataka koji se mogu dati u svakom odgovoru.

2.   Komisija donosi provedbene akte kako bi precizirala tehničke pojedinosti profilâ iz stavka 1. u skladu s pravima pristupa korisnika ESP-a na temelju pravnih instrumenata kojima se uređuju informacijski sustavi EU-a i na temelju nacionalnog prava. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 70. stavka 2.

3.   Agencija eu-LISA u suradnji s državama članicama redovito, a najmanje jednom godišnje, preispituje profile iz stavka 1. te ih ažurira ako je to potrebno.

Članak 9.

Upiti

1.   Korisnici ESP-a pokreću upit unošenjem alfanumeričkih ili biometrijskih podataka u ESP. Kada je upit pokrenut, ESP, s pomoću podataka koje je unio korisnik i u skladu s profilom korisnika, istodobno postavlja upit EES-u, ETIAS-u, VIS-u, SIS-u, Eurodacu, ECRIS-TCN-u, CIR-u te podacima Europola i Interpolovim bazama podataka.

2.   Kategorije podataka koje se upotrebljavaju za pokretanje upita putem ESP-a odgovaraju kategorijama podataka povezanima s osobama ili putnim ispravama koje se mogu upotrebljavati za postavljanje upita različitim informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka u skladu s pravnim instrumentima kojima su oni uređeni.

3.   Agencija eu-LISA u suradnji s državama članicama provodi specifikaciju sučelja za ESP na temelju UMF-a iz članka 38.

4.   Kada je upit pokrenuo korisnik ESP-a, EES, ETIAS, VIS, SIS, Eurodac, ECRIS-TCN, CIR, MID, podaci Europola i Interpolove baze podataka u odgovoru na upit pružaju podatke koje posjeduju.

Ne dovodeći u pitanje članak 20., u odgovoru ESP-a navodi se iz kojeg informacijskog sustava EU-a ili baze podataka podaci potječu.

ESP ne pruža nikakve informacije o podacima u informacijskim sustavima EU-a, u podacima Europola ili Interpolovim bazama podataka kojima korisnik nema pristup na temelju primjenjivog prava Unije i nacionalnog prava.

5.   Svi upiti u Interpolove baze podataka pokrenuti putem ESP-a provode se tako da se nikakve informacije ne otkriju osobi na koju se odnosi upozorenje Interpola.

6.   ESP korisniku pruža odgovore čim podaci iz nekog od informacijskih sustava EU-a, podataka Europola ili Interpolovih baza podataka postanu dostupni. Ti odgovori sadržavaju samo podatke kojima korisnik ima pristup na temelju prava Unije i nacionalnog prava.

7.   Komisija donosi provedbeni akt kako bi detaljnije utvrdila tehnički postupak za postavljanje upita informacijskim sustavima EU-a, podacima Europola i Interpolovim bazama podataka od strane ESP-a i oblik odgovorâ iz ESP-a. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 70. stavka 2.

Članak 10.

Vođenje evidencije

1.   Ne dovodeći u pitanje članke 12. i 18. Uredbe (EU) 2018/1862, članak 29. Uredbe (EU) 2019/816 i članak 40. Uredbe (EU) 2016/794, agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u okviru ESP-a. Ta evidencija uključuje sljedeće:

(a)

državu članicu ili agenciju Unije koja pokreće upit i profil ESP-a koji se koristi;

(b)

datum i vrijeme postavljanja upita;

(c)

informacijske sustave EU-a i podatke Europola kojima se postavlja upit;

2.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu ESP-a. Svaka agencija Unije vodi evidenciju upita koje postavi njezino propisno ovlašteno osoblje.

3.   Evidencije iz stavaka 1. i 2. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za jamčenje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

Članak 11.

Rezervni postupci u slučaju tehničke nemogućnosti uporabe europskog portala za pretraživanje

1.   Ako je zbog kvara ESP-a tehnički nemoguće upotrijebiti ESP za postavljanje upita jednom ili više informacijskih sustava EU-a ili CIR-u, agencija eu-LISA o tome automatski obavješćuje korisnike ESP-a.

2.   Ako je zbog kvara u nacionalnoj infrastrukturi neke države članice tehnički nemoguće upotrijebiti ESP za postavljanje upita jednom ili više informacijskih sustava ili CIR-u, ta država članica o tome automatski obavješćuje agenciju eu-LISA i Komisiju.

3.   U slučajevima iz stavka 1. ili stavka 2. ovog članka, i dok ne bude riješen tehnički kvar, obveza iz članka 7. stavaka 2. i 4. ne primjenjuje se i države članice pristupaju informacijskim sustavima EU-a ili CIR-u izravno kada su to dužne učiniti na temelju prava Unije ili nacionalnog prava.

4.   Ako je zbog kvara u infrastrukturi neke agencije Unije tehnički nemoguće upotrijebiti ESP za postavljanje upita jednom ili više informacijskih sustava EU-a ili CIR-u, ta agencija o tome automatski obavješćuje agenciju eu-LISA i Komisiju.

POGLAVLJE III.

Zajednička usluga uspoređivanja biometrijskih podataka

Članak 12.

Zajednička usluga uspoređivanja biometrijskih podataka

1.   Zajednička usluga uspoređivanja biometrijskih podataka (zajednički BMS), čija je svrha pohranjivanje biometrijskih modela dobivenih iz biometrijskih podataka iz članka 13. koji su pohranjeni u CIR-u i SIS-u i omogućivanje postavljanja upita s pomoću biometrijskih podataka u više informacijskih sustava EU-a, uspostavlja se radi podupiranja CIR-a i MID-a te radi podupiranja ciljeva EES-a, VIS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

2.   Zajednički BMS sastoji se od sljedećeg:

(a)

središnje infrastrukture, koja zamjenjuje središnje sustave EES-a, VIS-a, SIS-a, Eurodaca odnosno ECRIS-TCN-a u mjeri u kojoj pohranjuje biometrijske modele i omogućuje pretraživanja s pomoću biometrijskih podataka;

(b)

sigurne komunikacijske infrastrukture između zajedničkog BMS-a, središnjeg SIS-a i CIR-a.

3.   Agencija eu-LISA razvija zajednički BMS i osigurava tehničko upravljanje njime.

Članak 13.

Pohrana biometrijskih modela u zajedničkoj usluzi uspoređivanja biometrijskih podataka

1.   U zajedničkom BMS-u pohranjuju se biometrijski modeli koje BMS dobiva iz sljedećih biometrijskih podataka:

(a)

podataka iz članka 20. stavka 3. točaka (w) i (y) Uredbe (EU) 2018/1861, osim podataka o otiscima dlanova;

(b)

podataka iz članka 5. stavka 1. točke (b) i članka 5. stavka 2. Uredbe (EU) 2019/816.

Biometrijski modelu pohranjuju se u zajedničkom BMS-u u logički odvojenom obliku s obzirom na informacijski sustav EU-a iz kojeg podaci potječu.

2.   Za svaki skup podataka iz stavka 1. zajednički BMS uključuje u svakom biometrijskom modelu upućivanje na informacijske sustave EU-a u kojima su pohranjeni odgovarajući biometrijski podaci i upućivanje na stvarnu evidenciju u tim informacijskim sustavima EU-a.

3.   Biometrijski modeli unose se u zajednički BMS tek nakon automatizirane provjere kvalitete biometrijskih podataka dodanih u jedan od informacijskih sustava EU-a koju obavlja zajednički BMS kako bi se utvrdilo da su ispunjeni minimalni standardi kvalitete podataka.

4.   Pohrana podataka iz stavka 1. mora ispunjavati standarde kvalitete iz članka 37. stavka 2.

5.   Komisija provedbenim aktom utvrđuje zahtjeve u pogledu uspješnosti i praktične aranžmane za praćenje uspješnosti zajedničkog BMS-a kako bi se osiguralo da se djelotvornošću biometrijskih pretraživanja poštuju vremenski osjetljivi postupci kao što su granična kontrola i identifikacije. Taj se provedbeni akt donosi u skladu s postupkom ispitivanja iz članka 70. stavka 2.

Članak 14.

Pretraživanje biometrijskih podataka s pomoću zajedničke usluge uspoređivanja biometrijskih podataka

Za pretraživanje biometrijskih podataka pohranjenih u CIR-u i SIS-u, CIR i SIS upotrebljavaju biometrijske modele pohranjene u zajedničkom BMS-u. Upiti s pomoću biometrijskih podataka obavljaju se u skladu sa svrhama predviđenima u ovoj Uredbi i u uredbama (EZ) br. 767/2008, (EU) 2017/2226, (EU) 2018/1860, (EU) 2018/1861, (EU) 2018/1862 i (EU) 2019/816.

Članak 15.

Zadržavanje podataka u zajedničkoj usluzi uspoređivanja biometrijskih podataka

Podaci iz članka 13. stavaka 1. i 2. pohranjuju se u zajedničkom BMS-u samo onoliko dugo koliko se odgovarajući biometrijski podaci pohranjuju u CIR-u ili SIS-u. Podaci se iz zajedničkog BMS-a brišu automatski.

Članak 16.

Vođenje evidencije

1.   Ne dovodeći u pitanje članke 12. i 18. Uredbe (EU) 2018/1862 i članak 29. Uredbe (EU) 2019/816, agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u zajedničkom BMS-u. Ta evidencija uključuje sljedeće:

(a)

državu članicu ili agenciju Unije koja je pokrenula upit;

(b)

povijest stvaranja i pohranjivanja biometrijskih modela;

(c)

informacijske sustave EU-a kojima se postavlja upit s pomoću biometrijskih modela pohranjenih u zajedničkom BMS-u;

(d)

datum i vrijeme postavljanja upita;

(e)

vrstu biometrijskih podataka koji su upotrijebljeni za pokretanje upita;

(f)

rezultate upita te datum i vrijeme rezultata.

2.   Svaka država članica vodi evidenciju upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu zajedničkog BMS-a. Svaka agencija Unije čuva evidenciju upita koje postavi njezino propisno ovlašteno osoblje.

3.   Evidencije iz stavaka 1. i 2. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za jamčenje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja, Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

POGLAVLJE IV.

Zajednički repozitorij podataka o identitetu

Članak 17.

Zajednički repozitorij podataka o identitetu

1.   Zajednički repozitorij podataka o identitetu (CIR), u kojem se stvara pojedinačni spis za svaku osobu koja je registrirana u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u, koji sadržava podatke iz članka 18., uspostavlja se za potrebe olakšavanja točne identifikacije osoba registriranih u EES-u, VIS-u, ETIAS-u, Eurodacu i ECRIS-TCN-u i pomaganja pri toj identifikaciji u skladu s člankom 20., za potrebe podupiranja funkcioniranja MID-a u skladu s člankom 21. i olakšavanja i usklađivanja pristupa imenovanih tijela i Europola EES-u, VIS-u, ETIAS-u i Eurodacu, prema potrebi radi sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela u skladu s člankom 22.

2.   CIR se sastoji od sljedećeg:

(a)

središnje infrastrukture koja zamjenjuje središnje sustave EES-a, VIS-a, ETIAS-a, Eurodaca i ECRIS-TCN-a u mjeri u kojoj pohranjuje podatke iz članka 18.;

(b)

sigurnog komunikacijskog kanala između CIR-a, država članica i agencija Unije koje imaju pravo upotrebljavati CIR u skladu s pravom Unije i nacionalnim pravom;

(c)

sigurne komunikacijske infrastrukture između CIR-a i EES-a, VIS-a, ETIAS-a, Eurodaca i ECRIS-TCN-a te središnjih infrastruktura ESP-a, zajedničkog BMS-a i MID-a.

3.   Agencija eu-LISA razvija CIR i osigurava tehničko upravljanje njime.

4.   Ako je zbog kvara CIR-a tehnički nemoguće postaviti upit CIR-u u svrhu identifikacije pojedine osobe na temelju članka 20., otkrivanja višestrukih identiteta na temelju članka 21. ili za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela na temelju članka 22., agencija eu-LISA o tome automatski obavješćuje korisnike CIR-a.

5.   Agencija eu-LISA u suradnji s državama članicama provodi specifikaciju sučelja za CIR na temelju UMF-a iz članka 38.

Članak 18.

Podaci u zajedničkom repozitoriju podataka o identitetu

1.   CIR pohranjuje sljedeće podatke, koji se logički odvajaju s obzirom na informacijski sustav iz kojeg podaci potječu: podatke iz članka 5. stavka 1. točke (b) i članka 5. stavka 2. te sljedeće podatke navedene u članku 5. stavku 1. točki (a) Uredbe (EU) 2019/816: prezime, ime(imena), datum rođenja, mjesto rođenja (grad i zemlja), državljanstvo ili državljanstva, spol, prethodna imena ako je primjenjivo, pseudonime ili druga imena, ako su dostupni, te, ako su dostupne, informacije o putnim ispravama.

2.   Za svaki skup podataka iz stavka 1. CIR uključuje upućivanje na informacijske sustave EU-a kojima podaci pripadaju.

3.   Nadležna tijela koja pristupaju CIR-u to čine u skladu sa svojim pravima pristupa na temelju pravnih instrumenata kojima se uređuju informacijski sustavi EU-a i na temelju nacionalnog prava te u skladu sa svojim pravima pristupa na temelju ove Uredbe za potrebe iz članaka 20., 21. i 22.

4.   Za svaki skup podataka iz stavka 1. CIR uključuje upućivanje na stvarnu evidenciju u informacijskim sustavima EU-a kojima podaci pripadaju.

5.   Pohrana podataka iz stavka 1. mora ispunjavati standarde kvalitete iz članka 37. stavka 2.

Članak 19.

Dodavanje, izmjene i brisanje podataka u zajedničkom repozitoriju podataka o identitetu

1.   Ako se podaci dodaju, mijenjaju ili brišu u Eurodacu ili ECRIS-TCN-u, podaci iz članka 18. pohranjeni u pojedinačnom spisu CIR-a automatski se, u skladu s time, dodaju, mijenjaju ili brišu.

2.   Ako se umjesto stvaranja novog pojedinačnog spisa u MID-u stvori bijela ili crvena poveznica u skladu s člankom 32. ili člankom 33. između podataka iz dvaju ili više informacijskih sustava EU-a koji čine CIR, CIR dodaje nove podatke pojedinačnom spisu povezanih podataka.

Članak 20.

Pristup zajedničkom repozitoriju podataka o identitetu radi identifikacije

1.   Upite CIR-u provodi policijsko tijelo u skladu sa stavcima 2. i 5. samo u sljedećim okolnostima:

(a)

ako policijsko tijelo ne može identificirati osobu zbog nepostojanja putne isprave ili drugog vjerodostojnog dokumenta kojim se dokazuje identitet te osobe;

(b)

ako postoje sumnje u pogledu podataka o identitetu koje je osoba pružila;

(c)

ako postoje sumnje u vjerodostojnost putne isprave ili drugog vjerodostojnog dokumenta koji je osoba pružila;

(d)

ako postoje sumnje u pogledu identiteta nositelja putne isprave ili drugog vjerodostojnog dokumenta; ili

(e)

ako osoba ne može surađivati ili odbija surađivati.

Takvi upiti nisu dopušteni u slučaju maloljetnika mlađih od 12 godina, osim ako je to u najboljem interesu djeteta.

2.   Ako dođe do neke od okolnosti iz stavka 1. i ako je policijsko tijelo za to ovlašteno u skladu s nacionalnim zakonodavnim mjerama iz stavka 5., to tijelo smije, isključivo u svrhu identifikacije osobe, postaviti upit CIR-u s pomoću biometrijskih podataka te osobe prikupljenih uživo tijekom provjere identiteta, pod uvjetom da je taj postupak započet u prisutnosti te osobe.

3.   Ako se upitom utvrdi da su podaci o toj osobi pohranjeni u CIR-u, policijsko tijelo ima pristup radi ostvarivanja uvida u podatke iz članka 18. stavka 1.

Ako se biometrijski podaci osobe ne mogu upotrijebiti ili ako je upit s pomoću tih podataka bio neuspješan, upit se provodi s pomoću podataka o identitetu te osobe u kombinaciji s podacima o putnoj ispravi ili s podacima o identitetu koje je dala ta osoba.

4.   Ako je policijsko tijelo za to ovlašteno nacionalnim zakonodavnim mjerama iz stavka 6., ono smije, u slučaju prirodne katastrofe, nesreće ili terorističkog napada i isključivo u svrhu identifikacije nepoznatih osoba koje se ne mogu same identificirati ili identifikacije neidentificiranih ljudskih posmrtnih ostataka, postaviti upit CIR-u s pomoću biometrijskih podataka tih osoba.

5.   Države članice koje žele iskoristiti mogućnost predviđenu u stavku 1. donose nacionalne zakonodavne mjere. Države članice pritom uzimaju u obzir da je nužno izbjegavati bilo kakvu diskriminaciju državljana trećih zemalja. U takvim zakonodavnim mjerama precizno se navode svrhe identifikacije u okviru svrha navedenih u članku 2. stavku 1. točkama (b) i (c). U njima se određuju nadležna policijska tijela i propisuju postupci, uvjeti i kriteriji za takve provjere.

6.   Države članice koje žele iskoristiti mogućnost predviđenu u stavku 4. donose nacionalne zakonodavne mjere kojima se propisuju postupci, uvjeti i kriteriji.

Članak 21.

Pristup zajedničkom repozitoriju identiteta radi otkrivanja višestrukih identiteta

1.   Ako se upitom CIR-u dobije žuta poveznica u skladu s člankom 28. stavkom 4., tijelo nadležno za ručnu provjeru različitih identiteta u skladu s člankom 29. ima pristup, isključivo za potrebe te provjere, podacima iz članka 18. stavaka 1. i 2. koji su pohranjeni u CIR-u i povezani žutom poveznicom.

2.   Ako se upitom CIR-u dobije crvena poveznica u skladu s člankom 32., tijela iz članka 26. stavka 2. imaju pristup, isključivo za potrebe suzbijanja prijevara povezanih s identitetom, podacima iz članka 18. stavaka 1. i 2. koji su pohranjeni u CIR-u i povezani crvenom poveznicom.

Članak 22.

Postavljanje upita u zajednički repozitorij podataka o identitetu za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela

1.   Ako se u određenom predmetu, kada postoje opravdani razlozi za vjerovati da će ostvarivanje uvida u informacijske sustave EU-a doprinijeti sprječavanju, otkrivanju ili istrazi kaznenih djela terorizma ili drugih teških kaznenih djela, a osobito kada postoji sumnja da je osumnjičenik, počinitelj ili žrtva kaznenog djela terorizma ili drugih teških kaznenih djela osoba čiji su podaci pohranjeni u Eurodacu, imenovana tijela i Europol mogu ostvariti uvid u CIR radi prikupljanja informacija o tome nalaze li se podaci o određenoj osobi u Eurodacu.

2.   Ako CIR u odgovoru na upit navede da se podaci o određenoj osobi nalaze u Eurodacu, CIR imenovanim tijelima i Europolu dostavlja odgovor u obliku upućivanja, kako je navedeno u članku 18. stavku 2., u kojem se navodi da Eurodac sadržava podatke koji se podudaraju. Odgovor iz CIR-a mora biti takav da se njime ne ugrožava sigurnost podataka.

Odgovor u kojem se navodi da postoje podaci o toj osobi u Eurodacu upotrebljava se samo za potrebe podnošenja zahtjeva za puni pristup koji podliježe uvjetima i postupcima propisanima u pravnom instrumentu kojim se uređuje taj pristup.

U slučaju jedne ili više podudarnosti, imenovano tijelo ili Europol podnose zahtjev za puni pristup barem jednom od informacijskih sustava za koji je utvrđena podudarnost.

Ako se, iznimno, ne podnese zahtjev za takav puni pristup, imenovana tijela evidentiraju obrazloženje za nepodnošenje zahtjeva, koje se mora moći povezati s nacionalnim spisom. Europol evidentira obrazloženje u relevantnom spisu.

3.   Potpuni pristup podacima sadržanima u Eurodacu za potrebe sprječavanja, otkrivanja ili istrage kaznenih djela terorizma ili drugih teških kaznenih djela i dalje podliježe uvjetima i postupcima propisanima u odgovarajućem pravnom instrumentu kojim se uređuje taj pristup.

Članak 23.

Zadržavanje podataka u zajedničkom repozitoriju podataka o identitetu

1.   Podaci iz članka 18. stavaka 1., 2. i 4. brišu se iz CIR-a automatski u skladu s odredbama o zadržavanju podataka iz Uredbe (EU) 2019/816.

2.   Pojedinačni spis pohranjuje se u CIR-u samo onoliko dugo koliko su odgovarajući podaci pohranjeni u barem jednom od informacijskih sustava EU-a čiji su podaci sadržani u CIR-u. Stvaranje poveznice ne utječe na razdoblje zadržavanja svake stavke povezanih podataka.

Članak 24.

Vođenje evidencije

1.   Ne dovodeći u pitanje članak 29. Uredbe (EU) 2019/816, agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u okviru CIR-a u skladu sa stavcima 2., 3. i 4. ovog članka.

2.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u CIR-u na temelju članka 20. Ta evidencija uključuje sljedeće:

(a)

državu članicu ili agenciju Unije koja je pokrenula upit;

(b)

svrhu pristupa korisnika koji postavlja upit putem CIR-a;

(c)

datum i vrijeme postavljanja upita;

(d)

vrstu podataka koji su upotrijebljeni za pokretanje upita;

(e)

rezultate upita.

3.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u CIR-u na temelju članka 21. Ta evidencija uključuje sljedeće:

(a)

državu članicu ili agenciju Unije koja je pokrenula upit;

(b)

svrhu pristupa korisnika koji postavlja upit putem CIR-a;

(c)

datum i vrijeme postavljanja upita;

(d)

ako se stvara poveznica, podatke koji su upotrijebljeni za pokretanje upita i rezultate upita u kojima se navodi informacijski sustav EU-a iz kojeg su podaci dobiveni;

4.   Agencija eu-LISA vodi evidenciju svih postupaka obrade podataka u CIR-u na temelju članka 22. Ta evidencija uključuje sljedeće:

(a)

datum i vrijeme postavljanja upita;

(b)

podatke koji su upotrijebljeni za pokretanje upita;

(c)

rezultate upita;

(d)

državu članicu ili agenciju Unije koja postavlja upit u CIR-u.

Evidenciju o takvom pristupu redovito provjerava nadležno nadzorno tijelo u skladu s člankom 41. Direktive (EU) 2016/680 ili Europski nadzornik za zaštitu podataka u skladu s člankom 43. Uredbe (EU) 2016/794 u razmacima ne dužima od šest mjeseci, kako bi se provjerilo jesu li ispunjeni postupci i uvjeti iz članka 22. stavaka od 1. do 3. ove Uredbe.

5.   Svaka država članica vodi evidencije upita koje postave njezina tijela i osoblje tih tijela koje je propisno ovlašteno za uporabu CIR-a na temelju članaka 20., 21. i 22. Svaka agencija Unije vodi evidenciju upita koje postavi njezino propisno ovlašteno osoblje na temelju članaka 21. i 22.

Osim toga, svaka država članica za svako pristupanje CIR-u na temelju članka 22. vodi sljedeću evidenciju:

(a)

upućivanje na nacionalni spis;

(b)

svrha pristupa;

(c)

u skladu s nacionalnim pravilima, jedinstveni korisnički identitet službenika koji je postavio upit i službenika koji je naložio postavljanje upita.

6.   U skladu s Uredbom (EU) 2016/794, za svako pristupanje CIR-u na temelju članka 22. ove Uredbe, Europol vodi evidenciju o jedinstvenom korisničkom identitetu službenika koji je postavio upit i službenika koji je naložio postavljanje upita.

7.   Evidencije iz stavaka od 2. do6. smiju se upotrebljavati samo za praćenje zaštite podataka, uključujući provjeru dopuštenosti upita i zakonitosti obrade podataka, te za jamčenje sigurnosti i cjelovitosti podataka. Te evidencije moraju biti zaštićene odgovarajućim mjerama protiv neovlaštenog pristupa te se brišu godinu dana nakon njihova stvaranja. Ako su, međutim, potrebne za postupke praćenja koji su već počeli, brišu se onda kada više nisu potrebne za postupke praćenja.

8.   Agencija eu-LISA pohranjuje evidenciju o povijesti podataka u pojedinačne spise. Agencija eu-LISA automatski briše takvu evidenciju nakon brisanja tih podataka.

POGLAVLJE V.

Detektor višestrukih identiteta

Članak 25.

Detektor višestrukih identiteta

1.   Detektor višestrukih identiteta (MID), u kojem se stvaraju i pohranjuju spisi za potvrdu identiteta iz članka 34. sadržava poveznice između podataka iz informacijskih sustava EU-a koji su uključeni u CIR i SIS i omogućuje otkrivanje višestrukih identiteta, s dvojnom svrhom olakšavanja provjera identiteta i suzbijanja prijevara povezanih s identitetom, uspostavlja se u svrhu potpore funkcioniranju CIR-a i ciljevima EES-a, VIS-a, ETIAS-a, Eurodaca, SIS-a i ECRIS-TCN-a.

2.   MID se sastoji od sljedećeg:

(a)

središnje infrastrukture u kojoj su pohranjene poveznice i upućivanja na informacijske sustave EU-a;

(b)

sigurne komunikacijske infrastrukture za povezivanje MID-a sa SIS-om i središnjim infrastrukturama ESP-a i CIR-a.

3.   Agencija eu-LISA razvija MID i osigurava tehničko upravljanje njime.

Članak 26.

Pristup detektoru višestrukih identiteta

1.   Za potrebe ručne provjere različitih identiteta iz članka 29. sljedećim tijelima odobrava se pristup podacima iz članka 34. pohranjenima u MID-u:

(a)

uredu SIRENE države članice koji unosi ili ažurira upozorenje u skladu s Uredbom (EU) 2018/1862;

(b)

središnjim tijelima države članice koja je izrekla osuđujuću presudu pri unošenju ili izmjeni podataka u ECRIS-TCN-u u skladu s člankom 5. ili člankom 9. Uredbe (EU) 2019/816.

2.   Tijela država članica i agencije Unije koje imaju pristup barem jednom informacijskom sustavu EU-a koji je uključen u CIR ili SIS-u imaju pristup podacima iz članka 34. točaka (a) i (b) u pogledu crvenih poveznica iz članka 32.

3.   Tijela država članica i agencije Unije imaju pristup bijelim poveznicama iz članka 33. ako imaju pristup dvama informacijskim sustavima EU-a koji sadržavaju podatke između kojih je stvorena bijela poveznica.

4.   Tijela država članica i agencije Unije imaju pristup zelenim poveznicama iz članka 31. ako imaju pristup dvama informacijskim sustavima EU-a koji sadržavaju podatke između kojih je stvorena zelena poveznica i ako je upitom u te informacijske sustave otkrivena podudarnost s dvama skupovima povezanih podataka.

Članak 27.

Otkrivanje višestrukih identiteta

1.   Otkrivanje višestrukih identiteta u CIR-u i SIS-u pokreće se u sljedećim slučajevima:

(a)

upozorenje o osobi stvoreno je ili ažurirano u SIS-u u skladu s poglavljima od VI. do IX. Uredbe (EU) 2018/1862;

(b)

stvoren je ili izmijenjen zapis podataka u ECRIS-TCN-u u skladu s člankom 5. ili člankom 9. Uredbe (EU) 2019/816.

2.   Ako podaci sadržani u informacijskom sustavu EU-a iz stavka 1. sadržavaju biometrijske podatke, CIR i središnji SIS upotrebljavaju zajednički BMS za otkrivanje višestrukih identiteta. Zajednički BMS uspoređuje biometrijske modele dobivene iz novih biometrijskih podataka s biometrijskim modelima koji se već nalaze u zajedničkom BMS-u kako bi provjerio jesu li podaci o istoj osobi već pohranjeni u CIR-u ili središnjem SIS-u.

3.   Uz postupak iz stavka 2. CIR i središnji SIS upotrebljavaju ESP za pretraživanje podataka pohranjenih u središnjem SIS-u, odnosno u CIR-u s pomoću sljedećih podataka:

(a)

prezimena, imena, imena pri rođenju, prethodno upotrebljavana prezimena i imena i imena, pseudonimi, mjesto rođenja, datum rođenja, rod i sva državljanstava koja osoba ima, kako je navedeno u članku 20. stavku 3. Uredbe (EU) 2018/1862;

(b)

prezimena, ime(imena), datum rođenja, mjesto rođenja (grad i zemlja), državljanstvo ili državljanstava i spol, kako je navedeno u članku 5. stavku 1. točki (a) Uredbe (EU) 2019/816;

4.   Uz postupak iz stavaka 2. i 3. CIR i središnji SIS upotrebljavaju ESP za pretraživanje podataka pohranjenih u središnjem SIS-u, odnosno u CIR-u s pomoću podataka o putnoj ispravi.

5.   Otkrivanje višestrukih identiteta pokreće se samo radi usporedbe podataka dostupnih u jednom informacijskom sustavu EU-a s podacima dostupnima u drugim informacijskim sustavima EU-a.

Članak 28.

Rezultati otkrivanja višestrukih identiteta

1.   Ako se upitima iz članka 27. stavaka 2., 3. i 4. ne pronađe nikakva podudarnost, postupci iz članka 27. stavka 1. nastavljaju se u skladu s pravnim instrumentima kojima su uređeni.

2.   Ako se upitom iz članka 27. stavaka 2., 3. i 4. pronađe jedna ili više podudarnosti, u CIR-u i, ako je to relevantno, u SIS-u stvara se poveznica između podataka upotrijebljenih za pokretanje upita i podataka na temelju kojih je pronađena podudarnost.

U slučaju više pronađenih podudarnosti, stvara se poveznica među svim podacima na temelju kojih je pronađena podudarnost. Ako su podaci već povezani, postojeća poveznica proširuje se na podatke upotrijebljene za pokretanje upita.

3.   Ako se upitom iz članka 27. stavaka 2., 3. i 4. pronađe jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa isti su ili slični, stvara se bijela poveznica u skladu s člankom 33.

4.   Ako se upitom iz članka 27. stavaka 2., 3. i 4. pronađe jedna ili više podudarnosti i podaci o identitetu iz povezanih spisa ne mogu se smatrati sličnima, stvara se žuta poveznica u skladu s člankom 30. i primjenjuje se postupak iz članka 29.

5.   Komisija donosi delegirane akte u skladu s člankom 69. kojima se utvrđuju postupci za određivanje slučajeva u kojima se podaci o identitetu mogu smatrati istima ili sličnima.

6.   Poveznice se pohranjuju u spis za potvrdu identiteta iz članka 34.

7.   Komisija u suradnji s agencijom eu-LISA provedbenim aktima utvrđuje tehnička pravila za stvaranje poveznica između podataka iz različitih informacijskih sustava EU-a. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 70. stavka 2.

Članak 29.

Ručna provjera različitih identiteta i nadležna tijela

1.   Ne dovodeći u pitanje stavak 2. sljedeća su tijela nadležna za ručnu provjeru različitih identiteta:

(a)

ured SIRENE države članice za podudarnosti pronađene pri stvaranju ili ažuriranju upozorenja u SIS-u u skladu s Uredbom (EU) 2018/1862;

(b)

središnja tijela države članice koja je izrekla osuđujuću presudu za podudarnosti pronađene pri unošenju ili izmjeni podataka u ECRIS-TCN-u u skladu s člankom 5. ili člankom 9. Uredbe (EU) 2019/816.

U MID-u se navodi tijelo nadležno za ručnu provjeru različitih identiteta u spisu za potvrdu identiteta.

2.   Tijelo nadležno za ručnu provjeru različitih identiteta u spisu za potvrdu identiteta jest ured SIRENE države članice koja je stvorila upozorenje ako je stvorena poveznica na podatke sadržane u upozorenju:

(a)

u pogledu osoba za koje se traži uhićenje radi predaje ili izručenja iz članka 26. Uredbe (EU) 2018/1862;

(b)

o nestalim ili ranjivim osobama iz članka 32. Uredbe (EU) 2018/1862;

(c)

o osobama koje se traže radi pomoći u sudskom postupku iz članka 34. Uredbe (EU) 2018/1862;

(d)

o osobama radi skrivenih provjera, obavijesnih provjera ili posebnih provjera iz članka 36. Uredbe (EU) 2018/1862.

3.   Tijelo nadležno za ručnu provjeru različitih identiteta ima pristup povezanim podacima sadržanima u relevantnom spisu za potvrdu identiteta i podacima o identitetu povezanima u CIR-u i, ako je to relevantno, u SIS-u. To tijelo bez odgode ocjenjuje različite identitete. Nakon što dovrši takvo ocjenjivanje, ono ažurira poveznicu u skladu s člancima 31., 32. i 33. i bez odgode je dodaje spisu za potvrdu identiteta.

4.   Ako je stvoreno više poveznica, tijelo nadležno za ručnu provjeru različitih identiteta zasebno ocjenjuje svaku poveznicu.

5.   Ako su podaci na temelju kojih je pronađena podudarnost već povezani, tijelo nadležno za ručnu provjeru različitih identiteta uzima u obzir postojeće poveznice pri procjeni stvaranja novih poveznica.

Članak 30.

Žuta poveznica

1.   Ako još nije obavljena ručna provjera različitih identiteta, poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao žuta poveznica u sljedećim slučajevima:

(a)

povezani podaci imaju iste biometrijske podatke, ali slične ili različite podatke o identitetu;

(b)

povezani podaci imaju različite podatke o identitetu, ali iste podatke o putnoj ispravi i barem jedan od informacijskih sustava EU-a ne sadržava biometrijske podatke o predmetnoj osobi;

(c)

povezani podaci imaju iste podatke o identitetu, ali različite biometrijske podatke;

(d)

povezani podaci imaju slične ili različite podatke o identitetu i iste podatke o putnoj ispravi, ali različite biometrijske podatke.

2.   Ako je poveznica razvrstana kao žuta poveznica u skladu sa stavkom 1., primjenjuje se postupak iz članka 29.

Članak 31.

Zelena poveznica

1.   Poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao zelena poveznica ako:

(a)

povezani podaci imaju različite biometrijske podatke, ali iste podatke o identitetu i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci odnose na dvije različite osobe;

(b)

povezani podaci imaju različite biometrijske podatke, slične ili različite podatke o identitetu i iste podatke o putnoj ispravi, a tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci odnose na dvije različite osobe;

(c)

povezani podaci imaju različite podatke o identitetu, ali imaju iste podatke o putnoj ispravi i barem jedan od informacijskih sustava EU-a ne sadržava biometrijske podatke o predmetnoj osobi, a tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci odnose na dvije različite osobe.

2.   Ako se upit postavlja CIR-u ili SIS-u i ako postoji zelena poveznica između podataka iz dvaju ili više informacijskih sustava EU-a, u MID-u se navodi da podaci o identitetu povezanih podataka od odgovaraju istoj osobi.

3.   Ako tijelo države članice ima dokaze koji upućuju na to da je zelena poveznica netočno zabilježena u MID, da nije ažurirana ili da je obradom podataka u MID-u ili informacijskim sustavima EU-a prekršena ova Uredba, ono provjerava relevantne podatke pohranjene u CIR-u i SIS-u i, ako je to potrebno, ispravlja ili briše poveznicu iz MID-a bez odgode. To tijelo države članice bez odgode obavješćuje državu članicu nadležnu za ručnu provjeru različitih identiteta.

Članak 32.

Crvena poveznica

1.   Poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao crvena poveznica u sljedećim slučajevima:

(a)

povezani podaci imaju iste biometrijske podatke, ali slične ili različite podatke o identitetu i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci neopravdano odnose na istu osobu;

(b)

povezani podaci imaju iste, slične ili različite podatke o identitetu i iste podatke o putnoj ispravi, ali različite biometrijske podatke i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci odnose na dvije različite osobe od kojih se barem jedna neopravdano koristi istom putnom ispravom;

(c)

povezani podaci imaju iste podatke o identitetu, ali različite biometrijske podatke, dok su podaci o putnoj ispravi različiti ili ih uopće nema i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci neopravdano odnose na dvije različite osobe;

(d)

povezani podaci imaju različite podatke o identitetu, ali iste podatke o putnoj ispravi, te barem jedan od informacijskih sustava EU-a ne sadržava biometrijske podatke o predmetnoj osobi i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci neopravdano odnose na istu osobu.

2.   Ako se upit postavlja CIR-u ili SIS-u i ako postoji crvena poveznica između podataka iz dvaju ili više informacijskih sustava EU-a, MID navodi podatke iz članka 34. Daljnji postupak u slučaju crvene poveznice provodi se u skladu s pravom Unije i nacionalnim pravom, pri čemu se sve pravne posljedice za predmetnu osobu smiju temeljiti samo na relevantnim podacima o toj osobi. Nikakve pravne posljedice za predmetnu osobu ne smiju proizlaziti isključivo iz postojanja crvene poveznice.

3.   Ako je stvorena crvena poveznica između podataka u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u, pojedinačni spis pohranjen u CIR-u ažurira se u skladu s člankom 19. stavkom 2.

4.   Ne dovodeći u pitanje odredbe povezane s postupanjem s upozorenjima u SIS-u sadržane u uredbama (EU) 2018/1860, (EU) 2018/1861 i (EU) 2018/1862 i ne dovodeći u pitanje ograničenja koja su potrebna za zaštitu sigurnosti i javnog poretka, sprječavanje kaznenih djela i jamčenje da se neće ugroziti nacionalne istrage, u slučaju stvaranja crvene poveznice tijelo nadležno za ručnu provjeru različitih identiteta obavješćuje predmetnu osobu o postojanju podataka o višestrukom nezakonitom identitetu te toj osobi pruža jedinstveni identifikacijski broj iz članka 34. točke (c) ove Uredbe, upućivanje na tijelo nadležno za ručnu provjeru različitih identiteta iz članka 34. točke (d) ove Uredbe i adresu internetskog portala uspostavljenog u skladu s člankom 49. ove Uredbe.

5.   Informacije iz stavka 4. u pisanom obliku putem standardnog obrasca pruža tijelo nadležno za ručnu provjeru različitih identiteta. Komisija provedbenim aktima utvrđuje sadržaj i izgled tog obrasca. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 70. stavka 2.

6.   Ako je stvorena crvena poveznica, MID automatski obavješćuje tijela nadležna za povezane podatke.

7.   Ako tijelo države članice ili agencija Unije koji imaju pristup CIR-u ili SIS-u ima dokaze koji ukazuju na to da je crvena poveznica netočno zabilježena u MID ili da je obradom podataka u MID-u, CIR-u ili SIS-u prekršena ova Uredba, to tijelo ili ta agencija provjerava relevantne podatke pohranjene u CIR-u ili SIS-u i:

(a)

ako se poveznica odnosi na jedno od upozorenja u SIS-u iz članka 29. stavka 2., odmah obavješćuje relevantni ured SIRENE države članice koja je stvorila upozorenje u SIS-u;

(b)

u svim ostalim slučajevima, odmah ispravlja ili briše poveznicu u MID-u.

Ako je uspostavljen kontakt s uredom SIRENE na temelju prvog podstavka točke (a), taj ured provjerava dokaze koje su mu dostavili tijelo države članice ili agencija Unije i, ako je to relevantno, odmah ispravlja ili briše poveznicu u MID-u.

Tijelo države članice koje dobije dokaze bez odgode obavješćuje tijelo države članice nadležno za ručnu provjeru različitih identiteta o eventualnom odgovarajućem ispravku ili brisanju crvene poveznice.

Članak 33.

Bijela poveznica

1.   Poveznica između podataka iz dvaju ili više informacijskih sustava EU-a razvrstava se kao bijela poveznica u sljedećim slučajevima:

(a)

povezani podaci imaju iste biometrijske podatke i iste ili slične podatke o identitetu;

(b)

povezani podaci imaju iste ili slične podatke o identitetu, iste podatke o putnoj ispravi i barem jedan od informacijskih sustava EU-a nema biometrijske podatke o predmetnoj osobi;

(c)

povezani podaci imaju iste biometrijske podatke, iste podatke o putnoj ispravi i slične podatke o identitetu;

(d)

povezani podaci imaju iste biometrijske podatke, ali slične ili različite podatke o identitetu i tijelo nadležno za ručnu provjeru različitih identiteta zaključilo je da se povezani podaci opravdano odnose na istu osobu.

2.   Ako se upit postavlja CIR-u ili SIS-u i ako postoji bijela poveznica između podataka iz dvaju ili više informacijskih sustava EU-a, u MID-u se navodi da podaci o identitetu povezanih podataka odgovaraju istoj osobi. Informacijski sustavi EU-a kojima je postavljen upit odgovaraju navođenjem, ako je to relevantno, svih povezanih podataka o osobi čime se dobiva podudarnost na temelju podataka koji su povezani bijelom poveznicom, ako tijelo koje je pokrenulo upit ima pristup povezanim podacima u skladu s pravom Unije ili nacionalnim pravom.

3.   Ako je stvorena bijela poveznica između podataka u EES-u, VIS-u, ETIAS-u, Eurodacu ili ECRIS-TCN-u, pojedinačni spis pohranjen u CIR-u ažurira se u skladu s člankom 19. stavkom 2.

4.   Ne dovodeći u pitanje odredbe o postupanju s upozorenjima u SIS-u sadržane u uredbama (EU) 2018/1860, (EU) 2018/1861 i (EU) 2018/1862 i ne dovodeći u pitanje ograničenja koja su potrebna za zaštitu sigurnosti i javnog poretka, sprječavanje kaznenih djela i jamčenje da se neće ugroziti nacionalne istrage, ako je nakon ručne provjere različitih identiteta stvorena bijela poveznica, tijelo nadležno za ručnu provjeru različitih identiteta obavješćuje predmetnu osobu o postojanju sličnih ili različitih podataka o identitetu te toj osobi pruža jedinstveni identifikacijski broj iz članka 34. točke (c) ove Uredbe, upućivanje na tijelo nadležno za ručnu provjeru različitih identiteta iz članka 34. točke (d) ove Uredbe i adresu internetskog portala uspostavljenog u skladu s člankom 49. ove Uredbe.

5.   Ako tijelo države članice ima dokaze koji ukazuju na to da je bijela poveznica netočno zabilježena u MID-u, da bijela poveznica nije ažurirana ili da je obradom podataka u MID-u ili informacijskim sustavima EU-a prekršena ova Uredba, ono provjerava relevantne podatke pohranjene u CIR-u i SIS-u i, ako je to potrebno, ispravlja ili briše poveznicu u MID-u bez odgode. To tijelo države članice bez odgode obavješćuje državu članicu nadležnu za ručnu provjeru različitih identiteta.

6.   Informacije iz stavka 4. u pisanom obliku putem standardnog obrasca pruža tijelo nadležno za ručnu provjeru različitih identiteta. Komisija provedbenim aktima utvrđuje sadržaj i izgled tog obrasca. Ti se provedbeni akti donose u skladu s postupkom ispitivanja iz članka 70. stavka 2.

Članak 34.

Spis za potvrdu identiteta

Spis za potvrdu identiteta sadržava sljedeće podatke:

(a)

poveznice iz članaka od 30. do 33.;

(b)

upućivanje na informacijske sustave EU-a u kojima se povezani podaci čuvaju;

(c)

jedinstveni identifikacijski broj s pomoću kojeg se povezani podaci mogu preuzeti iz odgovarajućih informacijskih sustava EU-a;

(d)

podatke o tijelu nadležnom za ručnu provjeru različitih identiteta;

(e)

datum stvaranja poveznice ili svakog njezina ažuriranja.

Članak 35.

Zadržavanje podataka u detektoru višestrukih identiteta

Spisi za potvrdu identiteta i podaci sadržani u njima, uključujući poveznice, pohranjuju se u MID-u samo dok su povezani podaci pohranjeni u dvama ili više informacijskih sustava EU-a. Automatski se brišu iz MID-a.