This document is an excerpt from the EUR-Lex website
Document 32021D0627
Commission Implementing Decision (EU) 2021/627 of 15 April 2021 laying down rules on keeping and accessing of the logs in the European Travel Information and Authorisation System (ETIAS) pursuant to Regulation (EU) 2018/1240 of the European Parliament and of the Council
Uitvoeringsbesluit (EU) 2021/627 van de Commissie van 15 april 2021 tot vaststelling van regels betreffende het bijhouden van en de toegang tot de logbestanden in het Europees reisinformatie- en -autorisatiesysteem (Etias) uit hoofde van Verordening (EU) 2018/1240 van het Europees Parlement en de Raad
Uitvoeringsbesluit (EU) 2021/627 van de Commissie van 15 april 2021 tot vaststelling van regels betreffende het bijhouden van en de toegang tot de logbestanden in het Europees reisinformatie- en -autorisatiesysteem (Etias) uit hoofde van Verordening (EU) 2018/1240 van het Europees Parlement en de Raad
C/2021/2426
PB L 131 van 16.4.2021, p. 187–190
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
16.4.2021 |
NL |
Publicatieblad van de Europese Unie |
L 131/187 |
UITVOERINGSBESLUIT (EU) 2021/627 VAN DE COMMISSIE
van 15 april 2021
tot vaststelling van regels betreffende het bijhouden van en de toegang tot de logbestanden in het Europees reisinformatie- en -autorisatiesysteem (Etias) uit hoofde van Verordening (EU) 2018/1240 van het Europees Parlement en de Raad
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2018/1240 van het Europees Parlement en de Raad van 12 september 2018 tot oprichting van een Europees reisinformatie- en -autorisatiesysteem (Etias) en tot wijziging van de Verordeningen (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 en (EU) 2017/2226 (1), en met name artikel 73, lid 3, derde alinea, punt b), iii),
Overwegende hetgeen volgt:
|
(1) |
Bij Verordening (EU) 2018/1240 is het Europees reisinformatie- en -autorisatiesysteem (Etias) ingesteld, dat van toepassing is op onderdanen van derde landen die zijn vrijgesteld van de verplichting om in het bezit te zijn van een visum om het grondgebied van de lidstaten binnen te komen en er te verblijven. |
|
(2) |
Voor de werking van het Europees reisinformatie- en -autorisatiesysteem zijn de ontwikkeling en de technische implementatie van het Etias-informatiesysteem vereist. Dit systeem voorziet in logbestanden waarin alle uitgevoerde gegevensverwerkingsverrichtingen worden geregistreerd. |
|
(3) |
Het is noodzakelijk regels vast te stellen betreffende het bijhouden van en de toegang tot de logbestanden. De logbestanden mogen uitsluitend worden gebruikt om na te gaan of aan de gegevensverwerkingsverplichtingen is voldaan en om de integriteit en veiligheid van de operationele persoonsgegevens te waarborgen. |
|
(4) |
Wat het bijhouden van logbestanden betreft, moet worden bepaald op welke locatie zij moeten worden opgeslagen, hoe zij technisch moeten worden geregistreerd, ook wanneer zij samenhangen met verschillende onderdelen van het Europees reisinformatie- en -autorisatiesysteem, en welke regels van toepassing zijn op het wissen van de logbestanden na afloop van de bewaringstermijn. |
|
(5) |
Wat de toegang tot de logbestanden betreft, moet worden gespecificeerd aan welke bevoegde autoriteiten, in voorkomend geval met inbegrip van specifieke bij die autoriteiten werkzame personen, de toegang tot de logbestanden moet worden verleend en voor welke doeleinden toegang tot de logbestanden kan worden verkregen. Om ervoor te zorgen dat de bevoegde autoriteiten hun taken in verband met het toezicht op de rechtmatigheid van de gegevensverwerking en het waarborgen van de gegevensbeveiliging en -integriteit kunnen uitvoeren, moet de identificatie van logbestanden worden vergemakkelijkt door middel van een doeltreffende zoekfunctie. |
|
(6) |
Logbestanden waarin de toegang van naar behoren gemachtigde personeelsleden van de nationale autoriteiten van elke lidstaat en naar behoren gemachtigde personeelsleden van de agentschappen van de Unie wordt geregistreerd voor de in artikel 13, lid 4 bis, van Verordening (EU) 2018/1240 bedoelde doeleinden, moeten worden bijgehouden overeenkomstig de vereisten van artikel 24, leden 2 en 3, van Verordening (EU) 2019/817. |
|
(7) |
Het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) is verantwoordelijk voor de ontwerp- en ontwikkelingsfase van het Etias-informatiesysteem. De bij dit besluit vastgestelde maatregelen moeten het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht in staat stellen het ontwerp van de fysieke architectuur van het Europees reisinformatie- en -autorisatiesysteem vast te stellen, met inbegrip van de communicatie-infrastructuur, alsmede de technische specificaties van het systeem, en te zorgen voor de ontwikkeling van het Europees reisinformatie- en -autorisatiesysteem. Het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht dient, als aanvulling op deze maatregelen, de technische specificaties en het interface control document van het Europees reisinformatie- en -autorisatiesysteem vast te stellen. |
|
(8) |
Overeenkomstig de artikelen 1 en 2 van het protocol (nr. 22) betreffende de positie van Denemarken, dat aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie is gehecht, heeft Denemarken niet deelgenomen aan de vaststelling van Verordening (EU) 2018/1240 en is deze niet bindend voor, noch van toepassing op deze lidstaat. Omdat Verordening (EU) 2018/1240 echter voortbouwt op het Schengenacquis, heeft Denemarken op 21 december 2018 overeenkomstig artikel 4 van dat protocol kennisgegeven van zijn besluit om Verordening (EU) 2018/1240 in zijn nationale recht om te zetten. |
|
(9) |
Dit besluit houdt een ontwikkeling in van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt, overeenkomstig Besluit 2002/192/EG van de Raad (2); Ierland neemt derhalve niet deel aan de vaststelling van dit besluit en dit is niet bindend voor, noch van toepassing op deze lidstaat. |
|
(10) |
Wat IJsland en Noorwegen betreft, houdt dit besluit een ontwikkeling in van de bepalingen van het Schengenacquis, in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (3), die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG van de Raad (4). |
|
(11) |
Wat Zwitserland betreft, houdt dit besluit een ontwikkeling in van de bepalingen van het Schengenacquis, in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (5), die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG van de Raad, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (6). |
|
(12) |
Wat Liechtenstein betreft, houdt dit besluit een ontwikkeling in van de bepalingen van het Schengenacquis, in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (7), die vallen onder het gebied bedoeld in artikel 1, punt A, van Besluit 1999/437/EG van de Raad, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad (8). |
|
(13) |
Wat Cyprus, Bulgarije en Roemenië, en Kroatië betreft, vormt dit besluit een handeling die op het Schengenacquis voortbouwt of anderszins daaraan is gerelateerd, in de zin van respectievelijk artikel 3, lid 1, van de Toetredingsakte van 2003, artikel 4, lid 1, van de Toetredingsakte van 2005 en artikel 4, lid 1, van de Toetredingsakte van 2011. |
|
(14) |
De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (9) en heeft op 4 september 2020 een advies uitgebracht. |
|
(15) |
De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het Comité slimme grenzen (Etias), |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1
Bijhouden van de logbestanden van gegevensverwerkingsverrichtingen
1. Het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht registreert en bewaart in het centrale Etias-systeem de logbestanden van alle gegevensverwerkingsverrichtingen in het Etias-informatiesysteem die overeenkomstig artikel 69, lid 1, van Verordening (EU) 2018/1240 moeten worden bijgehouden, met inbegrip van logbestanden in verband met de toegang voor vervoerders als bedoeld in artikel 45, lid 7, van Verordening (EU) 2018/1240, voor grensautoriteiten en immigratieautoriteiten als bedoeld in artikel 69, lid 3, van Verordening (EU) 2018/1240, en voor de centrale toegangspunten als bedoeld in artikel 70, lid 1, van Verordening (EU) 2018/1240.
2. Elke gegevensverwerkingsverrichting in het Etias-informatiesysteem wordt geregistreerd als een afzonderlijke record in het logbestand.
De record in het logbestand bevat een specifiek veld waarmee de gegevens met betrekking tot de uitgevoerde verrichting kunnen worden geïdentificeerd.
3. De record wordt geregistreerd met het tijdstip en de datum (“tijdstempel”) van elke gegevensverwerking.
4. In elke record in het logbestand wordt de unieke identificatiecode opgeslagen van de autoriteit en van de functionaris die of het personeelslid dat in het centrale Etias-systeem opgeslagen gegevens raadpleegt, wijzigt of wist.
5. De records in de logbestanden worden dagelijks door het centrale Etias-systeem gewist overeenkomstig de in artikel 45, lid 7, artikel 69, lid 4, en artikel 70, lid 4, van Verordening (EU) 2018/1240 vastgestelde bewaringstermijnen.
Voor elk type logbestand wordt een tijdstempel gebruikt ter identificatie van de records in het logbestand die na afloop van de toepasselijke bewaringstermijn moeten worden verwijderd.
Artikel 2
Toegang tot de logbestanden van gegevensverwerkingsverrichtingen
1. De toegang tot de logbestanden die het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht overeenkomstig Verordening (EU) 2018/1240 bijhoudt, is voorbehouden aan:
|
a) |
naar behoren gemachtigde Etias-beheerders bij het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, alsmede de functionaris voor gegevensbescherming, met het oog op de in artikel 58, lid 2, van Verordening (EU) 2018/1240 bedoelde doeleinden en met name om de naleving van artikel 69, lid 4, van die verordening te waarborgen; |
|
b) |
naar behoren gemachtigde personeelsleden en de functionaris voor gegevensbescherming van het Europees Grens- en kustwachtagentschap, voor de in artikel 7, lid 2, punt e), en artikel 61 van Verordening (EU) 2018/1240 vastgelegde doeleinden en om de rechtmatigheid van de gegevensverwerking en de integriteit en de beveiliging van de gegevens te waarborgen; |
|
c) |
naar behoren gemachtigde personeelsleden en functionarissen voor gegevensbescherming van de nationale Etias-eenheden, voor de in artikel 57, lid 2, bedoelde doeleinden. |
2. De Europese Toezichthouder voor gegevensbescherming en de bevoegde nationale toezichthoudende autoriteiten die de in de artikelen 66 en 67 van Verordening (EU) 2018/1240 bedoelde toezichtstaken vervullen, hebben toegang tot de logbestanden op een aan eu-LISA of de nationale Etias-eenheid of -eenheden gericht verzoek.
3. De records in de logbestanden en de specifieke velden die overeenkomstig artikel 1 in het centrale Etias-systeem zijn geregistreerd, kunnen ten minste op basis van de auteur, de datum van toegang of het soort verwerkingsverrichting worden doorzocht.
4. Voor de toepassing van artikel 45, leden 5 en 7, van Verordening (EU) 2018/1240 kan het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht logbestanden doorsturen naar de nationale Etias-eenheden, wanneer die logbestanden nodig zijn voor de beslechting van een geschil dat voortvloeit uit de toepassing van dat artikel, mits aan de volgende voorwaarden is voldaan:
|
a) |
de betrokken nationale Etias-eenheid heeft een uitdrukkelijk en met redenen omkleed verzoek ingediend bij het Europees Grens- en kustwachtagentschap, dat de verwerkingsverantwoordelijke is als bedoeld in artikel 57, lid 1, eerste zin, van Verordening (EU) 2018/1240. |
|
b) |
het Europees Grens- en kustwachtagentschap heeft het verzoek geverifieerd en goedgekeurd. |
5. Logbestanden waarin de overeenkomstig lid 1 verkregen toegang tot de logbestanden wordt geregistreerd, zijn ten minste traceerbaar op basis van de auteur of de datum van toegang.
6. Logbestanden waarin de overeenkomstig lid 1 verkregen toegang tot de logbestanden wordt geregistreerd, zijn ten minste doorzoekbaar op basis van de auteur, de datum van toegang of het soort verwerkingsverrichting.
Artikel 3
Inwerkingtreding
Dit besluit treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Gedaan te Brussel, 15 april 2021.
Voor de Commissie
De voorzitter
Ursula VON DER LEYEN
(1) PB L 236 van 19.9.2018, blz. 1.
(2) Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (PB L 64 van 7.3.2002, blz. 20).
(3) PB L 176 van 10.7.1999, blz. 36.
(4) Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van de door de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen gesloten overeenkomst inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 176 van 10.7.1999, blz. 31).
(5) PB L 53 van 27.2.2008, blz. 52.
(6) Besluit 2008/146/EG van de Raad van 28 januari 2008 betreffende de sluiting namens de Europese Gemeenschap van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 53 van 27.2.2008, blz. 1).
(7) PB L 160 van 18.6.2011, blz. 21.
(8) Besluit 2011/350/EU van de Raad van 7 maart 2011 betreffende de sluiting namens de Europese Unie van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis betreffende de afschaffing van controles aan de binnengrenzen en het verkeer van personen (PB L 160 van 18.6.2011, blz. 19).
(9) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).