KOMISJA EUROPEJSKA

Bruksela, dnia 8.12.2021

COM(2021) 784 final

2021/0410(COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie zautomatyzowanej wymiany danych na potrzeby współpracy policyjnej („Prüm II”), zmieniające decyzje Rady 2008/615/WSiSW i 2008/616/WSiSW oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1726, 2019/817 i 2019/818

{SEC(2021) 421 final} - {SWD(2021) 378 final} - {SWD(2021) 379 final}

UZASADNIENIE

KONTEKST WNIOSKU

•Powody przedstawienia wniosku

•Cele wniosku

Zasadniczy cel niniejszego wniosku wynika z określonego w Traktacie celu, jakimi jest wniesienie wkładu w bezpieczeństwo wewnętrzne Unii Europejskiej. Wśród środków służących temu celowi wymieniono gromadzenie, przechowywanie, przetwarzanie, analizowanie i wymianę istotnych informacji 9 . Ogólnym celem niniejszego instrumentu jest zatem poprawa, usprawnienie i ułatwienie wymiany informacji do celów zapobiegania przestępstwom terrorystycznym i innego rodzaju przestępstwom, wykrywania ich i prowadzenia postępowań przygotowawczych w ich sprawie między organami ścigania państw członkowskich, ale także Europolem jako unijnym centrum informacji o przestępstwach.

Szczegółowe cele polityki zawarte w niniejszym wniosku są następujące:

a)zapewnienie rozwiązania technicznego umożliwiającego skuteczną zautomatyzowaną wymianę danych między unijnymi organami ścigania w celu powiadomienia ich, że odpowiednie dane są dostępne w krajowej bazie danych innego państwa członkowskiego;

b)zapewnienie wszystkim właściwym unijnym organom ścigania dostępu do bardziej odpowiednich danych (pod względem kategorii danych) z krajowych baz danych w innych państwach członkowskich;

c)zapewnienie organom ścigania dostępu do odpowiednich danych (pod względem źródeł danych) z baz danych Europolu;

d)zapewnienie organom ścigania skutecznego dostępu do rzeczywistych danych odpowiadających „trafieniu”, które są dostępne w krajowej bazie danych innego państwa członkowskiego.

•Spójność z przepisami obowiązującymi w tej dziedzinie polityki

2.PODSTAWA PRAWNA, POMOCNICZOŚĆ I PROPORCJONALNOŚĆ

•Podstawa prawna

•Pomocniczość

Poprawa wymiany informacji między służbami policji i organami ścigania w UE nie może być w wystarczającym stopniu osiągnięta przez działające osobno państwa członkowskie z uwagi na transgraniczny charakter walki z przestępczością i kwestii bezpieczeństwa. Państwa członkowskie muszą polegać na sobie nawzajem w tych kwestiach.

W ramach szeregu projektów wdrożeniowych na szczeblu UE 14 państwa członkowskie próbowały podjąć działania w celu wyeliminowania niedociągnięć obecnych ram z Prüm 15 . Pomimo wszystkich tych działań wiele niedociągnięć pozostało bez zmian w stosunku do tych opisanych w sprawozdaniu z 2012 r. w sprawie wdrażania decyzji związanych z konwencją z Prüm 16 . Ukazuje to potrzebę działania na szczeblu UE, ponieważ środki wdrażane wyłącznie przez państwa członkowskie okazały się niewystarczające, aby zaradzić ograniczeniom wynikającym z obecnych ram z Prüm.

Ponadto wspólne zasady, normy i wymogi na szczeblu UE ułatwiają wymianę informacji, zapewniając jednocześnie zgodność między różnymi systemami krajowymi. To z kolei pozwala na pewien poziom automatyzacji procesu wymiany informacji, który zwalnia funkcjonariuszy organów ścigania z pracochłonnych czynności manualnych.

•Proporcjonalność

Jak szczegółowo wyjaśniono w ocenie skutków towarzyszącej proponowanemu rozporządzeniu, decyzje polityczne zawarte w niniejszym wniosku należy uznać za proporcjonalne. Nie wykraczają one bowiem poza to, co jest konieczne do osiągnięcia wskazanych celów.

•Wybór instrumentu

3.WYNIKI OCEN EX POST, KONSULTACJI Z ZAINTERESOWANYMI STRONAMI I OCEN SKUTKÓW

•Oceny ex post obowiązującego prawodawstwa

• Konsultacje z zainteresowanymi stronami

•Ocena skutków

1)Aby osiągnąć cel, jakim jest zapewnienie rozwiązania technicznego na potrzeby efektywnej zautomatyzowanej wymiany danych, należy zastosować rozwiązanie hybrydowe pomiędzy podejściem zdecentralizowanym a scentralizowanym bez przechowywania danych na szczeblu centralnym.

2)Aby osiągnąć cel, jakim jest zapewnienie organom ścigania dostępu do bardziej odpowiednich danych (pod względem kategorii danych), należy wprowadzić wymianę wizerunków twarzy i informacji z rejestru karnego.

3)Aby osiągnąć cel, jakim jest zapewnienie organom ścigania dostępu do odpowiednich danych z bazy danych Europolu, państwa członkowskie powinny mieć możliwość automatycznego sprawdzania w Europolu danych biometrycznych pochodzących od państw trzecich na podstawie ram z Prüm. Europol powinien być również w stanie weryfikować dane pochodzące od państw trzecich w zestawieniu z krajowymi bazami danych państw członkowskich.

4)Aby osiągnąć cel, jakim jest zapewnienie skutecznego dostępu do rzeczywistych danych odpowiadających „trafieniu”, które są dostępne w krajowej bazie danych innego państwa członkowskiego lub w Europolu, proces działań następczych powinien być regulowany na szczeblu UE w drodze półautomatycznej wymiany rzeczywistych danych odpowiadających „trafieniu”.

•Prawa podstawowe

•Ochrona danych osobowych

1)być przewidziane ustawą;

2)szanować istotę tych praw;

3)rzeczywiście odpowiadać celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób;

4)być konieczne; oraz

5)być proporcjonalne.

Niniejszy wniosek spełnia wszystkie powyższe zasady dotyczące ochrony danych, jak szczegółowo określono w ocenie skutków towarzyszącej wnioskowi dotyczącemu rozporządzenia. Wniosek opiera się na uwzględnianiu ochrony danych w fazie projektowania oraz na domyślnej ochronie danych. Obejmuje wszystkie odpowiednie przepisy ograniczające przetwarzanie danych do tego, co konieczne do osiągnięcia konkretnego celu, oraz przyznaje dostęp do danych tylko podmiotom, które muszą je znać. Dostęp do danych jest zarezerwowany wyłącznie dla odpowiednio uprawnionego personelu organów państw członkowskich w konkretnych celach określonych dla zmienionych ram z Prüm i jest ograniczony do zakresu, w jakim dane te są konieczne do wykonywania zadań zgodnie z tymi celami.

W chwili publikacji sprawozdania oceniającego skuteczność nadaną [zaleceniu Rady w sprawie operacyjnej współpracy policyjnej] przez państwa członkowskie, o których mowa w pkt 9 lit. d) tego zalecenia, Komisja zdecyduje, czy istnieje potrzeba przyjęcia przepisów na szczeblu UE w zakresie transgranicznej operacyjnej współpracy policyjnej. Jeżeli będzie potrzeba przyjęcia takich przepisów, Komisja przedstawi wniosek ustawodawczy w sprawie transgranicznej operacyjnej współpracy policyjnej, który zapewni również dostosowanie przepisów decyzji 2008/615/WSiSW i 2008/616/WSiSW nieobjętych niniejszym wnioskiem do dyrektywy 2016/680, zgodnie z wynikami oceny przeprowadzonej na podstawie art. 62 ust. 6 dyrektywy 2016/680. Jeżeli nie będzie potrzeby przyjęcia przepisów UE dotyczących transgranicznej operacyjnej współpracy policyjnej, Komisja przedstawi wniosek ustawodawczy w celu zapewnienia wspominanego dostosowania, zgodnie z wynikami oceny przeprowadzonej na podstawie art. 62 ust. 6 dyrektywy 2016/680.

4.WPŁYW NA BUDŻET

Niniejsza inicjatywa ustawodawcza wywarłaby wpływ na budżet i potrzeby kadrowe eu-LISA i Europolu.

W przypadku eu-LISA szacuje się, że na cały okres wieloletnich ram finansowych potrzebne będą dodatkowe środki w budżecie wynoszące około 16 mln EUR oraz około 10 dodatkowych stanowisk, które zapewnią eu-LISA niezbędne zasoby do wykonywania zadań przydzielonych tej agencji w rozporządzeniu, którego dotyczy niniejszy wniosek. Budżet przydzielony eu-LISA zostanie odliczony ze środków IZGW.

W przypadku Europolu szacuje się, że na cały okres wieloletnich ram finansowych potrzebne będą dodatkowe środki w budżecie wynoszące około 7 mln EUR oraz około 5 dodatkowych stanowisk, które zapewnią Europolowi niezbędne zasoby do wykonywania zadań przydzielonych tej agencji w rozporządzeniu, którego dotyczy niniejszy wniosek. Budżet przydzielony Europolowi zostanie odliczony ze środków FBW.

5.ELEMENTY FAKULTATYWNE

•Plany wdrożenia i monitorowanie, ocena i sprawozdania

•Szczegółowe objaśnienia poszczególnych przepisów wniosku

Rozdział 1 zawiera przepisy ogólne niniejszego rozporządzenia, w tym określa jego przedmiot, cel i zakres stosowania. Zawiera on wykaz definicji i przypomnienie, że przetwarzanie danych osobowych do celów niniejszego rozporządzenia powinno odbywać się z poszanowaniem zasady niedyskryminacji i innych praw podstawowych.

W rozdziale 2 określono przepisy dotyczące wymiany określonych kategorii danych na podstawie niniejszego rozporządzenia, mianowicie wymiany profili DNA, danych daktyloskopijnych, danych rejestracyjnych pojazdów, wizerunków twarzy i informacji z rejestrów karnych. Zasady wymiany, zautomatyzowane przeszukiwanie danych oraz zasady dotyczące zapytań i odpowiedzi opisano szczegółowo w oddzielnych sekcjach odpowiednio dla każdej kategorii danych. Rozdział 2 zawiera również wspólne przepisy dotyczące wymiany danych, ustanawiania krajowych punktów kontaktowych oraz środków wykonawczych.

W rozdziale 3 określono szczegóły nowej (technicznej) architektury służącej wymianie danych. Pierwsza sekcja tego rozdziału zawiera przepisy opisujące router centralny, korzystanie z routera i uruchamianie kwerend. Konieczne będą akty wykonawcze w celu określenia procedur technicznych dotyczących tych kwerend. Sekcja ta zawiera również przepisy dotyczące interoperacyjności między routerem a wspólnym repozytorium danych umożliwiających identyfikację na potrzeby dostępu organów ścigania, prowadzenia rejestrów wszystkich operacji przetwarzania danych w routerze, kontroli jakości oraz procedur powiadamiania w przypadku braku technicznej możliwości korzystania z routera. Druga sekcja zawiera szczegółowe informacje na temat wykorzystania europejskiego systemu przekazywania informacji z rejestrów karnych (EPRIS) do wymiany informacji z rejestrów karnych. Sekcja ta zawiera również przepisy dotyczące prowadzenia rejestrów wszystkich operacji przetwarzania danych w EPRIS oraz procedur powiadamiania w przypadku braku technicznej możliwości korzystania z EPRIS.

W rozdziale 4 określono procesy wymiany danych po stwierdzeniu dopasowania. Zawiera on przepis dotyczący zautomatyzowanej wymiany danych podstawowych, przy czym wymiana danych jest ograniczona do zakresu niezbędnego do umożliwienia identyfikacji odnośnej osoby, oraz przepis dotyczący wymiany danych na każdym etapie procesu prowadzonego na podstawie niniejszego rozporządzenia, który nie jest wyraźnie w nim opisany.

Rozdział 5 zawiera przepisy dotyczące dostępu państw członkowskich do przechowywanych przez Europol danych biometrycznych pochodzących od państw trzecich oraz dostępu Europolu do danych przechowywanych w bazach danych państw członkowskich.

Rozdział 6 w sprawie ochrony danych zawiera przepisy zapewniające, aby dane były przetwarzane na podstawie niniejszego rozporządzenia zgodnie z prawem i właściwie, zgodnie z przepisami dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW 27 . Wyjaśniono w nim, kto będzie przetwarzającym dane do celów przetwarzania danych zgodnie z niniejszym rozporządzeniem. Określono środki wymagane od eu-LISA i władz państw członkowskich w celu zapewnienia bezpieczeństwa przetwarzania danych, odpowiedniego reagowania na incydenty bezpieczeństwa oraz monitorowania zgodności tych środków z niniejszym rozporządzeniem. W rozdziale tym określono również przepisy związane z nadzorem i kontrolami w odniesieniu do ochrony danych. Podkreślono w nim zasadę, że dane przetwarzane na podstawie niniejszego rozporządzenia nie powinny być przekazywane ani udostępniane w sposób zautomatyzowany żadnemu państwu trzeciemu ani żadnej organizacji międzynarodowej.

W rozdziale 7 szczegółowo opisano obowiązki państw członkowskich, Europolu i eu-LISA w zakresie wdrażania środków przewidzianych w niniejszym rozporządzeniu.

Rozdział 8 dotyczy zmian wprowadzanych w innych obowiązujących aktach, mianowicie w decyzjach 2008/615/WSiSW i 2008/616/WSiSW, rozporządzeniu (UE) 2018/1726, rozporządzeniu (UE) 2019/817 i rozporządzeniu (UE) 2019/818.

W rozdziale 9 dotyczącym przepisów końcowych przedstawiono szczegółowe informacje dotyczące sprawozdawczości i statystyki, kosztów, powiadomień, przepisów przejściowych i odstępstw. Określono w nim również wymogi dotyczące rozpoczęcia funkcjonowania środków proponowanych w niniejszym rozporządzeniu. W rozdziale tym przewidziano również powołanie komitetu oraz przyjęcie praktycznego podręcznika w celu wsparcia wdrażania niniejszego rozporządzenia i zarządzania nim. Zawiera on również przepis dotyczący monitorowania i oceny oraz przepis dotyczący wejścia w życie i stosowania niniejszego rozporządzenia. W szczególności niniejsze rozporządzenie zastępuje art. 2–6 oraz rozdział 2 sekcje 2 i 3 decyzji Rady 2008/615/WSiSW, a także rozdziały 2–5 oraz art. 18, 20 i 21 decyzji Rady 2008/616/WSiSW, które w związku z tym zostaną uchylone z dniem rozpoczęcia stosowania niniejszego rozporządzenia. Wskutek tych zmian zastąpione i uchylone przepisy nie będą już miały zastosowania do żadnego państwa członkowskiego.

2021/0410 (COD)

Wniosek

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY

w sprawie zautomatyzowanej wymiany danych na potrzeby współpracy policyjnej („Prüm II”), zmieniające decyzje Rady 2008/615/WSiSW i 2008/616/WSiSW oraz rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1726, 2019/817 i 2019/818

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 ust. 2, art. 87 ust. 2 lit. a) oraz art. 88 ust. 2,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego 28 ,

uwzględniając opinię Komitetu Regionów 29 ,

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą,

a także mając na uwadze, co następuje:

(1)Unia wyznaczyła sobie cel polegający na zapewnieniu swoim obywatelom przestrzeni wolności, bezpieczeństwa i sprawiedliwości bez granic wewnętrznych, w której zapewniony jest swobodny przepływ osób. Cel ten należy osiągnąć, między innymi, za pomocą odpowiednich środków służących zapobieganiu przestępczości – w tym przestępczości zorganizowanej i terroryzmowi – i jej zwalczaniu.

(2)Mając na względzie ten cel, organy ścigania powinny wymieniać dane w sposób skuteczny i terminowy w celu skutecznego zwalczania przestępczości.

(3)Celem niniejszego rozporządzenia jest zatem poprawa, usprawnienie i ułatwienie wymiany informacji kryminalnych między organami ścigania państw członkowskich, ale także z Agencją Unii Europejskiej ds. Współpracy Organów Ścigania ustanowioną rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/794 30 (Europol) jako unijnym centrum informacji o przestępstwach.

(4)Decyzje Rady 2008/615/WSiSW 31 i 2008/616/WSiSW 32 ustanawiające zasady wymiany informacji między organami odpowiedzialnymi za zapobieganie przestępczości i prowadzenie postępowań przygotowawczych w sprawach karnych przez umożliwienie zautomatyzowanego przekazywania profili DNA, danych daktyloskopijnych i niektórych danych rejestracyjnych pojazdów okazały się istotne w zwalczaniu terroryzmu i przestępczości transgranicznej.

(5)W niniejszym rozporządzeniu należy określić warunki i procedury zautomatyzowanego przekazywania profili DNA, danych daktyloskopijnych, danych rejestracyjnych pojazdów, wizerunków twarzy i informacji z rejestrów karnych. Powinno to pozostać bez uszczerbku dla przetwarzania którychkolwiek z tych danych w Systemie Informacyjnym Schengen (SIS), wymiany informacji uzupełniających związanych z tymi danymi za pośrednictwem biur SIRENE lub dla praw osób, których dane są w nich przetwarzane.

(6)Przetwarzanie danych osobowych i wymiana danych osobowych do celów niniejszego rozporządzenia nie powinny prowadzić do dyskryminacji osób z jakichkolwiek względów. Przetwarzanie i wymiana powinny się odbywać z pełnym poszanowaniem godności ludzkiej i integralności osoby oraz innych praw podstawowych, w tym prawa do poszanowania życia prywatnego i do ochrony danych osobowych, zgodnie z Kartą praw podstawowych Unii Europejskiej.

(7)W niniejszym rozporządzeniu przewidziano także zautomatyzowane przeszukiwanie lub porównywanie profili DNA, danych daktyloskopijnych, danych rejestracyjnych pojazdów, wizerunków twarzy i informacji z rejestrów karnych, aby umożliwić poszukiwanie osób zaginionych i niezidentyfikowanych szczątków ludzkich. Powinno to pozostawać bez uszczerbku dla wprowadzania do SIS wpisów dotyczących osób zaginionych oraz wymiany informacji uzupełniających dotyczących takich wpisów na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1862 33 .

(8)Dyrektywa (UE) …/… [w sprawie wymiany informacji między organami ścigania państw członkowskich] stanowi spójne ramy prawne UE w celu zapewnienia organom ścigania równoważnego dostępu do informacji będących w posiadaniu innych państw członkowskich, gdy są one potrzebne do zwalczania przestępczości i terroryzmu. Aby usprawnić wymianę informacji, w dyrektywie tej formalizuje się i wyjaśnia procedury wymiany informacji między państwami członkowskimi, w szczególności do celów dochodzeniowo-śledczych, w tym znaczenie „pojedynczego punktu kontaktowego” dla takiej wymiany oraz pełne wykorzystanie kanału wymiany informacji Europolu – SIENA. Wszelka wymiana informacji wykraczająca poza zakres przewidziany w niniejszym rozporządzeniu powinna być regulowana dyrektywą (UE) …/… [w sprawie wymiany informacji między organami ścigania państw członkowskich].

(9)Do celów zautomatyzowanego przeszukiwania danych rejestracyjnych pojazdów państwa członkowskie powinny korzysta ze specjalnie zaprojektowanego do tego celu europejskiego systemu informacji o pojazdach i prawach jazdy (EUCARIS) utworzonego na mocy Traktatu dotyczącego europejskiego systemu informacji o pojazdach i prawach jazdy (EUCARIS). EUCARIS powinien łączyć wszystkie uczestniczące państwa członkowskie w sieć. Nie ma centralnego komponentu, który byłby potrzebny do nawiązania łączności, ponieważ każde państwo członkowskie komunikuje się bezpośrednio z pozostałymi połączonymi państwami członkowskimi.

(10)Identyfikacja przestępcy ma zasadnicze znaczenie dla skutecznego ścigania przestępstw i prowadzenia postępowań przygotowawczych. Zautomatyzowane przeszukanie wizerunków twarzy podejrzanych i skazanych przestępców powinno dostarczyć dodatkowych informacji umożliwiających skuteczną identyfikację przestępców i zwalczanie przestępczości.

(11)Zautomatyzowane przeszukanie lub porównanie danych biometrycznych (profili DNA, danych daktyloskopijnych i wizerunków twarzy) przez organy odpowiedzialne za zapobieganie przestępczości, wykrywanie przestępstw i prowadzenie postępowań przygotowawczych w sprawach karnych na podstawie niniejszego rozporządzenia powinno dotyczyć wyłącznie danych zawartych w bazach danych utworzonych w celu zapobiegania przestępczości, wykrywania przestępstw i prowadzenia postępowań przygotowawczych w sprawach karnych.

(12)Udział w wymianie informacji z rejestrów karnych powinien pozostać dobrowolny. W przypadku gdy państwa członkowskie zdecydują się na udział, w duchu wzajemności nie powinny mieć możliwości dokonywania kwerend w bazach danych innych państw członkowskich, jeżeli nie udostępniają własnych danych do celów kwerend innych państw członkowskich.

(13)W ostatnich latach Europol otrzymał od kilku państw trzecich dużą ilość danych biometrycznych podejrzanych o popełnienie przestępstw terrorystycznych i innych oraz skazanych za popełnienie takich przestępstw. Włączenie przechowywanych w Europolu danych pochodzących od państw trzecich do ram z Prüm, a tym samym udostępnienie tych danych organom ścigania, jest konieczne do lepszego zapobiegania przestępczości i prowadzenia postępowań przygotowawczych w sprawach karnych. Przyczynia się ono również do tworzenia synergii między różnymi narzędziami egzekwowania prawa.

(14)Na mocy ram z Prüm Europol powinien mieć możliwość przeszukiwania baz danych państw członkowskich z wykorzystaniem danych otrzymanych od państw trzecich w celu ustalenia transgranicznych powiązań między sprawami karnymi. Dzięki możliwości korzystania z danych objętych ramami z Prüm, obok innych dostępnych baz danych, Europol powinien móc przeprowadzać pełniejszą i dogłębniejszą analizę postępowań przygotowawczych i udzielać lepszego wsparcia organom ścigania państw członkowskich. W przypadku stwierdzenia dopasowania między danymi wykorzystanymi do przeszukania a danymi przechowywanymi w bazach danych państw członkowskich państwa członkowskie mogą przekazać Europolowi informacje niezbędne do wykonywania jego zadań.

(15)Decyzje 2008/615/WSiSW i 2008/616/WSiSW przewidują sieć dwustronnych połączeń między krajowymi bazami danych państw członkowskich. W rezultacie tej architektury technicznej każde państwo członkowskie powinno utworzyć co najmniej 26 połączeń, co oznacza połączenie z każdym państwem członkowskim, dla każdej kategorii danych. Router i europejski system przekazywania informacji z rejestrów karnych (EPRIS), ustanowione niniejszym rozporządzeniem, powinny uprościć architekturę techniczną przewidzianą w ramach z Prüm i służyć jako punkty łączące wszystkie państwa członkowskie. Router powinien wymagać jednego podłączenia na państwo członkowskie w odniesieniu do danych biometrycznych, a EPRIS powinien wymagać jednego podłączenia na państwo członkowskie w odniesieniu do informacji z rejestru karnego.

(16)Router powinien być połączony z europejskim portalem wyszukiwania ustanowionym na mocy art. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/817 34 oraz art. 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/818 35 , aby umożliwić organom państw członkowskich i Europolowi uruchamianie kwerend w krajowych bazach danych na podstawie niniejszego rozporządzenia jednocześnie z kwerendami na potrzeby ochrony porządku publicznego we wspólnym repozytorium danych umożliwiających identyfikację ustanowionym na mocy art. 17 rozporządzenia (UE) 2019/817 oraz art. 17 rozporządzenia (UE) 2019/818.

(17)W przypadku stwierdzenia dopasowania między danymi wykorzystanymi do przeszukania lub porównania a danymi przechowywanymi w krajowej bazie danych zapytanego państwa członkowskiego lub zapytanych państw członkowskich oraz po potwierdzeniu tego dopasowania przez zapytujące państwo członkowskie zapytane państwo członkowskie powinno w ciągu 24 godzin odesłać za pośrednictwem routera ograniczony zbiór danych podstawowych. Termin ten zapewniłby szybką wymianę informacji między organami państw członkowskich. Państwa członkowskie powinny zachować kontrolę nad udostępnianiem tego ograniczonego zbioru danych podstawowych. Należy utrzymać pewien stopień interwencji ludzkiej na kluczowych etapach procesu, w tym w odniesieniu do decyzji o udostępnieniu danych osobowych zapytującemu państwu członkowskiemu, aby zagwarantować, że nie dojdzie do zautomatyzowanej wymiany danych podstawowych.

(18)Wszelka wymiana informacji między organami państw członkowskich lub z Europolem na dowolnym etapie jednego z procesów opisanych w niniejszym rozporządzeniu, który nie jest w nim wyraźnie opisany, powinna odbywać się za pośrednictwem aplikacji SIENA w celu zapewnienia, aby wszystkie państwa członkowskie korzystały ze wspólnego, bezpiecznego i niezawodnego kanału łączności.

(19)Przy opracowywaniu routera i EPRIS należy stosować standard uniwersalnego formatu wiadomości (UMF). W każdej zautomatyzowanej wymianie danych zgodnie z niniejszym rozporządzeniem należy stosować standard UMF. Zachęca się organy państw członkowskich i Europol do stosowania standardu UMF również w odniesieniu do wszelkiej dalszej wymiany danych między nimi w kontekście ram Prüm II. Standard UMF powinien stanowić standard dla uporządkowanej, transgranicznej wymiany informacji między systemami informacyjnymi, organami lub organizacjami działającymi w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych. 

(20)Na podstawie ram Prüm II należy wymieniać wyłącznie informacje jawne.

(21)Niektóre aspekty ram Prüm II nie mogą zostać wyczerpująco ujęte w niniejszym rozporządzeniu z uwagi na ich techniczny charakter, wysoki poziom szczegółowości i potrzebę regularnej aktualizacji. Aspekty te obejmują na przykład ustalenia i specyfikacje techniczne dotyczące procedur zautomatyzowanego przeszukiwania, norm wymiany danych oraz elementów danych podlegających wymianie. W celu zapewnienia jednolitych warunków wykonywania niniejszego rozporządzenia należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 36 .

(22)Ponieważ niniejsze rozporządzenie przewiduje ustanowienie nowych ram z Prüm, należy uchylić odpowiednie przepisy decyzji 2008/615/WSiSW i 2008/616/WSiSW. Należy zatem odpowiednio zmienić te decyzje.

(23)Ponieważ router powinien zostać opracowany i być zarządzany przez Agencję Unii Europejskiej ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości ustanowioną rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1726 37 (eu-LISA), konieczna jest zmiana rozporządzenia (UE) 2018/1726 poprzez dodanie tego zadania do zadań eu-LISA. Aby umożliwić połączenie routera z europejskim portalem wyszukiwania w celu jednoczesnego przeszukiwania routera i wspólnego repozytorium danych umożliwiających identyfikację, konieczna jest zmiana rozporządzenia (UE) 2019/817. Aby umożliwić połączenie routera z europejskim portalem wyszukiwania w celu jednoczesnego przeszukiwania routera i wspólnego repozytorium danych umożliwiających identyfikację oraz aby umożliwić przechowywanie sprawozdań i statystyk dotyczących routera we wspólnym repozytorium sprawozdawczo-statystycznym, konieczna jest zmiana rozporządzenia (UE) 2019/818. W związku z tym rozporządzenia te należy odpowiednio zmienić.

(24)Zgodnie z art. 1 i 2 Protokołu nr 22 w sprawie stanowiska Danii, załączonego do Traktatu o Unii Europejskiej i do Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie uczestniczy w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje.

(25)[Zgodnie z art. 3 Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, załączonego do Traktatu o Unii Europejskiej i do Traktatu o funkcjonowaniu Unii Europejskiej, Irlandia powiadomiła o chęci uczestniczenia w przyjęciu i stosowaniu niniejszego rozporządzenia.] ALBO [Zgodnie z art. 1 i 2 Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, załączonego do Traktatu o Unii Europejskiej i do Traktatu o funkcjonowaniu Unii Europejskiej, bez uszczerbku dla art. 4 tego protokołu, Irlandia nie uczestniczy w przyjęciu niniejszego rozporządzenia i nie jest nim związana ani go nie stosuje.]

(26)Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 38 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu [XX] r. 39 ,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ 1

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot

Niniejszym rozporządzeniem ustanawia się ramy wymiany informacji między organami odpowiedzialnymi za zapobieganie przestępczości, wykrywanie przestępstw i prowadzenie postępowań przygotowawczych w sprawach karnych (Prüm II).

W niniejszym rozporządzeniu określa się warunki i procedury zautomatyzowanego przeszukiwania profili DNA, danych daktyloskopijnych, wizerunków twarzy, informacji z rejestru karnego i niektórych danych rejestracyjnych pojazdów oraz reguły dotyczące wymiany danych podstawowych po stwierdzeniu dopasowania.

Artykuł 2

Cel

Celem Prüm II jest zacieśnienie współpracy transgranicznej w sprawach objętych częścią III tytuł V rozdział 5 Traktatu o funkcjonowaniu Unii Europejskiej, w szczególności wymiany informacji między organami odpowiedzialnymi za zapobieganie przestępczości, wykrywanie przestępstw i prowadzenie postępowań przygotowawczych w sprawach karnych.

Ponadto celem Prüm II jest umożliwienie prowadzenia poszukiwań osób zaginionych i niezidentyfikowanych szczątków ludzkich przez organy odpowiedzialne za zapobieganie przestępczości, wykrywanie przestępstw i prowadzenie postępowań przygotowawczych w sprawach karnych.

Artykuł 3

Zakres stosowania

Niniejsze rozporządzenie ma zastosowanie do krajowych baz danych wykorzystywanych do zautomatyzowanego przekazywania kategorii profili DNA, danych daktyloskopijnych, wizerunków twarzy, informacji z rejestru karnego i niektórych danych rejestracyjnych pojazdów.

Artykuł 4

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)„loci” oznaczają szczególną strukturę molekularną w różnych miejscach DNA;

2)„profil DNA” oznacza kod literowy lub numeryczny reprezentujący zestaw charakterystycznych cech identyfikacyjnych niekodującej części przeanalizowanej próbki ludzkiego DNA, tj. szczególną strukturę molekularną w różnych miejscach DNA;

3)„niekodująca część DNA” oznacza części chromosomów niemające wartości genetycznej, tj. takie, o których nie wiadomo, by odpowiadały jakimkolwiek funkcjonalnym właściwościom organizmu;

4)„dane referencyjne DNA” oznaczają profil DNA oraz oznaczenie referencyjne, o którym mowa w art. 9;

5)„referencyjny profil DNA” oznacza profil DNA pochodzący od zidentyfikowanej osoby;

6)„niezidentyfikowany profil DNA” oznacza profil DNA uzyskany ze śladów zebranych podczas prowadzenia postępowania przygotowawczego w sprawie karnej i należący do dotychczas niezidentyfikowanej osoby;

7)„dane daktyloskopijne” oznaczają obrazy odbitek linii papilarnych palców, obrazy śladów palców, odbitek dłoni, śladów dłoni oraz wzory takich obrazów (zakodowane minucje), gdy są one przechowywane i przetwarzane w zautomatyzowanej bazie danych;

8)„daktyloskopijne dane referencyjne” oznaczają dane daktyloskopijne i oznaczenie referencyjne, o których mowa w art. 14;

9)„indywidualna sprawa” oznacza pojedyncze akta postępowania przygotowawczego;

10)„wizerunek twarzy” oznacza cyfrowy wizerunek twarzy;

11)„dane biometryczne” oznaczają profile DNA, dane daktyloskopijne lub wizerunki twarzy;

12)„dopasowanie” oznacza istnienie zgodności ustalone w wyniku automatycznego porównania danych osobowych zarejestrowanych lub będących w trakcie rejestrowania w systemie informacyjnym lub bazie danych;

13)„kandydat” oznacza dane, z którymi stwierdzono dopasowanie;

14)„zapytujące państwo członkowskie” oznacza państwo członkowskie, które przeprowadza przeszukanie za pośrednictwem Prüm II;

15)„zapytane państwo członkowskie” oznacza państwo członkowskie, w którego bazach danych zapytujące państwo członkowskie przeprowadza przeszukanie za pośrednictwem Prüm II;

16)„informacje z rejestru karnego” oznaczają wszelkie informacje dostępne w krajowym rejestrze lub krajowych rejestrach danych właściwych organów do celów zapobiegania przestępczości, wykrywania przestępstw i prowadzenia postępowań przygotowawczych w sprawach karnych;

17)„pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

18)„dane Europolu” oznaczają wszelkie dane osobowe przetwarzane przez Europol zgodnie z rozporządzeniem (UE) 2016/794;

19)„organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 41 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 40 ;

20)„SIENA” oznacza aplikację sieci bezpiecznej wymiany informacji, zarządzaną przez Europol, która ma na celu ułatwianie wymiany informacji między państwami członkowskimi a Europolem;

21)„znaczący incydent” oznacza każdy incydent, chyba że jego skutki są ograniczone i prawdopodobnie został on już dobrze zrozumiany pod względem metody lub technologii;

22)„znaczące cyberzagrożenie” oznacza cyberzagrożenie charakteryzujące się zamiarem, możliwością i zdolnością spowodowania znaczącego incydentu;

23)„znacząca podatność” oznacza podatność, która prawdopodobnie doprowadzi do znaczącego incydentu, jeżeli zostanie wykorzystana;

24)„incydent” oznacza incydent w rozumieniu art. 4 pkt 5 dyrektywy Parlamentu Europejskiego i Rady (UE) …/… 41 [wniosek w sprawie dyrektywy NIS 2].

ROZDZIAŁ 2

WYMIANA DANYCH

SEKCJA 1

Profile DNA

Artykuł 5

Utworzenie krajowych zbiorów analiz DNA

1. Państwa członkowskie tworzą i prowadzą krajowe zbiory analiz DNA do celów prowadzenia postępowań przygotowawczych w sprawach karnych.

Dane przechowywane w tych zbiorach na mocy niniejszego rozporządzenia są przetwarzane zgodnie z niniejszym rozporządzeniem i zgodnie z prawem krajowym państw członkowskich mającym zastosowanie do przetwarzania tych danych.

2. Państwa członkowskie zapewniają dostępność danych referencyjnych DNA pochodzących z krajowego zbioru analiz DNA, o którym mowa w ust. 1.

Dane referencyjne DNA nie mogą zawierać żadnych danych, które umożliwiają bezpośrednią identyfikację osoby.

Dane referencyjne DNA, które nie są przyporządkowane do żadnej konkretnej osoby („niezidentyfikowane profile DNA”), muszą być rozpoznawalne jako takie.

Artykuł 6

Zautomatyzowane przeszukanie profili DNA

1. Państwa członkowskie umożliwiają krajowym punktom kontaktowym, o których mowa w art. 29, i Europolowi dostęp do danych referencyjnych DNA z krajowego zbioru analiz DNA w celu zautomatyzowanego przeszukania tych danych przez porównanie profili DNA do celów prowadzenia postępowań przygotowawczych w sprawach karnych.

Przeszukanie może być prowadzone wyłącznie w indywidualnych sprawach i zgodnie z prawem krajowym zapytującego państwa członkowskiego.

2. Jeżeli podczas zautomatyzowanego przeszukania danych okaże się, że występuje dopasowanie między dostarczonym profilem DNA a profilami DNA zarejestrowanymi przez zapytane państwo członkowskie, którego zbiory są przeszukiwane, krajowy punkt kontaktowy zapytującego państwa członkowskiego otrzymuje w sposób zautomatyzowany dane referencyjne DNA, z którymi stwierdzono dopasowanie.

W przypadku braku dopasowania zapytujące państwo członkowskie zostaje o tym powiadomione w sposób zautomatyzowany.

3. Krajowy punkt kontaktowy zapytującego państwa członkowskiego potwierdza dopasowanie między danymi z profili DNA a danymi referencyjnymi DNA ze zbioru zapytanego państwa członkowskiego po zautomatyzowanym przekazaniu danych referencyjnych DNA wymaganych do potwierdzenia dopasowania.

Artykuł 7

Zautomatyzowane porównanie niezidentyfikowanych profili DNA

1. Państwa członkowskie mogą – za pośrednictwem krajowych punktów kontaktowych – porównywać swoje niezidentyfikowane profile DNA ze wszystkimi profilami DNA z innych krajowych zbiorów analiz DNA do celów prowadzenia postępowań przygotowawczych w sprawach karnych. Profile są dostarczane i porównywane w sposób zautomatyzowany.

2. Jeżeli w wyniku porównania, o którym mowa w ust. 1, zapytane państwo członkowskie stwierdzi, że występuje dopasowanie między dostarczonymi profilami DNA a jakimkolwiek profilem w jego zbiorze analiz DNA, przekazuje ono niezwłocznie krajowemu punktowi kontaktowemu zapytującego państwa członkowskiego dane referencyjne DNA, z którymi stwierdzono dopasowanie.

3. Zapytujące państwo członkowskie potwierdza za pośrednictwem swojego krajowego punktu kontaktowego dopasowanie między profilami DNA a danymi referencyjnymi DNA ze zbioru zapytanego państwa członkowskiego po zautomatyzowanym przekazaniu danych referencyjnych DNA wymaganych do potwierdzenia dopasowania.

Artykuł 8

Przekazywanie informacji na temat zbiorów analiz DNA

Każde państwo członkowskie informuje zgodnie z art. 73 Komisję i eu-LISA o krajowych zbiorach analiz DNA, do których to zbiorów mają zastosowanie art. 5–7.

Artykuł 9

Oznaczenia referencyjne profili DNA

Oznaczenia referencyjne profili DNA składają się z następujących elementów:

a)oznaczenia referencyjnego, które w przypadku stwierdzenia dopasowania umożliwia państwom członkowskim pozyskanie dalszych danych i innych informacji znajdujących się w ich bazach danych, o których mowa w art. 5, w celu przekazania ich do jednego państwa członkowskiego, kilku z pozostałych państw członkowskich lub wszystkich takich państw zgodnie z art. 47 i 48;

b)kodu oznaczającego państwo członkowskie, w którego zbiorze znajduje się dany profil DNA;

c)kodu oznaczającego rodzaj profilu DNA (referencyjne lub niezidentyfikowane profile DNA).

Artykuł 10

Zasady wymiany danych referencyjnych DNA

1. Stosuje się odpowiednie środki w celu zapewnienia poufności i integralności danych referencyjnych DNA przekazywanych innym państwom członkowskim, w tym szyfrowanie danych.

2. Państwa członkowskie stosują środki niezbędne do zagwarantowania integralności profili DNA udostępnianych lub przesyłanych do innych państw członkowskich celem porównania i zapewniają zgodność tych środków z odpowiednimi normami międzynarodowymi dotyczącymi wymiany danych DNA.

3. Komisja przyjmuje akty wykonawcze w celu określenia odpowiednich norm międzynarodowych, które mają być stosowane przez państwa członkowskie do wymiany danych referencyjnych DNA. Te akty wykonawcze przyjmuje się zgodnie z procedurą, o której mowa w art. 76 ust. 2.

Artykuł 11

Zasady dotyczące zapytań i odpowiedzi dotyczących profili DNA

1. Zapytanie dotyczące zautomatyzowanego przeszukania lub porównania zawiera jedynie następujące informacje:

a)kod zapytującego państwa członkowskiego;

b)datę, godzinę i numer zapytania;

c)profile DNA i ich oznaczenia referencyjne, o których mowa w art. 9;

d)rodzaje przekazywanych profili DNA (niezidentyfikowane lub referencyjne profile DNA).

2. Odpowiedź na zapytanie, o którym mowa w ust. 1, zawiera jedynie następujące informacje:

a)wskazanie, czy stwierdzono co najmniej jedno dopasowanie, czy też go nie stwierdzono;

b)datę, godzinę i numer zapytania;

c)datę, godzinę i numer odpowiedzi;

d)kody zapytującego i zapytanego państwa członkowskiego;

e)oznaczenia referencyjne profili DNA ze zbiorów zapytującego i zapytanego państwa członkowskiego;

f)rodzaje przekazywanych profili DNA (niezidentyfikowane lub referencyjne profile DNA);

g)profile DNA, w przypadku których stwierdzono dopasowanie.

3. Zautomatyzowane powiadomienie o dopasowaniu jest przekazywane jedynie wtedy, gdy wynikiem zautomatyzowanego przeszukania lub porównania jest zgodność minimalnej liczby loci. Komisja przyjmuje akty wykonawcze w celu określenia tej minimalnej liczby loci zgodnie z procedurą, o której mowa w art. 76 ust. 2.

4. Jeżeli w wyniku przeszukania lub porównania z niezidentyfikowanymi profilami DNA stwierdzono dopasowanie, każde zapytane państwo członkowskie, w którego zbiorze znajdują się dane wykazujące dopasowanie, może wprowadzić do krajowej bazy danych adnotację, że w wyniku przeszukania lub porównania przez inne państwo członkowskie stwierdzono dopasowanie z danym profilem DNA.

5. Państwa członkowskie zapewniają zgodność swoich zapytań z oświadczeniami przesłanymi na podstawie art. 8. Oświadczenia te zostają przedstawione w praktycznym podręczniku, o którym mowa w art. 78.

SEKCJA 2

Dane daktyloskopijne

Artykuł 12

Daktyloskopijne dane referencyjne

1. Państwa członkowskie zapewniają dostępność daktyloskopijnych danych referencyjnych ze zbiorów przechowywanych w krajowych automatycznych systemach identyfikacji daktyloskopijnej utworzonych w celu zapobiegania przestępczości, wykrywania przestępstw i prowadzenia postępowań przygotowawczych w sprawach karnych.

2. Daktyloskopijne dane referencyjne nie mogą zawierać żadnych danych, które umożliwiają bezpośrednią identyfikację osoby.

3. Daktyloskopijne dane referencyjne, które nie są przyporządkowane do żadnej konkretnej osoby („niezidentyfikowane dane daktyloskopijne”), muszą być rozpoznawalne jako takie.

Artykuł 13

Zautomatyzowane przeszukanie danych daktyloskopijnych

1. Do celów zapobiegania przestępczości, wykrywania przestępstw i prowadzenia postępowań przygotowawczych w sprawach karnych państwa członkowskie umożliwiają krajowym punktom kontaktowym innych państw członkowskich i Europolowi dostęp do daktyloskopijnych danych referencyjnych z automatycznych systemów identyfikacji daktyloskopijnej, które zostały utworzone przez nie w tym celu, na potrzeby zautomatyzowanego przeszukania tych danych przez porównanie daktyloskopijnych danych referencyjnych.

Przeszukanie może być prowadzone wyłącznie w indywidualnych sprawach i zgodnie z prawem krajowym zapytującego państwa członkowskiego.

2. Krajowy punkt kontaktowy zapytującego państwa członkowskiego potwierdza dopasowanie między danymi daktyloskopijnymi a daktyloskopijnymi danymi referencyjnymi ze zbioru zapytanego państwa członkowskiego po zautomatyzowanym przekazaniu daktyloskopijnych danych referencyjnych wymaganych do potwierdzenia dopasowania.

Artykuł 14

Oznaczenia referencyjne danych daktyloskopijnych

Oznaczenia referencyjne danych daktyloskopijnych składają się z następujących elementów:

a)oznaczenia referencyjnego, które w przypadku stwierdzenia dopasowania umożliwia państwom członkowskim pozyskanie dalszych danych i innych informacji znajdujących się w ich bazach danych, o których mowa w art. 12, w celu przekazania ich do jednego państwa członkowskiego, kilku z pozostałych państw członkowskich lub wszystkich takich państw zgodnie z art. 47 i 48;

b)kodu oznaczającego państwo członkowskie, w którego zbiorze znajdują się odnośne dane daktyloskopijne.

Artykuł 15

Zasady wymiany danych daktyloskopijnych

1. Przekształcenie danych daktyloskopijnych w formę cyfrową i ich przekazanie innym państwom członkowskim przeprowadza się zgodnie z ujednoliconym formatem danych. Komisja przyjmuje akty wykonawcze w celu określenia tego ujednoliconego formatu danych zgodnie z procedurą, o której mowa w art. 76 ust. 2.

2. Każde państwo członkowskie zapewnia odpowiednią jakość przekazywanych przez siebie danych daktyloskopijnych, umożliwiającą ich porównanie za pomocą automatycznego systemu identyfikacji daktyloskopijnej.

3. Aby zapewnić poufność i integralność danych daktyloskopijnych przekazywanych innym państwom członkowskim, państwa członkowskie stosują odpowiednie środki, w tym szyfrowanie danych.

4. Komisja przyjmuje akty wykonawcze w celu określenia odpowiednich istniejących norm, które mają być stosowane przez państwa członkowskie do wymiany danych daktyloskopijnych. Te akty wykonawcze przyjmuje się zgodnie z procedurą, o której mowa w art. 76 ust. 2.

Artykuł 16

Możliwości przeszukania danych daktyloskopijnych

1. Każde państwo członkowskie zapewnia, aby jego zapytania dotyczące przeszukania nie przekraczały możliwości przeszukania określonych przez zapytane państwo członkowskie.

Zgodnie z art. 79 ust. 8 i 10 państwa członkowskie informują Komisję i eu-LISA o swoich maksymalnych dziennych możliwościach przeszukania danych daktyloskopijnych osób zidentyfikowanych i dotychczas niezidentyfikowanych.

2. Komisja przyjmuje akty wykonawcze w celu określenia maksymalnej liczby kandydatów zaakceptowanych do porównania na jedno przekazanie zgodnie z procedurą, o której mowa w art. 76 ust. 2.

Artykuł 17

Zasady dotyczące zapytań i odpowiedzi dotyczących danych daktyloskopijnych

1. Zapytanie dotyczące zautomatyzowanego przeszukania zawiera jedynie następujące informacje:

a)kod zapytującego państwa członkowskiego;

b)datę, godzinę i numer zapytania;

c)dane daktyloskopijne i ich oznaczenia referencyjne, o których mowa w art. 14.

2. Odpowiedź na zapytanie, o którym mowa w ust. 1, zawiera jedynie następujące informacje:

a)wskazanie, czy stwierdzono co najmniej jedno dopasowanie, czy też go nie stwierdzono;

b)datę, godzinę i numer zapytania;

c)datę, godzinę i numer odpowiedzi;

d)kody zapytującego i zapytanego państwa członkowskiego;

e)oznaczenia referencyjne danych daktyloskopijnych ze zbiorów zapytującego i zapytanego państwa członkowskiego;

f)dane daktyloskopijne, w przypadku których stwierdzono dopasowanie.

SEKCJA 3

Dane rejestracyjne pojazdów

Artykuł 18

Zautomatyzowane przeszukanie danych rejestracyjnych pojazdów

1. Do celów zapobiegania przestępczości, wykrywania przestępstw i prowadzenia postępowań przygotowawczych w sprawach karnych państwa członkowskie umożliwiają krajowym punktom kontaktowym innych państw członkowskich i Europolowi dostęp do następujących danych rejestracyjnych pojazdów w celu zautomatyzowanego przeszukania tych danych w indywidualnych sprawach:

a)dane właścicieli lub użytkowników;

b)dane pojazdu.

2. Dane można przeszukać jedynie według pełnego numeru podwozia lub pełnego numeru rejestracyjnego.

3. Przeszukanie może być prowadzone wyłącznie zgodnie z prawem krajowym zapytującego państwa członkowskiego.

Artykuł 19

Zasady zautomatyzowanego przeszukania danych rejestracyjnych pojazdów

1. Do zautomatyzowanego przeszukania danych rejestracyjnych pojazdów państwa członkowskie wykorzystują europejski system informacji o pojazdach i prawach jazdy (EUCARIS).

2. Informacje wymieniane za pośrednictwem EUCARIS są przekazywane w formie zaszyfrowanej.

3. Komisja przyjmuje akty wykonawcze w celu określenia elementów danych rejestracyjnych pojazdów podlegających wymianie. Te akty wykonawcze przyjmuje się zgodnie z procedurą, o której mowa w art. 76 ust. 2.

Artykuł 20

Prowadzenie rejestrów

1. Każde państwo członkowskie prowadzi rejestry kwerend dokonywanych przez personel jego organów należycie upoważniony do wymiany danych rejestracyjnych pojazdów, jak również rejestry kwerend, o które wysłały zapytanie inne państwa członkowskie. Europol prowadzi rejestry kwerend dokonywanych przez jego należycie upoważniony personel.

Każde państwo członkowskie i Europol prowadzą rejestry wszystkich operacji przetwarzania danych dotyczących danych rejestracyjnych pojazdów. Rejestry te obejmują:

a)państwo członkowskie lub agencję unijną dokonującą zapytania w celu kwerendy;

b)datę i godzinę zapytania;

c)datę i godzinę odpowiedzi;

d)krajowe bazy danych, do których przesłano zapytanie w celu kwerendy;

e)krajowe bazy danych, z których otrzymano odpowiedź twierdzącą.

2. Rejestry, o których mowa w ust. 1, można wykorzystywać wyłącznie w celu zbierania danych statystycznych i monitorowania ochrony danych, w tym sprawdzania dopuszczalności kwerendy i zgodności przetwarzania danych z prawem, oraz w celu zapewniania bezpieczeństwa i integralności danych.

Rejestry te są chronione przed nieuprawnionym dostępem za pomocą odpowiednich środków i usuwane rok po utworzeniu. Jeżeli jednak są one konieczne do prowadzenia już rozpoczętych procedur monitorowania, są one usuwane, gdy tylko przestają być konieczne do celu tych procedur.

3. Na potrzeby monitorowania ochrony danych, w tym sprawdzania dopuszczalności kwerendy i zgodności przetwarzania danych z prawem, administratorzy danych mają dostęp do rejestrów w celu monitorowania własnej działalności, o którym mowa w art. 56.

SEKCJA 4

Wizerunki twarzy

Artykuł 21

Wizerunki twarzy

1. Państwa członkowskie zapewniają dostępność wizerunków twarzy z krajowych baz danych utworzonych w celu zapobiegania przestępczości, wykrywania przestępstw i prowadzenia postępowań przygotowawczych w sprawach karnych. Dane te obejmują wyłącznie wizerunki twarzy i oznaczenie referencyjne, o którym mowa w art. 23, oraz wskazują, czy wizerunki twarzy są przyporządkowane do konkretnej osoby, czy też nie.

Państwa członkowskie nie mogą udostępniać w tym kontekście żadnych danych, które umożliwiają bezpośrednią identyfikację osoby.

2. Wizerunki twarzy, które nie są przyporządkowane do żadnej konkretnej osoby (niezidentyfikowane wizerunki twarzy), muszą być rozpoznawalne jako takie.

Artykuł 22

Zautomatyzowane przeszukanie wizerunków twarzy

1. Do celów zapobiegania przestępczości, wykrywania przestępstw i prowadzenia postępowań przygotowawczych w sprawach karnych państwa członkowskie umożliwiają krajowym punktom kontaktowym innych państw członkowskich i Europolowi dostęp do wizerunków twarzy przechowywanych w krajowych bazach danych w celu ich zautomatyzowanego przeszukania.

Przeszukanie może być prowadzone wyłącznie w indywidualnych sprawach i zgodnie z prawem krajowym zapytującego państwa członkowskiego.

2. Zapytujące państwo członkowskie otrzymuje wykaz dopasowań dotyczących prawdopodobnych kandydatów. Wspomniane państwo członkowskie dokonuje przeglądu tego wykazu, aby ustalić istnienie potwierdzonego dopasowania.

3. Aby umożliwić przeszukanie i porównanie wizerunków twarzy, ustala się minimalny standard jakości. Komisja przyjmuje akty wykonawcze w celu określenia tego minimalnego standardu jakości. Te akty wykonawcze przyjmuje się zgodnie z procedurą, o której mowa w art. 76 ust. 2.

Artykuł 23

Oznaczenia referencyjne wizerunków twarzy

Oznaczenia referencyjne wizerunków twarzy składają się z następujących elementów:

a)oznaczenia referencyjnego, które w przypadku stwierdzenia dopasowania umożliwia państwom członkowskim pozyskanie dalszych danych i innych informacji znajdujących się w ich bazach danych, o których mowa w art. 21, w celu przekazania ich do jednego państwa członkowskiego, kilku z pozostałych państw członkowskich lub wszystkich takich państw zgodnie z art. 47 i 48;

b)kodu oznaczającego państwo członkowskie, w którego zbiorze znajduje się dany wizerunek twarzy.

Artykuł 24

Zasady dotyczące zapytań i odpowiedzi dotyczących wizerunków twarzy

1. Zapytanie dotyczące zautomatyzowanego przeszukania zawiera jedynie następujące informacje:

a)kod zapytującego państwa członkowskiego;

b)datę, godzinę i numer zapytania;

c)wizerunki twarzy i ich oznaczenia referencyjne, o których mowa w art. 23.

2. Odpowiedź na zapytanie, o którym mowa w ust. 1, zawiera jedynie następujące informacje:

a)wskazanie, czy stwierdzono co najmniej jedno dopasowanie, czy też go nie stwierdzono;

b)datę, godzinę i numer zapytania;

c)datę, godzinę i numer odpowiedzi;

d)kody zapytującego i zapytanego państwa członkowskiego;

e)oznaczenia referencyjne wizerunków twarzy ze zbiorów zapytującego i zapytanego państwa członkowskiego;

f)wizerunki twarzy, w przypadku których stwierdzono dopasowanie.

SEKCJA 5

Informacje z rejestru karnego

Artykuł 25

Informacje z rejestru karnego

1. Państwa członkowskie mogą zdecydować się na udział w zautomatyzowanej wymianie informacji z rejestrów karnych. Państwa członkowskie uczestniczące w zautomatyzowanej wymianie informacji z rejestrów karnych zapewniają dostępność danych biograficznych podejrzanych i przestępców z krajowych indeksów informacji z rejestru karnego utworzonych do celów prowadzenia postępowań przygotowawczych w sprawach karnych. Taki zbiór danych, jeżeli jest dostępny, zawiera następujące dane:

a)imię (imiona);

b)nazwisko (nazwiska);

c)pseudonim (pseudonimy);

d)datę urodzenia;

e)obywatelstwo lub obywatelstwa;

f)miejsce i państwo urodzenia;

g)płeć.

2. Dane, o których mowa w ust. 1 lit. a), b), c), e) i f), są pseudonimizowane.

Artykuł 26

Zautomatyzowane przeszukanie informacji z rejestru karnego

1. Do celów prowadzenia postępowań przygotowawczych w sprawach karnych państwa członkowskie umożliwiają krajowym punktom kontaktowym innych państw członkowskich i Europolowi dostęp do danych z krajowych indeksów informacji z rejestru karnego w celu zautomatyzowanego przeszukania takich danych.

Przeszukanie może być prowadzone wyłącznie w indywidualnych sprawach i zgodnie z prawem krajowym zapytującego państwa członkowskiego.

2. Zapytujące państwo członkowskie otrzymuje listę dopasowań wraz ze wskazaniem ich jakości.

Zapytujące państwo członkowskie otrzymuje również informacje o państwie członkowskim, którego baza danych zawiera dane wykazujące dopasowanie.

Artykuł 27

Oznaczenia referencyjne informacji z rejestru karnego

Oznaczenia referencyjne informacji z rejestru karnego składają się z następujących elementów:

a)oznaczenia referencyjnego, które w przypadku stwierdzenia dopasowania umożliwia państwom członkowskim pozyskanie danych osobowych i innych informacji znajdujących się w ich indeksach, o których mowa w art. 25, w celu przekazania ich do jednego państwa członkowskiego, kilku państw członkowskich lub wszystkich państw członkowskich zgodnie z art. 47 i 48;

b)kodu oznaczającego państwo członkowskie, w którego zbiorze znajdują się odnośne informacje z rejestru karnego.

Artykuł 28

Zasady dotyczące zapytań i odpowiedzi dotyczących informacji z rejestru karnego

1. Zapytanie dotyczące zautomatyzowanego przeszukania zawiera jedynie następujące informacje:

a)kod zapytującego państwa członkowskiego;

b)datę, godzinę i numer zapytania;

c)informacje z rejestru karnego i ich oznaczenia referencyjne, o których mowa w art. 27.

2. Odpowiedź na zapytanie, o którym mowa w ust. 1, zawiera jedynie następujące informacje:

a)wskazanie, czy stwierdzono co najmniej jedno dopasowanie, czy też go nie stwierdzono;

b)datę, godzinę i numer zapytania;

c)datę, godzinę i numer odpowiedzi;

d)kody zapytującego i zapytanego państwa członkowskiego;

e)oznaczenia referencyjne informacji z rejestru karnego ze zbiorów zapytującego i zapytanego państwa członkowskiego.

SEKCJA 6

Przepisy wspólne

Artykuł 29

Krajowe punkty kontaktowe

Każde państwo członkowskie wyznacza krajowy punkt kontaktowy.

Krajowe punkty kontaktowe odpowiadają za przekazanie danych, o których mowa w art. 6, 7, 13, 18, 22 i 26.

Artykuł 30

Środki wykonawcze

Komisja przyjmuje akty wykonawcze w celu określenia rozwiązań technicznych dotyczących procedur, o których mowa w art. 6, 7, 13, 18, 22 i 26. Te akty wykonawcze przyjmuje się zgodnie z procedurą, o której mowa w art. 76 ust. 2.

Artykuł 31

Specyfikacje techniczne

Państwa członkowskie i Europol stosują wspólne specyfikacje techniczne przy wszelkich zapytaniach i odpowiedziach związanych z przeszukiwaniem i porównywaniem profili DNA, danych daktyloskopijnych, danych rejestracyjnych pojazdów, wizerunków twarzy i informacji z rejestrów karnych. Komisja przyjmuje akty wykonawcze w celu określenia tych specyfikacji technicznych zgodnie z procedurą, o której mowa w art. 76 ust. 2.

Artykuł 32

Dostępność zautomatyzowanej wymiany danych na szczeblu krajowym

1. Państwa członkowskie przyjmują wszelkie środki niezbędne do zapewnienia, aby zautomatyzowane przeszukanie lub porównanie profili DNA, danych daktyloskopijnych, danych rejestracyjnych pojazdów, wizerunków twarzy i informacji z rejestrów karnych było możliwe całodobowo, przez siedem dni w tygodniu.

2. Krajowe punkty kontaktowe niezwłocznie informują siebie nawzajem, Komisję, Europol i eu-LISA o awarii technicznej powodującej niedostępność zautomatyzowanej wymiany danych.

Krajowe punkty kontaktowe uzgadniają tymczasowe alternatywne sposoby wymiany informacji zgodnie z mającymi zastosowanie przepisami unijnymi i krajowymi.

3. Krajowe punkty kontaktowe bezzwłocznie przywracają zautomatyzowaną wymianę danych.

Artykuł 33

Uzasadnienie przetwarzania danych

1. Każde państwo członkowskie przechowuje uzasadnienie kwerend dokonywanych przez jego właściwe organy.

Europol przechowuje uzasadnienie własnych kwerend.

2. Uzasadnienie, o którym mowa w ust. 1, zawiera:

a)cel kwerendy, w tym odniesienie do konkretnej sprawy lub konkretnego postępowania przygotowawczego;

b)wskazanie, czy kwerenda dotyczy podejrzanego czy sprawcy przestępstwa;

c)wskazanie, czy celem kwerendy jest zidentyfikowanie osoby nieznanej czy też uzyskanie większej ilości danych na temat osoby znanej.

3. Uzasadnienia, o których mowa w ust. 2, wykorzystuje się wyłącznie w celu monitorowania ochrony danych, w tym sprawdzania dopuszczalności kwerendy i zgodności przetwarzania danych z prawem, oraz w celu zapewniania bezpieczeństwa i integralności danych.

Uzasadnienia te są chronione przed nieuprawnionym dostępem za pomocą odpowiednich środków i usuwane rok po utworzeniu. Jeżeli jednak są one wymagane do prowadzenia już rozpoczętych procedur monitorowania, usuwa się je, gdy tylko przestaną być konieczne do tego celu.

4. Na potrzeby monitorowania ochrony danych, w tym sprawdzania dopuszczalności kwerendy i zgodności przetwarzania danych z prawem, administratorzy danych mają dostęp do tych uzasadnień w celu monitorowania własnej działalności, o którym mowa w art. 56.

Artykuł 34

Stosowanie uniwersalnego formatu wiadomości

1. Przy opracowywaniu routera, o którym mowa w art. 35, i EPRIS stosuje się standard uniwersalnego formatu wiadomości (UMF).

2. W każdej zautomatyzowanej wymianie danych zgodnie z niniejszym rozporządzeniem stosuje się standard UMF.

ROZDZIAŁ 3

ARCHITEKTURA

SEKCJA 1

Router

Artykuł 35

Router

1. Aby ułatwić ustanowienie połączeń między państwami członkowskimi i z Europolem w celu dokonywania kwerend z wykorzystaniem danych biometrycznych, pozyskiwania takich danych oraz ich oceny punktowej zgodnie z niniejszym rozporządzeniem, tworzy się router.

2. Router składa się z:

a)infrastruktury centralnej obejmującej narzędzie do przeszukiwania umożliwiające jednoczesną kwerendę w bazach danych państw członkowskich, o których to bazach mowa w art. 5, 12 i 21, oraz w danych Europolu;

b)bezpiecznego kanału komunikacji między infrastrukturą centralną a państwami członkowskimi i agencjami unijnymi uprawnionymi do korzystania z routera;

c)bezpiecznej infrastruktury łączności między infrastrukturą centralną a europejskim portalem wyszukiwania do celów art. 39.

Artykuł 36

Korzystanie z routera

Korzystanie z routera jest zastrzeżone dla organów państw członkowskich, które mają dostęp do wymiany profili DNA, danych daktyloskopijnych i wizerunków twarzy, oraz dla Europolu zgodnie z niniejszym rozporządzeniem i rozporządzeniem (UE) 2016/794.

Artykuł 37

Kwerendy

1. Użytkownicy routera, o których mowa w art. 36, składają zapytanie w celu kwerendy, przesyłając dane biometryczne do routera. Router przesyła zapytanie w celu kwerendy do baz danych państw członkowskich i danych Europolu jednocześnie z danymi przekazanymi przez użytkownika i zgodnie z przysługującymi mu prawami dostępu.

2. Po otrzymaniu od routera zapytania w celu kwerendy każde zapytane państwo członkowskie oraz Europol w sposób zautomatyzowany i bezzwłocznie uruchamiają kwerendę w swoich bazach danych.

3. Wszelkie dopasowania wynikające z kwerendy w bazach danych każdego z państw członkowskich i w danych Europolu są w sposób zautomatyzowany odsyłane do routera.

4. Router szereguje odpowiedzi zgodnie z oceną punktową zgodności między danymi biometrycznymi wykorzystanymi do przeprowadzenia kwerendy a danymi biometrycznymi przechowywanymi w bazach danych państw członkowskich i w danych Europolu.

5. Router zwraca użytkownikowi wykaz danych biometrycznych, w przypadku których stwierdzono dopasowanie, wraz z oceną punktową.

6. Komisja przyjmuje akty wykonawcze w celu określenia procedury technicznej, zgodnie z którą router dokonuje kwerendy w bazach danych państw członkowskich i w danych Europolu, formatu odpowiedzi routera oraz zasad technicznych przyznawania punktów za zgodność danych biometrycznych. Te akty wykonawcze przyjmuje się zgodnie z procedurą, o której mowa w art. 76 ust. 2.

Artykuł 38

Kontrola jakości

Zapytane państwo członkowskie sprawdza w sposób w pełni zautomatyzowany jakość przekazanych danych.

Jeśli dane nie nadają się do zautomatyzowanego porównania, zapytane państwo członkowskie bezzwłocznie informuje o tym za pośrednictwem routera zapytujące państwo członkowskie.

Artykuł 39

Interoperacyjność między routerem a wspólnym repozytorium danych umożliwiających identyfikację na potrzeby dostępu organów ścigania

1. Użytkownicy routera, o których mowa w art. 36, mogą uruchamiać kwerendy w bazach danych państw członkowskich i w danych Europolu jednocześnie z kwerendą we wspólnym repozytorium danych umożliwiających identyfikację, jeżeli spełnione są odpowiednie warunki przewidziane w prawie Unii i zgodnie z przysługującymi im prawami dostępu. W tym celu router uruchamia kwerendę we wspólnym repozytorium danych umożliwiających identyfikację za pośrednictwem europejskiego portalu wyszukiwania.

2. Kwerendy na potrzeby ochrony porządku publicznego we wspólnym repozytorium danych umożliwiających identyfikację przeprowadza się zgodnie z art. 22 rozporządzenia (UE) 2019/817 i art. 22 rozporządzenia (UE) 2019/818. Wszelkie wyniki tych kwerend są przekazywane za pośrednictwem europejskiego portalu wyszukiwania.

Te jednoczesne kwerendy mogą uruchamiać wyłącznie wyznaczone organy określone w art. 4 pkt 20 rozporządzenia (UE) 2019/817 i art. 4 pkt 20 rozporządzenia (UE) 2019/818.

Jednoczesne kwerendy w bazach danych państw członkowskich i w danych Europolu oraz we wspólnym repozytorium danych umożliwiających identyfikację można uruchamiać wyłącznie w przypadkach, gdy istnieje prawdopodobieństwo, że dane dotyczące podejrzanego, sprawcy lub ofiary przestępstwa terrorystycznego lub innego poważnego przestępstwa, określonych odpowiednio w art. 4 pkt 21 i 22 rozporządzenia (UE) 2019/817 oraz w art. 4 pkt 21 i 22 rozporządzenia (UE) 2019/818, są przechowywane we wspólnym repozytorium danych umożliwiających identyfikację.

Artykuł 40

Prowadzenie rejestrów

1. eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych w routerze. Rejestry te obejmują:

a)państwo członkowskie lub agencję unijną dokonującą zapytania w celu kwerendy;

b)datę i godzinę zapytania;

c)datę i godzinę odpowiedzi;

d)krajowe bazy danych lub dane Europolu, do których przesłano zapytanie w celu kwerendy;

e)krajowe bazy danych lub dane Europolu, w przypadku których otrzymano odpowiedź;

f)w stosownych przypadkach fakt, że prowadzono jednoczesną kwerendę we wspólnym repozytorium danych umożliwiających identyfikację.

2. Każde państwo członkowskie prowadzi rejestry kwerend dokonywanych przez jego właściwe organy i personel tych organów należycie upoważniony do korzystania z routera, jak również rejestry kwerend, o które wysłały zapytanie inne państwa członkowskie.

Europol prowadzi rejestry kwerend dokonywanych przez jego należycie upoważniony personel.

3. Rejestry, o których mowa w ust. 1 i 2, można wykorzystywać wyłącznie w celu zbierania danych statystycznych i monitorowania ochrony danych, w tym sprawdzania dopuszczalności kwerendy i zgodności przetwarzania danych z prawem, oraz w celu zapewniania bezpieczeństwa i integralności danych.

Rejestry te są chronione przed nieuprawnionym dostępem za pomocą odpowiednich środków i usuwane rok po utworzeniu. Jeżeli jednak są one konieczne do prowadzenia już rozpoczętych procedur monitorowania, są one usuwane, gdy tylko przestają być konieczne do celu tych procedur.

4. Na potrzeby monitorowania ochrony danych, w tym sprawdzania dopuszczalności kwerendy i zgodności przetwarzania danych z prawem, administratorzy danych mają dostęp do rejestrów w celu monitorowania własnej działalności, o którym mowa w art. 56.

Artykuł 41

Procedury powiadamiania w przypadku braku technicznej możliwości korzystania z routera

1. Jeśli korzystanie z routera w celu kwerendy w krajowej bazie danych lub krajowych bazach danych lub w danych Europolu nie jest technicznie możliwe z powodu awarii routera, eu-LISA automatycznie powiadamia o tym fakcie użytkowników routera. eu-LISA niezwłocznie podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z routera.

2. Jeśli korzystanie z routera w celu kwerendy w krajowej bazie danych lub krajowych bazach danych, lub w danych Europolu nie jest technicznie możliwe z powodu awarii infrastruktury krajowej w jednym z państw członkowskich, to państwo członkowskie automatycznie powiadamia o tym fakcie pozostałe państwa członkowskie, eu-LISA i Komisję. Państwa członkowskie niezwłocznie podejmują działania mające na celu usunięcie braku technicznej możliwości korzystania z routera.

3. Jeśli korzystanie z routera w celu kwerendy w krajowej bazie danych lub krajowych bazach danych, lub w danych Europolu nie jest technicznie możliwe z powodu awarii infrastruktury Europolu, Europol automatycznie powiadamia o tym fakcie państwa członkowskie, eu-LISA i Komisję. Europol niezwłocznie podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z routera.

SEKCJA 2

EPRIS

Artykuł 42

EPRIS

1. Do celów zautomatyzowanego przeszukania informacji z rejestru karnego, o którym mowa w art. 26, państwa członkowskie i Europol korzystają z europejskiego systemu przekazywania informacji z rejestrów karnych (EPRIS).

2. W skład EPRIS wchodzą:

a)infrastruktura centralna obejmująca narzędzie do przeszukiwania umożliwiające jednoczesną kwerendę w bazach danych państw członkowskich;

b)bezpieczny kanał komunikacji między infrastrukturą centralną EPRIS, państwami członkowskimi i Europolem.

Artykuł 43

Użytkowanie EPRIS

1. Do celów przeszukania informacji z rejestru karnego za pośrednictwem EPRIS wykorzystuje się następujące zbiory danych:

a)imię (imiona);

b)nazwisko (nazwiska);

c)datę urodzenia.

2. Można również wykorzystywać następujące zbiory danych, jeśli są dostępne:

a)pseudonim (pseudonimy);

b)obywatelstwo lub obywatelstwa;

c)miejsce i państwo urodzenia;

d)płeć.

3. Dane, o których mowa w ust. 1 lit. a) i b) oraz w ust. 2 lit. a), b) i c), wykorzystywane w celu kwerend muszą być spseudonimizowane.

Artykuł 44

Kwerendy

1. Państwa członkowskie i Europol składają zapytanie w celu kwerendy, przesyłając dane, o których mowa w art. 43.

EPRIS przesyła zapytanie w celu kwerendy do baz danych państw członkowskich wraz z danymi przekazanymi przez zapytujące państwo członkowskie i zgodnie z niniejszym rozporządzeniem.

2. Po otrzymaniu od EPRIS zapytania w celu kwerendy każde zapytane państwo członkowskie w sposób zautomatyzowany i bezzwłocznie uruchamia kwerendę w krajowym indeksie informacji z rejestru karnego.

3. Wszelkie dopasowania wynikające z kwerendy w bazie danych każdego z państw członkowskich są w sposób zautomatyzowany odsyłane do EPRIS.

4. EPRIS zwraca zapytującemu państwu członkowskiemu listę dopasowań. Lista dopasowań zawiera informacje o jakości dopasowania oraz o państwie członkowskim, którego baza danych zawiera dane wykazujące dopasowanie.

5. Po otrzymaniu listy dopasowań zapytujące państwo członkowskie podejmuje decyzję o tym, które dopasowania wymagają działań następczych, i za pośrednictwem aplikacji SIENA przesyła zapytanemu państwu członkowskiemu lub zapytanym państwom członkowskim uzasadniony wniosek o działania następcze zawierający wszelkie dodatkowe istotne informacje.

6. Zapytane państwo lub państwa członkowskie niezwłocznie przetwarzają takie zapytania, aby podjąć decyzję o ewentualnym udostępnieniu danych przechowywanych w ich bazie danych.

Po potwierdzeniu zapytane państwo lub państwa członkowskie udostępniają dane, o których mowa w art. 43, o ile są one dostępne. Taka wymiana informacji odbywa się za pośrednictwem aplikacji SIENA.

7. Komisja przyjmuje akty wykonawcze w celu określenia procedury technicznej, zgodnie z którą EPRIS dokonuje kwerendy w bazach danych państw członkowskich, oraz formatu odpowiedzi. Te akty wykonawcze przyjmuje się zgodnie z procedurą, o której mowa w art. 76 ust. 2.

Artykuł 45

Prowadzenie rejestrów

1. Europol prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych w EPRIS. Rejestry te obejmują:

a)państwo członkowskie lub agencję unijną dokonującą zapytania w celu kwerendy;

b)datę i godzinę zapytania;

c)datę i godzinę odpowiedzi;

d)krajowe bazy danych, do których przesłano zapytanie w celu kwerendy;

e)krajowe bazy danych, z których otrzymano odpowiedź.

2. Każde państwo członkowskie prowadzi rejestry zapytań w celu kwerendy dokonywanych przez jego właściwe organy i personel tych organów należycie upoważniony do korzystania z EPRIS. Europol prowadzi rejestry zapytań w celu kwerendy dokonywanych przez jej należycie upoważniony personel.

3. Rejestry, o których mowa w ust. 1 i 2, można wykorzystywać wyłącznie w celu monitorowania ochrony danych, w tym sprawdzania dopuszczalności kwerendy i zgodności przetwarzania danych z prawem, oraz w celu zapewniania bezpieczeństwa i integralności danych.

Rejestry te są chronione przed nieuprawnionym dostępem za pomocą odpowiednich środków i usuwane rok po utworzeniu.

Jeżeli jednak są one konieczne do prowadzenia już rozpoczętych procedur monitorowania, są one usuwane, gdy tylko przestają być konieczne do celu tych procedur.

4. Na potrzeby monitorowania ochrony danych, w tym sprawdzania dopuszczalności kwerendy i zgodności przetwarzania danych z prawem, administratorzy danych mają dostęp do rejestrów w celu monitorowania własnej działalności, o którym mowa w art. 56.

Artykuł 46

Procedury powiadamiania w przypadku braku technicznej możliwości korzystania z EPRIS

1. Jeśli korzystanie z EPRIS w celu kwerendy w krajowej bazie danych lub krajowych bazach danych nie jest technicznie możliwe z powodu awarii infrastruktury Europolu, Europol automatycznie powiadamia o tym fakcie państwa członkowskie. Europol niezwłocznie podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z EPRIS.

2. Jeśli korzystanie z EPRIS w celu kwerendy w krajowej bazie danych lub krajowych bazach danych nie jest technicznie możliwe z powodu awarii infrastruktury krajowej w jednym z państw członkowskich, to państwo członkowskie automatycznie powiadamia o tym fakcie Europol i Komisję. Państwo członkowskie niezwłocznie podejmuje działania mające na celu usunięcie braku technicznej możliwości korzystania z EPRIS.

ROZDZIAŁ 4

WYMIANA DANYCH PO STWIERDZENIU DOPASOWANIA

Artykuł 47

Wymiana danych podstawowych

Jeżeli w wyniku procedur, o których mowa w art. 6, 7, 13 lub 22, stwierdzono dopasowanie między danymi wykorzystanymi do przeszukania lub porównania a danymi przechowywanymi w bazie danych zapytanego państwa członkowskiego lub zapytanych państw członkowskich oraz po potwierdzeniu tego dopasowania przez zapytujące państwo członkowskie, zapytane państwo członkowskie odsyła w ciągu 24 godzin za pośrednictwem routera zbiór danych podstawowych. Taki zbiór danych podstawowych, jeżeli jest dostępny, zawiera następujące dane:

a)imię (imiona);

b)nazwisko (nazwiska);

c)datę urodzenia;

d)obywatelstwo lub obywatelstwa;

e)miejsce i państwo urodzenia;

f)płeć.

Artykuł 48

Użytkowanie SIENA

Wszelka wymiana informacji, o której nie ma wyraźnie mowy w niniejszym rozporządzeniu, między właściwymi organami państw członkowskich lub z Europolem na dowolnym etapie jednej z procedur przewidzianych w niniejszym rozporządzeniu odbywa się za pośrednictwem aplikacji SIENA.

ROZDZIAŁ 5

EUROPOL

Artykuł 49

Dostęp państw członkowskich do przechowywanych przez Europol danych biometrycznych pochodzących od państw trzecich

1. Zgodnie z rozporządzeniem (UE) 2016/794 państwa członkowskie mają dostęp do danych biometrycznych, które państwa trzecie przekazały Europolowi do celów określonych w art. 18 ust. 2 lit. a), b) i c) rozporządzenia (UE) 2016/794, oraz mogą przeszukiwać te dane za pośrednictwem routera.

2. Jeżeli w wyniku tej procedury stwierdzono dopasowanie między danymi wykorzystanymi do przeszukania a danymi Europolu, podejmuje się działania następcze zgodnie z rozporządzeniem (UE) 2016/794.

Artykuł 50

Dostęp Europolu do danych przechowywanych w bazach danych państw członkowskich

1. Zgodnie z rozporządzeniem (UE) 2016/794 Europol ma dostęp do danych, które są przechowywane przez państwa członkowskie w ich krajowych bazach danych zgodnie z niniejszym rozporządzeniem.

2. Kwerendy Europolu wykorzystujące dane biometryczne jako kryterium przeszukiwania przeprowadza się z wykorzystaniem routera.

3. Kwerendy Europolu wykorzystujące dane rejestracyjne pojazdów jako kryterium przeszukiwania przeprowadza się z wykorzystaniem EUCARIS.

4. Kwerendy Europolu wykorzystujące informacje z rejestrów karnych jako kryterium przeszukiwania przeprowadza się z wykorzystaniem EPRIS.

5. Europol przeprowadza przeszukania zgodnie z ust. 1 wyłącznie podczas wykonywania swoich zadań, o których mowa w rozporządzeniu (UE) 2016/794.

6. Jeżeli w wyniku procedur, o których mowa w art. 6, 7, 13 lub 22, stwierdzono dopasowanie między danymi wykorzystanymi do przeszukania lub porównania a danymi przechowywanymi w krajowej bazie danych zapytanego państwa członkowskiego lub zapytanych państw członkowskich oraz po potwierdzeniu tego dopasowania przez Europol, zapytane państwo członkowskie podejmuje w ciągu 24 godzin decyzję o ewentualnym odesłaniu za pośrednictwem routera zbioru danych podstawowych. Taki zbiór danych podstawowych, jeżeli jest dostępny, zawiera następujące dane:

a)imię (imiona);

b)nazwisko (nazwiska);

c)datę urodzenia;

d)obywatelstwo lub obywatelstwa;

e)miejsce i państwo urodzenia;

f)płeć.

7. Wykorzystanie przez Europol informacji uzyskanych w wyniku przeszukania dokonanego zgodnie z ust. 1 oraz w wyniku wymiany danych podstawowych zgodnie z ust. 6 wymaga zgody państwa członkowskiego, w którego bazie danych stwierdzono dopasowanie. Jeżeli to państwo członkowskie zezwoli na wykorzystanie takich informacji, posługiwanie się nimi przez Europol regulowane jest rozporządzeniem (UE) 2016/794.

ROZDZIAŁ 6

OCHRONA DANYCH

Artykuł 51

Cel danych

1. Przetwarzanie danych osobowych przez zapytujące państwo członkowskie lub Europol jest dopuszczalne wyłącznie w celach, do których dane zostały dostarczone przez zapytane państwa członkowskie zgodnie z niniejszym rozporządzeniem. Przetwarzanie w innych celach jest dopuszczalne wyłącznie za uprzednią zgodą zapytanego państwa członkowskiego.

2. Przetwarzanie danych dostarczonych zgodnie z art. 6, 7, 13, 18 lub 22 przez państwo członkowskie przeszukujące lub porównujące dane jest dopuszczalne wyłącznie w celu:

a)ustalenia, czy występuje dopasowanie między porównywanymi profilami DNA, danymi daktyloskopijnymi, danymi rejestracyjnymi pojazdów, wizerunkami twarzy i informacjami z rejestrów karnych;

b)w przypadku stwierdzenia dopasowania tych danych – przygotowania i złożenia wniosku policyjnego o pomoc prawną;

c)sporządzenia rejestru w rozumieniu art. 40 i 45.

3. Zapytujące państwo członkowskie może przetwarzać dane dostarczone mu zgodnie z art. 6, 7, 13 lub 22 wyłącznie w przypadku, gdy jest to niezbędne do celów niniejszego rozporządzenia. Po porównaniu danych lub po uzyskaniu wyników ich zautomatyzowanego przeszukania dostarczone dane usuwa się niezwłocznie, chyba że konieczne jest dalsze ich przetworzenie przez zapytujące państwo członkowskie do celów zapobiegania przestępczości, wykrywania przestępstw i prowadzenia postępowań przygotowawczych w sprawach karnych.

4. Zapytujące państwo członkowskie może wykorzystywać dane dostarczone zgodnie z art. 18 wyłącznie w przypadku, gdy jest to niezbędne do celów niniejszego rozporządzenia. Po uzyskaniu wyników zautomatyzowanego przeszukania dostarczone dane usuwa się niezwłocznie, chyba że konieczne jest dalsze ich przetworzenie w celu sporządzenia protokołu zgodnie z art. 20. Zapytujące państwo członkowskie wykorzystuje dane otrzymane w odpowiedzi wyłącznie w ramach procedury, do celów której przeszukano dane.

Artykuł 52

Ścisłość, aktualności i zatrzymywanie danych

1. Państwa członkowskie zapewniają ścisłość i aktualność danych osobowych. Jeżeli zapytane państwo członkowskie uzyska wiedzę, że dostarczono danych nieścisłych lub danych, których nie należało dostarczyć, niezwłocznie powiadamia o tym ewentualne zapytujące państwo członkowskie. Wszystkie zainteresowane zapytujące państwa członkowskie mają obowiązek odpowiednio skorygować lub usunąć takie dane. Oprócz tego dostarczone dane osobowe są korygowane, jeżeli okaże się, że są one nieścisłe. Jeżeli zapytujące państwo członkowskie ma podstawy, by przypuszczać, że otrzymane dane są nieścisłe lub powinny zostać usunięte, niezwłocznie informuje zapytane państwo członkowskie.

2. Jeżeli osoba, której dane dotyczą, zakwestionowała ścisłość danych będących w posiadaniu państwa członkowskiego, której dane państwo członkowskie nie jest w stanie wiarygodnie ustalić, oraz jeżeli zażąda tego osoba, której dane dotyczą, dane te oznacza się znacznikiem. Wprowadzony znacznik może zostać usunięty przez państwa członkowskie jedynie za zgodą osoby, której dane dotyczą, lub na podstawie decyzji właściwego sądu lub niezależnego organu ochrony danych.

3. Dostarczone dane, których nie należało dostarczać ani przyjmować, usuwa się. Dane dostarczone i przyjęte zgodnie z prawem usuwa się:

a)jeżeli nie są lub przestały być niezbędne do celu, w którym zostały dostarczone;

b)po upływie maksymalnego okresu przechowywania danych określonego na podstawie prawa krajowego zapytanego państwa członkowskiego, w przypadku gdy w chwili dostarczania danych zapytane państwo członkowskie poinformowało zapytujące państwo członkowskie o takim maksymalnym okresie.

W przypadku gdy są podstawy do przypuszczenia, że usunięcie danych spowodowałoby uszczerbek dla interesów osoby, której dane dotyczą, dane nie są usuwane, ale blokowane. Danych zablokowanych można dostarczać lub używać jedynie do celu, z uwagi na który zaniechano ich usunięcia.

Artykuł 53

Przetwarzający dane

1. eu-LISA jest podmiotem przetwarzającym w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725 na potrzeby przetwarzania danych osobowych za pośrednictwem routera.

2. Europol jest podmiotem przetwarzającym na potrzeby przetwarzania danych osobowych za pośrednictwem EPRIS.

Artykuł 54

Bezpieczeństwo przetwarzania danych

1. Europol, eu-LISA i organy państw członkowskich zapewniają bezpieczeństwo przetwarzania danych osobowych, które odbywa się na podstawie niniejszego rozporządzenia. Europol, eu-LISA i organy państw członkowskich współpracują w zakresie zadań związanych z bezpieczeństwem.

2. Nie naruszając przepisów art. 33 rozporządzenia (UE) 2018/1725 i art. 32 rozporządzenia (UE) 2016/794, eu-LISA i Europol stosują środki niezbędne do zapewnienia bezpieczeństwa routera i EPRIS odpowiednio, a także powiązanej z nimi infrastruktury łączności.

3. W szczególności eu-LISA i Europol przyjmuje konieczne środki dotyczące, odpowiednio, routera i EPRIS, w tym plan bezpieczeństwa, plan ciągłości działania i plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, w celach:

a)fizycznej ochrony danych, w tym poprzez opracowywanie planów awaryjnych służących ochronie infrastruktury krytycznej;

b)odmowy dostępu osobom nieuprawnionym do sprzętu do przetwarzania danych i do obiektów;

c)uniemożliwienia nieuprawnionego odczytywania, kopiowania, zmieniania lub usuwania nośników danych;

d)zapobiegania nieuprawnionemu wprowadzaniu danych i nieuprawnionej inspekcji, zmianie i nieuprawnionemu usuwaniu zarejestrowanych danych osobowych;

e)zapobiegania nieuprawnionemu przetwarzaniu danych i nieuprawnionemu kopiowaniu, modyfikacji lub usuwaniu danych;

f)uniemożliwienia wykorzystywania systemów zautomatyzowanego przetwarzania danych przez nieuprawnione osoby korzystające ze sprzętu do przekazywania danych;

g)zapewnienia, aby osoby upoważnione do dostępu do routera i EPRIS miały dostęp jedynie do danych objętych ich upoważnieniem dostępu, wyłącznie za pomocą niepowtarzalnych identyfikatorów użytkownika oraz poufnych haseł;

h)zapewnienia możliwości sprawdzenia i ustalenia, którym organom można przesyłać dane osobowe przy użyciu sprzętu do przekazywania danych;

i)zapewnienia możliwości sprawdzenia i ustalenia, które dane zostały przetworzone w routerze i EPRIS, kiedy, przez kogo i w jakim celu;

j)uniemożliwienia nieuprawnionego odczytu, kopiowania, modyfikowania lub usuwania danych osobowych w trakcie przekazywania danych osobowych do lub z routera i EPRIS lub podczas transportu nośników danych, w szczególności za pomocą odpowiednich technik szyfrowania;

k)zapewnienia, by w przypadku przerwy w działaniu zainstalowane systemy można było przywrócić do normalnego funkcjonowania;

l)zapewnienia niezawodności poprzez zadbanie o właściwe zgłaszanie wszelkich błędów w funkcjonowaniu routera i EPRIS;

m)monitorowania skuteczności środków bezpieczeństwa, o których mowa w niniejszym ustępie, a także podejmowania niezbędnych środków organizacyjnych w obszarze kontroli wewnętrznej, aby zapewnić zgodność z niniejszym rozporządzeniem i ocenić te środki bezpieczeństwa w świetle rozwoju nowych technologii.

Artykuł 55

Incydenty bezpieczeństwa

1. Zdarzenie, które ma lub może mieć wpływ na bezpieczeństwo routera lub EPRIS i może spowodować uszkodzenie lub utratę przechowywanych w nich danych, uznaje się za incydent bezpieczeństwa, w szczególności gdy mogło dojść do nieuprawnionego dostępu do danych lub gdy zostały lub mogły zostać naruszone dostępność, integralność i poufność danych.

2. Incydentami bezpieczeństwa zarządza się w sposób zapewniający szybkie, skuteczne i właściwe reagowanie.

3. Państwa członkowskie powiadamiają swoje właściwe organy nadzorcze o wszelkich incydentach bezpieczeństwa bez zbędnej zwłoki.

Nie naruszając przepisów art. 34 rozporządzenia (UE) 2016/794, Europol powiadamia CERT-UE o znaczących cyberzagrożeniach, znaczących podatnościach i znaczących incydentach bez zbędnej zwłoki, a w każdym razie nie później niż 24 godziny po uzyskaniu o nich wiedzy. Odpowiednie szczegóły techniczne dotyczące cyberzagrożeń, podatności i incydentów, na podstawie których można podjąć działania i które umożliwiają prewencyjne wykrywanie, reagowanie na incydenty lub stosowanie środków łagodzących, ujawnia się CERT-UE bez zbędnej zwłoki.

W przypadku incydentu bezpieczeństwa związanego z infrastrukturą centralną routera eu-LISA powiadamia CERT-UE o znaczących cyberzagrożeniach, znaczących podatnościach i znaczących incydentach bez zbędnej zwłoki, a w każdym razie nie później niż 24 godziny po uzyskaniu o nich wiedzy. Odpowiednie szczegóły techniczne dotyczące cyberzagrożeń, podatności i incydentów, na podstawie których można podjąć działania i które umożliwiają prewencyjne wykrywanie, reagowanie na incydenty lub stosowanie środków łagodzących, ujawnia się CERT-UE bez zbędnej zwłoki.

4. Informacja o incydencie bezpieczeństwa, który ma lub może mieć wpływ na funkcjonowanie routera lub na dostępność, integralność i poufność danych, zostaje niezwłocznie przekazana przez odpowiednie państwa członkowskie i agencje unijne pozostałym państwom członkowskim oraz Europolowi i zgłoszona zgodnie z zapewnionym przez eu-LISA planem zarządzania incydentami.

5. Informacja o incydencie bezpieczeństwa, który ma lub może mieć wpływ na funkcjonowanie EPRIS lub na dostępność, integralność i poufność danych, zostaje niezwłocznie przekazana przez odpowiednie państwa członkowskie i agencje unijne pozostałym państwom członkowskim i zgłoszona zgodnie z zapewnionym przez Europol planem zarządzania incydentami.

Artykuł 56

Monitorowanie własnej działalności

1. Państwa członkowskie i odpowiednie agencje unijne zapewniają, aby każdy organ uprawniony do użytkowania Prüm II podejmował środki niezbędne do monitorowania własnego przestrzegania przepisów niniejszego rozporządzenia oraz aby w razie potrzeby współpracował z organem nadzorczym.

2. Administratorzy danych podejmują konieczne środki, aby monitorować zgodność przetwarzania danych z niniejszym rozporządzeniem, w tym poprzez częstą weryfikację zapisów w rejestrach, o których mowa w art. 40 i 45, oraz w razie potrzeby współpracę z organami nadzorczymi oraz z Europejskim Inspektorem Ochrony Danych.

Artykuł 57

Kary

Państwa członkowskie dopilnowują, by wykorzystanie danych niezgodnie z przeznaczeniem, przetwarzanie danych lub wymiana danych niezgodnie z niniejszym rozporządzeniem podlegało karze zgodnie z prawem krajowym. Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające.

Artykuł 58

Ciężar dowodu

1. Państwa członkowskie stosują środki niezbędne do zapewnienia, by na osobach, które uważają się za dyskryminowane z powodu przetwarzania lub wymiany ich danych osobowych, nie spoczywał ciężar dowodu. W przypadku gdy osoba podniesie przed sądem lub innym właściwym organem sądowym zarzut, że była dyskryminowana w kontekście zautomatyzowanego porównania do celów niniejszego rozporządzenia, organy państwa członkowskiego, które przetwarzały odnośne dane, mają obowiązek uzasadnić, dlaczego nie doszło do dyskryminacji.

2. Ust. 1 nie ma zastosowania do postępowań karnych.

3. Państwa członkowskie nie stosują szczególnych środków w rozumieniu ust. 1 w odniesieniu do postępowań, w których zadaniem sądu lub właściwego organu sądowego jest zbadanie okoliczności faktycznych sprawy.

Artykuł 59

Odpowiedzialność

Jeżeli niewypełnienie przez państwo członkowskie obowiązków spoczywających na nim zgodnie z niniejszym rozporządzeniem spowoduje szkodę w routerze lub EPRIS, wówczas państwo to ponosi odpowiedzialność za tę szkodę, chyba że – i w zakresie, w jakim – eu-LISA, Europol lub inne państwo członkowskie związane niniejszym rozporządzeniem nie wprowadziły uzasadnionych środków zapobiegających wystąpieniu takiej szkody lub ograniczających jej skutki.

Artykuł 60

Kontrole ze strony Europejskiego Inspektora Ochrony Danych

1. Europejski Inspektor Ochrony Danych zapewnia przeprowadzanie co najmniej raz na cztery lata kontroli operacji przetwarzania danych osobowych przez eu-LISA i Europol na potrzeby niniejszego rozporządzenia zgodnie z odpowiednimi międzynarodowymi standardami przeprowadzania kontroli. Sprawozdanie z takiej kontroli przekazuje się Parlamentowi Europejskiemu, Radzie, Komisji, państwom członkowskim i danej agencji unijnej. Europol i eu-LISA mają możliwość przedstawienia uwag dotyczących sprawozdań przed ich przyjęciem.

2. eu-LISA i Europol przekazują informacje żądane przez Europejskiego Inspektora Ochrony Danych, udzielają mu dostępu do wszelkich żądanych przez niego dokumentów i do swoich rejestrów, o których mowa w art. 40 i 45, oraz umożliwiają mu uzyskanie dostępu do wszystkich swoich pomieszczeń w dowolnym momencie.

Artykuł 61

Współpraca między organami nadzorczymi a Europejskim Inspektorem Ochrony Danych

1. Organy nadzorcze i Europejski Inspektor Ochrony Danych – działając z poszanowaniem zakresu swoich kompetencji – współpracują ze sobą aktywnie w ramach przysługujących im uprawnień i zapewniają skoordynowany nadzór nad stosowaniem niniejszego rozporządzenia, zwłaszcza jeżeli Europejski Inspektor Ochrony Danych lub organ nadzorczy stwierdzą poważne rozbieżności między praktykami państw członkowskich lub potencjalnie niezgodne z prawem przekazywanie danych przy wykorzystaniu kanałów komunikacyjnych Prüm II.

2. W przypadkach, o których mowa w ust. 1 niniejszego rozporządzenia, zapewnia się skoordynowany nadzór zgodnie z art. 62 rozporządzenia (UE) 2018/1725.

3. Europejska Rada Ochrony Danych przesyła wspólne sprawozdanie ze swojej działalności na podstawie niniejszego artykułu Parlamentowi Europejskiemu, Radzie, Komisji, Europolowi i eu-LISA do dnia [dwa lata od rozpoczęcia funkcjonowania routera i EPRIS] r., a następnie co dwa lata. W sprawozdaniu tym każdemu państwu członkowskiemu poświęcony jest osobny rozdział przygotowany przez organ nadzorczy danego państwa członkowskiego.

Artykuł 62

Przekazywanie danych osobowych państwom trzecim i organizacjom międzynarodowym

Danych przetwarzanych zgodnie z niniejszym rozporządzeniem nie przekazuje się ani nie udostępnia w sposób zautomatyzowany państwom trzecim ani organizacjom międzynarodowym.

ROZDZIAŁ 7

OBOWIĄZKI

Artykuł 63

Obowiązki państw członkowskich

1. Każde państwo członkowskie odpowiada za:

a)podłączenie do infrastruktury routera;

b)integrację istniejących krajowych systemów i infrastruktury z routerem;

c)organizację swojej istniejącej infrastruktury krajowej, zarządzanie nią, jej funkcjonowanie i utrzymanie oraz jej podłączenie do routera;

d)podłączenie do infrastruktury EPRIS;

e)integrację istniejących krajowych systemów i infrastruktury z EPRIS;

f)organizację swojej istniejącej infrastruktury krajowej, zarządzanie nią, jej funkcjonowanie i utrzymanie oraz jej podłączenie do EPRIS;

g)zarządzanie dostępem odpowiednio upoważnionego personelu właściwych organów krajowych do routera oraz ustalenia dotyczące tego dostępu, zgodnie z niniejszym rozporządzeniem, a także sporządzenie listy takich członków personelu wraz z ich profilami i jej regularną aktualizację;

h)zarządzanie dostępem odpowiednio upoważnionego personelu właściwych organów krajowych do EPRIS oraz ustalenia dotyczące tego dostępu, zgodnie z niniejszym rozporządzeniem, a także sporządzenie listy takich członków personelu wraz z ich profilami i jej regularną aktualizację;

i)zarządzanie dostępem odpowiednio upoważnionego personelu właściwych organów krajowych do EUCARIS oraz ustalenia dotyczące tego dostępu, zgodnie z niniejszym rozporządzeniem, a także sporządzenie listy takich członków personelu wraz z ich profilami i jej regularną aktualizację;

j)ręczne potwierdzenie dopasowania, o którym mowa w art. 6 ust. 3, art. 7 ust. 3, art. 13 ust. 2, art. 22 ust. 2 i art. 26 ust. 2;

k)zapewnienie dostępności danych niezbędnych do wymiany danych zgodnie z art. 6, 7, 13, 18, 22 i 26;

l)wymianę informacji zgodnie z art. 6, 7, 13, 18, 22 i 26;

m)usunięcie wszelkich danych otrzymanych od zapytanego państwa członkowskiego w terminie 48 godzin od powiadomienia przez zapytane państwo członkowskie, że przekazane dane osobowe są nieprawidłowe lub nieaktualne lub zostały przekazane w sposób niezgodny z prawem;

n)zgodność z wymaganiami dotyczącymi jakości danych ustanowionymi w niniejszym rozporządzeniu.

2. Każde państwo członkowskie odpowiada za podłączenie swoich właściwych organów krajowych do routera, EPRIS i EUCARIS.

Artykuł 64

Obowiązki Europolu

1. Europol odpowiada za zarządzanie dostępem swojego należycie upoważnionego personelu do routera, EPRIS i EUCARIS oraz za ustalenia dotyczące tego dostępu zgodnie z niniejszym rozporządzeniem.

2. Europol jest również odpowiedzialny za przetwarzanie kwerend w danych Europolu dokonywanych za pośrednictwem routera. Europol dostosowuje odpowiednio swoje systemy informacyjne.

3. Europol odpowiada za wszelkie techniczne dostosowania infrastruktury Europolu wymagane do ustanowienia podłączenia do routera i EUCARIS.

4. Europol odpowiada za opracowanie EPRIS we współpracy z państwami członkowskimi. EPRIS zapewnia funkcje określone w art. 42–46.

Europol zapewnia zarządzanie techniczne EPRIS. Zarządzanie techniczne EPRIS obejmuje wszystkie zadania i rozwiązania techniczne niezbędne do utrzymania funkcjonowania infrastruktury centralnej EPRIS i zapewniające nieprzerwane usługi państwom członkowskim przez 24 godziny, 7 dni w tygodniu, zgodnie z niniejszym rozporządzeniem. Obejmuje ono w szczególności prace konserwacyjne i zmiany techniczne konieczne do zapewnienia zadowalającego poziomu jakości technicznej funkcjonowania EPRIS, zwłaszcza jeśli chodzi o czas odpowiedzi podczas wyszukiwania w bazach krajowych, zgodnie ze specyfikacją techniczną.

5. Europol zapewnia szkolenie w zakresie technicznego użytkowania EPRIS.

6. Europol odpowiada za procedury, o których mowa w art. 49 i 50.

Artykuł 65

Obowiązki eu-LISA w fazie prac projektowych i rozwojowych nad routerem

1. eu-LISA zapewnia zgodne z niniejszym rozporządzeniem użytkowanie infrastruktury centralnej routera.

2. Router jest obsługiwany przez eu-LISA w jej obiektach technicznych i zapewnia funkcje określone w niniejszym rozporządzeniu zgodnie z warunkami bezpieczeństwa, dostępności, jakości i wydajności, o których mowa w art. 66 ust. 1.

3. eu-LISA odpowiada za opracowanie routera i za wszelkie dostosowania techniczne niezbędne do jego działania.

eu-LISA nie ma dostępu do żadnych danych osobowych przetwarzanych za pośrednictwem routera.

eu-LISA określa projekt architektury fizycznej routera, w tym jego infrastruktury łączności, oraz specyfikacje techniczne i ich rozwój, jeżeli chodzi o infrastrukturę centralną i bezpieczną infrastrukturę łączności. Projekt ten przyjmuje zarząd po uzyskaniu przychylnej opinii Komisji. eu-LISA wprowadza też konieczne adaptacje do elementów interoperacyjności wynikające z ustanowienia routera, jak określono w niniejszym rozporządzeniu.

eu-LISA opracowuje i wdraża router tak szybko, jak to tylko możliwe, po przyjęciu przez Komisję środków, o których mowa w art. 37 ust. 6.

Opracowywanie tych elementów obejmuje stworzenie i wdrożenie specyfikacji technicznych, przeprowadzenie testów oraz ogólną koordynację projektu i zarządzanie nim.

4. W fazie prac projektowych i rozwojowych regularnie odbywają się posiedzenia Komisji ds. Zarządzania Programem Interoperacyjności, o której mowa w art. 54 rozporządzenia (UE) 2019/817 i w art. 54 rozporządzenia (UE) 2019/818. Zapewnia ona odpowiednie zarządzanie fazą prac projektowych i rozwojowych nad routerem.

W każdym miesiącu Komisja ds. Zarządzania Programem Interoperacyjności przedkłada zarządowi eu-LISA pisemne sprawozdania z postępów w realizacji projektu. Komisji ds. Zarządzania Programem Interoperacyjności nie przysługują uprawnienia w zakresie podejmowania decyzji ani reprezentowania członków zarządu eu-LISA.

Grupa doradcza, o której mowa w art. 77, spotyka się regularnie do czasu uruchomienia routera. Po każdym posiedzeniu grupa doradcza przedkłada sprawozdanie Komisji ds. Zarządzania Programem Interoperacyjności. Grupa doradcza zapewnia wiedzę techniczną w celu wsparcia Komisji ds. Zarządzania Programem Interoperacyjności w realizacji jej zadań oraz śledzi stan przygotowania państw członkowskich.

Artykuł 66

Obowiązki eu-LISA po uruchomieniu routera

1. Po rozpoczęciu funkcjonowania routera eu-LISA odpowiada za zarządzanie techniczne infrastrukturą centralną routera, w tym za jej obsługę techniczną i zmiany techniczne. We współpracy z państwami członkowskimi zapewnia ona stosowanie najlepszej dostępnej technologii, z uwzględnieniem analizy kosztów i korzyści. eu-LISA odpowiada też za zarządzanie techniczne niezbędną infrastrukturą łączności.

Zarządzanie techniczne routerem obejmuje wszystkie zadania i rozwiązania techniczne niezbędne do utrzymania funkcjonowania routera i zapewniające nieprzerwane usługi państwom członkowskim i Europolowi przez 24 godziny, 7 dni w tygodniu, zgodnie z niniejszym rozporządzeniem. Obejmuje ono w szczególności prace konserwacyjne i zmiany techniczne konieczne do zapewnienia zadowalającego poziomu jakości technicznej funkcjonowania routera, zwłaszcza jeśli chodzi o dostępność i czas odpowiedzi podczas przesyłania zapytań do krajowych baz danych i danych Europolu zgodnie ze specyfikacją techniczną.

Router należy opracować i zarządzać nim w taki sposób, by zapewnić szybki, sprawny, efektywny i kontrolowany dostęp, pełną i nieprzerwaną dostępność routera oraz czas odpowiedzi zgodny z potrzebami operacyjnymi właściwych organów państw członkowskich i Europolu.

2. Bez uszczerbku dla art. 17 regulaminu pracowniczego urzędników Unii Europejskiej, ustanowionego rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 42 , eu-LISA stosuje właściwe przepisy dotyczące tajemnicy zawodowej lub nakłada inne równoważne obowiązki zachowania poufności na swoich pracowników zobowiązanych do pracy z danymi przechowywanymi w elementach interoperacyjności. Zobowiązania te stosuje się także po odejściu takiego personelu z urzędu lub z pracy lub po zakończeniu przez niego działalności.

eu-LISA nie ma dostępu do żadnych danych osobowych przetwarzanych za pośrednictwem routera.

3. eu-LISA wypełnia też zadania związane z zapewnianiem szkoleń z zakresu technicznego użytkowania routera.

ROZDZIAŁ 8

ZMIANY W INNYCH OBOWIĄZUJĄCYCH AKTACH

Artykuł 67

Zmiany w decyzjach 2008/615/WSiSW i 2008/616/WSiSW

1.W decyzji 2008/615/WSiSW zastępuje się art. 2–6 oraz rozdział 2 sekcje 2 i 3 w odniesieniu do państw członkowskich związanych niniejszym rozporządzeniem od dnia rozpoczęcia stosowania przepisów niniejszego rozporządzenia dotyczących routera, jak określono w art. 74.

W związku z tym uchyla się art. 2–6 oraz rozdział 2 sekcje 2 i 3 decyzji 2008/615/WSiSW od dnia rozpoczęcia stosowania przepisów niniejszego rozporządzenia dotyczących routera, jak określono w art. 74.

2.W decyzji 2008/616/WSiSW zastępuje się rozdziały 2–5 oraz art. 18, 20 i 21 w odniesieniu do państw członkowskich związanych niniejszym rozporządzeniem od dnia rozpoczęcia stosowania przepisów niniejszego rozporządzenia dotyczących routera, jak określono w art. 74.

W związku z tym uchyla się rozdziały 2–5 oraz art. 18, 20 i 21 decyzji 2008/616/WSiSW od dnia rozpoczęcia stosowania przepisów niniejszego rozporządzenia dotyczących routera, jak określono w art. 74.

Artykuł 68

Zmiany w rozporządzeniu (UE) 2018/1726

W rozporządzeniu (UE) 2018/1726 wprowadza się następujące zmiany:

1)dodaje się art. 13 a w brzmieniu:

„Artykuł 13a

Zadania związane z routerem 

W odniesieniu do rozporządzenia Parlamentu Europejskiego i Rady (UE) …/…* [niniejsze rozporządzenie] Agencja wykonuje zadania związane z routerem powierzone jej na mocy tego rozporządzenia.

___________

*    Rozporządzenie Parlamentu Europejskiego i Rady (UE) [numer] z dnia xy r. w sprawie [oficjalnie przyjęty tytuł] (Dz.U. L … z …, s. …).”;

art. 17 ust. 3 otrzymuje brzmienie:

„3. Siedzibą Agencji jest Tallin (Estonia).

Zadania związane z rozwojem i zarządzaniem operacyjnym, o których mowa w art. 1 ust. 4 i 5 oraz w art. 3–8 i art. 9, 11 i 13a są wykonywane w centrum technicznym w Strasburgu we Francji.

Obiekt zapasowy, który umożliwia zapewnienie działania wielkoskalowego systemu informatycznego w przypadku awarii takiego systemu, jest zlokalizowany w Sankt Johann im Pongau w Austrii.”.

Artykuł 69

Zmiany w rozporządzeniu (UE) 2019/817

W art. 6 ust. 2 rozporządzenia (UE) 2019/817 dodaje się literę d) w brzmieniu:

„d) bezpiecznej infrastruktury łączności między europejskim portalem wyszukiwania a routerem ustanowionym w rozporządzeniu Parlamentu Europejskiego i Rady (UE) …/…* [niniejsze rozporządzenie].

___________

*    Rozporządzenie Parlamentu Europejskiego i Rady (UE) [numer] z dnia xy r. w sprawie [oficjalnie przyjęty tytuł] (Dz.U. L … z …, s. …).”.

Artykuł 70

Zmiany w rozporządzeniu (UE) 2019/818

W rozporządzeniu (UE) 2019/818 wprowadza się następujące zmiany:

1)w art. 6 ust. 2 dodaje się literę d) w brzmieniu:

„d) bezpiecznej infrastruktury łączności między europejskim portalem wyszukiwania a routerem ustanowionym w rozporządzeniu Parlamentu Europejskiego i Rady (UE) …/…* [niniejsze rozporządzenie].

___________

*    Rozporządzenie Parlamentu Europejskiego i Rady (UE) [numer] z dnia xy r. w sprawie [oficjalnie przyjęty tytuł] (Dz.U. L … z …, s. …).”;

2)art. 39 ust. 1 i 2 otrzymują brzmienie:

„1. Centralne repozytorium sprawozdawczo-statystyczne ustanawia się, aby wspierać realizację celów SIS, Eurodac i ECRIS-TCN zgodnie z odpowiednimi aktami prawnymi regulującymi te systemy oraz zapewniać międzysystemowe dane statystyczne i sprawozdania analityczne służące strategiom politycznym, celom operacyjnym i związanym z jakością danych. Centralne repozytorium sprawozdawczo-statystyczne wspiera także osiągnięcie celów Prüm II.

 2. eu-LISA ustanawia, wdraża i obsługuje w swoich centrach technicznych centralne repozytorium sprawozdawczo-statystyczne zawierające dane i statystyki, o których mowa w art. 74 rozporządzenia (UE) 2018/1862 oraz art. 32 rozporządzenia (UE) 2019/816, logicznie oddzielone według systemu informacyjnego UE. eu-LISA gromadzi również dane i statystyki z routera, o którym mowa w art. 65 ust. 1 rozporządzenia (UE) …/… * [niniejsze rozporządzenie]. Dostęp do centralnego repozytorium sprawozdawczo-statystycznego w postaci kontrolowanego, bezpiecznego dostępu i określonych profili użytkowników przyznaje się – wyłącznie w celach sprawozdawczo-statystycznych – organom, o których mowa w art. 74 rozporządzenia (UE) 2018/1862, art. 32 rozporządzenia (UE) 2019/816 oraz art. 65 ust. 1 rozporządzenia (UE) .../...* [niniejszego rozporządzenia].”.

ROZDZIAŁ 9

PRZEPISY KOŃCOWE

Artykuł 71

Sprawozdawczość i statystyki

1. Odpowiednio upoważniony personel właściwych organów państw członkowskich, Komisji, Europolu i eu-LISA ma możliwość dokonywania sprawdzeń następujących danych związanych z routerem, wyłącznie do celów sporządzania sprawozdań i statystyk:

a)liczba kwerend przypadająca na państwo członkowskie i na Europol;

b)liczba kwerend przypadająca na kategorię danych;

c)liczba kwerend w każdej z połączonych baz danych;

d)liczba dopasowań w bazie danych każdego państwa członkowskiego w podziale na kategorie danych;

e)liczba dopasowań w danych Europolu w podziale na kategorie danych;

f)liczba potwierdzonych dopasowań w przypadkach, w których nastąpiła wymiana danych podstawowych; oraz

g)liczba kwerend za pośrednictwem routera we wspólnym repozytorium danych umożliwiających identyfikację.

W oparciu o dane nie może być możliwa identyfikacja poszczególnych osób.

2. Odpowiednio upoważniony personel właściwych organów państw członkowskich, Europolu i Komisji ma możliwość dokonywania sprawdzeń następujących danych związanych z EUCARIS, wyłącznie do celów sporządzania sprawozdań i statystyk:

a)liczba kwerend przypadająca na państwo członkowskie i na Europol;

b)liczba kwerend w każdej z połączonych baz danych; oraz

c)liczba dopasowań w bazie danych każdego państwa członkowskiego.

W oparciu o dane nie może być możliwa identyfikacja poszczególnych osób.

3. Odpowiednio upoważniony personel właściwych organów państw członkowskich, Komisji i Europolu ma możliwość dokonywania sprawdzeń następujących danych związanych z EPRIS, wyłącznie do celów sporządzania sprawozdań i statystyk:

a)liczba kwerend przypadająca na państwo członkowskie i na Europol;

b)liczba kwerend w każdym z połączonych indeksów; oraz

c)liczba dopasowań w bazie danych każdego państwa członkowskiego.

W oparciu o dane nie może być możliwa identyfikacja poszczególnych osób.

4. eu-LISA przechowuje dane, o których mowa w tych ustępach.

Dane te umożliwiają organom, o których mowa w ust. 1, uzyskanie sprofilowanych sprawozdań i statystyk w celu zwiększenia efektywności współpracy organów ścigania.

Artykuł 72

Koszty

1. Koszty poniesione w związku z ustanowieniem i funkcjonowaniem routera i EPRIS są pokrywane z budżetu ogólnego Unii.

2. Koszty poniesione w związku z integracją istniejącej krajowej infrastruktury oraz jej podłączeniem do routera i EPRIS, a także w związku z ustanowieniem krajowych baz danych wizerunków twarzy oraz krajowych indeksów informacji z rejestrów karnych do celów zapobiegania przestępczości, wykrywania przestępstw i prowadzenia postępowań przygotowawczych w sprawach karnych są pokrywane z budżetu ogólnego Unii.

Wyłącza się następujące koszty:

a)funkcjonowania biura zarządzania projektami państw członkowskich (posiedzenia, podróże służbowe, biura);

b)obsługi krajowych systemów informatycznych (pomieszczenia, wdrażanie, energia elektryczna, chłodzenie);

c)funkcjonowania krajowych systemów informatycznych (umowy z operatorami i umowy w zakresie wsparcia);

d)projektowania, rozwoju, wdrażania, funkcjonowania i utrzymania krajowych sieci łączności.

3. Każde państwo członkowskie ponosi koszty powstałe w wyniku administrowania, użytkowania i konserwacji oprogramowania EUCARIS, o którym mowa w art. 19 ust. 1.

4. Każde państwo członkowskie ponosi koszty powstałe w wyniku administrowania, użytkowania i konserwacji krajowych podłączeń do routera i EPRIS.

Artykuł 73

Powiadomienia

1. Państwa członkowskie powiadamiają eu-LISA o organach, o których mowa w art. 36, które mogą korzystać z routera lub uzyskiwać do niego dostęp.

2. eu-LISA informuje Komisję o pomyślnym zakończeniu testów, o których mowa w art. 74 ust. 1 lit. b).

3. Państwa członkowskie powiadamiają Komisję, Europol i eu-LISA o krajowych punktach kontaktowych.

Artykuł 74

Uruchomienie systemu

1. Komisja określa w drodze aktu wykonawczego datę, od której państwa członkowskie i agencje unijne mogą rozpocząć korzystanie z routera, gdy zostaną spełnione następujące warunki:

a)przyjęto środki, o których mowa w art. 37 ust. 6;

b)eu-LISA oświadczyła, że pomyślnie ukończono wszechstronny test routera, który przeprowadziła we współpracy z organami państw członkowskich i z Europolem.

W tym akcie wykonawczym Komisja określa również datę, od której państwa członkowskie i agencje unijne muszą rozpocząć korzystanie z routera. Data ta przypada rok od daty określonej zgodnie z akapitem pierwszym.

Komisja może przesunąć datę, od której państwa członkowskie i agencje unijne muszą rozpocząć korzystanie z routera, maksymalnie o jeden rok, jeżeli ocena wdrożenia routera wykaże, że takie przesunięcie jest konieczne. Te akty wykonawcze przyjmuje się zgodnie z procedurą, o której mowa w art. 76 ust. 2.

2. Komisja określa w drodze aktu wykonawczego datę, od której państwa członkowskie i agencje unijne mają rozpocząć korzystanie z EPRIS, gdy zostaną spełnione następujące warunki:

a)przyjęto środki, o których mowa w art. 44 ust. 7;

b)Europol oświadczył, że pomyślnie ukończono wszechstronny test EPRIS, który przeprowadził we współpracy z organami państw członkowskich.

3. Komisja określa w drodze aktu wykonawczego datę, od której Europol ma udostępniać państwom członkowskim dane biometryczne pochodzące od państw trzecich zgodnie z art. 49, gdy zostaną spełnione następujące warunki:

a)router został uruchomiony;

b)Europol oświadczył, że pomyślnie ukończono wszechstronny test połączenia, który przeprowadził we współpracy z organami państw członkowskich i z eu-LISA.

4. Komisja określa w drodze aktu wykonawczego datę, od której Europol otrzymuje dostęp do danych przechowywanych w bazach danych państw członkowskich zgodnie z art. 50, gdy zostaną spełnione następujące warunki:

a)router został uruchomiony;

b)Europol oświadczył, że pomyślnie ukończono wszechstronny test połączenia, który przeprowadził we współpracy z organami państw członkowskich i z eu-LISA.

Artykuł 75

Przepisy przejściowe i odstępstwa

1. Państwa członkowskie i agencje unijne rozpoczynają stosowanie art. 21–24, art. 47 i art. 50 ust. 6 od daty określonej zgodnie z art. 74 ust. 1 akapit pierwszy, z wyjątkiem państw członkowskich, które nie rozpoczęły korzystania z routera.

2. Państwa członkowskie i agencje unijne rozpoczynają stosowanie art. 25–28 i art. 50 ust. 4 od daty określonej zgodnie z art. 74 ust. 2.

3. Państwa członkowskie i agencje unijne rozpoczynają stosowanie art. 49 od daty określonej zgodnie z art. 74 ust. 3.

4. Państwa członkowskie i agencje unijne rozpoczynają stosowanie art. 50 ust. 1, 2, 3, 5 i 7 od daty określonej zgodnie z art. 74 ust. 4.

Artykuł 76

Procedura komitetowa

1. Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

2. W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011. W przypadku gdy komitet nie wyda żadnej opinii, Komisja nie przyjmuje projektu aktu wykonawczego i stosuje się art. 5 ust. 4 akapit trzeci rozporządzenia (UE) nr 182/2011.

Artykuł 77

Grupa doradcza

Zakres obowiązków grupy doradczej ds. interoperacyjności eu-LISA zostaje rozszerzony o router. Ta grupa doradcza ds. interoperacyjności zapewnia eu-LISA wiedzę fachową związaną z routerem, w szczególności w kontekście przygotowywania rocznego programu prac oraz rocznego sprawozdania z działalności.

Artykuł 78

Praktyczny podręcznik

Komisja, w ścisłej współpracy z państwami członkowskimi, Europolem i eu-LISA, udostępnia praktyczny podręcznik na potrzeby wdrażania niniejszego rozporządzenia i zarządzania tym rozporządzeniem. Ten praktyczny podręcznik zawiera wytyczne o charakterze technicznym i operacyjnym, zalecenia i najlepsze praktyki. Komisja przyjmuje praktyczny podręcznik w formie zalecenia.

Artykuł 79

Monitorowanie i ocena

1. eu-LISA i Europol zapewniają, odpowiednio, wdrożenie procedur monitorowania tworzenia routera i EPRIS pod kątem realizacji celów dotyczących planowania i kosztów oraz procedur monitorowania funkcjonowania routera i EPRIS pod kątem realizacji celów dotyczących rezultatów technicznych, opłacalności, bezpieczeństwa i jakości usług.

2. Do dnia [rok po wejściu w życie niniejszego rozporządzenia], a następnie co roku w trakcie fazy rozwojowej routera eu-LISA przedstawia odpowiednio Parlamentowi Europejskiemu i Radzie sprawozdanie z aktualnej sytuacji w zakresie opracowywania routera. Sprawozdanie to zawiera szczegółowe informacje na temat poniesionych kosztów oraz informacje dotyczące wszelkich rodzajów ryzyka, które mogą mieć wpływ na ogólne koszty pokrywane z budżetu ogólnego Unii zgodnie z art. 72.

Po zakończeniu prac rozwojowych nad routerem eu-LISA przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie zawierające szczegółowe wyjaśnienia dotyczące sposobu osiągnięcia celów, w szczególności w zakresie planowania i kosztów, a także zawierające uzasadnienie wszelkich rozbieżności.

3. Do dnia [rok po wejściu w życie niniejszego rozporządzenia], a następnie co roku w trakcie fazy rozwojowej EPRIS Europol przedstawia odpowiednio Parlamentowi Europejskiemu i Radzie sprawozdanie na temat stanu przygotowań do wdrożenia niniejszego rozporządzenia oraz na temat stanu rozwoju EPRIS, w tym szczegółowe informacje o poniesionych kosztach oraz informacje o wszelkich zagrożeniach, które mogą mieć wpływ na ogólne koszty pokrywane z budżetu ogólnego Unii zgodnie z art. 72.

Po zakończeniu prac rozwojowych nad EPRIS Europol przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie zawierające szczegółowe wyjaśnienia dotyczące sposobu osiągnięcia celów, w szczególności w zakresie planowania i kosztów, a także zawierające uzasadnienie wszelkich rozbieżności.

4. Na potrzeby konserwacji technicznej eu-LISA i Europol mają dostęp do niezbędnych informacji związanych z operacjami przetwarzania danych przeprowadzanymi w routerze i w EPRIS, odpowiednio.

5. Po upływie dwóch lat od uruchomienia routera, a następnie co dwa lata, eu-LISA przedkłada Parlamentowi Europejskiemu, Radzie i Komisji sprawozdanie dotyczące technicznego funkcjonowania routera, w tym jego bezpieczeństwa.

6. Po upływie dwóch lat od uruchomienia EPRIS, a następnie co dwa lata, Europol przedkłada Parlamentowi Europejskiemu, Radzie i Komisji sprawozdanie dotyczące technicznego funkcjonowania EPRIS, w tym jego bezpieczeństwa.

7. Po upływie trzech lat od uruchomienia routera i EPRIS, o których mowa w art. 74, a następnie co cztery lata, Komisja przeprowadza ogólną ocenę Prüm II, obejmującą:

a)ocenę stosowania niniejszego rozporządzenia;

b)analizę osiągniętych wyników w stosunku do celów niniejszego rozporządzenia i ocenę jego wpływu na prawa podstawowe;

c)wpływ, skuteczność i wydajność funkcjonowania Prüm II i metod pracy w świetle jego celów, mandatu i zadań;

d)ocenę bezpieczeństwa Prüm II;

Komisja przekazuje powyższe sprawozdanie oceniające Parlamentowi Europejskiemu, Radzie, Europejskiemu Inspektorowi Danych Osobowych i Agencji Praw Podstawowych Unii Europejskiej.

8. Państwa członkowskie i Europol dostarczają eu-LISA i Komisji informacji niezbędnych do sporządzania sprawozdań, o których mowa w ust. 2 i 5. Informacje te nie mogą stwarzać zagrożenia dla metod pracy ani ujawniać informacji o źródłach, członkach personelu lub postępowaniach przygotowawczych prowadzonych przez wyznaczone organy.

9. Państwa członkowskie przekazują Europolowi i Komisji informacje niezbędne do sporządzania sprawozdań, o których mowa w ust. 3 i 6. Informacje te nie mogą stwarzać zagrożenia dla metod pracy ani ujawniać informacji o źródłach, członkach personelu lub postępowaniach przygotowawczych prowadzonych przez wyznaczone organy.

10. Państwa członkowskie, eu-LISA i Europol przekazują Komisji informacje niezbędne do przeprowadzenia ocen, o których mowa w ust. 7. Państwa członkowskie przekazują również Komisji liczbę potwierdzonych dopasowań w bazie danych każdego państwa członkowskiego w podziale na kategorie danych.

Artykuł 80

Wejście w życie i stosowanie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane w państwach członkowskich zgodnie z Traktatami.

Sporządzono w Brukseli dnia […] r.

OCENA SKUTKÓW FINANSOWYCH REGULACJI

1.    STRUKTURA INICJATYWY USTAWODAWCZEJ

1.1.    Tytuł inicjatywy ustawodawczej

1.2.    Obszary polityki, których dotyczy wniosek/inicjatywa

1.3.    Wniosek dotyczy:

◻ nowego działania

◻ nowego działania, będącego następstwem projektu pilotażowego/działania przygotowawczego 43  

⌧ przedłużenia bieżącego działania 

◻ połączenia lub przekształcenia co najmniej jednego działania pod kątem innego/nowego działania 

1.4.    Cel(e)

1.4.1.    Cel(e) ogólny(e)

1.4.2.    Cel(e) szczegółowy(e)

1.4.3.    Oczekiwane wyniki i wpływ

Należy wskazać, jakie efekty przyniesie inicjatywa ustawodawcza beneficjentom/grupie docelowej.

1.4.4.    Wskaźniki dotyczące realizacji celów

Należy wskazać wskaźniki stosowane do monitorowania postępów i osiągnięć.

1.5.    Uzasadnienie inicjatywy ustawodawczej

1.5.1.    Potrzeby, które należy zaspokoić w perspektywie krótko- lub długoterminowej, w tym szczegółowy terminarz przebiegu realizacji inicjatywy ustawodawczej

1.5.2.    Wartość dodana z tytułu zaangażowania Unii Europejskiej (może wynikać z różnych czynników, na przykład korzyści koordynacyjnych, pewności prawa, większej efektywności lub komplementarności). Na potrzeby tego punktu „wartość dodaną z tytułu zaangażowania Unii” należy rozumieć jako wartość wynikającą z unijnej interwencji, wykraczającą poza wartość, która zostałaby wytworzona przez same państwa członkowskie.

1.5.3.    Główne wnioski wyciągnięte z podobnych działań

1.5.4.    Spójność z wieloletnimi ramami finansowymi oraz możliwa synergia z innymi właściwymi instrumentami

1.5.5.    Ocena różnych dostępnych możliwości finansowania, w tym zakresu przegrupowania środków

Środki niezbędne do sfinansowania rozwoju ram Prüm II nie zostały zaplanowane w ramach przydziałów z wieloletnich ram finansowych Europolu i eu-LISA, ponieważ jest to nowy wniosek, w przypadku którego kwoty nie były znane w momencie składania wniosku. Proponuje się zwiększenie przydziału środków dla Europolu i eu-LISA w latach 2024, 2025, 2026 i 2027 poprzez stosowne zmniejszenie środków odpowiednio w Funduszu Bezpieczeństwa Wewnętrznego (FBW) oraz w Instrumencie Wsparcia Finansowego na rzecz Zarządzania Granicami i Polityki Wizowej (IZGW). 

1.6.    Czas trwania i wpływ finansowy inicjatywy ustawodawczej

◻ Ograniczony czas trwania

◻    Okres trwania wniosku/inicjatywy: od [DD/MM]RRRR r. do [DD/MM]RRRR r.

◻    Okres trwania wpływu finansowego: od RRRR r. do RRRR r.

⌧ Nieograniczony czas trwania

Wprowadzenie w życie z okresem rozruchu od 2024 r. do 2026 r.,

po którym następuje faza operacyjna.

1.7.    Planowane tryby zarządzania 45  

⌧ Bezpośrednie zarządzanie przez Komisję

–X w ramach jej służb, w tym za pośrednictwem jej pracowników w delegaturach Unii;

–◻ przez agencje wykonawcze

⌧ Zarządzanie dzielone z państwami członkowskimi

⌧ Zarządzanie pośrednie poprzez przekazanie zadań związanych z wykonaniem budżetu:

◻ organizacjom międzynarodowym i ich agencjom (należy wyszczególnić);

◻ EBI oraz Europejskiemu Funduszowi Inwestycyjnemu;

⌧ organom, o których mowa w art. 70 i 71;

◻ organom prawa publicznego;

◻ podmiotom podlegającym prawu prywatnemu, które świadczą usługi użyteczności publicznej, o ile zapewniają one odpowiednie gwarancje finansowe;

◻ podmiotom podlegającym prawu prywatnemu państwa członkowskiego, którym powierzono realizację partnerstwa publiczno-prywatnego oraz które zapewniają odpowiednie gwarancje finansowe;

◻ osobom odpowiedzialnym za wykonanie określonych działań w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa na mocy tytułu V Traktatu o Unii Europejskiej oraz określonym we właściwym podstawowym akcie prawnym.

Uwagi

2.    ŚRODKI ZARZĄDZANIA

2.1.    Zasady nadzoru i sprawozdawczości

Określić częstotliwość i warunki

2.2.    System zarządzania i kontroli

2.2.1.    Informacje dotyczące zidentyfikowanego ryzyka i systemów kontroli wewnętrznej ustanowionych w celu jego ograniczenia

2.2.2.    Oszacowanie i uzasadnienie efektywności kosztowej kontroli (relacja kosztów kontroli do wartości zarządzanych funduszy powiązanych) oraz ocena prawdopodobnego ryzyka błędu (przy płatności i przy zamykaniu)

2.3.    Środki zapobiegania nadużyciom finansowym i nieprawidłowościom

Określić istniejące lub przewidywane środki zapobiegania i ochrony, np. ze strategii zwalczania nadużyć finansowych.

3.    SZACUNKOWY WPŁYW FINANSOWY INICJATYWY USTAWODAWCZEJ

3.1.    Działy wieloletnich ram finansowych i linie budżetowe po stronie wydatków, na które wniosek/inicjatywa ma wpływ

Istniejące linie budżetowe

Według działów wieloletnich ram finansowych i linii budżetowych

3.2.    Szacunkowy wpływ na wydatki

3.2.1.    Synteza szacunkowego wpływu na wydatki

w mln EUR (do trzech miejsc po przecinku)

 
Uwagi: dodatkowe środki, o które wnosi się w związku z niniejszym wnioskiem dla Europolu, zostaną pokryte z Funduszu Bezpieczeństwa Wewnętrznego (FBW) w ramach działu 5.

w mln EUR (do trzech miejsc po przecinku)