02019R0816 — PL — 03.08.2021 — 002.001


Dokument ten służy wyłącznie do celów informacyjnych i nie ma mocy prawnej. Unijne instytucje nie ponoszą żadnej odpowiedzialności za jego treść. Autentyczne wersje odpowiednich aktów prawnych, włącznie z ich preambułami, zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej i są dostępne na stronie EUR-Lex. Bezpośredni dostęp do tekstów urzędowych można uzyskać za pośrednictwem linków zawartych w dokumencie

►B

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2019/816

z dnia 17 kwietnia 2019 r.

ustanawiające scentralizowany system służący do ustalania państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców (ECRIS-TCN) na potrzeby uzupełnienia europejskiego systemu przekazywania informacji z rejestrów karnych oraz zmieniające rozporządzenie (UE) 2018/1726

(Dz.U. L 135 z 22.5.2019, s. 1)

zmienione przez:

 

 

Dziennik Urzędowy

  nr

strona

data

►M1

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2019/818 z dnia 20 maja 2019 r.

  L 135

85

22.5.2019

►M2

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2021/1151 z dnia 7 lipca 2021 r.

  L 249

7

14.7.2021




▼B

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2019/816

z dnia 17 kwietnia 2019 r.

ustanawiające scentralizowany system służący do ustalania państw członkowskich posiadających informacje o wyrokach skazujących wydanych wobec obywateli państw trzecich i bezpaństwowców (ECRIS-TCN) na potrzeby uzupełnienia europejskiego systemu przekazywania informacji z rejestrów karnych oraz zmieniające rozporządzenie (UE) 2018/1726



ROZDZIAŁ I

Przepisy ogólne

Artykuł 1

Przedmiot

W niniejszym rozporządzeniu ustanawia się:

a) 

system służący do ustalania państw członkowskich posiadających informacje dotyczące uprzednich wyroków skazujących wydanych wobec obywateli państw trzecich (zwany dalej „ECRIS-TCN”);

b) 

warunki, zgodnie z którymi organy centralne korzystają z ECRIS-TCN do uzyskiwania informacji o takich uprzednich wyrokach skazujących za pośrednictwem europejskiego systemu przekazywania informacji z rejestrów karnych (ECRIS), ustanowionego decyzją 2009/316/WSiSW, jak również warunki, zgodnie z którymi Eurojust, Europol i EPPO korzystają z ECRIS-TCN;

▼M1

c) 

określa warunki, na których ECRIS-TCN przyczynia się do ułatwiania i wspomagania poprawnej identyfikacji osób zarejestrowanych w systemie ECRIS-TCN na warunkach i w celach określonych w art. 20 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/818 ( 1 ) poprzez przechowywanie danych dotyczących tożsamości, danych dokumentów podróży i danych biometrycznych we wspólnym repozytorium tożsamości;

▼M2

e) 

warunki, zgodnie z którymi jednostka centralna ETIAS, ustanowiona w Europejskiej Agencji Straży Granicznej i Przybrzeżnej zgodnie z art. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1240 ( 2 ), może korzystać z danych w ECRIS-TCN do wspierania realizacji celu ETIAS polegającego na przyczynianiu się do wysokiego poziomu bezpieczeństwa przez umożliwienie dokładnej oceny wnioskodawców pod kątem ryzyka dla bezpieczeństwa, przed ich przybyciem na przejście graniczne na granicy zewnętrznej, aby stwierdzić, czy istnieją przesłanki faktyczne lub wynikające z takich przesłanek uzasadnione podstawy, by uznać, że obecność danej osoby na terytorium państw członkowskich stanowi ryzyko dla bezpieczeństwa.

▼M2

Artykuł 2

Zakres

Niniejsze rozporządzenie ma zastosowanie do przetwarzania informacji dotyczących tożsamości obywateli państw trzecich, którzy podlegają wyrokom skazującym w państwach członkowskich, do celów ustalenia państw członkowskich, w których takie wyroki skazujące wydano. Z wyjątkiem art. 5 ust. 1 lit. b) ppkt (ii) przepisy niniejszego rozporządzenia mające zastosowanie do obywateli państw trzecich mają także zastosowanie do obywateli Unii, którzy posiadają również obywatelstwo państwa trzeciego i podlegają wyrokom skazującym w państwach członkowskich.

Niniejsze rozporządzenie:

a) 

wspiera – zgodnie z rozporządzeniem (WE) nr 767/2008 – realizację celu VIS polegającego na ocenie, czy osoba ubiegająca się o wizę, wizę długoterminową lub dokument pobytowy może stanowić zagrożenie dla porządku publicznego lub bezpieczeństwa wewnętrznego;

b) 

wspiera – zgodnie z rozporządzeniem (UE) 2018/1240 – realizację celu ETIAS polegającego na przyczynianiu się do wysokiego poziomu bezpieczeństwa;

c) 

ułatwia i wspomaga poprawną identyfikację osób zgodnie z niniejszym rozporządzeniem oraz z rozporządzeniem (UE) 2019/818.

▼B

Artykuł 3

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1) 

„wyrok skazujący” oznacza każde prawomocne orzeczenie wydane przez sąd karny wobec osoby fizycznej w związku z popełnieniem przestępstwa, o ile orzeczenie to zostało wpisane do rejestru karnego skazującego państwa członkowskiego;

2) 

„postępowanie karne” oznacza postępowanie przygotowawcze, rozprawę sądową oraz wykonanie wyroku skazującego;

3) 

„rejestr karny” oznacza krajowy rejestr lub rejestry, do których zgodnie z prawem krajowym wpisuje się wyroki skazujące;

4) 

„skazujące państwo członkowskie” oznacza państwo członkowskie, w którym wydano wyrok skazujący;

5) 

„organ centralny” oznacza organ wyznaczony zgodnie z art. 3 ust. 1 decyzji ramowej 2009/315/WSiSW;

▼M2

6) 

„właściwe organy” oznaczają organy centralne, Eurojust, Europol, EPPO, organy wyznaczone do celów VIS, o których mowa w art. 9d i art. 22b pkt 13 rozporządzenia (WE) nr 767/2008, oraz jednostkę centralną ETIAS, uprawnione zgodnie z niniejszym rozporządzeniem do uzyskania dostępu do ECRIS-TCN lub do wysyłania zapytań do tego systemu;

▼B

7) 

„obywatel państwa trzeciego” oznacza osobę niebędącą obywatelem Unii w rozumieniu art. 20 ust. 1 TFUE, osobę, która jest bezpaństwowcem lub osobę, której obywatelstwo jest nieznane;

▼M1 —————

▼B

9) 

„oprogramowanie interfejsowe” oznacza oprogramowanie obsługiwane przez właściwe organy, które umożliwia im uzyskanie dostępu do systemu centralnego za pomocą infrastruktury komunikacyjnej, o której mowa w art. 4 ust. 1 lit. d);

10) 

„informacje dotyczące tożsamości” oznaczają dane alfanumeryczne, dane daktyloskopijne i wizerunki twarzy, które są wykorzystywane do ustalenia powiązania między tymi danymi a osobą fizyczną;

11) 

„dane alfanumeryczne” oznaczają dane wyrażone literami, cyframi, znakami specjalnymi, odstępami i znakami przestankowymi;

12) 

„dane daktyloskopijne” oznaczają dane odnoszące się do odcisków wszystkich palców danej osoby w formie odbitek płaskich i przetoczonych;

13) 

„wizerunek twarzy” oznacza cyfrowy wizerunek twarzy danej osoby;

14) 

„trafienie” oznacza dopasowanie lub dopasowania uzyskane w wyniku porównania informacji dotyczących tożsamości zapisanych w systemie centralnym z informacjami dotyczącymi tożsamości użytymi do wyszukiwania;

15) 

„krajowy centralny punkt dostępu” oznacza krajowy punkt połączenia z infrastrukturą komunikacyjną, o której mowa w art. 4 ust. 1 lit. d);

16) 

„oprogramowanie wzorcowe ECRIS” oznacza oprogramowanie opracowane przez Komisję i udostępnione państwom członkowskim do celów wymiany informacji z rejestrów karnych za pośrednictwem ECRIS:

17) 

„krajowy organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych;

18) 

„organy nadzorcze” oznaczają Europejskiego Inspektora Ochrony Danych i krajowe organy nadzorcze;

▼M1

19) 

„wspólne repozytorium tożsamości” oznacza wspólne repozytorium tożsamości ustanowione na mocy art. 17 ust. 1 rozporządzenia (UE) 2019/818;

20) 

„dane ECRIS-TCN” oznaczają wszystkie dane przechowywane w systemie centralnym ECRIS-TCN i wspólnym repozytorium tożsamości zgodnie z art. 5;

21) 

„Europejski portal wyszukiwania” oznacza Europejski portal wyszukiwania ustanowiony w art. 6 ust. 1 rozporządzenia (UE) 2019/818.

▼B

Artykuł 4

Architektura techniczna ECRIS-TCN

1.  

ECRIS-TCN składa się z:

▼M1

a) 

systemu centralnego;

▼M1

aa) 

wspólnego repozytorium tożsamości;

▼B

b) 

krajowego centralnego punktu dostępu w każdym państwie członkowskim;

c) 

oprogramowania interfejsowego umożliwiającego połączenie właściwych organów z systemem centralnym za pośrednictwem krajowych centralnych punktów dostępu i infrastruktury komunikacyjnej, o której mowa w lit. d);

d) 

infrastruktury komunikacyjnej między systemem centralnym a krajowymi centralnymi punktami dostępu;

▼M1

e) 

infrastruktury łączności między systemem centralnym a infrastrukturą centralną ESP i wspólnego repozytorium tożsamości.

▼B

2.  
System centralny jest obsługiwany przez eu-LIS-ę w jej centrach technicznych.
3.  
Oprogramowanie interfejsowe jest zintegrowane z oprogramowaniem wzorcowym ECRIS. Państwa członkowskie korzystają z oprogramowania wzorcowego ECRIS lub – w sytuacji i na warunkach określonych w ust. 4–8 – krajowego oprogramowania ECRIS w celu wysyłania zapytań do ECRIS-TCN oraz przesyłania wniosków o udzielenie informacji z rejestrów karnych.
4.  
Państwa członkowskie, które korzystają ze swojego krajowego oprogramowania ECRIS, odpowiadają za zapewnienie, aby ich krajowe oprogramowanie ECRIS pozwalało ich krajowym organom odpowiedzialnym za rejestry karne korzystać z ECRIS-TCN, z wyjątkiem oprogramowania interfejsowego, zgodnie z niniejszym rozporządzeniem. W tym celu, przed dniem uruchomienia ECRIS-TCN zgodnie z art. 35 ust. 4, te państwa członkowskie zapewniają, aby ich krajowe oprogramowanie ECRIS działało zgodnie z protokołami i specyfikacjami technicznymi ustanowionymi w aktach wykonawczych, o których mowa w art. 10, oraz z dodatkowymi wymogami technicznymi ustanowionymi przez eu-LIS-ę na podstawie niniejszego rozporządzenia w oparciu o te akty wykonawcze.
5.  
Dopóki państwa członkowskie, które korzystają ze swojego krajowego oprogramowania ECRIS, nie korzystają z oprogramowania wzorcowego ECRIS, zapewniają one również wdrażanie bez zbędnej zwłoki w ich krajowym oprogramowaniu ECRIS wszelkich późniejszych dostosowań technicznych niezbędnych ze względu na jakiekolwiek zmiany w specyfikacjach technicznych ustanowionych w aktach wykonawczych, o których mowa w art. 10, lub zmiany w dodatkowych wymogach technicznych ustanowionych przez eu-LIS-ę na podstawie niniejszego rozporządzenia w oparciu o te akty wykonawcze.
6.  
Państwa członkowskie, które korzystają ze swojego krajowego oprogramowania ECRIS, ponoszą wszelkie koszty związane z wdrażaniem, utrzymaniem i dalszym rozwojem swojego krajowego oprogramowania ECRIS oraz jego wzajemnym połączeniem z ECRIS-TCN, z wyjątkiem kosztów związanych z oprogramowaniem interfejsowym.
7.  
Jeżeli państwo członkowskie, które korzysta ze swojego krajowego oprogramowania ECRIS, nie jest w stanie wywiązać się ze swoich obowiązków przewidzianych w niniejszym artykule, ma ono obowiązek korzystania z oprogramowania wzorcowego ECRIS, w tym ze zintegrowanego oprogramowania interfejsowego, w celu korzystania z ECRIS-TCN.
8.  
Do celów oceny, którą zgodnie z art. 36 ust. 10 lit. b) ma przeprowadzić Komisja, dane państwa członkowskie przekazują Komisji wszelkie niezbędne informacje.



ROZDZIAŁ II

Wprowadzanie i wykorzystywanie danych przez organy centralne

Artykuł 5

Wprowadzanie danych do ECRIS-TCN

▼M1

1.  

W odniesieniu do każdego skazanego obywatela państwa trzeciego organ centralny skazującego państwa członkowskiego tworzy wpis w ECRIS-TCN. Wpis zawiera:

▼B

a) 

w zakresie danych alfanumerycznych:

(i) 

informacje, które mają zostać zamieszczone, chyba że, w indywidualnych przypadkach, informacje takie nie są znane organowi centralnemu (informacje obowiązkowe):

— 
nazwisko (nazwisko rodowe),
— 
imiona (imiona nadane),
— 
data urodzenia,
— 
miejsce urodzenia (miejscowość i państwo),
— 
obywatelstwo lub obywatelstwa,
— 
płeć,
— 
poprzednie imiona i nazwiska, jeżeli dotyczy,
— 
kod skazującego państwa członkowskiego,
(ii) 

informacje, które mają zostać zamieszczone, jeżeli zostały wprowadzone do rejestru karnego (informacje nieobowiązkowe):

— 
imiona i nazwiska rodziców,
(iii) 

informacje, które mają zostać zamieszczone, jeżeli są one dostępne dla organu centralnego (informacje dodatkowe):

▼M2

— 
numer identyfikacyjny lub rodzaj i numer dokumentów tożsamości danej osoby, w tym dokumentów podróży, oraz nazwa organu wydającego,

▼B

— 
pseudonimy lub przydomki;
b) 

w zakresie danych daktyloskopijnych:

(i) 

dane daktyloskopijne, które zostały pobrane zgodnie z prawem krajowym w ramach postępowania karnego;

(ii) 

co najmniej dane daktyloskopijne pobrane na podstawie jednego z następujących kryteriów:

— 
w przypadku obywatela państwa trzeciego, wobec którego wydano wyrok skazujący na karę pozbawienia wolności w wymiarze co najmniej 6 miesięcy,
albo
— 
w przypadku obywatela państwa trzeciego skazanego za popełnienie przestępstwa, które na mocy prawa państwa członkowskiego jest zagrożone karą pozbawienia wolności o maksymalnym wymiarze co najmniej 12 miesięcy;

▼M2

c) 

marker wskazujący, do celów rozporządzeń (WE) nr 767/2008 i (UE) 2018/1240, że dany obywatel państwa trzeciego został skazany w ciągu ostatnich 25 lat za przestępstwo terrorystyczne lub w ciągu ostatnich 15 lat za jakiekolwiek inne przestępstwo, wymienione w załączniku do rozporządzenia (UE) 2018/1240, jeżeli zgodnie z prawem krajowym przestępstwo to jest zagrożone karą pozbawienia wolności lub środkiem zabezpieczającym, których górna granica wynosi co najmniej trzy lata, w tym kod skazującego państwa członkowskiego.

▼M1

1a.  
Wspólne repozytorium tożsamości zawiera dane, o których mowa w ust. 1 lit. b) oraz następujące dane, o których mowa w ust. 1 lit. a): nazwisko (nazwisko rodowe), imiona (imiona nadane), data urodzenia, miejsce urodzenia (miejscowość i państwo), obywatelstwo lub obywatelstwa, płeć wcześniej używane nazwiska, oraz w stosownych przypadkach pseudonim lub nazwiska przybrane, jeżeli są dostępne – rodzaj i numer dokumentów podróży danej osoby, jak również nazwę organów wydających te dokumenty. Wspólne repozytorium tożsamości może zawierać dane, o których mowa w ust. 3. Pozostałe dane ECRIS-TCN są przechowywane w systemie centralnym.

▼B

2.  
Dane daktyloskopijne, o których mowa w ust. 1 lit. b) niniejszego artykułu, muszą być zgodne ze specyfikacjami technicznymi dotyczącymi jakości, rozdzielczości i przetwarzania danych daktyloskopijnych, ustanowionymi w akcie wykonawczym, o którym mowa w art. 10 ust. 1 lit. b).Numer referencyjny danych daktyloskopijnych osoby skazanej musi zawierać kod skazującego państwa członkowskiego.
3.  
Wpis może również zawierać wizerunki twarzy skazanego obywatela państwa trzeciego, jeżeli prawo skazującego państwa członkowskiego zezwala na gromadzenie i przechowywanie wizerunków twarzy osób skazanych.
4.  
Skazujące państwo członkowskie tworzy wpis, o ile to możliwe automatycznie, a także bez zbędnej zwłoki po wprowadzeniu danego wyroku skazującego do rejestru karnego.
5.  
Skazujące państwa członkowskie tworzą również wpisy w przypadku wyroków skazujących wydanych przed dniem rozpoczęcia wprowadzania danych zgodnie z art. 35 ust. 1, w zakresie, w jakim dane odnoszące się do osób skazanych są przechowywane w ich krajowych bazach danych. W takich przypadkach dane daktyloskopijne zamieszcza się jedynie w przypadku, gdy zostały one pobrane w ramach postępowania karnego zgodnie z prawem krajowym, oraz w przypadku, gdy mogą zostać jednoznacznie dopasowane do innych informacji dotyczących tożsamości znajdujących się w rejestrze karnym.
6.  
W celu spełnienia obowiązków określonych w ust. 1 lit. b) ppkt (i) i (ii) oraz w ust. 5 państwa członkowskie mogą wykorzystywać dane daktyloskopijne pobrane do celów innych niż postępowanie karne, jeżeli takie wykorzystanie jest dozwolone na mocy prawa krajowego.

▼M2

7.  

Markery i kody skazujących państw członkowskich, o których mowa w ust. 1 lit. c) niniejszego artykułu, są udostępniane i możliwe do wyszukiwania wyłącznie za pomocą:

a) 

systemu centralnego VIS, ustanowionego w art. 2a ust. 1 lit. b) rozporządzenia (WE) nr 767/2008, do celów weryfikacji zgodnie z art. 7a niniejszego rozporządzenia w związku z art. 9a ust. 4 lit. e) lub art. 22b ust. 3 lit. e) rozporządzenia (WE) nr 767/2008;

b) 

systemu centralnego ETIAS, zgodnie z definicją w art. 3 ust. 1 pkt 25 rozporządzenia (UE) 2018/1240, do celów weryfikacji zgodnie z art. 7b niniejszego rozporządzenia w związku z art. 20 ust. 2 lit. n) rozporządzenia (UE) 2018/1240, w przypadku wygenerowania trafień w wyniku automatycznych weryfikacji i sprawdzeń zgodnie z art. 20, art. 24 ust. 6 lit. c) ppkt (ii) i art. 54 ust. 1 lit. b) tego rozporządzenia.

Bez uszczerbku dla akapitu pierwszego niniejszego ustępu markery i kod skazującego państwa członkowskiego, o których mowa w ust. 1 lit. c), nie są widoczne dla żadnego organu, innego niż organ centralny skazującego państwa członkowskiego, który stworzył wpis, do którego dołączono marker.

▼B

Artykuł 6

Wizerunki twarzy

1.  
Do czasu wejścia w życie aktu delegowanego przewidzianego w ust. 2 wizerunki twarzy mogą być wykorzystywane wyłącznie do potwierdzenia tożsamości obywatela państwa trzeciego, który został zidentyfikowany w wyniku wyszukiwania alfanumerycznego lub wyszukiwania przy pomocy danych daktyloskopijnych.
2.  
Komisja jest uprawniona do przyjmowania aktów delegowanych, zgodnie z art. 37, uzupełniających niniejsze rozporządzenie odnośnie do wykorzystywania, gdy będzie to technicznie wykonalne, wizerunków twarzy do identyfikacji obywateli państw trzecich w celu ustalenia państw członkowskich posiadających informacje dotyczące uprzednich wyroków skazujących dotyczących takich osób. Przed skorzystaniem z tego uprawnienia Komisja oceni dostępność i gotowość wymaganej technologii, biorąc pod uwagę konieczność i proporcjonalność, a także techniczny rozwój oprogramowania do rozpoznawania twarzy.

Artykuł 7

Korzystanie z ECRIS-TCN do celów ustalania państw członkowskich posiadających informacje z rejestrów karnych

1.  

Organy centralne korzystają z ECRIS-TCN do ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego, aby za pośrednictwem ECRIS uzyskać informacje o uprzednich wyrokach skazujących, w przypadku gdy o informacje z rejestrów karnych dotyczące danej osoby wystąpiono w danym państwie członkowskim do celów postępowania karnego przeciwko tej osobie lub do jednego z następujących celów, jeżeli przewiduje to prawo krajowe i jest to zgodne z prawem krajowym:

— 
sprawdzenie informacji zawartych w rejestrze karnym na wniosek osoby, której informacje te dotyczą,
— 
poświadczenie bezpieczeństwa,
— 
uzyskanie licencji lub zezwolenia,
— 
weryfikacja na potrzeby zatrudnienia,
— 
weryfikacja na potrzeby działalności wolontariackiej związanej z bezpośrednimi i regularnymi kontaktami z dziećmi lub osobami wymagającymi szczególnego traktowania,
— 
procedury związane z wizami, nabyciem obywatelstwa i migracją, w tym procedury azylowe, oraz
— 
sprawdzenia związane z zamówieniami publicznymi i egzaminami publicznymi.

Jednak w szczególnych przypadkach, innych niż te, w których do organu centralnego z wnioskiem o udzielenie informacji zawartych w rejestrze karnym na swój temat zwraca się obywatel państwa trzeciego lub w których wniosek ma służyć uzyskaniu informacji z rejestrów karnych zgodnie z art. 10 ust. 2 dyrektywy 2011/93/UE, organ występujący o informacje z rejestrów karnych może zdecydować, że takie skorzystanie z ECRIS-TCN nie jest właściwe.

2.  
Każde państwo członkowskie, które zdecyduje – jeżeli przewiduje to prawo krajowe i jest to zgodne z prawem krajowym – korzystać z ECRIS-TCN do celów innych niż określone w ust. 1, aby uzyskiwać informacje o uprzednich wyrokach skazujących za pośrednictwem ECRIS, powiadamia Komisję, do dnia uruchomienia systemu, o którym mowa w art. 35 ust. 4, lub w późniejszym terminie, o takich innych celach i wszelkich zmianach dotyczących takich celów. Komisja publikuje takie powiadomienia w Dzienniku Urzędowym Unii Europejskiej w terminie 30 dni od otrzymania powiadomień.
3.  
Eurojust, Europol i EPPO są uprawnione do wysyłania zapytań do ECRIS-TCN w celu ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego zgodnie z art. 14–18. Jednakże nie mogą one wprowadzać żadnych danych do ECRIS-TCN, dokonywać w tym systemie ich sprostowania ani usuwać ich z tego systemu.
4.  
Do celów, o których mowa w ust. 1, 2 i 3, właściwe organy mogą również wysyłać zapytania do ECRIS-TCN w celu sprawdzenia, czy odnośnie do obywatela Unii którekolwiek z państw członkowskich posiada informacje z rejestrów karnych dotyczące tej osoby jako obywatela państwa trzeciego.
5.  
W przypadku wysyłania zapytań do ECRIS-TCN właściwe organy mogą wykorzystywać wszystkie lub wyłącznie niektóre dane, o których mowa w art. 5 ust. 1. Minimalny zestaw danych wymaganych do wysłania zapytania do systemu określa akt wykonawczy przyjęty zgodnie z art. 10 ust. 1 lit. g).
6.  
Właściwe organy mogą również wysyłać zapytania do ECRIS-TCN z wykorzystaniem wizerunków twarzy, pod warunkiem że funkcja taka została wdrożona zgodnie z art. 6 ust. 2.

▼M2

7.  

W przypadku trafienia system centralny lub wspólne repozytorium tożsamości automatycznie przekazuje właściwemu organowi informacje o państwach członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego, wraz z powiązanymi numerami referencyjnymi, o których mowa w art. 5 ust. 1, oraz wszelkimi powiązanymi informacjami dotyczącymi tożsamości. Takie informacje dotyczące tożsamości są wykorzystywane wyłącznie do celów weryfikacji tożsamości danego obywatela państwa trzeciego. Wynik wyszukiwania w systemie centralnym jest wykorzystywany wyłącznie do celu:

a) 

wystąpienia z wnioskiem zgodnie z art. 6 decyzji ramowej 2009/315/WSiSW;

b) 

wystąpienia z wnioskiem, o którym mowa w art. 17 ust. 3 niniejszego rozporządzenia;

c) 

wspierania – zgodnie z rozporządzeniem (WE) nr 767/2008 – realizacji celu VIS polegającego na ocenie, czy osoba ubiegająca się o wizę, wizę długoterminową lub dokument pobytowy może stanowić zagrożenie dla porządku publicznego lub bezpieczeństwa wewnętrznego; lub

d) 

wspierania – zgodnie z rozporządzeniem (UE) 2018/1240 – realizacji celu ETIAS polegającego na przyczynianiu się do wysokiego poziomu bezpieczeństwa.

▼B

8.  
W przypadku braku trafienia system centralny automatycznie informuje właściwy organ.

▼M2

Artykuł 7b

Korzystanie z ECRIS-TCN do celów weryfikacji ETIAS

1.  
Do celów wykonywania zadań zgodnie z rozporządzeniem (UE) 2018/1240, jednostka centralna ETIAS ma prawo dostępu do danych ECRIS-TCN oraz ich wyszukiwania. Jednostka centralna ETIAS ma jednak dostęp, zgodnie z art. 11 ust. 8 tego rozporządzenia, wyłącznie do tych wpisów, do których dołączono marker zgodnie z art. 5 ust. 1 lit. c) niniejszego rozporządzenia.

Z danych, o których mowa w akapicie pierwszym, korzystają wyłącznie do celów weryfikacji:

a) 

jednostka centralna ETIAS zgodnie z art. 22 rozporządzenia (UE) 2018/1240; lub

b) 

jednostki krajowe ETIAS zgodnie z art. 25a ust. 2 rozporządzenia (UE) 2018/1240 do celów konsultowania krajowych rejestrów karnych; konsultowanie krajowych rejestrów karnych odbywa się przed dokonaniem ocen i podjęciem decyzji, o których mowa w art. 26 tego rozporządzenia, oraz, w stosownych przypadkach, przed dokonaniem ocen i przedstawieniem opinii zgodnie z art. 28 tego rozporządzenia.

2.  
Wspólne repozytorium tożsamości jest połączone z europejskim portalem wyszukiwania, aby umożliwić automatyczne weryfikacje i sprawdzenia zgodnie z art. 20, art. 24 ust. 6 lit. c) ppkt (ii) i art. 54 ust. 1 lit. b) rozporządzenia (UE) 2018/1240.
3.  
Bez uszczerbku dla art. 24 rozporządzenia (UE) 2018/1240, automatyczne weryfikacje i sprawdzenia zgodnie z art. 20, art. 24 ust. 6 lit. c) ppkt (ii) i art. 54 ust. 1 lit. b) tego rozporządzenia, umożliwiają przeprowadzenie dalszych weryfikacji określonych w art. 22 i 26 tego rozporządzenia.

Do celów przeprowadzenia weryfikacji, o których mowa w art. 20 ust. 2 lit. n) rozporządzenia (UE) 2018/1240, system centralny ETIAS korzysta z europejskiego portalu wyszukiwania, aby porównać dane w ETIAS z danymi ECRIS-TCN, do których dołączono marker zgodnie z art. 5 ust. 1 lit. c) niniejszego rozporządzenia i art. 11 ust. 8 rozporządzenia (UE) 2018/1240, korzystając z danych wymienionych w tabeli odpowiedników zawartej w załączniku II do niniejszego rozporządzenia.

▼B



ROZDZIAŁ III

Zatrzymywanie i zmiana danych

Artykuł 8

Okres zatrzymywania przechowywanych danych

▼M1

1.  
Każdy wpis danych jest przechowywany w systemie centralnym i we wspólnym repozytorium tożsamości tak długo, jak długo w rejestrze karnym przechowywane są dane dotyczące wyroku lub wyroków skazujących danej osoby.
2.  
Po upływie okresu przechowywania danych, o którym mowa w ust. 1, organ centralny skazującego państwa członkowskiego usuwa dane, w tym odciski palców lub wizerunek twarzy, z systemu centralnego i wspólnego repozytorium tożsamości. Usuwanie to odbywa się to automatycznie, o ile to możliwe, i w każdym przypadku nie później niż w terminie miesiąca od upływu okresu zatrzymywania danych.

▼M2

3.  
Markery, o których mowa w art. 5 ust. 1 lit. c), są automatycznie usuwane po upływie okresu przechowywania danych, o którym mowa w ust. 1 niniejszego artykułu, lub po upływie 25 lat od utworzenia danego markera w przypadku wyroków skazujących dotyczących przestępstw terrorystycznych lub 15 lat od utworzenia danego markera w przypadku wyroków skazujących dotyczących innych przestępstw, w zależności od tego, co nastąpi wcześniej.

▼B

Artykuł 9

Zmiana i usuwanie danych

1.  
Państwa członkowskie mogą zmienić lub usuwać dane, które wprowadziły do ►M1  system centralny i wspólne repozytorium tożsamości ◄ .
2.  
W przypadku każdej zmiany informacji w rejestrze karnym, które doprowadziły do utworzenia wpisu zgodnie z art. 5, skazujące państwo członkowskie dokonuje, bez zbędnej zwłoki, identycznej zmiany informacji przechowywanych w tym wpisie w ►M1  system centralny i wspólne repozytorium tożsamości ◄ .
3.  

W przypadku gdy skazujące państwo członkowskie ma powody, by sądzić, że dane, które zapisało w ►M1  system centralny i wspólne repozytorium tożsamości ◄ , są nieprawidłowe lub że dane były przetwarzane w ►M1  system centralny i wspólne repozytorium tożsamości ◄ niezgodnie z niniejszym rozporządzeniem:

a) 

natychmiast rozpoczyna procedurę, odpowiednio, sprawdzenia prawidłowości przedmiotowych danych lub zgodności ich przetwarzania z prawem;

b) 

w razie potrzeby bez zbędnej zwłoki dokonuje sprostowania danych lub usuwa je z ►M1  system centralny i wspólne repozytorium tożsamości ◄ .

4.  
W przypadku gdy państwo członkowskie inne niż skazujące państwo członkowskie, które wprowadziło dane, ma powody, by sądzić, że dane zapisane w ►M1  system centralny i wspólne repozytorium tożsamości ◄ są nieprawidłowe lub że dane były przetwarzane w ►M1  system centralny i wspólne repozytorium tożsamości ◄ niezgodnie z niniejszym rozporządzeniem, kontaktuje się, bez zbędnej zwłoki, z organem centralnym skazującego państwa członkowskiego.

Skazujące państwo członkowskie:

a) 

natychmiast rozpoczyna procedurę, odpowiednio, sprawdzenia prawidłowości przedmiotowych danych lub zgodności ich przetwarzania z prawem;

b) 

w razie potrzeby bez zbędnej zwłoki dokonuje sprostowania danych lub usuwa je z ►M1  system centralny i wspólne repozytorium tożsamości ◄ ;

c) 

informuje, bez zbędnej zwłoki, to drugie państwo członkowskie, że dane zostały sprostowane lub usunięte, lub podaje powody, dla których dane nie zostały sprostowane lub usunięte.



ROZDZIAŁ IV

Rozwój systemu, jego funkcjonowanie i zakres odpowiedzialności

Artykuł 10

Przyjęcie aktów wykonawczych przez Komisję

1.  

Komisja przyjmuje jak najszybciej akty wykonawcze niezbędne do technicznego rozwijania i wdrożenia ECRIS-TCN, a w szczególności akty dotyczące:

a) 

specyfikacji technicznych do celów przetwarzania danych alfanumerycznych;

b) 

specyfikacji technicznych dotyczących jakości, rozdzielczości oraz przetwarzania danych daktyloskopijnych;

c) 

specyfikacji technicznych oprogramowania interfejsowego;

d) 

specyfikacji technicznych dotyczących jakości, rozdzielczości oraz przetwarzania wizerunków twarzy do celów art. 6 i na warunkach tam określonych;

e) 

jakości danych, w tym mechanizmu i procedur przeprowadzania kontroli jakości danych;

f) 

wprowadzania danych zgodnie z art. 5;

g) 

dostępu do ECRIS-TCN i wysyłania zapytań do tego systemu zgodnie z art. 7;

h) 

zmieniania i usuwania danych zgodnie z art. 8 i 9;

i) 

prowadzenia rejestrów i dostępu do nich zgodnie z art. 31;

▼M1 —————

▼B

k) 

przekazywania statystyk zgodnie z art. 32;

l) 

wymagań w zakresie wydajności i dostępności ECRIS-TCN, w tym minimalnych specyfikacji i wymogów dotyczących wydajności biometrycznej ECRIS-TCN, w szczególności pod kątem wymaganego współczynnika fałszywego dopasowania i współczynnika fałszywego niedopasowania.

2.  
Akty wykonawcze, o których mowa w ust. 1, przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 38 ust. 2.

Artykuł 11

Rozwijanie ECRIS-TCN i zarządzanie operacyjne tym systemem

1.  
eu-LISA odpowiada za rozwój ECRIS-TCN zgodnie z zasadami uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Ponadto eu-LISA odpowiada za zarządzanie operacyjne ECRIS-TCN. Rozwój systemu obejmuje opracowanie i wdrożenie specyfikacji technicznych, testowanie oraz ogólne koordynowanie projektu.
2.  
eu-LISA odpowiada także za dalsze rozwijanie i utrzymanie oprogramowania wzorcowego ECRIS.
3.  
eu-LISA określa projekt architektury fizycznej ECRIS-TCN, w tym jego specyfikacje techniczne oraz ewolucję odnośnie do systemu centralnego, krajowego centralnego punktu dostępu oraz oprogramowania interfejsowego. Projekt przyjmuje zarząd eu-LIS-y, pod warunkiem uzyskania pozytywnej opinii Komisji.
4.  
eu-LISA rozwija i wdraża ECRIS-TCN jak najszybciej po dniu wejścia w życie niniejszego rozporządzenia i po przyjęciu przez Komisję aktów wykonawczych przewidzianych w art. 10.
5.  
Przed rozpoczęciem etapu projektowania i rozwijania ECRIS-TCN zarząd eu-LIS-y ustanawia radę ds. zarządzania programem, w skład której wchodzi dziesięciu członków.

W skład rady ds. zarządzania programem wchodzi ośmiu członków powołanych przez zarząd, przewodniczący grupy doradczej, o której mowa w art. 39, oraz jeden członek powołany przez Komisję. Członkowie powoływani przez zarząd są wybierani wyłącznie spośród tych państw członkowskich, które zgodnie z prawem Unii w pełni podlegają instrumentom ustawodawczym regulującym ECRIS i które będą uczestniczyły w ECRIS-TCN. Zarząd zapewnia, by powoływani przez niego do rady ds. zarządzania programem członkowie posiadali niezbędne doświadczenie i wiedzę fachową w zakresie rozwijania systemów informatycznych wspierających działalność organów wymiaru sprawiedliwości i organów odpowiedzialnych za rejestry karne oraz w zakresie zarządzania tymi systemami.

eu-LISA uczestniczy w pracach rady ds. zarządzania programem. W tym celu przedstawiciele eu-LIS-y uczestniczą w posiedzeniach rady ds. zarządzania programem, tak aby składać sprawozdania z prac dotyczących projektowania i rozwijania ECRIS-TCN i innych związanych z tym prac i działań.

Posiedzenia rady ds. zarządzania programem odbywają się przynajmniej raz na trzy miesiące lub częściej, jeżeli jest to niezbędne. Rada ds. zarządzania programem zapewnia odpowiednie zarządzanie etapem projektowania i rozwijania ECRIS-TCN oraz spójność między projektem centralnym a krajowymi projektami w zakresie ECRIS-TCN oraz krajowym oprogramowaniem ECRIS. Rada ds. zarządzania programem regularnie i, w miarę możliwości, co miesiąc, przedkłada zarządowi eu-LIS-y pisemne sprawozdania z postępów w realizacji projektu. Rada ds. zarządzania programem nie ma uprawnień do podejmowania decyzji ani do reprezentowania członków zarządu.

6.  

Rada ds. zarządzania programem ustanawia swój regulamin, który zawiera w szczególności zasady dotyczące:

a) 

przewodniczenia;

b) 

miejsca posiedzeń;

c) 

przygotowywania posiedzeń;

d) 

dopuszczania ekspertów na posiedzenia;

e) 

planów w zakresie komunikacji, które zapewniają pełne informacje członkom zarządu, którzy nie uczestniczą w posiedzeniach.

7.  
Przewodnictwo rady ds. zarządzania programem sprawuje państwo członkowskie, które zgodnie z prawem Unii w pełni podlega instrumentom ustawodawczym regulującym ECRIS oraz instrumentom ustawodawczym regulującym rozwijanie, ustanawianie, funkcjonowanie i użytkowanie wszystkich wielkoskalowych systemów informatycznych zarządzanych przez eu-LIS-ę.
8.  
eu-LISA ponosi wszystkie koszty podróży i utrzymania poniesione przez członków rady ds. zarządzania programem. Art. 10 regulaminu wewnętrznego eu-LIS-y stosuje się odpowiednio. eu-LISA zapewnia prowadzenie sekretariatu rady ds. zarządzania programem.
9.  
Na etapie projektowania i rozwijania w skład grupy doradczej, o której mowa w art. 39, wchodzą kierownicy projektów krajowych w zakresie ECRIS-TCN, a przewodniczy jej eu-LISA. Na etapie projektowania i rozwijania posiedzenia grupy doradczej odbywają się regularnie, w miarę możliwości co najmniej raz w miesiącu, do momentu uruchomienia ECRIS-TCN. Po każdym posiedzeniu grupa doradcza przedkłada sprawozdanie radzie ds. zarządzania programem. Grupa doradcza zapewnia wiedzę techniczną wspierającą radę ds. zarządzania programem w realizacji zadań oraz śledzi stan przygotowań państw członkowskich.
10.  
W celu zapewnienia, w sposób ciągły, poufności i integralności danych przechowywanych w ECRIS-TCN, eu-LISA, we współpracy z państwami członkowskimi, dostarcza odpowiednie środki techniczne i organizacyjne, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrożenia i ryzyka wiążącego się z przetwarzaniem.
11.  

eu-LISA odpowiada za następujące zadania związane z infrastrukturą komunikacyjną, o której mowa w art. 4 ust. 1 lit. d):

a) 

nadzór;

b) 

bezpieczeństwo;

c) 

koordynacja stosunków między państwami członkowskimi a dostawcą infrastruktury komunikacyjnej.

12.  

Komisja odpowiada za wszelkie pozostałe zadania związane z infrastrukturą komunikacyjną, o której mowa a art. 4 ust. 1 lit. d), w szczególności za:

a) 

zadania związane z wykonywaniem budżetu;

b) 

zakupy i odnawianie;

c) 

kwestie dotyczące umów.

13.  
eu-LISA rozwija i utrzymuje mechanizm i procedury przeprowadzania kontroli jakości danych przechowywanych w ECRIS-TCN i przekazuje regularne sprawozdania państwom członkowskim. eu-LISA przekazuje Komisji regularne sprawozdania wskazujące napotkane problemy i państwa członkowskie, których problemy te dotyczą.
14.  
Zarządzanie operacyjne ECRIS-TCN obejmuje wszelkie zadania niezbędne do utrzymania operacyjności ECRIS-TCN zgodnie z niniejszym rozporządzeniem, w szczególności prace konserwacyjne i usprawnienia techniczne niezbędne do zapewnienia funkcjonowania ECRIS-TCN na satysfakcjonującym poziomie zgodnie ze specyfikacjami technicznymi.
15.  
eu-LISA wykonuje zadania związane z zapewnieniem szkoleń w zakresie technicznego użytkowania ECRIS-TCN oraz oprogramowania wzorcowego ECRIS.
16.  
Bez uszczerbku dla art. 17 regulaminu pracowniczego urzędników Unii Europejskiej, ustanowionego rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 ( 3 ), eu-LISA stosuje właściwe przepisy dotyczące tajemnicy służbowej lub inne równoważne wymogi poufności do wszystkich członków swojego personelu, od których wymaga się pracy z danymi zapisanymi w systemie centralnym. Wymóg ten ma zastosowanie również po zakończeniu pełnienia urzędu przez te osoby lub po ustaniu ich zatrudnienia, lub po zakończeniu ich działalności.

Artykuł 12

Zakres odpowiedzialności państw członkowskich

1.  

Każde państwo członkowskie odpowiada za:

a) 

zapewnienie bezpiecznego połączenia między swoimi krajowymi bazami danych rejestrów karnych i krajowymi bazami danych daktyloskopijnych a krajowym centralnym punktem dostępu;

b) 

rozwój, funkcjonowanie i utrzymywanie połączenia, o którym mowa w lit. a);

c) 

zapewnienie połączenia między swoimi systemami krajowymi a oprogramowaniem wzorcowym ECRIS;

d) 

zarządzanie dostępem należycie upoważnionych członków personelu organów centralnych do ECRIS-TCN zgodnie z niniejszym rozporządzeniem i za ustalenia dotyczące tego dostępu oraz za sporządzenie i regularne aktualizowanie wykazu takich członków personelu oraz profili, o których mowa w art. 19 ust. 3 lit. g).

2.  
Każde państwo członkowskie zapewnia członkom personelu swojego organu centralnego, którzy posiadają prawo dostępu do ECRIS-TCN, odpowiednie szkolenie dotyczące, w szczególności, przepisów w zakresie bezpieczeństwa i ochrony danych oraz mających zastosowanie praw podstawowych, zanim zostaną oni upoważnieni do przetwarzania danych przechowywanych w ►M1  systemie centralnym i wspólnym repozytorium tożsamości ◄ .

Artykuł 13

Odpowiedzialność za wykorzystywanie danych

1.  

Zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych każde państwo członkowskie zapewnia, aby dane zapisane w ECRIS-TCN były przetwarzane w sposób zgodny z prawem, w szczególności aby:

a) 

dostęp do danych mieli wyłącznie należycie upoważnieni członkowie personelu – do celów wykonywania przez nich ich zadań;

b) 

dane były gromadzone zgodnie z prawem i z pełnym poszanowaniem godności ludzkiej i praw podstawowych obywateli państw trzecich;

c) 

dane były wprowadzane do ECRIS-TCN zgodnie z prawem;

d) 

dane były prawidłowe i aktualne w chwili ich wprowadzania do ECRIS-TCN.

2.  
eu-LISA zapewnia, aby ECRIS-TCN był obsługiwany zgodnie z niniejszym rozporządzeniem, z aktem delegowanym, o którym mowa w art. 6 ust. 2, i z aktami wykonawczymi, o których mowa w art. 10, a także zgodnie z rozporządzeniem (UE) 2018/1725. W szczególności eu-LISA podejmuje środki niezbędne do zapewnienia bezpieczeństwa ►M1  system centralny, wspólne repozytorium tożsamości ◄ oraz infrastruktury komunikacyjnej, o której mowa w art. 4 ust. 1 lit. d), bez uszczerbku dla zakresu odpowiedzialności każdego z państw członkowskich.
3.  
eu-LISA informuje jak najszybciej Parlament Europejski, Radę i Komisję oraz Europejskiego Inspektora Ochrony Danych o środkach, które podejmuje zgodnie z ust. 2 do celów uruchomienia ECRIS-TCN.
4.  
Komisja udostępnia informacje, o których mowa w ust. 3, państwom członkowskim i ogółowi społeczeństwa za pośrednictwem regularnie aktualizowanej strony internetowej.

Artykuł 14

Dostęp dla Eurojustu, Europolu i EPPO

1.  
Eurojust ma bezpośredni dostęp do ECRIS-TCN do celów wdrożenia art. 17 oraz do celów wykonywania swoich zadań zgodnie z art. 2 rozporządzenia (UE) 2018/1727, w celu ustalania państw członkowskich posiadających informacje o uprzednich wyrokach skazujących wydanych wobec obywateli państw trzecich.
2.  
Europol ma bezpośredni dostęp do ECRIS-TCN do celów wykonywania swoich zadań zgodnie z art. 4 ust. 1 lit. a)–e) i h) rozporządzenia (UE) 2016/794, w celu ustalania państw członkowskich posiadających informacje o uprzednich wyrokach skazujących wydanych wobec obywateli państw trzecich.
3.  
EPPO ma bezpośredni dostęp do ECRIS-TCN do celów wykonywania swoich zadań zgodnie z art. 4 rozporządzenia (UE) 2017/1939, w celu ustalania państw członkowskich posiadających informacje o uprzednich wyrokach skazujących wydanych wobec obywateli państw trzecich.
4.  
Po uzyskaniu trafienia wskazującego państwa członkowskie posiadające informacje z rejestrów karnych dotyczące obywatela państwa trzeciego Eurojust, Europol i EPPO mogą wykorzystać swoje odnośne kontakty z krajowymi organami tych państw członkowskich w celu wystąpienia z wnioskiem o udzielenie informacji z rejestrów karnych w sposób określony w odpowiednich aktach ustanawiających te agencje i ten organ.

Artykuł 15

Dostęp upoważnionych członków personelu Eurojustu, Europolu i EPPO

Eurojust, Europol i EPPO odpowiadają za zarządzanie dostępem należycie upoważnionych członków personelu do ECRIS-TCN zgodnie z niniejszym rozporządzeniem i za ustalenia dotyczące tego dostępu oraz za sporządzenie i regularne aktualizowanie wykazu takich członków personelu wraz z ich profilami.

Artykuł 16

Zakres odpowiedzialności Eurojustu, Europolu i EPPO

Eurojust, Europol i EPPO:

a) 

ustanawiają środki techniczne umożliwiające połączenie z ECRIS-TCN i odpowiadają za utrzymanie tego połączenia;

b) 

zapewniają odpowiednie szkolenie dotyczące, w szczególności, przepisów w zakresie bezpieczeństwa i ochrony danych oraz mających zastosowanie praw podstawowych tym spośród członków swojego personelu, którzy posiadają prawo dostępu do ECRIS-TCN, zanim zostaną oni upoważnieni do przetwarzania danych przechowywanych w systemie centralnym;

c) 

zapewniają, aby dane osobowe przetwarzane przez nie na mocy niniejszego rozporządzenia były chronione zgodnie z mającymi zastosowanie przepisami z zakresu ochrony danych.

Artykuł 17

Punkt kontaktowy dla państw trzecich i organizacji międzynarodowych

1.  
Państwa trzecie i organizacje międzynarodowe mogą, do celów postępowania karnego, kierować do Eurojustu wnioski o udzielenie informacji na temat tego, czy i które państwa członkowskie posiadają informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego. W tym celu korzystają one ze standardowego formularza zamieszczonego w załączniku do niniejszego rozporządzenia.
2.  
Eurojust po otrzymaniu wniosku na podstawie ust. 1 korzysta z ECRIS-TCN do ustalenia, czy i które państwa członkowskie posiadają ewentualnie informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego.
3.  
W przypadku trafienia Eurojust zwraca się do państwa członkowskiego, które posiada informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego, z pytaniem, czy wyraża ono zgodę na to, by Eurojust poinformował dane państwo trzecie lub daną organizację międzynarodową o nazwie tego państwa członkowskiego. Jeżeli to państwo członkowskie wyrazi zgodę, Eurojust informuje dane państwo trzecie lub daną organizację międzynarodową o nazwie tego państwa członkowskiego i o tym, w jaki sposób można zgodnie z obowiązującymi procedurami złożyć do tego państwa członkowskiego wniosek o wyciąg z rejestru karnego.
4.  
W przypadku nieuzyskania trafienia lub w przypadku gdy Eurojust nie może udzielić odpowiedzi zgodnie z ust. 3 na wnioski złożone na podstawie niniejszego artykułu, Eurojust informuje dane państwo trzecie lub daną organizację międzynarodową, że zakończył procedurę, nie wskazując przy tym, czy któreś z państw członkowskich posiada informacje z rejestrów karnych dotyczące danej osoby.

Artykuł 18

Udzielanie informacji państwu trzeciemu, organizacji międzynarodowej lub podmiotowi prywatnemu

Eurojust, Europol, EPPO ani żaden inny organ centralny nie mogą przekazywać ani udostępniać państwu trzeciemu, organizacji międzynarodowej lub podmiotowi prywatnemu informacji uzyskanych z ECRIS-TCN dotyczących obywatela państwa trzeciego. Niniejszy artykuł stosuje się z zastrzeżeniem art. 17 ust. 3.

Artykuł 19

Bezpieczeństwo danych

1.  
eu-LISA podejmuje środki niezbędne do zapewnienia bezpieczeństwa ECRIS-TCN, bez uszczerbku dla zakresu odpowiedzialności poszczególnych państw członkowskich, uwzględniając środki bezpieczeństwa określone w ust. 3.
2.  
W odniesieniu do funkcjonowania ECRIS-TCN eu-LISA podejmuje środki niezbędne do osiągnięcia celów określonych w ust. 3, obejmujące przyjęcie planu bezpieczeństwa oraz planu ciągłości działania i przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, a także do zapewnienia, aby zainstalowane systemy, w przypadku przerwy w działaniu, mogły zostać przywrócone.
3.  

Państwa członkowskie zapewniają bezpieczeństwo danych przed przesyłaniem i w czasie przesyłania danych do krajowego centralnego punktu dostępu oraz w czasie odbioru danych z krajowego centralnego punktu dostępu. W szczególności każde państwo członkowskie:

a) 

zapewnia fizyczną ochronę danych, w tym poprzez sporządzenie planów awaryjnych służących ochronie infrastruktury;

b) 

uniemożliwia osobom nieupoważnionym dostęp do krajowych obiektów, w których państwo członkowskie wykonuje operacje związane z ECRIS-TCN;

c) 

zapobiega nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych;

d) 

zapobiega nieuprawnionemu wprowadzaniu danych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych;

e) 

zapobiega nieuprawnionemu przetwarzaniu danych w ECRIS-TCN oraz nieuprawnionemu zmienianiu lub usuwaniu danych przetwarzanych w ECRIS-TCN;

f) 

zapewnia, by osoby upoważnione do dostępu do ECRIS-TCN miały dostęp wyłącznie do danych będących przedmiotem udzielonego im upoważnienia dostępu, wyłącznie za pomocą indywidualnego identyfikatora użytkownika oraz poufnego trybu dostępu;

g) 

zapewnia, by wszystkie organy mające prawo dostępu do ECRIS-TCN opracowywały profile opisujące funkcje pełnione przez osoby upoważnione do wprowadzania danych, dokonywania ich sprostowania, usuwania, przeglądania lub wyszukiwania oraz zakres obowiązków tych osób, a także aby bez zbędnej zwłoki udostępniały te profile krajowym organom nadzorczym na ich żądanie;

h) 

zapewnia możliwość weryfikacji i ustalania, którym organom i jednostkom organizacyjnym Unii można przesyłać dane osobowe za pośrednictwem urządzeń do przesyłu danych;

i) 

zapewnia możliwość weryfikacji i ustalenia, które dane zostały przetworzone w ECRIS-TCN, kiedy, przez kogo i do jakiego celu;

j) 

zapobiega nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przesyłania do lub z ECRIS-TCN lub w trakcie transportu nośników danych, w szczególności przez zastosowanie odpowiednich technik szyfrowania;

k) 

monitoruje skuteczność środków bezpieczeństwa, o których mowa w niniejszym ustępie, oraz podejmuje niezbędne środki organizacyjne w obszarze monitorowania własnej działalności i nadzoru, aby zapewnić przestrzeganie niniejszego rozporządzenia.

4.  
eu-LISA i państwa członkowskie współpracują w celu zapewnienia spójnego podejścia do bezpieczeństwa danych w oparciu o proces zarządzania ryzykiem związanym z bezpieczeństwem obejmujący cały ECRIS-TCN.

Artykuł 20

Odpowiedzialność

1.  

Każda osoba lub każde państwo członkowskie, które poniosły szkodę majątkową lub niemajątkową w wyniku operacji przetwarzania danych niezgodnej z prawem lub w wyniku czynności naruszającej niniejsze rozporządzenie, ma prawo do otrzymania odszkodowania od:

(a) 

państwa członkowskiego, które odpowiada za poniesioną szkodę; lub

(b) 

eu-LIS-y, w przypadku gdy eu-LISA nie spełniła obowiązków określonych w niniejszym rozporządzeniu lub w rozporządzeniu (UE) 2018/1725.

Państwo członkowskie, które odpowiada za poniesioną szkodę, lub, odpowiednio, eu-LISA są zwolnione z odpowiedzialności, w całości lub w części, jeżeli udowodnią, że nie ponoszą odpowiedzialności za zdarzenie, które spowodowało szkodę.

2.  
Jeżeli niespełnienie przez dane państwo członkowskie, Eurojust, Europol lub EPPO ich obowiązków wynikających z niniejszego rozporządzenia spowoduje szkodę w ECRIS-TCN, odpowiedzialność za tę szkodę ponoszą, odpowiednio, to państwo członkowskie, Eurojust, Europol lub EPPO, chyba że – i w zakresie w jakim – eu-LISA lub inne państwo członkowskie uczestniczące w ECRIS-TCN nie podjęły rozsądnych środków, by zapobiec wystąpieniu szkody lub zminimalizować jej skutki.
3.  
Roszczenia odszkodowawcze wobec państwa członkowskiego z tytułu szkody, o której mowa w ust. 1 i 2, reguluje prawo państwa członkowskiego, wobec którego kierowane są roszczenia. Roszczenia odszkodowawcze wobec eu-LIS-y, Eurojustu, Europolu i EPPO z tytułu szkody, o której mowa w ust. 1 i 2, regulują odpowiednie akty ustanawiające te agencje i ten organ.

Artykuł 21

Monitorowanie własnej działalności

Państwa członkowskie zapewniają, by każdy organ centralny podejmował środki niezbędne do wykonania niniejszego rozporządzenia oraz w razie potrzeby współpracował z organami nadzorczymi.

Artykuł 22

Sankcje

Każdy przypadek niezgodnego z prawem wykorzystania danych wprowadzonych do ECRIS-TCN podlega sankcjom lub środkom dyscyplinarnym zgodnie z prawem krajowym lub prawem Unii; sankcje te lub środki dyscyplinarne muszą być skuteczne, proporcjonalne i odstraszające.



ROZDZIAŁ V

Prawa i nadzór w zakresie ochrony danych

Artykuł 23

Administrator danych i podmiot przetwarzający dane

1.  
Każdy organ centralny uznaje się za administratora danych zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych do celów przetwarzania danych osobowych przez państwo członkowskie tego organu centralnego na podstawie niniejszego rozporządzenia.
2.  
eu-LIS-ę uznaje się za podmiot przetwarzający dane zgodnie z rozporządzeniem (UE) 2018/1725 w odniesieniu do danych osobowych wprowadzonych do ►M1  systemu centralnego i wspólnego repozytorium tożsamości ◄ przez państwa członkowskie.

Artykuł 24

Cel przetwarzania danych osobowych

▼M2

1.  

Dane wprowadzone do systemu centralnego i wspólnego repozytorium tożsamości są przetwarzane wyłącznie do celów:

a) 

identyfikacji państw członkowskich posiadających informacje z rejestrów karnych dotyczące obywateli państw trzecich;

b) 

wspierania – zgodnie z rozporządzeniem (WE) nr 767/2008 – realizacji celu VIS polegającego na ocenie, czy osoba ubiegająca się o wizę, wizę długoterminową lub dokument pobytowy może stanowić zagrożenie dla porządku publicznego lub bezpieczeństwa wewnętrznego; lub

c) 

wspierania – zgodnie z rozporządzeniem (UE) 2018/1240 – realizacji celu ETIAS polegającego na przyczynianiu się do wysokiego poziomu bezpieczeństwa.

Dane wprowadzone do wspólnego repozytorium tożsamości są również przetwarzane zgodnie z rozporządzeniem (UE) 2019/818 do ułatwiania i wspomagania poprawnej identyfikacji osób zarejestrowanych w ECRIS-TCN zgodnie z niniejszym rozporządzeniem.

▼B

2.  
Z wyjątkiem należycie upoważnionych członków personelu Eurojustu, Europolu i EPPO, mających dostęp do ECRIS-TCN do celów niniejszego rozporządzenia, dostęp do ECRIS-TCN jest zarezerwowany wyłącznie dla należycie upoważnionych członków personelu organów centralnych. Dostęp ten jest ograniczony do zakresu niezbędnego do wykonywania zadań zgodnie z celem, o którym mowa w ust. 1, oraz do tego, co jest niezbędne i proporcjonalne do realizowanych celów.

▼M1

3.  
Bez uszczerbku dla ust. 2 dostęp do celów sprawdzania danych przechowywanych we wspólnym repozytorium tożsamości jest również zarezerwowany dla należycie upoważnionego personelu organów krajowych każdego państwa członkowskiego i należycie upoważnionego personelu agencji Unii, które są właściwe do celów określonych w art. 20 i 21 rozporządzenia (UE) 2019/818. Dostęp taki jest ograniczony do zakresu w jakim dane te są niezbędne do wykonywania ich zadań w tych celach oraz jest proporcjonalny do wyznaczonych celów.

▼B

Artykuł 25

Prawo dostępu, do sprostowania, do usunięcia oraz do ograniczenia przetwarzania danych osobowych

1.  
Wnioski obywateli państw trzecich dotyczące praw dostępu do danych osobowych, do sprostowania, usunięcia oraz do ograniczenia przetwarzania danych osobowych, określonych w mających zastosowanie przepisach Unii w zakresie ochrony danych, mogą być kierowane do organu centralnego dowolnego państwa członkowskiego.
2.  

W przypadku gdy dany wniosek skierowano do państwa członkowskiego innego niż skazujące państwo członkowskie, państwo członkowskie, do którego skierowano wniosek, przekazuje go do skazującego państwa członkowskiego bez zbędnej zwłoki, a w każdym razie w terminie 10 dni roboczych od otrzymania wniosku. Po otrzymaniu wniosku skazujące państwo członkowskie:

a) 

natychmiast rozpoczyna procedurę sprawdzenia prawidłowości przedmiotowych danych lub zgodności z prawem ich przetwarzania w ECRIS-TCN; oraz

b) 

bez zbędnej zwłoki udziela odpowiedzi państwu członkowskiemu, które przekazało wniosek.

3.  
W przypadku gdy dane zapisane w ECRIS-TCN są nieprawidłowe lub były przetwarzane niezgodnie z prawem, skazujące państwo członkowskie dokonuje sprostowania tych danych lub je usuwa zgodnie z art. 9. Skazujące państwo członkowskie lub, w stosownym przypadku, państwo członkowskie, do którego skierowano wniosek, bez zbędnej zwłoki potwierdza zainteresowanej osobie na piśmie, że podjęto działania w celu sprostowania lub usunięcia danych dotyczących tej osoby. Skazujące państwo członkowskie informuje również bez zbędnej zwłoki każde inne państwo członkowskie, będące odbiorcą informacji dotyczących wyroków skazujących uzyskanych w wyniku wysłania zapytania do ECRIS-TCN, o działaniach, które zostały podjęte.
4.  
Jeżeli skazujące państwo członkowskie nie zgadza się z tym, że dane zapisane w ECRIS-TCN są nieprawidłowe lub były przetwarzane niezgodnie z prawem, państwo to wydaje decyzję administracyjną lub orzeczenie sądowe wyjaśniające zainteresowanej osobie na piśmie, dlaczego nie jest w stanie sprostować lub usunąć dotyczących jej danych. Takie przypadki mogą w stosownych sytuacjach zostać zgłoszone krajowemu organowi nadzorczemu.
5.  
Państwo członkowskie, które wydało decyzję lub orzeczenie na podstawie ust. 4, przekazuje również zainteresowanej osobie informacje wyjaśniające kroki, jakie osoba ta może podjąć, jeżeli nie zgadza się z wyjaśnieniem udzielonym zgodnie z ust. 4. Obejmuje to informacje o tym, jak wnieść skargę lub powództwo do właściwych organów lub sądów tego państwa członkowskiego oraz informacje o wszelkiej pomocy, w tym ze strony krajowych organów nadzorczych, dostępnej zgodnie z prawem krajowym tego państwa członkowskiego.
6.  
Wnioski składane na podstawie ust. 1 muszą zawierać informacje niezbędne do zidentyfikowania zainteresowanej osoby. Informacje takie wykorzystuje się wyłącznie w celu zapewnienia możliwości wykonywania praw, o których mowa w ust. 1, po czym natychmiast się je usuwa.
7.  
W przypadku gdy stosuje się ust. 2, organ centralny, do którego skierowany został wniosek, dokonuje pisemnej adnotacji dotyczącej złożenia takiego wniosku, sposobu jego rozpatrzenia oraz organu, do którego został on przekazany. Na wniosek krajowego organu nadzorczego dany organ centralny udostępnia temu krajowemu organowi nadzorczemu taką adnotację bez zbędnej zwłoki. Organ centralny i krajowy organ nadzorczy usuwają takie adnotacje trzy lata po ich dokonaniu.

Artykuł 26

Współpraca w celu zapewnienia poszanowania praw z zakresu ochrony danych

1.  
Organy centralne współpracują ze sobą w celu zapewnienia poszanowania praw określonych w art. 25.
2.  
W każdym państwie członkowskim krajowy organ nadzorczy udziela zainteresowanej osobie, na jej wniosek, informacji na temat sposobu wykonywania przysługującego jej prawa do tego, by dane, które jej dotyczą, zostały sprostowane lub usunięte zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych.
3.  
Do celów niniejszego artykułu, krajowy organ nadzorczy państwa członkowskiego, które przesłało dane, oraz krajowy organ nadzorczy państwa członkowskiego, do którego skierowano wniosek, współpracują ze sobą w tym zakresie.

Artykuł 27

Środki ochrony prawnej

Każda osoba ma prawo do wniesienia skargi i prawo do środka ochrony prawnej w skazującym państwie członkowskim, które odmówiło prawa dostępu do danych dotyczących tej osoby lub prawa do sprostowania lub usunięcia takich danych, o których mowa w art. 25 zgodnie z prawem krajowym lub prawem Unii.

Artykuł 28

Nadzór ze strony krajowych organów nadzorczych

1.  
Każde państwo członkowskie zapewnia, aby krajowe organy nadzorcze wyznaczone zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych monitorowały zgodność z prawem przetwarzania przez dane państwo członkowskie danych osobowych, o których mowa w art. 5 i 6, w tym ich przesyłania do i z ECRIS-TCN.
2.  
Krajowy organ nadzorczy zapewnia, by co najmniej co trzy lata od dnia uruchomienia ECRIS-TCN przeprowadzany był audyt operacji przetwarzania danych w krajowych bazach danych rejestrów karnych i krajowych bazach danych daktyloskopijnych w odniesieniu do wymiany danych między tymi systemami a ECRIS-TCN, zgodnie z odpowiednimi międzynarodowymi standardami przeprowadzania audytów.
3.  
Państwa członkowskie zapewniają, by ich krajowe organy nadzorcze dysponowały zasobami wystarczającymi do wykonywania zadań powierzonych im na mocy niniejszego rozporządzenia.
4.  
Każde państwo członkowskie przekazuje wszelkie informacje, o które zwracają się jego krajowe organy nadzorcze i, w szczególności, przekazuje im informacje dotyczące działań realizowanych zgodnie z art. 12, 13 i 19. Każde państwo członkowskie udziela swoim krajowym organom nadzorczym dostępu do swoich adnotacji na podstawie art. 25 ust. 7 i do swoich rejestrów na podstawie art. 31 ust. 6 oraz umożliwia im w każdej chwili dostęp do wszystkich swoich pomieszczeń powiązanych z ECRIS-TCN.

Artykuł 29

Nadzór ze strony Europejskiego Inspektora Ochrony Danych

1.  
Europejski Inspektor Ochrony Danych monitoruje, czy czynności eu-LIS-y z zakresu przetwarzania danych osobowych związane z ECRIS-TCN są wykonywane zgodnie z niniejszym rozporządzeniem.
2.  
Europejski Inspektor Ochrony Danych zapewnia, by co najmniej co trzy lata przeprowadzany był audyt podejmowanych przez eu-LIS-ę czynności z zakresu przetwarzania danych osobowych, zgodnie z odpowiednimi międzynarodowymi standardami przeprowadzania audytów. Sprawozdanie z takiego audytu przekazuje się Parlamentowi Europejskiemu, Radzie, Komisji, eu-LIS-ie oraz organom nadzorczym. eu-LISA ma możliwość przedstawienia uwag, zanim sprawozdanie zostanie przyjęte.
3.  
eu-LISA dostarcza informacje, o które zwraca się Europejski Inspektor Ochrony Danych, zapewnia mu dostęp do wszystkich dokumentów oraz do swoich rejestrów, o których mowa w art. 31, jak również zapewnia mu w każdej chwili dostęp do wszystkich swoich pomieszczeń.

Artykuł 30

Współpraca krajowych organów nadzorczych z Europejskim Inspektorem Ochrony Danych

Zapewnia się skoordynowany nadzór nad ECRIS-TCN zgodnie z art. 62 rozporządzenia (UE) 2018/1725.

Artykuł 31

Prowadzenie rejestrów

1.  
eu-LISA oraz właściwe organy zapewniają, zgodnie ze swoimi odpowiednimi zakresami odpowiedzialności, by wszystkie operacje przetwarzania danych w ECRIS-TCN były rejestrowane zgodnie z ust. 2 do celów sprawdzenia dopuszczalności wniosków, monitorowania integralności i bezpieczeństwa danych oraz zgodności przetwarzania danych z prawem, a także do celów monitorowania własnej działalności.
2.  

W rejestrze wskazuje się:

a) 

cel wniosku o udzielenie dostępu do danych z ECRIS-TCN;

b) 

przesłane dane, o których mowa w art. 5;

c) 

krajową sygnaturę sprawy;

d) 

datę i dokładną godzinę operacji;

e) 

dane użyte do wysłania zapytania;

f) 

znak identyfikacyjny urzędnika, który przeprowadził wyszukiwanie.

3.  
Rejestr przeglądanych i ujawnionych informacji musi umożliwiać ustalenie, czy operacje te były uzasadnione.
4.  
Rejestry należy wykorzystywać wyłącznie do monitorowania zgodności przetwarzania danych z prawem oraz do zapewnienia integralności i bezpieczeństwa danych. Do monitorowania i oceny, o których mowa w art. 36, wykorzystywać można wyłącznie rejestry zawierające dane nieosobowe. Rejestry te są zabezpieczane przed nieuprawnionym dostępem za pomocą właściwych środków i są usuwane po trzech latach, jeżeli nie są już niezbędne na potrzeby procedur monitorowania, które zostały już rozpoczęte.
5.  
eu-LISA udostępnia, na żądanie, organom centralnym, bez zbędnej zwłoki, rejestry dotyczące swoich operacji przetwarzania.
6.  
Właściwe krajowe organy nadzorcze odpowiedzialne za sprawdzanie dopuszczalności wniosku oraz monitorowanie zgodności przetwarzania danych z prawem, jak również integralności i bezpieczeństwa danych, uzyskują, na żądanie, dostęp do rejestrów w celu wypełniania swoich zadań. Organy centralne udostępniają, na żądanie, właściwym krajowym organom nadzorczym, bez zbędnej zwłoki, rejestry dotyczące swoich operacji przetwarzania.

▼M2

Artykuł 31b

Prowadzenie rejestrów do celów interoperacyjności z ETIAS

Do celów przeglądania danych, o których mowa w art. 7b niniejszego rozporządzenia, każda operacja przetwarzania danych ECRIS-TCN przeprowadzona we wspólnym repozytorium tożsamości i ETIAS jest rejestrowana zgodnie z art. 69 rozporządzenia (UE) 2018/1240.

▼B



ROZDZIAŁ VI

Przepisy końcowe

Artykuł 32

Wykorzystywanie danych do celów sprawozdawczych i statystycznych

1.  
Należycie upoważnieni członkowie personelu eu-LIS-y, właściwych organów i Komisji mają dostęp do danych przetwarzanych w ECRIS-TCN wyłącznie do celów sporządzania sprawozdań i przekazywania statystyk, bez możliwości identyfikacji osób.

▼M1

2.  
Do celów ust. 1 niniejszego artykułu eu-LISA przechowuje dane określone w tym ustępie w centralnym repozytorium sprawozdawczo-statystycznym, o którym mowa w art. 39 rozporządzenia (UE) 2019/818.

▼B

3.  
Procedury wprowadzone przez eu-LIS-ę w celu monitorowania funkcjonowania ECRIS-TCN, o których mowa w art. 36, oraz oprogramowania wzorcowego ECRIS muszą przewidywać możliwość regularnego opracowywania statystyk do celów monitorowania.

▼M2

Co miesiąc eu-LISA przedkłada Komisji statystyki dotyczące rejestrowania, przechowywania i wymiany informacji pobranych z rejestrów karnych za pośrednictwem ECRIS-TCN i oprogramowania wzorcowego ECRIS, w tym statystyki dotyczące wpisów, do których dołączono marker zgodnie z art. 5 ust. 1 lit. c). eu-Lisa zapewnia, aby identyfikacja poszczególnych osób na podstawie tych statystyk nie była możliwa. Na żądanie Komisji eu-LISA przekazuje jej statystyki dotyczące określonych aspektów wykonywania niniejszego rozporządzenia.

▼B

4.  
Państwa członkowskie przekazują eu-LIS-ie statystyki niezbędne do wykonywania przez nią jej obowiązków, o których mowa w niniejszym artykule. Przekazują one Komisji statystyki dotyczące liczby skazanych obywateli państw trzecich oraz liczby wyroków skazujących wydanych wobec obywateli państw trzecich na swoim terytorium.

Artykuł 33

Koszty

1.  
Koszty poniesione w związku z ustanowieniem i funkcjonowaniem ►M1  systemu centralnego, wspólnego repozytorium tożsamości oraz ◄ , infrastruktury komunikacyjnej, o której mowa w art. 4 ust. 1 lit. d), oprogramowania interfejsowego oraz oprogramowania wzorcowego ECRIS są pokrywane z budżetu ogólnego Unii.
2.  
Koszty połączenia Eurojustu, Europolu oraz EPPO z ECRIS-TCN są pokrywane z ich odpowiednich budżetów.
3.  
Pozostałe koszty są pokrywane przez państwa członkowskie, w szczególności koszty poniesione w związku z połączeniem istniejących krajowych rejestrów karnych, baz danych daktyloskopijnych i organów centralnych z s ECRIS-TCN, a także koszty obsługi oprogramowania wzorcowego ECRIS.

Artykuł 34

Powiadomienia

1.  
Każde państwo członkowskie powiadamia eu-LIS-ę o swoim organie centralnym lub swoich organach centralnych, które mają dostęp do wprowadzania danych, ich prostowania, usuwania, przeglądania lub wyszukiwania, a także o wszelkich zmianach w tym zakresie.
2.  
eu-LISA zapewnia opublikowanie wykazu organów centralnych, o których powiadomiły państwa członkowskie, w Dzienniku Urzędowym Unii Europejskiej oraz na swojej stronie internetowej. W przypadku otrzymania przez eu-LIS-ę powiadomienia o zmianie w zakresie organu centralnego danego państwa członkowskiego, eu-LISA aktualizuje ten wykaz bez zbędnej zwłoki.

Artykuł 35

Wprowadzanie danych i uruchomienie systemu

1.  

Komisja określi dzień, od którego państwa członkowskie rozpoczynają wprowadzanie do ECRIS-TCN danych, o których mowa w art. 5, gdy tylko uzna, że spełnione są następujące warunki:

a) 

przyjęto odpowiednie akty wykonawcze, o których mowa w art. 10;

b) 

państwa członkowskie zatwierdziły uzgodnienia techniczne i prawne dotyczące gromadzenia i przesyłania danych, o których mowa w art. 5, do ECRIS-TCN i powiadomiły o nich Komisję;

c) 

eu-LISA przeprowadziła, we współpracy z państwami członkowskimi, kompleksowy test ECRIS-TCN przy użyciu anonimowych danych testowych.

2.  
Po określeniu przez Komisję dnia rozpoczęcia wprowadzania danych zgodnie z ust. 1, informuje ona państwa członkowskie o tym dniu. W terminie dwóch miesięcy od tego dnia państwa członkowskie wprowadzają do ECRIS-TCN dane, o których mowa w art. 5, uwzględniając art. 41 ust. 2.
3.  
Po upływie terminu, o którym mowa w ust. 2, eu-LISA przeprowadza, we współpracy z państwami członkowskimi, końcowy test ECRIS-TCN.
4.  
Jeżeli test, o którym mowa w ust. 3, zakończy się pomyślnie, a eu-LISA uzna, że ECRIS-TCN jest gotowy do tego, by go uruchomić, powiadamia Komisję. Komisja informuje Parlament Europejski i Radę o wynikach testu i podejmuje decyzję w sprawie dnia, w którym ma nastąpić uruchomienie ECRIS-TCN.
5.  
Decyzja Komisji w sprawie dnia uruchomienia ECRIS-TCN, o której mowa w ust. 4, jest publikowana w Dzienniku Urzędowym Unii Europejskiej.
6.  
Państwa członkowskie rozpoczynają korzystanie z ECRIS-TCN od dnia określonego przez Komisję zgodnie z ust. 4.
7.  
Podejmując decyzje, o których mowa w niniejszym artykule, Komisja może określić różne dni wprowadzania do ECRIS-TCN danych alfanumerycznych i danych daktyloskopijnych, o których mowa w art. 5, a także różne dni uruchomienia systemu w odniesieniu do tych różnych kategorii danych.

Artykuł 36

Monitorowanie i ocena

1.  
eu-LISA zapewnia wdrożenie procedur, które będą służyć monitorowaniu rozwijania ECRIS-TCN pod kątem celów dotyczących planowania i kosztów oraz monitorowaniu funkcjonowania ECRIS-TCN i oprogramowania wzorcowego ECRIS pod kątem celów dotyczących rezultatów technicznych, opłacalności, bezpieczeństwa i jakości usług.
2.  
W celu monitorowania funkcjonowania ECRIS-TCN i zachowania jego dobrego stanu technicznego eu-LISA ma dostęp do niezbędnych informacji o operacjach przetwarzania danych wykonywanych w ECRIS-TCN oraz w oprogramowaniu wzorcowym ECRIS.
3.  
W terminie do dnia 12 grudnia 2019 r., a następnie co sześć miesięcy na etapie projektowania i rozwijania, eu-LISA przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie dotyczące aktualnej sytuacji w zakresie rozwoju ECRIS-TCN i oprogramowania wzorcowego ECRIS.
4.  
Sprawozdanie, o którym mowa w ust. 3, zawiera informacje na temat bieżących kosztów i postępów w realizacji projektu, ocenę skutków finansowych, a także informacje na temat wszelkich problemów technicznych i czynników ryzyka, które mogą mieć wpływ na ogólne koszty ECRIS-TCN pokrywane zgodnie z art. 33 z budżetu ogólnego Unii.
5.  
W przypadku znacznych opóźnień w procesie rozwijania, eu-LISA jak najszybciej informuje Parlament Europejski i Radę o powodach tych opóźnień oraz o ich skutkach czasowych i finansowych.
6.  
Po zakończeniu rozwijania ECRIS-TCN i oprogramowania wzorcowego ECRIS eu-LISA przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie, które zawiera wyjaśnienia dotyczące sposobu osiągnięcia celów, w szczególności w zakresie planowania i kosztów, oraz uzasadnienie wszelkich rozbieżności.
7.  
W przypadku technicznej modernizacji ECRIS-TCN, która mogłaby wiązać się ze znacznymi kosztami, eu-LISA informuje Parlament Europejski i Radę.
8.  
Po dwóch latach od uruchomienia ECRIS-TCN, a następnie co roku eu-LISA przekazuje Komisji sprawozdanie na temat technicznego funkcjonowania ECRIS-TCN i oprogramowania wzorcowego ECRIS, w tym ich bezpieczeństwa, oparte w szczególności na statystykach dotyczących funkcjonowania i korzystania z ECRIS-TCN oraz wymiany – za pośrednictwem oprogramowania wzorcowego ECRIS – informacji pochodzących z rejestrów karnych.
9.  
Po czterech latach od uruchomienia ECRIS-TCN, a następnie co cztery lata Komisja przeprowadza ogólną ocenę ECRIS-TCN oraz oprogramowania wzorcowego ECRIS. Sporządzone na tej podstawie sprawozdanie z ogólnej oceny zawiera ocenę stosowania niniejszego rozporządzenia oraz analizę osiągniętych wyników w stosunku do ustalonych celów i wpływu na prawa podstawowe. Sprawozdanie zawiera również ocenę dalszej zasadności przesłanek leżących u podstaw funkcjonowania ECRIS-TCN, ocenę stosowności wykorzystywania danych biometrycznych na potrzeby ECRIS-TCN, ocenę bezpieczeństwa ECRIS-TCN i ocenę wszelkich skutków w zakresie bezpieczeństwa dla przyszłych operacji. Ocena ta obejmuje także wszelkie niezbędne zalecenia. Komisja przekazuje sprawozdanie Parlamentowi Europejskiemu, Radzie, Europejskiemu Inspektorowi Ochrony Danych i Agencji Praw Podstawowych Unii Europejskiej.
10.  

Ponadto pierwsza ogólna ocena, o której mowa w ust. 9, obejmuje ocenę:

a) 

zakresu, w jakim – na podstawie odpowiednich danych statystycznych oraz bardziej szczegółowych informacji od państw członkowskich – zamieszczenie w ECRIS-TCN informacji dotyczących tożsamości obywateli Unii, którzy posiadają także obywatelstwo państwa trzeciego, przyczyniło się do osiągnięcia celów niniejszego rozporządzenia;

b) 

możliwości, w przypadku niektórych państw członkowskich, dalszego korzystania z krajowego oprogramowania ECRIS, o którym mowa w art. 4;

c) 

wprowadzania do ECRIS-TCN danych daktyloskopijnych, w szczególności stosowania minimalnych kryteriów, o których mowa w art. 5 ust. 1 lit. b) ppkt (ii);

d) 

wpływu ECRIS i ERCIS-TCN na ochronę danych osobowych.

W razie potrzeby do oceny można dołączyć wnioski ustawodawcze. Kolejne ogólne oceny mogą obejmować ocenę dowolnego lub wszystkich spośród wymienionych aspektów.

11.  
Państwa członkowskie, Eurojust, Europol i EPPO przekazują eu-LIS-ie i Komisji informacje niezbędne do sporządzenia sprawozdań, o których mowa w ust. 3, 8 i 9, zgodnie ze wskaźnikami ilościowymi ustalonymi wcześniej przez Komisję lub eu-LIS-ę. Informacje takie nie mogą stanowić zagrożenia dla metod pracy ani ujawniać informacji o źródłach, członkach personelu lub postępowaniach przygotowawczych.
12.  
W stosownych przypadkach organy nadzorcze przekazują eu-LIS-ie i Komisji informacje niezbędne do sporządzenia sprawozdań, o których mowa w ust. 9, zgodnie ze wskaźnikami ilościowymi ustalonymi wcześniej przez Komisję lub eu-LIS-ę. Informacje takie nie mogą stanowić zagrożenia dla metod pracy ani ujawniać informacji o źródłach, członkach personelu lub postępowaniach przygotowawczych.
13.  
eu-LISA przekazuje Komisji informacje niezbędne do sporządzenia ogólnych ocen, o których mowa w ust. 9.

Artykuł 37

Wykonywanie przekazanych uprawnień

1.  
Powierzenie Komisji uprawnień do przyjmowania aktów delegowanych podlega warunkom określonym w niniejszym artykule.
2.  
Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 6 ust. 2, powierza się Komisji na czas nieokreślony od dnia 11 czerwca 2019 r.
3.  
Przekazanie uprawnień, o którym mowa w art. 6 ust. 2, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.
4.  
Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.
5.  
Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.
6.  
Akt delegowany przyjęty na podstawie art. 6 ust. 2 wchodzi w życie tylko wówczas, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o dwa miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

Artykuł 38

Procedura komitetowa

1.  
Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.
2.  
W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.

W przypadku gdy komitet nie wyda żadnej opinii, Komisja nie przyjmuje projektu aktu wykonawczego i stosuje się art. 5 ust. 4 akapit trzeci rozporządzenia (UE) nr 182/2011.

Artykuł 39

Grupa doradcza

eu-LISA ustanawia grupę doradczą, która ma jej służyć wiedzą fachową w zakresie ECRIS-TCN i oprogramowania wzorcowego ECRIS, w szczególności w kontekście przygotowywania jej rocznego programu prac oraz jej rocznego sprawozdania z działalności. Na etapie projektowania i rozwijania stosuje się art. 11 ust. 9.

Artykuł 40

Zmiana rozporządzenia (UE) 2018/1726

W rozporządzeniu (UE) 2018/1726 wprowadza się następujące zmiany:

1) 

art. 1 ust. 4 otrzymuje brzmienie:

„4.  
Agencja odpowiada za przygotowywanie i rozwijanie systemu wjazdu/wyjazdu (EES), DubliNet, europejskiego systemu informacji o podróży oraz zezwoleń na podróż (ETIAS), ECRIS-TCN oraz oprogramowania wzorcowego ECRIS lub za zarządzanie operacyjne tymi systemami i oprogramowaniem.”;
2) 

dodaje się artykuł w brzmieniu:

„Artykuł 8a

Zadania związane z ECRIS-TCN i oprogramowaniem wzorcowym ECRIS

W odniesieniu do ECRIS-TCN oraz oprogramowania wzorcowego ECRIS Agencja wykonuje:

a) 

zadania powierzone jej na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2019/816 ( *1 );

b) 

zadania związane ze szkoleniem w zakresie technicznego użytkowania ECRIS-TCN oraz oprogramowania wzorcowego ECRIS.

3) 

art. 14 ust. 1 otrzymuje brzmienie:

„1.  
Agencja monitoruje rozwój prac badawczych istotnych dla zarządzania operacyjnego systemami SIS II, VIS, Eurodac, EES, ETIAS, DubliNet, ECRIS-TCN oraz innymi wielkoskalowymi systemami informatycznymi, o których mowa w art. 1 ust. 5.”;
4) 

w art. 19 ust. 1 wprowadza się następujące zmiany:

a) 

lit. ee) otrzymuje brzmienie:

„ee) przyjmuje sprawozdania dotyczące rozwoju systemu EES zgodnie z art. 72 ust. 2 rozporządzenia (UE) 2017/2226, sprawozdania dotyczące rozwoju systemu ETIAS zgodnie z art. 92 ust. 2 rozporządzenia (UE) 2018/1240 oraz sprawozdania dotyczące rozwoju ECRIS-TCN i oprogramowania wzorcowego ECRIS zgodnie z art. 36 ust. 3 rozporządzenia (UE) 2019/816;”;

b) 

lit. ff) otrzymuje brzmienie:

„ff) przyjmuje sprawozdania na temat technicznych aspektów funkcjonowania systemu SIS II zgodnie z, odpowiednio, art. 50 ust. 4 rozporządzenia (WE) nr 1987/2006 oraz art. 66 ust. 4 decyzji 2007/533/WSiSW, systemu VIS zgodnie z art. 50 ust. 3 rozporządzenia (WE) nr 767/2008 i art. 17 ust. 3 decyzji 2008/633/WSiSW, systemu EES zgodnie z art. 72 ust. 4 rozporządzenia (UE) 2017/2226, systemu ETIAS zgodnie z art. 92 ust. 4 rozporządzenia (UE) 2018/1240 oraz ECRIS-TCN i oprogramowania wzorcowego ECRIS zgodnie z art. 36 ust. 8 rozporządzenia (UE) 2019/816:”;

c) 

lit. hh) otrzymuje brzmienie:

„hh) przyjmuje oficjalne uwagi do sprawozdań Europejskiego Inspektora Ochrony Danych z przeprowadzanych audytów, na podstawie art. 45 ust. 2 rozporządzenia (WE) nr 1987/2006, art. 42 ust. 2 rozporządzenia (WE) nr 767/2008 i art. 31 ust. 2 rozporządzenia (UE) nr 603/2013, art. 56 ust. 2 rozporządzenia (UE) 2017/2226, art. 67 rozporządzenia (UE) 2018/1240 i art. 29 ust. 2 rozporządzenia (UE) 2019/816, a także zapewnia odpowiednie działania następcze w sprawie tych audytów;”;

d) 

dodaje się literę w brzmieniu:

„lla) przekazuje Komisji statystyki dotyczące ECRIS-TCN i oprogramowania wzorcowego ECRIS zgodnie z art. 32 ust. 3 akapit drugi rozporządzenia (UE) 2019/816;”;

e) 

lit. mm) otrzymuje brzmienie:

„mm) zapewnia coroczną publikację wykazu właściwych organów upoważnionych do bezpośredniego wyszukiwania danych znajdujących się w systemie SIS II, zgodnie z art. 31 ust. 8 rozporządzenia (WE) nr 1987/2006 i art. 46 ust. 8 decyzji 2007/533/WSiSW, wraz z wykazem urzędów krajowych systemów SIS II (urzędy N.SIS II) oraz biur SIRENE, zgodnie z, odpowiednio, art. 7 ust. 3 rozporządzenia (WE) nr 1987/2006 i art. 7 ust. 3 decyzji 2007/533/WSiSW, oraz wykazu właściwych organów zgodnie z art. 65 ust. 2 rozporządzenia (UE) 2017/2226, wykazu właściwych organów zgodnie z art. 87 ust. 2 rozporządzenia (UE) 2018/1240 i wykazu organów centralnych zgodnie z art. 34 ust. 2 rozporządzenia (UE) 2019/816;”;

5) 

w art. 22 ust. 4 po akapicie trzecim dodaje się akapit w brzmieniu:

„Eurojust, Europol i EPPO mogą uczestniczyć w posiedzeniach zarządu jako obserwatorzy, gdy porządek obrad obejmuje kwestię dotyczącą ECRIS-TCN w związku ze stosowaniem rozporządzenia (UE) 2019/816.”;

6) 

art. 24 ust. 3 lit. p) otrzymuje brzmienie:

„p) określenie, bez uszczerbku dla art. 17 regulaminu pracowniczego urzędników, wymogów poufności w celu wykonania art. 17 rozporządzenia (WE) nr 1987/2006, art. 17 decyzji 2007/533/WSiSW, art. 26 ust. 9 rozporządzenia (WE) nr 767/2008, art. 4 ust. 4 rozporządzenia (UE) nr 603/2013, art. 37 ust. 4 rozporządzenia (UE) 2017/2226, art. 74 ust. 2 rozporządzenia (UE) 2018/1240 oraz art. 11 ust. 16 rozporządzenia (UE) 2019/816”;

7) 

w art. 27 ust. 1 dodaje się literę w brzmieniu:

„(da) grupa doradcza ds. ECRIS-TCN;”.

Artykuł 41

Wykonanie i przepisy przejściowe

1.  
Aby zapewnić właściwe funkcjonowanie ECRIS-TCN, państwa członkowskie jak najszybciej podejmują środki niezbędne do wykonania niniejszego rozporządzenia.

▼M1

2.  

W przypadku wyroków skazujących wydanych przed dniem rozpoczęcia wprowadzania danych zgodnie z art. 35 ust. 1 organy centralne tworzą poszczególne wpisy w systemie centralnym i wspólnym repozytorium tożsamości, przestrzegając poniższych terminów:

a) 

dane alfanumeryczne do wprowadzenia do systemu centralnego i wspólnego repozytorium tożsamości: do końca okresu, o którym mowa w art. 35 ust. 2;

b) 

dane daktyloskopijne do wprowadzenia do systemu centralnego i wspólnego repozytorium tożsamości: w terminie dwóch lat od uruchomienia systemu zgodnie z art. 35 ust. 4.

▼B

Artykuł 42

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane w państwach członkowskich zgodnie z Traktatami.




ZAŁĄCZNIK

STANDARDOWY FORMULARZ WNIOSKU O INFORMACJE, O KTÓRYM MOWA W ART. 17 UST. 1 ROZPORZĄDZENIA (UE) 2019/816, NA POTRZEBY UZYSKANIA INFORMACJI NA TEMAT TEGO, CZY I KTÓRE PAŃSTWO CZŁONKOWSKIE POSIADA INFORMACJE Z REJESTRÓW KARNYCH DOTYCZĄCE OBYWATELA PAŃSTWA TRZECIEGO