1.   ECRIS-TCN składa się z:

2.   System centralny jest obsługiwany przez eu-LIS-ę w jej centrach technicznych.

3.   Oprogramowanie interfejsowe jest zintegrowane z oprogramowaniem wzorcowym ECRIS. Państwa członkowskie korzystają z oprogramowania wzorcowego ECRIS lub – w sytuacji i na warunkach określonych w ust. 4–8 – krajowego oprogramowania ECRIS w celu wysyłania zapytań do ECRIS-TCN oraz przesyłania wniosków o udzielenie informacji z rejestrów karnych.

4.   Państwa członkowskie, które korzystają ze swojego krajowego oprogramowania ECRIS, odpowiadają za zapewnienie, aby ich krajowe oprogramowanie ECRIS pozwalało ich krajowym organom odpowiedzialnym za rejestry karne korzystać z ECRIS-TCN, z wyjątkiem oprogramowania interfejsowego, zgodnie z niniejszym rozporządzeniem. W tym celu, przed dniem uruchomienia ECRIS-TCN zgodnie z art. 35 ust. 4, te państwa członkowskie zapewniają, aby ich krajowe oprogramowanie ECRIS działało zgodnie z protokołami i specyfikacjami technicznymi ustanowionymi w aktach wykonawczych, o których mowa w art. 10, oraz z dodatkowymi wymogami technicznymi ustanowionymi przez eu-LIS-ę na podstawie niniejszego rozporządzenia w oparciu o te akty wykonawcze.

5.   Dopóki państwa członkowskie, które korzystają ze swojego krajowego oprogramowania ECRIS, nie korzystają z oprogramowania wzorcowego ECRIS, zapewniają one również wdrażanie bez zbędnej zwłoki w ich krajowym oprogramowaniu ECRIS wszelkich późniejszych dostosowań technicznych niezbędnych ze względu na jakiekolwiek zmiany w specyfikacjach technicznych ustanowionych w aktach wykonawczych, o których mowa w art. 10, lub zmiany w dodatkowych wymogach technicznych ustanowionych przez eu-LIS-ę na podstawie niniejszego rozporządzenia w oparciu o te akty wykonawcze.

6.   Państwa członkowskie, które korzystają ze swojego krajowego oprogramowania ECRIS, ponoszą wszelkie koszty związane z wdrażaniem, utrzymaniem i dalszym rozwojem swojego krajowego oprogramowania ECRIS oraz jego wzajemnym połączeniem z ECRIS-TCN, z wyjątkiem kosztów związanych z oprogramowaniem interfejsowym.

7.   Jeżeli państwo członkowskie, które korzysta ze swojego krajowego oprogramowania ECRIS, nie jest w stanie wywiązać się ze swoich obowiązków przewidzianych w niniejszym artykule, ma ono obowiązek korzystania z oprogramowania wzorcowego ECRIS, w tym ze zintegrowanego oprogramowania interfejsowego, w celu korzystania z ECRIS-TCN.

8.   Do celów oceny, którą zgodnie z art. 36 ust. 10 lit. b) ma przeprowadzić Komisja, dane państwa członkowskie przekazują Komisji wszelkie niezbędne informacje.

1.   W odniesieniu do każdego skazanego obywatela państwa trzeciego organ centralny skazującego państwa członkowskiego tworzy wpis w systemie centralnym. Wpis zawiera:

2.   Dane daktyloskopijne, o których mowa w ust. 1 lit. b) niniejszego artykułu, muszą być zgodne ze specyfikacjami technicznymi dotyczącymi jakości, rozdzielczości i przetwarzania danych daktyloskopijnych, ustanowionymi w akcie wykonawczym, o którym mowa w art. 10 ust. 1 lit. b).Numer referencyjny danych daktyloskopijnych osoby skazanej musi zawierać kod skazującego państwa członkowskiego.

3.   Wpis może również zawierać wizerunki twarzy skazanego obywatela państwa trzeciego, jeżeli prawo skazującego państwa członkowskiego zezwala na gromadzenie i przechowywanie wizerunków twarzy osób skazanych.

4.   Skazujące państwo członkowskie tworzy wpis, o ile to możliwe automatycznie, a także bez zbędnej zwłoki po wprowadzeniu danego wyroku skazującego do rejestru karnego.

5.   Skazujące państwa członkowskie tworzą również wpisy w przypadku wyroków skazujących wydanych przed dniem rozpoczęcia wprowadzania danych zgodnie z art. 35 ust. 1, w zakresie, w jakim dane odnoszące się do osób skazanych są przechowywane w ich krajowych bazach danych. W takich przypadkach dane daktyloskopijne zamieszcza się jedynie w przypadku, gdy zostały one pobrane w ramach postępowania karnego zgodnie z prawem krajowym, oraz w przypadku, gdy mogą zostać jednoznacznie dopasowane do innych informacji dotyczących tożsamości znajdujących się w rejestrze karnym.

6.   W celu spełnienia obowiązków określonych w ust. 1 lit. b) ppkt (i) i (ii) oraz w ust. 5 państwa członkowskie mogą wykorzystywać dane daktyloskopijne pobrane do celów innych niż postępowanie karne, jeżeli takie wykorzystanie jest dozwolone na mocy prawa krajowego.

1.   Do czasu wejścia w życie aktu delegowanego przewidzianego w ust. 2 wizerunki twarzy mogą być wykorzystywane wyłącznie do potwierdzenia tożsamości obywatela państwa trzeciego, który został zidentyfikowany w wyniku wyszukiwania alfanumerycznego lub wyszukiwania przy pomocy danych daktyloskopijnych.

2.   Komisja jest uprawniona do przyjmowania aktów delegowanych, zgodnie z art. 37, uzupełniających niniejsze rozporządzenie odnośnie do wykorzystywania, gdy będzie to technicznie wykonalne, wizerunków twarzy do identyfikacji obywateli państw trzecich w celu ustalenia państw członkowskich posiadających informacje dotyczące uprzednich wyroków skazujących dotyczących takich osób. Przed skorzystaniem z tego uprawnienia Komisja oceni dostępność i gotowość wymaganej technologii, biorąc pod uwagę konieczność i proporcjonalność, a także techniczny rozwój oprogramowania do rozpoznawania twarzy.

1.   Organy centralne korzystają z ECRIS-TCN do ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego, aby za pośrednictwem ECRIS uzyskać informacje o uprzednich wyrokach skazujących, w przypadku gdy o informacje z rejestrów karnych dotyczące danej osoby wystąpiono w danym państwie członkowskim do celów postępowania karnego przeciwko tej osobie lub do jednego z następujących celów, jeżeli przewiduje to prawo krajowe i jest to zgodne z prawem krajowym:

Jednak w szczególnych przypadkach, innych niż te, w których do organu centralnego z wnioskiem o udzielenie informacji zawartych w rejestrze karnym na swój temat zwraca się obywatel państwa trzeciego lub w których wniosek ma służyć uzyskaniu informacji z rejestrów karnych zgodnie z art. 10 ust. 2 dyrektywy 2011/93/UE, organ występujący o informacje z rejestrów karnych może zdecydować, że takie skorzystanie z ECRIS-TCN nie jest właściwe.

2.   Każde państwo członkowskie, które zdecyduje – jeżeli przewiduje to prawo krajowe i jest to zgodne z prawem krajowym – korzystać z ECRIS-TCN do celów innych niż określone w ust. 1, aby uzyskiwać informacje o uprzednich wyrokach skazujących za pośrednictwem ECRIS, powiadamia Komisję, do dnia uruchomienia systemu, o którym mowa w art. 35 ust. 4, lub w późniejszym terminie, o takich innych celach i wszelkich zmianach dotyczących takich celów. Komisja publikuje takie powiadomienia w Dzienniku Urzędowym Unii Europejskiej w terminie 30 dni od otrzymania powiadomień.

3.   Eurojust, Europol i EPPO są uprawnione do wysyłania zapytań do ECRIS-TCN w celu ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego zgodnie z art. 14–18. Jednakże nie mogą one wprowadzać żadnych danych do ECRIS-TCN, dokonywać w tym systemie ich sprostowania ani usuwać ich z tego systemu.

4.   Do celów, o których mowa w ust. 1, 2 i 3, właściwe organy mogą również wysyłać zapytania do ECRIS-TCN w celu sprawdzenia, czy odnośnie do obywatela Unii którekolwiek z państw członkowskich posiada informacje z rejestrów karnych dotyczące tej osoby jako obywatela państwa trzeciego.

5.   W przypadku wysyłania zapytań do ECRIS-TCN właściwe organy mogą wykorzystywać wszystkie lub wyłącznie niektóre dane, o których mowa w art. 5 ust. 1. Minimalny zestaw danych wymaganych do wysłania zapytania do systemu określa akt wykonawczy przyjęty zgodnie z art. 10 ust. 1 lit. g).

6.   Właściwe organy mogą również wysyłać zapytania do ECRIS-TCN z wykorzystaniem wizerunków twarzy, pod warunkiem że funkcja taka została wdrożona zgodnie z art. 6 ust. 2.

7.   W przypadku trafienia system centralny automatycznie przekazuje właściwemu organowi informacje o państwach członkowskich posiadających informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego, wraz z powiązanymi numerami referencyjnymi oraz odpowiednimi informacjami dotyczącymi tożsamości. Takie informacje dotyczące tożsamości są wykorzystywane wyłącznie do celów weryfikacji tożsamości danego obywatela państwa trzeciego. Wynik wyszukiwania w systemie centralnym może być wykorzystany wyłącznie do celu wystąpienia z wnioskiem zgodnie z art. 6 decyzji ramowej 2009/315/WSiSW lub wnioskiem, o którym mowa w art. 17 ust. 3 niniejszego rozporządzenia.

8.   W przypadku braku trafienia system centralny automatycznie informuje właściwy organ.

1.   Każdy wpis jest przechowywany w systemie centralnym tak długo, jak długo w rejestrach karnych przechowywane są dane dotyczące wyroków skazujących danej osoby.

2.   Po upływie okresu zatrzymywania danych, o którym mowa w ust. 1, organ centralny skazującego państwa członkowskiego usuwa z systemu centralnego wpis, w tym wszelkie dane daktyloskopijne lub wizerunki twarzy. Usunięcie odbywa się, o ile to możliwe, automatycznie, a w każdym razie nie później niż miesiąc od upływu okresu zatrzymywania danych.

1.   Państwa członkowskie mogą zmienić lub usuwać dane, które wprowadziły do ECRIS-TCN.

2.   W przypadku każdej zmiany informacji w rejestrze karnym, które doprowadziły do utworzenia wpisu zgodnie z art. 5, skazujące państwo członkowskie dokonuje, bez zbędnej zwłoki, identycznej zmiany informacji przechowywanych w tym wpisie w systemie centralnym.

3.   W przypadku gdy skazujące państwo członkowskie ma powody, by sądzić, że dane, które zapisało w systemie centralnym, są nieprawidłowe lub że dane były przetwarzane w systemie centralnym niezgodnie z niniejszym rozporządzeniem:

4.   W przypadku gdy państwo członkowskie inne niż skazujące państwo członkowskie, które wprowadziło dane, ma powody, by sądzić, że dane zapisane w systemie centralnym są nieprawidłowe lub że dane były przetwarzane w systemie centralnym niezgodnie z niniejszym rozporządzeniem, kontaktuje się, bez zbędnej zwłoki, z organem centralnym skazującego państwa członkowskiego.

Skazujące państwo członkowskie:

1.   Komisja przyjmuje jak najszybciej akty wykonawcze niezbędne do technicznego rozwijania i wdrożenia ECRIS-TCN, a w szczególności akty dotyczące:

2.   Akty wykonawcze, o których mowa w ust. 1, przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 38 ust. 2.

1.   eu-LISA odpowiada za rozwój ECRIS-TCN zgodnie z zasadami uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych. Ponadto eu-LISA odpowiada za zarządzanie operacyjne ECRIS-TCN. Rozwój systemu obejmuje opracowanie i wdrożenie specyfikacji technicznych, testowanie oraz ogólne koordynowanie projektu.

2.   eu-LISA odpowiada także za dalsze rozwijanie i utrzymanie oprogramowania wzorcowego ECRIS.

3.   eu-LISA określa projekt architektury fizycznej ECRIS-TCN, w tym jego specyfikacje techniczne oraz ewolucję odnośnie do systemu centralnego, krajowego centralnego punktu dostępu oraz oprogramowania interfejsowego. Projekt przyjmuje zarząd eu-LIS-y, pod warunkiem uzyskania pozytywnej opinii Komisji.

4.   eu-LISA rozwija i wdraża ECRIS-TCN jak najszybciej po dniu wejścia w życie niniejszego rozporządzenia i po przyjęciu przez Komisję aktów wykonawczych przewidzianych w art. 10.

5.   Przed rozpoczęciem etapu projektowania i rozwijania ECRIS-TCN zarząd eu-LIS-y ustanawia radę ds. zarządzania programem, w skład której wchodzi dziesięciu członków.

W skład rady ds. zarządzania programem wchodzi ośmiu członków powołanych przez zarząd, przewodniczący grupy doradczej, o której mowa w art. 39, oraz jeden członek powołany przez Komisję. Członkowie powoływani przez zarząd są wybierani wyłącznie spośród tych państw członkowskich, które zgodnie z prawem Unii w pełni podlegają instrumentom ustawodawczym regulującym ECRIS i które będą uczestniczyły w ECRIS-TCN. Zarząd zapewnia, by powoływani przez niego do rady ds. zarządzania programem członkowie posiadali niezbędne doświadczenie i wiedzę fachową w zakresie rozwijania systemów informatycznych wspierających działalność organów wymiaru sprawiedliwości i organów odpowiedzialnych za rejestry karne oraz w zakresie zarządzania tymi systemami.

eu-LISA uczestniczy w pracach rady ds. zarządzania programem. W tym celu przedstawiciele eu-LIS-y uczestniczą w posiedzeniach rady ds. zarządzania programem, tak aby składać sprawozdania z prac dotyczących projektowania i rozwijania ECRIS-TCN i innych związanych z tym prac i działań.

Posiedzenia rady ds. zarządzania programem odbywają się przynajmniej raz na trzy miesiące lub częściej, jeżeli jest to niezbędne. Rada ds. zarządzania programem zapewnia odpowiednie zarządzanie etapem projektowania i rozwijania ECRIS-TCN oraz spójność między projektem centralnym a krajowymi projektami w zakresie ECRIS-TCN oraz krajowym oprogramowaniem ECRIS. Rada ds. zarządzania programem regularnie i, w miarę możliwości, co miesiąc, przedkłada zarządowi eu-LIS-y pisemne sprawozdania z postępów w realizacji projektu. Rada ds. zarządzania programem nie ma uprawnień do podejmowania decyzji ani do reprezentowania członków zarządu.

6.   Rada ds. zarządzania programem ustanawia swój regulamin, który zawiera w szczególności zasady dotyczące:

7.   Przewodnictwo rady ds. zarządzania programem sprawuje państwo członkowskie, które zgodnie z prawem Unii w pełni podlega instrumentom ustawodawczym regulującym ECRIS oraz instrumentom ustawodawczym regulującym rozwijanie, ustanawianie, funkcjonowanie i użytkowanie wszystkich wielkoskalowych systemów informatycznych zarządzanych przez eu-LIS-ę.

8.   eu-LISA ponosi wszystkie koszty podróży i utrzymania poniesione przez członków rady ds. zarządzania programem. Art. 10 regulaminu wewnętrznego eu-LIS-y stosuje się odpowiednio. eu-LISA zapewnia prowadzenie sekretariatu rady ds. zarządzania programem.

9.   Na etapie projektowania i rozwijania w skład grupy doradczej, o której mowa w art. 39, wchodzą kierownicy projektów krajowych w zakresie ECRIS-TCN, a przewodniczy jej eu-LISA. Na etapie projektowania i rozwijania posiedzenia grupy doradczej odbywają się regularnie, w miarę możliwości co najmniej raz w miesiącu, do momentu uruchomienia ECRIS-TCN. Po każdym posiedzeniu grupa doradcza przedkłada sprawozdanie radzie ds. zarządzania programem. Grupa doradcza zapewnia wiedzę techniczną wspierającą radę ds. zarządzania programem w realizacji zadań oraz śledzi stan przygotowań państw członkowskich.

10.   W celu zapewnienia, w sposób ciągły, poufności i integralności danych przechowywanych w ECRIS-TCN, eu-LISA, we współpracy z państwami członkowskimi, dostarcza odpowiednie środki techniczne i organizacyjne, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrożenia i ryzyka wiążącego się z przetwarzaniem.

11.   eu-LISA odpowiada za następujące zadania związane z infrastrukturą komunikacyjną, o której mowa w art. 4 ust. 1 lit. d):

12.   Komisja odpowiada za wszelkie pozostałe zadania związane z infrastrukturą komunikacyjną, o której mowa a art. 4 ust. 1 lit. d), w szczególności za:

13.   eu-LISA rozwija i utrzymuje mechanizm i procedury przeprowadzania kontroli jakości danych przechowywanych w ECRIS-TCN i przekazuje regularne sprawozdania państwom członkowskim. eu-LISA przekazuje Komisji regularne sprawozdania wskazujące napotkane problemy i państwa członkowskie, których problemy te dotyczą.

14.   Zarządzanie operacyjne ECRIS-TCN obejmuje wszelkie zadania niezbędne do utrzymania operacyjności ECRIS-TCN zgodnie z niniejszym rozporządzeniem, w szczególności prace konserwacyjne i usprawnienia techniczne niezbędne do zapewnienia funkcjonowania ECRIS-TCN na satysfakcjonującym poziomie zgodnie ze specyfikacjami technicznymi.

15.   eu-LISA wykonuje zadania związane z zapewnieniem szkoleń w zakresie technicznego użytkowania ECRIS-TCN oraz oprogramowania wzorcowego ECRIS.

16.   Bez uszczerbku dla art. 17 regulaminu pracowniczego urzędników Unii Europejskiej, ustanowionego rozporządzeniem Rady (EWG, Euratom, EWWiS) nr 259/68 (17), eu-LISA stosuje właściwe przepisy dotyczące tajemnicy służbowej lub inne równoważne wymogi poufności do wszystkich członków swojego personelu, od których wymaga się pracy z danymi zapisanymi w systemie centralnym. Wymóg ten ma zastosowanie również po zakończeniu pełnienia urzędu przez te osoby lub po ustaniu ich zatrudnienia, lub po zakończeniu ich działalności.

1.   Każde państwo członkowskie odpowiada za:

2.   Każde państwo członkowskie zapewnia członkom personelu swojego organu centralnego, którzy posiadają prawo dostępu do ECRIS-TCN, odpowiednie szkolenie dotyczące, w szczególności, przepisów w zakresie bezpieczeństwa i ochrony danych oraz mających zastosowanie praw podstawowych, zanim zostaną oni upoważnieni do przetwarzania danych przechowywanych w systemie centralnym.

1.   Zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych każde państwo członkowskie zapewnia, aby dane zapisane w ECRIS-TCN były przetwarzane w sposób zgodny z prawem, w szczególności aby:

2.   eu-LISA zapewnia, aby ECRIS-TCN był obsługiwany zgodnie z niniejszym rozporządzeniem, z aktem delegowanym, o którym mowa w art. 6 ust. 2, i z aktami wykonawczymi, o których mowa w art. 10, a także zgodnie z rozporządzeniem (UE) 2018/1725. W szczególności eu-LISA podejmuje środki niezbędne do zapewnienia bezpieczeństwa systemu centralnego oraz infrastruktury komunikacyjnej, o której mowa w art. 4 ust. 1 lit. d), bez uszczerbku dla zakresu odpowiedzialności każdego z państw członkowskich.

3.   eu-LISA informuje jak najszybciej Parlament Europejski, Radę i Komisję oraz Europejskiego Inspektora Ochrony Danych o środkach, które podejmuje zgodnie z ust. 2 do celów uruchomienia ECRIS-TCN.

4.   Komisja udostępnia informacje, o których mowa w ust. 3, państwom członkowskim i ogółowi społeczeństwa za pośrednictwem regularnie aktualizowanej strony internetowej.

1.   Eurojust ma bezpośredni dostęp do ECRIS-TCN do celów wdrożenia art. 17 oraz do celów wykonywania swoich zadań zgodnie z art. 2 rozporządzenia (UE) 2018/1727, w celu ustalania państw członkowskich posiadających informacje o uprzednich wyrokach skazujących wydanych wobec obywateli państw trzecich.

2.   Europol ma bezpośredni dostęp do ECRIS-TCN do celów wykonywania swoich zadań zgodnie z art. 4 ust. 1 lit. a)–e) i h) rozporządzenia (UE) 2016/794, w celu ustalania państw członkowskich posiadających informacje o uprzednich wyrokach skazujących wydanych wobec obywateli państw trzecich.

3.   EPPO ma bezpośredni dostęp do ECRIS-TCN do celów wykonywania swoich zadań zgodnie z art. 4 rozporządzenia (UE) 2017/1939, w celu ustalania państw członkowskich posiadających informacje o uprzednich wyrokach skazujących wydanych wobec obywateli państw trzecich.

4.   Po uzyskaniu trafienia wskazującego państwa członkowskie posiadające informacje z rejestrów karnych dotyczące obywatela państwa trzeciego Eurojust, Europol i EPPO mogą wykorzystać swoje odnośne kontakty z krajowymi organami tych państw członkowskich w celu wystąpienia z wnioskiem o udzielenie informacji z rejestrów karnych w sposób określony w odpowiednich aktach ustanawiających te agencje i ten organ.

1.   Państwa trzecie i organizacje międzynarodowe mogą, do celów postępowania karnego, kierować do Eurojustu wnioski o udzielenie informacji na temat tego, czy i które państwa członkowskie posiadają informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego. W tym celu korzystają one ze standardowego formularza zamieszczonego w załączniku do niniejszego rozporządzenia.

2.   Eurojust po otrzymaniu wniosku na podstawie ust. 1 korzysta z ECRIS-TCN do ustalenia, czy i które państwa członkowskie posiadają ewentualnie informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego.

3.   W przypadku trafienia Eurojust zwraca się do państwa członkowskiego, które posiada informacje z rejestrów karnych dotyczące danego obywatela państwa trzeciego, z pytaniem, czy wyraża ono zgodę na to, by Eurojust poinformował dane państwo trzecie lub daną organizację międzynarodową o nazwie tego państwa członkowskiego. Jeżeli to państwo członkowskie wyrazi zgodę, Eurojust informuje dane państwo trzecie lub daną organizację międzynarodową o nazwie tego państwa członkowskiego i o tym, w jaki sposób można zgodnie z obowiązującymi procedurami złożyć do tego państwa członkowskiego wniosek o wyciąg z rejestru karnego.

4.   W przypadku nieuzyskania trafienia lub w przypadku gdy Eurojust nie może udzielić odpowiedzi zgodnie z ust. 3 na wnioski złożone na podstawie niniejszego artykułu, Eurojust informuje dane państwo trzecie lub daną organizację międzynarodową, że zakończył procedurę, nie wskazując przy tym, czy któreś z państw członkowskich posiada informacje z rejestrów karnych dotyczące danej osoby.

1.   eu-LISA podejmuje środki niezbędne do zapewnienia bezpieczeństwa ECRIS-TCN, bez uszczerbku dla zakresu odpowiedzialności poszczególnych państw członkowskich, uwzględniając środki bezpieczeństwa określone w ust. 3.

2.   W odniesieniu do funkcjonowania ECRIS-TCN eu-LISA podejmuje środki niezbędne do osiągnięcia celów określonych w ust. 3, obejmujące przyjęcie planu bezpieczeństwa oraz planu ciągłości działania i przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, a także do zapewnienia, aby zainstalowane systemy, w przypadku przerwy w działaniu, mogły zostać przywrócone.

3.   Państwa członkowskie zapewniają bezpieczeństwo danych przed przesyłaniem i w czasie przesyłania danych do krajowego centralnego punktu dostępu oraz w czasie odbioru danych z krajowego centralnego punktu dostępu. W szczególności każde państwo członkowskie:

4.   eu-LISA i państwa członkowskie współpracują w celu zapewnienia spójnego podejścia do bezpieczeństwa danych w oparciu o proces zarządzania ryzykiem związanym z bezpieczeństwem obejmujący cały ECRIS-TCN.

1.   Każda osoba lub każde państwo członkowskie, które poniosły szkodę majątkową lub niemajątkową w wyniku operacji przetwarzania danych niezgodnej z prawem lub w wyniku czynności naruszającej niniejsze rozporządzenie, ma prawo do otrzymania odszkodowania od:

Państwo członkowskie, które odpowiada za poniesioną szkodę, lub, odpowiednio, eu-LISA są zwolnione z odpowiedzialności, w całości lub w części, jeżeli udowodnią, że nie ponoszą odpowiedzialności za zdarzenie, które spowodowało szkodę.

2.   Jeżeli niespełnienie przez dane państwo członkowskie, Eurojust, Europol lub EPPO ich obowiązków wynikających z niniejszego rozporządzenia spowoduje szkodę w ECRIS-TCN, odpowiedzialność za tę szkodę ponoszą, odpowiednio, to państwo członkowskie, Eurojust, Europol lub EPPO, chyba że – i w zakresie w jakim – eu-LISA lub inne państwo członkowskie uczestniczące w ECRIS-TCN nie podjęły rozsądnych środków, by zapobiec wystąpieniu szkody lub zminimalizować jej skutki.

3.   Roszczenia odszkodowawcze wobec państwa członkowskiego z tytułu szkody, o której mowa w ust. 1 i 2, reguluje prawo państwa członkowskiego, wobec którego kierowane są roszczenia. Roszczenia odszkodowawcze wobec eu-LIS-y, Eurojustu, Europolu i EPPO z tytułu szkody, o której mowa w ust. 1 i 2, regulują odpowiednie akty ustanawiające te agencje i ten organ.

1.   Każdy organ centralny uznaje się za administratora danych zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych do celów przetwarzania danych osobowych przez państwo członkowskie tego organu centralnego na podstawie niniejszego rozporządzenia.

2.   eu-LIS-ę uznaje się za podmiot przetwarzający dane zgodnie z rozporządzeniem (UE) 2018/1725 w odniesieniu do danych osobowych wprowadzonych do systemu centralnego przez państwa członkowskie.

1.   Dane wprowadzone do systemu centralnego są przetwarzane wyłącznie do celu ustalania państw członkowskich posiadających informacje z rejestrów karnych dotyczące obywateli państw trzecich.

2.   Z wyjątkiem należycie upoważnionych członków personelu Eurojustu, Europolu i EPPO, mających dostęp do ECRIS-TCN do celów niniejszego rozporządzenia, dostęp do ECRIS-TCN jest zarezerwowany wyłącznie dla należycie upoważnionych członków personelu organów centralnych. Dostęp ten jest ograniczony do zakresu niezbędnego do wykonywania zadań zgodnie z celem, o którym mowa w ust. 1, oraz do tego, co jest niezbędne i proporcjonalne do realizowanych celów.

1.   Wnioski obywateli państw trzecich dotyczące praw dostępu do danych osobowych, do sprostowania, usunięcia oraz do ograniczenia przetwarzania danych osobowych, określonych w mających zastosowanie przepisach Unii w zakresie ochrony danych, mogą być kierowane do organu centralnego dowolnego państwa członkowskiego.

2.   W przypadku gdy dany wniosek skierowano do państwa członkowskiego innego niż skazujące państwo członkowskie, państwo członkowskie, do którego skierowano wniosek, przekazuje go do skazującego państwa członkowskiego bez zbędnej zwłoki, a w każdym razie w terminie 10 dni roboczych od otrzymania wniosku. Po otrzymaniu wniosku skazujące państwo członkowskie:

3.   W przypadku gdy dane zapisane w ECRIS-TCN są nieprawidłowe lub były przetwarzane niezgodnie z prawem, skazujące państwo członkowskie dokonuje sprostowania tych danych lub je usuwa zgodnie z art. 9. Skazujące państwo członkowskie lub, w stosownym przypadku, państwo członkowskie, do którego skierowano wniosek, bez zbędnej zwłoki potwierdza zainteresowanej osobie na piśmie, że podjęto działania w celu sprostowania lub usunięcia danych dotyczących tej osoby. Skazujące państwo członkowskie informuje również bez zbędnej zwłoki każde inne państwo członkowskie, będące odbiorcą informacji dotyczących wyroków skazujących uzyskanych w wyniku wysłania zapytania do ECRIS-TCN, o działaniach, które zostały podjęte.

4.   Jeżeli skazujące państwo członkowskie nie zgadza się z tym, że dane zapisane w ECRIS-TCN są nieprawidłowe lub były przetwarzane niezgodnie z prawem, państwo to wydaje decyzję administracyjną lub orzeczenie sądowe wyjaśniające zainteresowanej osobie na piśmie, dlaczego nie jest w stanie sprostować lub usunąć dotyczących jej danych. Takie przypadki mogą w stosownych sytuacjach zostać zgłoszone krajowemu organowi nadzorczemu.

5.   Państwo członkowskie, które wydało decyzję lub orzeczenie na podstawie ust. 4, przekazuje również zainteresowanej osobie informacje wyjaśniające kroki, jakie osoba ta może podjąć, jeżeli nie zgadza się z wyjaśnieniem udzielonym zgodnie z ust. 4. Obejmuje to informacje o tym, jak wnieść skargę lub powództwo do właściwych organów lub sądów tego państwa członkowskiego oraz informacje o wszelkiej pomocy, w tym ze strony krajowych organów nadzorczych, dostępnej zgodnie z prawem krajowym tego państwa członkowskiego.

6.   Wnioski składane na podstawie ust. 1 muszą zawierać informacje niezbędne do zidentyfikowania zainteresowanej osoby. Informacje takie wykorzystuje się wyłącznie w celu zapewnienia możliwości wykonywania praw, o których mowa w ust. 1, po czym natychmiast się je usuwa.

7.   W przypadku gdy stosuje się ust. 2, organ centralny, do którego skierowany został wniosek, dokonuje pisemnej adnotacji dotyczącej złożenia takiego wniosku, sposobu jego rozpatrzenia oraz organu, do którego został on przekazany. Na wniosek krajowego organu nadzorczego dany organ centralny udostępnia temu krajowemu organowi nadzorczemu taką adnotację bez zbędnej zwłoki. Organ centralny i krajowy organ nadzorczy usuwają takie adnotacje trzy lata po ich dokonaniu.

1.   Organy centralne współpracują ze sobą w celu zapewnienia poszanowania praw określonych w art. 25.

2.   W każdym państwie członkowskim krajowy organ nadzorczy udziela zainteresowanej osobie, na jej wniosek, informacji na temat sposobu wykonywania przysługującego jej prawa do tego, by dane, które jej dotyczą, zostały sprostowane lub usunięte zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych.

3.   Do celów niniejszego artykułu, krajowy organ nadzorczy państwa członkowskiego, które przesłało dane, oraz krajowy organ nadzorczy państwa członkowskiego, do którego skierowano wniosek, współpracują ze sobą w tym zakresie.

1.   Każde państwo członkowskie zapewnia, aby krajowe organy nadzorcze wyznaczone zgodnie z mającymi zastosowanie przepisami Unii w zakresie ochrony danych monitorowały zgodność z prawem przetwarzania przez dane państwo członkowskie danych osobowych, o których mowa w art. 5 i 6, w tym ich przesyłania do i z ECRIS-TCN.

2.   Krajowy organ nadzorczy zapewnia, by co najmniej co trzy lata od dnia uruchomienia ECRIS-TCN przeprowadzany był audyt operacji przetwarzania danych w krajowych bazach danych rejestrów karnych i krajowych bazach danych daktyloskopijnych w odniesieniu do wymiany danych między tymi systemami a ECRIS-TCN, zgodnie z odpowiednimi międzynarodowymi standardami przeprowadzania audytów.

3.   Państwa członkowskie zapewniają, by ich krajowe organy nadzorcze dysponowały zasobami wystarczającymi do wykonywania zadań powierzonych im na mocy niniejszego rozporządzenia.

4.   Każde państwo członkowskie przekazuje wszelkie informacje, o które zwracają się jego krajowe organy nadzorcze i, w szczególności, przekazuje im informacje dotyczące działań realizowanych zgodnie z art. 12, 13 i 19. Każde państwo członkowskie udziela swoim krajowym organom nadzorczym dostępu do swoich adnotacji na podstawie art. 25 ust. 7 i do swoich rejestrów na podstawie art. 31 ust. 6 oraz umożliwia im w każdej chwili dostęp do wszystkich swoich pomieszczeń powiązanych z ECRIS-TCN.

1.   Europejski Inspektor Ochrony Danych monitoruje, czy czynności eu-LIS-y z zakresu przetwarzania danych osobowych związane z ECRIS-TCN są wykonywane zgodnie z niniejszym rozporządzeniem.

2.   Europejski Inspektor Ochrony Danych zapewnia, by co najmniej co trzy lata przeprowadzany był audyt podejmowanych przez eu-LIS-ę czynności z zakresu przetwarzania danych osobowych, zgodnie z odpowiednimi międzynarodowymi standardami przeprowadzania audytów. Sprawozdanie z takiego audytu przekazuje się Parlamentowi Europejskiemu, Radzie, Komisji, eu-LIS-ie oraz organom nadzorczym. eu-LISA ma możliwość przedstawienia uwag, zanim sprawozdanie zostanie przyjęte.

3.   eu-LISA dostarcza informacje, o które zwraca się Europejski Inspektor Ochrony Danych, zapewnia mu dostęp do wszystkich dokumentów oraz do swoich rejestrów, o których mowa w art. 31, jak również zapewnia mu w każdej chwili dostęp do wszystkich swoich pomieszczeń.

1.   eu-LISA oraz właściwe organy zapewniają, zgodnie ze swoimi odpowiednimi zakresami odpowiedzialności, by wszystkie operacje przetwarzania danych w ECRIS-TCN były rejestrowane zgodnie z ust. 2 do celów sprawdzenia dopuszczalności wniosków, monitorowania integralności i bezpieczeństwa danych oraz zgodności przetwarzania danych z prawem, a także do celów monitorowania własnej działalności.

2.   W rejestrze wskazuje się:

3.   Rejestr przeglądanych i ujawnionych informacji musi umożliwiać ustalenie, czy operacje te były uzasadnione.

4.   Rejestry należy wykorzystywać wyłącznie do monitorowania zgodności przetwarzania danych z prawem oraz do zapewnienia integralności i bezpieczeństwa danych. Do monitorowania i oceny, o których mowa w art. 36, wykorzystywać można wyłącznie rejestry zawierające dane nieosobowe. Rejestry te są zabezpieczane przed nieuprawnionym dostępem za pomocą właściwych środków i są usuwane po trzech latach, jeżeli nie są już niezbędne na potrzeby procedur monitorowania, które zostały już rozpoczęte.

5.   eu-LISA udostępnia, na żądanie, organom centralnym, bez zbędnej zwłoki, rejestry dotyczące swoich operacji przetwarzania.

6.   Właściwe krajowe organy nadzorcze odpowiedzialne za sprawdzanie dopuszczalności wniosku oraz monitorowanie zgodności przetwarzania danych z prawem, jak również integralności i bezpieczeństwa danych, uzyskują, na żądanie, dostęp do rejestrów w celu wypełniania swoich zadań. Organy centralne udostępniają, na żądanie, właściwym krajowym organom nadzorczym, bez zbędnej zwłoki, rejestry dotyczące swoich operacji przetwarzania.

1.   Należycie upoważnieni członkowie personelu eu-LIS-y, właściwych organów i Komisji mają dostęp do danych przetwarzanych w ECRIS-TCN wyłącznie do celów sporządzania sprawozdań i przekazywania statystyk, bez możliwości identyfikacji osób.

2.   Do celów ust. 1 eu-LISA ustanawia, wdraża i obsługuje w swoich centrach technicznych centralne repozytorium zawierające dane, o których mowa w ust. 1, które, bez możliwości identyfikacji osób, umożliwia uzyskanie konfigurowalnych sprawozdań i statystyk. Dostępu do centralnego repozytorium udziela się w drodze bezpiecznego dostępu z kontrolą dostępu i specjalnymi profilami użytkownika, wyłącznie do celów sprawozdawczych i statystycznych.

3.   Procedury wprowadzone przez eu-LIS-ę w celu monitorowania funkcjonowania ECRIS-TCN, o których mowa w art. 36, oraz oprogramowania wzorcowego ECRIS muszą przewidywać możliwość regularnego opracowywania statystyk do celów monitorowania.

Co miesiąc eu-LISA przekazuje Komisji statystyki dotyczące zapisywania, przechowywania i wymiany informacji pobranych z rejestrów karnych za pośrednictwem ECRIS-TCN i oprogramowania wzorcowego ECRIS. eu-LISA zapewnia, aby nie była możliwa identyfikacja osób na podstawie tych statystyk. Na żądanie Komisji eu-LISA przekazuje jej statystyki dotyczące określonych aspektów wykonywania niniejszego rozporządzenia.

4.   Państwa członkowskie przekazują eu-LIS-ie statystyki niezbędne do wykonywania przez nią jej obowiązków, o których mowa w niniejszym artykule. Przekazują one Komisji statystyki dotyczące liczby skazanych obywateli państw trzecich oraz liczby wyroków skazujących wydanych wobec obywateli państw trzecich na swoim terytorium.

1.   Koszty poniesione w związku z ustanowieniem i funkcjonowaniem systemu centralnego, infrastruktury komunikacyjnej, o której mowa w art. 4 ust. 1 lit. d), oprogramowania interfejsowego oraz oprogramowania wzorcowego ECRIS są pokrywane z budżetu ogólnego Unii.

2.   Koszty połączenia Eurojustu, Europolu oraz EPPO z ECRIS-TCN są pokrywane z ich odpowiednich budżetów.

3.   Pozostałe koszty są pokrywane przez państwa członkowskie, w szczególności koszty poniesione w związku z połączeniem istniejących krajowych rejestrów karnych, baz danych daktyloskopijnych i organów centralnych z s ECRIS-TCN, a także koszty obsługi oprogramowania wzorcowego ECRIS.

1.   Każde państwo członkowskie powiadamia eu-LIS-ę o swoim organie centralnym lub swoich organach centralnych, które mają dostęp do wprowadzania danych, ich prostowania, usuwania, przeglądania lub wyszukiwania, a także o wszelkich zmianach w tym zakresie.

2.   eu-LISA zapewnia opublikowanie wykazu organów centralnych, o których powiadomiły państwa członkowskie, w Dzienniku Urzędowym Unii Europejskiej oraz na swojej stronie internetowej. W przypadku otrzymania przez eu-LIS-ę powiadomienia o zmianie w zakresie organu centralnego danego państwa członkowskiego, eu-LISA aktualizuje ten wykaz bez zbędnej zwłoki.

1.   Komisja określi dzień, od którego państwa członkowskie rozpoczynają wprowadzanie do ECRIS-TCN danych, o których mowa w art. 5, gdy tylko uzna, że spełnione są następujące warunki:

2.   Po określeniu przez Komisję dnia rozpoczęcia wprowadzania danych zgodnie z ust. 1, informuje ona państwa członkowskie o tym dniu. W terminie dwóch miesięcy od tego dnia państwa członkowskie wprowadzają do ECRIS-TCN dane, o których mowa w art. 5, uwzględniając art. 41 ust. 2.

3.   Po upływie terminu, o którym mowa w ust. 2, eu-LISA przeprowadza, we współpracy z państwami członkowskimi, końcowy test ECRIS-TCN.

4.   Jeżeli test, o którym mowa w ust. 3, zakończy się pomyślnie, a eu-LISA uzna, że ECRIS-TCN jest gotowy do tego, by go uruchomić, powiadamia Komisję. Komisja informuje Parlament Europejski i Radę o wynikach testu i podejmuje decyzję w sprawie dnia, w którym ma nastąpić uruchomienie ECRIS-TCN.

5.   Decyzja Komisji w sprawie dnia uruchomienia ECRIS-TCN, o której mowa w ust. 4, jest publikowana w Dzienniku Urzędowym Unii Europejskiej.

6.   Państwa członkowskie rozpoczynają korzystanie z ECRIS-TCN od dnia określonego przez Komisję zgodnie z ust. 4.

7.   Podejmując decyzje, o których mowa w niniejszym artykule, Komisja może określić różne dni wprowadzania do ECRIS-TCN danych alfanumerycznych i danych daktyloskopijnych, o których mowa w art. 5, a także różne dni uruchomienia systemu w odniesieniu do tych różnych kategorii danych.

1.   eu-LISA zapewnia wdrożenie procedur, które będą służyć monitorowaniu rozwijania ECRIS-TCN pod kątem celów dotyczących planowania i kosztów oraz monitorowaniu funkcjonowania ECRIS-TCN i oprogramowania wzorcowego ECRIS pod kątem celów dotyczących rezultatów technicznych, opłacalności, bezpieczeństwa i jakości usług.

2.   W celu monitorowania funkcjonowania ECRIS-TCN i zachowania jego dobrego stanu technicznego eu-LISA ma dostęp do niezbędnych informacji o operacjach przetwarzania danych wykonywanych w ECRIS-TCN oraz w oprogramowaniu wzorcowym ECRIS.

3.   W terminie do dnia 12 grudnia 2019 r., a następnie co sześć miesięcy na etapie projektowania i rozwijania, eu-LISA przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie dotyczące aktualnej sytuacji w zakresie rozwoju ECRIS-TCN i oprogramowania wzorcowego ECRIS.

4.   Sprawozdanie, o którym mowa w ust. 3, zawiera informacje na temat bieżących kosztów i postępów w realizacji projektu, ocenę skutków finansowych, a także informacje na temat wszelkich problemów technicznych i czynników ryzyka, które mogą mieć wpływ na ogólne koszty ECRIS-TCN pokrywane zgodnie z art. 33 z budżetu ogólnego Unii.

5.   W przypadku znacznych opóźnień w procesie rozwijania, eu-LISA jak najszybciej informuje Parlament Europejski i Radę o powodach tych opóźnień oraz o ich skutkach czasowych i finansowych.

6.   Po zakończeniu rozwijania ECRIS-TCN i oprogramowania wzorcowego ECRIS eu-LISA przekazuje Parlamentowi Europejskiemu i Radzie sprawozdanie, które zawiera wyjaśnienia dotyczące sposobu osiągnięcia celów, w szczególności w zakresie planowania i kosztów, oraz uzasadnienie wszelkich rozbieżności.

7.   W przypadku technicznej modernizacji ECRIS-TCN, która mogłaby wiązać się ze znacznymi kosztami, eu-LISA informuje Parlament Europejski i Radę.

8.   Po dwóch latach od uruchomienia ECRIS-TCN, a następnie co roku eu-LISA przekazuje Komisji sprawozdanie na temat technicznego funkcjonowania ECRIS-TCN i oprogramowania wzorcowego ECRIS, w tym ich bezpieczeństwa, oparte w szczególności na statystykach dotyczących funkcjonowania i korzystania z ECRIS-TCN oraz wymiany – za pośrednictwem oprogramowania wzorcowego ECRIS – informacji pochodzących z rejestrów karnych.

9.   Po czterech latach od uruchomienia ECRIS-TCN, a następnie co cztery lata Komisja przeprowadza ogólną ocenę ECRIS-TCN oraz oprogramowania wzorcowego ECRIS. Sporządzone na tej podstawie sprawozdanie z ogólnej oceny zawiera ocenę stosowania niniejszego rozporządzenia oraz analizę osiągniętych wyników w stosunku do ustalonych celów i wpływu na prawa podstawowe. Sprawozdanie zawiera również ocenę dalszej zasadności przesłanek leżących u podstaw funkcjonowania ECRIS-TCN, ocenę stosowności wykorzystywania danych biometrycznych na potrzeby ECRIS-TCN, ocenę bezpieczeństwa ECRIS-TCN i ocenę wszelkich skutków w zakresie bezpieczeństwa dla przyszłych operacji. Ocena ta obejmuje także wszelkie niezbędne zalecenia. Komisja przekazuje sprawozdanie Parlamentowi Europejskiemu, Radzie, Europejskiemu Inspektorowi Ochrony Danych i Agencji Praw Podstawowych Unii Europejskiej.

10.   Ponadto pierwsza ogólna ocena, o której mowa w ust. 9, obejmuje ocenę:

W razie potrzeby do oceny można dołączyć wnioski ustawodawcze. Kolejne ogólne oceny mogą obejmować ocenę dowolnego lub wszystkich spośród wymienionych aspektów.

11.   Państwa członkowskie, Eurojust, Europol i EPPO przekazują eu-LIS-ie i Komisji informacje niezbędne do sporządzenia sprawozdań, o których mowa w ust. 3, 8 i 9, zgodnie ze wskaźnikami ilościowymi ustalonymi wcześniej przez Komisję lub eu-LIS-ę. Informacje takie nie mogą stanowić zagrożenia dla metod pracy ani ujawniać informacji o źródłach, członkach personelu lub postępowaniach przygotowawczych.

12.   W stosownych przypadkach organy nadzorcze przekazują eu-LIS-ie i Komisji informacje niezbędne do sporządzenia sprawozdań, o których mowa w ust. 9, zgodnie ze wskaźnikami ilościowymi ustalonymi wcześniej przez Komisję lub eu-LIS-ę. Informacje takie nie mogą stanowić zagrożenia dla metod pracy ani ujawniać informacji o źródłach, członkach personelu lub postępowaniach przygotowawczych.

13.   eu-LISA przekazuje Komisji informacje niezbędne do sporządzenia ogólnych ocen, o których mowa w ust. 9.

1.   Powierzenie Komisji uprawnień do przyjmowania aktów delegowanych podlega warunkom określonym w niniejszym artykule.

2.   Uprawnienia do przyjmowania aktów delegowanych, o których mowa w art. 6 ust. 2, powierza się Komisji na czas nieokreślony od dnia 11 czerwca 2019 r.

3.   Przekazanie uprawnień, o którym mowa w art. 6 ust. 2, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w późniejszym terminie określonym w tej decyzji. Nie wpływa ona na ważność już obowiązujących aktów delegowanych.

4.   Przed przyjęciem aktu delegowanego Komisja konsultuje się z ekspertami wyznaczonymi przez każde państwo członkowskie zgodnie z zasadami określonymi w Porozumieniu międzyinstytucjonalnym z dnia 13 kwietnia 2016 r. w sprawie lepszego stanowienia prawa.

5.   Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

6.   Akt delegowany przyjęty na podstawie art. 6 ust. 2 wchodzi w życie tylko wówczas, gdy ani Parlament Europejski, ani Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub gdy, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o dwa miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

1.   Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

2.   W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.

W przypadku gdy komitet nie wyda żadnej opinii, Komisja nie przyjmuje projektu aktu wykonawczego i stosuje się art. 5 ust. 4 akapit trzeci rozporządzenia (UE) nr 182/2011.

1.   Aby zapewnić właściwe funkcjonowanie ECRIS-TCN, państwa członkowskie jak najszybciej podejmują środki niezbędne do wykonania niniejszego rozporządzenia.

2.   W przypadku wyroków skazujących wydanych przed dniem rozpoczęcia wprowadzania danych zgodnie z art. 35 ust. 1 organy centralne tworzą poszczególne wpisy w systemie centralnym, przestrzegając poniższych terminów:

Niniejszy formularz, dostępny na stronie www.eurojust.europa.eu we wszystkich 24 językach urzędowych instytucji Unii, powinien być skierowany w jednym z tych języków na adres: ECRIS-TCN@eurojust.europa.eu

Państwo lub organizacja międzynarodowa występujące z wnioskiem:

Nazwa państwa lub organizacji międzynarodowej:

Organ składający wniosek:

Reprezentowany przez (imię i nazwisko osoby):

Tytuł:

Adres:

Numer telefonu:

Adres e-mail:

Postępowanie karne, na potrzeby którego poszukiwane są informacje:

Krajowy numer referencyjny:

Właściwy organ:

Rodzaj przestępstw objętych postępowaniem przygotowawczym (proszę podać odpowiedni artykuł/artykuły kodeksu karnego):

Inne istotne informacje (np. czy wniosek jest pilny):

Informacje dotyczące tożsamości osoby posiadającej obywatelstwo państwa trzeciego, w odniesieniu do której poszukiwane są informacje dotyczące skazującego państwa członkowskiego:

Uwaga: proszę podać jak najwięcej dostępnych informacji.

Nazwisko (nazwisko rodowe):

Imię (imiona) (imiona nadane):

Data urodzenia:

Miejsce urodzenia (miejscowość i państwo):

Obywatelstwo lub obywatelstwa:

Płeć:

Poprzednie imiona i nazwiska (jeżeli dotyczy):

Imiona i nazwiska rodziców:

Numer identyfikacyjny:

Rodzaj i numer dokumentu (dokumentów) tożsamości:

Organ, który wydał dokument (dokumenty):

Pseudonimy lub przydomki:

Jeśli dostępne są dane daktyloskopijne, proszę je przekazać.

W przypadku kilku osób ich dane należy wprowadzić odrębnie.

Rozwijana lista umożliwiająca wprowadzanie dodatkowych podmiotów

Miejscowość

Data

Podpis i pieczęć (elektroniczne):

1.   Niniejsze rozporządzenie, wraz z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/818 (34), ustanawia ramy zapewniające interoperacyjność systemu wjazdu/wyjazdu (EES), wizowego systemu informacyjnego (VIS), europejskiego systemu informacji o podróży oraz zezwoleń na podróż (ETIAS), systemu Eurodac, Systemu Informacyjnego Schengen (SIS) oraz europejskiego systemu przekazywania informacji z rejestrów karnych o obywatelach państw trzecich (ECRIS-TCN).

2.   Ramy te obejmują następujące elementy interoperacyjności:

3.   Niniejsze rozporządzenie określa także przepisy dotyczące wymogów odnoszących się do jakości danych, uniwersalnego formatu wiadomości (UMF) oraz centralnego repozytorium sprawozdawczo-statystycznego, a także obowiązków państw członkowskich i Europejskiej Agencji ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (eu-LISA) w odniesieniu do projektowania, rozwijania i działania elementów interoperacyjności.

4.   Rozporządzenie dostosowuje także procedury i warunki dostępu wyznaczonych organów i Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol) do EES, VIS, ETIAS oraz systemu Eurodac na potrzeby zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom oraz ich wykrywania lub prowadzenia w ich sprawie postępowań przygotowawczych.

5.   Rozporządzenie określa też ramy weryfikacji tożsamości i identyfikacji osób.

1.   Poprzez zapewnienie interoperacyjności niniejsze rozporządzenie służy następującym celom:

2.   Cele, o których mowa w ust. 1, są osiągane przez:

1.   Niniejsze rozporządzenie stosuje się do EES, VIS, ETIAS i SIS.

2.   Niniejsze rozporządzenie obowiązuje w stosunku do osób, których dane osobowe mogą być przetwarzane za pomocą systemów informacyjnych UE, o których mowa w ust. 1 niniejszego artykułu i których dane są gromadzone do celów określonych w art. 1 i 2 rozporządzenia (WE) nr 767/2008, art. 1 rozporządzenia (UE) 2017/2226, art. 4 rozporządzenia (UE) 2018/1240, art. 1 rozporządzenia (UE) 2018/1860 oraz art. 1 rozporządzenia (UE) 2018/1861.

1.   Europejski portal wyszukiwania ustanawia się, aby ułatwić organom państw członkowskich i agencjom unijnym uzyskiwanie szybkiego, sprawnego, wydajnego, systematycznego i kontrolowanego dostępu do systemów informacyjnych UE, danych Europolu i baz danych Interpolu w celu pełnienia przez nie ich funkcji oraz zgodnie z przysługującymi im prawami dostępu, a także celami i zamierzeniami systemów EES, VIS, ETIAS, Eurodac, SIS oraz ECRIS-TCN.

2.   Europejski portal wyszukiwania składa się z:

3.   Europejski portal wyszukiwania opracowuje eu-LISA, która zarządza nim również od strony technicznej.

1.   Korzystanie z europejskiego portalu wyszukiwania jest zarezerwowane dla organów państw członkowskich i agencji unijnych mających dostęp do przynajmniej jednego z systemów informacyjnych UE, zgodnie z instrumentami prawnymi regulującymi funkcjonowanie tych systemów, do wspólnego repozytorium danych umożliwiających identyfikację i detektora wielokrotnych tożsamości zgodnie z niniejszym rozporządzeniem, do danych Europolu zgodnie z rozporządzeniem (UE) 2016/794 lub do baz danych Interpolu zgodnie z prawem Unii lub prawem krajowym regulującym taki dostęp.

Powyższe organy państw członkowskich i agencje unijne mogą korzystać z europejskiego portalu wyszukiwania i danych przekazanych przez ten portal tylko do celów ustanowionych w aktach prawnych regulujących te systemy informacyjne UE, w rozporządzeniu (UE) 2016/794 i w niniejszym rozporządzeniu.

2.   Organy państw członkowskich i agencje unijne, o których mowa w ust. 1, korzystają z europejskiego portalu wyszukiwania, aby wyszukiwać dane dotyczące osób lub ich dokumentów podróży przechowywane w systemach centralnych EES, VIS i ETIAS zgodnie z prawami dostępu, o których mowa w aktach prawnych regulujących te systemy informacyjne UE oraz w prawie krajowym. Korzystają one także z europejskiego portalu wyszukiwania, aby konsultować wspólne repozytorium danych umożliwiających identyfikację zgodnie z prawami dostępu przysługującymi im na mocy niniejszego rozporządzenia do celów, o których mowa w art. 20, 21 i 22.

3.   Organy UE, o których mowa w ust. 1, mogą z niego korzystać, aby wyszukiwać dane dotyczące osób lub ich dokumentów podróży w systemie centralnym SIS, o których mowa w rozporządzeniach (UE) 2018/1860 i (UE) 2018/1861.

4.   W przypadkach gdy przewiduje to prawo Unii, agencje unijne, o których mowa w ust. 1, korzystają z europejskiego portalu wyszukiwania, aby wyszukiwać dane dotyczące osób lub ich dokumentów podróży w systemie centralnym SIS.

5.   Organy państw członkowskich lub agencje unijne, o których mowa w ust. 1, mogą korzystać z europejskiego portalu wyszukiwania, aby wyszukiwać dane dokumentów podróży przechowywane w bazach danych Interpolu, jeżeli jest to przewidziane i zgodnie z prawami dostępu przysługującymi im na mocy prawa Unii i prawa krajowego.

1.   Aby umożliwić korzystanie z europejskiego portalu wyszukiwania, eu-LISA, we współpracy z państwami członkowskimi, opracowuje odrębny profil w oparciu o każdą kategorię użytkownika europejskiego portalu wyszukiwania i o cele zapytań, zgodnie ze szczegółowymi informacjami technicznymi i prawami dostępu, o których mowa w ust. 2. Każdy profil zgodnie z prawem Unii i prawem krajowym obejmuje następujące informacje:

2.   Komisja przyjmuje akty wykonawcze, aby określić szczegóły techniczne profili, o których mowa w ust. 1, zgodnie z prawami dostępu przysługującymi użytkownikom europejskiego portalu wyszukiwania, na mocy aktów prawnych regulujących systemy informacyjne UE i prawa krajowego. Akty te przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 74 ust. 2.

3.   Profile, o których mowa w ust. 1, są poddawane regularnym przeglądom przez eu-LISA we współpracy z państwami członkowskimi co najmniej raz w roku i w razie konieczności uaktualniane.

1.   Użytkownicy europejskiego portalu wyszukiwania mogą dokonać zapytania, wprowadzając do niego dane alfanumeryczne lub biometryczne. Po dokonaniu zapytania europejski portal wyszukiwania przeszukuje równocześnie systemy EES, ETIAS, VIS, SIS, Eurodac, ECRIS-TCN, wspólne repozytorium danych umożliwiających identyfikację, dane Europolu i bazy danych Interpolu, za pomocą danych wprowadzonych przez użytkownika, zgodnie z jego profilem.

2.   Kategorie danych stosowane w celu dokonania zapytania za pośrednictwem europejskiego portalu wyszukiwania odpowiadają kategoriom danych związanych z osobami fizycznymi lub dokumentami podróży, których można użyć, aby dokonać zapytania w różnych systemach informacyjnych UE, danych Europolu i bazach danych Interpolu, zgodnie z aktami prawnymi, którym te podlegają.

3.   eu-LISA we współpracy z państwami członkowskimi wdraża dokument kontroli interfejsu oparty na uniwersalnym formacie wiadomości, o którym mowa w art. 38, w odniesieniu do europejskiego portalu wyszukiwania.

4.   W przypadku dokonania zapytania przez użytkownika europejskiego portalu wyszukiwania, systemy EES, ETIAS, VIS, SIS, Eurodac, system ECRIS-TCN, wspólne repozytorium danych umożliwiających identyfikację, detektor wielokrotnych tożsamości, dane Europolu i bazy danych Interpolu dostarczają w odpowiedzi przechowywane w nich dane.

Bez uszczerbku dla art. 20 odpowiedź udzielana przez europejski portal wyszukiwania wskazuje, do którego systemu informacyjnego lub do której bazy należą dane.

W ramach europejskiego portalu wyszukiwania nie są udzielane żadne informacje dotyczące danych w systemach informacyjnych UE, danych Europolu i baz danych Interpolu, do których użytkownik nie ma dostępu na mocy mającego zastosowanie prawa Unii i prawa krajowego.

5.   Przeszukiwania baz danych Interpolu dokonywane za pośrednictwem europejskiego portalu wyszukiwania są realizowane w taki sposób, by żadne informacje nie zostały ujawnione właścicielowi wpisu w bazie Interpolu.

6.   Europejski portal wyszukiwania przekazuje odpowiedzi użytkownikowi niezwłocznie po udostępnieniu danych z jednego z systemów informacyjnych UE, danych Europolu lub baz danych Interpolu. Odpowiedzi te zawierają wyłącznie dane, do których użytkownik ten ma dostęp na mocy prawa Unii i prawa krajowego.

7.   Komisja przyjmuje akt wykonawczy w celu szczegółowego określenia procedury technicznej dotyczącej przeszukiwania systemów informacyjnych UE, danych Europolu i baz danych Interpolu za pomocą europejskiego portalu wyszukiwania oraz formatu odpowiedzi udzielanych przez europejski portal wyszukiwania. Ten akt wykonawczy przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 74 ust. 2.

1.   Bez uszczerbku dla art. 46 rozporządzenia (UE) 2017/2226, art. 34 rozporządzenia (WE) nr 767/2008, art. 69 rozporządzenia (UE) 2018/1240 oraz art. 12 i 18 rozporządzenia (UE) 2018/1861, eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych w ramach europejskiego portalu wyszukiwania. Rejestry te obejmują:

2.   Każde państwo członkowskie prowadzi rejestry zapytań dokonywanych przez jego organy i personel tych organów należycie upoważniony do korzystania z europejskiego portalu wyszukiwania. Każda agencja unijna prowadzi rejestry zapytań dokonywanych przez jej należycie upoważniony personel.

3.   Rejestry, o których mowa w ust. 1 i 2, można wykorzystywać wyłącznie w celu monitorowania ochrony danych, w tym sprawdzania dopuszczalności wniosku i zgodności z prawem przetwarzania danych, oraz w celu zapewniania bezpieczeństwa i integralności danych. Rejestry są chronione za pomocą odpowiednich środków przed nieuprawnionym dostępem i usuwane jeden rok po utworzeniu. Jeżeli jednak są one konieczne do prowadzenia już rozpoczętych procedur monitorowania, są one usuwane, gdy tylko przestają być konieczne do celu tych procedur.

1.   Jeśli korzystanie z europejskiego portalu wyszukiwania w celu przeszukania jednego lub większej liczby systemów informacyjnych UE lub wspólnego repozytorium tożsamości nie jest technicznie możliwe z powodu awarii europejskiego portalu wyszukiwania, eu-LISA automatycznie powiadamia o tym użytkowników europejskiego portalu wyszukiwania.

2.   Jeśli korzystanie z europejskiego portalu wyszukiwania w celu przeszukiwania jednego lub większej liczby systemów informacyjnych UE lub wspólnego repozytorium danych umożliwiających identyfikację, nie jest technicznie możliwe z powodu awarii infrastruktury krajowej w jednym z państw członkowskich, to państwo członkowskie automatycznie powiadamia o tym fakcie eu-LISA i Komisję.

3.   W przypadkach, o których mowa w ust. 1 lub 2 niniejszego artykułu, do czasu rozwiązania problemu technicznego obowiązek, o którym mowa w art. 7 ust. 2 i 4, nie obowiązuje, a państwa członkowskie mają dostęp do systemów informacyjnych UE lub do wspólnego repozytorium danych umożliwiających identyfikację, jeżeli są do tego zobowiązane na mocy prawa Unii lub prawa krajowego.

4.   Jeśli korzystanie z europejskiego portalu wyszukiwania w celu przeszukiwania co najmniej jednego systemu informacyjnego UE lub wspólnego repozytorium danych umożliwiających identyfikację nie jest technicznie możliwe z powodu awarii infrastruktury agencji Unii, agencja ta automatycznie powiadamia o tym fakcie eu-LISA i Komisję.

1.   Wspólny system porównywania danych biometrycznych gromadzący wzorce biometryczne uzyskane z danych biometrycznych, o których mowa w art. 13, przechowywane we wspólnym repozytorium danych umożliwiających identyfikację i w SIS oraz umożliwiający jednoczesne wyszukiwanie za pomocą danych biometrycznych w różnych systemach informacyjnych UE ustanawia się, aby wspierać wspólne repozytorium danych umożliwiających identyfikację i detektor wielokrotnych tożsamości oraz realizację celów systemów EES, VIS, Eurodac, SIS i systemu ECRIS-TCN.

2.   Wspólny system porównywania danych biometrycznych składa się z następujących elementów:

3.   Wspólny system porównywania danych biometrycznych opracowuje eu-LISA, która zarządzani nim też od strony technicznej.

1.   We wspólnym systemie porównywania danych biometrycznych przechowuje się wzorce biometryczne, uzyskane na podstawie następujących danych biometrycznych:

Wzorce biometryczne przechowywane we wspólnym systemie porównywania danych biometrycznych są logicznie oddzielone w zależności od systemu informacyjnego UE, z którego te dane pochodzą.

2.   Dla każdego zestawu danych, o których mowa w ust. 1, wspólny system porównywania danych biometrycznych zawiera w każdym wzorcu biometrycznym odniesienie do systemów informacyjnych UE, w którym są przechowywane powiązane z nim dane biometryczne, oraz odniesienie do rzeczywistego zapisu w tych systemach informacyjnych UE.

3.   Wzorce biometryczne są wprowadzane do serwisu dopiero po przeprowadzeniu automatycznej kontroli jakości danych biometrycznych dodanych do jednego z systemów informacyjnych UE, której dokonuje wspólny system porównywania danych biometrycznych, aby zapewnić spełnienie minimalnych norm jakości danych.

4.   Przechowywanie danych, o których mowa w ust. 1, jest zgodne z normami jakości, o których mowa w art. 37 ust. 2.

5.   Komisja określa w drodze aktów wykonawczych wymogi dotyczące wydajności oraz praktyczne ustalenia dotyczące monitorowania wydajności wspólnego systemu porównywania danych biometrycznych, aby zapewnić skuteczność przeszukiwania danych biometrycznych w przypadku procedur, w których czynnikiem krytycznym jest czas, takich jak odprawa graniczna i identyfikacja. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 74 ust. 2.

1.   Bez uszczerbku dla art. 46 rozporządzenia (UE) 2017/2226, art. 34 rozporządzenia (WE) nr 767/2008 oraz art. 12 i 18 rozporządzenia (UE) 2018/1861, eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych w ramach wspólnego systemu porównywania danych biometrycznych. Rejestry te obejmują:

2.   Każde państwo członkowskie prowadzi rejestry zapytań dokonywanych przez jego organy i personel tych organów należycie upoważniony do korzystania ze wspólnego systemu porównywania danych biometrycznych. Każda agencja unijna prowadzi rejestry zapytań dokonywanych przez jej należycie upoważniony personel.

3.   Rejestry, o których mowa w ust. 1 i 2, można wykorzystywać wyłącznie w celu monitorowania ochrony danych, w tym sprawdzania dopuszczalności wniosku i zgodności przetwarzania danych z prawem, oraz w celu zapewniania bezpieczeństwa i integralności danych. Rejestry są chronione za pomocą odpowiednich środków przed nieuprawnionym dostępem i usuwane jeden rok po utworzeniu. Jeżeli jednak są one konieczne do prowadzenia już rozpoczętych procedur monitorowania, są one usuwane, gdy tylko przestają być konieczne do celu tych procedur.

1.   Wspólne repozytorium danych umożliwiających identyfikację, tworzące indywidualne akta osobowe dla każdej osoby zarejestrowanej w systemach EES, VIS, ETIAS, Eurodac lub ECRIS-TCN, zawierające dane, o których mowa w art. 18, ustanawia się po to, aby ułatwiać i wspomagać poprawną identyfikację osób zarejestrowanych w systemach EES, VIS, ETIAS, Eurodac i ECRIS-TCN zgodnie z art. 20, wspierać funkcjonowanie detektora wielokrotnych tożsamości zgodnie z art. 21 oraz, w stosownych przypadkach, ułatwiać i usprawniać dostęp wyznaczonych organów i Europolu do systemów EES, VIC, ETIAS i Eurodac w celu zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, wykrywania ich lub prowadzenia w ich sprawie postępowań przygotowawczych zgodnie z art. 22.

2.   Wspólne repozytorium danych umożliwiających identyfikację składa się z:

3.   Wspólne repozytorium danych umożliwiających identyfikację opracowuje eu-LISA, która zarządzani nim też od strony technicznej.

4.   Jeżeli dokonanie zapytania we wspólnym repozytorium danych umożliwiających identyfikację do celów identyfikacji osoby fizycznej zgodnie z art. 20 w celu wykrywania wielokrotnych tożsamości zgodnie z art. 21 lub w celu zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, wykrywania ich lub prowadzenia w ich sprawie postępowań przygotowawczych zgodnie z art. 22 nie jest technicznie możliwe z powodu awarii wspólnego repozytorium danych umożliwiających identyfikację, eu-LISA automatycznie powiadamia o tym fakcie użytkowników wspólnego repozytorium danych umożliwiających identyfikację.

5.   eu-LISA we współpracy z państwami członkowskimi wdraża dokument kontroli interfejsu oparty na uniwersalnym formacie wiadomości, o którym mowa w art. 38, w odniesieniu do wspólnego repozytorium danych umożliwiających identyfikację.

1.   We wspólnym repozytorium danych umożliwiających identyfikację przechowuje się następujące, oddzielone logicznie dane, według systemu informacyjnego, z którego dane te pierwotnie pochodzą:

2.   Dla każdego zestawu danych, o których mowa w ust. 1, wspólne repozytorium danych umożliwiających identyfikację zawiera odniesienie do systemów informacyjnych UE, z których dane te pochodzą.

3.   Organy korzystające z dostępu do wspólnego repozytorium danych umożliwiających identyfikację czynią to zgodnie z ich prawami dostępu na mocy aktów prawnych regulujących systemy informacyjne UE i prawa krajowego oraz zgodnie z przysługującymi im prawami dostępu na mocy niniejszego rozporządzenia do celów, o których mowa w art. 20, 21 i 22.

4.   Dla każdego zestawu danych, o których mowa w ust. 1, wspólne repozytorium danych umożliwiających identyfikację zawiera odniesienie do rzeczywistego zapisu w systemach informacyjnych UE, z których dane te pochodzą.

5.   Przechowywanie danych, o których mowa w ust. 1, jest zgodne z normami jakości, o których mowa w art. 37 ust. 2.

1.   W przypadku dodawania, zmiany lub usuwania danych w systemach EES, VIS i ETIAS dane, o których mowa w art. 18, przechowywane w aktach osobowych wspólnego repozytorium danych umożliwiających identyfikację są odpowiednio dodawane, zmieniane lub usuwane w sposób automatyczny.

2.   W razie utworzenia powiązania białego lub czerwonego przez detektor wielokrotnych tożsamości zgodnie z art. 32 lub 33 między danymi z dwóch lub większej liczby systemów informacyjnych UE składających się na wspólne repozytorium danych umożliwiających identyfikację, zamiast tworzyć nowe akta osobowe, repozytorium dodaje nowe dane do akt osobowych, z których pochodzą powiązane ze sobą dane.

1.   Zapytania we wspólnym repozytorium danych umożliwiających identyfikację dokonywane jest przez organ policji zgodnie z ust. 2 i 5 wyłącznie w następujących przypadkach:

Dokonywanie takich zapytań nie jest dozwolone w odniesieniu do osób małoletnich, które nie ukończyły 12. roku życia, chyba że odbywa się to dla dobra dziecka.

2.   W którymkolwiek z przypadków wymienionych w ust. 1, gdy organ policji został do tego upoważniony na mocy krajowych środków ustawodawczych, o których mowa w ust. 5, może on, wyłącznie w celu identyfikacji osoby fizycznej, dokonać zapytania we wspólnym repozytorium danych umożliwiających identyfikację, posługując się danymi biometrycznymi tej osoby pobranymi bezpośrednio podczas kontroli tożsamości, pod warunkiem że procedurę tę uruchamia się w obecności tej osoby.

3.   Jeśli wynik zapytania wskaże, że dane tej osoby są przechowywane we wspólnym repozytorium danych umożliwiających identyfikację, organ policji powinien mieć możliwość sprawdzania danych, o których mowa w art. 18 ust. 1.

Jeśli nie można użyć danych biometrycznych danej osoby lub jeśli zapytanie przy użyciu tych danych zakończy się niepowodzeniem, wyszukiwanie należy przeprowadzić za pomocą danych dotyczących tożsamości tej osoby w połączeniu z danymi dokumentu podróży lub danymi dotyczącymi tożsamości podanymi przez tę osobę.

4.   W przypadku katastrofy, wypadku lub zamachu terrorystycznego i wyłącznie w celu identyfikacji nieznanych osób, które nie są w stanie potwierdzić swojej tożsamości, lub niezidentyfikowanych szczątków ludzkich organ policji może przeszukiwać wspólne repozytorium danych umożliwiających identyfikację za pomocą danych biometrycznych tych osób, gdy został do tego upoważniony na mocy krajowych środków ustawodawczych, o których mowa w ust. 6.

5.   Państwa członkowskie, które pragną skorzystać z możliwości przewidzianej w ust. 2, przyjmują odpowiednie krajowe środki ustawodawcze. Państwa członkowskie uwzględniają przy tym potrzebę unikania dyskryminacji wobec obywateli państw trzecich. Takie środki ustawodawcze precyzują cele identyfikacji na potrzeby określone w art. 2 ust. 1 lit. b) i c). Wyznaczają one właściwe organy policji i określają procedury, warunki i kryteria takich kontroli.

6.   Państwa członkowskie, które chcą skorzystać z możliwości przewidzianej w ust. 4, przyjmują krajowe środki ustawodawcze określające procedury, warunki i kryteria.

1.   Jeśli wynikiem zapytania we wspólnym repozytorium danych umożliwiających identyfikację jest powiązanie żółte określone w art. 28 ust. 4 organ odpowiedzialny za ręczną weryfikację różniących się tożsamości zgodnie z art. 29 ma dostęp, wyłącznie w celu przeprowadzenia tej weryfikacji, do danych, o których mowa w wart. 18 ust. 1 i 2, przechowywanych we wspólnym repozytorium danych umożliwiających identyfikację i połączonych powiązaniem żółtym.

2.   Jeśli wynikiem zapytania we wspólnym repozytorium danych umożliwiających identyfikację jest powiązanie czerwone określone w art. 32 organy, o których mowa w art. 26 ust. 2, mają dostęp, wyłącznie w celu zwalczania oszustw dotyczących tożsamości, do danych, o których mowa w art. 18 ust. 1 i 2, przechowywanych we wspólnym repozytorium danych umożliwiających identyfikację i połączonych powiązaniem czerwonym.

1.   Jeżeli w konkretnym przypadku istnieją uzasadnione podstawy pozwalające uważać, że dokonanie sprawdzeń w systemach informacyjnych UE przyczyni się do zapobiegania przestępstwom terrorystycznym lub innym poważnym przestępstwom, ich wykrywania lub prowadzenia w ich sprawie postępowań przygotowawczych, zwłaszcza gdy zachodzi podejrzenie, że sprawca lub ofiara przestępstwa terrorystycznego lub innego poważnego przestępstwa lub osoba podejrzana o jego popełnienie to osoba, której dane są przechowywane w EES, VIS lub ETIAS, wyznaczone organy i Europol mogą dokonać sprawdzenia we wspólnym repozytorium danych umożliwiających identyfikację, aby uzyskać informację, czy dane dotyczące konkretnej osoby znajdują się w EES, VIS lub ETIAS.

2.   Jeśli odpowiedź na zapytanie we wspólnym repozytorium danych umożliwiających identyfikację wskaże, że dane dotyczące tej osoby znajdują się w EES, VIS lub ETIAS, wspólne repozytorium danych umożliwiających identyfikację udziela odpowiedzi tym wyznaczonym organom i Europolowi w postaci odniesienia, o którym mowa w art. 18 ust. 2, wskazującego, który z systemów informacyjnych UE zawiera dane odpowiadające zapytaniu. Wspólne repozytorium danych umożliwiających identyfikację udziela odpowiedzi w sposób nienaruszający bezpieczeństwa danych.

Odpowiedź wskazująca, że dane dotyczące danej osoby znajdują się w jednym z systemów informacyjnych UE, o których mowa w ust. 1, może być wykorzystywana jedynie w celu złożenia wniosku o pełny dostęp z zastrzeżeniem warunków i procedur ustanowionych w odpowiednich aktach prawnych regulujących taki dostęp.

W przypadku przynajmniej jednego dopasowania wyznaczony organ lub Europol zwraca się z wnioskiem o pełny dostęp do co najmniej jednego z systemów informacyjnych, z których uzyskano dopasowanie.

W przypadku gdy wyjątkowo nie zwrócono się z wnioskiem o pełny dostęp, wyznaczone organy rejestrują powód, dla którego nie złożono takiego wniosku, identyfikowalny w dokumentacji krajowej. Europol odnotowuje ten powód w odpowiedniej dokumentacji wewnętrznej.

3.   Pełen dostęp do danych zawartych w systemach EEAS, VIS lub ETIAS w celach zapobiegania przestępstwom terrorystycznym i innym poważnym przestępstwom, ich wykrywania lub prowadzenia w ich sprawie postępowań przygotowawczych nadal podlega warunkom i procedurom określonym w odpowiednich aktach prawnych regulujących taki dostęp.

1.   Dane, o których mowa w art. 18 ust. 1, 2 i 4, są automatycznie usuwane ze wspólnego repozytorium danych umożliwiających identyfikację zgodnie z przepisami dotyczącymi zatrzymywania danych w, odpowiednio, rozporządzeniach (UE) 2017/2226, (WE) nr 767/2008 i (UE) 2018/1240.

2.   Akta osobowe są przechowywane we wspólnym repozytorium danych umożliwiających identyfikację jedynie tak długo, jak długo są one przechowywane w co najmniej jednym systemie informacyjnym UE, którego dane są zawarte w repozytorium. Stworzenie powiązania nie wpływa na okres zatrzymywania żadnej z pozycji wchodzącej w skład powiązanych ze sobą danych.

1.   Bez uszczerbku dla art. 46 rozporządzenia (UE) 2017/2226, art. 34 rozporządzenia (WE) nr 767/2008 oraz art. 69 rozporządzenia (UE) 2018/1240, eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych w ramach wspólnego repozytorium danych umożliwiających identyfikację zgodnie z ust. 2, 3 i 4 niniejszego artykułu.

2.   eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych zgodnie z art. 20 w ramach wspólnego repozytorium danych umożliwiających identyfikację. Rejestry te obejmują:

3.   eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych zgodnie z art. 21 w ramach wspólnego repozytorium danych umożliwiających identyfikację. Rejestry te obejmują:

4.   eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych zgodnie z art. 22 w ramach wspólnego repozytorium danych umożliwiających identyfikację. Rejestry te obejmują:

Rejestry dostępu podlegają regularnej weryfikacji przez właściwy organ nadzorczy zgodnie z art. 41 dyrektywy (UE) 2016/680 lub przez Europejskiego Inspektora Ochrony Danych zgodnie z art. 43 rozporządzenia (UE) 2016/794, w odstępach czasowych nieprzekraczających sześciu miesięcy, w celu sprawdzenia, czy procedury i warunki określone w art. 22 ust. 1 i 2 niniejszego rozporządzenia zostały spełnione.

5.   Każde państwo członkowskie prowadzi rejestry zapytań dokonywanych przez jego organy i personel tych organów należycie upoważniony do korzystania z europejskiego portalu wyszukiwania na mocy art. 20, 21 i 22. Każda agencja unijna prowadzi rejestr zapytań dokonywanych przez jej należycie upoważniony personel na mocy art. 21 i 22.

Ponadto w przypadku każdego dostępu do wspólnego repozytorium danych umożliwiających identyfikację na mocy art. 22 każde państwo członkowskie prowadzi następujące rejestry:

6.   Zgodnie z rozporządzeniem (UE) 2016/794 w przypadku dostępu do wspólnego repozytorium danych umożliwiających identyfikację zgodnie z art. 22 niniejszego rozporządzenia Europol prowadzi rejestry niepowtarzalnego identyfikatora użytkownika należącego do urzędnika, który dokonał zapytania, i do urzędnika, który je zlecił.

7.   Rejestry, o których mowa w ust. 2-6, można wykorzystywać wyłącznie w celu monitorowania ochrony danych, w tym sprawdzania dopuszczalności zapytania i zgodności przetwarzania danych z prawem, oraz w celu zapewniania bezpieczeństwa i integralności danych. Rejestry te są chronione za pomocą odpowiednich środków przed nieuprawnionym dostępem i usuwane rok po utworzeniu. Jeżeli jednak są one konieczne do prowadzenia już rozpoczętych procedur monitorowania, są one usuwane, gdy tylko przestają być konieczne do celu tych procedur.

8.   eu-LISA przechowuje rejestry dotyczące historii danych w aktach osobowych. eu-LISA automatycznie usuwa takie rejestry po usunięciu tych danych.

1.   Detektor wielokrotnych tożsamości, tworzący i przechowujący pliki potwierdzające tożsamość, o którym mowa w art. 34, zawierające powiązania między danymi zgromadzonymi w systemach informacyjnych UE, w tym we wspólnym repozytorium danych umożliwiających identyfikację i SIS oraz umożliwiające wykrywanie wielokrotnych tożsamości, co służy podwójnemu celowi ułatwienia kontroli tożsamości i zwalczania oszustw dotyczących tożsamości, ustanawia się po to, aby wspierać funkcjonowanie wspólnego repozytorium danych umożliwiających identyfikację i realizację celów systemów EES, VIS, ETIAS, Eurodac, SIS i ECRIS-TCN.

2.   Detektor wielokrotnych tożsamości składa się z:

3.   Detektor wielokrotnych tożsamości opracowuje eu-LISA, która zarządza nim też od strony technicznej.

1.   W celu ręcznej weryfikacji różniących się tożsamości, o której mowa w art. 29, dostęp do danych określonych w art. 34 przechowywanych w detektorze wielokrotnych tożsamości mają:

2.   Organy państw członkowskich i agencje UE mające dostęp do co najmniej jednego systemu informacyjnego UE objętego wspólnym repozytorium danych umożliwiających identyfikację lub do SIS mają dostęp do danych, o których mowa w art. 34 lit. a) i b), w odniesieniu do powiązań czerwonych, o których mowa w art. 32.

3.   Organy państw członkowskich i agencje Unii mają dostęp do powiązań białych, o których mowa w art. 33, jeżeli mają dostęp do dwóch systemów informacyjnych UE zawierających dane, między którymi zostało utworzone powiązanie białe.

4.   Organy państw członkowskich i agencje Unii mają dostęp do powiązań zielonych, o których mowa w art. 31, jeżeli mają dostęp do dwóch systemów informacyjnych UE zawierających dane, między którymi zostało utworzone powiązanie zielone, a zapytanie dokonane w tych systemach informacyjnych ujawniło dopasowanie z dwoma zestawami powiązanych ze sobą danych.

1.   Proces wykrywania wielokrotnych tożsamości we wspólnym repozytorium danych umożliwiających identyfikację i SIS należy uruchomić w następujących sytuacjach:

2.   Jeśli dane zawarte w systemie informacyjnym UE, o którym mowa w ust. 1, zawierają dane biometryczne, wspólne repozytorium danych umożliwiających identyfikację i system centralny SIS korzystają ze wspólnego systemu porównywania danych biometrycznych w celu wykrycia wielokrotnych tożsamości. Wspólny system porównywania danych biometrycznych porównuje wzorce biometryczne pochodzące z nowych danych biometrycznych z wzorcami biometrycznymi już znajdującymi się we wspólnym systemie porównywania danych biometrycznych, aby sprawdzić, czy dane należące do tej samej osoby już znajdują się we wspólnym repozytorium danych umożliwiających identyfikację i w systemie centralnym SIS.

3.   Obok procesu, o którym mowa w ust. 2, wspólne repozytorium danych umożliwiających identyfikację i system centralny SIS korzystają z europejskiego portalu wyszukiwania, aby przeszukiwać dane przechowywane odpowiednio w systemie centralnym SIS i we wspólnym repozytorium danych umożliwiających identyfikację, posługując się następującymi danymi:

4.   Obok procesu, o którym mowa w ust. 2 i 3, wspólne repozytorium danych umożliwiających identyfikację i system centralny SIS korzystają z europejskiego portalu wyszukiwania, aby przeszukiwać dane przechowywane odpowiednio w systemie centralnym SIS i we wspólnym repozytorium danych umożliwiających identyfikację, posługując się danymi dokumentu podróży.

5.   Wykrywanie wielokrotnych tożsamości należy przeprowadzić wyłącznie w celu porównania danych dostępnych w jednym systemie informacyjnym UE z danymi dostępnymi w pozostałych systemach.

1.   Jeśli zapytania, o których mowa w art. 27 ust. 2, 3 i 4, nie wykażą żadnego dopasowania, procedury, o których mowa w art. 27 ust. 1, są prowadzone dalej zgodnie z regulującymi je aktami prawymi.

2.   Jeśli zapytanie, o którym mowa w art. 27 ust. 2, 3 i 4, wykaże jedno lub kilka dopasowań, we wspólnym repozytorium danych umożliwiających identyfikację oraz, w stosownych przypadkach, w SIS tworzone jest powiązanie między danymi użytymi w zapytaniu a danymi, które doprowadziły do wystąpienia dopasowania.

W wypadku wystąpienia kilku dopasowań tworzone jest powiązanie między wszystkimi danymi, które doprowadziły do wystąpienia dopasowania. Jeśli dane te już uprzednio były powiązane, istniejące powiązanie należy rozszerzyć o dane użyte w zapytaniu.

3.   Jeśli zapytanie, o którym mowa w art. 27 ust. 2, 3 i 4, wykaże jedno lub kilka dopasowań, a dane dotyczące tożsamości zawarte w powiązanych ze sobą aktach indywidualnych są tożsame lub zbliżone, tworzone jest powiązanie białe zgodnie z art. 33.

4.   Jeśli zapytanie, o którym mowa w art. 27 ust. 2, 3 i 4, wykaże jedno lub kilka dopasowań, a danych dotyczących tożsamości zawartych w powiązanych ze sobą aktach indywidualnych nie można uznać za zbliżone, tworzy się powiązanie żółte zgodnie z art. 30; obowiązuje wówczas procedura, o której mowa w art. 29.

5.   Komisja przyjmuje zgodnie z art. 73 akty delegowane ustanawiające procedury ustalania przypadków, w których dane dotyczące tożsamości można uznać za tożsame lub zbliżone.

6.   Powiązania te są zapisywane w plikach potwierdzających tożsamość, o których mowa w art. 34.

7.   Komisja, we współpracy z eu-LISA, określa za pomocą aktów wykonawczych zasady techniczne tworzenia powiązań między danymi z różnych systemów informacyjnych UE. Akty te przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 74 ust. 2.

1.   Bez uszczerbku dla ust. 2, organem odpowiedzialnym za ręczną weryfikację różniących się tożsamości jest:

Detektor wielokrotnych tożsamości wskazuje organ odpowiedzialny za ręczną weryfikację różniących się tożsamości w pliku potwierdzającym tożsamość.

2.   Organem odpowiedzialnym za ręczną weryfikację różniących się tożsamości w pliku potwierdzającym tożsamość jest biuro Sirene państwa członkowskiego, które stworzyło wpis, jeśli utworzono powiązanie do danych zawartych we wpisie:

3.   Bez uszczerbku dla ust. 4 niniejszego artykułu, organ odpowiedzialny za ręczną weryfikację różniących się tożsamości ma dostęp do powiązanych ze sobą danych zawartych w odpowiednich plikach potwierdzających tożsamość i w danych dotyczących tożsamości powiązanych we wspólnym repozytorium danych umożliwiających identyfikację oraz, w stosownych przypadkach, w SIS. Ocenia on niezwłocznie różniące się tożsamości. Po dokonaniu takiej oceny aktualizuje on powiązanie zgodnie z art. 31, 32 i 33, a także niezwłocznie dodaje je do pliku potwierdzającego tożsamość.

4.   Jeśli organem odpowiedzialnym za ręczną weryfikację różniących tożsamości w pliku potwierdzającym tożsamość jest właściwy organ wyznaczony zgodnie z art. 9 ust. 2 rozporządzenia (UE) 2017/2226, który tworzy lub aktualizuje akta osobowe w EES zgodnie z art. 14 tego rozporządzenia, a także w razie utworzenia powiązania żółtego, organ ten przeprowadza dodatkowe weryfikacje. Organ ten ma jedynie w tym celu dostęp do powiązanych danych dotyczących tożsamości zawartych w odpowiednim pliku potwierdzającym tożsamość. Analizuje on różne tożsamości, aktualizuje powiązanie zgodnie z art. 31, 32 i 33 niniejszego rozporządzenia i niezwłocznie dodaje je do pliku potwierdzającego tożsamość.

Taką ręczną weryfikację różniących się tożsamości rozpoczyna się w obecności zainteresowanej osoby, której zapewnia się możliwość wyjaśnienia okoliczności organowi odpowiedzialnemu, który bierze te wyjaśnienia pod uwagę.

W przypadkach, w których ręczna weryfikacja różniących się tożsamości ma miejsce na granicy, odbywa się ona, w miarę możliwości, w ciągu 12 godzin od utworzenia powiązania żółtego zgodnie z art. 28 ust. 4.

5.   W razie utworzenia więcej niż jednego powiązania organ odpowiedzialny za ręczną weryfikację różniących się tożsamości ocenia każde powiązanie oddzielnie.

6.   Jeśli dane prowadzące do wystąpienia dopasowania już uprzednio były ze sobą powiązane, organ odpowiedzialny za ręczną weryfikację różniących się tożsamości uwzględnia istniejące powiązania podczas oceny, czy należy utworzyć nowe powiązania.

1.   Jeżeli nie przeprowadzono jeszcze ręcznej weryfikacji różniących się tożsamości, powiązanie między danymi z dwóch lub większej liczby systemów informacyjnych UE klasyfikuje się jako powiązanie żółte w każdym z poniższych przypadków:

2.   W razie sklasyfikowania powiązania jako żółtego zgodnie z ust. 1 obowiązuje procedura opisana w art. 29.

1.   Powiązanie między danymi zawartymi w dwóch lub większej liczbie systemów informacyjnych UE klasyfikuje się jako zielone, jeśli:

2.   Jeśli po przeszukaniu wspólnego repozytorium danych umożliwiających identyfikację lub SIS stwierdzone zostanie istnienie powiązania zielonego między danymi w dwóch systemach informacyjnych UE, detektor wielokrotnych tożsamości wskazuje, że dane dotyczące tożsamości stanowiące część powiązanych ze sobą danych nie należą do tej samej osoby.

3.   W przypadku gdy organ państwa członkowskiego posiada dowody sugerujące, że powiązanie zielone zostało niepoprawnie zapisane w detektorze wielokrotnych tożsamości, że powiązanie zielone jest nieaktualne lub że dane zostały przetworzone w detektorze wielokrotnych tożsamości lub systemach informacyjnych UE z naruszeniem niniejszego rozporządzenia, organ ten sprawdza odpowiednie dane przechowywane we wspólnym repozytorium danych umożliwiających identyfikację i w SIS, a w razie konieczności niezwłocznie koryguje lub usuwa powiązanie z detektora wielokrotnych tożsamości. Organ państwa członkowskiego niezwłocznie informuje o tym państwo członkowskie odpowiedzialne za ręczną weryfikację różniących się tożsamości.

1.   Powiązanie między danymi z dwóch lub większej liczby systemów informacyjnych UE klasyfikuje się jako powiązanie czerwone w każdym z poniższych przypadków:

2.   Jeśli w wyniku przeszukania wspólnego repozytorium danych umożliwiających identyfikację lub SIS stwierdzona zostanie obecność powiązania czerwonego między danymi w dwóch lub większej liczbie systemów informacyjnych UE, detektor wielokrotnych tożsamości wskazuje dane, o których mowa w art. 34. Działania następcze w związku z wystąpieniem powiązania czerwonego są prowadzone zgodnie z przepisami prawa Unii i prawa krajowego, przy czym konsekwencje prawne dla danej osoby opierają się jedynie na odpowiednich danych dotyczących tej osoby. Skutki prawne dla danej osoby nie mogą wynikać z samego zaistnienia powiązania czerwonego.

3.   W razie utworzenia powiązania czerwonego między danymi z systemów EES, VIS, ETIAS, Eurodac lub ECRIS-TCN, akta osobowe przechowywane we wspólnym repozytorium danych umożliwiających identyfikację są aktualizowane zgodnie z art. 19 ust. 2.

4.   Bez uszczerbku dla przepisów dotyczących rozpatrywania wpisów w SIS zawartych w rozporządzeniach (UE) 2018/1860, (UE) 2018/1861 i (UE) 2018/1862, oraz bez uszczerbku dla ograniczeń koniecznych do ochrony bezpieczeństwa i porządku publicznego, zapobiegania przestępstwom i zagwarantowania, aby żadne prowadzone krajowe postępowanie przygotowawcze nie było zagrożone, w razie utworzenia powiązania czerwonego organ odpowiedzialny za ręczną weryfikację różniących się tożsamości powiadamia osobę, której to dotyczy, o stwierdzeniu obecności niezgodnych z prawem różnych danych dotyczących tożsamości, a także przekazuje tej osobie pojedynczy numer identyfikacyjny, o którym mowa w art 34 lit. c) niniejszego rozporządzenia, odniesienie do organu odpowiedzialnego za ręczną weryfikację różniących się tożsamości, o którym mowa w art. 34 lit. d), oraz adres strony internetowej utworzonej zgodnie z art. 49 niniejszego rozporządzenia.

5.   Informacje, o których mowa w ust. 4, są przekazywane na piśmie przy pomocy standardowego formularza przez organ odpowiedzialny za ręczną weryfikację różniących się tożsamości. Komisja określa treść formularza i jego format w drodze aktów wykonawczych. Akty te przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 74 ust. 2.

6.   W razie utworzenia powiązania czerwonego detektor wielokrotnych tożsamości automatycznie powiadamia o tym organy odpowiedzialne za powiązane ze sobą dane.

7.   W przypadku gdy organ państwa członkowskiego lub agencja unijna, które mają dostęp do wspólnego repozytorium danych umożliwiających identyfikację lub SIS, posiada dowody wykazujące, że powiązanie czerwone zostało nieprawidłowo zarejestrowane w detektorze wielokrotnych tożsamości lub że dane były przetwarzane w detektorze wielokrotnych tożsamości, wspólnym repozytorium danych umożliwiających identyfikację lub w SIS z naruszeniem niniejszego rozporządzenia, ten organ lub ta agencja sprawdzają odpowiednie dane przechowywane we wspólnym repozytorium danych i SIS oraz:

Jeżeli biuro SIRENE zostaje poinformowane zgodnie z akapitem pierwszym lit. a) weryfikuje ono dowody dostarczone przez organ państwa członkowskiego lub agencję unijną, a następnie w odpowiednim przypadku niezwłocznie poprawia lub usuwa powiązanie z detektora wielokrotnych tożsamości;

Organ państwa członkowskiego, który uzyskał dowody, niezwłocznie informuje organ państwa członkowskiego odpowiedzialny za ręczną weryfikację różniących się tożsamości o stosownej korekcie lub usunięciu powiązania czerwonego.

1.   Powiązanie między danymi z dwóch lub większej liczby systemów informacyjnych UE klasyfikuje się jako powiązanie białe w każdym z poniższych przypadków:

2.   Jeśli po przeszukaniu wspólnego repozytorium danych umożliwiających identyfikację lub SIS stwierdzone zostanie istnienie powiązania białego między danymi w co najmniej dwóch systemach informacyjnych UE, detektor wielokrotnych tożsamości wskazuje, że dane dotyczące tożsamości należą do tej samej osoby. Wynikiem przeszukiwania systemów informacyjnych UE jest odpowiedź, która w stosownych przypadkach wskazuje wszystkie powiązane ze sobą dane dotyczące danej osoby, co powoduje powstanie dopasowania w stosunku do danych objętych powiązaniem białym, jeśli organ, który dokonał zapytania, ma dostęp do tych powiązanych ze sobą danych na mocy przepisów prawa Unii lub prawa krajowego.

3.   W razie utworzenia powiązania czerwonego między danymi z systemów EES, VIS, ETIAS, Eurodac lub ECRIS-TCN, akta osobowe przechowywane we wspólnym repozytorium danych umożliwiających identyfikację są aktualizowane zgodnie z art. 19 ust. 2.

4.   Bez uszczerbku dla przepisów związanych z rozpatrywaniem wpisów w SIS zawartych w rozporządzeniach (UE) 2018/1860, (UE) 2018/1861 i (UE) 2018/1862, oraz bez uszczerbku dla ograniczeń koniecznych do ochrony bezpieczeństwa i porządku publicznego, zapobiegania przestępstwom i zagwarantowania, aby żadne prowadzone krajowe postępowanie przygotowawcze nie było zagrożone, w razie utworzenia powiązania białego w wyniku ręcznej weryfikacji różniących się tożsamości, organ odpowiedzialny za ręczną weryfikację różniących się tożsamości powiadamia osobę, której to dotyczy, o stwierdzeniu zbliżonych lub różnych danych dotyczących tożsamości oraz przekazuje tej osobie pojedynczy numer identyfikacyjny, o którym mowa w art 34 lit. c) niniejszego rozporządzenia, odniesienie do organu odpowiedzialnego za ręczną weryfikację różniących się tożsamości, o którym mowa w art. 34 lit. d) niniejszego rozporządzenia, oraz adres strony internetowej utworzonej zgodnie z art. 49 niniejszego rozporządzenia.

5.   W przypadku gdy organ państwa członkowskiego posiada dowody wskazujące, że powiązanie białe zostało niepoprawnie zarejestrowane w detektorze wielokrotnych tożsamości, że powiązanie białe jest nieaktualne lub że dane zostały przetworzone w detektorze wielokrotnych tożsamości lub w systemach informacyjnych UE z naruszeniem niniejszego rozporządzenia, organ ten sprawdza odpowiednie dane przechowywane we wspólnym repozytorium danych umożliwiających identyfikację i w SIS, i w razie konieczności niezwłocznie koryguje lub usuwa powiązanie detektora wielokrotnych tożsamości. Ten organ państwa członkowskiego niezwłocznie informuje o tym państwo członkowskie odpowiedzialne za ręczną weryfikację różniących się tożsamości.

6.   Informacje, o których mowa w ust. 4, są przekazywane na piśmie przy pomocy standardowego formularza przez organ odpowiedzialny za ręczną weryfikację różniących się tożsamości. Komisja określa treść formularza i jego format w drodze aktów wykonawczych. Akty te przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 74 ust. 2.

1.   eu-LISA prowadzi rejestry dotyczące wszystkich operacji przetwarzania danych w detektorze wielokrotnych tożsamości. Rejestry te obejmują:

2.   Każde państwo członkowskie prowadzi rejestry zapytań dokonywanych przez jego organy i personel tych organów należycie upoważniony do korzystania z detektora wielokrotnych tożsamości. Każda agencja unijna prowadzi rejestry zapytań dokonywanych przez jej należycie upoważniony personel.

3.   Rejestry, o których mowa w ust. 1 i 2, można wykorzystywać wyłącznie w celu monitorowania ochrony danych, w tym sprawdzania dopuszczalności zapytania i zgodności przetwarzania danych z prawem, oraz w celu zapewniania bezpieczeństwa i integralności danych. Rejestry te są chronione przed nieuprawnionym dostępem za pomocą odpowiednich środków i usuwane rok po utworzeniu. Jeżeli jednak są one konieczne do prowadzenia już rozpoczętych procedur monitorowania, są one usuwane, gdy tylko przestają być konieczne do celu tych procedur.

1.   Bez uszczerbku dla obowiązków państw członkowskich w odniesieniu do jakości danych wprowadzonych do systemów eu-LISA ustanawia automatyczne mechanizmy kontroli jakości danych i procedury dotyczące danych przechowywanych w systemach EES, VIS, ETIAS, SIS, wspólnym systemie porównywania danych biometrycznych i wspólnym repozytorium danych umożliwiających identyfikację.

2.   eu-LISA wdraża mechanizmy oceny dokładności wspólnego systemu porównywania danych biometrycznych, wspólne wskaźniki jakości danych i minimalne normy jakości przechowywania danych w systemach EES, VIS, ETIAS, SIS, wspólnym systemie porównywania danych biometrycznych i wspólnym repozytorium danych umożliwiających identyfikację.

Tylko dane spełniające minimalne normy jakości mogą być wprowadzane do systemów EES, VIS, ETIAS, SIS, wspólnego systemu porównywania danych biometrycznych, wspólnego repozytorium danych umożliwiających identyfikację i detektora wielokrotnych tożsamości.

3.   eu-LISA regularnie przedstawia państwom członkowskim sprawozdania z mechanizmów i procedur automatycznej kontroli jakości danych oraz wspólnych wskaźników jakości danych. eu-LISA regularnie przedstawia też Komisji sprawozdania ze zidentyfikowanych problemów i tego, których państw członkowskich dotyczą. eu-LISA przedstawia to sprawozdanie na żądanie także Parlamentowi Europejskiemu i Radzie. Żadne sprawozdania, o których mowa w niniejszym ustępie, nie zawierają danych osobowych.

4.   Szczegóły tych mechanizmów i procedur automatycznej kontroli jakości danych, wspólnych wskaźników jakości danych oraz minimalnych norm jakości przechowywania danych w systemach EES, VIS, ETIAS, SIS, wspólnym systemie porównywania danych biometrycznych i wspólnym repozytorium danych umożliwiających identyfikację, zwłaszcza w odniesieniu do danych biometrycznych, określają akty wykonawcze. Akty te przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 74 ust. 2.

5.   Jeden rok po ustanowieniu mechanizmów i procedur automatycznej kontroli jakości danych, wspólnych wskaźników jakości danych i minimalnych standardów jakości danych oraz co roku od tej daty Komisja ocenia wdrożenie jakości danych w państwach członkowskich i sporządza odpowiednie zalecenia. Państwa członkowskie przedstawiają Komisji plan działania mający na celu rozwiązanie problemów zidentyfikowanych w sprawozdaniu oceniającym, a w szczególności kwestii jakości danych wynikających z błędnych danych w systemach informacyjnych UE. Państwa członkowskie regularnie składają Komisji sprawozdania z postępów w realizacji tego planu działania do czasu jego pełnego wdrożenia.

Komisja przekazuje powyższe sprawozdanie oceniające Parlamentowi Europejskiemu, Radzie, Europejskiemu Inspektorowi Danych Osobowych, Europejskiej Radzie Ochrony Danych i Agencji Praw Podstawowych Unii Europejskiej ustanowionej na mocy rozporządzenia Rady (WE) nr 168/2007 (39).

1.   Niniejszym ustanawia się uniwersalny format wiadomości (UMF). Uniwersalny format wiadomości określa standardy dla niektórych elementów treści transgranicznej wymiany informacji między systemami informacyjnymi, organami lub organizacjami działającymi w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych.

2.   Standard UMF jest stosowany przy opracowywaniu systemów EES, ETIAS, europejskiego portalu wyszukiwania, wspólnego repozytorium danych umożliwiających identyfikację, detektora wielokrotnych tożsamości, jeśli to możliwe, oraz, w stosownych przypadkach, przy opracowywaniu przez eu-LISA lub inną agencję Unii nowych modeli wymiany informacji i systemów informacyjnych w dziedzinie wymiaru sprawiedliwości i spraw wewnętrznych.

3.   Komisja przyjmuje akt wykonawczy, aby określić i rozwijać standard UMF, o którym mowa w ust. 1 niniejszego ustępu. Akty te przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 74 ust. 2.

1.   Centralne repozytorium sprawozdawczo-statystyczne ustanawia się, aby wspierać realizację celów systemów EES, VIS, ETIAS i SIS zgodnie z odpowiednimi aktami prawnymi regulującymi te systemy oraz zapewniać międzysystemowe dane statystyczne i sprawozdania analityczne służące strategiom politycznym, celom operacyjnym i związanym z jakością danych.

2.   eu-LISA ustanawia, wdraża i obsługuje centralne repozytorium sprawozdawczo-statystyczne w swoich centrach technicznych zawierających dane i statystyki, o których mowa w art. 63 rozporządzenia (UE) 2017/2226, art. 17 rozporządzenia (WE) nr 767/2008, art. 84 rozporządzenia (UE) 2018/1240, art. 60 rozporządzenia (UE) 2018/1861 oraz art. 16 rozporządzenia (UE) 2018/1860, logicznie oddzielone według systemu informacyjnego UE. Dostęp do centralnego repozytorium sprawozdawczo-statystycznego w postaci kontrolowanego, bezpiecznego dostępu i określonych profili użytkowników przyznaje się – wyłącznie w celach sprawozdawczo-statystycznych – organom, o których mowa w art. 63 rozporządzenia (UE) 2017/2226, art. 17 rozporządzenia (WE) nr 767/2008, art. 84 rozporządzenia (UE) 2018/1240 i art. 60 rozporządzenia (UE) 2018/1861.

3.   eu-LISA poddaje dane anonimizacji i rejestruje takie zanonimizowane dane w repozytorium. Proces anonimizacji danych odbywa się automatycznie.

Dane zawarte w centralnym repozytorium sprawozdawczo-statystycznym nie umożliwiają identyfikacji osób fizycznych.

4.   Centralne repozytorium sprawozdawczo-statystyczne składa się z:

5.   Komisja przyjmuje zgodnie z art. 73 akt delegowany określający szczegółowe zasady działania centralnego repozytorium sprawozdawczo-statystycznego, w tym szczegółowe zabezpieczenia dotyczące przetwarzania danych osobowych na mocy ust. 2 i 3 niniejszego artykułu, oraz zasady bezpieczeństwa obowiązujące w stosunku do repozytorium.

1.   W stosunku do przetwarzania danych za pośrednictwem wspólnego systemu porównywania danych biometrycznych organy państw członkowskich będące administratorami danych w odniesieniu do, odpowiednio, systemów EES, VIS i SIS są administratorami zgodnie z art.4 pkt 7 rozporządzenia (UE) 2016/679 lub art. 3 pkt 8 dyrektywy (UE) 2016/680 w stosunku do wzorców biometrycznych uzyskanych na podstawie danych, o których mowa w art.13 niniejszego rozporządzenia, które wprowadzają do odpowiednich systemów, oraz odpowiadają za przetwarzanie wzorców biometrycznych we wspólnym systemie porównywania danych biometrycznych.

2.   W stosunku do przetwarzania danych za pośrednictwem wspólnego repozytorium danych umożliwiających identyfikację organy państw członkowskich będące administratorami danych w odniesieniu do, odpowiednio, systemów EES, VIS i ETIAS są administratorami zgodnie z art. 4 pkt 7 rozporządzenia (UE) 2016/679 w stosunku do danych, o których mowa w art. 18 niniejszego rozporządzenia, które wprowadzają do odpowiednich systemów, oraz odpowiadają za przetwarzanie danych osobowych we wspólnym repozytorium danych umożliwiających identyfikację.

3.   W stosunku do przetwarzania danych za pośrednictwem detektora wielokrotnych tożsamości:

4.   Na potrzeby monitorowania ochrony danych, w tym sprawdzania dopuszczalności zapytania oraz zgodności przetwarzania danych z prawem, administratorzy danych mają dostęp do rejestrów, o których mowa w art. 10, 16, 24 i 36, w celu monitorowania własnej działalności, o którym mowa w art. 44.

1.   eu-LISA, jednostka centralna ETIAS, Europol i organy państw członkowskich zapewniają bezpieczeństwo przetwarzania danych osobowych odbywającego się na mocy niniejszego rozporządzenia. eu-LISA, jednostka centralna ETIAS, Europol i organy państw członkowskich współpracują w zakresie realizacji zadań związanych z bezpieczeństwem.

2.   Bez uszczerbku dla art. 33 rozporządzenia (UE) 2018/1725 eu-LISA podejmuje konieczne środki, aby zapewnić bezpieczeństwo elementów interoperacyjności i związanej z nimi infrastruktury łączności.

3.   W szczególności eu-LISA przyjmuje konieczne środki, w tym plan bezpieczeństwa, plan ciągłości działania i plan przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej, w celach:

4.   Państwa członkowskie, Europol i jednostka centralna ETIAS podejmują środki równoważne tym, o których mowa w ust. 3, w zakresie bezpieczeństwa w odniesieniu do przetwarzania danych osobowych przez organy mające prawo dostępu do któregoś z elementów interoperacyjności.

1.   Zdarzenie, które ma lub może mieć wpływ na bezpieczeństwo elementów interoperacyjności i może spowodować uszkodzenie lub utratę przechowywanych w nich danych, uznaje się za incydent bezpieczeństwa, w szczególności gdy mogło dojść do nieuprawnionego dostępu do danych lub gdy zostały lub mogły zostać naruszone dostępność, integralność i poufność danych.

2.   Incydentami bezpieczeństwa zarządza się w sposób zapewniający szybkie, skuteczne i właściwe reagowanie.

3.   Niezależnie od zgłaszania i zawiadamiania w odniesieniu do naruszenia ochrony danych osobowych zgodnie z art. 33 rozporządzenia (UE) 2016/679 lub art. 30 dyrektywy (UE) 2016/680 lub obu z nich państwa członkowskie niezwłocznie powiadamiają o incydentach bezpieczeństwa Komisję, eu-LISA, właściwe organy nadzorcze i Europejskiego Inspektora Ochrony Danych.

Bez uszczerbku dla art. 34 i 35 rozporządzenia (UE) 2018/1725 i art. 34 rozporządzenia (UE) 2016/794 jednostka centralna ETIAS i Europol niezwłocznie powiadamiają o incydentach bezpieczeństwa Komisję, eu-LISA i Europejskiego Inspektora Ochrony Danych.

W przypadku incydentu bezpieczeństwa związanego z infrastrukturą elementów interoperacyjności eu-LISA niezwłocznie powiadamia Komisję i Europejskiego Inspektora Ochrony Danych.

4.   Informacja o incydencie bezpieczeństwa, który ma lub może mieć wpływ na funkcjonowanie elementów interoperacyjności lub na dostępność, integralność i poufność danych, zostaje niezwłocznie przekazana państwom członkowskim, jednostce centralnej ETIAS oraz Europolowi i zgłoszona zgodnie z zapewnionym przez eu-LISA planem zarządzania na wypadek incydentów bezpieczeństwa.

5.   W przypadku incydentu bezpieczeństwa zainteresowane państwa członkowskie, jednostka centralna ETIAS, Europol i eu-LISA współpracują ze sobą. Komisja określa specyfikację tej procedury współpracy za pomocą aktów wykonawczych. Akty te przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 74 ust. 2.

1.   Bez uszczerbku dla prawa do odszkodowania od administratora lub podmiotu przetwarzającego i odpowiedzialności tych podmiotów na mocy rozporządzenia (UE) 2016/679, dyrektywy (UE) 2016/680 i rozporządzenia (WE) 2018/1725:

Dane państwo członkowskie, Europol, Europejska Agencja Straży Granicznej i Przybrzeżnej lub eu-Lisa są zwolnione z odpowiedzialności na mocy akapitu pierwszego, w całości lub w części, jeżeli udowodnią, że nie ponoszą odpowiedzialności za zdarzenie, które spowodowało szkodę.

2.   Jeżeli niewypełnienie przez państwo członkowskie obowiązków spoczywających na nim zgodnie z niniejszym rozporządzeniem spowoduje wyrządzenie szkody elementom interoperacyjności, wówczas państwo to ponosi odpowiedzialność za tę szkodę, chyba że – i w zakresie, w jakim – eu-LISA lub inne państwo członkowskie związane niniejszym rozporządzeniem nie podjęły uzasadnionych środków zapobiegających wystąpieniu takiej szkody lub ograniczających jej skutki.

3.   Roszczenia odszkodowawcze wobec państwa członkowskiego za szkody, o których mowa w ust. 1 i 2, są regulowane prawem krajowym pozwanego państwa członkowskiego. Roszczenia odszkodowawcze wnoszone przeciwko administratorowi lub eu-LISA z tytułu szkody, o której mowa w ust. 1 i 2, podlegają warunkom przewidzianym z Traktatach.

1.   Organ gromadzący dane osobowe, które mają być przechowywane we wspólnym systemie porównywania danych biometrycznych, we wspólnym repozytorium danych umożliwiających identyfikację lub w detektorze wielokrotnych tożsamości, przekazuje osobom, których dane są gromadzone, informacje wymagane zgodnie z art. 13 i 14 rozporządzenia (UE) 2016/679, art. 12 i 13 dyrektywy (UE) 2016/680 oraz art. 15 i 16 rozporządzenia (UE) 2018/1725. Organ ten przekazuje informacje w momencie pobierania takich danych.

2.   Wszystkie informacje są udostępniane, przy użyciu jasnego i prostego języka, w wersji językowej, którą dana osoba rozumie lub co do której można zasadnie oczekiwać, że jest dla niej zrozumiała. Obejmuje to przekazywanie informacji w sposób odpowiedni dla wieku w przypadku osób małoletnich, których dotyczą dane.

3.   Osoby, których dane są przechowywane w systemach EES, VIS lub ETIAS, informuje się o przetwarzaniu ich danych osobowych w celach związanych z niniejszym rozporządzeniem zgodnie z ust. 1 w następujących sytuacjach:

1.   W celu wykonywania swoich praw na mocy art. 15-8 rozporządzenia (UE) 2016/679, art. 17- 20 rozporządzenia (UE) 2018/1725 oraz art. 14, 15 i 16 dyrektywy (UE) 2016/680 każda osoba ma prawo zwrócić się do właściwego organu dowolnego państwa członkowskiego, a organ ten bada jej wniosek i odpowiada na niego.

2.   Państwo członkowskie, które rozpatruje taki wniosek, udziela odpowiedzi bez zbędnej zwłoki, a w każdym razie w ciągu 45 dni od otrzymania wniosku. W razie potrzeby termin ten można przedłużyć o kolejnych 15 dni z uwagi na skomplikowany charakter wniosku lub liczbę wniosków. Państwo członkowskie, które rozpatruje taki wniosek, w ciągu 45 dni od otrzymania wniosku informuje osobę, której dane dotyczą, o takim przedłużeniu terminu z podaniem przyczyn opóźnienia. Państwa członkowskie mogą zdecydować, że odpowiedzi te mają być przekazywane przez jednostki centralne.

3.   Jeżeli wniosek o sprostowanie lub usunięcie danych osobowych skierowano do państwa członkowskiego innego niż państwo członkowskie odpowiedzialne za ręczną weryfikację różniących się tożsamości, wówczas państwo członkowskie, do którego skierowano wniosek, w ciągu siedmiu dni kontaktuje się z organami państwa członkowskiego odpowiedzialnymi za ręczną weryfikację różniących się tożsamości. Państwo członkowskie odpowiedzialne za ręczną weryfikację różniących się tożsamości sprawdza poprawność danych i zgodność ich przetwarzania z prawem bez zbędnej zwłoki, a w każdym razie w ciągu 30 dni od nawiązania takiego kontaktu. W razie potrzeby termin ten można przedłużyć o kolejnych 15 dni z uwagi na skomplikowany charakter wniosku lub liczbę wniosków. Państwo członkowskie odpowiedzialne za ręczną weryfikację różniących się tożsamości informuje państwo członkowskie, które skontaktowało się z nim o wszelkich takich przedłużeniach terminu podając powody opóźnienia. Państwo członkowskie, które skontaktowało się z organem państwa członkowskiego odpowiedzialnym za ręczną weryfikację różniących się tożsamości, informuje zainteresowaną osobę o dalszej procedurze.

4.   Jeżeli wniosek o sprostowanie lub usunięcie danych osobowych skierowano do państwa członkowskiego, w przypadku gdy za ręczną weryfikację różniących się tożsamości odpowiadała jednostka centralna ETIAS, wówczas państwo członkowskie, do którego skierowano wniosek, zwraca się w ciągu siedmiu dni do jednostki centralnej ETIAS o wydanie opinii bez zbędnej zwłoki, a w każdym razie w ciągu 30 dni od takiego kontaktu. W razie potrzeby termin ten można przedłużyć o kolejnych 15 dni z uwagi na skomplikowany charakter wniosku lub liczbę wniosków. Państwo członkowskie, które skontaktowało się z jednostką centralną ETIAS, powiadamia zainteresowaną osobę o dalszej procedurze.

5.   W przypadku stwierdzenia, że dane zarejestrowane w detektorze wielokrotnych tożsamości są nieprawidłowe lub zostały zarejestrowane niezgodnie z prawem, państwo członkowskie odpowiedzialne za ręczną weryfikację różniących się tożsamości lub, w przypadkach gdy nie było państwa członkowskiego odpowiedzialnego za weryfikację ręczną lub gdy za ręczną weryfikację różniących się tożsamości odpowiadała jednostka centralna ETIAS, państwo członkowskie, do którego skierowano wniosek, koryguje lub usuwa te dane bez zbędnej zwłoki. Osoba zainteresowana jest informowana na piśmie o tym, że jej dane zostały poprawione lub usunięte.

6.   W przypadku gdy państwo członkowskie sprostuje dane przechowywane w detektorze wielokrotnych tożsamości w okresie ich przechowywania, państwo to dokonuje przetwarzania określonego w art. 27 oraz, w stosownych przypadkach, w art. 29, aby ustalić, czy zmienione dane mają być ze sobą powiązane. Jeśli przetwarzanie nie doprowadzi do żadnego dopasowania, dane państwo członkowskie usuwa dane z pliku potwierdzającego tożsamość. Jeśli przetwarzanie automatyczne doprowadzi do wystąpienia jednego dopasowania lub kilku dopasowań, dane państwo członkowskie tworzy lub aktualizuje powiązanie między danymi zgodnie z odpowiednimi przepisami niniejszego rozporządzenia.

7.   Jeżeli państwo członkowskie odpowiedzialne za ręczną weryfikację różniących się tożsamości lub, w stosownych przypadkach, państwo członkowskie, do którego skierowano wniosek, nie zgadza się z argumentem, że dane zarejestrowane w detektorze wielokrotnych tożsamości są nieprawidłowe lub że zostały zarejestrowane niezgodnie z prawem, wówczas to państwo członkowskie wydaje decyzję administracyjną, w której niezwłocznie wyjaśnia na piśmie osobie zainteresowanej, dlaczego nie jest gotowe sprostować lub usunąć dotyczących jej danych osobowych.

8.   Decyzja, o której mowa w ust. 7, zawiera też informacje dla osoby zainteresowanej wyjaśniające możliwość odwołania się od decyzji podjętej w odniesieniu do wniosku o dostęp do danych osobowych, sprostowanie lub usunięcie danych osobowych lub ograniczenie ich przetwarzania, a w stosownych przypadkach informacje dotyczące sposobu wniesienia sprawy lub skargi do właściwych organów lub sądów oraz informacje dotyczące pomocy, w tym ze strony organów nadzorczych.

9.   Wnioski o dostęp do danych osobowych, sprostowanie lub usunięcie danych osobowych lub ograniczenie ich przetwarzania zawierają informacje niezbędne do zidentyfikowania osoby zainteresowanej. Informacje te wykorzystuje się wyłącznie w celu zapewnienia możliwości wykonywania praw, o których mowa w niniejszym artykule, po czym natychmiast się je usuwa.

10.   Państwo członkowskie odpowiedzialne za ręczną weryfikację różniących się tożsamości lub, w stosownych przypadkach, państwo członkowskie, do którego skierowano wniosek, prowadzi pisemny rejestr złożonych wniosków o udostępnienie, sprostowanie lub usunięcie danych osobowych lub ograniczenie ich przetwarzania, oraz sposób jego rozpatrzenia, a następnie niezwłocznie udostępniają ten rejestr organom nadzorczym.

11.   Niniejszy artykuł pozostaje bez uszczerbku dla ograniczeń praw określonych w niniejszym artykule na mocy rozporządzenia (UE) 2016/679 i dyrektywy (UE) 2016/680.

1.   Portal internetowy tworzy się w celu ułatwienia korzystania z praw dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania.

2.   Portal internetowy zawiera informacje na temat praw i procedur, o których mowa w art. 47 i 48, oraz interfejs użytkownika umożliwiający osobom, których dane są przetwarzane w detektorze wielokrotnych tożsamości i które zostały poinformowane o wykazaniu połączenia czerwonego zgodnie z art. 32 ust. 4, uzyskanie danych kontaktowych właściwego organu państwa członkowskiego odpowiedzialnego za ręczną weryfikację różniących się tożsamości.

3.   W celu uzyskania danych kontaktowych właściwego organu państwa członkowskiego odpowiedzialnego za ręczną weryfikację różniących się tożsamości osoba, której dane są przetwarzane w detektorze wielokrotnych tożsamości, powinna wprowadzić odniesienie do organu odpowiedzialnego za ręczną weryfikację różniących się tożsamości, o których mowa w art. 34 lit. d). Portal internetowy wykorzystuje to odniesienie do wyszukania danych kontaktowych właściwego organu państwa członkowskiego odpowiedzialnego za ręczną weryfikację różniących się tożsamości. Portal internetowy zawiera także wzór wiadomości elektronicznej w celu ułatwienia komunikacji między użytkownikiem portalu a właściwym organem państwa członkowskiego odpowiedzialnym za ręczną weryfikację różniących się tożsamości. Taka wiadomość elektroniczna zawiera pole dla pojedynczego numeru identyfikacyjnego, o którym mowa w art. 34 lit. c), aby umożliwić właściwemu organowi państwa członkowskiego odpowiedzialnego za ręczną weryfikację różniących się tożsamości identyfikację określonych danych.

4.   Państwa członkowskie przekazują eu-LISA dane kontaktowe wszystkich organów, które są właściwe do rozpatrywania i odpowiadania na wnioski, o których mowa w art. 47 i 48, oraz dokonują regularnych przeglądów w celu ustalenia, czy te dane kontaktowe są aktualne.

5.   eu-LISA rozwija portal internetowy i zarządza nim od strony technicznej.

6.   Komisja przyjmuje akt delegowany zgodnie z art. 73 w celu określenia szczegółowych przepisów dotyczących funkcjonowania portalu internetowego, w tym interfejsu użytkownika, języków, w których portal internetowy jest dostępny, oraz wzoru wiadomości elektronicznej.

1.   Każde państwo członkowskie zapewnia, by organy nadzorcze monitorowały w sposób niezależny, czy przetwarzanie danych osobowych na mocy niniejszego rozporządzenia przez dane państwo członkowskie – w tym przekazywanie takich danych do i z elementów interoperacyjności – jest zgodne z prawem.

2.   Każde państwo członkowskie zapewnia stosowanie krajowych przepisów ustawowych, wykonawczych i administracyjnych przyjętych na mocy dyrektywy (UE) 2016/680 również, w stosownych przypadkach, w kwestiach związanych z dostępem do elementów interoperacyjności przez organy policji i wyznaczone organy, w tym w odniesieniu do praw osób, których danych dostęp ten dotyczy.

3.   Organy nadzorcze zapewniają przeprowadzenie co najmniej raz na cztery lata kontroli operacji przetwarzania danych przez właściwe organy krajowe w celach związanych z niniejszym rozporządzeniem zgodnie z odpowiednimi międzynarodowymi standardami kontroli.

Organy nadzorcze publikują co roku informacje na temat liczby wniosków o sprostowanie, usunięcie lub ograniczenie przetwarzania danych, działań podjętych w odpowiedzi na wnioski i liczby sprostowań, usunięć i ograniczeń przetwarzania dokonanych w odpowiedzi na wnioski zainteresowanych osób.

4.   Państwa członkowskie zapewniają, aby ich organy nadzorcze dysponowały zasobami i wiedzą fachową wystarczającymi do wykonania zadań powierzonych im na podstawie niniejszego rozporządzenia.

5.   Państwa członkowskie dostarczają informacji żądanych przez organy nadzorcze, o których mowa w art. 51 ust. 1 rozporządzenia (UE) 2016/679, a w szczególności przekazują im informacje o działaniach podejmowanych zgodnie ze swoimi obowiązkami na mocy niniejszego rozporządzenia. Państwa członkowskie udzielają organom nadzorczym, o których mowa w art. 51 ust. 1 rozporządzenia (UE) 2016/679, dostępu do swoich rejestrów, o których mowa w art. 10, 16, 24 i 36 niniejszego rozporządzenia, i do uzasadnień, o których mowa w art. 22 ust. 2 niniejszego rozporządzenia, oraz umożliwiają im uzyskanie w dowolnym momencie dostępu do wszystkich pomieszczeń wykorzystywanych do celów interoperacyjności.

1.   Organy nadzorcze i Europejski Inspektor Ochrony Danych – działając z poszanowaniem zakresu swoich kompetencji – współpracują ze sobą aktywnie w ramach przysługujących im uprawnień i zapewniają skoordynowany nadzór nad korzystaniem z elementów interoperacyjności i stosowaniem innych przepisów niniejszego rozporządzenia, zwłaszcza jeżeli Europejski Inspektor Ochrony Danych lub organ nadzorczy stwierdzą poważne rozbieżności między praktykami państw członkowskich lub potencjalnie niezgodne z prawem przekazywanie danych przy wykorzystaniu kanałów komunikacyjnych elementów interoperacyjności.

2.   W przypadkach, o których mowa w ust. 1 niniejszego rozporządzenia, zapewnia się skoordynowany nadzór zgodnie z art. 62 rozporządzenia (UE) 2018/1725.

3.   Dwa lata po wejściu w życie niniejszego rozporządzenia, a następnie co dwa lata Europejska Rada Ochrony Danych przesyła wspólne sprawozdanie ze swojej działalności na podstawie niniejszego artykułu Parlamentowi Europejskiemu, Radzie, Komisji, Europolowi, Europejskiej Agencji Straży Granicznej i Przybrzeżnej oraz eu-LISA do dnia 12 czerwca 2021 r. W sprawozdaniu tym każdemu państwu członkowskiemu poświęcony jest osobny rozdział przygotowany przez organ nadzorczy danego państwa członkowskiego.

1.   eu-LISA zapewnia zgodne z niniejszym rozporządzeniem użytkowanie centralnej infrastruktury elementów interoperacyjności.

2.   Elementy interoperacyjności są obsługiwane przez eu-LISA w jej obiektach technicznych i zapewniają funkcje określone w niniejszym rozporządzeniu zgodnie z warunkami bezpieczeństwa, dostępności, jakości i wydajności, o których mowa w art. 55 ust. 1.

3.   eu-LISA odpowiada za tworzenie elementów interoperacyjności i adaptacje konieczne do ustanowienia interoperacyjności między systemami centralnymi EES, VIS, ETIAS, SIS, Eurodac i ECRIS-TCN a europejskim portalem wyszukiwania, wspólnym systemem porównywania danych biometrycznych, wspólnym repozytorium danych umożliwiających identyfikację, detektorem wielokrotnych tożsamości i centralnym repozytorium sprawozdawczo-statystycznym.

Bez uszczerbku dla art. 66 eu-Lisa nie ma dostępu do danych osobowych przetwarzanych za pośrednictwem europejskiego portalu wyszukiwania, wspólnego systemu porównywania danych biometrycznych, wspólnego repozytorium danych umożliwiających identyfikację ani detektora wielokrotnych tożsamości.

eu-LISA określa architekturę fizyczną elementów interoperacyjności, w tym ich infrastrukturę komunikacyjną i specyfikacje techniczne oraz ich rozwój, jeśli chodzi o infrastrukturę centralną i infrastrukturę bezpiecznej komunikacji, które zarząd przyjmuje po uzyskaniu przychylnej opinii Komisji. eu-LISA wprowadza też konieczne adaptacje do systemów EES, VIS, ETIAS lub SIS wynikające z ustanowienia interoperacyjności i określone w niniejszym rozporządzeniu.

eu-LISA tworzy i wdraża elementy interoperacyjności tak szybko, jak to tylko możliwe, po wejściu w życie niniejszego rozporządzenia i przyjęciu przez Komisję środków, o których mowa w art. 8 ust. 2, art. 9 ust. 7, art. 28 ust. 5 i 7, art. 37 ust. 4, art. 38 ust. 3, art. 39 ust. 5, art. 43 ust. 5 i art. 78 ust. 10.

Opracowywanie tych elementów obejmuje stworzenie i wdrożenie specyfikacji technicznych, przeprowadzenie testów oraz ogólną koordynację projektu i zarządzanie nim.

4.   W fazie projektowania i opracowywania powołuje się Komisję ds. Zarządzania Programem składającą się maksymalnie z 10 członków. Składa się ona z siedmiu członków wyznaczonych przez zarząd eu-LISA spośród jego członków lub ich zastępców, przewodniczącego grupy doradczej ds. interoperacyjności, o której mowa w art. 75, członka reprezentującego eu-LISA wyznaczonego przez jej dyrektora wykonawczego i jednego członka wyznaczonego przez Komisję. Członków wyznaczanych przez zarząd eu-LISA wybiera się jedynie spośród tych państw członkowskich, które są w pełni związane na mocy prawa Unii aktami prawnymi regulującymi opracowywanie, tworzenie, funkcjonowanie i użytkowanie wszystkich wielkoskalowych systemów informatycznych UE oraz które będą uczestniczyć w elementach interoperacyjności.

5.   Komisja ds. Zarządzania Programem spotyka się regularnie, co najmniej trzy razy na kwartał. Zapewnia ona odpowiednie zarządzanie fazą projektowania i rozwoju elementów interoperacyjności.

W każdym miesiącu Komisja ds. Zarządzania Programem przedkłada zarządowi eu-LISA pisemne sprawozdania z postępów w realizacji projektu. Komisji ds. Zarządzania Programem nie przysługują uprawnienia w zakresie podejmowania decyzji ani reprezentowania członków zarządu eu-LISA.

6.   Zarząd eu-LISA ustanawia regulamin wewnętrzny Komisji ds. Zarządzania Programem, który obejmuje w szczególności zasady dotyczące:

Komisji ds. Zarządzania Programem przewodniczy państwo członkowskie, które jest w pełni związane na mocy prawa Unii aktami prawnymi regulującymi opracowywanie, rozwój, funkcjonowanie i użytkowanie wszystkich systemów informacyjnych UE i które będzie uczestniczyć w elementach interoperacyjności.

eu-Lisa zwraca wszystkie koszty podróży i utrzymania poniesione przez członków Komisji ds. Zarządzania Programem, przy czym zastosowanie ma odpowiednio art. 10 regulaminu wewnętrznego eu-LISA. eu-LISA zapewnia prowadzenie sekretariatu Komisji ds. Zarządzania Programem.

Grupa doradcza ds. interoperacyjności, o której mowa w art. 75, spotyka się regularnie do czasu rozpoczęcia funkcjonowania elementów interoperacyjności. Po każdym posiedzeniu grupa doradcza przedkłada sprawozdanie Komisji ds. Zarządzania Programem. Grupa doradcza zapewnia wiedzę techniczną w celu wsparcia Komisji ds. Zarządzania Programem w realizacji jej zadań oraz śledzi stan przygotowania państw członkowskich.

1.   Po rozpoczęciu funkcjonowania każdego z elementów interoperacyjności eu-LISA odpowiada za zarządzanie techniczne infrastrukturą centralną elementów interoperacyjności, w tym za ich obsługę techniczną i zmiany techniczne. We współpracy z państwami członkowskimi zapewnia ona stosowanie najlepszej dostępnej technologii, z uwzględnieniem analizy kosztów i korzyści. eu-LISA odpowiada też za zarządzanie techniczne infrastrukturą komunikacyjną, o której mowa w art. 6, 12, 17, 25 i 39.

Zarządzanie techniczne elementami interoperacyjności obejmuje wszystkie zadania i rozwiązania techniczne niezbędne do zapewnienia funkcjonowania elementów interoperacyjności i zapewniające nieprzerwane usługi państwom członkowskim i agencjom unijnym przez 24 godziny, 7 dni w tygodniu, zgodnie z niniejszym rozporządzeniem. Obejmuje ono w szczególności prace konserwacyjne i zmiany techniczne konieczne do zapewnienia zadowalającego poziomu jakości technicznej funkcjonowania systemu, zwłaszcza jeśli chodzi o czas odpowiedzi podczas wyszukiwania w infrastrukturze centralnej, zgodnie ze specyfikacją techniczną.

Wszystkie elementy interoperacyjności należy opracować i zarządzać nimi w taki sposób, by zapewnić szybki, sprawny, efektywny i kontrolowany dostęp oraz pełną, nieprzerwaną dostępność elementów i danych zarejestrowanych w detektorze wielokrotnych tożsamości, przechowywanych we wspólnym systemie porównywania danych biometrycznych i wspólnym repozytorium danych umożliwiających identyfikację, oraz czas odpowiedzi zgodny z potrzebami operacyjnymi organów państwa członkowskiego i agencji unijnych.

2.   Bez uszczerbku dla art. 17 regulaminu pracowniczego urzędników Unii Europejskiej, eu-LISA stosuje właściwe przepisy dotyczące tajemnicy zawodowej lub inne równoważne obowiązki zachowania poufności do swoich pracowników zobowiązanych do pracy z danymi przechowywanymi w elementach interoperacyjności. Zobowiązania te stosuje się także po odejściu takiego personelu z urzędu lub z pracy lub po zakończeniu przez niego działalności.

Bez uszczerbku dla art. 66, eu-Lisa nie ma dostępu do danych osobowych przetwarzanych za pośrednictwem europejskiego portalu wyszukiwania, wspólnego systemu porównywania danych biometrycznych, wspólnego repozytorium danych umożliwiających identyfikację ani detektora wielokrotnych tożsamości.

3.   eu-LISA tworzy i aktualizuje mechanizm i procedury przeprowadzania kontroli jakości danych przechowywanych we wspólnym systemie porównywania danych biometrycznych i wspólnym repozytorium danych umożliwiających identyfikację zgodnie z art. 37.

4.   eu-LISA wypełnia też zadania związane z zapewnianiem szkoleń z zakresu technicznego użytkowania elementów interoperacyjności.

1.   Każde państwo członkowskie odpowiada za:

2.   Każde państwo członkowskie podłącza swoje wyznaczone organy do wspólnego repozytorium danych umożliwiających identyfikację.

1.   Odpowiednio upoważniony personel właściwych organów państw członkowskich, Komisji i eu-LISA ma możliwość dokonywania sprawdzeń następujących danych związanych z europejskim portalem wyszukiwania, wyłącznie do celów sporządzania sprawozdań i statystyk:

W oparciu o dane nie może być możliwa identyfikacja poszczególnych osób.

2.   Odpowiednio upoważniony personel właściwych organów państw członkowskich, Komisji, eu-LISA i jednostki centralnej ETIAS ma możliwość dokonywania sprawdzeń następujących danych związanych ze wspólnym repozytorium danych umożliwiających identyfikację, wyłącznie do celów sporządzania sprawozdań i statystyk:

W oparciu o dane nie może być możliwa identyfikacja poszczególnych osób.

3.   Odpowiednio upoważniony personel właściwych organów państw członkowskich, Komisji, eu-LISA i jednostki centralnej ETIAS ma możliwość dokonywania sprawdzeń następujących danych związanych z detektorem wielokrotnych tożsamości, wyłącznie do celów sporządzania sprawozdań i statystyk:

W oparciu o dane nie może być możliwa identyfikacja poszczególnych osób.

4.   Odpowiednio upoważniony personel Europejskiej Agencji Straży Granicznej i Przybrzeżnej ma możliwość dokonywania sprawdzeń danych, o których mowa w ust. 1, 2 i 3 niniejszego artykułu, na potrzeby przeprowadzania analiz ryzyka i ocen narażenia, o których mowa w art. 11 i 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/1624 (40).

5.   Odpowiednio upoważniony personel Europolu ma dostęp możliwość dokonywania sprawdzeń danych, o których mowa w ust. 2 i 3 niniejszego artykułu, na potrzeby przeprowadzania analiz strategicznych, tematycznych i operacyjnych, o których mowa w art. 18 ust. 2 lit. b) i c) rozporządzenia (UE) 2016/794.

6.   Do celów ust. 1, 2 i 3 eu-LISA przechowuje dane, o których mowa w tych ustępach, w centralnym repozytorium sprawozdań i statystyk. W oparciu o dane zawarte w tym repozytorium nie może być możliwa identyfikacja poszczególnych osób, ale dane te pozwalają organom wymienionym w ust. 1, 2 i 3 na uzyskanie sprofilowanych sprawozdań i statystyk w celach zwiększenia efektywności odpraw granicznych, wsparcia organów w rozpatrywaniu wniosków wizowych oraz wsparcia kształtowania unijnej polityki w zakresie migracji i bezpieczeństwa w Unii w oparciu o dowody.

7.   Komisja udostępnia Agencji Praw Podstawowych Unii Europejskiej, na wniosek, istotne informacje do celów oceny wpływu niniejszego rozporządzenia na prawa podstawowe.

1.   W okresie dwóch lat od daty rozpoczęcia funkcjonowania europejskiego portalu wyszukiwania obowiązki, o których mowa w art. 7 ust. 2 i 4, nie obowiązują, a korzystanie z europejskiego portalu wyszukiwania pozostaje opcjonalne.

2.   Komisja jest uprawniona do przyjęcia aktu delegowanego zgodnie z art. 73 w celu zmiany niniejszego rozporządzenia poprzez jednorazowe przedłużenie okresu, o którym mowa w ust. 1 niniejszego artykułu, o nie dłużej niż jeden rok, jeżeli ocena wdrażania europejskiego portalu wyszukiwania wykazała, że takie przedłużenie jest konieczne, w szczególności ze względu na wpływ, jaki miałoby wprowadzenie europejskiego portalu wyszukiwania na organizację i czas trwania kontroli granicznej.

1.   Przez okres jednego roku od wystosowania przez eu-LISA powiadomienia o zakończeniu testu detektora wielokrotnych tożsamości, o którym mowa w art. 72 ust. 1 lit. b), i przed rozpoczęciem jego funkcjonowania, jednostka centralna ETIAS odpowiada za wykrywanie wielokrotnych tożsamości przy pomocy danych przechowywanych w systemach EES, VIS, Eurodac i SIS. Operacje wykrywania wielokrotnych tożsamości są przeprowadzane przy użyciu wyłącznie danych biometrycznych.

2.   Jeśli zapytanie wykaże jedno lub kilka dopasowań, a dane dotyczące tożsamości zawarte w powiązanych ze sobą aktach osobowych są tożsame lub zbliżone, ustanawia się powiązanie białe zgodnie z art. 33.

Jeśli zapytanie wykaże jedno lub kilka dopasowań, a danych dotyczących tożsamości zawartych w powiązanych ze sobą aktach osobowych nie można uznać za zbliżone, ustanawia się powiązanie żółte zgodnie z art. 30; obowiązuje wówczas procedura, o której mowa w art. 29.

W wypadku wystąpienia kilku dopasowań, tworzone jest powiązanie między wszystkimi elementami danych, które doprowadziły do ich wystąpienia.

3.   W razie utworzenia powiązania żółtego detektor wielokrotnych tożsamości udostępnia jednostce centralnej ETIAS dane dotyczące tożsamości obecne w różnych systemach informacyjnych UE.

4.   W razie utworzenia powiązania do wpisu w SIS innego niż wpis dokonany na mocy art. 3 rozporządzenia (UE) 2018/1860, art. 24 i 25 rozporządzenia (UE) 2018/1861 lub art. 38 rozporządzenia (UE) 2018/1862, detektor wielokrotnych tożsamości udostępnia dostęp do danych dotyczących tożsamości obecnych w różnych systemach informacyjnych biuru SIRENE państwa członkowskiego, które dokonało wpisu.

5.   Jednostka centralna ETIAS lub w przypadkach, o których mowa w ust. 4 niniejszego artykułu, biuro Sirene państwa członkowskiego, które dokonało wpisu, mają dostęp do danych zawartych w pliku potwierdzającym tożsamość i analizują różne tożsamości, a także aktualizują powiązanie zgodnie z art. 31, 32 i 33 oraz dodają je do pliku potwierdzającego tożsamość.

6.   Jednostka centralna ETIAS powiadamia Komisję zgodnie z art. 71 ust. 3 dopiero po ręcznym zweryfikowaniu wszystkich powiązań żółtych i zaktualizowaniu ich statusu na powiązania zielone, białe lub czerwone.

7.   Państwa członkowskie w razie potrzeby pomagają jednostce centralnej ETIAS w wykrywaniu wielokrotnych tożsamości na mocy niniejszego artykułu.

8.   Komisja jest uprawniona do przyjęcia aktu delegowanego zgodnie z art. 73 w celu zmiany niniejszego rozporządzenia poprzez przedłużenie o sześć miesięcy okresu, o którym mowa w ust. 1 niniejszego artykułu, z możliwością dwukrotnego przedłużenia go za każdym razem o sześć miesięcy. Przedłużenie takie przyznaje się wyłącznie w przypadku, gdy ocena przewidywanego czasu na ukończenie wykrywania multiplikacji tożsamości na mocy niniejszego artykułu wskazuje, że wykrywanie wielokrotnych tożsamości nie może zostać ukończone przed upływem pozostałego terminu na podstawie ust. 1 niniejszego artykułu lub przed upływem trwającego przedłużenia, z powodów niezależnych od jednostki centralnej ETIAS oraz że nie można zastosować działań naprawczych. Ocena zostaje przeprowadzona nie później niż trzy miesiące przed upływem takiego terminu lub trwającego przedłużenia.

1.   Koszty poniesione w związku z ustanowieniem i funkcjonowaniem europejskiego portalu wyszukiwania, wspólnego systemu porównywania danych biometrycznych, wspólnego repozytorium danych umożliwiających identyfikację i detektora wielokrotnych tożsamości są pokrywane z budżetu ogólnego Unii.

2.   Koszty poniesione w związku z integracją istniejącej krajowej infrastruktury oraz jej połączeniem z jednolitymi interfejsami krajowymi, a także w związku z obsługą jednolitych interfejsów krajowych są pokrywane z budżetu ogólnego Unii.

Wyłącza się następujące koszty:

3.   Bez uszczerbku dla dalszego finansowania w tym celu z innych źródeł budżetu ogólnego Unii Europejskiej, kwota 32 077 000 EUR zostaje uruchomiona z puli 791 000 000 EUR przewidzianej na mocy art. 5 ust. 5 lit. b) rozporządzenia (UE) nr 515/2014 na pokrycie kosztów wdrożenia niniejszego rozporządzenia, jak przewidziano w ust. 1 i 2 niniejszego artykułu.

4.   Z puli środków, o której mowa w ust. 3, kwota 22 861 000 EUR zostaje przydzielona eu-LISA, kwota 9 072 000 EUR Europolowi, a kwota 144 000 EUR Agencji Unii Europejskiej ds. Szkolenia w Dziedzinie Ścigania (CEPOL), aby wesprzeć te agencje w wykonywaniu ich odpowiednich zadań na mocy niniejszego rozporządzenia. Tego rodzaju finansowanie wdraża się w ramach zarządzania pośredniego.

5.   Koszty poniesione przez wyznaczone organy są pokrywane, odpowiednio, przez wyznaczające państwa członkowskie. Koszty podłączenia każdego wyznaczonego organu do wspólnego repozytorium danych umożliwiających identyfikację ponoszą poszczególne państwa członkowskie.

Koszty poniesione przez Europol, w tym koszty podłączenia do wspólnego repozytorium danych umożliwiających identyfikację, ponosi Europol.

1.   Państwa członkowskie powiadamiają eu-LISA o organach, o których mowa w art. 7, 20, 21 i 26, które mogą korzystać z europejskiego portalu wyszukiwania, wspólnego repozytorium danych umożliwiających identyfikację i detektora wielokrotnych tożsamości oraz uzyskiwać do nich dostęp.

Skonsolidowany wykaz tych organów jest publikowany w Dzienniku Urzędowym Unii Europejskiej w terminie trzech miesięcy od daty uruchomienia poszczególnych elementów interoperacyjności zgodnie z art. 72. W przypadku zmian w wykazie eu-LISA raz w roku publikuje zaktualizowany skonsolidowany wykaz.

2.   eu-LISA informuje Komisję o pomyślnym zakończeniu testu, o którym mowa w art. 72 ust. 1 lit. b), ust. 2 lit. b), ust. 3 lit. b), ust. 4 lit. b), ust. 5 lit. b) i ust. 6 lit. b).

3.   Jednostka centralna ETIAS powiadamia Komisję o zakończeniu z powodzeniem okresu przejściowego, o którym mowa w art. 69.

4.   Komisja udostępnia informacje zgłoszone zgodnie z ust. 1 państwom członkowskim i podaje je do ogólnej wiadomości za pośrednictwem stale aktualizowanej ogólnodostępnej strony internetowej.

1.   Komisja określa datę planowanego uruchomienia europejskiego portalu wyszukiwania w drodze aktów wykonawczych po tym, jeżeli spełnione zostaną następujące warunki:

Europejski portal wyszukiwania przeszukuje bazy danych Interpolu dopiero wówczas, gdy rozwiązania techniczne umożliwiają spełnienie wymogów art. 9 ust. 5. W wyniku niemożności spełnienia tego wymogu europejski portal wyszukiwania nie przeszukuje baz danych Interpolu, lecz nie powinien opóźniać rozpoczęcia funkcjonowania europejskiego portalu wyszukiwania.

Komisja wyznacza termin, o którym mowa w akapicie pierwszym, na jeden z dni w ciągu 30 dni od przyjęcia aktu wykonawczego.

2.   Komisja decyduje o dacie planowanego uruchomienia wspólnego systemu porównywania danych biometrycznych po tym, jak spełnione zostaną następujące warunki:

Komisja wyznacza termin, o którym mowa w akapicie pierwszym, na jeden z dni w ciągu 30 dni od przyjęcia aktu wykonawczego.

3.   Komisja decyduje o dacie planowanego uruchomienia wspólnego repozytorium danych umożliwiających identyfikację po tym, jak spełnione zostaną następujące warunki: