EUROPEISKA KOMMISSIONEN

Bryssel den 8.12.2021

COM(2021) 784 final

2021/0410(COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om automatiskt utbyte av uppgifter för polissamarbete (”Prüm II”) och om ändring av rådets beslut 2008/615/RIF och 2008/616/RIF samt Europaparlamentets och rådets förordningar (EU) 2018/1726, 2019/817 och 2019/818

{SEC(2021) 421 final} - {SWD(2021) 378 final} - {SWD(2021) 379 final}

MOTIVERING

BAKGRUND TILL FÖRSLAGET

•Skäl till förslaget

•Målen med förslaget

Det allmänna målet med detta förslag följer av det fördragsenliga målet att bidra till Europeiska unionens inre säkerhet. Åtgärderna för att uppnå detta omfattar insamling, lagring, behandling, analys och utbyte av relevant information 9 . Det allmänna målet med detta instrument är således att förbättra, rationalisera och underlätta utbytet av information för att förebygga, upptäcka och utreda terroristbrott och andra brott mellan medlemsstaternas brottsbekämpande myndigheter, men även med Europol i dess egenskap av EU:s knutpunkt för information om brottslighet.

De specifika politiska målen med detta förslag är följande:

(a)Tillhandahålla en teknisk lösning för ett effektivt automatiskt utbyte av uppgifter mellan de brottsbekämpande myndigheterna så att de får kännedom om relevanta uppgifter som finns tillgängliga i en annan medlemsstats nationella databas.

(b)Säkerställa att fler relevanta uppgifter (i fråga om uppgiftskategorier) från nationella databaser i andra medlemsstater finns tillgängliga för alla behöriga brottsbekämpande myndigheter.

(c)Säkerställa att relevanta uppgifter (i fråga om uppgiftskällor) från Europols databaser finns tillgängliga för de brottsbekämpande myndigheterna.

(d)Ge de brottsbekämpande myndigheterna effektiv tillgång till de faktiska uppgifter som motsvarar en ”träff” i en annan medlemsstats nationella databas.

•Förenlighet med befintliga bestämmelser inom området

2.RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

•Subsidiaritetsprincipen

Medlemsstaterna kan inte i tillräcklig utsträckning förbättra informationsutbytet mellan polisen och de andra brottsbekämpande myndigheterna i EU på egen hand, eftersom brottsbekämpningen och säkerhetsarbetet har en gränsöverskridande karaktär. Medlemsstaterna måste kunna hjälpa varandra i dessa frågor.

Genom flera genomförandeprojekt på EU-nivå 14 har medlemsstaterna försökt vidta åtgärder för att hantera bristerna i den nuvarande Prümramen 15 . Trots alla dessa åtgärder kvarstår många av de brister som beskrevs i 2012 års rapport om genomförandet av Prümbesluten 16 . Detta visar att insatser på EU-nivå behövs, eftersom de åtgärder som genomförts av medlemsstaterna på egen hand inte har varit tillräckliga för att undanröja begränsningarna i den nuvarande Prümramen.

Gemensamma regler, normer och krav på EU-nivå underlättar dessutom utbytena av information och säkerställer förenligheten mellan olika nationella system. Detta gör i sin tur att vissa av arbetsflödena inom informationsutbytet kan automatiseras så att tjänstemännen inom brottsbekämpningen slipper vissa betungande manuella arbetsuppgifter.

•Proportionalitetsprincipen

Som förklaras i detalj i den konsekvensbedömning som åtföljer detta förslag till förordning anses de politiska val som görs i detta förslag vara proportionerliga. Detta beror på att de inte går utöver vad som är nödvändigt för att uppnå de fastställda målen.

•Val av instrument

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Efterhandsutvärderingar av befintlig lagstiftning

• Samråd med berörda parter

•Konsekvensbedömning

(1)För att uppfylla målet att tillhandahålla en teknisk lösning för ett effektivt automatiskt utbyte av uppgifter bör en hybridlösning mellan ett decentraliserat och ett centraliserat tillvägagångssätt utan datalagring på central nivå tillämpas.

(2)För att uppfylla målet att säkerställa att mer relevanta uppgifter (i fråga om uppgiftskategorier) finns tillgängliga för de brottsbekämpande myndigheterna bör ett utbyte av ansiktsbilder och uppgifter ur polisregister införas.

(3)För att uppfylla målet att säkerställa att relevanta uppgifter från Europols databaser finns tillgängliga för de brottsbekämpande myndigheterna bör medlemsstaterna automatiskt kunna kontrollera biometriska uppgifter från tredjeland som innehas av Europol som en del av Prümramen. Europol bör även kunna kontrollera uppgifter från tredjeland mot medlemsstaternas nationella databaser.

(4)För att uppfylla målet att tillhandahålla effektiv tillgång till de faktiska uppgifter som motsvarar en ”träff” i en annan medlemsstats nationella databas eller hos Europol bör uppföljningsprocessen regleras på EU-nivå med ett delvis automatiskt utbyte av de faktiska uppgifter som motsvarar en ”träff”.

•Grundläggande rättigheter

•Skydd av personuppgifter

(1)Den ska vara föreskriven i lag.

(2)Den ska vara förenlig med det väsentliga innehållet i rättigheterna.

(3)Den ska faktiskt svara mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

(4)Den ska vara nödvändig.

(5)Den ska vara proportionerlig.

Genom detta förslag införlivas alla dessa dataskyddsregler, vilket beskrivs i detalj i den konsekvensbedömning som åtföljer detta förslag till förordning. Förslaget bygger på principerna om inbyggt dataskydd och dataskydd som standard. Det innehåller alla lämpliga bestämmelser varigenom behandlingen av uppgifter begränsas till vad som är nödvändigt för det särskilda ändamålet, och åtkomst till uppgifterna beviljas endast till de som verkligen har ett behov av att känna till dem. Åtkomsten till uppgifter är uteslutande förbehållen vederbörligen bemyndigad personal vid medlemsstaternas myndigheter eller EU-organ som är behöriga för den reviderade Prümramens särskilda ändamål och begränsad till den utsträckning i vilken uppgifterna behövs för att utföra uppgifter i enlighet med dessa ändamål.

Vid offentliggörandet av den rapport om bedömningen av vilken verkan medlemsstaterna gett till [rådets rekommendation om operativt polissamarbete] som avses i punkt 9 d i den rekommendationen kommer kommissionen att besluta huruvida det finns behov av EU-lagstiftning om gränsöverskridande operativt polissamarbete. Om det finns behov av sådan lagstiftning kommer kommissionen att utarbeta ett lagstiftningsförslag om gränsöverskridande operativt polissamarbete, vilket även kommer att säkerställa anpassningen till direktiv 2016/680 av de bestämmelser i beslut 2008/615/RIF och beslut 2008/616/RIF som inte omfattades av detta förslag, i linje med resultaten av den bedömning som avses i artikel 62.6 i direktiv 2016/680. Om det inte finns något behov av EU-lagstiftning om gränsöverskridande operativt polissamarbete kommer kommissionen att utarbeta ett lagstiftningsförslag för att säkerställa samma anpassning, i linje med resultaten av den bedömning som avses i artikel 62.6 i direktiv 2016/680.

4.BUDGETKONSEKVENSER

Detta lagstiftningsinitiativ skulle påverka eu-Lisas och Europols budget- och personalbehov.

För eu-Lisa skulle uppskattningsvis en tilläggsbudget på omkring 16 miljoner euro och omkring 10 ytterligare tjänster behövas under hela den fleråriga budgetramperioden för att säkerställa att eu-Lisa har de resurser som behövs för att verkställa de uppgifter som tilldelas byrån i detta förslag till förordning. Den budget som tilldelas eu-Lisa kommer att avräknas mot instrumentet för ekonomiskt stöd för gränsförvaltning och visering.

För Europol skulle uppskattningsvis en tilläggsbudget på omkring 7 miljoner euro och omkring 5 ytterligare tjänster behövas under hela den fleråriga budgetramperioden för att säkerställa att Europol har de resurser som behövs för att verkställa de uppgifter som tilldelas byrån i detta förslag till förordning. Den budget som tilldelas Europol kommer att avräknas mot Fonden för inre säkerhet.

5.ÖVRIGA INSLAG

•Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering

•Ingående redogörelse för de specifika bestämmelserna i förslaget

I kapitel 1 fastställs de allmänna bestämmelserna för denna förordning tillsammans med dess innehåll, syfte och tillämpningsområde. Kapitlet innehåller en förteckning över definitioner och ett klargörande av att behandlingen av personuppgifter vid tillämpning av denna förordning ska respektera principen om icke-diskriminering och andra grundläggande rättigheter.

I kapitel 2 fastställs bestämmelser om utbytet av de kategorier av uppgifter som omfattas av denna förordning, dvs. utbytet av DNA-profiler, fingeravtrycksuppgifter, uppgifter ur fordonsregister, ansiktsbilder och uppgifter ur polisregister. Principerna för utbytet, den automatiska sökningen av uppgifter och reglerna för begäranden och svar beskrivs i ett separat avsnitt för varje kategori av uppgifter. Kapitel 2 innehåller även gemensamma bestämmelser om utbytet av uppgifter, inrättandet av nationella kontaktpunkter och genomförandeåtgärder.

I kapitel 3 fastställs detaljerade bestämmelser för den nya (tekniska) arkitekturen för utbytet av uppgifter. Det första avsnittet av detta kapitel innehåller bestämmelser som beskriver den centrala routern, användningen av routern och inledandet av sökningar. Genomförandeakter kommer att behövas för att specificera de tekniska förfarandena för dessa sökningar. Detta avsnitt innehåller även bestämmelser om interoperabiliteten mellan routern och den gemensamma databasen för identitetsuppgifter för att säkerställa åtkomsten för brottsbekämpning, loggningen av behandlingen av uppgifter i routern, kvalitetskontrollen och underrättelseförfarandet om det är tekniskt omöjligt att använda routern. I ett andra avsnitt beskrivs användningen av det europeiska polisregisterindexet (Epris) för utbyte av uppgifter ur polisregister. Detta avsnitt omfattar även bestämmelser om registerföringen av loggar över behandling av uppgifter i Epris och underrättelseförfarandet om det är tekniskt omöjligt att använda Epris.

I kapitel 4 fastställs processerna för utbytet av uppgifter efter en överensstämmelse. Det omfattar en bestämmelse om det automatiska utbytet av grundläggande uppgifter, som innebär att uppgifterna begränsas till vad som är nödvändigt för att kunna identifiera den berörda personen, och en bestämmelse om utbyten av uppgifter i olika delar av processen enligt denna förordning vilka inte uttryckligen beskrivs i förordningen.

Kapitel 5 innehåller bestämmelser om medlemsstaternas åtkomst till biometriska uppgifter från tredjeland som lagras av Europol och om Europols åtkomst till uppgifter som lagras i medlemsstaternas databaser.

Kapitel 6 om dataskydd innehåller bestämmelser för att säkerställa att uppgifter inom ramen för denna förordning behandlas på ett lagligt och lämpligt sätt i linje med bestämmelserna i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF 27 . I kapitlet förklaras vem som är personuppgiftsbiträde i samband med behandlingen av uppgifter i enlighet med denna förordning. I kapitlet anges vilka åtgärder som krävs av eu-Lisa och medlemsstaternas myndigheter för att säkerställa säkerheten vid behandling av uppgifter, den lämpliga hanteringen av säkerhetsincidenter och övervakningen av efterlevnaden av åtgärderna i denna förordning. Kapitlet innehåller även bestämmelser om tillsyn och revision i fråga om dataskydd. I kapitlet betonas principen att de uppgifter som behandlas inom ramen för denna förordning inte får överföras till eller göras tillgängliga automatiskt för ett tredjeland eller en internationell organisation.

Kapitel 7 innehåller en beskrivning av medlemsstaternas, Europols och eu-Lisas respektive ansvarsområden vid genomförandet av åtgärderna i denna förordning.

Kapitel 8 gäller ändringar av andra befintliga instrument, dvs. besluten 2008/615/RIF och 2008/616/RIF, förordning (EU) 2018/1726, förordning (EU) 2019/817 och förordning (EU) 2019/818.

Kapitel 9 om slutbestämmelser innehåller närmare uppgifter om rapportering och statistik, kostnader, underrättelser, övergångsbestämmelser och undantag. I kapitlet anges även kraven för inledandet av verksamheten med de föreslagna åtgärderna i denna förordning. Kapitlet innehåller dessutom föreskrifter om inrättandet av en kommitté och antagandet av en praktisk handledning som stöd till genomförandet och förvaltningen av denna förordning. I kapitlet ingår även en bestämmelse om övervakning och utvärdering samt en bestämmelse om ikraftträdandet och tillämpligheten av denna förordning. Denna förordning ersätter i första hand artiklarna 2–6 och avsnitten 2 och 3 i kapitel 2 i rådets beslut 2008/615/RIF samt kapitlen 2–5 och artiklarna 18, 20 och 21 i rådets beslut 2008/616/RIF, vilka följaktligen kommer att utgå från de rådsbesluten från och med det datum då denna förordning börjar tillämpas. Dessa ändringar innebär att de bestämmelser som ersatts och utgått inte längre är tillämpliga för någon medlemsstat.

2021/0410 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om automatiskt utbyte av uppgifter för polissamarbete (”Prüm II”) och om ändring av rådets beslut 2008/615/RIF och 2008/616/RIF samt Europaparlamentets och rådets förordningar (EU) 2018/1726, 2019/817 och 2019/818

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 16.2, 87.2 a och 88.2,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande 28 ,

med beaktande av Regionkommitténs yttrande 29 ,

i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1)Unionen har satt som mål att erbjuda sina medborgare ett område med frihet, säkerhet och rättvisa utan inre gränser, där den fria rörligheten för personer säkerställs. Detta mål bör uppnås bland annat genom lämpliga åtgärder för att förebygga och bekämpa brottslighet, däribland organiserad brottslighet och terrorism.

(2)Målet innebär att de brottsbekämpande myndigheterna måste utbyta uppgifter på ett effektivt sätt och utan dröjsmål för att kunna bekämpa brottsligheten.

(3)Målet med denna förordning är därför att förbättra, rationalisera och underlätta utbytet av brottsinformation mellan medlemsstaternas brottsbekämpande myndigheter, men även med Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) som inrättades genom Europaparlamentets och rådets förordning (EU) 2016/794 30 som unionens knutpunkt för utbyte av brottsinformation.

(4)Rådets beslut 2008/615/RIF 31 och 2008/616/RIF 32 om fastställande av regler för utbytet av information mellan myndigheter som är ansvariga för att förebygga och utreda brott genom föreskrifter för automatisk överföring av DNA-profiler, fingeravtrycksuppgifter och vissa uppgifter ur fordonsregister har visat sig vara viktiga för bekämpningen av terrorism och gränsöverskridande brottslighet.

(5)Denna förordning bör fastställa villkor och förfaranden för den automatiska överföringen av DNA-profiler, fingeravtrycksuppgifter, uppgifter ur fordonsregister, ansiktsbilder och uppgifter ur polisregister. Detta bör inte påverka behandlingen av någon av dessa uppgifter i Schengens informationssystem (SIS) eller utbytet av tilläggsinformation med anknytning till dem via Sirenekontoren eller rättigheterna för de personer vars uppgifter behandlas däri.

(6)Behandlingen av personuppgifter och utbytet av personuppgifter vid tillämpning av denna förordning får inte leda till diskriminering av personer på någon grund. Den bör ske med fullständig respekt för mänsklig värdighet och integritet samt andra grundläggande rättigheter, inbegripet rätten till respekt för privatlivet och skydd av personuppgifter, i enlighet med Europeiska unionens stadga om de grundläggande rättigheterna.

(7)Genom föreskrifter för automatisk sökning eller jämförelse av DNA-profiler, fingeravtrycksuppgifter, uppgifter ur fordonsregister, ansiktsbilder och uppgifter ur polisregister är syftet med denna förordning även att möjliggöra sökning av försvunna personer och oidentifierade mänskliga kvarlevor. Detta bör inte påverka införandet av registreringar om saknade personer i SIS eller utbytet av tilläggsinformation om sådana registreringar enligt Europaparlamentets och rådets förordning (EU) 2018/1862. 33

(8)Genom direktiv (EU) …/… [om informationsutbyte mellan medlemsstaternas brottsbekämpande myndigheter] föreskrivs en enhetlig rättslig ram i unionen för att säkerställa att brottsbekämpande myndigheter har likvärdig tillgång till information som innehas av andra medlemsstater när de behöver den för att bekämpa brottslighet och terrorism. För att förbättra informationsutbytet formaliserar och förtydligar det direktivet förfarandena för informationsutbyte mellan medlemsstaterna, i synnerhet för utredningsändamål, däribland den gemensamma kontaktpunktens roll för sådana utbyten samt användningen av Europols nätapplikation för säkert informationsutbyte (Siena). Varje utbyte av information utöver vad som föreskrivs i denna förordning bör regleras genom direktiv (EU) …/… [om informationsutbyte mellan medlemsstaternas brottsbekämpande myndigheter].

(9)När det gäller den automatiska sökningen av uppgifter ur fordonsregister bör medlemsstaterna använda det europeiska informationssystemet för fordon och körkort (Eucaris), som upprättades genom avtalet om ett europeiskt informationssystem för fordon och körkort (Eucaris) och som utformats för detta syfte. Eucaris bör sammanföra alla deltagande medlemsstater i ett nätverk. Ingen central komponent behöver inrättas för kommunikationen, eftersom varje medlemsstat kommunicerar direkt med de andra anslutna medlemsstaterna.

(10)Att kunna identifiera en brottsling är helt avgörande för en framgångsrik brottsutredning och lagföring. En automatisk sökning av ansiktsbilder av misstänkta och dömda brottslingar bör ge ytterligare information för att kunna identifiera brottslingar och bekämpa brott.

(11)Den automatiska sökningen eller jämförelsen av biometriska uppgifter (DNA-profiler, fingeravtrycksuppgifter och ansiktsbilder) mellan myndigheter som är ansvariga för att förebygga, upptäcka och utreda brott inom ramen för denna förordning bör endast gälla uppgifter som ingår i de databaser som upprättats för att förebygga, upptäcka och utreda brott.

(12)Deltagandet i utbytet av uppgifter ur polisregister bör fortfarande vara frivilligt. Om en medlemsstat beslutar sig för att delta bör den, i en anda av ömsesidighet, inte kunna göra sökningar mot andra medlemsstaters databaser om den inte gör sina egna uppgifter tillgängliga för andra medlemsstaters sökningar.

(13)Under senare år har Europol tagit emot en stor mängd biometriska uppgifter om misstänkta och dömda terrorister och brottslingar från olika tredjeländer. För bättre förebyggande och utredning av brott är det nödvändigt att i Prümramen inkludera uppgifter från tredjeland som lagras hos Europol så att de blir tillgängliga för de brottsbekämpande myndigheterna. Detta bidrar även till att skapa synergieffekter mellan olika verktyg för brottsbekämpning.

(14)Europol bör kunna göra sökningar i medlemsstaternas databaser inom Prümramen med uppgifter som tagits emot av tredjeländer för att upprätta gränsöverskridande kopplingar mellan olika brottmål. Möjligheten att använda Prümuppgifter, vid sidan av andra databaser som finns tillgängliga för Europol, bör säkerställa en mer komplett och välunderbyggd analys av brottsutredningarna och ge Europol möjlighet att stödja medlemsstaternas brottsbekämpande myndigheter på ett bättre sätt. I händelse av en överensstämmelse mellan uppgifter som används vid sökningen och uppgifter i medlemsstaternas databaser får medlemsstaterna tillhandahålla den information som Europol behöver för att utföra sina arbetsuppgifter.

(15)I besluten 2008/615/RIF och 2008/616/RIF föreskrivs ett nätverk av bilaterala anslutningar mellan medlemsstaternas nationella databaser. Som en följd av denna tekniska arkitektur bör varje medlemsstat upprätta minst 26 anslutningar, det vill säga en anslutning till varje medlemsstat, per uppgiftskategori. Den router och det europeiska polisregisterindex (Epris) som inrättas genom denna förordning bör medföra en förenkling av Prümramens tekniska arkitektur och fungera som förbindelsepunkter mellan alla medlemsstater. Routern bör endast kräva en enda anslutning per medlemsstat när det gäller biometriska uppgifter, och Epris bör endast kräva en anslutning per medlemsstat när det gäller uppgifter ur polisregister.

(16)Routern bör vara ansluten till den europeiska sökportal som inrättats genom artikel 6 i Europaparlamentets och rådets förordning (EU) 2019/817 34 och artikel 6 i Europaparlamentets och rådets förordning (EU) 2019/818 35 för att ge medlemsstaternas myndigheter och Europol möjlighet att inleda sökningar i nationella databaser inom ramen för denna förordning samtidigt med sökningar i den gemensamma databas för identitetsuppgifter som inrättats genom artikel 17 i förordning (EU) 2019/817 och artikel 17 i förordning (EU) 2019/818 för brottsbekämpande ändamål.

(17)I händelse av en överensstämmelse mellan de uppgifter som används för sökning eller jämförelse och uppgifterna i den anmodade medlemsstatens nationella databas, och när denna överensstämmelse har bekräftats av den begärande medlemsstaten, bör den anmodade medlemsstaten sända en begränsad uppsättning grundläggande uppgifter via routern inom 24 timmar. Denna tidsfrist skulle säkerställa ett snabbt utbyte av kommunikation mellan medlemsstaternas myndigheter. Medlemsstaterna bör behålla kontrollen över frisläppandet av denna begränsade uppsättning grundläggande uppgifter. En viss grad av mänskligt ingripande bör upprätthållas vid vissa nyckelpunkter i processen, däribland när det gäller beslutet att lämna ut personuppgifter till den begärande medlemsstaten för att säkerställa att det inte förekommer något automatiskt utbyte av grundläggande uppgifter.

(18)Varje utbyte mellan medlemsstaternas myndigheter eller med Europol i något skede av en av de processer som anges i denna förordning vilket inte uttryckligen beskrivs i denna förordning, bör ske via Siena för att säkerställa att en gemensam, säker och tillförlitlig kommunikationskanal används av alla medlemsstater.

(19)Det universella meddelandeformatet (UMF) bör användas vid utvecklingen av routern och Epris. Varje automatiskt utbyte av uppgifter i enlighet med denna förordning bör ske enligt UMF-standarden. Medlemsstaternas myndigheter och Europol uppmanas även att använda UMF-standarden vid ytterligare utbyten av uppgifter mellan dem inom ramen för Prüm II-ramen. UMF bör utgöra en standard för strukturerat, gränsöverskridande informationsutbyte mellan informationssystem, myndigheter eller organisationer på området rättsliga och inrikes frågor. 

(20)Endast icke säkerhetsskyddsklassificerad information bör utbytas via Prüm II-ramen.

(21)Vissa aspekter av Prüm II-ramen kan inte täckas på ett uttömmande sätt av denna förordning på grund av deras tekniska beskaffenhet, detaljnivå och behov av regelbunden uppdatering. Dessa aspekter omfattar till exempel de tekniska arrangemangen och specifikationerna för automatiska sökningsförfaranden, standarderna för utbyte av uppgifter och vilka dataelement som ska utbytas. För att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 36 .

(22)Eftersom denna förordning innehåller föreskrifter för inrättandet av den nya Prümramen bör de berörda bestämmelserna i besluten 2008/615/RIF och 2008/616/RIF utgå. Dessa beslut bör därför ändras i enlighet med detta.

(23)Eftersom routern bör utvecklas och förvaltas av Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-Lisa), som inrättades genom Europaparlamentets och rådets förordning (EU) 2018/1726 37 , är det därför nödvändigt att ändra förordning (EU) 2018/1726 genom att lägga till detta i eu-Lisas arbetsuppgifter. För att routern ska kunna anslutas till den europeiska sökportalen så att samtidiga sökningar kan göras i routern och den gemensamma databasen för identitetsuppgifter är det därför nödvändigt att ändra förordning (EU) 2019/817. För att routern ska kunna anslutas till den europeiska sökportalen så att samtidiga sökningar kan göras i routern och den gemensamma databasen för identitetsuppgifter, och för att kunna lagra rapporter och statistik om routern i den centrala databasen för rapporter och statistik, är det därför nödvändigt att ändra förordning (EU) 2019/818. Ovanstående förordningar bör därför ändras i enlighet med detta.

(24)I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark.

(25)[I enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, har Irland meddelat att det önskar delta i antagandet och tillämpningen av denna förordning.] ELLER [I enlighet med artiklarna 1 och 2 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, och utan att det påverkar tillämpningen av artikel 4 i det protokollet, deltar Irland inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Irland.]

(26)Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 38 och avgav ett yttrande den [XX] 39 .

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL 1

ALLMÄNNA BESTÄMMELSER

Artikel 1

Innehåll

Genom denna förordning inrättas en ram för utbytet av information mellan myndigheter som är ansvariga för att förebygga, upptäcka och utreda brott (Prüm II).

I denna förordning fastställs villkoren och förfarandena för automatisk sökning av DNA-profiler, fingeravtrycksuppgifter, ansiktsbilder, uppgifter ur polisregister och vissa uppgifter ur fordonsregister samt reglerna för utbytet av grundläggande uppgifter i händelse av en överensstämmelse.

Artikel 2

Syfte

Syftet med Prüm II ska vara att utöka det gränsöverskridande samarbetet i frågor som omfattas av del III avdelning V kapitel 5 i fördraget om Europeiska unionens funktionssätt, framför allt utbytet av information mellan myndigheter som är ansvariga för att förebygga, upptäcka och utreda brott.

Syftet med Prüm II ska även vara att göra det möjligt för myndigheter som är ansvariga för att förebygga, upptäcka och utreda brott att söka efter saknade personer och oidentifierade mänskliga kvarlevor.

Artikel 3

Tillämpningsområde

Denna förordning är tillämplig på de nationella databaser som används för automatisk överföring av kategorierna DNA-profiler, fingeravtrycksuppgifter, ansiktsbilder, uppgifter ur polisregister och vissa uppgifter ur fordonsregister.

Artikel 4

Definitioner

I denna förordning gäller följande definitioner:

(1)lokus: den särskilda molekylära strukturen vid de olika platserna i en DNA-molekyl.

(2)DNA-profil: en bokstavs- eller nummerkod som representerar en rad identifikationsuppgifter i den icke-kodande delen av ett analyserat mänskligt DNA-prov, dvs. den särskilda molekylära strukturen vid de olika DNA-lokusen.

(3)icke-kodande del av DNA: kromosomområden som inte kommer till uttryck genetiskt, dvs. veterligen inte ger upphov till en organisms funktionella egenskaper.

(4)DNA-referensuppgifter: en DNA-profil och det referensnummer som avses i artikel 9.

(5)DNA-personprofil: DNA-profilen för en identifierad person.

(6)oidentifierad DNA-profil: den DNA-profil som erhålls från spår som samlats in under brottsutredningen och tillhör en person som ännu inte identifierats.

(7)fingeravtrycksuppgifter: fingeravtrycksbilder, bilder av fingeravtrycksspår, handavtryck, handavtrycksspår samt modeller för sådana bilder (kodade detaljer), när de lagras och hanteras i en automatisk databas.

(8)referensuppgifter för fingeravtryck: fingeravtrycksuppgifter och det referensnummer som avses i artikel 14.

(9)enskilt fall: ett enda utredningsärende.

(10)ansiktsbild: en digital bild av en persons ansikte.

(11)biometriska uppgifter: DNA-profiler, fingeravtrycksuppgifter eller ansiktsbilder.

(12)överensstämmelse: förekomsten av en motsvarighet till följd av en automatisk jämförelse mellan personuppgifter som har registrerats eller håller på att registreras i ett informationssystem eller en databas.

(13)kandidat: uppgifter för vilka en överensstämmelse har konstaterats.

(14)begärande medlemsstat: den medlemsstat som utför en sökning genom Prüm II.

(15)anmodad medlemsstat: den medlemsstat i vars databaser en sökning utförs av den begärande medlemsstaten genom Prüm II.

(16)uppgifter ur polisregister: all information som finns tillgänglig i de nationella register som de behöriga myndigheterna använder för att registrera uppgifter för förebyggande, upptäckt och utredning av brott.

(17)pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

(18)Europoluppgifter: alla personuppgifter som behandlas av Europol i enlighet med förordning (EU) 2016/794.

(19)tillsynsmyndighet: en oberoende offentlig myndighet som har utsetts av en medlemsstat i enlighet med artikel 41 i Europaparlamentets och rådets direktiv (EU) 2016/680 40 .

(20)Siena: den nätapplikation för säkert informationsutbyte som förvaltas av Europol i syfte att underlätta utbytet av information mellan medlemsstaterna och Europol.

(21)allvarlig incident: varje incident, såvida den inte har begränsade konsekvenser och sannolikt redan är välkänd i fråga om metod eller teknik.

(22)allvarligt cyberhot: ett cyberhot med avsikt, möjlighet och kapacitet att orsaka en allvarlig incident.

(23)allvarlig sårbarhet: en sårbarhet som sannolikt kommer att leda till en allvarlig incident om den utnyttjas.

(24)incident: en incident i den mening som avses i artikel 4.5 i Europaparlamentets och rådets direktiv (EU) …/… 41 [förslag NIS 2].

KAPITEL 2

UPPGIFTSUTBYTE

AVSNITT 1

DNA-profiler

Artikel 5

Inrättande av nationella databaser med DNA-analyser

1. Medlemsstaterna ska inrätta och upprätthålla nationella databaser med DNA-analyser för brottsutredningar.

Behandlingen av uppgifter i dessa databaser inom ramen för denna förordning ska utföras i enlighet med denna förordning, i överensstämmelse med medlemsstaternas nationella lagstiftning som är tillämplig på behandlingen av sådana uppgifter.

2. Medlemsstaterna ska säkerställa att DNA-referensuppgifter från de nationella databaser med DNA-analyser som avses i punkt 1 finns tillgängliga.

DNA-referensuppgifter får inte innehålla uppgifter som möjliggör en omedelbar identifiering av en viss person.

DNA-referensuppgifter som inte är kopplade till en viss person (oidentifierade DNA-profiler) ska kunna identifieras som sådana.

Artikel 6

Automatisk sökning av DNA-profiler

1. Medlemsstaterna ska ge de nationella kontaktpunkter som avses i artikel 29 och Europol tillgång till DNA-referensuppgifterna i sina databaser med DNA-analyser så att de kan utföra automatiska sökningar genom att jämföra DNA-profiler i samband med brottsutredningar.

Sökningen får endast göras i enskilda fall och i överensstämmelse med den nationella lagstiftningen i den begärande medlemsstaten.

2. Om det i samband med en automatisk sökning konstateras att en förmedlad DNA-profil motsvarar DNA-profiler i den anmodade medlemsstatens databas, ska den nationella kontaktpunkten i den begärande medlemsstaten automatiskt ta emot de DNA-referensuppgifter för vilka överensstämmelse har konstaterats.

Om ingen överensstämmelse konstateras ska den begärande medlemsstaten underrättas automatiskt.

3. Den begärande medlemsstatens nationella kontaktpunkt ska bekräfta en överensstämmelse mellan uppgifter om DNA-profiler och DNA-referensuppgifter som innehas av den anmodade medlemsstaten efter det automatiska översändandet av de DNA-referensuppgifter som krävs för att bekräfta en överensstämmelse.

Artikel 7

Automatisk jämförelse av oidentifierade DNA-profiler

1. Medlemsstaterna får, genom sina nationella kontaktpunkter, jämföra DNA-profilerna för sina egna oidentifierade DNA-profiler med alla DNA-profiler från andra nationella databaser med DNA-analyser i samband med brottsutredningar. Profilerna ska översändas och jämföras automatiskt.

2. Om en anmodad medlemsstat till följd av en jämförelse enligt punkt 1 konstaterar att en översänd DNA-profil stämmer överens med en profil som ingår i någon av dess egna databaser med DNA-profiler ska den utan dröjsmål tillställa den begärande medlemsstatens nationella kontaktpunkt de DNA-referensuppgifter för vilka överensstämmelse har konstaterats.

3. En överensstämmelse mellan DNA-profilerna och DNA-referensuppgifterna hos den anmodade medlemsstaten ska bekräftas av den nationella kontaktpunkten i den begärande medlemsstaten efter det automatiska översändandet av de DNA-referensuppgifter som krävs för att bekräfta en överensstämmelse.

Artikel 8

Rapportering om databaser med DNA-analyser

Varje medlemsstat ska informera kommissionen och eu-Lisa om de nationella databaser med DNA-analyser för vilka artiklarna 5–7 är tillämpliga, i enlighet med artikel 73.

Artikel 9

Referensnummer för DNA-profiler

Referensnumren för DNA-profiler ska bestå av en kombination av följande:

(a)Ett referensnummer som gör att medlemsstaterna, om en överensstämmelse konstaterats, kan hämta ytterligare uppgifter och annan information från sina databaser som avses i artikel 5 för vidarebefordran till en, flera eller samtliga andra medlemsstater i enlighet med artiklarna 47 och 48.

(b)En kod som anger vilken medlemsstat som innehar DNA-profilen.

(c)En kod som anger typen av DNA-profil (DNA-personprofiler eller oidentifierade DNA-profiler).

Artikel 10

Principer för utbyte av DNA-referensuppgifter

1. Lämpliga åtgärder ska vidtas för att säkerställa konfidentialiteten och integriteten hos DNA-referensuppgifter som översänds till andra medlemsstater, inklusive krypteringen av dessa.

2. Medlemsstaterna ska vidta nödvändiga åtgärder för att garantera integriteten hos de DNA-profiler som görs tillgängliga eller översänds för jämförelse till de andra medlemsstaterna och säkerställa att åtgärderna stämmer överens med relevanta internationella standarder för utbyte av DNA-uppgifter.

3. Kommissionen ska anta genomförandeakter för att specificera vilka relevanta internationella standarder som ska användas av medlemsstaterna vid utbyte av DNA-referensuppgifter. Dessa genomförandeakter ska antas i enlighet med det förfarande som avses i artikel 76.2.

Artikel 11

Regler för begäranden och svar angående DNA-profiler

1. En begäran om en automatisk sökning eller jämförelse ska endast innehålla följande information:

(a)Den begärande medlemsstatens kod.

(b)Datum, tidpunkt och referensnummer för begäran.

(c)DNA-profilerna och deras referensnummer som avses i artikel 9.

(d)Vilka typer av DNA-profiler som har översänts (oidentifierade DNA-profiler eller DNA-personprofiler).

2. Svaret på den begäran som avses i punkt 1 ska endast innehålla följande information:

(a)Uppgift om det finns ett eller flera fall av överensstämmelse eller ingen överensstämmelse.

(b)Datum, tidpunkt och referensnummer för begäran.

(c)Datum, tidpunkt och referensnummer för svaret.

(d)De begärande och de anmodade medlemsstaternas koder.

(e)Referensnumren för DNA-profilerna från de begärande och de anmodade medlemsstaterna.

(f)Vilken typ av DNA-profiler som översänds (oidentifierade DNA-profiler eller DNA-personprofiler).

(g)De överensstämmande DNA-profilerna.

3. En överensstämmelse ska endast meddelas automatiskt om den automatiska sökningen eller jämförelsen har resulterat i en överensstämmelse mellan ett minimiantal av lokus. Kommissionen ska anta genomförandeakter för att specificera detta minimiantal av lokus i enlighet med det förfarande som avses i artikel 76.2.

4. Om en sökning eller jämförelse med oidentifierade DNA-profiler leder till att en överensstämmelse konstateras får varje anmodad medlemsstat med överensstämmande uppgifter infoga en markering i sin nationella databas för att ange att en överensstämmelse har konstaterats för den DNA-profilen i samband med en annan medlemsstats sökning eller jämförelse.

5. Medlemsstaterna ska säkerställa att begärandena är förenliga med de förklaringar som har översänts i enlighet med artikel 8. Förklaringarna ska återges i den praktiska handledning som avses i artikel 78.

AVSNITT 2

Fingeravtrycksuppgifter

Artikel 12

Referensuppgifter för fingeravtryck

1. Medlemsstaterna ska säkerställa tillgängligheten till referensuppgifter för fingeravtryck ur databaserna för de nationella system för automatisk identifiering av fingeravtryck som inrättats för att förebygga, upptäcka och utreda brott.

2. Referensuppgifter för fingeravtryck får inte innehålla uppgifter som möjliggör en omedelbar identifiering av en viss person.

3. Referensuppgifter för fingeravtryck som inte är kopplade till en viss person (oidentifierade fingeravtrycksuppgifter) ska kunna identifieras som sådana.

Artikel 13

Automatisk sökning av fingeravtrycksuppgifter

1. I samband med förebyggande, upptäckt och utredning av brott ska medlemsstaterna ge de övriga medlemsstaternas nationella kontaktpunkter och Europol åtkomst till referensuppgifterna för fingeravtryck i de system för automatisk identifiering av fingeravtryck som inrättats för detta syfte så att de kan utföra automatiska sökningar genom att jämföra referensuppgifter för fingeravtryck.

Sökningen får endast göras i enskilda fall och i överensstämmelse med den nationella lagstiftningen i den begärande medlemsstaten.

2. Den begärande medlemsstatens nationella kontaktpunkt ska bekräfta en överensstämmelse mellan fingeravtrycksuppgifter och referensuppgifter för fingeravtryck som innehas av den anmodade medlemsstaten efter det automatiska översändandet av de referensuppgifter för fingeravtryck som krävs för att bekräfta en överensstämmelse.

Artikel 14

Referensnummer för fingeravtrycksuppgifter

Referensnumren för fingeravtrycksuppgifter ska bestå av en kombination av följande:

(a)Ett referensnummer som gör att medlemsstaterna, om en överensstämmelse konstaterats, kan hämta ytterligare uppgifter och annan information från sina databaser som avses i artikel 12 för vidarebefordran till en, flera eller samtliga andra medlemsstater i enlighet med artiklarna 47 och 48.

(b)En kod som anger vilken medlemsstat som innehar fingeravtrycksuppgifterna.

Artikel 15

Principer för utbyte av fingeravtrycksuppgifter

1. Digitaliseringen av fingeravtrycksuppgifter och översändandet av dessa till de övriga medlemsstaterna ska utföras i enlighet med ett enhetligt dataformat. Kommissionen ska anta genomförandeakter för att specificera det enhetliga dataformatet i enlighet med det förfarande som avses i artikel 76.2.

2. Varje medlemsstat ska säkerställa att de fingeravtrycksuppgifter som den översänder har tillräckligt god kvalitet för att kunna jämföras med hjälp av de automatiska systemen för identifiering av fingeravtryck.

3. Medlemsstaterna ska vidta lämpliga åtgärder för att säkerställa konfidentialiteten och integriteten hos de fingeravtrycksuppgifter som översänds till andra medlemsstater, inklusive krypteringen av dessa.

4. Kommissionen ska anta genomförandeakter för att specificera de relevanta befintliga standarder för utbyte av fingeravtrycksuppgifter som ska användas av medlemsstaterna. Dessa genomförandeakter ska antas i enlighet med det förfarande som avses i artikel 76.2.

Artikel 16

Sökningskapacitet för fingeravtrycksuppgifter

1. Varje medlemsstat ska säkerställa att dess begäranden om sökning inte överskrider den sökningskapacitet som specificerats av den anmodade medlemsstaten.

Medlemsstaterna ska informera kommissionen och eu-Lisa i enlighet med artikel 79.8 och 79.10 om sin högsta sökningskapacitet per dag för fingeravtrycksuppgifter för identifierade personer och för fingeravtrycksuppgifter för personer som ännu inte är identifierade.

2. Kommissionen ska anta genomförandeakter för att specificera det högsta antal kandidater som kan godtas för jämförelse per överföring i enlighet med det förfarande som avses i artikel 76.2.

Artikel 17

Regler för begäranden och svar angående fingeravtrycksuppgifter

1. En begäran om en automatisk sökning ska endast innehålla följande information:

(a)Den begärande medlemsstatens kod.

(b)Datum, tidpunkt och referensnummer för begäran.

(c)Fingeravtrycksuppgifterna och deras referensnummer som avses i artikel 14.

2. Svaret på den begäran som avses i punkt 1 ska endast innehålla följande information:

(a)Uppgift om det finns ett eller flera fall av överensstämmelse eller ingen överensstämmelse.

(b)Datum, tidpunkt och referensnummer för begäran.

(c)Datum, tidpunkt och referensnummer för svaret.

(d)De begärande och de anmodade medlemsstaternas koder.

(e)Referensnumren för fingeravtrycksuppgifterna från de begärande och de anmodade medlemsstaterna.

(f)De överensstämmande fingeravtrycksuppgifterna.

AVSNITT 3

Uppgifter ur fordonsregister

Artikel 18

Automatisk sökning av uppgifter ur fordonsregister

1. I samband med förebyggande, upptäckt och utredning av brott ska medlemsstaterna ge de andra medlemsstaternas nationella kontaktpunkter och Europol åtkomst till följande uppgifter ur nationella fordonsregister så att de kan utföra automatiska sökningar i enskilda fall:

(a)Uppgifter om ägare eller innehavare.

(b)Uppgifter om fordonet.

2. En sökning får endast utföras med användning av ett fordons fullständiga chassinummer eller fullständiga registreringsnummer.

3. Sökningen får endast utföras i överensstämmelse med den nationella lagstiftningen i den begärande medlemsstaten.

Artikel 19

Principer för automatisk sökning av uppgifter ur fordonsregister

1. För automatisk sökning av uppgifter ur fordonsregister ska medlemsstaterna använda det europeiska informationssystemet för fordon och körkort (Eucaris).

2. De uppgifter som utbyts via Eucaris ska översändas i krypterad form.

3. Kommissionen ska anta genomförandeakter för att specificera vilka delar av uppgifterna i fordonsregistren som ska utbytas. Dessa genomförandeakter ska antas i enlighet med det förfarande som avses i artikel 76.2.

Artikel 20

Registerföring av loggar

1. Varje medlemsstat ska föra loggar över de sökningar som görs av myndighetspersonal som är vederbörligen bemyndigad att utbyta uppgifter ur fordonsregister samt loggar över de sökningar som görs av andra medlemsstater. Europol ska föra loggar över sökningar som görs av dess vederbörligen bemyndigade personal.

Varje medlemsstat och Europol ska föra loggar över all behandling av uppgifter ur fordonsregister. Dessa loggar ska omfatta följande:

(a)Den medlemsstat eller den unionsbyrå som lämnade in begäran om en sökning.

(b)Datum och tidpunkt för begäran.

(c)Datum och tidpunkt för svaret.

(d)De nationella databaser som en begäran om en sökning lämnades till.

(e)De nationella databaser som lämnade ett positivt svar.

2. De loggar som avses i punkt 1 får endast användas för insamling av statistik och övervakning av dataskyddet, däribland för att kontrollera om en sökning är tillåten och om uppgifterna har behandlats på ett lagligt sätt samt för att säkerställa datasäkerheten och integriteten.

Dessa loggar ska på lämpligt sätt skyddas mot obehörig åtkomst och ska raderas ett år efter det att de skapats. Om de behövs för övervakningsförfaranden som redan har inletts ska de emellertid raderas så snart de inte längre behövs för övervakningsförfarandena.

3. För att övervaka dataskyddet, däribland genom att kontrollera om en sökning är tillåten och om uppgifterna har behandlats på ett lagligt sätt, ska de personuppgiftsansvariga ha åtkomst till loggarna för den egenkontroll som avses i artikel 56.

AVSNITT 4

Ansiktsbilder

Artikel 21

Ansiktsbilder

1. Medlemsstaterna ska säkerställa tillgängligheten till ansiktsbilder ur deras nationella databaser som inrättats för att förebygga, upptäcka och utreda brott. Dessa uppgifter ska endast omfatta ansiktsbilderna och det referensnummer som avses i artikel 23, och det ska framgå om ansiktsbilderna kan kopplas till en viss person eller ej.

Medlemsstaterna ska i detta sammanhang inte tillgängliggöra några uppgifter som möjliggör en omedelbar identifiering av en viss person.

2. Ansiktsbilder som inte kan kopplas till en viss person (oidentifierade ansiktsbilder) ska kunna identifieras som sådana.

Artikel 22

Automatisk sökning av ansiktsbilder

1. I samband med förebyggande, upptäckt och utredning av brott ska medlemsstaterna ge de andra medlemsstaternas nationella kontaktpunkter och Europol åtkomst till ansiktsbilder som lagras i deras nationella databaser så att de kan utföra automatiska sökningar.

Sökningen får endast göras i enskilda fall och i överensstämmelse med den nationella lagstiftningen i den begärande medlemsstaten.

2. Den begärande medlemsstaten ska erhålla en förteckning över överensstämmande uppgifter som utgör troliga kandidater. Medlemsstaten ska granska förteckningen för att fastställa förekomsten av en bekräftad överensstämmelse.

3. En lägsta kvalitetsstandard ska fastställas för att göra det möjligt att söka efter och jämföra ansiktsbilder. Kommissionen ska anta genomförandeakter för att specificera den lägsta kvalitetsstandarden. Dessa genomförandeakter ska antas i enlighet med det förfarande som avses i artikel 76.2.

Artikel 23

Referensnummer för ansiktsbilder

Referensnumren för ansiktsbilder ska bestå av en kombination av följande:

(a)Ett referensnummer som gör att medlemsstaterna, om en överensstämmelse konstaterats, kan hämta ytterligare uppgifter och annan information från sina databaser som avses i artikel 21 för vidarebefordran till en, flera eller samtliga andra medlemsstater i enlighet med artiklarna 47 och 48.

(b)En kod som anger vilken medlemsstat som innehar ansiktsbilderna.

Artikel 24

Regler för begäranden och svar angående ansiktsbilder

1. En begäran om en automatisk sökning ska endast innehålla följande information:

(a)Den begärande medlemsstatens kod.

(b)Datum, tidpunkt och referensnummer för begäran.

(c)Ansiktsbilderna och deras referensnummer som avses i artikel 23.

2. Svaret på den begäran som avses i punkt 1 ska endast innehålla följande information:

(a)Uppgift om det finns ett eller flera fall av överensstämmelse eller ingen överensstämmelse.

(b)Datum, tidpunkt och referensnummer för begäran.

(c)Datum, tidpunkt och referensnummer för svaret.

(d)De begärande och de anmodade medlemsstaternas koder.

(e)Referensnumren för ansiktsbilderna från de begärande och de anmodade medlemsstaterna.

(f)De överensstämmande ansiktsbilderna.

AVSNITT 5

Uppgifter ur polisregister

Artikel 25

Uppgifter ur polisregister

1. Medlemsstaterna får besluta att delta i det automatiska utbytet av uppgifter ur polisregister. Medlemsstater som deltar i det automatiska utbytet av uppgifter ur polisregister ska säkerställa tillgängligheten till personuppgifter om misstänkta och dömda brottslingar ur deras nationella polisregister som inrättats för utredning av brott. Dessa personuppgifter ska, i förekommande fall, omfatta följande uppgifter:

(a)Förnamn.

(b)Efternamn.

(c)Alias.

(d)Födelsedatum.

(e)Medborgarskap.

(f)Födelseort och födelseland.

(g)Kön.

2. De uppgifter som avses i punkt 1 a, b, c, e och f ska vara pseudonymiserade.

Artikel 26

Automatisk sökning av uppgifter ur polisregister

1. I samband med utredning av brott ska medlemsstaterna ge de andra medlemsstaternas nationella kontaktpunkter och Europol åtkomst till uppgifter ur sina nationella polisregister så att de kan utföra automatiska sökningar.

Sökningen får endast göras i enskilda fall och i överensstämmelse med den nationella lagstiftningen i den begärande medlemsstaten.

2. Den begärande medlemsstaten ska erhålla en förteckning över överensstämmelser med uppgift om överensstämmelsernas kvalitet.

Den begärande medlemsstaten ska även få information om den medlemsstat vars databas innehåller de uppgifter som ledde till att en överensstämmelse konstaterades.

Artikel 27

Referensnummer för uppgifter ur polisregister

Referensnumren för uppgifter ur polisregister ska bestå av en kombination av följande:

(a)Ett referensnummer som gör att medlemsstaterna, om en överensstämmelse konstaterats, kan hämta personuppgifter och annan information från sina register som avses i artikel 25 för vidarebefordran till en, flera eller samtliga medlemsstater i enlighet med artiklarna 47 och 48.

(b)En kod som anger vilken medlemsstat som innehar uppgifterna ur polisregister.

Artikel 28

Regler för begäranden och svar angående uppgifter ur polisregister

1. En begäran om en automatisk sökning ska endast innehålla följande information:

(a)Den begärande medlemsstatens kod.

(b)Datum, tidpunkt och referensnummer för begäran.

(c)Uppgifterna ur polisregister och deras referensnummer som avses i artikel 27.

2. Svaret på den begäran som avses i punkt 1 ska endast innehålla följande information:

(a)Uppgift om det finns ett eller flera fall av överensstämmelse eller ingen överensstämmelse.

(b)Datum, tidpunkt och referensnummer för begäran.

(c)Datum, tidpunkt och referensnummer för svaret.

(d)De begärande och de anmodade medlemsstaternas koder.

(e)Referensnumren för uppgifterna ur polisregister från de anmodade medlemsstaterna.

AVSNITT 6

Gemensamma bestämmelser

Artikel 29

Nationella kontaktpunkter

Varje medlemsstat ska utse en nationell kontaktpunkt.

De nationella kontaktpunkterna ska vara ansvariga för att lämna ut de uppgifter som avses i artiklarna 6, 7, 13, 18, 22 och 26.

Artikel 30

Genomförandeåtgärder

Kommissionen ska anta genomförandeakter för att specificera de tekniska arrangemangen för de förfaranden som fastställs i artiklarna 6, 7, 13, 18, 22 och 26. Dessa genomförandeakter ska antas i enlighet med det förfarande som avses i artikel 76.2.

Artikel 31

Tekniska specifikationer

Medlemsstaterna och Europol ska följa de gemensamma tekniska specifikationerna i samband med varje begäran och svar som gäller sökningar och jämförelser av DNA-profiler, fingeravtrycksuppgifter, uppgifter ur fordonsregister, ansiktsbilder och uppgifter ur polisregister. Kommissionen ska anta genomförandeakter för att specificera dessa tekniska specifikationer i enlighet med det förfarande som avses i artikel 76.2.

Artikel 32

Tillgängligheten för automatiskt utbyte av uppgifter på nationell nivå

1. Medlemsstaterna ska vidta alla nödvändiga åtgärder för att säkerställa att automatisk sökning eller jämförelse av DNA-profiler, fingeravtrycksuppgifter, uppgifter ur fordonsregister, ansiktsbilder och uppgifter ur polisregister är möjlig dygnet runt sju dagar i veckan.

2. De nationella kontaktpunkterna ska omedelbart informera varandra, kommissionen, Europol och eu-Lisa om ett tekniskt fel gör att ett automatiskt utbyte av uppgifter inte går att genomföra.

De nationella kontaktpunkterna ska enas om tillfälliga alternativa arrangemang för utbyte av information i enlighet med tillämplig unionsrätt och nationell rätt.

3. De nationella kontaktpunkterna ska återupprätta det automatiska utbytet av uppgifter utan dröjsmål.

Artikel 33

Motivering av behandlingen av uppgifter

1. Varje medlemsstat ska dokumentera en motivering av de sökningar som görs av deras behöriga myndigheter.

Europol ska dokumentera en motivering av de sökningar som görs av byrån.

2. Den motivering som avses i punkt 1 ska omfatta

(a)syftet med sökningen, inklusive en hänvisning till det specifika ärendet eller den specifika utredningen,

(b)en uppgift om huruvida sökningen gäller en misstänkt person eller en gärningsperson,

(c)en uppgift om huruvida syftet med sökningen är att identifiera en okänd person eller inhämta fler uppgifter om en känd person.

3. De motiveringar som avses i punkt 2 ska endast användas för övervakning av dataskyddet, däribland för att kontrollera om en sökning är tillåten och om uppgifterna har behandlats på ett lagligt sätt samt för att säkerställa datasäkerhet och dataintegritet.

Dessa motiveringar ska på lämpligt sätt skyddas mot obehörig åtkomst och ska raderas ett år efter det att de skapats. Om de behövs för övervakningsförfaranden som redan har inletts ska de emellertid raderas så snart de inte längre behövs för övervakningsförfarandena.

4. För att övervaka dataskyddet, däribland genom att kontrollera om en sökning är tillåten och om uppgifterna har behandlats på ett lagligt sätt, ska de personuppgiftsansvariga ha åtkomst till motiveringarna för den egenkontroll som avses i artikel 56.

Artikel 34

Användning av det universella meddelandeformatet

1. Det universella meddelandeformatet (UMF) ska användas vid utvecklingen av den router som avses i artikel 35 och av Epris.

2. Varje automatiskt utbyte av uppgifter i enlighet med denna förordning ska ske enligt UMF-standarden.

KAPITEL 3

ARKITEKTUR

AVSNITT 1

Router

Artikel 35

Routern

1. En router ska inrättas för att underlätta etableringen av anslutningar mellan medlemsstaterna och med Europol för sökning, inhämtning och värdering av biometriska uppgifter i enlighet med denna förordning.

2. Routern ska bestå av följande:

(a)En central infrastruktur som omfattar ett sökverktyg där sökningar kan göras samtidigt i medlemsstaternas databaser som avses i artiklarna 5, 12 och 21 samt i Europoluppgifter.

(b)En säker kommunikationskanal mellan den centrala infrastrukturen, medlemsstaterna och de unionsbyråer som har behörighet att använda routern.

(c)En säker kommunikationsinfrastruktur mellan den centrala infrastrukturen och den europeiska sökportalen för de ändamål som avses i artikel 39.

Artikel 36

Användning av routern

Användningen av routern ska begränsas till de myndigheter i medlemsstaterna som har åtkomst till utbytet av DNA-profiler, fingeravtrycksuppgifter och ansiktsbilder samt till Europol i enlighet med denna förordning och förordning (EU) 2016/794.

Artikel 37

Sökningar

1. De routeranvändare som avses i artikel 36 ska begära en sökning genom att skicka biometriska uppgifter till routern. Routern ska skicka vidare begäran om en sökning till medlemsstaternas databaser och Europoluppgifter samtidigt med de uppgifter som lämnats av användaren och i enlighet med användarens åtkomsträttigheter.

2. När begäran om en sökning har tagits emot från routern ska varje anmodad medlemsstat och Europol inleda en sökning i sina databaser automatiskt och utan dröjsmål.

3. Varje överensstämmelse som konstateras vid sökningen i var och en av medlemsstaternas databaser och Europoluppgifter ska skickas tillbaka automatiskt till routern.

4. Routern ska rangordna svaren i enlighet med värderingen av överensstämmelsen mellan de biometriska uppgifter som användes vid sökningen och de biometriska uppgifter som lagras i medlemsstaternas databaser och Europoluppgifter.

5. Förteckningen över överensstämmande biometriska uppgifter och deras värden ska sändas till routeranvändaren via routern.

6. Kommissionen ska anta genomförandeakter för att specificera det tekniska förfarandet för routern vid sökningar i medlemsstaternas databaser och Europoluppgifter, formatet för svaren från routern och de tekniska reglerna för att värdera överensstämmelsen mellan biometriska uppgifter. Dessa genomförandeakter ska antas i enlighet med det förfarande som avses i artikel 76.2.

Artikel 38

Kvalitetskontroll

Den anmodade medlemsstaten ska kontrollera kvaliteten på de översända uppgifterna genom ett helt automatiskt förfarande.

Om uppgifterna inte lämpar sig för en automatisk jämförelse ska den anmodade medlemsstaten omedelbart underrätta den begärande medlemsstaten via routern.

Artikel 39

Interoperabiliteten mellan routern och den gemensamma databasen för identitetsuppgifter i samband med brottsbekämpning

1. De routeranvändare som avses i artikel 36 får inleda en sökning i medlemsstaternas databaser och Europoluppgifter samtidigt med en sökning i den gemensamma databasen för identitetsuppgifter om de relevanta villkoren enligt unionsrätten har uppfyllts och i enlighet med användarnas åtkomsträttigheter. För detta ändamål ska routern göra en sökning i den gemensamma databasen för identitetsuppgifter via den europeiska sökportalen.

2. Sökningar i den gemensamma databasen för identitetsuppgifter för brottsbekämpande ändamål ska utföras i enlighet med artikel 22 i förordning (EU) 2019/817 och artikel 22 i förordning (EU) 2019/818. Alla resultat av sökningarna ska överföras via den europeiska sökportalen.

Endast de utsedda myndigheter som anges i artikel 4.20 i förordning (EU) 2019/817 och artikel 4.20 i förordning (EU) 2019/818 får inleda dessa samtidiga sökningar.

Samtidiga sökningar i medlemsstaternas databaser och Europoluppgifter och den gemensamma databasen för identitetsuppgifter får endast göras i de fall då det är sannolikt att uppgifter om en misstänkt person, en gärningsperson eller ett offer för ett terroristbrott eller något annat grovt brott enligt definitionen i artikel 4.21 och 4.22 i förordning (EU) 2019/817 och artikel 4.21 och 4.22 i förordning (EU) 2019/818 lagras i den gemensamma databasen för identitetsuppgifter.

Artikel 40

Registerföring av loggar

1. eu-Lisa ska föra loggar över all uppgiftsbehandling som sker i routern. Dessa loggar ska omfatta följande:

(a)Den medlemsstat eller den unionsbyrå som lämnade in begäran om en sökning.

(b)Datum och tidpunkt för begäran.

(c)Datum och tidpunkt för svaret.

(d)De nationella databaser eller de Europoluppgifter som en begäran om en sökning lämnades till.

(e)De nationella databaser eller de Europoluppgifter som lämnade ett svar.

(f)I tillämpliga fall, det faktum att det gjordes en samtidig sökning i den gemensamma databasen för identitetsuppgifter.

2. Varje medlemsstat ska föra loggar över de sökningar som görs av dess behöriga myndigheter och den myndighetspersonal som är vederbörligen bemyndigad att använda routern samt loggar över de sökningar som begärs av andra medlemsstater.

Europol ska föra loggar över sökningar som görs av dess vederbörligen bemyndigade personal.

3. De loggar som avses i punkterna 1 och 2 får endast användas för insamling av statistik och övervakning av dataskyddet, däribland för att kontrollera om en sökning är tillåten och om uppgifterna har behandlats på ett lagligt sätt, samt för att säkerställa datasäkerheten och integriteten.

Dessa loggar ska på lämpligt sätt skyddas mot obehörig åtkomst och ska raderas ett år efter det att de skapats. Om de behövs för övervakningsförfaranden som redan har inletts ska de emellertid raderas så snart de inte längre behövs för övervakningsförfarandena.

4. För att övervaka dataskyddet, däribland genom att kontrollera om en sökning är tillåten och om uppgifterna har behandlats på ett lagligt sätt, ska de personuppgiftsansvariga ha åtkomst till loggarna för den egenkontroll som avses i artikel 56.

Artikel 41

Underrättelseförfarande i händelse av tekniska hinder för användningen av routern

1. Om det är tekniskt omöjligt att använda routern för att söka i en eller flera nationella databaser eller i Europoluppgifter på grund av ett fel i routern ska routeranvändarna underrättas automatiskt av eu-Lisa. eu-Lisa ska vidta åtgärder för att undanröja de tekniska hindren för användningen av routern utan dröjsmål.

2. Om det är tekniskt omöjligt att använda routern för att söka i en eller flera nationella databaser eller i Europoluppgifter på grund av ett fel i en medlemsstats nationella infrastruktur ska den medlemsstaten automatiskt underrätta de andra medlemsstaterna, eu-Lisa och kommissionen. Medlemsstaterna ska vidta åtgärder för att undanröja de tekniska hindren för användningen av routern utan dröjsmål.

3. Om det är tekniskt omöjligt att använda routern för att söka i en eller flera nationella databaser eller i Europoluppgifter på grund av ett fel i Europols infrastruktur ska Europol automatiskt underrätta medlemsstaterna, eu-Lisa och kommissionen. Europol ska vidta åtgärder för att undanröja de tekniska hindren för användningen av routern utan dröjsmål.

AVSNITT 2

Epris

Artikel 42

Epris

1. För den automatiska sökning av uppgifter ur polisregister som avses i artikel 26 ska medlemsstaterna och Europol använda det europeiska polisregisterindexet (Epris).

2. Epris ska bestå av följande:

(a)En central infrastruktur som omfattar ett sökverktyg där sökningar kan göras samtidigt i medlemsstaternas databaser.

(b)En säker kommunikationskanal mellan Epris centrala infrastruktur, medlemsstaterna och Europol.

Artikel 43

Användning av Epris

1. Vid sökning av uppgifter ur polisregister via Epris ska följande uppsättningar av uppgifter användas:

(a)Förnamn.

(b)Efternamn.

(c)Födelsedatum.

2. Följande uppsättningar av uppgifter får också användas om de finns tillgängliga:

(a)Alias.

(b)Medborgarskap.

(c)Födelseort och födelseland.

(d)Kön.

3. De uppgifter som avses i punkt 1 a och b och i punkt 2 a, b och c ska vara pseudonymiserade när de används för sökning.

Artikel 44

Sökningar

1. Medlemsstaterna och Europol ska begära en sökning genom att skicka in de uppgifter som avses i artikel 43.

Epris ska skicka vidare begäran om en sökning till medlemsstaternas databaser med de uppgifter som lämnats av den begärande medlemsstaten och i enlighet med denna förordning.

2. När begäran om en sökning har tagits emot från Epris ska varje anmodad medlemsstat inleda en sökning i sina nationella polisregister automatiskt och utan dröjsmål.

3. Varje överensstämmelse som konstateras vid sökningen i var och en av medlemsstaternas databaser ska skickas tillbaka automatiskt till Epris.

4. Förteckningen över överensstämmelser ska skickas tillbaka till den begärande medlemsstaten av Epris. Förteckningen över överensstämmelser ska innehålla en uppgift om överensstämmelsernas kvalitet och den medlemsstat vars databas innehåller de uppgifter som ledde till att en överensstämmelse konstaterades.

5. Vid mottagandet av förteckningen över överensstämmelser ska den begärande medlemsstaten avgöra vilka överensstämmelser som kräver en uppföljning och skicka en motiverad begäran om uppföljning tillsammans med eventuell ytterligare relevant information till den eller de anmodade medlemsstaterna via Siena.

6. Den eller de anmodade medlemsstaterna ska behandla en sådan begäran utan dröjsmål för att besluta huruvida de uppgifter som lagras i databasen ska lämnas ut.

När detta har bekräftats ska den eller de anmodade medlemsstaterna lämna ut de uppgifter som avses i artikel 43 i förekommande fall. Detta utbyte av information ska ske via Siena.

7. Kommissionen ska anta genomförandeakter för att specificera det tekniska förfarandet för Epris vid sökningar i medlemsstaternas databaser och svarens format. Dessa genomförandeakter ska antas i enlighet med det förfarande som avses i artikel 76.2.

Artikel 45

Registerföring av loggar

1. Europol ska föra loggar över all uppgiftsbehandling som sker i Epris. Dessa loggar ska omfatta följande:

(a)Den medlemsstat eller den unionsbyrå som lämnade in begäran om en sökning.

(b)Datum och tidpunkt för begäran.

(c)Datum och tidpunkt för svaret.

(d)De nationella databaser som en begäran om en sökning lämnades till.

(e)De nationella databaser som lämnade ett svar.

2. Varje medlemsstat ska föra loggar över de begäranden om sökningar som lämnats av dess behöriga myndigheter och den personal vid dessa myndigheter som är vederbörligen bemyndigad att använda Epris. Europol ska föra loggar över begäranden om sökningar som lämnats av dess vederbörligen bemyndigade personal.

3. De loggar som avses i punkterna 1 och 2 får endast användas för övervakning av dataskyddet, däribland för att kontrollera om en sökning är tillåten och om uppgifterna behandlas på ett lagligt sätt, och för att säkerställa datasäkerhet och dataintegritet.

Dessa loggar ska på lämpligt sätt skyddas mot obehörig åtkomst och ska raderas ett år efter det att de skapats.

Om de behövs för övervakningsförfaranden som redan har inletts ska de emellertid raderas så snart de inte längre behövs för övervakningsförfarandena.

4. För att övervaka dataskyddet, däribland genom att kontrollera om en sökning är tillåten och om uppgifterna har behandlats på ett lagligt sätt, ska de personuppgiftsansvariga ha åtkomst till loggarna för den egenkontroll som avses i artikel 56.

Artikel 46

Underrättelseförfarande i händelse av tekniska hinder för användningen av Epris

1. Om det är tekniskt omöjligt att använda Epris för att söka i en eller flera nationella databaser på grund av ett fel i Europols infrastruktur ska Europol underrätta medlemsstaterna automatiskt. Europol ska vidta åtgärder för att undanröja de tekniska hindren för användningen av Epris utan dröjsmål.

2. Om det är tekniskt omöjligt att använda Epris för att söka i en eller flera nationella databaser på grund av ett fel i en medlemsstats nationella infrastruktur ska den medlemsstaten automatiskt underrätta Europol och kommissionen. Medlemsstaterna ska vidta åtgärder för att undanröja de tekniska hindren för användningen av Epris utan dröjsmål.

KAPITEL 4

UTBYTE AV UPPGIFTER EFTER EN ÖVERENSSTÄMMELSE

Artikel 47

Utbyte av grundläggande uppgifter

Om de förfaranden som avses i artiklarna 6, 7, 13 eller 22 visar en överensstämmelse mellan de uppgifter som används för sökning eller jämförelse och uppgifterna i den anmodade medlemsstatens databas, och när denna överensstämmelse har bekräftats av den begärande medlemsstaten, ska den anmodade medlemsstaten sända en uppsättning grundläggande uppgifter via routern inom 24 timmar. Dessa grundläggande uppgifter ska, i förekommande fall, omfatta följande uppgifter:

(a)Förnamn.

(b)Efternamn.

(c)Födelsedatum.

(d)Medborgarskap.

(e)Födelseort och födelseland.

(f)Kön.

Artikel 48

Användning av Siena

Alla utbyten som inte uttryckligen föreskrivs i denna förordning mellan medlemsstaternas behöriga myndigheter eller med Europol, i något skede av de förfaranden som beskrivs i denna förordning, ska ske via Siena.

KAPITEL 5

EUROPOL

Artikel 49

Medlemsstaternas åtkomst till biometriska uppgifter från tredjeland som lagras av Europol

1. Medlemsstaterna ska, i enlighet med förordning (EU) 2016/794, ha åtkomst till och via routern kunna söka i biometriska uppgifter som har lämnats till Europol av tredjeländer vid tillämpning av artikel 18.2 a, b och c i förordning (EU) 2016/794.

2. Om detta förfarande leder till att en överensstämmelse konstateras mellan de uppgifter som används vid sökningen och Europoluppgifter ska uppföljningen ske i enlighet med förordning (EU) 2016/794.

Artikel 50

Europols åtkomst till uppgifter som lagras i medlemsstaternas databaser

1. Europol ska, i enlighet med förordning (EU) 2016/794, ha åtkomst till uppgifter som lagras av medlemsstaterna i deras nationella databaser i enlighet med denna förordning.

2. Sökningar som Europol utför med biometriska uppgifter som sökkriterium ska utföras med användning av routern.

3. Sökningar som Europol utför med uppgifter ur fordonsregister som sökkriterium ska utföras med användning av Eucaris.

4. Sökningar som Europol utför med uppgifter ur polisregister som sökkriterium ska utföras med användning av Epris.

5. Europol ska utföra sökningarna i enlighet med punkt 1 endast när byrån utför de arbetsuppgifter som avses i förordning (EU) 2016/794.

6. Om de förfaranden som avses i artiklarna 6, 7, 13 eller 22 visar en överensstämmelse mellan de uppgifter som används för sökning eller jämförelse och uppgifterna i den anmodade medlemsstatens nationella databas, och när denna överensstämmelse har bekräftats av Europol, ska den anmodade medlemsstaten besluta om en uppsättning grundläggande uppgifter ska sändas via routern inom 24 timmar. Dessa grundläggande uppgifter ska, i förekommande fall, omfatta följande uppgifter:

(a)Förnamn.

(b)Efternamn.

(c)Födelsedatum.

(d)Medborgarskap.

(e)Födelseort och födelseland.

(f)Kön.

7. Europols användning av information som erhållits vid en sökning som utförts i enlighet med punkt 1 och genom utbyte av grundläggande uppgifter i enlighet med punkt 6 kräver tillstånd från den medlemsstat i vars databas överensstämmelsen konstaterades. Om medlemsstaten tillåter användning av informationen ska Europols hantering av den regleras av förordning (EU) 2016/794.

KAPITEL 6

DATASKYDD

Artikel 51

Syftet med uppgifterna

1. Den begärande medlemsstaten eller Europol får endast behandla personuppgifter för de syften för vilka uppgifterna har översänts av den anmodade medlemsstaten i enlighet med denna förordning. Behandling för andra syften ska endast vara tillåten med förhandstillstånd av den anmodade medlemsstaten.

2. Den sökande eller jämförande medlemsstaten ska endast ha tillstånd att behandla uppgifter som översänts i enlighet med artiklarna 6, 7, 13, 18 eller 22 för att

(a)fastställa om de DNA-profiler, fingeravtrycksuppgifter, uppgifter ur fordonsregister, ansiktsbilder och uppgifter ur polisregister som jämförts stämmer överens,

(b)utarbeta och lämna in en polisbegäran om rättslig hjälp om dessa uppgifter stämmer överens,

(c)registrera loggar i den mening som avses i artiklarna 40 och 45.

3. Den begärande medlemsstaten får endast behandla de uppgifter som lämnats ut till den i enlighet med artiklarna 6, 7, 13 eller 22 om detta är nödvändigt för tillämpningen av denna förordning. De uppgifter som lämnats ut ska raderas omedelbart efter att jämförelsen av uppgifter avslutats eller den automatiska sökningen besvarats, såvida inte den begärande medlemsstaten måste behandla uppgifterna ytterligare för att förebygga, upptäcka och utreda brott.

4. Uppgifter som lämnats ut i enlighet med artikel 18 får endast användas av den begärande medlemsstaten om det är nödvändigt för tillämpningen av denna förordning. De uppgifter som lämnats ut ska raderas omedelbart efter att den automatiska sökningen besvarats, såvida inte ytterligare behandling är nödvändig för registrering i enlighet med artikel 20. Den begärande medlemsstaten ska använda de uppgifter som erhållits i ett svar endast för det förfarande för vilket sökningen gjordes.

Artikel 52

Korrekthet, relevans och lagring av uppgifter

1. Medlemsstaterna ska säkerställa att personuppgifterna är korrekta och aktuella. Om en anmodad medlemsstat får kännedom om att felaktiga uppgifter eller uppgifter som inte borde ha lämnats ut har översänts ska den eller de begärande medlemsstaterna omedelbart underrättas om detta. Alla berörda begärande medlemsstater ska vara skyldiga att rätta eller radera uppgifterna i enlighet med underrättelsen. Även i övriga fall ska utlämnade personuppgifter rättas om det framgår att de är felaktiga. Om den begärande medlemsstaten har skäl att anta att de utlämnade uppgifterna är felaktiga eller borde raderas ska den anmodade medlemsstaten underrättas.

2. Om en registrerad person bestrider riktigheten hos de uppgifter som innehas av en medlemsstat, om korrektheten inte kan fastställas på ett tillförlitligt sätt av den berörda medlemsstaten och om detta begärs av den registrerade ska de berörda uppgifterna markeras med en flagga. Om en sådan flagga har använts får medlemsstaterna endast avlägsna den med den registrerades medgivande eller genom beslut av en behörig domstol eller en oberoende dataskyddsmyndighet.

3. Uppgifter som inte borde ha lämnats ut eller mottagits ska raderas. Uppgifter som har lämnats ut och mottagits lagenligt ska raderas

(a)om de inte eller inte längre är nödvändiga för det syfte för vilket de lämnats ut,

(b)efter att den tidsfrist som fastställts för lagring av uppgifterna enligt den anmodade medlemsstatens nationella lagstiftning har löpt ut, om den anmodade medlemsstaten informerade den begärande medlemsstaten om denna maximala lagringstid i samband med att uppgifterna lämnades ut.

Om det finns skäl att anta att en radering av uppgifterna skulle skada den registrerades intressen ska uppgifterna spärras i stället för att raderas. Spärrade uppgifter får endast lämnas ut eller användas i det syfte som ledde till att raderingen förhindrades.

Artikel 53

Personuppgiftsbiträde

1. eu-Lisa ska vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 vid behandling av personuppgifter via routern.

2. Europol ska vara personuppgiftsbiträde vid behandling av personuppgifter via Epris.

Artikel 54

Säkerhet vid behandling

1. Europol, eu-Lisa och medlemsstaternas myndigheter ska säkerställa att den behandling av personuppgifter som sker enligt denna förordning är säker. Europol, eu-Lisa och medlemsstaternas myndigheter ska samarbeta i frågor som rör säkerheten.

2. Utan att det påverkar tillämpningen av artikel 33 i förordning (EU) 2018/1725 och artikel 32 i förordning (EU) 2016/794 ska eu-Lisa och Europol vidta nödvändiga åtgärder för att säkerställa säkerheten hos routern respektive Epris och hos den tillhörande kommunikationsinfrastrukturen.

3. eu-Lisa och Europol ska i synnerhet vidta nödvändiga åtgärder för routern respektive Epris, inbegripet en säkerhetsplan, en kontinuitetsplan och en katastrofplan, i syfte att

(a)fysiskt skydda uppgifter, bland annat genom att utarbeta beredskapsplaner för skydd av kritisk infrastruktur,

(b)hindra obehöriga från åtkomst till utrustning eller anläggningar för uppgiftsbehandling,

(c)förhindra obehörig läsning, kopiering, ändring eller obehörigt avlägsnande av datamedier,

(d)hindra obehörig inmatning av uppgifter och obehörig kontroll, ändring eller radering av lagrade personuppgifter,

(e)förhindra obehörig behandling av uppgifter och obehörig kopiering, ändring eller radering av uppgifter,

(f)hindra obehöriga från att med hjälp av datakommunikationsutrustning använda automatiserade system för uppgiftsbehandling,

(g)säkerställa att personer som har åtkomstbehörighet till routern och Epris endast har åtkomst till de uppgifter för vilka de är behöriga och endast genom individuella användaridentiteter och skyddade åtkomstmetoder,

(h)säkerställa att det finns möjlighet att kontrollera och fastställa till vilka organ personuppgifter får överföras med hjälp av datakommunikationsutrustning,

(i)säkerställa att det finns möjlighet att kontrollera och fastställa vilka uppgifter som har behandlats i routern och Epris, när detta har gjorts, av vem och i vilket syfte,

(j)hindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av personuppgifter till eller från routern och Epris eller under transport av datamedier, särskilt med hjälp av lämplig krypteringsteknik,

(k)säkerställa att installerade system i händelse av driftavbrott kan återställas till normal drift,

(l)säkerställa driftsäkerhet genom att se till att eventuella driftfel hos routern och Epris rapporteras på korrekt sätt,

(m)övervaka att de säkerhetsåtgärder som avses i denna punkt är verksamma och vidta nödvändiga organisatoriska åtgärder i fråga om intern övervakning för att säkerställa att denna förordning efterlevs och för att bedöma dessa säkerhetsåtgärder mot bakgrund av utvecklingen av ny teknik.

Artikel 55

Säkerhetsincidenter

1. Alla händelser som har eller kan ha inverkan på routerns och Epris säkerhet och som kan orsaka skada på eller förlust av uppgifter lagrade i dem ska betraktas som säkerhetsincidenter, särskilt om obehörig åtkomst till uppgifter kan ha inträffat eller om uppgifters tillgänglighet, integritet och konfidentialitet har eller kan ha äventyrats.

2. Säkerhetsincidenter ska hanteras på ett sätt som säkerställer snabba, effektiva och välavvägda motåtgärder.

3. Medlemsstaterna ska underrätta sina behöriga tillsynsmyndigheter om eventuella säkerhetsincidenter utan onödigt dröjsmål.

Utan att det påverkar tillämpningen av artikel 34 i förordning (EU) 2016/794 ska Europol underrätta CERT-EU om allvarliga cyberhot, allvarliga sårbarheter och allvarliga incidenter utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att byrån fått kännedom om dem. Användbara och lämpliga tekniska uppgifter om cyberhot, sårbarheter och incidenter som möjliggör förebyggande upptäckt, incidenthantering eller riskreducerande åtgärder ska lämnas ut till CERT-EU utan onödigt dröjsmål.

I händelse av en säkerhetsincident som påverkar routerns centrala infrastruktur ska eu-Lisa underrätta CERT-EU om allvarliga cyberhot, allvarliga sårbarheter och allvarliga incidenter utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter att byrån fått kännedom om dem. Användbara och lämpliga tekniska uppgifter om cyberhot, sårbarheter och incidenter som möjliggör förebyggande upptäckt, incidenthantering eller riskreducerande åtgärder ska lämnas ut till CERT-EU utan onödigt dröjsmål.

4. Information om säkerhetsincidenter som har eller kan ha inverkan på routerns drift eller på uppgifternas tillgänglighet, integritet och konfidentialitet ska utan dröjsmål tillhandahållas av de berörda medlemsstaterna och unionsbyråerna till medlemsstaterna och Europol och rapporteras i enlighet med den incidenthanteringsplan som eu-Lisa ska tillhandahålla.

5. Information om säkerhetsincidenter som har eller kan ha inverkan på Epris drift eller på uppgifternas tillgänglighet, integritet och konfidentialitet ska utan dröjsmål tillhandahållas av de berörda medlemsstaterna och unionsbyråerna till medlemsstaterna och rapporteras i enlighet med den incidenthanteringsplan som Europol ska tillhandahålla.

Artikel 56

Egenkontroll

1. Medlemsstaterna och de relevanta unionsbyråerna ska säkerställa att varje myndighet som har rätt att använda Prüm II vidtar nödvändiga åtgärder för att övervaka efterlevnaden av denna förordning och vid behov samarbetar med tillsynsmyndigheterna.

2. De personuppgiftsansvariga ska vidta nödvändiga åtgärder för att övervaka att uppgiftsbehandlingen sker i enlighet med denna förordning, däribland genom regelbundna kontroller av de loggar som avses i artiklarna 40 och 45, och vid behov samarbeta med tillsynsmyndigheterna och med Europeiska datatillsynsmannen.

Artikel 57

Sanktioner

Medlemsstaterna ska säkerställa att missbruk av uppgifter eller behandling eller utbyte av uppgifter i strid med denna förordning är belagt med sanktioner i enlighet med nationell rätt. Sanktionerna ska vara effektiva, proportionella och avskräckande.

Artikel 58

Bevisbörda

1. Medlemsstaterna ska vidta nödvändiga åtgärder för att säkerställa att bevisbördan inte ligger på personer som anser att de har diskriminerats på grund av behandlingen eller utbytet av deras personuppgifter. I de fall då en person anser att han eller hon har diskriminerats i samband med en automatisk jämförelse inom ramen för denna förordning inför en domstol eller en annan behörig rättslig myndighet ska de myndigheter i medlemsstaten som har behandlat uppgifterna styrka att det inte förekom någon diskriminering.

2. Punkt 1 ska inte tillämpas på straffrättsliga förfaranden.

3. Medlemsstaterna ska inte vidta särskilda åtgärder i den mening som avses i punkt 1 när det gäller förfaranden där det åligger domstolen eller den behöriga rättsliga myndigheten att utreda fakta i målet.

Artikel 59

Skadeståndsansvar

Om en medlemsstats underlåtenhet att fullgöra sina skyldigheter i enlighet med denna förordning skadar routern eller Epris ska den medlemsstaten vara ansvarig för denna skada, såvida inte och i den mån eu-Lisa, Europol eller en annan medlemsstat som är bunden av denna förordning har underlåtit att vidta rimliga åtgärder för att hindra skadan från att uppstå eller för att begränsa dess verkningar.

Artikel 60

Europeiska datatillsynsmannens revisioner

1. Europeiska datatillsynsmannen ska säkerställa att en revision av eu-Lisas och Europols behandling av personuppgifter vid tillämpningen av denna förordning genomförs i enlighet med relevanta internationella revisionsstandarder minst vart fjärde år. En revisionsrapport ska skickas till Europaparlamentet, rådet, kommissionen, medlemsstaterna och den berörda unionsbyrån. Europol och eu-Lisa ska ges tillfälle att lämna synpunkter innan rapporterna antas.

2. eu-Lisa och Europol ska tillhandahålla all information som Europeiska datatillsynsmannen begär, ge Europeiska datatillsynsmannen åtkomst till alla handlingar som denna begär och till de loggar som avses i artiklarna 40 och 45 samt när som helst ge Europeiska datatillsynsmannen tillträde till alla sina lokaler.

Artikel 61

Samarbete mellan tillsynsmyndigheterna och Europeiska datatillsynsmannen

1. Tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, var och en inom ramen för sina respektive befogenheter, samarbeta aktivt inom ramen för sina respektive ansvarsområden och säkerställa en samordnad tillsyn av tillämpningen av denna förordning, i synnerhet om Europeiska datatillsynsmannen eller en tillsynsmyndighet upptäcker stora skillnader i medlemsstaternas praxis eller upptäcker potentiellt olagliga överföringar genom Prüm II-kommunikationskanalerna.

2. I de fall som avses i punkt 1 i denna artikel ska en samordnad tillsyn säkerställas i enlighet med artikel 62 i förordning (EU) 2018/1725.

3. Europeiska dataskyddsstyrelsen ska skicka en gemensam rapport om sin verksamhet enligt denna artikel till Europaparlamentet, rådet, kommissionen, Europol och eu-Lisa senast [2 år efter ibruktagandet av routern och Epris] och därefter vartannat år. Rapporten ska innehålla ett kapitel om varje medlemsstat som utarbetats av den berörda medlemsstatens tillsynsmyndighet.

Artikel 62

Utlämning av personuppgifter till tredjeland och internationella organisationer

Uppgifter som behandlas i enlighet med denna förordning får inte automatiskt överföras till eller göras tillgängliga för tredjeländer eller internationella organisationer.

KAPITEL 7

ANSVARSOMRÅDEN

Artikel 63

Medlemsstaternas ansvarsområden

1. Varje medlemsstat ska vara ansvarig för följande:

(a)Anslutning till routerns infrastruktur.

(b)Integrering av de befintliga nationella systemen och infrastrukturerna med routern.

(c)Organisation, förvaltning, drift och underhåll av den befintliga nationella infrastrukturen och dess anslutning till routern.

(d)Anslutning till Epris infrastruktur.

(e)Integrering av de befintliga nationella systemen och infrastrukturerna med Epris.

(f)Organisation, förvaltning, drift och underhåll av den befintliga nationella infrastrukturen och dess anslutning till Epris.

(g)Hantering av och arrangemang för åtkomst till routern för vederbörligen bemyndigad personal vid de behöriga nationella myndigheterna i enlighet med denna förordning samt upprättande och regelbunden uppdatering av en förteckning över denna personal och deras profiler.

(h)Hantering av och arrangemang för åtkomst till Epris för vederbörligen bemyndigad personal vid de behöriga nationella myndigheterna i enlighet med denna förordning samt upprättande och regelbunden uppdatering av en förteckning över denna personal och deras profiler.

(i)Hantering av och arrangemang för åtkomst till Eucaris för vederbörligen bemyndigad personal vid de behöriga nationella myndigheterna i enlighet med denna förordning samt upprättande och regelbunden uppdatering av en förteckning över denna personal och deras profiler.

(j)Manuell bekräftelse av en överensstämmelse i enlighet med artiklarna 6.3, 7.3, 13.2, 22.2 och 26.2.

(k)Säkerställande av tillgången till de uppgifter som är nödvändiga för utbytet av uppgifter i enlighet med artiklarna 6, 7, 13, 18, 22 och 26.

(l)Utbyte av information i enlighet med artiklarna 6, 7, 13, 18, 22 och 26.

(m)Radering av uppgifter som tagits emot från en anmodad medlemsstat inom 48 timmar efter en underrättelse från den anmodade medlemsstaten att de personuppgifter som lämnats ut var felaktiga, inaktuella eller hade lämnats ut utan tillstånd.

(n)Efterlevnaden av de kvalitetskrav för uppgifterna som fastställts i denna förordning.

2. Varje medlemsstat ska vara ansvarig för att ansluta sina behöriga nationella myndigheter till routern, Epris och Eucaris.

Artikel 64

Europols ansvarsområden

1. Europol ska vara ansvarig för hanteringen av och arrangemangen för åtkomst till routern, Epris och Eucaris för vederbörligen bemyndigad personal i enlighet med denna förordning.

2. Europol ska även vara ansvarig för behandlingen av sökningar av Europoluppgifter via routern. Europol ska anpassa sina informationssystem i enlighet med detta.

3. Europol ska vara ansvarig för eventuella tekniska anpassningar av Europols infrastruktur som krävs för att upprätta anslutningen till routern och till Eucaris.

4. Europol ska vara ansvarig för utvecklingen av Epris i samarbete med medlemsstaterna. Epris ska tillhandahålla de funktioner som fastställs i artiklarna 42–46.

Europol ska sörja för den tekniska förvaltningen av Epris. Den tekniska förvaltningen av Epris ska bestå av alla de arbetsuppgifter och tekniska lösningar som krävs för att Epris centrala infrastruktur ska fungera och ge medlemsstaterna oavbruten service dygnet runt alla dagar i veckan i enlighet med denna förordning. Den ska inbegripa det underhåll och den tekniska utveckling som krävs för att säkerställa att Epris fungerar med tillfredsställande teknisk kvalitet, särskilt vad gäller svarstiden vid sökningar i de nationella databaserna i enlighet med de tekniska specifikationerna.

5. Europol ska tillhandahålla utbildning om den tekniska användningen av Epris.

6. Europol ska vara ansvarig för de förfaranden som avses i artiklarna 49 och 50.

Artikel 65

eu-Lisas ansvarsområden under routerns utformnings- och utvecklingsfas

1. eu-Lisa ska säkerställa att routerns centrala infrastruktur drivs i enlighet med denna förordning.

2. Routern ska hysas av eu-Lisa vid dess tekniska anläggningar och ska tillhandahålla de funktioner som fastställs i denna förordning i enlighet med de krav på säkerhet, tillgänglighet, kvalitet och prestanda som anges i artikel 66.1.

3. eu-Lisa ska vara ansvarig för utvecklingen av routern och för eventuella tekniska anpassningar som behövs för routerns drift.

eu-Lisa ska inte ha åtkomst till några av de personuppgifter som behandlas genom routern.

eu-Lisa ska fastställa utformningen av routerns fysiska arkitektur, inbegripet dess kommunikationsinfrastrukturer och tekniska specifikationer, samt dess utveckling vad gäller den centrala infrastrukturen och infrastrukturen för säker kommunikation. Denna utformning ska antas av styrelsen, med förbehåll för ett positivt yttrande från kommissionen. eu-Lisa ska även göra alla nödvändiga anpassningar av interoperabilitetskomponenterna till följd av inrättandet av routern enligt vad som föreskrivs i denna förordning.

eu-Lisa ska utveckla och implementera routern så snart som möjligt efter kommissionens antagande av de åtgärder som föreskrivs i artikel 37.6.

Utvecklingen ska bestå i att utarbeta och genomföra de tekniska specifikationerna, testerna och den övergripande projektledningen och projektsamordningen.

4. Under utformnings- och utvecklingsfasen ska den förvaltningsgrupp för interoperabilitetsprogrammet som avses i artikel 54 i förordning (EU) 2019/817 och i artikel 54 i förordning (EU) 2019/818 sammanträda regelbundet. Den ska säkerställa en lämplig hantering av routerns utformnings- och utvecklingsfas.

Förvaltningsgruppen för interoperabilitetsprogrammet ska varje månad lämna skriftliga rapporter till eu-Lisas styrelse om projektets framsteg. Förvaltningsgruppen för interoperabilitetsprogrammet ska varken ha befogenhet att fatta beslut eller mandat att företräda ledamöterna i eu-Lisas styrelse.

Den rådgivande grupp som avses i artikel 77 ska sammanträda regelbundet till dess att routern tas i drift. Den ska rapportera till förvaltningsgruppen för interoperabilitetsprogrammet efter varje möte. Den ska tillhandahålla teknisk expertis till stöd för förvaltningsgruppens uppgifter och göra uppföljningar av medlemsstaternas förberedelser.

Artikel 66

eu-Lisas ansvarsområden efter att routern tagits i drift

1. När routern har tagits i drift ska eu-Lisa vara ansvarig för den tekniska förvaltningen av routerns centrala infrastruktur, inbegripet dess underhåll och tekniska utveckling. I samarbete med medlemsstaterna ska byrån säkerställa att bästa tillgängliga teknik används, med förbehåll för en kostnads-nyttoanalys. eu-Lisa ska även ansvara för den tekniska förvaltningen av den nödvändiga kommunikationsinfrastrukturen.

Den tekniska förvaltningen av routern ska bestå av alla de arbetsuppgifter och tekniska lösningar som krävs för att routern ska kunna fungera och ge medlemsstaterna och Europol oavbruten service dygnet runt alla dagar i veckan i enlighet med denna förordning. Den ska inbegripa det underhåll och den tekniska utveckling som krävs för att säkerställa att routern fungerar med tillfredsställande teknisk kvalitet, särskilt vad gäller tillgängligheten och svarstiden vid översändande av begäranden till de nationella databaserna och Europoluppgifter i enlighet med de tekniska specifikationerna.

Routern ska utvecklas och förvaltas på ett sätt som säkerställer en snabb, effektiv och kontrollerad åtkomst, en fullständig och oavbruten tillgång till routern samt en svarstid i linje med de operativa behoven hos medlemsstaternas behöriga myndigheter och Europol.

2. Utan att det påverkar tillämpningen av artikel 17 i tjänsteföreskrifterna för tjänstemän vid Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 42 , ska eu-Lisa tillämpa lämpliga regler avseende tystnadsplikt eller andra likvärdiga krav på konfidentiell behandling för personal som arbetar med uppgifter som lagras i interoperabilitetskomponenterna. Denna skyldighet ska gälla även efter det att den anställda i fråga lämnat sin tjänst eller anställning eller upphört med sin verksamhet.

eu-Lisa ska inte ha åtkomst till några av de personuppgifter som behandlas genom routern.

3. eu-Lisa ska även utföra uppgifter avseende tillhandahållandet av utbildning om routerns tekniska användning.

KAPITEL 8

ÄNDRINGAR AV ANDRA BEFINTLIGA INSTRUMENT

Artikel 67

Ändringar av beslut 2008/615/RIF och 2008/616/RIF

1.I beslut 2008/615/RIF ska artiklarna 2–6 och avsnitten 2 och 3 i kapitel 2 ersättas med avseende på de medlemsstater som är bundna av denna förordning från det datum då de bestämmelser i denna förordning som rör routern ska börja tillämpas i enlighet med artikel 74.

Därför ska artiklarna 2–6 och avsnitten 2 och 3 i kapitel 2 i beslut 2008/615/RIF utgå från det datum då de bestämmelser i denna förordning som rör routern ska börja tillämpas i enlighet med artikel 74.

2.I beslut 2008/616/RIF ska kapitlen 2–5 och artiklarna 18, 20 och 21 ersättas med avseende på de medlemsstater som är bundna av denna förordning från det datum då de bestämmelser i denna förordning som rör routern ska börja tillämpas i enlighet med artikel 74.

Därför ska kapitlen 2–5 och artiklarna 18, 20 och 21 i beslut 2008/616/RIF utgå från det datum då de bestämmelser i denna förordning som rör routern ska börja tillämpas i enlighet med artikel 74.

Artikel 68

Ändringar av förordning (EU) 2018/1726

Förordning (EU) 2018/1726 ska ändras på följande sätt:

(1)Följande artikel ska införas som artikel 13a:

”Artikel 13a

Arbetsuppgifter avseende routern 

I enlighet med Europaparlamentets och rådets förordning (EU) …/…* [denna förordning] ska byrån utföra de arbetsuppgifter avseende routern som den ålagts genom den förordningen.

___________

*    Europaparlamentets och rådets förordning (EU) [nummer] av den xy om [officiell titel] (EUT L …)”.

I artikel 17 ska punkt 3 ersättas med följande:

”3. Sätet för byrån ska vara Tallinn i Estland.

De uppgifter avseende utveckling och operativ förvaltning som avses i artiklarna 1.4, 1.5, 3–8, 9, 11 och 13a ska utföras vid det tekniska driftstället i Strasbourg i Frankrike.

Ett reservdriftställe som kan säkerställa driften av ett stort it-system vid fel i ett sådant system ska inrättas i Sankt Johann im Pongau i Österrike.”

Artikel 69

Ändringar av förordning (EU) 2019/817

I artikel 6.2 i förordning (EU) 2019/817 ska följande led läggas till som led d:

”d) En säker kommunikationsinfrastruktur mellan ESP och den router som inrättats genom Europaparlamentets och rådets förordning (EU) …/…* [denna förordning].

___________

*    Europaparlamentets och rådets förordning (EU) [nummer] av den xy om [officiell titel] (EUT L …)”.

Artikel 70

Ändringar av förordning (EU) 2019/818

Förordning (EU) 2019/818 ska ändras på följande sätt:

(1)I artikel 6.2 ska följande led läggas till som led d:

”d) En säker kommunikationsinfrastruktur mellan ESP och den router som inrättats genom Europaparlamentets och rådets förordning (EU) …/…* [denna förordning].

___________

*    Europaparlamentets och rådets förordning (EU) [nummer] av den xy om [officiell titel] (EUT L …)”.

(2)I artikel 39 ska punkterna 1 och 2 ersättas med följande:

”1. Det ska inrättas en central databas för rapporter och statistik (CRRS) för att stödja målen för SIS, Eurodac och Ecris-TCN, i enlighet med de respektive rättsliga instrument som reglerar de systemen, och för att tillhandahålla systemöverskridande statistiska uppgifter och analysrapporter för politiska och operativa syften samt för uppgiftskvaliteten. CRRS ska även stödja målen med Prüm II.

 2. eu-Lisa ska inrätta, implementera och vid sina tekniska anläggningar hysa CRRS som innehåller de uppgifter och den statistik som avses i artikel 74 i förordning (EU) 2018/1862 och artikel 32 i förordning (EU) 2019/816, logiskt åtskilda per EU-informationssystem. eu-Lisa ska även samla in uppgifter och statistik från den router som avses i artikel 65.1 i förordning (EU) …/… * [denna förordning]. Åtkomst till CRRS ska beviljas via kontrollerad, säkrad åtkomst och specifika användarprofiler, enbart för rapportering och statistik, till de myndigheter som avses i artikel 74 i förordning (EU) 2018/1862, artikel 32 i förordning (EU) 2019/816 och artikel 65.1 i förordning (EU) …/… * [denna förordning].”

KAPITEL 9

SLUTBESTÄMMELSER

Artikel 71

Rapportering och statistik

1. Den vederbörligen bemyndigade personalen vid medlemsstaternas behöriga myndigheter, kommissionen, Europol och eu-Lisa ska ha åtkomst för att söka följande uppgifter avseende routern, dock endast för rapporterings- och statistikändamål:

(a)Antalet sökningar per medlemsstat och av Europol.

(b)Antalet sökningar per uppgiftskategori.

(c)Antalet sökningar i var och en av de anslutna databaserna.

(d)Antalet överensstämmelser mot varje medlemsstats databas per uppgiftskategori.

(e)Antalet överensstämmelser mot Europoluppgifter per uppgiftskategori.

(f)Antalet bekräftade överensstämmelser där utbyten av grundläggande uppgifter förekom.

(g)Antalet sökningar i den gemensamma databasen för identitetsuppgifter via routern.

Uppgifterna får inte möjliggöra identifiering av enskilda personer.

2. Den vederbörligen bemyndigade personalen vid medlemsstaternas behöriga myndigheter, Europol och kommissionen ska ha åtkomst för att söka på följande uppgifter avseende Eucaris, dock endast för rapporterings- och statistikändamål:

(a)Antalet sökningar per medlemsstat och av Europol.

(b)Antalet sökningar i var och en av de anslutna databaserna.

(c)Antalet överensstämmelser mot varje medlemsstats databas.

Uppgifterna får inte möjliggöra identifiering av enskilda personer.

3. Den vederbörligen bemyndigade personalen vid medlemsstaternas behöriga myndigheter, kommissionen och Europol ska ha åtkomst för att söka på följande uppgifter avseende Epris, dock endast för rapporterings- och statistikändamål:

(a)Antalet sökningar per medlemsstat och av Europol.

(b)Antalet sökningar i var och en av de anslutna registren.

(c)Antalet överensstämmelser mot varje medlemsstats databas.

Uppgifterna får inte möjliggöra identifiering av enskilda personer.

4. eu-Lisa ska lagra de uppgifter som avses i dessa punkter.

Uppgifterna ska göra det möjligt för de myndigheter som avses i punkt 1 att erhålla anpassade rapporter och anpassad statistik för att effektivisera samarbetet inom brottsbekämpningen.

Artikel 72

Kostnader

1. Kostnader som uppkommit i samband med inrättandet och driften av routern och Epris ska belasta unionens allmänna budget.

2. Kostnader som uppkommit i samband med integreringen av befintliga nationella infrastrukturer och deras anslutningar till routern och Epris, såväl som kostnader som uppkommit i samband med inrättandet av nationella databaser med ansiktsbilder och nationella polisregister för förebyggande, upptäckt och utredning av brott, ska belasta unionens allmänna budget.

Följande kostnader ska vara undantagna:

(a)Medlemsstaternas projektledningskontor (möten, tjänsteresor, kontor).

(b)Hysande av nationella it-system (lokaler, implementering, elektricitet, kylning).

(c)Drift av nationella it-system (operatörs- och supportavtal).

(d)Utformning, utveckling, implementering, drift och underhåll av nationella kommunikationsnätverk.

3. Varje medlemsstat ska ansvara för kostnaderna för administrationen, användningen och underhållet av Eucaris-programvaran som avses i artikel 19.1.

4. Varje medlemsstat ska ansvara för kostnaderna för administration, användning och underhåll av sina anslutningar till routern och Epris.

Artikel 73

Underrättelser

1. Medlemsstaterna ska underrätta eu-Lisa om de myndigheter som avses i artikel 36 och som får använda eller ha åtkomst till routern.

2. eu-Lisa ska underrätta kommissionen när de tester som avses i artikel 74.1 b har slutförts på ett framgångsrikt sätt.

3. Medlemsstaterna ska underrätta kommissionen, Europol och eu-Lisa om de nationella kontaktpunkterna.

Artikel 74

Driftstart

1. Kommissionen ska genom en genomförandeakt fastställa det datum då medlemsstaterna och unionsbyråerna får börja använda routern så snart följande villkor är uppfyllda:

(a)De åtgärder som avses i artikel 37.6 har antagits.

(b)eu-Lisa har meddelat att ett övergripande test av routern, som byrån har utfört i samarbete med medlemsstaternas myndigheter och Europol, har slutförts på ett framgångsrikt sätt.

I den genomförandeakten ska kommissionen även fastställa det datum då medlemsstaterna och unionsbyråerna måste börja använda routern. Detta datum ska vara ett år efter det datum som fastställts i enlighet med första stycket.

Kommissionen får senarelägga det datum då medlemsstaterna och unionsbyråerna måste börja använda routern med högst ett år om en bedömning av implementeringen av routern har visat att en sådan senareläggning är nödvändig. Den genomförandeakten ska antas i enlighet med det förfarande som avses i artikel 76.2.

2. Kommissionen ska genom en genomförandeakt fastställa det datum då medlemsstaterna och unionsbyråerna ska börja använda Epris så snart följande villkor är uppfyllda:

(a)De åtgärder som avses i artikel 44.7 har antagits.

(b)Europol har meddelat att ett övergripande test av Epris, som byrån har utfört i samarbete med medlemsstaternas myndigheter, har slutförts på ett framgångsrikt sätt.

3. Kommissionen ska genom en genomförandeakt fastställa det datum från och med vilket Europol ska göra biometriska uppgifter från tredjeland tillgängliga för medlemsstaterna i enlighet med artikel 49 så snart följande villkor är uppfyllda:

(a)Routern har tagits i drift.

(b)Europol har meddelat att ett övergripande test av anslutningen, som byrån har utfört i samarbete med medlemsstaternas myndigheter och eu-Lisa, har slutförts på ett framgångsrikt sätt.

4. Kommissionen ska genom en genomförandeakt fastställa det datum från och med vilket Europol ska ha tillgång till uppgifter som lagras i medlemsstaternas databaser i enlighet med artikel 50 så snart följande villkor är uppfyllda:

(a)Routern har tagits i drift.

(b)Europol har meddelat att ett övergripande test av anslutningen, som byrån har utfört i samarbete med medlemsstaternas myndigheter och eu-Lisa, har slutförts på ett framgångsrikt sätt.

Artikel 75

Övergångsbestämmelser och undantag

1. Medlemsstaterna och unionsbyråerna ska börja tillämpa artiklarna 21–24, 47 och 50.6 från och med det datum som fastställts i enlighet med artikel 74.1 första stycket, med undantag av de medlemsstater som inte har börjat använda routern.

2. Medlemsstaterna och unionsbyråerna ska börja tillämpa artiklarna 25–28 och 50.4 från och med det datum som fastställts i enlighet med artikel 74.2.

3. Medlemsstaterna och unionsbyråerna ska börja tillämpa artikel 49 från och med det datum som fastställts i enlighet med artikel 74.3.

4. Medlemsstaterna och unionsbyråerna ska börja tillämpa artikel 50.1, 50.2, 50.3, 50.5 och 50.7 från och med det datum som fastställts i enlighet med artikel 74.4.

Artikel 76

Kommittéförfarande

1. Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2. När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas. Om kommittén inte avger något yttrande ska kommissionen inte anta utkastet till genomförandeakt, och artikel 5.4 tredje stycket i förordning (EU) nr 182/2011 ska tillämpas.

Artikel 77

Rådgivande grupp

Ansvarsområdena för eu-Lisas rådgivande grupp för interoperabilitet ska utökas så att de även omfattar routern. Denna rådgivande grupp för interoperabilitet ska tillhandahålla eu-Lisa sakkunskap som rör routern, särskilt i samband med utarbetandet av byråns årliga arbetsprogram och årliga verksamhetsrapport.

Artikel 78

Handledning

Kommissionen ska, i nära samarbete med medlemsstaterna, Europol och eu-Lisa, tillhandahålla en handledning om genomförandet och förvaltningen av denna förordning. Handledningen ska innehålla tekniska och operativa riktlinjer, rekommendationer och bästa praxis. Kommissionen ska anta handledningen i form av en rekommendation.

Artikel 79

Övervakning och utvärdering

1. eu-Lisa och Europol ska säkerställa att det finns förfaranden för att övervaka utvecklingen av routern respektive Epris mot bakgrund av målen vad gäller planering och kostnader samt för att övervaka routerns respektive Epris funktion mot bakgrund av målen för tekniska resultat, kostnadseffektivitet, säkerhet och tjänsternas kvalitet.

2. Senast [ett år efter att denna förordning trätt i kraft] och därefter varje år under routerns utvecklingsfas ska eu-Lisa lämna en rapport till Europaparlamentet respektive rådet om hur utvecklingen av routern framskrider. Denna rapport ska innehålla detaljerad information om de kostnader som har uppkommit och information om eventuella risker som kan påverka de övergripande kostnader som ska belasta unionens allmänna budget i enlighet med artikel 72.

Så snart utvecklingen av routern har slutförts ska eu-Lisa lämna en rapport till Europaparlamentet och rådet med en ingående redogörelse för hur målen har uppfyllts, framför allt vad gäller planering och kostnader, samt vad eventuella avvikelser beror på.

3. Senast [ett år efter att denna förordning trätt i kraft] och därefter varje år under Epris utvecklingsfas ska Europol lämna en rapport till Europaparlamentet och rådet om förberedelserna för genomförandet av denna förordning och om hur utvecklingen av Epris framskrider, inbegripet detaljerad information om de kostnader som har uppkommit och information om eventuella risker som kan påverka de övergripande kostnader som ska belasta unionens allmänna budget i enlighet med artikel 72.

Så snart utvecklingen av Epris har slutförts ska Europol lämna en rapport till Europaparlamentet och rådet med en ingående redogörelse för hur målen har uppfyllts, framför allt vad gäller planering och kostnader, samt vad eventuella avvikelser beror på.

4. eu-Lisa och Europol ska ha åtkomst till den information om uppgiftsbehandling i routern respektive Epris som behövs för det tekniska underhållet.

5. Två år efter det att routern tagits i drift och därefter vartannat år ska eu-Lisa rapportera till Europaparlamentet, rådet och kommissionen om hur routern har fungerat i tekniskt hänseende, inbegripet ur säkerhetssynpunkt.

6. Två år efter det att Epris tagits i drift, och därefter vartannat år, ska Europol rapportera till Europaparlamentet, rådet och kommissionen om hur Epris har fungerat i tekniskt hänseende, inbegripet ur säkerhetssynpunkt.

7. Tre år efter det att routern och Epris tagits i drift i enlighet med artikel 74, och därefter vart fjärde år, ska kommissionen göra en övergripande utvärdering av Prüm II, som ska omfatta följande:

(a)En bedömning av tillämpningen av denna förordning.

(b)En granskning av uppnådda resultat i förhållande till målen för denna förordning och dess inverkan på de grundläggande rättigheterna.

(c)Genomslagskraften, ändamålsenligheten och effektiviteten när det gäller driften av Prüm II och dess arbetsmetoder i förhållande till dess mål, uppdrag och uppgifter.

(d)En bedömning av säkerheten i Prüm II.

Kommissionen ska överlämna utvärderingsrapporten till Europaparlamentet, rådet, Europeiska datatillsynsmannen och Europeiska unionens byrå för grundläggande rättigheter.

8. Medlemsstaterna och Europol ska ge eu-Lisa och kommissionen all information de behöver för att kunna utarbeta de rapporter som avses i punkterna 2 och 5. Denna information får inte äventyra arbetsmetoder eller innehålla uppgifter som röjer de utsedda myndigheternas källor, personal eller utredningar.

9. Medlemsstaterna ska ge Europol och kommissionen all information de behöver för att kunna utarbeta de rapporter som avses i punkterna 3 och 6. Denna information får inte äventyra arbetsmetoder eller innehålla uppgifter som röjer de utsedda myndigheternas källor, personal eller utredningar.

10. Medlemsstaterna, eu-Lisa och Europol ska ge kommissionen all information den behöver för att kunna utarbeta de utvärderingar som avses i punkt 7. Medlemsstaterna ska även ge kommissionen information om antalet bekräftade överensstämmelser mot varje medlemsstats databas per uppgiftskategori.

Artikel 80

Ikraftträdande och tillämplighet

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.

Utfärdad i Bryssel den

FINANSIERINGSÖVERSIKT FÖR RÄTTSAKT

1.    GRUNDLÄGGANDE UPPGIFTER OM LAGSTIFTNINGSINITIATIVET

1.1    Lagstiftningsinitiativets titel

1.2    Berörda politikområden

1.3    Förslaget avser

◻ en ny åtgärd

◻ en ny åtgärd som bygger på ett pilotprojekt eller en förberedande åtgärd 43  

⌧ en förlängning av en befintlig åtgärd 

◻ en sammanslagning eller omdirigering av en eller flera åtgärder mot en annan/en ny åtgärd 

1.4    Mål

1.4.1    Allmänt/allmänna mål:

1.4.2    Specifikt/specifika mål:

1.4.3    Verkan eller resultat som förväntas

Beskriv den verkan som lagstiftningsinitiativet förväntas få på de mottagare eller den del av befolkningen som berörs.

1.4.4    Prestationsindikatorer

Ange indikatorer för övervakning av framsteg och resultat.

1.5    Grunder för lagstiftningsinitiativet

1.5.1    Krav som ska uppfyllas på kort eller lång sikt, inbegripet en detaljerad tidsplan för genomförandet av lagstiftningsinitiativet

1.5.2    Mervärdet av en åtgärd på unionsnivå (som kan följa av flera faktorer, t.ex. samordningsfördelar, rättssäkerhet, ökad effektivitet eller komplementaritet). Med ”mervärdet av en åtgärd på unionsnivå” i denna punkt avses det värde en åtgärd från unionens sida tillför utöver det värde som annars skulle ha skapats av enbart medlemsstaterna.

1.5.3    Erfarenheter från tidigare liknande åtgärder

1.5.4    Förenlighet med den fleråriga budgetramen och eventuella synergieffekter med andra relevanta instrument

1.5.5    En bedömning av de olika finansieringsalternativ som finns att tillgå, inbegripet möjligheter till omfördelning

De anslag som behövs för att finansiera utvecklingen av Prüm II-ramen har inte planerats inom den fleråriga budgetramen för Europol och eu-Lisa, eftersom detta är ett nytt förslag för vilket beloppen inte var kända när förslaget offentliggjordes. Det föreslås att Europols och eu-Lisas anslag under åren 2024, 2025, 2026 och 2027 utökas genom motsvarande minskningar av Fonden för inre säkerhet (ISF) respektive instrumentet för gränsförvaltning och visering (BMVI). 

1.6    Varaktighet för och budgetkonsekvenser av lagstiftningsinitiativet

◻ begränsad varaktighet

◻    Förslaget eller initiativet ska gälla från [den DD/MM]ÅÅÅÅ till [den DD/MM]ÅÅÅÅ.

◻    Det påverkar resursanvändningen från ÅÅÅÅ till ÅÅÅÅ.

⌧ obegränsad varaktighet

Efter en inledande period 2024–2026

beräknas genomförandetakten nå en stabil nivå.

1.7    Planerad metod för genomförandet 45  

⌧ Direkt förvaltning som sköts av kommissionen

–X av dess avdelningar, vilket också inbegriper personalen vid unionens delegationer

–◻ av genomförandeorgan

⌧ Delad förvaltning med medlemsstaterna

⌧ Indirekt förvaltning genom att uppgifter som ingår i budgetgenomförandet anförtros

◻ internationella organisationer och organ kopplade till dem (ange vilka)

◻ EIB och Europeiska investeringsfonden

⌧ organ som avses i artiklarna 70 och 71

◻ offentligrättsliga organ

◻ privaträttsliga organ som har anförtrotts offentliga förvaltningsuppgifter i den utsträckning som de lämnar tillräckliga ekonomiska garantier

◻ organ som omfattas av privaträtten i en medlemsstat, som anförtrotts genomförandeuppgifter inom ramen för ett offentlig-privat partnerskap och som lämnar tillräckliga ekonomiska garantier

◻ personer som anförtrotts genomförandet av särskilda åtgärder inom Gusp enligt avdelning V i fördraget om Europeiska unionen och som fastställs i den relevanta grundläggande rättsakten

Anmärkningar

2.    FÖRVALTNING

2.1    Regler om uppföljning och rapportering

Ange intervall och andra villkor för sådana åtgärder:

2.2    Förvaltnings- och kontrollsystem

2.2.1    Uppgifter om identifierade risker och om det eller de interna kontrollsystem som inrättats för att begränsa riskerna

2.2.2    Beräkning och motivering av kontrollernas kostnadseffektivitet (dvs. förhållandet mellan kostnaden för kontrollerna och värdet av de medel som förvaltas) och en bedömning av den förväntade risken för fel (vid betalning och vid avslutande)

2.3    Åtgärder för att förebygga bedrägeri och oriktigheter

Beskriv förebyggande åtgärder (befintliga eller planerade), t.ex. från strategi för bedrägeribekämpning.

3.    BERÄKNADE BUDGETKONSEKVENSER AV LAGSTIFTNINGSINITIATIVET

3.1    Berörda rubriker i den fleråriga budgetramen och budgetrubriker i den årliga budgetens utgiftsdel

Befintliga budgetrubriker (även kallade ”budgetposter”)

Redovisa enligt de berörda rubrikerna i den fleråriga budgetramen i nummerföljd

3.2    Beräknad inverkan på utgifterna

3.2.1    Sammanfattning av den beräknade inverkan på utgifterna

Miljoner euro (avrundat till tre decimaler)

Anmärkning: De ytterligare anslag som begärs inom ramen för detta förslag för Europol kommer att täckas av Fonden för inre säkerhet (ISF) under rubrik 5.

Miljoner euro (avrundat till tre decimaler)

Anmärkning: De ytterligare anslag som begärs inom ramen för detta förslag för eu-Lisa kommer att täckas av instrumentet för gränsförvaltning och visering (ISF) under rubrik 4.

Anmärkning: De anslag som begärs inom ramen för detta förslag kommer att täckas av anslag som redan ingår i den finansieringsöversikt som ligger till grund för förordningen om Fonden för inre säkerhet. Inga ytterligare ekonomiska resurser eller personalresurser begärs inom ramen för detta lagstiftningsförslag.

Kostnaderna per medlemsstat omfattar

·uppgradering av infrastrukturen så att den stöder utbytet av webbtjänster och upprättande av anslutningen till den centrala routern, vilket innebär insatser för att analysera och definiera den nya arkitekturen,

·uppgradering av infrastrukturen så att den stöder utbytet av webbtjänster och upprättande av anslutningen till den centrala routern,

·konfigurering av ett system för utbyte av webbtjänster och upprättande av en anslutning till den centrala routern,

·utformning av en ny nationell arkitektur och nya specifikationer för att säkerställa åtkomsten till nationella uppgifter genom de lösningar som utvecklats (routern och Epris),

·upprättande av ett nytt index eller iordningställande av ett befintligt index för utbyte av uppgifter ur polisregister,

·upprättande av en ny databas för ansiktsbilder eller iordningställande av en befintlig databas för ansiktsbilder,

·integrering av den nationella lösningen,

·allmänna kostnader i samband med projektledningen.

I följande tabell anges kostnaderna per kategori:

*Uppskattning för medlemsstater som saknar en databas för ansiktsbilder

Miljoner euro (avrundat till tre decimaler)

Miljoner euro (avrundat till tre decimaler)

3.2.2    Beräknad inverkan på Europols anslag

◻    Förslaget/initiativet kräver inte att driftsanslag tas i anspråk

⌧    Förslaget/initiativet kräver att driftsanslag tas i anspråk enligt följande:

Åtagandebemyndiganden i miljoner euro (avrundat till tre decimaler)

3.2.3    Beräknad inverkan på eu-Lisas anslag

◻    Förslaget/initiativet kräver inte att driftsanslag tas i anspråk

⌧    Förslaget/initiativet kräver att driftsanslag tas i anspråk enligt följande:

Åtagandebemyndiganden i miljoner euro (avrundat till tre decimaler)

3.2.4    Beräknad inverkan på Europols personalresurser

3.2.4.1    Sammanfattning

◻    Förslaget/initiativet kräver inte att anslag av administrativ natur tas i anspråk

⌧    Förslaget/initiativet kräver att anslag av administrativ natur tas i anspråk enligt följande:

Miljoner euro (avrundat till tre decimaler)

Personalbehov (heltidsekvivalenter):

De personalresurser som krävs för att genomföra målen i detta förslag har uppskattats i samarbete med Europol. I uppskattningarna tas hänsyn till den förväntade ökningen av arbetsbördan i och med att berörda parter så småningom i högre grad använder Europols tjänster, samt den tid som behövs för att Europol ska kunna absorbera resurser för att undvika en situation där byrån inte skulle kunna genomföra hela sitt EU-bidrag och göra betalningsåtaganden i tid.

De personalresurser som krävs för att genomföra målen i detta förslag kommer delvis att täckas av Europols nuvarande personal (grundscenariot) och delvis av ytterligare resurser (ytterligare personal jämfört med grundscenariot).

Ingen ökning av kontraktsanställda planeras i finansieringsöversikten.

För genomförandet av Prüm II kan de resurser som Europol behöver delas in i tre kategorier:

1) IKT-kostnader för anslutning till routern för biometriska uppgifter hos eu-Lisa, nödvändiga utvecklingsarbeten i Europols informationssystem för att göra uppgifter från tredjeland tillgängliga för sökningar från medlemsstaterna samt integrering av sökningarna i Prüm med uppgifter från tredje part i Europols sökgränssnitt USE-UI.

2) Kostnader för personal i Europols direktorat för operationer som utför sökningar med uppgifter från tredje part och biometriexperter som kontrollerar träffarna.

3) Kostnader för förvaltning av en central router för uppgifter ur polisregister. Detta kommer att omfatta engångskostnader för maskinvara (inbegripet olika produktions- och provningsmiljöer för medlemsstaterna), IKT-personal för att säkerställa utveckling och förändringshantering av programvaran ADEP.EPRIS, provning med medlemsstaterna samt en dygnet runt-öppen helpdesk som stöd till medlemsstaterna i händelse av problem. För att säkerställa fullt stöd till medlemsstaterna måste det finnas IKT-personal med olika profiler, t.ex. allmän samordningspersonal, kravanalytiker, utvecklare, programtestare, systemadministratörer. Sannolikt kommer en något större personalstyrka inom IKT att behövas under det första året efter idrifttagandet.

På grund av säkerhetsbegränsningar och det överenskomna taket för kontraktsanställda kommer huvuddelen av arbetet med Prüm att utföras av Europols personal. Vissa mindre känsliga verksamheter planeras att utkontrakteras till entreprenörer (provning, vissa utvecklingsuppgifter).                    

3.2.5    Beräknad inverkan på eu-Lisas personalresurser

3.2.5.1    Sammanfattning

◻    Förslaget/initiativet kräver inte att anslag av administrativ natur tas i anspråk

⌧    Förslaget/initiativet kräver att anslag av administrativ natur tas i anspråk enligt följande:

Miljoner euro (avrundat till tre decimaler)

Personalbehov (heltidsekvivalenter):

De personalresurser som krävs för att genomföra målen med det nya mandatet har uppskattats i samarbete med eu-Lisa. I uppskattningarna tas hänsyn till den förväntade ökningen av arbetsbördan i och med att berörda parter så småningom i högre grad använder eu-Lisas tjänster, samt den tid som behövs för att eu-Lisa ska kunna absorbera resurser för att undvika en situation där byrån inte skulle kunna genomföra hela sitt EU-bidrag och göra betalningsåtaganden i tid.

Dessa uppskattningar bygger på följande personalnivåer:

3.2.5.2    Beräknat personalbehov för det ansvariga partnergeneraldirektoratet

◻    Förslaget/initiativet kräver inte att personalresurser tas i anspråk

⌧    Förslaget/initiativet kräver att personalresurser tas i anspråk enligt följande:

Beräkningarna ska anges i heltal (eller med högst en decimal)